1 Oracle RADIUS Agentについて

1.1 Oracle RADIUS Agentの概要

Oracle RADIUS Agentは、業界標準のRADIUS (Remote Authentication Dial-In User Service)プロトコルを使用するアプリケーション・レイヤー・ユーザー認証サービスです。また、LDAPなどのプライマリ・オーセンティケータからグループおよびユーザー属性をフェッチすることで、認可が容易になります。

Oracle RADIUS Agentは、認証サービスを必要とするクライアント・アプリケーションと1つ以上の認証プロバイダ間の仲介として機能するRADIUSベースの認証サービスです。アプリケーション・クライアントの例として、VPNサーバー、SSHを使用するLinuxサーバー、Oracle DatabaseまたはRADIUSベースのクライアント・アプリケーションがあります。

Oracle RADIUS Agentでは、シングルファクタ認証とマルチファクタ認証の両方がサポートされます。プライマリ認証リクエスト用に認証プロバイダを構成できます。現在、Oracle Unified Directory、Oracle Internet Directory、Microsoft Active Directoryなどの標準のLDAP認証プロバイダがサポートされています。Oracle RADIUS Agentでは、Oracle Advanced Authenticationとともに使用されるマルチファクタ認証がサポートされます。マルチファクタ・リクエストおよびレスポンスを処理するには、RADIUSプロトコルのチャレンジ/レスポンス・メカニズムを使用します。複数のファクタが使用可能な場合は、マルチファクタ認証メカニズムのユーザー選択もサポートされます。

Oracle RADIUS Agentを使用すると、単一のOracle RADIUS Agentインスタンスと通信する複数のクライアント・アプリケーションを、独自のリスナー・ポートと構成で簡単にサポートできます。

Oracle RADIUS Agentのデプロイメントは、コンテナ・イメージに基づいています。Oracle RADIUS Agentインスタンスはステートレスであり、複数のコンテナ・インスタンスを使用することで、高可用性とスケーラビリティを実現するために簡単にデプロイできます。

1.2 Oracle RADIUS Agentの機能

Oracle RADIUS Agentは、簡単にデプロイ、使用、管理できるように設計された様々な機能をサポートしています。

  • LDAPに対するパスワードベースのプライマリ認証

    Oracle RADIUS Agentは、Oracle Unified Directory、Oracle Internet Directory、Microsoft Active Directoryなどの任意のLDAPv3準拠サーバーをサポートします。

  • Oracle Advanced Authenticationを使用したマルチファクタ認証。マルチファクタ認証デプロイメントに第2ファクタ認証を提供します。

  • RADIUSエージェントは、デプロイメント要件に基づいて設定できる複数のプリファレンスを公開します。たとえば、グループのフェッチ、グループおよびユーザーのマッピング、同期モードの設定、およびOracle Advanced Authenticationのファクタ・プリファレンスをプリファレンスで構成できます。詳細は、「構成プロパティ」を参照してください。
  • 次の第2ファクタをサポートします:

    • 時間ベースのワンタイム・パスワード(TOTP)

    • ワンタイム・パスワード(OTP) (SMSと電子メールの両方)

    • Yubikey OTP

  • 第2ファクタ・メカニズムのユーザー選択のサポート

    複数の第2ファクタ認証メカニズムが存在する場合、ユーザーは認証時に使用するメカニズムを選択できます。

  • 非同期および同期マルチファクタ認証モードのサポート

    Oracle RADIUS Agentは、RADIUSを使用したマルチファクタ認証による非同期認証モードと同期認証モードの両方をサポートしています。

    非同期モードは、ユーザーがOracle Advanced Authenticationで構成されたプリファレンスに基づいて第2ファクタを要求されるチャレンジ/レスポンス・モードです。ユーザーが複数の認証ファクタを構成している場合、選択できるファクタのリストをユーザーに表示することで、RADIUSインタラクションが対話型になります。ユーザーは、対話型モードを使用せずに実行する優先認証ファクタを選択することもできます。

    マルチファクタ認証に必要なインタフェースを持たない可能性があるレガシー・アプリケーションを使用する場合でも、第2ファクタをプライマリ・ファクタに組合せ認証パスワードとして追加することでマルチファクタ認証を実行できます。これは、任意の事前生成されたトークンに対して実行でき、<password>;<second_factor>という形式をとります。これは同期モードです。ここに示す;デリミタは、Oracle RADIUS Agentで構成できます。

  • ユーザー認可のサポート

    Oracle RADIUS Agentでは、構成可能なマッピングに基づいてグループおよびユーザー属性を取得できます。これらはRADIUSクライアントが自身のニーズに基づいて認可を実行するために使用できます。

  • 複数のRADIUSクライアント・アプリケーションのサポート

    グローバルおよびアプリケーション・スコープの構成を定義できます。アプリケーションを対象範囲とする構成では、グローバル構成からアプリケーションごとに特定の設定をオーバーライドできます。

