1 つのユーザ ディレクトリを持つ異機種 RADIUS 環境でのユーザの認証

目次
sm1252sp1jjp
目次
2
複数の NAS デバイスで管理される複数のレルムを含む RADIUS 環境では、ポリシー サーバの展開が強力、かつ複雑になります。この場合、ポリシー サーバを、同時に複数の RADIUS クライアントに対応する RADIUS 認証サーバとして使用できます。
異機種構成を使用する利点は、各 RADIUS クライアントに対して同じ RADIUS 認証サーバ(つまり、ポリシー サーバ)を使用することによって、作業時間を節約できることです。
1 つのディレクトリを持つ異機種環境でユーザが認証される仕組み
以下の図は、異機種構成の例です。
How users are authenticated in heterogeneous, single directory environments
この図のネットワーク トポロジでは、ポリシー サーバが、2 つの NAS デバイス(Cisco RAS と Checkpoint ファイアウォール)のユーザを認証します。ポリシー サーバは、1 つのユーザディレクトリを使用してユーザを認証します。
各 NAS デバイスは、独自の RADIUS エージェントを備えており、これらのエージェントはレルムヒントを使用して設定されています。ポリシー サーバは、ユーザ認証のリクエストを受信すると、RADIUS エージェントのレルム ヒントを使用して、認証されたユーザがアクセスできるリソース(ドメイン)を判断します。
使用されているユーザ ディレクトリが 1 つの場合の認証プロセスは、以下のとおりです。
  1. リモートユーザがモデムからダイヤルインすると、Cisco RAS は、ユーザを認証するために RADIUS ユーザプロファイルを使用する必要があるかどうかを判別します。
  2. RAS は、ポリシー サーバにユーザ接続リクエストを送信します。
  3. ポリシー サーバは、RAS 用に定義されたポリシーを有効化し、Cisco RAS に関連付けられた RADIUS エージェントは、次の作業を実行します。
    1. レルム ヒントによるユーザのドメインの判断
    2. エージェント用に設定された認証方式を使用して、ユーザの名前とパスワードを取得します。
  4. ポリシー サーバは、ユーザ情報を、ユーザディレクトリとポリシーストアに基づいて評価します。
  5. ポリシー サーバは、認証レスポンスを Cisco RAS に送信します。RAS は、次のいずれかの作業を実行します。
    • 認証が失敗すると、RAS は接続を拒否します。
    • 認証が成功すると、RAS は、RADIUS サーバのデータベースにあるユーザプロファイルから属性のリストを受け取り、ユーザのネットワークアクセスを確立します。
      RAS は、ポリシー サーバに、セッションが開始されたこと、およびいつセッションが終了するかを通知します。
インターネットユーザが Checkpoint ファイアウォール経由でインターネット サービス プロバイダにダイヤルアップしようとする場合も、同様の認証プロセスが発生します。Checkpoint ファイアウォール用に定義された RADIUS エージェントは、レルムヒントを使用して、インターネットユーザがアクセスしているドメインを判別します。ユーザが認証されると、ポリシー サーバは、ファイアウォールにセッションを確立するための適切な属性を渡します。
両方の NAS デバイス用のユーザ情報は、同じユーザディレクトリに保存されます。ポリシー サーバは、認証リクエストを受信するたびに、同じデータディレクトリを使用してユーザを認証します。
システムとポリシー ドメインの設定
このシステム設定は、同機種環境と異なり、2 つのエージェントを作成する必要があります。
ポリシードメイン内には、Cisco エージェントおよび Checkpoint エージェント用のルールとレスポンスを含む 1 つのポリシーがあります。
前述の 1 つのディレクトリを持つ異機種環境で をセットアップするには、以下を実行する必要があります。
  1. 次の手順で、システムを設定します。
    1. 「1 つのディレクトリを持つ異機種環境のエージェントの定義」の説明にあるように、2 つの RADIUS エージェントを定義します。
    2. 「ユーザ ディレクトリの設定」の説明にあるように、RADIUS ユーザの認証の対象となるユーザ ディレクトリをセットアップします。
    3. 「ポリシー ドメインの作成」の説明にあるように、1 つのポリシー ドメインを作成します。
    4. 「認証方式の作成」の説明にあるように、認証方式を作成します。
  2. 次の手順で、ポリシードメインを設定します。
    1. 2 つのレルム(Cisco RAS 用のレルムと Checkpoint ファイアウォール用のレルム)を定義します。各レルムは、RADIUS エージェントと RADIUS 認証方式をバインドします。
    2. 認証されたユーザが適切なレルムにアクセスすることを許可する 2 つのルールを定義します。各ルールは、レルムとアクセス許可/拒否イベントをバインドします。
    3. ユーザプロファイルを NAS デバイスに提供し、レスポンス属性を使用してセッションの特徴を設定する 2 つのレスポンスを定義します。各 NAS デバイスが異なる辞書ファイルを使用するため、各デバイス用に個別のレスポンスを定義する必要があります。
    4. Cisco ルールを Cisco レスポンスにバインドし、Checkpoint ルールを Checkpoint レスポンスにバインドする 1 つのポリシーを作成します。このポリシーはまた、ポリシー ドメインのコンポーネント(ルールとレスポンスのグループ)を RADIUS ユーザ ディレクトリにバインドします。
1 つのディレクトリを持つ異機種環境のエージェントの定義
この環境では、次のような 2 つの RADIUS エージェントを設定する必要があります。
  • 1 つのエージェントは、Cisco RAS に関連付けられます。
  • 1 つのエージェントは、Checkpoint ファイアウォールに関連付けられます。
  • どちらの RADIUS エージェントも、レルムヒントとして 1 を使用する必要があります。これにより、各エージェントが、保護するドメインを正しく識別できます。
ユーザ ディレクトリの設定
ポリシー サーバは、同じユーザディレクトリを使用して両方の NAS デバイスのユーザを認証できます。
ポリシー ドメインの作成
ポリシー ドメインは、RADIUS ユーザの名前、ドメインを変更できる管理者の名前、および RADIUS エージェントが保護しているレルムを含むユーザディレクトリを識別する必要があります。RADIUS 環境が使用するユーザ ディレクトリが 1 つのみの場合、必要なポリシー ドメインは 1 つのみです。