Windows 2008 RADIUS サーバー (NPS/IAS) を使用した管理者認証の設定方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

Configuring Administrator Authentication with Windows 2008 RADIUS Server (NPS/IAS)

https://live.paloaltonetworks.com/t5/Configuration-Articles/Configuring-Administrator-Authentication...

 

 

概要

本文書はWindows 2008 RADIUS サーバーを使用した管理者認証を設定する手順を記載します。

設定を行うための前提条件:

  • 管理インターフェースからのL3接続、あるいはデバイスのRADIUSサーバーへのサービス ルート
  • ドメイン アカウントを確認できるWindows 2008サーバー

 

手順

パート 1:Palo Alto Networksファイアウォールの設定

  1. [Device] > [サーバー プロファイル] > [RADIUS]に移動し、RADIUS サーバー プロファイルを追加します。
    sri.jpg
  2. [Device] > [認証プロファイル]を開き、認証プロファイルを追加します。
    sri.jpg
  3. [Device] > [管理者ロール]に移動し、管理者ロールを追加します。今回の場合は仮想システム用(vsys)の管理者ロールとし、デバイス全体への適用はしません。
    sri.jpg
  4. [Device] > [アクセス ドメイン]に移動し、アクセスドメインを追加します。
    sri.jpg
  5. [Device] > [セットアップ[ > [管理] > [認証設定]を開き、上記で作成した、RADIUSの認証プロファイルが選択されていることを確認します。
    sri.jpg
  6. [Device > [管理者を開き、認証される必要のあるユーザーが予め定義されていないことを確認します。
    sri.jpg
  7. コミットをクリックして、設定を反映させます。

 

パート 2:Windows 2008 serverの設定 (Server RoleとしてNPS(Network Policyand Access Services)が必要です)
r6.png

  1. [Start] > [Administrative Tools] > [Network Policy Server]をクリックして、NPS設定画面を開きます。
    r7.png
  2. Palo Alto NetworksデバイスをRADIUSクライアントとして追加します。
    1. [RADIUS Clients and Servers]を開きます。
    2. [RADIUS Clients]を選択します。
    3. 右クリックして、[New RADIUS Client]を選択します。
      r8.png
      注:[Name and Address]のFriendly name:とAddress、[Shared secret:]を追加するだけです。[Vendor name:]は標準設定の"RADIUS Standard"のままにしておきます。
  3. RADIUS Clientを追加した後の一覧は、以下のようになります:
    r9.png
  4. [Policies]に移動し、[Connection Request Policies]を選択します。 Windowsユーザーを認証するポリシーが設定/チェックされているかを確認します。
  5. [Overview]タブを確認し、ポリシーが有効になっていることを確認します。
    r10.png
  6. [Conditions]タブを確認します。
    r11.png
  7. [Settings]タブを確認し、ユーザーの認証方法を確認します。
    r12.png
  8. [Network Policies]上で右クリックし、新しいポリシーを追加します。
    r13.png
  9. [Policy name:]を入力します。
    r14.png
  10. [Conditions]タブを開き、認証することができるユーザーを選択します(グループによる指定が望ましい)。
    r15.png
  11. [Constraints]タブを開き、"Unencrypted authentication (PAP, SPAP)"が有効になっていることを確認します。
    r16.png
  12. [Settings]タブに移動し、ユーザーに正しい管理者ロールとアクセスドメインが割り当てられるよう、VSA (ベンダー固有属性)を設定します。
    1. [RADIUS Attributes]から"Vendor Specific"を選択します。
      r17.png
    2. 右側の画面にて、[Add]ボタンをクリックします。
    3. [Vendor:]ドロップダウン リストから"Custom"を選択します。
    4. [Attributes:]リスト内にある唯一の選択肢が、"Vendor-Specific"の状態になります。
      r18.png
    5. [Add]ボタンをクリックします。The Attribute Information ウィンドウを開きます。
    6. 左側にある[Add]ボタンをクリックして、Vendor-Specific Attribute Information ウィンドウを開きます。r19.png
    7. VSAを設定します。
      1. [Enter Vendor Code]を選択し、"25461"を入力します。
      2. "Yes. It conforms"を選択すると、設定した属性が、RADIUS RFCでの"Vendor Specific Attributes"の定義に準拠することになります。
      3. "Configure Attribute…"をクリックします。
      4. 管理者ロールの[Vendor-assigned attribute number:]は"1"とします。
      5. [Attribute format:]は"String"を選択します。
      6. [Attribute value:]は管理者ロールの名前のことであり、今回は"SE-Admin-Access"を入力します。
        r20.png
      7. [OK]をクリックします。
      8. [Add]ボタンをクリックして、2つ目の属性を必要に応じて設定します。[Vendor-assigned attribute number:]の"2"はアクセスドメイン用となります。
        r21.png
      9. ユーザーは、"User-Group 5"に設定する必要があります。
        注:グループは手動で入力して、該当するポリシーの中で使うことができます。
      10. 異なるアクセス/認証オプションが、(一般的なアクセスのために)既知のユーザーを使用する場合だけでなく、より安全なリソース/ルールを適用するためにRADIUSが返したグループでも利用することができます。
      11. 属性の一覧は、以下のように表示されます。
        r22.png
    8. すべてのオプションが保存されるまで、[OK]をクリックし続けます。
      r23.png
    9. 既存のポリシーを右クリックして、実施したいアクションを選択することもできます。
      r24.png

 

パート 3:設定の確認

ファイアウォール上での確認:

  1. Palo Alto Networksファイアウォール上で、誤ったパスワードを使用して、以下のシステム ログが表示されるかを確認します。[Monitor] > [ログ] > [システム]
    sri.jpg
  2. 正しいパスワードを使用すると、ログインは成功して以下のログ エントリーが表示されます。
    sri.jpg
  3. アクセス権を確認します。
    sri.jpg

 

NPS側での確認:

  1. イベント ビューワーから(Start > Administrative Tools > Event Viewer)、 以下を探します:
    • Security Event 6272, “Network Policy Server Granted access to a user.”
    • Event 6278, “Network Policy Server granted full access to a user because the host met the defined health policy.”
  2. Windows ログ内のセキュリティー ログを選択します。
  3. Task Categoryの中で “Network Policy Server”を探します。

 

参照:

類似の設定方法として、以下のドキュメントも参照してください。

 

著:srommens