EXシリーズスイッチでの柔軟な認証順序
Junos OSスイッチは、ネットワークへの接続を必要とするデバイスの認証方法として、802.1X、MAC RADIUS、キャプティブポータルをサポートしています。柔軟な認証順序機能を使用して、スイッチがクライアントの認証を試みるときに使用する認証方式の順序を指定できます。1 つのインターフェイスに複数の認証方式が設定されている場合、1 つの認証方式が失敗すると、スイッチは別の方式にフォールバックします。詳細については、このトピックを参照してください。
柔軟な認証順序の設定
柔軟な認証順序機能を使用して、スイッチがクライアントの認証を試みるときに使用する認証方式の順序を指定できます。1 つのインターフェイスに複数の認証方式が設定されている場合、1 つの認証方式が失敗すると、スイッチは別の方式にフォールバックします。
デフォルトでは、スイッチは最初に 802.1X 認証を使用してクライアントの認証を試みます。クライアントからの応答がなく、インターフェイスで MAC RADIUS 認証が構成されているために 802.1X 認証が失敗した場合、スイッチは MAC RADIUS を使用して認証を試みます。MAC RADIUSに障害が発生し、インターフェイスにキャプティブ ポータルが設定されている場合、スイッチはキャプティブ ポータルを使用して認証を試みます。
柔軟な認証順序により、使用する認証方法の順序は、インターフェイスに接続されているクライアントのタイプに基づいて変更できます。authentication-order ステートメントを設定して、802.1X 認証と MAC RADIUS 認証のどちらを最初に試行するかを指定できます。キャプティブポータルは、常に最後に試行される認証方法です。
MAC RADIUS認証がオーダーの最初の認証方法として設定されている場合、スイッチはクライアントからデータを受信すると、MAC RADIUS認証を使用してクライアントの認証を試みます。MAC RADIUS 認証が失敗した場合、スイッチは 802.1X 認証を使用してクライアントを認証します。802.1X 認証が失敗し、インターフェイスにキャプティブ ポータルが設定されている場合、スイッチはキャプティブ ポータルを使用して認証を試みます。
802.1X 認証と MAC RADIUS 認証が失敗し、キャプティブ ポータルがインターフェイスで設定されていない場合、サーバー障害フォールバック方式が設定されていない限り、クライアントは LAN へのアクセスを拒否されます。詳細については、 RADIUS サーバー障害フォールバックの設定(CLI 手順) を参照してください。
マルチサプリカントモードで設定されたインターフェイスでは、異なる認証方法を並行して使用することができます。したがって、エンド デバイスがキャプティブ ポータルを使用してインターフェイス上で認証された場合でも、そのインターフェイスに接続された別のエンド デバイスは、802.1X または MAC RADIUS 認証を使用して認証できます。
インターフェイスでフレキシブル認証順序を設定する前に、そのインターフェイスで認証方式が設定されていることを確認してください。スイッチは、認証順序にその方法が含まれていても、インターフェイスで設定されていない方法を使用して認証を試みません。スイッチはその方式を無視し、そのインターフェイスで有効になっている認証順序で次の方式を試みます。
authentication-order ステートメントを設定する際は、次のガイドラインに従います。
認証順序には、少なくとも 2 つの認証方法を含める必要があります。
802.1X 認証は、認証順序に含まれるいずれかの方法である必要があります。
キャプティブ ポータルが認証順序に含まれている場合、それは順序の最後の方法でなければなりません。
インターフェイスに
mac-radius-restrictが設定されている場合、そのインターフェイスでは認証順序を設定できません。
柔軟な認証順序を設定するには、次の有効な組み合わせのいずれかを使用します。
認証順序は、 interface all オプションを使用してグローバルに設定することも、個々のインターフェイス名を使用してローカルに設定することもできます。認証順序が個々のインターフェイスとすべてのインターフェイスの両方に設定されている場合、そのインターフェイスのローカル設定がグローバル設定に上書きされます。
認証順序を設定した後、 insert コマンドを使用して認証順序を変更する必要があります。set コマンドを使用しても、設定した順序は変更されません。
初期設定後に認証順序を変更するには:
[edit] user@switch# insert protocols dot1x authenticator interface interface-name authentication-order authentication-method before authentication-method
たとえば、順序を [ [mac-radius dot1x captive portal] ] から [ [dot1x mac-radius captive portal]] に変更するには、次のようにします。
[edit] user@switch# insert protocols dot1x authenticator interface interface-name authentication-order dot1x before mac-radius
関連項目
既存の認証セッションを維持するための EAPoL ブロックの設定
802.1X オーセンティケータとして動作するスイッチが、認証されたクライアントから EAP-Start メッセージを受信すると、スイッチは 802.1X 方式を使用してクライアントの再認証を試み、通常は EAP-Request メッセージを返し、応答を待ちます。クライアントが応答に失敗した場合、スイッチはMAC RADIUSまたはキャプティブポータル方式(これらの方式が設定されている場合)を使用してクライアントの再認証を試みます。MAC RADIUSまたはキャプティブポータル認証を使用して認証されたクライアントは応答せず、スイッチが再認証を試みると、インターフェイス上のトラフィックがドロップされます。
MAC RADIUSがクライアントの認証に使用される最初の方法になるようにインターフェイスで柔軟な認証順序を設定した場合、クライアントがEAP-Startメッセージを送信すると、クライアントがMAC RADIUS認証を使用して正常に認証されたとしても、スイッチは再認証に802.1Xを使用するように戻されます。EAPoL ブロックは、固定または柔軟な認証順序で設定できます。authentication-order ステートメントを設定しない場合、順序はデフォルトで固定されます。eapol-block ステートメントは、authentication-order ステートメントの設定の有無にかかわらず設定できます。
eapol-block ステートメントを使用した MAC RADIUS 認証またはキャプティブ ポータル認証を使用して認証されたクライアントから送信された EAP-Start メッセージを無視するようにスイッチを設定できます。EAPoL メッセージのブロックが有効な場合、スイッチがクライアントから EAP-Start メッセージを受信しても、EAP-Request メッセージは返されず、既存の認証セッションが維持されます。
エンドポイントがMAC RADIUS認証またはキャプティブポータル認証で認証されていない場合、EAPoLブロックは有効になりません。エンドポイントは、802.1X 認証を使用して認証できます。
eapol-block が mac-radius オプションで設定されている場合、クライアントが MAC RADIUS 認証または CWA(セントラル Web 認証)で認証されると、EAP-Start メッセージを送信してもクライアントは認証された状態のままになります。eapol-block が captive-portal オプションで設定されている場合、クライアントがキャプティブ ポータルで認証されると、EAP-Start メッセージを送信してもクライアントは認証された状態のままになります。
この機能は、EX4300およびEX9200スイッチでサポートされています。
既存の認証セッションを維持するために EAPoL メッセージのブロックを構成するには: