運用・管理 / RADIUSクライアント
本製品はRADIUSクライアントの機能を備えており、外部および内蔵のRADIUSサーバーを利用して各種の認証やアカウンティング(利用記録)を行うことができます。RADIUSクライアント機能は、以下の用途に使用できます。
- ログイン認証(コンソール、Telnet、SSHパスワード認証、Web GUI)
- ポート認証(802.1X認証、MACベース認証、Web認証)
ログイン認証では、ユーザー認証データベースとRADIUSサーバーの併用が可能です(併用時はRADIUSサーバーが利用できない場合のバックアップとしてユーザー認証データベースを使用)。
その他の機能では認証にRADIUSサーバーの使用が必須です。
ここでは、RADIUSクライアントの設定方法だけを述べます。
RADIUSクライアントを利用する各機能の詳細については下記のページをご覧ください。
- ログイン認証 - 「運用・管理」の「ユーザー認証」
- ポート認証(802.1X認証、MACベース認証、Web認証) - 「インターフェース」/「ポート認証」
なお、本製品はRADIUSサーバー機能(ローカルRADIUSサーバー)を内蔵しているため、RADIUSクライアントの設定でローカルホスト(127.0.0.1)を指定すれば、本製品単独でRADIUS認証を行うこともできます。RADIUSサーバー機能については「運用・管理」の「RADIUSサーバー」をご覧ください。
基本設定
認証に利用するRADIUSサーバーを登録するには、radius-server hostコマンドを使用します。RADIUSサーバーのIPアドレスと共有パスワードを指定してください。awplus(config)# radius-server host 172.16.10.2 key Valid8Me
初期状態では、認証パケットはサーバーのUDPポート1812番、アカウンティングパケットはサーバーの同1813番ポートに送ります。これらのポート番号を変更するには、radius-server hostコマンドのauth-portパラメーター(認証用ポート)とacct-portパラメーター(アカウンティング用ポート)を指定してください。
awplus(config)# radius-server host 172.16.10.3 auth-port 11812 acct-port 11813 key Fugafuga
RADIUSサーバーとの通信に関するパラメーター(応答待ち時間、再送回数など)はradius-server hostコマンドのtimeoutパラメーター、retransmitパラメーターで変更できます。次の例では、応答待ち時間を10秒、再送回数を5回に設定しています。初期設定はそれぞれ5秒と3回です。
awplus(config)# radius-server host 172.16.10.4 timeout 10 retransmit 5
複数のRADIUSサーバーを登録する場合は、radius-server deadtimeコマンドで無応答のRADIUSサーバーへの要求送信抑制期間を設定してください。
awplus(config)# radius-server deadtime 1
RADIUSサーバーの登録を解除するには、radius-server hostコマンドをno形式で実行します。このとき、対象のサーバーをIPアドレスと2つのUDPポートの組で識別するので、初期値以外のポート番号を指定している場合は、ポート番号もあわせて指定してください。
awplus(config)# no radius-server host 172.16.10.2 awplus(config)# no radius-server host 172.16.10.3 auth-port 11812 acct-port 11813
登録されているRADIUSサーバーの一覧、RADIUSサーバーとの通信に関するパラメーターを表示するには、show radiusコマンドを使用します。
awplus# show radius
RADIUS Global Configuration
Source Interface : not configured
Secret Key :
Timeout : 5 sec
Retransmit Count : 3
Deadtime : 0 min
Server Host : 127.0.0.1
Authentication Port : 1812
Accounting Port : 1813
Secret Key : awplus-local-radius-server
Server Host/IP Auth Acct Auth Acct
Address Port Port VRF Status Status
-------------------------------------------------------------------------
127.0.0.1 1812 1813 Alive Unknown
登録したRADIUSサーバーの使用
RADIUSサーバーは登録しただけでは使用されません。各種機能の設定において、RADIUSサーバーを使用するよう指定して初めてRADIUSクライアント機能が働き、登録されているRADIUSサーバーへのアクセスが発生します。
RADIUSサーバーを使用する機能には次のものがあります。
- ログイン認証(コンソール、Telnet、SSHパスワード認証、Web GUI)
- ポート認証(802.1X認証、MACベース認証、Web認証)
認証用のRADIUSサーバーとアカウンティング用のRADIUSサーバーは個別に設定します。
全方式共通のRADIUSサーバーを使う
1台または複数台のRADIUSサーバーをすべての認証方式で共用する場合は、使用するRADIUSサーバーを使用順に登録しておき、各認証機能の設定において、デフォルトの認証サーバーグループ名「radius」を指定するだけです。以下に例を示します。- 使用するすべてのRADIUSサーバーのIPアドレスと共有パスワードを登録します。全方式共通の設定をする場合、ここでの追加順がサーバーの使用順序となります。
awplus(config)# radius-server host 172.16.10.5 key himitsu5 awplus(config)# radius-server host 172.16.10.6 key himitsu6
- 各認証方式を有効化するときに「group radius」を指定します。これは、「radius-server hostコマンドで登録したRADIUSサーバーを登録順に使う」の意味です。
awplus(config)# aaa authentication login default group radius awplus(config)# aaa authentication dot1x default group radius awplus(config)# aaa authentication auth-mac default group radius awplus(config)# aaa authentication auth-web default group radius
- 各認証方式においてアカウンティングを行いたい場合は、同様にして使用するアカウンティング用RADIUSサーバーを指定します。またこのとき、どのイベント(ログイン、ログオフ)を記録するかも指定します。
