13.2.2 認証サーバを構築する

認証サーバを構築します。認証サーバには次に示すプログラムをインストールおよびセットアップします。

<この項の構成>
(1) Microsoft Internet Authentication ServiceまたはNetwork Policy Serverのインストール
(2) Microsoft Internet Authentication ServiceまたはNetwork Policy Serverのセットアップ
(3) JP1/NETM/CSC - Agentのインストール
(4) JP1/NETM/CSC - Agentのセットアップ

(1) Microsoft Internet Authentication ServiceまたはNetwork Policy Serverのインストール

Microsoft Internet Authentication ServiceまたはNetwork Policy Serverを認証サーバにインストールします。インストールには前提OSのWindowsのインストール媒体を使用します。インストールの詳細は,Microsoft社のホームページやWindowsヘルプでMicrosoft Internet Authentication ServiceまたはNetwork Policy Serverに関するドキュメントを参照してください。

(2) Microsoft Internet Authentication ServiceまたはNetwork Policy Serverのセットアップ

Microsoft Internet Authentication ServiceまたはNetwork Policy Serverのセットアップをします。なお,次に示すようなMicrosoft Internet Authentication ServiceまたはNetwork Policy Serverの動作設定は済ませていることを前提としています。

JP1/NETM/CSCと連携するために必要なMicrosoft Internet Authentication ServiceおよびNetwork Policy Serverのセットアップについて説明します。

暗号化を元に戻せる状態でパスワードを保存する設定
IEEE802.1X認証方式の場合,暗号化を元に戻せる状態でパスワードを保存する設定をします。認証サーバでActive Directoryを構築している場合と,構築していない場合で方法が異なります。
  • Active Directoryを構築している場合
    [ドメインセキュリティポリシー]-[セキュリティの設定]-[アカウントポリシー]-[パスワードのポリシー]で,「暗号化を元に戻せる状態でパスワードを保存する」を有効にします。
    パスワード登録が済んでいる場合は,「暗号化を元に戻せる状態でパスワードを保存する」を有効にしたあと,[Active Directory ユーザとコンピュータ]-[Users]-[対象ユーザ]でパスワードをリセットして,設定し直してください。
  • Active Directoryを構築していない場合
    [ローカルセキュリティポリシー]-[セキュリティの設定]-[アカウントポリシー]-[パスワードのポリシー]で,「暗号化を元に戻せる状態でパスワードを保存する」を有効にします。
リモートアクセスポリシーの認証方法の設定
IEEE802.1X認証方式の場合,リモートアクセスポリシーの認証方法は「MD5-Challenge」または「保護されたEAP(PEAP)」を選択します。MAC認証方式の場合は設定不要です。

セットアップの詳細は,Microsoft社のホームページやWindowsヘルプでMicrosoft Internet Authentication ServiceまたはNetwork Policy Serverに関するドキュメントを参照してください。

(3) JP1/NETM/CSC - Agentのインストール

JP1/NETM/CSC - Agentを認証サーバにインストールします。

JP1/NETM/CSC - Agentのインストールの詳細については,「5.7.1 JP1/NETM/CSC - Agentのインストール」を参照してください。

注意
OSがWindows Server 2008の場合,次に示すフォルダに対して,ユーザ「NETWORK SERVICE」のアクセス権限をフルコントロールに変更してください。
  • JP1/NETM/CSC - Agentのインストール先フォルダ¥log
  • JP1/NETM/CSC - Agentのインストール先フォルダ¥trace
  • JP1/NETM/CSC - Agentのインストール先フォルダ¥radius¥log

(4) JP1/NETM/CSC - Agentのセットアップ

JP1/NETM/CSC - Agentをインストールしたあと,JP1/NETM/CSC - Agentを開始するまでに,必ずJP1/NETM/CSC - Agentをセットアップしてください。

JP1/NETM/CSC - Agentのセットアップに必要な情報は,[JP1/NETM/Client Security Control - Agent セットアップ]ダイアログで設定します。

[JP1/NETM/Client Security Control - Agent セットアップ]ダイアログには二つの画面があり,それぞれタブをクリックして選択します。[JP1/NETM/Client Security Control - Agent セットアップ]ダイアログを次の図に示します。

図13-7 [JP1/NETM/Client Security Control - Agent セットアップ]ダイアログ

[図データ]

