Mac OS 版~ マカフィーとは?Mac OS版~ マカフィーとは? 外部からの不正アクセスを防いだり、端末内のウイルス・スパイウェアを 検知・駆除を行うサービスです。
Mac Address Manager7 導入のメリット MAC Address...
Transcript of Mac Address Manager7 導入のメリット MAC Address...
三谷商事株式会社 情報ソリューション事業部関西支店 文教営業課
Mac Address ManagerRADIUS用MACアドレス認証管理ツールのご提案
2
©2014 Mitani Corp. All rights reserved.
商標Microsoft、Windows、Windows Server、SQL Server、IIS、Active Directory、NSP、Internet ExplorerはMicrosoft社の登録商標です。MySQLはORACLE社の登録商標です。その他のブランドや製品名は、それぞれの所有者に帰属する商標又は登録商標です。
免責事項本書で使用しているキャプチャ画像は、2014年7月時点の最新版の製品画面より取得しております。本書で使用しているキャプチャ画像は、Microsoft社製オペレーションシステム『Windows 7』の 64bit版で動作する同社製ブラウザ、『Intenet Explorer 11』 を利用して取得しております。ブラウザの種類又は同一製品でもOSやソフトウェアのバージョンの差違により、表示が本書と異なる場合があります。本書に記載された仕様、画面デザイン、レイアウト等は内部設計の変更、操作性や機能性の向上あるいは信頼性の向上、セキュリティリスクの改善のために予告なく変更を加えることがあり、導入される製品とは一部異なることがあります。本製品は、日本国内かつ日本語対応OSでのみ使用されることを前提として設計・開発を行っております。日本国外及び日本語非対応OSでの動作保証及びサポートは行っておりません。
3
freeRADIUS 2.xMicrosoft NPS
概要
本システムは、RADIUSサービスに対して、機器認証に必要なMACアドレスの登録削除等の管理をサポートするサブシステムです。本システムを利用することにより、RADIUSに関する専門的な知識ないユーザでも、直感的に業務を行うことが可能です。又、利用にあたっても、専用のプログラムやエージェントを導入する必要はありません。標準的なブラウザで操作が可能です。
■MAC Address Manager の概要
登録・編集等
接続に専用アプリは不要です。標準的なWEBブラウザで操作できます!
各種オペレーション実行
MAC Address Manager
管理用内部DB
レコード編集
認証
既存で存在するLDAP・AD等の認証基盤
ログイン認証はシステム専用DB又は既存の外部認証機構でも可能ログイン認証はシステム専用DB又は既存の外部認証機構でも可能
RADIUSサーバ
無線AP ネットワークへ接続
認証認証
システム/運用管理者
利用者ノートPCスマートフォンタブレット等
更新された情報は即座にRADIUSサーバに反映
認証サーバ
Windows Server & IIS
Microsoft SQL Server Express
ASP.Net
バックエンドDBMySQL, openLDAP, Active Directory
4
仕様
◆サーバ環境
本システムはASP.NETを利用したWEBアプリケーションです。本システムの推奨利用環境は下記の通りです。
OS : Windows Server 2012RAM : 4GB以上推奨
.NET Framework : 4.5以上
データベース : MS SQL Server 2012 Express Edition(無償版)
◆クライアント環境
Cookie及びJavaScript(ajax1.10.x)対応ブラウザ
◆連携対象RADIUSサーバ
○LINUX又はUNIX環境
freeRADIUS 2.x 以降に対応しています
RADIUSのバックエンドデータベースとして以下が利用可能です
・MySQL 5.1以降 又は互換性のあるSQLサーバ
・openLDAP 2.3以降
○Windows環境
ネットワークポリシーサーバ(NPS)に対応しています。(windows server 2012以降推奨)
