運用・管理 / RADIUSクライアント

本製品はRADIUSクライアントの機能を備えており、外部および内蔵のRADIUSサーバーを利用して各種の認証やアカウンティング（利用記録）を行うことができます。

RADIUSクライアント機能は、以下の用途に使用できます。

ログイン認証（SSHパスワード認証、Web GUI）
OpenVPNクライアント認証
ISAKMP認証（マルチポイントIPsec、マルチポイントGRE）

ログイン認証では、ユーザー認証データベースとRADIUSサーバーの併用が可能です（併用時はRADIUSサーバーが利用できない場合のバックアップとしてユーザー認証データベースを使用）。
また、OpenVPNクライアント認証では、RADIUSサーバーのみを使った認証と、RADIUSサーバーとワンタイムパスワード（TOTP/HOTP）を併用する2要素認証が可能です（RADIUSサーバーの代わりにLDAPサーバーも使用可能）。
その他の機能では認証にRADIUSサーバーの使用が必須です。

ここでは、RADIUSクライアントの設定方法だけを述べます。
RADIUSクライアントを利用する各機能の詳細については下記のページをご覧ください。

ログイン認証 - 「運用・管理」の「ユーザー認証」
OpenVPN - 「VPN」の「OpenVPN」
リモートアクセスIPsec（マルチポイントIPsec） - 「VPN」/「IPsec」
マルチポイントVPN（マルチポイントGRE） - 「VPN」/「マルチポイントVPN」

なお、本製品はRADIUSサーバー機能（ローカルRADIUSサーバー）を内蔵しているため、RADIUSクライアントの設定でローカルホスト（127.0.0.1）を指定すれば、本製品単独でRADIUS認証を行うこともできます。RADIUSサーバー機能については「運用・管理」の「RADIUSサーバー」をご覧ください。

基本設定

■ 認証に利用するRADIUSサーバーを登録するには、radius-server hostコマンドを使用します。RADIUSサーバーのIPアドレスと共有パスワードを指定してください。

awplus(config)# radius-server host 172.16.10.2 key Valid8Me ↓

■ 初期状態では、認証パケットはサーバーのUDPポート1812番、アカウンティングパケットはサーバーの同1813番ポートに送ります。これらのポート番号を変更するには、radius-server hostコマンドのauth-portパラメーター（認証用ポート）とacct-portパラメーター（アカウンティング用ポート）を指定してください。

awplus(config)# radius-server host 172.16.10.3 auth-port 11812 acct-port 11813 key Fugafuga ↓

■ RADIUSサーバーとの通信に関するパラメーター（応答待ち時間、再送回数など）はradius-server hostコマンドのtimeoutパラメーター、retransmitパラメーターで変更できます。次の例では、応答待ち時間を10秒、再送回数を5回に設定しています。初期設定はそれぞれ5秒と3回です。

awplus(config)# radius-server host 172.16.10.4 timeout 10 retransmit 5 ↓

■ 複数のRADIUSサーバーを登録する場合は、radius-server deadtimeコマンドで無応答のRADIUSサーバーへの要求送信抑制期間を設定してください。

awplus(config)# radius-server deadtime 1 ↓

■ RADIUSサーバーの登録を解除するには、radius-server hostコマンドをno形式で実行します。このとき、対象のサーバーをIPアドレスと2つのUDPポートの組で識別するので、初期値以外のポート番号を指定している場合は、ポート番号もあわせて指定してください。

awplus(config)# no radius-server host 172.16.10.2 ↓
awplus(config)# no radius-server host 172.16.10.3 auth-port 11812 acct-port 11813 ↓

■ 登録されているRADIUSサーバーの一覧、RADIUSサーバーとの通信に関するパラメーターを表示するには、show radiusコマンドを使用します。

awplus# show radius ↓
RADIUS Global Configuration
  Source Interface    : not configured
  Secret Key          :
  Timeout             : 5 sec
  Retransmit Count    : 3
  Deadtime            : 0 min

Server Host : 127.0.0.1
  Authentication Port : 1812
  Accounting Port     : 1813
  Secret Key          : awplus-local-radius-server

                               Auth  Acct  Auth           Acct
Server Host/IP Address         Port  Port  Status         Status
------------------------------------------------------------------------
127.0.0.1                      1812  1813  Alive          Unknown

登録したRADIUSサーバーの使用

RADIUSサーバーは登録しただけでは使用されません。

各種機能の設定において、RADIUSサーバーを使用するよう指定して初めてRADIUSクライアント機能が働き、登録されているRADIUSサーバーへのアクセスが発生します。

RADIUSサーバーを使用する機能には次のものがあります。

ログイン認証（SSH、Web GUI）
OpenVPNクライアント認証
ISAKMP認証（マルチポイントIPsec、マルチポイントGRE）

認証用のRADIUSサーバーとアカウンティング用のRADIUSサーバーは個別に設定します。

全方式共通のRADIUSサーバーを使う

1台または複数台のRADIUSサーバーをすべての認証方式で共用する場合は、使用するRADIUSサーバーを使用順に登録しておき、各認証機能の設定において、デフォルトの認証サーバーグループ名「radius」を指定するだけです。以下に例を示します。

