Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

加入者ドメインからアクセスおよびセッションへのマッピングオプション

ドメインマッピングの概要

ドメイン・マッピングにより、アクセス・オプションおよびセッション固有のパラメータを指定するマップを構成できます。マップは加入者セッションのドメイン名に基づきます。ルーターは、指定されたドメインを持つ加入者のセッションに、マッピングされたオプションとパラメーターを適用します。たとえば、ドメイン名 example.comに基づくドメイン マップを設定できます。そのドメイン マップのオプションとパラメータは、指定されたドメイン名( bob@example.comraj@example.comjuan@example.com など)を持つ加入者が AAA サービスを要求したときに適用されます。

手記:

通常、サブスクライバーのユーザー名は、ユーザー名とそれに続くユーザーのドメイン名の 2 つの部分で構成され、区切り文字で区切られます。ドメイン名は、常にドメイン区切り文字の右側にあります。たとえば、ユーザー名、 juan@example.com、ユーザー名、 juan の後にドメイン名 example.comが続き、2 つは @ 区切り文字で区切られます。

ただし、一部のシステムでは、ドメイン名がユーザー名 precedes ユーザー名形式が使用されます。一般的なドメイン名の使用法との混同を避けるため、このタイプの先行するドメイン名はレルム名と呼ばれ、レルム名はレルム区切り記号の左側にあります。例えば、ユーザー名 top321-example.com/mary では、 top321-example.com 部分がレルム名、 mary がユーザー名、 / 文字が区切り文字になります。

ドメイン マップは効率性に優れ、1 回の操作で多数の加入者を変更することができます。たとえば、プールからアドレスを取得する加入者の数によってアドレス割り当てプールが枯渇した場合、特定のドメインの加入者が別のプールからアドレスを取得することを指定するドメイン マップを作成できます。ドメイン マップの別の用途では、新しい動的プロファイルを作成し、その動的プロファイルを使用するサブスクライバーを (ドメインごとに) 指定するようにドメイン マップを構成することができます。

Junos OS リリース 21.3R1 以降では、ドメイン マップの下にサブドメインを設定できます。サブドメインでは、VLANごとまたはVLAN範囲に対してアクセスプロファイルを設定できます。この機能拡張により、ドメイン内のユーザーを区別し、ユーザーのプロファイルに基づいて異なるサービスを提供する柔軟性が得られます。

手記:

加入者管理は、デフォルトの論理システムでのみサポートされます。加入者管理ドメインマッピング機能のドキュメントでは、 aaa-logical-system および target-logical-system ステートメントを使用して、デフォルト以外の論理システムへのマッピングを設定する方法について説明しています。これらのステートメントは、加入者管理の将来の拡張のためのものです。

表 1 では、ドメイン マップで構成できるアクセス オプションとパラメーターについて説明します。

表1:ドメインマップのオプションとパラメータ

オプション

形容

AAA 論理システム/ルーティング インスタンス

AAA が加入者セッションの認証およびアカウンティング要求を送信する論理システム/ルーティング インスタンス。

加入者管理は、デフォルトの論理システムでのみサポートされます。

アクセス プロファイル

加入者セッションに適用されるアクセスプロファイル。

アドレスプール

加入者にアドレスを割り当てるために使用されるアドレスプール。

ドメイン名とレルム名の規則

ドメイン名のストリッピング、サポートされている区切り文字、解析方向 (区切り文字と解析方向はグローバルに構成される) など、ドメインおよびレルム名の使用に関する規則。

動的プロファイル

加入者セッションに適用される動的プロファイル。

PADN パラメーター

加入者セッションのPPPoEルート情報。

ターゲット論理システム/ルーティング インスタンス

加入者インターフェイスが接続されている論理システム/ルーティング インスタンス。

加入者管理は、デフォルトの論理システムでのみサポートされます。

トンネル プロファイル

加入者セッションに適用されるトンネルプロファイル。

ドメイン マップの種類と優先順位

Junos OS リリース 16.1 以降、加入者管理では、加入者のドメイン名に一致するドメイン マップを検索するときに、特定の順序が使用されます。次の一覧は、その順序を示しています。

