RADIUS サーバー認証の操作方法

RADIUS は、もともとリモートユーザーをdial-in アクセス サーバーに認証するように設計されたプロトコルです。現在 RADIUS は幅広い認証シナリオに使用されています。RADIUS は、クライアント/サーバー プロトコルです。Firebox はクライアントで、RADIUS サーバーはサーバーとなっています。(RADIUS クライアントは、ネットワーク アクセス サーバーまたは NAS とも呼ばれます)。ユーザーが認証を試みると、デバイスから RADIUS サーバーにメッセージが送信されます。RADIUS サーバーが、デバイスをクライアントとして持つように正しく構成されている場合は、RADIUS によって、同意する または 拒否する というメッセージがデバイス (ネットワーク アクセス サーバー) に送信されます。

Firebox が、RADIUS を使用して認証を試みる場合:

  1. ユーザーは、ポート 4100 上のデバイスへのブラウザ ベースの HTTPS 接続を経由して、または Mobile VPN with IPSec を経由して認証を試みます。デバイスは、ユーザー名とパスワードを読み取ります。
  2. デバイスは、アクセス要求 というメッセージを作成して RADIUS サーバーに送信します。デバイスは、メッセージ内の RADIUS 共有シークレットを使用します。パスワードは、常にアクセス要求で暗号化されています。
  3. RADIUS サーバーは、アクセス要求が既知のクライアント (Firebox からのメッセージ) であることを確認します。RADIUS サーバーが、デバイスをクライアントとして受け入れるように構成されていない場合、サーバーはアクセス要求メッセージを破棄し、メッセージを返しません。
  4. デバイスが既知のクライアントで、共有シークレットが正しい場合、RADIUS サーバーはアクセス要求メッセージで要求された認証メソッドを参照します。
  5. アクセス要求メッセージが許可された認証方法を使用している場合、RADIUS サーバーはメッセージからユーザー認証情報を取得し、ユーザー データベースで一致する項目を検索します。ユーザー名とパスワードに該当する項目がデータベースにある場合、RADIUS サーバーは、ユーザー データベースからユーザーの追加情報(リモート アクセスの承認、グループ メンバシップ、ログオン時間、など)を取得できます。
  6. RADIUS サーバーは、ユーザー情報に一致するアクセス ポリシーまたはプロファイルが構成にあるかをチェックします。ポリシーが見つかった場合は、サーバーが応答を送信します。
  7. 以前の条件のいずれかが失敗する、または RADIUS サーバーでは一致するポリシーがない場合、認証失敗を表示するアクセス要求メッセージが送信されます。RADIUS トランザクションが終了し、ユーザーのアクセスが拒否されます。
  8. アクセス要求が、以前の条件のいずれかを満たす場合、RADIUS はデバイスに アクセス許可 というメッセージを送信します。
  9. RADIUS サーバーは、応答を送信するには共有シークレットを使用します。共有シークレットが一致しない場合、デバイスは RADIUS の応答を拒否します。

認証の診断ログ メッセージを表示するには 診断ログ レベルを設定する認証 カテゴリのログ レベルを変更します。

  1. デバイスではメッセージ内のいずれかの FilterID 属性が読み込まれます。ユーザー名を FilterID 属性に結び付けて、ユーザーをRADIUS グループに入れます。
  2. RADIUS サーバーでは、大量の追加情報をアクセス許可メッセージに入れることができます。ユーザーが使用できるプロトコル(PPP または SLIP など)、ユーザーがアクセスできるポート、アイドル タイムアウト、その他の属性などのほとんどの情報は、デバイスに無視されます。
  3. デバイスでは、FilterID 属性 (RADIUS 属性第11 号) のみが必要です。FilterID は、アクセス許可メッセージに含めるために、RADIUS サーバーで構成するテキスト文字列です。この属性は、ユーザーを RADIUS グループへ割り当てるためのデバイスに必要ですが、セッションタイムアウト (RADIUS 属性第 27 号)、アイドルタイムアウト (RADIUS 属性第 28 号) などの他の RADIUS 属性をサポートしています。

RADIUS グループの詳細について、次のセクションを参照してください。

RADIUS グループについて

Firebox で RADIUS 認証を構成すると、グループ属性番号を設定できます。Fireware OS は、構成で指定されたグループ属性番号を読み込み、どの RADIUS 属性が RADIUS グループ情報を有しているか判断します。Fireware OS では、グループ属性として RADIUS 属性第 11 号と FilterID のみが識別されます。RADIUS サーバーを構成するとき、既定値からのグループ属性第 11 号の設定を変更しないでください。

Firebox では、RADIUS からアクセス許可メッセージを受信すると、FilterID の値を読み込み、この値を使用してユーザーが RADIUS グループに関連付けられます。(RADIUS を構成するとき、FilterID を手動で構成する必要があります)。そのため、デバイスから割り当てる RADIUS グループ名は、FilterID 属性の値となります。

