Windows TIPS

［System Environment］

→ Windows TIPS TOPへ → Windows TIPS全リストへ → 内容別分類一覧へ RADIUSサーバを利用する → 解説をスキップして操作方法を読む デジタルアドバンテージ　打越 浩幸 2007/01/13 　 対象OS Windows 2000 Windows Server 2003

■ RADIUSサーバを利用すれば、リモート・アクセスなどの認証をRADIUSサーバで集中的に管理できる。 ■ RADIUSサービスを利用するには、まずRADIUSサーバに、クライアントのアドレスとシークレット文字列を設定する。登録されていないクライアントからのアクセスは拒否される。 ■ RADIUSのクライアント側では、RADIUSサーバのアドレスとともに、シークレット文字列も登録する。

　

解説

　TIPS「RADIUSサーバをセットアップする」では、Server OSにインターネット認証サービス（以下IASサービス）を導入し、RADIUSプロトコルによるリモート認証サービスをセットアップする方法について解説した。本TIPSでは、このRADIUSサービスを利用するための、RADIUSクライアントの設定方法について解説する。

操作方法

手順1―RADIUSクライアントの登録

　RADIUSサーバを利用するためには、まず接続したいRADIUSクライアントの情報をRADIUSサーバに登録しておかなければならない。制限なくRADIUSサーバに接続できるとセキュリティ的に問題があるため、あらかじめ登録されたクライアントからの要求しか受け付けないようになっているのである。

　接続を許可するには、まずRADIUSのサーバ画面において［管理ツール］−［インターネット認証サービス］を開き、［RADIUSクライアント］という項目を右クリックして、ポップアップ・メニューから［新しいRADIUSクライアント］を選択する。

RADIUSクライアントの登録（1）

RADIUSサービスを利用するには、まずクライアントを登録しなければならない。

IASサービスの管理ツールでこの［RADIUSクライアント］を選択する。 　 新しいRADIUSクライアントを登録する。

　次の画面では、登録したいRADIUSクライアントの名前（任意の分かりやすい名前を付けておけばよい）とIPアドレスもしくはFQDN名を登録する。

RADIUSクライアントの登録（2）

適当な名前と、アクセスを許可するRADIUSクライアントのアドレス（名前もしくはIPアドレス）を入力する。

分かりやすい名前を付けておく。 　 クライアントのアドレスを指定する。IPアドレスでもFQDNでもどちらでもよいが、名前の場合は正しく名前解決できるようにしておくこと。

　次にクライアントのベンダ・クラス（クライアントの種別を表すもの。デフォルトのままでよい）と、「共有シークレット」という、いわば合言葉を入力しておく。この文字列が一致しないと、たとえクライアントが登録されていても、RADIUSのサービスを受けることはできない。これは不正なRADIUSサーバへのアクセスを防ぐための機能である。

RADIUSクライアントの登録（3）

RADIUSサーバと通信するには、ここで指定するシークレット文字列が一致していなければならない。これは不正なRADIUSクライアントからのアクセスを防ぐためである。

クライアントの種別。デフォルトのままでよい。 　 共有シークレット文字列。 　 共有シークレット文字列の確認入力。

手順2―クライアント側でのRADIUSサーバの指定

　以上でRADIUSのサーバ側の処理は完了である。次は、RADIUSのクライアント側から、先ほど登録した情報に基づいて、RADIUSサーバへの接続設定を行う。

　RADIUSクライアントの例として、ここではWindows Server 2003の「ルーティングとリモート アクセス」サービス（VPN／ダイヤルアップ・サーバ）において、ユーザー認証をRADIUSサーバで行わせる場合の例を取り上げる。これは一般的なリモート・アクセス・サーバやVPNサーバ、ファイアウォール／ネットワーク機器などの設定の場合でも変わることはない。RADIUSサーバのアドレスと秘密の「共有シークレット」文字列を設定すればよい。

　まずクライアント側のWindows Server画面で［管理ツール］−［ルーティングとリモート アクセス］ツールを起動する。RADIUS認証を利用するには、サーバ名を右クリックしてポップアップ・メニューから［プロパティ］を選択する。

RADIUS認証を利用する（1）

RADIUS認証を利用するには、認証方法を変更する。

サーバ名を右クリックする。 　 これを選択する。

　次に、サーバの［プロパティ］画面で［セキュリティ］タブを選択し、認証方法を［RADIUS 認証］にする・

RADIUS認証の指定

［認証プロパイダ］をデフォルトの［Windows認証］から［RADIUS認証］に切り替える。

このタブを選択する。 　 RADIUS認証にする。 　 これをクリックする。

　次の画面では、利用するRADIUSサーバの情報を登録するために［追加］ボタンをクリックする。

RADIUSサーバの追加（1）

認証に利用するRADIUSサーバの情報を追加登録する。複数登録しておくと、順に試行される。

これをクリックする。

　次の画面では、RADIUSサーバの名前もしくはIPアドレスと、共有シークレットの情報を指定する。

RADIUSサーバの追加（2）

RADIUSサーバの名前もしくはIPアドレス。名前が引けなくて（名前解決ができなくて）余計なトラブルにならないように、IPアドレスで指定するのがよいだろう。 　 サーバ側に登録した共有シークレットの文字列を指定する。 　 これをクリックして、シークレット文字列を入力する。

　以上で設定は完了である。認証方法の変更後、［ルーティングとリモート アクセス］サービスを再起動すると、以後はRADIUSサーバを使って認証が行われるようになっているはずである。RADIUSサーバにアクセスしているかどうかは、RADIUSサーバのイベント・ビューアで［システム］のカテゴリを確認するか、RADIUSサーバのログ・ファイルを確認すればよい。

「Windows TIPS」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）