RADIUSサーバーや認証について聞いたことがあるなら、「RADIUSとは何だろう?」と思うかもしれません。RADIUSクライアントとサーバーは重要な認証ツールであるため、その役割、仕組み、そしてFoxpassのようなソリューションにおいて重要である理由を理解することが大切です。
RADIUSとは何ですか?
Remote Authentication Dial-In User Service (RADIUS) は、アプリケーション層で動作するクライアントサーバー型のネットワークプロトコルです。RADIUSプロトコルは、RADIUS ServerとRADIUS Clientsを使用します。
RADIUS Client(またはネットワークアクセスサーバー)は、ユーザー認証に使用されるネットワーク機器(VPNコンセントレーター、ルーター、スイッチなど)です。
RADIUS Server は、UNIX または Windows サーバー上で実行されるバックグラウンドプロセスです。ユーザープロファイルを中央データベースで管理できます。RADIUSサーバーがあれば、ネットワークに接続できるユーザーを管理できます。
ユーザーがRADIUSクライアントへの接続を試みると、クライアントはRADIUSサーバーにリクエストを送信します。ユーザーは、RADIUS Server がユーザーを認証して承認した場合にのみ、RADIUS Client に接続できます。
RADIUSサーバーの動作は、RADIUSエコシステムの正確な性質によって異なります。ただし、すべてのサーバーにはAAA機能(認証、認可、アカウンティング)があります。一部のRADIUSエコシステムでは、RADIUS Serverが他のRADIUS Serverに対するプロキシクライアントとして機能することもあります。
RADIUSサーバーは、企業が自社のシステムとユーザーのプライバシーおよびセキュリティを維持できるようにし、セキュリティ管理を支援するとともに、サーバー管理のためのポリシー作成に役立ちます。
RADIUS Serverの認証と認可はどのように機能しますか?
RADIUSサーバーは、ユーザーを認証するためのさまざまな方法をサポートしています。RADIUS Serverの認証と認可は密接に関連しており、通常はユーザーがユーザー名とパスワードを使ってRADIUS Clientへの接続を試みるときに開始されます。
基本的なRADIUS認証と認可のプロセスには、次のステップが含まれます。
RADIUSクライアントはRADIUSへの認証を試みます
ユーザーの資格情報(ユーザー名とパスワード)を使用するサーバー。
クライアントはRADIUSサーバーにAccess-Requestメッセージを送信します。パスワードはAccess-Requestメッセージ内で常に暗号化されます。
RADIUSサーバーは共有シークレットを読み取り、確認します
Access-Requestメッセージが認証されたクライアントからのものであること。そうでない場合、メッセージは破棄されます。
クライアントが認証されると、RADIUS Server は要求された認証方法を読み取ります。
使用する認証方法が許可されている場合、RADIUS Server はメッセージからユーザーの資格情報を読み取り�、その資格情報をユーザーデータベースと照合します。一致するものがある場合、RADIUS Serverは抽出します
ユーザーデータベースの追加ユーザー詳細。
RADIUSサーバーは、ユーザーの資格情報に一致するアクセスポリシーまたはプロファイルがあるかどうかを確認するようになりました。
一致するポリシーがない場合、サーバーはAccess-Rejectメッセージを送信します。RADIUSトランザクションは終了し、ユーザーのシステムへのアクセスは拒否されます。
一致するポリシーがある場合、RADIUS Server はデバイスに Access-Accept メッセージを送信します。
Access-Acceptメッセージは、共有シークレットとFilter ID属性で構成されます。共有シークレットが一致しない場合、RADIUS Client はそのメッセージを拒否します。
共有シークレットが一致する場合、クライアントはFilter ID属性の値を読み取ります。フィルターIDは文字列です。RADIUSクライアントはユーザーを特定のRADIUSに接続します
このFilter IDを使用するグループ。(RADIUSグループとは、同じFilterID値を持つユーザーのグループのことで、Sales、Networking、HR、ITなどの機能別グループにユーザーを分類しやすくします。)
ユーザーは最終的に認証と認可が完了し、RADIUS Client へのアクセス権を取得します。
これはほんの一瞬で行われ、承認されたすべてのユーザーに高速で安全なネットワークアクセスを提供します。
RADIUS Server / RADIUS Authentication のアカウンティングはどのように機能しますか?
RADIUSサーバーは、ネットワーク監視、請求、または統計目的のデータを収集することで、アカウンティング目的にも使用されます。通常、アカウンティングプロセスは、ユーザーにRADIUS Serverへのアクセスが付与されたときに開始されます。ただし、RADIUS accounting は、RADIUS認証および認可とは独立して使用することもできます。
基本的なRADIUSアカウンティングのプロセスには、次の手順が含まれます:
このプロセスは、ユーザーにRADIUS Serverへのアクセスが付与されたときに開始されます。
RADIUS Clientは、Accounting Startと呼ばれるRADIUS Accounting-RequestパケットをRADIUS Serverに送信します。リクエストパケットは、ユーザーID、ネットワークアドレス、セッション識別子、およびアクセスポイントで構成されます。
セッション中、Client は追加の Accounting-Request パケット(Interim Updates と呼ばれます)を RADIUS Server に送信する場合があります。これらのパケットには、現在のセッション時間やデータ使用量などの詳細が含まれます。このパケットは、ユーザーのセッションに関する情報をRADIUS Serverに更新するためのものです。
ユーザーのRADIUS Serverへのアクセスが終了すると、RADIUS Clientは別のAccounting-Requestパケット(Accounting Stopと呼ばれる)をRADIUS Serverに送信します。このパケットには、合計時間、データ、転送されたパケット、切断の理由、およびユーザーのセッションに関連するその他の情報が含まれます。
結論
RADIUSサーバーは、組織の機密情報を保護し、外部の不正な第三者への情報漏えいを防ぎます。さらに、簡単に減価償却できる機能があり、各ユーザーに固�有のネットワークアクセス許可を割り当てられるほか、大きな変更を加えることなく既存のシステムに統合できます。これらすべてに加え、さらに多くの機能を備えているため、認証、アクセス、セキュリティに役立つ価値あるツールとなっています。
RADIUSサーバーの用途とメリットは幅広く、セキュリティの強化、管理のしやすさ、ロールベースのアクセス制御の実装などに及びます。現在のシステムにRADIUSエコシステムを簡単に統合したい場合は、今すぐFoxpassにお問い合わせいただき、クラウドホスト型のRADIUSとLDAPで何ができるかをご確認ください。
Wi-FiはWi-Fi Alliance®の商標です
