RADIUS 環境のポリシー
RADIUS ポリシーは、RADIUS エージェントによって実行され、次の要素をまとめてバインドして作成されます。
casso11jp
RADIUS ポリシーは、RADIUS エージェントによって実行され、次の要素をまとめてバインドして作成されます。
- 認証ルール
- レスポンス
- ユーザまたはユーザグループ
- 必要に応じて、IP アドレス、時刻、およびアクティブなポリシー
RADIUS ポリシーは、
Single Sign-On
エージェントが使用するポリシーに含まれる要素と同じ要素で構成されていますが、RADIUS エージェントは、これらのコンポーネントを異なる方法で解釈します。ルール、レルム、およびレスポンスは、次の表に示すように、異なる機能を実行します。ポリシーのコンポーネント
| RADIUS ポリシーでの機能
| エージェント ポリシーでの機能
|
Realm | エージェントの識別 認証方式の識別 セッションタイムアウトの定義 | リソース フィルタ( エージェントが管理するドメイン内のディレクトリ)を定義します。 エージェントの識別 認証方式の識別 リソースのステータス (保護されているかいないか) の定義 処理するイベント (認証または許可) の識別 セッションタイムアウトの定義 |
ルール | 認証のみ アクセスの許可または拒否 時間制限またはアクティブルール制限の定義 | リソース フィルタの定義 アクション(Web エージェントアクション、許可イベント、または認証イベント)の定義 アクセスの許可または拒否 許可および認証 時間制限またはアクティブルール制限の定義 |
レスポンス | 認証イベントに対して返す値の定義 | 許可イベントに対して返す値の定義 認証イベントに対して返す値の定義 許可拒否イベントに対して返す値の定義 認証拒否イベントに対して返す値の定義 |
RADIUS リソースと 非 RADIUS リソース
RADIUS ポリシーの要素は、RADIUS 環境でのリソースの識別方法に基づいて、部分的に異なる方法で扱われます。
Web エージェント環境では、特定のリソースは、レルムの定義に含まれるリソース フィルタを使用して識別されます。リソース フィルタは、リソースのディレクトリ位置を識別します。次の図に示すように、レルムの定義も、Web エージェントと認証方式を識別します。

保護されたリソースは、RADIUS 環境で別々の場所にあります。フィルタを使用してリソースを識別するレルムの代わりに、以下の図に示すように、RADIUS エージェントは
レルム ヒント
を使用してリソースを識別します。レルムヒントは、ユーザを認証するドメインをポリシー サーバが確立することを可能にする属性です。レルムヒントは、エージェントが保護する特定のレルムを識別するか、エージェントが NAS デバイス全体を保護する必要があることを示します。
レルム ヒントの使用
RADIUS エージェントは、domainA や domainB など、別のドメイン内のユーザを認証する必要がある NAS デバイスをどのように保護するのでしょうか。レルム ヒントは、ユーザを認証する適切なドメインを
Single Sign-On
が判断できるようにする RADIUS 属性です。RADIUS エージェントに、次のいずれかのレルムヒント値を提供する必要があります。- 0 -- (デフォルト)ポリシー ドメインにレルムが 1 つしかなく、ヒントが不要であることを示します。レルムは、NAS デバイスに直接結び付けられます。
- 1 -- (RADIUS ユーザ名属性)Single Sign-Onは、この属性のユーザ名からレルム名を解析し、後で説明するように、関連付けられたドメインを見つけます。
- ドメインの実際の名前を含む属性。この属性は、すべての NAS デバイスに使用できるわけではありません。詳細については、使用している NAS デバイス製品のマニュアルを参照してください。
レルム ヒントが 1 に設定されている場合、レルム名はユーザ名属性から解析されます。user_name-realm のセパレータは、「@」または「/」である必要があります。
- セパレータが「@」の場合は、「@」の後の要素がレルム名です。たとえば、[email protected] の場合、レルムは realmA.com です
- セパレータが「/」の場合は、「/」の前の要素がレルム名です。たとえば、x5/jack の場合、レルムは x5 です
次の図と説明は、プロキシ サーバがユーザを認証する適切な
Single Sign-On
ドメインを判断する方法を示しています。
- 1 つの RADIUS エージェントが、両方のSingle Sign-Onドメインを保護します。RADIUS エージェントに設定されているレルムヒント値は、1 です。
- Jill が ISP のプロキシ サーバにアクセスしようとすると、RADIUS エージェントはそのリクエストをインターセプトし、Jill のユーザ名属性 [email protected] をポリシー サーバに転送します。
- ポリシー サーバが、ユーザ名属性から user_name と realm_name を解析します。例: [email protected]。ここで、jill は user_name、realmB.com は realm_name です。ポリシー サーバが、realm_name に関連付けられているドメインを識別します。realmB.com に関連付けられているドメインは、domainB です
- ポリシー サーバが、user_name を適切なディレクトリで認証します。user_name jill は、ポリシー B: realmB.com:domainB 用に定義された NT ユーザドメインで認証されます。