NPS を計画して実装する
NPS では、ワイヤレス、RD ゲートウェイ サーバー、認証スイッチ、VPN、ダイヤルアップ接続に対して、一元化された接続の認証、承認、アカウンティングを実行します。 ただし、Contoso では最初に、NPS が接続要求を承認するために使用するネットワーク ポリシーを構成する必要があります。また、NPS がアカウンティング情報をローカル ハード ディスク上のログ ファイルまたは Microsoft SQL Server データベースに記録できるように RADIUS アカウンティングを構成することを選択することもできます。
NPS の認証方法を選択する
NPS では、ユーザーが NAS 経由でネットワークに接続しようとしたときに、アクセスを許可または拒否する前に、接続要求の認証と承認を行います。 NPS をデプロイするときに、ネットワークへのアクセスに必要な認証方法の種類を指定できます。
NPS では、次の認証方法がサポートされています。
- PAP
- Shiva パスワード認証プロトコル (SPAP)
- CHAP
- MS-CHAP
- MS-CHAP v2
- EAP
ヒント
認証方法として EAP を選択すると、アクセス クライアントと NPS サーバーの間で EAP タイプのネゴシエーションが行われます。
注意事項
PAP、SPAP、CHAP、MS-CHAP は安全性がきわめて低いと見なされるため、運用環境では使用しないでください。
NPS のアカウンティング
NPS のログ記録をどのように構成するかについても考える必要があります。 ユーザーの認証要求とアカウンティング要求をテキスト形式またはデータベース形式でログ ファイルに記録できます。また、Microsoft SQL Server データベース内のストアド プロシージャに記録することもできます。 要求のログ記録は、主に接続の分析や課金の目的で使用します。また、ハッカーの行動を特定できるようになるため、セキュリティ調査ツールとしても使用します。
NPS 上でポリシーを構成する
NPS では、接続要求ポリシーとネットワーク ポリシーがサポートされています。 次の表で、これらについて説明します。
| 種類 | 説明 |
|---|---|
| 接続要求ポリシー | 接続要求ポリシーを使用すると、接続要求をローカル NPS サーバーで処理するか、別の RADIUS サーバーに転送して処理するかを選択できます |
| ネットワーク ポリシー | ネットワーク ポリシーでは、ネットワークへの接続を承認するユーザー、およびそれらのユーザーが接続できる状況とできない状況を指定できます。 |
ネットワーク ポリシーを確立する
ネットワーク ポリシーは、ネットワークへの接続を承認するユーザー、およびそれらのユーザーが接続できる状況と接続できない状況を指定できる、一連の条件、制約、設定で構成されます。 各ネットワーク ポリシーには、4 つのカテゴリのプロパティがあります。
| プロパティ | 説明 |
|---|---|
| 概要 | 概要のプロパティでは、ポリシーを有効にするかどうか、ポリシーでアクセスが許可または拒否されるか、接続要求に特定のネットワーク接続方法または特定の種類のネットワーク アクセス サーバーが必要かどうかを指定できます。 また、概要のプロパティでは、AD DS のユーザー アカウントのダイヤルイン プロパティを無視するかどうかも指定できます。 このオプションを選択した場合、NPS ではネットワーク ポリシーの設定のみを使用して、接続を承認するかどうかを判断します。 |
| 条件 | これらのプロパティでは、接続要求がネットワーク ポリシーと一致しなければならない条件を指定できます。 ポリシー内に構成されている条件が接続要求と一致した場合、NPS ではネットワーク ポリシー設定を接続に適用します。 たとえば、ネットワーク アクセス サーバーの IPv4 アドレス (NAS IPv4 アドレス) をネットワーク ポリシーの条件として指定し、その指定した IP アドレスを含む接続要求を NPS が NAS から受信した場合、このポリシーの条件は接続要求と一致します。 |
| 制約 | 制約は、接続要求に一致する上で必要になるネットワーク ポリシーの追加のパラメーターです。 接続要求が制約と一致しない場合、その要求は NPS で自動的に拒否されます。 ネットワークの条件に一致しない場合の NPS の対応とは異なり、制約が一致しない場合、NPS では追加のネットワーク ポリシーを評価しないため、接続要求は拒否されます。 |
| 設定 | 設定のプロパティでは、ネットワーク ポリシーのすべてのポリシー条件が一致し、要求が受け入れられた場合に、NPS が接続要求に適用する設定を指定できます。 |
重要
最初に NPS 役割をデプロイするときは、2 つの既定のネットワーク ポリシーによって、すべての接続試行へのリモート アクセスが拒否されます。 その後、接続の試行を管理するための追加のネットワーク ポリシーを構成できます。
NPS では、接続要求を承認するときに、その要求を、順序指定済みのポリシー リスト内の各ネットワーク ポリシーと比較します。最初のポリシーから始め、リストの次の項目へと移動します。 NPS では、条件が接続要求と一致するポリシーが見つかった場合、その一致するポリシーと、ユーザー アカウントのダイヤルイン プロパティを使用して要求を承認します。 ネットワーク ポリシーを使用してアクセスを許可または制御するようにユーザー アカウントのダイヤルイン プロパティを構成している場合、接続要求が承認されると、ネットワーク ポリシー内に構成した設定が NPS によって接続に適用されます。
- 接続要求と一致するネットワーク ポリシーが NPS で見つからない場合、その接続は NPS によって拒否されます。
- ユーザー アカウントのダイヤルイン プロパティがアクセスを拒否するように設定されている場合、その接続要求は NPS によって拒否されます。
この内容を次の表にまとめます。
