MOVEit Transfer でリモートデータベーステーブルに格納されているユーザー名とパスワードに対して認証するには、MOVEit RADIUS/ODBC Authentication サービスを使用します。このサービスは、MOVEit Transfer からの RADIUS 要求を受け入れ、ローカル ODBC ソースから試行されたユーザー名とパスワードを検索します。

このサービスでは任意の ODBC 接続文字列と一般的なSQL クエリが使用されるため、このメカニズムでほとんどのデータベースをサポートできます (MySQL と SQL Server のサンプルが用意されています)。

推奨されるプラットフォーム

このサービスを最も安全に実行する方法は、データベースサーバーと同じマシン上にインストールすることです。この場合、ユーザー名とパスワードはすべて、暗号化された RADIUS チャネルにより保護されます。別の内部マシンにこのサービスをインストールする方法もありますが、安全性が低下します。この場合、ユーザー名とパスワードは、MOVEit Transfer と MOVEit RADIUS/ODBC Authentication サービスを実行するコンピュータの間で暗号化されますが、MOVEit RADIUS/ODBC サーバーとデータベースサーバー間ではおそらく暗号化されません。最も安全性が劣るのは、MOVEit Transfer システム本体にこのサービスをインストールする方法です。この場合、ユーザー名とパスワードは、MOVEit Transfer と内部データベースサーバーとの間で暗号化されずに送信されます。

インストール

MOVEit RADIUS/ODBC Authentication サービスをインストールするには、以下のパッケージをダウンロードしてインストールする必要があります。

  • Microsoft .NET Framework バージョン 1.1 以上
  • MOVEit RADIUS-ODBC Authentication (MOVEit 製品ページの / MOVEit / DMZ / Extras フォルダーにあります)。

MOVEit RADIUS-ODBC Authentication サーバーは Microsoft サービスとしてインストールされます。したがって、サービスコントロールパネルを使用するか、コマンドプロンプトから net stop/start moveitradius コマンドを実行してサービスの起動と停止ができます。他の MOVEit サービスとは異なり、MOVEit RADIUS-ODBC サービス自体にユーザーインターフェイスはありません。このサービスで深刻なエラーが発生すると、MOVEitRADIUS のアプリケーションイベントログに記録されます。

MOVEit RADIUS-ODBC Authentication パッケージとともに、GUI 設定クライアントもインストールされます。このクライアントは、[スタート] メニューの [プログラム] | [MOVEit DMZ] | [Configure MOVEit RADIUS (MOVEit RADIUS の設定)] から起動できます。

設定

次の例では、dotnet.corp.stdnet.com というシステムで MOVEit Transfer が実行されています。jglshuttle.corp.stdnet.com という 2 番目のシステムは、ユーザー名/パスワードデータベースサービスと MOVEit ODBC-RADIUS Authentication サービスの両方をホストしています。

ユーザー名とパスワードは、userlookup テーブルの (MySQL) データベース (radiustest) に格納されます。

MOVEit Transfer で、管理者は jglshuttle.corp.stdnet.com を指すようにリモート RADIUS 認証ソースを設定し、共有シークレットを入力します。

RADIUSODBC04.gif" width="532" height="229" alt="RADIUSODBC04.gif (10704 bytes)"/>

最後に、管理者は MOVEit RADIUS-ODBC サービスを設定するため、[Configure MOVEit Radius (MOVEit Radius の設定)] ユーティリティを開き、以下の値を入力します。

