RADIUS 環境のポリシー

RADIUS ポリシーは、RADIUS エージェントによって実行され、次の要素をまとめてバインドして作成されます。
casso11jp
RADIUS ポリシーは、RADIUS エージェントによって実行され、次の要素をまとめてバインドして作成されます。
  • 認証ルール
  • レスポンス
  • ユーザまたはユーザグループ
  • 必要に応じて、IP アドレス、時刻、およびアクティブなポリシー
RADIUS ポリシーは、
Single Sign-On
エージェントが使用するポリシーに含まれる要素と同じ要素で構成されていますが、RADIUS エージェントは、これらのコンポーネントを異なる方法で解釈します。ルール、レルム、およびレスポンスは、次の表に示すように、異なる機能を実行します。
ポリシーのコンポーネント
RADIUS ポリシーでの機能
エージェント ポリシーでの機能
Realm
エージェントの識別
認証方式の識別
セッションタイムアウトの定義
リソース フィルタ( エージェントが管理するドメイン内のディレクトリ)を定義します。
エージェントの識別
認証方式の識別
リソースのステータス (保護されているかいないか) の定義
処理するイベント (認証または許可) の識別
セッションタイムアウトの定義
ルール
認証のみ
アクセスの許可または拒否
時間制限またはアクティブルール制限の定義
リソース フィルタの定義
アクション(Web エージェントアクション、許可イベント、または認証イベント)の定義
アクセスの許可または拒否
許可および認証
時間制限またはアクティブルール制限の定義
レスポンス
認証イベントに対して返す値の定義
許可イベントに対して返す値の定義
認証イベントに対して返す値の定義
許可拒否イベントに対して返す値の定義
認証拒否イベントに対して返す値の定義
RADIUS リソースと 非 RADIUS リソース
RADIUS ポリシーの要素は、RADIUS 環境でのリソースの識別方法に基づいて、部分的に異なる方法で扱われます。
Web エージェント環境では、特定のリソースは、レルムの定義に含まれるリソース フィルタを使用して識別されます。リソース フィルタは、リソースのディレクトリ位置を識別します。次の図に示すように、レルムの定義も、Web エージェントと認証方式を識別します。
Non-RADIUS resources
保護されたリソースは、RADIUS 環境で別々の場所にあります。フィルタを使用してリソースを識別するレルムの代わりに、以下の図に示すように、RADIUS エージェントは
レルム ヒント
を使用してリソースを識別します。レルムヒントは、ユーザを認証するドメインをポリシー サーバが確立することを可能にする属性です。レルムヒントは、エージェントが保護する特定のレルムを識別するか、エージェントが NAS デバイス全体を保護する必要があることを示します。
Radius Environment
レルム ヒントの使用
RADIUS エージェントは、domainA や domainB など、別のドメイン内のユーザを認証する必要がある NAS デバイスをどのように保護するのでしょうか。レルム ヒントは、ユーザを認証する適切なドメインを
Single Sign-On
が判断できるようにする RADIUS 属性です。RADIUS エージェントに、次のいずれかのレルムヒント値を提供する必要があります。
  • 0 -- (デフォルト)ポリシー ドメインにレルムが 1 つしかなく、ヒントが不要であることを示します。レルムは、NAS デバイスに直接結び付けられます。
  • 1 -- (RADIUS ユーザ名属性)
    Single Sign-On
    は、この属性のユーザ名からレルム名を解析し、後で説明するように、関連付けられたドメインを見つけます。
  • ドメインの実際の名前を含む属性。この属性は、すべての NAS デバイスに使用できるわけではありません。詳細については、使用している NAS デバイス製品のマニュアルを参照してください。
レルム ヒントが 1 に設定されている場合、レルム名はユーザ名属性から解析されます。user_name-realm のセパレータは、「@」または「/」である必要があります。
  • セパレータが「@」の場合は、「@」の後の要素がレルム名です。たとえば、[email protected] の場合、レルムは realmA.com です
  • セパレータが「/」の場合は、「/」の前の要素がレルム名です。たとえば、x5/jack の場合、レルムは x5 です
次の図と説明は、プロキシ サーバがユーザを認証する適切な
Single Sign-On
ドメインを判断する方法を示しています。
Example showing the use of realm hints
  1. 1 つの RADIUS エージェントが、両方の
    Single Sign-On
    ドメインを保護します。RADIUS エージェントに設定されているレルムヒント値は、1 です。
  2. Jill が ISP のプロキシ サーバにアクセスしようとすると、RADIUS エージェントはそのリクエストをインターセプトし、Jill のユーザ名属性 [email protected] をポリシー サーバに転送します。
  3. ポリシー サーバが、ユーザ名属性から user_name と realm_name を解析します。
    例: [email protected]。ここで、jill は user_name、realmB.com は realm_name です。
    ポリシー サーバが、realm_name に関連付けられているドメインを識別します。realmB.com に関連付けられているドメインは、domainB です
  4. ポリシー サーバが、user_name を適切なディレクトリで認証します。user_name jill は、ポリシー B: realmB.com:domainB 用に定義された NT ユーザドメインで認証されます。