2.38. AAAの設定
UNIVERGE IX-R/IX-V シリーズではAAA機能をサポートしています。 AAAとはネットワークのユーザーおよびセキュリティ管理を行うための機能であり、 以下に示す3つの機能の頭文字をとった略称です。
認証(Authentication)
許可(Authorization)
アカウンティング(Accounting)
2.38.1. AAAの有効化
AAAを有効化するためには、以下のコマンドを実行します。
項目 |
説明 |
aaa enable |
AAA機能の有効化 |
AAA機能では、サーバーとして装置自身の他にRADIUSサーバーを利用することができます。 使用するサーバーの指定には以下の4種類の方法があります。
項目 |
説明 |
group radius |
登録されてすべてのRADIUSサーバーを使用します。 |
group GROUP-NAME |
サーバーグループ指定コマンドで指定されたサーバーを使用します。 |
複数のサーバーをグループ化して扱うには、次のコマンドを使用します。
項目 |
説明 |
aaa group server |
サーバーグループの設定 |
認証,許可,アカウンティングそれぞれのリストにつき、データベースの指定を4個まで登録することができます。 登録可能な順序は以下の表のとおりです。実行時には、1番から順にアクセスを行います。
データベース指定 |
設定方法 1 |
設定方法 2 |
設定方法 3 |
設定方法 4 |
|---|---|---|---|---|
group radius |
○ |
○ |
✕ |
✕ |
group GROUP-NAME |
○ |
○ |
○ |
○ |
○:指定可能 ×:指定不可
※ group GROUP-NAME以外は複数回の指定不可
※ group radius、group GROUP-NAMEは同時指定不可
group radius
RADIUSサーバーへ問い合わせを行います。
group GROUP-NAME
RADIUSサーバーへ指定グループを単位として問い合わせを行います。
2.38.2. 認証(Authentication)の設定
ユーザーが装置に対してアクセスする場合に、ユーザーに対してログインとパスワード等を指定させ、ユーザーの正当性を証明するための機能です。 認証では以下に示す機能をサポートします。
IEEE802.1X認証(認証方式はRADIUSサーバーのみサポート)
MAC認証(認証方式はRADIUSサーバーのみサポート)
装置内のデータのみを使用する場合は、AAA機能を利用しない場合でも認証を行うことができます。 AAA機能を利用することにより、RADIUSサーバーを使用しデータベースを一元管理することが可能になります。
2.38.2.1. IEEE802.1X認証
IEEE802.1XでSupplicantの認証を行います。認証方法はRADIUSサーバーのみサポートします。
IEEE802.1X認証の設定は次のコマンドを使用します。
グローバルコンフィグモード
項目
説明
aaa authentication dot1x
IEEE802.1X認証リストの登録
インタフェースコンフィグモード
項目
説明
dot1x authentication
IEEE802.1X認証リストの設定
aaa enable aaa authentication dot1x dot1x-auth group radius ! radius host ip 10.0.0.254 key 0 test ! interface GigaEthernet1.0 ip address 192.168.0.1/24 dot1x enable dot1x authentication dot1x-auth no shutdown
2.38.2.2. MAC認証
MACアドレスで端末の認証を行います。認証方法はRADIUSサーバーのみサポートします。
MAC認証の設定は次のコマンドを使用します。
グローバルコンフィグモード
項目
説明
aaa authentication mac-auth
MAC認証リストの登録
インタフェースコンフィグモード
項目
説明
mac-auth authentication
MAC認証リストの設定
aaa enable aaa authentication mac-auth mac-auth-list group radius ! radius host ip 10.0.0.254 key 0 test ! interface GigaEthernet1.0 ip address 192.168.0.1/24 mac-auth enable mac-auth authentication mac-auth-list no shutdown
2.38.2.3. 認証の動作
2.38.2.3.1. RADIUSサーバーへの問い合わせ
認証方法にgroup radiusを指定した場合は、radius hostコマンドで登録されているホストに対し、登録順に問い合わせを行います。 認証結果のOK/NGに関係なく、RADIUSサーバーから応答が返ってくると次のサーバーに対する問い合わせは行いません。 また、認証方法にサーバーグループを指定した場合は、サーバーグループに設定された順番に問い合わせを行い、 RADIUSサーバーから認証OKが返ってくると次のサーバーに対する問い合わせは行いません。 認証NGの場合は、「認証NG時の動作」の設定に従い、次に設定されている認証方法で問い合わせを行うか否か決定します。
サーバーグループを設定していない場合
aaa enable
aaa authentication mac-auth auth-list group radius
!
