RADIUS認証の仕組み
さまざまなネットワーク上で利用されている認証用プロトコル「RADIUS」の認証の仕組みについて紹介します。
RADIUSサーバの構築やリプレース、及び価格については、こちらからお問合せください!
RADIUSとは
RADIUSとは、「Remote Authentication Dial In User Service」の略です。
さまざまなネットワーク上で、利用者認証/権限付与/利用状況記録などを行うための通信/認証プロトコルです。
「RADIUSサーバ」と「RADIUSクライアント」の間の通信方式(プロトコル)を規定したものです。
インターネット接続サービスや、有線/無線LANのユーザ認証に使われています。
認証だけではなく、利用状況記録(アカウンティング)機能も備えています。ネットワークの接続時間/データ量も収集できるため、インターネット接続サービスなどでは認証ユーザに対する課金処理基本情報などでも利用されています。
RADIUSの構成
RADIUSによる認証システムはサーバ-クライアントモデルで動作し、「ユーザ」、「RADIUSクライアント」、「RADIUSサーバ」の3つで構成されます。
「RADIUSクライアント」は、NAS(Network Access Server)とも呼ばれます。無線LAN/VPNゲートウェイなどのアクセスポイントが該当します。
RADIUSは、UDP/IPプロトコルを使用するため、「RADIUSクライアント」と「RADIUSサーバ」は、IP通信を行える環境であることが必須です。
「RADIUSサーバ」の一元管理機能により、「RADIUSクライアント」が複数存在するような環境でも、1箇所でユーザ情報の制御を行えます。
RADIUS認証の仕組み(概要)
| 手順(1) | 「ユーザ」からの認証要求(ユーザIDとパスワード)が「RADIUSクライアント」に到着します。 |
| 手順(2) | 「RADIUSクライアント」は、認証要求(ユーザIDとパスワード)をAccess-Requestメッセージとして「RADIUSサーバ」に転送します。 |
| 手順(3) | 「RADIUSサーバ」は、受け取った情報(ユーザIDとパスワード)と、自身が管理している情報を照合してユーザ認証を行います。 |
| 手順(4) | 「RADIUSサーバ」は、「RADIUSクライアント」に認証可否メッセージ(Access-Accept or Access-Reject)を返します。 |
| 手順(5) | 「RADIUSクライアント」は、認証結果に基づいて「ユーザ」に対して接続許可/拒否を行います。 |
RADIUS認証の仕組み(詳細)
| ポート番号指定 | 「RADIUSクライアント」は、「RADIUSサーバ」へAccess-Requestメッセージを送る場合に、RADIUSサーバの指定したUDPポート(デフォルトは1812番)宛に送信します。 |
| RADIUSクライアントID情報 | 「RADIUSサーバ」へ送られるAccess-Requestメッセージには、「RADIUSクライアント」を示す情報として、「IPアドレス情報」もしくは「あらかじめ決められた固有のID」が含まれます。 |
| IPアドレス指定 | 「RADIUSクライアント」と「RADIUSサーバ」間のそれぞれで、IPアドレス指定を行い、不正な接続要求を防止します。 |
| 共有暗号鍵 | IPアドレス指定のみでは完全ではないため、「RADIUSクライアント」と 「RADIUSサーバ」間で、共有暗号鍵(Shared Secret)を事前に設定しておくことにより、信頼する「RADIUSクライアント」からのみの接続要求を受け付けます。不正な「RADIUSクライアント」からの接続要求を排除することができます。 |
まとめ
RADIUS認証の仕組みを紹介しました。
RADIUSは、非常にシンプルな仕組みでありながら、共有暗号鍵を採用していることにより堅牢性もあるため、使いやすい認証プロトコルとして幅広く利用されています。
RADIUSサーバの構築やリプレース、及び価格については、こちらからお問合せください!
