アクセス制御認証方法
いくつかの異なる認証を使用して、デバイスを介したネットワークへのアクセスを制御できます。Junos OSデバイスは、ネットワークへの接続を必要とするデバイスの認証方法として、802.1X、MAC RADIUS、キャプティブポータルをサポートしています。詳細については、このトピックをお読みください。
認証の概要
802.1X、MAC RADIUS、キャプティブポータルなどの認証方法を使用して、ジュニパーネットワークスのデバイスを介してネットワークへのアクセスを制御できます。認証により、認証されていないデバイスやユーザーがLANにアクセスすることを防ぎます。802.1XおよびMAC RADIUS認証の場合、エンドデバイスは、動的ホスト構成プロトコル(DHCP)サーバーからIPアドレスを受信する前に認証を受ける必要があります。キャプティブポータル認証の場合、デバイスは、エンドデバイスがIPアドレスを取得して、認証用のログインページにリダイレクトすることを許可します。
802.1X 認証
802.1Xは、ポートベースネットワークアクセス制御(PNAC)のIEEE規格です。LANへのアクセスを求めるデバイスに認証メカニズムを提供します。802.1X認証機能は、IEEE 802.1X標準の ポートベースネットワークアクセス制御に基づいています。
エンドデバイスとデバイス間の通信プロトコルは、EAPoL(Extensible Authentication Protocol over LAN)です。EAPoL は、イーサネット ネットワークで動作するように設計された EAP のバージョンです。認証サーバーとデバイス間の通信プロトコルはRADIUSです。
認証プロセス中に、デバイスはエンドデバイスと認証サーバー間で複数のメッセージ交換を完了します。802.1X 認証の処理中は、802.1X トラフィックと制御トラフィックのみがネットワークを通過できます。DHCPトラフィックやHTTPトラフィックなどの他のトラフィックは、データリンク層でブロックされます。
EAPoL リクエスト パケットを再送信する最大回数と、試行のタイムアウト期間の両方を設定できます。詳細については、 802.1Xインターフェイス設定の構成(CLI手順)を参照してください。
LAN の 802.1X 認証構成には、次の 3 つの基本コンポーネントが含まれます。
Supplicant (also called end device) |
サプリカントとは、ネットワークへの参加を要求するエンド デバイスの IEEE 用語です。エンドデバイスは、応答することも、応答しないこともできます。応答性の高いエンド デバイスは 802.1X に対応し、EAP を使用して認証資格情報を提供します。必要な資格情報は、使用されている EAP のバージョン (具体的には、EAP MD5 のユーザー名とパスワード、または拡張認証プロトコル トランスポート層セキュリティ (EAP-TLS)、EAP トンネル トランスポート層セキュリティ (EAP-TTLS)、および保護された EAP (PEAP) のユーザー名とパスワードによって異なります。 サーバー拒否 VLAN を構成して、不正な認証を送信した応答性の高い 802.1X 対応エンド デバイスに LAN アクセスを制限することができます。サーバー拒否 VLAN は、通常はインターネットへの接続のみに対して、これらのデバイスに対する是正接続を提供できます。変更された手順については、「例:詳細については EAP-TTLS認証およびOdysseyアクセスクライアント用のEXシリーズスイッチでのフォールバックオプションの構成を参照してください。 注:
サーバー拒否 VLAN を使用して認証されたエンド デバイスが IP 電話の場合、音声トラフィックはドロップされます。 応答しないエンドデバイスとは、802.1X非対応のエンドデバイスのことです。MAC RADIUS認証で認証できます。 |
Authenticator port access entity |
認証子の IEEE 用語。デバイスは認証側であり、エンドデバイスが認証されるまで、エンドデバイスとの間のすべてのトラフィックをブロックすることでアクセスを制御します。 |
Authentication server |
認証サーバーには、認証の決定を行うバックエンド データベースが含まれています。これには、ネットワークに接続するために認証される各エンド デバイスの認証情報が含まれています。オーセンティケータは、エンドデバイスから提供された認証情報を認証サーバーに転送します。オーセンティケータによって転送された資格情報が認証サーバー データベース内の資格情報と一致する場合、アクセスが許可されます。転送された資格情報が一致しない場合、アクセスは拒否されます。 |
