いつも参考にさせていただいています。

今回あるシステムでRadius認証を使うことになり、
ネットワークの認証システムについて勉強していますが
すっかり混乱してしまっています。
どうかご助言いただけないでしょうか。

■今の認識は
Radiusサーバ⇒アクティブディレクトリにアクセスできる人を登録する
Radiusクライアント⇒ルータとかスイッチしかなれないもの?
Radiusプロキシ⇒RadiusサーバとRadiusクライアント同時にできるもの
→認識について間違い・補足などいただけないでしょうか

■やりたいことは
 端末A→HTTP(ブラウザ)→別ネットワークの端末B内にあるシステム
この流れで、
端末Aから端末Bの間にRadius認証を入れて、
端末Bにアクセスするユーザを限定したいのです。
ここで用語に混乱してしまいどういう設定をしたらいいかわからなくなってしまいました。

■環境
Radiusサーバ:
 windows server 2003 または2008
 アクティブディレクトリ設定済み
Radiusクライアント:
 何を用意すればいいのかわかりません。。。
 L2スイッチはあるのですが、これに変更を加えると今までのネットワークに
 影響はないでしょうか?(アクティブディレクトリに設定したユーザ以外認証されなくなるなど)

どうかご教授お願いいたします。
他に必要な情報などあればご指摘願います。

このQ&Aに関連する最新のQ&A

A 回答 (2件)

もう少し具体的に何がしたいのでしょうか?



恐らくはRadiusを必要とせず、他の仕組みで実現可能かと思われます。
Radiusで実現するのであれば、Radiusのクライアントは端末Bになるのが妥当でしょう。

通常であればこの部分は、WindowsであればAD認証
LinuxであればLDAP認証あたりで良いのでは無いですか?

この回答への補足

pakutiさん、回答ありがとうございます。

>もう少し具体的に何がしたいのでしょうか?
質問内容に加え、
誰がいつログインしてログアウトしたのかを知りたいのです。

>恐らくはRadiusを必要とせず、他の仕組みで実現可能かと思われます。
Radius認証を使うことについては仕様になってしまっているんです・・
経緯については自分には計り知れない部分があるので
そのような中での質問はすごく申し訳ないと思っています。
ただ誰がいつログインしてログアウトしたのかが必要になるので、
そこでRadius認証が出てきたのだと思います。

>Radiusで実現するのであれば、Radiusのクライアントは端末Bになるのが妥当でしょう。
確かに、落ち着いて考えるとそれが一番腑に落ちます。

>通常であればこの部分は、WindowsであればAD認証
>LinuxであればLDAP認証あたりで良いのでは無いですか?
ご教授ありがとうございます。
LDAP認証あたりは全く手つかずなので、今後の参考にさせていただきます。

--その後-----------------------------------
単語について色々勘違いがあったので、下記に補足させていただきます。
Radiusサーバ⇒
 アクティブディレクトリにアクセスできる人を登録する
 ただしWindows Server2003や2008を使用の場合
Radiusクライアント⇒
 ルータとかスイッチしかなれないもの?ではなく、
 OSを搭載したものでもなれる。
 その際はモジュールなどを使用して
 サーバとのデータのやり取りを行う。
Radiusプロキシ⇒
 RadiusサーバとRadiusクライアント同時にできるもの?
 (まだよくわかっていません・・)
 

補足日時:2009/05/28 08:24
    • good
    • 0

端末BがWindowsでIISで動くと言う前提でお話します。



Webのコンテンツの閲覧にRadius認証を行う場合
VBScritp等がraidusクライアントとしてradiusサーバと通信を行う事になります。


radius proxy
HTTP-Proxyと理屈は変わらないと思います。
radiusクライアントは、radiusプロキシに認証情報を投げます。
認証情報を受け取ったプロキシは、代理応答(proxy)を行う
認証情報をradiusサーバへリレーさせます
(クライアントから見るとサーバに認証情報を投げるのと変わらない)
radiusサーバから見ると、認証情報を投げてくる(クライアントの動作)なので
通常のクライアントに応答を返すのと同じように、プロキシに対して応答します。
この応答を受けたプロキシは、クライアントに対して応答(認証結果)を返します。
(クライアントから見るとサーバから返答されたのと変わらない)

