Account Adapter DHCPサーバー設定方法
Account Adapter(アカウントアダプター)はHC Networks,Ltd.(エイチ・シー・ネットワークス株式会社)の認証やアカウント管理を行うことができるアプライアンスサーバー機器です。
機能はライセンスを購入することでRADIUS、DHCPのサーバーとして機能させることができ、MACアドレス認証や無線の証明書認証、LDAP認証なども可能です。 同じような機能をもつ機器としてSolitonのNetAttestなどがあります。[記事一覧]
今回はこのアカウントアダプターをDHCPサーバーとしての設定方法、ログの確認方法を解説したいと思います。
Account Adapter各機能解説
Account Adapterは様々な機能を備えています。 その機能の詳細を紹介します。
認証機能(セキュリティ)
- Web,MAC,IEEE802.1X認証機能
- RADIUS Proxy
- LDAP機能、AD連携による認証も可能
- 有線、無線のアクセス制御機能
- マスター/スレーブの冗長構成が可能(最大19台)
証明書の発行が可能で、その証明書がインポートされている端末のみを接続可能にするといったようなセキュリティの高い認証が可能で、その他にMACアドレス認証やAD(アクティブディレクトリ)と連携した、認証も可能です。
最大19台の冗長構成が可能で、マスターと設定した機器がダウンした場合にスレーブがマスターと成り代わり動作する仕様で仮想IPアドレスが不要な冗長となります。
そのためアクセスポイントや無線コントローラなどに、認証先のIPアドレスを登録する場合は冗長しているAccount AdapterすべてのIPアドレスの登録が必要です。
ディレクトリ、アカウントの管理機能
- ユーザと端末管理
- ユーザごとの証明書作成と管理
- 外部システムからのユーザ情報自動取得が可能
- 未使用ユーザの自動作成機能
- 端末MACアドレスの自動取得
ネットワーク内のユーザ管理が可能で、端末情報とユーザ名などを紐づけて運用できます。
ユーザごとに証明書を発行可能なため、証明書認証方式で無線接続を行った場合は、無線コントローラなどの管理画面に接続クライアントが任意の名前で表示する、ということもでき管理の幅が広がります。
ユーザー申請ツール
- Webブラウザからの利用申請が可能
- アカウントの一括申請が可能
- 申請する際のフォーマットをカスタマイズ可能
- 申請画面へのログインでLADPやShibbolethと連携可能
- 申請時に端末の情報を自動で取得
- メール通知機能で管理者への申請を通知
管理しているネットワークで証明書の発行依頼やユーザ情報登録依頼を、ユーザがWebブラウザから行うことが可能です。
DHCPサーバー機能
- 最大10万個のIPアドレスの払い出しが可能
- 静的払い出し(特定の端末に対して決まったIPの払い出しが可能)
- リース情報や取得情報をリアルタイムで確認可能
- 払い出し状況を自動で冗長機器に同期
- 各種DHCPオプションに対応(詳しくは後述)
多くのIPアドレス払い出しが可能で、その払い出し状況は冗長構成を行っている場合、スレーブへと定期的に同期されるため、マスターがダウン時にも不具合なく払い出しが続行され、ログなども継続して確認可能です。 DHCPログが見やすく細部まで確認可能なため、端末がうまくIPアドレスを取得できない場合や端末の特定、調査にも利用可能です。
Account Adapterログイン方法
機器前面に9ピンタイプのコンソールポートがあり、コンソールケーブルでのログインによるCLIでの設定も可能ですが今回はブラウザ(GUI)による操作方法を解説します。
Account Adapterは「http」でポートを指定し、管理画面へアクセスします。
http://[IPアドレス]:8080/manager
上記のようにブラウザへ入力しログインID、パスワードを入力します。
初期パスワードは[naadmin/naadmin]です。
初回ログイン時はnaadminでログイン可能ですので、ログイン後新しいユーザの作成もしくはパスワードの変更を行いましょう。
Account Adapter DHCPスコープ範囲設定
DHCPサーバの設定方法、まずはIPアドレスの払い出し範囲、除外の設定方法を解説します。
アカウントアダプターの左メニューより「スコープ設定」を選択し、DHCPサーバの払い出し範囲の設定を行います。
サーバーグループの設定を行っていない場合は事前に必要となりますが、一度設定行っている場合はそのグループを利用できます。
スコープ設定の画面で[新規登録]を選択し設定を行います。
払い出し範囲の設定は[アドレス範囲]に開始IP、終了IPを設定します。
IPアドレスを1つだけ指定する場合は下記のように、開始と終了に同じ範囲で登録します。
Account Adapter 端末への静的払い出し
アカウントアダプターは事前に登録したMACアドレスを持つ端末に、任意のIPアドレスを割り当てることができます。
この方法は端末側に固定でIPアドレスを設定できない場合や、DHCP環境でも使用するIPアドレスを管理したという場合に役立ちます。
例えば[192.168.100.100]というIPアドレスを、MACアドレス[aa:aa:aa:aa:aa:aa]を持つ端末で利用したいが、権限などの理由でIPアドレスが固定で設定できない場合は、[192.168.100.0/24]のネットワークでDHCP環境を構成し、静的に払い出す設定を行います。
アカウントアダプターの左メニューより「登録端末一覧」を選択し、固定(静的)に割り当てるIPアドレスと端末の紐づけの設定を行います。
既にDHCPスコープの設定を行っているネットワークで紐づけを必要があります。
[新規登録]をクリックし下記画面より端末のMACアドレス登録と、IPアドレスの指定を行います。
サーバーグループ名、スコープ名(割り当てるIPのネットワーク)は任意の作成済みのものを選択します。
DHCP払い出し状況確認(ログ確認)
払い出し中のIPアドレス状況と、端末との通信のログを確認することができます。
アカウントアダプターの左メニューより「DHCPログ」を選択することで確認できます。
画面上のタブより「DHCPログ」を選択すると、払い出しを行う端末とのDHCP通信の内容が表示されます。 払いだせるIPアドレスの枯渇や通信のエラーが発生していると、ここでエラーログが表示されます。
画面上のタブより「リース状況」を選択すると、払い出したIPアドレスを取得している端末が表示されます。
サーバー番号を指定して[更新]をクリックしないと表示されません。
IPアドレスから端末を特定したい場合、MACアドレスから取得しているIPアドレスを確認したい場合に役立ちます。
