EXシリーズスイッチでの柔軟な認証順序
Junos OSスイッチは、ネットワークへの接続を必要とするデバイスの認証方法として、802.1X、MAC RADIUS、キャプティブポータルをサポートしています。柔軟な認証順序機能を使用して、スイッチがクライアントの認証を試みるときに使用する認証方式の順序を指定できます。1 つのインターフェイスに複数の認証方式が設定されている場合、1 つの認証方式が失敗すると、スイッチは別の方式にフォールバックします。詳細については、このトピックを参照してください。
柔軟な認証順序の設定
柔軟な認証順序機能を使用して、スイッチがクライアントの認証を試みるときに使用する認証方式の順序を指定できます。1 つのインターフェイスに複数の認証方式が設定されている場合、1 つの認証方式が失敗すると、スイッチは別の方式にフォールバックします。
デフォルトでは、スイッチは最初に 802.1X 認証を使用してクライアントの認証を試みます。クライアントからの応答がなく、インターフェイスで MAC RADIUS 認証が構成されているために 802.1X 認証が失敗した場合、スイッチは MAC RADIUS を使用して認証を試みます。MAC RADIUSに障害が発生し、インターフェイスにキャプティブ ポータルが設定されている場合、スイッチはキャプティブ ポータルを使用して認証を試みます。
柔軟な認証順序により、使用する認証方法の順序は、インターフェイスに接続されているクライアントのタイプに基づいて変更できます。ステートメントを設定して 、802.1X認証とMAC RADIUS認証のどちらを最初に試行するかを指定できます。authentication-order キャプティブポータルは、常に最後に試行される認証方法です。
MAC RADIUS認証がオーダーの最初の認証方法として設定されている場合、スイッチはクライアントからデータを受信すると、MAC RADIUS認証を使用してクライアントの認証を試みます。MAC RADIUS 認証が失敗した場合、スイッチは 802.1X 認証を使用してクライアントを認証します。802.1X 認証が失敗し、インターフェイスにキャプティブ ポータルが設定されている場合、スイッチはキャプティブ ポータルを使用して認証を試みます。
802.1X 認証と MAC RADIUS 認証が失敗し、キャプティブ ポータルがインターフェイスで設定されていない場合、サーバー障害フォールバック方式が設定されていない限り、クライアントは LAN へのアクセスを拒否されます。詳細については、 RADIUS サーバー障害フォールバックの設定(CLI 手順) を参照してください。RADIUS サーバー障害時のフォールバックの設定 (CLI 手順)
マルチサプリカントモードで設定されたインターフェイスでは、異なる認証方法を並行して使用することができます。したがって、エンド デバイスがキャプティブ ポータルを使用してインターフェイス上で認証された場合でも、そのインターフェイスに接続された別のエンド デバイスは、802.1X または MAC RADIUS 認証を使用して認証できます。
インターフェイスでフレキシブル認証順序を設定する前に、そのインターフェイスで認証方式が設定されていることを確認してください。スイッチは、認証順序にその方法が含まれていても、インターフェイスで設定されていない方法を使用して認証を試みません。スイッチはその方式を無視し、そのインターフェイスで有効になっている認証順序で次の方式を試みます。
ステートメントを設定する 際は、以下のガイドラインに従ってください。authentication-order
認証順序には、少なくとも 2 つの認証方法を含める必要があります。
802.1X 認証は、認証順序に含まれるいずれかの方法である必要があります。
キャプティブ ポータルが認証順序に含まれている場合、それは順序の最後の方法でなければなりません。
インターフェイスで が設定されている場合 、そのインターフェイスで認証順序を設定できません。
mac-radius-restrict
柔軟な認証順序を設定するには、次の有効な組み合わせのいずれかを使用します。
認証順序は、 オプションを使用してグローバルに設定することも、個々のインターフェイス名を使用して ローカルに設定することもできます。interface all 認証順序が個々のインターフェイスとすべてのインターフェイスの両方に設定されている場合、そのインターフェイスのローカル設定がグローバル設定に上書きされます。
認証順序を設定した後、 コマンドを使用して認証順序に変更を加える必要があります 。insert コマンドを使用しても、設定した順序は変更されません。set
初期設定後に認証順序を変更するには:
[edit] user@switch# insert protocols dot1x authenticator interface interface-name authentication-order authentication-method before authentication-method
たとえば、順序 を から に変更 するには:[mac-radius dot1x captive portal][dot1x mac-radius captive portal]
[edit] user@switch# insert protocols dot1x authenticator interface interface-name authentication-order dot1x before mac-radius
関連項目
既存の認証セッションを維持するための EAPoL ブロックの設定
802.1X オーセンティケータとして動作するスイッチが、認証されたクライアントから EAP-Start メッセージを受信すると、スイッチは 802.1X 方式を使用してクライアントの再認証を試み、通常は EAP-Request メッセージを返し、応答を待ちます。クライアントが応答に失敗した場合、スイッチはMAC RADIUSまたはキャプティブポータル方式(これらの方式が設定されている場合)を使用してクライアントの再認証を試みます。MAC RADIUSまたはキャプティブポータル認証を使用して認証されたクライアントは応答せず、スイッチが再認証を試みると、インターフェイス上のトラフィックがドロップされます。
MAC RADIUSがクライアントの認証に使用される最初の方法になるようにインターフェイスで柔軟な認証順序を設定した場合、クライアントがEAP-Startメッセージを送信すると、クライアントがMAC RADIUS認証を使用して正常に認証されたとしても、スイッチは再認証に802.1Xを使用するように戻されます。EAPoL ブロックは、固定または柔軟な認証順序で設定できます。ステートメントを設定し ない場合、順序はデフォルトで固定されます。authentication-order ステートメントは 、 ステートメントの設定 の有無にかかわらず設定できます。eapol-blockauthentication-order
ステートメントを使用したMAC RADIUS認証またはキャプティブポータル認証を使用して認証 されたクライアントから送信されたEAP-Startメッセージを無視するようにスイッチを設定できます。eapol-block EAPoL メッセージのブロックが有効な場合、スイッチがクライアントから EAP-Start メッセージを受信しても、EAP-Request メッセージは返されず、既存の認証セッションが維持されます。
エンドポイントがMAC RADIUS認証またはキャプティブポータル認証で認証されていない場合、EAPoLブロックは有効になりません。エンドポイントは、802.1X 認証を使用して認証できます。
が オプションで構成されている場合、クライアントがMAC RADIUS認証またはCWA(セントラルWeb認証)で認証されると、EAP-Startメッセージを送信してもクライアントは認証された状態のままになります。eapol-blockmac-radius が オプションで設定された場合、クライアントがキャプティブ ポータルで認証されると、EAP-Start メッセージを送信してもクライアントは認証された状態のままになります。eapol-blockcaptive-portal
この機能は、EX4300およびEX9200スイッチでサポートされています。
既存の認証セッションを維持するために EAPoL メッセージのブロックを構成するには: