none
NPSをRADIUSサーバ、無線APをRADIUSクライアントとして1アカウントの接続デバイス数を制限したい RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    Windows Server2012r2を自身のADと連携したRADIUSサーバとして、無線APに接続して来るデバイスを制御しようとしています。

    ADに登録した任意のユーザで、同時に接続できるデバイスの数を1つに制限したいのですが、NPSでどの様に設定したら実現できるでしょうか?

    例えばユーザtanakaがノートPCで該当する無線APにRADIUS認証を受けて接続した場合、ノートPCを切断するまでは別のタブレット端末を同じ無線ネットワークにはつなげない、ノートPCを切断すればタブレット端末で接続できるようにしたいのです。

    解決方法についてご存知の方、お教え願います。

    ------------------ Tulip Marlowe

    2016年10月13日 9:17
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    Windowsはしくみ上「セッション管理」を行っていません。あるユーザが「現在(オンライン)ログオン中であるかどうか」を取得したり、定期的に監視する仕組みそのものがないため、おっしゃるようなことはできません。これはRADIUSであっても同じことです。

    過去に単一ユーザの同時ログオンを防ぐしくみとして「limitlogin」というのがありましたが、これはユーザログオン時に専用DBにその記録をつけ、後から同じユーザがログオンしようとした場合に「強制ログオフ」をするだけのもので、ネットワーク接続を制限するものではありませんでした。

    RADIUSとセッション管理情報は無関係なので、注意いただいた方がいいかと思います。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答の候補に設定 佐伯玲 2016年10月18日 4:03
    • 回答としてマーク 佐伯玲 2016年10月28日 8:16
    2016年10月17日 2:18
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    まずRADIUSのしくみですが、本質論としてアクセスクライアント(ユーザ利用端末)が提供する「RADIUS属性」の内容を、RADIUSサーバが「評価」し、条件が合致すれば認証を許可する、というだけのものです。

    以下はFreeRADIUSの属性一覧ですが、この中には「Windowsのセッション情報」はもちろん「既存のRADIUSのセッション情報」も含まれていません(当たり前ですが)。

    http://freeradius.org/rfc/attributes.html

    RADIUSは標準規格のためWindowsも当然準拠していて、これ以外の属性は原則用意していません。RADIUS認証にも「セッション管理」という考え方はないので、(Windowsと同様に)これを条件に含めることはできません。「RADIUSとセッション管理情報は無関係」はこのような内容を背景に、ご注意申し上げたということになります。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答の候補に設定 佐伯玲 2016年10月18日 4:03
    • 回答としてマーク 佐伯玲 2016年10月28日 8:16
    2016年10月17日 5:08
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    繰り返しになってしまうのですが、RADIUSサーバはあくまで「RADIUS属性の条件判定」を行うことが仕事であり、セッション管理は行いません(アクセスクライアントが直接つながっていないのでムリです)。

    もしセッション管理を行うのであれば、それはAPと直接つながっている無線LANコントローラ=RADIUSクライアントの仕事です。したの情報はIEEE802.1x認証で1セッションに制限する、という無線LANコントローラの設定になりますが、無線LANコントローラでセッション管理の設定を行っているようです。

    http://community.arubanetworks.com/t5/Controller-Based-WLANs/How-do-we-restrict-the-number-of-active-sessions-per-user-for/ta-p/186978

    Windowsとしては、無線LANコントローラに依存する「RADIUSの方言」はVender Specific項目で独自に設定しますので、無線LANコントローラ側で同時接続情報について「RADIUS属性」として定義しているのであれば、これを条件とすることはできます。ただこれは現在のRADIUSでは一般的でないので、無線LANコントローラ側の仕様を確認いただくことになります。

    申し上げにくいのですが、うえのような方言情報をWindows(の仕様)に求める、ということ自体、的を射ていないというのが、個人的な見解となります。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答の候補に設定 佐伯玲 2016年10月18日 4:03
    • 回答としてマーク 佐伯玲 2016年10月28日 8:16
    2016年10月17日 6:39
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    Windowsはしくみ上「セッション管理」を行っていません。あるユーザが「現在(オンライン)ログオン中であるかどうか」を取得したり、定期的に監視する仕組みそのものがないため、おっしゃるようなことはできません。これはRADIUSであっても同じことです。

