RADIUS サーバー認証を構成する

RADIUS (Remote Authentication Dial-In User Service) は、企業のネットワーク上のローカル ユーザーおよびリモートユーザーを認証します。RADIUS はクライアント/サーバー型のシステムであり、ユーザー、リモート アクセス サーバー、VPN ゲートウェイ、およびその他のリソースの認証情報を 1 つの中央データベースで管理します。

Fireware v12.5 以降では:

  • SecurID は RADIUS 構成の一部です。
  • 複数のプライマリ RADIUS サーバーを構成することができます。
  • 新しい RADIUS サーバーのドメイン名を手動で指定する必要があります。
  • 認証を行うには、ユーザーは RADIUS 構成で指定したドメイン名を入力する必要があります。Mobile VPN と Access Portal ユーザーは、プライマリ サーバー以外のサーバーへの認証を行うのにドメイン名を入力する必要があります。

構成に RADIUS サーバーが含まれており、Fireware v12.4.1 以前から Fireware v12.5 以上にアップグレードする場合、Firebox は自動的に RADIUS をドメイン名として使用します。認証するには、ユーザーは RADIUS をサーバーとして選択肢、ドメイン名として RADIUS と入力する必要があります。ユーザーが RADIUS 以外のドメイン名を入力すると、認証は失敗します。これは Web UI、WatchGuard System Manager v12.5 以上 (任意の Fireware バージョンの Firebox)、Mobile VPN クライアント、および Access Portal による認証に適用されます。

RADIUS プロトコルの詳細については、次を参照してください:RADIUS サーバー認証の操作方法

SecurID 認証を構成するには、次を参照してください:SecurID 認証を構成する

認証キー

RADIUS サーバーとの間で送受信される認証メッセージでは、認証キーが使用されます。この認証キー、または共有シークレットは、RADIUS クライアントおよびサーバー上で同じでなければいけません。このキーがない限り、 クライアントとサーバーの間の通信が確立できません。

RADIUS 認証方法

Firebox は、RADIUS サーバーによるユーザー認証にはこれらの認証プロトコルのみを使用します。

  • Web 認証、Mobile VPN with SSL 認証および Mobile VPN with IPSec 認証 — PAP (Password Authentication Protocol)
  • Mobile VPN with L2TP 認証 — MSCHAPv2 (Microsoft チャレンジ ハンドシェイク認証プロトコル バージョン 2)
  • Mobile VPN with IKEv2 認証 — EAP-MSCHAPv2
  • WPA エンタープライズおよび WPA2 エンタープライズ認証方法による認証 — EAP (拡張認証プロトコル)

RADIUS および多要素認証

RADIUS サーバーを多要素認証 (MFA) とあわせて使用することができます。

MFA チャレンジに対する応答が Firebox に返されない場合、Firebox は RADIUS サーバーを非アクティブ時間中、非アクティブであるとみなします。この間、Firebox は他のユーザーの認証要求を RADIUS サーバーに送信しません。この問題を回避するには、既定の 非アクティブ時間 の値を Firebox RADIUS 設定で変更することをお勧めします。

  • プライマリ RADIUS サーバーのみを構成する場合は、非アクティブ時間0 分に指定します。
  • バックアップ RADIUS サーバーも構成する場合は、非アクティブ時間10 分に指定します。

ユーザーが MFA チャレンジに応答しない場合、認証要求はタイムアウトし、AuthPoint から Firebox に応答が送信されます。

開始する前に

RADIUS 認証サーバーを使用するために Firebox を構成する前に、それぞれの RADIUS サーバーに以下の情報が必要です。

  • プライマリ RADIUS サーバー — IP アドレスと RADIUS ポート
  • セカンダリ RADIUS サーバー (任意) — IP アドレスと RADIUS ポート
  • 共有シークレット — Firebox と RADIUS サーバーで同じ、大文字と小文字を区別するパスワード
  • 認証方法 — デバイスで使用される認証方法 (PAP、MSCHAPv2、WPA エンタープライズ、WPA2 エンタープライズ、または WPA/WPA2 エンタープライズ) を許可するように RADIUS サーバーを設定する

Firebox で RADIUS サーバー認証を使用する

Firebox で RADIUS サーバー認証を使用するために必要な手順は、以下のとおりです。

  • Firebox の IP アドレスを RADIUS サーバーに追加して Firebox を RADIUS クライアントとして構成します。
  • Firebox の構成で RADIUS サーバーを有効化および指定します。
  • Firebox RADIUS 構成でサーバーの IP アドレスと共有シークレットを指定します。
  • RADIUS ユーザーまたはグループを Firebox 構成に追加します。
  • RADIUS ユーザー名またはグループ名を Firebox ポリシーに追加します。

RADIUS を構成する

  1. 認証 > サーバー の順に選択します。
    認証サーバー ページが表示されます。

Screen shot of the Authentication Servers list

  1. サーバー リストから、RADIUS をクリックします。
    RADIUS ページが表示されます。
  2. 追加 をクリックします。
    追加 ページが表示されます。

