いつも参考にさせていただいています。

今回あるシステムでRadius認証を使うことになり、
ネットワークの認証システムについて勉強していますが
すっかり混乱してしまっています。
どうかご助言いただけないでしょうか。

■今の認識は
Radiusサーバ⇒アクティブディレクトリにアクセスできる人を登録する
Radiusクライアント⇒ルータとかスイッチしかなれないもの?
Radiusプロキシ⇒RadiusサーバとRadiusクライアント同時にできるもの
→認識について間違い・補足などいただけないでしょうか

■やりたいことは
 端末A→HTTP(ブラウザ)→別ネットワークの端末B内にあるシステム
この流れで、
端末Aから端末Bの間にRadius認証を入れて、
端末Bにアクセスするユーザを限定したいのです。
ここで用語に混乱してしまいどういう設定をしたらいいかわからなくなってしまいました。

■環境
Radiusサーバ:
 windows server 2003 または2008
 アクティブディレクトリ設定済み
Radiusクライアント:
 何を用意すればいいのかわかりません。。。
 L2スイッチはあるのですが、これに変更を加えると今までのネットワークに
 影響はないでしょうか?(アクティブディレクトリに設定したユーザ以外認証されなくなるなど)

どうかご教授お願いいたします。
他に必要な情報などあればご指摘願います。

このQ&Aに関連する最新のQ&A

A 回答 (2件)

もう少し具体的に何がしたいのでしょうか?



恐らくはRadiusを必要とせず、他の仕組みで実現可能かと思われます。
Radiusで実現するのであれば、Radiusのクライアントは端末Bになるのが妥当でしょう。

通常であればこの部分は、WindowsであればAD認証
LinuxであればLDAP認証あたりで良いのでは無いですか?

この回答への補足

pakutiさん、回答ありがとうございます。

>もう少し具体的に何がしたいのでしょうか?
質問内容に加え、
誰がいつログインしてログアウトしたのかを知りたいのです。

>恐らくはRadiusを必要とせず、他の仕組みで実現可能かと思われます。
Radius認証を使うことについては仕様になってしまっているんです・・
経緯については自分には計り知れない部分があるので
そのような中での質問はすごく申し訳ないと思っています。
ただ誰がいつログインしてログアウトしたのかが必要になるので、
そこでRadius認証が出てきたのだと思います。

>Radiusで実現するのであれば、Radiusのクライアントは端末Bになるのが妥当でしょう。
確かに、落ち着いて考えるとそれが一番腑に落ちます。

>通常であればこの部分は、WindowsであればAD認証
>LinuxであればLDAP認証あたりで良いのでは無いですか?
ご教授ありがとうございます。
LDAP認証あたりは全く手つかずなので、今後の参考にさせていただきます。

--その後-----------------------------------
単語について色々勘違いがあったので、下記に補足させていただきます。
Radiusサーバ⇒
 アクティブディレクトリにアクセスできる人を登録する
 ただしWindows Server2003や2008を使用の場合
Radiusクライアント⇒
 ルータとかスイッチしかなれないもの?ではなく、
 OSを搭載したものでもなれる。
 その際はモジュールなどを使用して
 サーバとのデータのやり取りを行う。
Radiusプロキシ⇒
 RadiusサーバとRadiusクライアント同時にできるもの?
 (まだよくわかっていません・・)
 

補足日時:2009/05/28 08:24
    • good
    • 0

端末BがWindowsでIISで動くと言う前提でお話します。



Webのコンテンツの閲覧にRadius認証を行う場合
VBScritp等がraidusクライアントとしてradiusサーバと通信を行う事になります。


radius proxy
HTTP-Proxyと理屈は変わらないと思います。
radiusクライアントは、radiusプロキシに認証情報を投げます。
認証情報を受け取ったプロキシは、代理応答(proxy)を行う
認証情報をradiusサーバへリレーさせます
(クライアントから見るとサーバに認証情報を投げるのと変わらない)
radiusサーバから見ると、認証情報を投げてくる(クライアントの動作)なので
通常のクライアントに応答を返すのと同じように、プロキシに対して応答します。
この応答を受けたプロキシは、クライアントに対して応答(認証結果)を返します。
(クライアントから見るとサーバから返答されたのと変わらない)

