Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

RADIUS 認証

Junos OS Evolved は、ネットワークデバイス上のユーザーを一元的に認証するためのRADIUSをサポートしています。デバイス上で RADIUS 認証を使用するには、ネットワーク管理者が、ネットワーク上の 1 台以上の RADIUS サーバーの情報を構成する必要があります。また、デバイス上でRADIUSアカウンティングを構成して、LANにログインまたはログアウトするユーザーの統計データを収集して、RADIUSアカウンティングサーバーにデータを送信することもできます。

RADIUS サーバー認証を構成する

RADIUS 認証は、ネットワーク デバイスへのアクセスを試みるユーザーを認証する方法です。以下のセクションでは、RADIUS を使用する理由とその構成方法について説明します。

RADIUS を使用する理由

ネットワーク管理者は、RADIUS や TACACS+ など、ネットワーク デバイス上のユーザーの一元的認証に異なるプロトコルを使用できます。RADIUS はマルチベンダー IETF 標準であり、TACACS+ や他の独自システムよりもその機能が広く受け入れられているため、当社は RADIUS を推奨しています。また、当社はセキュリティ強化のためにワンタイムパスワード システムの利用を推奨していますが、これらのシステムのベンダーすべてが RADIUS をサポートしています。

相互運用性とパフォーマンスが優先事項である場合は、RADIUS を使用してください。

  • 相互運用性 - RADIUS は TACACS+ よりも高い相互運用性を備えていますが、これは主に TACACS+ が独自仕様であるためです。TACACS+ はより多くのプロトコルをサポートしていますが、RADIUS は普遍的にサポートされています。

  • パフォーマンス - RADIUS は、ルーターやスイッチの負荷を大幅に軽減します。このため、ネットワーク エンジニアは一般的に TACACS+ よりも RADIUS を好みます。

RADIUSサーバーの詳細を設定する

デバイスで RADIUS 認証を使用するには、各 RADIUS サーバーの [edit system] 階層レベルに 1 つの radius-server ステートメントを記述し、ネットワーク上の 1 つ以上の RADIUS サーバーの情報を構成します。デバイスは、構成された順番で RADIUS サーバーに対してクエリーを実行します。プライマリサーバー(最初に設定されたサーバー)が利用できない場合、デバイスは応答を受け取るまでリスト内の各サーバーへのコンタクトを試みます。

ネットワーク デバイスにより、RADIUS 認証されたユーザーをローカルで定義されたユーザー アカウントまたはユーザー テンプレート アカウントにマッピングでき、これにより認証が決定されます。デフォルトでは、次の場合、 Junos OS Evolved はRADIUS 認証されたユーザーをユーザー テンプレート アカウント remote割り当てます(構成されている場合)。

  • 認証されたユーザーの場合、ローカルデバイスにユーザーアカウントは設定されていません。

  • RADIUS サーバーは、ローカル ユーザー テンプレートにユーザーを割り当てません。また、サーバーが割り当てるテンプレートは、ローカル デバイスでは構成されません。

RADIUS サーバーは、認証済みユーザーを別のユーザー テンプレートに割り当てて、そのユーザーに異なる管理権限を付与できます。ユーザーはCLIに同じログイン名を持つことになりますが、割り当てられたテンプレートからログインクラス、アクセス権限、有効なユーザーIDを継承します。RADIUS 認証されたユーザーがローカルで定義されたユーザー アカウントまたはユーザー テンプレートにマッピングされておらず、 remote テンプレートが設定されていない場合、認証は失敗します。

手記:

remoteユーザー名はJunos OS Evolvedの特別なケースで、常に小文字でなければなりません。これは、リモートサーバーによって認証されていますが、デバイスにローカルで設定されたユーザーアカウントを持っていないユーザーのテンプレートとして機能します。Junos OS Evolvedは、ローカルで定義されたアカウントがない認証済みユーザーに、remoteテンプレートの権限を適用します。remoteテンプレートにマッピングされたすべてのユーザーは、同じログインクラスにいます。

