none
ISAを使ってWEB認証 RRS feed

  • 質問

  • はじめまして。

    一点ほど質問があります。

    ISAを利用して、外部からのPPTPによるVPN接続と内部の無線LANからのF/Wとして利用をしたいと考えております。
    内部はActveDirectoryで全ユーザを管理しており、PPTPのアクセス及び無線LANからのアクセスをActiveDirectoryで認証したいと考えております。
    PPTPは、インターネットVPN用として利用したいため、ADのアカウントがないメンバーは一切アクセスができないようにしたいと考えております。
    無線LANは、社内の会議室等の打合せ室で利用したいと考えております。
    無線LANのアクセスポイント自身は、WPAの認証なので端末はWPAで暗号化通信をさせる予定です。

    それで、PCと無線の接続ができた後に、WEB認証にてADのユーザかどうかを判断したいと考えております。
    ISA2006で、WEB認証というのはできるのでしょうか?

    また、無線LANは会議室等で社外の人(お客様)も接続させたいと考えております。
    この場合、内部LANには入れなくても、インターネットの接続だけはできるようにしたいと考えております。
    ISAでWEB認証ができる場合、WEB認証をしなければ、インターネットのみ接続ができるようなポリシーは設定できるのでしょうか?

    一応、考えているネットワーク構成は以下の通りです。
        │
        │
     internet
        │
        ↓(PPTP要求)
    ┌─────┐
    │  ISA2006 │──────内部LAN
    └─────┘
       │
       │
       │
       │
       │
    ┌─────┐
    │  無線AP  │
    └─────┘
    
    以上、よろしくお願い致します。
    DRM
    2009年2月26日 9:08

回答

  • Dr.Doraemon さん、こんにちは。フォーラムオペレーターの鈴木裕子です(^O^)/

    投稿から少し時間が経過したので、既に進展されているかもですが、参考になりそうな資料を調べてみたので投稿させていただきますね。
    ご希望としては、まず「ドメインユーザーが、VPN、内部のLANからアクセスする場合に、Web認証が使えるようにしたい」、そして「内部の無線LAN装置を使うユーザーについて、ドメインユーザーは内部リソースにアクセスできるが、それ以外はインターネットはできるが内部リソースにはアクセスできないようにしたい」ということだと思うのですが、認識合ってますでしょうか(違っていたら、遠慮なくご指摘ください)。

    まずWeb認証ですが、Webサーバーへのアクセスであれば、フォーム認証機能で実現できるのではないかと思います。

    ISA Server 2006 技術ドキュメント
    http://www.microsoft.com/japan/isaserver/prodinfo/tech.mspx
    ※「ISA Server 2006 の認証機能」に、フォーム認証についての記述があります

    http://www.microsoft.com/japan/isaserver/isa_func_list.mspx

    参考)http://www.atmarkit.co.jp/fsecurity/rensai/forefront02/forefront01.html

    アクセスさせたいリソースが具体的にわからなかったので、もし外していたらごめんなさい・・・

    内部無線LANの、ドメインユーザー以外は内部リソースにアクセスできないようにする運用ですが、ご希望のWeb認証であれば、前述のとおり「Webサーバー」に限られてしまうと思うのですが、Web認証以外であれば、いくつか方法があるのではないかと。
    具体的な情報が見つからなかったので、外しているかもしれませんが、ISAであれば、ファイアウォールポリシーの「制限付き Web アクセスを許可する」などを利用して、ドメインユーザー以外でもインターネット接続ができるような環境ができるのではないかなと。

    参考)ISA Server 2006 技術ドキュメント http://www.microsoft.com/japan/isaserver/prodinfo/tech.mspx
    ※こちらの「ISA Server 2006 のネットワークの概念」に、ファイヤーウォールポリシーの記述がありました。参考になりそうなので、ぜひご一読ください。Win2008のNAPと組み合わせて、制限付きネットワークにISAを置くような形とかどうかなとも思ったのですが、残念ながら、やはり情報が見つかりませんでした・・・

    あとは、VLANを使用するとか、証明書を持ったドメインユーザーがアクセスできる無線LAN装置と、匿名でもアクセスできる装置を分けるとか、アクセスさせたくないリソースを明確にして、そのアクセス権をきっちり設定するという方法などでしょうか(私自身はISAにあまり詳しくないので、周りの人に聞いてみた範囲ですが・・・汗)。

    もし、認識が違っていたりした場合は、遠慮なく返信してくださいね。
    ご質問に対するストレートな回答ではありませんが、参考となれば幸いです!


