[index] CentreCOM 8316XL/8324XL コマンドリファレンス 2.7
- ユーザー認証処理の順序 - RADIUSサーバー
本製品は、ユーザー認証機構として、内部のユーザー認証データベースに加えて、RADIUS(Remote Authentication Dial In User Service)サーバーをサポートしています。
| ユーザー認証処理の順序 |
Note - RADIUSサーバーが複数登録されている場合は、登録された順序でサーバーに要求を送信します(最初のサーバーが無応答なら、次のサーバーに要求を送信)。なお、次のサーバーに移るのは、前のサーバーが無応答だったときだけである点に注意してください。いずれかのサーバーからAccess-Rejectが返ってきた場合は、その時点でRADIUS認証失敗となり、次のサーバーには要求を送信しません。
Note - デフォルトの設定では、無応答のサーバーに対しても毎回要求を送信します。このため、認証サーバーリストの先頭に登録されているRADIUSサーバーが応答しない場合、毎回このサーバーの応答がタイムアウトするまで待つこととなり、結果として認証時間が長くなります。これを回避するには、SET RADIUSコマンドでDEADTIMEパラメーター(無応答サーバーの使用抑制時間)を1分以上の適切な値に設定してください(デフォルトは0分)。
Note - ADD USERコマンドでRADIUSBACKUP=YESのユーザー(RADIUSバックアップユーザー)を1つでも作成した場合は、認証の順序が変わります。RADIUSバックアップユーザーが1つも登録されていない場合、認証順は前述のとおり「ユーザー認証データベース」→「RADIUS 認証」となります。RADIUSバックアップユーザーが存在する場合、認証順は「RADIUS 認証」→「ユーザー認証データベース」となります。この場合の認証順序は以下のとおりです。1. RADIUSサーバーに認証を要求します。RADIUSサーバーからAccess-Acceptが返ってきた場合はその時点で認証成功となります。 2a. RADIUSサーバーから応答がなかった場合はユーザー認証データベースを検索しますが、このときRADIUSバックアップユーザーだけを検索対象とします。 2b. RADIUSサーバーからAccess-Rejectが返ってきた場合はユーザー認証データベースを検索しますが、このときRADIUSバックアップユーザー以外のユーザーだけを検索対象とします。
| RADIUSサーバー |
ADD RADIUS SERVER=192.168.10.10 SECRET=Valid8Me ↓
ADD RADIUS SERVER=192.168.10.10 SECRET=Valid8Me PORT=1812 ACCPORT=1813 ↓
SET RADIUS TIMEOUT=10 RETRANSMITCOUNT=5 ↓
DELETE RADIUS SERVER=192.168.10.10 ↓
SHOW RADIUS ↓
| Administrative(6) | Security Officerレベル |
| NAS Prompt(7) | Managerレベル |
| その他(指定なしを含む) | Userレベル |
# client secret 192.168.10.1 RouterA |
alpha Password = "PasswordA"
Framed-IP-Address = 192.168.10.240
Framed-IP-Netmask = 255.255.255.255
Idle-Timeout = 120
beta Password = "PasswordB"
Framed-IP-Address = 192.168.10.241
Framed-IP-Netmask = 255.255.255.255
Idle-Timeout = 120
|
Copyright (C) 2004-2010 アライドテレシスホールディングス株式会社
PN: J613-M0249-11 Rev.J