RADIUS グループ抽出の設定
RADIUS 許可は、グループ抽出と呼ばれる方式を使用して設定できます。グループ抽出を構成すると、NetScaler Gateway にユーザーを追加するのではなく、RADIUSサーバー上のユーザーを管理できます。
RADIUS 許可を設定するには、認証ポリシーを使用し、グループベンダー ID(ID)、グループ属性タイプ、グループプレフィクス、およびグループセパレータを設定します。ポリシーを構成するときは、式を追加し、ポリシーをグローバルにバインドするか、仮想サーバにバインドします。
Windows Server 2003 での RADIUS の設定
Windows Server 2003でRADIUS認証にMicrosoftインターネット認証サービス(IAS)を使用している場合は、NetScaler Gateway の構成中に次の情報を提供する必要があります。
- ベンダー ID は、IAS で入力したベンダー固有のコードです。
- Type は、ベンダーによって割り当てられた属性番号です。
- 属性名は IAS で定義した属性名のタイプです。デフォルトの名前はctxUserGroups=
IAS が RADIUS サーバーにインストールされていない場合は、コントロールパネルの [プログラムの追加と削除] からインストールできます。詳細については、Windows オンラインヘルプを参照してください。
IAS を構成するには、Microsoft 管理コンソール (MMC) を使用して IAS のスナップインをインストールします。ウィザードの指示に従って、次の設定を選択してください。
- [ローカルコンピュータ] を選択します。
- [リモートアクセスポリシー] を選択し、カスタムポリシーを作成します。
- ポリシーの [Windows-グループ] を選択します。
- 次のいずれかのプロトコルを選択します。
- Microsoftチャレンジハンドシェイク認証プロトコルバージョン 2(MS-CHAP v2)
- Microsoftチャレンジハンドシェイク認証プロトコル(MS-CHAP)
- チャレンジハンドシェイク認証プロトコル (CHAP)
- 暗号化されていない認証 (PAP、SPAP)
-
[ベンダー固有属性] を選択します。
ベンダー固有属性は、サーバー上のグループで定義したユーザーとNetScaler Gateway のユーザーを一致させる必要があります。この要件を満たすには、ベンダー固有の属性をNetScaler Gateway に送信します。必ず [RADIUS = 標準] を選択してください。
-
RADIUS のデフォルトは 0 です。この番号をベンダーコードに使用します。
-
ベンダー割り当ての属性番号は 0 です。
これは、[User Group] 属性に割り当てられた番号です。属性は文字列形式です。
-
[属性形式] に [文字列] を選択します。
Attribute 値には、属性名とグループが必要です。
アクセスゲートウェイの場合、属性値は ctxUserGroups=GroupName です。売上と財務などの 2 つのグループが定義されている場合、属性値は ctxUserGroups=Sales; finance になります。各グループはセミコロンで区切ります。
- [ダイヤルインプロファイルの編集] ダイアログボックスの他のすべてのエントリを削除し、[ベンダー固有] と表示されているエントリを残します。
IASでリモートアクセスポリシーを構成したら、NetScaler Gateway でRADIUS認証と承認を構成します。
RADIUS 認証を構成するときは、IAS サーバーで構成した設定を使用します。
Windows Server 2008 での認証用の RADIUS の設定
Windows Server 2008 では、インターネット認証サービス (IAS) に代わるネットワークポリシーサーバー (NPS) を使用して、RADIUS の認証と承認を構成します。サーバーマネージャーを使用して役割としてNPSを追加することで、NPSをインストールできます。
NPS をインストールするときに、ネットワークポリシーサービスを選択します。インストール後、ネットワークの RADIUS 設定を構成するには、[スタート] メニューの [管理サービス] から NPS を起動します。NPSを開くと、NetScaler Gateway をRADIUSクライアントとして追加し、サーバーグループを構成します。
RADIUS クライアントを構成するときは、次の設定を選択してください。
- ベンダー名には、[RADIUS 標準] を選択します。
- NetScaler Gateway で同じ共有シークレットを構成する必要があるため、共有シークレットを書き留めておきます。
RADIUS グループの場合、RADIUS サーバの IP アドレスまたはホスト名が必要です。デフォルト設定は変更しないでください。
RADIUS クライアントとグループを構成したら、次の 2 つのポリシーで設定を構成します。
- 接続要求ポリシー:ネットワークサーバーの種類、ネットワークポリシーの条件、ポリシーの設定など、NetScaler Gateway 接続の設定を構成します。
- 拡張認証プロトコル (EAP) 認証とベンダー固有の属性を設定するネットワークポリシー。
接続要求ポリシーを構成するときに、ネットワークサーバーの種類として [未指定] を選択します。次に、条件として [NAS ポートタイプ] を選択し、値として [仮想 (VPN)] を選択して、条件を設定します。
ネットワークポリシーを構成するときは、次の設定を構成する必要があります。
-
ネットワークアクセスサーバーの種類として [リモートアクセスサーバー (VPN ダイヤルアップ)] を選択します。
-
EAP の [暗号化された認証 (CHAP)] と [暗号化されていない認証 (PAP と SPAP)] を選択します。
-
[ベンダー固有属性] に [RADIUS 標準] を選択します。
デフォルトの属性番号は 26 です。この属性は、RADIUS 認可に使用されます。
NetScaler Gateway には、サーバー上のグループで定義されたユーザーとNetScaler Gateway 上のユーザーを一致させるために、ベンダー固有の属性が必要です。これは、ベンダー固有の属性をNetScaler Gateway に送信することによって行われます。
-
属性形式として [文字列] を選択します。
Attribute 値には、属性名とグループが必要です。
NetScaler Gateway の場合、属性値はctxUserGroups= グループ名です。売上と財務などの 2 つのグループが定義されている場合、属性値は ctxUserGroups=Sales; finance になります。各グループはセミコロンで区切ります。
-
区切り文字は、セミコロン、コロン、スペース、ピリオドなどのグループを区切るために NPS で使用した区切り文字です。
IASでのリモートアクセスポリシーの構成が完了したら、NetScaler Gateway でRADIUS認証と承認を構成できます。