標準RADIUSサーバと拡張RADIUSサーバの選び方
このページは、SingleIDのクラウドRADIUSで標準RADIUSサーバと拡張RADIUSサーバのどちらを使うべきか迷ったときの判断材料をまとめたものです。詳細な仕様や設定手順は、RADIUSを参照してください。
先に結論
まずは次の基準で考えてください。
- 拠点ごとに一回線で、その拠点の接続元を固定グローバルIPアドレスまたはDDNSで管理できるなら、標準RADIUSサーバで運用できます。
- これは単一拠点でも多拠点でも同じです。多拠点であっても、各拠点の接続元を安定して識別できるなら、標準RADIUSサーバで問題ありません。
- 複数回線、回線切替、IPアドレスに依存したくない、共用グローバルIPv4アドレス環境、RadSecを使いたい場合は、拡張RADIUSサーバを検討してください。
- DDNS運用でも標準RADIUSサーバは利用できますが、IPアドレス変更時の反映待ちを許容しにくい場合は、拡張RADIUSサーバのほうが適しています。
- SingleIDを複数種類の機器の認証にまとめて使う場合は、運用を揃えやすいように、拡張RADIUSサーバに統一する考え方も有効です。
使い分けの考え方
標準RADIUSサーバは、RADIUSクライアントのグローバルIPアドレスで接続元を識別します。接続元を固定グローバルIPアドレス、またはDDNSを使って素直に管理できる環境では、最も分かりやすい方式です。
拡張RADIUSサーバは、RADIUSクライアントのグローバルIPアドレスではなく、機器が送信するNAS-IP-Address属性またはNAS-Identifier属性で接続元を識別します。送信元IPアドレスの変動や回線構成の影響を受けにくいことが利点です。
標準RADIUSサーバでよいケース
以下のような場合は、標準RADIUSサーバで十分です。
- 拠点ごとに一回線で運用している
- 固定グローバルIPアドレスを利用している
- 動的IPアドレスでも、DDNSを含めた運用で問題ない
- 接続元をIPアドレスで管理することに支障がない
- できるだけ単純な構成で運用したい
標準RADIUSサーバの主なメリットは、構成が単純で分かりやすいことです。機能面で拡張RADIUSサーバより優れているというより、接続元を固定グローバルIPアドレスまたはDDNSで管理できるなら、標準RADIUSサーバが最も簡単という位置づけです。
たとえば、リモートアクセスVPN装置をRADIUSクライアントとして利用する場合、インターネットからアクセスを受けるため、通常はグローバルIPアドレスで運用します。固定グローバルIPアドレスで運用しているなら、標準RADIUSサーバで問題ありません。固定IPアドレスでなくても、DDNSで運用し、IPアドレス変更時の反映待ちを許容できるなら、標準RADIUSサーバで運用できます。
また、多拠点環境でも、各拠点のRADIUSクライアントが各拠点一回線で接続し、拠点ごとの接続元を固定グローバルIPアドレスまたはDDNSで安定して識別できるなら、標準RADIUSサーバで運用できます。
なお、標準RADIUSサーバでホスト名を利用する場合、クラウドRADIUSでの名前解決は5分ごとに実施されます。そのため、DDNSでIPアドレスが変わった場合、最大で5分間は新しいIPアドレスが反映されません。この待ち時間を許容しにくい場合は、拡張RADIUSサーバを検討してください。
拡張RADIUSサーバを検討したほうがよいケース
以下のような場合は、拡張RADIUSサーバのほうが適しています。
- 拠点で複数のインターネット回線を利用している
- 回線切替や冗長化により送信元IPアドレスが変わりうる
- 拠点ごとにグローバルIPアドレスやDDNSを管理したくない
- 共用グローバルIPv4アドレス環境で利用したい
- RadSecを利用したい
- 接続元をNAS-IP-Address属性またはNAS-Identifier属性で識別したい
- 複数種類の機器で認証方式をできるだけ揃えて運用したい
たとえば、無線APを多拠点で運用する場合は、拠点ごとにグローバルIPアドレスやDDNSを管理するよりも、NAS-Identifier属性で識別したほうが簡単なことがあります。
また、単一拠点であっても複数のインターネット回線を持つ環境では、通常時と障害時で送信元IPアドレスが変わる可能性があります。このような場合は、標準RADIUSサーバよりも拡張RADIUSサーバのほうが運用しやすくなります。
動的IPアドレス環境でDDNSを利用することも可能ですが、クラウドRADIUSでホスト名の名前解決は5分ごとに行われるため、IPアドレス変更時には最大で5分間反映されません。そのため、この待ち時間を許容しにくい場合は、標準RADIUSサーバよりも拡張RADIUSサーバを選ぶほうが安全です。
さらに、SingleIDを無線AP、VPN装置、スイッチなど複数種類の機器の認証に利用する場合は、機器ごとに標準RADIUSサーバと拡張RADIUSサーバを使い分けるより、拡張RADIUSサーバに揃えたほうが設計方針を統一しやすく、運用上も分かりやすくなることがあります。
代表的な選定例
| 利用シーン | 推奨するサーバ | 理由 |
|---|---|---|
| 固定グローバルIPアドレスの単一拠点 | 標準RADIUSサーバ | 最も単純に運用できるため |
| 動的IPアドレスだが、DDNSで安定運用できる単一拠点 | 標準RADIUSサーバ | 5分程度の反映待ちを許容できるなら運用できるため |
| 多拠点だが、各拠点が一回線で、固定IPアドレスまたはDDNSで管理できる | 標準RADIUSサーバ | 各拠点の接続元を安定して識別できるため |
| リモートアクセスVPN装置をRADIUSクライアントとして利用し、固定IPアドレスまたはDDNSで運用できる | 標準RADIUSサーバ | 接続元をIPアドレスまたはホスト名で管理しやすいため |
| 動的IPアドレスで、DDNSの反映待ちを許容しにくい | 拡張RADIUSサーバ | IPアドレス変更時の影響を避けやすいため |
| 無線APを多拠点で運用する | 拡張RADIUSサーバ | NAS-Identifier属性で識別したほうが運用しやすい場合があるため |
| 無線AP、VPN装置、スイッチなど複数種類の機器で認証をまとめたい | 拡張RADIUSサーバ | 設計方針を揃えやすく、運用上も分かりやすいため |
| 単一拠点だが複数回線を持つ | 拡張RADIUSサーバ | 回線切替時の送信元IPアドレス変動に依存しにくいため |
| 共用グローバルIPv4アドレス環境で利用する | 拡張RADIUSサーバ | 標準RADIUSサーバでは利用できないため |
| RadSecを利用する | 拡張RADIUSサーバ | 拡張RADIUSサーバが対応しているため |
補足
- 拡張RADIUSサーバを利用する場合は、事前に拡張RADIUSサーバの登録が必要です。
- 標準RADIUSサーバと拡張RADIUSサーバは併用できます。
- 標準RADIUSサーバを利用するサイトと拡張RADIUSサーバを利用するサイトは、合計10サイトまでに制限されています。