[index] CentreCOM x900シリーズ・SwitchBlade x908 コマンドリファレンス

運用・管理 / RADIUSサーバー 

  - 仕様
   - ローカルRADIUSサーバー
   - ローカルCA
  - 基本設定
  - 各種情報の確認
  - ユーザー情報のバックアップとリストア
  - 電子証明書の配布(ローカルCA機能)
   - ルートCA証明書の配布
   - ユーザー証明書の発行と配布
  - ローカルRADIUSサーバーの利用
本製品は、おもに小規模環境におけるポート認証機能での利用を想定したRADIUSサーバー機能(ローカルRADIUSサーバー)を内蔵しています。ローカルRADIUSサーバーを利用すれば、別途RADIUSサーバーを用意することなく、本製品だけでポート認証におけるAuthenticatorと認証サーバーを兼ねることができます。

また、IEEE 802.1X認証では認証局(CA)の発行する電子証明書を使用する場合がありますが、ローカルRADIUS機能には独自の証明書を発行するローカルCA機能が付属しているため、別途認証局(CA)を用意する必要がありません。

ここではポート認証機能そのものについては触れません。「インターフェース」の「ポート認証」をご覧ください。

仕様

 ローカルRADIUSサーバーとローカルCAの基本的な仕様を以下に示します。

ローカルRADIUSサーバー

ローカルCA

 EAP-TLS、EAP-PEAPの認証には認証局(CA)が発行する電子証明書が必要ですが、ローカルRADIUS機能には独自の証明書を発行するローカルCA機能が付属しているため、別途認証局(CA)を用意する必要がありません。ローカルCAおよびローカルRADIUSサーバーの証明書は自動的に発行されるため、必要な作業はCA証明書を配布してSupplicantにインストールすることと、ユーザー証明書を発行・配布してSupplicantにインストールすることくらいです。


基本設定
  1. ローカルRADIUSサーバーの設定を開始するには、radius-server localコマンドを実行します。

    awplus(config)# radius-server local
Creating Local CA repository.....OK
Enrolling Local System to local trustpoint..OK
awplus(config-radsrv)#


    radius-server localコマンドの初回実行時には、ローカルCA(ローカルなルート認証局)の初期設定(自署ルートCA証明書の発行など)やRADIUSサーバーの証明書発行などが自動的に行われ、またローカルホスト(127.0.0.1)をRADIUSクライアント(NAS)として自動登録します。具体的には、下記のコマンドが自動的に実行されます。

    !
! 以下はradius-server localの初回実行時に自動実行される内容です。
! (ランニングコンフィグに自動追加される内容)
!
awplus(config)# crypto pki trustpoint local
awplus(config)# crypto pki enroll local
awplus(config)# radius-server local
awplus(config-radsrv)# nas 127.0.0.1 key awplus-local-radius-server


  2. ユーザーを登録します。


  3. 他の機器にも本製品のRADIUSサーバーを利用させたいときは、それらの機器をRADIUSクライアント(NAS)として登録する必要があります。該当機器のIPアドレス(RADIUSパケットの始点IPアドレス)と、アクセス時の共有パスワードをnasコマンドで設定してください。ここでは、172.16.10.2と172.16.10.3を持つ機器をRADIUSクライアントとして登録しています。

    awplus(config-radsrv)# nas 172.16.10.2 key naspas2
awplus(config-radsrv)# nas 172.16.10.3 key naspas3


  4. 各種登録が終わったら、server enableコマンドでRADIUSサーバーを有効にします。

    awplus(config-radsrv)# server enable


基本設定は以上です。

■ ローカルRADIUSサーバーの初期状態では、UDPポート1812番で認証サービスを提供します。認証用のポートを変更するには、server auth-portコマンドを使います。

awplus(config-radsrv)# server auth-port 11812


■ ローカルRADIUSサーバーの初期状態では、サポートしているすべての認証方式(PAP/CHAP、EAP-MD5、EAP-TLS、EAP-PEAP)が有効です。特定の認証方式を無効にしたい場合は、authenticationコマンドをno形式で実行します。

awplus(config-radsrv)# no authentication eapmd5


各種情報の確認

 ■ ローカルRADIUSサーバーの状態と統計情報を確認するには、show radius local-server statisticsコマンドを使います。

awplus# show radius local-server statistics
Server status  : Run (administrative status is enable)
Enabled methods: MAC EAP-MD5 EAP-TLS EAP-PEAP

