[index] CentreCOM x900シリーズ・SwitchBlade x908 コマンドリファレンス
- 仕様 - ローカルRADIUSサーバー - ローカルCA - 基本設定 - 各種情報の確認 - ユーザー情報のバックアップとリストア - 電子証明書の配布(ローカルCA機能) - ルートCA証明書の配布 - ユーザー証明書の発行と配布 - ローカルRADIUSサーバーの利用
O=Allied-Telesis, CN=AlliedwarePlusCA
awplus(config)# radius-server local ↓ Creating Local CA repository.....OK Enrolling Local System to local trustpoint..OK awplus(config-radsrv)# |
! ! 以下はradius-server localの初回実行時に自動実行される内容です。 ! (ランニングコンフィグに自動追加される内容) ! awplus(config)# crypto pki trustpoint local ↓ awplus(config)# crypto pki enroll local ↓ awplus(config)# radius-server local ↓ awplus(config-radsrv)# nas 127.0.0.1 key awplus-local-radius-server ↓ |
awplus(config-radsrv)# user user1 password passwd1 ↓ awplus(config-radsrv)# user user2 password passwd2 ↓ awplus(config-radsrv)# user user3 password passwd3 ↓ |
awplus(config-radsrv)# group vlan10users ↓ awplus(config-radsrv-group)# vlan 10 ↓ awplus(config-radsrv-group)# exit ↓ awplus(config-radsrv)# group vlan20users ↓ awplus(config-radsrv-group)# vlan 20 ↓ awplus(config-radsrv-group)# exit ↓ |
awplus(config-radsrv)# user user11 password passwd11 group vlan10users ↓ awplus(config-radsrv)# user user12 password passwd12 group vlan10users ↓ awplus(config-radsrv)# user user21 password passwd21 group vlan20users ↓ awplus(config-radsrv)# user user22 password passwd22 group vlan20users ↓ |
awplus(config-radsrv)# nas 172.16.10.2 key naspas2 ↓ awplus(config-radsrv)# nas 172.16.10.3 key naspas3 ↓ |
awplus(config-radsrv)# server enable ↓ |
awplus(config-radsrv)# server auth-port 11812 ↓ |
awplus(config-radsrv)# no authentication eapmd5 ↓ |
awplus# show radius local-server statistics ↓ Server status : Run (administrative status is enable) Enabled methods: MAC EAP-MD5 EAP-TLS EAP-PEAP Successes :1 Unknown NAS :0 Unknown username :0 Invalid passwords :0 Invalid packet from NAS:0 Internal Error :0 Unknown Error :0 NAS : 127.0.0.1 Successes :1 Shared key mismatch :0 Unknown username :0 Invalid passwords :0 Unknown RADIUS message :0 Unknown EAP message :0 Unknown EAP auth type :0 Corrupted packet :0 NAS : 172.16.10.2 Successes :0 Shared key mismatch :0 Unknown username :0 Invalid passwords :0 Unknown RADIUS message :0 Unknown EAP message :0 Unknown EAP auth type :0 Corrupted packet :0 NAS : 172.16.10.3 Successes :0 Shared key mismatch :0 Unknown username :0 Invalid passwords :0 Unknown RADIUS message :0 Unknown EAP message :0 Unknown EAP auth type :0 Corrupted packet :0 Username Successes Failures user1 1 0 user11 0 0 user12 0 0 user2 0 0 user21 0 0 user22 0 0 user3 0 0 |
awplus# show radius local-server user ↓ User-Name Password Group Vlan --------------------------------------------------------------------- user1 passwd1 user11 passwd11 vlan10 10 user12 passwd12 vlan10 10 user2 passwd2 user21 passwd21 vlan20 20 user22 passwd22 vlan20 20 user3 passwd3 |
awplus# show radius local-server group ↓ Group-Name Vlan --------------------------------------------------------------------- vlan10 10 vlan20 20 |
awplus# show radius local-server nas ↓ NAS-Address Shared-Key --------------------------------------------------------------------- 127.0.0.1 awplus-local-radius-server 172.16.10.2 naspas2 172.16.10.3 naspas3 |
awplus# copy local-radius-user-db flash:/raduserdb-080618.txt ↓ |
awplus# copy local-radius-user-db tftp://172.16.10.70/raduserdb-080618.txt ↓ |
awplus# copy flash:/raduserdb-080618.txt local-radius-userd-db ↓ |
awplus# copy tftp://172.16.10.70/raduserdb-080618.txt local-radius-user-db ↓ |
Note - ローカルRADIUSサーバーの設定が行われていない場合(ランニングコンフィグ中にradius-server localコマンドがない場合)、リストアはできません。
Note - リストア時は、ローカルRADIUSサーバー上のユーザー情報をいったんクリアしてから、CSVファイルの内容で置き換えます(copyコマンドでreplaceオプションを指定したのと同じ)。CSVファイルの内容を既存のユーザー情報に追加したい場合は、addオプションを明示的に指定してください。
Note - リストア中にエラーが発生した場合はリストア処理を中断し、リストア前のユーザー情報に戻ります。
awplus(config)# crypto pki export local pem url flash:/localca.cer ↓ |
awplus(config)# crypto pki enroll local user user11 ↓ |
awplus(config)# crypto pki export local pkcs12 user11 flash:/user11.p12 ↓ |
Note - 書き出したPKCS#12ファイルには秘密鍵を保護するためのパスワードがかかっていないため、ファイルを入手すれば誰でも利用できます。PKCS#12ファイルの取り扱いには充分注意してください。
awplus(config)# radius-server host 127.0.0.1 key awplus-local-radius-server ↓ awplus(config)# aaa authentication auth-web default group radius ↓ |
RADIUSサーバーのIPアドレス | 該当機器から到達可能な本製品のIPアドレス |
RADIUSサーバーの共有パスワード | nasコマンドのkeyパラメーターで設定した文字列 |
認証用ポート番号 | server auth-portコマンドで設定した値。未設定時は初期値の1812 |
アカウンティング用ポート番号 | 使用しない(ローカルRADIUSサーバーはアカウンティング機能をサポートしていないため) |
(C) 2007 - 2008 アライドテレシスホールディングス株式会社
PN: 613-000751 Rev.F