[index]
CentreCOM GS900M V2シリーズ コマンドリファレンス 2.3.2
運用・管理/認証サーバー
- ユーザー認証処理の順序
- RADIUSサーバー
- RADIUSサーバーのアカウンティング機能
本製品は、ユーザー認証機構として、内部のユーザー認証データベースに加えて、RADIUS(Remote Authentication Dial In User Service)サーバーをサポートしています。
ログイン名とパスワードを受け取った本製品は、最初にユーザー名とパスワードの検証を行い、ユーザー名とパスワードが合った場合は、その時点で認証成功となります。ここで認証が成功しなかった場合は、RADIUSサーバーに認証を要求します。RADIUSサーバーが登録されていない、あるいはRADIUSサーバーからAccess-Rejectが返ってきた場合は、認証は失敗、RADIUSサーバーから、Access-Acceptが返ってきた場合は認証成功となります。
RADIUSサーバーは、ユーザー認証に使用できるほか、ポート認証でも使用できます。詳細は「ポート認証」をご覧ください。
■ RADIUSサーバーを登録するには、ADD RADIUSSERVER SERVERコマンドを使用し、RADIUSサーバーのIPアドレス、共有パスワードを指定してください。
ADD RADIUSSERVER SERVER=192.168.10.10 ORDER=1 SECRET=Valid8Me ↓
■ 認証パケットのやりとりに使用するUDPポート番号およびアカウンティングパケットに使用するUDPポート番号を変更するには、PORTパラメーター(認証)とACCPORTパラメーター(アカウンティング)を指定してください。(RFC2865では認証用ポートを1812番、RFC2866ではアカウンティング用ポートを1813番としています。デフォルトでは、この設定になっています)RADIUSサーバーの設定を確認し、適切なポート番号を指定してください。
ADD RADIUSSERVERS SERVER=192.168.10.20 ORDER=2 PORT=1645 ACCPORT=1646 ↓
■ RADIUSサーバーとの通信に関するパラメーター(応答待ち時間、再送回数など)はSET RADIUSコマンドで変更できます。次の例では、応答待ち時間を10秒、再送回数を5回に設定しています。デフォルトはそれぞれ6秒と3回です。
SET RADIUS TIMEOUT=10 RETRANSMITCOUNT=5 ↓
■ RADIUSサーバーの登録を削除するには、DELETE RADIUSSERVER SERVERコマンドを使用します。
DELETE RADIUSSERVER SERVER=192.168.10.20 ↓
■ 登録されているRADIUSサーバーの一覧を表示するには、SHOW AUTHENTICATIONコマンドを使用します。
Note
- RADIUSサーバーが複数登録されている場合は、登録された順序でサーバーに要求を送信します(最初のサーバーが無応答なら、次のサーバーに要求を送信)。なお、次のサーバーに移るのは、前のサーバーが無応答だったときだけである点に注意してください。いずれかのサーバーからAccess-Rejectが返ってきた場合は、その時点でRADIUS認証失敗となり、次のサーバーには要求を送信しません。
■ RADIUSサーバーで管理するユーザーの権限(ユーザーレベル)は、各ユーザーのService-Type属性で指定できます。
表 1
Service-Type属性値 |
ユーザーレベル |
Administrative(6) |
Managerレベル |
■ RADIUSサーバーのクライアント情報ファイルとユーザー情報ファイルの例を示します。詳細はRADIUSサーバーのマニュアルをご覧ください。
[/etc/raddb/clients]
# client secret
192.168.10.10 Valid8Me
|
[/etc/raddb/users]
alpha Password = "PasswordA"
Framed-IP-Address = 192.168.10.240
Framed-IP-Netmask = 255.255.255.255
Idle-Timeout = 120
beta Password = "PasswordB"
Framed-IP-Address = 192.168.10.241
Framed-IP-Netmask = 255.255.255.255
Idle-Timeout = 120
|
本製品では、RADIUS認証したクライアントの接続、切断などの情報を通知するための、RADIUSアカウンティングプロトコルをサポートしているため、RADIUSサーバーのアカウンティング機能を使用することができます。
アカウンティングサーバーは、RADIUSサーバーとして設定したサーバーになります。複数のRADIUSサーバーが設定されている場合には、認証に使用されたサーバーを使用します。本機能は、RADIUSサーバーの設定を行わないと使用できません。
■ RADIUSアカウンティング機能を有効にするには、ENABLE RADIUSACCOUNTINGコマンドを使用します。
ENABLE RADIUSACCOUNTING ↓
■ RADIUSアカウンティング機能を無効にするには、DISABLE RADIUSACCOUNTINGコマンドを使用します。
DISABLE RADIUSACCOUNTING ↓
■ RADIUSサーバーのアカウンティング機能に関する設定を変更する場合には、SET RADIUSACCOUNTINGコマンドを使用します。RADIUSサーバーのアカウンティング用UDPポート番号を変更するには、下記のコマンドを実行します。
SET RADIUSACCOUNTING SERVERPORT=1814 ↓
■ RADIUSサーバーのアカウンティング機能に関する設定を確認には、SHOW RADIUSACCOUNTINGコマンドを使用します。
(C) 2009-2011 アライドテレシスホールディングス株式会社
PN: 613-001180 Rev.E