RADIUS / Remote Authentication Dial In User Service
■ RADIUS。Remote Authentication Dial In User Service。
多数のダイアルアップユーザを集中管理するなど、
大規模なリモートアクセス環境を構築するための認証手段として、
リビングストン社が1997年に開発した認証プロトコル。
その後、RFC2138,2139として標準化されている。
RADIUSは、クライアント・サーバ型の認証構造をとっている。
通常は、通信事業者や企業がアクセスポイントに設置した
VPN機器(RAS)がRADIUSクライアントとなり、
NOCに設置したUNIXマシン等がRADIUSサーバとして機能する。
RADIUSは、RASにアクセスしてきたユーザの認証を行うだけでなく、
利用者に割当てるべきIPアドレス等をRASに通知する機能を持つ。
■ RADIUSサーバ。
ISPの会員や大企業の営業員など、多数の利用者の
ユーザ名/パスワードが格納されたデータベースを保持しているサーバ。
RASが利用者からのリモートアクセスを受けて認証を行なうとき、
RASの要求を受けて、必要な情報を返信する役割を担う。
またRADIUSサーバは、利用者が使うIPアドレス等を管理しており、
必要に応じてこれをRASに通知するほか、
課金情報としてこれを使用する役割を担っている。
RADIUSサーバは、多くがソフトウェア製品であり、
現在ではGUIを備えたものが多く提供されている。
なお、1台のRADIUSサーバが複数のRASで共有されることが多い。
■ AAA機能。トリプルエー機能。
RADIUSシステムの提供する3種類の機能のこと。
(1) 認証機能(Authentication)
ユーザ名・パスワードのデータベースを保持し、
アクセス権のある利用者かどうか判断する機能。
(2) 認可機能(Authorization)
RADIUSアトリビュートの指定に従い、
個々のユーザの接続属性を制御・指定する機能。
(IPアドレス、強制切断時間、コールバック指定、・・・)
(3) 課金機能(Accounting)
課金の必要のために、接続時間、通信データ量など、
接続に関する統計情報をまとめて取得する機能。
■ アトリビュート。Attribute。
RADIUSシステムが管理、参照する、ユーザ単位の詳細な接続属性。
全部で63種類あり、たとえば、
ユーザ名(1番)やパスワード(2番)や、
RASのIPアドレス(4番)、割当てIPアドレス(8〜9番)、
アイドルタイムアウト時間(28番)などがある。
また、セッション時間や入出力パケット数などの
課金に必要な接続情報は、40〜51番に規定されている。
このほか、ベンダごとに異なる拡張アトリビュートも使用されるため、
互換には注意が必要である。
以上。
2004/02/20 pm
HOME |
BACK