RADIUS サーバー認証の構成
RADIUS 認証は、ルーターまたはスイッチへのアクセスを試みるユーザーの認証方法です。
RADIUS を使用する理由
Junos OS は、複数のルーター上でユーザーの集中認証に使用する2つのプロトコルをサポートしています。RADIUS と TACACS +. RADIUS をお勧めします。これはマルチベンダー IETF 標準であり、その機能は TACACS + やその他の独自のシステムよりも広く受け入れられています。さらに、セキュリティを強化するために1回だけのパスワードシステムを使用することをお勧めします。 これらのシステムのベンダーは、RADIUS をサポートしています。
優先度が相互運用性とパフォーマンスに関しては、RADIUS を使用する必要があります。
相互—接続 RADIUS は tacacs + よりも相互運用が可能です。主に、tacacs + の独自の特性が原因です。TACACS + はより多くのプロトコルをサポートしますが、RADIUS は広くサポートされています。
パフォーマンス—RADIUS はルーターとスイッチでより明るくなっています。そのため、ネットワークエンジニアは通常、TACACS + 経由で RADIUS を好むとしています。
構成 RADIUS サーバーの詳細
デバイスで RADIUS 認証を使用するには、各 RADIUS サーバーのradius-server[edit system]階層レベルに1つのステートメントを含めることで、ネットワーク上の1台以上の RADIUS サーバーに関する情報を構成します。
リモート認証は複数のデバイスで構成されているため、一般的に構成グループ内で構成されています。そのため、ここで示すステップはと呼ばれるglobal設定グループに含まれています。構成グループの使用は必須ではありません。
ステートメントremoteは常に小文字でなければなりません。
この機能は、SRX1500、SRX5400、SRX5600、SRX5800 の各デバイスでサポートされています。
RADIUS サーバーによる認証を構成するには、次のようにします。
- IPv4 または IPv6 サーバーのアドレスを追加します。
IPv4 送信元アドレスとサーバーアドレスを設定します。
[edit groups global]user@host# set system radius-server server-address source-address source-addressたとえば、以下のように記述します。
[edit groups global]user@host# set system radius-server 192.168.17.28 source-address 192.168.17.1IPv6 の送信元アドレスとサーバーアドレスを設定します。
[edit groups global system radius-server server-address]user@host# set server-address secret “secretkey” source-address-inet6 source-addressたとえば、以下のように記述します。
[edit groups global system radius-server ::17.22.22.162]user@host# set secret $9$lPOv87ZGiH.5JGn/AtOB7-dVgo source-address-inet6 ::17.22.22.1送信元アドレスは、ルーターまたはスイッチインターフェイスのいずれかに構成されている有効な IPv4 または IPv6 アドレスです。これにより、ローカルで生成された IP パケットの送信元アドレスとして固定アドレスを設定します。
サーバーアドレスは、特定のサーバーに割り当てられている一意の IPv4 または IPv6 アドレスで、サーバーへの情報のルーティングに使用されます。Junos OS デバイスに RADIUS サーバーに到達できる複数のインターフェイスがある場合は、RADIUS サーバーとのすべての通信に使用できる IP アドレスを割り当てる Junos OS ます。
- 共有シークレットのパスワードが含まれています。
secret password文でパスワードを指定する必要があります。パスワードにスペースが含まれている場合は、半角の引用符で囲みます。ローカルルーターまたはスイッチによって使用されるシークレットパスワードは、サーバーによって使用されているものと一致している必要があります。シークレットパスワードは、Junos OS デバイスが RADIUS サーバーにアクセスするために使用するパスワードを構成します。
[edit groups global system radius-server server-address]user@host# set secret passwordたとえば、以下のように記述します。
[edit groups global system radius-server 192.168.69.162]user@host# set secret $9$gQ4UHf5F36CiH.5Tz9CuO1hreM8xw2oIENVwgZG - 必要に応じて、RADIUS サーバーに接続するポートを指定します。
デフォルトでは、ポート番号1812が使用されます (RFC 2865 で指定されています)。
注 アカウンティングポートを指定して、 accounting-portステートメントとともにアカウンティングパケットを送信することもできます。デフォルトは 1813 (RFC 2866 で指定されている) です。
[edit groups global system radius-server server-address]user@host# set port port-numberたとえば、以下のように記述します。
[edit groups global system radius-server 192.168.69.162]user@host# set port 1845 - Junos OS が認証を試みる順序を指定します。
ステートメントをauthentication-orderリモート認証構成に含める必要があります。
