Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

認証用のサーバー構成の RADIUS

ジュニパーネットワークスイーサネットスイッチは、802.1 X、MAC RADIUS、または専用ポータル認証を使用して、デバイスまたはユーザーへのアクセスコントロールを提供します。802.1 X、MAC RADIUS、または専用ポータル認証がスイッチに設定されている場合、エンドデバイスは認証 (RADIUS) サーバーによる最初の接続で評価されます。802.1 X または MAC RADIUS 認証を使用するには、接続する各 RADIUS サーバーに対するスイッチの接続を指定する必要があります。詳細については、このトピックをお読みください。

スイッチ上での RADIUS サーバー接続の指定 (CLI プロシージャ)

IEEE 802.1X および MAC RADIUS 認証はどちらもネットワーク エッジ セキュリティを提供します。サプリカントの認証情報または MAC アドレス が認証サーバー(RADIUS サーバー)に提供され、一致するまで、インターフェイスでデバイスとの間のすべてのトラフィックをブロックすることで、イーサネットLAN を不正ユーザー アクセスから保護します。サプリカントが認証されると、スイッチはアクセスのブロックを停止し、認証要求側へのインターフェイスを開きます。

802.1 X または MAC RADIUS 認証を使用するには、接続する各 RADIUS サーバーに対するスイッチの接続を指定する必要があります。

複数の RADIUS サーバーを構成するにradius-serverは、複数のステートメントを含めます。複数のサーバーが設定されている場合、デフォルトではサーバーに設定順にアクセスします。最初に構成されたサーバーはプライマリ サーバーです。プライマリ サーバーに到達できない場合、ルーターは 2 番目に設定されたサーバーに到達しようとするなどです。ラウンドロビン方式を設定すると、リクエストのロード バランシングが可能です。サーバーは、1 つのサーバーから有効な応答を受け取るまで、または設定済みの上限に達するまで、順番にラウンドロビン方式で試されます。

また、1 つ以上の IP アドレスに解決する、完全に認定されたドメイン名(FQDN)を設定することもできます。参照スイッチ上での RADIUS サーバー接続の指定 (CLI プロシージャ)してください。

スイッチ上で RADIUS サーバーを構成するには、次のようにします。

  1. サーバーの ip アドレス、サーバー RADIUS認証ポート番号RADIUSパスワードを設定します。スイッチのシークレットパスワードは、サーバー上のシークレットパスワードと一致する必要があります。
    注:

    認証ポートの指定はオプションであり、ポート1812がデフォルトです。ただし、RADIUS サーバーによっては古いデフォルトを参照している場合があるため、混乱を避けるためにこの設定を行うことをお勧めします。

  2. ナスイッチが RADIUS サーバーによって識別される IP アドレスを指定します。IP アドレスを指定しない場合、RADIUS サーバーは、RADIUS 要求を送信するインターフェイスのアドレスを使用します。この IP アドレスを指定することを推奨するのは、要求が RADIUS サーバーへの代替ルートで転送された場合、その要求をリレーするインターフェイスがスイッチ上のインターフェイスではない可能性があるためです。
  3. 認証順序を構成し、 radius最初の認証方法を提供します。
  4. (オプション)複数のサーバーが設定されている場合、ルーターが認証RADIUSアカウンティング サーバーへのアクセスに使用する方法を設定します。
    • direct—デフォルトの方法で、ネットワークにロード バランシング。最初に設定されたサーバーはプライマリ サーバーです。サーバーには設定順にアクセスされます。プライマリ サーバーに到達できない場合、ルーターは 2 番目に設定されたサーバーに到達しようとするなどです。

    • round-robin—設定済みのサーバーのロード バランシング内でルーターリクエストを回転することで、パケットをRADIUSします。アクセス用に選択されたサーバーは、最後に使用されたサーバーに基づいて回転されます。最初の認証要求では、リスト内の最初のサーバーがプライマリとして扱われますが、2番目の要求に対しては、2つ目のサーバーがプライマリとして扱われます。この方法では、すべての構成済みサーバーは平均してほぼ同じ数の要求を受信するため、1台のサーバーがすべての要求を処理する必要はありません。

      注:

      ラウンドロビン RADIUSにあるサーバーに到達できない場合は、現在のリクエストにラウンドロビン リストの次の到達可能なサーバーが使用されます。同じサーバーは、次のリクエストにも使用されます。これは、使用可能なサーバーのリストの一番上にあるためです。その結果、サーバーの障害が発生した後、使用されているサーバーが 2 台のサーバーの負荷を引き上します。

    • ルーターがアカウンティング サーバーへのアクセスに使用する方法RADIUS設定するには、次の手順に示します。

    • ルーターが認証サーバーへのアクセスに使用する方法RADIUS設定するには、次の手順に示します。

  5. プロファイルを作成し、プロファイルに関連付けられた RADIUS サーバーのリストを指定します。たとえば、RADIUS のサーバーを都市で地理的にグループ化することもできます。この機能により、別の認証サーバーへの変更が必要になった場合でも、変更を簡単に行うことができます。
  6. プロファイル名を特定して、802.1 X または MAC RADIUS 認証に使用するサーバーのグループを指定します。
  7. RADIUS サーバー上のクライアントのリストで、スイッチの IP アドレスを設定します。RADIUS サーバーの構成の詳細については、サーバーのマニュアルを参照してください。

