RADIUSを語ろう

1 ：02/07/22 ～最終レス：11/10/01: RADIUS関連のスレッド探したんだけど見つからなかったんで
立ててみました。

2 ：: 知りたい、認証サーバーでしょ
3 ：: RaddbyとDTCしか知らないけど他になんかあるの？
プロトコル自体が単純だし、サーバも競合製品が少なくて機能的な競争も無いから
語りどころが少なすぎる
4 ：: DTCのDetailログの出力形式はApacheのカスタムログのように
なんとかならんものか･･･。
統計を取るのに苦労する。
5 ：: DIAMETERとRADIUSの違いを教えてください
6 ：: >>3
市販品でも、ざっと、
Lucent NavisRadius、fullflex RADIUS、Steel-Belted RADIUS、
Nextcom RADIUS、Cisco Secure ACS、Enterpras
7 ：: 知らぬ間にレスついてたよ。
>>3
Freeradiusってのもあるよ。
http://www.freeradius.org/
語るところが少ないくせに、フリーのものは安定して
動いてくれないから、その手のエピソードが有る人に
は結構語れると思うがどうか？
8 ：: >>4
-Sオプションとかでどうにかなりませんか？
9 ：: FreeRadiusの元になったCistronは、かなり安定してるよ。
メンテナンス継続してるし。
DTCは (いつぞやのセキュリティ問題含め) 何年も放置プレイなので、
素人にはお勧めできない。
10 ：: http://members9.tsukaeru.net/crystal/heart.index.html
11 ：: すちべるってすんごく高い気がするんだけど、
商用RADIUSってみんなバカ高いのかしらん?
12 ：: ldapとどう違うの？
「認証」ってとこにforcusして。
13 ：: LDAPは認証サーバじゃない。
実際の動きは多少似てるけどな。
LDAPではChallengeとかってあったっけ。
>>6
Cisco Access Registrar なんてのもあるぞ。
国産だとRACCIも忘れてはいかんな。
MERITもフル機能版は有償だったとおもう。
14 ：: RADIUSって構成上方言インプリが簡単だから、
トラブルとめんどくさいのよねー(しみじみ)。
RFCのトラックも大変だし。
いまRFC2138/2139が実装系の主流だけど、この2138じゃ
Proxy RADIUSの仕様がRequest Authenticatorのユニーク条項と
カチ合っててこれが数々の悲劇を生んだのよねー。
っつーか現在進行形で苦しめられてます・・。
電話会社系システムだと方言インプリを正当化するため、
古めのRFC(2053あたり)に準拠みたいなこといってごまかすしねぇ。
いまの最新って2868/2869と思われますが、これに準拠した製品って
あるのかしらん?
15 ：: Raddby
16 ：: >>15
SolitonでRADIUSアプリだしてたのねー、
でもRFC2138/2139って書いてあったよ・・。
それともWeb Pageの情報ふるいの?
17 ：: Cisco IOSでAscendのattribute使えるのかな？試した人いる？
18 ：
19 ：: >>17
CCOで検索すれ
主なAscend- のAttributeの対応表が載ってる。
勝手に拡張しまくってた頃の奴だったけど。
11.3の頃に調べたら出てきた。
20 ：: ・・・で、フリーなRADIUSサーバーはどれがいいの？
21 ：: MSのIASでもつかってろ。
22 ：: Ascend Free RADIUSはEOL
http://www.lucentradius.com に引き継ぎ
FreeRADIUS
http://www.freeradius.org/
GNU Radius
http://www.gnu.org/software/radius/
IC-RADIUS
http://radius.innercite.com/
Cistron RADIUS
http://www.radius.cistron.nl/
XTRadius
http://xtradius.sourceforge.net/
OpenRADIUS
http://www.xs4all.nl/~evbergen/openradius-index.html
23 ：: NavisRadius4.2使ってる人いますか？
24 ：: 過程でEap使いたい。
25 ：: 　　　　　　　　　／￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣＼
