最終更新日10月5, 2021
ネットワークポリシーサーバー(NPS)は、リモート認証ダイヤルインユーザーサービス(RADIUS)サーバーのMicrosoftの実装です。 NPSは、ネットワークに一元的な認証、承認、およびアカウンティング(AAA)機能を提供します。 この設定では、ネットワークアクセスサーバー(NAS)がRADIUSクライアントとして機能し、ユーザーからのすべての接続要求をWindows上のNPSを実行しているRADIUSサーバーに送信し、 ユーザーがネットワークに接続されている間、NPSはRADIUSアカウンティングの役割の一部として活動をログに記録します。
RADIUSプロトコルとは何ですか?
RADIUSは、トランスポート層にconnectionless User Datagram Protocol(UDP)を使用し、認証にポート1812、承認にポート1813を使用するAAA管理機能を備えたクライアントサーバネットワーキングプロトコルです。
UDPはネットワークを介した信頼性の高い接続を必要としないため、RADIUSを使用するとネットワークオーバーヘッドが最小限に抑えられます。 ただし、これにより、ネットワークの品質が悪い場合にタイムアウトを要求する可能性もあります。 これが発生すると、RADIUSクライアントは別の要求をサーバに送信します。 RADIUSが安全なネットワーク接続で動作するようにするために、Transmission Control Protocol(TCP)で動作させるための過去の取り組みがありましたが、実験段階を超えていません。
認証プロセス
クライアントサーバネットワークプロトコルとして、RADIUSにはクライアントとサーバーのコンポーネ RADIUSを使用する一般的なネットワークでは、認証および承認プロセスは次のようになります:
- NASはRADIUSクライアントとして機能し、Windowsまたはその他のサーバーオペレーティングシステムでバックグラウンドプロセスとして実行されるRADIUSサーバーに認証要
- RADIUSサーバーは、ユーザーの資格情報を認証し、フラットファイル形式またはSQL ServerやActive Directoryサーバーなどの外部記憶域ソースに格納されている中央データベースに対して、ユー
- RADIUSサーバーは、データベース内でユーザーとそれに関連する権限を検出すると、認証および承認メッセージをNASに戻し、NASはネットワークとそのアプリケーションおよびサー
- NASはRADIUSクライアントとして機能しており、ユーザーがネットワークに接続している間は、アカウンティング要求をRADIUSサーバーに渡します。 これらの要求は、すべてのユーザ活動をRADIUSサーバにログに記録します。
RADIUSは、以下を含むさまざまな認証メカニズムをサポートします:
- チャレンジ-ハンドシェイク認証プロトコル(CHAP)
- パスワード認証プロトコル(PAP)
- 拡張認証プロトコル(EAP)
RADIUSの認証および承認操作を組み合わせることで、トラフィックフローが最小限に抑えられ、より効率的なネットワー RADIUSは、ワンタイムパスワードやその他のメカニズムを使用した多要素認証(MFA)もサポートしています。
大規模なネットワークでは、RADIUSサーバーは他のRADIUSサーバーへのプロキシクライアントとして機能することもできます。
RADIUSまたはLDAP:集中認証に使用するものはどれですか?