冗長トランク グループ(RTG)に 802.1X 認証を設定することはできません。RTG の詳細については、 冗長トランク リンクについて(レガシー RTG 設定)を参照してください。
MAC RADIUS認証
802.1X 認証方法は、エンド デバイスが 802.1X に対応している場合にのみ機能しますが、プリンターや IP 電話などの多くの単一目的のネットワーク デバイスは 802.1X プロトコルをサポートしていません。802.1Xをサポートしないネットワークデバイスに接続されているインターフェイスで、LANへのアクセスを許可するインターフェイスでMAC RADIUS認証を設定できます。802.1X 非対応のエンド デバイスがインターフェイス上で検知されると、デバイスはデバイスの MAC アドレスを認証サーバーに送信します。次に、サーバーはMACアドレスをデータベース内のMACアドレスのリストと照合しようとします。MACアドレスがリスト内のアドレスと一致する場合、エンドデバイスが認証されます。
インターフェイスには、802.1X と MAC RADIUS の両方の認証方法を設定できます。この場合、デバイスはまず 802.1X を使用してエンド デバイスの認証を試み、その方法が失敗した場合は MAC RADIUS 認証を使用してエンド デバイスの認証を試みます。応答しないサプリカントのみがそのインタフェースに接続することがわかっている場合、 mac-radius restrict
オプションを設定することで、デバイスがエンド デバイスが 802.1X 非対応であると判断するために発生する遅延をなくすことができます。このオプションを設定すると、デバイスは 802.1X 認証によるエンド デバイスの認証を試みず、代わりにエンド デバイスの MAC アドレスの認証を求める要求を直ちに RADIUS サーバーに送信します。そのエンドデバイスのMACアドレスがRADIUSサーバー上で有効なMACアドレスとして設定されている場合、デバイスは接続されているインターフェイスでエンドデバイスへのLANアクセスを開きます。
mac-radius-restrict
オプションは、インターフェイスにゲスト VLAN など、他の 802.1X 認証方法が不要な場合に便利です。インターフェイスに mac-radius-restrict
を設定すると、デバイスはすべての 802.1X パケットをドロップします。
MAC RADIUS認証でサポートされている認証プロトコルは、デフォルトの保護されたEAP(EAP-PEAP)であるEAP-MD5とパスワード認証プロトコル(PAP)です。authentication-protocol
ステートメントを使用して、MAC RADIUS認証に使用する認証プロトコルを指定することができます。
キャプティブポータル認証
キャプティブ ポータル認証(以降、キャプティブ ポータルと呼びます)を使用すると、Web ブラウザーの要求を、ユーザーがネットワークにアクセスする前に有効なユーザー名とパスワードの入力を要求するログイン ページにリダイレクトすることで、ユーザーを認証できます。キャプティブ ポータルは、EAP-MD5 を使用して RADIUS サーバー データベースに対して認証される情報の提供をユーザに要求することで、ネットワーク アクセスを制御します。また、キャプティブ ポータルを使用して、ユーザがネットワークにアクセスする前に、許容される使用ポリシーを表示することもできます。
Junos OS には、キャプティブ ポータルのログイン ページの外観を簡単に設計および変更できるテンプレートが用意されています。キャプティブ ポータルの特定のインターフェイスを有効にします。キャプティブ ポータル インターフェイスに接続されたエンド デバイスが初めて Web ページにアクセスしようとすると、デバイスはキャプティブ ポータル ログイン ページを表示します。デバイスが正常に認証されると、ネットワークへのアクセスが許可され、要求された元のページに進むことができます。
HTTPS が有効になっている場合、HTTP 要求はキャプティブ ポータル認証プロセスの HTTPS 接続にリダイレクトされます。認証後、エンドデバイスはHTTP接続に戻ります。
