# 一般 ## 認証 #### デバイスは通常、どのくらいの頻度で RADIUSaaS に対して認証しますか? これは、ユーザー、クライアント、およびネットワーク機器(AP、NAC、スイッチ)の動作に依存するため、答えるのが難しいです。さらに、 **重要** なのは、RADIUSaaS はいずれも * 認証をトリガーせず、また * そのアカウンティングポート経由でクライアントに終了要求を送信して、再認証を引き起こすこともありません。 ユーザーがクライアントを頻繁に再起動していないのに、デバイスが非常に頻繁に(1時間に複数回)認証しているように感じる場合、次の理由が考えられます: * ネットワークコントローラーがクライアントをネットワークに参加させるのに十分な速さで認証できておらず、そのためクライアントが再度認証を試みています。ネットワークコントローラーを確認して、RaaS からの応答をいつ受信しているかを確認してください。 * ネットワークコントローラーが認証を再開始しています。何が原因でそうなっているのか、ネットワークコントローラーを確認してください。 ## RADIUSaaS 管理ポータル #### RADIUSaaS 管理ポータルを My Apps に追加するにはどうすればよいですか? **アプリを作成する** まず、Enterprise アプリを作成する必要があります。Azure portal からこれを行うには、次の手順に従ってください: 1. 次のアカウントにログインします [Azure](https://portal.azure.com/) アカウント 2. 移動します **Microsoft Entra ID** 3. 選択します **Enterprise applications** 4. クリックします **+ New Application**

新しいアプリケーションの作成を表示

5. クリックします **+ Create your own application** 6. アプリに名前を付けます(例:RADIUSaaS Portal) 7. 選択します **ギャラリーにない他のアプリケーションを統合する** を選択して 8. クリックします **作成**
その後アプリの設定が完了したら、次にユーザーを追加し、ロゴとリンクを構成する必要があります **ユーザーとロゴを追加する** 1. 次の項目の下で **管理** に移動します **ユーザーとグループ** - 新しい URL タイルを表示/使用できるようにするすべてのユーザー/グループを追加して保存します

