-
サーバ構築のデージーネットTOP
-
OSS情報
-
OSS紹介
-
FreeRADIUSのアカウント管理GUI〜daloRADIUS〜
-
サーバ構築のデージーネットTOP
-
OSS情報
-
OSS紹介
-
RADIUSサーバのOSS
-
FreeRADIUSのアカウント管理GUI〜daloRADIUS〜
FreeRADIUSのアカウント管理GUI〜daloRADIUS〜
ここでは、FreeRADIUSの管理GUIであるdaloRADIUSを紹介します。
daloRADIUSとは
daloRADIUSは、FreeRADIUSと連携してRADIUSサーバのユーザやアカウンティングの管理を行うためのウェブインタフェースです。ユーザの追加・削除・編集等を行うことができます。また、RADIUSサーバのアカウンティング情報(ログインやログアウト時間)も参照することが可能です。
daloRADIUSを使うと、サーバにログインしてログファイルを確認したり、ユーザ登録で設定ファイルを編集する必要がありません。そのため、便利で簡単にRADIUSシステムを管理することができるようになります。
FreeRADIUS〜OSSのRADIUSサーバ〜
ライセンスフリーでも管理が不安
一般的なRADIUSサーバ製品は、ユーザライセンス制を取っているものがほとんどです。したがって、利用するユーザが多ければ多いほど、導入コストも保守サポートのコストも高くなる傾向があります。そのため、無料で入手することができるOSSを使ってRADIUSサーバを構築したいと考えるシステム管理者は多いようです。しかし、実際には、OSSを導入するのに躊躇するシステム管理者がほとんどです。それは、管理に対する不安があるためです。
FreeRADIUSの初期設定や認証を行う機器との連携設定等は、SIerなどのシステム構築ベンダーに依頼することができます。そのため、導入することは難しくありません。しかし、実際に利用するには、日々の運用管理が必要です。FreeRADIUSの管理は、Linux上でファイルやコマンドラインを使って行う必要があります。管理マニュアルなどが整備されているわけでもありません。そのため、製品のRADIUSソフトウェアと比べて、管理しにくいという欠点があります。例えば、FreeRADIUSにユーザを追加する場合には、/etc/raddb/usersというファイルに、次のようなエントリーを追加します。
/etc/raddb/users
user01 Cleartext-Password := "T3tz@W2vc"
Service-Type = Framed-User,
Framed-Protocol = PPP,
Framed-IP-Address = 172.16.1.33,
Framed-IP-Netmask = 255.255.255.0,
Framed-Routing = Broadcast-Listen,
Framed-Filter-Id = "std.ppp",
Framed-MTU = 1500,
Framed-Compression = Van-Jacobsen-TCP-IP
これは、PPPによるリモートアクセスを行うユーザの追加の例です。それぞれの項目を理解するのも難しく、またテキストファイルでの管理というのにも抵抗があるかもしれません。もし障害が発生すると、ログなどを解析して原因究明をする必要もあります。しかし、OSSなので何の支援もないのではないかと不安になってしまいます。こうした運用上の負荷が気になってしまうため、FreeRADIUSを検討しても、導入に躊躇してしまうのです。
daloRADIUSでWEBから管理
デージーネットからの提案【daloRADIUS】
この欠点を補うために、デージーネットではFreeRADIUSと一緒にdaloRADIUSを導入することをお勧めしています。
daloRADIUSは、Liran Tal氏が開発し、管理しているオープンソースソフトウェアです。GNU General Public License version 2.0 (GPLv2)の下で公開されています。daloRADIUSは、FreeRADIUSのフロントエンドとして利用することができます。FreeRADIUSとdaloRADIUSを組み合わせて使うことで、通常の運用で必要なログの管理やユーザの管理などのオペレーションをWEB経由で行うことができるようになります。そのため、FreeRADIUS導入の大きな課題であった運用管理の負荷を、大幅に低減することができるのです。
