[index] CentreCOM AR300/AR700 シリーズ コマンドリファレンス 2.3
対象機種:AR300 V2、AR300L V2、AR320、AR720、AR740
- ユーザー認証処理の順序
- RADIUSサーバー
- TACACSサーバー
- 付録
- RADIUS
- パケットフォーマット
- RADIUS属性
- 本製品がサポートしているRADIUS属性一覧
本製品は、ユーザー認証機構として、内部のユーザー認証データベースに加えて、RADIUS(Remote Authentication Dial In User Service)サーバーとTACACS(Terminal Access Controller Access System)サーバーをサポートしています。
| ユーザー認証処理の順序 |
| RADIUSサーバー |
ADD RADIUS SERVER=192.168.10.10 SECRET=Valid8Me ↓
ADD RADIUS SERVER=192.168.10.10 PORT=1812 ACCPORT=1813 ↓
DELETE RADIUS SERVER=192.168.10.10 ↓
SHOW RADIUS ↓
# client secret 192.168.10.1 RouterA |
alpha Password = "PasswordA"
Framed-IP-Address = 192.168.10.240
Framed-IP-Netmask = 255.255.255.255
Idle-Timeout = 120
beta Password = "PasswordB"
Framed-IP-Address = 192.168.10.241
Framed-IP-Netmask = 255.255.255.255
Idle-Timeout = 120
|
| TACACSサーバー |
ADD TACACS SERVER=192.168.10.3 ↓
DELETE TACACS SERVER=192.168.10.3 ↓
SHOW TACACS SERVER ↓
SET USER TACTIMEOUT=10 TACRETRIES=7 ↓
| 付録 |
| RADIUS |
| Code | 8 | メッセージコード。パケットタイプを示す(別表を参照) |
| Identifier | 8 | メッセージID。要求と応答を照合するためのもの |
| Length | 16 | RADIUSパケットの長さ(オクテット)。Codeフィールドから始まるヘッダーをすべて含むが、パディングは除く。有効範囲は20〜4096オクテット |
| Authenticator | 128 | 認証データ。クライアントからサーバーへの認証要求(Access-Request)では、ランダムな値がセットされる(Request Authenticator)。この値はサーバー側がメッセージのハッシュ値を計算するときの一要素として使われる。サーバーからの応答(Access-Accept、Access-Reject、Access-Challenge)では、計算結果のMD5ハッシュ値が格納される(Response Authenticator) |
| Attributes... | 可変 | ユーザーに関するさまざまな情報(属性)が格納される。RADIUSパケットのデータ部分といえる |
| 1 | Access-Request | NASがサーバーに対してリモートユーザーの認証を要求するメッセージ。ユーザー名を示すUser-Name、パスワードを示すUser-PasswordかCHAP-Password、NAS自身を識別するNAS-IP-AddressかNAS-Identifier、NASのポートを示すNAS-PortかNAS-Port-Typeなどの属性値が含まれる |
| 2 | Access-Accept | サーバーがNASに対してユーザー認証成功を通知するメッセージ。NASがユーザーに提供すべきサービスに関する情報(属性)も含まれることがある |
| 3 | Access-Reject | サーバーがNASに対してユーザー認証に失敗したことを通知するメッセージ。Reply-Messageによって理由等のテキストが通知される場合もある |
| 4 | Accounting-Request | NASがサーバーに対してサービスのアカウンティングを要求するメッセージ |
| 5 | Accounting-Response | サーバーがNASに対してAccounting-Requestを受け入れたことを示すメッセージ。Accounting-Requestを拒否する場合、サーバーは何も応答しない |
| 11 | Access-Challenge | サーバーがNASに対してユーザーへのCHAP認証を要求するメッセージ。Reply-MessageとState属性値が含まれる |
| 12 | Status-Server (experimental) | - |
| 13 | Status-Client (experimental) | - |
| 255 | Reserved | - |
| Type | 8 | 属性のタイプを示す(別表を参照) |
| Length | 8 | 属性の長さ(オクテット)。Type、Length、Valueの全フィールドを含む |
| Value | 可変 | 属性値。4つのデータ型がある(別表参照)。内容は属性タイプごとに異なる。長さはLengthフィールドによって示されるため、文字列であってもNUL終端は必要ない |
| 1 | User-Name | 認証対象のユーザー名。Access-Requestパケットでサーバーに送られる |
| 2 | User-Password | ユーザーのパスワード。Access-Requestパケットでのみ使用される。パスワードはハッシュされてから送られる |
| 3 | CHAP-Password | CHAP認証時のレスポンス値(ハッシュしたパスワード)。Access-Requestパケットでのみ使用される |
| 4 | NAS-IP-Address | ユーザー認証を要求するNASのIPアドレス。Access-Requestパケットでのみ使用される |
| 5 | NAS-Port | NASの物理ポート番号。Access-Requestパケットでのみ使用される |
| 6 | Service-Type | ユーザーが求めるサービスの種類、または、ユーザーに提供すべきサービスの種類。Access-RequestパケットとAccess-Acceptパケットで使用される。別表を参照 |
| 7 | Framed-Protocol | 使用するプロトコル。PPP(1)、SLIP(2)などがある。Access-RequestパケットとAccess-Acceptパケットで使用される |
| 8 | Framed-IP-Address | ユーザーに割り当てるIPアドレス。0xFFFFFFFFはユーザーに選択権を与えるべきことを示す。0xFFFFFFFEはNASが割り当てるべきことを示す。その他の値は使うべきアドレスを示す。Access-RequestパケットとAccess-Acceptパケットで使用される |
| 9 | Framed-IP-Netmask | ユーザー(ルーター)に割り当てるネットマスク。Access-RequestパケットとAccess-Acceptパケットで使用される |
| 10 | Framed-Routing | ユーザー(ルーター)が使用すべき経路制御方式。経路制御パケットの送受信モードを指定するもので、値としては、使用しない(0)、送信(1)、受信(2)、送受信(3)がある。Access-Acceptパケットでのみ使用される |
| 11 | Filter-Id | 該当ユーザーのフィルターリスト。内容は実装にまかされている。Access-Acceptパケットで使用される |
| 12 | Framed-MTU | ユーザーのMTU(Maximum Tranmission Unit)。PPPなどでネゴシエーションされた場合はそちらが使用される。Access-RequestパケットとAccess-Acceptパケットで使用される |
| 13 | Framed-Compression | 使用する圧縮プロトコル。値としては、なし(0)、TCP/IPヘッダー圧縮(VJC)(1)、IPXヘッダー圧縮(2)、STAC LZS(3)がある。Access-RequestパケットとAccess-Acceptパケットで使用される |
| 14 | Login-IP-Host | ログイン先ホストのIPアドレス。0xFFFFFFFFはユーザーに選択権を与えるべきことを示す。0xFFFFFFFEはNASが割り当てるべきことを示す。その他の値は使うべきアドレスを示す。Access-RequestパケットとAccess-Acceptパケットで使用される |
| 15 | Login-Service | Login-IP-Hostへのログイン方式。値としてはTelnet(0)、Rlogin(1)などがある。Access-Acceptパケットでのみ使用される |
| 16 | Login-TCP-Port | ログインに使うTCPポート番号。Access-Acceptパケットでのみ使用される |
| 17 | (unassigned) | - |
| 18 | Reply-Message | ユーザーに対するテキストメッセージ。認証失敗の理由などが示される。Access-Acceptパケット、Access-Rejectパケット、Access-Challengeパケットで使用される |
| 19 | Callback-Number | コールバック番号。内容は使用者や実装に実装にまかされている。Access-RequestパケットとAccess-Acceptパケットで使用される |
| 20 | Callback-Id | コールバック先識別子。内容は使用者や実装に実装にまかされている。Access-Acceptパケットで使用される |
| 21 | (unassigned) | - |
| 22 | Framed-Route | 該当ユーザーのためにNASが設定すべき経路情報。内容は実装にまかされている。Access-Acceptパケットで使用される |
| 23 | Framed-IPX-Network | ユーザーのIPXネットワーク番号。Access-Acceptパケットで使用される |
| 24 | State | Access-ChallengeパケットとAccess-AcceptパケットでサーバーからNASに送られる実装依存の情報。これらのパケットを受けてAccess-Requestパケットを送る場合、NASはState属性をそのまま送り返さなくてはならない |
