運用・管理 / RADIUSクライアント

本製品はRADIUSクライアントの機能を備えており、外部および内蔵のRADIUSサーバーを利用して各種の認証やアカウンティング（利用記録）を行うことができます。

RADIUSクライアント機能は、以下の用途に使用できます。

CLIログイン認証（コンソール、Telnet、SSHパスワード認証）
ポート認証（802.1X認証、MACベース認証、Web認証）

このうち、CLIログイン認証では、ユーザー認証データベースとRADIUSサーバーの併用が可能です（利用順序も変更可能）。一方、ポート認証ではRADIUSサーバーの使用が必須です。

ここでは、RADIUSクライアントの設定方法だけを述べます。CLIログイン認証については「運用・管理」の「ユーザー認証」を、ポート認証については「インターフェース」の「ポート認証」をご覧ください。

なお、本製品はRADIUSサーバー機能（ローカルRADIUSサーバー）を内蔵しているため、RADIUSクライアントの設定でローカルホスト（127.0.0.1）を指定すれば、本製品単独でRADIUS認証を行うこともできます。RADIUSサーバー機能については「運用・管理」の「RADIUSサーバー」をご覧ください。

基本設定

■ 認証に利用するRADIUSサーバーを登録するには、radius-server hostコマンドを使用します。RADIUSサーバーのIPアドレスと共有パスワードを指定してください。

awplus(config)# radius-server host 172.16.10.2 key Valid8Me ↓

■ 初期状態では、認証パケットはサーバーのUDPポート1812番、アカウンティングパケットはサーバーの同1813番ポートに送ります。これらのポート番号を変更するには、radius-server hostコマンドのauth-portパラメーター（認証用ポート）とacct-portパラメーター（アカウンティング用ポート）を指定してください。

awplus(config)# radius-server host 172.16.10.3 auth-port 11812 acct-port 11813 key Fugafuga ↓

■ RADIUSサーバーとの通信に関するパラメーター（応答待ち時間、再送回数など）はradius-server hostコマンドのtimeoutパラメーター、retransmitパラメーターで変更できます。次の例では、応答待ち時間を10秒、再送回数を5回に設定しています。初期設定はそれぞれ5秒と3回です。

awplus(config)# radius-server host 172.16.10.4 timeout 10 retransmit 5 ↓

■ 複数のRADIUSサーバーを登録する場合は、radius-server deadtimeコマンドで無応答のRADIUSサーバーへの要求送信抑制期間を設定してください。

awplus(config)# radius-server deadtime 1 ↓

■ RADIUSサーバーの登録を解除するには、radius-server hostコマンドをno形式で実行します。このとき、対象のサーバーをIPアドレスと2つのUDPポートの組で識別するので、初期値以外のポート番号を指定している場合は、ポート番号もあわせて指定してください。

awplus(config)# no radius-server host 172.16.10.2 ↓
awplus(config)# no radius-server host 172.16.10.3 auth-port 11812 acct-port 11813 ↓

■ 登録されているRADIUSサーバーの一覧、RADIUSサーバーとの通信に関するパラメーターを表示するには、show radiusコマンドを使用します。

awplus# show radius ↓
RADIUS Global Configuration
  Source Interface    : not configured
  Secret Key          :
  Timeout             : 5 sec
  Retransmit Count    : 3
  Deadtime            : 0 min

Server Host : 127.0.0.1
  Authentication Port : 1812
  Accounting Port     : 1813
  Secret Key          : awplus-local-radius-server

Server Host/    Auth  Acct  Auth           Acct
IP Address      Port  Port  Status         Status
------------------------------------------------------------
127.0.0.1       1812  1813  Alive          Unknown

登録したRADIUSサーバーの使用

RADIUSサーバーは登録しただけでは使用されません。

各種機能の設定において、RADIUSサーバーを使用するよう指定して初めてRADIUSクライアント機能が働き、登録されているRADIUSサーバーへのアクセスが発生します。

RADIUSサーバーを使用する機能には次のものがあります。

CLIログイン認証（コンソール、Telnet、SSH）
ポート認証（802.1X認証、MACベース認証、Web認証）

認証用のRADIUSサーバーとアカウンティング用のRADIUSサーバーは個別に設定します。

全方式共通のRADIUSサーバーを使う

1台または複数台のRADIUSサーバーをすべての認証方式で共用する場合は、使用するRADIUSサーバーを使用順に登録しておき、各認証機能の設定において、デフォルトの認証サーバーグループ名「radius」を指定するだけです。以下に例を示します。

使用するすべてのRADIUSサーバーのIPアドレスと共有パスワードを登録します。全方式共通の設定をする場合、ここでの追加順がサーバーの使用順序となります。
```
awplus(config)# radius-server host 172.16.10.5 key himitsu5 ↓
awplus(config)# radius-server host 172.16.10.6 key himitsu6 ↓
```

各認証方式を有効化するときに「group radius」を指定します。これは、「radius-server hostコマンドで登録したRADIUSサーバーを登録順に使う」の意味です。

awplus(config)# aaa authentication login default group radius ↓
awplus(config)# aaa authentication dot1x default group radius ↓
awplus(config)# aaa authentication auth-mac default group radius ↓
awplus(config)# aaa authentication auth-web default group radius ↓

