[index] CentreCOM AR300/AR700 シリーズ コマンドリファレンス 2.3

運用・管理/認証サーバー

対象機種:AR300 V2、AR300L V2、AR320、AR720、AR740


  - ユーザー認証処理の順序
  - RADIUSサーバー
  - TACACSサーバー
  - 付録
   - RADIUS
    - パケットフォーマット
    - RADIUS属性
    - 本製品がサポートしているRADIUS属性一覧


本製品は、ユーザー認証機構として、内部のユーザー認証データベースに加えて、RADIUS(Remote Authentication Dial In User Service)サーバーとTACACS(Terminal Access Controller Access System)サーバーをサポートしています。

 

ユーザー認証処理の順序

ログイン名とパスワードを受け取った本製品は、最初にユーザー認証データベースを検索します。マッチするエントリーがあった場合はその時点で認証成功となります。マッチするエントリーがなかった場合はRADIUSサーバーに認証を要求します。RADIUSサーバーが登録されていない、あるいはRADIUSサーバーからRejectが返ってきた場合は、TACACSサーバーに認証を要求します。RADIUSサーバー、TACACSサーバーのいずれかからAcceptが返ってきた場合は認証成功、どちらからもRejectされた場合は認証失敗となります。

 

RADIUSサーバー

RADIUSサーバーは、ユーザー認証に使用できるほか、ファイアウォールのアクセスルールを集中管理する目的でも使用できます。詳細は「ファイアウォール」の章をご覧ください。

以下の例では、RADIUSサーバーのIPアドレスを192.168.10.10、共有パスワードをValid8Meと仮定しています。

■ RADIUSサーバーを登録するには、ADD RADIUS SERVERコマンドを使用します。


■ 認証パケットのやり取りにはデフォルトでUDPポート1645番が使用されます。また、アカウンティングパケットには同1646番が使用されます。これらを変更するには、PORTパラメーター(認証)とACCPORTパラメーター(アカウンティング)を使用します。RFC2865では認証用ポートを1812番、RFC2866ではアカウンティング用ポートを1813番としています。RADIUSサーバーの設定を確認して適宜変更してください。


■ RADIUSサーバーを削除するには、DELETE RADIUS SERVERコマンドを使用します。


■ 登録されているRADIUSサーバーの一覧を表示するには、SHOW RADIUSコマンドを使用します。


■ RADIUSサーバーのクライアント情報ファイルとユーザー情報ファイルの例を示します。詳細はRADIUSサーバーのマニュアルをご覧ください。また、本製品がサポートしている属性については、この章の「付録」をご覧ください。

[/etc/raddb/clients]

[/etc/raddb/users]

 

TACACSサーバー

以下の例では、TACACSサーバーのIPアドレスを192.168.10.3と仮定しています。

■ TACACSサーバーを登録するには、ADD TACACS SERVERコマンドを使用します。


■ TACACSサーバーを削除するには、DELETE TACACS SERVERコマンドを使用します。


■ 登録されているTACACSサーバーの一覧を表示するには、SHOW TACACS SERVERコマンドを使用します。


■ TACACSサーバーによる認証のためのタイムアウトとリトライ回数は、SET USERコマンドで指定します。以下の例では、認証のタイムアウトを10秒、リトライ回数を7回に設定しています。デフォルトはそれぞれ5秒と3回です。


 

付録

 

RADIUS

RADIUS(Remote Authentication Dial In User Service)は、クライアント(NAS = Network Access Server)とサーバーからなるクライアント・サーバー型の認証システムです。アカウンティング機能についてはRFC2866で規定されています。

 

パケットフォーマット

RADIUSパケットはUDPによって運ばれます。RFC2865によると終点ポート番号は1812です。ただし、初期の実装では1645番ポートを使用しているものもあります。本製品のデフォルト値も1645です。

また、アカウンティングパケットはUDP1813番を使用します(RFC2866)。こちらも初期の実装では1646番を使用するものがあり、本製品も1646番をデフォルトで使用します。


表 1
フィールド
ビット長
内容
Code 8 メッセージコード。パケットタイプを示す(別表を参照)
Identifier 8 メッセージID。要求と応答を照合するためのもの
Length 16 RADIUSパケットの長さ(オクテット)。Codeフィールドから始まるヘッダーをすべて含むが、パディングは除く。有効範囲は20〜4096オクテット
Authenticator 128 認証データ。クライアントからサーバーへの認証要求(Access-Request)では、ランダムな値がセットされる(Request Authenticator)。この値はサーバー側がメッセージのハッシュ値を計算するときの一要素として使われる。サーバーからの応答(Access-Accept、Access-Reject、Access-Challenge)では、計算結果のMD5ハッシュ値が格納される(Response Authenticator)
Attributes... 可変 ユーザーに関するさまざまな情報(属性)が格納される。RADIUSパケットのデータ部分といえる


