Windows TIPS
[System Environment]
  Windows TIPS TOPへ
Windows TIPS全リストへ
内容別分類一覧へ

RADIUSサーバをセットアップする

解説をスキップして操作方法を読む

デジタルアドバンテージ 打越 浩幸
2007/01/13
 
対象OS
Windows 2000
Windows Server 2003
RADIUSサービスを利用すると、リモート・アクセス時のユーザー認証を集中的に管理できる。
RADIUSサービスを利用するには、Windows Server OSでインターネット認証サービスを導入する。
 
解説

 RAS(リモート・アクセス・サービス)やVPN(仮想プライベート・ットワーク)サービスを利用してダイヤルアップやリモート接続する場合、通常はユーザー名とパスワードを使った認証を行う。Windows Server OSを使ってRASやVPNサービスを行うなら、認証はそのサーバ自身に登録されているユーザー・アカウントもしくは、そのサーバが属しているドメインのユーザー・アカウントを使って行うことが多い。

 だが場合によっては認証を別のサーバで行いたいことがある。RASやVPNの専用機器(専用リモート・アクセス・ルータや専用ファイアウォールなど)を利用している場合や、RAS/VPNサーバを別ドメインとして構築している場合(例:セキュリティのため、企業内向けActive Directoryとは独立して、ISA Server 2004などでファイアウォールを構築している場合)などだ。

連載 RADIUSを使おう(Master of IP Network)
連載 小規模オフィスのための無線LAN入門(Windows Server Insider)

 このようなケースでは、RADIUS(Remote Authentication Dial In User Service。ラディウス)プロトコルを使ったリモート認証サービスを利用するとよい。RADIUSは、RASやVPN接続時に必要となる認証を請け負うサービス(認証プロトコル)であり、VPNやダイヤルアップのサーバ機器(専用ネットワーク機器)、最近では無線LANのセキュリティなどでも広く利用されている。複数のネットアーク機器からRADIUSサーバに接続することにより、ユーザー認証を1カ所で集中的に管理することができる。Windows Serverでは「インターネット認証サービス」というネットワーク・サービスを導入することにより、RADIUSプロトコルによる認証が利用できる。

 本TIPSでは、Windows Server OS上にRADIUSサービス(インターネット認証サービス)を導入する方法(サーバ側の設定方法)について解説する。RADIUSサーバを利用する方法(RADIUSクライアントの使用例)については、別TIPSの「RADIUSサーバを利用する」を参照していただきたい。

操作方法

IASサービスの導入

 RADIUSサービスを利用するには、ドメインのメンバ・サーバとなるWindows 2000 ServerやWindows Server 2003上に、「インターネット認証サービス(以下IAS:Internet Authentication Service)」を導入する。ドメインのメンバ・サーバでなくても構わないのだが、その場合は、そのサーバのローカル・アカウントでしか認証できなくなるので、例えば「domain\user」といったドメインを指定したユーザー・アカウントでRADIUS認証を行いたければ、ドメインのメンバ・サーバ上にIASサービスをインストールする。なお「RADIUSプロキシ」と呼ばれる機能を利用すると、ほかのドメインのアカウントで認証するように委譲することができるが、この方法については今後別TIPSで取り上げる。

手順1―IASサービスの導入

 IASサービスはServer OSでのみ利用可能なネットワークのオプション・コンポーネントであるが、デフォルトではインストールされていない。そのためIASサービスを導入するには、まず[コントロール パネル]の[プログラムの追加と削除]で[Windowsコンポーネントの追加と削除]を実行し、起動された[Windowsコンポーネント ウィザード]で[ネットワーク サービス]を選んで[詳細]ボタンをクリックする。そして[ネットワーク サービス]のコンポーネント一覧の中から[インターネット認証サービス]のチェック・ボックスをオンにして[OK]をクリックする。そしてウィザード画面で[次へ]をクリックすると、IASサービスがインストールされる。

インターネット認証サービスの導入
RADIUSサービスは、Windows Server OSの「インターネット認証サービス」で実装されている。
  これを選ぶ。
  これをクリックすると、コンポーネントがインストールされる。

手順2―IASログの設定

 基本的には、以上の手順1だけでIASサービスの導入は完了しており、何もしなくてもRADIUSサービスは利用できるようになっている。ただしRADIUSクライアントからの接続要求を受け付けるためには、クライアントの情報を登録する必要があるが、それについては別TIPSの「RADIUSサーバを利用する」で解説する。、

 RADIUSサービスの導入が完了したら、まずはIASのログ(RADIUSプロトコルによるアクセスのログ)を残すように設定しておこう。IASサービス導入直後では何もログに残らないようになっているので、このままでは、認証エラーが起こった場合の状態確認が困難になるし、誰が(どのようなアカウントを使って)RADIUSで認証されたかなどが分からない。

 IASサービスを管理するには、[スタート]メニューの[管理ツール]−[インターネット認証サービス]を起動する。そして、ログ・ファイルのプロパティ・メニューを表示させる。

インターネット認証サービスの導入
このツールでIASサービスを管理する。ログを残すようにするには、ログ・ファイルの設定を変更する。
  これを選択する。
  ログ・ファイルの出力先を選択して右クリックする。
  これを選択する。

 ログ・ファイルのプロパティを選択すると、次のような画面が表示されるので、必要な項目のチェック・ボックスをオンにする。すると次回から、指定されたログ・ファイル(デフォルトではC:\Windows\system32\Logfilesというフォルダ内のiaslog.log)に、RADIUSプロトコルでのアクセス記録が残されるようになる。

ログ項目の選択
ここではログ・ファイルの記録する項目や、ログ・ファイルの場所などの設定を行う。デフォルトではいずれもオフになっている。
  IASサーバに対する接続/切断の要求。
  ユーザー・アカウントの認証の要求と結果。
  より詳細な内部情報のロギング指定。これをオンにすると大量のログが記録されるので、デバッグ時以外はオフにしておくのがよい。
  ログ・ファイルの場所や記録形式、記録期間などを設定する。デフォルトでは1月ごとに1ファイルとなっている。

 以上でRADIUSサーバの設定は完了である。あとはRADIUSクライアントを登録するだけで、RADIUSによるリモート認証が利用できる。なおServer OSのエディションによって、いくらか機能の制限がある。例えばWindows Server 2003, Standard Editionでは最大50のRADIUSクライアントまで、サーバ・グループは2つまでとなっているが、Enterprise Editionではその制限はない。またWindows Server 2003のIASサービスはWindows 2000 Serverのそれよりも機能強化されており、例えばRADIUSプロキシのサポート、IEEE 802.1xワイヤレスおよび認証スイッチのサポート、リモート・アクセス・ポリシーや検疫制御の強化、SQL Serverへのログ出力ほか、さまざまな機能を持つ。詳細についてはIASサービスのヘルプを参照していただきたい。End of Article

「Windows TIPS」

@IT Special

- PR -

TechTargetジャパン

Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
ソリューションFLASH