RADIUS 認証アーキテクチャ

Sun Directory Services の RADIUS サーバーは、ネットワークアクセスサーバー(NAS) に対する認証情報と承認情報を持つサーバーです。NAS は、SLIP や PPP などのリモートアクセスプロトコルでネットワークに接続するリモートユーザーのアクセスポイントとなるデバイスです。NAS は、リモートユーザーからの接続要求に指定された情報を RADIUS サーバーに転送します。RADIUS サーバーは、この情報をディレクトリにあるリモートユーザーのエントリを使って検査します。そして、このリモートユーザー接続の承認または拒否を NAS に返します。さらに、RADIUS サーバーは、このリモートユーザー接続に対する適切な接続パラメータを提供できます。

RADIUS サーバーは、リモートユーザーのアクセス要求に関する情報をディレクトリ /var/opt/SUNWconn/ldap/log の dsradius.log ファイルに記録できます。

NAS は、リモートアクセスサーバーまたは RAS とも呼びます。

認証のアーキテクチャを図 7-1 に示します。

図 7-1 RADIUS 認証アーキテクチャ

「ユーザー」は、ネットワークリソースへのアクセスを要求する実体です。ディレクトリデータベースでは、ユーザーは固有の uid で識別されます。uid 属性などリモートユーザーを記述するすべての属性は remoteUser オブジェクトクラスに定義されます。

ネットワークアクセスサーバー (NAS) は「クライアント」とも呼ばれ、リモートユーザーが接続するデバイスです。クライアントは、認証状態、ユーザープロファイル、および承認を RADIUS サーバーに照会します。ディレクトリデータベースでは、クライアントは、固有の ipHostNumber で識別されます。ipHostNumber 属性など、RADIUS クライアントを記述するすべての属性は nas オブジェクトクラスに定義されます。

RADIUS サーバーは、NAS の認証を行い、リモートユーザーの識別と承認をディレクトリデータベースを使って検査します。RADIUS サーバーは、ユーザーの状態と構成情報を NAS に返します。

RADIUS サーバーが NAS を認証できない場合は、NAS からの要求は無視されます。RADIUS サーバーは、接続拒否を含め一切の応答をしません。