5.2.7 リモートアクセスポリシー
Windows 2000のルーティングとリモートアクセスサービスやインターネット認証サービス(IAS)は,クライアントから接続要求を受け付けると,リモートアクセスポリシーに基づいてアクセスを許可したり接続プロパティを制御したりする。
●ユーザー管理モデルとドメインポリシー管理モデル
リモートアクセスの管理モデルには,ユーザー管理モデルとドメインポリシー管理モデルという2種類がある。前者は,従来のWindows NTにおけるリモートアクセス管理と同様,ユーザーごと個別にアクセスの許可や拒否などを設定する方法である。これに対して後者は,ドメインポリシーを用いてリモートアクセスポリシーを一括制御する方法である。
ドメインポリシー管理モデルを適用できるのは,基本的にWindows 2000 Serverだけである。Active Directoryドメインを混在モードで運用している場合に,メンバサーバーであるWindows NT 4.0をリモートアクセスサーバーとして構成しても,ポリシー単位でアクセスを制御することはできない。ただし,英語版のWindows NT 4.0にアドオンコンポーネントであるRRAS(Steelhead)を導入し,さらにそのRRASサーバーをWindows 2000インターネット認証サービスのRADIUSクライアントとして構成している場合は,混在モードに参加しているWindows NT 4.0でも,ドメインポリシー単位でアクセスを制御できるようになる。英語版Windows NT 4.0用のRRASは,Service Pack 5以降に収録されている。
●リモートアクセスポリシーによるアクセス制御
リモートアクセスポリシーによるアクセス制御は,「条件」,「アクセス制御」,「プロファイル」という3つの構成要素によって実現される。「条件」は,属性リストで定義されている時刻,ユーザー名,グループ名,呼び出し元のID,IPアドレスなどに基づいて設定する。「アクセス制御」は,特定のユーザーアカウントに対してリモートアクセスを許可するか否かを設定する。「プロファイル」は,コネクションに割り当てられた属性である。プロファイルには,コネクションの時間長,時間帯,認証用件,暗号化用件,マルチリンク制御,IPフィルタなどを設定し,この設定と一致しなければ,リモートアクセスを拒否する。リモートアクセスポリシーは複数作成することができ,最初のポリシーを満足していない場合は,次のポリシーを照合する。プロファイルを特定のポリシーに関連付けることもできる。
リモートアクセスサーバーは,リモートアクセスクライアントから接続要求があると,アクセス時刻,ユーザー名,呼び出し元のIDといった属性リストと照合し,一致した場合には次にユーザーアカウントに対するダイヤルインプロパティと照合する。リモートアクセスサーバーがActive Directoryドメインのメンバサーバーとして構築されているのであれば,Active Directoryのユーザーアカウントのダイヤルインプロパティを利用することもできる。最後に,ダイヤルインプロファイルのプロパティと照合され,一致すればアクセスは許可される。
Fig.5-27 リモートアクセスポリシーの設定
リモートアクセスポリシーを作成する場合には,[ルーティングとリモートアクセス]管理ツールのコンソールツリーで[リモートアクセスポリシー]を右クリックし,表示されたメニューから[新しいリモートアクセスポリシー]を選択する。[リモートアクセスポリシーの追加]ウィザードが起動するので,指示に従って設定する。
デフォルトでは,[ダイヤルインのアクセス許可が有効な場合,アクセスを許可する]というリモートアクセスポリシーが用意されているが,条件を満たしても[リモートアクセス許可を拒否する]ように設定されているため,実際にはリモートアクセスサーバーに接続することはできない。[ダイヤルインのアクセス許可が有効な場合,アクセスを許可する]ポリシーを有効にしたければ,明示的に[リモートアクセス許可を与える]を選択しなければならない。
○ユーザーアカウントのダイヤルインプロパティ
