# 一般

## 認証

#### デバイスは通常、どのくらいの頻度で RADIUSaaS に対して認証していますか?

これは、ユーザー、クライアント、およびネットワーク機器（AP、NAC、スイッチ）の動作に依存するため、答えるのが難しいです。さらに、 **重要なのは** 、RADIUSaaS は

* 認証を開始したり
* アカウンティングポート経由でクライアントに終了要求を送信したりして、結果として再認証を引き起こすことはないという点です。

デバイスが非常に頻繁に認証している（1時間に複数回）ように見えるのに、ユーザーがクライアントを常に再起動していない場合、以下の理由が考えられます:

* ネットワーク コントローラーがクライアントをネットワークに参加させるのに十分な速さで認証できず、クライアントが再度認証を試みています。RaaS からの応答をいつ受信しているか、または受信しているかどうかを確認するために、ネットワーク コントローラーを確認してください。 
* ネットワーク コントローラーが認証を再開しています。何がこれを引き起こしているのか、ネットワーク コントローラーを確認してください。 

## RADIUSaaS 管理ポータル

#### RADIUSaaS Admin Portal を My Apps に追加するにはどうすればよいですか?

**アプリを作成する**

まず、Enterprise app を作成する必要があります。Azure portal から行うには、次の手順に従います:

1. にサインインする [Azure](https://portal.azure.com/) アカウント
2. へ移動し、 **Microsoft Entra ID**
3. 選択 **Enterprise applications**
4. をクリックします **+ New Application**

<figure><img src="https://992520889-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FgXoin0duf0npCttHlP3g%2F2024-05-13_16h39_30.png?alt=media&#x26;token=c438d135-1e5d-4df7-b057-5b5092ad3f39" alt=""><figcaption><p>新しいアプリケーションの作成画面</p></figcaption></figure>

5. をクリックします **+ Create your own application**
6. アプリに名前を付けます（例: RADIUSaaS Portal）
7. 選択 **ギャラリーにない他の任意のアプリケーションを統合する** および&#x20;
8. をクリックします **作成**

<figure><img src="https://992520889-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2Fwo0K6KYFFPQuEe65F472%2Fimage.png?alt=media&#x26;token=7e15934b-7ac4-4264-b7bc-380e9629fbc3" alt=""><figcaption></figcaption></figure>

その後アプリがセットアップされますので、次にユーザーを追加し、ロゴとリンクを設定する必要があります

**ユーザーとロゴを追加する**

1. 「 **管理** へ移動する **User and groups** - 新しい URL タイルを表示/使用できるようにするすべてのユーザー/グループを追加して保存する

   <figure><img src="https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/hyH1icrfXF4mBd3nXLxZ/image.png" alt=""><figcaption><p>「User and groups」をクリックする</p></figcaption></figure>
2. をクリックします **プロパティ** - 任意の画像ロゴをアップロードして保存する

   <figure><img src="https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/u7ykwx7srqap3BW41Hmx/image.png" alt=""><figcaption><p>「Properties」をクリックする</p></figcaption></figure>
3. をクリックします **シングル サインオン** - **Linked** モードを選択し、希望の URL を入力して保存します。

   <figure><img src="https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/c6rZSCMxFjxXTvgwVbSN/image.png" alt=""><figcaption><p>Single Sign-on をクリックし、「Linked」モードを選択する</p></figcaption></figure>

<figure><img src="https://992520889-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2F6u2t9T6oS6YSumklqcbZ%2Fimage.png?alt=media&#x26;token=29a26b98-59c1-494d-bc71-a4b09b555796" alt="Enter your RADIUSaaS instance URL"><figcaption><p>RADIUSaaS インスタンスの URL を入力する</p></figcaption></figure>

**My Apps にアクセスする**

これで、ユーザーは My Apps 経由で新しく作成したリンク タイルにアクセスできるはずです [My Apps](https://myapps.microsoft.com/).

## RADIUS 戻り属性

#### RADIUSaaS は既定でどの VLAN 関連属性を返しますか?

{% hint style="info" %}
既定で返されるもの以外の VLAN 属性が必要な場合は、 [サポートにお問い合わせください](https://www.radius-as-a-service.com/help/).
{% endhint %}

関連する [ルール](https://docs.radiusaas.com/ja/ptaru/settings/rules#vlan-assignment)を構成して有効化することで VLAN タグ付けが有効になっている場合、RADIUSaaS は次の汎用 VLAN 属性を返します

`"Tunnel-Type": "VLAN"`&#x20;

`"Tunnel-Medium-Type": "802"`

`"Tunnel-Private-Group-ID"`

加えて、よく使用される以下のベンダー固有 VLAN 属性も返します:

`"WiMAX-VLAN-ID"`

`"Nexans-Port-Default-VLAN-ID"`

`"Dlink-VLAN-ID"`

`"UTStarcom-VLAN-ID"`

`"DHCP-IEEE-802.1Q-VLAN-ID"`

`"Motorola-WiMAX-VLAN-ID"`

`"Telrad-C-VLAN-ID"`

`"Telrad-S-VLAN-ID"`

`"SN-Assigned-VLAN-ID"`

`"Extreme-VM-VLAN-ID"`

`"Ruckus-VLAN-ID"`

`"Mikrotik-Wireless-VLANID"`

`"Egress-VLANID"`

`"HP-Egress-VLANID"`

## セカンダリ インスタンスとフェールオーバー

#### フェールオーバーの観点で、セカンダリ インスタンスはどのように動作しますか?

セカンダリ インスタンスとは、メイン インスタンスとは独立して動作する少なくとも 1 つのセカンダリ RadSec サーバーがあり、同じ構成を持つことを意味します。ある場合は、以下に複数の IP アドレスが表示されます [RadSec IP Addresses](https://docs.radiusaas.com/ja/ptaru/settings/settings-server#properties).