radius host ip 192.168.160.10 key 0 test
radius host ip 192.168.160.11 key 0 test
radius host ip 192.168.160.12 key 0 test
!
interface GigaEthernet1.0
mac-auth authentication auth-list
応答がない場合、radius hostで指定した順序で問い合わせを行います。 認証OKか認証NGが返った場合はその場で問い合わせを終了します。
サーバーグループを設定している場合
aaa group server radius group1 ip 192.168.160.10
aaa group server radius group1 ip 192.168.160.11
aaa group server radius group2 ip 192.168.160.12
aaa group server radius group2 ip 192.168.160.13
!
aaa authentication mac-auth auth-list group group1 group group2
!
radius host ip 192.168.160.10 key 0 test
radius host ip 192.168.160.11 key 0 test
!
radius host ip 192.168.160.12 key 0 test
radius host ip 192.168.160.13 key 0 test
!
interface GigaEthernet1.0
mac-auth authentication auth-list
応答がない場合、指定されたサーバーグループの順序で問い合わせを行います。
認証NGが返った場合、「認証NG時の動作」の設定によって動作が変わります。 詳細は「認証NG時の動作」を参照してください。 デフォルトでは次の認証方法(本設定の場合はサーバーグループ)への問い合わせを行います。
認証OKが返った場合、その場で問い合わせを終了します。
2.38.2.3.2. 認証NG時の動作
認証NGが返った場合に、次に設定されている認証方式で問い合わせを行うか否かを設定します。
グローバルコンフィグモード
項目
説明
aaa authentication fail-action
認証NGの動作を指定するcontinueとstopが選択可能です。デフォルトはcontinueです。aaa group server radius group1 ip 192.168.160.10 aaa group server radius group2 ip 192.168.160.11 ! aaa authentication fail-action continue (デフォルト設定のため非表示) ! aaa authentication mac-auth auth-list group group1 group group2 ! radius host ip 192.168.160.10 key 0 test radius host ip 192.168.160.11 key 0 test ! interface GigaEthernet1.0 mac-auth authentication auth-list
RADIUSサーバーへ送信したAccess-Requestに対して即座にAccess-Rejectが返った場合は 上図と同様に次に設定されている認証方式で問い合わせを行います。 しかしAccess-RequestにAccess-Challengeが返り、認証シーケンスが進んでしまった場合は、 たとえ最終的に認証NGとなりAccess-Rejectが返っても次に設定されている認証方式への問い合わせを行いません。
aaa group server radius group1 ip 192.168.160.10 aaa group server radius group2 ip 192.168.160.11 ! aaa authentication fail-action stop ! aaa authentication mac-auth auth-list group group1 group group2 ! radius host ip 192.168.160.10 key 0 test radius host ip 192.168.160.11 key 0 test ! interface GigaEthernet1.0 mac-auth authentication auth-list
stopを指定した場合、認証NG時に認証処理終了となります。
2.38.2.3.3. サーバーから応答がない場合の動作
認証時のサーバー指定に”none”を設定することにより、認証サーバーから応答がない場合に、認証を成功とすることが可能です。 “none”の設定は、すべての認証方式に対して応答が無かった場合のみ、有効となります。 途中の応答が認証NGとなっている場合には、”none”を設定しても、認証成功となりません。
aaa group server radius group1 ip 192.168.160.10
aaa group server radius group2 ip 192.168.160.11
!
aaa authentication mac-auth auth-list group group1 group group2 none
!
radius host ip 192.168.160.10 key 0 test
radius host ip 192.168.160.11 key 0 test
!
