Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

RADIUS認証とアカウンティングの基本設定

加入者アクセスの認証およびアカウンティングパラメーターの設定

アクセスプロファイルを使用して、加入者アクセス管理機能の認証およびアカウンティングサポートを設定します。アクセス プロファイルでは、認証とアカウンティングに使用する方法のタイプを指定できます。また、加入者アクセス管理がアカウンティング統計を収集して使用する方法を設定することもできます。

加入者アクセスの認証とアカウンティングを設定するには:

  1. 使用する認証およびアカウンティング方法を指定します。
  2. アカウンティング統計の収集方法を指定します。

加入者アクセスの認証およびアカウンティング方法の指定

加入者アクセス管理で使用する認証およびアカウンティング方法を指定できます。

複数の認証方法とアカウンティング方法 authentication-order を設定できます。および accounting order ステートメントは、加入者アクセス管理機能が方式を使用する順序を指定します。例えば、 の radius password 認証エントリーは、RADIUS認証が最初に実行されるように指定します。タイムアウトした場合(例えば、RADIUSサーバーが到達できない場合)、ローカル認証(password)が試されます。ただし、メソッドが認証の試行を拒否した場合、後続の方法は試行されません。最初に試行する方法として設定されている場合 password 、認証は常に受け入れまたは拒否されます。いずれの場合も、他の方法は試行されません。

ステートメントで以下の認証方法を authentication-order 指定できます。

  • radius外部 RADIUS サーバーを使用した RADIUS ベースの認証。

  • passwordローカルで設定され、保存されたユーザー名とパスワードを使用したローカル認証。

    加入者アクセス管理は、Junos OSリリース18.2R1までオプションをサポート password していません。Junos OS リリース 18.2R1 以降では、 オプションを password 使用して、個々の加入者にローカル認証を提供できます。通常、外部認証および認証サーバーがない場合、または外部認証のバックアップとしてローカル認証を使用する場合です。この場合、実際の加入者パスワード password は、アクセスプロファイルの ステートメントの subscriber username オプションで設定します。以前のリリースでは、必ず認証方法を指定する radius 必要があります。

以下の会計方法を指定することができます。

  • radius外部 RADIUS サーバーを使用した RADIUS ベースのアカウンティング。

加入者アクセス管理の認証およびアカウンティング方法を設定するには:

  1. 認証方法と、認証方法を使用する順序を指定します。
  2. 会計方法を指定します。

加入者アクセス用のRADIUS認証およびアカウンティングサーバーの指定

加入者アクセス管理に使用する 1 つ以上の RADIUS 認証またはアカウンティング サーバーを指定できます。

RADIUS認証とアカウンティングサポートを設定するには:

  1. RADIUSサポートを設定することを指定します。
  2. 認証に使用する RADIUS サーバーの IP アドレスを指定します。
  3. アカウンティングに使用する RADIUS サーバーの IP アドレスを指定します。

複数のRADIUS認証またはアカウンティングサーバーを設定するには:

  • 認証またはアカウンティングに使用されるすべての RADIUS サーバーの IP アドレスを指定します。

加入者のローカル認証および許可の設定

Junos OS リリース 18.2R1 以降、加入者向けにローカル認証と制限付きローカル認証を設定できるようになりました。ローカル認証は、現在MXシリーズルーターの加入者管理とサービスでサポートされているすべての加入者タイプをサポートします。ローカルの認証と許可は、以下の場合に有効です。

  • 外部認証および認証サーバーを使用しない場合。

  • RADIUS認証に失敗した場合に、ローカル認証と認証でバックアップ方法を提供する場合。

  • JunosE ソフトウェアを実行する E シリーズ ルーターから Junos OS を実行する MX シリーズ ルーターにネットワークを移行する場合。

オプションを password アクセスプロファイルの方法として authentication-order 設定することで、加入者のローカル認証と許可を有効にします。次に、ローカルで認証したい各加入者のパスワードを設定します。アクセスプロファイルに関連付けられた加入者がログインすると、ログインユーザー名が設定されたユーザー名と比較されます。それが一致する場合、ログインパスワードは設定されたパスワードと比較されます。ローカル認証エラーは、認定資格の不一致に起因します。つまり、加入者のユーザー名またはパスワードが一致しません。

ローカル認証は、次のいずれかの形式で行うことができます。

  • ユーザーパスワード認証—設定されたパスワードは、加入者のログインパスワードの検証に使用されます。

  • チャレンジハンドシェイク認証(CHAP)—設定されたパスワードは、加入者のチャレンジパスワードとチャレンジレスポンス認証情報を確認するためのチャレンジシークレットとして機能します。

また、認証が成功した場合に、アドレスプール、論理システム、ルーティングインスタンスなどの複数の属性を、加入者に対してローカルに承認するように設定することもできます。ローカル認証用にアドレスまたはアドレスプールを設定しない場合、アドレスの割り当ては、ネットワークの一致またはルーティングインスタンスに割り当てられた最初のアドレスプールに基づきます。

メモ:

ローカル認証および許可は、シャーシ全体で最大 100 人の加入者をサポートします。加入者が構成されていないアクセス プロファイル authentication-order password で構成されている場合、ローカル認証は発生しませんが、これらの加入者は、ローカル認証のシステム制限 100 加入者に対してカウントされます。

ローカル認証と許可を設定するには::

  1. ローカル認証を有効にします。

    ローカル認証のみを使用する場合は、唯一の認証方法としてを設定passwordします。ローカル認証で、メソッドがタイムアウトした場合にRADIUS認証をバックアップする場合は、最初の方法として、password2つ目の方法として次のように設定radiusする必要があります。

    最初の方法として設定 password した場合、認証は常に受け入れまたは拒否されます。いずれの場合も、2 つ目の方法が試されることはありません。

  2. 加入者のローカルパスワードを設定します。
  3. (オプション)加入者のIPv4アドレスを設定します。
  4. (オプション)アドレスプールを設定して、加入者にIPv4アドレスを割り当てます。
  5. (オプション)アドレスプールを設定して、ルーターアドバタイズメントIPv6プレフィックスまたはDHCPv6 IA_NA/128アドレスを加入者に割り当てます。
  6. (オプション)委任された IPv6 プレフィックスをローカルに割り当てるためのアドレス プールを設定します。
  7. (オプション)論理システムを設定し、必要に応じて加入者に割り当てられたルーティング インスタンスを設定します。
  8. (オプション)加入者のルーティング インスタンスを設定します。

以下 show のコマンドを使用して、ローカル認証に関する情報を表示できます。

  • show network-access aaa statistics authentication detail—ローカル認証の失敗統計を表示します。

  • show network-access requests statistics—受信したリクエストや成功/失敗応答の数など、ローカル認証とローカル再認証の統計情報の両方を表示します。

  • show network-access aaa statistics re-authentication—再認証統計を表示しますが、ローカル認証とRADIUSの両方から集約されます。

リリース履歴テーブル
リリース
説明
18.2R1
Junos OS リリース 18.2R1 以降、加入者向けにローカル認証と制限付きローカル認証を設定できるようになりました。