このダイアログの値は、MOVEit RADIUS-ODBC サービスで次のように使用されます。

  • [UDP Port (UDP ポート)]: このサービスが接続のためにリッスンする UDP ポート。デフォルトは 1645 です。
  • [Shared Secret (共有シークレット)] (および [Again (再入力)]): RADIUS 接続の暗号化に使用する語句。この値は、MOVEit Transfer で設定されている共有シークレット値と一致する必要があります。
  • [(ODBC) Connection ((ODBC) 接続)]: データベースに接続し、認証を受けるために使用する ODBC 接続文字列。この文字列の正確な値は、データベースのベンダーごとに異なります。MySQL データベースまたは SQL Server データベースの適切な値を簡単に入力するには、このフィールドのすぐ下にある、該当する [Set for DB (DB について設定)] ボタンをクリックします。その他のデータベースベンダーの接続文字列の詳しいリストは、http://www.connectionstrings.com に公開されています。
  • (Database (データベース)) [Host (ホスト)]: ユーザー名/パスワードのデータベースサービスの IP アドレスまたはホスト名。
  • (Database (データベース)) [Username (ユーザー名)]: ユーザー名/パスワードデータベースへの接続に使用するユーザー名。
  • (Database (データベース)) [Password (パスワード)]: ユーザー名/パスワードデータベースへの接続に使用するパスワード。
  • (Database (データベース)) [Database (データベース)]: ユーザー名/パスワードデータベースの名前。
  • (Database (データベース)) [Table (テーブル)]: ユーザー名/パスワードデータベースのテーブルの名前。
  • (Database (データベース)) [Username Field (ユーザー名フィールド)]: クリアテキストのユーザー名が含まれている、テーブル内のフィールドの名前。
  • (Database (データベース)) [Password Field (パスワードフィールド)]: クリアテキストのパスワードが含まれている、テーブル内のフィールドの名前。

必ず、すべての値を入力してください。そうしないと、MOVEit RADIUS-ODBC サービスが機能しない可能性があります。

この設定ダイアログを使用して設定したすべての値は、HKLM\SOFTWARE\Standard Networks\MOVEitRadius レジストリエントリに保存されます。[Shared Secret (共有シークレット)] [Database Password (データベースパスワード)] の値はここで暗号化され、このダイアログでのみ設定できます。新しい設定を使用するには、MOVEit RADIUS サービスを再起動する必要があります。

テスト

設定した MOVEit RADIUS-ODBC サービスの動作をテストする 1 つの方法は、適切に設定された MOVEit Transfer セッションから登録済みのユーザーとしてサインオンすることです。デバッグレベルが [DEBUG ALL (すべてデバッグ)] に設定されている場合、RADIUS メッセージおよびエラーは、MOVEit Transfer のデバッグログに記録されます。

MOVEit RADIUS テストクライアント

このような RADIUS サービスの動作をテストするには、他にも、MOVEitRADIUSTestClient (MOVEit サポートサイトの Distribution \ MOVEit \ DMZ \ Extras フォルダーにあります) をダウンロードして実行する方法があります。

注: 警告: MOVEit RADIUS テストクライアントを MOVEit Transfer マシンにインストールしないでください。テストクライアントと MOVEit Transfer の両方で使用されるいくつかの基本ライブラリの相互動作が原因で、MOVEit Transfer が RADIUS ユーザーを認証できなくなる場合があります。

インストール

RADIUS テストクライアントでは、.NET Framework を使用する必要があります。作業を始める前に .NET Framework をインストールしてください。RADIUS テストクライアントをインストールする際、ZIP ファイルの内容は、テストマシン上の 1 つのフォルダーに解凍されます (他に ZIP ユーティリティがなくても、MOVEit ウィザードによりこのファイルが解凍されます)。テストクライアントは、必ず、テストを行うマシン上にインストールしてください。リモートファイルサーバーからクライアントを実行すると、アクセス許可の問題が発生し、クライアントが正しく実行されない場合があります。「The .Net framework did not grant the permission.... (.Net framework からアクセス許可を受けることができませんでした)」というエラーが表示された場合、このことが原因として考えられます。

操作

MOVEit RADIUS テストクライアントは、MOVEitExtAuthTest.exe という名前のグラフィカルユーティリティです。このユーティリティを実行するには、ファイルをダブルクリックします。次に、テストする RADIUS サーバーの正確な情報を入力し、[Authenticate (認証)] ボタンをクリックします。

RADIUS の診断

以下のスクリーンショットは、サインオンに成功したときと、異なる一般的な問題が 3 件発生したときの MOVEit RADIUS テストクライアントの動作を示しています。

正常に接続し、正常に認証された:

正常に接続したが、ユーザー名またはパスワードが正しくない:

接続に失敗、ホストが無効:

接続に失敗、RADIUS サービスがリッスンしていない (サーバーが正しくない可能性がある):