  • 完全一致ドメインマップ—加入者のドメイン名は、設定されたドメインマップと完全に一致します。

  • ワイルドカードドメインマップ—加入者のドメイン名は、ワイルドカードドメインマップと部分的に一致します。

  • default ドメインマップ—加入者のドメイン名は、ドメインマップとの完全一致でも部分的にワイルドカード一致でもありません。

手記:

加入者のユーザー名にドメイン名がない場合、検索は実行されず、加入者は none ドメイン マップ(設定されている場合)に関連付けられます。

ワイルドカード ドメイン マップ

Junos OS リリース 16.1 以降、ワイルドカード ドメイン マップ機能により、加入者のドメイン名と完全に一致しない場合に、加入者が使用するドメイン名を指定できます。たとえば、 xyz*.example.com という名前でワイルドカードドメインマップを作成した場合、ドメイン名 xyz.example.comxyz-1234.example.comxyz-eastern.example.com、および xyz-northern.example.com を持つサブスクライバーは、サブスクライバーのドメイン名と完全に一致しない場合、すべてそのワイルドカードドメインにマップされます。アスタリスク・ワイルドカード文字をドメイン・マップ内の任意の場所に挿入して、目的のマッチング仕様を作成できます。ワイルドカード ドメイン マッピングは、加入者名が DHCPv4 エージェント リモート ID(オプション 82、サブオプション 2)または DHCPv6 リモート ID(オプション 37)から派生する場合にも使用されます。

デフォルト・ドメイン・マップ

ルーターが、ドメイン名またはレルム名が既存のドメインマップと明示的に一致せず、ワイルドカードドメインマップと部分的に一致しない加入者に使用するデフォルトドメインマップを設定することができます。domain map domain-map-nameとして名前defaultを指定します。

例えば、ゲストに使用される特定のアドレスプールや AAA サービスを提供するルーティング インスタンスなど、ゲスト加入者に対して限定的な機能サポートを提供するようにデフォルト ドメイン マップを設定できます。ルーターがゲスト加入者に完全一致またはワイルドカード一致を提供できない場合、ルーターはデフォルトのドメインマップ構成で指定されたルールを使用して、ゲスト加入者のリクエストを処理します。

ドメイン名またはレルム名を持たない加入者ユーザー名のドメイン マップ

場合によっては、加入者のユーザー名にドメイン名やレルム名が含まれないことがあります。ルーターがこれらの加入者に使用する特定のドメイン マップを設定できます。domain map domain-map-nameとして名前noneを指定します。

ドメインマップと論理システム/ルーティングインスタンスコンテキストの理解

ドメイン マップを使用して、加入者管理が AAA および加入者コンテキストに使用する論理システム/ルーティング インスタンスを管理できます。加入者管理はデフォルトの論理システムでのみサポートされているため、ルーティング インスタンスを設定することでコンテキストを管理します。次の一覧では、2 種類のコンテキストについて説明します。

  • 加入者コンテキスト—加入者インターフェイスが配置される論理システム/ルーティング インスタンス。ほとんどの動的加入者セッションでは、最初の加入者セッションコンテキストがデフォルトの論理システムであり、デフォルトのルーティング インスタンスです。1 つの例外は LNS で、動的 LNS セッション(L2TP 上の PPP)の初期コンテキストはピア インターフェイス(LAC 向けインターフェイス)と同じです。したがって、LNS セッションでは、ピア インターフェイスがデフォルト以外のルーティング インスタンスを使用する場合、加入者セッションの初期コンテキストもそのデフォルト以外のルーティング インスタンスを使用します。

  • AAAコンテキスト—加入者セッションが認証やアカウンティング要求などのRADIUSインタラクションに使用する論理システム/ルーティング インスタンス。デフォルトでは、AAA コンテキストは初期加入者コンテキストと同じです。したがって、動的 LNS セッション以外のすべての加入者セッションにおいて、デフォルトのルーティング インスタンスが明示的に変更されていない限り、認証と許可はデフォルトの論理システム/ルーティング インスタンス コンテキストで実行されます。