表 2:RADIUSメッセージ
コード
メッセージ
内容
1 Access-Request NASがサーバーに対してリモートユーザーの認証を要求するメッセージ。ユーザー名を示すUser-Name、パスワードを示すUser-PasswordかCHAP-Password、NAS自身を識別するNAS-IP-AddressかNAS-Identifier、NASのポートを示すNAS-PortかNAS-Port-Typeなどの属性値が含まれる
2 Access-Accept サーバーがNASに対してユーザー認証成功を通知するメッセージ。NASがユーザーに提供すべきサービスに関する情報(属性)も含まれることがある
3 Access-Reject サーバーがNASに対してユーザー認証に失敗したことを通知するメッセージ。Reply-Messageによって理由等のテキストが通知される場合もある
4 Accounting-Request NASがサーバーに対してサービスのアカウンティングを要求するメッセージ
5 Accounting-Response サーバーがNASに対してAccounting-Requestを受け入れたことを示すメッセージ。Accounting-Requestを拒否する場合、サーバーは何も応答しない
11 Access-Challenge サーバーがNASに対してユーザーへのCHAP認証を要求するメッセージ。Reply-MessageとState属性値が含まれる
12 Status-Server (experimental) -
13 Status-Client (experimental) -
255 Reserved -


 

RADIUS属性

RADIUSパケットのAttributesフィールド(データ部)には、ユーザー、NAS、サーバーに関するさまざまな情報が属性(Attribute)の形で格納されます。属性は次の形でエンコードされます。


表 3
フィールド
ビット長
内容
Type 8 属性のタイプを示す(別表を参照)
Length 8 属性の長さ(オクテット)。Type、Length、Valueの全フィールドを含む
Value 可変 属性値。4つのデータ型がある(別表参照)。内容は属性タイプごとに異なる。長さはLengthフィールドによって示されるため、文字列であってもNUL終端は必要ない


