Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

authentication-order (Authenticator)

Syntax

Hierarchy Level

Description

クライアントの認証を試みる際にデバイスが使用する認証方法の順序を設定します。1 つのインターフェイスで複数の認証方法が設定されている場合、1 つの認証方法に失敗すると、デバイスは別の方法に戻ります。ステートメントを authentication-order 設定して、802.1X 認証または MAC RADIUS 認証を最初に試した認証方法にする必要があるかどうかを指定できます。

デフォルトでは、デバイスは最初に 802.1X 認証を使用してクライアントの認証を試みます。クライアントからの応答がないために 802.1X 認証に失敗し、MAC RADIUS 認証がインターフェイスで設定されている場合、デバイスは MAC RADIUS 認証に戻ります。MAC RADIUS に障害が発生し、キャプティブ ポータルがデバイスで設定されている場合、デバイスはキャプティブ ポータルにフォールバックします。

最初の方法として MAC RADIUS 認証を設定すると、802.1X 認証をサポートしていないホストに対して 802.1X 認証を試みた後に発生するフォールバック タイムアウト期間を回避できます。MAC RADIUS 認証がインターフェイスの最初の認証方法として設定されている場合、そのインターフェイス上の任意のクライアントからデータを受信すると、デバイスは MAC RADIUS 認証を使用してクライアントの認証を試みます。MAC RADIUS 認証に失敗した場合、デバイスは 802.1X 認証に戻ります。802.1X 認証に失敗し、キャプティブ ポータルがインターフェイス上で設定されている場合、デバイスはキャプティブ ポータルにフォールバックします。

802.1X 認証は、クライアントが別の方法で認証された場合でも、常に最も高い優先度を持ちます。MAC RADIUS 認証を使用して認証されたクライアントからデバイスが EAP パケットを受信した場合、デバイスは EAP パケットを認識し、802.1X 認証認証情報を使用して認証をアップグレードします。同様に、クライアントがキャプティブ ポータルにフォールバックして認証され、デバイスがそのクライアントから EAP パケットを受信した場合、デバイスは 802.1X 認証を使用してクライアントの認証を試みます。

デバイスは、インターフェイス上で設定されている方法のみを使用して認証を試みます。認証方法が認証順序に含まれていて、インターフェイスで設定されていない場合、デバイスはその方法を無視し、有効になっている順序で次の方法を使用して認証を試みます。ただし、インターフェイスでメソッドが有効になっているが、認証順序に含まれていない場合、デバイスはその方法を使用して試行しません。たとえば、インターフェイスに対してキャプティブ ポータルが有効になっているが、認証順序が次のように [mac-radius dot1x]設定されている場合、そのインターフェイスの認証方法はキャプティブ ポータルにフォールバックしません。

このオプションを使用して、すべてのインターフェイスに対して認証順序を interface all 設定できます。認証順序が個々のインターフェイスに対して設定されており、すべてのインターフェイスに対して認証順序も設定されている場合は、個々のインターフェイスの順序に従います。個々のインターフェイスに対して設定された認証順序がなく、すべてのインターフェイスに対して設定された認証順序がある場合、すべてのインターフェイスの設定に従います。

ステートメントを構成する場合は、次のガイドラインに authentication-order 従います。

  • 認証順序には、少なくとも 2 つの認証方法を含める必要があります。

  • 802.1X 認証は、認証順序に含まれる方法のいずれかである必要があります。

  • キャプティブ ポータルが認証順序に含まれている場合、その順序の最後の方法である必要があります。

  • インターフェイス上で設定されている場合 mac-radius-restrict 、認証順序は設定できません。

有効な組み合わせは authentication-order 次のとおりです。

  • [dot1x mac-radius captive-portal]

  • [dot1x captive-portal]

  • [dot1x mac-radius]

  • [mac-radius dot1x captive-portal]

Default

設定されていない場合 authentication-order 、デバイスは最初に 802.1X 認証を使用してクライアントの認証を試み、続いて MAC RADIUS 認証を実行し、次にキャプティブ ポータルを次のように実行します。

  1. 802.1X 認証:インターフェイスで 802.1X が設定されている場合、デバイスは EAPoL 要求をエンド デバイスに送信し、802.1X 認証を介してエンド デバイスの認証を試みます。エンド デバイスが EAP 要求に応答しない場合、デバイスは MAC RADIUS 認証がインターフェイス上で設定されているかどうかをチェックします。

  2. MAC RADIUS 認証:MAC RADIUS 認証がインターフェイスで設定されている場合、デバイスはエンド デバイスの MAC RADIUS アドレスを認証サーバーに送信します。MAC RADIUS 認証が設定されていない場合、デバイスはキャプティブ ポータルがインターフェイス上で設定されているかどうかをチェックします。

  3. キャプティブ ポータル認証:キャプティブ ポータルがインターフェイス上で設定されている場合、デバイスは他の設定された認証方法を試みた後、この方法を使用してエンド デバイスの認証を試みます。

Options

captive-portal—キャプティブ ポータル認証をインターフェイス上の認証方法の順序で設定します。

dot1x—インターフェイス上の認証方法の順序で 802.1X 認証を設定します。

mac-radius—インターフェイスの認証方法の順序で MAC RADIUS 認証を設定します。

Required Privilege Level

routing —このステートメントを設定で表示します。routing-control — このステートメントを設定に追加します。

Release Information

Junos OS リリース 15.1R3 で導入されたステートメント。