Radius プロトコルを使用して Active ディレクトリで認証するように Apache サーバーを構成する方法を学習しますか? このチュートリアルでは、マイクロソフトの NPS サーバーを使用して、アクティブ ディレクトリ データベース上の Apache ユーザーを認証する方法を示します。

• Ubuntu 18
• Ubuntu 19
• Ubuntu 20
• Apache 2.4.41
• Windows 2012 R2

機器リスト

次のセクションでは、このチュートリアルの作成に使用される機器の一覧を示します。

アマゾンアソシエイトとして、私は適格な購入から稼ぎます。

チュートリアル - Windows 上の RADIUS サーバのインストール

IP - 192.168.15.10。
• オペラシステム - Windows 2012 R2
• Hostname - TECH-DC01
• アクティブディレクトリドメイン: TECH.LOCAL

サーバー マネージャー アプリケーションを開きます。

[管理] メニューにアクセスし、[ロールと機能の追加] をクリックします。

Windows 2012 add role

[サーバーロール] 画面にアクセスし、[ネットワーク ポリシーとアクセス サービス] オプションを選択します。

[次へ]ボタンをクリックします。

Network Policy and Access Service

次の画面で、[機能の追加] ボタンをクリックします。

network policy features

[役割サービス] 画面で、[次へ] ボタンをクリックします。

network policy server

次の画面で、[インストール]ボタンをクリックします。

radius server installation on windows

Windows 2012 での Radius サーバーのインストールが完了しました。

チュートリアル RADIUS サーバ - アクティブ ディレクトリ統合

次に、Active ディレクトリに少なくとも 1 つのアカウントを作成する必要があります。

ADMIN アカウントは Apache サーバーでログインするために使用されます。

ドメイン コントローラーで、次の名前のアプリケーションを開きます: Active Directory ユーザーとコンピューター

Users コンテナ内に新しいアカウントを作成します。

Zabbix active directory account

admin という名前の新しいアカウントを作成します。

ADMIN ユーザーに設定されたパスワード: 123qwe..

このアカウントは Apache Web インターフェイスでの認証に使用されます。

active directory admin account
zabbix active directory admin properties

これで、必要なアクティブ ディレクトリ アカウントが作成されました。

次に、少なくとも 1 つのグループを Active ディレクトリに作成する必要があります。

ドメイン コントローラーで、次の名前のアプリケーションを開きます: Active Directory ユーザーとコンピューター

Users コンテナ内に新しいグループを作成します。

Grafana active directory group

という名前の新しいグループを作成します。

このグループのメンバーは Apache サーバーの保護されたディレクトリにアクセスできます。

Apache Active directory authentication group

大事な! 管理者ユーザーを Apache-Users グループのメンバーとして追加します。

Apache Active directory user authentication

これで、必要なアクティブ ディレクトリ グループが作成されました。

チュートリアル RADIUS サーバ - クライアント デバイスの追加

Radius サーバで、次のアプリケーションを開きます。

アクティブ ディレクトリ データベースで Radius サーバを認証する必要があります。

NPS(ローカル) を右クリックし、アクティブ ディレクトリにサーバーを登録する] オプションを選択します。

authorize radius server on windows

確認画面で、[OK]ボタンをクリックします。

次に、Radius クライアントを構成する必要があります。

Radius クライアントは Radius サーバーから認証を要求できるデバイスです。

大事な! Radius クライアントと Radius ユーザを混同しないでください。

[Radiusクライアント]フォルダを右クリックし、[新規]オプションを選択します。

Apache radius client NPS

以下は、Apache サーバが Radius サーバに接続できるように設定されたクライアントの例です。

次の構成を設定する必要があります。

• デバイスにフレンドリ名 - Apache サーバーに説明を追加します。
• デバイス IP アドレス - Apache サーバーの IP アドレス。
•デバイス共有秘密 - 神サム123

