よくある質問・用語集

サーバ構築のデージーネットTOP > OSS情報 > よくある質問・用語集 > 用語集 > FreeRADIUSとは

サーバ構築のデージーネットTOP > OSS情報 > OSS紹介 > RADIUSサーバのOSS > FreeRADIUSとは

  • もっと調べる
  • どうやって使う?

FreeRADIUSとは

FreeRADIUSとは、RADIUSプロトコルを実装したオープンソースソフトウェアである。FreeRADIUSには、RADIUSサーバ、RADIUSクライアントライブラリなどが含まれている。EAP-TLS、EAP-TTLSなどにも対応しており、RADIUSサービスを提供するために十分な機能が実装されている。

FreeRADIUSのアカウント管理

FreeRADIUSは、アカウントの管理のために、様々なバックエンドデータベースを利用できるようになっている。ここでは、FreeRADIUSのアカウント管理用に良く利用されるものについて紹介する。

FreeRADIUS専用のテキストファイル

最もベーシックな方法は、FreeRADIUS専用のユーザ設定ファイルを作成することである。ユーザ名とパスワードなどの情報をファイルで管理する。この方法は、PAP、CHAPをはじめとする、すべての認証方式に対応することができる。ただし、管理は非常に煩雑である。また、クリアパスワードを保管しておくため、セキュリティ的にも脆弱である。なお、認証方式については、RADIUSを参照。

パスワードファイルやPAM

FreeRADIUSをLinuxシステム上のパスワードファイルやPAMと連携する方法である。ただし、システムのパスワードは暗号化されているためCHAP、MS-CHAP、EAP-MD5などを利用することはできない。

MySQL/MariaDB/PostgreSQL

FreeRADIUSでは、RDBでユーザの情報とアカウンティング情報を管理することができる。比較的安全にクリアパスワードを記録しておくことができるため、良く利用される。ただし、データベースへのユーザ登録のインタフェースはFreeRADIUSでは用意されていないため、別途開発が必要である。

別に、daloRADIUSなど、FreeRADIUSをGUIで管理できるソフトウェアも公開されている。

LDAP

FreeRADIUSでは、アカウント管理にLDAPを利用することができる。LDAPは、メールシステムなどとの連携で利用されることが多い。そのような環境では、FreeRADIUSとLDAPを連携することで、メールシステムと同じパスワードでRADIUS認証を受けることができる。ただし、LDAPに暗号化されたパスワードが登録されている場合には、CHAP、MS-CHAP、EAP-MD5などの認証方法を利用することができないため、注意が必要である。こうした認証方法を利用する場合には、LDAPにクリアパスワードを登録し、十分なセキュリティを掛けることになる。

最近では、EAP-TLS、EAP-PEAPなど通信回線を暗号化する認証方法との組み合わせが一般的になってきた。そのため、LDAPに暗号化したパスワードを設定して、通信回線を暗号化する手法を取ることが多い。なお、FreeRADIUSではLDAPにアカウンティング情報を記録することもできる。

ActiveDirectory

FreeRADIUSは、LDAPプロトコルを通じてActiveDirectoryとも連携が可能である。FreeRADIUSとActiveDirectoryと連携することで、Windows環境で使っているユーザ名とパスワードを使ってRADIUS認証を行うことができるようになる。ただし、ActiveDirectoryには、暗号化されたパスワードが登録されていない。そのため、理論上はCHAP、MS-CHAP、EAP-MD5などの認証方法を利用することはできない。代わりに、PAP、EAP-TLS、EAP-PEAPなどの認証方法を利用することになる。

なお、RADIUSサーバの製品の中には、ActiveDirectoryとCHAP、MS-CHAP、EAP-MD5などの認証で連携できるものもある。これらの製品では、ActiveDirectory側にも管理ソフトウェアを導入したり、別にパスワードを同期する仕組みを備えているものが多い。

RADIUSサーバ

FreeRADIUSでは、バックエンドにRADIUSサーバを指定して、リクエストを転送することもできる。ISP間でのローミングなどでは、こうした手法が取られている。

FreeRADIUSの管理GUI

FreeRADIUSには、商用RADIUSサーバでは実装されている管理ウェブインタフェースはない。しかし、通常は初期設定後に頻繁に設定を変更するようなことはないので問題なくRADIUSサービスを提供できる。

daloRADIUSは、FreeRADIUSの管理用GUIとして知られている。FreeRADIUSのバックエンドにMySQLを使用して、アカウンティング情報やクライアント情報などを管理することができる。

FreeRADIUSと二要素認証

FreeRADIUSは、より高度な認証方式にも対応することができる。

OTP(ワンタイムパスワード)との連携

FreeRADIUSは、時刻同期型のOTP(ワンタイムパスワード)であるGoogle Authenticatorとも連携することができる。Google Authenticatorは、Googleが開発し自社サービスで提供しているものをOSSとしても提供している。Google Authenticatorでは、iOS、Androidで動作するソフトウェアトークンと連携して、ワンタイムパスワードを発行する。FreeRADIUSは、PAMを経由してGoogle Authenticatorと連携する。FreeRADIUSは、ワンタイムパスワードと通常のパスワードの2つの要素で認証を行うことができる。

証明書認証

FreeRADIUSは、電子証明を利用した認証方式であるEAP-TLS、EAP-TTLSなどにも対応している。EAP-TLSでは、認証を受けようとするクライアントの証明書を使って認証を行う。そのため、利用端末のレベルでアクセスを制限することができる。さらに、EAP-TTLSを使うと、クライアント証明書で認証した上で、さらにユーザとパスワードによる認証も行う。したがって、端末だけでなく、ユーザの正当性も含めて認証を行うことができる。

なお、クライアント証明書を利用するには、認証局の情報が必要となる。パブリック認証局を利用することもできるが、組織内などで使う場合にはプライベート認証局を利用することもできる。

FreeRADIUSのサポート

FreeRADIUSは、Red Hat Enterprise Linux、SUSE Linux Enterprise Server、Debian、Ubuntuなど、様々なLinuxディストリビューションに採用されている。Red Hat Enterprise Linuxのような商用ディストリビューションを使用すれば、商用サポートサービス付きでFreeRADIUSを使用することも可能である。

デージーネットの取り組み

デージーネットでは、FreeRADIUSを使った認証システムの構築を多数手がけている。特に、インターネットプロバイダの認証システムの構築でFreeRADIUSを使っている。また、最近ではVPN装置やWi-Fi装置の認証でFreeRADIUSを使ったり、ワンタイムパスワードの認証の仕組みを導入するために使うことも多い。

また、FreeRADIUSの管理GUIであるdaloRADIUSの日本語化などにも参画している。なお、デージーネットで構築したシステムは、Open Smart Assistanceに加入することで、導入後のQ&Aや障害対応などのサービスを受けることができる。

【カテゴリ】:認証  オープンソースソフトウェア  

  • もっと調べる
  • どうやって使う?

関連用語

FreeRADIUSに関連するページ(事例など)


デージーネット用語集のページです。「FreeRADIUS」という用語と関連情報について説明します。「FreeRADIUS」について情報を収集する際、サービスをご検討いただく際などに用語集ページをお役立てください。

FreeRADIUSとは先頭へ