RADIUS - ベンダー固有の属性用に NPS を構成する - P2S ユーザーグループ

[アーティクル]
05/29/2023

次のセクションでは、Windows Server ネットワークポリシーサーバー (NPS) を構成してユーザーを認証し、Virtual WAN ポイント対サイト VPN でユーザーグループのサポートに使用されるベンダー固有の属性 (VSA) によって、アクセス要求メッセージに応答するようにする方法について説明します。次の手順では、ネットワークポリシーサーバーが Active Directory に既に登録されていることを前提としています。手順は、NPS サーバーのベンダーやバージョンによって異なる場合があります。

次の手順では、NPS サーバーで単一のネットワークポリシーを設定する方法について説明します。 NPS サーバーでは、このポリシーに一致するすべてのユーザーに対して指定された VSA で応答します。この VSA の値は、Virtual WAN のポイント対サイト VPN ゲートウェイで使用できます。

構成

ネットワークポリシーサーバー管理コンソールを開き、[ネットワークポリシー -> 新規] を右クリックして新しいネットワークポリシーを作成します。
ウィザードで [アクセス許可] を選択して、RADIUS サーバーがユーザー認証の後にアクセス受け入れメッセージを送信できることを確認します。次に、 [次へ] をクリックします。
ポリシーに名前を付け、ネットワークアクセスサーバーの種類として [リモートアクセスサーバー (VPN ダイヤルアップ)] を選択します。次に、 [次へ] をクリックします。
[条件の指定] ページで、[追加] をクリックして条件を選択します。次に、条件として [ユーザーグループ] を選択し、[追加] をクリックします。 RADIUS サーバーベンダーでサポートされている他のネットワークポリシー条件を使用することもできます。
[ユーザーグループ] ページで、[グループの追加] をクリックし、このポリシーを使用する Active Directory グループを選択します。次に、[OK] をクリックし、もう一度 [OK] をクリックします。 [ユーザーグループ] ウィンドウに追加したグループが表示されます。 [OK] をクリックして [条件の指定] ページに戻り、[次へ] をクリックします。
[アクセス許可の指定] ページで、[アクセス許可] を選択して、RADIUS サーバーがユーザーの認証後にアクセス受け入れメッセージを送信できるようにします。次に、 [次へ] をクリックします。
[認証方法の構成] で、必要な変更を行い、[次へ] をクリックします。
[制約の構成] で、必要な設定を選択します。次に、 [次へ] をクリックします。
[設定の構成] ページの [RADIUS 属性] で、[ベンダー固有] をハイライトし、[追加] をクリックします。
[ベンダー固有の属性の追加] ページで、スクロールして [ベンダー固有] を選択します。
[追加] をクリックして [属性の情報] ページを開きます。次に、[追加] をクリックして [ベンダー固有の属性情報] ページを開きます。 [一覧から選択] を選択し、[Microsoft] を選択します。 [はい、準拠しています] を選択します。その後、[属性の構成] をクリックします。
[VSA の構成 (RFC 準拠)] ページで、次の値を選択します。
- ベンダーが割り当てた属性番号: 65
- 属性の形式: 16 進数
- 属性値: これを、VPN サーバー構成で構成した VSA 値 (6a1bd08 など) に設定します。 VSA 値は 6ad1bd で始まる必要があります。
[OK]、引き続き [OK] をクリックしてウィンドウを閉じます。 [属性情報] ページに、入力したベンダーと値が一覧表示されます。 [OK] をクリックしてウィンドウを閉じます。次に、[閉じる] をクリックして [設定の構成] ページに戻ります。
[設定の構成] は、次のスクリーンショットのようになります。
[次へ] 、 [完了] の順にクリックします。 RADIUS サーバー上に複数のネットワークポリシーを作成して、Active Directory グループメンバーシップまたはサポートするその他のメカニズムに基づいて、Virtual WAN ポイント対サイト VPN ゲートウェイに異なるアクセス受け入れメッセージを送信できます。