- X: ご自身のPod番号
- RADIUSサーバー役: WinSrv2(WSrv2-yyMMddX)
- ユーザー データベース役(Active Directory ドメインコントローラー): WinSrv1(WSrv1-yyMMddX)
- RADIUSクライアント役: Router2
- ユーザー: WinClient(WC1-yyMMddX)
- 手順例の画像はpod255に準拠したパラメータのものです
- 手順内のX表記はご自身のpod番号に読み替えてください
-
Active Directory サーバー(WinSrv1)の管理画面に接続する
-
Active Directoryユーザー 管理コンソール("Active Directoryユーザーとコンピューター")を起動する
-
[Active Directory ユーザーとコンピューター]-[example.local]-[Groups]に、新しいActive Directory ユーザーグループ(G_NwAdmins)を以下のパラメータで作成する
項目 パラメータ グループ名 G_NwAdmins グループ名(Windows2000より以前) G_NwAdmins グループのスコープ:
- ドメイン ローカル
- グローバル
- ユニバーサル
グループの種類:
- セキュリティ
- 配布
【注意】
"G_NwAdmins"グループのスコープは "グローバル" を選択します -
作成した"G_NwAdmins"グループのメンバーとして、Active Directoryユーザーの"Tom"を追加する
-
[Active Directory ユーザーとコンピューター]-[example.local]-[Groups]に、新しいActive Directory ユーザーグループ(DL_Router_RemoteConnect)を以下のパラメータで作成する
項目 パラメータ グループ名 DL_Router_RemoteConnect グループ名(Windows2000より以前) DL_Router_RemoteConnect グループのスコープ:
- ドメイン ローカル
- グローバル
- ユニバーサル
グループの種類:
- セキュリティ
- 配布
【注意】
"DL_Router_RemoteConnect"グループのスコープは "ドメインローカル" を選択します -
作成した"DL_Router_RemoteConnect"グループのメンバーとして、Active Directoryグループの"G_NwAdmins"を追加する
【補足】 この演習では、Active DirectoryユーザーのTomがRouterに管理接続できるように構成します。
最終的に、以下のフローでTomのRouter管理接続が許可されます。Loadinggraph TD; TomがClientからRouterに管理接続-->RADIUSクライアントのRouter RADIUSクライアントのRouter-->RADIUSサーバーのネットワークポリシーサーバー; RADIUSサーバーのネットワークポリシーサーバー-->認証サーバーのActiveDirectory; 認証サーバーのActiveDirectory-->DL_Router_RemoteConnectグループ; DL_Router_RemoteConnectグループ-->メンバーのG_NwAdminsグループ; メンバーのG_NwAdminsグループ-->メンバーのTomユーザー; メンバーのTomユーザー-->Tomの管理接続を許可する;
-
RADIUSサーバー(WinSrv2)の管理画面に接続する
-
役割と機能の追加ウィザードを開始する
- [スタートメニュー]をクリックする
- スタートメニュー内の[サーバー マネージャー]をクリックし、サーバーマネージャを起動する
- サーバーマネージャーのダッシュボード画面内の[役割と機能の追加]をクリックする
- [役割と機能の追加ウィザード]ウィンドウが起動したことを確認する
-
RADIUSサーバー("ネットワーク ポリシーとアクセス サービス")の役割を追加する
-
[役割と機能の追加ウィザード]ウィンドウの[開始する前に]画面で、[次へ]をクリックする
-
[インストールの種類]画面で、[次へ]をクリックする
-
[サーバーの選択]画面で、[次へ]をクリックする
-
[サーバーの役割]画面で、以下のパラメータを選択する
- ネットワーク ポリシーとアクセス サービス
【補足】
"ネットワーク ポリシーとアクセス サービス"のチェックをつけると、[ネットワーク ポリシーとアクセス サービスに必要な機能を追加しますか?]の確認ポップアップが表示されます。
[ネットワーク ポリシーとアクセス ービスに必要な機能を追加しますか?]ウィンドウで、[機能の追加] をクリックします。
