[index] CentreCOM AR415S コマンドリファレンス 2.9

運用・管理/認証サーバー

  - ユーザー認証処理の順序
  - RADIUSサーバー
  - 本製品がサポートしているRADIUS属性一覧

本製品は、ユーザー認証機構として、内部のユーザー認証データベースに加えて、RADIUS（Remote Authentication Dial In User Service）サーバーをサポートしています。

ユーザー認証処理の順序

ログイン名とパスワードを受け取った本製品は、最初にユーザー認証データベースを検索します。マッチするエントリーがあった場合はその時点で認証成功となります。マッチするエントリーがなかった場合はRADIUSサーバーに認証を要求します。RADIUSサーバーが登録されていない、あるいはRADIUSサーバーからAccess-Rejectが返ってきた場合は認証失敗、RADIUSサーバーからAccess-Acceptが返ってきた場合は認証成功となります。

RADIUSサーバー

RADIUSサーバーは、ユーザー認証に使用できるほか、ファイアウォールのアクセスルールを集中管理する目的でも使用できます。詳細は「ファイアウォール」の章をご覧ください。

■ RADIUSサーバーを登録するには、ADD RADIUS SERVERコマンドを使用します。RADIUSサーバーのIPアドレスと共有パスワードを指定してください。

ADD RADIUS SERVER=192.168.10.10 SECRET=Valid8Me ↓

■ 認証パケットのやり取りにはデフォルトでUDPポート1645番が使用されます。また、アカウンティングパケットには同1646番が使用されます。これらを変更するには、PORTパラメーター（認証）とACCPORTパラメーター（アカウンティング）を使用します。RFC2865では認証用ポートを1812番、RFC2866ではアカウンティング用ポートを1813番としています。RADIUSサーバーの設定を確認して適宜変更してください。

ADD RADIUS SERVER=192.168.10.10 PORT=1812 ACCPORT=1813 ↓

■ RADIUSサーバーの登録を解除するには、DELETE RADIUS SERVERコマンドを使用します。

DELETE RADIUS SERVER=192.168.10.10 ↓

■ 登録されているRADIUSサーバーの一覧を表示するには、SHOW RADIUSコマンドを使用します。

SHOW RADIUS ↓

■ RADIUSサーバーで管理するユーザーの権限（ユーザーレベル）は、各ユーザーのService-Type属性で指定します。

表 1

Service-Type属性値 ユーザーレベル

Administrative(6) Security Officerレベル

NAS Prompt(7) Managerレベル

Login(1) Userレベル

Note - Service-Type属性に上記以外の値がセットされている場合、および、Service-Type属性が付加されていない場合は、RADIUSサーバーからAccess-Acceptが返ってきてもログイン認証は失敗となりますのでご注意ください。

■ RADIUSサーバーのクライアント情報ファイルとユーザー情報ファイルの例を示します。詳細はRADIUSサーバーのマニュアルをご覧ください。

[/etc/raddb/clients]

# client                secret
192.168.10.1            RouterA

[/etc/raddb/users]

alpha   Password = "PasswordA"
        Framed-IP-Address = 192.168.10.240
        Framed-IP-Netmask = 255.255.255.255
        Idle-Timeout = 120

beta    Password = "PasswordB"
        Framed-IP-Address = 192.168.10.241
        Framed-IP-Netmask = 255.255.255.255
        Idle-Timeout = 120

