RADIUS over TLS(RADSEC)
802.1X または MAC RADIUS 認証を使用するには、接続する RADIUS サーバーごとにスイッチ上の接続を指定する必要があります。RADIUS over TLSは、トランスポートセキュアレイヤー(TLS)プロトコルを使用して、RADIUSリクエストのセキュアな通信を提供するように設計されています。RADIUS over TLS(RADSECとも呼ばれる)は、TLSで接続されたリモートRADIUSサーバーに通常のRADIUSトラフィックをリダイレクトします。RADSecを使用すると、RADIUS認証、許可、アカウンティングデータを信頼できないネットワークに安全に渡すことができます。
RADSEC は、TLS を TCP(伝送制御プロトコル)と組み合わせて使用します。このトランスポートプロファイルは、RADIUS送信に最初に使用されたユーザーデータグラムプロトコル(UDP)よりも強力なセキュリティを提供します。RADIUS over UDP は、MD5 アルゴリズムを使用して共有秘密パスワードを暗号化します。これは攻撃に対して脆弱です。RADSECは、暗号化されたTLSトンネル上でRADIUSパケットペイロードを交換することで、MD5への攻撃のリスクを軽減します。
TCPプロトコルの制限により、RADSECは255件以下のRADIUSメッセージを機内に送信することはできません。
RADSEC の宛先を設定する
RADSEC サーバーは、RADSEC の宛先オブジェクトで表されます。RADSEC を設定するには、RADSEC サーバーを宛先として定義し、RADIUS トラフィックを宛先に誘導する必要があります。
階層レベルの ステートメントを使用して、RADSEC サーバーを radsec [edit access]宛先として定義します。RADSEC の宛先は、一意の数値 ID によって識別されます。同じ RADSEC サーバーを指す異なるパラメータを使用して、複数の RADSEC の宛先を設定できます。
標準の RADIUS サーバーから RADSEC サーバーにトラフィックをリダイレクトするには、RADIUS サーバーを RADSEC の宛先に関連付けます。例えば、RADIUS サーバー 10.1.1.1 は RADSEC 宛先 10に関連付けられています。
access {
radius-server 10.1.1.1 {
secret zzz;
radsec-destination 10;
}
}
また、RADIUS サーバーをアクセス プロファイル内の RADSEC 宛先に関連付けることもできます。たとえば、プロファイルacc_profile内の RADIUS サーバー10.2.2.2は RADSEC の宛先10に関連付けられています。
access {
profile acc_profile {
secret zzz;
radsec-destination 10;
}
}
複数の RADIUS サーバーを同じ RADSEC 宛先にリダイレクトできます。
RADSECを設定するには:
TLS接続パラメーターの設定
TLS接続は、RADIUSメッセージの交換に暗号化、認証、データ整合性を提供します。TLSは、RADSECクライアントとサーバー間のデータ送信を保護するために、証明書とプライベートパブリックキー交換ペアに依存しています。RADSEC の宛先では、Junos PKI インフラストラクチャから動的に取得されるローカル証明書が使用されます。
RADSECを有効にするには、ローカル証明書の名前を指定する必要があります。ローカル証明書および認証局(CA)の設定については、 デジタル証明書の設定を参照してください。
例:シンプルなRADSEC構成
次の例は、1 台の RADIUS サーバーと 1 台の RADSEC 宛先を持つ簡単な RADSEC 構成です。RADIUS トラフィックは、RADIUS サーバー 1 0.1.1.1 から RADSEC 宛先 10 にリダイレクトされます。
access {
radius-server 10.1.1.1 {
secret zzz;
radsec-destination 10;
}
radsec {
destination 10 {
address 10.10.1.1;
max-tx-buffers 1000;
id-reuse-timeout 30;
port 1777;
source-address 10.1.1.2;
tls-certificate my_cert;
tls-min-version { v1.1 | v1.2 };
tls-peer-name x0.radsec.com
tls-timeout 10;
}
}
}
証明書の監視
ローカル証明書取得の状態と統計に関する情報を表示するには、次の手順にしたがっています。show network-access radsec local-certificate.
RADSEC の宛先の監視
RADSEC の宛先の統計情報を表示するには、以下の手順にしたがっています。show network-access radsec statistics.
RADSEC の宛先の状態を表示するには、以下の手順にしたがっています。show network-access radsec state.