運用・管理 / RADIUSサーバー

仕様
ローカルRADIUSサーバー
ローカルCA
基本設定
各種情報の確認
フォワーディングデータベースからのユーザー登録
ユーザー情報の書き出しと読み込み
電子証明書の配布(ローカルCA機能)
ルートCA証明書の配布
ユーザー証明書の発行と配布
ローカルRADIUSサーバーの利用

本製品は、おもに小規模環境におけるポート認証機能での利用を想定したRADIUSサーバー機能(ローカルRADIUSサーバー)を内蔵しています。ローカルRADIUSサーバーを利用すれば、別途RADIUSサーバーを用意することなく、本製品だけでポート認証におけるAuthenticatorと認証サーバーを兼ねることができます。

また、IEEE 802.1X認証では認証局(CA)の発行する電子証明書を使用する場合がありますが、ローカルRADIUS機能には独自の証明書を発行するローカルCA機能が付属しているため、別途認証局(CA)を用意する必要がありません。

ここではポート認証機能そのものについては触れません。「インターフェース」の「ポート認証」をご覧ください。

仕様

ローカルRADIUSサーバーとローカルCAの基本的な仕様を以下に示します。

ローカルRADIUSサーバー


Note
本製品のローカルRADIUS機能は、外部認証局(CA)の発行する電子証明書を使用できません。そのため、IEEE 802.1X認証を使用する場合には、本製品に付属するローカルCAの利用が必須となります。

ローカルCA

EAP-TLS、EAP-PEAPの認証には認証局(CA)が発行する電子証明書が必要ですが、ローカルRADIUS機能には独自の証明書を発行するローカルCA機能が付属しているため、別途認証局(CA)を用意する必要がありません。ローカルCAおよびローカルRADIUSサーバーの証明書は自動的に発行されるため、必要な作業はCA証明書を配布してSupplicantにインストールすることと、ユーザー証明書を発行・配布してSupplicantにインストールすることくらいです。


Note
本製品はローカルCAの証明書データベースのバックアップが取れないので、装置入れ替えなどが発生するとCA局の再構築が必要になり、ルートCA証明書やユーザー証明書を再発行する必要があります。本製品のローカルRADIUSサーバー機能を用いたEAP-TLSまたはEAP-PEAP構成でネットワーク運用する場合はご注意ください。

Note
no crypto pki enroll local user <user-name>で削除したユーザーはフラッシュメモリー上からは消えますが、データベース上に情報が残るため、削除した証明書でPCクライアントから認証ができてしまいます。それを回避するためには、no crypto pki trustpointでローカルCAを一度削除してから、再度ユーザーの証明書を作成してください。

Note
ローカルCAを再構築した場合は、機器の再起動が必要です。新しいルート証明書は再起動後から有効になります。

基本設定

  1. ローカルRADIUSサーバーの設定を開始するには、radius-server localコマンドを実行します。
    awplus(config)# radius-server local
Created trustpoint "local".
Generating 2048-bit key for local CA...
Automatically authenticated trustpoint "local".
Automatically enrolled the local server to trustpoint "local".
awplus(config-radsrv)#

    radius-server localコマンドの初回実行時には、ローカルCA(ローカルなルート認証局)の初期設定(自署ルートCA証明書の発行など)やRADIUSサーバーの証明書発行などが自動的に行われ、またローカルホスト(127.0.0.1)をRADIUSクライアント(NAS)として自動登録します。具体的には、下記のコマンドが自動的に実行されます。
    !
! 以下はradius-server localの初回実行時に自動実行される内容です。
!
awplus(config)# crypto pki trustpoint local
awplus(config)# end
awplus# crypto pki enroll local
awplus# configure terminal
awplus(config)# radius-server local
awplus(config-radsrv)# nas 127.0.0.1 key awplus-local-radius-server

  2. ユーザーを登録します。


  3. 他の機器にも本製品のRADIUSサーバーを利用させたいときは、それらの機器をRADIUSクライアント(NAS)として登録する必要があります。該当機器のIPアドレス(RADIUSパケットの始点IPアドレス)と、アクセス時の共有パスワードをnasコマンドで設定してください。ここでは、172.16.10.2と172.16.10.3を持つ機器をRADIUSクライアントとして登録しています。
    awplus(config-radsrv)# nas 172.16.10.2 key naspas2
awplus(config-radsrv)# nas 172.16.10.3 key naspas3

  4. 各種登録が終わったら、server enableコマンドでRADIUSサーバーを有効にします。
    awplus(config-radsrv)# server enable