    過去に単一ユーザの同時ログオンを防ぐしくみとして「limitlogin」というのがありましたが、これはユーザログオン時に専用DBにその記録をつけ、後から同じユーザがログオンしようとした場合に「強制ログオフ」をするだけのもので、ネットワーク接続を制限するものではありませんでした。

    RADIUSとセッション管理情報は無関係なので、注意いただいた方がいいかと思います。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答の候補に設定 佐伯玲 2016年10月18日 4:03
    • 回答としてマーク 佐伯玲 2016年10月28日 8:16
    2016年10月17日 2:18
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    ご回答有難うございました。

    「Windowsが『セッション管理』を行っていない」点、了解しました。

    ただ、ここではNPSは「認証プロセス」としてADを利用するだけで、(もし仮にやっているとすれば)セッション管理はADやWindowsと切り離されたNPSの中で完結するものかと考えたのですが・・・現に承認されて接続されたデバイス上のユーザはRADIUSクライアントであるAP経由でネットワークを利用できる様になっただけで、「ADドメインにログインし、共有ファイル等のADドメインのリソースを利用できる」様になった訳では無さそうです。私の目的も単にネットワークの利用権限をコントロールしたいだけなのでそれで良いのです。

    と言うことで、私の質問項目を実現するのは、例えばNPSのネットワークポリシで「カレントなユーザで継続中のセッション数がn個以上であれば拒否」とか出来ると有難いと思うのですが、そもそもNPS単体でセッション管理(ここでは情報GET)は不可能と言うことでしょうか?

    ------------------ Tulip Marlowe

    2016年10月17日 4:49
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    まずRADIUSのしくみですが、本質論としてアクセスクライアント(ユーザ利用端末)が提供する「RADIUS属性」の内容を、RADIUSサーバが「評価」し、条件が合致すれば認証を許可する、というだけのものです。

    以下はFreeRADIUSの属性一覧ですが、この中には「Windowsのセッション情報」はもちろん「既存のRADIUSのセッション情報」も含まれていません(当たり前ですが)。

    http://freeradius.org/rfc/attributes.html

    RADIUSは標準規格のためWindowsも当然準拠していて、これ以外の属性は原則用意していません。RADIUS認証にも「セッション管理」という考え方はないので、(Windowsと同様に)これを条件に含めることはできません。「RADIUSとセッション管理情報は無関係」はこのような内容を背景に、ご注意申し上げたということになります。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答の候補に設定 佐伯玲 2016年10月18日 4:03
    • 回答としてマーク 佐伯玲 2016年10月28日 8:16
    2016年10月17日 5:08
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンさん

    ご回答有難うございました。

    10年~20年程前に、DTC-RADIUSか、Livingstone-RADIUSか、はたまたAscend-RADIUSで(当時はそのRADIUSの方言だったかも知れませんが)1アカウント当たりの同時接続デバイス数の制限が出来ていたので、類似の制御がNPSで出来ないかと思い、質問しました。

    NPSで出来ないのであれば別の方法を検討してみます。

    ------------------ Tulip Marlowe

    2016年10月17日 6:03
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    繰り返しになってしまうのですが、RADIUSサーバはあくまで「RADIUS属性の条件判定」を行うことが仕事であり、セッション管理は行いません(アクセスクライアントが直接つながっていないのでムリです)。

    もしセッション管理を行うのであれば、それはAPと直接つながっている無線LANコントローラ=RADIUSクライアントの仕事です。したの情報はIEEE802.1x認証で1セッションに制限する、という無線LANコントローラの設定になりますが、無線LANコントローラでセッション管理の設定を行っているようです。

    http://community.arubanetworks.com/t5/Controller-Based-WLANs/How-do-we-restrict-the-number-of-active-sessions-per-user-for/ta-p/186978

    Windowsとしては、無線LANコントローラに依存する「RADIUSの方言」はVender Specific項目で独自に設定しますので、無線LANコントローラ側で同時接続情報について「RADIUS属性」として定義しているのであれば、これを条件とすることはできます。ただこれは現在のRADIUSでは一般的でないので、無線LANコントローラ側の仕様を確認いただくことになります。

    申し上げにくいのですが、うえのような方言情報をWindows(の仕様)に求める、ということ自体、的を射ていないというのが、個人的な見解となります。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答の候補に設定 佐伯玲 2016年10月18日 4:03
    • 回答としてマーク 佐伯玲 2016年10月28日 8:16
    2016年10月17日 6:39
    |
    モデレータ