// シス担のミカタ
認証

RADIUS らでぃうす

認証サーバーAAAネットワークアクセス制御Wi-Fi認証VPN802.1X
RADIUSについて教えて

簡単に言うとこんな感じ!

会社のWi-FiVPNに「誰が・どこから・何をしていいか」をまとめて管理する”入館ゲートの守衛さん”みたいな仕組みだよ。IDとパスワードを受け取って「OK/NG」を答えてくれるサーバーなんだ!

RADIUSとは

RADIUS(Remote Authentication Dial-In User Service)は、ネットワークへの接続を要求するユーザーを一元的に認証認可・アカウンティング(記録)するためのプロトコルです。Wi-Fi、VPN、有線LANの入口など、さまざまなネットワーク機器が「この人を通していいか?」をRADIUSサーバーに問い合わせることで、アクセス管理を一か所に集約できます。

この3つの機能をまとめて AAA(Authentication・Authorization・Accounting)と呼びます。認証(本人確認)・認可(何を使っていいか)・アカウンティング(いつ・どれだけ使ったかの記録)を担うことで、企業ネットワークのセキュリティ管理を効率化します。

実務上は「社員が会社のWi-Fiに接続するとき、Active DirectoryのIDで自動認証される」「VPN接続のログが自動で記録される」といった場面で活躍しています。

AAA(認証・認可・アカウンティング)の仕組み

機能英語役割具体例
認証Authentication本人確認IDとパスワードが正しいか確認
認可Authorization権限付与社員はフルアクセス、来客はゲストWi-Fiのみ
アカウンティングAccounting利用記録いつ・誰が・どのくらい接続したかを記録

覚え方:「3A=守衛の仕事」

守衛さんの仕事と重ねると覚えやすい!

  • 認証:「社員証を見せてください」→ 本人確認
  • 認可:「あなたはB棟まで入れます」→ 権限の範囲を決める
  • アカウンティング:「入館・退館時刻を記録」→ ログを残す

RADIUSの通信フロー

[ユーザーのPC]

    │ ① 接続要求(ID・パスワード)

[アクセスポイント / VPN装置]  ← NAS(Network Access Server)

    │ ② 認証問い合わせ(UDPで転送)

[RADIUSサーバー]

    │ ③ 認証結果(Accept / Reject / Challenge)

[アクセスポイント / VPN装置]

    │ ④ 接続許可 or 拒否

[ユーザーのPC]

歴史と背景

  • 1991年 — Livingston Enterprises社がダイヤルアップ接続の認証管理用に開発。当時はモデムで電話回線に接続する時代で、大量のユーザーを一括管理する手段が必要だった
  • 1997年 — IETF(インターネット標準化団体)がRFC 2058/2059として標準化。ベンダー依存から解放され、どのメーカーの機器でも使えるオープンな規格に
  • 2000年代 — 企業内の無線LAN普及とともに爆発的に広まる。IEEE 802.1X(有線・無線LANの認証規格)と組み合わせて使われる事例が急増
  • 2012年 — より高セキュリティな後継規格 Diameter が策定されるが、既存インフラとの互換性からRADIUSは現在も主流として利用されている
  • 現在 — クラウド型RADIUSサービス(例:Cisco ISE、Microsoft NPS、JumpCloudなど)も普及し、オンプレミスサーバー不要での運用も増加中

RADIUSと関連技術の比較・構造

RADIUSのエコシステム RADIUSサーバー (認証・認可・記録を一括管理) Wi-Fiアクセスポイント 802.1X認証に使用 VPN装置 リモートアクセス認証 有線LAN スイッチ ポート単位で認証 ダイヤルアップ (原点) バックエンド認証基盤 Active Directory / LDAP ユーザーDBと連携 後継・関連規格 Diameter(RFC 6733) より高機能・高セキュリティ 通信ポート: UDP 1812(認証)/ UDP 1813(アカウンティング) 共有シークレットで通信を保護

RADIUS vs TACACS+ 比較

項目RADIUSTACACS+
開発元Livingston / IETF標準Cisco独自
トランスポートUDP(軽量・高速)TCP(信頼性重視)
暗号化範囲パスワードのみ暗号化パケット全体を暗号化
AAA分離認証・認可を一体で処理認証・認可・記録を分離可能
主な用途Wi-Fi・VPN・一般ユーザー認証ネットワーク機器の管理者認証
普及度◎ 業界標準として広く普及△ Cisco環境中心

選び方のポイント: 社員のWi-Fi・VPN管理にはRADIUSルーターやスイッチを操作する管理者の認証にはTACACS+が向いています。

関連する規格・RFC

規格・RFC番号内容
RFC 2865RADIUSの認証・認可(主要RFC)
RFC 2866RADIUSアカウンティング
RFC 2868トンネリング対応の拡張
RFC 3579EAP(拡張認証プロトコル)とRADIUSの連携
RFC 6733後継規格Diameterの定義
IEEE 802.1X有線・無線LANのポートベース認証規格(RADIUSと組み合わせて使用)

関連用語

  • AAA — 認証・認可・アカウンティングの総称。RADIUSが実装する3機能
  • IEEE 802.1X — 有線・無線LANのポートベース認証規格。RADIUSと組み合わせて使われる
  • LDAP — ユーザー情報を格納するディレクトリサービス。RADIUSの認証バックエンドとして連携
  • Active Directory — Microsoftのディレクトリサービス。NPS経由でRADIUS機能を提供
  • TACACS+ — Cisco製の類似プロトコル。ネットワーク機器の管理者認証に強み
  • Diameter — RADIUSの後継規格。モバイル通信網などで採用される高機能版
  • VPN — 仮想プライベートネットワーク。リモートアクセス認証にRADIUSを活用