各認証方式においてアカウンティングを行いたい場合は、同様にして使用するアカウンティング用RADIUSサーバーを指定します。またこのとき、どのイベント（ログイン、ログオフ）を記録するかも指定します。

awplus(config)# aaa accounting login default start-stop group radius ↓
awplus(config)# aaa accounting dot1x default start-stop group radius ↓
awplus(config)# aaa accounting auth-mac default start-stop group radius ↓
awplus(config)# aaa accounting auth-web default start-stop group radius ↓

これにより、すべての認証方式において、認証要求とアカウンティング要求のいずれにもRADIUSサーバー「172.16.10.5」、「172.16.10.6」を使用するようになります（172.16.10.5が無応答の場合172.16.10.6を試す）。

各方式個別のRADIUSサーバーを使う

認証方式ごとにRADIUSサーバーを用意して、個別に認証やアカウンティングを行うこともできます。これは、ユーザー定義の認証サーバーグループを複数作成することで実現します。

ここでは例として、次のように認証方式ごとに異なるRADIUSサーバーを使うための設定を示します。

表 1
認証方式	使用するRADIUSサーバー	共有パスワード
CLIログイン認証とアカウンティング	172.16.10.10	himitsu10
CLIログイン認証とアカウンティング	172.16.10.20	himitsu20
802.1X認証とアカウンティング	172.16.10.11	himitsu11
802.1X認証とアカウンティング	172.16.10.21	himitsu21
MACベース認証とアカウンティング	172.16.10.12	himitsu12
MACベース認証とアカウンティング	172.16.10.22	himitsu22
Web認証とアカウンティング	172.16.10.13	himitsu13
Web認証とアカウンティング	172.16.10.23	himitsu23

使用するすべてのRADIUSサーバーのIPアドレスと共有パスワードを登録します。各方式個別の設定をするときは、認証サーバーグループの設定時にサーバーの使用順序を指定するので、ここでの追加順序は特に意味を持ちません。

awplus(config)# radius-server host 172.16.10.10 key himitsu10 ↓
awplus(config)# radius-server host 172.16.10.11 key himitsu11 ↓
awplus(config)# radius-server host 172.16.10.12 key himitsu12 ↓
awplus(config)# radius-server host 172.16.10.13 key himitsu13 ↓
awplus(config)# radius-server host 172.16.10.20 key himitsu20 ↓
awplus(config)# radius-server host 172.16.10.21 key himitsu21 ↓
awplus(config)# radius-server host 172.16.10.22 key himitsu22 ↓
awplus(config)# radius-server host 172.16.10.23 key himitsu23 ↓

手順1で登録したRADIUSサーバーのうち、CLIログイン認証で使うものだけを認証サーバーグループ「srv4login」としてグループ化します。
- aaa group server radiusコマンドで認証サーバーグループ「srv4login」を作成します。同コマンドを実行すると、サーバーグループモードに入ります。
```
awplus(config)# aaa group server radius srv4login ↓
```
- グループ化対象のRADIUSサーバーをserverコマンドで追加していきます。各方式個別の設定をするときは、ここでの追加順がサーバーの使用順序となります。
```
awplus(config-sg)# server 172.16.10.10 ↓
awplus(config-sg)# server 172.16.10.20 ↓
awplus(config-sg)# exit ↓
```

802.1X認証用のサーバーグループ「srv4dot1x」、MACベース認証用のサーバーグループ「srv4mac」とWeb認証用のサーバーグループ「srv4web」も同様にして作成します。

awplus(config)# aaa group server radius srv4dot1x ↓
awplus(config-sg)# server 172.16.10.11 ↓
awplus(config-sg)# server 172.16.10.21 ↓
awplus(config-sg)# exit ↓
awplus(config)# aaa group server radius srv4mac ↓
awplus(config-sg)# server 172.16.10.12 ↓
awplus(config-sg)# server 172.16.10.22 ↓
awplus(config-sg)# exit ↓
awplus(config)# aaa group server radius srv4web ↓
awplus(config-sg)# server 172.16.10.13 ↓
awplus(config-sg)# server 172.16.10.23 ↓
awplus(config-sg)# exit ↓

各認証方式を有効化するときに「group サーバーグループ名」を指定します。これは、該当認証方式において「指定したサーバーグループ所属のRADIUSサーバーを使う」の意味です。

awplus(config)# aaa authentication login default group srv4login ↓
awplus(config)# aaa authentication dot1x default group srv4dot1x ↓
awplus(config)# aaa authentication auth-mac default group srv4mac ↓
awplus(config)# aaa authentication auth-web default group srv4web ↓

awplus(config)# aaa accounting login default start-stop group srv4login ↓
awplus(config)# aaa accounting dot1x default start-stop group srv4dot1x ↓
awplus(config)# aaa accounting auth-mac default start-stop group srv4mac ↓
awplus(config)# aaa accounting auth-web default start-stop group srv4web ↓

これにより、CLIログイン認証ではサーバーグループsrv4login所属の172.16.10.10、172.16.10.20が、802.1X認証ではサーバーグループsrv4dot1x所属の172.16.10.11、172.16.10.21が、MACベース認証ではサーバーグループsrv4mac所属の172.16.10.12、172.16.10.22が、Web認証ではサーバーグループsrv4web所属の172.16.10.13、172.16.10.23がそれぞれ順に使用されるようになります。

PN: 613-001763 Rev.W