PANEL_radiusProps
SonicOS での RADIUS 認証の概要は、RADIUS を使った認証を参照してください。「ユーザ > 設定」ページの「ログインの認証方法」ドロップダウン リストから「RADIUS」または「RADIUS + ローカル ユーザ」を選択した場合、「RADIUS の設定」ボタンが選択可能な状態になります。
「シングルサインオン方法」ドロップダウン リストで「ブラウザ NTLM 認証のみ」を選択した場合、RADIUS のための独立した「設定」ボタンが現れます。設定手順は同じです。
1. SonicOS で RADIUS サーバ設定を行うために、「RADIUS の設定」を選択します。「RADIUS の設定」ウィンドウが表示されます。
「グローバル RADIUS 設定」で、「RADIUS サーバ タイムアウト (秒)」の値を入力します。許容範囲は 1~60 秒で、既定値は 5 です。
3. SonicOS が RADIUS サーバに接続を試行する回数を「再試行」フィールドに入力します。RADIUS サーバが指定された試行回数内に応答しない場合、接続が破棄されます。このフィールドの範囲は 0~10 ですが、3 回の RADIUS サーバ試行をお勧めします。
4. 「RADIUS サーバ」セクションでは、プライマリ RADIUS サーバのほか、必要に応じてセカンダリRADIUS サーバを指定することもできます。バックアップ RADIUS サーバがネットワーク上に存在する場合は、オプションのセカンダリ RADIUS サーバを定義できます。「プライマリ サーバ」セクションの「名前または IP アドレス」フィールドに、RADIUS サーバのホスト名または IP アドレスを入力します。
5. 「事前共有鍵」フィールドに、RADIUS サーバの管理者パスワードまたは "共有鍵" を入力します。英数字の共有鍵の長さは、1 ~ 31 文字の範囲です。共有鍵では大文字と小文字が区別されます。
6. RADIUS サーバが SonicOS との通信に使用するポート番号を「ポート番号」に入力します。既定値は 1812 です。
7. 必要に応じて、「セカンダリ サーバ」セクションの「名前または IP アドレス」フィールドに、セカンダリ RADIUS サーバのホスト名または IP アドレスを入力します。
8. 「事前共有鍵」フィールドに、RADIUS サーバの管理者パスワードまたは "共有鍵" を入力します。英数字の共有鍵の長さは、1 ~ 31 文字の範囲です。共有鍵では大文字と小文字が区別されます。
9. セカンダリ RADIUS サーバが SonicOS との通信に使用するポート番号を「ポート番号」に入力します。既定値は 1812 です。
RADIUS ユーザ
「RADIUS ユーザ」タブでは、RADIUS 認証と組み合わせて使用するローカルまたは LDAP 情報の種類を指定できます。RADIUS ユーザの既定のユーザ グループを定義することもできます。
RADIUS ユーザの設定を行うには、次の手順に従います。
1. SonicOS データベースに登録されているユーザのみを RADIUS で認証できるようにするには、「RADIUS ユーザ」タブの「ローカルに登録されたユーザのみ許可する」を選択します。
2. RADIUS ユーザのユーザ グループ メンバーシップの設定方式を以下から選択します。
– RADIUS サーバから設定済みのベンダー固有の属性を適用する場合は、「SonicWALL ベンダー固有の属性を RADIUS サーバで使用する」を選択します。この属性には、ユーザが所属するユーザ グループが指定されている必要があります。
– RADIUS サーバから設定済みの Filter-ID 属性を適用する場合は、「Filter-Id 属性を RADIUS サーバで使用する」を選択します。この属性には、ユーザが所属するユーザ グループが指定されている必要があります。
– LDAP サーバからユーザ グループを取得する場合は、「ユーザ グループ情報の検索に LDAP を使用する」を選択します。まだ LDAP を設定していない場合、または、変更を加える必要がある場合は、「設定」ボタンを選択すると、LDAP の設定を行うことができます。LDAP の設定については、LDAP を使用するための Dell SonicWALL ネットワーク セキュリティ装置の設定を参照してください。
– ユーザ グループ情報を RADIUS からも LDAP からも取得しない場合は、「ローカル設定のみ」を選択します。
– RADIUS ユーザ グループの管理を簡単にするには、「重複した RADIUS ユーザ名によるメンバーシップ設定可能です」を選択します。セキュリティ装置上に同じ名前のユーザをローカルに作成し、そのグループ メンバーシップを管理すると、その内容が RADIUS データベース内のメンバーシップの設定に自動的に反映されます。
3. 既に SonicOS 上でユーザ グループを設定している場合は、「すべての RADIUS ユーザが初期状態で所属するグループ」ドロップダウン リストからグループを選択します。
RADIUS ユーザ用の新しいユーザ グループの作成
