- PR -

Windows 2000 ServerでのRADIUS構築について

1
投稿者投稿内容
Blue
会議室デビュー日: 2004/05/14
投稿数: 3
投稿日時: 2004-05-14 18:29
無線LANの認証用にRADIUSサーバの構築をWindows2000Serverにて
行いたいのです。RADIUSサーバ自身は立ったようですが、認証する
ユーザ情報(ユーザ名とパスワード)はどこに入れれば良いのでしょうか?
RADIUSサーバ機自身のWindowsユーザとして入れるのでしょうか?
ActiveDirectory必修なのでしょうか?
(現状当たり前ですがパケット的にはRequestは来てますがRADIUSが
Rejectしてます)
小生情けないかなRADIUS自身もイマイチ判ってないところがあるので
よろしくお願いします。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2004-05-16 17:29
こんにちわ.
引用:

Blueさんの書き込み (2004-05-14 18:29) より:
無線LANの認証用にRADIUSサーバの構築をWindows2000Serverにて
行いたいのです。RADIUSサーバ自身は立ったようですが、認証する
ユーザ情報(ユーザ名とパスワード)はどこに入れれば良いのでしょうか?
RADIUSサーバ機自身のWindowsユーザとして入れるのでしょうか?
ActiveDirectory必修なのでしょうか?
(現状当たり前ですがパケット的にはRequestは来てますがRADIUSが
Rejectしてます)
小生情けないかなRADIUS自身もイマイチ判ってないところがあるので
よろしくお願いします。

自分も基本的なことしかわかりませんが...
RADIUS は Server が Client の代わりに「認証してあげる」仕組みだと思います.
※違っていたらご指摘を >> 皆様
ですから,RADIUS(Windows2K だと IAS Server かな?)が認証するための仕組みが別に必要じゃなかったかと.自前で user database 持っているモノもあるようですが,要するに RADIUS Client -- Server 間の通信から,RADIUS が認証 Client として認証 Server へ「認証要求を代行」するのだと思われます.それが ActiveDirectory のこともあれば,別の LDAP Server だったりもします.Windows Server の local account を利用できるかはわかりませんが,RADIUS Server が ActiveDirectory の member server だと,簡単に ActiveDirectory と連携できたと記憶しています.
結局採用は見送りましたが,自分も IAS Server を利用して wireless LAN の認証を検証したことがありますが,そのときは安直に ActiveDirectory を利用しました.

以上,ご参考までに.
Tatsuh
会議室デビュー日: 2001/12/30
投稿数: 1
投稿日時: 2004-05-17 16:38
Windows2003ServerのRadius機能をリモートVPN装置のPPTPユーザー認証に使用しています。

この経験では、下記のようでした。
-ユーザーID,パスワードはActiveDirectoryのドメインと同一
-ActiveDirectoryのユーザープロパティのダイアルインタブで「リモートアクセスを許可」をONにしないとそのユーザーは認証されない

2003と2000では、異なるとは思いますが、ご参考まで。
Blue
会議室デビュー日: 2004/05/14
投稿数: 3
投稿日時: 2004-05-17 17:13
kazさん
Tatsuhさん
お礼が遅れまして申し訳御座いません。ありがとう御座います。
ActiveDirectoryを使うのが良いようですね。
ActiveDirectoryも使ったことがなかったので躊躇していましたが、
一度試してみたいと思います。
本当にありがとう御座いました。
ぴんぴん
大ベテラン
会議室デビュー日: 2004/05/07
投稿数: 141
投稿日時: 2004-05-17 17:38
こんにちは

私も、最近WPA-TLSに挑戦しているのですが、まだ果たせていません。
2003の方でやっているのですが、2003のIASには、接続要求の処理という項目があり、
デフォルトが「windows認証を全てのユーザーに適用する」です。つまり、windowsの
ユーザー認証を使用する、ということです。理屈的には、スタンドアロンのシステムでは
ローカルユーザーを使って認証するのではないかと推測します。

あと、2003IASでは、ポリシーを無線LAN用に定義しないといけませんでした。ウィザード
があるのですが、2000だとまだ用意されていないのではないかと思います。ですから、
これらを適切に設定する必要があるかもしれません。

さらに、TLSを使うには、証明書の問題が出てきて、これがなかなか厄介です。CA使うなら
ADがあるにこしたことはないと思います。WPA-PEAP-MSChap2だかの認証が設定できれば、
一番簡単なような気がするのですが・・・

ちなみに、当方、無線LANのポリシーを定義するまでは、デフォルトポリシーでrejectされて
いたのですが、無線LANのポリシーを定義したら、IAS側はログもイベントログも出ない
状態で接続不能になってしまいました。これはやっぱり、証明書あたりに難があるのでは
ないかと思っています。
Blue
会議室デビュー日: 2004/05/14
投稿数: 3
投稿日時: 2004-05-17 19:18
ぴんぴんさん、書き込みありがとう御座います。

なにぶんWindowsサーバに不慣れなものですから、チンプンカンプンな
所も多いです。でも、皆さんのお話を聞きますと、私は序盤戦で足掻い
ているに過ぎないようですね。
これからさらに難しいところに突入すると思うと、泣けてきます。
今からすれば何でWindows2000Serverを選択したんだろ…。
などと自問自答しています。
Atwight
常連さん
会議室デビュー日: 2003/11/20
投稿数: 46
お住まい・勤務地: 神奈川県在住
投稿日時: 2004-06-07 22:11
Windows2000やWindows2003に搭載されているIASの認証ユーザーDBですが、これはそのコンピュータがスタンドアロン環境なのか、それともActiveDirectory環境なのかで変わってきます。

スタンドアロンの場合ローカルのユーザーデータベースで認証が行われます。対してActiveDirectory環境の場合はActiveDirectoryに登録されているユーザーに対して認証します。ActiveDirectory環境の場合ローカルのユーザーに対して認証できたかはテストしていませんのでなんとも。

IASを使用してRADIUSを構築する場合、スタンドアロン環境でもActiveDirectory環境でもどちらでも可能です。
ただTLSを使う場合は判りませんが・・・
1

スキルアップ/キャリアアップ(JOB@IT)