| 25 | Class | Access-AcceptパケットでサーバーからNASに送られる実装依存の情報。このパケットを受けてAccounting-Requestパケットを送る場合、NASはClass属性をそのまま送り返さなくてはならない |
| 26 | Vendor-Specific | 各ベンダーが独自に実装した属性を格納する。ベンダーIDフィールド(SMI Network Management Private Enterprise Code)と独自実装の情報フィールドからなる。情報フィールドは、ベンダー独自の属性タイプフィールド、長さフィールド、属性データからなる |
| 27 | Session-Timeout | ユーザーにサービス(ネットワーク接続やログインセッション)を提供する最大期間(秒)を示す。Access-Acceptパケット、Access-Challengeパケットで使用される |
| 28 | Idle-Timeout | ユーザーとNASの間で無通信状態が続いた場合にセッションを切断するまでの時間(秒)を示す。Access-Acceptパケット、Access-Challengeパケットで使用される |
| 29 | Termination-Action | サービス終了後にNASが実行すべきアクションを示す。値にはデフォルト(0)とRADIUS-Request(1)がある。Access-Acceptパケットでのみ使用される |
| 30 | Called-Station-Id | 着番号。ユーザーがダイヤルした電話番号。Access-Requestパケットでのみ使用される |
| 31 | Calling-Station-Id | 発番号。NASにアクセスしてきたユーザーの電話番号。Access-Requestパケットでのみ使用される |
| 32 | NAS-Identifier | NAS識別子。Access-Requestを送信したNASを識別するための文字列(フルドメイン名など)。RFC2865では、Access-RequestパケットにNAS-IdentifierかNAS-IP-Addressが必須となった |
| 33 | Proxy-State | NASとRADIUSサーバーを仲介するプロキシーサーバーが使用する情報。内容は実装にまかされている |
| 34 | Login-LAT-Service | LATシステム。Access-RequestパケットとAccess-Acceptパケットで使用される |
| 35 | Login-LAT-Node | LATノード。Access-RequestパケットとAccess-Acceptパケットで使用される |
| 36 | Login-LAT-Group | LATグループコード。Access-RequestパケットとAccess-Acceptパケットで使用される |
| 37 | Framed-AppleTalk-Link | ユーザーがルーターである場合に、シリアル回線上で使用すべきAppleTalkネットワーク番号。Access-Acceptパケットでのみ使用される |
| 38 | Framed-AppleTalk-Network | ユーザーがルーターでない場合に、NASがユーザーに割り当てるべきAppleTalkネットワーク番号。Access-Acceptパケットでのみ使用される |
| 39 | Framed-AppleTalk-Zone | ユーザーに割り当てるAppleTalkのデフォルトゾーン名。Access-Acceptパケットでのみ使用される |
| 40 | Acct-Status-Type | クライアントが、ユーザーサービスの開始、終了などを示す。値としては、Start(1)、Stop(2)、Interim-Update(3)、Accounting-On(7)、Accounting-Off(8)などがある |
| 41 | Acct-Delay-Time | クライアントが、このAccounting-Requestパケットの送信を試みはじめてからの経過時間を示す |
| 42 | Acct-Input-Octets | サービス提供中にユーザーから受信したデータ量(オクテット数)。サービス終了時(Acct-Status-TypeがStop)にAccounting-Requestパケットで送られる |
| 43 | Acct-Output-Octets | サービス提供中にユーザーに送信したデータ量(オクテット数)。サービス終了時(Acct-Status-TypeがStop)にAccounting-Requestパケットで送られる |
| 44 | Acct-Session-Id | アカウンティング記録中において各ユーザーセッションを識別するための文字列 |
| 45 | Acct-Authentic | ユーザーをどのようにして認証したか。値としては、RADIUS(1)、NAS自身が認証(2)、他のリモート認証プロトコル(3)がある |
| 46 | Acct-Session-Time | ユーザーへのサービス提供時間(秒)。サービス終了時(Acct-Status-TypeがStop)にAccounting-Requestパケットで送られる |
| 47 | Acct-Input-Packets | データリンクプロトコル(PPPなど)サービス提供中にユーザー(Framed Userという)から受信したパケット数。サービス終了時(Acct-Status-TypeがStop)にAccounting-Requestパケットで送られる |
