ユーザー認証を一元管理する「RADIUS」とは？

アカウンティングとは

アカウンティングは、AAAモデルの最終段階です。

システムやネットワークに識別され、認証され、一定の範囲でアクセスが認可されたユーザーに対し、 入力したコマンドやアクセスの開始時間や終了時間、送信データ量や受信データ量などの情報を測定し、 システム内においてユーザーが実行したことを追跡・記録することです。

アカウンティングは直訳すると「課金」という単語になりますが、 AAAにおけるアカウンティングの意味としては利用の事実を記録することです。 また、わかりやすいように「管理」という言葉をあてはめる場合もあります。

アカウンティングにおいて記録された情報は以下のような目的に利用されます。

認可制御

ユーザーに対するアクセス権の許可の範囲が適切であるかどうか、定期的に検証や見直しが必要です。 アカウンティングによって蓄積された情報は、認可の検証や見直しを行う際に役立ちます。

課金

有料サービスにとって最も大切な機能です。 アカウンティング情報に基づいて、クライアントに請求したり、社内での処理を行います。

トレンド分析

ユーザーが行った操作やアクセス状況を検証することで、 システムやネットワークにおいて、現在どのようなリソースが求められているのかを分析することができます。

アカウンティング情報の保存

アカウンティング情報は、ユーザーがアクセスするサーバーや、 インターネットに接続するための中継機器であるルーター上に保存することができます。

とはいえ、サーバーやルーターそのものに保存するのでは、 複雑なネットワークを構築し維持するのには不向きです。

アカウンティング情報を外部のデータベースやリモートサーバーに一元的に保存し、管理することができれば非常に便利になります。 こうした一元化を可能にするのが、RADIUS、TACACS+と呼ばれるプロトコルです。

このうち、RADIUS(Remote Authentication Dial In User Service)とは、 認証およびアカウンティングをネットワーク上のサーバーに一元化することを目的とした セキュリティプロトコルのことで、一般に広く普及しています。

セキュリティプロトコルとは、 システムやネットワーク上で機密性を確保するための約束事や規約のことです。

ちなみにRADIUSはAAAというモデルが確立する前に開発されたプロトコルのため、認証と認可を区別していません。 よって、ネットワークの利用が拒否された場合、パスワードが間違っていたのか、 アクセス権が不足していたのかを知ることができないという難点があります。

また、RADIUSを使用して、 認証やアカウンティングに関する情報を一括して管理するサーバーのことをRADIUSサーバーといいます。

TACACS+(Terminal Access Controller Access Control System Plus)もまた、 RADIUSと同様にネットワークアクセスサーバーに対して認証や認可、アカウンティングを提供するプロトコルのことです。 TACACS+の場合はAAAが分離されているため、認証、認可及びアカウンティングを完全に分離して処理することになります。

AAAが実装されると...

AAAテクノロジーをシステムやネットワークに実装すると、 ネットワーク機器ごとにユーザーアカウントやパスワードを設定する必要がなく、 認証情報を一カ所の認証サーバーにまとめ、複数のアクセスポイントのサーバーがその認証情報を利用できるようになります。 したがって、情報の入力と更新も一カ所で済むようになります。

AAAを実装した場合のプロセスとしては、ユーザーがネットワーク機器にログインを試みると、 AAAがサポートするRADIUSやTACACS+などのセキュリティプロトコルを使用してRADIUSサーバーに問い合わせを行い、 RADIUSサーバーを通じて認証が行われます。

また、認可によりアクセス権をコントロールしたり、 アカウンティングによる記録も役に立つなど、AAAの実装には多くのメリットがあります。