RADIUSサーバーとは
RADIUSサーバー(Remote Authentication Dial-In User Service)とは、ネットワークに接続するユーザーやデバイスの認証(Authentication)、認可(Authorization)、アカウンティング(Accounting)を一元管理するサーバーのことです。企業のWi-FiアクセスポイントやVPN接続の認証基盤として広く利用されており、WPA3 Enterpriseの認証にも欠かせない存在です。
詳しい解説
RADIUSの仕組み(AAA)
RADIUSは「AAA」と呼ばれる3つの機能を提供します。
| 機能 | 英語 | 役割 |
|---|---|---|
| 認証 | Authentication | ユーザーが正規の利用者か確認する |
| 認可 | Authorization | 利用可能なリソースや権限を決定する |
| アカウンティング | Accounting | いつ・誰が・何に接続したか記録する |
ユーザーがネットワークに接続しようとすると、アクセスポイントやスイッチ(RADIUSクライアント)がRADIUSサーバーに認証を問い合わせます。サーバーはユーザー名とパスワード(または証明書)を検証し、正しければ接続を許可します。このとき、VLANの割り当てや帯域制限などの認可情報も併せて返すことができます。
企業Wi-FiでのRADIUS活用
一般的な家庭用Wi-Fiは事前共有鍵(PSK)を使いますが、全員が同じパスワードを使うためセキュリティ上の課題があります。RADIUSサーバーを導入すると、社員一人ひとりに個別のアカウントを発行し、退職者のアカウントだけを無効化する運用が可能です。WPA2/WPA3 EnterpriseとEAP(拡張認証プロトコル)を組み合わせることで、高度な認証セキュリティを実現します。
代表的なRADIUSサーバー
オープンソースではFreeRADIUSが圧倒的なシェアを誇り、全世界のRADIUSサーバーの大半で使われているといわれています。商用製品ではCisco ISEやAruba ClearPassなどがあり、802.1X認証やポスチャーアセスメント(接続端末のセキュリティ状態チェック)にも対応しています。小規模環境ならNASやルーターに内蔵のRADIUS機能で間に合うこともあります。
選び方のポイント
1. 利用規模に合った製品を選ぶ
数十人規模のオフィスならFreeRADIUSやSynology NAS内蔵のRADIUS機能で十分対応できます。数百〜数千人規模の企業では、Active Directoryとの連携や証明書ベースの認証に対応した商用製品が必要になります。
2. EAP方式の対応範囲を確認する
RADIUSで使われるEAPにはEAP-TLS(証明書認証)、PEAP(パスワード認証)、EAP-TTLS/PAPなど複数の方式があります。導入するクライアントデバイス(PC、スマホ、IoT機器)が対応しているEAP方式に合わせて選定しましょう。
3. 外部ディレクトリとの連携を確認する
既存のActive DirectoryやLDAPサーバーとRADIUSを連携できれば、ユーザー管理を二重に行う手間が省けます。シングルサインオン環境を構築する場合にも、ディレクトリ連携は重要なポイントです。
おすすめ製品
RADIUSサーバーはRaspberry PiにFreeRADIUSをインストールして構築するか、NASやルーターの内蔵RADIUS機能を活用するのが手軽です。認証環境を整えるための製品を3点ご紹介します。
| 製品名 | 特徴 | 価格帯 |
|---|---|---|
| Raspberry Pi 4B 4GB | FreeRADIUSサーバー構築 | 約12,000円 |
| Synology DS224+ | RADIUSサーバー内蔵 | 約38,000円 |
| ASUS RT-AX86U Pro | 内蔵RADIUSサーバー機能 | 約27,000円 |
Raspberry Pi 4B 4GB(FreeRADIUS サーバー用)
コスパ最強。予算を抑えたい方に最適です。OSSのFreeRADIUSをインストールすることで、完全なRADIUSサーバーとして動作するシングルボードコンピューターです。IEEE 802.1X認証(EAP-TTLS、PEAP等)に対応したエンタープライズWi-Fi認証環境を低コストで構築できます。Raspberry Pi OS上での動作が安定しており、学習・実験用途から小規模本番環境まで幅広く活用されています。
Synology DS224+(RADIUS Server内蔵NAS)
ユーザー満足度No.1。間違いのない選択です。SynologyのNASには「RADIUS Server」パッケージが用意されており、DSM管理画面から数クリックでRADIUSサーバーを有効化できます。VPNサーバー機能やActiveDirectory/LDAPとの連携も可能で、NASを企業内認証基盤の中核として活用できます。ファイルサーバーとして使いながらRADIUSを兼務させる効率的な構成が実現します。
ASUS RT-AX86U Pro(RADIUS内蔵 Wi-Fi 6ルーター)
迷ったらこれ。バランスの取れた万能モデルです。ルーター本体に内蔵のRADIUSサーバー機能を備えており、企業グレードの802.1X認証Wi-Fiを追加機器なしで実現できます。VLANと組み合わせることで、認証済みユーザーのみが特定のネットワークに接続できる高セキュリティな環境を構築可能。小規模オフィスや教育機関での認証Wi-Fi導入に適したコスパの高いソリューションです。
まとめ
RADIUSサーバーはネットワーク接続の認証・認可・アカウンティングを一元管理する、セキュリティの高い認証基盤です。迷ったらSynology DS224+がおすすめです。NASとしての機能と合わせてRADIUSサーバーを手軽に運用でき、管理画面からの直感的な設定で小規模オフィスの認証環境を素早く整えられます。