2.35. AAAの設定
UNIVERGE IX-R/IX-V シリーズではAAA機能をサポートしています。 AAAとはネットワークのユーザおよびセキュリティ管理を行うための機能であり、 以下に示す3つの機能の頭文字をとった略称です。
認証(Authentication)
許可(Authorization)
アカウンティング(Accounting)
2.35.1. AAAの有効化
AAAを有効化するためには、以下のコマンドを実行します。
項目 |
説明 |
aaa enable |
AAA機能の有効化 |
AAA機能では、サーバとして装置自身の他にRADIUSサーバを利用することができます。 使用するサーバの指定には以下の4種類の方法があります。
項目 |
説明 |
group radius |
登録されて全てのRADIUSサーバを使用します。 |
group GROUP-NAME |
サーバグループ指定コマンドで指定されたサーバを使用します。 |
複数のサーバをグループ化して扱うには、次のコマンドを使用します。
項目 |
説明 |
aaa group server |
サーバグループの設定 |
認証,許可,アカウンティングそれぞれのリストにつき、データベースの指定を4個まで登録することができます。 登録可能な順序は以下の表のとおりです。実行時には、1番から順にアクセスを行います。
データベース指定 |
設定方法 1 |
設定方法 2 |
設定方法 3 |
設定方法 4 |
|---|---|---|---|---|
group radius |
○ |
○ |
✕ |
✕ |
group GROUP-NAME |
○ |
○ |
○ |
○ |
○:指定可能 ×:指定不可
※ group GROUP-NAME以外は複数回の指定不可
※ group radius、group GROUP-NAMEは同時指定不可
group radius
RADIUSサーバへ問い合わせを行います。
group GROUP-NAME
RADIUSサーバへ指定グループを単位として問い合わせを行います。
2.35.2. 認証(Authentication)の設定
ユーザが装置に対してアクセスする場合に、ユーザに対してログインとパスワード等を指定させ、ユーザの正当性を証明するための機能です。 認証では以下に示す機能をサポートします。
IEEE802.1X認証(認証方式はRADIUSサーバのみサポート)
MAC認証(認証方式はRADIUSサーバのみサポート)
装置内のデータのみを使用する場合は、AAA機能を利用しない場合でも認証を行うことができます。 AAA機能を利用することにより、RADIUSサーバを使用しデータベースを一元管理することが可能になります。
2.35.2.1. IEEE802.1X認証
IEEE802.1XでSupplicantの認証を行います。認証方法はRADIUSサーバのみサポートします。
IEEE802.1X認証の設定は次のコマンドを使用します。
グローバルコンフィグモード
項目
説明
aaa authentication dot1x
IEEE802.1X認証リストの登録
インタフェースコンフィグモード
項目
説明
dot1x authentication
IEEE802.1X認証リストの設定
aaa enable aaa authentication dot1x dot1x-auth group radius ! radius host ip 10.0.0.254 key 0 test ! interface GigaEthernet1.0 ip address 192.168.0.1/24 dot1x enable dot1x authentication dot1x-auth no shutdown
2.35.2.2. MAC認証
MACアドレスで端末の認証を行います。認証方法はRADIUSサーバのみサポートします。
MAC認証の設定は次のコマンドを使用します。
グローバルコンフィグモード
項目
説明
aaa authentication mac-auth
MAC認証リストの登録
インタフェースコンフィグモード
項目
説明
mac-auth authentication
MAC認証リストの設定
aaa enable aaa authentication mac-auth mac-auth-list group radius ! radius host ip 10.0.0.254 key 0 test ! interface GigaEthernet1.0 ip address 192.168.0.1/24 mac-auth enable mac-auth authentication mac-auth-list no shutdown
2.35.2.3. 認証の動作
2.35.2.3.1. RADIUSサーバへの問い合わせ
認証方法にgroup radiusを指定した場合は、radius hostコマンドで登録されているホストに対し、登録順に問い合わせを行います。 認証結果のOK/NGに関係なく、RADIUSサーバから応答が返ってくると次のサーバに対する問い合わせは行いません。 また、認証方法にサーバグループを指定した場合は、サーバグループに設定された順番に問い合わせを行い、 RADIUSサーバから認証OKが返ってくると次のサーバに対する問い合わせは行いません。 認証NGの場合は、「認証NG時の動作」の設定に従い、次に設定されている認証方法で問い合わせを行うか否か決定します。
サーバグループを設定していない場合
aaa enable
aaa authentication mac-auth auth-list group radius
!
