以前 FireWall-1 と RADIUS サーバの記事を書きましたが、この後 RADIUS の Class 属性を用いてユーザをグループ化できることを知ったのでまとめておきます。 手順はさほど難しくなく、先の記事の手順に加えて GUIdbEdit というツールを用いて add_radius_groups の値を true にするだけでオッケーです。この方法は以下の通りです。

1. GUIdbEdit.exe は SmartConsole の PROGRAM ディレクトリの中にあり、起動時に SmartCenter サーバを指定できます。
2. 左のツリーから "Table" – "Global Properties" – "properties" を選び、右画面で "Object Name" が "firewall_properties" の行を選択すると下に add_radius_groups という "Field Name" の存在を確認できると思います。 この add_radius_groups の "Value" を true にして、"File" – "Save All" して終了します。 もし、add_radius_groups が見つからなかったら "Search" – "Find" メニューより検索しましょう。
3. SmartCenter が稼動しているサーバ上で cpstop/cpstart を実行してサービスを再起動します。

以上で、準備が整いました。 後はポリシーを作成してインストールするだけです。

ポリシーについてですが、"Users and Administrators" – "User Groups" で "RAD_(クラス属性の値)" というグループを作成し、これを用いてポリシーを作成すれば良いです。 グループの中身は空でよいです。 例えば RADIUS サーバに Class が "Users" として登録されているユーザに対しては、グループ名が "RAD_Users" のグループを含むポリシーが適用されます。

RADIUS サーバの登録の仕方は先の記事を参照してください。 "External User Profiles" の "Match all users" の設定も忘れずに行っておきます。 このように作成したポリシーをインストールすれば、ユーザとその所属するグループの管理を RADIUS で行うことができるようになります。

Class 以外の RADIUS attribute を用いるように変更することも可能です。 詳しくは「ファイアウォールと SmartDefense (Firewall and SmartDefence)」の中の「認証 (Authentication)」の章に書いてあります (R60A の場合) 。 R55 の頃のドキュメントには記述はないようですが、昔から出来たようです (例) 。