[JP1/NETM/Client Security Control - Agent セットアップ]ダイアログで設定する内容について,次の表に示します。

表13-5 [JP1/NETM/Client Security Control - Agent セットアップ]ダイアログで設定する内容

選択するタブ内容
「基本設定」タブ設定済みのJP1/NETM/CSC - Agentの環境設定情報を表示したり,環境設定情報を変更したりできます。
「IAS」タブ認証サーバと連携する場合だけ使用します。JP1/NETM/CSC - Agentの環境設定情報を表示したり,環境設定情報を変更したりできます。
なお,このタブは「基本設定」タブの「ネットワーク制御製品情報」に「Internet Authentication Service」を指定すると表示され,選択できるようになります。
認証サーバとの連携は,[JP1/NETM/Client Security Control - Agent セットアップ]ダイアログの「基本設定」タブおよび「IAS」タブで設定します。

[JP1/NETM/Client Security Control - Agent セットアップ]ダイアログを表示して,項目を設定する手順を次に示します。

  1. [スタート]ボタンをクリックして[プログラム]-[JP1_NETM_Client Security Control]をポイントし,次に[エージェントセットアップ]を選択する。
    [JP1/NETM/Client Security Control - Agent セットアップ]ダイアログが表示されます。
  2. タブを選択して,項目に値を設定する。
    項目を選択すると,値や文字列を入力するボックスが項目一覧の下に表示されます。入力ボックスで値や文字列を直接入力するか,プルダウンメニューから値を選択します。
    詳細については「(a) 「基本設定」タブでの操作」および「(b) 「IAS」タブでの操作」を参照してください。
  3. [OK]ボタンをクリックする。
    指定した内容でJP1/NETM/CSC - Agentの環境が設定されて,[JP1/NETM/Client Security Control - Agent セットアップ]ダイアログが閉じます。
    環境設定をしないで[JP1/NETM/Client Security Control - Agent セットアップ]ダイアログを閉じるには,[キャンセル]ボタンをクリックします。

(a) 「基本設定」タブでの操作

「基本設定」タブでは,JP1/NETM/CSC - Agentの環境設定情報を表示したり,変更したりできます。

「基本設定」タブを次の図に示します。

図13-8 「基本設定」タブ

[図データ]

「基本設定」タブで確認および設定できる項目を次の表に示します。

表13-6 「基本設定」タブで確認および設定できる項目

項目内容設定値初期環境設定時のデフォルト
マネージャー通信環境情報IPアドレスJP1/NETM/CSC - ManagerのIPアドレスです。IPv4形式(xxx.xxx.xxx.xxx)
ポート番号JP1/NETM/CSC - Agentとの通信に使用するJP1/NETM/CSC - Managerのポート番号です。JP1/NETM/CSC - Managerの「基本設定」タブで指定する「マネージャー通信環境情報」の「要求受付ポート番号」と同じポート番号を入力してください。1024~6553522340
エージェント通信環境情報ポート番号JP1/NETM/CSC - Agentのポート番号です。JP1/NETM/CSC - Managerのエージェント情報の追加画面で登録するポート番号と同じポート番号を入力してください。1024~6553522345
ネットワーク制御製品情報名称連携するネットワーク制御製品の名称です。Internet Authentication ServiceJP1/NETM/Network Monitor
ログ情報ログファイルサイズJP1/NETM/CSC - Agentのログファイルの最大サイズ(単位:キロバイト)を指定します。1~20971511024
ログファイル数JP1/NETM/CSC - Agentのログファイルの最大数を指定します。1~99910
クラスタ情報クラスタ環境JP1/NETM/CSC - Agentをクラスタ環境で運用するかどうかを指定します。運用する/運用しない運用しない
論理IPアドレスクラスタ環境で使用する論理IPアドレスを指定します。IPv4形式(xxx.xxx.xxx.xxx)
共有ディスククラスタ環境で使用する共有ディスクパスを指定します。フルパス
監査ログ情報監査ログJP1/NETM/Auditで収集するための監査ログを出力するかどうかを指定します。出力する/出力しない出力しない
(凡例)
-:設定なし
注※
Network Policy Serverの場合も,Internet Authentication Serviceを指定してください。

注意
ネットワーク制御製品情報は,Microsoft Internet Authentication Serviceのサービスを停止してから選択してください。Microsoft Internet Authentication Serviceのサービスが動作している状態で選択すると,[OK]ボタンをクリックしたときにエラーになります。なお,Network Policy Serverの場合も同様です。
参考
ログ情報には,JP1/NETM/CSC - Agentの開始や終了などの情報や,ネットワーク制御製品との接続情報などが記録されます。