-
[サーバーの役割]画面で、上のパラメータを選択したことを確認し、[次へ]をクリックする
-
[機能の選択]画面で、[次へ]をクリックする
-
[ネットワーク ポリシーとアクセス サービス]画面で、[次へ]をクリックする
-
[確認]画面で、[インストール]をクリックする
-
[結果]画面で、インストール進捗を示すプログレスバーが右端に到達するまで数分間待機する
-
[結果]画面で、インストールが正常に完了したことを確認し、[閉じる]をクリックする
-
-
ネットワーク ポリシー サーバー(NPS)管理コンソールを起動する
- サーバーマネージャーウィンドウ右上の[ツール]をクリックする
- メニュー内の[ネットワーク ポリシー サーバー]をクリックし、NPS管理コンソールを起動する
- [ネットワーク ポリシー サーバー]管理コンソールが起動したことを確認する
-
RADIUSクライアントを新規登録する
-
左側コンソールツリーの[NPS(ローカル)]-[RADIUSクライアントとサーバー]-[RADIUSクライアント]をクリックする
-
[RADIUSクライアント]を右クリックし、コンテキストメニュー内の[新規]をクリックする
-
[新しいRADIUSクライアント]ウィンドウが表示されたことを確認する
-
[新しいRADIUSクライアント]ウィンドウで、以下のパラメータを入力する
-
このRADIUSクライアントを有効にする
-
既存のテンプレートを選択する
フレンドリ名:
Router2 アドレス(IPまたはDNS):
10.X.2.254 既存の共有シークレット テンプレートを選択する:
なし - 手動
- 生成
共有シークレット:
Pa$$w0rd 共有シークレットの確認入力:
Pa$$w0rd 
-
-
[新しいRADIUSクライアント]ウィンドウで、[OK]をクリックする
-
-
RADIUSクライアントの登録を確認する
-
[RADIUSクライアント]の一覧に、Router2の情報が追加されていることを確認する
-
-
左側コンソールツリーの[NPS(ローカル)]-[ポリシー]-[ネットワーク ポリシー]をクリックする
-
[ネットワーク ポリシー]を右クリックし、コンテキストメニュー内の[新規]をクリックする
-
[新しいネットワーク ポリシー]ウィンドウが表示されたことを確認する
-
[新しいネットワーク ポリシー]ウィンドウで、以下の手順の操作をする
-
[ネットワークポリシー名と接続の種類の指定]画面で、以下のパラメータを入力する
ポリシー名:
Active Directory Authentication-
ネットワークアクセスサーバーの種類
指定なし -
ベンダー固有
10
-
-
[ネットワークポリシー名と接続の種類の指定]画面で、[次へ]をクリックする
-
[条件の指定]画面で、[追加]をクリックする
-
[条件の選択]ウィンドウが表示されたことを確認する
-
[条件の選択]ウィンドウで、[ユーザーグループ]をクリックして選択する
-
[条件の選択]ウィンドウで、[追加]をクリックする
-
[ユーザーグループ]ウィンドウが表示されたことを確認する
-
[ユーザーグループ]ウィンドウで、[グループの追加]をクリックする
-
[グループの選択]ウィンドウが表示されたことを確認する
-
[グループの選択]ウィンドウで、以下のパラメータを入力する
選択するオブジェクト名を入力してください:
DL_Router_RemoteConnect -
[グループの選択]ウィンドウで、[名前の確認]をクリックする
-
[ネットワーク資格情報の入力]ウィンドウが表示されたことを確認する
-
[ネットワーク資格情報の入力]ウィンドウで、以下のパラメータを入力する
ユーザー名:
Spikeパスワード:
Pa$$w0rd
-
[ネットワーク資格情報の入力]ウィンドウで、[OK]をクリックする
-
[グループの選択]ウィンドウで、[OK]をクリックする
-
[ユーザーグループ]ウィンドウで、[OK]をクリックする
-
[条件の指定]画面で、[次へ]をクリックする
-
[アクセス許可の指定]画面で、[次へ]をクリックする
-
[認証方法の構成]画面で、以下のパラメータを選択する
EAPの種類:
<空欄>セキュリティレベルの低い認証方法:
- Microsoft暗号化認証バージョン 2 (MS-CHAP v2)
- パスワードの期限が切れた後も、ユーザーにパスワードの変更を許可する
- Microsoft暗号化認証 (MS-CHAP)
- パスワードの期限が切れた後も、ユーザーにパスワードの変更を許可する
- 暗号化認証 (CHAP)
- 暗号化されていない認証 (PAP、SAP)
- 認証方法をネゴシエートせずにクライアントに接続を許可する
