Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

authentication-order (Authenticator)

Syntax

Hierarchy Level

Description

デバイスがクライアントの認証を試みる際に使用する認証方法の推奨順序を設定します。1 つのインターフェイスで複数の認証方法が設定されている場合、1 つの認証方法で失敗すると、デバイスは別の方法に戻されます。802.1 X 認証またauthentication-orderは MAC RADIUS 認証を最初に試行する認証方法である必要があるかどうかを指定するステートメントを設定できます。

デフォルトでは、デバイスは802.1X認証を最初に使用してクライアントの認証を試します。クライアントからの応答がないため 802.1X 認証が失敗し、インターフェイス上で MAC RADIUS 認証が設定されている場合、デバイスは MAC 認証にRADIUSされます。MAC 障害RADIUSで、デバイスキャプティブ ポータル設定されている場合、デバイスはデバイスにキャプティブ ポータル。

最初の方法として MAC RADIUS 認証を設定すると、802.1 X 認証をサポートしていないホストで 802.1 X 認証が試行された後に発生するフォールバックタイムアウト時間を回避できます。MAC RADIUS 認証がインターフェイス上の最初の認証方法として設定されている場合、そのインターフェイス上の任意のクライアントからデータを受信すると、デバイスは MAC 認証を使用してクライアントの認証を試RADIUSします。MAC 認証がRADIUS失敗すると、デバイスは 802.1X 認証に戻されます。802.1X 認証が失敗し、インターフェイスキャプティブ ポータルが設定されている場合、デバイスはデバイスにキャプティブ ポータル。

802.1 x 認証は、クライアントが別の方法を使用して認証された場合でも、常に最高の優先度を持ちます。デバイスが MAC RADIUS 認証を使用して認証されたクライアントから EAP パケットを受信すると、デバイスは EAP パケットを受信し、802.1X 認証認証情報を使用して認証をアップグレードします。同様に、キャプティブ ポータル へのフォールバックを通じてクライアントが認証され、デバイスがそのクライアントから EAP パケットを受信した場合、デバイスは 802.1X 認証を使用してクライアントの認証を試します。

デバイスは、インターフェイスで設定されたメソッドのみを使用して認証を試します。認証方法が認証順序で含まれていて、インターフェイス上で設定されていない場合、デバイスはそのような方法を無視して、次の方法を使用して有効な順序で認証を試します。ただし、インターフェイスで有効になっているが認証順序に含まれていない場合、デバイスはそのような方法を試しません。たとえば、インターフェイスに対して専用ポータルが有効になっていて[mac-radius dot1x]も、認証順序が構成されている場合、そのインターフェイスの認証方法は、専用ポータルにはフォールバックされません。

認証順は、 interface allすべてのインターフェイスに対してオプションを使用して設定できます。認証順が個々のインターフェイスに対して設定されていて、すべてのインターフェイスに対して設定された認証順がある場合は、個々のインターフェイスの順序に従っていることになります。個々のインターフェイスに対して設定された認証順が存在せず、すべてのインターフェイスに対して構成されている認証順がある場合は、すべてのインターフェイスの設定が実行されます。

文をauthentication-order設定するには、以下のガイドラインに従います。

  • 認証順序には、少なくとも2つの認証方法が含まれている必要があります。

  • 802.1 x 認証は、認証順に含まれているいずれかの方法である必要があります。

  • 認証順序に、専用ポータルが含まれている場合は、注文の最後の方法である必要があります。

  • インターフェイスmac-radius-restrictに設定されている場合は、認証順序を設定できません。

authentication-order有効な組み合わせは以下のとおりです。

  • [dot1x mac-radius captive-portal]

  • [dot1x captive-portal]

  • [dot1x mac-radius]

  • [mac-radius dot1x captive-portal]

Default

設定されていない場合、デバイスはまず 802.1X 認証を使用してクライアントの認証を試み、続いて MAC RADIUS 認証を、キャプティブ ポータル します authentication-order

  1. 802.1X 認証 — インターフェイスで 802.1X が設定されている場合、デバイスは EAPoL リクエストをエンド デバイスに送信し、802.1X 認証を介してエンド デバイスの認証を試みる。エンド デバイスがEAP要求に応答しない場合、デバイスはMACポートの認証がインターフェイスRADIUSされているかどうかを確認します。

  2. MAC RADIUS認証 —MAC 認証RADIUSインターフェイスで設定されている場合、デバイスはエンド デバイスの MAC アドレス RADIUS を認証サーバーに送信します。MAC認証RADIUSが設定されていない場合、デバイスはインターフェイス上でキャプティブ ポータルを確認します。

  3. キャプティブ ポータル認証 — インターフェイスで キャプティブ ポータル が設定されている場合、他の設定された認証方法を試した後、デバイスは、この方法を使用してエンド デバイスの認証を試みる。

Options

captive-portal—インターフェイスキャプティブ ポータルの認証方法順に認証を設定します。

dot1x—インターフェイス上で、802.1X 認証を認証方法順に設定します。

mac-radius—インターフェイス上RADIUSの認証方法順に MAC RADIUS 認証を設定します。

Required Privilege Level

routing— このステートメントを設定で表示するには。routing-control—このステートメントを設定に追加します。

Release Information

リリース前のリリースでJunos OSされたステートメント15.1R3。