「ユーザーとグループ」をクリックします

2. クリックします **プロパティ** - 任意の画像ロゴをアップロードして保存します

「プロパティ」をクリックします

3. クリックします **シングル サインオン** - **リンク済み** モードを選択し、希望する URL を入力して保存します。

シングル サインオンをクリックし、「リンク済み」モードを選択します

Enter your RADIUSaaS instance URL

RADIUSaaS インスタンスの URL を入力します

**My Apps にアクセスする** これでユーザーは、次の経由で新しく作成したリンクタイルにアクセスできるはずです [My Apps](https://myapps.microsoft.com/). ## RADIUS 戻り属性 #### RADIUSaaS は既定でどの VLAN 関連属性を返しますか? {% hint style="info" %} 既定で返されるもの以外の VLAN 属性が必要な場合は、 [サポートまでお問い合わせください](https://www.radius-as-a-service.com/help/). {% endhint %} 関連する [Rule](/ja/ptaru/settings/rules.md#vlan-assignment)を構成して有効にすることで VLAN タグ付けが有効になる場合、RADIUSaaS は次の汎用 VLAN 属性を返します `"Tunnel-Type": "VLAN"` `"Tunnel-Medium-Type": "802"` `"Tunnel-Private-Group-ID"` および、一般的に使用されるその他のベンダー固有の VLAN 属性: `"WiMAX-VLAN-ID"` `"Nexans-Port-Default-VLAN-ID"` `"Dlink-VLAN-ID"` `"UTStarcom-VLAN-ID"` `"DHCP-IEEE-802.1Q-VLAN-ID"` `"Motorola-WiMAX-VLAN-ID"` `"Telrad-C-VLAN-ID"` `"Telrad-S-VLAN-ID"` `"SN-Assigned-VLAN-ID"` `"Extreme-VM-VLAN-ID"` `"Ruckus-VLAN-ID"` `"Mikrotik-Wireless-VLANID"` `"Egress-VLANID"` `"HP-Egress-VLANID"` ## セカンダリ インスタンスとフェイルオーバー #### フェイルオーバーの観点でセカンダリ インスタンスはどのように動作しますか? セカンダリ インスタンスとは、メイン インスタンスとは独立して動作し、同じ構成を持つ少なくとも 1 つのセカンダリ RadSec サーバーがあることを意味します。ある場合は、複数の IP アドレスが次の下に表示されます [RadSec IP Addresses](/ja/ptaru/settings/settings-server.md#properties). **RadSec Connection** RadSec サーバーは互いに独立しているため、いかなる種類のフェイルオーバーも処理しません。認証要求をどのサーバーに転送するかを決定する Network controller に、両方の IP アドレス/DNS エントリを追加する必要があります。 **RADIUS Connection** RADIUS プロキシでは少し異なります。プロキシは各 RadSec インスタンスとその正常性を認識しているため、プライマリ サーバーに障害が発生した場合はフェイルオーバーを処理します。 ## タイマーとタイムアウト #### どの EAP パラメーターとタイムアウトを構成すべきですか? すべてのアクセスポイントやスイッチ(authenticator)が、EAP および一般的な(RADIUS server)タイムアウト パラメーターについて同じ数の構成オプションを提供するわけではありません。以下の概要は、私たちが把握している最大セットのパラメーターと、authenticator と RADIUSaaS 間の接続の信頼性を最大化するためにそれらをどのように構成すべきかを示しています。 **RADIUS Server Timeout** 5 秒 **EAP Parameters**
EAP timeout15 秒
EAP max retries5
EAP identity timeout10 秒
EAP identity retries5
EAPOL key timeout2000 ms
EAPOL key retries4
## ログ #### 認証が発生したサイトのパブリック IP アドレスをどのように特定できますか? 特定の認証について認証元サイトのパブリック IP を特定するには、RADIUS Connection(RADIUS プロキシ経由)を使用しているか、直接 RadSec 接続を使用しているかによって方法が異なります: **RadSec Connection** * 移動します **Insights > Logs**. * 関連する時間範囲 / 検索ウィンドウを構成します。 * 次を設定します **Logtype** フィルターを **details**. * 関連する認証を特定します(タイムスタンプとユーザー名を照合して)。 * 次を特定します `Access-Request` メッセージ(**message > Packet-Type** = **Acess-Request**)で、調査対象の認証に属するものを見つけます。 * 該当するログエントリを展開します。 * パブリック IP は次の項目から抽出できます **message > Packet-Src-IP-Address** ログエントリのプロパティ。
**RADIUS Connection** * 移動します **Insights > Logs**. * 関連する時間範囲 / 検索ウィンドウを構成します。 * 次を設定します **Log-type** フィルターを次に設定します **proxy**. * 関連する認証を特定します(タイムスタンプとユーザー名を照合して)。 * パブリック IP は次の項目から抽出できます **message** ログエントリのプロパティ:
## RADIUSaaS は WPA3 Enterprise をサポートしていますか? はい、RADIUSaaS は WPA3 Enterprise をサポートしています。また、次の制限付きで WPA3 Enterprise 192-bit モードもサポートしています: **Windows 11 24H2** では、WPA3-Enterprise 192-bit 暗号化に対する証明書要件が厳格化され、証明書チェーン全体が特定の暗号強度基準を満たさない場合、認証失敗が発生するようになりました。この更新により、認証プロセスに関与するすべての証明書に対して、RSA 鍵長は少なくとも 3072 ビット、または P-384 カーブを使用する ECDSA が必須となります。RSA 2048 ビットなど、より弱いパラメーターの証明書を使用している組織では問題が発生する可能性があります。 SCEPman は Windows 向けに 4096 ビットの RSA 鍵をサポートしていますが、ハードウェア TPM はこの鍵サイズをサポートしていないため、Software Key Storage Provider (KSP) に限定されます。 Windows 11 24H2 にアップグレードした後に認証の問題が発生する場合は、クライアントとサーバー間の暗号アルゴリズムの非互換性を示す指標として、Event Viewer(System Logs と CAPI2)で「SEC\_E\_ALGORITHM\_MISMATCH」エラーを確認してください。 ### Windows で WPA3-Enterprise 認証を使用したい場合はどうすればよいですか? 現在の対応策は、Windows 11 24H2 クライアントの WPA3-Enterprise 192-bit の証明書要件に対処することです。これには、新しい最小要件を満たすように Leaf Certificate を更新することが含まれます。 Intune には現在、受信側コンピューターの Trusted Platform Module (TPM) に保存できる 3072 ビットの鍵サイズを指定するオプションが SCEP プロファイルに含まれていないことに注意してください。この制限のため、現時点で Windows クライアントに対する唯一実用的な解決策は、Software Key Storage Provider (KSP) に登録された 4096 ビットの RSA 鍵を使用することです。 {% hint style="success" %} Intune の WiFi プロファイルは WPA2-Enterprise しか提供しないため、WPA3-Enterprise WiFi プロファイルを作成するには外部ツールを使用する必要があります。便宜上、RADIUSaaS にはこのツールが含まれています [こちら](https://docs.radiusaas.com/admin-portal/settings/trusted-roots#xml). {% endhint %} ## ID プロバイダー ### **RADIUSaaS は ID プロバイダーとして Okta をサポートしていますか?** * **はい** 管理者およびユーザーが Web コンソールにログインするため * **いいえ** RADIUS プロトコル経由の認証用 #### **ユーザーおよび管理者ポータル(web-console)ログイン** Okta は、RADIUSaaS Web ポータルへのサインイン用 ID プロバイダーとして完全にサポートされています。RADIUSaaS は独自の管理者 ID を保持せず、代わりに認証を既存の ID プロバイダーに委任するため、管理者、閲覧者、および招待されたユーザーは Okta アカウントでログインできます。Okta は次の仕組みを通じて統合されています **Custom OIDC Provider** 次のオプション [Permissions](/ja/ptaru/settings/permissions.md#custom-oidc-provider-okta) セクション。必要なリダイレクト URI、認証およびトークン URL、クライアント ID、クライアント シークレット、さらに `openid email` スコープを含む手順別のセットアップ手順は、 [Permissions](/ja/ptaru/settings/permissions.md#overview) 記事に記載されています。 #### **RADIUS プロトコル認証(Wi-Fi、有線 802.1X、VPN)** Okta は **サポートされていません** RADIUS プロトコル経由で行われる認証の ID プロバイダーとしてサポートされていません。次の説明のとおり [Users](/ja/ptaru/users.md) セクション、RADIUSaaS はユーザー名/パスワード ベースのネットワーク認証について外部 IDP と統合しません。RADIUS 認証に使用されるすべてのユーザー名/パスワード アカウントは、RADIUSaaS 管理ポータルで直接作成および管理する必要があります。 {% hint style="info" %} RADIUS ベースのネットワーク認証については、一般に **推奨しません** 外部 ID プロバイダーに依存するユーザー名/パスワード方式は避けることを推奨します。このような構成では、ネットワーク認証中に資格情報を送信または中継する必要があり、私たちが重大なセキュリティ リスクと見なす方法で攻撃対象領域が広がります。可能な限り、 **certificate-based authentication** (EAP-TLS)を使用してください。背景と、パスワードベースのネットワーク認証に伴うリスクの詳細については、 [Certificate-Based Network Authentication](https://www.scepman.com/certificate-network-authentication/). {% endhint %} --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.radiusaas.com/ja/sono/faqs/general.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.