[index]
CentreCOM x900シリーズ・SwitchBlade x908 コマンドリファレンス 5.3.4
運用・管理 / RADIUSサーバー
- 仕様
- ローカルRADIUSサーバー
- ローカルCA
- 基本設定
- 各種情報の確認
- フォワーディングデータベースからのユーザー登録
- ユーザー情報の書き出しと読み込み
- 電子証明書の配布(ローカルCA機能)
- ルートCA証明書の配布
- ユーザー証明書の発行と配布
- ローカルRADIUSサーバーの利用
本製品は、おもに小規模環境におけるポート認証機能での利用を想定したRADIUSサーバー機能(ローカルRADIUSサーバー)を内蔵しています。ローカルRADIUSサーバーを利用すれば、別途RADIUSサーバーを用意することなく、本製品だけでポート認証におけるAuthenticatorと認証サーバーを兼ねることができます。
また、IEEE 802.1X認証では認証局(CA)の発行する電子証明書を使用する場合がありますが、ローカルRADIUS機能には独自の証明書を発行するローカルCA機能が付属しているため、別途認証局(CA)を用意する必要がありません。
ここではポート認証機能そのものについては触れません。「インターフェース」の「ポート認証」をご覧ください。
仕様
ローカルRADIUSサーバーとローカルCAの基本的な仕様を以下に示します。
ローカルRADIUSサーバー
- 認証方式
ローカルRADIUSサーバーでは、以下の認証方式をサポートしています。
表 1
| 認証方式 |
本製品での用途 |
| 802.1X認証 |
MACベース認証 |
Web認証 |
| PAP |
− |
○ |
○ |
| EAP-MD5 |
○ |
○ |
○ |
| EAP-TLS |
○ |
− |
− |
| EAP-PEAP |
○ |
− |
− |
- アカウンティング機能はなし
ローカルRADIUSサーバーは認証機能だけを提供します(デフォルトのUDPポートは1812)。ログイン、ログオフなどの利用状況を記録するアカウンティング機能はサポートしていません。
- ユーザー登録
ユーザーは100件まで登録できます(フィーチャーライセンスにより1000件まで拡張可能)。各ユーザーに対しては、ユーザー名、パスワードに加え、ダイナミックVLANで使用するVLAN情報の属性を設定することができる(VLAN属性は「ユーザーグループ」単位で設定する)。
- RADIUSクライアント(NAS)登録
ローカルRADIUSサーバーにアクセスできるのは、登録したIPアドレスを持ったRADIUSクライアント(NAS = Network Access Server)だけです。また、アクセス時には共有パスワードによる認証も行われます。NASは24件まで登録できます(フィーチャーライセンスにより100件まで拡張可能)。
Note - 本製品のローカルRADIUS機能は、外部認証局(CA)の発行する電子証明書を使用できません。そのため、IEEE 802.1X認証を使用する場合には、本製品に付属するローカルCAの利用が必須となります。
ローカルCA
EAP-TLS、EAP-PEAPの認証には認証局(CA)が発行する電子証明書が必要ですが、ローカルRADIUS機能には独自の証明書を発行するローカルCA機能が付属しているため、別途認証局(CA)を用意する必要がありません。ローカルCAおよびローカルRADIUSサーバーの証明書は自動的に発行されるため、必要な作業はCA証明書を配布してSupplicantにインストールすることと、ユーザー証明書を発行・配布してSupplicantにインストールすることくらいです。
- 自動設定
初めてローカルRADIUSサーバーの設定を行うとき、ローカルCAの初期設定も自動的に行われます。このとき、CAとしての動作に必要なファイルやディレクトリー構造をフラッシュメモリー上に自動作成し、自署のルートCA証明書(有効期間20年)を発行します。ルートCAの識別名は次の値で固定です。
O=Allied-Telesis, CN=AlliedwarePlusCA
- ルートCAとして証明書を発行
ローカルCAでは、以下の証明書を発行できます。
- ローカルRADIUSサーバーの証明書(サーバー証明書)
- ローカルRADIUSサーバーに登録したユーザーの証明書(ユーザー証明書またはクライアント証明書)
- 発行済み証明書の失効機能はサポートしない
Note - 本製品のローカルCAで使用される自署ルートCA証明書やローカルRADIUSサーバーの証明書および秘密鍵は、リモートホストへのコピーができません。本製品のローカルRADIUSサーバー機能を用いたEAP-TLSまたはEAP-PEAP構成でネットワーク運用する場合はご注意ください。
基本設定
- ローカルRADIUSサーバーの設定を開始するには、radius-server localコマンドを実行します。
awplus(config)# radius-server local ↓
Creating Local CA repository.....OK
Enrolling Local System to local trustpoint..OK
awplus(config-radsrv)#
|
radius-server localコマンドの初回実行時には、ローカルCA(ローカルなルート認証局)の初期設定(自署ルートCA証明書の発行など)やRADIUSサーバーの証明書発行などが自動的に行われ、またローカルホスト(127.0.0.1)をRADIUSクライアント(NAS)として自動登録します。具体的には、下記のコマンドが自動的に実行されます。
!
