検索
連載

ネットワークデバイスの管理用パスワードを集中管理しよう(後編)Windows Server 2012 ×「ちょっとだけ連携」でネットワーク管理を便利に(4)(2/3 ページ)

今回はネットワークデバイス側の設定を行います。ネットワークデバイスでは、管理者がTelnetやSSHで管理接続をしたときの認証をRADIUSサーバで行うように構成する必要があります。

[山口希美(エディフィストラーニング株式会社),@IT] PC用表示 関連情報
Share
Tweet
LINE
Hatena
前のページへ | 次のページへ

ネットワークデバイスの設定(アライドテレシス)

 アライドテレシスのスイッチでは、デフォルトでTelnet接続が許可されているため、基本的にはIPアドレスの設定と、RADIUSクライアントの設定を行うだけで準備が完了します。

 このとき、以下の2点に注意する必要があります。

  1. RADIUSクライアントのIPアドレスを認証時のポリシー条件にしている場合
  2. ログインに使用するユーザーと権限レベル

アライドテレシスのスイッチでは、SSHサーバ機能の有効化にはフィーチャーライセンスが必要なため、ここでは標準で対応しているTelnetだけを対象にします。


(1)RADIUSクライアントのIPアドレスを認証時のポリシー条件にしている場合

 RADIUSサーバでnetadminsグループのメンバーという条件以外に、RADIUSクライアントであるネットワークデバイスのIPアドレス(NAS IPv4 アドレス)を条件に指定している場合は注意が必要です。

 次の図1は、アライドテレシスのレイヤ3スイッチ(RADIUSクライアント)からのRADIUS認証要求パケットを表示したものです。これを見ると、アライドテレシスのスイッチでは、RADIUSクライアントのIPアドレスを、10.1.2.254ではなく10.1.1.254としてRADIUSサーバに通知しています。このため、RADIUSサーバ側のポリシーで定義した条件のうち、「NAS IPv4 アドレス」の値をこのアドレス(10.1.1.254)に変更する必要があります。

アライドテレシスのスイッチに限らず、ベンダによってこのような細かい動作上の違いがあるので、認証に失敗する場合はパケットを確認してみると良いでしょう。



画面1

(2)ログインに使用するユーザーと権限レベル

 アライドテレシスの場合は、ユーザーに「User」「Manager」「Security Officer」の3つの権限レベルを割り当てており、ログイン後に実行できるコマンドに制限を設けています(アライドテレシスのスイッチにおけるユーザーと権限については、「アライドテレシスのスイッチの基本操作」で解説しています)。このため、認証後にどの権限レベルを割り当てるかを、RADIUSサーバのポリシーで指定する必要があります。

 上記の(1)と(2)をRADIUSサーバのポリシーに反映するために、前回作成したRADIUSサーバのポリシーを以下のように変更します。

1. RADIUSサーバであるserver001でAdministratorとしてサインインし、管理ツール[ネットワークポリシーサーバー]を起動します。

2. 管理ツール[ネットワークポリシーサーバー]が起動したら、[ポリシー]−[ネットワークポリシー]を選択します((1)(2))。その後、前回作成したポリシーのうち、アライドテレシスのレイヤ3スイッチ用に作成したものを右クリックし、[プロパティ]を選択します(3)。


画面2

3. [ネットワークデバイスの認証のプロパティ]が表示されたら、[条件]タブを表示し、[NAS IPv4アドレス」を選択後[編集]をクリックします。


画面3

4. IPアドレスを10.1.1.254に変更し、[OK]をクリックします。


画面4

5. アライドテレシスでは、認証に成功したユーザーに対して、RADIUSサーバが次のようなService-Type属性値をRADIUSクライアントに通知することで、ログオン後のユーザー権限のレベルを決めます。ここでは、管理者権限であるManagerレベルを割り当てるため、Service-Type属性に「NAS Prompt」を指定します。

Service-Type属性値 ユーザー権限レベル
Administrative(6) Security Officerレベル
NAS Prompt(7) Managerレベル
Login(1) Userレベル

 [ネットワークデバイスの認証のプロパティ]で[設定]タブを表示し(1)、[Service-Type]を選択後(2)、[編集]をクリックします(3)。


画面5

6. [その他]を選択し、ドロップダウンリストから[NAS Prompt]を選択します。その後、[OK]をクリックします。


画面6

7. [OK]をクリックします。

 以上の手順で、RADIUSサーバ側の設定は終了です。次にアライドテレシスのスイッチをRADIUSクライアントにするための設定を行います。

login: manager
Password:
  スイッチにデフォルトのユーザーアカウントを使ってログインします(パスワードは画面上には表示されません)。
Manager > add radius server=10.1.2.101 secret=password port=1812 accport=1813
  RADIUSサーバで認証を行うように、RADIUSサーバのIPアドレスと共有シークレット、RADIUS認証に使用するUDPのポート番号を指定します。指定を省略した場合UDPポート1645(認証)と1646(アカウンティング)が使用されます。
Info (1051003): Operation successful.
  コマンドが正しく実行されたことを表すメッセージが表示されます。

 アライドテレシスのスイッチの設定は以上です。次は、接続確認と接続確認時におけるポイントの解説、アカウンティングログの確認などを行います。

Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ | 次のページへ
ページトップに戻る