none
Active DirectoryサーバとRADIUS認証サーバの連携について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    ミヤココーポレーションの須田と申します。
    お世話になります。
     
    標題の件、現在以下の構成でサーバ構築しております。

    DC:WindowsServer2008 Enterprise (IP:192.168.10.64)
    認証サーバ:WindowsServer2008 Enterprise (IP:192.168.250.2)
    クライアントPC:WindowsXP SP (IP:192.168.100.1/24)

    上記構成にて、802.1xでのRADIUS認証を行おうとしています。

    ※全ての装置を繋ぐ為のSWは間にあります。
     認証サーバが他機器の場合では認証出来ておりますのでSWの設定は問題無いことを前提でお願いします。


    実現させる為に必要な作業としましては、以下があるという認識です。

     DC:
      ①認証用グループの作成。
       認証を許可したいユーザをグループに追加。
     認証サーバ:
      ①NPSの設定。
      ②証明書の設定。
      ③証明書の発行。
      ④認証の問い合わせ先をDCのIPに向ける。
     クライアントPC:
      ①証明書のインストール。
      ②サービスのWired AutoConfigを有効にし、ネットワーク接続の802.1x認証を使用するにチェックを入れる。
       詳細設定にて信用する証明書でインストールした証明書にチェックを入れる。


    上記に足りない設定はあるでしょうか。
    また、実際の認証サーバの設定方法についてご教授いただけますと助かります。
     
    何とぞよろしくお願いいたします。

    2010年7月23日 4:47
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    まず、NPSを使った802.1x認証は設定に手間がかかるので、こういった無償掲示板で「カンタンに、でもくわしく」教えてください、というご要望は正直難しいかとと思います。

    インターネットを検索したところ、MSの情報ではありませんが、使えるであろう「テストラボでの設定例」が書かれた情報がありました。これをご覧になってみてはどうでしょうか。

    Windows Server 2008 NAP 設定手順書 802.1X 編

    これ以上の内容については、MS有償サポートに直接聞いていただく方がよろしいかと思います。

    • 回答としてマーク miyako 2010年7月26日 2:09
    2010年7月25日 18:45
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    まず、NPSを使った802.1x認証は設定に手間がかかるので、こういった無償掲示板で「カンタンに、でもくわしく」教えてください、というご要望は正直難しいかとと思います。

    インターネットを検索したところ、MSの情報ではありませんが、使えるであろう「テストラボでの設定例」が書かれた情報がありました。これをご覧になってみてはどうでしょうか。

    Windows Server 2008 NAP 設定手順書 802.1X 編

    これ以上の内容については、MS有償サポートに直接聞いていただく方がよろしいかと思います。

    • 回答としてマーク miyako 2010年7月26日 2:09
    2010年7月25日 18:45
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    ご回答いただきまして、有難う御座います。

     

    認証サーバとADサーバを分けるのは難しい、と認識致しました。

    NAPも今後検討予定ですので、参考にさせていただきます。

     

    > これ以上の内容については、MS有償サポートに直接聞いていただく方がよろしいかと思います。

    MSとパートナー契約を結んでおりますので、そちらでのアクション方針に切り替えます。

     

    ご助言有難う御座いました。

    2010年7月26日 2:09
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    > MSとパートナー契約を結んでおりますので、そちらでのアクション方針に切り替えます。

    それが確実ですね。よい判断だと思われます。ただ、一点気づいたことを。

    > 認証サーバとADサーバを分けるのは難しい、と認識致しました。

    「認証サーバ」というのはRADIUSということでしょうか?であればご紹介した資料では、ドメインコントローラとは別のサーバ(NPSサーバ)がその役目を負っています。何か誤解されておられるかもしれませんので、念のためコメントしておきます。

    2010年7月26日 7:31
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    コメント有難う御座います。

     

    事前に資料の方は熟読させていただきました。

     

    > 認証サーバとADサーバを分けるのは難しい

    言葉が足りず、申し訳御座いません。

    ・IPセグメントの差異

    ・ドメインに参加させない

    ・認証サーバが他機器の場合では~(RADIUS認証に特化したアプライアンスを使用しておりました。)

     

    上記、環境差異により、ご紹介いただいた資料では実現させることが難しいと認識致しました。

    暫定対応として、ADを1機にしてDC&RADIUS機能を持たせ、実施可能な範囲の認証試験を行っていく方針となりました。

     

    お気遣い有難う御座いました。

    2010年7月26日 9:13
    |