.png)
YAMAHAルータの評価ガイド① パスワード認証
admin@singleid.jp目次
目的
YAMAHA RTX830 ルータの以下の認証をSingleIDで実施します。
- 管理者の認証(パスワード認証)
- リモートアクセスVPNの認証(パスワード認証)
- user1は、YAMAHAルータのGUIへ「管理権限」でログイン可能。user2はログインできない。
- user2は、YAMAHAルータへVPNでリモートアクセス可能。user1は、アクセスできない。
環境
グループの情報
| グループ名 | グループの説明 | メンバー |
|---|---|---|
| システム管理者 | YAMAHAルータへ「管理権限」でログインできるユーザのグループ | user1 |
| リモートアクセスユーザ | YAMAHAルータのリモートアクセスVPNを許可されたユーザのグループ | user2 |
RADIUSの情報
| 設定に必要な情報 | 説明および情報取得の方法など |
|---|---|
| RADIUSサーバのIPアドレス | SingleID 管理者ポータル>認証>RADIUS画面の基本情報タブの「IPアドレス」です。 |
| RADIUSサーバのポート番号 | SingleID 管理者ポータル>認証>RADIUS画面の基本情報タブの「RADIUSポート番号」です。デフォルトUDP1812です。 |
| RADIUSクライアントのIPアドレス | YAMAHAルータ側のグローバルIPアドレスです。インターネットに出ていくときの送信元のIPアドレスです。 |
| RADIUSクライアントのシークレット | 任意の文字列を設定します。ここでは、シークレットを「yamaha」とします。 |
設定方法
SingleIDの設定
グループの作成
SingleIDの管理者ポータルへログインします。
製品ログイン一覧
ユーザポータルは、組織の一般ユーザが使用するポータルです。ユーザの登録情報、パスワード変更、ワンタイムパスワード設定を行うことができます 管理者ポータルは、組織…
https://www.singleid.jp SingleID 管理者ポータル>グループ一覧画面へ移動します。
「グループ追加」をクリックします。
グループ名を入力し、「登録」をクリックします。作成するグループは、環境/グループの情報を参照します。
2つのグループを登録します。
ユーザの作成
SingleID 管理者ポータル>ユーザ一覧画面へ移動します。
「登録」をクリックします。
ユーザ登録画面の「基本情報」を入力します。 作成するユーザは、環境/グループの情報を参照します。
「グループ」タブをクリックします。
参加するグループを選択し、「登録」をクリックします。参加するグループについては、環境/グループの情報を参照します。
2人分のユーザを登録します。
RADIUSの設定(「簡易設定-YAMAHA」画面から設定した場合)
SingleID 管理者ポータル>認証>RADIUS画面へ移動します。「YAMAHA」タブへ移動します。
「登録」をクリックします。
RADIUSクライアントに関する以下の項目を入力します。
- IP or ホスト名:環境/RADIUSの情報を参照
ネットボランチDNSサービスを利用している場合には、IPアドレスではなく、ホスト名(FQDN)を設定することもできます。SingleIDは、15分に1回の頻度で、設定されたホスト名のDNS名前解決を実施し、IPアドレスが変更されている場合には、内部設定を更新します。
そのため、ネットボランチDNSサービスのホスト名に関連づいたIPアドレスが変更された場合、内部設定が更新されるまでの最大15分間、RADIUSクライアントからRADIUSサーバへの接続に失敗します。
- シークレット: 環境/RADIUSの情報を参照
- サーバ:1を選択
選択するサーバの番号により、RADIUSサーバのポート番号が異なります。サーバが1の場合には、UDP1812です。
SingleID 管理者ポータル>認証>RADIUS>基本情報タブ画面の「RADIUSポート番号」にサーバの番号と通信ポート番号の対応が記載されています。
「VPNアクセスの認証」タブへ移動します。
許可グループの設定で「リモートアクセスユーザ」グループをダブルクリックし、許可へ移動させます。
「管理アクセスの認証」タブへ移動します。
許可グループの設定で「システム管理者」グループをダブルクリックし、許可へ移動させます。「管理権限」の権限を選択します。
「登録」をクリックします。
YAMAHAルータの設定
管理アクセスの設定
以下の設定を行います。
- RADIUSサーバのIPアドレス: 環境/RADIUSの情報を参照
YAMAHAルータが、設定できるRADIUSサーバは1つのみです。SingleIDのクラウドRADIUSは、すでに負荷分散装置で冗長構成となっておりますので、クラウドRADIUSのプライマリまたはセカンダリのどちらかのIPのみを登録いただいても十分な可用性を発揮します。
- RADIUSサーバのポート番号: 環境/RADIUSの情報を参照
- RADIUSクライアントのシークレット:環境/RADIUSの情報を参照
login radius use on
radius auth on
radius auth server <RADIUSサーバのIPアドレス>
radius auth port <RADIUSサーバのポート番号>
radius secret <RADIUSクライアントのシークレット>参考
YAMAHAネットワーク製品 については、以下の設定例を参考にさせていただきました。
リモートアクセスVPNの設定
YAMAHAルータのGUI>かんたん設定>VPN>リモートアクセス画面へ移動します。
「新規」をクリックします。
以下を設定します。
- 接続種別:L2TP/IPSecを使用する
- 認証鍵:yamaha
- 認証アルゴリズム:HMAC-SHA
- 暗号アルゴリズム:AES-CBC
- ユーザ認証方式:CHAPまたはPAP
「次へ」をクリックします。
SingleIDに登録されたユーザでリモートアクセスを行いますが、YAMAHAルータでリモートアクセスVPNの設定をGUIで完了するには、少なくとも1ユーザのユーザ登録が必要です。一時的に、適当なユーザを1ユーザを登録します。一時的に追加したユーザはCLIから削除できます。
「次へ」をクリックします。
設定内容を確認し、「設定の確定」をクリックし、設定を完了します。
「管理アクセスの設定」にて、すでに、RADIUSサーバを使用する設定をしてあるため、ここでは不要です。
参考
YAMAHAネットワーク製品 については、以下の設定例を参考にさせていただきました。
L2TP/IPsecを使用したリモートアクセス : Web GUI設定
動作確認方法
管理者の認証(パスワード認証)
SingleIDに登録したuser1で、YAMAHAルータのGUIにログインを試みます。
user1で、CLIにもログインすることができることを確認します。
リモートアクセスVPNの認証(パスワード認証)
Windows 10の場合
Windows 10の設定>ネットワークとインターネットへ移動します。
VPNをクリックします。
「VPN接続を追加する」をクリックします。
以下を設定します。
- 接続名:任意
- サーバまたはアドレス:YAMAHAルータのWAN側のIPアドレス
ネットボランチDNSサービスを利用している場合には、ホスト名(FQDN)を入力することもできます。
- VPNの種類:事前共有キーを使ったL2TP/IPSec
- 事前共有キー:yamaha (「リモートアクセスVPNの設定」で設定した認証鍵です。)
- サインイン情報の種類:ユーザ名とパスワード
Windowsのネットワーク接続の設定画面から、追加したVPN設定のプロパティを開きます。
セキュリティタブへ移動します。
「次のプロトコルを許可する」を選択します。
チェックボックスで「PAP」と「CHAP」を選択し、「MS-CHAP v2」の選択を解除します。
「OK」をクリックし、VPNの設定は完了です。
設定したVPNの「接続」をクリックし、YAMAHAルータへVPN接続を試みます。
SingleIDに登録したuser2の認証情報を入力します。
接続ができたことを確認します。