キャプティブポータルインターフェイスに接続されたHTTP非対応のエンドデバイスがある場合、認証ホワイトリストにMACアドレスを追加することで、キャプティブポータル認証のバイパスを許可できます。
RADIUS サーバーによってユーザーが認証されると、そのユーザーに関連付けられているユーザーごとのポリシー(属性)もデバイスに送信されます。
キャプティブ ポータルには、次の制限があります。
-
-
キャプティブ ポータルは、RADIUS サーバからダウンロードした VLAN の動的割り当てをサポートしていません。
-
ユーザが約 5 分以上アイドル状態にあり、トラフィックが通過しない場合、ユーザはキャプティブ ポータルに再度ログインする必要があります。
-
認証の静的 MAC バイパス
静的MACバイパスリスト(除外リストとも呼ばれる)にMACアドレスを含めることで、エンドデバイスがRADIUSサーバーで認証せずにLANにアクセスできるようにすることができます。
バイパス リストにデバイスを含めると、次のことが可能になります。
-
802.1X 非対応デバイスに LAN へのアクセスを許可します。
-
接続されたデバイスが 802.1X 非対応ホストであるとデバイスが判断するために発生する遅延を排除します。
静的MACを設定すると、エンドデバイスのMACアドレスが最初にローカルデータベース(ユーザが設定したMACアドレスのリスト)でチェックされます。一致が見つかった場合、エンドデバイスは正常に認証され、インターフェイスが開かれます。そのエンド デバイスに対してそれ以上の認証は行われません。一致が見つからず、デバイスで 802.1X 認証が有効になっている場合、デバイスは RADIUS サーバーを介してエンド デバイスの認証を試みます。
MACアドレスごとに、エンドデバイスの移動先のVLANまたはホストが接続するインターフェイスを設定することもできます。
clear dot1x interface
コマンドを使用してインターフェイスから学習したMACアドレスをクリアすると、静的MACバイパスリストにあるものを含むすべてのMACアドレスがクリアされます。
認証方法のフォールバック
802.1X、MAC RADIUS、およびキャプティブ ポータル認証を 1 つのインターフェイスで設定し、ある方法での認証が失敗した場合に、別の方法へのフォールバックを有効にすることができます。認証方法は任意の組み合わせで設定できますが、802.1X も設定しないとインターフェイスで MAC RADIUS とキャプティブ ポータルの両方を設定できない点が異なります。既定では、ほとんどのデバイスで次の認証方法の順序が使用されます。
802.1X 認証 - インターフェイスで 802.1X が設定されている場合、デバイスは EAPoL 要求をエンド デバイスに送信し、802.1X 認証によるエンド デバイスの認証を試みます。エンド デバイスが EAP 要求に応答しない場合、デバイスはインターフェイスで MAC RADIUS 認証が設定されているかどうかを確認します。
MAC RADIUS 認証—インターフェイスで MAC RADIUS 認証が設定されている場合、デバイスはエンド デバイスの MAC RADIUS アドレスを認証サーバーに送信します。MAC RADIUS認証が設定されていない場合、デバイスはキャプティブポータルがインターフェイスに設定されているかどうかを確認します。
キャプティブ ポータル認証:インターフェイスにキャプティブ ポータルが設定されている場合、デバイスは、インターフェイスに設定された他の認証方法が失敗した後、この方法を使用してエンド デバイスの認証を試みます。
インターフェイスで複数の認証方法が設定されている場合のデフォルトのプロセスフローの図については、 スイッチのアクセス制御についてを参照してください。
認証方法のフォールバックのデフォルト順序を上書きするには、デバイスが最初に 802.1X 認証または MAC RADIUS 認証を使用するように authentication-order ステートメントを設定します。キャプティブ ポータルは、認証方法の順序の最後に常になければなりません。詳細については、 フレキシブル認証順序の設定を参照してください。
インターフェイスがマルチサプリカントモードで設定されている場合、インターフェイスを介して接続するエンドデバイスは、異なる方法を使用して並行して認証できます。したがって、キャプティブポータルへのフォールバック後にインターフェイス上のエンドデバイスが認証された場合、追加のエンドデバイスは引き続き802.1XまたはMAC RADIUS認証を使用して認証できます。