よくある質問・用語集

サーバ構築のデージーネットTOP > OSS情報 > OSS紹介 > RADIUSサーバのOSS > RADIUSサーバとは

サーバ構築のデージーネットTOP > OSS情報 > よくある質問・用語集 > 用語集 > RADIUSサーバとは

  • もっと調べる
  • どうやって使う?

RADIUSサーバとは

RADIUSサーバとは、RADIUS(Remote Authentication Dial In User Service)プロトコルを使って、ネットワークにアクセスしてきたユーザが本当に利用権限を持つ者なのかを認証するサーバです。インターネットが普及を始めたころ、ユーザがインターネットへアクセスするには電話回線を使ったダイアルアップが主流でした。RADIUSサーバは、ダイアルアップサービス用の認証サーバとして、ISPや企業などで利用されてきました。現在、回線は電話から光回線になっていますが、ISPの認証サービスなどでは、RADIUSサーバが継続して使われています。

また、近年では、Wi-Fiアクセスポイントでの認証などでも、RADIUSサーバが使われています。電話回線のような閉じた環境ではなく、Wi-Fiという他者も利用するネットワーク上で認証サービスを提供するためには、より強固なセキュリティが求められるようになりました。そのため、RADIUSサーバにも、通信経路の暗号化や証明書認証など、時代の要請に合わせた機能拡張が行われています。

RADIUSサーバ導入のメリット

多くのネットワーク製品は、製品内の自前のユーザ認証の仕組みと、RADIUS認証の仕組みの両方をサポートしています。RADIUS認証を利用することで、次のようなメリットがあります。

  • 一元管理

    RADIUSサーバでは、ユーザ名とパスワードを使った認証サービスを提供します。1台のRADIUSサーバで、様々なネットワーク機器の認証を一元管理することができるため、管理者の負担を低減することができます。ActiveDirectoryやLDAPなどの他の認証システムと連携することができるRADIUSサーバを使えば、Windows環境と同様のユーザ名、パスワードを利用することもできます。

  • 利用履歴の保管

    RADIUSサーバでは、アカウンティング(課金)情報も取得することができます。どの利用者がいつ利用したのかが分かるため、システムの利用監査にも利用することができます。

  • 負荷分散

    ネットワーク機器の内部データベースでの認証は、機器に負荷を掛けます。RADIUSサーバを使って認証を外部管理にすることで、ネットワーク機器の負荷を下げることができます。

  • 強固なセキュリティの実現

    RADIUSサーバは、ワンタイムパスワードや証明書認証のインフラとしても利用することができます。従来のユーザ名、パスワードでの認証と比べると強固な認証を行うことができます。

RADIUSサーバの認証の流れ

RADIUSによる認証には、ユーザ、RAIUSクライアント、RADIUSサーバの3つの構成要素があります。RADIUSクライアントは、ユーザが利用しようとするネットワークやネットワーク機器で、NAS(Network Access Server)とも呼ばれます。次のような順序で認証が行われます。

  1. ユーザがネットワークに接続しようとします
  2. RADIUSクライアントは、ユーザに認証を要求します
  3. ユーザがユーザ名、パスワードを入力し、認証を行います
  4. RADIUSクライアントは、受け取ったユーザ名、パスワードを使って、RADIUSサーバにアクセス認証のリクエストを出します
  5. RADIUSサーバは認証処理を行い、RADIUSクライアントに認証可否を伝えます
  6. RADIUSクライアントは、ユーザに認証結果を伝えます

RADIUSによる認証の流れ

RADIUSサーバのセキュリティ

RADIUSサーバとRADIUSクライアントの通信

RADIUSサーバの偽装をした不正なサーバが存在すると、RADIUSクライアントからのデータを盗み見られてしまう可能性があります。そのため、RADIUSサーバとRADIUSクライアントは、あらかじめ決めた暗号文字列を使って、お互いに正しい通信相手であることを確認するようになっています。

