RADIUS入門　3分でわかる認証からサーバーのしくみまで

RADIUSサーバーという名称をよく耳にするものの、具体的にどんな役割を持つサーバーなのかわからない、導入を検討してはいるものの必要性が知りたいということもあるでしょう。
そこで今回は、RADIUSサーバーとは何か、RADIUSサーバー認証のしくみと流れ、必要性を解説します。

RADIUSサーバーとは

RADIUS（ラディウス）とは「Remote Authentication Dial In User Service」の頭文字を取ったもので、ネットワーク上のユーザー認証プロトコルの一つです。

そしてRADIUSという認証プロトコルを使って認証サービスを提供するサーバーを、RADIUSサーバーと呼び、古くからダイアルアップ回線やISPのサーバーとして利用されてきました。

現在は、無線LANや有線LANにおけるネットワーク接続の際、ユーザー認証プロトコルとしても利用されており、主にセキュリティを強化するのにRADIUSサーバーが活用されています。

RADIUS認証の仕組み

RADIUSによる認証システムは、「RADIUSサーバー」「RADIUSクライアント」「ユーザー」の三つの要素で構成されています。

RADIUSサーバー：RADIUSクライアントからのリクエストを受け、認証処理を行うサーバーです。
RADIUSクライアント：ユーザーとRADIUSサーバーを仲介するネットワーク機器を指します。
ユーザー：ネットワークに接続するユーザーおよび端末のことです。

RADIUS認証は、簡単にいうと、次のような流れで行われます。

1.ユーザー→RADIUSクライアント→RADIUSサーバー

まずユーザーのネットワークに対するアクセスに対して、RADIUSクライアントがユーザーに認証を要求します。ユーザーがIDとパスワードを入力すると、RADIUSクライアントは、受け取ったIDとパスワードを使って、RADIUSサーバーにアクセス認証をリクエストします。

2.RADIUSサーバー→RADIUSクライアント→ユーザー

RADIUSサーバーは認証処理を行い、RADIUSクライアントに認証の可否を伝えます。
RADIUSクライアントは、認証結果が可であればユーザーがネットワークへアクセスできるようにしますが、否であればアクセスできません。RADIUS認証では、不正なRADIUSクライアントや、不正なRADIUSサーバからの接続要求を防ぐために、RADIUSクライアントとRADIUSサーバー間でIPアドレスを指定しています。
さらに、IPアドレスの指定だけでは完全に防ぐことはできないため、RADIUSクライアントとRADIUSサーバー間で共有暗号鍵（Shared Secret）を事前に設定することで、信頼できるRADIUSクライアント、 RADIUSサーバーとだけ通信を実現できます。

ポイントは、RADIUSサーバーがユーザーと異なるネットワークに存在し、認証を行うしくみにあります。

RADIUSサーバーの証明書認証の仕組み

・EAP-TLS

EAP-TLSとは、EAP（Extensible Authentication Protocol）実装の1種で、TLSは「Transport Layer Security」の略です。
RADIUSサーバーとRADIUSクライアント間で電子証明書による認証を行う認証方式です。RADIUSクライアント側はクライアント証明書をインストールしておき、RADIUSサーバー側はサーバー証明書をインストールしておくことで、証明書による認証ができます。
一度証明書をインストールしてしまえば、ID/パスワードの入力が不要になることが大きな特徴です。一方で、秘密鍵情報が漏洩・流出してしまったときには、すぐに失効できるような対策が必要です。

・EAP-PEAP

マイクロソフト社、シスコシステムズ社、RSAセキュリティ社が共同開発した規格です。
Microsoft社製品ではMS-PEAP、シスコシステムズ社ではCisco-PEAPが実装されており、仕様に違いがあります。RADIUSクライアント側はID/パスワードにより認証を行い、RADIUSサーバー側も電子証明書の準備が必要です。

・EAP-TTLS

TTLSは「Tunneled TLS」の略称です。
クライアント側は電子証明書を発行せず、ID/パスワードにより認証する認証方式です。
暗号鍵を用いることでID/パスワードの通信を保護しています。

RADIUSサーバーの必要性

現在、RADIUSサーバーを導入している企業が多く存在します。なぜRADIUSサーバーが必要なのでしょうか。その理由は複数あります。ここでは、主なものを紹介します。

・無線LANのセキュリティ認証強化

組織のネットワークセキュリティを強化するには、認証が重要であることは周知の事実です。RADIUSサーバーを利用することで、従来のIDとパスワードのみの認証と比べ、強固な認証を行うことができます。

・認証レベルの変更が柔軟に行える

RADIUSサーバーは、認証レベルを柔軟に変更できる利点もあります。ユーザー単位、あるいはアクセス経路によって、ユーザー認証方式の切り替えが可能です。つまり、同じユーザーがノートPCを使って社内にいるときに接続する場合と、社外に移動中にネットワークに接続する場合とで認証レベルを変更することができます。社外からのアクセスの場合、認証レベルを高めることで、よりセキュリティを高めることができます。

・ネットワーク機器の負荷低減

RADIUSサーバーは外部に設置することにより、管理を外部で行うことができるので、その分、ネットワーク機器の負荷を下げることができます。

・ネットワーク機器認証の一元化

RADIUSサーバーは、1台でさまざまなネットワーク機器の認証を一元管理することができます。そのため、ユーザーが一つのIDとパスワードで異なるネットワーク機器を利用できるようにすることも可能です。

RADIUSサーバーの導入事例

RADIUSサーバー Account＠Adapter＋

RADIUSサーバーは、強固な認証セキュリティが求められる企業活動において、必要性の高いサーバーといえます。

エイチ・シー・ネットワークスが提供している「Account＠Adapter＋（アカウント アダプター プラス）」は、デバイスのアクセス制御に必要なRADIUSをはじめ、認証局、アカウントデータベース、DHCPといった各種コンポーネントを一つのアプライアンスサーバーで利用できる製品です。

さまざまな認証スイッチや無線LAN、VPN装置などと連携し、接続するネットワークを柔軟に制御可能で、許可されていないユーザーや端末の接続を防止することで、セキュリティを強化することができます。

Account＠Adapter＋が対応するRADIUS認証

Account＠Adapter＋では「Web認証」「MAC認証」「IEEE802.1X認証」の3つに対応しております。一般的なRADIUSサーバー製品と異なり、MAC認証にあたっては、MACアドレス形式が混在している環境でも認証ができるので、接続環境ごとの登録管理の手間が不要です。そのため、さまざまなユーザーが利用する学校ネットワークのセキュリティ対策としても有効です。

RADIUS認証の構築ならエイチ・シー・ネットワークスへ

セキュリティを強化するRADIUSですが、利用環境に合わせた認証システムの構築には多くの専門的な知識や技術が必要です。

エイチ・シー・ネットワークスでは、筑波大学様、インフォコム様、東北工業大学様を始め、多数のRADIUS認証システムを構築をしてきました。

RADIUSサーバーのデモや貸し出しも行っておりますので、RADIUS認証に関するご相談はお問合せページからお気軽にご相談ください。

また、RADIUS以外にもネットワークのセキュリティ強化をご支援しています。くわしくは下記のリンクからご覧ください。