はじめに注意事項本資料に記載の内容は弊社が特定の環境において基本動作や接続動作を確認したものでありすべての環境で機能性能信頼性を保証するものではありません輸出時の注意 AX シリーズに関し本製品を輸出される場合には外国為替及び外国貿易法の規制並びに米国輸出管理規制など外国の輸出関連

SECUREMATRIX と AX シリーズによる認証連携評価報告書 2013 年 7 月 19 日アラクサラネットワークス株式会社ネットワークテクニカルサポート資料 No. NTS-13-R-007 Rev. 0

はじめに注意事項本資料に記載の内容は弊社が特定の環境において基本動作や接続動作を確認したものでありすべての環境で機能性能信頼性を保証するものではありません輸出時の注意 AX シリーズに関し本製品を輸出される場合には外国為替及び外国貿易法の規制並びに米国輸出管理規制など外国の輸出関連法規をご確認の上必要な手続きをおとりくださいなお不明な場合は弊社担当営業にお問い合わせ下さい商標一覧アラクサラの名称及びロゴマークはアラクサラネットワークス株式会社の商標及び登録商標です SECUREMATRIX 及びマトリクス認証は株式会社シーエスイーの登録商標ですそのほかの記載の会社名, 製品名はそれぞれの会社の商標もしくは登録商標です関連資料 AX シリーズ製品マニュアル ( http://www.alaxala.com/jp/techinfo/manual/index.html ) AX シリーズ認証ソリューションガイド (http://www.alaxala.com/jp/techinfo/guide/index.html#01) SECUREMATRIX について (http://www.cseltd.co.jp/smx/) 2

目次 1. SECUREMATRIXとAXシリーズの連携概要 1.1 概要と結果 1.2 SECUREMATRIXの概要 2. SECUREMATRIXとAXシリーズの連携評価 2.1 評価構成と内容 2.2 評価機器および設定条件 2.3 評価項目と使用機器 2.4 評価結果 3.SECUREMATRIXとAXシリーズの設定とポイント 3.1 SECUREMATRIXの設定 3.2 AXシリーズの設定ポイント付録ユーザ認証画面 3

1. SECUREMATRIX と AX シリーズの連携概要 1.1 概要 SECUREMATRIX と AX シリーズの認証連携の特徴 1. SECUREMATRIX のワンタイムパスワードと AX シリーズの Web 認証を使ってセキュリティの高いユーザ認証を行うことが可能です 2. AX シリーズのダイナミック VLAN ダイナミック ACL 機能と連携可能です評価試験結果 SECUREMATRIX のワンタイムパスワードと AX シリーズの Web 認証との連携評価を実施して問題なく動作する事を確認しました 4

1. SECUREMATRIX と AX シリーズの連携概要 1.2 SECUREMATRIX の概要 SECUREMATRIX はワンタイムパスワードシステムです SECUREMATRIX は 64 個の数字が並ぶマトリクス表からユーザが決めた位置と順番を選んだ形がパスワードになります認証のたびにランダムな数字が表示されるマトリクス表にパスワードとなる形を頭の中で重ね合わさった箇所の数字をパスワード欄に入力することで認証が完了しますこの認証方式をマトリクス認証方式と言いますマトリクス表の数字が毎回ランダムに表示されることでワンタイムパスワードを実現しています 5

2. SECUREMATRIX と AX シリーズの連携評価 2.1 評価構成 SECUREMATRIX GSB サーバ (Web 認証 ) SECUREMATRIX 認証サーバ ( ユーザ管理 RASIUS 等 ) L3 スイッチ (AX3640S/AX3650S) 認証スイッチ AX シリーズ (AX2530S/AX2230S/AX2430S) 1. 認証ポートに Web 認証を設定 2.Web 認証ページは SECUREMATRIX GSB サーバへ URL リダイレクト設定クライアント PC 3.RADIUS サーバは SECUREMATRIX 認証サーバに設定 SECUREMATRIX のワンタイムパスワードと AX シリーズの Web 認証との連携評価を実施する 6

2. SECUREMATRIX と AX シリーズの連携評価 2.2 試験の設定条件 (1) SECUREMATRIX の設定条件 RADIUSクライアントとしてAXシリーズを登録する RADIUSの設定のSSL-VPNシングルサインオン設定でAXシリーズのWeb 認証方法を設定するダイナミックVLAN/ ダイナミックACL 確認のため RADIUS 設定でアトリビュートを設定する (2) 認証スイッチ AX シリーズの設定条件クライアントPCを接続する認証ポートは Web 認証ポートに設定する ( 固定 VLAN ダイナミックVLAN ダイナミックACLを設定) Web 認証のRADIUSサーバの設定として SECUREMATRIX 認証サーバの IPアドレスと認証キーを設定する Web 認証ページを SECUREMATRIX GSBサーバへURLリダイレクトができるように設定する AX2500Sはコンフィグにて設定してその他機種は認証画面入替え機能を使用して SECUREMATRIX GSBサーバへリダイレクトする ( リダイレクト先のURLはRADIUSクライアント登録のシングルサインオン指定でアクセスパス指定による ) 認証専用アクセスリストに SECUREMATRIX GSBサーバへの通信を許可する設定の詳細は3 章を参照 7