新しいグループを作成するには、RADIUS ユーザ設定画面の「すべての RADIUS ユーザが初期状態で所属するグループ」ドロップダウン リストから「ユーザ グループの作成」を選択します。
1. 「ユーザ グループの作成...」を選択します。「グループの追加」ウィンドウが表示されます。
2. 「設定」タブで、グループの名前を入力します。グループの説明を入力することもできます。
「メンバー」タブで、グループのメンバーを選択します。追加するユーザまたはグループを左の列から選択し、「->」ボタンを選択します。すべてのユーザとグループを追加するには、「すべて追加」を選択します。
「Everyone」と「すべての RADIUS ユーザ」を除き、任意のグループを別のグループのメンバーとして追加できます。グループを他のグループに追加する場合は、メンバーシップに注意してください。
4. 「VPN アクセス」タブで、このグループに既定で VPN アクセスを許可するネットワーク リソースを選択します。
補足 GroupVPN アクセス設定は、リモート クライアントおよび SSL VPN 仮想オフィスブックマークに影響します。
セキュリティ装置でコンテンツ フィルタ サービス (CFS) が有効になっている場合には、「CFS ポリシー」タブで、このグループに適用するコンテンツ フィルタ ポリシーを設定することができます。SonicWALL コンテンツ フィルタ サービスの登録および管理については、Security Services > Content Filter を参照してください。
ユーザ グループに LDAP を使用する RADIUS
RADIUS をユーザ認証に使用している場合、RAIDUS ユーザのユーザ グループ メンバーシップを設定するためのメカニズムとして LDAP を選択できるようにするオプションが、RADIUS 設定内の「RADIUS ユーザ」ページにあります。
「ユーザ グループ情報の検索に LDAP を使用する」が選択されている場合、RADIUS を介してユーザ認証が行われた後、ユーザ グループ メンバーシップ情報が、LDAP を介して LDAP/AD サーバ上のディレクトリ内で参照されます。
補足 この機能が選択されないで、ワンタイム パスワードが有効の場合、RADIUS ユーザは SSL VPN を通してログインを試行した際に、ワンタイム パスワードの失敗メッセージを受け取ります。
「設定」ボタンを選択すると、「LDAP 設定」ウィンドウが表示されます。
この場合、LDAP はユーザ パスワードを扱わず、ディレクトリから読み込まれる情報も通常は制限されるので、TLS を使用しない操作を選択することもできます。 TLS が利用できない場合 (証明書サービスがアクティブ ディレクトリにインストールされていない場合など) は警告を無視してください。その際、SonicOS は平文テキストを使用して LDAP サーバにログインするので、セキュリティが侵されないように注意してください。例えば、SonicOS で使用するディレクトリに対して読み取りアクセスしかないユーザ アカウントを作成します。この場合は管理者アカウントを使用しないでください。
LDAP設定の方法については、SonicOS での LDAP 統合の設定を参照してください。
RADIUS クライアントのテスト
「RADIUS の設定」ダイアログ ボックスでは、有効なユーザ名とパスワードを入力し、「テスト」でいずれかの認証方式を選択することによって、RADIUS クライアントのユーザ名やパスワードなどの設定をテストできます。テストを実行すると、それまでに行ったすべての変更が適用されます。
RADIUS の設定をテストするには、次の手順に従います。
1. 「ユーザ名」フィールドに、有効な RADIUS ログイン名を入力します。
2. 「パスワード」フィールドにパスワードを入力します。
3. 「テスト」で、次のいずれかを選択します。
– パスワード認証:認証にパスワードを使用する場合に選択します。
– CHAP:チャレンジ ハンドシェーク認証プロトコルを使用する場合に選択します。CHAP では、初回検証後、3 ウェイ ハンドシェークを使ってクライアントの ID が定期的に検証されます。
– MSCHAP:Microsoft の実装による CHAP を使用する場合に選択します。MSCHAP は、Windows Vista より前のすべてのバージョンの Windows に対応しています。
– MSCHAPv2:Microsoft による実装の CHAP バージョン 2 を使用する場合に選択します。MSCHAPv2 は、Windows 2000 以降のバージョンの Windows に対応しています。
4. 「テスト」ボタンを選択します。検証に成功した場合は、「状況」メッセージが「成功」に変わります。検証に失敗した場合は、「状況」メッセージが「失敗」に変わります。
RADIUS の設定を完了するには、「OK」を選択します。
SonicOS が設定されると、RADIUS 認証を必要とする VPN Security Association から、着信VPN クライアントがユーザ名とパスワードをダイアログ ボックスに入力するよう求められます。