| 48 | Acct-Output-Packets | データリンクプロトコル(PPPなど)サービス提供中にユーザー(Framed Userという)に送信したパケット数。サービス終了時(Acct-Status-TypeがStop)にAccounting-Requestパケットで送られる |
| 49 | Acct-Terminate-Cause | ユーザーセッション切断の理由。値については別表を参照。サービス終了時(Acct-Status-TypeがStop)にAccounting-Requestパケットで送られる |
| 50 | Acct-Multi-Session-Id | マルチリンクなどの使用時に関係のある一連のセッションを識別するための文字列 |
| 51 | Acct-Link-Count | マルチリンク数 |
| 40-59 | (reserved for accounting) | アカウンティング用に予約済み |
| 60 | CHAP-Challenge | NASがPPPユーザーに送信したCHAPチャレンジ値。Access-Requestパケットでのみ使用される |
| 61 | NAS-Port-Type | NASの物理ポート種別。別表を参照。Access-Requestパケットでのみ使用される |
| 62 | Port-Limit | ユーザーに提供可能な最大ポート数。マルチリンクPPPなどでリンク数を制限するために使われる。Access-RequestパケットとAccess-Acceptパケットで使用される |
| 63 | Login-LAT-Port | ユーザーが使用すべきLATポート。Access-RequestパケットとAccess-Acceptパケットで使用される |
| 192-223 | (reserved for experimental use) | |
| 224-240 | (reserved for implementation-specific use) | |
| 241-255 | (reserved and should not be used) |
| text | 1〜253オクテット | テキスト文字列(UTF-8) |
| string | 1〜253オクテット | バイナリーストリング(0x00〜0xffの任意の値) |
| address | 32ビット | アドレス(IPアドレスなど) |
| integer | 32ビット | 整数。32ビットの符号なし整数値 |
| time | 32ビット | 日時。1970年1月1日0時(GMT)を起点とする経過秒数で表す。32ビットの符号なし整数値。RFC2865で定義されている属性では使われていない |
| 1 | Login | ホストへのログイン |
| 2 | Framed | データリンクプロトコルサービス(PPP、SLIPなど) |
| 3 | Callback Login | 切断後コールバックを受けてからホストにログイン |
| 4 | Callback Framed | 切断後コールバックを受けてからデータリンクプロトコルサービスを開始 |
| 5 | Outbound | 発呼用デバイスへのアクセス |
| 6 | Administrative | NASの管理インターフェースへの特権アクセス |
| 7 | NAS Prompt | NASの管理インターフェースへの非特権アクセス |
| 8 | Authenticate Only | 認証のみ(プロキシーサーバーが使用) |
| 9 | Callback NAS Prompt | 切断後コールバックを受けてからNASの管理インターフェースに非特権アクセス |
| 10 | Call Check | 着信呼を検出したNASがサーバーに着呼すべきか問い合わせるときに使う。サーバーはCalling-Station-Id等の属性をもとに、着呼許可ならAccess-Accept、拒否ならAccess-Rejectを返す |
| 11 | Callback Administrative | 切断後コールバックを受けてからNASの管理インターフェースに特権アクセス |
| 1 | User Request | ユーザーの要求により切断(LCP Terminate-Requestやログアウトなど) |
| 2 | Lost Carrier | NASポートでDCD信号線オフを検出した |
| 3 | Lost Service | サービスの提供を継続できなくなった |
| 4 | Idle Timeout | 無通信時間が一定時間続いたため切断 |
| 5 | Session Timeout | セッション期限が満了したため切断 |
| 6 | Admin Reset | NASの管理者がポートまたはセッションをリセットした |
| 7 | Admin Reboot | NASの管理者が再起動のためサービスを終了させた |
| 8 | Port Error | NASポートでエラーが発生した |
| 9 | NAS Error | NAS側でポート以外のエラーが発生した |
| 10 | NAS Request | NASがエラー以外の理由でサービス終了を要求した |
| 11 | NAS Reboot | NASの予期せぬ再起動によりサービスが切断された |
| 12 | Port Unneeded | BODなどの使用時にトラフィックが一定水準を下回ったためポートをシャットダウンした |