オプションで、特定の加入者または AAA コンテキストを使用するようにドメイン マップを設定できます。たとえば、動的 LNS セッションが最初にデフォルト以外のルーティング インスタンスで作成された場合(初期加入者コンテキストが非デフォルト ルーティング インスタンスを使用するため)、 target-routing-instance ステートメントを使用して、加入者をデフォルト ルーティング インスタンスに配置するようにドメイン マップを設定できます。または、セキュリティ上の理由から、特定のコンテキストですべての RADIUS 対話を行うこともできます。この場合、 aaa-routing-instance ステートメントを使用してドメイン マップを設定し、初期 AAA コンテキストを新しいルーティング インスタンスに変更します。

ドメイン マップを使用して AAA および加入者のコンテキストを管理することは、レイヤー 3 ホールセール環境でも有効です。たとえば、動的VLANインターフェイスをデフォルト以外の異なるルーティングインスタンスに配置しながら、RADIUSのやり取りはすべてデフォルトルーティングインスタンスで維持することができます。この例では、初期 AAA コンテキストはデフォルトのルーティング インスタンスにありますが、RADIUS 認証により、加入者 VLAN セッションはデフォルト以外のルーティング インスタンスに配置されます。次に、ドメイン マップに aaa-routing-instance ステートメントを含めて、AAA コンテキストがダイナミック VLAN セッションにデフォルト ルーティング インスタンスを使用するように指定できます。加入者セッションは変更されず、デフォルト以外のルーティング インスタンスに残ります。

ドメイン マップを使用する利点

  • ドメインマップは、1 回の操作で多数のサブスクライバーの変更を可能にすることで、大規模なサブスクライバーの管理を簡素化します。

  • ドメイン マップは、マップ定義に基づいて特定のサブスクライバー グループに変更を適用する際の粒度を提供します。

ドメイン マップの設定

加入者管理用のドメインマップを設定するには、次の手順に従います。

  1. ドメイン・マップを作成します。マップ名には、ドメイン マップで使用するドメイン名を指定します。(デフォルト・ドメイン・マップの名前には default を使用します。
    • たとえば、ドメイン名 example.com の加入者にマッピングするドメイン マップを作成するには、次のようにします。

    • ドメイン名が完全一致ではないが、部分一致であるサブスクライバーにマップするワイルドカードドメインマップを作成するには、次のようにします。

      ワイルドカードドメインマップの設定を参照してください。

    • ドメイン名が一致しない購読者にマップするデフォルト・ドメイン・マップを作成するには、次のようにします。

    • ドメイン名またはレルム名を持たないサブスクライバーにマッピングするドメインマップを作成するには、次の手順に従います。

  2. (オプション)ドメインマップのアクセスルールの適用に使用するアクセスプロファイルを指定します。
  3. (オプション)動的プロファイルの場合、加入者セッションに提供された動的設定を明確にします。
  4. (オプション)ドメイン マップのアドレス割り当てに使用するアドレス プールを指定します。

    ドメイン マップでのアドレスプールの指定」を参照してください。

  5. (オプション)加入者コンテキストのターゲット論理システム/ルーティング インスタンスを設定します。
  6. (オプション)ドメイン マップに対して AAA リクエストが送信されるターゲット論理システム/ルーティング インスタンスを設定します。
  7. (オプション)ドメイン名のルールを構成します。たとえば、区切り文字、解析方向、ドメインストリッピングなどです。区切り文字と構文解析方向は、すべてのドメイン・マップに対してグローバルに構成されます。ドメインストリッピングは、ドメインマップで有効になっています。
  8. (オプション)認証、アカウンティング、および表示の目的で、ユーザー名からドメイン部分を削除するルールを構成します。

    「ドメイン名ストリッピングの有効化」を参照してください。

  9. (オプション)ユーザー名のユーザー部分の解析を設定し、認証のためにのみユーザー部分を取り除きます。
  10. (オプション)ドメイン マップのすべての加入者認証に使用するパスワードを指定します。このオプションは、外部ポリシー/RADIUSサーバーへのaccess-requestで送信されるユーザー名/パスワードにのみ影響します。
  11. (オプション)ドメイン マップのトンネル定義を提供するトンネル プロファイルを割り当てます。
  12. (オプション)ドメイン マップによって適用されるトンネル スイッチ プロファイルを割り当てます。

ワイルドカード ドメイン マップの設定

加入者管理では、ワイルドカードの部分一致に基づくドメイン マッピングを設定できるワイルドカード ドメイン マップ機能がサポートされています。加入者のドメイン名と設定されたドメイン マップが完全に一致しない場合、加入者管理は次に、加入者のドメイン名とワイルドカード ドメイン マップの部分一致を探します。