この回答への補足

pakutiさん、回答ありがとうございます。
遅くなり申し訳ないです。

> 端末BがWindowsでIISで動くと言う前提でお話します。
はい、その通りです。
> Webのコンテンツの閲覧にRadius認証を行う場合
> VBScritp等がraidusクライアントとしてradiusサーバと通信を行う事になります。
そういうことだったんですね。
手元にはクライアントモジュールを持っていたのですが、
マシンも何か別に必要だとか勘違いしておりました。
すっきりしました。ありがとうございます。

> radius proxy
> HTTP-Proxyと理屈は変わらないと思います。
> radiusクライアントは、radiusプロキシに認証情報を投げます。
> 認証情報を受け取ったプロキシは、代理応答(proxy)を行う
> 認証情報をradiusサーバへリレーさせます
> (クライアントから見るとサーバに認証情報を投げるのと変わらない)
> radiusサーバから見ると、認証情報を投げてくる(クライアントの動作)なので
> 通常のクライアントに応答を返すのと同じように、プロキシに対して応答します。
> この応答を受けたプロキシは、クライアントに対して応答(認証結果)を返します。
> (クライアントから見るとサーバから返答されたのと変わらない)
なるほど、プロキシが振る舞いをかえるんですね。
マシン構成としてはクライアントとプロキシサーバとサーバそれぞれが必要といういことなんですね。
恥ずかしながらRadiusプロキシサーバを構成する利点はマシン構成が少なくて済むことだと思い込んでいました。
とても丁寧にありがとうございました。

補足日時:2009/06/01 19:23
    • good
    • 0
この回答へのお礼

お礼に書きたいことを補足に書いてしまいました・・。
ありがとう御座いました。

お礼日時:2009/06/02 15:02

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

Q複数のプロキシ設定

 今、プロキシサーバを探していてプロキシの設定をしたいのですが、大学内で使うプロキシをすでに設定しています。プロキシの設定は一つしか出来ないのでしょうか?サーバを変えるごとに設定しなおさなければいけないのでしょうか?
複数設定して、手動で変更できる、、みたいな機能はWindowsにはないのでしょうか?
 ちなみに私のPCはInternet Explorer 6.xだと思います。
 

Aベストアンサー

フリーウェアなどでやってみてはいかがでしょうか?
例えば、
http://www.vector.co.jp/soft/win95/net/se068959.html

ベクターで「プロキシ」もしくは「プロクシ」で検索すればいろいろでてくるので、ご自身にあうものを利用してみてください

Qアクティブディレクトリの保守方法について

現在、無智ながら、Windows2000SVで、アクティブディレクトリを構築している社内ネットワークを管理することになりました。
そこで、社内システムを見ると、アクティブディレクトリを構築しているサーバーは、ディスクのRAIDすら組んでいない、UPS電源だけは設定しているPCでした。
そこで、ハードウェアを、ディスクのミラー化など、アップグレードしたほうが良いと考えています。
(サーバーそのものミラー化、
ラックマウント化も同時に考えています)

ネットワークは、土日祝日程度の停止には耐えられますが、ネットワークが使えなくなることだけは避けなければいけません。

ハードウェアの置換えに耐え、ネットワーク利用がストップしない、最良の方法をを、アドバイスいただけないでしょうか?そのような、情報のある、書籍や、サイトなどをお教え下されば、拝見させていただきたく思います


できれば、ネットワークは、ワンドメインで社内LANを構築していますが、OSもwindows2000から2003等にアップグレードできるものなのかも検討しております。
その資料なども、ご存知の方がいらっしゃったら、是非、ご教授下さい。