なお、以前のdaloRADIUSは日本語化されていませんでした。しかし、2016年にデージーネットが日本語化を行い、作者にパッチを提供しました。また、オリジナルのdaloRADIUSには、いくつかのセキュリティの問題とバグがありました。デージーネットでは、これらの問題の対策パッチも製作者にフィードバックを行い、採用されています。
デージーネットでは、daloRADIUSとFreeRADIUSを組み合わせたシステムを、インターネットサービスプロバイダに導入し稼働しています。そこでは、PPPoEの認証サーバとして利用しています。他にも、WiFiやVPN装置のユーザ認証のために利用している実績もあります。
daloRADIUSの主な機能
daloRADIUSでは、次のような管理をGUIから行うことができます。
ユーザ管理
アカウント、パスワード、Framed-IP-Address、Framed-IP-Netmaskなどの属性値をGUIから管理することができます。また、該当ユーザの名前や場所などの情報を記録しておくこともできます。
「ユーザ管理」へ
グループとプロファイル
daloRADIUSでは、事前にプロファイルとよばれる属性セットを作成し、それをユーザに適用することができます。認証する機器に必要な属性の情報など、ユーザ個別ではない情報の設定が簡単に行えるます。
「グループとプロファイル機能」へ
NASの管理
FreeRADIUSを利用して認証を行うネットワーク機器の設定もGUIから行うことができます。
「NASの管理」へ
アドレスプールの管理
あらかじめ決められたアドレスプールの中から、接続ユーザへ割り当てるアドレスについてもGUIから設定を行うことができます。
「IPアドレス割り当て」へ
アカウンティング
アカウンティングは、ユーザ毎の利用状況を管理する機能です。daloRADIUSでは、非常に簡単にアカウンティング情報を参照することができます。
「アカウンティング」へ
レポート
システム管理者は、RADIUSサーバの利用頻度や最終接続などの状況を調べたい場合があります。daloRADIUSのレポート機能では、アクセスが多いユーザの一覧、各ユーザの最終接続の情報などを参照することができます。
「レポート」へ
サーバやサービス状態の確認
管理画面から、FreeRADIUSの稼働状況やログを確認することができます。
「サーバやサービス状態の確認」へ
daloRADIUSとFreeRADIUSのシステム構成
daloRADIUSは、PHPとJavaScriptで書かれています。そのため、稼働させるには、WebサーバとPHPが必要です。また、FreeRADIUSとの連携は、バックエンドのデータベースを介して行います。バックエンドデータベースとしては、MySQL、PostgreSQL、SQLiteなどをサポートしています。
デージーネットのサービスとサポート
デージーネットでは、FreeRADIUSを使ったRADIUSサーバの構築サービスを行っています。FreeRADIUSで利用するユーザの管理は、ここで紹介したdaloRADIUSで管理することを推奨しています。また、ActiveDirectoryやLDAPなどと連携して、既存のユーザ情報を使って認証を行うようなシステム構成での導入実績も多数あります。
デージーネットでは、RADIUSサーバの保守が気になるというお客様には、RedHat Enterprise Linuxの利用をお勧めしています。FreeRADIUSは、RedHat Enterprise Linuxに採用されていて、セキュリティアドバイザリなどの情報や、バージョンアップなども利用することができるためです。また、デージーネットのOpen Smart Assistanceでは、システムの障害時のリモートでの解析、定期的なセキュリティアップデート、定期点検などのサービスも提供しています。こうしたサービスを利用していただくことで、OSSではあっても、安心してFreeRADIUSをお使いいただくことができます。
また、daloRADIUSについては開発者と連携して、セキュリティ問題に対応したり、日本語化をしたりした実績もあります。
デモのお申込み
もっと使い方が知りたい方へ
RADIUSの操作方法や操作性をデモにてご確認いただけます。使い方のイメージを把握したい、使えるか判断したい場合にご活用下さい。RADIUSのデモをご希望の方は、下記よりお申込みいただけます。
一押しOSS情報「FreeRADIUSとdaloRADIUS」
- ユーザ管理
- daloRADIUSを使うと、FreeRADIUSの管理をWebインタフェースを使って行えるようになります。ここでは、ユーザ管理について画面イメージと共に紹介します。
- グループとプロファイルの機能
