運用・管理 / RADIUSサーバー
本製品は、OpenVPNクライアント認証および無線クライアント認証(WPAエンタープライズ)用のRADIUSサーバー機能(ローカルRADIUSサーバー)を内蔵しています。ローカルRADIUSサーバーを利用すれば、別途RADIUSサーバーを用意することなく、本製品だけで認証サーバーを構築できます。
また、本製品には電子証明書を発行するローカルCA機能が付属しているため、別途認証局(CA)を用意する必要もありません。
ここではOpenVPN機能および無線LANコントローラー機能そのものについては触れません。これらについては、「VPN」の「OpenVPN」、「無線LANコントローラー(AWC対応)」の「概要」をご覧ください。
また、ローカルCA機能については「運用・管理」/「ローカルCA」をご覧ください。
仕様
ローカルRADIUSサーバーの基本的な仕様を以下に示します。
- 認証方式
ローカルRADIUSサーバーでは、以下の認証方式をサポートしています。
- EAP-TLS: OpenVPNクライアントの認証に使います。
- EAP-PEAP: 無線クライアントの認証に使います。
- アカウンティング機能はなし
ローカルRADIUSサーバーは認証機能だけを提供します(デフォルトのUDPポートは1812)。ログイン、ログオフなどの利用状況を記録するアカウンティング機能はサポートしていません。
- ユーザー登録
ユーザーはAT-AR4050Sは4000件、AT-AR2050VおよびAT-AR3050Sは3000件まで登録できます。各ユーザーに対しては、ユーザー名、パスワードに加え、OpenVPNで使用する各種属性を設定することができます(各種属性は「ユーザーグループ」単位で設定する)。
- RADIUSクライアント(NAS)登録
ローカルRADIUSサーバーにアクセスできるのは、登録したIPアドレスを持ったRADIUSクライアント(NAS = Network Access Server)だけです。また、アクセス時には共有パスワードによる認証も行われます。NASは1000件まで登録できます。
- ローカルCA
EAP-TLSの認証には認証局(CA)が発行する電子証明書が必要ですが、本製品には独自の証明書を発行するローカルCA機能が付属しているため、別途認証局(CA)を用意する必要がありません。ローカルCAおよびローカルRADIUSサーバーの証明書は自動的に発行されるため、必要な作業はCA証明書を配布してクライアントにインストールすることだけです。
ローカルCA機能の詳細については「運用・管理」/「ローカルCA」をご覧ください。
ローカルCAを再構築した場合は、機器の再起動が必要です。新しいルート証明書は再起動後から有効になります。
基本設定
ここではOpenVPNクライアント認証用のローカルRADIUSサーバーの設定方法について説明します。
無線クライアント認証(WPAエンタープライズ)用のローカルRADIUSサーバーの設定方法については、「設定例集」/「無線LANコントローラー(CLI編)」、「設定例集」/「無線LANコントローラー(GUI編)」をご覧ください。
- ローカルRADIUSサーバーの設定を開始するには、radius-server localコマンドを実行します。
awplus(config)# radius-server local ↓
Created trustpoint "local".
Generating 2048-bit key for local CA...
Automatically authenticated trustpoint "local".
Automatically enrolled the local server to trustpoint "local".
awplus(config-radsrv)#
radius-server localコマンドの初回実行時には、ローカルCA(ローカルなルート認証局)の初期設定(自署ルートCA証明書の発行など)やRADIUSサーバーの証明書発行などが自動的に行われ、またローカルホスト(127.0.0.1)をRADIUSクライアント(NAS)として自動登録します。具体的には、下記のコマンドが自動的に実行されます。
!
! 以下はradius-server localの初回実行時に自動実行される内容です。
!