リモート認証は複数のデバイスで構成するため、通常は構成グループ内部で構成します。ここで示す手順は、 global という設定グループにあります。設定グループを使用するのはオプションです。

RADIUS サーバーによる認証を構成するには:

  1. RADIUS 認証サーバーの IPv4 アドレスまたは IPv6 アドレスを構成します。

    例えば:

  2. (オプション)RADIUS サーバーに送信されたリクエストのパケット送信元アドレスを構成します。

    例えば:

    送信元アドレスは、ルーターインターフェイスまたはスイッチインターフェイスの1つに設定された有効なIPv4アドレスまたはIPv6アドレスです。ネットワークデバイスにRADIUSサーバーに到達できる複数のインターフェイスがある場合、デバイスがRADIUSサーバーとのすべての通信に使用できるIPアドレスを割り当てます。これを行うと、ローカルで生成されるIPパケットの送信元アドレスとして固定アドレスが設定されます。

  3. ネットワーク デバイスが RADIUS サーバーとの認証に使用する共有シークレット パスワードを構成します。

    設定したパスワードは、RADIUSサーバーに設定されているパスワードと一致する必要があります。パスワードにスペースが含まれている場合は、引用符で囲んでください。デバイスは、パスワードを暗号化された値として、設定データベースに保存します。

    例えば:

  4. (オプション)デフォルトと異なる場合、RADIUS サーバーにコンタクトを試みるポートを指定します。

    既定のポートは 1812 です (RFC 2865 で指定)。

    例えば:

    手記:

    また、 accounting-port ステートメントを構成して、アカウンティング パケットをどの RADIUS サーバー ポートに送信するかを指定できます。デフォルトは1813です(RFC 2866の指定どおり)。
  5. (オプション) デバイスが RADIUS サーバーへのコンタクトを試みる回数と、サーバーから応答を受信するまでの待ち時間を設定します。

    デフォルトでは、デバイスはサーバーへのコンタクトを 3 回試み、3 秒間待ちます。 retry 値は 1 〜 100 回、 timeout の値は 1 〜 1000 秒の範囲で設定できます。

    例えば、RADIUS サーバーに 2 回コンタクトし、応答を 10 秒間待つ場合:

  6. 認証順序を指定し、 radius オプションを含めます。

    以下の例では、ユーザーがログインを試みると、 Junos OS Evolved はまずRADIUSサーバーに認証のクエリーを実行します。それが失敗すると、 TACACS+ サーバーへのクエリーを実行します。それが失敗すると、ローカルで設定されたユーザーアカウントで認証を試みます。

  7. ローカルで定義されたユーザー アカウントを持たない、RADIUS 認証されたユーザーにログイン クラスを割り当てます。

    RADIUS サーバーがユーザーを認証するため、ローカル認証パスワードが構成されない場合を除き、ローカル ユーザー アカウントと同じ方法でユーザー テンプレート アカウントを構成します。

    • すべての RADIUS 認証済みユーザーに同じ権限を使用するには、 remote ユーザー テンプレートを構成します。

      例えば:

    • 別の RADIUS 認証済みユーザーに異なるログイン クラスを使用するには、別の権限を付与します。

      1. Junos OS Evolved構成で複数のユーザーテンプレートを作成します。例えば:

      2. 認証済みのユーザーを適切なユーザー テンプレートにマッピングするように、RADIUS サーバーを構成します。

        Juniper-Local-User-Name ジュニパー VSA (ベンダー固有属性) (ベンダー 2636、タイプ 1、文字列) を、デバイスに構成されているユーザー テンプレートの名前(前の例では RO, OP, または SU)に設定します。RADIUS サーバーは、この属性を RADIUS Access-Accept メッセージに含めます。デバイスがローカル ユーザー アカウントまたはユーザー テンプレートにユーザーを割り当てることができず、 remote ユーザー テンプレートが設定されていない場合、認証は失敗します。