表 4:RADIUS属性一覧
タイプ
属性名
内容
1 User-Name 認証対象のユーザー名。Access-Requestパケットでサーバーに送られる
2 User-Password ユーザーのパスワード。Access-Requestパケットでのみ使用される。パスワードはハッシュされてから送られる
3 CHAP-Password CHAP認証時のレスポンス値(ハッシュしたパスワード)。Access-Requestパケットでのみ使用される
4 NAS-IP-Address ユーザー認証を要求するNASのIPアドレス。Access-Requestパケットでのみ使用される
5 NAS-Port NASの物理ポート番号。Access-Requestパケットでのみ使用される
6 Service-Type ユーザーが求めるサービスの種類、または、ユーザーに提供すべきサービスの種類。Access-RequestパケットとAccess-Acceptパケットで使用される。別表を参照
7 Framed-Protocol 使用するプロトコル。PPP(1)、SLIP(2)などがある。Access-RequestパケットとAccess-Acceptパケットで使用される
8 Framed-IP-Address ユーザーに割り当てるIPアドレス。0xFFFFFFFFはユーザーに選択権を与えるべきことを示す。0xFFFFFFFEはNASが割り当てるべきことを示す。その他の値は使うべきアドレスを示す。Access-RequestパケットとAccess-Acceptパケットで使用される
9 Framed-IP-Netmask ユーザー(ルーター)に割り当てるネットマスク。Access-RequestパケットとAccess-Acceptパケットで使用される
10 Framed-Routing ユーザー(ルーター)が使用すべき経路制御方式。経路制御パケットの送受信モードを指定するもので、値としては、使用しない(0)、送信(1)、受信(2)、送受信(3)がある。Access-Acceptパケットでのみ使用される
11 Filter-Id 該当ユーザーのフィルターリスト。内容は実装にまかされている。Access-Acceptパケットで使用される
12 Framed-MTU ユーザーのMTU(Maximum Tranmission Unit)。PPPなどでネゴシエーションされた場合はそちらが使用される。Access-RequestパケットとAccess-Acceptパケットで使用される
13 Framed-Compression 使用する圧縮プロトコル。値としては、なし(0)、TCP/IPヘッダー圧縮(VJC)(1)、IPXヘッダー圧縮(2)、STAC LZS(3)がある。Access-RequestパケットとAccess-Acceptパケットで使用される
14 Login-IP-Host ログイン先ホストのIPアドレス。0xFFFFFFFFはユーザーに選択権を与えるべきことを示す。0xFFFFFFFEはNASが割り当てるべきことを示す。その他の値は使うべきアドレスを示す。Access-RequestパケットとAccess-Acceptパケットで使用される
15 Login-Service Login-IP-Hostへのログイン方式。値としてはTelnet(0)、Rlogin(1)などがある。Access-Acceptパケットでのみ使用される
16 Login-TCP-Port ログインに使うTCPポート番号。Access-Acceptパケットでのみ使用される
17 (unassigned) -
18 Reply-Message ユーザーに対するテキストメッセージ。認証失敗の理由などが示される。Access-Acceptパケット、Access-Rejectパケット、Access-Challengeパケットで使用される
19 Callback-Number コールバック番号。内容は使用者や実装に実装にまかされている。Access-RequestパケットとAccess-Acceptパケットで使用される
20 Callback-Id コールバック先識別子。内容は使用者や実装に実装にまかされている。Access-Acceptパケットで使用される
21 (unassigned) -
22 Framed-Route 該当ユーザーのためにNASが設定すべき経路情報。内容は実装にまかされている。Access-Acceptパケットで使用される
23 Framed-IPX-Network ユーザーのIPXネットワーク番号。Access-Acceptパケットで使用される
24 State Access-ChallengeパケットとAccess-AcceptパケットでサーバーからNASに送られる実装依存の情報。これらのパケットを受けてAccess-Requestパケットを送る場合、NASはState属性をそのまま送り返さなくてはならない
25 Class Access-AcceptパケットでサーバーからNASに送られる実装依存の情報。このパケットを受けてAccounting-Requestパケットを送る場合、NASはClass属性をそのまま送り返さなくてはならない
26 Vendor-Specific 各ベンダーが独自に実装した属性を格納する。ベンダーIDフィールド(SMI Network Management Private Enterprise Code)と独自実装の情報フィールドからなる。情報フィールドは、ベンダー独自の属性タイプフィールド、長さフィールド、属性データからなる
27 Session-Timeout ユーザーにサービス(ネットワーク接続やログインセッション)を提供する最大期間(秒)を示す。Access-Acceptパケット、Access-Challengeパケットで使用される
28 Idle-Timeout ユーザーとNASの間で無通信状態が続いた場合にセッションを切断するまでの時間(秒)を示す。Access-Acceptパケット、Access-Challengeパケットで使用される
29 Termination-Action サービス終了後にNASが実行すべきアクションを示す。値にはデフォルト(0)とRADIUS-Request(1)がある。Access-Acceptパケットでのみ使用される
30 Called-Station-Id 着番号。ユーザーがダイヤルした電話番号。Access-Requestパケットでのみ使用される
31 Calling-Station-Id 発番号。NASにアクセスしてきたユーザーの電話番号。Access-Requestパケットでのみ使用される
32 NAS-Identifier NAS識別子。Access-Requestを送信したNASを識別するための文字列(フルドメイン名など)。RFC2865では、Access-RequestパケットにNAS-IdentifierかNAS-IP-Addressが必須となった
33 Proxy-State NASとRADIUSサーバーを仲介するプロキシーサーバーが使用する情報。内容は実装にまかされている
34 Login-LAT-Service LATシステム。Access-RequestパケットとAccess-Acceptパケットで使用される
35 Login-LAT-Node LATノード。Access-RequestパケットとAccess-Acceptパケットで使用される
36 Login-LAT-Group LATグループコード。Access-RequestパケットとAccess-Acceptパケットで使用される
37 Framed-AppleTalk-Link ユーザーがルーターである場合に、シリアル回線上で使用すべきAppleTalkネットワーク番号。Access-Acceptパケットでのみ使用される
38 Framed-AppleTalk-Network ユーザーがルーターでない場合に、NASがユーザーに割り当てるべきAppleTalkネットワーク番号。Access-Acceptパケットでのみ使用される
39 Framed-AppleTalk-Zone ユーザーに割り当てるAppleTalkのデフォルトゾーン名。Access-Acceptパケットでのみ使用される
40 Acct-Status-Type クライアントが、ユーザーサービスの開始、終了などを示す。値としては、Start(1)、Stop(2)、Interim-Update(3)、Accounting-On(7)、Accounting-Off(8)などがある
41 Acct-Delay-Time クライアントが、このAccounting-Requestパケットの送信を試みはじめてからの経過時間を示す
42 Acct-Input-Octets サービス提供中にユーザーから受信したデータ量(オクテット数)。サービス終了時(Acct-Status-TypeがStop)にAccounting-Requestパケットで送られる
43 Acct-Output-Octets サービス提供中にユーザーに送信したデータ量(オクテット数)。サービス終了時(Acct-Status-TypeがStop)にAccounting-Requestパケットで送られる
44 Acct-Session-Id アカウンティング記録中において各ユーザーセッションを識別するための文字列
45 Acct-Authentic ユーザーをどのようにして認証したか。値としては、RADIUS(1)、NAS自身が認証(2)、他のリモート認証プロトコル(3)がある
46 Acct-Session-Time ユーザーへのサービス提供時間(秒)。サービス終了時(Acct-Status-TypeがStop)にAccounting-Requestパケットで送られる
47 Acct-Input-Packets データリンクプロトコル(PPPなど)サービス提供中にユーザー(Framed Userという)から受信したパケット数。サービス終了時(Acct-Status-TypeがStop)にAccounting-Requestパケットで送られる
48 Acct-Output-Packets データリンクプロトコル(PPPなど)サービス提供中にユーザー(Framed Userという)に送信したパケット数。サービス終了時(Acct-Status-TypeがStop)にAccounting-Requestパケットで送られる
49 Acct-Terminate-Cause ユーザーセッション切断の理由。値については別表を参照。サービス終了時(Acct-Status-TypeがStop)にAccounting-Requestパケットで送られる
50 Acct-Multi-Session-Id マルチリンクなどの使用時に関係のある一連のセッションを識別するための文字列
51 Acct-Link-Count マルチリンク数
40-59 (reserved for accounting) アカウンティング用に予約済み
60 CHAP-Challenge NASがPPPユーザーに送信したCHAPチャレンジ値。Access-Requestパケットでのみ使用される
61 NAS-Port-Type NASの物理ポート種別。別表を参照。Access-Requestパケットでのみ使用される
62 Port-Limit ユーザーに提供可能な最大ポート数。マルチリンクPPPなどでリンク数を制限するために使われる。Access-RequestパケットとAccess-Acceptパケットで使用される
63 Login-LAT-Port ユーザーが使用すべきLATポート。Access-RequestパケットとAccess-Acceptパケットで使用される
192-223 (reserved for experimental use)  
224-240 (reserved for implementation-specific use)  
241-255 (reserved and should not be used)  


