Windows 2003 で RADIUS サーバを構築する




始めに Windows 2003 付属の RADIUS のコンポーネントをインストールする。

[ スタート ] --> [ コントロールパネル ] --> [ プログラムの追加と削除 ]

[ Windows コンポーネントの追加と削除 ] をクリック

Windows コンポーネントウィザードの開始
[ 次へ ]

Windows コンポーネント
[ ネットワークサービス ] を選択
[ 詳細 ] をクリック

[ インターネット認証サービス ] にチェックを入れる。
[ OK ] をクリック

Windows コンポーネント
[ 次へ ] をクリック

[ コンポーネントの構成 ] 画面が表示されて、
しばらくすると [ Windows コンポーネントウィザードの完了 ] 画面が表示される。
[ 完了 ] をクリック。

これでインストールは完了。

RADIUS の動作テストとして、
とりあえず、ローカルのアカウントを使って認証できるようにしてみます。

Cisco Catalyst2950 と連携させてみて、、
Windows 2003 のローカルアカウントでログインできるかを確認します。

Cisco ルータ・スイッチの RADIUS 認証

ここでは test というユーザを作成してテストしました。

Windows 2003 でユーザを追加する

テストのためにユーザー test を TelnetClients グループに追加する。

Windows 2003 でユーザの所属するグループを変更する

設定は次のメニューで実施します。

[ スタート ] --> [ 管理ツール ] --> [ インターネット認証サービス ]


インターネット認証サービス
[ リモートアクセスポリシー ] を右クリック --> [ 新しいリモートアクセスポリシー ]

新しいリモートアクセスポリシーウィザードの開始
 [ 次へ ] をクリック

ポリシーの構成方法
 このポリシーをどのように設定しますか?
 ○ウィザードを使って共通のシナリオの標準ポリシーを設定する
 ●カスタムポリシーを設定する

このポリシーを表す名前を入力して下さい。
 ポリシー名:test2
 [ 次へ ] をクリック

ポリシー条件
 接続要求がアクセスを許可、または拒否するために満たす必要のある条件を指定してください。
 [ 追加 ] をクリック。

属性の種類
 [ Windows-Groups ] を選択。
 [ 追加 ] をクリック。

グループ
 [ 追加 ] をクリック。
 グループの選択
  [ 詳細設定 ] をクリック。
  [ 今すぐ検索 ] をクリック。
  検索結果より
  TelnetClients を選択。
  [ OK ] をクリック。

グループの選択
 [ OK ] をクリック。

グループ
 [ OK ] をクリック。

ポリシー条件に
[ Windows-Groups が次のものと一致: "SERVER01\TelnetClients" ]
が入る。

[ 次へ ] をクリック。

アクセス許可
 接続要求が指定の条件を満たした場合
 ○リモートアクセス許可を拒否する
 ●リモートアクセス許可を与える
 [ 次へ ] をクリック。

プロファイル
 [ プロファイルの編集 ] をクリック。
ダイヤルインプロファイルの編集
 [ 認証 ] タブ
 ■Microsoft 暗号化認証バージョン 2 (MS-CHAP v2)
 ■Microsoft 暗号化認証 (MS-CHAP)
 ■暗号化認証 (CHAP)
 ■暗号化されていない認証 (PAP, SPAP)

 後はデフォルトのまま [ OK ] をクリック

ダイヤルイン設定
 認証方法がいくつか選択されました。リモートアクセス、ポリシー、
 およびドメインレベルに対してプロトコルがそれぞれ正しく構成されていることを
 確認するには、ヘルプの説明に順に従ってください。

これに関するヘルプのトピックを表示しますか?
 [ いいえ ] をクリック。

プロファイル
 [ 次へ ] をクリック。

新しいリモートアクセスポリシーウィザードの完了
[ 完了 ] をクリック

これで RADIUS サーバ側の設定は完了。


Catalyst2950 に DOS プロンプトから test ユーザで telnet ログインを試みる。

以下のようなメッセージが表示されて認証失敗。

Line has invalid autocommand " ppp negotiate"


リモートアクセスポリシーを見直す。

[ リモートアクセスポリシー ] の [ test2 ] を右クリック --> [ プロパティ ]
test2 のプロパティ
 [ プロファイルの編集 ] をクリック。

ダイヤルインプロファイルの編集
 [ 詳細設定 ] タブ
 [ Framed-Protocol ] を選択
 [ 削除 ] をクリック。
 [ OK ] をクリック。

test2 のプロパティ
 [ OK ] をクリック。

これで DOS プロンプトから telnet で catalyst 2950 へ
ログインできるようになりました。