管理インスタンスを使用するために RADIUS を構成する

デフォルトでは、 Junos OS Evolved は、デフォルトのルーティングインスタンスを介して、RADIUSの認証、許可、アカウンティングパケットをルーティングします。また、デフォルト以外の VRF インスタンスの管理インターフェイス経由で RADIUS パケットをルーティングすることもできます。

mgmt_junos管理インスタンスを介してRADIUSパケットをルーティングするには:

  1. mgmt_junos管理インスタンスを有効にします。

  2. RADIUS 認証サーバーと RADIUS アカウンティング サーバーが構成されている場合は、その routing-instance mgmt_junos ステートメントを構成します。

例:システム認証用の RADIUS サーバーの設定

この例では、RADIUS サーバーを介したシステム認証を設定します。

必要条件

始める前に:

  • デバイスの初期設定を行います。お使いのデバイスの『スタートアップガイド』をご覧ください。

  • ネットワーク上に少なくとも 1 つの RADIUS サーバーを設定します。

概要

この例では、IP アドレスが 172.16.98.1 である新しい RADIUS サーバーを追加しています。RADIUS サーバーの共有秘密パスワードを Radiussecret1 として指定します。デバイスはこの秘密を暗号化した値にして設定データベースに保存します。最後に、デバイスが RADIUS サーバーの要求で使用する送信元アドレスを指定します。ほとんどの場合、デバイスのループバックアドレス(この例では10.0.0.1)を使用することができます。

ネットワークデバイスでは、ローカルパスワード認証、RADIUS、TACACS+ など、複数のユーザー認証方法のサポートを設定できます。複数の認証方法を設定する場合、デバイスが異なる方法を試す順序に優先順位を付けることができます。この例では、まず RADIUS 認証サービスを使用し、それが失敗した場合はローカルパスワード認証を試みるようにデバイスを設定します。

RADIUS で認証されたユーザーは、ネットワークデバイス上のローカルユーザーアカウントまたはローカルユーザーテンプレートアカウントにマッピングする必要があり、これにより認可が決定されます。デフォルトでは、RADIUS 認証されたユーザーがローカルユーザーアカウントまたは特定のユーザーテンプレートにマッピングされない場合、設定されていれば、ユーザーは remote ユーザーテンプレートに割り当てられます。この例では、 remote ユーザー テンプレートを設定します。

構成

プロシージャ

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。

手順

システム認証用に RADIUS サーバーを設定するには:

  1. RADIUS サーバーを新規に追加し、その IP アドレスを設定します。

  2. RADIUS サーバーの共有シークレット(パスワード)を指定します。

  3. 送信元アドレスとして、デバイスのループバックアドレスを指定します。

  4. デバイスの認証順序を指定し、 radius オプションを含めます。

  5. remoteユーザーテンプレートとそのログインクラスを設定します。
業績

設定モードで、 show system コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

以下の出力には、この例に関連する設定階層の部分のみが含まれています。

デバイスの設定後、コンフィギュレーションモードで commit を入力します。

検証

設定が正常に機能していることを確認します。

RADIUS サーバーの設定を確認する

目的

RADIUS サーバーがユーザーを認証していることを確認します。

アクション

ネットワーク デバイスにログインし、ログインに成功したことを確認します。デバイスが認証に RADIUS サーバーを使用していることを確認するために、構成でローカル認証パスワードを定義していないアカウントでログインを試みることができます。

ジュニパーネットワークスのベンダー固有RADIUS 属性

Junos OS Evolvedは、RADIUSサーバー上のジュニパーネットワークスのVSA(RADIUSベンダー固有属性)の設定に対応します。このVSAは、RADIUSベンダー固有属性にカプセル化されており、ベンダーIDがジュニパーネットワークスのID番号2636に設定されています。

表1 は、設定可能なジュニパーネットワークスVSAの一覧です。

一部の属性では、POSIX 1003.2 で定義された拡張正規表現を利用できます。正規表現にスペース、オペレーターまたはワイルドカード文字が含まれる場合は引用符で囲みます。詳細については、次を参照してください。

