rule attribute

モード: RADIUSプロキシーモード
カテゴリー: 運用・管理 / RADIUSプロキシー

(config-radproxy)# rule <1-65535> attribute ATTR PATTERN server A.B.C.D [auth-port <1-65535>] [acct-port <1-65535>]

(config-radproxy)# rule <1-65535> attribute ATTR PATTERN group GROUPNAME

(config-radproxy)# no rule <1-65535>

RADIUSプロキシーの属性ベース転送ルールを追加する。
no形式で実行した場合は指定した属性ベース転送ルールを削除する。

RADIUSプロキシーの転送ルールには属性ベース(rule attribute)とドメイン(レルム)ベース(rule realm)の二種類があるが、これらは共通のルール番号によって一つのリストに並べられ、ルール番号順にチェックされる。
いずれかの転送ルールにマッチしたRADIUS要求はそのルールで指定されたRADIUSサーバーに転送される。
どの転送ルールにもマッチしなかったRADIUS要求はserverコマンド(RADIUSプロキシーモード)で登録されたすべてのRADIUSサーバーの中で利用可能(ダウンしていない)かつ登録順が一番早いものに転送される。

属性ベース認証ルールでは、下位のRADIUSクライアント(NAS)から受け取ったRADIUS要求パケット内の特定の属性値が指定したパターンとマッチした場合に、ルールで指定された上位RADIUSサーバーにRADIUS要求を転送する。
転送先のRADIUSサーバーは、単一サーバー(serverパラメーター)かサーバーグループ(groupパラメーター)を指定できる。

属性ベース転送ルールで指定可能な属性は次のとおり。


なお、User-Name属性はドメインベース転送ルール(rule realm)でもパターンマッチの対象になるが、ドメインベース転送ルールではUser-Name属性値内のドメイン(レルム)文字列だけが照合されるのに対し、属性ベース転送ルールではUser-Name属性に含まれる文字列全体が照合される。また、ドメインベース転送ルールではデフォルトでUser-Name属性値のドメイン部分を削除するが、属性ベース転送ルールでは属性値の変更は行わない。


パラメーター

<1-65535> ルール番号(rule attributeコマンドとrule realmコマンドで共通)。すでに存在している番号を指定した場合はエラーになる
ATTR 照合対象の属性名。以下から選択する
nas-ip-address NAS-IP-Address属性
nas-identifier NAS-Identifier属性
calling-station-id Calling-Station-Id属性
user-name User-Name属性
called-station-id Called-Station-Id属性
PATTERN ATTRパラメーターで指定した属性の値と照合するパターン。すべての印刷可能ASCII文字が使用可能。ただし、アスタリスク(*)はワイルドカードとして0文字以上の任意の文字列にマッチするため、アスタリスクそのものは \* (バックスラッシュ+アスタリスク)で表す。パターンがスペースを含む場合は全体を "(ダブルクォート)で囲むこと。ダブルクォートそのものは \" (バックスラッシュ+ダブルクォート)で表す。属性ベースルールでは英字の大文字小文字が区別される。なお、パターンの照合は属性値の文字列全体に対して行われるため、パターン「a*b」は属性値「axb」にはマッチするが「xaxby」にはマッチしない
server A.B.C.D 本ルールにマッチしたRADIUS要求の転送先となる上位RADIUSサーバーのIPアドレス
auth-port <1-65535> 転送先RADIUSサーバーの認証用UDPポート番号。serverコマンド(RADIUSプロキシーモード)の同名パラメーターで指定したのと同じ値を指定すること。省略時は初期値の1812を使う
acct-port <1-65535> RADIUSサーバーのアカウンティング用UDPポート番号。serverコマンド(RADIUSプロキシーモード)の同名パラメーターで指定したのと同じ値を指定すること。省略時は初期値の1813を使う
group GROUPNAME 転送先RADIUSサーバーグループ名。単一のRADIUSサーバーではなく複数のRADIUSサーバーを転送先の候補にしたい場合は、groupコマンド(RADIUSプロキシーモード)、serverコマンド(RADIUSプロキシー・サーバーグループモード)でサーバーグループを定義し、ルール作成時に本パラメーターでグループ名を指定する


使用例

■ 弊社の無線アクセスポイント(AP)AT-TQシリーズでは、Called-Station-Id 属性に <SSID MACアドレス>:<SSID> のような文字列が格納されます。
たとえば、SSIDが「ABC」の場合、Called-Station-Id 属性には次のような文字列が入ります。


RADIUSクライアント(NAS)がAT-TQシリーズの場合は、次のようにワイルドカード(*)を使用することで、SSIDごとに転送先のRADIUSサーバーを振り分けるルールを簡単に設定できます。
awplus(config-radproxy)# rule 1 attribute called-station-id *:ABC server 192.168.1.254


コマンドツリー

radius-server proxy-server (グローバルコンフィグモード)
    |
    +- rule attribute(RADIUSプロキシーモード)

関連コマンド

show radius proxy-server(特権EXECモード)
show radius proxy-server statistics(特権EXECモード)


(C) 2012 - 2019 アライドテレシスホールディングス株式会社

PN: 613-001763 Rev.AB