awplus(config)# aaa accounting login default start-stop group radius awplus(config)# aaa accounting dot1x default start-stop group radius awplus(config)# aaa accounting auth-mac default start-stop group radius awplus(config)# aaa accounting auth-web default start-stop group radius
これにより、すべての認証方式において、認証要求とアカウンティング要求のいずれにもRADIUSサーバー「172.16.10.5」、「172.16.10.6」を使用するようになります(172.16.10.5が無応答の場合172.16.10.6を試す)。
各方式個別のRADIUSサーバーを使う
認証方式ごとにRADIUSサーバーを用意して、個別に認証やアカウンティングを行うこともできます。これは、ユーザー定義の認証サーバーグループを複数作成することで実現します。ここでは例として、次のように認証方式ごとに異なるRADIUSサーバーを使うための設定を示します。
| ログイン認証とアカウンティング | 172.16.10.10 | himitsu10 |
| 172.16.10.20 | himitsu20 | |
| 802.1X認証とアカウンティング | 172.16.10.11 | himitsu11 |
| 172.16.10.21 | himitsu21 | |
| MACベース認証とアカウンティング | 172.16.10.12 | himitsu12 |
| 172.16.10.22 | himitsu22 | |
| Web認証とアカウンティング | 172.16.10.13 | himitsu13 |
| 172.16.10.23 | himitsu23 |
- 使用するすべてのRADIUSサーバーのIPアドレスと共有パスワードを登録します。各方式個別の設定をするときは、認証サーバーグループの設定時にサーバーの使用順序を指定するので、ここでの追加順序は特に意味を持ちません。
awplus(config)# radius-server host 172.16.10.10 key himitsu10 awplus(config)# radius-server host 172.16.10.11 key himitsu11 awplus(config)# radius-server host 172.16.10.12 key himitsu12 awplus(config)# radius-server host 172.16.10.13 key himitsu13 awplus(config)# radius-server host 172.16.10.20 key himitsu20 awplus(config)# radius-server host 172.16.10.21 key himitsu21 awplus(config)# radius-server host 172.16.10.22 key himitsu22 awplus(config)# radius-server host 172.16.10.23 key himitsu23
- 手順1で登録したRADIUSサーバーのうち、ログイン認証で使うものだけを認証サーバーグループ「srv4login」としてグループ化します。
- aaa group server radiusコマンドで認証サーバーグループ「srv4login」を作成します。同コマンドを実行すると、サーバーグループモードに入ります。
awplus(config)# aaa group server radius srv4login
- グループ化対象のRADIUSサーバーをserverコマンドで追加していきます。各方式個別の設定をするときは、ここでの追加順がサーバーの使用順序となります。
awplus(config-sg)# server 172.16.10.10 awplus(config-sg)# server 172.16.10.20 awplus(config-sg)# exit
- aaa group server radiusコマンドで認証サーバーグループ「srv4login」を作成します。同コマンドを実行すると、サーバーグループモードに入ります。
- 他の機能向けのサーバーグループも同様にして作成します。
- 802.1X認証用のサーバーグループ「srv4dot1x」
awplus(config)# aaa group server radius srv4dot1x awplus(config-sg)# server 172.16.10.11 awplus(config-sg)# server 172.16.10.21 awplus(config-sg)# exit
- MACベース認証用のサーバーグループ「srv4mac」
awplus(config)# aaa group server radius srv4mac awplus(config-sg)# server 172.16.10.12 awplus(config-sg)# server 172.16.10.22 awplus(config-sg)# exit
- Web認証用のサーバーグループ「srv4web」
awplus(config)# aaa group server radius srv4web awplus(config-sg)# server 172.16.10.13 awplus(config-sg)# server 172.16.10.23 awplus(config-sg)# exit
- 802.1X認証用のサーバーグループ「srv4dot1x」
- 各認証方式を有効化するときに「group サーバーグループ名」を指定します。これは、該当認証方式において「指定したサーバーグループ所属のRADIUSサーバーを使う」の意味です。
awplus(config)# aaa authentication login default group srv4login awplus(config)# aaa authentication dot1x default group srv4dot1x awplus(config)# aaa authentication auth-mac default group srv4mac awplus(config)# aaa authentication auth-web default group srv4web
- 各認証方式においてアカウンティングを行いたい場合は、同様にして使用するアカウンティング用RADIUSサーバーを指定します。またこのとき、どのイベント(ログイン、ログオフ)を記録するかも指定します。
awplus(config)# aaa accounting login default start-stop group srv4login awplus(config)# aaa accounting dot1x default start-stop group srv4dot1x awplus(config)# aaa accounting auth-mac default start-stop group srv4mac awplus(config)# aaa accounting auth-web default start-stop group srv4web
これにより、認証方式ごとに異なるRADIUSサーバーが使用されるようになります。