PPTPを用いるVPNは導入・運用が比較的容易で、対応するクライアントの種類が多い利点もあるが、ユーザーIDとパスワードで認証する点が問題になる。なぜなら、LAN内部でActive Directoryを使用している場合、安全性を考慮してVPNゲートウェイをスタンドアロンサーバにすると、Active Directoryのユーザーアカウントを使った認証を行えないからだ。
そこで、この問題を解決する切り札であるRADIUSについて、3回に分けて解説していくことにしよう。
RADIUSとは?
RADIUSとは、ユーザー認証を行うコンピュータとユーザー情報を管理しているコンピュータの間で情報を仲介するためのプロトコルだ。これを利用すると、スタンドアロンサーバになっているVPNゲートウェイからLAN内部のドメインコントローラに対して安全なアクセスを実現し、ドメインコントローラが持つActive Directoryのユーザー情報を使った認証を可能にする。
リモートアクセスの着信を受け付ける際のユーザー認証は通常、着信を受け付けるVPNゲートウェイ(アクセスサーバ)が担当する。それがスタンドアロンサーバになっていると、ユーザー認証に使用するアカウントもVPNゲートウェイ自身が持っていなければならない。さらに、VPNゲートウェイの台数が増えた場合、個別にローカルアカウントを保守しなければならないという問題もある。
VPNゲートウェイをActive DirectoryのドメインコントローラにすればActive Directoryのユーザー情報にアクセスできるため、こうした問題を解決できる。しかし、VPNゲートウェイはインターネットに直結しているから、セキュリティ上のリスク要因になる。
この問題を解決するには、VPNゲートウェイからユーザー情報を分離する必要がある。そこで登場するのがRADIUSで、VPNゲートウェイとActive Directoryのドメインコントローラに代表されるようなユーザー情報管理用のサーバを別々にしつつ、ユーザーIDやパスワードの情報を安全にやり取りできる仕組みを提供する。
その他の用途として、IEEE802.1Xを使った端末認証、IEEE802.11iなどの無線LANセキュリティが挙げられるが、これらについては今回は割愛する。
RADIUSサーバの機能を、Windows Server 2003ではインターネット認証サービス(IAS : Internet Authentication Service)、Windows Server 2008ではNPS(Network Policy Server)と呼んでいる。位置付けの違いが原因で名称が異なるが、基本的な機能は同じだ。本稿では後者のNPSを使用する方法を紹介しよう。
このNPSを導入して、RADIUSを利用して認証できるようにするには、以下の作業を必要とする。
- ドメインコントローラにIAS/NPSを組み込む。
- IAS/NPSをActive Directoryに登録する。
- IAS/NPSに、着信を受け付けるVPNゲートウェイ(アクセスサーバ、あるいはNASクライアントともいう)を登録する。
- IAS/NPSでリモートアクセスポリシーの設定を行う。
- VPNゲートウェイで、認証に使用するサーバとしてIAS/NPSサーバを指定する。
- ローカルアカウントで認証する場合と同様に、認証に使用するユーザー アカウントに対して着信を許可する。個別のアカウントごとに着信を許可する方法と、ポリシーを使って一括許可する方法があるが、これらは前回に取り上げた。
本連載ではVPNにおける認証手段としてのRADIUSを解説するため、ここまで「VPNゲートウェイ」という言葉を使っているが、Windowsサーバの用語としては「アクセスサーバ」「NASクライアント」が用いられている。いずれも意味は同じである。一方、「NPSサーバ」とはNPSが動作するサーバのことで、一般的に言うところのRADIUSサーバと同義だ。つまりは、NPSを組み込んだドメインコントローラのことである。
ドメインコントローラにNPSを組み込む
Windows Server 2008で、Active DirectoryのドメインコントローラにNPSを組み込むには、[サーバーマネージャ]で役割の追加を行う。使用するのは、役割[ネットワークポリシーとアクセスサービス]以下の役割サービスである[ネットワークポリシーサーバー]だ。
NPSの組み込みを行ったら、次にNPSをActive Directoryに登録する作業を行う。NPSがActive Directoryの情報にアクセスして、Active Directoryのユーザー情報を使って認証できるようにするために、この作業が必要になる。
[ネットワークポリシーとアクセスサービス]管理ツールを起動して、左側のツリー画面で[NPS(ローカル)]を選択する。続いて、[操作]-[Active Directoryにサーバーを登録]、あるいは右クリックして[Active Directoryにサーバーを登録]を選択すると、登録作業が行える。