Λ＿Λ　　|　君さぁ　こんなスレッド立てるから　　　　　　　　　|
（　´∀｀）＜　厨房って言われちゃうんだよ　　　　　　　　　　　|
（ ΛΛ つ＞―――――――――――――――――――‐＜
　( ﾟДﾟ) ＜　おまえのことを必要としてる奴なんて　　　　　　　 |
　/つつ　　|　いないんだからさっさと回線切って首吊れ　　　　|
　　　　　　＼＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿_／
(-＿-)　ﾊﾔｸｼﾝﾃﾞﾈ… (-＿-)　ﾊﾔｸｼﾝﾃﾞﾈ… (-＿-)　ﾊﾔｸｼﾝﾃﾞﾈ…
(∩∩) (∩∩) (∩∩)
(-＿-)　ﾊﾔｸｼﾝﾃﾞﾈ… (-＿-)　ﾊﾔｸｼﾝﾃﾞﾈ… (-＿-)　ﾊﾔｸｼﾝﾃﾞﾈ…
(∩∩) (∩∩) (∩∩)
(-＿-)　ﾊﾔｸｼﾝﾃﾞﾈ… (-＿-)　ﾊﾔｸｼﾝﾃﾞﾈ… (-＿-)　ﾊﾔｸｼﾝﾃﾞﾈ…
(∩∩) (∩∩) (∩∩)
26 ：: 「RADIUS」はなんて発音している？
最初「ラディアス」って言ってたんだけど、周りはみんな
「ラディウス」って言っているから浮かないように周りに合わせてるんだ。
27 ：: らぢうす
28 ：: （＾＾）
29 ：: ラディウス。
今はなきリビングストンの外国人技術さんもラディウスだった。

30 ：: フリーでお手軽なWindows用のRADIUSサーバーないですかね。
22みたけど、ほとんどUNIX。NavisRadiusはシェアウェアみたいだし。
31 ：: http://dx1.kakiko.com/sonota/194/1948/index.html
32 ：: 自己レス。どっかの雑誌に載ってた。
http://www.itconsult2000.com/en/product/WinRadius.html
33 ：: >32
http://www.dtc.co.jp/Radius2.0/index.html
34 ：: RADIUSを使う環境にいないので、アレなんですが
DTCのRADIUSをベースにsourceforgeとかでプロジェクトを
立ち上げるとライセンス的に問題あるんでしょうか？
他に良いFreeのRADIUSがあるから、改めてDTCのRADIUSを
ハックする意味はない？？
35 ：: Raddbyでradiusサーバを構築中なんですが、
radiusでの認証の検証をしたいんですが、Windows or Solaris用の
radiusクライアントはないでしょうか？
FreeBSD用のクライアントは下記URLで見つけたんですが、そのほかのが見つかりません。
http://www.kyoto-wave.or.jp/shain/radius/
どなたか知っていたら教えてください
36 ：: 初めての接続（認証）から1日（24時間）でパスワードが切れるような
設定が可能なRADIUSサーバーってあります
37 ：
38 ：
39 ：: >>36
あります。
ここから先は有料になります。
40 ：: >>35
DTC-Radius の radping (だっけ？）を使うってぇのは？
41 ：: >35
自分はWIN用クライアントはNTRadpingを使ってる
42 ：: （＾＾）
43 ：
44 ：
45 ：
46 ：: Win95で動くフリーのサーバーないでつか？
47 ：
48 ：
49 ：: オライリーの日本語版がでるらしい。
50 ：
51 ：: 　　　　∧＿∧　 ∧＿∧
ﾋﾟｭ.ｰ　（　・３・） (　　＾＾）＜これからも僕たちを応援して下さいね（＾＾）。
　　＝〔~∪￣￣￣∪￣￣〕
　　＝ ◎――――――◎ 　　　　　　　　　　　　　　　　　　　　　山崎渉&ぼるじょあ
52 ：
53 ：: test
54 ：: <===== Access Reject
55 ：: DVD安い
56 ：: DVD安いだけに不良品も混じってるｗ
交換してくれるけどオマケはつかない罠
他社は余計に１枚２枚とくれるけどここは謝罪文のみ
57 ：: >>35
DTC-Radius の radping (だっけ？）を使うってぇのは？
58 ：: Windowsのターミナルモードを使用したPPP接続について
詳しい人いますか？
59 ：: VSAにいろいろいれよう

60 ：: ユーザーのグループごとにＩＰプールを確保しておき、認証時にユーザーのグループに応じたＩＰプールからＩＰを払い出すことができるＲＡＤＩＵＳサーバを探しているのですが、そのようなことができるRADIUSはありますでしょうか？
以下に具体例を示します。
（誰かここらへんに精通してるスペシャリストな方はいらっしゃいませんか？）
①まず、同一セグメントのＩＰアドレスを２分割して２つのＩＰプールとして確保しておく。