2. SECUREMATRIX と AX シリーズの連携評価 2.3 評価項目と使用機器 (1) 評価項目 SECUREMATRIX と AX シリーズの Web 認証が連携できること認証前のユーザの SECUREMATRIX GSB サーバへの URL リダイレクトできることマトリクス認証成功時に AX シリーズの Web 認証が成功し通信許可できることユーザごとのダイナミック VLAN の指定が可能であることユーザごとのダイナミック ACL(Filter-ID) の指定が可能であること (2) 使用機器ソフトウェア SECUREMATRIX : Version 3.6.1.a 認証スイッチ AX1240S/AX2230S : Ver2.4A AX2530S : Ver3.5 AX2430S : 11.7F AX3640S/AX3650S : 11.11A クライアント PC : Windows 7 SP1 Enterprise ブラウザ : Internet Explorer 9 Java : JRE 1.7.0_25 8

2. SECUREMATRIX と AX シリーズの連携評価 2.4 評価結果以下に SECUREMATRIX のワンタイムパスワードと AX シリーズの連携評価の結果を示します SECUREMATRIX : Version 3.6.1.a 対象機器機器バージョン Web 認証連携 ( 固定 VLAN) アトリビュート確認ダイナミック VLAN アトリビュート確認ダイナミック ACL AX2400S 11.7F ー AX3600S 11.11A ー AX1200S 2.4A ー AX2200S 2.4A ー AX2500S 3.5 : 連携 OK - : 機能未サポート 9

3.1 SECUREMATRIX の設定 AX シリーズと接続する場合まず RADIUS クライアントとして機器を登録します上記画面は SECUREMATRIX 認証サーバの TOP 画面です管理者でログインして RADIUS LOGON を開き RADIUS クライアントを登録します 10

RADIUS クライアントの登録 1 AXシリーズの連携設定は RADIUSクライアント新規登録ボタンより機器を登録します 2 RADIUSクライアント登録後 SSL-VPNシングルサインオン設定から認証スイッチとの認証連携の設定を行います 3 ダイナミックACL/ ダイナミックVLAN 等を使用する場合にはアトリビュートを追加します 11

RADIUS クライアント新規登録 1 RADIUSクライアント名を入力 2 クライアントのIPアドレスを入力します (AXシリーズのRADIUSサーバへの送信元となるIPアドレスを指定します ) 3 RADIUS 認証用のシークレットキーを入力します 4 SSL-VPNシングルサインオン利用機器の設定を汎用設定とします 5 ステータスが無効になっていないことを確認して登録ボタンをおします 12

SSL-VPN シングルサインオン設定各項目の説明は次ページへ 13

SSL-VPN シングルサインオン設定項目 1 アクセスパスを設定します本項目は任意の文字列を指定します本例では /alaxala/ としています認証スイッチ毎にユニークになるように設定してください /alaxala/ と設定した認証のアクセスパスは場合以下となります https://securematrix GSB サーバ名 / インストール時に設定した中間パス /alaxala/ AXシリーズにWeb 認証ページを上記サーバのパスへURLリダイレクトするように設定してください (SSLを使用する場合はエラーとならないように WebサーバのSSLサーバ証明書とサーバ名称が一致するように注意して構築してください ) 2 プロパティ設定を設定します ssl.form.action.base = http://1.1.1.1 /cgi-bin/login.cgi ssl.form.username = uid ssl.form.password = pwd ssl.form.method = POST ssl.form.hashenabled = false ー > 認証スイッチのURLは http:// 認証専用 IP/cgi-bin/Login.cgi ー >uid としてくださいー >pwd としてくださいー >POSTとしてくださいー > 必ずfalse 指定に変更してください httpの場合はスイッチのweb 認証専用 IPアドレス直接指定してください認証スイッチのURLはhttpsも使用可能ですその場合はエラー回避のためスイッチのSSLサーバ証明書と一致するサーバ名で指定します ( 別途端末が参照するDNSサーバへ認証専用 IPアドレスとサーバ名の登録などの設定をしてください ) ssl.form.hashenabledは必ずfalse 指定としてください 14

