[index] AT-AR2010V コマンドリファレンス 5.4.7
Note本製品はローカルCAの証明書データベースのバックアップが取れないので、装置入れ替えなどが発生するとCA局の再構築が必要になり、ルートCA証明書やユーザー証明書を再発行する必要があります。本製品のローカルRADIUSサーバー機能を用いたEAP-TLSまたはEAP-PEAP構成でネットワーク運用する場合はご注意ください。
Noteno crypto pki enroll local user <user-name>で削除したユーザーはフラッシュメモリー上からは消えますが、データベース上に情報が残るため、削除した証明書でPCクライアントから認証ができてしまいます。それを回避するためには、no crypto pki trustpointでローカルCAを一度削除してから、再度ユーザーの証明書を作成してください。
NoteローカルCAを再構築した場合は、機器の再起動が必要です。新しいルート証明書は再起動後から有効になります。
awplus(config)# radius-server local ↓ Created trustpoint "local". Generating 2048-bit key for local CA... Automatically authenticated trustpoint "local". Automatically enrolled the local server to trustpoint "local". awplus(config-radsrv)#
! ! 以下はradius-server localの初回実行時に自動実行される内容です。 ! awplus(config)# crypto pki trustpoint local ↓ awplus(config)# end ↓ awplus# crypto pki enroll local ↓ awplus# configure terminal ↓ awplus(config)# radius-server local ↓ awplus(config-radsrv)# nas 127.0.0.1 key awplus-local-radius-server ↓
awplus(config-radsrv)# group userA ↓ awplus(config-radsrv-group)# attribute Framed-IP-Address 192.168.20.101 ↓ awplus(config-radsrv-group)# attribute Framed-IP-Netmask 255.255.255.0 ↓ awplus(config-radsrv-group)# attribute Framed-Route "192.168.10.0/24 192.168.20.1" ↓ awplus(config-radsrv-group)# attribute Framed-Route "192.168.30.0/24 192.168.20.1" ↓ awplus(config-radsrv-group)# exit ↓ awplus(config-radsrv)# group userB ↓ awplus(config-radsrv-group)# attribute Framed-IP-Address 192.168.20.102 ↓ awplus(config-radsrv-group)# attribute Framed-IP-Netmask 255.255.255.0 ↓ awplus(config-radsrv-group)# attribute Framed-Route "192.168.10.0/24 192.168.20.1" ↓ awplus(config-radsrv-group)# attribute Framed-Route "192.168.30.0/24 192.168.20.1" ↓ awplus(config-radsrv-group)# exit ↓ awplus(config-radsrv)# group userC ↓ awplus(config-radsrv-group)# attribute Framed-IP-Address 192.168.20.103 ↓ awplus(config-radsrv-group)# attribute Framed-IP-Netmask 255.255.255.0 ↓ awplus(config-radsrv-group)# attribute Framed-Route "192.168.10.0/24 192.168.20.1" ↓ awplus(config-radsrv-group)# attribute Framed-Route "192.168.30.0/24 192.168.20.1" ↓ awplus(config-radsrv-group)# exit ↓
NoteFramed-Route属性は複数設定することができます。
awplus(config-radsrv)# user userA password passwdA group userA ↓ awplus(config-radsrv)# user userB password passwdB group userB ↓ awplus(config-radsrv)# user userC password passwdC group userC ↓
awplus(config-radsrv)# nas 172.16.10.2 key naspas2 ↓ awplus(config-radsrv)# nas 172.16.10.3 key naspas3 ↓
awplus(config-radsrv)# server enable ↓
awplus(config-radsrv)# server auth-port 11812 ↓
awplus# show radius local-server statistics ↓
awplus# show radius local-server user ↓
awplus# show radius local-server group ↓
awplus# show radius local-server nas ↓
awplus# crypto pki export local pem flash:/localca.cer ↓
