NxFilter Tutorial
  • EN English
  • DE Deutsch
  • ES Español
  • FR Français
  • IT Italiano
  • JP 日本語
  • BR Português
  • RU Русский
  • TR Türkçe
802.1Xによるシングルサインオン
NxFilterは、内蔵のRADIUSアカウンティングサーバを使用した802.1X Wi-Fi認証によるシングルサインオンをサポートしています。 ネットワーク内のスマートフォンやその他のモバイルデバイスのシングルサインオンを行うことができます。また Active Directory、Google G Suite LDAP からユーザとグループをインポートできるので、ユーザを NxFilter 上で自分の NxFilter に表示させることができます。

動作原理
RADIUSアカウンティングプロトコルを使ってWi-Fi認証からユーザ名を取得します。NxFilter は RADIUS アカウンティングサーバとして動作します。 Wi-FiルータがRADIUSアカウンティング要求をNxFilterに送るように設定する必要があります。 注意しなければならないのは、NxFilterは単独ではRADIUS認証を行わないということです。NxFilterはRADIUS認証を行いません。 認証サーバを使います。Active Directory 環境であれば、認証サーバは Windows ネットワークポリシーサーバです。

NTRadPing などのツールを使用して、NxFilter を RADIUS アカウンティングサーバーとしてテストできます。

GUI オプション
GUIでこれらのオプションを変更した後、NxFilterを再起動する必要があります。

- Accounting Port

RADIUSアカウンティング要求を受信するポート。ここでは UDP/1813 デフォルト。

- Shared Secret

Wi-Fi ルータが NxFilter と通信するための共有秘密文字列。

- Enable Logout

アカウンティング要求のステータスタイプが「停止」の場合、ユーザーログインセッションを破棄する。

- Auto-register for New User

NxFilterに不明なユーザ名がある場合、不明なユーザ名で自動的にユーザを作成することができます。

- Default Group for New User

新規作成されたユーザのデフォルトグループを設定することができます。

- Local Domain

メールフォーム(uname@mydomain.loal)でユーザ名を受信する際、削除するドメインを指定できます。デフォルトでは NxFilter はメールフォームのユーザ名からドメイン部分を常に削除します。

- Use RADIUS

RADIUSアカウントサーバを実行する。

Active Directoryの統合
まず、Active Directoryからユーザーとグループをインポートします。 User > Active Directory. その後、NxFilter の統合 RADIUS アカウンティングサーバを User > RADIUS. ほとんどの場合、Shared Secret以外は変更する必要はありません。 最後に、Wi-FiルータとWindows NPS (Network Policy Server)を使って802.1X認証を実装します。

Windows NPSをセットアップするには、以下のNPSセットアップの部分を読んでください。 UniFiでRADIUS認証を管理する

これがNPSセットアップのキャプチャ画像です。

Unifi ルーターのセットアップのキャプチャ画像です。

ファーストコンタクトの遅延時間
ユーザーがWi-Fi認証でログインした後、最初のRADIUSアカウンティング要求を取得するのに数秒の遅延があります。 一つの問題は、ユーザが認証されていないユーザとして NxFilter によってブロックされる可能性があることです。解決策としては を作成することです。Wi-Fiで認証されたユーザは、NxFilterにブロックされるまでの数秒間、デフォルトユーザとして表示されます。 NxFilter が最初の RADIUS アカウンティング・リクエストを受信するまでの数秒間、デフォルト・ユーザーとして表示されます。

新規ユーザの自動登録
Eduroamのようなサードパーティ認証サービスによる802.1X Wi-Fi認証で、ネットワークを一時的に使用しているゲストユーザーがいる可能性があります。 彼らはユーザーデータベースには登録されていませんが、認証されたユーザーです。あなたは、彼らがあなたのネットワークを使用することを許可したいが、彼らのユーザー名で彼らを監視し、グループとして彼らにポリシーを適用します。 グループとしてポリシーを適用します。訪問者の数が少ない場合は、これらのゲスト・ユーザーに一時的なユーザー名を発行することで対応できます。しかし しかし、何百人もが出入りする場合は、手動で行うのは避けたいものです。

このような状況には 'Auto-register for New User' オプションがある。このオプションを有効にすると、NxFilter は は RADIUS アカウンティング・リクエストの中に新しいユーザ名を見つけると、そのユーザ名を持つユーザを作成します。また、'Default group を設定することもできます。

ただし、このオプションを有効にする前に 'Auto-register for New User'を有効にする前に、1つ考えておかなければならないことがあります。 これらの訪問者ユーザーは、他の組織ユーザーと区別するために「uname@visitor.com」のようなメールフォームのユーザー名を使用している可能性が高いです。しかし NxFilter はデフォルトでメールフォームのユーザー名のドメイン部分を削除します。このような訪問者のユーザ名にドメインを残すには、次のように指定します。 Local Domain. もし Local Domainを指定すると、NxFilter は指定されたドメインだけを削除します。

複数のローカルドメインをカンマ区切りで追加できます。