ワイルドカードドメインマップを作成するには、 domain map example*などのドメインマップ名を設定するときに、アスタリスクワイルドカード文字を含めます。ワイルドカード文字はドメイン マップ内の任意の場所に挿入でき、ワイルドカードは 0 文字または任意の数の文字を表すことができます。アスタリスクは、サポートされている唯一のワイルドカード文字です。

例えば、domain map example*northern.com 設定ステートメントは、examplenorthern.comexample-northern.comexample1234northern.com など、example で始まり northern.com で終わるすべてのドメイン名の部分一致であるワイルドカードドメインマップを作成します。ただし、ドメイン マップ名のワイルドカード文字を domain map example-northern*.com に移動すると、部分一致するドメイン名が example-northern555.comexample-northern-alpha.com などの example-northern で始まる必要がある、より制限の厳しい一致が作成されます。

ワイルドカード ドメイン マッピングは、加入者管理が DHCPv4 エージェント リモート ID(オプション 82 サブオプション 2)または DHCPv6 リモート ID(オプション 37)から加入者ユーザー名を取得する場合にも役立ちます。このような場合、結果のユーザー名は subscriberID|service-plan|accountID|unused の形式になります。たとえば、 EricSmith|premiumTier1|314159265|0000 ( | 文字が区切り文字です)。この例では、加入者管理はユーザー名を左から右に解析し、加入者のドメインを premiumTier1|314159265|0000 として識別します。この加入者に使用するワイルドカードドメインマップを作成するには、 domain map premiumTier1*を設定します。

次の例では、4 つの加入者を異なるドメインにマッピングする方法を説明します。

この例では、3 つのドメイン マップが設定されています。 default ドメイン マップ、 example3000.com という名前のドメイン マップ、 example* という名前のワイルドカード ドメイン マップです。サブスクライバーは、次の一覧に示すようにマップされます。

  • eric@example3000.com - ドメイン マップが完全に一致するため、加入者はドメイン example3000.com にマップされます。

  • jack@example1001.com:完全一致はありませんが、ワイルドカードドメインに部分一致があるため、サブスクライバーはワイルドカードドメイン example*にマッピングされます。

  • ginger@example-western.com - 完全一致はありませんが、ワイルドカード ドメインに部分一致があるため、加入者もワイルドカード ドメイン example*にマッピングされます。

  • sunshine@test.com - 完全一致はなく、ワイルドカード ドメインとの部分一致もないため、加入者は default ドメインにマッピングされます。

ワイルドカードドメインマップを設定するには、次の手順に従います。

  1. ワイルドカード文字を含むドメイン マップ名を指定します。
  2. ワイルドカード・ドメイン・マップのオプション特性を指定します。

    「ドメイン マップの設定」を参照してください。

ドメインマップでのアクセスプロファイルの指定

アクセスプロファイルを使用して、ルーターが加入者セッションに適用するアクセスルールとオプション(RADIUS認証サーバーや属性など)を指定します。ドメイン マップ機能を使用すると、特定のドメインの加入者に特定のアクセス プロファイルを適用できます。

アクセスプロファイルは、いくつかの異なる方法で指定または変更できます。競合が発生した場合、ルーターは、 表 2 に示す優先順位ルールに基づいてアクセス プロファイルを適用します。

表 2:アクセス プロファイルを適用するための優先順位ルール

優先順位(高から低)

アクセス プロファイルの適用方法

1

RADIUS Redirect-VRouter-Name属性で指定(VSA 26-25)

2

ドメイン・マップ構成スタンザで指定される

3

AAA 論理システム/ルーティング インスタンス マッピングによってドメイン マップ設定スタンザで間接的に指定される

4

クライアント構成スタンザで指定される

5

論理システム/ルーティング インスタンス設定スタンザで指定されます

ドメインマップにアクセスプロファイルを含めるには、次の手順に従います。

  1. 設定するドメイン マップを指定します。
  2. ドメインマップに含めたいアクセスプロファイルを指定します。

ドメイン マップでのアドレスプールの指定

ドメイン マップ機能を使用して、ルーターが加入者セッションにアドレスを割り当てるために使用するアドレス プールを指定できます。アドレスプールには、IPv4 と IPv6 の両方のアドレス範囲を含めることができます。

