認証および許可用の RADIUS サーバーの設定
Junos Spaceネットワーク管理プラットフォームは、RADIUSサーバーからのユーザー認証をサポートします。認証サーバーページ(認証サーバーの管理>)を使用して、1つ以上のRADIUSリモート認証サーバーを使用して、ユーザーが一元的な場所から排他的にログインすることを認証および許可するようにRADIUSサーバーを設定できます。また、ローカルおよびリモートの認証と許可の両方を使用して、ユーザーを認証し、Junos Spaceプラットフォームにログインすることを許可することもできます。
RADIUS サーバーを使用してユーザーの認証と Junos Space プラットフォームへのログインを許可する前に、以下を確認する必要があります。
Junos SpaceプラットフォームでRADIUSリモート認証サーバーを作成および設定します( リモート認証サーバーの作成を参照してください)。
Junos Space プラットフォームでのユーザーの承認に必要なリモート プロファイルを 作成します(リモート プロファイルの作成を参照してください)。
リモート認証とローカル認証を許可する場合は、Junos Spaceプラットフォームの ロールベースアクセスコントロール ワークスペースを使用してユーザーアカウントを作成します( Junos Spaceネットワーク管理プラットフォームでのユーザーの作成を参照してください)。
リモート認証が有効になっている場合のログイン動作を理解するには、 「リモート認証が有効な Junos Space ログイン動作」 トピックを参照してください。
RADIUSサーバーの認証データは、ベンダー固有属性(VSA)として保存されます。そのため、RADIUS サーバーの Junos 辞書ファイル(juniper.dct)を Junos Space プラットフォームで定義された VSA(Juniper-Junosspace-Profiles)で更新する必要があります。RADIUS サーバー データベースのユーザーには、ユーザーに割り当てる Junos Space リモート プロファイルに対応する値を使用して VSA を割り当てる必要があります。ユーザーは、リモートプロファイルで指定されたロールで承認されています。関連するJuniper RADIUS VSAの一覧については、 ジュニパーネットワークスベンダー固有のRADIUS属性を参照してください。
Steel-Belted Radius で VSA を設定するには:
フリーRADIUSでVSAを設定するには:
Junos Space VSA をジュニパー辞書ファイル(dictionary.juniper)に追加します。辞書ファイルを検索し、以下のテキストをファイルに追加します。
ATTRIBUTE Juniper-Junosspace-Profiles 11 String
Juniper-Junosspace-Profiles属性を使用して、リモートプロファイルをユーザーに割り当てます。
以下の例は、FreeRADIUSに設定情報を追加して、リモートプロファイルをユーザーに割り当てる方法を示しています。
"guestuser" Auth-Type:=PAP, User-Password:="<password>" Juniper-Junosspace-Profiles = "guestprofile"
VSAを追加し、Free RADIUSでJunos Spaceリモートプロファイルをユーザーに割り当てる方法の詳細については、FreeRADIUSのドキュメントを参照してください。
Junos Spaceプラットフォームで作成されたリモートプロファイルは、選択のためにRADIUSサーバーに自動的に同期されません。管理者は、正しいリモート プロファイル名を手動で入力する必要があります。