YAMAHAルータの評価ガイド① パスワード認証

目的

YAMAHA RTX830 ルータの以下の認証をSingleIDで実施します。

  • 管理者の認証(パスワード認証)
  • リモートアクセスVPNの認証(パスワード認証)
  • user1は、YAMAHAルータのGUIへ「管理権限」でログイン可能。user2はログインできない。
  • user2は、YAMAHAルータへVPNでリモートアクセス可能。user1は、アクセスできない。

環境

グループの情報

グループ名グループの説明メンバー
システム管理者YAMAHAルータへ「管理権限」でログインできるユーザのグループuser1
リモートアクセスユーザ YAMAHAルータのリモートアクセスVPNを許可されたユーザのグループ user2

RADIUSの情報

設定に必要な情報説明および情報取得の方法など
RADIUSサーバのIPアドレスSingleID 管理者ポータル>認証>RADIUS画面の基本情報タブの「IPアドレス」です。
RADIUSサーバのポート番号 SingleID 管理者ポータル>認証>RADIUS画面の基本情報タブの「RADIUSポート番号」です。デフォルトUDP1812です。
RADIUSクライアントのIPアドレスYAMAHAルータ側のグローバルIPアドレスです。インターネットに出ていくときの送信元のIPアドレスです。
RADIUSクライアントのシークレット任意の文字列を設定します。ここでは、シークレットを「yamaha」とします。

設定方法

SingleIDの設定

グループの作成

SingleIDの管理者ポータルへログインします。

製品ログイン一覧

ユーザポータルは、組織の一般ユーザが使用するポータルです。ユーザの登録情報、パスワード変更、ワンタイムパスワード設定を行うことができます 管理者ポータルは、組織…

SingleID 管理者ポータル>グループ一覧画面へ移動します。

「グループ追加」をクリックします。

グループ名を入力し、「登録」をクリックします。作成するグループは、環境/グループの情報を参照します。

2つのグループを登録します。

ユーザの作成

SingleID 管理者ポータル>ユーザ一覧画面へ移動します。

「登録」をクリックします。

ユーザ登録画面の「基本情報」を入力します。 作成するユーザは、環境/グループの情報を参照します。

「グループ」タブをクリックします。

参加するグループを選択し、「登録」をクリックします。参加するグループについては、環境/グループの情報を参照します。

2人分のユーザを登録します。

RADIUSの設定(「簡易設定-YAMAHA」画面から設定した場合)

SingleID 管理者ポータル>認証>RADIUS画面へ移動します。「YAMAHA」タブへ移動します。

「登録」をクリックします。

RADIUSクライアントに関する以下の項目を入力します。

ネットボランチDNSサービスを利用している場合には、IPアドレスではなく、ホスト名(FQDN)を設定することもできます。SingleIDは、15分に1回の頻度で、設定されたホスト名のDNS名前解決を実施し、IPアドレスが変更されている場合には、内部設定を更新します。

そのため、ネットボランチDNSサービスのホスト名に関連づいたIPアドレスが変更された場合、内部設定が更新されるまでの最大15分間、RADIUSクライアントからRADIUSサーバへの接続に失敗します。

選択するサーバの番号により、RADIUSサーバのポート番号が異なります。サーバが1の場合には、UDP1812です。

SingleID 管理者ポータル>認証>RADIUS>基本情報タブ画面の「RADIUSポート番号」にサーバの番号と通信ポート番号の対応が記載されています。

「VPNアクセスの認証」タブへ移動します。

許可グループの設定で「リモートアクセスユーザ」グループをダブルクリックし、許可へ移動させます。

「管理アクセスの認証」タブへ移動します。

許可グループの設定で「システム管理者」グループをダブルクリックし、許可へ移動させます。「管理権限」の権限を選択します。

「登録」をクリックします。

YAMAHAルータの設定

管理アクセスの設定

以下の設定を行います。

YAMAHAルータが、設定できるRADIUSサーバは1つのみです。SingleIDのクラウドRADIUSは、すでに負荷分散装置で冗長構成となっておりますので、クラウドRADIUSのプライマリまたはセカンダリのどちらかのIPのみを登録いただいても十分な可用性を発揮します。

login radius use on
radius auth on
radius auth server <RADIUSサーバのIPアドレス>
radius auth port <RADIUSサーバのポート番号>
radius secret <RADIUSクライアントのシークレット>

参考

YAMAHAネットワーク製品 については、以下の設定例を参考にさせていただきました。

RADIUSを使用したログインユーザーの管理

リモートアクセスVPNの設定

YAMAHAルータのGUI>かんたん設定>VPN>リモートアクセス画面へ移動します。

「新規」をクリックします。

以下を設定します。

  • 接続種別:L2TP/IPSecを使用する
  • 認証鍵:yamaha
  • 認証アルゴリズム:HMAC-SHA
  • 暗号アルゴリズム:AES-CBC
  • ユーザ認証方式:CHAPまたはPAP

「次へ」をクリックします。

SingleIDに登録されたユーザでリモートアクセスを行いますが、YAMAHAルータでリモートアクセスVPNの設定をGUIで完了するには、少なくとも1ユーザのユーザ登録が必要です。一時的に、適当なユーザを1ユーザを登録します。一時的に追加したユーザはCLIから削除できます。

「次へ」をクリックします。

設定内容を確認し、「設定の確定」をクリックし、設定を完了します。

管理アクセスの設定」にて、すでに、RADIUSサーバを使用する設定をしてあるため、ここでは不要です。

参考

YAMAHAネットワーク製品 については、以下の設定例を参考にさせていただきました。

L2TP/IPsecを使用したリモートアクセス : Web GUI設定

動作確認方法

管理者の認証(パスワード認証)

SingleIDに登録したuser1で、YAMAHAルータのGUIにログインを試みます。

user1で、CLIにもログインすることができることを確認します。

リモートアクセスVPNの認証(パスワード認証)

Windows 10の場合

Windows 10の設定>ネットワークとインターネットへ移動します。

VPNをクリックします。

「VPN接続を追加する」をクリックします。

以下を設定します。

  • 接続名:任意
  • サーバまたはアドレス:YAMAHAルータのWAN側のIPアドレス

ネットボランチDNSサービスを利用している場合には、ホスト名(FQDN)を入力することもできます。

  • VPNの種類:事前共有キーを使ったL2TP/IPSec
  • 事前共有キー:yamaha (「リモートアクセスVPNの設定」で設定した認証鍵です。)
  • サインイン情報の種類:ユーザ名とパスワード

Windowsのネットワーク接続の設定画面から、追加したVPN設定のプロパティを開きます。

セキュリティタブへ移動します。

「次のプロトコルを許可する」を選択します。

チェックボックスで「PAP」と「CHAP」を選択し、「MS-CHAP v2」の選択を解除します。

「OK」をクリックし、VPNの設定は完了です。

設定したVPNの「接続」をクリックし、YAMAHAルータへVPN接続を試みます。

SingleIDに登録したuser2の認証情報を入力します。

接続ができたことを確認します。

コメントを残す

メールアドレスが公開されることはありません。