運用・管理 / RADIUSクライアント

本製品はRADIUSクライアントの機能を備えており、外部および内蔵のRADIUSサーバーを利用して各種の認証やアカウンティング（利用記録）を行うことができます。

RADIUSクライアント機能は、以下の用途に使用できます。

ログイン認証（コンソール、Telnet、SSHパスワード認証、Web GUI）
OpenVPNクライアント認証
ISAKMP認証（マルチポイントIPsec、マルチポイントGRE）
ポート認証（802.1X認証、MACベース認証）

Note
無線LANコントローラー機能では、管理下のアクセスポイント（AP）が無線クライアント認証（WPAエンタープライズ）に使用するRADIUSサーバーを指定するために、以下で説明しているRADIUSクライアント用のコマンドを流用しています。
無線LANコントローラー機能におけるこれらのコマンドの設定方法については、「設定例集」/「無線LANコントローラー（CLI編）」、「設定例集」/「無線LANコントローラー（GUI編）」、radius accounting groupコマンド（WPAエンタープライズ設定モード）、radius authentication groupコマンド（WPAエンタープライズ設定モード）をご覧ください。

ログイン認証では、ユーザー認証データベースとRADIUSサーバーの併用が可能です（併用時はRADIUSサーバーが利用できない場合のバックアップとしてユーザー認証データベースを使用）。
また、OpenVPNクライアント認証では、RADIUSサーバーのみを使った認証と、RADIUSサーバーとワンタイムパスワード（TOTP/HOTP）を併用する2要素認証が可能です（RADIUSサーバーの代わりにLDAPサーバーも使用可能）。
その他の機能では認証にRADIUSサーバーの使用が必須です。

ここでは、RADIUSクライアントの設定方法だけを述べます。
RADIUSクライアントを利用する各機能の詳細については下記のページをご覧ください。

ログイン認証 - 「運用・管理」の「ユーザー認証」
OpenVPN - 「VPN」の「OpenVPN」
リモートアクセスIPsec（マルチポイントIPsec） - 「VPN」/「IPsec」
マルチポイントVPN（マルチポイントGRE） - 「VPN」/「マルチポイントVPN」
ポート認証（802.1X認証、MACベース認証） - 「インターフェース」/「ポート認証」

なお、本製品はRADIUSサーバー機能（ローカルRADIUSサーバー）を内蔵しているため、RADIUSクライアントの設定でローカルホスト（127.0.0.1）を指定すれば、本製品単独でRADIUS認証を行うこともできます。RADIUSサーバー機能については「運用・管理」の「RADIUSサーバー」をご覧ください。

基本設定

■ 認証に利用するRADIUSサーバーを登録するには、radius-server hostコマンドを使用します。RADIUSサーバーのIPアドレスと共有パスワードを指定してください。

awplus(config)# radius-server host 172.16.10.2 key Valid8Me ↓

■ 初期状態では、認証パケットはサーバーのUDPポート1812番、アカウンティングパケットはサーバーの同1813番ポートに送ります。これらのポート番号を変更するには、radius-server hostコマンドのauth-portパラメーター（認証用ポート）とacct-portパラメーター（アカウンティング用ポート）を指定してください。

awplus(config)# radius-server host 172.16.10.3 auth-port 11812 acct-port 11813 key Fugafuga ↓

■ RADIUSサーバーとの通信に関するパラメーター（応答待ち時間、再送回数など）はradius-server hostコマンドのtimeoutパラメーター、retransmitパラメーターで変更できます。次の例では、応答待ち時間を10秒、再送回数を5回に設定しています。初期設定はそれぞれ5秒と3回です。

awplus(config)# radius-server host 172.16.10.4 timeout 10 retransmit 5 ↓

■ 複数のRADIUSサーバーを登録する場合は、radius-server deadtimeコマンドで無応答のRADIUSサーバーへの要求送信抑制期間を設定してください。

awplus(config)# radius-server deadtime 1 ↓

■ RADIUSサーバーの登録を解除するには、radius-server hostコマンドをno形式で実行します。このとき、対象のサーバーをIPアドレスと2つのUDPポートの組で識別するので、初期値以外のポート番号を指定している場合は、ポート番号もあわせて指定してください。

awplus(config)# no radius-server host 172.16.10.2 ↓
awplus(config)# no radius-server host 172.16.10.3 auth-port 11812 acct-port 11813 ↓

