Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

RADIUSプロバイダ

リモート認証ダイヤルインユーザーサービス(RADIUS)制限については、以下を参照してください。

RADIUSの制限

  • リモートRADIUSサーバーでRADIUSユーザーのパスワードを変更するサポートはありません。
  • RADIUS認証は、SSH経由のLinuxユーザーログインを制御しません。
  • グループの役割マッピングの変更をサポートしていない。
  • ネストされたグループは使用できません。各グループをロールに明示的に割り当てる必要があります。
  • ユーザーがログインすると、リモートRADIUSサーバーに対する認証に必要なのはユーザー名とパスワードのみです。ログイン認証情報はキャッシュされません。そのため、ユーザーがログインすると、ApstraとリモートRADIUSサーバー間の接続が必要になります。

RADIUS プロバイダの作成

  1. 左側のナビゲーション メニューから[外部システム > プロバイダ]に移動し、[プロバイダの作成]をクリックします。
  2. 名前(64 文字以下)を入力し、RADIUS を選択し、RADIUS をアクティブなプロバイダーにする場合は、[Active?] をオンにします。
  3. [接続設定] で、以下を入力/選択します。
    • ポート - サーバーで使用されるTCPポートのデフォルトは、RFC 2865で指定されている 1812 です。
    • ホスト名 FQDN IP - RADIUS サーバーの完全修飾ドメイン名(FQDN)または IP アドレス。高可用性(HA)環境では、同じ設定を使用して複数の RADIUS サーバーを指定します。最初のサーバーに到達できない場合、成功したサーバーへの接続が順番に試行されます。
  4. プロバイダ固有のパラメータでは、必要に応じて以下を入力/選択します。

    • 共有キー (64 文字以下)- サーバーに構成された共有キー

      注意:

      設定した RADIUS プロバイダを編集しているときに共有キーは表示されません。変更しない場合は、以前に設定した共有キーが保持されます。プロバイダをテストし、共有キーを再入力していない場合は、テストに null 共有キーが使用され、機能しない場合があります。

      Apstraソフトウェアで正常にテストする事前共有キー設定の例は、Ubuntu FreeRADIUS(オープンソースRADIUSサーバー)の例です。RADIUSサーバー設定で指定された共有キーは、Apstraで提供する必要があります。

    • 高度な設定

      • グループ名属性名 - ユーザーが属するロールを指定するには、RADIUSサーバーがユーザーのグループを指定する必要があります。ユーザー グループ情報は、 属性として Framed-Filter-ID で指定する必要があります。これは、異なるRADIUSグループにユーザーを割り当てるために使用されます。

        たとえば、以下の FreeRADIUS 構成では、 Framed-Filter-ID 属性を フリーラッドに指定します。この場合、後でマッピングする場合は、 freerad プロバイダー グループを入力します。

      ユーザーをApstra環境の既存のグループにマッピングできるようにするため、RADIUSサーバーは認証応答の一部としてApstraグループ名を返す必要があります。

      注意:

      グループがマッピングされていない場合、ユーザーはログインできません。

    • タイムアウト (秒)- デフォルトは30秒

プロバイダを構成してアクティブ化した後、そのプロバイダを 1 つ以上のユーザー ロールに マッピング して、それらのロールを持つユーザーに権限を付与する必要があります。