リモートアクセスサーバーをActive Directoryドメインのメンバサーバーとして構築している場合,ユーザーアカウントのダイヤルインプロパティを利用してリモートアクセスを制御することもできる。[Active Directoryユーザーとコンピュータ]管理ツールからリモートアクセスを許可するユーザーを選択し,右クリックすると表示されるメニューから[プロパティ]を選択する。ユーザーのプロパティダイアログボックスが表示されるので,[ダイヤルイン]パネルを開き,ダイヤルインプロパティを設定する。ダイヤルインプロパティとしては,リモートアクセスの許可または拒否,発信者番号の確認,コールバックオプションの設定,IPルーティングの設定が用意されている。
また,リモートアクセスサーバーがスタンドアロンサーバーまたはActive Directoryドメインコントローラではないメンバサーバーで,ローカルユーザーアカウントを使用する場合は,[コンピュータの管理]管理ツールを起動し,コンソールツリーで[ユーザー]をクリックする。一覧表示されているユーザー名を右クリックし,表示されたメニューから[プロパティ]を選択する。ユーザーのプロパティダイアログボックスが表示されるので,[ダイヤルイン]パネルを開き,[リモートアクセスの許可(ダイヤルインまたはVPN)]から[アクセスを許可する]または[リモートアクセスポリシーを使ってアクセスを制御する]を選択する。
Fig.5-28 [ダイヤルイン]パネル
○ダイヤルインプロファイル
ダイヤルインプロファイルは,リモートアクセスクライアントに許可するサービス内容を定義するものである。ダイヤルインプロファイルを設定するには,[ルーティングとリモートアクセス]管理ツールのコンソールツリーで[リモートアクセスポリシー]をクリックし,リモートアクセスポリシーのプロパティを表示し,[プロファイルの編集]ボタンを押す。[ダイヤルインプロファイルの編集]ダイアログボックスが表示されるので,必要な項目を設定する。
[ダイヤルインの制限]パネルでは,切断までの時間,セッションの最大時間長,アクセス日時,ダイヤルイン電話番号,ダイヤルイン通信媒体の種類を設定する。
Fig.5-29 [ダイヤルインの制限]パネル
[IP]パネルでは,クライアントのIPアドレスを割り当てたり,IPパケットフィルタを構成したりする。
Fig.5-30 [IP]パネル
[マルチリンク]パネルでは,マルチリンク接続の利用可否や,帯域幅の割り当て条件を構成する。この設定によって,回線の稼働率が一定時間にわたって一定以下になった場合には,自動的に1回線を削減する。一般的には,デフォルトのままでかまわない。
Fig.5-31 [マルチリンク]パネル
[認証]パネルでは,使用するユーザー認証方式を選択できる。PPP接続やPPTP接続でデータを暗号化できるのは,認証プロトコルとしてMS-CHAP(v1またはv2)またはEAP-TLSを利用する場合だけである。L2TP接続におけるデータの暗号化は,IPSecによって制御される。[認証されていないアクセス]で[リモートPPPクライアントが認証方法をネゴシエートせずに接続できるようにする]を有効にすると,ユーザーのアカウント情報を持たないユーザーもアクセスできるようになる。[認証されていないアクセス]として,呼び出された側の電話番号に基づくDNIS(Dialed Number Identification Service)認証,呼び出した側の電話番号に基づくANI/CLI(Automatic Number Identification/Calling Line Identification)認証 ,Guestアカウントを利用した呼び出し側のIDに基づくゲスト認証がサポートされている。
Fig.5-32 [認証]パネル
[暗号化]パネルでは,このプロファイルで許可される暗号化レベルを指定する。[基本]を選択した場合,40ビットのDES暗号化を使用する。性能は向上するものの,安全性はほかのオプションより低くなる。[強力]を選択した場合,56ビットのDES暗号化を使用するようになる。米国バージョンのWindows 2000 Serverには,さらに強力なトリプルDES暗号化を使用するオプションも用意されている(選択肢は[最強]であるが,RC2では選択できるパネルとできないパネルがある)。
Fig.5-33 [暗号化]パネル
[詳細]パネルでは,マイクロソフト以外のRADIUSサーバーから送信されてくる追加ネットワークパラメータを指定する。
Fig.5-34 [詳細]パネル
Chapter 5 24/25 |