! 以下はradius-server localの初回実行時に自動実行される内容です。
! (ランニングコンフィグに自動追加される内容)
!
awplus(config)# crypto pki trustpoint local ↓
awplus(config)# crypto pki enroll local ↓
awplus(config)# radius-server local ↓
awplus(config-radsrv)# nas 127.0.0.1 key awplus-local-radius-server ↓
|
- ユーザーを登録します。
- 各ユーザーの認証結果だけを返したい場合は、userコマンドを使ってユーザー名とパスワードを指定します。ここでは、user1、user2、user3の3ユーザーを作成しています。
awplus(config-radsrv)# user user1 password passwd1 ↓
awplus(config-radsrv)# user user2 password passwd2 ↓
awplus(config-radsrv)# user user3 password passwd3 ↓
|
- 認証結果だけでなく、ダイナミックVLAN用の情報も返したい場合は、ユーザーごとに所属VLANを指定する必要があります。これはユーザーグループを使用して次のようにします。
- groupコマンド(RADIUSサーバーモード)を使って、ユーザーグループvlan10usersとvlan20usersを作成します。RADIUSサーバー・ユーザーグループモードでは、vlanコマンドを使って、該当グループに割り当てるVLAN IDまたはVLAN名を指定します。
awplus(config-radsrv)# group vlan10users ↓
awplus(config-radsrv-group)# vlan 10 ↓
awplus(config-radsrv-group)# exit ↓
awplus(config-radsrv)# group vlan20users ↓
awplus(config-radsrv-group)# vlan 20 ↓
awplus(config-radsrv-group)# exit ↓
|
- ユーザーuser11、user12をユーザーグループvlan10usersに、ユーザーuser21、user22をユーザーグループvlan20usersに所属させます。
awplus(config-radsrv)# user user11 password passwd11 group vlan10users ↓
awplus(config-radsrv)# user user12 password passwd12 group vlan10users ↓
awplus(config-radsrv)# user user21 password passwd21 group vlan20users ↓
awplus(config-radsrv)# user user22 password passwd22 group vlan20users ↓
|
- 他の機器にも本製品のRADIUSサーバーを利用させたいときは、それらの機器をRADIUSクライアント(NAS)として登録する必要があります。該当機器のIPアドレス(RADIUSパケットの始点IPアドレス)と、アクセス時の共有パスワードをnasコマンドで設定してください。ここでは、172.16.10.2と172.16.10.3を持つ機器をRADIUSクライアントとして登録しています。
awplus(config-radsrv)# nas 172.16.10.2 key naspas2 ↓
awplus(config-radsrv)# nas 172.16.10.3 key naspas3 ↓
|
- 各種登録が終わったら、server enableコマンドでRADIUSサーバーを有効にします。
awplus(config-radsrv)# server enable ↓
|
基本設定は以上です。
■ ローカルRADIUSサーバーの初期状態では、UDPポート1812番で認証サービスを提供します。認証用のポートを変更するには、server auth-portコマンドを使います。
awplus(config-radsrv)# server auth-port 11812 ↓
|
■ ローカルRADIUSサーバーの初期状態では、サポートしているすべての認証方式(PAP、EAP-MD5、EAP-TLS、EAP-PEAP)が有効です。特定の認証方式を無効にしたい場合は、authenticationコマンドをno形式で実行します。
awplus(config-radsrv)# no authentication eapmd5 ↓
|
各種情報の確認
■ ローカルRADIUSサーバーの状態と統計情報を確認するには、show radius local-server statisticsコマンドを使います。
awplus# show radius local-server statistics ↓
|
■ ローカルRADIUSサーバーに登録してあるユーザーの情報は、show radius local-server userコマンドで確認します。
awplus# show radius local-server user ↓
|
■ ローカルRADIUSサーバーに登録してあるユーザーグループの情報は、show radius local-server groupコマンドで確認します。
awplus# show radius local-server group ↓
|
