今回の記事では、こんなお悩みをお持ちの方へRadiusサーバーとは何かをできるだけ優しく解説することを試みてみたいと思います。
できるだけ嚙み砕いて説明していきたいと思います!
Radiusサーバーへの理解度がゼロから30%くらいへ上げられたらうれしいです。
では、さっそくいきましょう!
Radiusサーバーとは
まず、Radiusサーバーの読み方ですが、「ラディウス サーバー」といいます。
名前は非常にかっこいいですが、提供するサービスは極めて堅実なサーバーになります。
Radiusサーバーの役割を簡単にまとめると以下2つになります。
認証とは
認証について、なんとなく知っているけど説明はおこなえますか?
認証についての知識がふわっとしているとこの先の内容に対する理解が浅くなってしまいます。
ここで一度「認証」について情報を整理していきましょう。
オフィスへ入るまでの流れを「認証」の例として説明していきます。
今からはいるオフィスは中へ入るまで以下のステップが必要です。
もう少し細かく書くとこんな感じです。
- オフィスの入り口で受付の人へ「中へ入りたい」と言う
- 受付の人が本人か確認するために身分証明書を見せてと依頼する
- 身分証明書を提示して本人だとわかってもらう
- 確認が取れたら、オフィスの中へ入る
この建物の中へ入るまでの流れのうち、②と③のプロセスを認証と言います。
ようはなりすましをしていないことを確認するわけです!
ここまで「認証」について説明してきましたが、そもそもなんで「認証」は必要なのでしょうか??
先ほどのオフィスの例を用いて説明すれば、「オフィスの中を安全にするため」ですよね。
もし、「認証」のプロセスがなければ、不審者や泥棒がオフィス内の備品やスタッフの人に危害を加えるかもしれません。
そんな状況を未然に防ぐために「認証」が必要なのです。
PCの世界でも、同様の流れが行われています。
- ユーザーIDとパスワードでPCへログイン
- 社内ネットワークへアクセスして、サーバーや社内の重要なファイルへアクセス
細かい流れは割愛しますが、
PCでもログインという「認証」のプロセスを経て社内のネットワークリソースへアクセスできます。
ここまでが認証の説明になります。
いかがでしたでしょうか?
もし「わかりずらい」、「ここが間違っている」などありましたら、お問い合わせページからご連絡頂けますと助かります。
次からはRadiusの説明をしていきます。
Radiusをイベントの受付で例える
Radiusの説明をいきなり行っていく前に「Radius」が具体的にどのようなことをやっているのか
これを「イベントの受付」を例に説明を試みてみたいと思います!
いまから、ライブ会場でコンサートが行われる予定です。状況は以下の通りです。
※正直、ガバガバな確認方法な気がしますが、説明の都合上そうさせてください笑
このとき、受付スタッフからしたらどちらが効率的に確認を行えるでしょうか?
- 受付スタッフ1人1人が1000人分の「名前」と「チケットの予約番号」を覚える
- 1000人分の「名前」と「チケットの予約番号」を覚えさせたスタッフを1人用意して、
確認はその人に任せる
もちろん「2」ですよね(圧)
※「1」だと思った方、すみませんが「2」で進めさせてください。。。
理由は簡単です。
「1」の場合、受付スタッフが主に2つの業務を行うことになります。
来場者をどのスタッフが対応するのか分からないに1000人分のデータを1人1人のスタッフで管理するのは大変です。
もしかしたら、受付業務に影響など出るかもしれません。
「2」の場合を考えてみましょう。
受付スタッフからの視点で見れば、
1000人分のデータを管理する必要はなく「受付」にのみ集中すればよい状況です。
また、いざ来場者が来た場合でも1000人分のデータを暗記させたスタッフに問い合わせを行い、確認を取れば「認証」もスムーズに行えます。
仮に当日キャンセルされた人がいても、データを管理しているスタッフがまとめて情報を管理しているので、1人分のデータを削除すれば終わります。
「1」の場合、キャンセルされた人がいた場合、受付スタッフそれぞれがデータを管理しているため、それぞれでデータを削除する必要があります。
来場者が数人だったら、「1」の対応でも行けますが、1000人など人数が多くなると「2」の方が効率的かつ正確に対応が行えます。
Radiusの必要性
では、ここでPCの世界に話を戻しましょう。
「Radius」サーバーは、