    マイクロソフト株式会社 フォーラムオペレータ 鈴木裕子
    2009年3月25日 9:42
    モデレータ

すべての返信

  • Dr.Doraemon さん、こんにちは。フォーラムオペレーターの鈴木裕子です(^O^)/

    投稿から少し時間が経過したので、既に進展されているかもですが、参考になりそうな資料を調べてみたので投稿させていただきますね。
    ご希望としては、まず「ドメインユーザーが、VPN、内部のLANからアクセスする場合に、Web認証が使えるようにしたい」、そして「内部の無線LAN装置を使うユーザーについて、ドメインユーザーは内部リソースにアクセスできるが、それ以外はインターネットはできるが内部リソースにはアクセスできないようにしたい」ということだと思うのですが、認識合ってますでしょうか(違っていたら、遠慮なくご指摘ください)。

    まずWeb認証ですが、Webサーバーへのアクセスであれば、フォーム認証機能で実現できるのではないかと思います。

    ISA Server 2006 技術ドキュメント
    http://www.microsoft.com/japan/isaserver/prodinfo/tech.mspx
    ※「ISA Server 2006 の認証機能」に、フォーム認証についての記述があります

    http://www.microsoft.com/japan/isaserver/isa_func_list.mspx

    参考)http://www.atmarkit.co.jp/fsecurity/rensai/forefront02/forefront01.html

    アクセスさせたいリソースが具体的にわからなかったので、もし外していたらごめんなさい・・・

    内部無線LANの、ドメインユーザー以外は内部リソースにアクセスできないようにする運用ですが、ご希望のWeb認証であれば、前述のとおり「Webサーバー」に限られてしまうと思うのですが、Web認証以外であれば、いくつか方法があるのではないかと。
    具体的な情報が見つからなかったので、外しているかもしれませんが、ISAであれば、ファイアウォールポリシーの「制限付き Web アクセスを許可する」などを利用して、ドメインユーザー以外でもインターネット接続ができるような環境ができるのではないかなと。

    参考)ISA Server 2006 技術ドキュメント http://www.microsoft.com/japan/isaserver/prodinfo/tech.mspx
    ※こちらの「ISA Server 2006 のネットワークの概念」に、ファイヤーウォールポリシーの記述がありました。参考になりそうなので、ぜひご一読ください。Win2008のNAPと組み合わせて、制限付きネットワークにISAを置くような形とかどうかなとも思ったのですが、残念ながら、やはり情報が見つかりませんでした・・・

    あとは、VLANを使用するとか、証明書を持ったドメインユーザーがアクセスできる無線LAN装置と、匿名でもアクセスできる装置を分けるとか、アクセスさせたくないリソースを明確にして、そのアクセス権をきっちり設定するという方法などでしょうか(私自身はISAにあまり詳しくないので、周りの人に聞いてみた範囲ですが・・・汗)。

    もし、認識が違っていたりした場合は、遠慮なく返信してくださいね。
    ご質問に対するストレートな回答ではありませんが、参考となれば幸いです!


    マイクロソフト株式会社 フォーラムオペレータ 鈴木裕子
    2009年3月25日 9:42
    モデレータ
  • こんにちは、フォーラムオペレータ大久保です。

    Dr.Doraemon さん、フォーラムのご利用ありがとうございます。
    鈴木の投稿ですが、遅いフォローだったのでご覧いただけているか心配しつつ「回答としてマーク」させていただきました。

    また何かありましたらフォーラムのことを思い出していただければと思います。


    マイクロソフト株式会社 フォーラム オペレータ 大久保 直美
    2009年4月9日 0:50