アドレスプールは、いくつかの異なる方法で指定または変更できます。競合が発生した場合、ルーターは 表 3 に示す優先順位ルールに基づいてアドレスプールを適用します。

表 3:使用するアドレスプールを決定するための優先順位規則

優先順位(高から低)

アドレスプールリファレンスの提供方法

1

RADIUSフレームプール属性(RADIUS属性88)で指定

2

ドメイン・マップ構成スタンザで構成

3

クライアント構成スタンザで指定 (アドレス一致ルールによる)

ドメイン マップに使用するアドレス プールを指定するには、次の手順に従います。

  1. 設定するドメイン マップを指定します。
  2. ドメインマップに使用するアドレスプールを指定します。

ドメイン マップでの動的プロファイルの指定

動的プロファイルは、加入者セッションに動的アクセスとサービス(サービスクラス、プロトコル、インターフェイスサポートなど)を提供する一連の特性を定義します。ドメイン マップ機能を使用すると、加入者のドメインに基づいて特定の動的プロファイルを適用できます。

動的プロファイルは [edit dynamic-profiles] 階層で設定され、いくつかの異なる方法で指定または変更できます。競合が発生した場合、ルーターは 表 4 に示す優先順位ルールに基づいて動的プロファイルを適用します。

表 4:動的プロファイルを適用するための優先順位規則

優先順位(高から低)

動的プロファイルの適用方法

1

RADIUS仮想ルーター属性(VSA 26-1)またはRedirect-VRouter-Name属性(VSA 26-25)で指定されます

2

ドメイン・マップ構成スタンザで指定される

3

クライアント構成スタンザで指定される

ドメインマップに動的プロファイルを含めるには、次のようにします。

  1. 設定するドメイン マップを指定します。
  2. ドメイン・マップに含める動的プロファイルを指定します。

ドメイン マップでの AAA 論理システム/ルーティング インスタンスの指定

デフォルトでは、ドメイン マップは、 authd デーモンが AAA 認証およびアカウンティング要求を送信するコンテキストとして、加入者の論理システム/ルーティング インスタンスを使用します。オプションで、加入者のドメイン名に基づいて、AAA 要求を特定のコンテキストに転送するようにドメイン マップを設定できます。デフォルト以外の AAA コンテキストを指定することで、ワークフローとトラフィックの負荷を管理し、多数の加入者に対して効率的に変更を行うことができます。たとえば、RADIUS サービスをアップグレードした後で、ドメイン マップを設定して、ドメイン example.com 内のすべての加入者が特定の AAA コンテキストの RADIUS サーバーによって認証されるように指定できます。

手記:

AAA コンテキストを変更しても、加入者のコンテキストは変更されません。 target-logical-system ステートメントを使用して、加入者に対して論理システム/ルーティング インスタンスを明示的に設定します。

AAA リクエストに使用される論理システム/ルーティング インスタンス コンテキストを設定するには、次の手順に従います。

  1. 設定するドメイン マップを指定します。
  2. ルーティング インスタンスを指定します。デフォルト以外のルーティング インスタンスが現在設定されている場合は、 default オプションを使用して、ドメイン マップがデフォルト ルーティング インスタンスを使用するように指定できます。AAA 論理システムは自動的にデフォルトに設定されます。
手記:

加入者管理は、デフォルトの論理システムでのみサポートされます。

ドメイン マップでのターゲット論理システム/ルーティング インスタンスの指定

デフォルトでは、ルーターは、加入者のネゴシエーションが開始されるインターフェイスの論理システム/ルーティング インスタンス コンテキストに加入者を配置します。加入者のコンテキストのルーティング インスタンスは、ドメイン マップまたは RADIUS 認証サーバーのいずれかを使用して、後で変更できます。

加入者管理はデフォルトの論理システムでのみサポートされていますが、デフォルト以外のルーティング インスタンスを使用するようにドメイン マップを設定できます。また、既定以外のルーティング インスタンスが既に構成されている場合は、既定のルーティング インスタンスを使用するようにドメイン マップを構成できます。

加入者のインターフェイスに使用される論理システム/ルーティング インスタンス コンテキストを設定するには:

