テクニカルトピックス

【2017.12.5】RADIUS認証環境における冗長構成について

● RADIUSサーバの定義

 RADIUSの仕様によりRADIUSサーバのIPアドレスとしてVIP(Virtual IP)を指定することができません。したがって、VDI,VPN装置等の設定では、RADIUS PrimaryとRADIUS SecondaryとしてSwivelサーバの実IPを指定する必要があります。


●ユーザポータルの冗長化

 一方、ユーザポータルはSwivel Primaryサーバが表示をしますが、その際のURLにはVIPを使用可能です。したがって、特に負荷分散装置等をフロントに置く必要なく冗長構成を実現可能です。



●Swivel A/Aアプライアンスを2台構成にした場合

 Swivel A/Aアプライアンスを2台構成にし、フロントのAPサーバ(RADIUSサーバ)とDBサーバに分割した場合、APサーバから外部DBとしてSwivel DBサーバのVIPが指定可能です。
 したがって、Swivel認証環境の一般的な冗長化構成は下図の通りとなります。



●ユーザ自身によるアカウントロックの解除

 また、可用性の維持のためにはシステム視点だけではなくユーザアカウント運用の観点でも考慮する必要があります。Swivelはユーザポータルを使用してユーザ自身がセキュアにアカウントロックを解除(PINのリセット)を行う機能を持っています。