[index] CentreCOM ARX640S コマンドリファレンス 5.0.0

運用・管理 / RADIUSクライアント

  - 基本設定
  - 登録したRADIUSサーバーの使用

本製品はRADIUSクライアントの機能を備えており、外部のRADIUSサーバーを利用してユーザー認証を行うことができます。

RADIUSクライアント機能は、以下の用途に使用できます。

IKEv2における対向装置のEAP認証とConfigurationペイロードによるIPアドレスの割り当て

ここでは、RADIUSクライアントの設定方法だけを述べます。IKEv2の設定については「IPsec」の「一般設定」をご覧ください。

基本設定

■ ユーザー認証に使うRADIUSサーバーを登録するには、radius-server hostコマンドを実行します。通常はRADIUSサーバーのIPアドレスかホスト名と共有パスワードを指定してください。

*Router(config)# radius-server host 172.16.10.2 key Valid8Me ↓

Note - RADIUSサーバーをホスト名で指定するためには、あらかじめip name-serverコマンドでDNSサーバーを登録し（初期状態では未登録）、ip domain lookupコマンドでDNSへの問い合わせ機能を有効にしておく必要があります（初期状態では無効）。

Note - RADIUSパケットの送信先UDPポート番号は1812番固定のため、RADIUSサーバー側では認証用UDPポート番号を標準の1812番に設定してください。

■ RADIUSサーバーとの通信に関するパラメーター（応答待ち時間、再送回数）はradius-server hostコマンドのtimeoutパラメーター、retransmitパラメーターで指定できます。次の例では、応答待ち時間を8秒、再送回数を4回に設定しています。初期状態における省略時はそれぞれ5秒と3回になります。

*Router(config)# radius-server host 172.16.10.3 key Dm7b5G7b9 timeout 8 retransmit 4 ↓

■ 複数のRADIUSサーバーで同じパラメーター（共有パスワード、応答待ち時間、再送回数）を使いたい場合は、下記のコマンドでグローバルな値を設定しておき、radius-server hostコマンドではサーバーのIPアドレスかホスト名だけを指定します。

radius-server keyコマンド（共有パスワード）
radius-server timeoutコマンド（応答待ち時間）
radius-server retransmitコマンド（再送回数）

次の例では、3台のRADIUSサーバー192.168.100.2、192.168.100.3、192.168.100.4に対して、同じ共有パスワード（ol2345bTBq）、応答待ち時間（8秒）、再送回数（4回）を使うよう設定しています。

*Router(config)# radius-server key ol2345bTBq ↓ *Router(config)# radius-server timeout 8 ↓ *Router(config)# radius-server retransmit 4 ↓ *Router(config)# radius-server host 192.168.100.2 ↓ *Router(config)# radius-server host 192.168.100.3 ↓ *Router(config)# radius-server host 192.168.100.4 ↓

なお、一部異なる値を使いたい場合は、radius-server hostコマンドでサーバー固有のパラメーターを指定してください。radius-server hostコマンドで指定したパラメーターは、グローバル設定よりも優先されます。

たとえば、RADIUSサーバー192.168.100.4の共有パスワードだけ別の値を使いたいといった場合は、次のように設定します。radius-server hostコマンドで指定していない応答待ち時間と再送回数はグローバル設定値が使われます。

*Router(config)# radius-server host 192.168.100.4 key 48CDEF6H1 ↓

■ RADIUSサーバーの登録を削除するには、radius-server hostコマンドをno形式で実行します。

*Router(config)# no radius-server host 192.168.100.3 ↓

■ 登録されているRADIUSサーバーを確認するには、show running-configコマンドを実行します。次の例のように、CLIのモディファイアを使って表示行を絞り込むとよいでしょう（モディファイアについては「運用・管理」/「コマンドラインインターフェース（CLI）」の「モディファイアとリダイレクション」を参照）。

*Router# show running-config | include radius ↓ radius-server host 192.168.100.2 radius-server host 192.168.100.4 key 48CDEF6H1 radius-server key 0l2345bTBq radius-server timeout 8 radius-server retransmit 4

登録したRADIUSサーバーの使用

RADIUSサーバーは登録しただけでは使用されません。

各機能の設定において、RADIUSサーバーを使用するよう指定して初めてRADIUSクライアント機能が働き、登録されているRADIUSサーバーへのアクセスが発生します。

RADIUSサーバーを使用する機能には次のものがあります。

IKEv2（ISAKMPポリシー）

IKEv2の設定については「IPsec」の「一般設定」をご覧ください。

PN: 613-001491 Rev.A