[index]
CentreCOM 9424T/SP-E、9424Ts/XP-E コマンドリファレンス 2.4
運用・管理/認証サーバー
- ユーザー認証処理の順序
- RADIUSサーバー
- RADIUSサーバーのアカウンティング機能
本製品は、ユーザー認証機構として、ユーザー名とパスワードによる認証に加えて、RADIUS(Remote Authentication Dial In User Service)サーバーをサポートしています。
ログイン名とパスワードを受け取った本製品は、最初に、RADIUSサーバーに認証を要求します。RADIUSサーバーが登録されていない、あるいはRADIUSサーバーからAccess-Rejectが返ってきた場合は、認証は失敗、RADIUSサーバーから、Access-Acceptが返ってきた場合は認証成功となります。
RADIUSサーバーとの通信がタイムアウトした場合、または、RADIUSクライアントが無効の場合は、ユーザー名とパスワードの検証を行い、ユーザー名とパスワードが合った場合はその時点で認証成功となります。
RADIUSサーバーは、ユーザー認証に使用できるほか、ポート認証でも使用できます。詳細は「スイッチング」/「ポート認証」をご覧ください。
本製品では、RADIUSサーバーを3台まで登録することができ、その優先順位も指定することができます。
RADIUSサーバーを使用して、ユーザー認証を行うために最低限必要な設定は、次のとおりです。
以下の例では、RADIUSサーバーのIPアドレスを192.168.10.10、優先順位1番、RADIUSサーバー個別のパスワードをValid8Meと仮定しています。
- RADIUSサーバーを登録します。ADD RADIUSSERVERコマンドを使用し、RADIUSサーバーのIPアドレスとサーバーの優先順位、パスワードを指定してください。
ADD RADIUSSERVER SERVER=192.168.10.10 ORDER=1 SECRET=Valid8Me ↓
- 認証モードを有効にします。
■ 認証パケットのやり取りに使用するUDPポート番号およびアカウンティングパケットに使用するUDPポート番号を変更するには、PORTパラメーター(認証)とACCPORTパラメーター(アカウンティング)を指定してください。(RFC2865では認証用ポートを1812番、RFC2866ではアカウンティング用ポートを1813番としています。デフォルトでは、この設定になっています)RADIUSサーバーの設定を確認し、適切なポート番号を指定してください。
ADD RADIUSSERVER SERVER=192.168.10.10 ORDER=1 PORT=1645 ACCPORT=1646 ↓
■ RADIUSサーバーの登録を削除するには、DELETE RADIUSSERVERコマンドを使用します。
DELETE RADIUSSERVER SERVER=192.168.10.10 ↓
■ RADIUSサーバー共通で使用するパスワードやタイムアウト時間などの、認証モードの設定を変更するには、SET AUTHENTICATIONコマンドを使用します。
SET AUTHENTICATION SECRET=himitu TIMEOUT=60 ↓
■ 認証モードの設定や、登録されているRADIUSサーバーの一覧を表示するには、SHOW AUTHENTICATIONコマンドを使用します。
■ RADIUSサーバーで管理するユーザーの権限(ユーザーレベル)は、各ユーザーのService-Type属性で指定できます。
表 1
| Service-Type属性値 |
ユーザーレベル |
| Administrative(6) |
Managerレベル |
| NAS Prompt(7) |
Userレベル |
■ RADIUSサーバーのクライアント情報ファイルとユーザー情報ファイルの例を示します。詳細はRADIUSサーバーのマニュアルをご覧ください。
[/etc/raddb/clients]
# client secret
192.168.10.1 RouterA
|
[/etc/raddb/users]
alpha Password = "PasswordA"
Framed-IP-Address = 192.168.10.240
Framed-IP-Netmask = 255.255.255.255
Idle-Timeout = 120
beta Password = "PasswordB"
Framed-IP-Address = 192.168.10.241
Framed-IP-Netmask = 255.255.255.255
Idle-Timeout = 120
|
本製品では、RADIUS認証したユーザーのネットワーク利用状況を収集するための、RADIUSアカウンティングプロトコルをサポートしているため、RADIUSサーバーのアカウンティング機能を使用することができます。
アカウンティングサーバーは、RADIUSサーバーとして設定したサーバーになります。複数のRADIUSサーバーが設定されている場合には、認証に使用されたサーバーを使用します。本機能は、RADIUSサーバーの設定を行わないと使用できません。
■ RADIUSアカウンティング機能を有効にするには、ENABLE RADIUSACCOUNTINGコマンドを使用します。
ENABLE RADIUSACCOUNTING ↓
■ RADIUSアカウンティング機能を無効にするには、DISABLE RADIUSACCOUNTINGコマンドを使用します。
DISABLE RADIUSACCOUNTING ↓
■ RADIUSサーバーのアカウンティング機能に関する設定を変更する場合には、SET RADIUSACCOUNTINGコマンドを使用します。RADIUSサーバーのアカウンティング用UDPポート番号を変更するには、下記のコマンドを実行します。
SET RADIUSACCOUNTING SERVERPORT=1814 ↓
■ RADIUSサーバーのアカウンティング機能に関する設定を確認には、SHOW RADIUSACCOUNTINGコマンドを使用します。
(C) 2006-2008 アライドテレシスホールディングス株式会社
PN: 613-000699 Rev.C