LDAP
RADIUSと同様に、ユーザー認証と許可にはLightweight Directory Access Protocol(LDAP)が使用されます。 LDAPは、Microsoft独自のActive Directoryサービスなどのディレクトリサービスにアクセスして管理することによって、この役割を実行します。 あなたの特定の要件により良いものがあるかどうかは、あなたの特定の要件によります。
LDAPはTLSを使用するため、クライアントとサーバー間の接続とメッセージは常に暗号化されます。 さらに、LDAPはTCPを使用するため、要求が削除される可能性はゼロですが、これは多くの場合、ネットワークオーバーヘッドを意味します。 LDAPは、RADIUSよりも簡単に設定できます。
一方、LDAPはユーザアカウンティングをサポートしていませんが、Syslogなどの他のツールを使用して対応できます。 また、多要素認証もサポートしていませんが、この機能が必要な場合は他のソリューションを使用することもできます。
RADIUS
デフォルトでは、radiusはパスワードを除いて、クライアントとサーバーの間で渡される他の属性を暗号化しません。 EAPなどの他の認証メカニズムをサポートしているため、この弱点を回避できます。 また、RADIUSを使用して、サーバーやクライアントを仮想プライベートネットワーク(Vpn)の背後に配置するなど、他のセキュリティメカニズムを実装するこ
より複雑ですが、RADIUSはユーザーアカウンティングとMFAをサポートしているため、大企業での使用に最適です。 ただし、ネットワークを保護しようとしている小規模な組織にとっても便利です。
RADIUSサーバーとしてのネットワークポリシーサーバー
npsは、以前のWindowsバージョンではインターネット認証サービス(IAS)として知られていました。 Windows2008以降、IasはNPSになり、Microsoftはネットワークアクセス保護やIpv6サポートなどの新機能をコンポーネントに追加しました。 NPSは、多くの種類のネットワークで動作します。
Windowsネットワーク上のユーザー資格情報を認証するために、NpsはActive Directoryドメインサービス(AD DS)ドメインまたはローカルセキュリティアカウントマネージャー(SAM)ユー NPSを実行しているサーバーがAD DSドメインに属している場合は、シングルサインオンソリューションの一部としてNPSを使用できます。 この場合、NPSはディレクトリサービスのユーザーアカウントデータベースを介してユーザーを認証し、認証されたユーザーをAD DSドメインに記録します。
RADIUSでは、NPSはNASではなく、認証、承認、アカウンティングに関連するユーザーデータの中心的な場所として機能します。 NPSとリモートアクセスサービスを組み合わせると、RADIUSを使用してリモートアクセスネットワーク内のユーザーを認証および承認できます。
NPSを実行しているRADIUSサーバーは、AWS上で実行されているWindowsサーバーに対して最も簡単な認証メカニズムを提供します。
ネットワークポリシーサーバーをRADIUSプロキシとして
WindowsでNPSをRADIUSサーバーとして使用する以外に、NPSをradiusプロキシクライアントとして使用して、認証またはアカウン
このユースケースが有用ないくつかのシナリオは、次の場合です:
- 外部委託ネットワークアクセスサービスを提供する。 その後、顧客が管理するRADIUSサーバーに接続要求を転送できます。
- Windows RADIUSサーバーと同じドメインに属していないユーザーアカウント、またはNPS RADIUSサーバーのドメインとの双方向の信頼関係を持つ別のドメインに属しているユーザー
- Windows以外のアカウントデータベースを使用します。
- 接続を要求する多数のユーザーがいます。
- ベンダーにRADIUS認証と許可を提供します。
Parallels RASでアプリケーションへのアクセスを保護
Parallels®Remote Application Server(RAS)には、RADIUSサーバーを使用したMFAのサポートなど、アプリケーションやデータへのアクセスを保護する
Parallels RASは、二つのRADIUSサーバーの高可用性構成サポートを提供します。 RADIUSサーバーの高可用性モードは、両方のサーバーを同時に使用するためにActive-Activeとして、またはフェールオーバーの目的でActive-Passiveとして設定できます。
さらに、Parallels RASでは、ユーザー、IPアドレス、MACアドレス、ゲートウェイに基づいてユーザーのフィルタリングルールを作成できます。 クライアントポリシーを使用すると、ユーザーをグループ化し、さまざまなParallelsクライアント設定をユーザーデ
:
- スマートカード認証
- キオスクモード
- セキュリティアサーションマークアップ言語シングルサインオン(SAML SSO)認証。
Parallels RASは、一般データ保護規則(GDPR)、健康保険の携行性と説明責任法(HIPAA)、ペイメントカード業界データセキュリティ標準(PCI DSS)に従って、Secure Sockets Layer(SSL)または連邦情報処理標準(FIPS)140-2プロトコル暗号化もサポートしている。
Parallels RASには、生データを視覚的で直感的なレポートに変換できる標準のレポートエンジンが付属しています。
試用版をダウンロードして、Parallels RASがネットワークの保護にどのように役立つかを確認してください。