  1. 設定するドメイン マップを指定します。
  2. ターゲットのルーティング インスタンスを指定します(デフォルトでは、デフォルトの論理システムが使用されます)。デフォルト以外のルーティング インスタンスが現在設定されている場合は、 default オプションを使用して、ドメイン マップがデフォルト ルーティング インスタンスを使用するように指定できます。
手記:

加入者管理は、デフォルトの論理システムでのみサポートされます。

ドメイン マップでのトンネル プロファイルの指定

トンネルプロファイルは、ルーターが加入者セッションに適用するトンネル定義(たとえば、L2TPトンネルとその属性のセット)を指定します。ドメイン マップ機能を使用すると、特定のトンネル プロファイルを特定のドメインの加入者に適用できます。

手記:

RADIUS サーバーがトンネルグループ属性(VSA 26-64)で指定したトンネルプロファイルは、ドメインマップで指定されたトンネルプロファイルよりも優先されます。

トンネル プロファイルをドメイン マップに含めるには、次の手順に従います。

  1. 設定するドメイン マップを指定します。
  2. ドメイン マップに含めるトンネル プロファイルを指定します。

ドメイン マップでのトンネル スイッチ プロファイルの指定

トンネル スイッチ プロファイルは、LAC からの L2TP 加入者セッションのパケットが、異なる宛先 LNS を持つ別のセッションにスイッチされるかどうかを決定します。トンネル スイッチ プロファイルでは、パケットが 2 番目のトンネルにスイッチされるときに特定の L2TP AVP を処理する方法を指定することもできます。ドメイン マップ機能を使用すると、特定のトンネル スイッチ プロファイルを特定のドメインの加入者に適用できます。

手記:

トンネル スイッチ プロファイル VSA(26-91)内の RADIUS サーバーによって指定されたトンネル スイッチ プロファイルは、ドメイン マップで指定されたトンネル スイッチ プロファイルよりも優先されます。トンネル スイッチ プロファイル VSA(26 〜 91)に加えてトンネル グループ VSA(26 〜 64)を受信すると、トンネル スイッチ プロファイル VSA(26 〜 91)がトンネル グループ VSA(26 〜 64)よりも優先され、加入者が LAC トンネリングではなくトンネル スイッチされるようにします。

トンネル スイッチ プロファイルをドメイン マップに含めるには、次の手順に従います。

  1. 設定するドメイン マップを指定します。
  2. ドメイン マップに含めるトンネル スイッチ プロファイルを指定します。

ドメインマップでのドメインおよびレルム名の使用の設定

ルーターがドメイン マッピング機能に使用されるドメイン名を決定する方法を設定できます。グローバル・レベルでは、ドメイン・マップに使用するルールを指定できます。グローバル ルールを使用すると、ルーターがドメイン名またはレルム名の区切り文字として認識できる追加の文字を指定し、ルーターがドメイン名またはレルム名を解析するために使用する方向を指定できます。ドメイン名またはレルム名を解析する目的は、名前のソースが通常のドメイン名形式(joseph@example.com)かレルム名形式(example.com\marilyn)かに関係なく、ルーターが加入者のドメイン名として使用する単一の一意の名前を識別することです。ルーターは、結果のドメイン名をドメインマップの検索や処理などの操作に使用します。ドメイン マップ レベルでは、ドメイン名のストリッピングを有効にすることもできます。ドメイン名ストリッピングは、ルーターがドメインマップの追加処理を実行する前に、加入者のユーザー名から解析されたドメインまたはレルム名を削除することを指定します。

ドメインマップのドメイン名使用ルールを設定するには、次の手順に従います。

  1. (オプション)ドメイン名またはレルム名については、ルーターが最初にドメイン名とレルム名のどちらを検索するかを指定する解析順序を設定します。
  2. (オプション)ドメイン名またはレルム名については、ルーターがドメインマップ用に認識する区切り文字を設定します。
  3. (オプション)ドメイン名またはレルム名については、ドメインマップのドメイン名を決定する際にルーターが使用する解析方向を設定します。
  4. (オプション)ドメイン名については、AAA サービスを使用する前に、ドメイン マップのユーザ名から解析されたドメイン名またはレルム名を削除するようにルータを設定します。