- Microsoft暗号化認証バージョン 2 (MS-CHAP v2)
-
[認証方法の構成]画面で、[次へ]をクリックする
-
[接続要求ポリシー]のポップアップで、[いいえ]をクリックする
-
[制約の構成]画面で、[次へ]をクリックする
-
[設定の構成]画面で、[次へ]をクリックする
-
[新しいネットワーク ポリシーの完了]画面で、[完了]をクリックする
-
-
ネットワークポリシーを確認する
-
[ネットワーク ポリシー]の一覧に、[Active Directory Authentication]が追加されていることを確認する
-
-
Router2の管理画面に接続する
-
以下のコマンドを実行し、ログイン時のRADIUS認証を構成する
configure
set system login radius server 10.X.2.105 key 'Pa$$w0rd'
set system login radius source-address 10.X.2.254
committrainocatenwadmin@Router2:~$ configure [edit] trainocatenwadmin@Router2# set system login radius server 10.255.2.105 key 'Pa$$w0rd' [edit] trainocatenwadmin@Router2# set system login radius source-address 10.255.2.254 [edit] trainocatenwadmin@Router2# commit [edit] trainocatenwadmin@Router2#
-
SSH Clientでターミナルソフト(Teraterm)を起動する
- 操作コンピュータを変更するため、演習環境のトップページに戻る
- Windows Client(WinClient)の管理画面に "admin" で接続する
- [スタートメニュー]-[T]-[Tera Term]-[Tera Term]をクリックする
- [Tera Term]が起動されたことを確認する
-
Router2にSSHで接続し、RADIUS認証が成功することを確認する
-
[Tera Term:新しい接続]ポップアップで以下のパラメータを入力する
-
TCP/IP
ホスト:10.X.2.254- ヒストリ
サービス:
- Telnet
- SSH
- その他
TCPポート番号:
22SSHバージョン:
SSH2IPバージョン:
AUTO -
シリアル
ポート:COM2 Communications Port(COM2)
-
-
[Tera Term:新しい接続]ポップアップで[OK]をクリックする
-
[セキュリティ警告]のポップアップが表示された場合は、[続行]をクリックする
-
[SSH認証]ポップアップで、Tomのユーザー名とパスワードを入力する
ユーザー名:
Tomパスフレーズ:
Pa$$w0rd- パスワードをメモリ上に記憶する
- エージェント転送する
認証方式
- プレインパスワードを使う
- RSA/DSA/ECDSA/ED25519鍵を使う
- rhosts(SSH1)を使う
- キーボードインタラクティブ認証を使う
- Pageantを使う
-
[SSH認証]ポップアップで[OK]をクリックする
-
Router2に接続できたことを確認する
-
- Configuration Modeで操作する認可がないことを確認する
-
Tera Termのプロンプトで以下のコマンドを実行し、Configuration Modeを開始できないことを確認する
configure
radius_user@Router2> configure -bash: configure: command not found radius_user@Router2>【補足】
しかし、この時点ではRADIUS認証後の認可をまだ構成していないため、Tomは管理者としてRouter1にログインできません。 この後の演習手順を進めることで、管理操作ができるようになります。
-
-
RADIUSサーバー(WinSrv2)の管理画面に接続する
-
ネットワーク ポリシー サーバー(NPS)管理コンソールを起動する
-
左側コンソールツリーの[NPS(ローカル)]-[ポリシー]-[ネットワーク ポリシー]をクリックする
-
右側ペインのネットワーク ポリシー一覧の[Active Directory Authentication]を右クリックし、コンテキストメニュー内の[プロパティ]をクリックする
-
[Active Directory AUthenticationのプロパティ]ウィンドウが表示されたことを確認する
-
[設定]タブをクリックして選択する
-
[RADIUS属性]-[標準]をクリックして選択する