表1:ジュニパーネットワークスのベンダー固有RADIUS属性

名前

形容

種類

長さ

Juniper-Local-User-Name

デバイスにユーザーがログインする際にこのユーザーに割り当てられるユーザーテンプレート名を示します。この属性は、Access-Acceptパケットのみで使用されます。

1

≥3

印刷可能なASCII文字を含む、1つまたは複数のオクテット。

ジュニパーの許可コマンド

ユーザーのログインクラスのパーミッションビットで承認されたコマンドに加え、ユーザーがコマンドを実行できるようにする拡張正規表現を含みます。この属性は、Access-Acceptパケットのみで使用されます。

2

≥3

拡張正規表現の形式で印刷可能なASCII文字を含む、1つまたは複数のオクテット。

Juniper-Deny-Tコマンド

ユーザーのログインクラスのパーミッションビットで承認されたコマンドを実行するユーザーパーミッションを拒否する拡張正規表現を含みます。この属性は、Access-Acceptパケットのみで使用されます。

3

≥3

拡張正規表現の形式で印刷可能なASCII文字を含む、1つまたは複数のオクテット。

Juniper-Allow-Configuration

ユーザーのログインクラスのパーミッションビットで承認されたステートメントに加えて、ユーザーによる設定ステートメントの表示および変更を可能にする拡張正規表現を含みます。この属性は、Access-Acceptパケットのみで使用されます。

4

≥3

拡張正規表現の形式で印刷可能なASCII文字を含む、1つまたは複数のオクテット。

Juniper-Deny-configuration

ユーザーのログインクラスのパーミッションビットで承認された設定ステートメントを表示または変更するユーザーパーミッションを拒否する拡張正規表現を含みます。この属性は、Access-Acceptパケットのみで使用されます。

5

≥3

拡張正規表現の形式で印刷可能なASCII文字を含む、1つまたは複数のオクテット。

Juniper-Interactive-Command

ユーザーが入力した対話型コマンドを示します。この属性は、Accounting-Requestパケットのみで使用されます。

8

≥3

印刷可能なASCII文字を含む、1つまたは複数のオクテット。

ジュニパーの構成変更

設定(データベース)の変更につながる対話型コマンドを示しています。この属性は、Accounting-Requestパケットのみで使用されます。

9

≥3

印刷可能なASCII文字を含む、1つまたは複数のオクテット。

ジュニパーのユーザー権限

ユーザーパーミッションを指定するのにサーバーが使用する情報を含みます。この属性は、Access-Acceptパケットのみで使用されます。

手記:

RADIUSサーバーが Juniper-User-Permissions 属性を定義して、ユーザーに maintenance パーミッションまたは all パーミッションを付与する場合、ユーザーのグループメンバーシップのリストはUnixホイールグループに自動的には含まれません。ローカルシェルからの su root コマンドの実行など、一部の操作にはホイールグループメンバーシップのパーミッションが必要です。ただし、ネットワークデバイスが maintenance または all のパーミッションでローカルユーザーアカウントを定義すると、UNIXホイールグループへのメンバーシップが自動的にユーザーに付与されます。このため、必要なパーミッションを持つユーザーテンプレートアカウントを作成し、このユーザーテンプレートアカウントを各ユーザーアカウントに関連付けることをお勧めします。

10

≥3

印刷可能なASCII文字を含む、1つまたは複数のオクテット。

文字列は、スペースで区切られたパーミッションフラグのリストです。全体で、各フラグの名前を正確に指定する必要があります。

「アクセス権限レベルの概要」を参照してください。

ジュニパー認証タイプ

ユーザーの認証に使用される認証方法(ローカルデータベースまたはRADIUSサーバー)を示します。ローカルデータベースを使用してユーザーが認証される場合、属性の値には「local」が表示されます。RADIUSまたはLDAPサーバーを使用してユーザーを認証する場合、属性の値には「remote」が表示されます。