本製品がサポートしているRADIUS属性一覧

表 2

属性名 使用される時期 説明

User-Name 認証要求/アカウンティング要求時認証するユーザー名

User-Password 認証要求時ユーザーのパスワード

CHAP-Password 認証要求時 CHAP認証時のパスワード（チャレンジに対するレスポンス）

NAS-IP-Address 認証要求/アカウンティング要求時認証を要求するNAS（クライアント）のIPアドレス

Framed-IP-Address 認証受理（accept）時ユーザーのIPアドレス

Framed-IP-Netmask 認証受理（accept）時ユーザーのネットマスク

Callback-Number 認証受理（accept）時コールバック番号

Framed-Route 認証受理（accept）時認証されたユーザーのためにNAS（クライアント）が設定すべき経路情報

Framed-IPX-Network 認証受理（accept）時ユーザーのIPXネットワーク番号

Session-Timeout 認証受理（accept）時ユーザーセッションの有効期限（秒）

Idle-Timeout 認証受理（accept）時無通信時のセッションタイムアウト（秒）

Calling-Station-Id 認証要求時 NAS（クライアント）に接続してきたユーザーの発番号

Framed-AppleTalk-Network 認証受理（accept）時ユーザーのAppleTalkネットワーク番号

Framed-AppleTalk-Zone 認証受理（accept）時ユーザーのデフォルトAppleTalkゾーン

CHAP-Challenge 認証要求時 NAS（クライアント）がユーザーに送信するCHAPチャレンジ

Acct-Status-Type アカウンティング開始時サービスの開始、終了などを示す

Acct-Input-Octets アカウンティング終了時サービス提供中に該当ポートで受信したデータ量（オクテット）

Acct-Output-Octets アカウンティング終了時サービス提供中に該当ポートから送信したデータ量（オクテット）

Acct-Session-Id アカウンティング開始/アカウンティング終了時セッションID

Acct-Authentic アカウンティング開始時ユーザー認証の方法

Acct-Session-Time アカウンティング終了時 Framed Userへのサービス提供時間（秒）

Acct-Input-Packets アカウンティング終了時 Framed Userへのサービス提供中に該当ポートから受信したデータ量（パケット数）

Acct-Output-Packets アカウンティング終了時 Framed Userへのサービス提供中に該当ポートに向けて送信したデータ量（パケット数）

Acct-Terminate-Cause アカウンティング終了時セッション終了の理由

PN: 613-000667 Rev.J

Service-Type属性値	ユーザーレベル
Administrative(6)	Security Officerレベル
NAS Prompt(7)	Managerレベル
Login(1)	Userレベル

属性名	使用される時期	説明
User-Name	認証要求/アカウンティング要求時	認証するユーザー名
User-Password	認証要求時	ユーザーのパスワード
CHAP-Password	認証要求時	CHAP認証時のパスワード（チャレンジに対するレスポンス）
NAS-IP-Address	認証要求/アカウンティング要求時	認証を要求するNAS（クライアント）のIPアドレス
Framed-IP-Address	認証受理（accept）時	ユーザーのIPアドレス
Framed-IP-Netmask	認証受理（accept）時	ユーザーのネットマスク
Callback-Number	認証受理（accept）時	コールバック番号
Framed-Route	認証受理（accept）時	認証されたユーザーのためにNAS（クライアント）が設定すべき経路情報
Framed-IPX-Network	認証受理（accept）時	ユーザーのIPXネットワーク番号
Session-Timeout	認証受理（accept）時	ユーザーセッションの有効期限（秒）
Idle-Timeout	認証受理（accept）時	無通信時のセッションタイムアウト（秒）
Calling-Station-Id	認証要求時	NAS（クライアント）に接続してきたユーザーの発番号
Framed-AppleTalk-Network	認証受理（accept）時	ユーザーのAppleTalkネットワーク番号
Framed-AppleTalk-Zone	認証受理（accept）時	ユーザーのデフォルトAppleTalkゾーン
CHAP-Challenge	認証要求時	NAS（クライアント）がユーザーに送信するCHAPチャレンジ
Acct-Status-Type	アカウンティング開始時	サービスの開始、終了などを示す
Acct-Input-Octets	アカウンティング終了時	サービス提供中に該当ポートで受信したデータ量（オクテット）
Acct-Output-Octets	アカウンティング終了時	サービス提供中に該当ポートから送信したデータ量（オクテット）
Acct-Session-Id	アカウンティング開始/アカウンティング終了時	セッションID
Acct-Authentic	アカウンティング開始時	ユーザー認証の方法
Acct-Session-Time	アカウンティング終了時	Framed Userへのサービス提供時間（秒）
Acct-Input-Packets	アカウンティング終了時	Framed Userへのサービス提供中に該当ポートから受信したデータ量（パケット数）
Acct-Output-Packets	アカウンティング終了時	Framed Userへのサービス提供中に該当ポートに向けて送信したデータ量（パケット数）
Acct-Terminate-Cause	アカウンティング終了時	セッション終了の理由