interface GigaEthernet1.0
mac-auth authentication auth-list
group2の応答がない場合、noneが有効となり認証が許可されます。
途中で認証NGが返った場合、noneは有効とならず、認証は許可されません。
noneで認証成功となった場合、以下の動作となります。
Login認証時のユーザー権限はAdministratorとなります。
検疫機能使用時は、検疫フィルタは適用されません。
アカウンティングのサーバータイプはLOCAL(2)となります。
2.38.3. アカウンティング(Accounting)の設定
装置内で発生した各事象に対するアカウンティング(記録)を行います。 以下の事象についてアカウンティングを行います。 また、認証失敗以外については、開始と終了または終了のみをアカウンティングするかを設定することができます。
IEEE802.1Xアカウンティング * 認証完了 * 認証解除
認証失敗アカウンティング * IEEE802.1X認証失敗
アカウンティングの場合は複数のデータベースを指定している場合は、すべてに対してアカウンティングを行います。 アカウンティングの設定は次のコマンドを使用します。
項目 |
説明 |
aaa accounting dot1x |
IEEE802.1X アカウンティングの登録 |
aaa accounting max-records |
ローカルアカウンティングレコード数の設定 |
show aaa accounting-records |
ローカルアカウンティングレコードの表示 |
clear aaa accounting-records |
ローカルアカウンティングレコードのクリア |
2.38.4. RADIUSクライアント
UNIVERGE IX-R/IX-V シリーズではRADIUSクライアント機能をサポートしています。
RADIUSクライアントの設定には次のコマンドを使用します。
項目 |
説明 |
radius host |
RADIUSサーバーホスト設定 |
radius deadtime |
無応答サーバーのアクセスブロック時間 |
show radius statistics |
RADIUS統計情報の表示 |
radius deadtime 15
radius host ip 10.10.10.10 retransmit 5 timeout 5 key 0 radius source GigaEthernet0.0
radius host ip 10.10.10.20 retransmit 5 timeout 5 key 0 radius source GigaEthernet0.0
RADIUSサーバーでは、通常、送信元アドレスと秘密鍵の組み合わせで認証を行いますので、 RADIUSサーバーへの経路が複数存在する場合は、送信元アドレスを固定するために、 RADIUSサーバー設定時にsourceオプションで送信元アドレスの指定を行ってください。
複数サーバー設定時の再送
複数のRADIUSサーバーが存在する場合、1つのサーバーに対して指定された回数の再送を行った後、次のサーバーへ問い合わせを行います。
dead time
指定回数再送しても応答が返らない場合、deadtimeの間はそのサーバーへの問い合わせを行わず、 次のサーバーへ問い合わせを行います。deadtime経過後は、再度そのサーバーへ問い合わせを行います。
サポートするアトリビュート
以下のアトリビュートをサポートしています。
RADIUS
番号 |
名前 |
内容 |
|---|---|---|
1 |
User-Name |
ユーザー名 |
2 |
User-Password |
パスワード |
3 |
CHAP-Password |
CHAP パスワード |
4 |
NAS-IP-Address |
RADIUSクライアントのアドレス |
5 |
NAS-Port |
RADIUSクライアントのポート番号 |
6 |
Service-Type |
提供するサービス種別 |
7 |
Framed-Protocol |
プロトコル種別 |
8 |
Framed-IP-Address |
IPCPで払い出すIPアドレス |
18 |
Reply-Message |
応答メッセージ |
27 |
Session-Timeout |
提供するサービスの時間 |
30 |
Called-Station-Id |
着信番号 |
31 |
Calling-Station-Id |
発信番号 |
60 |
CHAP-Challenge |
CHAPチャレンジ |
61 |
NAS-Port-Type |
RADIUSクライアントのポート種別 |
79 |
EAP-Message |
EAPメッセージ |
80 |
Message-Authenticator |
パケット全体のHMAC-MD5 ハッシュ |
96 |
Framed-Interface-Id |
インタフェースID |
アカウンティング
番号 |
名前 |
内容 |
|---|---|---|
40 |
Acct-Status-Type |
サービスの開始/終了 |
41 |
Acct-Delay-Time |
ネットワーク転送時間 |
42 |
Acct-Input-Octets |
受信オクテット数 |
43 |
Acct-Output-Octets |
送信オクテット数 |
44 |
Acct-Session-Id |
セッションID |
45 |
Acct-Authentic |
ユーザーの認証方法 |
46 |
Acct-Session-Time |
サービスを受けた時間 |
47 |
Acct-Input-Packets |
受信パケット数 |
48 |
Acct-Output-Packets |