  • IPv6のサポート

    Oracle RADIUS Agentは、すべてのネットワーク接続に対してIPv6をサポートします。

  • ロギング、メトリックおよび監査のサポート

    Oracle RADIUS Agentはjava.util.loggingを使用します。ログ・ファイルの場所は構成可能であり、初期コンテナ設定時に構成できます。Oracle RADIUS Agentは、カスタムlogging.propertiesもサポートしています。さらに、Oracle RADIUS Agent構成REST APIをコールして、ログ・レベルを動的に構成できます。

    Oracle RADIUS Agentは、MicroProfileメトリック仕様を使用してメトリックを生成します。アプリケーション固有のメトリック・データの一部として、Oracle RADIUS Agentはプライマリ認証、マルチファクタ認証およびリスナー構成に関連するメトリックを生成します。Helidonフレームワークでは、JVMおよびHelidon固有のメトリックも生成されます。

    Oracle RADIUS Agentはファイルベースの監査ログをサポートします。ロガーの名前はoracle.idm.radius.audit.log.levelで、デフォルトで有効になっています。すべての監査ログは、logsディレクトリにあるora-audit%g.logファイルに記録されます。このロガーのログ・レベルをERRORに変更することで、それを無効にできます。

  • 永続的なコンテナ・ボリューム上に一元化されたファイルベースの構成ストレージ。

  • ステートレス・インスタンス

    Oracle RADIUS Agentインスタンスはステートレスであり、簡単に破棄および再生成できます。さらに、共有コンテナ・ボリューム内の既存の構成を指すことで、新しいインスタンスを簡単に生成できます。

  • ロード・バランシング

    高可用性を実現するために、ロード・バランサの背後に多数のOracle RADIUS Agentをデプロイできます。セッション固定性を実現するにはロード・バランサを構成する必要があります。

  • 同じ構成を共有する異なるバージョンの複数のOracle RADIUS Agentの共存をサポートします。

ノート:

Oracle RADIUS Agentは、このリリースではRADIUSアカウンティング(RFC 2866)をサポートしていません。

1.3 Oracle RADIUS Agentのアーキテクチャおよびデプロイメント・モデル

Oracle RADIUS Agentを利用する一般的なインフラストラクチャは、1つ以上のアプリケーション・クライアント、Oracle RADIUS Agent自体、Oracle Advanced Authentication、1つ以上のバックエンド認証プロバイダ、およびOracle RADIUS Agentで使用する永続的なストレージ・ボリュームで構成されます。

Oracle RADIUS Agentアーキテクチャは、高可用性およびスケーラビリティとともに広範囲の機能セットを提供するために、これらのインフラストラクチャ・コンポーネントへの柔軟でスケーラブルなインタフェースを有効にします。

Oracle RADIUS Agentのシステムアーキテクチャは次のとおりです:RADIUSアーキテクチャ

アプリケーション・クライアントは、RADIUSプロトコルを使用してUDP経由でOracle RADIUS Agentと通信します。Oracle RADIUS Agentは、LDAPを使用してプライマリ認証プロバイダと通信します。

次の項では、コンポーネント・インタフェースの詳細を説明します:

アプリケーション・クライアント接続

アプリケーション・クライアントは、Oracle RADIUS AgentのRadiusListenerポートに接続し、UDPを介して通信します。RadiusListenerポートは、Oracle RADIUS Agentによって1812から1830の間でランダムに割り当てられます。このポート番号は、ローカル・ポートにマップし、コンテナでのデプロイメント・ニーズに基づいて公開する必要があります。

プライマリ・オーセンティケータ・インタフェース

現在サポートされているプライマリ・オーセンティケータ・プロトコルはLDAPのみです。Oracle RADIUS Agentとプライマリ・オーセンティケータ間の接続は、LDAPを使用したTCP/IPを介しています。

マルチファクタ・オーセンティケータ・インタフェース

マルチファクタ認証は、Oracle Advanced Authenticationを使用してサポートされます。Oracle RADIUS AgentOracle Advanced Authenticationの間の接続では、TCP/IPを介したREST APIが使用されます。

Oracle RADIUS Agentストレージ

Oracle RADIUS Agentコンテナ・インスタンスは、構成データ、クライアント登録からの共有シークレットおよびログを格納するために、コンテナにマウントされた永続外部ストレージ・ボリュームを使用します。ストレージ・ボリュームは、RADIUSエージェントの複数のコンテナ・インスタンス間で共有できます。ログなどのインスタンス・データは、インスタンス固有のディレクトリに格納されます。Oracle RADIUS Agentの外部ストレージ・ボリュームにあるデータ・ストアをバックアップする必要があります。

ノート:

ログやHTTPSの自動生成キーストアなどのインスタンス固有のデータは、インスタンス・ディレクトリに格納されます。