ネットワークデバイスの管理用パスワードを集中管理しよう(前編):Windows Server 2012 ×「ちょっとだけ連携」でネットワーク管理を便利に(3)(3/5 ページ)
(2)Active Directory とRADIUSサーバの設定
次に、認証用のアカウントの作成と、作成したアカウントを認証、承認するためのポリシー(ルール)の作成を行います。
具体的には、ネットワークデバイスの管理者アカウント(netadmi1注1)をActive Directoryに作成し、ネットワークデバイス管理者グループ(netadmins)のメンバーにします。その後、RADIUSサーバ側でこのグループに対するアクセス許可のためのポリシー(ルール)作成や、ネットワークデバイスの登録をします。
注1:ここでは、イメージしやすいように「netadmin1」というユーザー名を使用していますが、用途が推測しやすいユーザー名(rootやsu、Administrator、Adminを含む名前など)はパスワードクラッキングの対象になりやすいので、実環境では安易な名前付けは行わないようにしましょう。
図4 RADIUSサーバの設定【1. ユーザーとグループの作成】
最初に、ネットワークデバイスへのログインに使用するユーザーアカウントを作成します。その後グループを作成し、作成したユーザーアカウントをグループのメンバーにします。ポイントは以下の2つです
・なぜユーザーをグループのメンバーにするのか
ユーザーやグループはActive Directoryに登録しますが、認証や承認を行うためのポリシーはRADIUSサーバで作成します。ユーザーに直接ポリシーを割り当てると、管理者ユーザーの追加や削除などを行う場合、Active DirectoryとRADIUSサーバの両方の変更作業が必要になります。一方、グループにポリシーを割り当てた場合は、Active Directory上でグループのメンバーを変更するだけですみます。
・ネットワークデバイス管理者のアカウント
ネットワークデバイスの管理者が複数いる場合は、全員で1つのユーザーアカウントを使用する方法もあります。しかし、次の図5のように個別にユーザーアカウントを作成しておくと、いつ誰がログインしたのかを後からRADIUSサーバのアカウンティングログで確認できるので便利です。
なお、管理者がWindowsにサインインするときとネットワークデバイスにログインするときのユーザーアカウントを共通にすることもできますが、ネットワークデバイスにTelnetでアクセスする場合はパスワードが暗号化されずに送信されるため、アカウントを使い分けた方が安全です。
図5 管理者アカウントの使い分けユーザーやグループを作成するための手順は次の通りです。
1.ユーザー「netadmin1」を作成します。
ドメインコントローラdc001で、Administratorとしてサインインし、管理ツール[Active Directory管理センター]を起動します。
管理ツールの起動方法やメニュー操作などの基本的な操作方法は、「ステップバイステップ ガイド Windows Server 2012のインストールと初期設定」、Active Directory管理センターの起動方法やユーザーの作成方法については、連載2回目の「Active Dierctoryユーザーの登録」を参考にしてください。
2.[ドメイン名(ローカル)]−[Users]−[新規]−[ユーザー]を選択します。
画面133.[ユーザーの作成]で次のように指定し、ユーザーを作成します。
| 項目 | 設定する値 |
|---|---|
| フルネーム: | netadmin1 |
| ユーザーUPNログオン: | netadmin1@edifist.co.jp(注2) |
| ユーザーSAMアカウント名ログオン: | edifist\netadmin1 |
| パスワード: | P@ssw0rd |
| パスワードのオプション: | その他のパスワードオプション |
画面14注2:管理者のユーザーアカウントが複数必要な場合は、同様の手順でログオン名の異なるユーザーを作成してください。
4.次に、netadminsグループを作成します。管理ツール[Active Directory管理センター]で、[ドメイン名(ローカル)]−[Users]−[新規]−[グループ]を選択します。
5.[ユーザーの作成]で次のように指定します。
| 項目 | 設定する値 |
|---|---|
| グループ名: | netadmins |
| グループ名(SAMアカウント名): | netadmins |
| グループの種類: | [セキュリティ]を選択 [配布]は、Microsoft Exchange Serverのメールの宛先グループとしてだけ使用するときに選択するオプションです。 |
| グループのスコープ: | グローバル グローバルグループは、ローカルドメインのユーザーをグループ化するときなどに使用します。 |
| 説明: | ネットワークデバイスの管理者グループ |
画面156.[メンバー]を選択し、[追加]をクリックします。
画面167.[ユーザー、連絡先、コンピューター、サービスアカウントまたはグループの選択]の[選択するオブジェクト名を入力してください]にnetadmin1と入力し、[名前の確認]をクリックします。正しいユーザー名が表示されたら、[OK]をクリックします。
画面178.[グループの作成]で、netadmin1が追加されたことを確認し、[OK]をクリックします。
画面18Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。