■ ローカルRADIUSサーバーに登録してあるRADIUSクライアント(NAS)の情報は、show radius local-server nasコマンドで確認します。
awplus# show radius local-server nas ↓
|
フォワーディングデータベースからのユーザー登録
フォワーディングデータベース(FDB)に登録されているMACアドレスを、MACベース認証用のユーザーデータとして登録したり、ユーザーデータのCSV(カンマ区切り)テキストファイルとして書き出したりすることもできます。
これには、copyコマンドの特殊書式(fdb-radius-usersキーワード)を使います。ファイルコピーに使うcopyコマンドにおいて、コピー元に「fdb-radius-users」を指定することで、FDB内のMACアドレスをユーザーデータとして扱うことができます。
■ FDBに登録されているMACアドレスをローカルRADIUSサーバーに直接登録する場合は、コピー先に「local-radius-user-db」を指定します。
- FDBに登録されているMACアドレスを、MACベース認証用のユーザーとしてローカルRADIUSサーバーに登録するには、次のようにします。
awplus# copy fdb-radius-users local-radius-user-db ↓
|
- オプションパラメーターを指定することにより、特定のポートやVLAN上で学習されたMACアドレスだけを登録対象にすることもできます。たとえば、FDBに登録されているMACアドレスのうち、ポート1.0.1で学習されたものだけをMACベース認証用のユーザーとしてローカルRADIUSサーバーに登録するには、次のようにします。
awplus# copy fdb-radius-users local-radius-user-db interface port1.0.1 ↓
|
Note - ローカルRADIUSサーバーの設定が行われていない場合(ランニングコンフィグ中にradius-server localコマンドがない場合)、ユーザーデータの登録はできません。また、登録されたユーザーデータはランニングコンフィグに反映されるだけなので、再起動後も使いたい場合は設定をスタートアップコンフィグに保存してください。
■ FDBに登録されているMACアドレスをローカルRADIUSサーバーに直接登録するのではなく、いったんファイルに書き出したい場合は、コピー先に任意のファイルパスを指定します。書き出したCSVファイルは、次節の「ユーザー情報の書き出しと読み込み」で述べる方法でローカルRADIUSサーバーに読み込むことができます。
- たとえば、FDBに登録されているMACアドレスを、MACベース認証用のユーザーデータとしてカレントディレクトリーのファイルmacauth-users.txtに書き出すには、次のようにします。
awplus# copy fdb-radius-users macauth-users.txt ↓
|
- オプションパラメーターを指定することにより、特定のポートやVLAN上で学習されたMACアドレスだけを書き出し対象にすることもできます。たとえば、FDBに登録されているMACアドレスのうち、vlan10上で学習されたものだけをMACベース認証用のユーザーデータとしてカレントディレクトリーのファイルmacauth-users-vlan10.txtに書き出すには、次のようにします。
awplus# copy fdb-radius-users macauth-users-vlan10.txt vlan 10 ↓
|
ユーザー情報の書き出しと読み込み
ローカルRADIUSサーバーに登録してあるユーザーの情報(ユーザーおよびユーザーグループの情報)をCSV(カンマ区切り)テキストとして書き出したり、CSVテキストから読み込んだりすることもできます。
これには、copyコマンドの特殊書式(local-radius-user-dbキーワード)を使います。ファイルコピーに使うcopyコマンドにおいて、予約語「local-radius-user-db」をコピー元に指定すれば書き出し、コピー先に指定すれば読み込みの指示になります。
■ ローカルRADIUSサーバーのユーザー情報をファイルに書き出すには、コピー元に予約語「local-radius-user-db」を、コピー先に任意のファイルパスを指定します。
- たとえば、現時点でのユーザー情報を、フラッシュメモリーのルートディレクトリーにファイル名「raduserdb-080618.txt」として書き出すには次のようにします。
awplus# copy local-radius-user-db flash:/raduserdb-080618.txt ↓
|
- 通常のcopyコマンドと同様、リモートファイルに書き出すこともできます。
awplus# copy local-radius-user-db tftp://172.16.10.70/raduserdb-080618.txt ↓
|
■ CSVファイルからローカルRADIUSサーバーのユーザー情報を読み込むには、コピー元にバックアップしたCSVファイルのパスを、コピー先に予約語「local-radius-user-db」を指定します。
- たとえば、フラッシュメモリー上のCVSファイル「flash:/raduserdb-080618.txt」からユーザー情報を読み込むには、次のようにします。
awplus# copy flash:/raduserdb-080618.txt local-radius-userd-db ↓
|
- 通常のcopyコマンドと同様、リモートファイルから読み込むこともできます。