- daloRADIUSを使うと、FreeRADIUSの管理をWebインタフェースを使って行えるようになります。ここでは、グループとプロファイルの機能について画面イメージと共に紹介します。
- NASの管理
- daloRADIUSを使うと、FreeRADIUSの管理をWebインタフェースを使って行えるようになります。ここでは、NASの管理について画面イメージと共に紹介します。
- IPアドレスの割り当て
- daloRADIUSを使うと、FreeRADIUSの管理をWebインタフェースを使って行えるようになります。ここでは、IPアドレスの割り当てについて画面イメージと共に紹介します。
- アカウンティング
- daloRADIUSを使うと、FreeRADIUSの管理をWebインタフェースを使って行えるようになります。ここでは、アカウンティング情報について画面イメージと共に紹介します。
- レポート
- daloRADIUSを使うことで、FreeRADIUSの管理をWebインタフェースを使って行えるようになります。ここでは、利用頻度、最終接続の調査について画面イメージと共に紹介します。
- サーバやサービス状態の確認
- daloRADIUSを使うことで、FreeRADIUSの管理をWebインタフェースを使って行えるようになります。ここでは、サーバやサービス状態の確認について画面イメージと共に紹介します。
- 多要素認証とFreeRADIUS
- FreeRADIUSでは、他のOSSを組み合わせ多要素認証を実現できます。多要素認証を活用することで、認証セキュリティをより強固にすることが可能です。
RADIUSサーバ「構築事例/情報の一覧」
FreeRADIUSとは、GNU General Public License, Version 2の下で公開され、さまざまなLinuxディストリビューションに採用されている、オープンソースソフトウェアのRADIUSサーバです。このページでは、FreeRADIUSを使用したユーザ認証の流れや、特徴などを紹介します。
FreeRADIUSとOpenXPKIを組み合わせた認証基盤システムを構築しました。高いセキュリティ要件に対応しつつ、複雑な証明書管理に伴う運用の負担を軽減した認証システムを実現しました。
今回は、情報通信会社様にてFreeRADIUSのOSをAmazon Linuxから移行した事例についての記事です。お客様は、Amazon Linuxがサポート終了の期限を迎えるため、リプレースを検討されていました。また、データベースの冗長化やアカウントパスワードの暗号化をご要望でした。
教育機関で認証サーバを構築しました。お客様からは、学内の無線LANを利用する際に特定の人しか利用できないよう、IDとパスワードで認証するシステムが欲しいというご要望をいただきました。そこで、デージーネットでは、FreeRADIUSを利用した認証サーバの構築を提案しました。
daloRADIUSを利用して、FreeRADIUSが出力する、ユーザのログインやログアウト情報をウェブインタフェースから参照できるようになりました。daloRADIUSは日本語にも対応していて、操作が容易になりました。
VPN装置でOTP(ワンタイムパスワード)を使いたいというご要望があり、OSSのFreeRADIUSとGoogle Authenticatorを利用した認証システムを構築しました。スマートフォンのGoogle Authenticatorアプリで表示されたOTPを使ってVPN装置と連携することで、認証システムのセキュリティが向上しました。
ケーブルテレビの契約ユーザが自由に使用できるWi-Fiホットスポットを提供するためのRADIUSサーバをFreeRADIUSを使って導入しました。既存の管理システムとの連携を求められていたため、外部連携に実績のあるFreeRADIUSを提案しました。
大学様へ認証システムの改善支援コンサルティングを行った事例です。学内で認証システムとして利用しているFreeRADIUSに脆弱性が見つかり、その影響と対策について知りたいというご相談をいただきました。
daloRADIUSは、RADIUS認証サーバの管理を行うためのウェブプラットフォームです。本書は、daloRADIUSのインストール方法や使用方法を調査してまとめたものです。
RADIUSサーバとは、RADIUS(Remote Authentication Dial In User Service)という認証プロトコルを使って、認証サービスを提供するサーバです。ダイアルアップサービス用の認証サーバとして開発され利用されてきました。現在も、ISPの認証サービスなどではRADIUSサーバが継続して使われています。