Successes              :1              Unknown NAS            :0
Unknown username       :0              Invalid passwords      :0
Invalid packet from NAS:0              Internal Error         :0
Unknown Error          :0

NAS : 127.0.0.1
Successes              :1              Shared key mismatch    :0
Unknown username       :0              Invalid passwords      :0
Unknown RADIUS message :0              Unknown EAP message    :0
Unknown EAP auth type  :0              Corrupted packet       :0

NAS : 172.16.10.2
Successes              :0              Shared key mismatch    :0
Unknown username       :0              Invalid passwords      :0
Unknown RADIUS message :0              Unknown EAP message    :0
Unknown EAP auth type  :0              Corrupted packet       :0

NAS : 172.16.10.3
Successes              :0              Shared key mismatch    :0
Unknown username       :0              Invalid passwords      :0
Unknown RADIUS message :0              Unknown EAP message    :0
Unknown EAP auth type  :0              Corrupted packet       :0

Username                     Successes  Failures
user1                                1         0
user11                               0         0
user12                               0         0
user2                                0         0
user21                               0         0
user22                               0         0
user3                                0         0


■ ローカルRADIUSサーバーに登録してあるユーザーの情報は、show radius local-server userコマンドで確認します。

awplus# show radius local-server user
User-Name         Password          Group            Vlan
---------------------------------------------------------------------
user1             passwd1
user11            passwd11          vlan10           10
user12            passwd12          vlan10           10
user2             passwd2
user21            passwd21          vlan20           20
user22            passwd22          vlan20           20
user3             passwd3


■ ローカルRADIUSサーバーに登録してあるユーザーグループの情報は、show radius local-server groupコマンドで確認します。

awplus# show radius local-server group
Group-Name       Vlan
---------------------------------------------------------------------
vlan10           10
vlan20           20


■ ローカルRADIUSサーバーに登録してあるRADIUSクライアント(NAS)の情報は、show radius local-server nasコマンドで確認します。

awplus# show radius local-server nas
NAS-Address      Shared-Key
---------------------------------------------------------------------
127.0.0.1        awplus-local-radius-server
172.16.10.2      naspas2
172.16.10.3      naspas3


ユーザー情報のバックアップとリストア

 ローカルRADIUSサーバーに登録してあるユーザーの情報(ユーザーおよびユーザーグループの情報)をCSV(カンマ区切り)テキストとしてバックアップしたり、CSVテキストからリストア(復元)したりすることもできます。

これには、copyコマンドの特殊書式(local-radius-user-dbキーワード)を使います。ファイルコピーに使うcopyコマンドにおいて、予約語「local-radius-user-db」をコピー元に指定すればバックアップ、コピー先に指定すればリストアの指示になります。

■ ローカルRADIUSサーバーのユーザー情報をバックアップするには、コピー元に予約語「local-radius-user-db」を、コピー先に任意のファイルパスを指定します。


■ バックアップしておいたCSVファイルからローカルRADIUSサーバーのユーザー情報をリストアするには、コピー元にバックアップしたCSVファイルのパスを、コピー先に予約語「local-radius-user-db」を指定します。


Note - ローカルRADIUSサーバーの設定が行われていない場合(ランニングコンフィグ中にradius-server localコマンドがない場合)、リストアはできません。

Note - リストア時は、ローカルRADIUSサーバー上のユーザー情報をいったんクリアしてから、CSVファイルの内容で置き換えます(copyコマンドでreplaceオプションを指定したのと同じ)。CSVファイルの内容を既存のユーザー情報に追加したい場合は、addオプションを明示的に指定してください。