RADIUS ドメイン リスト ページ

  1. ドメイン名 テキスト ボックスに、この RADIUS サーバーで使用するドメイン名かサーバー名を入力します。ユーザーはユーザー ログイン ページでこのドメイン名を指定する必要があります。設定を保存後、このドメイン名を変更することはできません。
  2. IP アドレス テキスト ボックスに、RADIUS サーバーの IP アドレスを入力します。
    Fireware v12.4 以降は IPv4 および IPv6 アドレスに対応しています。Fireware v12.3.x 以前は IPv4 アドレスのみに対応しています。
  3. ポート テキスト ボックスに、RADIUS サーバーが認証に使うポート番号を入力します。既定のポート番号は 1812 です。古い RADIUS サーバーでは、ポート 1645 を使用する場合があります。
  4. 共有シークレット テキスト ボックス内に、 Firebox と RADIUS サーバーによって使用される共有シークレットを入力します。共有シークレットは大文字と小文字が区別され、Firebox および RADIUS サーバー上で同じものである必要があります。共有シークレットにスペース文字のみを使用することはできません。
    Fireware v12.7.1 以降は 256 文字の共有シークレットに対応しています。Fireware v12.4 以降は 64 文字の共有シークレットに対応しています。Fireware v12.3.x 以前は 36 文字の共有シークレットに対応しています。
  5. シークレットの確認 テキスト ボックス内に、共有シークレットを再び入力します。
  6. タイムアウト テキスト ボックスに、秒単位で値を入力します。タイムアウト値は、再接続を試みるまでにデバイスが認証サーバーからの応答を待機する時間です。既定値は 10 秒です。
  7. 再試行 テキスト ボックスに、デバイスが 1 回の認証試行に対して接続に失敗したことを報告する前に、認証サーバーへの接続を試行する回数をを入力します。既定値は 3 です。

    Firebox で AuthPoint MFA を使用する場合は、Firebox で、RADIUS 認証の 合計タイムアウト設定を既定の AuthPoint タイムアウトである 60 秒よりも長く構成することをお勧めします。既定の設定では、ユーザーが受信した AuthPoint プッシュ通知を 30 秒以内に承認しないと、Firebox は、現在のサーバーがダウンしていなくても、別のサーバーにフェールオーバーします。

  8. 非アクティブ時間 テキスト ボックスに、非アクティブ状態のサーバーが再度アクティブとしてマークされるまでの時間を入力します。
    既定値は 10 分です。Fireware v12.5.3 以前では、既定値は 3 分です。
  9. 非アクティブ時間 ドロップダウン リストで、または時間を選択して時間を設定します。
    認証サーバーが一定時間応答しなかった場合、そのサーバーは停止としてマークされます。追加の認証では、再びこのサーバーがアクティブとマークされるまで、このサーバーに対して認証は試行されません。

    ユーザーが多要素チャレンジに応答しない場合、Firebox は RADIUS サーバーを 非アクティブ時間 中、非アクティブであるとみなします。この間、Firebox は他のユーザーの認証要求を RADIUS サーバーに送信しません。この問題を回避するには、プライマリ RADIUS サーバーのみを構成する場合は、非アクティブ時間0 分に指定します。バックアップ RADIUS サーバーも構成する場合は、非アクティブ時間10 分に指定します。

  10. グループ属性 テキスト ボックスに、属性値を入力します。既定のグループ属性は FilterID で、これは RADIUS 属性 11 です。
    ユーザー グループ情報を伝達する属性を設定するには、グループ属性値が使用されます。RADIUS サーバーの構成では、デバイスにユーザー認証メッセージを送信するときに、Filter ID 文字列も送信されるように構成する必要があります。たとえば、engineerGroup または financeGroup など。この情報はその後、アクセス制御に使用されます。デバイスは、FilterID 文字列をデバイス ポリシーで構成したグループ名に突き合わせます。

  1. バックアップ RADIUS サーバーを追加するには、 バックアップ サーバー設定 セクションで バックアップ RADIUS サーバーの有効化 を選択します。
  2. バックアップ サーバーを構成するには、ステップ 4~13 を繰り返します。共有シークレットはプライマリ RADIUS サーバーとバックアップ RADIUS サーバー上で同じでなければいけません。
    認証サーバーの詳細については、次を参照してください:バックアップ認証サーバーを使用する
  3. RADIUS ドメインが SecurID を使用する場合は、SecurID を選択します。
  1. 認証サーバー アイコン をクリックします。
    または、設定 > 認証 > 認証サーバー の順に選択します。
    認証サーバー ダイアログ ボックスが表示されます。
  2. RADIUS タブを選択します。