11

≥5

印刷可能なASCII文字を含む、1つまたは複数のオクテット。

ジュニパーセッションポート

確立されたセッションの送信元ポート番号を示します。

12

整数のサイズ

整数

Juniper-Allow-Configuration-Regexps
(RADIUSのみ)

ユーザーのログインクラスのパーミッションビットで承認されたステートメントに加えて、ユーザーによる設定ステートメントの表示および変更を可能にする拡張正規表現を含みます。この属性は、Access-Acceptパケットのみで使用されます。

13

≥3

拡張正規表現の形式で印刷可能なASCII文字を含む、1つまたは複数のオクテット。

Juniper-Deny-Configuration-Regexps
(RADIUSのみ)

ユーザーのログインクラスのパーミッションビットで承認された設定ステートメントを表示または変更するユーザーパーミッションを拒否する拡張正規表現を含みます。この属性は、Access-Acceptパケットのみで使用されます。

14

≥3

拡張正規表現の形式で印刷可能なASCII文字を含む、1つまたは複数のオクテット。

VSAの詳細については、RFC 2138、 RADIUS(リモート認証ダイヤルインユーザーサービス)をご覧ください。

RADIUSまたはTACACS+サーバーで正規表現を使用して、コマンドを許可または拒否する

Junos OS Evolved では、RADIUS-およびTACACS+認証ユーザーを、ローカルで定義したユーザーアカウントまたはユーザーテンプレートアカウントにマッピングできます。これは、ユーザーのアクセス権限を定義します。また、ジュニパーネットワークスのRADIUSおよびTACACS+ベンダー固有属性(VSA)をそれぞれの認証サーバーで定義することで、ユーザーのアクセス権限を構成することもできます。

ユーザーのログインクラスは、ユーザーが許可されている操作モードおよび構成モードコマンドと、ユーザーが構成のどのエリアを表示および変更できるかを決定するパーミッションのセットを定義します。また、ログインクラスは、パーミッションフラグの許可に加えて、ユーザー特定のコマンドを実行したり、構成の特定エリアを表示および変更する機能をユーザーに許可または拒否する正規表現を定義することもできます。ログインクラスは、以下のステートメントを含めることで、ユーザー許可を定義します。

  • permissions

  • allow-commands

  • allow-commands-regexps

  • allow-configuration

  • allow-configuration-regexps

  • deny-commands

  • deny-commands-regexps

  • deny-configuration

  • deny-configuration-regexps

同様に、RADIUSまたはTACACS+サーバー構成では、 ジュニパーネットワークスVSAを使用して、ユーザーのアクセス権限を決定する特定のパーミッションまたは正規表現を定義します。対応しているRADIUSおよびTACACS+ VSAのリストについては、以下を参照してください。

RADIUSまたはTACACS+サーバーでユーザーパーミッションを、スペース区切りの値のリストとして定義できます。

  • RADIUSサーバーは、以下の属性と構文を使用します。

    例えば:

  • TACACS+サーバーは、以下の属性と構文を使用します。

    例えば:

RADIUSまたはTACACS+サーバーはまた、単一の拡張正規表現(POSIX 1003.2で定義)を使用するジュニパーネットワークスVSAを定義して、ユーザーに特定のコマンドを実行したり、設定エリアを表示・変更する機能を許可または拒否することもできます。複数のコマンドまたは構成階層を括弧で囲み、パイプ記号を使用して区切ります。正規表現にスペース、オペレーターまたはワイルドカード文字が含まれる場合は引用符で囲みます。ローカルとリモートの両方で認証パラメータを設定する場合、デバイスは、TACACS+RADIUS認証時に受け取った正規表現と、ローカルデバイスで定義された正規表現をマージします。

  • RADIUSサーバーは、以下の属性と構文を使用します。

    例えば:

  • TACACS+ サーバーは、以下の属性と構文を使用します。

    例えば:

RADIUSおよびTACACS+サーバーは、ローカルデバイスで構成できる同じ *-regexps ステートメントに対応する属性の設定もサポートしています。 *-regexps TACACS+属性と *-Regexps RADIUS属性は、以前の属性と同じ正規表現構文を使用しますが、変数で正規表現を構成することができます。