どうか、よろしくお願いします

現在、無智ながら、Windows2000SVで、アクティブディレクトリを構築している社内ネットワークを管理することになりました。
そこで、社内システムを見ると、アクティブディレクトリを構築しているサーバーは、ディスクのRAIDすら組んでいない、UPS電源だけは設定しているPCでした。
そこで、ハードウェアを、ディスクのミラー化など、アップグレードしたほうが良いと考えています。
(サーバーそのものミラー化、
ラックマウント化も同時に考えています)

ネットワークは、土日祝日程度の停止に...続きを読む

Aベストアンサー

アクティブディレクトリを構築しているサーバ(ドメインコントローラ;以下DC)は1台だけですか?
であれば、まずDCをもう1台立てて、2台構成にするようにしてください。
DC同士は自動的にデータの同期をとりますので、特にミラー化を意識する必要はありません。
併せて、DNSや(もし使っているなら)DHCP、WINSサーバなども冗長構成にしてしまいましょう。

そうすれば、仮に片方のDCが故障しても、もう1台で運用を継続できます。

まずはそこからですね。

資料はmicrosoftのサイトを始め、あちらこちらに存在します。書籍もたくさんあります。大きめの書店などで探してみてください。

参考URL:http://www.microsoft.com/japan/windowsserver2003/activedirectory/default.mspx

Qプロキシを使用してのメール設定方法

以前にプロキシソフト導入について、何点か質問させて頂いた者です。皆さんのお陰で、導入しインターネット等の運用はうまく行ったのですが、後最後にメールの設定が出来ません。またお知恵を拝借出来たら幸いです。

要望→社内の人間が会社のメールアカウントを私的利用しているので、それを止める為に証拠を取りたい。
現状→WinGateというプロキシソフトを使ってインターネットの共有は出来ている。

具体的には、WinGateを通るメールのチェックを行いたい。それにはWinGate及び、クライアントPCでどのような設定を行えばいいでしょうか?どうかよろしくお願い致します。

WinGateの参考URLです。
http://www.technoblest.com/wingate/

Aベストアンサー

前述してるとおりWinGateを使ったことは無いので
設定をお教えすること出来ません。

ただし、まともなPROXYなら接続するPOPサーバーのドメインを
設定しないといけないはずです。
もし無制限がデフォルトなら制限する設定があるはずです。

私が以前使っていたのはPROXY2000ですが
クライアントとPOPサーバーを個々に設定しないと接続できなかったです。

Q.htaccessでのユーザ認証の範囲について

.htaccessを使い、パスワードを知っている相手にだけ閲覧を許可したいのですが、その際にどのように書けば良いのか分かりませんので教えてください。

したいことは、
・アクセスの制限(特定の者だけの許可)
・直リンの防止
・ソフトなどを使ったサイト構造の覗き見、またはダウンロード

クリアしたい疑問点
・CGIを使ったファイルの書き込み等をしているので、そのファイルに正常に書き込めるようにしておきたい

という点なのですが、googleで検索してもyahooで検索しても良く分かるサイトが無かったので、教えて頂ける方よろしくお願いします。

Aベストアンサー

http://www.shtml.jp/htaccess/
に書かれていることで、だいたいの行いたいことは実現できるのではないかと思います。具体的な記述については、お使いのサーバでの設定や構成によりますので、プロバイダさんのシステム情報サイトを参照したりや、システム管理者さんの説明を聞いてみることになるかと。そもそも利用者に .htaccess の利用を許していない方針のサーバもありますし。

疑問点のところは、.htaccess に CGI の実行を妨げるような記述を明示しない限り大丈夫ではないでしょうか。

Qfirefoxってプロキシを自動で設定するんですか?

firefoxってプロキシを自動で設定するんですか?
firefox3.66をインストールしてほぼ初期設定のまま使っているのすが、たまたまプロキシ設定ところを見たらプロキシ設定を自動検出するになっていました。
ここの設定をいじった記憶がないのですが、firefoxって最初からそうなっているのでしょうか?
ENV CHECKで確認してみたら自分のプロバイダとは違うリモートホストとなっていました。
いまは、直接つないだほうがネットが早いと思ったので、プロキシを使用しないにして使っているんですが、プロキシを自動検出にしたほうがいいのでしょうか?

