none
NPSサーバのユーザーアカウントチェックについて RRS feed

  • 質問

  • Windows Server 2012 R2 上でネットワークポリシーサーバ(NPS)を稼働させ、

    EAP-TLS認証を行っています。

    ノートPC(コンピュータ証明書) → 無線AP → NPS(証明書)

    NPSの仕様として、RADIUSのUser-Name属性の値から、ユーザーアカウントの有効性チェックを行っているようですが、

    このチェックを無効にすることは仕様上可能でしょうか?

    上記構成の場合、コンピュータ名の有効性確認を無効にできるか、ということになるかと思います。

    2017年6月6日 7:06

回答

  • チャブーンです。

    一応前提ですが、

    NPSの仕様として、RADIUSのUser-Name属性の値から、ユーザーアカウントの有効性チェックを行っているようですが、

    これはどこから得た情報なのでしょうか?RADIUSサーバでは、自分自身が持っているローカルユーザ情報を検索し、それがない場合リモートユーザとして別の対応を行う、というものはあるようですが、「ユーザ情報の事前チェック」を行う話しは聞いたことがありません。私が知らないだけかもしれませんが。

    で、WindowsのRADIUSサーバは、参照するべきユーザ情報は「ドメインに参加している・参加していない」で区別され、複数個所のユーザ情報を同時に確認する方法といったものはありません。例外としてDefaultDomainレジストリ値で指定したドメインの情報を参照できますが、これは信頼関係にある別ドメインの情報をRADIUSで参照したい、といったケースで使われるのだと思います。

    https://technet.microsoft.com/en-us/library/dd197452(v=ws.10).aspx

    ちなみにWindows NPSの主要な仕様は、以下のページにまとまっていますので、ここにない情報については、原則実装されていないと考えてもよいと思います。

    https://technet.microsoft.com/en-us/library/dd197596(v=ws.10).aspx


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2017年6月6日 9:09
    モデレータ