none
NPSをRADIUSサーバ、無線APをRADIUSクライアントとして全アカウントの認証有効時間を制限したい RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    Windows Server2012r2を自身のADと連携したRADIUSサーバとして、無線APに接続して来るデバイスを制御しようとしています。

    ADに登録した任意のユーザが無線APに接続する際、「ユーザ名」と「パスワード」を求められ、承認された後接続されますが、その後切断してもNPSに設定した時間は同じユーザが再接続する際、「ユーザ名」と「パスワード」を求められることなく接続され、また設定した時間経過後は再度「ユーザ名」と「パスワード」を求められる様にしたいと思います。
    試しに該当する「ネットワークポリシ」のプロパティの「制約」タブ→「セッションタイムアウト」に「120 分」と設定してみたり、加えて「設定」タブ→「RADIUS属性/標準」に「Generate-Session-Timeout=True」を設定してみたりしましたが、設定時間を過ぎても「ユーザ名」と「パスワード」を求められず接続されてしまいます。
    因みに一度接続した機器は「セッションタイムアウト」の設定時間を過ぎても「ユーザ名」と「パスワード」無しでも接続できてしまいます。しかし何だかデバイス側のパラメータとして「ユーザ名」と「パスワード」がに入力欄に残っている様な気もします。そうだとすると認証有効時間設定可否の正確な判断が出来ません。ただ、「セッションタイムアウト」は何だか違う項目の気がします。

    解決方法についてご存知の方、お教え願います。

    ------------------ Tulip Marlowe

    2016年10月14日 8:14
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    おっしゃる話しから「RADIUS認証のしくみの中でセッションの再認証を『ユーザの確認作業』を絡めて行いたい」ということでしたら、残念ですがムリです。RADIUSでは確かにセッション再認証の機能がありますが、これは内部の暗号化に使われる「鍵」の安全性を確保するため透過的に行われるもので、ユーザの挙動とは無関係になります。

    いきなりiPhoneやAndroidの話しが出てきましたが、質問に特段の「特記」がない限り、私個人は標準的な構成(Windows ServerとWindows クライアントのみ)を前提に回答しています。iPhoneやAndroidの挙動を確認したい、ということであれば、対応するデバイス用のサポートやコミュニティに問い合わせいただいた方がいいかと思います。

    私個人の見解では、RADIUSのしくみから(Windowsと同じように)本質的にはムリでしょう、ということになるかと思います。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク 佐伯玲 2016年10月18日 0:28
    2016年10月17日 5:23
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    その後切断してもNPSに設定した時間は同じユーザが再接続する際、「ユーザ名」と「パスワード」を求められることなく接続され、また設定した時間経過後は再度「ユーザ名」と「パスワード」を求められる様にしたいと思います。

    「切断」の定義ですが、デスクトップが表示された(ログオン状態)のまま無線LANアイコンを「切断」することを指している、という前提であれば、残念ですができません。おそらくPEAP-MSCHAPv2のことを言っているのだと思いますが、Windowsではユーザ名とパスワードは「物理メモリ領域」にキャッシュされ、ログオフまではその情報は維持されます。外部からこのキャッシュにアクセスしたり強制クリアする方法はないため、ログオフさせるしか方法はありません。

    どうしても120分ごと?に再認証させたいなら、時間が経過したら強制ログオフさせるスクリプトをクライアントのタスクに登録し、ログオン時に動作するようにすれば、ユーザがログオフした後再ログオンしてもらうことができます。

    強制ログオフなどとんでもない!というのでしたら、「デスクトップの画面ロック」を行うスクリプトを代わりに仕込む方法があるかもしれません。画面ロックを解除する場合パスワードを必ず入力しますが、最近のWindowsは「パスワードが正しいかどうか」を必ずドメインコントローラに確認にいきますので、認証と同様の効果があります。これによりネットワークが切断されることはありませんが、代替方法にはなるように思います。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2016年10月17日 2:46
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    大変参考になる「強制ログオフ」スクリプトのアイデアご提供、有難うございます。

    ただ、「1アカウントの接続デバイス数を制限したい」にも記載しましたが、「ADにログオン」が目的でなく、「ADと連携したWifi-APへの接続認証」が目的で、例えばiPhoneやAndroid等も相手にする場合も効果があるものでしょうか?

    ------------------ Tulip Marlowe

    2016年10月17日 4:58
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    おっしゃる話しから「RADIUS認証のしくみの中でセッションの再認証を『ユーザの確認作業』を絡めて行いたい」ということでしたら、残念ですがムリです。RADIUSでは確かにセッション再認証の機能がありますが、これは内部の暗号化に使われる「鍵」の安全性を確保するため透過的に行われるもので、ユーザの挙動とは無関係になります。

    いきなりiPhoneやAndroidの話しが出てきましたが、質問に特段の「特記」がない限り、私個人は標準的な構成(Windows ServerとWindows クライアントのみ)を前提に回答しています。iPhoneやAndroidの挙動を確認したい、ということであれば、対応するデバイス用のサポートやコミュニティに問い合わせいただいた方がいいかと思います。

    私個人の見解では、RADIUSのしくみから(Windowsと同じように)本質的にはムリでしょう、ということになるかと思います。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク 佐伯玲 2016年10月18日 0:28
    2016年10月17日 5:23
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンさん、ご回答有難うございました。

    別の方法を考えてみます。

    ------------------ Tulip Marlowe

    2016年10月17日 6:05
    |