    「ドメイン名ストリッピングの有効化」を参照してください。

ドメイン名およびレルム名の区切り文字の指定

区切り文字は、加入者のユーザー名とドメイン名またはレルム名を区切る文字です。区切り文字は、通常、ドメインまたはレルム名の解析またはドメイン名の削除に使用されます。ルーターがドメイン マップのドメイン名またはレルム名を認識するために使用する最大 8 つの区切り文字を指定できます。区切り文字を設定しない場合、ルーターはデフォルトでドメイン名に @ 文字を使用します。レルム名にデフォルトの区切り文字はありません。

たとえば、ネットワークに加入者 bob@test.compete!example.com、および test.net\mariaが含まれる場合があります。この場合、ルーターを設定して、 @! の文字をドメイン名の区切り文字として認識し、 \ 文字をレルム名の区切り文字として認識します。

区切り文字を指定するときは、次のガイドラインに注意してください。

  • セミコロン (;) を区切り文字として使用することはできません。

  • オプションのドメイン名区切り文字を設定する場合、区切り文字として引き続き使用する場合は、 @ 文字(デフォルトの区切り文字)も指定する必要があります。

  • オプションのドメイン名区切り文字を設定してから構成を解除すると、ルーターはドメインマップ区切り文字をデフォルトの @ 文字に戻します。

ドメインマップのドメインおよびレルム名の区切り文字を設定するには、次の手順に従います。

  1. ドメイン属性を設定することを指定します。
  2. ドメイン名の区切り文字として使用する文字を指定します。区切り文字の間にスペースを含めないでください。
  3. レルム名の区切り文字として使用する文字を指定します。区切り文字の間にスペースを含めないでください。

ドメイン名およびレルム名の解析順序の指定

ルーターは、ユーザー名の送信元が通常のドメイン名形式(joseph@example.com)かレルム名形式(example.com\marilyn)かに関係なく、ルーターが加入者のドメイン名として使用する単一の一意の名前を識別するために、ユーザー名ドメインまたはレルム名を解析します。ルーターが最初に加入者ユーザー名でドメイン名を検索するか、レルム名を検索するかを指定できます。ルーターが指定された名前を見つけられない場合(例えば、 realm-first を指定し、ユーザー名にレルム名がない場合)、ルーターは 2 番目のタイプの名前(この場合はドメイン名)を検索します。ルーターがレルム名またはドメイン名を見つけられない場合、ドメインマッピング操作に使用できるドメインはありません。

ドメイン・マップのドメイン名の構文解析方向を構成するには、次のようにします。

  1. ドメイン属性を設定することを指定します。
  2. ルーターに使用させたい解析順序を、ドメイン名が先かレルム名が先かのいずれかで指定します。

ドメイン名およびレルム名の解析方向の指定

ルーターがサブスクライバのドメインまたはドメインマップのレルム名を識別するために使用する解析操作を実行する方向を指定できます。解析操作中、ルーターは区切り文字を認識するまでユーザー名を検索します。その後、区切り文字の右側にあるものはすべてドメインと見なされます。デフォルトでは、ルーターはユーザー名の右端の文字から右から左に解析します。

ルーターは、加入者のドメイン名を使用して、ドメインマップの検索と処理操作を実行します。ユーザー名が従来のドメイン名形式またはレルム名で表示される場合、ルーターが一意のドメイン名を識別する方法を設定することができます。従来のドメイン名形式では、ユーザー名の後にドメイン名が続きます。たとえば、joe@example.com です。レルム名形式では、ユーザー名の前にドメイン名 (レルム名と呼ばれる) が付きます。たとえば、example.com@joe です。ドメイン名またはレルム名を解析する目的は、名前の送信元がユーザの元のドメイン名かレルム名かに関係なく、ルーターが加入者のドメイン名として使用する 1 つの名前を識別することです。ルーターは、結果のドメイン名をドメインマップの検索や処理などの操作に使用します。ドメイン マップ レベルでは、ドメイン名のストリッピングを有効にすることもできます。

使用するドメイン解析方向は、入れ子になったドメイン名がある場合に重要です。たとえば、ユーザー名 user1@test.com@example.comの場合、右から左への解析では、 example.com のドメイン名が生成されます。同じユーザー名の場合、左から右に解析すると、ドメイン名は test.com@example.com になります。

