Unified Access Gateway アプライアンスでは、RADIUS 認証を有効にして、RADIUS サーバの設定を入力し、認証タイプを RADIUS 認証に変更する必要があります。

前提条件

  • 認証マネージャのサーバとして使用するサーバに RADIUS ソフトウェアがインストールされ構成されていることを確認します。RADIUS サーバをセットアップし、Unified Access Gateway の RADIUS 要求を設定します。RADIUS サーバの設定に関する詳細については、RADIUS ベンダーのセットアップ ガイドを参照してください。

次の RADIUS サーバ情報は必須です

  • RADIUS サーバの IP アドレスまたは DNS 名。
  • 認証ポート番号。認証ポートは、通常 1812 です。
  • 認証タイプ。認証タイプには、PAP(パスワード認証プロトコル)、CHAP(チャレンジ ハンドシェイク認証プロトコル)、MSCHAP1 および MSCHAP2(Microsoft チャレンジ ハンドシェイク認証プロトコル、バージョン 1 および 2)があります。
  • RADIUS プロトコル メッセージで暗号化および復号化に使用される RADIUS 共有シークレット。
  • RADIUS 認証に必要な特定のタイムアウトおよび再試行の値。

手順

  1. 管理ユーザー インターフェイスの [手動構成] セクションで、[選択] をクリックします。
  2. [全般設定] の [認証設定] セクションで、[表示] をクリックします。
  3. RADIUS の行でギア アイコンをクリックします。
    オプション アクション
    RADIUS を有効にする このトグルをオンにすると、RADIUS認証が有効になります。
    名前* 名前は radius-auth です。
    認証タイプ* RADIUS サーバでサポートされている認証プロトコルを入力します。PAP、CHAP、MSCHAP1、MSCHAP2 のいずれかを入力します。
    共有シークレット* RADIUS 共有シークレットを入力します。
    許可されている認証試行回数* RADIUS を使用してログインする場合のログイン失敗が許可される最大回数を入力します。デフォルトは、3 回です。
    RADIUS サーバへの試行回数* 再試行の合計回数を入力します。プライマリ サーバが反応しない場合、サービスは決められた時間が経つまで待機してから再試行します。
    秒単位のサーバ タイムアウト*

    RADIUS サーバのタイムアウトを秒単位で入力します。この時間が経過しても RADIUS サーバが応答しない場合には、再試行が送信されます。

    [最大サーバ タイムアウト] 値は、構成された RADIUS サーバによって異なります。

    • プライマリ RADIUS サーバのみが構成されている場合は、Number of attempts to RADIUS server * Server Timeout in Seconds <= 120 seconds になります。
    • プライマリとセカンダリ RADIUS サーバが構成されている場合は、2 * Number of attempts to RADIUS server * Server Timeout in Seconds <= 120 seconds になります。
    RADIUS サーバのホスト名* RADIUS サーバのホスト名または IP アドレスを入力します。
    認証ポート* Radius 認証のポート番号を入力します。ポートは、通常 1812 です。
    レルム プリフィックス (オプション)ユーザー アカウントの場所はレルムと呼ばれます。

    レルムのプリフィックス文字列を指定すると、ユーザー名が RADIUS サーバに送信されるときに、その文字列が名前の先頭に追加されます。たとえば、jdoe というユーザー名が入力され、レルムのプリフィックスとして DOMAIN-A\ が指定された場合は、DOMAIN-A\jdoe というユーザー名が RADIUS サーバに送信されます。これらのフィールドを構成しない場合は、入力したユーザー名だけが送信されます。

    レルムのサフィックス (オプション)レルムのサフィックスを構成すると、その文字列はユーザー名の末尾に追加されます。たとえば、サフィックスが @myco.com の場合は、[email protected] というユーザー名が RADIUS サーバに送信されます。
    名前 ID のサフィックス NameId には @somedomain.com と入力します。この NameId は、ドメイン名などの追加コンテンツを RADIUS サーバまたは RSA SecurID サーバに送信するために使用されます。たとえば、ユーザーが user1 としてログインすると、サーバには [email protected] が送信されます。
    ログイン ページのパスフレーズのヒント 正しい RADIUS パスコードの入力をユーザーに促すために、ユーザー ログイン ページに表示するテキスト文字列を入力します。デフォルトのテキスト文字列は、[Radius] です。

    Horizon の設定で、username および passcode のラベルをカスタマイズできます。たとえば、このフィールドに [最初に Active Directory パスワード、次に SMS パスコード] と設定すると、ログイン ページのメッセージでは [Radius(パスワードについては、Active Directory パスワードを入力してから、SMS パスコードを入力)のユーザー名とパスコードを入力してください] と表示されます。

    基本的な MS-CHAPv2 検証を有効にする このトグルをオンにすると、基本的な MS-CHAPv2 検証が有効になります。このトグルをオンにすると、RADIUS サーバからの応答の追加検証はスキップされます。デフォルトでは、完全な検証が実行されます。
    セカンダリ サーバを有効にする セカンダリ RADIUS サーバを高可用性用に構成するには、このトグルをオンにします。セカンダリ サーバの情報は、手順 3 の説明に従って構成します。
  4. [[保存]] をクリックします。