QNAPのRADIUSと有線LANネットワークで認証の仕組みを理解する

ts-251-1

企業内のネットワークにPCやスマートフォンなどの無断接続を防ぐための方法として、L2ブロッカーなどの製品を利用して許可されたMACアドレスを持つ端末だけをネットワーク接続できるようする方法と、RADIUS認証のようにIDとパスワードを利用者に入力させてネットワークの接続を許可する方法があります。

今回は、有線LANへのネットワーク接続で使用されるRADIUSサーバを、QNAPのTS-251を使用して構築する手順について説明します。※無線LANも基本的に仕組みは同じですが、クライアント側の設定が異なるので分けて説明します。

RADIUSは意外と簡単

RADIUSに関する資料を読むと、専門的な用語が多くて何だか難しく思えるのですが、一度環境を構築してしまえば理解が速まるのではないかと思います。

ただ、RADIUSの事をインターネットで検索してると、Windows ServerやLinuxでRADIUSサーバを構築する方法がヒットするのですが、サーバOSでのRADIUS環境構築は手順が多く手軽さに欠けるので、RADIUSを手軽に勉強するには向いていないと思います。

また、企業で使う無線LANアクセスポイントにはRADIUS認証の機能を内蔵する物もあり、無線LANのアクセスポイントへ接続するための認証にRADIUSを使うなんてことが簡単にできてしまいますが、これだとRADIUSに対する理解が深まらないので、今回はQNAPのRADIUSとバッファローの企業向け有線LANスイッチを使用して説明します。

企業向けの有線LANスイッチと言っても、バッファロー製品はアライドのスイッチよりも設定項目が少ないので、RADIUSの勉強をするには丁度良いのではないでしょうか。

何だか難しそうに思えるRADIUSも、QNAPとバッファローという名前を聞くだけで簡単に思えるから不思議です。

もちろん、RADIUSを細かく本格的に勉強したい場合は、Windows ServerやLinuxでRADIUSサーバを構築するのが良いと思いますが、世の中にはRADIUSサーバを手軽に導入できる専用機もあるくらいなので、仕組みを理解するだけならQNAPで十分です。

有線LANのRADIUS認証に必要なもの

ここで説明する有線LANのRADIUS認証の環境構築には、RADIUSサーバと外部認証に対応したネットワークスイッチ、そしてクライアントPCのサプリカントです。

RADIUSサーバはQNAPで構築しますので追加の費用は発生しませんが、自宅でネットワークの勉強をするにはどうしても機材が必要となります。

個人で企業と同じ機器を購入するのは難しいのですが、企業用でもバッファローのスイッチなら個人でも購入できるくらいの値段です。

今回のテストで使用する有線LANスイッチは、BSL-PS-2108MRですが古い機種なので、通信速度が100Mbpsまでの対応となりますが、POEに対応しているので何かとテストをするには便利です。

※テストして判明した事ですが、今回使用したBSL-PS-2108MRとQNAPのRADIUSの組み合わせでは、リセットタイマー(再認証までの時間)で設定した時間が経過すると、クラインと側のネットワーク接続が切れてしまいます。
※QNAPのRADIUS側に問題があるのか、スイッチ側に問題があるのか今の時点では検証が取れていませんが、別のメーカーのネットワークスイッチで動作確認を行い後日報告する予定です。

POEが必要なければギガビットに対応した安価なスイッチが発売されていますので、そちらを選んで購入された方が良いでしょう。

そして、クライアントPCに必要なサプリカントですが、今回テストするWindows8には標準で組み込まれているので、こちらも追加で購入する必要はありませんが、サービスの設定が必要なので後ほど説明いたします。

外部認証サーバとしてQNAPを設定する

前置きが随分と長くなりましたが、QNAPのRADIUSを使用したネットワーク認証の環境を構築する説明を開始します。

QNAPの管理画面へログオンしコントロールパネルへアクセスしてからリストからRADIUSサーバをクリックしてください。

radius-qnap1

RADIUSサーバの設定タブにある「RADIUSサーバを有効にする」にチェックを入れて「適用」をクリックします。

radius-qnap2

次に、RADIUSクライアントタブをクリックし、「クライアントの作成」をクリックします。ここで作成するクライアントとは、RADIUS認証を行う通信機器のことで、ここで入力する情報を外部認証機能を持つネットワークスイッチに設定します。

radius-qnap3

クライアントの編集画面が表示されたら、会社もしくは自宅のネットワークのアドレスを「IPアドレス」に入力します。IPアドレスはサーバやルータなどのIPではなく、ネットワーク自体のアドレスになるので、間違わないようにしてください。

我が家のネットワークは、ルーターやデフォルトゲートウェイのアドレスを192.168.0.1に設定しているので、ここで入力するIPアドレスは「192.168.0.0」となります。

次に、プレフィックス長を入力します。ほとんどのご家庭のルータに設定されているサブネットマスク、「255.255.255.0」だと思いますので、ここでは「24」と入力すれば良いのですが、サブネットマスクが「255.255.255.0」以外に設定にされている場合は、IPアドレスサブネットマスク長早見表で検索するとサブネットマスク長(プレフィックス長)がわかりやすい表になっていますので、調べて適切な値を入力してください。

最後に「秘密キー」を英数字で入力したら「適用ボタン」クリックします。秘密キーは、RADIUS認証で使用する機器にも設定する情報です。

radius-qnap4

クライアントの設定が完了するとRADIUSクライアントの情報が一覧で表示さます。

radius-qnap5

次に、RADIUSユーザタブにある「ユーザーの作成」をクリックします。ここで作成するユーザーとは、クライアントPCの画面で入力するユーザー名とパスワードのことをいいます。

radius-qnap6

クライアントPCで入力するユーザー名とパスワードを入力したら「適用」をクリックします。

radius-qnap7

ユーザーの作成が完了したらQNAPのRADIUSサーバの設定は完了です。

radius-qnap8

次は有線LANスイッチの設定となりますが、続きは下記の関連記事からご覧になれます。

有線LANスイッチのRADIUS設定とWindowsのサプリカントの設定

2015.06.05

この記事をシェアしてみませんか?

コメントを残す


*