共有シークレットは、デバイスが Radius サーバを使用することを承認するために使用されます。

Radius クライアントの構成が完了しました。

チュートリアル RADIUS サーバ - ネットワーク ポリシーの設定

ここで、認証を許可するネットワークポリティを作成する必要があります。

[ネットワーク ポリシー] フォルダを右クリックし、[新規] オプションを選択します。

ネットワーク ポリシーの名前を入力し、[次へ] をクリックします。

nps - network policy name

[条件の追加] ボタンをクリックします。

APACHE-USERS グループのメンバーが認証を受けられるようにします。

Apache Active directory authentication group

[ユーザー グループ] オプションを選択し、[追加] ボタンをクリックします。

nps - user group condition

[グループの追加] ボタンをクリックし、APACHE-USERS グループを見つけます。

APC UPS - Active directory group

[アクセス許可] オプションを選択し、[次へ] ボタンをクリックします。

これにより、APACHE-USERS グループのメンバーは RADIUS サーバーで認証を受け入れるようになります。

NPS Access granted

[認証方法] 画面で、[暗号化されていない認証 (PAP、SPAP)] オプションを選択します。

Radius server authentication method

次の警告が表示された場合は、[いいえ]ボタンをクリックします。

NPS Warning message

概要画面が表示されるまで[次へ]ボタンをクリックします。

[Radiusサーバの設定]の概要を確認し、[完了]ボタンをクリックします。

pfsense active directory authentication summary

おめでとう! Radius サーバの設定が完了しました。

アパッチ - RADIUS認証テスト

必要なパッケージをインストールします。

Copy to Clipboard

次のコマンドを使用して、Active ディレクトリで RADIUS 認証をテストします。

Copy to Clipboard

コマンド出力は次のとおりです。

Copy to Clipboard

この例では、管理者アカウントが Radius サーバーで正常に認証を受けることができました。

Apache - アクティブディレクトリの RADIUS 認証

• IP - 192.168.15.11
• 運用システム - Ubuntu 19.10
• Hostname - APACHE

Apache サーバーと Radius モジュールをインストールします。

Copy to Clipboard

Apache2 半径モジュールを有効にします。

Copy to Clipboard

この例では、Test というディレクトリにアクセスしようとするユーザーに認証を要求します。

Test という名前のディレクトリを作成し、このディレクトリに対する www-data という名前のアクセス許可をユーザーに与えます。

Copy to Clipboard

テストディレクトリにアクセスしようとするユーザーに Radius 認証を要求するように Apache サーバを設定します。

Apache 000-default.conf 設定ファイルを編集します。

Copy to Clipboard

設定前の 000-default.conf ファイルはここにあります。

Copy to Clipboard

設定後の 000-default.conf ファイルを次に示します。

Copy to Clipboard

Apache サーバーは、ディレクトリ /var/www/html/test を acesss に対してパスワード認証を要求するように構成されました。

Apache ウェブサーバーは、Radius サーバ 192.168.15.10 を使用してユーザ アカウントを認証するように設定されました。

Apache サービスを再起動します。

Copy to Clipboard

おめでとう! Apache 認証が正常に構成されました。

アパッチ - RADIUS認証テスト

ブラウザを開き、Apache ウェブサーバーの IP アドレスを入力します。

この例では、ブラウザに次の URL が入力されています。

• http://192.168.15.11

Apache のデフォルトページが表示されます。

Apache default page

ブラウザを開き、Web サーバーの IP アドレスと /test を入力します。

この例では、ブラウザに次の URL が入力されています。

• http://192.168.15.11/test

ログイン画面で、Radius ユーザー名とそのパスワードを入力します。

• Username: admin
• パスワード: 123qwe..

Apache login form

ログインが成功すると、Test という名前のディレクトリにアクセスする権限が与えられます。

Apache Radius Authentication test

おめでとう! Apache サーバーで Radius 認証を構成しました。