運用・管理 / RADIUSサーバー

仕様
ローカルRADIUSサーバー
ローカルCA
基本設定
各種情報の確認
電子証明書の配布(ローカルCA機能)
ルートCA証明書の配布
ローカルRADIUSサーバーの利用

本製品は、OpenVPNクライアント認証用のRADIUSサーバー機能(ローカルRADIUSサーバー)を内蔵しています。ローカルRADIUSサーバーを利用すれば、別途RADIUSサーバーを用意することなく、本製品だけでOpenVPNサーバーを構築できます。

ここではOpenVPN機能そのものについては触れません。「VPN」の「OpenVPN」をご覧ください。

仕様

 ローカルRADIUSサーバーとローカルCAの基本的な仕様を以下に示します。

ローカルRADIUSサーバー

ローカルCA

 EAP-TLSの認証には認証局(CA)が発行する電子証明書が必要ですが、ローカルRADIUS機能には独自の証明書を発行するローカルCA機能が付属しているため、別途認証局(CA)を用意する必要がありません。ローカルCAおよびローカルRADIUSサーバーの証明書は自動的に発行されるため、必要な作業はCA証明書を配布してクライアントにインストールすることだけです。


Note - 本製品はローカルCAの証明書データベースのバックアップが取れないので、装置入れ替えなどが発生するとCA局の再構築が必要になり、ルートCA証明書やユーザー証明書を再発行する必要があります。本製品のローカルRADIUSサーバー機能を用いたEAP-TLSまたはEAP-PEAP構成でネットワーク運用する場合はご注意ください。

Note - no crypto pki enroll local user <user-name>で削除したユーザーはフラッシュメモリー上からは消えますが、データベース上に情報が残るため、削除した証明書でPCクライアントから認証ができてしまいます。それを回避するためには、no crypto pki trustpointでローカルCAを一度削除してから、再度ユーザーの証明書を作成してください。

Note - ローカルCAを再構築した場合は、機器の再起動が必要です。新しいルート証明書は再起動後から有効になります。

基本設定
  1. ローカルRADIUSサーバーの設定を開始するには、radius-server localコマンドを実行します。

    awplus(config)# radius-server local
Creating Local CA repository.....OK
Enrolling Local System to local trustpoint..OK
awplus(config-radsrv)#


    radius-server localコマンドの初回実行時には、ローカルCA(ローカルなルート認証局)の初期設定(自署ルートCA証明書の発行など)やRADIUSサーバーの証明書発行などが自動的に行われ、またローカルホスト(127.0.0.1)をRADIUSクライアント(NAS)として自動登録します。具体的には、下記のコマンドが自動的に実行されます。

    !
! 以下はradius-server localの初回実行時に自動実行される内容です。
! (ランニングコンフィグに自動追加される内容)
!
awplus(config)# crypto pki trustpoint local
awplus(config)# crypto pki enroll local
awplus(config)# radius-server local
awplus(config-radsrv)# nas 127.0.0.1 key awplus-local-radius-server


  2. ユーザーを登録します。

    OpenVPNクライアントにIPアドレスを割り当てる場合は、ユーザーごとに各種属性値を設定する必要があります。これはユーザーグループを使用して次のようにします。


  3. 他の機器にも本製品のRADIUSサーバーを利用させたいときは、それらの機器をRADIUSクライアント(NAS)として登録する必要があります。該当機器のIPアドレス(RADIUSパケットの始点IPアドレス)と、アクセス時の共有パスワードをnasコマンドで設定してください。ここでは、172.16.10.2と172.16.10.3を持つ機器をRADIUSクライアントとして登録しています。

    awplus(config-radsrv)# nas 172.16.10.2 key naspas2
awplus(config-radsrv)# nas 172.16.10.3 key naspas3


  4. 各種登録が終わったら、server enableコマンドでRADIUSサーバーを有効にします。

    awplus(config-radsrv)# server enable


基本設定は以上です。

■ ローカルRADIUSサーバーの初期状態では、UDPポート1812番で認証サービスを提供します。認証用のポートを変更するには、server auth-portコマンドを使います。

awplus(config-radsrv)# server auth-port 11812


各種情報の確認

 ■ ローカルRADIUSサーバーの状態と統計情報を確認するには、show radius local-server statisticsコマンドを使います。

awplus# show radius local-server statistics


■ ローカルRADIUSサーバーに登録してあるユーザーの情報は、show radius local-server userコマンドで確認します。

awplus# show radius local-server user


■ ローカルRADIUSサーバーに登録してあるユーザーグループの情報は、show radius local-server groupコマンドで確認します。

awplus# show radius local-server group


■ ローカルRADIUSサーバーに登録してあるRADIUSクライアント(NAS)の情報は、show radius local-server nasコマンドで確認します。

awplus# show radius local-server nas


電子証明書の配布(ローカルCA機能)

 ローカルRADIUSサーバーに内蔵されているローカルCA機能の操作について説明します。

ルートCA証明書の配布

 OpenVPNクライアントには、ローカルCAの電子証明書(ルートCA証明書)をインストールする必要があります(OpenVPNサーバーの電子証明書を検証するため)。

■ ローカルCAの電子証明書をユーザーに配布するには、次のようにします。
  1. crypto pki export local pem urlコマンドを実行して、ローカルCAの証明書をPEM形式のファイルに書き出します。書き出し先のファイル名は任意ですが、拡張子を.cerか.crtにしておくとSupplicantへの取り込み時に便利です。

    awplus(config)# crypto pki export local pem url flash:/localca.cer


  2. 書き出したPEM形式ファイル(ここではflash:/localca.cer)をユーザーに渡し、OpenVPNクライアントにインストールしてもらってください。

ローカルRADIUSサーバーの利用

 ■ 自機のローカルRADIUSサーバーを使用するには、RADIUSクライアントの設定において、IPアドレス「127.0.0.1」、共有パスワード「awplus-local-radius-server」を指定します。たとえば、Web認証機能において、ローカルRADIUSサーバーを使って認証を行う場合は、次のようにします。

awplus(config)# radius-server host 127.0.0.1 key awplus-local-radius-server
awplus(config)# aaa authentication auth-web default group radius


■ 他の機器から本製品のローカルRADIUSサーバーを使用する場合は、該当機器のRADIUSクライアントに対して下記の設定をしてください。なお、他の機器からアクセスさせる場合は、nasコマンドを使って、該当機器のIPアドレスと共有パスワードをあらかじめ登録しておく必要があります。

表 1
RADIUSサーバーのIPアドレス 該当機器から到達可能な本製品のIPアドレス
RADIUSサーバーの共有パスワード nasコマンドのkeyパラメーターで設定した文字列
認証用ポート番号 server auth-portコマンドで設定した値。未設定時は初期値の1812
アカウンティング用ポート番号 使用しない(ローカルRADIUSサーバーはアカウンティング機能をサポートしていないため)


(C) 2016 アライドテレシスホールディングス株式会社

PN: 613-002311 Rev.A