  • RADIUSサーバーは、以下の属性と構文を使用します。

  • TACACS+ サーバーは、以下の属性と構文を使用します。

    例えば、TACACS+サーバー構成は、以下の属性を定義する場合があります。

RADIUSまたはTACACS+サーバーでは、個々の表現を別の行で指定する簡略化された構文で属性を定義できます。

RADIUSサーバーでは、以下の構文を使用して個別の正規表現を指定します。

TACACS+ サーバーでは、以下の構文を使用して個別の正規表現を指定します。

手記:

  • TACACS+ サーバー構文では、数値 1 から n は一意である必要がありますが、連続している必要はありません。例えば、以下の構文が有効です。

  • RADIUSまたはTACACS+サーバーは、個別の正規表現ラインの数に制限を付けます。

  • show cli authorization コマンドを発行すると、コマンドの出力では、個別の行で個別表現を指定した場合でも、正規表現が 1 行で表示されます。

ユーザーは、 show cli authorization operational mode コマンドを発行することで、クラス、パーミッション、コマンドおよび構成認証を確認できます。

手記:

認証パラメーターをネットワークデバイス上でローカルに設定し、RADIUSまたはTACACS+サーバー上でもリモートで設定すると、デバイスは、TACACS+RADIUS認証時に受け取った正規表現とローカルで構成された正規表現をマージします。最終表現に構文エラーが含まれる場合、全体的な結果は無効な正規表現となります。

RADIUSアカウンティングについて

ネットワークデバイスは、IETF RFC2866 、 RADIUSアカウンティングをサポートします。デバイスにRADIUSアカウンティングを設定し、LANにログインまたはログアウトするユーザーの統計データを収集して、RADIUSアカウンティングサーバーにデータを送信することができます。統計データは、一般的なネットワーク監視、使用パターンの分析および追跡、またはセッションの期間やアクセスしたサービスの種類に基づくユーザーへの課金に使用することができます。

RADIUSアカウンティングを設定するには、以下を指定します。

  • デバイスから統計データを受信するための1つ以上のRADIUSアカウンティングサーバー

  • 収集するアカウンティング・データのタイプ

RADIUSアカウンティングと認証の両方に同じサーバーを使用することも、別なサーバーを使用することも可能です。RADIUSアカウンティングサーバーのリストを指定できます。デバイスは、設定された順序でサーバーにを検索をします。プライマリサーバー(最初に設定されたサーバー)が利用できない場合、デバイスは応答を受け取るまでリスト内の各サーバーへのコンタクトを試みます。

デバイスとRADIUSサーバー間のRADIUSアカウンティングのプロセスは、次のように機能します。

  1. RADIUSアカウンティングサーバーは、特定のポートでユーザーデータグラムプロトコル(UDP)パケットをリッスンします。RADIUSアカウンティングのデフォルトポート番号は1813です。

  2. デバイスは、イベントレコードを含む Accounting-Request パケットをアカウンティングサーバーに転送します。このサプリカントに関連するイベントレコードは、その値がこのサプリカントのユーザーサービスの開始を示す Acct-Status-Type 属性を含みます。サプリカントのセッションが終了すると、アカウンティング要求は、ユーザーサービスの終了を示す Acct-Status-Type 属性値を含みます。RADIUSアカウンティングサーバーは、セッション情報とセッションの長さを含むstop-accountingレコードとしてこれを記録します。

  3. RADIUSアカウンティングサーバーは、これらのイベントをstart-accountingまたはstop-accountingレコードとしてファイルに記録します。FreeRADIUSでは、ファイル名は192.0.2.0のようなサーバーのアドレスです。

  4. アカウンティングサーバーは、アカウンティング要求を受信したことを確認する Accounting-Response パケットをデバイスに送信します。

  5. デバイスがサーバーからのAccounting-Responseパケットを受信できない場合、デバイスはサーバーが応答を返すまでアカウンティング要求を送信し続けます。

