RADIUS認証とアカウンティングの基本設定
加入者アクセスの認証およびアカウンティングパラメーターの設定
アクセスプロファイルを使用して、加入者アクセス管理機能の認証およびアカウンティングサポートを設定します。アクセス プロファイルでは、認証とアカウンティングに使用する方法のタイプを指定できます。また、加入者アクセス管理がアカウンティング統計を収集して使用する方法を設定することもできます。
加入者アクセスの認証とアカウンティングを設定するには:
加入者アクセスの認証およびアカウンティング方法の指定
加入者アクセス管理で使用する認証およびアカウンティング方法を指定できます。
複数の認証方法とアカウンティング方法 authentication-order
を設定できます。および accounting order
ステートメントは、加入者アクセス管理機能が方式を使用する順序を指定します。例えば、 の radius password
認証エントリーは、RADIUS認証が最初に実行されるように指定します。タイムアウトした場合(例えば、RADIUSサーバーが到達できない場合)、ローカル認証(password
)が試されます。ただし、メソッドが認証の試行を拒否した場合、後続の方法は試行されません。最初に試行する方法として設定されている場合 password
、認証は常に受け入れまたは拒否されます。いずれの場合も、他の方法は試行されません。
ステートメントで以下の認証方法を authentication-order
指定できます。
radius
外部 RADIUS サーバーを使用した RADIUS ベースの認証。password
ローカルで設定され、保存されたユーザー名とパスワードを使用したローカル認証。加入者アクセス管理は、Junos OSリリース18.2R1までオプションをサポート
password
していません。Junos OS リリース 18.2R1 以降では、 オプションをpassword
使用して、個々の加入者にローカル認証を提供できます。通常、外部認証および認証サーバーがない場合、または外部認証のバックアップとしてローカル認証を使用する場合です。この場合、実際の加入者パスワードpassword
は、アクセスプロファイルの ステートメントのsubscriber username
オプションで設定します。以前のリリースでは、必ず認証方法を指定するradius
必要があります。
以下の会計方法を指定することができます。
radius
外部 RADIUS サーバーを使用した RADIUS ベースのアカウンティング。
加入者アクセス管理の認証およびアカウンティング方法を設定するには:
加入者アクセス用のRADIUS認証およびアカウンティングサーバーの指定
加入者アクセス管理に使用する 1 つ以上の RADIUS 認証またはアカウンティング サーバーを指定できます。
RADIUS認証とアカウンティングサポートを設定するには:
複数のRADIUS認証またはアカウンティングサーバーを設定するには:
認証またはアカウンティングに使用されるすべての RADIUS サーバーの IP アドレスを指定します。
[edit access profile isp-bos-metro-fiber-basic radius] user@host# set authentication-server 192.168.1.251 192.168.1.252 user@host# set accounting-server 192.168.1.250 192.168.1.251
加入者のローカル認証および許可の設定
Junos OS リリース 18.2R1 以降、加入者向けにローカル認証と制限付きローカル認証を設定できるようになりました。ローカル認証は、現在MXシリーズルーターの加入者管理とサービスでサポートされているすべての加入者タイプをサポートします。ローカルの認証と許可は、以下の場合に有効です。
外部認証および認証サーバーを使用しない場合。
RADIUS認証に失敗した場合に、ローカル認証と認証でバックアップ方法を提供する場合。
JunosE ソフトウェアを実行する E シリーズ ルーターから Junos OS を実行する MX シリーズ ルーターにネットワークを移行する場合。
オプションを password
アクセスプロファイルの方法として authentication-order
設定することで、加入者のローカル認証と許可を有効にします。次に、ローカルで認証したい各加入者のパスワードを設定します。アクセスプロファイルに関連付けられた加入者がログインすると、ログインユーザー名が設定されたユーザー名と比較されます。それが一致する場合、ログインパスワードは設定されたパスワードと比較されます。ローカル認証エラーは、認定資格の不一致に起因します。つまり、加入者のユーザー名またはパスワードが一致しません。
ローカル認証は、次のいずれかの形式で行うことができます。
ユーザーパスワード認証—設定されたパスワードは、加入者のログインパスワードの検証に使用されます。
チャレンジハンドシェイク認証(CHAP)—設定されたパスワードは、加入者のチャレンジパスワードとチャレンジレスポンス認証情報を確認するためのチャレンジシークレットとして機能します。
また、認証が成功した場合に、アドレスプール、論理システム、ルーティングインスタンスなどの複数の属性を、加入者に対してローカルに承認するように設定することもできます。ローカル認証用にアドレスまたはアドレスプールを設定しない場合、アドレスの割り当ては、ネットワークの一致またはルーティングインスタンスに割り当てられた最初のアドレスプールに基づきます。
ローカル認証および許可は、シャーシ全体で最大 100 人の加入者をサポートします。加入者が構成されていないアクセス プロファイル authentication-order password
で構成されている場合、ローカル認証は発生しませんが、これらの加入者は、ローカル認証のシステム制限 100 加入者に対してカウントされます。
ローカル認証と許可を設定するには::
以下 show
のコマンドを使用して、ローカル認証に関する情報を表示できます。
show network-access aaa statistics authentication detail
—ローカル認証の失敗統計を表示します。show network-access requests statistics
—受信したリクエストや成功/失敗応答の数など、ローカル認証とローカル再認証の統計情報の両方を表示します。show network-access aaa statistics re-authentication
—再認証統計を表示しますが、ローカル認証とRADIUSの両方から集約されます。