従来のRADIUSサーバの認証方式

従来、RADIUSサーバでよく使われていた認証方式は、PAPとCHAPです。PAPは、単純にユーザ名とパスワードを送ります。暗号化せずに送るため、ネットワーク上で通信を覗き見ると、パスワードが見えてしまうという問題があります。一方で、RADIUSサーバにはパスワードを一定の方法で処理した形で保管しておくことができ、サーバ上では安全にパスワード情報が保管できます。

CHAPは、RADIUSクライアントとRADIUSサーバの両方で、パスワードを同じ方法で処理し、結果をつき合わせる方式です。このパスワードの処理には非可逆の暗号方式が使われます。つまり、ネットワーク上で通信を覗き見ることができても、パスワードを解読することができません。しかし、サーバ上では、パスワードを元のデータのまま保管しておく必要があります。

従来、電話回線でダイアルアップを行っている時には、回線上を覗き見ることは簡単ではありませんでした。しかし、最近のWi-Fiなどの通信では、回線上のデータを簡単に覗き見ることができてしまいます。そのため、これらの方法が使われることは少なくなりました。

RADIUSサーバとワンタイムパスワード

RADIUSサーバと、ワンタイムパスワードのシステムを組み合わせ使う方法です。認証方式としては、PAPが使われます。通信経路を覗き見ることができ、パスワードを不正に取得できても、一度しか使えないパスワードを利用しているので安全です。最近では、オープンソースのワンタイムパスワードのシステムも広く使われるようになっているため、以前よりも安価に導入することができます。

RADIUSサーバの通信経路の暗号化

RADIUSサーバ側のSSL証明書だけを使って、通信経路を暗号化するEAP-PEAPという拡張暗号方式もよく使われています。RADIUSクライアントは、サーバのSSL証明書を確認することで、正しいサーバであることを確認できます。また、通信経路を暗号化するため、暗号化しないパスワードを送受信することができます。そのため、サーバ側では、MD5などの非可逆暗号化したパスワードを保管することができます。したがって、通信経路もパスワードも安全に保つことができます。

証明書認証

最近では、より安全な方法で認証を行うため、ユーザ名とパスワードの代わりにSSL証明書を利用するEAP-TLSという拡張認証方法が使われています。この場合、ユーザが持っているクライアントの証明書と、RADIUSサーバの証明書が使われます。パスワードを扱う必要がなく、よりセキュリティが高い方法です。実際に利用するには、認証局が必要になります。

代表的なサーバのソフトウェア

RADIUSサーバのソフトウェアのうち、デファクトスタンダード的な位置づけにあるのがFreeRADIUSです。FreeRADIUSは、オープンソースソフトウェアです。Red Hat Enterprise Linuxなどにも同梱されていて、比較的簡単に入手することができます。オープンソースソフトウェアですので、ユーザ数ライセンスなどに関係なく利用することができます。

以前は、様々な製品が販売されていましたが、FreeRADIUSが広く使われるようになったため、海外ベンダーの製品は非常に少なくなりました。日本国内では、いくつかのベンダーから製品も販売されています。多くの製品が、ユーザ数ライセンスを採用しています。

デージーネットでは、FreeRADIUSの利用を推奨していて、多くのISPに導入しています。また、管理性を補うため、管理GUIのdaloRADIUSや、認証局のOpenXPKIなどを利用してシステムを構築しています。

【カテゴリ】:プロトコル  認証  

  • もっと調べる
  • どうやって使う?

デージーネットのテレワーク事例から学ぶ、オープンソースを活用したテレワーク導入セミナー

日程: 7月16日(木)Webセミナー「BigBlueButton」を使用します。
7月17日(金)デージーネット東京営業所
内容: ご好評につき、5月に開催したセミナーを再度開催いたします!デージーネットが行ったテレワークの具体的テクニックから、テレワーク導入のポイントをお伝えします。
ご興味のあるかたはぜひご参加ください。

セミナー申込

関連用語

RADIUSサーバに関連するページ(事例など)

RADIUSサーバとは先頭へ