　　例：（第１プール）149.22.33.1～127
　　　　（第２プール）149.22.33.128～255
　　　　　※サブネットは255.255.255.0
②ユーザーＩＤを２つのグループに分けて登録しておく。
　　例：ＡグループのユーザーＩＤ、５０名分
　　　　ＢグループのユーザーＩＤ、５０名分
③Ａグループの認証時には第１プールからＩＰを割り当てる。Ｂグループの認証時には第２プールからＩＰを割り当てる。
61 ：: >>60
アトリビュートの辺りをいじくればいいんじゃない？
もしくは100ユーザ程度だったらDHCPでStatic設定しちゃう方が早いかも。
62 ：: プールからの払い出しはアクセスサーバの役割でしょ。何つかうの？
63 ：: freeRadius＋OpenLDAP+OpenSSLでPEAP認証する方法教えて
64 ：: BaffaloのRADIUSサーバソフトのBAO-RA1X、
ttp://buffalo.melcoinc.co.jp/products/catalog/item/b/bao-ra1x/
これ、他のに比べるとずいぶん安い気がするんだけど、
もしかして、AirStationでしか使えないとかそんな制限あったりします？
無線LAN導入に伴い、RADIUS認証サーバも考えているんですけど、
なるべくコストを安くしたく思いまして。
やっぱ、先に紹介されてたフリーのものがいいのかな？
65 ：: RADIUS関連のスレッド探したんだけど見つからなかったんで
立ててみました。
66 ：: RADIUSクライアントのライブラリってないでしょうか。
VCやDelphiなどで使えるもの。
PHPやPerlではあるみたいなんだけど…。
67 ：: radpingってフリーソフト？
どうやって使用できるようにすればいいんですか。
68 ：: >>67
つ man radping
69 ：: >>68
ソフトをいれると入っているって事ですか？
70 ：: >>69
OS ぐらい書けよ。
radping のような動作を望むのであれば
Windows なら、
http://www.mastersoft-group.com/download/
NTRadPing RADIUS Test Utility (Free) を選択してDownload。
*NIX なら、freeradius の radtest とか DTC-Radius の radping
これ以上は自分で調べてね。
71 ：: ◆食べた人、全員肝臓ガンで死にます　～　三笠フーズ　汚染米事件　～
・「アフラトキシン」は地上最強の天然発ガン物質
・発症までに１０～２０年かかるが、極微量でも摂取すれば、
　肝臓ガンになる可能性は１００％
・調理では分解されず食品中に残る
・西日本で肝臓ガン死亡率が高く偏っており、原因不明とされていたが・・・
　（資料）国立がんセンター
　http://ganjoho.ncc.go.jp/pro/statistics/gdball.html?7%9%1
医師板からのコピペ　
40 ：逃亡者：2008/09/13(土) 01:26:17 ID:23fUP1Pf0
　2年前から大阪で勤務しているが、以前の勤務地と比較して大阪は本当に
肝臓癌の患者が多いと感じた。消化器内科からTAE（肝動脈塞栓）の依頼
が次から次へとくる。
　で、ずっと疑問に感じていたことがある。大阪では患者の殆どが男性なの
だ。おまけにウイルスフリーもちらほらいる。それでHCV・HBV以外にも肝臓
癌の原因はきっとあるに違いないと、大阪に来てからずっと思っていた。
　今回この事件を知って二度驚いた。ひとつは不謹慎だけど、「あー、やっ
ぱり」っていう驚き。実際には因果関係を証明するのは無理でしょう。でも
治療している私の実感としてはピッタリだったてことなんですよね。そうい
う驚き。
　もうひとつは、自分も肝臓癌になる可能性があるっていう驚き。というよ
り、恐怖だろうか。肝臓癌の治療すればするほど思うのだが、本当に治らな
い。今では絶対に治らないという確信さえ持っている。最期が悲惨なだけに
考えてもみなかったことだ。
　肝臓癌になるかどうかは別にしても、今はこんな情けない国に生まれてき
たことが悔まれて仕方がない。
三笠フーズ（大阪）、浅井（愛知）→ノノガキ（三重）、太田産業（愛知）
島田化学工業（新潟★）　←new!!＼(＾o＾)／
72 ：: >71
一時期良く見かけたコピペだね。
当人は満足したのかな？（＾＾）
73 ：: freeradius-2.1.8-2.fc12.i686使ってます。
moduleのmschapでwith_ntdomain_hack = yesにすることによって、