Note - リストア中にエラーが発生した場合はリストア処理を中断し、リストア前のユーザー情報に戻ります。

電子証明書の配布(ローカルCA機能)

 ローカルRADIUSサーバーに内蔵されているローカルCA機能の操作について説明します。

ルートCA証明書の配布

 認証方式としてEAP-TLSまたはEAP-PEAPを使用する場合は、ローカルCAの電子証明書(ルートCA証明書)をSupplicantにインストールしておく必要があります(RADIUSサーバーの電子証明書を検証するため)。

■ ローカルCAの電子証明書をユーザーに配布するには、次のようにします。
  1. crypto pki export local pem urlコマンドを実行して、ローカルCAの証明書をPEM形式のファイルに書き出します。書き出し先のファイル名は任意ですが、拡張子を.cerか.crtにしておくとSupplicantへの取り込み時に便利です。

    awplus(config)# crypto pki export local pem url flash:/localca.cer


  2. 書き出したPEM形式ファイル(ここではflash:/localca.cer)をユーザーに渡し、Supplicantにインストールしてもらってください。

ユーザー証明書の発行と配布

 認証方式としてEAP-TLSを使用する場合は、ローカルCA機能を利用して登録ユーザーの電子証明書(ユーザー証明書)を発行し、ローカルCAの電子証明書(ルートCA証明書)とともに、該当ユーザーの使用するSupplicantにインストールする必要があります(RADIUSサーバーに対し、正当なユーザーであることを証明するため)。

■ ローカルRADIUSサーバーに登録しているユーザーの電子証明書を発行し、ユーザーに配布するには、次のようにします。

  1. crypto pki enroll local userコマンドで発行対象のユーザー名を指定します。これにより、該当ユーザーの証明書と秘密鍵が発行され、ローカルCAの証明書レポジトリーに格納されます。

    awplus(config)# crypto pki enroll local user user11


  2. 発行した証明書と秘密鍵をcrypto pki export local pkcs12コマンドでPKCS#12形式のファイルに書き出します。書き出し先のファイル名は任意ですが、拡張子を.p12にしておくとSupplicantへの取り込み時に便利です。

    awplus(config)# crypto pki export local pkcs12 user11 flash:/user11.p12


  3. 書き出したPKCS#12形式ファイル(ここではflash:/user11.p12)を安全な方法でユーザーに渡し、Supplicantにインストールしてもらってください。

    Note - 書き出したPKCS#12ファイルには秘密鍵を保護するためのパスワードがかかっていないため、ファイルを入手すれば誰でも利用できます。PKCS#12ファイルの取り扱いには充分注意してください。

ローカルRADIUSサーバーの利用

 ■ 自機のローカルRADIUSサーバーを使用するには、RADIUSクライアントの設定において、IPアドレス「127.0.0.1」、共有パスワード「awplus-local-radius-server」を指定します。たとえば、Web認証機能において、ローカルRADIUSサーバーを使って認証を行う場合は、次のようにします。

awplus(config)# radius-server host 127.0.0.1 key awplus-local-radius-server
awplus(config)# aaa authentication auth-web default group radius


■ 他の機器から本製品のローカルRADIUSサーバーを使用する場合は、該当機器のRADIUSクライアントに対して下記の設定をしてください。なお、他の機器からアクセスさせる場合は、nasコマンドを使って、該当機器のIPアドレスと共有パスワードをあらかじめ登録しておく必要があります。

表 2
RADIUSサーバーのIPアドレス 該当機器から到達可能な本製品のIPアドレス
RADIUSサーバーの共有パスワード nasコマンドのkeyパラメーターで設定した文字列
認証用ポート番号 server auth-portコマンドで設定した値。未設定時は初期値の1812
アカウンティング用ポート番号 使用しない(ローカルRADIUSサーバーはアカウンティング機能をサポートしていないため)


(C) 2007 - 2008 アライドテレシスホールディングス株式会社

PN: 613-000751 Rev.F