[index] CentreCOM x610シリーズ コマンドリファレンス 5.4.4

auth two-step enable

モード: インターフェースモード
カテゴリー: インターフェース / ポート認証

(config-if)# [no] auth two-step enable

対象スイッチポートで2ステップ認証を有効化する。
no形式で実行した場合は2ステップ認証を無効化する。
初期状態は無効。

2ステップ認証を有効にしたポートでは、SupplicantがMACベース認証/802.1X認証/Web認証のうち2つの認証方式を連続してパスしたときに初めて通信が許可される。


2ステップ認証では、1つ目か2つ目の方式で失敗するとただちに認証プロセス終了となるため、3方式併用時は必ずMACベース認証をパスする必要がある。


注意・補足事項

■ 2ステップ認証を行うには、対象スイッチポートでMACベース認証(auth-mac enableコマンド)、Web認証(auth-web enableコマンド)、802.1X認証(dot1x port-controlコマンド)のうち最低2つの認証方式を有効にしておく必要がある。

■ 2ステップ認証使用時は、Authenticator(本製品)とRADIUSサーバーとの間で使用する認証方式(PAP、EAP-MD5など)を、MACベース認証、Web認証、802.1X認証のそれぞれで別の方式に設定すること。Authenticator・RADIUSサーバー間の認証方式は次のようにして設定する。

MACベース認証
 auth-mac methodコマンド
802.1X認証
 Supplicant側で設定
Web認証
 auth-web methodコマンド


なお、MACベース認証 → Web認証、および、MACベース認証 → 802.1X認証の2ステップ認証の場合は、auth-mac passwordコマンドでMACベース認証用の共通パスワードを設定し、RADIUSサーバー側にもそのパスワードを登録しておけば、Authenticator・RADIUSサーバー間の認証方式を意識しなくてもよくなる。

■ 2ステップ認証は、Auth-fail VLAN、ゲストVLAN、ダイナミックVLANとの併用も可能。
2ステップ認証とダイナミックVLANを併用する場合は、2つ目の認証成功時にRADIUS-Acceptパケットで指定されたVLANがアサインされる(1つ目の認証成功時に指定されたVLANは無視される)。

■ 2ステップ認証では、Supplicantが1つ目の方式で認証に成功した後、一定の時間内に2つ目の認証が行われない場合、該当Supplicantの認証情報は削除される(次に該当Supplicantからパケットを受信した場合は、1つ目の認証方式からやりなおす)。

■ 2ステップ認証が有効なポートにおいて、特定のSupplicantだけ2ステップ認証の対象外とするには、auth supplicant-macコマンドで該当SupplicantのMACアドレスを指定し、port-controlパラメーターでskip-second-authオプションを指定すればよい。


コマンドツリー

interface (グローバルコンフィグモード)
    |
    +- auth two-step enable(インターフェースモード)


関連コマンド

auth supplicant-mac(インターフェースモード)
auth-mac enable(インターフェースモード)
auth-mac password(グローバルコンフィグモード)
auth-web enable(インターフェースモード)
dot1x port-control(インターフェースモード)
show auth two-step supplicant brief(特権EXECモード)
show auth-mac(特権EXECモード)
show auth-web(特権EXECモード)
show dot1x(特権EXECモード)


(C) 2011 - 2014 アライドテレシスホールディングス株式会社

PN: 613-001613 Rev.H