| [System Environment] | |||||||||||
RADIUSサーバをセットアップする
|
|||||||||||
|
|||||||||||
| 解説 |
RAS(リモート・アクセス・サービス)やVPN(仮想プライベート・ットワーク)サービスを利用してダイヤルアップやリモート接続する場合、通常はユーザー名とパスワードを使った認証を行う。Windows Server OSを使ってRASやVPNサービスを行うなら、認証はそのサーバ自身に登録されているユーザー・アカウントもしくは、そのサーバが属しているドメインのユーザー・アカウントを使って行うことが多い。
だが場合によっては認証を別のサーバで行いたいことがある。RASやVPNの専用機器(専用リモート・アクセス・ルータや専用ファイアウォールなど)を利用している場合や、RAS/VPNサーバを別ドメインとして構築している場合(例:セキュリティのため、企業内向けActive Directoryとは独立して、ISA Server 2004などでファイアウォールを構築している場合)などだ。
|
このようなケースでは、RADIUS(Remote Authentication Dial In User Service。ラディウス)プロトコルを使ったリモート認証サービスを利用するとよい。RADIUSは、RASやVPN接続時に必要となる認証を請け負うサービス(認証プロトコル)であり、VPNやダイヤルアップのサーバ機器(専用ネットワーク機器)、最近では無線LANのセキュリティなどでも広く利用されている。複数のネットアーク機器からRADIUSサーバに接続することにより、ユーザー認証を1カ所で集中的に管理することができる。Windows Serverでは「インターネット認証サービス」というネットワーク・サービスを導入することにより、RADIUSプロトコルによる認証が利用できる。
本TIPSでは、Windows Server OS上にRADIUSサービス(インターネット認証サービス)を導入する方法(サーバ側の設定方法)について解説する。RADIUSサーバを利用する方法(RADIUSクライアントの使用例)については、別TIPSの「RADIUSサーバを利用する」を参照していただきたい。
| 操作方法 |
IASサービスの導入
RADIUSサービスを利用するには、ドメインのメンバ・サーバとなるWindows 2000 ServerやWindows Server 2003上に、「インターネット認証サービス(以下IAS:Internet Authentication Service)」を導入する。ドメインのメンバ・サーバでなくても構わないのだが、その場合は、そのサーバのローカル・アカウントでしか認証できなくなるので、例えば「domain\user」といったドメインを指定したユーザー・アカウントでRADIUS認証を行いたければ、ドメインのメンバ・サーバ上にIASサービスをインストールする。なお「RADIUSプロキシ」と呼ばれる機能を利用すると、ほかのドメインのアカウントで認証するように委譲することができるが、この方法については今後別TIPSで取り上げる。
手順1―IASサービスの導入
IASサービスはServer OSでのみ利用可能なネットワークのオプション・コンポーネントであるが、デフォルトではインストールされていない。そのためIASサービスを導入するには、まず[コントロール パネル]の[プログラムの追加と削除]で[Windowsコンポーネントの追加と削除]を実行し、起動された[Windowsコンポーネント ウィザード]で[ネットワーク サービス]を選んで[詳細]ボタンをクリックする。そして[ネットワーク サービス]のコンポーネント一覧の中から[インターネット認証サービス]のチェック・ボックスをオンにして[OK]をクリックする。そしてウィザード画面で[次へ]をクリックすると、IASサービスがインストールされる。
 |
||||||
| インターネット認証サービスの導入 | ||||||
| RADIUSサービスは、Windows Server OSの「インターネット認証サービス」で実装されている。 | ||||||
|
手順2―IASログの設定
基本的には、以上の手順1だけでIASサービスの導入は完了しており、何もしなくてもRADIUSサービスは利用できるようになっている。ただしRADIUSクライアントからの接続要求を受け付けるためには、クライアントの情報を登録する必要があるが、それについては別TIPSの「RADIUSサーバを利用する」で解説する。、
RADIUSサービスの導入が完了したら、まずはIASのログ(RADIUSプロトコルによるアクセスのログ)を残すように設定しておこう。IASサービス導入直後では何もログに残らないようになっているので、このままでは、認証エラーが起こった場合の状態確認が困難になるし、誰が(どのようなアカウントを使って)RADIUSで認証されたかなどが分からない。
IASサービスを管理するには、[スタート]メニューの[管理ツール]−[インターネット認証サービス]を起動する。そして、ログ・ファイルのプロパティ・メニューを表示させる。
 |
|||||||||
| インターネット認証サービスの導入 | |||||||||
| このツールでIASサービスを管理する。ログを残すようにするには、ログ・ファイルの設定を変更する。 | |||||||||
|
ログ・ファイルのプロパティを選択すると、次のような画面が表示されるので、必要な項目のチェック・ボックスをオンにする。すると次回から、指定されたログ・ファイル(デフォルトではC:\Windows\system32\Logfilesというフォルダ内のiaslog.log)に、RADIUSプロトコルでのアクセス記録が残されるようになる。
 |
||||||||||||
| ログ項目の選択 | ||||||||||||
| ここではログ・ファイルの記録する項目や、ログ・ファイルの場所などの設定を行う。デフォルトではいずれもオフになっている。 | ||||||||||||
|
■
以上でRADIUSサーバの設定は完了である。あとはRADIUSクライアントを登録するだけで、RADIUSによるリモート認証が利用できる。なおServer OSのエディションによって、いくらか機能の制限がある。例えばWindows Server 2003, Standard Editionでは最大50のRADIUSクライアントまで、サーバ・グループは2つまでとなっているが、Enterprise Editionではその制限はない。またWindows Server 2003のIASサービスはWindows 2000 Serverのそれよりも機能強化されており、例えばRADIUSプロキシのサポート、IEEE 802.1xワイヤレスおよび認証スイッチのサポート、リモート・アクセス・ポリシーや検疫制御の強化、SQL Serverへのログ出力ほか、さまざまな機能を持つ。詳細についてはIASサービスのヘルプを参照していただきたい。
この記事と関連性の高い別の記事
- RADIUSサーバを利用する(TIPS)
- 「Google認証システム」アプリとAndroid端末で2段階認証を実現する(TIPS)
- 「Google Authenticator」アプリとiPhone/iPadで2段階認証を実現する(TIPS)
- iPhone/Androidで使っているGoogle Authenticator(認証システム)を別の端末に移行させる(TIPS)
- Windowsでメールサーバ用にSMTP/POP3サービスをインストールする(TIPS)
このリストは、デジタルアドバンテージが開発した自動関連記事探索システム Jigsaw(ジグソー) により自動抽出したものです。
 |
「Windows TIPS」 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
 |
|
|
|
|
- - PR -
イベントカレンダー
注目のテーマ
Windows Server Insider 記事ランキング