**RadSec 接続**

RadSec サーバーは互いに独立しているため、いかなる種類のフェールオーバーも処理しません。認証要求をどのサーバーに転送するかを決定するネットワーク コントローラーに、両方の IP アドレス/DNS エントリを追加してください。&#x20;

**RADIUS 接続**

RADIUS プロキシの場合は少し異なります。プロキシは各 RadSec インスタンスとその正常性を認識しているため、プライマリ サーバーに障害が発生した場合にフェールオーバーを処理します。

## タイマーとタイムアウト

#### どの EAP パラメーターとタイムアウトを構成すべきですか?

すべてのアクセスポイントやスイッチ（認証装置）が、EAP および一般的な（RADIUS server）タイムアウト パラメーターに対して同じ数の構成オプションを提供するわけではありません。以下の概要は、私たちが把握している最大のパラメーター セットと、認証装置と RADIUSaaS 間の接続の信頼性を最大化するためにどのように構成すべきかを示しています。

**RADIUS Server Timeout**

5 秒

**EAP パラメーター**

<table data-header-hidden><thead><tr><th width="261"></th><th></th></tr></thead><tbody><tr><td>EAP タイムアウト</td><td>15 秒</td></tr><tr><td>EAP 最大再試行回数</td><td>5</td></tr><tr><td>EAP identity timeout</td><td>10 秒</td></tr><tr><td>EAP identity retries</td><td>5</td></tr><tr><td>EAPOL key timeout</td><td>2000 ミリ秒</td></tr><tr><td>EAPOL key retries</td><td>4</td></tr></tbody></table>

## ログ

#### 認証が発生したサイトのパブリック IP アドレスをどのように特定できますか?

特定の認証について認証元サイトのパブリック IP を特定する方法は、RADIUS 接続（RADIUS プロキシ経由）を使用しているか、直接 RadSec 接続を使用しているかによって異なります:

**RadSec 接続**

* 次に移動します **Insights > Logs**.
* 関連する期間 / 検索ウィンドウを設定します。
* を設定 **Logtype** を **details**.
* タイムスタンプとユーザー名を関連付けて、関連する認証を特定します。
* を特定する `Access-Request` メッセージ（**message > Packet-Type** = **Acess-Request**）で、調査対象の認証に属するものを見つけます。
* 該当するログ エントリを展開します。
* パブリック IP は、 **message > Packet-Src-IP-Address** プロパティから抽出できます。<br>

  <figure><img src="https://992520889-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FBlBphRDGAIwN5VGTNkEV%2Fimage.png?alt=media&#x26;token=cf1e517e-5751-4c3a-b2db-126bb1ec6a49" alt=""><figcaption></figcaption></figure>

**RADIUS 接続**

* 次に移動します **Insights > Logs**.
* 関連する期間 / 検索ウィンドウを設定します。
* を設定 **Log-type** を **プロキシ**.
* タイムスタンプとユーザー名を関連付けて、関連する認証を特定します。
* パブリック IP は、 **message** ログ エントリのプロパティに絞り込みます:<br>

  <figure><img src="https://992520889-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2F02LVmspjS7FxGb7GjVQe%2Fimage.png?alt=media&#x26;token=0355cfbc-ce0d-41e4-ab79-079391277db0" alt=""><figcaption></figcaption></figure>

## RADIUSaaS は WPA3 Enterprise をサポートしていますか?

はい、RADIUSaaS は WPA3 Enterprise をサポートしています。また、次の制限付きで WPA3 Enterprise 192-bit モードもサポートしています:

**Windows 11 24H2** では、WPA3-Enterprise 192-bit 暗号化に対する証明書要件が厳格化され、証明書チェーン全体が特定の暗号強度基準を満たさない場合に認証失敗が発生します。この更新では、認証プロセスに関与するすべての証明書について、少なくとも 3072 ビットの RSA 鍵長、または P-384 曲線を使用した ECDSA が必須となります。RSA 2048 ビットのような弱いパラメーターの証明書を使用している組織では、問題が発生する可能性があります。&#x20;

SCEPman は Windows 向けに 4096 ビット RSA 鍵をサポートしていますが、ハードウェア TPM はこの鍵サイズをサポートしていないため、Software Key Storage Provider (KSP) に限定されます。&#x20;

Windows 11 24H2 にアップグレードした後に認証の問題が発生する場合は、クライアントとサーバー間の暗号アルゴリズムの互換性がないことを示す指標として、イベント ビューアー（システム ログおよび CAPI2）で「SEC\_E\_ALGORITHM\_MISMATCH」エラーを確認してください。&#x20;

### Windows で WPA3-Enterprise 認証を使用したい場合はどうすればよいですか?

現在の対処策は、Windows 11 24H2 クライアントに対する WPA3-Enterprise 192-bit の証明書要件に対応することです。これには、新しい最小要件を満たすように Leaf Certificate を更新することが含まれます。&#x20;

Intune には現在、受信側コンピューターの Trusted Platform Module (TPM) に保存できる 3072 ビットの鍵サイズを指定する SCEP プロファイルのオプションはありません。この制限により、現時点で Windows クライアントに対する唯一実行可能な解決策は、Software Key Storage Provider (KSP) で登録された 4096 ビット RSA 鍵を使用することです。&#x20;

{% hint style="success" %}
Intune の WiFi プロファイルは WPA2-Enterprise しか提供しないため、WPA3-Enterprise WiFi プロファイルを作成するには外部ツールを使用する必要があります。便宜上、RADIUSaaS にはこのツールが含まれています [こちら](https://docs.radiusaas.com/admin-portal/settings/trusted-roots#xml).
{% endhint %}