Aベストアンサー

以前は、「プロキシを使用しない」がデフォルトの設定でしたが、3.6.5からだと思いますが、「システムのプロキシ設定を利用する」が項目に追加され、デフォルトの設定になったようです。

プロキシ接続を利用するところで、Portableを利用する場合などは、手動で設定しなくてもよく、自動的に接続できて便利ですが、場合によっては、接続できないサイトも出ることがあるようですから、以前の設定で利用されてもよいと思います。

Qサーバとクライアントの関係を教えて下さい

 こんにちは、ネットワーク初心者です、初歩的な質問ですが、宜しくお願いします。

 Aというサーバに電話回線(WAN?)をとおして、繋がっているBというクライアントが、Aというサーバに自動的に繋がるのは、
サーバの設定したドメインに、BというPCが登録されているということでしょうか。
 それとこの場合には、必ずパスワードを設定する必要があるのでしょうか。

 また、メールアドレスは、@以下にこのドメイン名がついたものが発行出来るということでしょうか。

 初歩的な質問ですが、宜しくお願いします。

Aベストアンサー

> メールサーバー、DNSサーバー、POPサーバー、IMAPサーバーの役割分担ってどのように分かれているのでしょうか?

- メールサーバはメールの配信先を決定します。サービス内容はメールの配信

- DNS サーバはホスト名までを含んだドメイン名とIPアドレス、またドメイン内のメールサーバと、DNSサーバがどのホストなのか、またサ自身のブドメインなどを管理します。サービス内容はホストの名前解決です。

- POPサーバはPOPプロトコルを使って、サーバに溜まったメールをユーザに届けるサービスをします。届けたメールは原則消す運用をします。

- IMAPサーバは、POPサーバ同様ユーザにメールを届けるサービスをしますが、サーバにメールをためっぱなしにし、サーバ内でのフォルダ分けなどの機能を持ちます。そのためPOPサービスに比べて大きな保存容量が必要です。プロバイダが提供しているサービスでPOPもしくはIMAPのどちらかを選択して使います。


#それぞれ仕様が決められたものですので、詳しくは wikipedia などを読んでみてください。


> あるドメインの中(グループ内)にメールアカウント(POP、smtp、IMAPの設定)、FTPのアドレスが設定されている(包含されている)のではないのでしょうか?

あげられた項目にあまり同列に並べるものではないものが含まれているので、
今ひとつどのようなイメージをもたれているか、つかみにくいのです。
あっているような違ううような。

まずアカウントとアドレスは異なります。
アカウントは認証するためのものですので、この例ですと

- POP アカウント
- SMTP 認証ID
- IMAP 認証ID
- FTP アカウント

になりますが、それぞれのサービスは別々のプログラムによって実現されていますので、それぞれのアカウントは異なる物という認識です。ですがこれでは不便なので、共通の認証基盤と、ユーザ情報データベースを構築してアカウント情報の共通化を実現させたりします。

これは別に”そうしなければならない”というものではなく、そうしたほうが便利だということです。

メールアドレスは悪魔でアドレスでしかなく、宛先として機能すればよいので、aaa@example.com のアドレスが、pop.example.com の bbbアカウントのメールボックスに配達されても良いのです。これは単に bbbアカウントを払いだされたユーザが aaa@example.com のメールアドレスを取得したので、そのように設定しただけとうことになります。

おそらく感じたニュアンスの違いというのが、ドメインというものにアドレスやアカウントを保持する機能があるわけではないということだと思います。

そのドメインが持っているように見える機能は、その中に含まれるサーバーの組み合わせによって実現されていて、その方法はそのネットワークやサーバを保持している組織によってことなっており、その管理者達が綿密に計算して実現しているもの。

という感じでしょうか?

