同機種 RADIUS 環境でユーザを認証する方法
目次
casso126jjp
目次
2
同機種 RADIUS 環境は、最も簡単に保護できる環境です。1 つのポリシーのみを使用して、RADIUS デバイスを保護できます。このタイプの環境には、1 つの RADIUS デバイス(Cisco RAS など)と 1 つのユーザ ディレクトリのみが含まれています。
以下の手順に従います。
- 次の手順で、システムを設定します。
- 「RADIUS エージェントの設定」にある説明に従って、RADIUS エージェントを定義します。
- 「ユーザ ディレクトリのセットアップ」の説明に従って、RADIUS ユーザの認証に使用するユーザ ディレクトリをセットアップします。
- 必要に応じて、管理者を定義し、認証方式を変更することもできます。
- 次の手順で、ポリシードメインを設定します。
- 「認証方式の作成」の説明に従って、RADIUS 認証方式(CHAP または PAP)を作成します。
- 「RADIUS エージェントで保護されたレルムの設定」にある説明に従って、RADIUS エージェントおよび RADIUS 認証方式を識別するレルムを定義します。
- 「認証イベント アクション用のルールの設定」の説明に従って、RADIUS エージェントによって保護されているレルムに認証されたユーザがアクセスできるようにするルールを定義します。
- ユーザ プロファイルを NAS デバイスに提供し、レスポンス属性を使用してセッションの特性を設定するレスポンスを定義します。
- 「ポリシーの設定」にある説明に従って、ルールとレスポンスにユーザ ディレクトリをバインドするポリシーを作成します。
ユーザ ディレクトリのセットアップ
使用している Windows NT または UNIX プラットフォームでサポートされている任意のユーザディレクトリを使用して RADIUS ユーザを認証できます。
ユーザディレクトリ情報にユーザの権限に関する情報が含まれている場合は、ユーザ属性を使用してレスポンスを作成できます。ユーザ属性が RADIUS デバイスに返されると、属性は、ユーザセッションを設定するために使用されます。
次のディレクトリを使用できます。
- ODBC 対応データベース
- NT ドメイン
- Netscape または NDS LDAP
ポリシー ドメインのセットアップ
ポリシー ドメインは、RADIUS ユーザの名前、ドメインを変更できる管理者の名前、および RADIUS エージェントが保護しているレルムを含む 1 つまたは複数のユーザディレクトリを識別する必要があります。
認証方式の作成
次の認証方式を使用できます。
- パスワード認証プロトコル(PAP)PAP は、ホストに、双方向ハンドシェイクでホストを識別する簡単な方法を提供する PPP 認証プロトコルです。認証は、リンクの初期確立時にのみ実行され、暗号化を使用しません。
- チャレンジハンドシェイク式認証プロトコル(CHAP)CHAP も、安全な PPP 認証プロトコルです。CHAP は、3 方向ハンドシェイクと暗号化を使用してホストの識別情報を定期的に確認する方法を提供します。認証は、リンクの初期確立時に実行されます。RAS は、接続が実行された後に、いつでも認証プロセスを繰り返すことができます。
- Security Dynamics ACE/Server または Secure Computing SafeWord サーバ