Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

柔軟な認証順序の構成

 

柔軟な認証順機能を使用して、クライアントの認証を試みるときにスイッチが使用する認証方式の順序を指定できます。1つのインターフェイスに複数の認証方法が設定されている場合、1つの認証方法が失敗すると、スイッチは別の方法に戻ります。

デフォルトでは、スイッチは最初に 802.1 X 認証を使用してクライアントを認証しようとします。クライアントからの応答がなく、MAC RADIUS 認証がインターフェイスで構成されているため、802.1 X 認証が失敗した場合、スイッチは、MAC RADIUS を使用して認証を試みます。MAC RADIUS が失敗し、専用ポータルがインターフェイスに設定されている場合、スイッチは、専用ポータルを使用して認証を試みます。

柔軟な認証順序では、使用される認証方法の順序は、インターフェイスに接続されているクライアントのタイプに応じて変更できます。802.1 X 認証またauthentication-orderは MAC RADIUS 認証を最初に試行する認証方法である必要があるかどうかを指定するステートメントを設定できます。常に最終認証方法を試みたのは、専用ポータルです。

MAC RADIUS 認証が順に最初の認証方法として設定されている場合は、任意のクライアントからデータを受信すると、MAC RADIUS 認証を使用してクライアントを認証しようとします。MAC RADIUS 認証が失敗した場合、スイッチは 802.1 X 認証を使用してクライアントを認証します。802.1 X 認証が失敗し、専用ポータルがインターフェイスに設定されている場合、スイッチは、専用ポータルを使用して認証を試みます。

802.1 X 認証と MAC RADIUS 認証が失敗し、そのインターフェイスで専用ポータルが構成されていない場合、クライアントは、サーバー障害が発生した場合を除き、LAN へのアクセスを拒否されます。詳細については、 Configuring RADIUS Server Fail Fallback (CLI Procedure)」を参照してください。

マルチサプリカントモードで構成されたインターフェイス上で、異なる認証方法を並列で使用できます。そのため、専用ポータルを使用してエンドデバイスがインターフェイスで認証された場合でも、そのインターフェイスに接続した別のエンドデバイスを 802.1 X または MAC RADIUS 認証を使用して認証できます。

インターフェイスで柔軟な認証順序を構成する前に、そのインターフェイスに認証方法が設定されていることを確認してください。このスイッチは、その方法が認証順に含まれている場合でも、インターフェイス上で構成されていない方法を使用して認証を試みません。スイッチはそのメソッドを無視し、そのインターフェイスで有効になっている認証順序で次のメソッドを試行します。

文をauthentication-order設定するには、以下のガイドラインに従います。

  • 認証順序には、少なくとも2つの認証方法が含まれている必要があります。

  • 802.1 x 認証は、認証順に含まれているいずれかの方法である必要があります。

  • 認証順序に、専用ポータルが含まれている場合は、注文の最後の方法である必要があります。

  • インターフェイスmac-radius-restrictに設定されている場合は、そのインターフェイスで認証順序を設定することはできません。

柔軟な認証順序を構成するには、次の有効な組み合わせのいずれかを使用します。

認証順は、 interface allオプションを使用してグローバルに設定することも、個々のインターフェイス名を使用してローカルに構成することもできます。認証順序が個々のインターフェイスとすべてのインターフェイスに対して設定されている場合、そのインターフェイスのローカル構成はグローバル構成を上書きします。

  • 802.1 X 認証を最初の認証方法として設定するには、次に MAC RADIUS 認証、および専用ポータル:
    [edit]

    user@switch# set protocols dot1x authenticator interface interface-name authentication-order [dot1x mac-radius captive-portal]
  • 最初の認証方法として 802.1 X 認証を構成するには、次に、専用ポータルを実行します。
    [edit]

    user@switch# set protocols dot1x authenticator interface interface-name authentication-order [dot1x captive-portal]
  • 802.1 X 認証を最初の認証方法として設定し、次に MAC RADIUS 認証を構成するには、以下の手順に従います。
    [edit]

    user@switch# set protocols dot1x authenticator interface interface-name authentication-order [dot1x mac-radius]
  • 最初の認証方法として MAC RADIUS 認証を設定し、その後で 802.1 X を構成してから、専用ポータルを実行するには、以下の手順に従います。
    [edit]

    user@switch# set protocols dot1x authenticator interface interface-name authentication-order [mac-radius dot1x captive-portal]

認証順を構成した後、このinsert コマンドを使用して、認証順序に変更を加える必要があります。このsetコマンドを使用しても、設定された順序は変更されません。

初期構成後に認証順序を変更するには、次のようにします。

[edit]

user@switch# insert protocols dot1x authenticator interface interface-name authentication-order authentication-method before authentication-method

たとえば、から[mac-radius dot1x captive portal][dot1x mac-radius captive portal]以下のように注文を変更するとします。

[edit]

user@switch# insert protocols dot1x authenticator interface interface-name authentication-order dot1x before mac-radius