この回答への補足

pakutiさん、回答ありがとうございます。
遅くなり申し訳ないです。

> 端末BがWindowsでIISで動くと言う前提でお話します。
はい、その通りです。
> Webのコンテンツの閲覧にRadius認証を行う場合
> VBScritp等がraidusクライアントとしてradiusサーバと通信を行う事になります。
そういうことだったんですね。
手元にはクライアントモジュールを持っていたのですが、
マシンも何か別に必要だとか勘違いしておりました。
すっきりしました。ありがとうございます。

> radius proxy
> HTTP-Proxyと理屈は変わらないと思います。
> radiusクライアントは、radiusプロキシに認証情報を投げます。
> 認証情報を受け取ったプロキシは、代理応答(proxy)を行う
> 認証情報をradiusサーバへリレーさせます
> (クライアントから見るとサーバに認証情報を投げるのと変わらない)
> radiusサーバから見ると、認証情報を投げてくる(クライアントの動作)なので
> 通常のクライアントに応答を返すのと同じように、プロキシに対して応答します。
> この応答を受けたプロキシは、クライアントに対して応答(認証結果)を返します。
> (クライアントから見るとサーバから返答されたのと変わらない)
なるほど、プロキシが振る舞いをかえるんですね。
マシン構成としてはクライアントとプロキシサーバとサーバそれぞれが必要といういことなんですね。
恥ずかしながらRadiusプロキシサーバを構成する利点はマシン構成が少なくて済むことだと思い込んでいました。
とても丁寧にありがとうございました。

補足日時:2009/06/01 19:23
    • good
    • 0
この回答へのお礼

お礼に書きたいことを補足に書いてしまいました・・。
ありがとう御座いました。

お礼日時:2009/06/02 15:02

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

QwiresharkでパケットモニタするとRetransmissionが多発しているという意味は?

現在、自分で作成したパケット送信クライアントプログラムをテストしており、3秒に1回のタイミングでインターネット上にあるサーバのグローバルipアドレスに対し、TCPパケットを発信させて受信するというテストを行っています。
しかし、3秒に一回データを送っているはずなのに、その間隔10秒とか20秒とか間隔が開いてしまう時があります。

wiresharkというパケットモニタソフトで送信側、受信側共にパケットモニタを行ってみたところ、”Retransmission”が多発しているということがわかりました。(tcp.analysis.retransmissionというフィルタ設定で検索)この現象はある時とない時があります。テストして10日ぐらい経つのですが、このパケットが確認されるのはお昼の12時頃と夕方の6時頃が多いのですが、このことからどのようなことが起こっていると考えられますか?

わかる方いらっしゃいましたらご教授よろしくお願いいたします。

Aベストアンサー

簡単に言うと「トラフィック過多によるパケットの再送が多発している」です。

噛み砕いて言えば「回線が混雑していて、送信したパケットが、他の誰かが送信したパケットと衝突(コリジョンが発生)してパケットが消えた。なので、もう一度、送り直した」と言う事。

>このパケットが確認されるのはお昼の12時頃と夕方の6時頃が多いのですが、このことからどのようなことが起こっていると考えられますか?

「お昼休み、終業時間の6時になると、みんな、メールをチェックしたり、個人的にインターネットを閲覧し、トラフィック過多が起き、回線が異常に混雑する」と言う事が起きていると考えられます。

解消するには以下の方法があります。
・「休み時間も、終業時間後も、プライベートでネットを使うな!」と言う「通達」を全社に出す
・社内LANを、トラフィック過多によるコリジョンが起きないよう高速で帯域のあるネットワークカード、LANハブ、ルーターに変える
・受信側と送信側を、社内LANから(電気的、アドレス的に)独立した別のLANにする

要は「混んでる時間帯なので仕方が無い」って事です。

簡単に言うと「トラフィック過多によるパケットの再送が多発している」です。

噛み砕いて言えば「回線が混雑していて、送信したパケットが、他の誰かが送信したパケットと衝突(コリジョンが発生)してパケットが消えた。なので、もう一度、送り直した」と言う事。

>このパケットが確認されるのはお昼の12時頃と夕方の6時頃が多いのですが、このことからどのようなことが起こっていると考えられますか?

