Radiusサーバとクライアントとプロキシの違いを教えてください

いつも参考にさせていただいています。

今回あるシステムでRadius認証を使うことになり、
ネットワークの認証システムについて勉強していますが
すっかり混乱してしまっています。
どうかご助言いただけないでしょうか。

■今の認識は
Radiusサーバ⇒アクティブディレクトリにアクセスできる人を登録する
Radiusクライアント⇒ルータとかスイッチしかなれないもの？
Radiusプロキシ⇒RadiusサーバとRadiusクライアント同時にできるもの
→認識について間違い・補足などいただけないでしょうか

■やりたいことは
　端末A→HTTP（ブラウザ）→別ネットワークの端末B内にあるシステム
この流れで、
端末Aから端末Bの間にRadius認証を入れて、
端末Bにアクセスするユーザを限定したいのです。
ここで用語に混乱してしまいどういう設定をしたらいいかわからなくなってしまいました。

■環境
Radiusサーバ：
　windows server 2003 または2008
　アクティブディレクトリ設定済み
Radiusクライアント：
　何を用意すればいいのかわかりません。。。
　L2スイッチはあるのですが、これに変更を加えると今までのネットワークに
　影響はないでしょうか？（アクティブディレクトリに設定したユーザ以外認証されなくなるなど）

どうかご教授お願いいたします。
他に必要な情報などあればご指摘願います。

No.1 ベストアンサー 回答者： pakuti 回答日時： 2009/05/27 16:17

もう少し具体的に何がしたいのでしょうか？

恐らくはRadiusを必要とせず、他の仕組みで実現可能かと思われます。
Radiusで実現するのであれば、Radiusのクライアントは端末Bになるのが妥当でしょう。

通常であればこの部分は、WindowsであればAD認証
LinuxであればLDAP認証あたりで良いのでは無いですか？

この回答への補足

pakutiさん、回答ありがとうございます。

>もう少し具体的に何がしたいのでしょうか？
質問内容に加え、
誰がいつログインしてログアウトしたのかを知りたいのです。

>恐らくはRadiusを必要とせず、他の仕組みで実現可能かと思われます。
Radius認証を使うことについては仕様になってしまっているんです・・
経緯については自分には計り知れない部分があるので
そのような中での質問はすごく申し訳ないと思っています。
ただ誰がいつログインしてログアウトしたのかが必要になるので、
そこでRadius認証が出てきたのだと思います。

>Radiusで実現するのであれば、Radiusのクライアントは端末Bになるのが妥当でしょう。
確かに、落ち着いて考えるとそれが一番腑に落ちます。

>通常であればこの部分は、WindowsであればAD認証
>LinuxであればLDAP認証あたりで良いのでは無いですか？
ご教授ありがとうございます。
LDAP認証あたりは全く手つかずなので、今後の参考にさせていただきます。

--その後-----------------------------------
単語について色々勘違いがあったので、下記に補足させていただきます。
Radiusサーバ⇒
　アクティブディレクトリにアクセスできる人を登録する
　ただしWindows Server2003や2008を使用の場合
Radiusクライアント⇒
　ルータとかスイッチしかなれないもの？ではなく、
　OSを搭載したものでもなれる。
　その際はモジュールなどを使用して
　サーバとのデータのやり取りを行う。
Radiusプロキシ⇒
　RadiusサーバとRadiusクライアント同時にできるもの？
　（まだよくわかっていません・・）
　

補足日時：2009/05/28 08:24

No.2 回答者： pakuti 回答日時： 2009/05/28 14:32

端末BがWindowsでIISで動くと言う前提でお話します。

Webのコンテンツの閲覧にRadius認証を行う場合
VBScritp等がraidusクライアントとしてradiusサーバと通信を行う事になります。


radius proxy
HTTP-Proxyと理屈は変わらないと思います。
radiusクライアントは、radiusプロキシに認証情報を投げます。
認証情報を受け取ったプロキシは、代理応答（proxy）を行う
認証情報をradiusサーバへリレーさせます
（クライアントから見るとサーバに認証情報を投げるのと変わらない）
radiusサーバから見ると、認証情報を投げてくる（クライアントの動作）なので
通常のクライアントに応答を返すのと同じように、プロキシに対して応答します。
この応答を受けたプロキシは、クライアントに対して応答（認証結果）を返します。
（クライアントから見るとサーバから返答されたのと変わらない）

この回答への補足

pakutiさん、回答ありがとうございます。
遅くなり申し訳ないです。

> 端末BがWindowsでIISで動くと言う前提でお話します。
はい、その通りです。
> Webのコンテンツの閲覧にRadius認証を行う場合
> VBScritp等がraidusクライアントとしてradiusサーバと通信を行う事になります。
そういうことだったんですね。
手元にはクライアントモジュールを持っていたのですが、
マシンも何か別に必要だとか勘違いしておりました。
すっきりしました。ありがとうございます。

> radius proxy
> HTTP-Proxyと理屈は変わらないと思います。
> radiusクライアントは、radiusプロキシに認証情報を投げます。
> 認証情報を受け取ったプロキシは、代理応答（proxy）を行う
> 認証情報をradiusサーバへリレーさせます
> （クライアントから見るとサーバに認証情報を投げるのと変わらない）
> radiusサーバから見ると、認証情報を投げてくる（クライアントの動作）なので
> 通常のクライアントに応答を返すのと同じように、プロキシに対して応答します。
> この応答を受けたプロキシは、クライアントに対して応答（認証結果）を返します。
> （クライアントから見るとサーバから返答されたのと変わらない）
なるほど、プロキシが振る舞いをかえるんですね。
マシン構成としてはクライアントとプロキシサーバとサーバそれぞれが必要といういことなんですね。
恥ずかしながらRadiusプロキシサーバを構成する利点はマシン構成が少なくて済むことだと思い込んでいました。
とても丁寧にありがとうございました。

補足日時：2009/06/01 19:23

この回答へのお礼

お礼に書きたいことを補足に書いてしまいました・・。
ありがとう御座いました。

お礼日時：2009/06/02 15:02