[FL SWITCH / FL NAT / mGuard / EW50]ログイン認証

はじめに

ログイン認証で下記のような課題がある場合,ネットワーク機器と認証サーバを連携させる設定例をご紹介します

ログイン認証で下記のような課題がある場合,ネットワーク機器と認証サーバを連携させる設定例をご紹介します

 ●ネットワーク機器が多くて一台一台アカウントを登録するのが面倒だ
 ●登録したいアカウント数がネットワーク機器の上限を超えていて個人アカウントを用意できない
 ●複数台のネットワーク機器があるためアカウントの登録漏れをなくしたい
 ●漏えいの疑いのあるアカウントを迅速にロックしたい

※「ログイン認証」とはネットワーク機器にユーザ名とパスワードでログインする際の認証を指しています

目次

1.導入の目的
2.導入のポイント
3.導入シナリオ
4.仕様
5a.設定例(FL SWITCH / FL NAT)
5b.設定例(mGuard 4000)
5c.設定例(mGuard 1100)
5d.設定例(EW50)
6.認証サーバ連携製品

1.導入の目的

2.導入のポイント

3.導入シナリオ

4.仕様

対応製品認証プロトコル
FL SWITCH / FL NAT 2200以上RADIUS / LDAP
mGuard 1100LDAP
mGuard 4000(mGuard 2000非対応)RADIUS
EW50TACACS+

5a.設定例(FL SWITCH / FL NAT)

本稿ではRADIUSプロトコルを使用した認証サーバと連携させます

FL SWITCH / FL NAT
STEP
設定用PCをXFポートのどれかに接続してFL SWITCHへアクセス

http://169.254.2.1/ (※初期設定の場合)

STEP
IPアドレスを設定
左ペイン「Configuration」-「Network」をクリック
【IP Address Assignment】固定IPアドレスを設定する場合は「STATIC」を選択
【IP Address】IPアドレスを入力
【Network Mask】ネットマスクを入力
【Default Gateway】ゲートウェイアドレスを入力して「Apply&Save」をクリック
STEP
設定用PCのIPアドレスを172.16.1.xに変更して設定変更後のIPアドレスでアクセス
http://172.16.1.100/
STEP
認証サーバ(RADIUS)の設定
左ペイン「Configuration」-「Security」をクリック
【Radius Server】認証サーバのIPアドレスを入力
【Radius Shared Secret】認証サーバで設定するシークレット・キーを入力して下へスクロール
※3.20以降のファームウェアでは複数台のRADIUSサーバを登録して冗長化可能
【Radius】「Enable」にチェックして「Apply&Save」をクリック
STEP
アクセス権限を確認・設定
左ペイン「Configuration」-「User Management」をクリック
「Custom User Role」をクリック
【Create/Edit Custom Role】初期設定の「Admin」「Expert」「Read-only」権限を使用するか,
必要に応じて「Create」で新たな権限を作成
【Radius Management-Privilege-Level】初期設定では「admin」は「1」,「Experrt」は「2」,「Read-only」は「4」,
必要に応じて変更
認証サーバ

認証サーバ(RADIUS)の設定は製品によって異なりますので,6.認証サーバ連携製品から選んで設定してください

FL SWITCHに設定されているRadius Management-Privilege-Level属性を認証サーバに適用

FL SWITCH / FL NAT

認証サーバで作成したアカウントでログイン

5b.設定例(mGuard 4000)

mGuard 4000
STEP
設定用PCをLAN1~4ポートのどれかに接続してmGuardへアクセス

https://192.168.1.1/ (※初期設定の場合)

