RADIUS

SingleID 管理者ポータル＞認証＞RADIUS画面では、RADIUSに関する操作を行うことができます。

サポートする認証方式について

以下の認証方式をサポートしています。

• PAP
• CHAP
• MSCHAPv2
• EAP-TLS
• EAP-TTLS-PAP
• PEAP(MSCHAPv2)
• MAC Authentication Bypass（認証スイッチ向け）

ワンタイムパスワード認証を行う場合には、以下の認証方式のみサポートします。

• PAP
• EAP-TTLS-PAP

2種類のRADIUSサーバについて

それぞれのRADIUSサーバには以下のような違いがあります。

比較項目	標準RADIUSサーバ	拡張RADIUSサーバ
インターネット接続環境とクラウドRADIUSの利用可否
静的グローバルIPv4アドレス	利用可能	利用可能
動的グローバルIPv4アドレス	利用可能（DDNSの利用）	利用可能
静的グローバルIPv6アドレス	利用可能	利用可能（IPv4 over IPv6の利用）
動的グローバルIPv6アドレス	利用可能（DDNSの利用）	利用可能（IPv4 over IPv6の利用）
共用グローバルIPv4アドレス	利用不可	利用可能
機能
RadSec	利用不可	利用可能
ポリシー
RADIUSクライアントの識別方法	RADIUSクライアントのグローバルIPアドレス	送信されるNAS-IP-Address属性またはNAS-Identifier属性の属性値

Info

• 拡張RADIUSサーバを利用することで、顧客のインターネット接続で割り当てられるIPアドレスを気にせずに、クラウドRADIUSをご利用いただけます。その際、RADIUSを利用するネットワーク機器が送信するNAS-IP-Address属性またはNAS-Identifier属性をSingleIDへ設定することが必要です。
• 標準RADIUSサーバと拡張RADIUSサーバは併用することができます。

Warning

標準RADIUSサーバを利用するサイトと拡張RADIUSサーバを利用するサイトは、合計10サイトまでに登録が制限されています。

基本情報

SingleID 管理者ポータル＞認証＞RADIUS＞基本情報画面では、RADIUSクライアントを設定するために必要な情報が記載されています。

項目	説明
ホスト名	RADIUSサーバのホスト名です。
標準RADIUSサーバ
IPアドレス	標準RADIUSサーバは、IPv4/IPv6をサポートします。それぞれのプライマリ/セカンダリのIPアドレスです。
RADIUSポート番号	RADIUSサーバの認証ポート番号です。標準RADIUSサーバでは、サーバ1～サーバ10まであり、それぞれの通信ポート番号です。RADIUSアカウンティングはサポートしていません。
拡張RADIUSサーバ
IPアドレス	拡張RADIUSサーバは、IPv4のみサポートします。プライマリ/セカンダリのIPアドレスです。
RADIUSポート番号	RADIUSサーバの認証ポート番号です。拡張RADIUSサーバは、初期状態では利用することができません。利用する場合には、登録する必要があります。
サーバ証明書のCA局	RADIUSサーバに登録されたサーバ証明書を発行したCAです。

拡張RADIUSサーバの登録

初期状態では、拡張RADIUSサーバを利用することができません。利用する場合には、以下の手順で拡張RADIUSサーバを登録します。

1. SingleID 管理者ポータル＞認証＞RADIUS＞基本設定画面へ移動します。
2. 拡張RADIUSサーバのRADIUSポート番号の登録ボタンをクリックします。拡張RADIUSサーバの登録画面がポップアップします。
3. 使用するプロトコルを選択します。

4. シークレットを設定します。

   Warning

   拡張RADIUSサーバは、RADIUSクライアントのIPアドレスによる接続制限は行われません。シークレットによってのみ接続が制限がされます。そのため、ここで設定するシークレットには、英大文字、英小文字、数字、記号を組み合わせて、最低でも14文字以上の複雑な文字列を設定することをお勧めします。

Info

登録可能な拡張RADIUSサーバは１つです。拡張RADIUSサーバを追加で登録したい場合には、販売店までご相談ください。

RADIUSクライアントのサイト識別する属性の確認方法

拡張RADIUSサーバを利用してサイトを作成する際には、サイト識別する属性の属性値をSingleIDへ設定する必要があります。サイト識別する属性としては、RADIUS属性のNAS-IP-AddressまたはNAS-Identifierを選択可能です。