(b) 「IAS」タブでの操作

「IAS」タブでは,認証サーバ連携のため,JP1/NETM/CSC - AgentとMicrosoft Internet Authentication ServiceまたはNetwork Policy Serverとの連携の環境設定情報の表示,変更ができます。

なお,「IAS」タブで設定を変更するときは,Microsoft Internet Authentication Serviceのサービスが停止していることを確認してください。Microsoft Internet Authentication Serviceのサービスが動作しているとエラーとなり,設定を変更できません。Network Policy Serverの場合も同様です。

「IAS」タブを次の図に示します。

図13-9 「IAS」タブ

[図データ]

「IAS」タブで確認および設定できる項目を次の表に示します。

表13-7 「IAS」タブで確認および設定できる項目

項目内容設定値初期環境設定時のデフォルト
未登録資産の接続情報ネットワーク種別クライアントが接続制御リストに登録されていない場合に,クライアントが接続するネットワークを指定します。
  • 検疫ネットワークに接続させる場合「検疫」を指定します。
  • ネットワークに接続させない場合,「拒否」を指定します。
  • 社内ネットワークに接続させる場合,「通常」を指定します。
  • 認証前ネットワークに接続させる場合,「認証前」を指定します。
検疫 / 拒否 / 通常 / 認証前検疫
拒否資産の接続情報ネットワーク種別クライアントが接続制御リストで,拒否になっていた場合に,クライアントが接続するネットワークを指定します。
  • 検疫ネットワークに接続させる場合「検疫」を指定します。
  • ネットワークに接続させない場合,「拒否」を指定します。
  • 認証前ネットワークに接続させる場合,「認証前」を指定します。
検疫 / 拒否 / 認証前検疫
VLAN情報※1検疫VLAN検疫ネットワークのVLAN-IDを指定します。1~4095※210
拒否VLANスイッチにネットワークとして割り当てていないVLAN-IDを指定します。1~4095※210
接続履歴情報接続履歴ファイルサイズクライアントの接続履歴を登録するファイルのサイズです。
最大サイズ(単位:キロバイト)を指定します。
1~20971511024
接続履歴ファイル数作成する接続履歴ファイルの最大数を指定します。1~999100
メッセージ通知情報メッセージ通知※3,※4クライアントに接続先のネットワークを知らせるためのメッセージ通知の有無を指定します。通知する / 通知しない通知しない
通常ネットワーク時クライアントが社内ネットワークに接続されたときに,クライアントに通知するメッセージの内容を1~1,024バイトまでの文字列で入力します。文字列通常ネットワークに接続しました。
検疫ネットワーク時クライアントが検疫ネットワークに接続されたときに,クライアントに通知するメッセージの内容を1~1,024バイトまでの文字列で入力します。文字列脆弱なマシンと判定したので検疫ネットワークに接続しました。必要な対策を実施して,マシンを再起動してください。
通知コマンドクライアントにメッセージを通知するときに使用するコマンドです。
コマンドラインを1~1,024バイトまでの文字列で入力します。
文字列net send %1 %2※5
注※1
社内ネットワークのVLAN-ID(通常VLAN)はJP1/NETM/CSC - Agentでは設定しません。社内ネットワークのVLAN-IDは,Microsoft Internet Authentication ServiceまたはNetwork Policy ServerのリモートアクセスポリシーのTunnel-Pvt-Group-IDに指定したVLAN-IDです。
注※2
VLAN-IDの有効範囲は,使用するスイッチによって異なります。拒否VLANもスイッチの有効範囲内のVLAN-IDを指定してください。
詳細は,スイッチのマニュアルを参照してください。
注※3
メッセージ通知を「通知する」に設定すると,クライアントの認証(再認証)が行われるたび,クライアントにメッセージが通知されます。
注※4
認証サーバのOSがWindows Server 2008の場合,メッセージ通知機能は使用できません。
注※5
%1および%2は可変値です。通知コマンドの実行時にそれぞれ次の値に置き換わります。
%1:メッセージを通知するクライアントのIPアドレス
%2:メッセージ通知情報の通常ネットワーク時または検疫ネットワーク時に指定した文字列
 

参考
未登録資産の接続情報に「拒否」を設定すると,接続制御リストに登録されていないクライアントや,不正PCをネットワークに接続させない運用ができます。
ただし,新規クライアントをネットワークに追加するとき,クライアントの情報が接続制御リストに自動で登録されないため,オフラインマシンからインベントリ情報を取得する必要があります。
詳細は,「14.2.6 新規クライアントをネットワークに追加する」を参照してください。