■ 登録されているRADIUSサーバーの一覧、RADIUSサーバーとの通信に関するパラメーターを表示するには、show radiusコマンドを使用します。

awplus# show radius ↓
RADIUS Global Configuration
  Source Interface    : not configured
  Secret Key          :
  Timeout             : 5 sec
  Retransmit Count    : 3
  Deadtime            : 0 min

Server Host : 127.0.0.1
  Authentication Port : 1812
  Accounting Port     : 1813
  Secret Key          : awplus-local-radius-server

Server Host/IP       Auth  Acct             Auth           Acct
Address              Port  Port  VRF        Status         Status
-------------------------------------------------------------------------
127.0.0.1            1812  1813             Alive          Unknown

登録したRADIUSサーバーの使用

RADIUSサーバーは登録しただけでは使用されません。

各種機能の設定において、RADIUSサーバーを使用するよう指定して初めてRADIUSクライアント機能が働き、登録されているRADIUSサーバーへのアクセスが発生します。

RADIUSサーバーを使用する機能には次のものがあります。

ログイン認証（コンソール、Telnet、SSH、Web GUI）
OpenVPNクライアント認証
ISAKMP認証（マルチポイントIPsec、マルチポイントGRE）
ポート認証（802.1X認証、MACベース認証）

認証用のRADIUSサーバーとアカウンティング用のRADIUSサーバーは個別に設定します。

全方式共通のRADIUSサーバーを使う

1台または複数台のRADIUSサーバーをすべての認証方式で共用する場合は、使用するRADIUSサーバーを使用順に登録しておき、各認証機能の設定において、デフォルトの認証サーバーグループ名「radius」を指定するだけです。以下に例を示します。

使用するすべてのRADIUSサーバーのIPアドレスと共有パスワードを登録します。全方式共通の設定をする場合、ここでの追加順がサーバーの使用順序となります。
```
awplus(config)# radius-server host 172.16.10.5 key himitsu5 ↓
awplus(config)# radius-server host 172.16.10.6 key himitsu6 ↓
```

各認証方式を有効化するときに「group radius」を指定します。これは、「radius-server hostコマンドで登録したRADIUSサーバーを登録順に使う」の意味です。

awplus(config)# aaa authentication login default group radius ↓
awplus(config)# aaa authentication openvpn default group radius ↓
awplus(config)# aaa authentication isakmp default group radius ↓
awplus(config)# aaa authentication dot1x default group radius ↓
awplus(config)# aaa authentication auth-mac default group radius ↓

各認証方式においてアカウンティングを行いたい場合は、同様にして使用するアカウンティング用RADIUSサーバーを指定します。またこのとき、どのイベント（ログイン、ログオフ）を記録するかも指定します。
```
awplus(config)# aaa accounting login default start-stop group radius ↓
awplus(config)# aaa accounting dot1x default start-stop group radius ↓
awplus(config)# aaa accounting auth-mac default start-stop group radius ↓
```
Note
OpenVPNではアカウンティングを行えません。

Note
ISAKMP認証ではアカウンティングを行えません。

これにより、すべての認証方式において、認証要求とアカウンティング要求のいずれにもRADIUSサーバー「172.16.10.5」、「172.16.10.6」を使用するようになります（172.16.10.5が無応答の場合172.16.10.6を試す）。

各方式個別のRADIUSサーバーを使う

認証方式ごとにRADIUSサーバーを用意して、個別に認証やアカウンティングを行うこともできます。これは、ユーザー定義の認証サーバーグループを複数作成することで実現します。

ここでは例として、次のように認証方式ごとに異なるRADIUSサーバーを使うための設定を示します。

表 1
認証方式	使用するRADIUSサーバー	共有パスワード
ログイン認証とアカウンティング	172.16.10.10	himitsu10
ログイン認証とアカウンティング	172.16.10.20	himitsu20
OpenVPN認証	172.16.10.11	himitsu11
OpenVPN認証	172.16.10.21	himitsu21
ISAKMP認証	172.16.10.11	himitsu11
802.1X認証とアカウンティング	172.16.10.11	himitsu11
802.1X認証とアカウンティング	172.16.10.21	himitsu21
MACベース認証とアカウンティング	172.16.10.12	himitsu12
MACベース認証とアカウンティング	172.16.10.22	himitsu22

