2 つのユーザ ディレクトリを持つ異機種 RADIUS 環境でのユーザ認証方法
目次
casso126jjp
目次
複数の NAS デバイスのユーザ情報が、それぞれ個別のユーザ ディレクトリに保存されている場合、複数の NAS デバイスのユーザを認証するようにポリシー サーバを設定することもできます。NAS デバイスは、ベンダータイプが異なっていてもかまいません。
この構成には、次のようないくつかの利点があります。
- 1 つのポリシー ドメインで 2 つのユーザディレクトリを使用することにより、各ディレクトリの管理を異なる担当者に委託できます。
- 複数の RADIUS クライアントのユーザを認証するようにポリシー サーバを設定することにより、作業時間を節約できます。各 RADIUS クライアント用に個別の認証サーバをインストールして設定する必要はありません。
- 既存のユーザディレクトリを使用するため、効率的です。ユーザ情報を単一のディレクトリに結合する必要はありません。
次の図では、2 つのユーザ ディレクトリを使用する異機種構成の例について説明します。

前のセクションで説明したトポロジとは異なり、このポリシー サーバは、
2 つの
ユーザ ディレクトリを使用してユーザを認証します。Cisco RAS ユーザのユーザ情報は、ユーザ ディレクトリ A に格納されます。チェックポイント ファイアウォールのユーザ情報は、ユーザ ディレクトリ B に格納されます。ポリシー サーバは、これらのディレクトリの両方を使用してユーザを認証できます。設定を 2 つのポリシー ドメインに分割することによって、レルム ヒントが必要なくなります。各 RADIUS エージェントはそれぞれ別々のポリシー ドメインに存在し、1 つのレルムにのみバインドされます。
使用されているユーザ ディレクトリが 2 つの場合の認証プロセスは、以下のとおりです。
- リモートユーザがモデムからダイヤルインすると、Cisco RAS は、ユーザを認証するために RADIUS ユーザプロファイルを使用する必要があるかどうかを判別します。
- RAS は、ポリシー サーバにユーザ接続リクエストを送信します。
- ポリシー サーバは、RAS 用に定義されたポリシーを有効化し、RADIUS エージェントは、そのエージェント用に設定された認証方式を使用して、ユーザの名前とパスワードを取得します。
- ポリシー サーバは、ユーザ情報を、ポリシーのドメインに関連付けられているユーザ ディレクトリとポリシー ストアに基づいて評価します。
- ポリシー サーバは、認証レスポンスを Cisco RAS に送信します。RAS は、次のいずれかの作業を実行します。
- 認証が失敗すると、RAS は接続を拒否します。
- 認証が成功すると、RAS は、RADIUS サーバのデータベースにあるユーザプロファイルから属性のリストを受け取り、ユーザのネットワークアクセスを確立します。RAS は、ポリシー サーバに、セッションが開始されたこと、およびいつセッションが終了するかを通知します。
インターネット ユーザが Checkpoint ファイアウォール経由でインターネット サービス プロバイダにダイヤルアップしようとする場合も、同様の認証プロセスが発生します。ただし、ポリシー サーバは、インターネット ユーザの認証情報を異なるユーザ ディレクトリに基づいて評価します。
システムとポリシー ドメインを設定する方法
前述の 2 つのユーザディレクトリを持つ異機種環境を設定するには、以下の手順を実行する必要があります。
- 次の手順で、システムを設定します。
- 「2 つのディレクトリを持つ異機種環境のエージェントの定義」の説明にあるように、2 つの RADIUS エージェントを定義します。
- 「ユーザ ディレクトリのセットアップ」の説明にあるように、ユーザ ディレクトリをセットアップします。
- 「2 つのポリシー ドメインの作成」の説明にあるように、2 つのポリシー ドメインを作成します。
- 次の手順で、ポリシードメインを設定します。
- 1 つのレルムを定義します。レルムは、RADIUS エージェントと RADIUS 認証方式をバインドします。
- 認証されたユーザがレルムにアクセスすることを許可するルールを定義します。各ルールは、レルムとアクセス許可/拒否イベントをバインドします。
- ユーザ プロファイルを NAS デバイスに提供したり、必要に応じて、レスポンス属性を使用してセッションの特徴を設定したりするレスポンスを定義します。
- ルールをレスポンスにバインドするポリシーを作成します。このポリシーはまた、ルールとレスポンスを RADIUS ユーザ ディレクトリにバインドします。
2 つのディレクトリを持つ異機種環境のエージェントの定義
この環境では、次のような 2 つの RADIUS エージェントを設定する必要があります。
- 1 つのエージェントは、Cisco RAS に関連付けられます。
- 1 つのエージェントは、Checkpoint ファイアウォールに関連付けられます。
- どちらの RADIUS エージェントにも、レルム ヒントは不要です。
ユーザ ディレクトリのセットアップ
RADIUS ユーザ情報を含む各ユーザディレクトリを、ポリシー サーバで設定する必要があります。各ディレクトリは別々のポリシー ドメインにバインドされるため、各ポリシー ドメインに異なる管理者を定義できます。
2 つのポリシー ドメインの作成
Cisco RAS 用に 1 つのポリシー ドメインを作成し、Checkpoint ファイアウォール用に 1 つのポリシー ドメインを作成する必要があります。ポリシー ドメインを定義する際に、各ドメインを適切なユーザ ディレクトリに関連付けます。