「お昼休み、終業時間の6時になると、みんな、メールをチェックしたり、個人的にインターネットを...続きを読む

Q「未対応」、「非対応」はどちらが正しい?

「未対応」、「非対応」ですが、日本語としてはどちらが正しいのでしょうか?

ご存知の方いましたら、ご教示願います。

Aベストアンサー

どちらも正しいと思いますが。
未対応:今は対応していない(将来対応するかも)
非対応:完全に対応しない

QフリーのRadiusクライアントソフトってありますか?

2003ServerのIAS(Radiusサーバー)を使用しております。802.1x認証(EAP-TLS)による無線接続はできたのですが、次にPCから有線経由でこのRadiusサーバーで認証を行ってみたいので、フリーのRadiusクライアントソフトを探しておりますが見つかりません。そういうソフトってありますか?

PC--(無線)--アクセスポイント--(有線)--Radius
↑この接続はできた

PC--(有線)---Radius
↑次はこの接続やってみたい

PCはWin2KまたはWinXPです
よろしくお願いします。

Aベストアンサー

無線の場合、Radiusクライアントはアクセスポイントだったと思います。
有線の場合は、LANスイッチがRadiusクライアントになります。
802.1X対応の有線LANスイッチを購入してください。

参考URL:http://www.atmarkit.co.jp/ad/cisco/networks01/networks04.html

QNTPで同期が始まらない

こんにちは。
度々すみません、NTPの設定をしましたがどうも同期が始まりません。

「ntpdate 130.69.251.23」と手動同期は成功します。
しかしntpデーモンを起動し1時間以上放置しても同期されません。
※外部タイムサーバー参照としてます

ntp.confは下記のとおりです。
---------------------------------------------------
server 133.100.9.2 # clock.nc.fukuoka-u.ac.jp
server 130.69.251.23
driftfile /var/lib/ntp/drift
---------------------------------------------------

でntpq -pの結果は下記となります。

remote refid st t when poll reach delay offset jitter
==============================================================================
133.100.9.2 .INIT. 16 u - 64 0 0.000 0.000 4000.00
130.69.251.23 .GPS. 1 u 27 64 377 8.015 -99970. 17262.6

同期ができれば「remote」列に「*」が表示されると思っています。
何か設定が足りないでしょうか?。
尚、「/vat/log/message」をtailしてますが特にエラーは無さそうです。

よろしくお願いします。

こんにちは。
度々すみません、NTPの設定をしましたがどうも同期が始まりません。

「ntpdate 130.69.251.23」と手動同期は成功します。
しかしntpデーモンを起動し1時間以上放置しても同期されません。
※外部タイムサーバー参照としてます

ntp.confは下記のとおりです。
---------------------------------------------------
server 133.100.9.2 # clock.nc.fukuoka-u.ac.jp
server 130.69.251.23
driftfile /var/lib/ntp/drift
---------------------------------------------------

でntp...続きを読む

Aベストアンサー

#4のqaaqです。

○ntp.conf 関連
server 行に "iburst" を付けておきましょう。
server ntp.nict.jp iburst <--こんな感じになります。

ntp サーバ起動時の時刻調整の収束時間が早くなります。
http://www.jp.freebsd.org/cgi/mroff.cgi?subdir=man&lc=1&cmd=&man=ntp.conf&dir=jpman-5.4.0%2Fman&sect=0

○ntpdate での時刻調整
ntpdate -b -u [サーバ名] を複数回実行して、"offset の値が0.1以下"になるまで、強制的に時刻調整して下さい。

○ハードウエアclockの修正
hwclock -w コマンドでハードウエアclockを合わせます。
http://www.linux.or.jp/JM/html/util-linux/man8/hwclock.8.html

○ntpdの動作
ntpによる時刻調整は、調整幅が通常128mSと小さいので、1時間は様子をましょう。
2時間程度経過しても、時刻修正の兆候が見られない場合ハードウェアの不良も考えられます。