送信パケット数 |
49 |
Acct-Terminate-Cause |
終了の要因 |
2.38.4.1. 各機能で使用するアトリビュート
2.38.4.1.1. IEEE802.1X認証
番号 |
アトリビュート |
Value |
|---|---|---|
1 |
User-Name |
Supplicantのユーザー名 |
30 |
Called-Station-Id |
ルータインタフェースのMACアドレス |
31 |
Calling-Station-Id |
SupplicantのMACアドレス |
6 |
Service-Type |
端末に提供するサービスタイプ(Framed:2固定) |
4 |
NAS-IP-Address |
RADIUSパケット送信インタフェースのIPアドレス |
5 |
NAS-Port |
接続インタフェース番号(0x8000_0000+ifIndex) |
61 |
NAS-Port-Type |
接続インタフェースのタイプ(Ethernet:15固定) |
79 |
EAP-Message |
EAPメッセージ |
24 |
State |
RADIUSサーバーからのAccess-Challengeに含まれているStateアトリビュートをそのまま付与 (チャレンジに対する応答時に付与) |
27 |
Session-Timeout |
Authenticatorのタイマー |
80 |
Message-Authenticator |
パケット全体のHMAC-MD5ハッシュ値 |
2.38.4.1.2. MAC認証
番号 |
アトリビュート |
Value |
|---|---|---|
1 |
User-Name |
端末のMACアドレス(書式は変更可能) |
2 |
User-Password |
上記MACアドレスのMD5 |
30 |
Called-Station-Id |
ルータインタフェースのMACアドレス |
31 |
Calling-Station-Id |
端末のMACアドレス |
6 |
Service-Type |
端末に提供するサービスタイプ(Framed:2固定) |
5 |
NAS-Port |
接続インタフェース番号(0x8000_0000+ifIndex) |
4 |
NAS-IP-Address |
RADIUSパケット送信インタフェースのIPアドレス |
61 |
NAS-Port-Type |
接続インタフェースのタイプ(Ethernet:15固定) |
27 |
Session-Timeout |
再認証タイマー |
2.38.5. サーバーの設定
RADIUSの場合
認証に関する設定
Service-Typeによって、ユーザーレベルを決定します。 UNIVERGE IX-R/IX-V シリーズではadministrator/monitor/operatorの3種類のレベルが使用可能ですが、 RADIUSサーバーを使用する場合は、monitorレベルの設定はできません。
Service-Type
設定値 |
ユーザーレベル |
|---|---|
Login(1) |
operator |
Framed(2) |
administrator |
Administrative(6) |
administrator |
NAS Prompt(7) |
operator |
指定無 |
operator |
許可に関する設定
Service-Type/Framed-Protocolによって、サービスに対する許可/拒否を決定します。
Service-Type
設定値 |
シェルサービス |
ネットワークサービス |
|---|---|---|
Login(1) |
○ |
× |
Framed(2) |
○ |
○ |
Callback Login(3) |
× |
× |
Callback Framed(4) |
× |
○ |
Outband(5) |
× |
○ |
Administrative(6) |
○ |
× |
NAS Prompt(7) |
○ |
× |
Authenticate Only(8) |
× |
× |
Callback NAS Prompt(9) |
× |
× |
指定なし |
× |
× |
Framed-Protocol(Service-Type=Framedのみ指定してください)
設定値 |
シェルサービス |
ネットワークサービス |
|---|---|---|
PPP(1) |
× |
○ |
その他 |
○ |
× |
指定なし |
○ |
○ |
ネットワークサービスに関する設定
PPPのIPCPによるIPアドレス払い出しを行いたい場合、Framed-IP-Addressで払い出したいIPアドレスを設定します。 Framed-IP-Addressが設定されていない場合はIPアドレスの払い出しは行いません。
項目名 |
内容 |
|---|---|
Framed-IP-Address |
IPCPにて払い出しを行うIPアドレス |
RADIUSサーバー設定例1
User-Name:nec01
User-Password:"nec01passwd"
Service-Type = Framed,
Framed-Protocol = PPP,
Framed-IP-Address = 192.168.1.1
動作
PPPからの接続のみが許可される。
IPアドレス=192.168.1.1が払い出される。
telnet,コンソールからのログインは許可されない。
RADIUSサーバー設定例2
User-Name:ix01
User-Password:"ix01passwd"
Service-Type = Login,
動作
telnet,コンソールからはoperatorモードでのログインが許可される。
PPPからの接続は許可されない。