radius host ip 192.168.160.10 key 0 test
radius host ip 192.168.160.11 key 0 test
radius host ip 192.168.160.12 key 0 test
!
interface GigaEthernet1.0
mac-auth authentication auth-list
応答がない場合、radius hostで指定した順序で問い合わせを行います。 認証OKか認証NGが返った場合はその場で問い合わせを終了します。
サーバグループを設定している場合
aaa group server radius group1 ip 192.168.160.10
aaa group server radius group1 ip 192.168.160.11
aaa group server radius group2 ip 192.168.160.12
aaa group server radius group2 ip 192.168.160.13
!
aaa authentication mac-auth auth-list group group1 group group2
!
radius host ip 192.168.160.10 key 0 test
radius host ip 192.168.160.11 key 0 test
!
radius host ip 192.168.160.12 key 0 test
radius host ip 192.168.160.13 key 0 test
!
interface GigaEthernet1.0
mac-auth authentication auth-list
応答がない場合、指定されたサーバグループの順序で問い合わせを行います。
認証NGが返った場合、「認証NG時の動作」の設定によって動作が変わります。 詳細は「認証NG時の動作」を参照してください。 デフォルトでは次の認証方法(本設定の場合はサーバグループ)への問い合わせを行います。
認証OKが返った場合、その場で問い合わせを終了します。
2.35.2.3.2. 認証NG時の動作
認証NGが返った場合に、次に設定されている認証方式で問い合わせを行うか否かを設定します。
グローバルコンフィグモード
項目
説明
aaa authentication fail-action
認証NGの動作を指定するcontinueとstopが選択可能です。デフォルトはcontinueです。aaa group server radius group1 ip 192.168.160.10 aaa group server radius group2 ip 192.168.160.11 ! aaa authentication fail-action continue (デフォルト設定のため非表示) ! aaa authentication mac-auth auth-list group group1 group group2 ! radius host ip 192.168.160.10 key 0 test radius host ip 192.168.160.11 key 0 test ! interface GigaEthernet1.0 mac-auth authentication auth-list
RADIUSサーバへ送信したAccess-Requestに対して即座にAccess-Rejectが返った場合は 上図と同様に次に設定されている認証方式で問い合わせを行います。 しかしAccess-RequestにAccess-Challengeが返り、認証シーケンスが進んでしまった場合は、 たとえ最終的に認証NGとなりAccess-Rejectが返っても次に設定されている認証方式への問い合わせを行いません。
aaa group server radius group1 ip 192.168.160.10 aaa group server radius group2 ip 192.168.160.11 ! aaa authentication fail-action stop ! aaa authentication mac-auth auth-list group group1 group group2 ! radius host ip 192.168.160.10 key 0 test radius host ip 192.168.160.11 key 0 test ! interface GigaEthernet1.0 mac-auth authentication auth-list
stopを指定した場合、認証NG時に認証処理終了となります。
2.35.2.3.3. サーバから応答が無い場合の動作
認証時のサーバ指定に”none”を設定することにより、認証サーバから応答が無い場合に、認証を成功とすることが可能です。 “none”の設定は、全ての認証方式に対して応答が無かった場合のみ、有効となります。 途中の応答が認証NGとなっている場合には、”none”を設定しても、認証成功となりません。
aaa group server radius group1 ip 192.168.160.10
aaa group server radius group2 ip 192.168.160.11
!
aaa authentication mac-auth auth-list group group1 group group2 none
!
radius host ip 192.168.160.10 key 0 test
radius host ip 192.168.160.11 key 0 test
!