Screen shot of the Authentication Servers dialog box, RADIUS tab

  1. 追加 をクリックします。
    RADIUS の追加 ダイアログ ボックスが表示されます。
  2. ドメイン名 テキスト ボックスに、この RADIUS サーバーのドメイン名かサーバー名を入力します。ユーザーはユーザー ログイン ページでこのドメイン名を指定する必要があります。設定を保存後、このドメイン名を変更することはできません。
  3. IP アドレス テキスト ボックスに、RADIUS サーバーの IP アドレスを入力します。
    Fireware v12.4 以降は IPv4 および IPv6 アドレスに対応しています。Fireware v12.3.x 以前は IPv4 アドレスのみに対応しています。
  4. ポート テキスト ボックスに、VASCO が認証に使用するポート番号が表示されていることを確認します。
    既定のポート番号は 1812 です。古い RADIUS サーバーでは、ポート 1645 を使用する場合があります。
  5. 共有シークレット テキスト ボックスに、デバイスと RADIUS サーバーとの間の共有シークレットを入力します。共有シークレットは大文字と小文字が区別され、デバイスと RADIUS サーバーで同じものでなくてはなりません。共有シークレットにスペース文字のみを使用することはできません。
    Fireware v12.7.1 以降は 256 文字の共有シークレットに対応しています。Fireware v12.4 以降は 64 文字の共有シークレットに対応しています。Fireware v12.3.x 以前は 36 文字の共有シークレットに対応しています。
  6. シークレットの確認 テキスト ボックス内に、共有シークレットを再び入力します。
  7. タイムアウト の値を入力または選択します。タイムアウト値は、再接続を試みるまでにデバイスが認証サーバーからの応答を待機する時間です。既定値は 10 秒です。
  8. 再試行 テキスト ボックスに、デバイスが 1 回の認証試行に対して接続に失敗したことを報告する前に、認証サーバーへの接続を試行する回数をを入力または選択します。既定値は 3 です。

    Firebox で AuthPoint MFA を使用する場合は、Firebox で、RADIUS 認証の 合計タイムアウト設定を既定の AuthPoint タイムアウトである 60 秒よりも長く構成することをお勧めします。既定の設定では、ユーザーが受信した AuthPoint プッシュ通知を 30 秒以内に承認しないと、Firebox は、現在のサーバーがダウンしていなくても、別のサーバーにフェールオーバーします。

  9. 非アクティブ時間 テキスト ボックスに、非アクティブ状態のサーバーが再度アクティブとしてマークされるまでの時間を入力または設定します。
    既定値は 10 分です。Fireware v12.5.3 以前では、既定値は 3 分です。
  10. 非アクティブ時間 ドロップダウン リストで、または時間を選択して時間を設定します。
    認証サーバーが一定時間応答しなかった場合、そのサーバーは停止としてマークされます。追加の認証では、再びこのサーバーがアクティブとマークされるまで、このサーバーに対して認証は試行されません。

    ユーザーが多要素チャレンジに応答しない場合、Firebox は RADIUS サーバーを 非アクティブ時間 中、非アクティブであるとみなします。この間、Firebox は他のユーザーの認証要求を RADIUS サーバーに送信しません。この問題を回避するには、プライマリ RADIUS サーバーのみを構成する場合は、非アクティブ時間0 分に指定します。バックアップ RADIUS サーバーも構成する場合は、非アクティブ時間10 分に指定します。

  11. グループ属性 テキスト ボックスに、属性値を入力または選択します。既定のグループ属性は FilterID で、これは RADIUS 属性 11 です。
    ユーザー グループ情報を伝達する属性を設定するには、グループ属性値が使用されます。RADIUS サーバーの構成では、デバイスにユーザー認証メッセージを送信するときに、Filter ID 文字列も送信されるように構成する必要があります。たとえば、engineerGroup または financeGroup など。この情報はその後、アクセス制御に使用されます。デバイスは、FilterID 文字列をデバイス ポリシーで構成したグループ名に突き合わせます。
  12. バックアップ RADIUS サーバーを追加するには、 バックアップ サーバー設定 タブで バックアップ RADIUS サーバーの有効化 を選択します。
  13. バックアップ サーバーを構成するには、ステップ 5~13 を繰り返します。共有シークレットはプライマリ RADIUS サーバーとバックアップ RADIUS サーバー上で同じでなければいけません。
    認証サーバーの詳細については、次を参照してください:バックアップ認証サーバーを使用する

Screen shot of the Add RADIUS dialog box

  1. OK をクリックします。
  2. 構成ファイルを保存する.

関連情報:

サードパーティの認証サーバーについて

ユーザーおよびグループをポリシーで使用する

RADIUS を使用した WPA / WPA2 エンタープライズ認証

Mobile VPN ユーザーのための Active Directory を使用した RADIUS 認証

RADIUS シングル サインオンについて

WatchGuard ナレッジ ベースの RADIUS および Active Directory で Mobile VPN ユーザーを認証するように Windows Server 2016 または 2012 R2 を構成する