使用するすべてのRADIUSサーバーのIPアドレスと共有パスワードを登録します。各方式個別の設定をするときは、認証サーバーグループの設定時にサーバーの使用順序を指定するので、ここでの追加順序は特に意味を持ちません。

awplus(config)# radius-server host 172.16.10.10 key himitsu10 ↓
awplus(config)# radius-server host 172.16.10.11 key himitsu11 ↓
awplus(config)# radius-server host 172.16.10.12 key himitsu12 ↓
awplus(config)# radius-server host 172.16.10.20 key himitsu20 ↓
awplus(config)# radius-server host 172.16.10.21 key himitsu21 ↓
awplus(config)# radius-server host 172.16.10.22 key himitsu22 ↓

手順1で登録したRADIUSサーバーのうち、ログイン認証で使うものだけを認証サーバーグループ「srv4login」としてグループ化します。
- aaa group server radiusコマンドで認証サーバーグループ「srv4login」を作成します。同コマンドを実行すると、サーバーグループモードに入ります。
```
awplus(config)# aaa group server radius srv4login ↓
```
- グループ化対象のRADIUSサーバーをserverコマンドで追加していきます。各方式個別の設定をするときは、ここでの追加順がサーバーの使用順序となります。
```
awplus(config-sg)# server 172.16.10.10 ↓
awplus(config-sg)# server 172.16.10.20 ↓
awplus(config-sg)# exit ↓
```

他の機能向けのサーバーグループも同様にして作成します。

OpenVPN認証用のサーバーグループ「srv4openvpn」

awplus(config)# aaa group server radius srv4openvpn ↓
awplus(config-sg)# server 172.16.10.11 ↓
awplus(config-sg)# server 172.16.10.21 ↓
awplus(config-sg)# exit ↓

ISAKMP認証用のサーバーグループ「srv4isakmp」

awplus(config)# aaa group server radius srv4isakmp ↓
awplus(config-sg)# server 172.16.10.11 ↓
awplus(config-sg)# exit ↓

802.1X認証用のサーバーグループ「srv4dot1x」

awplus(config)# aaa group server radius srv4dot1x ↓
awplus(config-sg)# server 172.16.10.11 ↓
awplus(config-sg)# server 172.16.10.21 ↓
awplus(config-sg)# exit ↓

MACベース認証用のサーバーグループ「srv4mac」

awplus(config)# aaa group server radius srv4mac ↓
awplus(config-sg)# server 172.16.10.12 ↓
awplus(config-sg)# server 172.16.10.22 ↓
awplus(config-sg)# exit ↓

各認証方式を有効化するときに「group サーバーグループ名」を指定します。これは、該当認証方式において「指定したサーバーグループ所属のRADIUSサーバーを使う」の意味です。

awplus(config)# aaa authentication login default group srv4login ↓
awplus(config)# aaa authentication openvpn default group srv4openvpn ↓
awplus(config)# aaa authentication openvpn default group srv4isakmp ↓
awplus(config)# aaa authentication dot1x default group srv4dot1x ↓
awplus(config)# aaa authentication auth-mac default group srv4mac ↓

各認証方式においてアカウンティングを行いたい場合は、同様にして使用するアカウンティング用RADIUSサーバーを指定します。またこのとき、どのイベント（ログイン、ログオフ）を記録するかも指定します。
```
awplus(config)# aaa accounting login default start-stop group srv4login ↓
awplus(config)# aaa accounting dot1x default start-stop group srv4dot1x ↓
awplus(config)# aaa accounting auth-mac default start-stop group srv4mac ↓
```
Note
OpenVPNではアカウンティングを行えません。

Note
ISAKMP認証ではアカウンティングを行えません。

これにより、認証方式ごとに異なるRADIUSサーバーが使用されるようになります。

PN: 613-002107 Rev.AY