バックエンドDBとして、Active Directoryが利用可能です
■仕様
5
主な機能
MACアドレス登録・編集・削除機能
MACアドレス登録・編集・削除代行機能
登録アドレス検索機能
一括停止・再開・削除機能
CSVによる一括登録・一括削除機能
CSVによるデータのエクスポート機能
操作ログの閲覧・エクスポート機能
ブラックリスト(利用禁止機器)管理機能
登録データの利用承認・否認機能
TOPメッセージ管理機能
ローカルアカウントの管理機能
パスワード変更機能(外部認証利用ユーザは除く)
その他、各種システム設定
■管理者向け機能
MACアドレス登録・編集・削除機能
MACアドレス登録・編集・削除代行機能
登録アドレス検索機能
一括停止・再開・削除機能
CSVによる一括登録・一括削除機能
CSVによるデータのエクスポート機能
操作ログの閲覧・エクスポート機能
ブラックリスト(利用禁止機器)管理機能
登録データの利用承認・否認機能
TOPメッセージ管理機能
パスワード変更機能(外部認証利用ユーザは除く)
■オペレータ向け機能
MACアドレス登録・編集・削除機能
CSVによる一括登録・一括削除機能
パスワード変更機能(外部認証利用ユーザは除く)
■グループ代表者向け機能
MACアドレス登録・編集・削除機能
パスワード変更機能(外部認証利用ユーザは除く)
■一般利用者向け機能
○外部認証利用機能
既存のActive Directory、LDAP上に存在するアカウントで本システムを利用可能です
○権限管理機能
ローカルユーザはアカウント毎、外部認証利用ユーザは認証単位毎に権限を割り
当てることが可能です
○登録数制限機能・管理者承認フロー機能等
権限毎に、登録レコード数の上限値を設定することが可能です。
○管理者承認機能
権限毎に、新規登録時に管理者の承認の必要の有無を設定可能です
■その他
6
アカウント権限
権限 説明 対象者 備考
管理者 本システムの全機能にアクセス可能な権限です
情報関係の責任者、システム構築者等
本製品及びRADIUS、DHCP、AD、LDAP、MySQL等関連システムに対し高度なスキルのあるユーザ向け
オペレータ 運用に関わる機能部分のみアクセス可能な権限です
運用業務に関わる担当者 RADIUS、DHCP、AD、LDAP、MySQL等関連システムにある程度のスキル(運用スキル)のあるユーザ向け
グループ代表利用者 一般利用者の機能に加え、CSVによる一括登録が可能な権限です
部局、教室等の備品を代表して管理している担当者等
複数の機器を一括で登録削除するオペレーションは発生するものの、管理者やオペレータの権限を与えたくない(スキルに乏しい)利用者向け
一般利用者 自身の所有する機器の管理のみ可能な権限です
学内の利用者 一般利用者の中でも5つ、権限を用意しています。権限毎に登録上限数を変更出来ます。
※全ユーザ対象ではなく、教職員等信任できる人にのみ限定しての運用をお勧めします
利用者に割り当てられる権限としては、以下を用意しています。権限毎に、登録数の上限値等を設定出来ます。
本システム上に登録するローカルアカウントの場合は、アカウント毎に上記権限を割り当てることが可能です。
外部認証アカウントの場合は、認証単位(認証先として指定したOU単位)で権限の割当が可能です。(右図参照)
OU=教員を「一般利用者」として登録すると、下位のOU所属ユーザも「一般利用者」として利用可能
OU=教員を「一般利用者」として登録すると、下位のOU所属ユーザも「一般利用者」として利用可能
下位のOU単位で指定することも可能下位のOU単位で指定することも可能
一般利用者
管理者
オペレータ
外部認証の認証単位例
7
導入のメリット
◆ MAC Address Managerを利用することで、管理者は当システムでMACアドレスを登録・削除するだけで、自動でRADIUSに設定を反映
することが可能です。個別にRADIUSサーバ上の設定を変更する必要はもうありません。
◆ ツールの操作に関して、RADIUSに対する専門的な知識は一切必要ありません。
◆ インターフェイスは非常にシンプルで、直感的な操作で管理業務が行えます。
◆ 纏めて登録・削除したい場合には、CSVによる一括での処理が可能です。
■運用業務の改善ポイント
図 ログイン画面
左図 MACアドレス登録一覧・管理画面
右図 CSV登録・削除画面
