RADIUS 認証、承認、アカウンティング
Note
Windows Server 2008 以降、インターネット認証サービス (IAS) の名前がネットワーク ポリシー サーバー (NPS) に変更されました。 このトピックの内容は、IAS と NPS の両方に適用されます。 テキスト全体を通じて、NPS は、最初に IAS と呼ばれたバージョンを含め、サービスのすべてのバージョンを参照するために使用されます。
NPS は、リモート認証ダイヤルイン ユーザー サービス (RADIUS) プロトコルを完全にサポートしています。 RADIUS プロトコルはリモート ユーザー認証の事実上の標準であり、RFC 2865 と RFC 2866 に記載されています。
RADIUS 認証と承認
次の図は、ポイントツーポイント プロトコル (PPP) を使用してダイヤルアップ接続経由でネットワーク アクセス サーバー (NAS) に接続する認証クライアント ("User") を示しています。 ユーザーを認証するために、NAS は NPS を実行しているリモート サーバーに接続します。 NAS と NPS サーバーは、RADIUS プロトコルを使用して通信します。
NAS は、RADIUS プロトコルをサポートするサーバーのクライアントとして動作します。 RADIUS プロトコルをサポートするサーバーは、一般に RADIUS サーバーと呼ばれます。 RADIUS クライアント (NAS) は、指定された RADIUS サーバーにユーザーに関する情報を渡し、サーバーが返す応答に対して動作します。 ユーザーを認証するために NAS から RADIUS サーバーに送信される要求は、通常、"認証要求" と呼ばれます。
RADIUS サーバーがユーザーを正常に認証すると、RADIUS サーバーは NAS に構成情報を返して、ユーザーにネットワーク サービスを提供できるようにします。 この構成情報は "承認" で構成され、特に NAS がユーザーに提供できるサービスの種類 (PPP、telnet など) が含まれています。
RADIUS サーバーは認証要求の処理中に、ユーザーの電話番号の確認や、ユーザーが既にセッションが進行中かどうかを確認するなどの承認機能を実行できます。 RADIUS サーバーは、状態サーバーに接続することで、ユーザーが既に進行中のセッションを持っているかどうかを判断できます。
RADIUS 認証と承認の詳細については、 RFC 2865 を参照してください。
RADIUS アカウンティング
また、RADIUS サーバーは、ネットワーク アクティビティのアカウンティングやレポートに使用できる、NAS によって送信されるさまざまな情報も収集します。 RADIUS クライアントは、ユーザーがログオンしてログオフしたときに、指定された RADIUS サーバーに情報を送信します。 RADIUS クライアントは、セッションの進行中に定期的に追加の使用状況情報を送信する場合があります。 ログオン/ログオフと使用状況情報を記録するためにクライアントからサーバーに送信される要求は、一般に "アカウンティング要求" と呼ばれます。
RADIUS アカウンティングの詳細については、 RFC 2866 を参照してください。
RADIUS プロキシ
RADIUS サーバーは、他の RADIUS サーバーへのプロキシ クライアントとして機能できます。 このような場合、NAS から接続された RADIUS サーバーは、認証またはアカウンティング要求を、実際に認証またはアカウンティング タスクを実行する別の RADIUS サーバーに渡します。
関連トピック