このページの内容
EXシリーズスイッチの柔軟な認証順序
Junos OSスイッチは、ネットワークへの接続を必要とするデバイスへの認証方法として、802.1X、MAC RADIUS、およびキャプティブポータルをサポートします。柔軟な認証順序機能を使用して、スイッチがクライアントの認証を試みるときに使用する認証方法の順序を指定できます。単一のインターフェイスで複数の認証方式が設定されている場合、一方の認証方式が失敗すると、スイッチは別の方式にフォールバックします。詳細については、このトピックをお読みください。
柔軟な認証順序の設定
柔軟な認証順序機能を使用して、スイッチがクライアントの認証を試みるときに使用する認証方法の順序を指定できます。単一のインターフェイスで複数の認証方式が設定されている場合、一方の認証方式が失敗すると、スイッチは別の方式にフォールバックします。
デフォルトでは、スイッチは最初に802.1X認証を使用してクライアントの認証を試みます。クライアントからの応答がないために 802.1X 認証に失敗し、インターフェイスで MAC RADIUS 認証が設定されている場合、スイッチは MAC RADIUS を使用して認証を試みます。MAC RADIUS に障害が発生し、インターフェイスにキャプティブポータルが設定されている場合、スイッチはキャプティブポータルを使用して認証を試みます。
柔軟な認証順序により、インターフェイスに接続されているクライアントのタイプに応じて、使用する認証方法の順序を変更できます。 authentication-order ステートメントを設定して、802.1X 認証 と MAC RADIUS 認証 のどちらを認証最初に試す方法にする必要があるかを指定できます。キャプティブポータルは常に最後に試行される認証方法です。
MAC RADIUS 認証が順序の最初の認証方法として設定されている場合、スイッチはクライアントからデータを受信すると、MAC RADIUS 認証を使用してクライアントの認証を試みます。MAC RADIUS 認証に失敗した場合、スイッチは 802.1X 認証を使用してクライアントを認証します。802.1X 認証に失敗し、キャプティブポータルがインターフェイスに設定されている場合、スイッチはキャプティブポータルを使用して認証を試みます。
802.1X認証とMAC RADIUS認証に失敗し、キャプティブポータルがインターフェイスに設定されていない場合、サーバー障害フォールバック方法が設定されていない限り、クライアントはLANへのアクセスを拒否されます。詳細については、「 RADIUS サーバー障害フォールバックの設定(CLI 手順) 」を参照してください。
マルチサプリカントモードで設定されたインターフェイスでは、さまざまな認証方法を並行して使用できます。そのため、エンドデバイスがキャプティブポータルを使用してインターフェイス上で認証されている場合でも、そのインターフェイスに接続されている別のエンドデバイスは、802.1XまたはMAC RADIUS認証を使用して認証できます。
インターフェイスで柔軟な認証順序を設定する前に、そのインターフェイスで認証方法が設定されていることを確認してください。スイッチは、インターフェイスに設定されていない方法を使用して認証を試みません。その方法が認証順序に含まれていてもその方法です。スイッチはその方法を無視し、そのインターフェイスで有効になっている認証順序で次の方法を試行します。
authentication-orderステートメントを設定する際は、以下のガイドラインに従います。
認証順序には、少なくとも2つの認証方法を含める必要があります。
802.1X認証は、認証順序に含まれる方法の1つである必要があります。
キャプティブポータルが認証順序に含まれている場合、それは順序の最後のメソッドである必要があります。
インターフェイス上で
mac-radius-restrictが設定されている場合、そのインターフェイスで認証順序を設定することはできません。
柔軟な認証順序を設定するには、以下の有効な組み合わせのいずれかを使用します。
認証順序は、 interface all オプションを使用してグローバルに設定することも、個々のインターフェイス名を使用してローカルに設定することもできます。認証順序が個々のインターフェイスとすべてのインターフェイスの両方に対して設定されている場合、そのインターフェイスのローカル設定がグローバル設定よりも優先されます。
認証順序を設定した後、 insert コマンドを使用して認証順序を変更する必要があります。 set コマンドを使用しても、設定された順序は変更されません。
初期設定後に認証順序を変更するには:
[edit] user@switch# insert protocols dot1x authenticator interface interface-name authentication-order authentication-method before authentication-method
例えば、順序を [mac-radius dot1x captive portal] から [dot1x mac-radius captive portal]に変更するには:
[edit] user@switch# insert protocols dot1x authenticator interface interface-name authentication-order dot1x before mac-radius
関連項目
既存の認証セッションを維持するためのEAPoLブロックの設定
802.1X 認証として動作するスイッチが、認証済みクライアントから EAP-Start メッセージを受信すると、スイッチは 802.1X 方式を使用してクライアントの再認証を試み、通常は EAP-Request メッセージを返し、応答を待ちます。クライアントが応答しない場合、スイッチはMAC RADIUSまたはキャプティブポータル方式(これらの方法が設定されている場合)を使用してクライアントの再認証を試みます。MAC RADIUSまたはキャプティブポータル認証を使用して認証されたクライアントは応答せず、スイッチが再認証を試みると、トラフィックはインターフェイス上でドロップされます。
MAC RADIUSがクライアントの認証に最初に使用される方法になるようにインターフェイス上で柔軟な認証順序を設定している場合、クライアントが MAC RADIUS 認証を使用して正常に認証されたとしても、クライアントがEAP-Startメッセージを送信すると、スイッチは再認証に802.1Xを使用する状態に戻ります。EAPoL ブロックは、固定または柔軟な認証順序で設定できます。 authentication-order ステートメントを設定しない場合、順序はデフォルトで固定されます。 eapol-block ステートメントは、 authentication-order ステートメントの設定の有無にかかわらず設定できます。
MAC RADIUS 認証を使用して認証されたクライアントから送信されたEAP-Startメッセージを無視するか、 eapol-block ステートメントを使用してキャプティブポータル認証を無視するようにスイッチを設定できます。EAPoL メッセージのブロックが有効な場合、スイッチがクライアントから EAP-Start メッセージを受信しても、EAP-Request メッセージは返されず、既存の認証セッションが維持されます。
エンドポイントがMAC RADIUS認証またはキャプティブポータル認証で認証されていない場合、EAPoLブロックは有効になりません。エンドポイントは、802.1X認証を使用して認証できます。
eapol-blockがmac-radiusオプションで設定されている場合、クライアントがMAC RADIUS認証またはCWA(セントラルWeb認証)で認証されると、クライアントはEAP-Startメッセージを送信しても認証された状態を維持します。eapol-blockがcaptive-portalオプションで設定されている場合、クライアントがキャプティブポータルで認証されると、クライアントはEAP-Startメッセージを送信しても認証された状態を維持します。
この機能は、EX4300およびEX9200スイッチでサポートされています。
既存の認証セッションを維持するためにEAPoLメッセージのブロックを設定するには: