ネットワークのトータル・ソリューション

Hcnet エイチ・シー・ネットワークス株式会社

製品FAQ

  1. HOME
  2. サポート
  3. 製品FAQ
  4. Account@Adapter+

製品概要について

Account@Adapter+の特長を教えてください

RADIUS、アカウント管理、CA(認証局)、DHCPサービスを提供する、統合認証アプライアンスサーバーです。
特長の一つであるユーザーツールでは、アカウント申請・証明書発行/ダウンロードなどの操作を利用者が実施可能です。
また、ゲストIDの自動発行も可能です。
その他、アカウント自動棚卸、MACアドレス自動収集も特長となっています。
DHCPサーバー機能も同一筐体で提供しています。

Account@Adapter+の提供形態にはどのようなものがありますか

アプライアンス版(専用ハードウェア)、バーチャルアプライアンス版(VMware®用OVAファイル)の2形態となります。

ライセンスのラインナップを教えてください

200、500、2,500、5,000、10,000、50,000、200,000ライセンスです。
ライセンス数は、Account@Adapter+ローカルデータベースに登録する、ユーザー・端末・証明書アカウントの総計となります。

アプライアンス版のハードウェアのラインナップを教えてください

アプライアンス版の専用ハードウェアは、ライセンスによらず同一ハードウェアとなります。
ハードウェアを買い替えることなく、ライセンスキーを入れ替えるのみで、小規模から大規模までご使用いただけます。

ハードウェア保守サービスはありますか

はい。先出しセンドバック、平日9-17時オンサイト、24時間365日オンサイトがあります。

ライセンスを増やす場合は、買い直しになりますか

いいえ。新たなライセンス数を、現在のライセンス数との差額でご購入いただき、ライセンスキーを差し替えるだけでハードウェアの買い直しなしにアップグレードが可能です。

RADIUSクライアント(認証スイッチ、無線アクセスポイント、無線コントローラー、VPN装置など)は最大いくつまで利用できますか

購入ライセンスによらず、最大10,000デバイスまでご利用いただけます。

オプションライセンスにはどのようなものがありますか

オプションライセンスには以下のものがあります。

・外部LDAP/AD認証連係オプション
 ※200/500ライセンスをご購入で外部LDAPやADと認証連係する場合必要となります
 ※2500ライセンス以上には本オプション機能がバンドルされています
・DHCPサーバーオプション
・内部LDAP登録連係オプション
・アドバンスト連係オプション
・Shibboleth SPオプション
・UPKIクライアント証明書配布オプション

各オプションの機能概要を教えてください

各オプションの機能概要は以下になります。

・《 外部LDAP/AD認証連係オプション 》
  外部のLDAPサーバーやActiveDirectory®のアカウント情報を参照して認証する機能です。
・《 DHCPサーバーオプション 》
  端末にIPアドレスを払い出す機能です。
・《 内部LDAP登録連係オプション 》
  外部サーバーよりLDAPプロトコルにてAccount@Adapter+内部のアカウント情報を改廃する機能です(rootバインド機能)。
・《 アドバンスト連係オプション》
  Active Directory®にAccount@Adapter+内部のアカウント情報を登録する機能です。
・《 Shibboleth SPオプション 》
  Shibboleth Idpと連係し、Shibboleth(SAML)に対応したシングルサインオン環境に、ネットワーク認証を統合する機能です。
  また、ユーザーツールへのログインにShibboleth認証を利用することも可能です。
・《 UPKIクライアント証明書配布オプション 》
  研究所(NII)「UPKI電子証明書発行サービス」発行のクライアント証明書をAccount@Adapter+へ取り込むことで、
  利用者毎に証明書インポートが可能となる機能です。

外部LDAP/AD連係をする場合、必要となるライセンス数はどのようになりますか

外部のLDAPサーバーやActiveDirectory®のアカウント情報を参照し、Account@Adapter+にはアカウントを登録しない場合、200ライセンスと外部LDAP/AD認証連係オプションライセンスをご購入ください。

DHCPサーバーとしてだけ利用する場合の購入方法を教えてください

DHCP専用ライセンスをご購入ください。
なお、このライセンスでは認証機能やアカウント管理機能、ユーザーツールはご利用いただけません。

DHCP専用ライセンスを購入後、認証も行いたいとなった場合は買い直しが必要ですか

いいえ、買い直しは不要です。
Account@Adapter+内部に登録するアカウント数分のライセンスを追加でご購入ください。

バーチャルアプライアンス版を導入するための必要環境を教えてください

仮想環境のシステム要件は以下となります。

・《 動作確認済み仮想環境 》 VMware ESXi 5.1・5.5・6.0
・《 仮想CPU数 》 仮想CPU を 4個割り当て可能
・《 メモリサイズ 》 4GB
・《 仮想HDD 容量 》 60GB

ライセンスのカウントはユーザー・端末・証明書のどれを見てカウントしているのか教えてください

認証方式によりカウント方法は異なります。

・《 ユーザー認証 》
  ローカルデータベースに登録するユーザー数を満たすライセンスをご購入ください。
・《 MAC認証 》
  ローカルデータベースに登録するMACアドレス数を満たすライセンスをご購入ください。
・《 ユーザー+MAC認証 》
  ローカルデータベースに登録するユーザー数とMACアドレス数を合計した数を満たすライセンスをご購入ください。
・《 802.1X認証(PEAP/TTLS)》
  ローカルデータベースに登録するユーザー数を満たすライセンスをご購入ください。
・《 802.1X認証(TLS)》
  ローカルデータベースに登録する証明書アカウント数を満たすライセンスをご購入ください。

1台の端末において、有線および無線の両方でMAC認証を行う場合、必要となるライセンス数はいくつになりますか

有線と無線のMACアドレスが異なりますので、1台の端末あたり2ライセンスが必要となります。

ライセンス数を超えてアカウントを登録するとどうなりますか

ライセンス数を超えたアカウントは登録できません。管理画面にエラーを表示します。

ライセンスが切れてしまうとどうなりますか

管理画面のログイン画面に警告を表示します。営業担当までライセンス更新の連絡をしてください。

管理について

管理画面へのアクセス方法を教えてください

ブラウザアクセス(WebUI)にてご利用いただけます。

管理画面はHTTPSに対応していますか

はい。HTTPSに対応しています。
HTTPSの場合、Account@Adapter+が発行する内部サーバー証明書、および外部認証局で発行したサーバー証明書のどちらも利用可能です。

バージョンアップの方法を教えてください

同一のメジャーバージョン内であれば、管理画面よりバージョンアップパッチを適用することで、数分でバージョンアップが完了します。
バージョンアップパッチは、サポートサイトにて公開していますので、ダウンロードしてご利用ください。
※ライセンス(ソフトウェアサポート)をご契約いただいているお客さまに、サポートサイトのアカウントを提供しています。

設定のバックアップ/リストア方法を教えてください

製品添付のUSBメモリ、ローカルディスク、外部サーバー(FTP転送)に対し、定期的にバックアップが可能です。
手動で管理端末などにバックアップファイルをダウンロードすることも可能です。
また、バックアップファイルを管理画面よりリストアすることも可能です。

ログの保存期間について教えてください

Account@Adapter+では、認証ログ、DHCPログ、システムログを保存しており、保存期間は最大5週間分です(最大5万件までWebUIにて表示可能、最大500万件までダウンロードが可能)。
syslog転送が可能ですので、1か月以上のログを保存したい場合はsyslogサーバー (LOG@Adapterなど)をご使用ください。

管理画面へアクセス可能なセグメントを制限することはできますか

はい、可能です。

アカウント管理機能について

登録できるアカウント数はいくつですか

ご購入いただいたライセンスの数分のアカウントが登録できます。
ライセンス数は、Account@Adapter+ローカルデータベースに登録する、ユーザー・端末・証明書アカウントの総計となります。

アカウントの管理イメージを教えてください

ユーザー/端末/証明書アカウントを、ディレクトリごとにグループ分けして管理することができます。
ユーザー/端末/証明書のタブが用意されており、それぞれ一覧参照、検索、ソートが可能です。

複数の管理者を設定できますか

はい。複数の管理者を作成できます。
また、以下の権限を設定できます。

・スーパーユーザー
・ディレクトリ管理者
・ディレクトリ管理者(ログ参照不可)
・ディレクトリ管理者(承認のみ)
・DHCP管理者
・参照ユーザー

アカウントの登録/更新/削除の方法を教えてください

管理者による個別登録、ファイルによる一括登録、外部サーバーより定期CSVインポート、ユーザーによる登録申請の方法があります。
更新/削除についても同様の方法で可能です(ユーザーによる更新/削除は、許可する/しないを選択可能)。

外部LDAPへのアカウント書き込み操作(追加/変更/削除)はできますか

『アドバンスト連係オプション』をご購入いただくことで、Active Directory®に対し、Account@Adapter+内部のアカウント情報を登録することが可能となります。
更新/削除した場合も同様に操作可能です。

外部サーバーからAccount@Adapter+のアカウント情報を操作することはできますか

『内部LDAP登録連係オプション』をご購入いただくことで、外部サーバーよりLDAPプロトコルにてAccount@Adapter+のローカルデータベースのアカウント情報を改廃する機能(rootバインド機能)をご利用いただけます。
なお、オプションをご購入いただかなくても外部サーバーよりAccount@Adapter+のローカルデータベースのアカウント情報をLDAP参照することは可能です。

認証機能(RADIUS)について

どのような認証方式に対応していますか

Web認証、MAC認証、802.1X認証(MD5/TLS/PEAP/TTLS)に対応しています。

ダイナミックVLANに対応していますか

はい。アカウントにひも付けてVLAN属性を登録しておくと、認証応答時にVLAN属性を応答します。
また、ディレクトリに対しても同様に設定することで、ディレクトリ配下のアカウントはすべて同じVLANに遷移させることも可能です。

どのようなRADIUS属性に対応していますか

RADIUSの標準属性に対応しています。
任意のdictionaryを追加することで、VSAにも対応できます。

端末が接続するRADIUSクライアントに応じて、接続可否を制御できますか

はい。同一ユーザーが、RADIUSクライアント①からは接続可能、RADIUSクライアント②からは接続不可、という制御ができます。
(RADIUSクライアントがNAS-IP属性に対応していることが前提です)

端末が接続するRADIUSクライアントに応じて、異なるVLANにアサインできますか

はい。同一ユーザーが、RADIUSクライアント①に接続した場合はVLAN①を応答、RADIUSクライアント②に接続した場合はVLAN②を応答、という制御が可能です。
(RADIUSクライアントがNAS-IP属性に対応していることが前提です)

外部のLDAPサーバーと連係する機能はありますか

『外部LDAP/AD認証連係オプション』をご利用いただくと、Account@Adapter+がRADIUS問い合わせに対し、ActiveDirectory®やOpenLDAPといった外部LDAPサーバーに対するLDAP問い合わせ・応答を中継し、認証を行います。

外部のLDAPサーバーの属性に応じたアクセス制御ができますか

はい。外部LDAPサーバーの任意の属性をRADIUS属性にマッピングして応答することができます。

外部認証局が発行したサーバー証明書を802.1X認証サーバー用に利用することができますか

はい。外部認証局で署名されたCA証明書と共にサーバー証明書を取り込むことで、802.1X認証用の証明書としてご利用いただけます。
なお、Account@Adapter+でCSRを作成することもできます。

RADIUS Proxy(eduroam)に対応していますか

はい、対応しています。認証IDに含まれるレルム情報を見て、転送制御を行います。

認証局(CA)機能について

プライベート認証局になることができますか

はい。Account@Adapter+がプライベート認証局になり、サーバー証明書やクライアント証明書を発行するこができます。

クライアント証明書は何枚発行できますか

ご購入いただいたライセンス数分の証明書が発行可能です。
(ライセンス数は、ユーザー/端末/証明書アカウントの合算となりますので、総アカウント数からユーザーおよび端末アカウントを除いた数の証明書が発行可能です)
また、一つの証明書アカウントに対し、有効期間の異なる2枚の証明書を発行することができます。

証明書はユーザーもしくは端末どちらの単位で発行できますか

ユーザーID(ユーザー)またはMACアドレス(端末)をキーとした証明書が発行可能です。
そのほかにコンピューター名および任意の値をキーとした証明書を発行することも可能です。

サーバー証明書の発行方法を教えてください

内部サーバー証明書は、自動で作成されます。
外部サーバー証明書は、外部サーバーにてCSRを作成し、それに署名することで発行が可能になります。

クライアント証明書の発行方法を教えてください

Account@Adapter+のローカルデータベースに登録した証明書アカウントに対して、一括または個別発行が可能です。
また、ユーザーツールより利用者が証明書申請・承認されることで自動発行させることも可能です。

中間認証局になることはできますか

はい。自己認証局のCSRを作成し、プライベート認証局にて署名されたCA証明書をインポートすることで、下位の認証局になることができます。

外部認証局のリプレースの過程など、一時的に複数のCAを取り扱わなければならない場合がありますが、対応できますか

はい。外部認証局は最大5件まで登録できます。
また個別にCRLを設定することができるので、異なる認証局から発行された証明書を並行運用することが可能です。

外部のLDAPやADに存在するユーザーアカウントに対してAccount@Adapter+より証明書を発行したいのですが、対応できますか

はい。ユーザーツールの証明書申請機能を使えば、外部のLDAPサーバーのユーザーアカウントを参照し、証明書アカウントを作成することができます。
そのため、管理者がAccount@Adapter+内部にユーザーアカウントを作成する必要はありません。

冗長構成について

冗長構成に対応していますか

はい。最大1:19での冗長構成を組むことが可能です。
また、マスター/スレーブ間でリアルタイムに設定同期を行います。
なお、RADIUSクライアントの設定にてRADIUSサーバーとしてAccount@Adapter+のマスター/スレーブ両方を設定することで、RADIUS問い合わせの冗長化が可能です。

冗長構成時、仮想IPアドレスを持ちますか

いいえ。仮想IPは持ちません。マスター/スレーブそれぞれ実IPで動作します。

冗長構成時、マスター側が障害となった場合の動きを教えてください

マスターが障害となった場合でも、スレーブでユーザーや端末の認証サービスを継続できます。
また、スレーブをマスターに昇格することで、設定項目の変更やアカウント情報の改廃も可能です。

複数拠点に分割配置することはできますか

ネットワークの接続性が確保できれば可能です。
本社にマスター、各拠点にスレーブを配置するといった構成も可能です。

バーチャルアプライアンス版を使用する場合、障害時に備えVMwareの機能で冗長性を担保することはできますか

はい。VMwareの機能で冗長性を担保することは可能です。
その場合は、仮想基盤にセットアップするAccount@Adapter+のライセンスのみご購入ください。

ユーザーツールについて

ユーザーツールとはどのような機能ですか

利用ユーザー自身が使用したいアカウントを申請したり、自身のクライアント証明書をダウンロードできる機能です。
上記のほか、申請したアカウント情報の編集、ユーザーアカウントのパスワード変更といった操作も可能です。

ユーザーツールはどのように利用しますか

利用者がブラウザよりユーザーツール(WebUI)にアクセスし、利用する機能を選択の上、ユーザーツールへログインすることで利用可能となります。
ログインIDは、Account@Adapter+のローカルデータベースの他、外部LDAPやActiveDirectory®上のユーザーIDも利用可能です。

ユーザー申請や端末申請をする際、入力させる項目はカスタマイズできますか

はい。申請画面に表示させる項目があらかじめいくつか登録されており、さらにユーザー自身でカスタマイズすることが可能です。

申請するユーザーや端末によって、申請できる内容や付与する情報を分けることはできますか

はい。申請ポリシーや画面テンプレートを最大15種類作成することができます。
それぞれのポリシーについて、申請時のアクセスURLを分けたり、承認ルールや申請数を制限するなどの制御が可能です。
また、ユーザーツールにログインするアカウントに応じて、自動的にVLANを振り分けることもできますので、職制や学生/教職員といった区分でポリシーを分けることが可能です。

アカウント申請時には、管理者承認が必要ですか

管理者の審査・承認を必要とする、自動承認とするといったことが選択できます。
またアカウント申請時のアカウント有効期限を見て、承認が必要か自動承認かを自動的に判別させることも可能です。

申請の承認/否認が行われたことを通知する機能はありますか

はい。メールによる通知が可能です。

端末のMACアドレスはユーザーが調べる必要がありますか

『DHCPサーバーオプション』をご購入いただいた場合、端末(MACアドレス)申請時に自動的に申請を行う端末のMACアドレスを収集し入力する機能をご使用いただけます。

クライアント証明書のインストール方法を教えてください

証明書ファイルをダウンロードし、インポートウィザードからインポートする方法と、ダイレクトインポート機能によりウィザードを介さず直接インポートする方法があります(ダイレクトインポート機能はWindows®OS限定)。
また、証明書のダウンロード回数を1回に制限することも可能です。

パスワードの有効期限を通知してくれますか

有効期限日の任意の日数前になった時点で通知することが可能です。
事前通知は最大10回のタイミングで通知することができます。
また有効期限を過ぎた後もフォローの通知を送付することもできます。

ゲスト用アカウントをゲスト自身に申請させる機能はありますか

はい。申請画面にメールアドレスを入力し申請すれば、ゲスト用ID/PWを自動メール通知する機能があります。

クライアント証明書のコピーを防止することはできますか

ダイレクトインポート機能により、直接証明書ストアにインストールできます。
この時、秘密鍵のエクスポートを不可としてインストールするため、クライアント証明書を他の端末へエクスポートしても使用できません(ダイレクトインポート機能はWindows®OS限定)。

ユーザーツールへアクセス可能なセグメントを限定することはできますか

はい、可能です。

アカウント自動棚卸機能について

自動棚卸機能とはどういった機能になりますか

有効期間が過ぎたアカウントや、一定期間ネットワーク認証を利用していないアカウントを無効化/削除します。

自動棚卸の対象となるアカウントは何になりますか

ユーザー・端末・証明書アカウントが対象となります。
ディレクトリ単位で無効化/削除までの期間をユーザー・端末・証明書それぞれで設定できます。

自動棚卸は、ユーザーに通知されますか

はい。「一定期間ネットワーク認証を利用していないため、あと○○日後に自動削除されます」といった内容のメールをユーザーに通知できます。

パスワードの有効期限を通知してくれますか

有効期限日の任意の日数前になった時点で通知することが可能です。
事前通知は最大10回のタイミングで通知することができます。
また有効期限を過ぎた後もフォローの通知を送付することもできます。

連動削除機能とはどういった機能になりますか

ユーザーツールのログインに外部LDAP/ADのアカウントを利用し、Account@Adapter+のローカルデータベースにアカウントを申請・登録した場合、外部LDAP/ADのアカウントが削除されたときに、連動して申請・登録したローカルデータベース上のアカウントも削除する機能です。

MACアドレス収集について

端末のMACアドレスを収集する方法はありますか

3つの収集方法があります。
(1) MAC認証を実行して、収集する方法
(2) Web認証を実行して、収集する方法
(3) ユーザーツールの端末申請を利用する方法

MAC認証を実行してMACアドレスを収集するとはどういうことですか

MAC認証の要求があったMACアドレスを登録候補端末として自動収集する機能です。
収集したMACアドレスを端末アカウントとして登録する場合、管理者が登録候補端末から手動登録する方法と、自動登録する方法の二つが選択可能です。

Web認証を実行してMACアドレスを収集するとはどういうことですか

Web認証を実施し、認証に成功したユーザーが使用した端末のMACアドレスを端末アカウントとして自動登録します。
RADIUSクライアントがCalling-Station-Id属性に端末のMACアドレスを付加することが前提となります。

外部LDAP/AD連係について

どのような連係ができますか

ご利用いただくオプションライセンスにより、以下のような連係が可能となります。

・《 外部LDAP/AD認証連係オプション 》(200/500アカウントのみ必要、2500以上はバンドル)
  外部のLDAPサーバーやActiveDirectory®のユーザー情報を参照して認証する。

・《 内部LDAP登録連係オプション 》
  外部サーバーよりLDAPプロトコルにてAccount@Adapter+内部のアカウント情報を改廃する。(rootバインド機能)

・《 アドバンスト登録連係オプション 》
  Active Directory®にAccount@Adapter+内部のアカウント情報を登録する。

複数の外部LDAPと連係した認証が可能ですか

はい。可能です。
なお、登録可能な外部LDAP/ADサーバーは最大10件までとなります。

複数のドメインサーバーを利用して認証できますか

複数のドメインサーバーが同一ドメインに存在するか、信頼関係が結ばれていれば、認証可能です。

DHCP機能について

最大いくつのIPアドレスを払い出すことができますか

1台につき10,000IPアドレスまで払い出すことができます。
最大10セット(20台)のAccount@Adapter+を統合管理機能で論理的に束ねることにより、10セットで最大100,000IPアドレスまでの払い出しができます。

登録端末のみにIPアドレスを払い出す機能はありますか

はい。払い出しを許可する端末のMACアドレスを登録することにより、登録のあるMACアドレスのみIPアドレスの払い出しを許可することができます。

固定IP払い出しには対応していますか

上記MACアドレスの登録を行う際に、払い出すIPアドレスを指定することができます。
また特定セグメントのリース範囲内からIPアドレスを払い出すことも可能です。

DHCPオプションには対応していますか

任意のDHCPオプションを設定可能です。

冗長化には対応していますか

はい。リース状況を同期しているので、障害時でも端末は同じIPアドレスを引き継ぐことができます。

COPYRIGHT ©2007-2018 HC Networks, Ltd. ALL RIGHTS RESERVED.

各種お見積り依頼・お問い合わせ・
技術情報ダウンロードはこちら