FEREC における MAC アドレス制限の利用方法 株式会社ネットスプリング 2007 年 9 月 FEREC ファームウェア Ver.2.2 における MAC アドレス制限を利用する方法について記 述します。 まず FEREC で利用できる MAC アドレス制限は、必ずユーザ認証との二重チェック (AND 条件)で使われるものです。MAC アドレス認証のみで認証を行い、ユーザ認証 が不要になるものではありません。 次に MAC アドレス制限を行う場合に、以下の 2 通りが考えられます。 (1) 個々のユーザ名に紐付けた MAC アドレス制限 このユーザ名でログインする際には必ずこの MAC アドレスの端末を利用 するというようにユーザ名に MAC アドレスを紐付ける。該当ユーザは ユーザ自身に紐付けられていない MAC アドレスの端末からはログインでき ない。 (2) 全ユーザを対象にした MAC アドレス制限 どのユーザ名でログインするかにかかわらず、登録された MAC アドレス の端末からしかログインできない。 以上 2 つの MAC アドレス制限の設定方法を説明します。 まず FEREC における通常のユーザ認証のみの RADIUS 認証設定につきましては、 マニュアルをご参照ください。 (1) 個々のユーザ名に紐付けた MAC アドレス制限 FEREC から RADIUS サーバに対して認証要求をする際に ユーザ名(User-Name) パスワード(User-Password) だけではなく、 MAC アドレス(Calling-Station-Id) も送信しています。ここで、RADIUS サーバ側で、認証の条件に、 Calling-Station-Id を設定していれば、ユーザ名に紐付けた MAC アドレス 制限が可能です。 1 Copyright©2007 NetSpring,Inc. ただし、Calling-Station-Id に設定する値は、MAC アドレスの表記で、":" や"-"などを含まず、英数半角小文字で記述されたものです。 <例> MAC アドレス が 0F:1E:2D:3C:4B:5A の場合 Calling-Station-Id = "0f1e2d3c4b5a" と設定します。 例として、ユーザ名 "taro"、パスワード"taro-pass"のユーザが、MAC アド レスが"0F:1E:2D:3C:4B:5A"の端末からのみログインを試みる場合、RADIUS サーバ側では、以下のエントリが必要になります。 属性 値 ユーザ名 パスワード (User-Name) (User-Password) taro taro-pass Calling-Station-Id 0f1e2d3c4b5a ここで、MAC アドレスとユーザ名は紐付いています。ユーザ"taro"は、他の MAC アドレスの端末からはログインできません。 RADIUS サーバソフトにより、Calling-Station-Id に複数の値を登録して OR 条件で利用することができるものもあるようです。詳細は各 RADIUS サーバソフトのマニュアル等をご参照ください。 ※[注意] FEREC 管理ページより、[設定]→[認証]→[RADIUS 認証]→[RADIUS サーバ 1] (または[RADIUS サーバ 2])→[詳細設定]において、[MAC アドレス制限]の 設定で[利用しない]を選択した場合でも、(1)の MAC アドレス制限は利用 可能です。 2 Copyright©2007 NetSpring,Inc. (2) 全ユーザを対象にした MAC アドレス制限 FEREC 管理ページより、[設定]→[認証]→[RADIUS 認証]→[RADIUS サーバ 1] (または[RADIUS サーバ 2])→[詳細設定]において、[MAC アドレス制限]の 設定で[利用する]を選択します。 [MAC アドレス制限用パスワード]欄にパスワードを設定します。ここでは 例として、"macpass"と設定します。 FEREC で上述のように[MAC アドレス制限]の設定で[利用する]を選択した 場合、FEREC はまず、ユーザ名に MAC アドレスの値、パスワードに [MAC アドレス制限用パスワード]欄で設定した値を使って、RADIUS 認証を 試みます。その RADIUS 認証に成功すると続けて、通常のユーザ名とパス ワードの認証を行います。ユーザ名に MAC アドレス値を設定した認証に おいて、失敗すれば、通常のユーザ認証は行いません。 つまり RADIUS サーバ側では通常のユーザ名、パスワードのエントリに加え て、MAC アドレス値、[MAC アドレス制限用パスワード]のエントリを登録して おく必要があります。 ただし、ユーザ名に MAC アドレスを設定する際の値は、MAC アドレスの 表記で、":"や"-"などを含まず、英数半角小文字で記述されたものです。 <例> MAC アドレス が 0F:1E:2D:3C:4B:5A の場合 ユーザ名に"0f1e2d3c4b5a" と設定します。 例として、MAC アドレスが"0F:1E:2D:3C:4B:5A"の端末があり、ユーザ名 "taro"、パスワード"taro-pass"のユーザが、ログインを試みる場合、RADIUS サーバ側では、以下のエントリが必要になります。 属性 ユーザ名(User-Name) パスワード(User-Password) 値 0f1e2d3c4b5a macpass taro taro-pass ここで、MAC アドレスとユーザ名は紐付いていません。ここで登録された MAC アドレスの端末全てから、ユーザ"taro"はログインが可能です。 ※ RADIUS サーバにおいて既に Calling-Station-Id 属性を他の用途で使用している場合 は正しく認証されない可能性がありますのでご注意ください。 3 Copyright©2007 NetSpring,Inc.
© Copyright 2024 Paperzz