表 5:RADIUS属性値のデータ型
データ型
サイズ
内容
text 1〜253オクテット テキスト文字列(UTF-8)
string 1〜253オクテット バイナリーストリング(0x00〜0xffの任意の値)
address 32ビット アドレス(IPアドレスなど)
integer 32ビット 整数。32ビットの符号なし整数値
time 32ビット 日時。1970年1月1日0時(GMT)を起点とする経過秒数で表す。32ビットの符号なし整数値。RFC2865で定義されている属性では使われていない


表 6:Service-Type属性値
名前
内容
1 Login ホストへのログイン
2 Framed データリンクプロトコルサービス(PPP、SLIPなど)
3 Callback Login 切断後コールバックを受けてからホストにログイン
4 Callback Framed 切断後コールバックを受けてからデータリンクプロトコルサービスを開始
5 Outbound 発呼用デバイスへのアクセス
6 Administrative NASの管理インターフェースへの特権アクセス
7 NAS Prompt NASの管理インターフェースへの非特権アクセス
8 Authenticate Only 認証のみ(プロキシーサーバーが使用)
9 Callback NAS Prompt 切断後コールバックを受けてからNASの管理インターフェースに非特権アクセス
10 Call Check 着信呼を検出したNASがサーバーに着呼すべきか問い合わせるときに使う。サーバーはCalling-Station-Id等の属性をもとに、着呼許可ならAccess-Accept、拒否ならAccess-Rejectを返す
11 Callback Administrative 切断後コールバックを受けてからNASの管理インターフェースに特権アクセス