Firebox 構成で使用する RADIUS グループは、ドメインコントローラーで定義された Windows グループ、またはドメインユーザーデータベースに存在するそのグループと同じではありません。RADIUS グループは、Firebox が使用するユーザーの唯一の論理的なグループです。FilterID テキスト文字列は慎重に選択する必要があります。FilterID の値は、組織のローカル グループ名またはドメイン グループ名に一致できますが、一致させる必要はありません。ユーザー グループには覚えやすい内容の名前を使用することをお勧めします。

RADIUS 認証の場合、ユーザーは 1 つの RADIUS グループにのみ追加できます。

RADIUS グループの実用

組織で認証するユーザーが多い場合、同じ FilterID 値を多くのユーザーに送信するように RADIUS を構成すると Firebox ポリシーを管理するのが簡単です。ユーザー アクセスの管理がしやすくなるよう、Firebox はそれらのユーザーを 1 つの論理グループに入れます。認証されたユーザーのみがネットワークリソースへアクセスできるポリシーを作成する際、Policy ManagerFireware XTM Web UI 内のポリシーを作成する場合、多くの個々のユーザーのリストを追加するのではなく、RADIUS グループ名を使用します。

たとえば、メアリーさんが認証された後、FilterID 文字列 RADIUS が Sales を送信するので、メアリーさんが認証されている限り、Firebox はメアリーさんを Sales RADIUS グループに含めます。次にジョンとアリスが認証される場合、RADIUS により同じ FilterID 値 Sales がジョンとアリスのアクセス許可メッセージに配置され、メアリー、 ジョン、アリスがすべて Sales グループに入れられます。グループ Sales がリソースにアクセスできるようにするポリシーを作成することができます。

内部のサポート組織のメンバーについて、IT サポート などの別の FilterID を返すために、RADIUS を構成できます。その後、IT サポート ユーザーがリソースにアクセスできるように、別のポリシーを追加できます。

たとえば、Salesグループが Filtered-HTTP ポリシーを使用してインターネットにアクセスできるようにすることができます。そして、WebBlocker で、これらの web アクセスをフィルタできます。IT Support ユーザーが WebBlocker フィルタを実行せずに Web にアクセスできるように、Policy Manager の別のポリシーにより、IT Support ユーザーの Unfiltered-HTTP ポリシーによるインターネットへのアクセスを許可することができます。ポリシーの 送信元 リストの RADIUS グループ名 (またはユーザー名) を使用して、どのグループ (またはどのユーザー) がポリシーを使用できるかを表示することができます。

タイムアウトおよび再試行値

プライマリ RADIUS サーバーから応答がない場合、認証失敗が発生します。3 回の認証試行が失敗した後、Fireware OS はセカンダリ RADIUS サーバーを使用します。このプロセスは フェールオーバー と呼ばれます。

この認証試行数は再試行数と同じではありません。フェールオーバーが発生する前に、認証試行数を変更できません。

Firebox は、リストにある最初の RADIUS サーバーにアクセス要求メッセージを送信します。応答がない場合、デバイスは タイムアウト テキスト ボックスに設定された秒数まで待って、その後、他のアクセス要求を送信します。これは、再試行 テキスト ボックスに表示された回数実行される (または有効な応答がある) まで続きます。RADIUS サーバーから有効な応答がない場合、または RADIUS の共有シークレットが一致しない場合、Fireware OS は、これを 失敗した認証試行 1 回として数えます。

認証試行が 3 回失敗した後、Fireware OS は、次の認証試行のために、セカンダリ RADIUS サーバーを使用します。3 回の認証試行後セカンダリ サーバーも応答しなかった場合、Fireware OS は 非アクティブ時間 間隔 (既定は 10 分) が経過するまで待機します。非アクティブ時間 間隔が経過したら、Fireware OS はプライマリ RADIUS サーバーをもう一度使用しようとします。

Fireware v12.5.3 以前では、既定の非アクティブ時間の値は 3 分です。Fireware v12.1.1 以前では、既定の非アクティブ時間の値は 10 分です。

多要素認証

RADIUS サーバー認証がネットワーク上の多要素認証 (MFA) の一環である場合、ユーザーが MFA チャレンジに応答しなかった場合、Firebox は RADIUS サーバーを 非アクティブ時間 にわたり非アクティブ状態とみなすことにご注意ください。この間、Firebox は他のユーザーの認証要求を RADIUS サーバーに送信しません。

MFA 環境でのこの問題を回避するには、既定の 非アクティブ時間 の値を Firebox RADIUS 設定で変更することをお勧めします。

  • プライマリ RADIUS サーバーのみを構成する場合は、非アクティブ時間0 分に指定します。
  • バックアップ RADIUS サーバーも構成する場合は、非アクティブ時間10 分に指定します。

関連情報:

RADIUS サーバー認証を構成する

サードパーティの認証サーバーについて