> つまり、あるドメイン内(グループ内)に更に役割分担として、メールアカウント、ftp etc.があるということではないのでしょうか。

サーバーはそれぞれ役割がことなる、ということはそうですね。

メールアカウントはサーバに組み込む(登録する)ものですから、メールアカウント, ftp, etc で同列に並べるのはちょっと変ですね。
#アカウントサービスってのもあるのですが、ちょっと違う物ですし。

> #クライアントがアカウントの設定で、メールサーバを設定するとメールサーバ側ではどのような設定が自動的にされるのでしょうか。

いえ、逆です。

> それともサーバーは自分のドメイン(@マーク以下)を持っているクライアントは無条件に受け入れる(アクセスさせる)ということでしょうか?

ドメインというか、自身の管理する、自身が信用しているネットワーク(IPアドレス)からの接続を許容する、もしくはアカウント情報によって認証できたら接続を許容する。
そのようなポリシーをサーバに設定したうえで、その接続情報が郵送などで、プロバイダから送られてきているということですね。

#ユーザの視点では、自動的に設定されている(管理者が)と見えなくもないですね。

> メールサーバー、DNSサーバー、POPサーバー、IMAPサーバーの役割分担ってどのように分かれているのでしょうか?

- メールサーバはメールの配信先を決定します。サービス内容はメールの配信

- DNS サーバはホスト名までを含んだドメイン名とIPアドレス、またドメイン内のメールサーバと、DNSサーバがどのホストなのか、またサ自身のブドメインなどを管理します。サービス内容はホストの名前解決です。

- POPサーバはPOPプロトコルを使って、サーバに溜まったメールをユーザに届けるサービスをします。届けたメ...続きを読む

Qプロキシで安全なインターネット設定は可能でしょうか?

アクセス速度向上(海外から)のため無料プロキシを使う時がありますが、プロキシの利用をブラウザのプロキシ設定のサーバーの種類でHTTPだけにしておけばパスワード入力等の重要な部分でも特に危険は無いでしょうか?
無料プロキシだとサーバー管理者に情報が盗まれるような危険があるようですが、閲覧先などは別に知られてもかまいません。パスワード入力時やメールなどはプロキシ経由で無い設定にするにはこれでHTTPのみの設定にすれば良いのでしょうか?

Aベストアンサー

No.1744038 質問:どうしても通信速度を向上したい
http://oshiete1.goo.ne.jp/kotaeru.php3?q=1744038

の続きの質問ですね。

> プロキシの利用をブラウザのプロキシ設定のサーバーの種類でHTTPだけにしておけば

という前提条件だけでは、危険がないとは言い切れません。「パスワード入力等の重要な部分」がプロキシを経由しないように何らかの対策を行う必要があります。

> パスワード入力時やメールなどはプロキシ経由で無い設定にするにはこれでHTTPのみの設定にすれば良いのでしょうか?

それだけでは不十分です。httpのみプロキシを経由する設定にすることによって生じる効果は、「httpのみプロキシを経由する」(http以外はプロキシを経由しない)ということだけで、パスワード入力やメールがどこを経由するかとは無関係です。

パスワード入力やメールを保護するのであれば、それに加えて、パスワード入力やメールがhttpを使用しない(間接的に、これらがプロキシを経由しない)ように設定あるいは保証することが必要です。

No.1744038 質問:どうしても通信速度を向上したい
http://oshiete1.goo.ne.jp/kotaeru.php3?q=1744038

の続きの質問ですね。

> プロキシの利用をブラウザのプロキシ設定のサーバーの種類でHTTPだけにしておけば

という前提条件だけでは、危険がないとは言い切れません。「パスワード入力等の重要な部分」がプロキシを経由しないように何らかの対策を行う必要があります。

> パスワード入力時やメールなどはプロキシ経由で無い設定にするにはこれでHTTPのみの設定にすれば良いのでしょうか...続きを読む

QTeamFileクライアントとFFFTPクライアントは、どう違うのでしょうか

TeamFileクライアントとFFFTPクライアントは、どう違うのでしょうか、また、アップするサーバーを自前で、立てたい場合、サーバー側の設定に、参考になるURLは、ございますでしょうか?

