ビルトインRADIUSサーバの設定
概要
ここでは、USGモデルとUDMモデルに内蔵されるRADIUSサーバを構成する方法について説明します。
UniFiネットワークにおけるRADIUSサーバは、有線、無線、およびL2TPによるリモートアクセスのユーザー認証に利用できます。
RADIUSによるユーザー認証のプロセス
IEEE 802.1Xモデルには3つの構成要素があります。
- オーセンティケータ:ネットワークへの接続を認可する前に認証サーバにメッセージを送信するポートまたはデバイスを指します。
- サプリカント:接続を要求するポートに接続されたホストを指します。
- 認証サーバ:RADIUSサーバなどの認証サーバを指し、ユーザーがシステムやサービスへの接続を認可されているかどうかを示します。
| 無線LAN接続の場合 | 有線LAN接続の場合 |
|
|
- ユーザーは[Supplicant (サプリカント)]から資格情報の入力を求められます。
- ユーザーは資格情報を入力します。
- サプリカントは、データリンク層の要求を[Authenticatior (オーセンティケータ)]に送信して、ネットワークにアクセスします。
-
オーセンティケータとなるUniFi APは、[RADIUS Access Request]メッセージを構成済みのRADIUSサーバに送信します。
このメッセージには、ユーザー名、パスワード、またはユーザーが接続のために提供した証明書が含まれますが、これらに限定されません。 -
RADIUSサーバはオーセンティケータに次の3つの応答のいずれかを返します。
- [Access-Reject]:提出された資格情報に誤りが含まれるため、ネットワークへのアクセスは拒否されます。
- [Access-Challenge]:ユーザーは、認証するために、セカンダリパスワード、トークン、PIN、カードなどの追加の情報の提出を要求されます。
- [Access-Accept]:提出された資格情報がRADIUSサーバに登録された情報と正しく照合され、ユーザーはネットワークへの接続を認可されます。
RADIUSサーバの設定
-
[設定] > [プロファイル] > [RADIUS]でUSG/UDMに内蔵される[Default]のRADIUSプロファイルが定義されていることを確認できます。
-
[編集]から[プロファイル名]や[VLANサポート]等のオプションを設定し[保存]します。
-
なお、[設定] > [プロファイル] > [RADIUS]の[新しいRADIUSプロファイルを作成]では、USG/UDM内蔵のRADIUSサービスではなく、外部のRADIUSサーバと連携するためのプロファイルを設定できます。
-
[設定] > [サービス] > [RADIUS] > [サーバー]で、USG/UDMに内蔵される[RADIUSサーバーを有効化]します。
任意の[シークレット]文字列を決定し、[認証ポート]以下はデフォルトの設定値で問題ありませんが、必要に応じて変更してください。
- [シークレット (Shared secret)]:オーセンティケータとRADIUSサーバであらかじめ決めておき設定しておく事前共有鍵の文字列。
- [認証ポート (Authentication port)]:オーセンティケータとRADIUSサーバがRADIUS認証メッセージを送受信するポート。
- [アカウンティングポート (Accounting port)]:オーセンティケータとRADIUSサーバがRADIUSアカウンティングメッセージを送受信するポート。
- [アカウンティング一定間隔 (Accounting Interim Interval)]:サプリカントが接続中であるかを確認するために一定間隔で送信される応答確認用のパケット。
ユーザーの作成
-
[設定] > [サービス] > [RADIUS]で[新しいユーザーを作成]します。
- [ユーザー名]:ユーザーが入力する一意のユーザー名を入力します。
- [パスワード]:ユーザーが入力するパスワードを入力します。
-
[VLAN]:RADIUS認証済みクライアントを特定のVLANに割り当てるためのVLAN番号を入力します。
この設定を行わない場合、RADIUS認証済みクライアントはタグなしVLANにフォールバックされます。 - [トンネルタイプ (Tunnel Type)]:RFC2868 セクション3.1を参照し、適切なトンネルタイプを選択します。
- [トンネルミディアムタイプ (Tunnel Medium Type)]:RFC2868 セクション3.2を参照し、適切なトンネルメディアタイプを選択します。