時刻調整の兆候としては、
・logファイルに 一時間毎に調整したメッセージが書かれる。
Jan 7 21:57:40 ntpd[91145]: offset 0.000994 sec freq -190.802 ppm error 0.000076 poll 8
・ntpq -p の出力の最初の桁に"*,+"が付く。また、reach が377になる。
% ntpq -np
remote refid st t when poll reach delay offset jitter
+192.168.0.102 GPS_NMEA(0) 2 u 3 32 377 0.926 -0.330 0.023
*192.168.0.192 GPS_NMEA(1) 2 u 10 32 377 0.747 -0.336 0.023
192.168.0.9 PPS(1) 2 u 3 32 377 0.757 6.559 0.161


○その他
・PC起動時には、システムクロックを計測してその後の動作の基準にしていますが、
CMOSバッテリ不足やハードウェアに何らかの異常があるととんでもない時刻を示すことがあります。(要修理です)
・BIOSの時計も起動時の初期時刻として使われてしまうので、ある程度合わせておいた方がいいです。

#4のqaaqです。

○ntp.conf 関連
server 行に "iburst" を付けておきましょう。
server ntp.nict.jp iburst <--こんな感じになります。

ntp サーバ起動時の時刻調整の収束時間が早くなります。
http://www.jp.freebsd.org/cgi/mroff.cgi?subdir=man&lc=1&cmd=&man=ntp.conf&dir=jpman-5.4.0%2Fman&sect=0

○ntpdate での時刻調整
ntpdate -b -u [サーバ名] を複数回実行して、"offset の値が0.1以下"になるまで、強制的に時刻調整して下さい。

○ハードウエアclockの修正
hwclock -w コマンドでハ...続きを読む

Q別セグメントのネットワーク接続について

自宅での小規模なネットワークですが、セグメントの違う2つの
LANネットワークを繋げたいと思っています、
今現在、片方はインターネットにつながっており、
もう片方のLANでもインターネットを利用したいと考えています
双方のネットワークを同一セグメントにしてもいいのですが、
ルーティングの仕組みを理解する為に、別セグメントでルーター等を
通してと考えています

この接続の為の設定や機器は、どのようにすればよいでしょうか?
教えてください

Aベストアンサー

両方のセグメント間に、ルータを設置するだけで ok です。

複数のセグメントをまたがる必要はないようですので、特別なルーティングの設定も不要だと思います。

QVPN接続でVPNから先のサーバーに到達できない。

PC 特に、通信関係に関しては、素人同然のものです。

会社のサーバーに自宅からアクセスしようと、VPN 接続を試みています。
VPN そのものは接続を確認できたのですが、VPN から先、つまり、会社のサーバー (IBM System i) に到達できません。
( 当然ですが ping も通りません )
会社の他の同僚は、問題なく使用できているのですが、私のところだけつながりません。

念のためですが、VPN そのものは接続できています。
その先にあるサーバーにアクセスできないのです。
言わずもがなですが、自宅の PC で、通常のネット環境には問題はありません。
インターネットも、メールも問題なく動作しています。


この場合、System i に到達できない理由として、どのような事が考えられるのでしょうか?

ちなみに、会社側のルーターは、以前、別のルーターを使用していたのですが、その時は、問題なく使用できていた、という実績があります。
その時と、自宅環境は変わっていないはずです。( 少なくとも意識して変更した事はありません )

素人考えでは、なんらかの、アドレスの指定が重複しているのでは??
と考えているのですが、デフォルト・ゲートウェイとか、IP アドレスとか、自宅側のルーターのアドレスだとか、そのあたりではないかと思っているのですが
下手に変更すると、ネットそのものに繋がらなくなくなってしまいます。

変更するにしても、一箇所だけではなく、何箇所か整合性をとって変更する必要があるかと思いますが、詳しいところまでは知らないので、苦労しています。
御存知の方がおられたら、お教え頂けませんでしょうか?