awplus# copy tftp://172.16.10.70/raduserdb-080618.txt local-radius-user-db ↓
|
Note - ローカルRADIUSサーバーの設定が行われていない場合(ランニングコンフィグ中にradius-server localコマンドがない場合)、ユーザーデータの読み込みはできません。また、読み込まれたユーザーデータはランニングコンフィグに反映されるだけなので、再起動後も使いたい場合は設定をスタートアップコンフィグに保存してください。
Note - 読み込み時は、ローカルRADIUSサーバー上のユーザー情報をいったんクリアしてから、CSVファイルの内容で置き換えます(copyコマンドでreplaceオプションを指定したのと同じ)。CSVファイルの内容を既存のユーザー情報に追加したい場合は、addオプションを明示的に指定してください。
Note - 読み込み中にエラーが発生した場合は処理を中断し、読み込み前のユーザー情報に戻ります。
電子証明書の配布(ローカルCA機能)
ローカルRADIUSサーバーに内蔵されているローカルCA機能の操作について説明します。
ルートCA証明書の配布
認証方式としてEAP-TLSまたはEAP-PEAPを使用する場合は、ローカルCAの電子証明書(ルートCA証明書)をSupplicantにインストールしておく必要があります(RADIUSサーバーの電子証明書を検証するため)。
■ ローカルCAの電子証明書をユーザーに配布するには、次のようにします。
- crypto pki export local pem urlコマンドを実行して、ローカルCAの証明書をPEM形式のファイルに書き出します。書き出し先のファイル名は任意ですが、拡張子を.cerか.crtにしておくとSupplicantへの取り込み時に便利です。
awplus(config)# crypto pki export local pem url flash:/localca.cer ↓
|
- 書き出したPEM形式ファイル(ここではflash:/localca.cer)をユーザーに渡し、Supplicantにインストールしてもらってください。
ユーザー証明書の発行と配布
認証方式としてEAP-TLSを使用する場合は、ローカルCA機能を利用して登録ユーザーの電子証明書(ユーザー証明書)を発行し、ローカルCAの電子証明書(ルートCA証明書)とともに、該当ユーザーの使用するSupplicantにインストールする必要があります(RADIUSサーバーに対し、正当なユーザーであることを証明するため)。
■ ローカルRADIUSサーバーに登録しているユーザーの電子証明書を発行し、ユーザーに配布するには、次のようにします。
- crypto pki enroll local userコマンドで発行対象のユーザー名を指定します。これにより、該当ユーザーの証明書と秘密鍵が発行され、ローカルCAの証明書レポジトリーに格納されます。
awplus(config)# crypto pki enroll local user user11 ↓
|
- 発行した証明書と秘密鍵をcrypto pki export local pkcs12コマンドでPKCS#12形式のファイルに書き出します。書き出し先のファイル名は任意ですが、拡張子を.p12にしておくとSupplicantへの取り込み時に便利です。
awplus(config)# crypto pki export local pkcs12 user11 flash:/user11.p12 ↓
|
- 書き出したPKCS#12形式ファイル(ここではflash:/user11.p12)を安全な方法でユーザーに渡し、Supplicantにインストールしてもらってください。
Note - 書き出したPKCS#12ファイルには秘密鍵を保護するためのパスワードがかかっていないため、ファイルを入手すれば誰でも利用できます。PKCS#12ファイルの取り扱いには充分注意してください。
ローカルRADIUSサーバーの利用
■ 自機のローカルRADIUSサーバーを使用するには、RADIUSクライアントの設定において、IPアドレス「127.0.0.1」、共有パスワード「awplus-local-radius-server」を指定します。たとえば、Web認証機能において、ローカルRADIUSサーバーを使って認証を行う場合は、次のようにします。
awplus(config)# radius-server host 127.0.0.1 key awplus-local-radius-server ↓
awplus(config)# aaa authentication auth-web default group radius ↓
|
■ 他の機器から本製品のローカルRADIUSサーバーを使用する場合は、該当機器のRADIUSクライアントに対して下記の設定をしてください。なお、他の機器からアクセスさせる場合は、nasコマンドを使って、該当機器のIPアドレスと共有パスワードをあらかじめ登録しておく必要があります。
表 2
| RADIUSサーバーのIPアドレス |
該当機器から到達可能な本製品のIPアドレス |
| RADIUSサーバーの共有パスワード |
nasコマンドのkeyパラメーターで設定した文字列 |
| 認証用ポート番号 |
server auth-portコマンドで設定した値。未設定時は初期値の1812 |
| アカウンティング用ポート番号 |
使用しない(ローカルRADIUSサーバーはアカウンティング機能をサポートしていないため) |
(C) 2007 - 2010 アライドテレシスホールディングス株式会社
PN: 613-000751 Rev.K