アトリビュートの設定ダイナミックACL ダイナミックVLANを使用する場合は RADIUSクライアント毎にアトリビュートの登録が必要です上記設定画面は設定済みの画面の一覧を表示しています新規の場合はアトリビュート新規登録から追加してくださいダイナミックACLを使用する場合は Filter-IDを設定しアトリビュートを登録 ( 例 : アトリビュート名 001) ダイナミックVLANを使用する場合は 3 種類のアトリビュートを登録 ( 例 : アトリビュート名 002~004) 各アトリビュートの詳細な設定画面は次ページへ 15

アトリビュートの設定 ( ダイナミック ACL) ダイナミック ACL ではアトリビュート Filter-ID を使用しますアトリビュート名は任意です本例では 001 としていますアトリビュートは Filter-ID を設定してくださいマッピング値は本例では備考欄 1 としユーザ情報の備考欄 1 と対応付けましたユーザ情報の備考欄 1 の方には実際の Filter-ID に設定する情報を設定します AX シリーズのダイナミック ACL では Filter-ID にはユーザの所属するクラス番号を指定します例えばクラス 3 の場合 Filter-ID の文字列に /Class=3 と設定します ( 詳細は AX シリーズ製品マニュアル AX シリーズ認証ソリューションガイドを参照してください ) 16

アトリビュートの設定 ( ダイナミック VLAN) (1) ダイナミックVLANの設定では3 種類のアトリビュートの設定が必要ですアトリビュート名 002~004を設定してください下図は1 番目の設定ですアトリビュート名は任意です本例では 002 としていますアトリビュートは Tunnel-Type を設定してくださいマッピング値は入力式として固定値 13 を設定してください次ページにつづく 17

アトリビュートの設定 ( ダイナミック VLAN) (2) ダイナミック VLAN の設定では 3 種類のアトリビュートの設定が必要です下図は 2 番目の設定ですアトリビュート名は任意です本例では 003 としていますアトリビュートは Tunnel-Medium-Type を設定してくださいマッピング値は入力式として固定値 6 を設定してください次ページにつづく 18

アトリビュートの設定 ( ダイナミック VLAN) (3) ダイナミック VLAN の設定では 3 種類のアトリビュートの設定が必要です下図は 3 番目の設定ですアトリビュート名は任意です本例では 004 としていますアトリビュートは Tunnel-Private-Group-ID を設定してくださいマッピング値は本例では備考欄 2 としユーザ情報の備考欄 2 と対応付けましたユーザ情報の備考欄 2 の方には実際に設定する VLAN の情報を設定します VLAN の情報は例えば VLAN200 にユーザを所属させたい場合は VLAN 番号 200 または VLAN200 を指定しますまた AX シリーズ認証スイッチのコンフィグレーションで VLAN 名称を設定することで VLAN 名称を指定することもできます 19

ユーザ登録情報 ( アトリビュートの設定 ) ダイナミック ACL RADIUS クライアントのアトリビュート登録で本例では備考欄 1 をダイナミック ACL(Filter-ID) にマッピングしているためユーザ情報の備考欄 1 には AX シリーズのダイナミック ACL に使用するクラス番号を指定します設定値フォーマット /Class= クラス番号ダイナミック VLAN 指定 RADIUS クライアントのアトリビュート登録で本例では備考欄 2 をダイナミック VLAN(Tunnel-Private-Group-ID) とマッピングしているためユーザ情報の備考欄 2 に VLAN の指定を行います設定値フォーマット VLAN200 を割り当てる場合 200 または VLAN200 または VLAN 名称で指定したい場合 VLAN 名称 (AX シリーズ認証スイッチのコンフィグレーションで VLAN 名称として任意に設定した文字列 ) 20

3.2 AX シリーズの設定ポイント AX シリーズと SECUREMATRIX を連携する場合には Web 認証を行います下記に連携のポイントを示します Web 認証の設定方法は AX シリーズ認証ソリューションガイドおよび AX シリーズのマニュアルを参照してくださいポイント 1: クライアント PC を接続する認証ポートは Web 認証ポートに設定する ( 固定 VLAN ダイナミック VLAN ダイナミック ACL いずれも連携可能 ) ポイント 2: Web 認証の RADIUS サーバを SECUREMATRIX 認証サーバとするポイント 3: 認証ページを SECUREMATRIX GSB サーバへリダイレクトするよう設定するリダイレクト先の指定は AX2500S ではコンフィグにて設定し AX2500S 以外の機種は認証画面入替え機能を使用するリダイレクト先の URL は SECUREMATRIX の RADIUS クライアント登録の SSL-VPN シングルサインオン設定のところで設定した認証のアクセスパスなお AX の設定方法は認証ソリューションガイドの 5 章を参照してくださいポイント 4: 認証専用アクセスリストに SECUREMATRIX GSB サーバへの通信を許可する GSB サーバの IP アドレスを許可するように指定してください 21

4. 付録ユーザ認証画面 1. ログイン ID 入力 2. パスワード入力 3. 認証結果表示 4. 認証スイッチのログイン結果表示 22