1 つのユーザ ディレクトリを持つ異機種 RADIUS 環境でのユーザの認証
目次
casso11jp
目次
2
複数の NAS デバイスで管理される複数のレルムを含む RADIUS 環境では、ポリシー サーバの展開が強力、かつ複雑になります。この場合、ポリシー サーバを、同時に複数の RADIUS クライアントに対応する RADIUS 認証サーバとして使用できます。
異機種構成を使用する利点は、各 RADIUS クライアントに対して同じ RADIUS 認証サーバ(つまり、ポリシー サーバ)を使用することによって、作業時間を節約できることです。
1 つのディレクトリを持つ異機種環境でユーザが認証される仕組み
以下の図は、異機種構成の例です。

この図のネットワーク トポロジでは、ポリシー サーバが、2 つの NAS デバイス(Cisco RAS と Checkpoint ファイアウォール)のユーザを認証します。ポリシー サーバは、1 つのユーザディレクトリを使用してユーザを認証します。
各 NAS デバイスは、独自の RADIUS エージェントを備えており、これらのエージェントはレルムヒントを使用して設定されています。ポリシー サーバは、ユーザ認証のリクエストを受信すると、RADIUS エージェントのレルム ヒントを使用して、認証されたユーザがアクセスできるリソース(ドメイン)を判断します。
使用されているユーザ ディレクトリが 1 つの場合の認証プロセスは、以下のとおりです。
- リモートユーザがモデムからダイヤルインすると、Cisco RAS は、ユーザを認証するために RADIUS ユーザプロファイルを使用する必要があるかどうかを判別します。
- RAS は、ポリシー サーバにユーザ接続リクエストを送信します。
- ポリシー サーバは、RAS 用に定義されたポリシーを有効化し、Cisco RAS に関連付けられた RADIUS エージェントは、次の作業を実行します。
- レルム ヒントによるユーザのドメインの判断
- エージェント用に設定された認証方式を使用して、ユーザの名前とパスワードを取得します。
- ポリシー サーバは、ユーザ情報を、ユーザディレクトリとポリシーストアに基づいて評価します。
- ポリシー サーバは、認証レスポンスを Cisco RAS に送信します。RAS は、次のいずれかの作業を実行します。
- 認証が失敗すると、RAS は接続を拒否します。
- 認証が成功すると、RAS は、RADIUS サーバのデータベースにあるユーザプロファイルから属性のリストを受け取り、ユーザのネットワークアクセスを確立します。RAS は、ポリシー サーバに、セッションが開始されたこと、およびいつセッションが終了するかを通知します。
インターネットユーザが Checkpoint ファイアウォール経由でインターネット サービス プロバイダにダイヤルアップしようとする場合も、同様の認証プロセスが発生します。Checkpoint ファイアウォール用に定義された RADIUS エージェントは、レルムヒントを使用して、インターネットユーザがアクセスしているドメインを判別します。ユーザが認証されると、ポリシー サーバは、ファイアウォールにセッションを確立するための適切な属性を渡します。
両方の NAS デバイス用のユーザ情報は、同じユーザディレクトリに保存されます。ポリシー サーバは、認証リクエストを受信するたびに、同じデータディレクトリを使用してユーザを認証します。
システムとポリシー ドメインの設定
このシステム設定は、同機種環境と異なり、2 つのエージェントを作成する必要があります。
ポリシードメイン内には、Cisco エージェントおよび Checkpoint エージェント用のルールとレスポンスを含む 1 つのポリシーがあります。
前述の 1 つのディレクトリを持つ異機種環境で
Single Sign-On
をセットアップするには、以下を実行する必要があります。- 次の手順で、システムを設定します。
- 「1 つのディレクトリを持つ異機種環境のエージェントの定義」の説明にあるように、2 つの RADIUS エージェントを定義します。
- 「ユーザ ディレクトリの設定」の説明にあるように、RADIUS ユーザの認証の対象となるユーザ ディレクトリをセットアップします。
- 「ポリシー ドメインの作成」の説明にあるように、1 つのポリシー ドメインを作成します。
- 「認証方式の作成」の説明にあるように、認証方式を作成します。
- 次の手順で、ポリシードメインを設定します。
- 2 つのレルム(Cisco RAS 用のレルムと Checkpoint ファイアウォール用のレルム)を定義します。各レルムは、RADIUS エージェントと RADIUS 認証方式をバインドします。
- 認証されたユーザが適切なレルムにアクセスすることを許可する 2 つのルールを定義します。各ルールは、レルムとアクセス許可/拒否イベントをバインドします。
- ユーザプロファイルを NAS デバイスに提供し、レスポンス属性を使用してセッションの特徴を設定する 2 つのレスポンスを定義します。各 NAS デバイスが異なる辞書ファイルを使用するため、各デバイス用に個別のレスポンスを定義する必要があります。
- Cisco ルールを Cisco レスポンスにバインドし、Checkpoint ルールを Checkpoint レスポンスにバインドする 1 つのポリシーを作成します。このポリシーはまた、ポリシー ドメインのコンポーネント(ルールとレスポンスのグループ)を RADIUS ユーザ ディレクトリにバインドします。
1 つのディレクトリを持つ異機種環境のエージェントの定義
この環境では、次のような 2 つの RADIUS エージェントを設定する必要があります。
- 1 つのエージェントは、Cisco RAS に関連付けられます。
- 1 つのエージェントは、Checkpoint ファイアウォールに関連付けられます。
- どちらの RADIUS エージェントも、レルムヒントとして 1 を使用する必要があります。これにより、各エージェントが、保護するドメインを正しく識別できます。
ユーザ ディレクトリの設定
ポリシー サーバは、同じユーザディレクトリを使用して両方の NAS デバイスのユーザを認証できます。
ポリシー ドメインの作成
ポリシー ドメインは、RADIUS ユーザの名前、ドメインを変更できる管理者の名前、および RADIUS エージェントが保護しているレルムを含むユーザディレクトリを識別する必要があります。RADIUS 環境が使用するユーザ ディレクトリが 1 つのみの場合、必要なポリシー ドメインは 1 つのみです。