STEP
IPアドレスを設定
左ペイン「ネットワーク」-「インターフェース」から「内部接続」タブをクリック
【IPアドレス】IPアドレスを入力
【ネットマスク】ネットマスクを入力して上部のをクリック
STEP
設定用PCのIPアドレスを172.16.1.xに変更して設定変更後のIPアドレスでアクセス
https://172.16.1.254/
STEP
認証サーバ(RADIUS)の設定
左ペイン「認証」-「RADIUS」をクリック
をクリック
【サーバ】認証サーバのIPアドレスを入力
【シークレット】認証サーバで設定するシークレット・キーを入力して上部のをクリック
STEP
アクセス権限を設定
左ペイン「認証」-「管理者ユーザー」から「RADIUSフィルタ」タブをクリック
をクリック
【グループ / フィルタID】任意のものを入力
【以下の権限でアクセス認証】「admin」「netadmin」「audit」から選択して上部のをクリック
STEP
RADIUS認証を有効化
左ペイン「管理」-「ウェブ設定」から「アクセス」タブをクリック
【RADIUS認証を有効にする】「はい」を選択して上部のをクリック
認証サーバ

認証サーバ(RADIUS)の設定は製品によって異なりますので,6.認証サーバ連携製品から選んで設定してください

mGuard 4000で設定した「グループ / フィルタID」をFilter-Id属性として認証サーバに適用

mGuard 4000

認証サーバで作成したアカウントでログイン

5c.設定例(mGuard 1100)

mGuard 1100
STEP
設定用PCをXF2ポートに接続してmGuardへアクセス

https://192.168.1.1/ (※初期設定の場合)

STEP
IPアドレスを設定
左ペイン「Network」-「Interface」をクリック
【Mode】「Stealth」か「Router」を選択
【Management IP address】IPアドレスを入力
【Default gateway】ゲートウェイアドレスを入力して上部のをクリック
STEP
設定用PCのIPアドレスを172.16.1.xに変更して設定変更後のIPアドレスでアクセス
https://172.16.1.254/
STEP
認証サーバ(LDAP)の設定
左ペイン「Authentication」-「LDAP」をクリック
【LDAP authentication】「On」を選択
【LDAP attribute】認証サーバへ追加する独自スキーマ名を入力
【Super Admin】「Super Admin」権限のための識別子を入力
【Admin】「Admin」権限のための識別子を入力
【Audit】「Audit」権限のための識別子を入力
【IP/Hostname】認証サーバのIPアドレスを入力
【Base DN】認証サーバで定義するBase DNを入力
【Username】mGuard 1100を認証するためのユーザ名を入力
【Password】mGuard 1100を認証するためのパスワードを入力して上部のをクリック
認証サーバ

認証サーバ(LDAP)の設定は製品によって異なりますので,6.認証サーバ連携製品から選んで設定してください

mGuard 1100で設定した「LDAP attribute」を独自スキーマとして認証サーバで定義

mGuard 1100

認証サーバで作成したアカウントでログイン

5d.設定例(EW50)

基本的な設定として,事前にこちらをご覧ください

EW50
STEP
認証サーバ(TACACS+)の設定
左ペイン「Object Definition」-「External Servers」をクリック
「Add」をクリック
【Server Name】任意の認証サーバ名を入力
【Sever Type】「TACACS+ Server」を選択
【Shared Key】認証サーバに設定する共有鍵を入力
【Session Timeout】セッションタイムアウト時間を入力
【Server IP/FQDN】認証サーバのIPアドレスかFQDN名を入力して「Save」をクリック
STEP
TACACS+認証を有効化
左ペイン「Object Definition」-「External Servers」をクリック
【External Authentication】「Enable」にチェック
【Server】STEP 1で設定したTACACS+サーバを選択して「Save」をクリック
認証サーバ

認証サーバ(TACACS+)の設定は製品によって異なりますので,6.認証サーバ連携製品から選んで設定してください

EW50

認証サーバで作成したアカウントでログイン

6.認証サーバ連携製品

動作検証済みの認証サーバをご案内します

メーカー名(50音順)製品名
FreeRADIUS
エイチ・シー・ネットワークスAccount@Adapter+
FL SWITCH / FL NAT
メーカー名(50音順)製品名
FreeRADIUS
mGuard 4000
メーカー名(50音順)製品名
OpenLDAP
mGuard 1100
メーカー名(50音順)製品名
tac_plus
EW50
  • URLをコピーしました!