このプロセスで収集された統計情報は、RADIUSサーバーで確認できます。統計データを確認するには、それらを受信するように設定されたログファイルにアクセスします。

RADIUSシステムアカウンティングの設定

RADIUSアカウンティングを有効にすると、RADIUSクライアントとして動作するJuniper Networksデバイスは、ソフトウェアログイン、設定変更、対話型コマンドなどのユーザーアクティビティについてRADIUSサーバーに通知することができます。RADIUSアカウンティングの枠組みは、RFC2866、 RADIUS アカウンティング」 に記載されています。

RADIUSサーバー上のユーザーイベントの監査を設定する

RADIUSアカウンティングを設定するには:

  1. を監査するイベントを設定します。

    例えば:

    events は一つ以上に以下のものを含むことができます:

    • login- 監査ログイン

    • change-log- 構成の変更を監査します

    • interactive-commands- インタラクティブコマンド(任意のコマンドライン入力)を監査します。

  2. RADIUSアカウンティングを有効にします。
  3. 1つまたは複数のRADIUSアカウンティングサーバーのアドレスを設定します。

    例えば:

    手記:

    [edit system accounting destination radius]階層レベルでRADIUSサーバーを設定していない場合、デバイスは[edit system radius-server]階層レベルで設定されたRADIUSサーバーを使用します。
  4. (オプション)RADIUSアカウンティング要求の送信元アドレスを設定します。

    例えば:

    送信元アドレスは、ルーターインターフェイスまたはスイッチインターフェイスの1つに設定された有効なIPv4アドレスまたはIPv6アドレスです。ネットワークデバイスにRADIUSサーバーに到達できる複数のインターフェイスがある場合、デバイスがRADIUSサーバーとのすべての通信に使用できるIPアドレスを割り当てます。これを行うと、ローカルで生成されるIPパケットの送信元アドレスとして固定アドレスが設定されます。

  5. ネットワークデバイスがRADIUSアカウンティングサーバーとの認証に使用する共有シークレットパスワードを設定します。

    設定したパスワードは、RADIUSサーバーに設定されているパスワードと一致する必要があります。パスワードにスペースが含まれている場合は、引用符で囲んでください。デバイスは、パスワードを暗号化された値として、設定データベースに保存します。

    例えば:

  6. (オプション)必要に応じて、アカウンティングパケットを送信するRADIUSアカウンティングサーバーポートを、デフォルト(1813)と異なる場合に指定します。
    手記:

    [edit access profile profile-name accounting-order]階層レベルでRADIUSアカウンティングを有効にすると、accounting-portステートメントに値を指定しなくても、デフォルトのポート1813でアカウンティングがトリガーされます。
  7. (オプション)デバイスがRADIUSアカウンティングサーバーへのコンタクトを試みる回数と、サーバーから応答を受信するまでの待ち時間を設定します。

    デフォルトでは、デバイスはサーバーへのコンタクトを 3 回試み、3 秒間待ちます。 retry 値は 1 〜 100 回、 timeout の値は 1 〜 1000 秒の範囲で設定できます。

    例えば、サーバーに2回問い合わせ、10秒待って応答する場合。

  8. (オプション)RADIUSアカウンティングパケットをデフォルトのルーティングインスタンスではなく、デフォルト以外の管理インスタンスでルーティングするには、 routing-instance mgmt_junos ステートメントを設定します。
  9. (オプション)[edit system radius-options]階層レベルで enhanced-accounting ステートメントを設定して、ユーザーログインイベントにアクセスする方法、リモートポート、アクセス権限などの追加のアカウンティング属性を含めることができます。
    手記:

    監査する属性値の数を制限するには、[edit system accounting]階層レベルで enhanced-avs-max <number> ステートメントを構成します。

次の例では、RADIUSアカウンティング用に3つのサーバー(10.5.5.5、10.6.6.6、10.7.7.7)を構成しています。