auth two-step enable
- モード
- インターフェースモード
- カテゴリー
- インターフェース / ポート認証
構文
(config-if)# [no] auth two-step enable
コマンド説明
対象スイッチポートで2ステップ認証を有効化する。no形式で実行した場合は2ステップ認証を無効化する。
初期状態は無効。
2ステップ認証を有効にしたポートでは、SupplicantがMACベース認証/802.1X認証/Web認証のうち2つの認証方式を連続してパスしたときに初めて通信が許可される。
- auth two-step orderコマンドを設定していない場合は、以下のいずれかの順序で認証をパスすれば認証成功となる。
同コマンド未設定の2ステップ認証では、1つ目か2つ目の方式で失敗するとただちに認証プロセス終了となるため、3方式併用時は必ずMACベース認証をパスする必要がある。
- MACベース認証 ○ → 802.1X認証 ○
- MACベース認証 ○ → Web認証 ○
- 802.1X認証 ○ → Web認証 ○
- MACベース認証 ○ → 802.1X認証 ○
- auth two-step orderコマンドを設定している場合は、同コマンドで指定した2つの認証方式を、指定した順序でパスしたときだけ認証成功となる。
同コマンドを設定した2ステップ認証では、3つの認証方式を有効にしていても、同コマンドで指定していない認証方式は使用されない。
同コマンド設定時に指定可能な認証方式と順序の組み合わせは、同コマンド未設定時より1つ多い下記の4とおりとなる。
- MACベース認証 ○ → 802.1X認証 ○
- MACベース認証 ○ → Web認証 ○
- 802.1X認証 ○ → Web認証 ○
- 802.1X認証 ○ → MACベース認証 ○(auth two-step orderコマンド設定時のみ利用可能)
- MACベース認証 ○ → 802.1X認証 ○
注意・補足事項
2ステップ認証を行うには、対象スイッチポートでMACベース認証(auth-mac enableコマンド)、Web認証(auth-web enableコマンド)、802.1X認証(dot1x port-controlコマンド)のうち最低2つの認証方式を有効にしておく必要がある。2ステップ認証は、Auth-fail VLAN、ゲストVLAN、ダイナミックVLANとの併用も可能。
2ステップ認証とダイナミックVLANを併用する場合は、2つ目の認証成功時にRADIUS-Acceptパケットで指定されたVLANがアサインされる(1つ目の認証成功時に指定されたVLANは無視される)。
2ステップ認証では、Supplicantが1つ目の方式で認証に成功した後、一定の時間内に2つ目の認証が行われない場合、該当Supplicantの認証情報は削除される(次に該当Supplicantからパケットを受信した場合は、1つ目の認証方式からやりなおす)。
2ステップ認証が有効なポートにおいて、特定のSupplicantだけ2ステップ認証の対象外とするには、auth supplicant-macコマンドで該当SupplicantのMACアドレスを指定し、port-controlパラメーターでskip-second-authオプションを指定すればよい。