5.2.6 セキュリティ
●RADIUS(Remote Access Dial In User Service)クライアント
リモートアクセスは元来,Livingstone Enterprises社が開発したRADIUSクライアントとRADIUSサーバー間でAAA情報交換する際に使用されていた標準プロトコルである。しかし現在では,IETF標準プロトコルとして制定されており,ISPが幅広く採用している業界標準の認証プロトコルでもある。実際,いろいろなネットワークデバイスにRADIUSクライアントが組み込まれている。
AAAとは,ネットワーク上のアクセス制御プロトコルを使用する方法である。認証(Aythentication),権限の確認(Authoaization),課金(Accounting)という3つの機能を実行する。AAAには,AAAクライアントとAAAサーバーという2つのコンポーネントが必要となる。AAAクライアントとAAAサーバー間のプロトコルには,一般的にRADIUSまたはTACACS(Terminal Access Contoroller Access Contorol System)が使用される。
リモートアクセスユーザーは,PPPのLCPまたはCHAPやPAPを使用して,ユーザー名とパスワードをリモートアクセスサーバー(RADIUSクライアント)に送信する。それを受信したRADIUSクライアントは,その情報をRADIUSサーバーに送信して認証を求める。さらにRADIUSサーバーは,その情報をKerberosなどのセキュリティシステムに送り,ユーザーを認証し,RADIUSクライアント経由でアクセス許可を与えるのである。
Fig.5-24 RADIUSシステムの概念図
Windows 2000 Serverが動作しているコンピュータであれば,RADIUSサーバーに対するRADIUSクライアントとして動作させることができ,Windows 2000 Serverのルーティングとリモートアクセスサービスは,リモート接続に対するRADIUS認証と認可,課金(アカウンティング)をサポートしている。また,Windows 2000 Serverのインターネット認証サービスは,RADIUSサーバーとして構成することもできる。
 |
Chapter 5 21/25 |  |
