[index] SwitchBlade 4000シリーズコマンドリファレンス 2.6

運用・管理/認証サーバー

  - ユーザー認証処理の順序
  - RADIUSサーバー

本製品は、ユーザー認証機構として、本体内蔵のユーザー認証データベースに加え、外部のRADIUS（Remote Authentication Dial In User Service）サーバーをサポートしています。

ユーザー認証処理の順序

ログイン名とパスワードを受け取った本製品は、最初にユーザー認証データベースを検索します。マッチするエントリーがあった場合はその時点で認証成功となります。マッチするエントリーがなかった場合はRADIUSサーバーに認証を要求します。RADIUSサーバーが登録されていない、あるいはRADIUSサーバーからAccess-Rejectが返ってきた場合は認証失敗、RADIUSサーバーからAccess-Acceptが返ってきた場合は認証成功となります。

RADIUSサーバー

RADIUSサーバーは、ユーザー認証に使用できるほか、802.1X認証やファイアウォールのアクセスルールを集中管理する目的でも使用できます。詳細は「スイッチング」の「802.1X認証」および「ファイアウォール」の章をご覧ください。

■ RADIUSサーバーを登録するには、ADD RADIUS SERVERコマンドを使用します。RADIUSサーバーのIPアドレスと共有パスワードを指定してください。

ADD RADIUS SERVER=192.168.10.10 SECRET=Valid8Me ↓

■ デフォルトでは、認証パケットのやり取りにはUDPポート1645番を、アカウンティングパケットには同1646番を使います。これらのポート番号を変更するには、PORTパラメーター（認証）とACCPORTパラメーター（アカウンティング）を指定してください。RFC2865では認証用ポートを1812番、RFC2866ではアカウンティング用ポートを1813番としています。RADIUSサーバーの設定を確認し、適切なポート番号を指定してください。

ADD RADIUS SERVER=192.168.10.10 SECRET=Valid8Me PORT=1812 ACCPORT=1813 ↓

■ RADIUSサーバーの登録を解除するには、DELETE RADIUS SERVERコマンドを使用します。

DELETE RADIUS SERVER=192.168.10.10 ↓

■ 登録されているRADIUSサーバーの一覧を表示するには、SHOW RADIUSコマンドを使用します。

SHOW RADIUS ↓

■ RADIUSサーバーで管理するユーザーの権限（ユーザーレベル）は、各ユーザーのService-Type属性で指定できます。

表 1

Service-Type属性値 ユーザーレベル

Administrative(6) Security Officerレベル

NAS Prompt(7) Managerレベル

その他（指定なしを含む） Userレベル

■ RADIUSサーバーのクライアント情報ファイルとユーザー情報ファイルの例を示します。詳細はRADIUSサーバーのマニュアルをご覧ください。

[clients.conf]

client 192.168.10.1 {
    secret    = himitsu
    shortname = kkSwitch
}

[users]

secadmin  Auth-Type := Local, User-Password == "secadminpass"
          Service-Type = Administrative-User

admin     Auth-Type := Local, User-Password == "adminpass"
          Service-Type = NAS-Prompt-User

operator  Auth-Type := Local, User-Password == "operatorpass"

PN: J613-M6964-02 Rev.G

Service-Type属性値	ユーザーレベル
Administrative(6)	Security Officerレベル
NAS Prompt(7)	Managerレベル
その他（指定なしを含む）	Userレベル