サーバーOSは、ウインドウズ2000アドバンスサーバー、サーバーウイルス対策ソフトは、サーバープロテクトマルチドメイン版、
クライアントOSは、ウインドウズXPプロフェッショナルと、2000プロフェッショナルを予定しています。

FTPサーバーについては、全く初心者です。プロバイダーのサーバー領域に、FFFTPで、ホームページをクライアントからアップしたことはありますが、自分で、自宅WWWサーバーを持ったことは、ありません。ただ、イントラネットのファイルサーバーは、ウインドウズで設定したことは、ありますので、サーバーOSのインストールや、DHCPやスコープ設定などのあたりまでは、理解できます。

よろしくお願いします。できれば、自宅FTPサーバーを、安全に、無料で、設定したいです。

Aベストアンサー

FFFTPはFTPクライアントですが、TeamFileクライアントはwebDAVのクライアントですよね。webDAVはHTTPの拡張なので、FTPとはまったくの別物です。

http://e-words.jp/w/WebDAV.html

サーバ側もFTPサーバをセットアップするのか、ApacheやIISに組み込まれているwebDAV機能を有効にするのか・・という違いがあります。まぁWindowsであればどちらにしてもIISの設定になりますが(汗

http://msdn2.microsoft.com/ja-jp/library/6ws081sa(VS.80).aspx

http://support.microsoft.com/kb/323470/ja

Qwindowsでプロキシ接続設定

例えば、ブラウザやメーラーにプロキシ接続設定がなく、それらのソフトでプロキシ経由で接続したい場合、windows95でプロキシサーバー接続設定するにはどうすればいいですか?

Macなら「システム環境設定」でできますが、windowsだとどうするんでしょうか?

Aベストアンサー

windows自体にそのような機能は無いと思われます。
その為、特別なソフトを通してから接続しなければプロキシは適応されないと思います。
例えば"Proxomitron"や"Cerberus"を使用し、接続すると、適応すると思います。

Proxomitron
http://cowscorpion.com/Browser/Proxomitron.html
Cerberus
http://hp.vector.co.jp/authors/VA032790/

ご参考まで。

Qこちらの情報を相手に知らせない方法を教えていただけませんか。

こちらの情報を相手に知らせない方法を教えていただけませんか。

はじめまして。
とても困っているので、お助けください。

インターネット検索やサイトの閲覧で、相手側に自分のPCやネット環境を読み込ませない方法をわかりやすく教えていただけませんか。

インターネットで検索したり、サイトをみたりすると、相手側に記録が残り、サーバーやIPアドレス、ドメイン名など、ある程度範囲を限定できるまで、相手側はこちらの情報を知ることができると、知りました。

知人が、わたしの情報を知っているようで、身震いしました。
わたしが見たサイトがその知人のサイトかどうかはわからないのですが、そのサイトを検索したことやみたことなどを言い当てられるというか、予想を立てて見られているのです…。

アダルトサイトなどを検索や閲覧しているわけではないのですが、気持ち悪くて…。

どうすれば、自分のネットワークやPC情報、地名(接続している場所)などを相手側に知らせず、ネット利用できるでしょうか
初心者なので、URLなどを貼り付けてくださると助かります。

よろしくお願いします。

Aベストアンサー

firefoxはブラウザの一つです。
ブラウザはIEが有名ですが、パソコンに慣れてる人だとfirefox利用者が多かったりします。
http://mozilla.jp/firefox/

追加機能の「no script」
https://addons.mozilla.org/ja/firefox/addon/722/


あと、プロクシを挟んでアクセス元を偽装する方法もあります。
興味があれば「串」「プロクシ」などで検索してみてください。


こちらもご参考に。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1424710094


人気Q&Aランキング