冒頭述べましたように、当方、パソコン、特に、通信関係に関しては、ほぼ、素人同然です。
他に、似たような質問も見かけたのですが、少し、難しくて理解できませんでしたので、質問させて頂きました。

一応、環境の説明をしておきます。

●自宅のPC
(メーカー) ショップメイド
(OS) Windows XP Professional Version 2002 Service Pack 3
●自宅のルーター・通信回線
(通信回線) NTT Bフレッツ
(ルーター) NEC RV-230NE
(プロバイダー) BIGLOBE
●会社のルーター
(ルーター) Buffalo BHR-4GRV
●会社のサーバー
IBM System i ( AS/400 )

尚、現状、自宅のネット環境は、私が知りえる範囲で以下の通りです。

< VPN 接続前の ipconfig コマンドの結果 >
Ethernet adapter ローカル エリア接続:

Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 192.168.1.3
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.1.1


< VPN 接続後の ipconfig コマンドの結果 >
Ethernet adapter ローカル エリア接続:

Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 192.168.1.3
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.1.1

PPP adapter XXXXX:

Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 192.168.1.8
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . : 192.168.1.8

( PPP adapter XXXXX の部分は、VPN 接続先の会社側のものかと思います。XXXXX は会社名なので伏せさせて頂きました)

VPN 接続した状態で、サーバー IBM System i のアドレス 192.168.1.201 に対して ping コマンドを発行すると
C:\>ping 192.168.1.201

Pinging 192.168.1.201 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 192.168.1.201:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

以上のように、timed out となってしまいます。

また、補足情報ですが、会社側のルーターの設定で、ルーターのデフォルト・ゲートウェイが、私の自宅と同じ、192.168.1.1 であり、これが原因ではないかと思い、192.168.1.150 に変更しました。
しかし、結果は、何も変わりませんでした。
他の同僚については、問題なく繋がっています。

以上です。
長文になってしまいましたが、何卒、宜しくお願い致します。

PC 特に、通信関係に関しては、素人同然のものです。

会社のサーバーに自宅からアクセスしようと、VPN 接続を試みています。
VPN そのものは接続を確認できたのですが、VPN から先、つまり、会社のサーバー (IBM System i) に到達できません。
( 当然ですが ping も通りません )
会社の他の同僚は、問題なく使用できているのですが、私のところだけつながりません。

念のためですが、VPN そのものは接続できています。
その先にあるサーバーにアクセスできないのです。
言わずもがなですが、自宅の PC で、通常...続きを読む

Aベストアンサー

自宅とVPN接続先(会社)サブネットが同じ 192.168.1.0/24 なのでこのような結果になってしまいますね。

対応としては、
(1)自宅のネットワークを 192.168.1.0/24 以外にする
(2)VPN接続後にルーティング情報を追加する
になると思います。

(1)が可能であればこちらの方がいいですね。

(2)は 192.168.1.201 のサーバのみに接続出来ればいいのであれば以下のコマンドをVPN接続が確立した後に実行します。

route add 192.168.1.201 mask 255.255.255.255 192.168.1.8 metric 1 if xxx

xxxは route print コマンドで出てくるVPN接続のインターフェースIDです。
(if以降は無くてもいいかもです)
192.168.1.8の部分も接続時に可変となる可能性がありますのでその都度「PPP adapter XXXXX:」側のIPアドレスに合わせます。

これで 192.168.1.201 だけならば接続出来ると思います。
複数のサーバに接続が必要ならばその分このコマンドを実行する必要があります。

毎回毎回VPN接続時に入力が必要なので可能なら(1)ですね。

自宅とVPN接続先(会社)サブネットが同じ 192.168.1.0/24 なのでこのような結果になってしまいますね。

対応としては、
(1)自宅のネットワークを 192.168.1.0/24 以外にする
(2)VPN接続後にルーティング情報を追加する
になると思います。

(1)が可能であればこちらの方がいいですね。

(2)は 192.168.1.201 のサーバのみに接続出来ればいいのであれば以下のコマンドをVPN接続が確立した後に実行します。

route add 192.168.1.201 mask 255.255.255.255 192.168.1.8 metric 1 if xxx

xxxは route print コマン...続きを読む


人気Q&Aランキング

おすすめ情報