awplus(config)# crypto pki trustpoint local ↓
awplus(config)# end ↓
awplus# crypto pki enroll local ↓
awplus# configure terminal ↓
awplus(config)# radius-server local ↓
awplus(config-radsrv)# nas 127.0.0.1 key awplus-local-radius-server ↓
- ユーザーを登録します。
OpenVPNクライアントにIPアドレスを割り当てる場合は、ユーザーごとに各種属性値を設定する必要があります。これはユーザーグループを使用して次のようにします。
- groupコマンド(RADIUSサーバーモード)を使って、ユーザーグループを作成します。
IPアドレスはクライアントごとに異なるため、通常はユーザーの数だけユーザーグループを作成することになります。
ここでは「userA」、「userB」、「userC」の各ユーザーに対応する同名のユーザーグループを作成し、attributeコマンドで必要な属性値を指定しています。各属性値については、attributeコマンドのページをご参照ください。
awplus(config-radsrv)# group userA ↓
awplus(config-radsrv-group)# attribute Framed-IP-Address 192.168.20.101 ↓
awplus(config-radsrv-group)# attribute Framed-IP-Netmask 255.255.255.0 ↓
awplus(config-radsrv-group)# attribute Framed-Route "192.168.10.0/24 192.168.20.1" ↓
awplus(config-radsrv-group)# attribute Framed-Route "192.168.30.0/24 192.168.20.1" ↓
awplus(config-radsrv-group)# exit ↓
awplus(config-radsrv)# group userB ↓
awplus(config-radsrv-group)# attribute Framed-IP-Address 192.168.20.102 ↓
awplus(config-radsrv-group)# attribute Framed-IP-Netmask 255.255.255.0 ↓
awplus(config-radsrv-group)# attribute Framed-Route "192.168.10.0/24 192.168.20.1" ↓
awplus(config-radsrv-group)# attribute Framed-Route "192.168.30.0/24 192.168.20.1" ↓
awplus(config-radsrv-group)# exit ↓
awplus(config-radsrv)# group userC ↓
awplus(config-radsrv-group)# attribute Framed-IP-Address 192.168.20.103 ↓
awplus(config-radsrv-group)# attribute Framed-IP-Netmask 255.255.255.0 ↓
awplus(config-radsrv-group)# attribute Framed-Route "192.168.10.0/24 192.168.20.1" ↓
awplus(config-radsrv-group)# attribute Framed-Route "192.168.30.0/24 192.168.20.1" ↓
awplus(config-radsrv-group)# exit ↓
Framed-Route属性は複数設定することができます。
- userコマンドでユーザー「userA」、「userB」、「userC」を作成します。
そのとき、groupパラメーターで属性を割り当てるためのユーザーグループ名も指定します。
awplus(config-radsrv)# user userA password passwdA group userA ↓
awplus(config-radsrv)# user userB password passwdB group userB ↓
awplus(config-radsrv)# user userC password passwdC group userC ↓
- 他の機器にも本製品のRADIUSサーバーを利用させたいときは、それらの機器をRADIUSクライアント(NAS)として登録する必要があります。該当機器のIPアドレス(RADIUSパケットの始点IPアドレス)と、アクセス時の共有パスワードをnasコマンドで設定してください。ここでは、172.16.10.2と172.16.10.3を持つ機器をRADIUSクライアントとして登録しています。
awplus(config-radsrv)# nas 172.16.10.2 key naspas2 ↓
awplus(config-radsrv)# nas 172.16.10.3 key naspas3 ↓
- 各種登録が終わったら、server enableコマンドでRADIUSサーバーを有効にします。
awplus(config-radsrv)# server enable ↓
基本設定は以上です。
■ ローカルRADIUSサーバーの初期状態では、UDPポート1812番で認証サービスを提供します。認証用のポートを変更するには、server auth-portコマンドを使います。
awplus(config-radsrv)# server auth-port 11812 ↓
各種情報の確認
■ ローカルRADIUSサーバーの状態と統計情報を確認するには、show radius local-server statisticsコマンドを使います。
awplus# show radius local-server statistics ↓
■ ローカルRADIUSサーバーに登録してあるユーザーの情報は、show radius local-server userコマンドで確認します。
awplus# show radius local-server user ↓
■ ローカルRADIUSサーバーに登録してあるユーザーグループの情報は、show radius local-server groupコマンドで確認します。
awplus# show radius local-server group ↓
■ ローカルRADIUSサーバーに登録してあるRADIUSクライアント(NAS)の情報は、show radius local-server nasコマンドで確認します。
awplus# show radius local-server nas ↓
ローカルRADIUSサーバーの利用
■ 自機のローカルRADIUSサーバーを使用するには、RADIUSクライアントの設定において、IPアドレス「127.0.0.1」、共有パスワード「awplus-local-radius-server」を指定します。たとえば、OpenVPNにおいて、ローカルRADIUSサーバーを使って認証を行う場合は、次のようにします。
awplus(config)# radius-server host 127.0.0.1 key awplus-local-radius-server ↓
awplus(config)# aaa authentication openvpn default group radius ↓
■ 他の機器から本製品のローカルRADIUSサーバーを使用する場合は、該当機器のRADIUSクライアントに対して下記の設定をしてください。なお、他の機器からアクセスさせる場合は、nasコマンドを使って、該当機器のIPアドレスと共有パスワードをあらかじめ登録しておく必要があります。
表 1
| RADIUSサーバーのIPアドレス |
該当機器から到達可能な本製品のIPアドレス |
| RADIUSサーバーの共有パスワード |
nasコマンドのkeyパラメーターで設定した文字列 |
| 認証用ポート番号 |
server auth-portコマンドで設定した値。未設定時は初期値の1812 |
| アカウンティング用ポート番号 |
使用しない(ローカルRADIUSサーバーはアカウンティング機能をサポートしていないため) |
(C) 2015 - 2018 アライドテレシスホールディングス株式会社
PN: 613-002107 Rev.U