基本設定は以上です。

■ ローカルRADIUSサーバーの初期状態では、UDPポート1812番で認証サービスを提供します。認証用のポートを変更するには、server auth-portコマンドを使います。
awplus(config-radsrv)# server auth-port 11812

■ ローカルRADIUSサーバーの初期状態では、サポートしているすべての認証方式(PAP、EAP-MD5、EAP-TLS、EAP-PEAP)が有効です。特定の認証方式を無効にしたい場合は、authenticationコマンドをno形式で実行します。
awplus(config-radsrv)# no authentication eapmd5

各種情報の確認

■ ローカルRADIUSサーバーの状態と統計情報を確認するには、show radius local-server statisticsコマンドを使います。
awplus# show radius local-server statistics

■ ローカルRADIUSサーバーに登録してあるユーザーの情報は、show radius local-server userコマンドで確認します。
awplus# show radius local-server user

■ ローカルRADIUSサーバーに登録してあるユーザーグループの情報は、show radius local-server groupコマンドで確認します。
awplus# show radius local-server group

■ ローカルRADIUSサーバーに登録してあるRADIUSクライアント(NAS)の情報は、show radius local-server nasコマンドで確認します。
awplus# show radius local-server nas

フォワーディングデータベースからのユーザー登録

フォワーディングデータベース(FDB)に登録されているMACアドレスを、MACベース認証用のユーザーデータとして登録したり、ユーザーデータのCSV(カンマ区切り)テキストファイルとして書き出したりすることもできます。

これには、copyコマンドの特殊書式(fdb-radius-usersキーワード)を使います。ファイルコピーに使うcopyコマンドにおいて、コピー元に「fdb-radius-users」を指定することで、FDB内のMACアドレスをユーザーデータとして扱うことができます。

■ FDBに登録されているMACアドレスをローカルRADIUSサーバーに直接登録する場合は、コピー先に「local-radius-user-db」を指定します。


Note
ローカルRADIUSサーバーの設定が行われていない場合(ランニングコンフィグ中にradius-server localコマンドがない場合)、ユーザーデータの登録はできません。また、登録されたユーザーデータはランニングコンフィグに反映されるだけなので、再起動後も使いたい場合は設定をスタートアップコンフィグに保存してください。

■ FDBに登録されているMACアドレスをローカルRADIUSサーバーに直接登録するのではなく、いったんファイルに書き出したい場合は、コピー先に任意のファイルパスを指定します。書き出したCSVファイルは、次節の「ユーザー情報の書き出しと読み込み」で述べる方法でローカルRADIUSサーバーに読み込むことができます。


ユーザー情報の書き出しと読み込み

ローカルRADIUSサーバーに登録してあるユーザーの情報(ユーザーおよびユーザーグループの情報)をCSV(カンマ区切り)テキストとして書き出したり、CSVテキストから読み込んだりすることもできます。

これには、copyコマンドの特殊書式(local-radius-user-dbキーワード)を使います。ファイルコピーに使うcopyコマンドにおいて、予約語「local-radius-user-db」をコピー元に指定すれば書き出し、コピー先に指定すれば読み込みの指示になります。

■ ローカルRADIUSサーバーのユーザー情報をファイルに書き出すには、コピー元に予約語「local-radius-user-db」を、コピー先に任意のファイルパスを指定します。


■ CSVファイルからローカルRADIUSサーバーのユーザー情報を読み込むには、コピー元にバックアップしたCSVファイルのパスを、コピー先に予約語「local-radius-user-db」を指定します。


Note
ローカルRADIUSサーバーの設定が行われていない場合(ランニングコンフィグ中にradius-server localコマンドがない場合)、ユーザーデータの読み込みはできません。また、読み込まれたユーザーデータはランニングコンフィグに反映されるだけなので、再起動後も使いたい場合は設定をスタートアップコンフィグに保存してください。

Note
読み込み時は、ローカルRADIUSサーバー上のユーザー情報をいったんクリアしてから、CSVファイルの内容で置き換えます(copyコマンドでreplaceオプションを指定したのと同じ)。CSVファイルの内容を既存のユーザー情報に追加したい場合は、addオプションを明示的に指定してください。

Note
読み込み中にエラーが発生した場合は処理を中断し、読み込み前のユーザー情報に戻ります。

電子証明書の配布(ローカルCA機能)

ローカルRADIUSサーバーに内蔵されているローカルCA機能の操作について説明します。

ルートCA証明書の配布

認証方式としてEAP-TLSまたはEAP-PEAPを使用する場合は、ローカルCAの電子証明書(ルートCA証明書)をSupplicantにインストールしておく必要があります(RADIUSサーバーの電子証明書を検証するため)。