interface GigaEthernet1.0
mac-auth authentication auth-list
group2の応答が無い場合、noneが有効となり認証が許可されます。
途中で認証NGが返った場合、noneは有効とならず、認証は許可されません。
noneで認証成功となった場合、以下の動作となります。
Login認証時のユーザ権限はAdministratorとなります。
検疫機能使用時は、検疫フィルタは適用されません。
アカウンティングのサーバタイプはLOCAL(2)となります。
2.35.3. アカウンティング(Accounting)の設定
装置内で発生した各事象に対するアカウンティング(記録)を行います。 以下の事象についてアカウンティングを行います。 また、認証失敗以外については、開始と終了または終了のみをアカウンティングするかを設定することができます。
IEEE802.1Xアカウンティング * 認証完了 * 認証解除
認証失敗アカウンティング * IEEE802.1X認証失敗
アカウンティングの場合は複数のデータベースを指定している場合は、全てに対してアカウンティングを行います。 アカウンティングの設定は次のコマンドを使用します。
項目 |
説明 |
aaa accounting dot1x |
IEEE802.1X アカウンティングの登録 |
aaa accounting max-records |
ローカルアカウンティングレコード数の設定 |
show aaa accounting-records |
ローカルアカウンティングレコードの表示 |
clear aaa accounting-records |
ローカルアカウンティングレコードのクリア |
2.35.4. RADIUSクライアント
UNIVERGE IX-R/IX-V シリーズではRADIUSクライアント機能をサポートしています。
RADIUSクライアントの設定には次のコマンドを使用します。
項目 |
説明 |
radius host |
RADIUSサーバホスト設定 |
radius deadtime |
無応答サーバのアクセスブロック時間 |
show radius statistics |
RADIUS統計情報の表示 |
radius deadtime 15
radius host ip 10.10.10.10 retransmit 5 timeout 5 key 0 radius source GigaEthernet0.0
radius host ip 10.10.10.20 retransmit 5 timeout 5 key 0 radius source GigaEthernet0.0
RADIUSサーバでは、通常、送信元アドレスと秘密鍵の組み合わせで認証を行いますので、 RADIUSサーバへの経路が複数存在する場合は、送信元アドレスを固定するために、 RADIUSサーバ設定時にsourceオプションで送信元アドレスの指定を行ってください。
複数サーバ設定時の再送
複数のRADIUSサーバが存在する場合、1つのサーバに対して指定された回数の再送を行った後、次のサーバへ問い合わせを行います。
dead time
指定回数再送しても応答が返らない場合、deadtimeの間はそのサーバへの問い合わせを行わず、 次のサーバへ問い合わせを行います。deadtime経過後は、再度そのサーバへ問い合わせを行ないます。
サポートするアトリビュート
以下のアトリビュートをサポートしています。
RADIUS
番号 |
名前 |
内容 |
|---|---|---|
1 |
User-Name |
ユーザ名 |
2 |
User-Password |
パスワード |
3 |
CHAP-Password |
CHAP パスワード |
4 |
NAS-IP-Address |
RADIUSクライアントのアドレス |
5 |
NAS-Port |
RADIUSクライアントのポート番号 |
6 |
Service-Type |
提供するサービス種別 |
7 |
Framed-Protocol |
プロトコル種別 |
8 |
Framed-IP-Address |
IPCPで払い出すIPアドレス |
18 |
Reply-Message |
応答メッセージ |
27 |
Session-Timeout |
提供するサービスの時間 |
30 |
Called-Station-Id |
着信番号 |
31 |
Calling-Station-Id |
発信番号 |
60 |
CHAP-Challenge |
CHAPチャレンジ |
61 |
NAS-Port-Type |
RADIUSクライアントのポート種別 |
79 |
EAP-Message |
EAPメッセージ |
80 |
Message-Authenticator |
パケット全体のHMAC-MD5 ハッシュ |
96 |
Framed-Interface-Id |
インタフェースID |
アカウンティング
番号 |
名前 |
内容 |
|---|---|---|
40 |
Acct-Status-Type |
サービスの開始/終了 |
41 |
Acct-Delay-Time |
ネットワーク転送時間 |
42 |
Acct-Input-Octets |
受信オクテット数 |
43 |
Acct-Output-Octets |
送信オクテット数 |
44 |
Acct-Session-Id |
セッションID |
45 |
Acct-Authentic |
ユーザの認証方法 |
46 |
Acct-Session-Time |
サービスを受けた時間 |
47 |
Acct-Input-Packets |
受信パケット数 |
48 |
Acct-Output-Packets |