この例では、ネットワークに RADIUS と TACACS + サーバーの両方が含まれていることを前提としています。この例では、ユーザーがログインしようとするたびに、Junos OS は最初に RADIUS サーバーに照会して認証を行います。失敗した場合は、ローカルに設定されたユーザーアカウントで認証を試行します。最後に、TACACS + サーバーが試行されます。
[edit groups global system]user@host# set authentication-order [ authentication-methods ]たとえば、以下のように記述します。
[edit groups global system]user@host# set authentication-order [ radius password tacplus ] - ログインクラスを RADIUS 認証されたユーザーに割り当てます。
RADIUS 認証されたユーザーに対して、さまざまなユーザーテンプレートとログインクラスを割り当てることができます。このため、RADIUS 認証されたユーザーには、Junos OS デバイスに対して異なる管理者権限を与えることができます。デフォルトでは、RADIUS 認証されたremoteユーザーがユーザーテンプレートを使用し、ユーザーテンプレートが設定されてremoteいる場合remote 、ユーザーテンプレートで指定される関連クラスに割り当てられます。ユーザー名remoteは Junos OS では特別なケースです。リモートサーバーによって認証されたユーザーのためのテンプレートとして機能しますが、デバイス上にローカルに設定されたユーザーアカウントはありません。この方法では、Junos OS は、ローカルに定義されたアカウントを使用せずに、リモートテンプレートの権限を認証済みユーザーに適用します。リモートテンプレートにマップされたすべてのユーザーは、同じログインクラスであることになります。
Junos OS 構成では、ユーザーテンプレートは通常のローカルユーザーアカウントと同じように構成されますが、ローカル認証パスワードが構成されていない点が異なります。この場合、認証は RADIUS サーバー上でリモートで実行されているためです。
RADIUS 認証されたすべてのユーザーに対して同じ権限を使用するには、次のようにします。
[edit groups global system login]user@host# set user remote class classたとえば、以下のように記述します。
[edit groups global system login]user@host# set user remote class super-userRADIUS 認証されたユーザーごとに異なるログインクラスを使用するには、それぞれに異なる権限を付与する必要があります。
Junos OS 設定で複数のユーザーテンプレートを作成します。
すべてのユーザーテンプレートには、異なるログインクラスを割り当てることができます。
たとえば、以下のように記述します。
[edit groups global system login]set user RO class read-onlyset user OP class operatorset user SU class super-userset user remote full-name "default remote access user template"set user remote class read-onlyRADIUS サーバーで、認証されたユーザーに適用するユーザーテンプレートの名前を指定します。
RADIUS サーバーでは、どのユーザーテンプレートが適用されるのかを示すために、RADIUS アクセス許可メッセージに、Juniper ローカルユーザー名属性 (ベンダー2636、タイプ1、文字列) Juniper VSA (ベンダー固有の属性) が含まれている必要があります。Juniper ローカルユーザー名の文字列値は、デバイスに設定されたユーザーテンプレートの名前に対応する必要があります。関連する Juniper RADIUS Vsa のリストについては、Juniper Networks Vendor-Specific RADIUS Attributesを参照してください。
Juniper ローカルユーザー名がアクセス拒否メッセージに含まれていない場合や、デバイス上に存在しないユーザーテンプレート名が文字列に含まれている場合、ユーザーはremoteユーザーテンプレートに割り当てられます (設定されている場合)。構成されていない場合、ユーザーの認証は失敗します。
ログイン後、リモート認証されたユーザーはログイン時と同じユーザー名を保持します。ただし、ユーザーは割り当てられたユーザーテンプレートからユーザークラスを継承します。
RADIUS サーバーでは、Junos OS デバイスで使用されるユーザーテンプレートを示す Juniper ローカルユーザー名の文字列をユーザーに割り当てることができます。前述の例では、この文字列は RO、OP、SU のいずれかになります。RADIUS サーバーの設定は使用するサーバーによって異なります。
管理インスタンスを使用するための RADIUS の設定
デフォルトでは、Junos OS は、デフォルトのルーティングインスタンスを通じて RADIUS 用に認証、許可、アカウンティングの各パケットをルーティングします。 Junos OS リリース18.1 から開始すると、既存の RADIUS 動作が拡張され、デフォルト以外の VRF インスタンスで管理インターフェイスをサポートします。
このrouting-instance mgmt_junosオプションがradius-server server-ip-address and radius server server-ip-addressステートメントの両方で設定されると、そのmanagement-instanceステートメントも構成されている場合、RADIUS パケットは管理インスタンス mgmt_junos を介してルーティングされます。
このrouting-instance mgmt_junosオプションは、 radius-serverおよびのradius serverステートメントの両方で設定する必要があります。このmanagement-instanceステートメントが設定されていない場合でも、RADIUS パケットはデフォルトルーティングインスタンスのみを使用して送信されます。
この管理インスタンスの詳細については、管理のインスタンスを参照してください。