■ ローカルCAの電子証明書をユーザーに配布するには、次のようにします。
  1. crypto pki export pemコマンドを実行して、ローカルCAの証明書をPEM形式のファイルに書き出します。書き出し先のファイル名は任意ですが、拡張子を.cerか.crtにしておくとSupplicantへの取り込み時に便利です。
    awplus# crypto pki export local pem flash:/localca.cer

  2. 書き出したPEM形式ファイル(ここではflash:/localca.cer)をユーザーに渡し、Supplicantにインストールしてもらってください。
Note
バージョン5.4.6-1.1以降のファームウェアでCA証明書を作成し使用している場合、それより前のバージョンにダウングレードする時は証明書をクライアントに再配布する必要があります。

ユーザー証明書の発行と配布

認証方式としてEAP-TLSを使用する場合は、ローカルCA機能を利用して登録ユーザーの電子証明書(ユーザー証明書)を発行し、ローカルCAの電子証明書(ルートCA証明書)とともに、該当ユーザーの使用するSupplicantにインストールする必要があります(RADIUSサーバーに対し、正当なユーザーであることを証明するため)。

■ ローカルRADIUSサーバーに登録しているユーザーの電子証明書を発行し、ユーザーに配布するには、次のようにします。

  1. crypto pki enroll userコマンドで発行対象のユーザー名を指定します。これにより、該当ユーザーの証明書と秘密鍵が発行され、ローカルCAの証明書レポジトリーに格納されます。
    なお、同コマンドの実行時には、ユーザー証明書の書き出し時にファイルを暗号化するためのパスワードを聞かれるため、確認を含め2回同じパスワード文字列を入力してください。空文字列や「abort」を入力した場合、および、入力した文字列が一致しない場合は発行が中止されます。
    awplus# crypto pki enroll local user user11
Enter an export passphrase, or "abort" to cancel.
XXXXXXXXXXXX ↓(実際には表示されません)
Enter the export passphrase again.
XXXXXXXXXXXX ↓(実際には表示されません)
Generating a user private key for "user1"...
Successfully enrolled user "user1".
The PKCS#12 file is ready to export.

  2. 発行した証明書と秘密鍵をcrypto pki export pkcs12コマンドでPKCS#12形式のファイルに書き出します。書き出し先のファイル名は任意ですが、拡張子を.p12にしておくとSupplicantへの取り込み時に便利です。
    awplus# crypto pki export local pkcs12 user11 flash:/user11.p12

  3. 書き出したPKCS#12形式ファイル(ここではflash:/user11.p12)をユーザーに渡し、Supplicantにインストールしてもらってください。その際、crypto pki enroll userコマンド実行時に指定したパスワードを安全な方法で伝えることも忘れないでください。

Note
ローカルCAでは証明書失効リスト(CRL)の発行をサポートしていないため、ユーザー証明書を無効にするには、ローカルCAの再セットアップが必要となります(crypto pki trustpointコマンドをno形式、通常形式の順に実行後、機器を再起動する)。なお、ローカルCAを再セットアップすると、それ以前に発行した証明書はすべて無効になり、再発行が必要になるので注意してください。
Note
バージョン5.4.6-1.1以降のファームウェアでCA証明書を作成し使用している場合、それより前のバージョンにダウングレードする時は証明書をクライアントに再配布する必要があります。

ローカルRADIUSサーバーの利用

■ 自機のローカルRADIUSサーバーを使用するには、RADIUSクライアントの設定において、IPアドレス「127.0.0.1」、共有パスワード「awplus-local-radius-server」を指定します。たとえば、Web認証機能において、ローカルRADIUSサーバーを使って認証を行う場合は、次のようにします。
awplus(config)# radius-server host 127.0.0.1 key awplus-local-radius-server
awplus(config)# aaa authentication auth-web default group radius

■ 他の機器から本製品のローカルRADIUSサーバーを使用する場合は、該当機器のRADIUSクライアントに対して下記の設定をしてください。なお、他の機器からアクセスさせる場合は、nasコマンドを使って、該当機器のIPアドレスと共有パスワードをあらかじめ登録しておく必要があります。

表 2
RADIUSサーバーのIPアドレス 該当機器から到達可能な本製品のIPアドレス
RADIUSサーバーの共有パスワード nasコマンドのkeyパラメーターで設定した文字列
認証用ポート番号 server auth-portコマンドで設定した値。未設定時は初期値の1812
アカウンティング用ポート番号 使用しない(ローカルRADIUSサーバーはアカウンティング機能をサポートしていないため)

(C) 2015 - 2017 アライドテレシスホールディングス株式会社

PN: 613-002105 Rev.L