Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

RADIUS 認証の構成 (QFX シリーズまたは OCX シリーズ)

 

RADIUS 認証は、ルーターまたはスイッチへのアクセスを試みるユーザーの認証方法です。RADIUS 認証を構成するタスクは以下のとおりです。

このsource-addressステートメントは、qfabric システム[edit system radius-options[edit system-radius-server name]の or 階層ではサポートされていません。

構成 RADIUS サーバーの詳細

ルーターまたはスイッチで RADIUS 認証を使用するには、各 RADIUS サーバーのradius-server[edit system]階層レベルに1つのステートメントを含めることで、ネットワーク上の1台以上の RADIUS サーバーに関する情報を構成します。

サーバーアドレスRADIUS サーバーのアドレスです。

RADIUS サーバーに接続するポートを指定できます。デフォルトでは、ポート番号 1812(RFC 2865 で指定されているとおり) が使用されています。アカウンティングポートを指定してアカウンティングパケットを送信することもできます。デフォルトは 1813(RFC 2866 で指定されているとおり)。

secret password文でパスワードを指定する必要があります。パスワードにスペースが含まれている場合は、半角の引用符で囲みます。ローカルルーターやスイッチによって使用されるシークレットは、サーバーで使用されるものと一致している必要があります。

オプションとして、ローカルルーターまたはスイッチが RADIUS サーバー ( timeoutステートメント内) からの応答を受信するまでの待ち時間と、ルーターまたはスイッチが RADIUS 認証サーバー ( retry文内) に接続しようとする回数を指定することもできます。デフォルトでは、ルーターまたはスイッチは3秒間待機します。これは、1 ~ 90 秒の値に設定することができます。デフォルトでは、ルーターまたはスイッチは、サーバーへの接続を3回再試行します。これを 1 ~ 10 回の値として設定できます。

このsource-addressステートメントを使用して、個別または複数の RADIUS サーバーの論理アドレスを指定できます。

複数の RADIUS サーバーを構成するにradius-serverは、複数のステートメントを含めます。

承認の目的で1つのアカウントを共有する一連のユーザーを設定するには、テンプレートユーザーを作成します。これを行うには、次の例に示すように、階層レベルにステートメントを追加します。Unresolved topic-ref: ""を構成しています。

また、 [edit access][edit access profile]階層レベルで RADIUS 認証を構成することもできます。Junos OS は、認証に使用されるサーバーのセットを決定するために、次のような検索順序を使用します。

  1. [edit access profile profile-name radius-server server-address]

  2. [edit access radius-server server-address]

  3. [edit system radius-server server-address]

パスワード変更サポート用の MS-CHAPv2 の設定

ルーターまたはスイッチで、チャレンジハンドシェイク認証プロトコルバージョン 2 (MS-CHAPv2) の Microsoft 実装を設定して、パスワードの変更をサポートできます。この機能は、ユーザーにルーターやスイッチへのアクセスを提供します。パスワードの有効期限が切れたとき、リセットされたとき、または次回ログイン時に変更するように設定されているときに、パスワードを変更するオプションが選択されます。

MS-CHAPv2 をパスワード変更サポート用に設定する前に、以下のことを確認してください。

  • RADIUS サーバー認証パラメーターを構成します。

  • 設定し、 認証順RADIUS サーバーを使用して最初のパスワードを試行するには

MS-CHAP-v2 を構成するには、以下のステートメントを[edit system radius-options]階層レベルで含めます。

次の例は、MS-CHAPv2 パスワードプロトコル、パスワード認証順序、ユーザーアカウントを構成するためのステートメントを示しています。

外部 RADIUS サーバーにアクセスするために Junos OS の送信元アドレスを指定する

ネットワークにアクセスする際に使用 Junos OS ソースアドレスを指定して、認証用に外部 RADIUS サーバーに接続することができます。また、RADIUS サーバーに接続してアカウンティング情報を送信する際に使用 Junos OS 送信元アドレスを指定することもできます。

RADIUS サーバーの送信元アドレスを指定するには、 source-address次のよう[edit system radius-server server-address]なステートメントを階層レベルに含めます。

source-addressルーターまたはスイッチインターフェイスのいずれかで構成されている有効な IP アドレスです。