先ほどの例で説明した「2」の1000人分のデータを暗記させたスタッフに該当します。
ここまで説明してRadiusは「認証」のサービスを提供するサーバーだとお分かり頂けたかと思います。
ただ、こう思う方もいらっしゃるのではないのでしょうか。
実際に使う機会がないとイメージ付きづらいですよね
ここからは、実際にRadiusサーバーが使われている例を用いて説明をしていきたいと思います。
具体的な利用例について
Radiusサーバーが使用される例として、「無線LANの認証」があります。
※もちろん有線LANの認証もありますが、経験上、あまり現場では見たことがありません。
簡易的な例にはなりますが、無線LANの認証を用いた社内ネットワークへのアクセスをまとめた図になります。
重要な情報(お客さんのデータとか)へアクセスできるネットワークにおいてはセキュリティが重要視されます。
有線LANの場合は、物理的にケーブルをPCに接続させる必要があるため、建物へ入るなどある程度ネットワークへアクセスするまでにハードルがあります。
一方、無線の場合、電波さえ拾えることができればネットワークへアクセスできてしまうリスクがあります。
もし一般的に使われる認証方式である「PSK」を使った場合、認証はアクセスポイントが行うことになります。
つまり認証に必要な情報と認証をまとめてアクセスポイントが行うことを指します。
この際、リスクとしていかの状況が考えられます。
最初の1番を補足すると、そもそも外部へパスフレーズが漏れたことをIT管理者が検知する仕組みがありません。(もちろん、IPSなどの仕組みを入れれば別だと思いますが、)
もしかしたら、会社を退社した人が悪意を持って会社の無線LANを通じてネットワークへアクセスするかもしれません。
仮にパスフレーズを変えたとしても、IT管理者が社員の人へパスフレーズの変更を通知する手間、社員の人がパスフレーズを変更する手間など運用が大変になってしまいます。
このような観点から「認証」と「認証情報」を管理する場合はそれぞれ分けて一元的に管理する方が、
セキュリティの面からしても運用の面からしても「radius」サーバーの方が最適だといえるのです。
※Radiusサーバーの種類によっては、「認証のみ」を行うタイプや「認証と認証情報をまとめて管理する」タイプなどがありますので、気になった方は調べてみてください。
ここまで「Radiusサーバー」の説明をしてみましたが、いかがでしたでしょうか。
あわせて理解しておきたい知識について(AAA)
ここからは、余裕がある方が読んでください。
もし、radiusサーバーまでしれれば十分だと思う方はブラウザバックして頂いて大丈夫です。
Radiusサーバーについて調べていると、よく「AAA」というIT用語も目にすると思います。
「AAA」はRadiusサーバーを理解する上で重要な考え方になりますので、合わせて解説してみたいと思います。
AAAとは
「アーキテクチャ」など難しい説明の記事などもありますが、わからない場合は「基本的な仕組み」や「考え方」などのように置き換えると理解しやすいです。
AAAの具体的なワードの解説は以下の通りです。
| 用語 | 役割 | 説明 |
|---|---|---|
| Authentication | 認証 | 「誰」なのかを確かめる |
| Authorization | 認可 | 認証したユーザーに「何ができるのか」を決める |
| Accounting | アカウンティング | 「何をしたか」を記録する |
「Accounting」について
Radiusがもともとダイアルアップ接続時に利用時間に応じて課金するために使われていた機能らしいのですが、現在はセキュリティや監査の面で「記録する」目的で使用されるケースが多いようです。
※Accountingについては、他の記事や情報を見る限りの情報になりますので、参考程度に頂けたら嬉しいです。
「Radius」はこの「AAA」を実現するための「プロトコル」になります。
ほかにもcisco独自の認証プロトコルなどりますが、今回はRadiusサーバーの説明になりますので、割愛させて頂きます。
さいごに
今回は、Radiusサーバーの説明を行いました。
改めてポイントをまとめると以下の通りになります。
誤っている点や誤認を誘うような表現等などございましたら、お問い合わせからご指摘頂けますと大変たすかります。
今回の記事で少しでもRadiusサーバーへの理解が進みましたら、嬉しいです。
ではまた!
コメント