ネットワークデバイスの管理用パスワードを集中管理しよう(前編)Windows Server 2012 ×「ちょっとだけ連携」でネットワーク管理を便利に(3)(4/5 ページ)

» 2013年02月22日 18時00分 公開

【2. アクセス許可ポリシーの作成とアカウンティングログの設定】

 次に、前の手順で作成したnetadminsグループのメンバーに対する認証と承認のためのポリシー作成と、ログ取得のための設定などをRADIUSサーバ上で行います。

1.server001で、Administratorとしてサインインします。管理ツール[サーバーマネージャー]を起動し、[ツール]−[ネットワークポリシーサーバー]を選択します。

画面19

2.管理ツール[ネットワークポリシーサーバー]が起動したら、[NPS(ローカル)]を右クリックし、[Active Directoryにサーバーを登録]を選択します。

画面20

3.確認メッセージが表示されるため、[OK]をクリックします。また、成功したことを告げるメッセージが表示されたら[OK]をクリックします。

画面21

4.[ポリシー]を展開し、[ネットワークポリシー]を右クリックした後、[新規]を選択します。

画面22

5.[ポリシー名]にこれから作成するルール(ポリシー)の名前を指定し、[次へ]をクリックします。

画面23

6.[条件の指定]で[追加]をクリックします。

7.netadminsグループを条件に含めるため[Windowsグループ]を選択し、[追加]をクリックします。

画面24

8.[グループの追加]をクリックします。

画面25

9.[グループの選択]で、netadminsと入力し、[名前の確認]をクリックします。その後、[OK]をクリックします。

画面26

10.[OK]をクリックします。

画面27

11.さらに条件を追加する場合は、[条件の指定]で[追加]をクリックします(注3)

注3:本設定(手順11〜13)はオプションです。手順10までに設定した条件だけでも認証は行えます。


画面28

12.[NAS IPv4アドレス]を選択し、[追加]をクリックします。[NAS IPv4アドレス]は、RADIUSクライアントとなるネットワークデバイスのIPアドレスを条件にする場合に追加します(NASは「Network Access Server」の略で、RADIUSクライアントのことです)。このため、すべてのネットワークデバイスをnetadminsグループのメンバーで管理する場合は、[NAS IPv4アドレス]を条件に追加する必要ありません。一方、ネットワークデバイスによって管理者グループが異なる場合は、[Windowsグループ]と[NAS IPv4アドレス]を組み合わせた条件にするとよいでしょう。

 なお、本条件を指定する場合は、ネットワークデバイスのIPアドレスごとにネットワークポリシーを作成するか、手順13でIPアドレスのパターンマッチング指定で複数のネットワークデバイスのIPアドレスを指定する必要があります。

画面29

13.ルータまたはレイヤ3スイッチの、サーバ側のインターフェイスのIPアドレスである10.1.2.254を指定し、[OK]をクリックします。他にもネットワークデバイスがある場合は、パターンマッチングの構文(注4)を使用するか、2〜20の手順を繰り返し実行してネットワークデバイスごとにポリシーを作成します。

注4:パターンマッチングの構文とは正規表現のことです。例えば、サブネットアドレス10.1.2.0/24のすべてのホストアドレスを表現する場合、10\.1\.2\..+という指定をします。詳しくは、マイクロソフトの技術文書「NPSで正規表現を使用する」に記載されています。


画面30

14.条件の指定を終了し、次の設定を行うため[次へ]をクリックします。

画面31

15.これまでに設定した条件に一致したら、ネットワークデバイスへのログインを許可するように、[アクセスを許可する]を選択し、[次へ]をクリックします。

画面32

16.[認証方法の構成]で[暗号化されていない認証]だけを選択し、[次へ]をクリックします。ヘルプトピックの表示を確認するメッセージが表示されたら[いいえ]をクリックします。

画面33

17.[制約の構成]では、デフォルトのまま[次へ]をクリックします。

画面34

18.[設定の構成]でも、デフォルトのまま[次へ]をクリックします。

画面35

19.[完了]をクリックし、ポリシー作成を終了します。

画面36

20.作成したポリシーの位置が1番上になるように、必要に応じてポリシーを右クリックし、[上へ移動]を選択して位置を調整します。

画面37

 次に、RADIUSサーバで、認証履歴のためのログ設定を確認します。

1.server001の管理ツール[ネットワークポリシーサーバー]で、[アカウンティング]を選択し、[ログファイルプロパティの変更]をクリックします。

画面38

2.[設定]タブを確認し、ログに記録する項目を選択します。

画面39

3.[ログファイル]タブに切り替えて、ログファイルの場所を確認します。Windows Server 2012のネットワークポリシーサーバでは、ローカルにログを記録するようにデフォルト設定が行われています。ここではデフォルトの設定を利用するため、確認後[OK]をクリックします。

画面40

 以上で、ネットワークポリシーサーバをRADIUSサーバとして構成するための設定は終了です。

 次にRADIUSクライアント役のネットワークデバイスを登録します。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。