RADIUS サーバ認証による管理者アカウントの作成

RADIUS(Remote Authentication Dial-In User Service)は、外部認証方式の1つで、認証機能をアクセスサーバから分離することにより、セキュリティとスケーラビリティを実現するものです。RADIUSの場合、Security Management Serverは認証要求をRADIUSサーバに転送する。管理者のアカウント情報を保存しているRADIUSサーバが認証を行う。RADIUSプロトコルは、UDPを使用してセキュリティゲートウェイまたはSecurity Management Serverと通信します。。

SmartConsoleの管理者のRADIUS認証は、RADIUSサーバまたはRADIUSサーバグループを通して行うことができます。SmartConsoleでRADIUSサーバとRADIUSサーバグループオブジェクトを定義します。RADIUSサーバグループは、同一のRADIUSサーバからなるハイアベイラビリティなグループであり、システム内の任意またはすべてのRADIUSサーバが含まれます。グループを作成する際に、グループ内の各サーバに優先順位を定義します。優先順位の高いサーバに障害が発生すると、グループ内で次に優先順位の高いサーバに引き継がれ、その後も同様になります。RADIUSサーバのグループを定義する場合、グループの全メンバは同じプロトコルを使用しなければなりません。

RADIUSサーバの設定方法については、ベンダーのドキュメントを参照してください。

RADIUS サーバ認証を構成した後、さらに、証明書ファイルによる認証を構成できます。管理者は、RADIUSサーバまたは証明書ファイルを使用してSmartConsoleを認証できます。

SmartConsoleで証明書ファイルを作成します。管理者は、証明書を使用して、SmartConsoleに2つの方法でログインできます:

  • Certificate File 、SmartConsoleにログインします。証明書ファイルを使用するには、管理者がパスワードを提供する必要がある。

  • Microsoft Windows SmartConsoleコンピュータのWindows証明書ストアに証明書ファイルをインポートできます。管理者は、この保存された証明書を使用して、CAPI証明書オプションを使用してSmartConsoleにログインできます。管理者がログインする際にパスワードを入力する必要はない。

管理者は、他の管理者に証明書を渡して、自分の管理者アカウントなしでSmartConsoleにログインさせることもできます。

管理者の RADIUS サーバ認証を設定する手順

    1. オブジェクトエクスプローラーを開き、New >More >Server > RADIUSを選択します。

    2. サーバにNameを指定します。任意の名前を選択できます。

    3. Hostフィールドで、ドロップダウン矢印をクリックし、Newをクリックして、RADIUSサーバのNew HostIP addressを作成します。

    4. クリックOK

      このホストが、New RADIUSウィンドウのHostフィールドに表示されるようになりました。

    5. Shared Secretフィールドに、以前に RADIUSサーバで定義した秘密キーを入力します。

    6. クリックOK

    7. SmartConsoleセッションを公開する。

    1. Manage & Settings >Permissions & Administrators >Administrators > へ移動します。クリックNew

      New Administratorウィンドウが開きます。

    2. 管理者にRADIUSサーバで定義した名前を付けます。

    3. Authentication methodで、RADIUSを選択します。

    4. 先ほど定義したRADIUS Serverを選択します。

    5. オプション: Authentication セクション > Certificate Information で、Createをクリック:

      1. パスワードを入力します。

      2. クリックOK

      3. 証明書ファイルをSmartConsoleコンピュータの安全な場所に保存します。

        注:

        • File nameフィールドにログイン名が含まれていることを確認してください。

        • Save as typeドロップダウンリストで「Certificate Files (*p12)」が選択されていることを確認します。証明書ファイルは PKCS #12 形式で、拡張子は.p12です。

        • パスワードは、証明書ファイル内の機密データを保護するために必要です。証明書ファイルには秘密キーが含まれています。証明書が発行されたら、それをファイルに保存し、管理者にこのファイルとパスワードを渡します。管理者は、SmartConsoleでSecurity Management Serverにログインする際に、この証明書で認証を行うことができます。

    6. Permission Profileを割り当てます。

      参照: 管理者への権限プロファイルの割り当て

    7. Expiration 、有効期限を選択し、有効な将来の日付に設定されていることを確認してください。

    8. クリックOK

    9. SmartConsoleセッションを公開する。

    1. SmartConsoleで、以下の説明に従って、サーバグループに含めるすべてのサーバを設定します。管理者の RADIUS サーバ認証を設定する手順

      各サーバについて、グループ内の優先順位を入力します。数字が小さいほど優先順位が高くなります。

      たとえば、優先度1、2、3の3台のサーバでグループを作成した場合、1番のサーバが1番目に、2番のサーバが2番目に、3番のサーバが3番目にアプローチされます。

    2. サーバグループを作成します:SmartConsole のオブジェクトエクスプローラーで、New >Server >More >RADIUS Group をクリックします。

    3. グループのプロパティを設定し、サーバをグループに追加します。

      1. グループにNameを付けます。任意の名前を選択できます。

      2. 追加する各サーバのプラス(+)をクリックし、ドロップダウンリストから各サーバを選択します。

      3. クリックOK

      4. SmartConsoleセッションを公開する。

  		4.

    - この手順は、管理者オブジェクトで証明書認証を作成し、CAPI証明書オプションを使用してSmartConsoleにログインする場合に適用されます。

    1. 必要な管理者を作成したときに保存した *.p12 ファイルを右クリックし、Install PFX をクリックします。

      Certificate Import Wizardが開きます。

    2. Store Location 、該当するオプションを選択する:

      • Current User(これはデフォルトです)

      • Local Machine

    3. Nextをクリックします。

    4. 必要な管理者証明書を作成したときに使用したのと同じ証明書パスワードを入力する。

    5. Enable strong private key protectionをクリアします。

    6. Mark this key as exportableを選択します。

    7. Nextをクリックします。

    8. Place all certificates in the following store を選択し、Browse >Personal >OK をクリックする。

    9. Nextをクリックします。

    10. Finishをクリックします。