送信パケット数 |
49 |
Acct-Terminate-Cause |
終了の要因 |
2.35.4.1. 各機能で使用するアトリビュート
2.35.4.1.1. IEEE802.1X認証
番号 |
アトリビュート |
Value |
|---|---|---|
1 |
User-Name |
Supplicantのユーザ名 |
30 |
Called-Station-Id |
ルータインタフェースのMACアドレス |
31 |
Calling-Station-Id |
SupplicantのMACアドレス |
6 |
Service-Type |
端末に提供するサービスタイプ(Framed:2固定) |
4 |
NAS-IP-Address |
RADIUSパケット送信インタフェースのIPアドレス |
5 |
NAS-Port |
接続インタフェース番号(0x8000_0000+ifIndex) |
61 |
NAS-Port-Type |
接続インタフェースのタイプ(Ethernet:15固定) |
79 |
EAP-Message |
EAPメッセージ |
24 |
State |
RADIUSサーバからのAccess-Challengeに含まれているStateアトリビュートをそのまま付与 (チャレンジに対する応答時に付与) |
27 |
Session-Timeout |
Authenticatorのタイマ |
80 |
Message-Authenticator |
パケット全体のHMAC-MD5ハッシュ値 |
2.35.4.1.2. MAC認証
番号 |
アトリビュート |
Value |
|---|---|---|
1 |
User-Name |
端末のMACアドレス(書式は変更可能) |
2 |
User-Password |
上記MACアドレスのMD5 |
30 |
Called-Station-Id |
ルータインタフェースのMACアドレス |
31 |
Calling-Station-Id |
端末のMACアドレス |
6 |
Service-Type |
端末に提供するサービスタイプ(Framed:2固定) |
5 |
NAS-Port |
接続インタフェース番号(0x8000_0000+ifIndex) |
4 |
NAS-IP-Address |
RADIUSパケット送信インタフェースのIPアドレス |
61 |
NAS-Port-Type |
接続インタフェースのタイプ(Ethernet:15固定) |
27 |
Session-Timeout |
再認証タイマ |
2.35.5. サーバの設定
RADIUSの場合
認証に関する設定
Service-Typeによって、ユーザレベルを決定します。 UNIVERGE IX-R/IX-V シリーズではadministrator/monitor/operatorの3種類のレベルが使用可能ですが、 RADIUSサーバを使用する場合は、monitorレベルの設定はできません。
Service-Type
設定値 |
ユーザレベル |
|---|---|
Login(1) |
operator |
Framed(2) |
administrator |
Administrative(6) |
administrator |
NAS Prompt(7) |
operator |
指定無 |
operator |
許可に関する設定
Service-Type/Framed-Protocolによって、サービスに対する許可/拒否を決定します。
Service-Type
設定値 |
シェルサービス |
ネットワークサービス |
|---|---|---|
Login(1) |
○ |
× |
Framed(2) |
○ |
○ |
Callback Login(3) |
× |
× |
Callback Framed(4) |
× |
○ |
Outband(5) |
× |
○ |
Administrative(6) |
○ |
× |
NAS Prompt(7) |
○ |
× |
Authenticate Only(8) |
× |
× |
Callback NAS Prompt(9) |
× |
× |
指定なし |
× |
× |
Framed-Protocol(Service-Type=Framedのみ指定してください)
設定値 |
シェルサービス |
ネットワークサービス |
|---|---|---|
PPP(1) |
× |
○ |
その他 |
○ |
× |
指定なし |
○ |
○ |
ネットワークサービスに関する設定
PPPのIPCPによるIPアドレス払い出しを行いたい場合、Framed-IP-Addressで払い出したいIPアドレスを設定します。 Framed-IP-Addressが設定されていない場合はIPアドレスの払い出しは行いません。
項目名 |
内容 |
|---|---|
Framed-IP-Address |
IPCPにて払い出しを行うIPアドレス |
RADIUS設定例1
User-Name:nec01
User-Password:"nec01passwd"
Service-Type = Framed,
Framed-Protocol = PPP,
Framed-IP-Address = 192.168.1.1
動作
PPPからの接続のみが許可される。
IPアドレス=192.168.1.1が払い出される。
telnet,コンソールからのログインは許可されない。
RADIUS設定例2
User-Name:ix01
User-Password:"ix01passwd"
Service-Type = Login,
動作
telnet,コンソールからはoperatorモードでのログインが許可される。
PPPからの接続は許可されない。