| 13 | Port Preempted | 優先度の高い他のサービスにポートを使用するため、NASがセッションを切断した |
| 14 | Port Suspended | NASがバーチャルセッションをサスペンドした |
| 15 | Service Unavailable | NASが要求されたサービスを提供できなかった |
| 16 | Callback | コールバックするため、NASがセッションを切断した |
| 17 | User Error | ユーザーからのデータにエラーがあったためセッションが切断された |
| 18 | Host Request | ログインホストがセッションを正常終了させた |
| 0 | Async |
| 1 | Sync |
| 2 | ISDN Sync |
| 3 | ISDN Async V.120 |
| 4 | ISDN Async V.110 |
| 5 | Virtual(TCPなどのトランスポートプロトコル経由) |
| 6 | PIAFS |
| 7 | HDLC Clear Channel |
| 8 | X.25 |
| 9 | X.75 |
| 10 | G.3 Fax |
| 11 | SDSL - Symmetric DSL |
| 12 | ADSL-CAP - Asymmetric DSL, Carrierless Amplitude Phase Modulation |
| 13 | ADSL-DMT - Asymmetric DSL, Discrete Multi-Tone |
| 14 | IDSL - ISDN Digital Subscriber Line |
| 15 | Ethernet |
| 16 | xDSL - Digital Subscriber Line of unknown type |
| 17 | Cable |
| 18 | Wireless - Other |
| 19 | Wireless - IEEE 802.11 |
| User-Name | 認証要求/アカウンティング要求時 | 認証するユーザー名 |
| User-Password | 認証要求時 | ユーザーのパスワード |
| CHAP-Password | 認証要求時 | CHAP認証時のパスワード(チャレンジに対するレスポンス) |
| NAS-IP-Address | 認証要求/アカウンティング要求時 | 認証を要求するNAS(クライアント)のIPアドレス |
| Framed-IP-Address | 認証受理(accept)時 | ユーザーのIPアドレス |
| Framed-IP-Netmask | 認証受理(accept)時 | ユーザーのネットマスク |
| Callback-Number | 認証受理(accept)時 | コールバック番号 |
| Framed-Route | 認証受理(accept)時 | 認証されたユーザーのためにNAS(クライアント)が設定すべき経路情報 |
| Framed-IPX-Network | 認証受理(accept)時 | ユーザーのIPXネットワーク番号 |
| Session-Timeout | 認証受理(accept)時 | ユーザーセッションの有効期限(秒) |
| Idle-Timeout | 認証受理(accept)時 | 無通信時のセッションタイムアウト(秒) |
| Calling-Station-Id | 認証要求時 | NAS(クライアント)に接続してきたユーザーの発番号 |
| Framed-AppleTalk-Network | 認証受理(accept)時 | ユーザーのAppleTalkネットワーク番号 |
| Framed-AppleTalk-Zone | 認証受理(accept)時 | ユーザーのデフォルトAppleTalkゾーン |
| CHAP-Challenge | 認証要求時 | NAS(クライアント)がユーザーに送信するCHAPチャレンジ |
| Acct-Status-Type | アカウンティング開始時 | サービスの開始、終了などを示す |
| Acct-Input-Octets | アカウンティング終了時 | サービス提供中に該当ポートで受信したデータ量(オクテット) |
| Acct-Output-Octets | アカウンティング終了時 | サービス提供中に該当ポートから送信したデータ量(オクテット) |
| Acct-Session-Id | アカウンティング開始/アカウンティング終了時 | セッションID |
| Acct-Authentic | アカウンティング開始時 | ユーザー認証の方法 |
| Acct-Session-Time | アカウンティング終了時 | Framed Userへのサービス提供時間(秒) |
| Acct-Input-Packets | アカウンティング終了時 | Framed Userへのサービス提供中に該当ポートから受信したデータ量(パケット数) |
| Acct-Output-Packets | アカウンティング終了時 | Framed Userへのサービス提供中に該当ポートに向けて送信したデータ量(パケット数) |
| Acct-Terminate-Cause | アカウンティング終了時 | セッション終了の理由 |
(C) 1997 - 2005 アライドテレシスホールディングス株式会社
PN: J613-M0274-00 Rev.K