SingleIDと連携する機器から送信されるNAS-IP-AddressおよびNAS-Identifierがどのような属性値をもつかについて、連携機器のマニュアルをご確認ください。属性値が不明な場合には、以下の手順で確認することができます。

1. RADIUSクライアント（SingleIDと連携する機器）に、拡張RADIUSサーバの認証ポート番号、シークレットを設定します。
2. RADIUSクライアントで認証処理を行います。
3. SingleID 管理者ポータル＞ログ＞RADIUS認証ログ画面へ移動します。
4. 認証失敗したログのNAS-IPまたはNAS-IDの項目を確認します。NAS-IPが、NAS-IP-Address属性の属性値です。NAS-IDが、NAS-Identifier属性の属性値です。

簡易設定

SingleID 管理者ポータル＞認証＞RADIUS＞簡易設定画面では、RADIUSサーバの設定を行います。RADIUSをサポートする無線LANやファイアウォールと連携をするために、RADIUSの属性の知識は必要ありません。RADIUS属性を意識することなく、RADIUSサーバの設定を簡単に行うことができます。

RADIUSのサイトの登録

1. 簡易設定タブをクリックします。
2. カタログ表示ボタンをクリックするとネットワーク機器連携カタログが表示されます。
3. 設定したいネットワーク機器の設定ガイドのリンクをクリックします。クラウドRADIOUSおよびネットワーク機器の詳細な設定ガイドが表示されます。設定ガイドを参考に設定を進めます。
4. 設定したいネットワーク機器の登録ボタンをクリックします。簡易設定画面がポップアップします。

5. 基本情報タブでは、以下の項目を設定します。

   項目	説明
   サイト名	設定は任意です。複数サイトを登録する場合には、どの機器のRADIUS設定かを識別するために名前を設定することをお勧めします。
   有効/無効	サイトの有効/無効を設定します。無効の場合には、RADIUSクライアントとなる機器は、RADIUSサーバへ接続できなくなり、RADIUSによる認証はできません。
   サーバ	標準または拡張を選択します。標準を選択した場合には、標準RADIUSサーバ、拡張を選択したときには、拡張RADIUSサーバにサイトが登録されます。
   サーバ番号	サーバ番号を選択します。サーバの番号とRADIUSサーバのポート番号のマッピングは、管理者ポータル＞認証＞RADIUS＞基本情報画面を参照してください。サーバで拡張RADIUSサーバを選択した場合には、事前に、拡張RADIUSサーバのポート番号の登録が必要となります。
   シークレット	RADIUSクライアントとRADIUSサーバで共通で使用する共有シークレットです。
   IP or ホスト名	RADIUSクライアントのIPまたはホスト名です。ホスト名の名前解決は5分ごとに実施しています。ホスト名のIPアドレスが変更された場合には、最大で5分間、RADIUSクライアントからクラウドRADIUSへアクセスできません。
   サイト識別する属性	RADIUSクライアント（ネットワーク機器）を識別するRADIUS属性を選択します。
   属性値	サイト識別する属性で選択した属性の属性値を設定します。

6. 認証タブをクリックし、RADIUSクライアントとなる機器へのアクセスを許可するユーザ/グループを設定します。

Warning

• 設定がシステムへ反映されるまでに、最大で15分かかります。

RADIUSのサイトの編集

1. 変更したいサイトの列にある編集ボタンをクリックします。
2. 設定画面がポップアップします。
3. 項目を変更して、更新ボタンをクリックして、変更を保存します。

Warning

設定がシステムへ反映されるまでに、最大で15分かかります。

RADIUSのサイトの削除

1. 削除したいサイトの列にある削除ボタンをクリックします。
2. 簡易設定削除画面がポップアップします。
3. 削除ボタンをクリックして、サイトを削除します。

Warning

設定がシステムへ反映されるまでに、最大で15分かかります。

高度な設定

SingleID 管理者ポータル＞認証＞RADIUS＞高度な設定画面では、RADIUSサーバのサイト、クライアント、ルールの設定を手動で設定します。特に、ルールの作成については、RADIUSの属性と値を指定する必要があるため、RADIUSに関する高度な知識が要求されます。簡易設定ではできない複雑なルールを定義したい場合のみ使用してください。