使用するすべてのRADIUSサーバーのIPアドレスと共有パスワードを登録します。全方式共通の設定をする場合、ここでの追加順がサーバーの使用順序となります。
```
awplus(config)# radius-server host 172.16.10.5 key himitsu5 ↓
awplus(config)# radius-server host 172.16.10.6 key himitsu6 ↓
```

各認証方式を有効化するときに「group radius」を指定します。これは、「radius-server hostコマンドで登録したRADIUSサーバーを登録順に使う」の意味です。

awplus(config)# aaa authentication login default group radius ↓
awplus(config)# aaa authentication openvpn default group radius ↓
awplus(config)# aaa authentication isakmp default group radius ↓

各認証方式においてアカウンティングを行いたい場合は、同様にして使用するアカウンティング用RADIUSサーバーを指定します。またこのとき、どのイベント（ログイン、ログオフ）を記録するかも指定します。
```
awplus(config)# aaa accounting login default start-stop group radius ↓
```
Note
ISAKMP認証ではアカウンティングを行えません。

これにより、すべての認証方式において、認証要求とアカウンティング要求のいずれにもRADIUSサーバー「172.16.10.5」、「172.16.10.6」を使用するようになります（172.16.10.5が無応答の場合172.16.10.6を試す）。

各方式個別のRADIUSサーバーを使う

認証方式ごとにRADIUSサーバーを用意して、個別に認証やアカウンティングを行うこともできます。これは、ユーザー定義の認証サーバーグループを複数作成することで実現します。

ここでは例として、次のように認証方式ごとに異なるRADIUSサーバーを使うための設定を示します。

表 1
認証方式	使用するRADIUSサーバー	共有パスワード
ログイン認証とアカウンティング	172.16.10.10	himitsu10
ログイン認証とアカウンティング	172.16.10.20	himitsu20
OpenVPN認証	172.16.10.11	himitsu11
OpenVPN認証	172.16.10.21	himitsu21
ISAKMP認証	172.16.10.11	himitsu11

使用するすべてのRADIUSサーバーのIPアドレスと共有パスワードを登録します。各方式個別の設定をするときは、認証サーバーグループの設定時にサーバーの使用順序を指定するので、ここでの追加順序は特に意味を持ちません。
```
awplus(config)# radius-server host 172.16.10.10 key himitsu10 ↓
awplus(config)# radius-server host 172.16.10.11 key himitsu11 ↓
awplus(config)# radius-server host 172.16.10.20 key himitsu20 ↓
awplus(config)# radius-server host 172.16.10.21 key himitsu21 ↓
```
手順1で登録したRADIUSサーバーのうち、ログイン認証で使うものだけを認証サーバーグループ「srv4login」としてグループ化します。
- aaa group server radiusコマンドで認証サーバーグループ「srv4login」を作成します。同コマンドを実行すると、サーバーグループモードに入ります。
```
awplus(config)# aaa group server radius srv4login ↓
```
- グループ化対象のRADIUSサーバーをserverコマンドで追加していきます。各方式個別の設定をするときは、ここでの追加順がサーバーの使用順序となります。
```
awplus(config-sg)# server 172.16.10.10 ↓
awplus(config-sg)# server 172.16.10.20 ↓
awplus(config-sg)# exit ↓
```

他の機能向けのサーバーグループも同様にして作成します。

OpenVPN認証用のサーバーグループ「srv4openvpn」

awplus(config)# aaa group server radius srv4openvpn ↓
awplus(config-sg)# server 172.16.10.11 ↓
awplus(config-sg)# server 172.16.10.21 ↓
awplus(config-sg)# exit ↓

ISAKMP認証用のサーバーグループ「srv4isakmp」

awplus(config)# aaa group server radius srv4isakmp ↓
awplus(config-sg)# server 172.16.10.11 ↓
awplus(config-sg)# exit ↓

各認証方式を有効化するときに「group サーバーグループ名」を指定します。これは、該当認証方式において「指定したサーバーグループ所属のRADIUSサーバーを使う」の意味です。
```
awplus(config)# aaa authentication login default group srv4login ↓
awplus(config)# aaa authentication openvpn default group srv4openvpn ↓
awplus(config)# aaa authentication openvpn default group srv4isakmp ↓
```
各認証方式においてアカウンティングを行いたい場合は、同様にして使用するアカウンティング用RADIUSサーバーを指定します。またこのとき、どのイベント（ログイン、ログオフ）を記録するかも指定します。
```
awplus(config)# aaa accounting login default start-stop group srv4login ↓
```
Note
ISAKMP認証ではアカウンティングを行えません。

これにより、認証方式ごとに異なるRADIUSサーバーが使用されるようになります。

PN: 613-003066 Rev.L