[FL SWITCH / FL NAT / mGuard / EW50]ログイン認証
はじめに
ログイン認証で下記のような課題がある場合,ネットワーク機器と認証サーバを連携させる設定例をご紹介します
ログイン認証で下記のような課題がある場合,ネットワーク機器と認証サーバを連携させる設定例をご紹介します
●ネットワーク機器が多くて一台一台アカウントを登録するのが面倒だ
●登録したいアカウント数がネットワーク機器の上限を超えていて個人アカウントを用意できない
●複数台のネットワーク機器があるためアカウントの登録漏れをなくしたい
●漏えいの疑いのあるアカウントを迅速にロックしたい
※「ログイン認証」とはネットワーク機器にユーザ名とパスワードでログインする際の認証を指しています
目次
1.導入の目的
2.導入のポイント
3.導入シナリオ
4.仕様
5a.設定例(FL SWITCH / FL NAT)
5b.設定例(mGuard 4000)
5c.設定例(mGuard 1100)
5d.設定例(EW50)
6.認証サーバ連携製品
1.導入の目的
2.導入のポイント
3.導入シナリオ
4.仕様
| 対応製品 | 認証プロトコル |
| FL SWITCH / FL NAT 2200以上 | RADIUS / LDAP |
| mGuard 1100 | LDAP |
| mGuard 4000(mGuard 2000非対応) | RADIUS |
| EW50 | TACACS+ |
5a.設定例(FL SWITCH / FL NAT)
本稿ではRADIUSプロトコルを使用した認証サーバと連携させます
http://169.254.2.1/ (※初期設定の場合)
【IP Address Assignment】固定IPアドレスを設定する場合は「STATIC」を選択
【IP Address】IPアドレスを入力
【Network Mask】ネットマスクを入力
【Default Gateway】ゲートウェイアドレスを入力して「Apply&Save」をクリック
【Radius Server】認証サーバのIPアドレスを入力
【Radius Shared Secret】認証サーバで設定するシークレット・キーを入力して下へスクロール
※3.20以降のファームウェアでは複数台のRADIUSサーバを登録して冗長化可能
「Custom User Role」をクリック
必要に応じて「Create」で新たな権限を作成
必要に応じて変更
認証サーバ(RADIUS)の設定は製品によって異なりますので,6.認証サーバ連携製品から選んで設定してください
FL SWITCHに設定されているRadius Management-Privilege-Level属性を認証サーバに適用
認証サーバで作成したアカウントでログイン
5b.設定例(mGuard 4000)
https://192.168.1.1/ (※初期設定の場合)
【IPアドレス】IPアドレスを入力
【ネットマスク】ネットマスクを入力して上部の
をクリック
をクリック
【シークレット】認証サーバで設定するシークレット・キーを入力して上部の
をクリック
をクリック
【以下の権限でアクセス認証】「admin」「netadmin」「audit」から選択して上部の
をクリック
【RADIUS認証を有効にする】「はい」を選択して上部の
をクリック認証サーバ(RADIUS)の設定は製品によって異なりますので,6.認証サーバ連携製品から選んで設定してください
mGuard 4000で設定した「グループ / フィルタID」をFilter-Id属性として認証サーバに適用
認証サーバで作成したアカウントでログイン
5c.設定例(mGuard 1100)
https://192.168.1.1/ (※初期設定の場合)
【Mode】「Stealth」か「Router」を選択
【Management IP address】IPアドレスを入力
【Default gateway】ゲートウェイアドレスを入力して上部の
をクリック
【LDAP authentication】「On」を選択
【LDAP attribute】認証サーバへ追加する独自スキーマ名を入力
【Super Admin】「Super Admin」権限のための識別子を入力
【Admin】「Admin」権限のための識別子を入力
【Audit】「Audit」権限のための識別子を入力
【IP/Hostname】認証サーバのIPアドレスを入力
【Base DN】認証サーバで定義するBase DNを入力
【Username】mGuard 1100を認証するためのユーザ名を入力
【Password】mGuard 1100を認証するためのパスワードを入力して上部の
をクリック認証サーバ(LDAP)の設定は製品によって異なりますので,6.認証サーバ連携製品から選んで設定してください
mGuard 1100で設定した「LDAP attribute」を独自スキーマとして認証サーバで定義
認証サーバで作成したアカウントでログイン
5d.設定例(EW50)
基本的な設定として,事前にこちらをご覧ください
「Add」をクリック
【Sever Type】「TACACS+ Server」を選択
【Shared Key】認証サーバに設定する共有鍵を入力
【Session Timeout】セッションタイムアウト時間を入力
【Server IP/FQDN】認証サーバのIPアドレスかFQDN名を入力して「Save」をクリック
【External Authentication】「Enable」にチェック
【Server】STEP 1で設定したTACACS+サーバを選択して「Save」をクリック
認証サーバ(TACACS+)の設定は製品によって異なりますので,6.認証サーバ連携製品から選んで設定してください
認証サーバで作成したアカウントでログイン
6.認証サーバ連携製品
動作検証済みの認証サーバをご案内します
| メーカー名(50音順) | 製品名 |
| FreeRADIUS | |
| エイチ・シー・ネットワークス | Account@Adapter+ |
| メーカー名(50音順) | 製品名 |
| FreeRADIUS |
| メーカー名(50音順) | 製品名 |
| OpenLDAP |
| メーカー名(50音順) | 製品名 |
| tac_plus |
関連記事
-
IEC 61508, 61511, 50156などに対応したプロセスオートメーション用セーフティリレー -
どれを選べばいい? セーフティ回転監視(停止/オーバースピード)の選定
-
I/O通信を簡単に無線化【Radioline】 ~シリアル通信 具体例~
-
リレー出力ユニット、Smart Elements シリーズ
-
絶縁型デジタル入力ユニット、Smart Elements シリーズ
-
安全ポートフォリオの拡張 – Safety over EtherCAT (FSoE) 用の安全I/O
-
DIN 43880 対応イーサネットスイッチ 【FL SWITCH 1000-REG】
-
コーティング仕様のアンマネージドスイッチが登場! 【FL SWITCH 1000-NTC】