表 7:Acct-Terminate-Cause属性値
名前
内容
1 User Request ユーザーの要求により切断(LCP Terminate-Requestやログアウトなど)
2 Lost Carrier NASポートでDCD信号線オフを検出した
3 Lost Service サービスの提供を継続できなくなった
4 Idle Timeout 無通信時間が一定時間続いたため切断
5 Session Timeout セッション期限が満了したため切断
6 Admin Reset NASの管理者がポートまたはセッションをリセットした
7 Admin Reboot NASの管理者が再起動のためサービスを終了させた
8 Port Error NASポートでエラーが発生した
9 NAS Error NAS側でポート以外のエラーが発生した
10 NAS Request NASがエラー以外の理由でサービス終了を要求した
11 NAS Reboot NASの予期せぬ再起動によりサービスが切断された
12 Port Unneeded BODなどの使用時にトラフィックが一定水準を下回ったためポートをシャットダウンした
13 Port Preempted 優先度の高い他のサービスにポートを使用するため、NASがセッションを切断した
14 Port Suspended NASがバーチャルセッションをサスペンドした
15 Service Unavailable NASが要求されたサービスを提供できなかった
16 Callback コールバックするため、NASがセッションを切断した
17 User Error ユーザーからのデータにエラーがあったためセッションが切断された
18 Host Request ログインホストがセッションを正常終了させた


表 8:NAS-Port-Type属性値
0 Async
1 Sync
2 ISDN Sync
3 ISDN Async V.120
4 ISDN Async V.110
5 Virtual(TCPなどのトランスポートプロトコル経由)
6 PIAFS
7 HDLC Clear Channel
8 X.25
9 X.75
10 G.3 Fax
11 SDSL - Symmetric DSL
12 ADSL-CAP - Asymmetric DSL, Carrierless Amplitude Phase Modulation
13 ADSL-DMT - Asymmetric DSL, Discrete Multi-Tone
14 IDSL - ISDN Digital Subscriber Line
15 Ethernet
16 xDSL - Digital Subscriber Line of unknown type
17 Cable
18 Wireless - Other
19 Wireless - IEEE 802.11


 

本製品がサポートしているRADIUS属性一覧

表 9
属性名
使用される時期
説明
User-Name 認証要求/アカウンティング要求時 認証するユーザー名
User-Password 認証要求時 ユーザーのパスワード
CHAP-Password 認証要求時 CHAP認証時のパスワード(チャレンジに対するレスポンス)
NAS-IP-Address 認証要求/アカウンティング要求時 認証を要求するNAS(クライアント)のIPアドレス
Framed-IP-Address 認証受理(accept)時 ユーザーのIPアドレス
Framed-IP-Netmask 認証受理(accept)時 ユーザーのネットマスク
Callback-Number 認証受理(accept)時 コールバック番号
Framed-Route 認証受理(accept)時 認証されたユーザーのためにNAS(クライアント)が設定すべき経路情報
Framed-IPX-Network 認証受理(accept)時 ユーザーのIPXネットワーク番号
Session-Timeout 認証受理(accept)時 ユーザーセッションの有効期限(秒)
Idle-Timeout 認証受理(accept)時 無通信時のセッションタイムアウト(秒)
Calling-Station-Id 認証要求時 NAS(クライアント)に接続してきたユーザーの発番号
Framed-AppleTalk-Network 認証受理(accept)時 ユーザーのAppleTalkネットワーク番号
Framed-AppleTalk-Zone 認証受理(accept)時 ユーザーのデフォルトAppleTalkゾーン
CHAP-Challenge 認証要求時 NAS(クライアント)がユーザーに送信するCHAPチャレンジ
Acct-Status-Type アカウンティング開始時 サービスの開始、終了などを示す
Acct-Input-Octets アカウンティング終了時 サービス提供中に該当ポートで受信したデータ量(オクテット)
Acct-Output-Octets アカウンティング終了時 サービス提供中に該当ポートから送信したデータ量(オクテット)
Acct-Session-Id アカウンティング開始/アカウンティング終了時 セッションID
Acct-Authentic アカウンティング開始時 ユーザー認証の方法
Acct-Session-Time アカウンティング終了時 Framed Userへのサービス提供時間(秒)
Acct-Input-Packets アカウンティング終了時 Framed Userへのサービス提供中に該当ポートから受信したデータ量(パケット数)
Acct-Output-Packets アカウンティング終了時 Framed Userへのサービス提供中に該当ポートに向けて送信したデータ量(パケット数)
Acct-Terminate-Cause アカウンティング終了時 セッション終了の理由








(C) 1997 - 2005 アライドテレシスホールディングス株式会社

PN: J613-M0274-00 Rev.K