windowsのシングルサインオン（host名\ユーザー名）で
802.1x eap-peapのユーザー認証ができるようになりました。
windowsログオン時、または、ログオン後のリンクダウン、アップで
問題無く認証できるのですが、ログオン時のコンピュータ認証
（host\host名)、または、ログオフ時のコンピュータ認証にて
usersファイルにhost\host名が記載されていないのに、radiusサーバ
からrejectが送信されません。
eapol start →request identity→response identity（host\host名)
この後RadiusサーバがWindows等であればrejectされfailedになるのに
rejectされず認証が途中まで進んでtimeoutしてしまいます。
usersファイルを見て即rejectにするにはどうしたらよいでしょうか。
今実機が手元にないので確認できないのですが、
sites-available/defaultのauthorizeでfilesをなるべく上の
方に持ってくればよいような気がします。
74 ：: 解決しました。
defaultのeap ok=returnをコメントアウトしたらusersファイルをみてrejectしてくらました。
75 ：: ここまでTACACS無し
76 ：: CHAP/PAPでパスワードをチェックしない設定にしたいのですがConfigのみで可能でしょうか？
Usernameはチェックしないというのは出来るのですが、パスワードをノーチェックという動作
がなかなか見つかりません。
よろしくおねがいします。
77 ：: >>76
単純に認証しなければ良いのでは？
要件がよく判らない
78 ：: >>77
わからないならレスしないで下さい。
79 ：: ユーザ名&パスワードはDon'tCareで、その他のアトリビュート(Calling-Station-Idとか)
を見てアクセス許可したいのです。
ちなみにFreeRadius2.1.Xを使ってます。
>>77
RASからAccess-Reqは飛んでくるのでRadiusのシーケンスは処理する必要はあります。
80 ：: >>79
モジュール書かないとできなさそうだね。
http://wiki.freeradius.org/Modules2
81 ：: 過疎ってる…見てる人いるんだろか
FreeRADIUSとOpenLDAPと連携して使っています。
ここで、一部のユーザーだけRADIUSのローカルで認証し、そこに無かったらLDAPを見るという設定はできるんでしょうか。
よろしくお願いします。
82 ：: >>81
できる。
テストすればすぐ判る
83 ：: CentOS5.6 + FreeRADIUS2-2.1.7 + OpenLDAP-2.3 + 無線AP での新規構築です。
クライアント(Win XP SP3)からPEAP接続を試すとLDAPユーザで認証されません。
usersファイルに登録したユーザなら認証が通ります。
クライアントはで「サーバ証明書は検証する」のチェックを外しています。
radtestコマンドではLDAPとusersファイルの、どちらのユーザも Access-Accept です。
どの設定に問題がありそうですか？　よろしくお願いします。
84 ：: >>83
RADIUSで読ませるLDAPのパスワードはどういった形式で保存してます？
85 ：: LDAPには
userPassword:: MD5形式のパスワード
で登録しています。
86 ：: PEAPってclear textで保存しないとダメじゃね？
ハッシュかかっているならEAP-TTLS一択、そしてWindowsは非対応の罠。
87 ：: ついでに、radtestは多分PEAPじゃなくてPAP認証してるでしょ。
ログをよく読んでみ？
88 ：: clear-textのみだと、既存のunixアカウントとの共用ができないので困った。
OSのユーザ認証をLDAPクライアントにして、RADIUSの sites-available/default で
unix とか指定すればいいのかな？　試してみます。
89 ：: MD5でパスワード保存だと、PEAPは無理
PEAPでMS-CHAPv2を使うのであれば、SambaとLDAPを組み合わせれば出来る。
いずれにしても、ユーザに一度パスワード変更の処理を入れないとダメだけどね
Password保存を平文にするにしても、同じ事
俺は平文保存は嫌だったから、SambaとLDAPを連携させてSamba Passwordを
LDAPに読ませていたけどね
あとは、組織のポリシー次第なのでお好きに
90 ：: a
91 ：: aaa
92 ：11/10/01: ac