[index] SwitchBlade x3100シリーズコマンドリファレンス

運用・管理 / 認証サーバー

  - ユーザー認証処理の順序
   - RADIUSクライアント 
    - コマンドの使用例
   - RADIUSクライアントのアカウンティング機能 
   - TACACS＋クライアント
    - コマンドの使用例

本製品は、ユーザー認証機構として、ユーザー名とパスワードによる認証に加えて、RADIUS（Remote Authentication Dial In User Service）クライアントとTACACS+（Terminal Access Controller Access Control System Plus）クライアントをサポートしています。本製品では、RADIUSサーバーとTACACS+サーバーを5台まで登録することができます。また、その優先順位を指定することもできます。

ユーザー認証処理の順序

ログイン名とパスワードを受け取った本製品は、最初に、RADIUSサーバー/TACACS+サーバーに認証を要求します。RADIUSサーバー/TACACS+サーバーが登録されていない、またはRADIUSサーバー/TACACS+サーバーからAccess-Rejectが返ってくると認証失敗となります。RADIUSサーバー/TACACS+サーバーから、Access-Acceptが返ってくると認証成功となります。

RADIUSサーバーやTACACS+サーバーを複数登録している場合は、始めにRADIUSサーバーに接続し、次にTACACS+サーバーに接続します。認証要求をしたサーバーで認証に失敗すると、次のサーバーへと認証要求を繰り返します。この一連の流れは認証が成功するか、全てのサーバーで認証に失敗するまで続きます。

RADIUSサーバー/TACACS+サーバーとの通信がタイムアウトした場合、または、RADIUSクライアント/TACACS+クライアントが無効の場合は、ユーザー名とパスワードの検証を行い、ユーザー名とパスワードが合った場合はその時点で認証成功となります。

RADIUSクライアント

RADIUSクライアントは、ユーザー認証に使用できるほか、ポート認証でも使用できます。詳細は「スイッチング」/「ポート認証」をご覧ください。

■ RADIUSクライアントを使用して、ユーザー認証を行うために最低限必要な設定は、次のとおりです。

以下の例では、RADIUSサーバーのIPアドレスを192.168.10.10、RADIUSサーバー個別のパスワードをValid8Meと仮定しています。

RADIUSサーバーを登録します。ADD RADIUS SERVER (SEC)コマンドを使用し、RADIUSサーバーのIPアドレスとパスワードを指定してください。
RADIUSクライアントを有効にします。

RADIUSクライアントの設定を確かめます。

officer SEC>> SHOW RADIUS ↓ --- RADIUS -------------------------------------------------------------------- Auth Mode............................. Login Interim-Update........................ OFF Accounting Period..................... 30 ------------------------------------------------------------------------------- --- RADIUS Servers ------------------------------------------------------------ Hostname/IP Auth Acct Time Address Status Pri Port Port Retries out Function Type ---------------- -------- --- ----- ----- ------- ----- ---------------- ----- 192.168.10.10 Enabled 1 1812 1813 3 5 AUTHENTICATION LOGIN -------------------------------------------------------------------------------

■ RADIUSサーバーで管理するユーザーの権限（ユーザーレベル）は、各ユーザーのService-Type属性で指定できます。

表 1

Service-Type 属性値ユーザーレベル

Administrative (6) Manager/Security Officerレベル

NAS Prompt (7) Userレベル

コマンドの使用例

■ 認証パケットのやりとりに使用するUDPポート番号およびアカウンティングパケットに使用するUDPポート番号を変更するには、AUTHPORTパラメーター（認証）とACCTPORTパラメーター（アカウンティング）を指定してください。（RFC2865では認証用ポートを1812番、RFC2866ではアカウンティング用ポートを1813番としています。初期設定では、この設定になっています）RADIUSサーバーの設定を確認し、適切なポート番号を指定してください。


