RADIUSサーバをセットアップする(Windows Server OS編):Tech TIPS
RADIUSサービスを利用すると、リモートアクセス時のユーザー認証を集中的に管理できる。RADIUSサービスを利用するには、Windows Server OSでインターネット認証サービスを導入する。
対象OS:Windows 2000/Windows Server 2003
RAS(リモートアクセスサービス)やVPN(仮想プライベートネットワーク)サービスを利用してダイヤルアップやリモート接続する場合、通常はユーザー名とパスワードを使った認証を行う。Windows Server OSを使ってRASやVPNサービスを行うなら、認証はそのサーバ自身に登録されているユーザーアカウントもしくは、そのサーバが属しているドメインのユーザーアカウントを使って行うことが多い。
だが場合によっては認証を別のサーバで行いたいことがある。RASやVPNの専用機器(専用リモートアクセスルーターや専用ファイアウォールなど)を利用している場合や、RAS/VPNサーバを別ドメインとして構築している場合(例:セキュリティのため、企業内向けActive Directoryとは独立して、ISA Server 2004などでファイアウォールを構築している場合)などだ。
- 連載 RADIUSを使おう(Master of IP Network)
- 連載 小規模オフィスのための無線LAN入門(Windows Server Insider)
このようなケースでは、RADIUS(Remote Authentication Dial In User Service。ラディウス)プロトコルを使ったリモート認証サービスを利用するとよい。RADIUSは、RASやVPN接続時に必要となる認証を請け負うサービス(認証プロトコル)であり、VPNやダイヤルアップのサーバ機器(専用ネットワーク機器)、最近では無線LANのセキュリティなどでも広く利用されている。複数のネットアーク機器からRADIUSサーバに接続することにより、ユーザー認証を1カ所で集中的に管理することができる。Windows Serverでは「インターネット認証サービス」というネットワークサービスを導入することにより、RADIUSプロトコルによる認証が利用できる。
本TIPSでは、Windows Server OS上にRADIUSサービス(インターネット認証サービス)を導入する方法(サーバ側の設定方法)について解説する。RADIUSサーバを利用する方法(RADIUSクライアントの使用例)については、別TIPSの「RADIUSサーバを利用する」を参照していただきたい。
IASサービスの導入
RADIUSサービスを利用するには、ドメインのメンバサーバとなるWindows 2000 ServerやWindows Server 2003上に、「インターネット認証サービス(以下IAS:Internet Authentication Service)」を導入する。ドメインのメンバサーバでなくても構わないのだが、その場合は、そのサーバのローカルアカウントでしか認証できなくなるので、例えば「domain\user」といったドメインを指定したユーザーアカウントでRADIUS認証を行いたければ、ドメインのメンバサーバ上にIASサービスをインストールする。なお「RADIUSプロキシ」と呼ばれる機能を利用すると、他のドメインのアカウントで認証するように委譲することができるが、この方法については今後別TIPSで取り上げる。
手順1―IASサービスの導入
IASサービスはServer OSでのみ利用可能なネットワークのオプションコンポーネントであるが、デフォルトではインストールされていない。そのためIASサービスを導入するには、まず[コントロール パネル]の[プログラムの追加と削除]で[Windowsコンポーネントの追加と削除]を実行し、起動された[Windowsコンポーネント ウィザード]で[ネットワーク サービス]を選んで[詳細]ボタンをクリックする。そして[ネットワーク サービス]のコンポーネント一覧の中から[インターネット認証サービス]のチェックボックスをオンにして[OK]をクリックする。そしてウィザード画面で[次へ]をクリックすると、IASサービスがインストールされる。
インターネット認証サービスの導入
RADIUSサービスは、Windows Server OSの「インターネット認証サービス」で実装されている。
(1)これを選ぶ。
(2)これをクリックすると、コンポーネントがインストールされる。
手順2―IASログの設定
基本的には、以上の手順1だけでIASサービスの導入は完了しており、何もしなくてもRADIUSサービスは利用できるようになっている。ただしRADIUSクライアントからの接続要求を受け付けるためには、クライアントの情報を登録する必要があるが、それについては別TIPSの「RADIUSサーバを利用する」で解説する。
RADIUSサービスの導入が完了したら、まずはIASのログ(RADIUSプロトコルによるアクセスのログ)を残すように設定しておこう。IASサービス導入直後では何もログに残らないようになっているので、このままでは、認証エラーが起こった場合の状態確認が困難になるし、誰が(どのようなアカウントを使って)RADIUSで認証されたかなどが分からない。
IASサービスを管理するには、[スタート]メニューの[管理ツール]−[インターネット認証サービス]を起動する。そして、ログファイルのプロパティメニューを表示させる。
IASログの設定
このツールでIASサービスを管理する。ログを残すようにするには、ログファイルの設定を変更する。
(1)これを選択する。
(2)ログファイルの出力先を選択して右クリックする。
(3)これを選択する。
ログファイルのプロパティを選択すると、次のような画面が表示されるので、必要な項目のチェックボックスをオンにする。すると次回から、指定されたログファイル(デフォルトではC:\Windows\system32\Logfilesというフォルダ内のiaslog.log)に、RADIUSプロトコルでのアクセス記録が残されるようになる。
ログ項目の選択
ここではログファイルの記録する項目や、ログファイルの場所などの設定を行う。デフォルトではいずれもオフになっている。
(1)IASサーバに対する接続/切断の要求。
(2)ユーザーアカウントの認証の要求と結果。
(3)より詳細な内部情報のロギング指定。これをオンにすると大量のログが記録されるので、デバッグ時以外はオフにしておくのがよい。
(4)ログファイルの場所や記録形式、記録期間などを設定する。デフォルトでは1月ごとに1ファイルとなっている。
以上でRADIUSサーバの設定は完了である。あとはRADIUSクライアントを登録するだけで、RADIUSによるリモート認証が利用できる。なおServer OSのエディションによって、いくらか機能の制限がある。例えばWindows Server 2003, Standard Editionでは最大50のRADIUSクライアントまで、サーバグループは2つまでとなっているが、Enterprise Editionではその制限はない。またWindows Server 2003のIASサービスはWindows 2000 Serverのそれよりも機能強化されており、例えばRADIUSプロキシのサポート、IEEE 802.1Xワイヤレスおよび認証スイッチのサポート、リモートアクセスポリシーや検疫制御の強化、SQL Serverへのログ出力ほか、さまざまな機能を持つ。詳細についてはIASサービスのヘルプを参照していただきたい。
■この記事と関連性の高い別の記事
Copyright© Digital Advantage Corp. All Rights Reserved.