手記:

この操作は、ユーザー名のユーザー部分の解析と似ていますが、デフォルトの方向と結果は異なります。

ドメイン・マップのドメイン名の構文解析方向を構成するには、次のようにします。

  1. ドメイン属性を設定することを指定します。
  2. ユーザー名が、ドメイン名がユーザー名の後に続く典型的なドメイン名形式を使用する場合に、ルーターが使用する解析方向を指定します。
  3. ユーザー名がレルム名形式(レルム名がユーザー名の前に来る)を使用する場合に、ルーターが使用する解析方向を指定します。

ドメイン名ストリッピングの有効化

AAA サービスを使用する前に、ユーザ名からドメイン名を削除するようにルータを設定できます。ドメイン名のストリッピングは、ドメイン マップに対して行われます。ルーターは、グローバルに設定した区切り文字と解析方向を使用して、削除されるドメイン名を決定します。例えば、ルーターがデフォルトの区切り文字と解析方向 right-to-leftを使用する場合、ユーザー名 user1@example.com は取り除かれて user1になります。

ドメイン マップ内のユーザー名からドメイン名を削除するようにルーターを設定するには:

  1. ストリッピング操作のドメイン マップを指定します。
  2. ドメイン名のストリッピングを有効にします。

オフシャーシ プロビジョニングを簡略化するためのユーザ名とパスワードの変更

ユースケースによっては、ルーターシャーシからL2TP LAC加入者のユーザー名と認証パスワードをプロビジョニングしたい場合があります。ユーザー名のユーザー部分を取り除き、ユーザーパスワードを上書きすることができます。

ユーザー名が従来のドメイン名形式またはレルム名形式で提示される場合に、除去するユーザー部分をルーターが識別する方法を設定することができます。従来のドメイン名形式では、ユーザー名の後にドメイン名が続きます。たとえば、joe@example.com です。レルム名形式では、ユーザー名の前にドメイン名 (レルム名と呼ばれる) が付きます。たとえば、example.com@joe です。

ルーターがユーザー名のユーザー部分を識別するために使用する解析操作を実行する方向を指定できます。解析操作中、ルーターは区切り文字を認識するまでユーザー名を検索します。デフォルトでは、ルーターはユーザー名の左端の文字から左から右に解析します。区切り文字の左側にあるものはすべてユーザー部分です。この方向は、従来のドメイン名形式で機能します。この設定では、ルーターが joe を識別し、joe@example.com から除去します。

レルム名形式のユーザー名の場合、解析方向を right-to-left に変更する必要があります。ルーターは、ユーザー名の右端の文字から右から左に解析します。ルーターが区切り文字を認識すると、区切り文字の右側にあるものはすべてユーザー部分と見なされます。この設定では、ルーターは example.com@joe から joe を識別して除去します。

手記:

この操作は、ドメイン名/レルム名の解析操作と似ていますが、デフォルトの方向と結果は、ドメイン名/レルム名の解析とは異なります。

手記:

ユーザー部分は、認証のために外部サーバーに送信されるユーザー名に対してのみ削除されます。ストリップされていないユーザー名は、会計操作に使用されます。

ドメイン マップに関連付けられているすべてのユーザー名のユーザー名からユーザー部分が削除されるように設定するには、次の手順に従います。

ルーターに使用させたい解析方向を指定します。

  • ユーザー名が一般的なドメイン名形式であり、ドメイン名がユーザー名の後に続く場合は、 left-to-right を使用します。

  • ユーザー名がレルム名形式で、レルム名がユーザー名の前にある場合は、 right-to-left を使用します。

新しいパスワードを指定して、ドメイン マップに関連付けられている加入者を認証するための既存のパスワードを上書きできます。パスワードを上書きするには、次のようにします。

  • PAP 認証の上書きパスワードを指定します。

  • CHAP認証の上書きパスワードを指定します。

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。

解放
形容
16.1
Junos OS リリース 16.1 以降、加入者管理では、加入者のドメイン名に一致するドメイン マップを検索するときに、特定の順序が使用されます。
16.1
Junos OS リリース 16.1 以降、ワイルドカード ドメイン マップ機能により、加入者のドメイン名と完全に一致しない場合に、加入者が使用するドメイン名を指定できます。