RADIUS認証
AccessDefenderでは、RADIUSサーバーを認証サーバーとして使用できます。
RADIUSサーバーを設定するには、radius-server hostコマンドを使用します。設定したRADIUSサーバーは、所属するRADIUSグループを指定しない場合はデフォルトのRADIUSサーバーグループ「radius」に所属します。
RADIUSサーバーグループを設定するには、aaa group server radiusコマンドを使用します。そして、serverコマンドで所属するRADIUSサーバーを指定します。
ベンダー独自属性によるVLAN ID、クラスIDの設定
認証成功後に動的にVLANを変更する場合やクラスIDを割り当てる場合は、認証成功時にApresiaNP シリーズに引き渡すVLAN IDおよびクラスID を、あらかじめRADIUSサーバーに登録しておく必要があります。VLAN IDおよびクラスIDをRADIUSサーバーに登録する際は、ベンダー独自属性(Vendor Specific Attribute)として登録します。なお、ベンダー独自属性の値は、アクセス許可属性として各ユーザーに紐付けて登録してください。
ユーザーからの認証要求を受信すると、ベンダー独自属性に設定したVLAN IDおよびクラスIDがApresiaNP シリーズに引き渡されます。動的にVLANを変更する場合やクラスIDを割り当てる場合に、RADIUSサーバーに登録するベンダー独自属性は以下のとおりです。
| 属性 | ベンダー独自属性値 | 動的なVLAN変更の設定値 | クラスID割り当ての設定値 |
|---|---|---|---|
| Vendor-Specific | ベンダーID | 278 | 278 |
| ベンダー属性番号 | 192*1 | 193 | |
| 値 | 割り当てるVLAN ID | 割り当てるクラスID | |
| 属性の型 | 整数(INTEGER) | 整数(INTEGER) |
*1:ベンダー独自属性による動的なVLAN変更は、Web認証およびMAC認証のみサポートしています。
Tunnel-Private-Group-IdによるVLAN設定
MAC認証、Web認証、およびIEEE 802.1X認証において、 Tunnel-Private-Group-Idにより動的にVLANを変更する機能をサポートしています。
動的にVLANを変更する場合は、認証成功時にApresiaNP シリーズに引き渡すVLAN IDまたはVLAN名称を、あらかじめRADIUSサーバーに登録しておく必要があります。VLAN IDまたはVLAN名称をRADIUSサーバーに登録する際は、Tunnel-Private-Group-Idに登録します。なお、Tunnel-Private-Group-Idは、アクセス許可属性として各ユーザーに登録してください。
ユーザーからの認証要求を受信すると、Tunnel-Private-Group-Idに設定したVLAN IDまたはVLAN名称がApresiaNP シリーズに引き渡されます。Tunnel-Private-Group-Idにより動的にVLANを変更する場合に、RADIUSサーバーに登録する属性は以下のとおりです。
| 属性 | 属性値 | 設定値 | 備考 |
|---|---|---|---|
| Tunnel-Type | 使用するトンネリングプロトコル | 13(VLAN) | 固定 |
| Tunnel-Medium-Type | データ転送媒体のプロトコル | 6(IEEE 802) | 固定 |
| Tunnel-Private-Group-Id | トンネルが属するグループID | 割り当てるVLAN IDまたはVLAN名称 | 変更可能 |
AccessDefenderで使用するRADIUS属性
AccessDefenderでサポートしているRADIUS属性を以下に示します。
| 属性 | 説明 |
|---|---|
| User-Name | 認証されるユーザー名 |
| User-Password | パスワード |
| NAS-IP-Address | 認証要求しているRADIUSクライアントのIPアドレス(IPv4のみ) |
| Calling-Station-Id | 認証端末のMACアドレス |
| NAS-Identifier | 認証された端末が属しているVLAN ID |
| NAS-Port | 認証端末が接続されているインターフェース番号 |
| 属性 | 説明 |
|---|---|
| User-Name | 認証されるユーザー名 |
| NAS-IP-Address | 認証要求しているオーセンティケーターのIPアドレス(IPv4のみ) |
| Framed-MTU | サプリカントとオーセンティケーター間の最大フレームサイズ(1466固定) |
| NAS-Port | サプリカントが接続されているオーセンティケーターのインターフェース番号 |
| NAS-Port-Type | ユーザー認証に使用しているインターフェースのタイプ(Ethernet(15)固定) |
| Service-Type | 提供するサービスタイプ(Framed(2)固定) |
| Calling-Station-Id | サプリカントのMACアドレス |
| EAP-Message | EAPメッセージの送受信に使用 |
| Message-Authenticator | RADIUSパケットの内容を保証するために使用 |
| State | オーセンティケーターとRADIUSサーバー間のState情報の保持 |
| Tunnel-Type | 動的VLAN割り当て用応答属性(VLAN(13)に設定) |
| Tunnel-Medium-Type | 動的VLAN割り当て用応答属性(IEEE 802(6)に設定) |
| Tunnel-Private-Group-Id | 動的VLAN割り当て用応答属性(割り当てるVLAN IDまたはVLAN名称) |
NAS属性による制限
RADIUSサーバーの以下のNAS属性を設定すると、ユーザーアカウントごとにアクセスできる内部ネットワークを制限できます。各属性を単独で設定して制限するだけでなく、属性を組み合わせて制限することもできます。設定できるNAS属性は、以下のとおりです。
- NAS-IP-Address
NAS-IP-Addressは、認証クライアントが接続している装置のIPアドレスです。そのユーザーアカウントでは、登録した装置に接続している認証クライアントで認証を行った場合のみ、内部ネットワークへのアクセスを許可します。
NAS-IP-Address設定時のアクセス制限
- NAS-Port
NAS-Portは、認証クライアントが接続している装置のポートです。そのユーザーアカウントでは、登録したポートに接続している認証クライアントで認証を行った場合のみ、内部ネットワークへのアクセスを許可します。
NAS-Port設定時のアクセス制限
- NAS-Identifier
NAS-Identifierは、認証クライアントが接続している装置の該当ポートのVLAN IDです。そのユーザーアカウントでは、登録したVLAN IDに接続している認証クライアントで認証を行った場合のみ、内部ネットワークへのアクセスを許可します。
NAS-Identifier設定時のアクセス制限