直感的な操作で登録・削除が可能です。編集したデータは、RADIUSサーバに即座に反映されます。
登録・削除対象が複数ある場合等では、CSVで一括で処理も可能です。
8
導入のメリット(2)
本システムでは、CSVを用いた複数レコードの一括登録・削除等が可能です。
又、管理者以外にも、システムの『運用』部分の機能の利用に限定した【オペレータ】、部局等で代表者を立てて部局内の機器の管理を行う【グループ代表利用者】を作成し、管理業務の負担を分散させることが出来ます。
インターフェイスは直感的な操作が可能で、RADIUS等に対しての知識や技術に乏しい人でも、本システム上で操作を行うだけで簡単にMACアドレスフィルタリング設定の管理業務を行うことが可能です。
■管理者負担の低減
本システムでは、本システム上に登録したアカウントはアカウント毎に、外部のActive Directory又はLDAP上のユーザの場合は、外部認証定義単位(OU毎)に権限を付与することが可能です。
権限により、登録可能なMACアドレスのレコード数の上限、又は新規登録時に管理者の承認の有無等を指定することが可能です。
その他、不正な行為を行ったMACアドレスの利用停止機能、及びゲーム端末等の本システムへの登録を禁止するブラックリスト機能等が利用可能です。
■セキュリティの確保
本システムでは、利用者自身に、自身の所有する機器のMACアドレスの登録管理を委任することも可能です。
この場合、利用者が本システムを利用するにあたって本システム上にアカウントを新規に作成する必要はなく、機関内にActive Directory又はLDAPサーバが存在すれば、そのサーバ上のアカウント及びパスワードを用いて、本システムを利用することが可能です。
■ユーザビリティ
9
画面サンプル ログイン画面・TOPメッセージ
ログイン画面は、全利用者共通です。利用者に案内したい情報がある場合は、TOPメッセージに表示することが可能です。
TOPメッセージ表示部
図 ログイン画面
10
画面サンプル 登録一覧・編集画面及びメニュー表示
ログイン直後に表示される画面です。ログインしたアカウントに紐付く現在登録されているMACアドレスの一覧が表示されます。新規登録・編集及び削除もこの画面から実施します。尚、ログインしたアカウントに割り当てられた権限に基づき、上部メニュー及びサブメニューの内容は変化します。
図 登録一覧画面
図 編集画面
図 管理者用メニュー
図 オペレータ用メニュー
図 一般利用者・グループ代表者用メニュー
11
画面サンプル 承認、ステータス変更、CSV一括処理、エクスポート
未承認状態のレコードに対し、『承認』又は『否認』を行います。
承認されたレコードはRADIUSサーバに登録され、否認された
レコードはブラックリストに登録されます。
図 ステータス管理画面図 申請承認・否認画面
登録済みのレコードに対し検索が行えます。
検索結果に対して、一括停止・再開・削除等の処理が実行可能です。
図 CSV一括登録・削除画面b
対象のMACアドレスが大量にある場合には、CSVによる一括登録・削除も可能です。
図 エクスポート画面
登録レコードを検索し、検索結果をCSVにエクス
ポートすることが可能です。
12
画面サンプル ブラックリスト管理
登録を拒否したい機器を登録します。MACアドレスベースのフィルタリング(特定端末、ベンダーID該当全て又はベンダーID+機種IDなど)が可能です。管理者により利用停止処理を実施したMACアドレスも、自動でブラックリストに登録されます。
図 ブラックリスト管理画面(任天堂機器を拒否する設定例)
13
画面サンプル メッセージ管理
利用者に通知したいメッセージを、管理可能です。メッセージは表示期限の設定の他、並び順を変更することも可能です。
図 登録メッセージ一覧画面 図 登録メッセージ編集画面
14
画面サンプル 外部認証設定
外部の認証システムに存在するユーザを、本システムで利用するための設定画面です。Active DirectoryまたはLDAPのOU単位でユーザ権限を区分することも可能です。※検索ベース値に指定したOU以下に存在するアカウントは全て利用可能になります。指定OU以下に存在するアカウントで、認証の可否を区分するには、フィルタを設定するか、あるいはOUの構成を変更する必要がある場合があります。
図 外部認証連携設定画面