RADIUSサーバーとは
RADIUSサーバー(Remote Authentication Dial-In User Service)とは、ネットワークに接続するユーザーやデバイスの認証(Authentication)、認可(Authorization)、アカウンティング(Accounting)を一元管理するサーバーのことです。企業のWi-FiアクセスポイントやVPN接続の認証基盤として広く利用されており、WPA3 Enterpriseの認証にも欠かせない存在です。
詳しい解説
RADIUSの仕組み(AAA)
RADIUSは「AAA」と呼ばれる3つの機能を提供します。
| 機能 | 英語 | 役割 |
|---|---|---|
| 認証 | Authentication | ユーザーが正規の利用者か確認する |
| 認可 | Authorization | 利用可能なリソースや権限を決定する |
| アカウンティング | Accounting | いつ・誰が・何に接続したか記録する |
ユーザーがネットワークに接続しようとすると、アクセスポイントやスイッチ(RADIUSクライアント)がRADIUSサーバーに認証を問い合わせます。サーバーはユーザー名とパスワード(または証明書)を検証し、正しければ接続を許可します。このとき、VLANの割り当てや帯域制限などの認可情報も併せて返すことができます。
企業Wi-FiでのRADIUS活用
一般的な家庭用Wi-Fiは事前共有鍵(PSK)を使いますが、全員が同じパスワードを使うためセキュリティ上の課題があります。RADIUSサーバーを導入すると、社員一人ひとりに個別のアカウントを発行し、退職者のアカウントだけを無効化する運用が可能です。WPA2/WPA3 EnterpriseとEAP(拡張認証プロトコル)を組み合わせることで、高度な認証セキュリティを実現します。
代表的なRADIUSサーバー
オープンソースではFreeRADIUSが圧倒的なシェアを誇り、全世界のRADIUSサーバーの大半で使われているといわれています。商用製品ではCisco ISEやAruba ClearPassなどがあり、802.1X認証やポスチャーアセスメント(接続端末のセキュリティ状態チェック)にも対応しています。小規模環境ならNASやルーターに内蔵のRADIUS機能で間に合うこともあります。
選び方のポイント
1. 利用規模に合った製品を選ぶ
数十人規模のオフィスならFreeRADIUSやSynology NAS内蔵のRADIUS機能で十分対応できます。数百〜数千人規模の企業では、Active Directoryとの連携や証明書ベースの認証に対応した商用製品が必要になります。
2. EAP方式の対応範囲を確認する
RADIUSで使われるEAPにはEAP-TLS(証明書認証)、PEAP(パスワード認証)、EAP-TTLS/PAPなど複数の方式があります。導入するクライアントデバイス(PC、スマホ、IoT機器)が対応しているEAP方式に合わせて選定しましょう。
3. 外部ディレクトリとの連携を確認する
既存のActive DirectoryやLDAPサーバーとRADIUSを連携できれば、ユーザー管理を二重に行う手間が省けます。シングルサインオン環境を構築する場合にも、ディレクトリ連携は重要なポイントです。
まとめ
RADIUSサーバーは、ネットワークへのアクセスを一元的に認証・管理するための重要なインフラです。企業のWi-Fi環境や有線LANのセキュリティ強化において、不正接続を防ぐ効果的な手段となります。ネットワーク規模と管理コストを考慮して、自社の運用に適した認証基盤を構築してください。