Noteバージョン5.4.6-1.1以降のファームウェアでCA証明書を作成し使用している場合、それより前のバージョンにダウングレードする時は証明書をクライアントに再配布する必要があります。
awplus# crypto pki export local pkcs12 ca tftp://172.16.10.70/cakeycert.p12 ↓ Enter an export passphrase, or "abort" to cancel. XXXXXXXX ↓(実際には表示されません) Enter the export passphrase again. XXXXXXXX ↓(実際には表示されません) Copying... Successful operation
awplus(config)# radius-server local ↓ Created trustpoint "local". Generating 2048-bit key for local CA... Automatically authenticated trustpoint "local". Generating 2048-bit key for server... Automatically enrolled the local server to trustpoint "local". awplus(config-radsrv)# end ↓ awplus# show crypto pki certificates ↓ -------------------- Trustpoint "local" Certificate Chain -------------------- Server certificate Subject : /O=Allied-Telesis/CN=AlliedwarePlusSystem Issuer : /O=Allied Telesis, Inc./CN=AlliedWarePlusCAA05236G153100015 Valid From : Apr 5 08:12:59 2017 GMT Valid To : Apr 4 08:12:59 2022 GMT Fingerprint : 2539C03E 3B9D4967 982497C3 D1CA33ED 06AB2FF1 Self-signed root certificate Subject : /O=Allied Telesis, Inc./CN=AlliedWarePlusCAA05236G153100015 Issuer : /O=Allied Telesis, Inc./CN=AlliedWarePlusCAA05236G153100015 Valid From : Apr 5 08:12:57 2017 GMT Valid To : Apr 3 08:12:57 2027 GMT Fingerprint : 00AB18A5 D2C7FFE5 1736DC95 615193C8 A7BBAFBF
awplus# no crypto pki certificate local 2539C03E 3B9D4967 982497C3 D1CA33ED 06AB2FF1 ↓ Subject : /O=Allied-Telesis/CN=AlliedwarePlusSystem Issuer : /O=Allied Telesis, Inc./CN=AlliedWarePlusCAA05236G153100015 Valid From : Apr 5 08:12:59 2017 GMT Valid To : Apr 4 08:12:59 2022 GMT Fingerprint : 2539C03E 3B9D4967 982497C3 D1CA33ED 06AB2FF1 Deleted the certificate. awplus# no crypto pki certificate local 00AB18A5 D2C7FFE5 1736DC95 615193C8 A7BBAFBF ↓ Subject : /O=Allied Telesis, Inc./CN=AlliedWarePlusCAA05236G153100015 Issuer : /O=Allied Telesis, Inc./CN=AlliedWarePlusCAA05236G153100015 Valid From : Apr 5 08:12:57 2017 GMT Valid To : Apr 3 08:12:57 2027 GMT Fingerprint : 00AB18A5 D2C7FFE5 1736DC95 615193C8 A7BBAFBF Deleted the certificate. Deleted the trustpoint key.
awplus# crypto pki import local pkcs12 ca tftp://172.16.10.70/cakeycert.p12 ↓ Copying... Successful operation Enter the import passphrase. XXXXXXXX ↓(実際には表示されません) The certificate has been validated successfully. Successfully imported the trustpoint.
awplus(config)# radius-server host 127.0.0.1 key awplus-local-radius-server ↓ awplus(config)# aaa authentication auth-web default group radius ↓
| RADIUSサーバーのIPアドレス | 該当機器から到達可能な本製品のIPアドレス |
| RADIUSサーバーの共有パスワード | nasコマンドのkeyパラメーターで設定した文字列 |
| 認証用ポート番号 | server auth-portコマンドで設定した値。未設定時は初期値の1812 |
| アカウンティング用ポート番号 | 使用しない(ローカルRADIUSサーバーはアカウンティング機能をサポートしていないため) |
(C) 2016 - 2017 アライドテレシスホールディングス株式会社
PN: 613-002311 Rev.F