-
"属性:"欄の[Service-Type]をクリックして選択し、[編集]をクリックする
-
[属性の情報]ウィンドウが表示されたことを確認する
-
[属性の情報]ウィンドウで、以下のパラメータを選択する
- ダイヤルアップまたはVPNで一般的に使用する
- 802.1Xで一般的に使用する
- その他
Adminitrative
-
[属性の情報]ウィンドウで、[OK]をクリックする
-
"属性:"欄の[Service-Type]の値が "Adminitrative" であることを確認する
-
[RADIUS属性]-[ベンダー固有]をクリックして選択し、[追加]をクリックする
-
[ベンダー固有の属性の追加]ウィンドウが表示されたことを確認する
-
[ベンダー固有の属性の追加]ウィンドウで、以下のパラメータを選択する
ベンダー(V):
Cisco
-
[ベンダー固有の属性の追加]ウィンドウで、以下のパラメータをクリックして選択する
属性:
Cisco-AV-Pair Cisco
-
[ベンダー固有の属性の追加]ウィンドウで、[追加]をクリックする
-
[属性の情報]ウィンドウが表示されたことを確認する
-
[属性の情報]ウィンドウで、[追加]をクリックする
-
[属性の情報]ウィンドウが表示されたことを確認する
-
[属性の情報]ウィンドウで、以下のパラメータを入力する
属性値:
shell:priv-lvl=15【補足】 このRADIUS属性値は、ログイン認証後の管理操作(SHell)における権利レベル(Privilege Level)が、特権モード(15)であることを意味します。
-
[属性の情報]ウィンドウで、[OK]をクリックする
-
[属性の情報]ウィンドウで、属性値が追加されていることを確認し、[OK]をクリックする
-
[ベンダー固有の属性の追加]ウィンドウで、属性値が追加されていることを確認し、[閉じる]をクリックする
-
[Active Directory AUthenticationのプロパティ]ウィンドウで、属性が追加されていることを確認し、[OK]をクリックする
-
SSH Clientでターミナルソフト(Teraterm)を起動する
- 操作コンピュータを変更するため、演習環境のトップページに戻る
- Windows Client(WinClient)の管理画面に "admin" で接続する
- [スタートメニュー]-[T]-[Tera Term]-[Tera Term]をクリックする
- [Tera Term]が起動されたことを確認する
-
Router2にTelnetで接続し、RADIUS認証と認可が成功することを確認する
-
[Tera Term:新しい接続]ポップアップで以下のパラメータを入力する
-
TCP/IP
ホスト:10.X.2.254- ヒストリ
サービス:
- Telnet
- SSH
- その他
TCPポート番号:
22SSHバージョン:
SSH2IPバージョン:
AUTO -
シリアル
ポート:COM2 Communications Port(COM2)
-
-
[Tera Term:新しい接続]ポップアップで[OK]をクリックする
-
[SSH認証]ポップアップで、Tomのユーザー名とパスワードを入力する
ユーザー名:
Tomパスフレーズ:
Pa$$w0rd- パスワードをメモリ上に記憶する
- エージェント転送する
認証方式
- プレインパスワードを使う
- RSA/DSA/ECDSA/ED25519鍵を使う
- rhosts(SSH1)を使う
- キーボードインタラクティブ認証を使う
- Pageantを使う
-
[SSH認証]ポップアップで[OK]をクリックする
-
Router2に接続できたことを確認する
-
-
Configuration Modeで操作できることを確認する
-
Tera Termのプロンプトで以下のコマンドを実行し、Configuration Modeの操作ができることを確認する
configure
save
exitTom@Router2:~$ configure [edit] Tom@Router2# save Saving configuration to '/config/config.boot'... Done [edit] Tom@Router2# exit exit Tom@Router2:~$【補足】
RADIUSによる認可を構成したことで、Active DirectoryユーザーのTomは管理者権限を有した状態でRouter1にSSHログインできるようになりました。
-
ここまでの手順で、以下の項目を学習できました。
- WindowsのネットワークポリシーサーバーでRADIUSサーバーを構築する
- VyOSのRADIUS認証を構成する
- RADIUS属性を指定して、RADIUS認可を構成する