officer SEC>> ADD RADIUS SERVER=192.168.10.10 AUTHPORT=1812 ACCTPORT=1813  ↓

■ RADIUSクライアントを無効にするには、DISABLE RADIUS SERVER (SEC)コマンドを使用します。


officer SEC>> DISABLE RADIUS SERVER=192.168.10.10  ↓

■ RADIUSサーバーの登録を削除するには、DELETE RADIUS SERVER (SEC)コマンドを使用します。


officer SEC>> DELETE RADIUS SERVER=192.168.10.10  ↓

■ RADIUSサーバーで使用するパスワードやタイムアウト時間などの、認証モードの設定を変更するには、SET RADIUS SERVER (SEC)コマンドを使用します。


officer SEC>> SET RADIUS SERVER=192.168.10.10 SECRET=himitu TIMEOUT=60 ↓

■ 認証モードの設定や、登録されているRADIUSサーバーの一覧を表示するには、SHOW RADIUSコマンドを使用します。


officer SEC>> SHOW RADIUS  ↓

RADIUSクライアントのアカウンティング機能

本製品では、RADIUS認証したユーザーのネットワーク利用状況を収集するための、RADIUSアカウンティングプロトコルをサポートしているため、RADIUSサーバーのアカウンティング機能を使用することができます。RADIUSアカウンティングはDOT1Xと併用することにより使用できます。

アカウンティングサーバーは、RADIUSサーバーとして設定したサーバーになります。複数のRADIUSサーバーを設定している場合は、認証に使用したサーバーを使用します。

■ RADIUSアカウンティング機能を有効にするには、SET RADIUS SERVER (SEC)コマンドを使用します。


officer SEC>> SET RADIUS SERVER=192.168.10.10 ACCOUNTING=ON ↓

■ RADIUSアカウンティング機能を無効にするには、SET RADIUS SERVER (SEC)コマンドを使用します。


officer SEC>> SET RADIUS SERVER=192.168.10.10 ACCOUNTING=OFF ↓

TACACS＋クライアント

■ TACACS＋クライアントを使用して、ユーザー認証を行うために最低限必要な設定は、次のとおりです。

以下の例では、RADIUSサーバーのIPアドレスを10.10.10.20、共通鍵をMEOWと仮定しています。

TACACS+クライアントを有効にし、共通鍵を設定します
TACACS+クライアントの認証を有効にします

TACACS+クライアントの設定を確かめます。

officer SEC>> SHOW TACPLUS ↓ --- TACACS+ ------------------------------------------------------------------- Auth Mode............................. Command ------------------------------------------------------------------------------- --- TACACS+ Servers ----------------------------------------------------------- Hostname/IP Address Status Pri Port Retries Timeout Function ------------------------- -------- ---- ----- ------- ------- ---------------- 10.10.10.20 Enabled 1 49 3 5 AUTHENTICATION -------------------------------------------------------------------------------

コマンドの使用例

■ TACACS+サーバーの設定を変更するには、SET TACPLUS SERVER (SEC)を使います。ここでは、リトライ数を5回（初期設定は3回）、タイムアウトを10秒（初期設定は5秒）に変更します。


officer SEC>> SET TACPLUS SERVER=10.10.10.20 RETRIES=5 TIMEOUT=10 ↓

■ TACACS+クライアントを無効にするには、DISABLE TACPLUS SERVER (SEC)コマンドを使用します。


officer SEC>> DISABLE TACPLUS SERVER=192.168.10.10  ↓

■ TACACS+クライアントをシステムから削除するには、DELETE TACPLUS SERVER (SEC)コマンドを使用します。


officer SEC>> DELETE TACPLUS SERVER=192.168.10.10  ↓

■ TACACS+クライアントの設定情報を表示するには、SHOW TACPLUSコマンドを使用します。


officer SEC>> SHOW TACPLUS ↓

PN: 613-001335 Rev.C

Service-Type	属性値	ユーザーレベル
Administrative	(6)	Manager/Security Officerレベル
NAS Prompt	(7)	Userレベル