FQDN をRADIUSするサーバーの構成

1 つ以上の IP アドレスに解決する、完全に認定されたドメイン名(FQDN)を構成できます。[ ] 階層RADIUSで FQDN を使用して、 edit access radius-server-name hostname サーバーを構成します。FQDN が複数のアドレスに解決すると、デフォルトでサーバーに設定順にアクセスします。最初の解決済みアドレスはプライマリ サーバーです。プライマリ サーバーに到達できない場合、ルーターは第 2 サーバーへの到達を試みるなどです。ラウンドロビン方式を設定すると、リクエストのロード バランシングが可能です。サーバーは、1 つのサーバーから有効な応答を受け取るまで、または設定済みの上限に達するまで、順番にラウンドロビン方式で試されます。

  1. サーバー、サーバー認証RADIUS、RADIUS パスワードの FQDN を設定します。スイッチのシークレットパスワードは、サーバー上のシークレットパスワードと一致する必要があります。
    注:

    認証ポートの指定はオプションであり、ポート1812がデフォルトです。ただし、RADIUS サーバーによっては古いデフォルトを参照している場合があるため、混乱を避けるためにこの設定を行うことをお勧めします。

  2. (オプション)FQDN をサーバー アドレスとして解決するための間隔を設定します。FQDN は、設定された値に基づき、固定された間隔で動的に解決されます。
  3. ナスイッチが RADIUS サーバーによって識別される IP アドレスを指定します。IP アドレスを指定しない場合、RADIUS サーバーは、RADIUS 要求を送信するインターフェイスのアドレスを使用します。この IP アドレスを指定することを推奨するのは、要求が RADIUS サーバーへの代替ルートで転送された場合、その要求をリレーするインターフェイスがスイッチ上のインターフェイスではない可能性があるためです。
  4. 認証順序を構成し、 radius最初の認証方法を提供します。
  5. (オプション)複数のサーバーが設定されている場合に、スイッチが認証RADIUSサーバーへのアクセスに使用する方法を設定します。
    • direct—デフォルトの方法で、ネットワークにロード バランシング。最初に設定されたサーバーはプライマリ サーバーです。サーバーには設定順にアクセスされます。プライマリ サーバーに到達できない場合、ルーターは 2 番目に設定されたサーバーに到達しようとするなどです。

    • round-robin—設定済みのサーバーのロード バランシング内でリクエストを回転することで、ポリシーを設定RADIUSします。アクセス用に選択されたサーバーは、最後に使用されたサーバーに基づいて回転されます。最初の認証要求では、リスト内の最初のサーバーがプライマリとして扱われますが、2番目の要求に対しては、2つ目のサーバーがプライマリとして扱われます。この方法では、すべての構成済みサーバーは平均してほぼ同じ数の要求を受信するため、1台のサーバーがすべての要求を処理する必要はありません。

      注:

      ラウンドロビン RADIUSにあるサーバーに到達できない場合は、現在のリクエストにラウンドロビン リストの次の到達可能なサーバーが使用されます。同じサーバーは、次のリクエストにも使用されます。これは、使用可能なサーバーのリストの一番上にあるためです。その結果、サーバーの障害が発生した後、使用されているサーバーが 2 台のサーバーの負荷を引き上します。

    • スイッチがすべてのアカウンティング サーバーへのアクセスに使用する方法RADIUS設定するには、次の手順に示します。

    • スイッチが認証サーバーへのアクセスに使用する方法RADIUS設定するには、次の手順に示します。

  6. プロファイルを作成し、プロファイルに関連付けられた RADIUS サーバーのリストを指定します。たとえば、RADIUS のサーバーを都市で地理的にグループ化することもできます。この機能により、異なる認証サーバー セットに変更するたびに変更が容易になります。
  7. プロファイル名を特定して、802.1 X または MAC RADIUS 認証に使用するサーバーのグループを指定します。
  8. RADIUS サーバー上のクライアントのリストで、スイッチの IP アドレスを設定します。RADIUS サーバーの構成の詳細については、サーバーのマニュアルを参照してください。

MS-CHAPv2 を構成してパスワード変更サポート (CLI 手続き) を提供

EX シリーズスイッチの Junos OS を使用して、Microsoft Corporation がスイッチ上でチャレンジハンドシェイク認証プロトコルバージョン 2 (MS-CHAPv2) の実装を設定し、パスワード変更のサポートを提供できるようになります。スイッチに MS-CHAPv2 を設定することでスイッチにアクセスできます。パスワードの有効期限が切れたときにパスワードを変更するオプション、リセットされた場合、または次回のログイン時に変更されるように設定されている場合

MS-CHAP の詳細については、 RFC 2433, Microsoft PPP CHAP Extensionsを参照してください。

MS-CHAPv2 を設定してパスワード変更のサポートを提供する前に、以下のことを確認してください。

MS-CHAPv2 を設定するには、以下のように指定します。

パスワードを変更するには、そのスイッチに対する必要なアクセス権を持っている必要があります。

パスワード変更サポート用の MS-CHAPv2 の設定

MS-CHAPv2 をパスワード変更サポート用に設定する前に、以下のことを確認してください。

  • サーバーの認証パラメーター RADIUS 設定しました。

  • 認証順に最初に試行したオプションを RADIUS サーバーに設定します。

ルーターまたはスイッチで、チャレンジハンドシェイク認証プロトコルバージョン 2 (MS-CHAPv2) の Microsoft 実装を設定して、パスワードの変更をサポートできます。この機能は、ルーターやスイッチへのアクセスをユーザーに提供します。パスワードの有効期限が切れたとき、リセットされたとき、または次回ログオン時に変更するように設定されているときに、パスワードを変更するオプションがあります。

MS-CHAP-v2 を構成するには、以下のステートメントを[edit system radius-options]階層レベルで含めます。

次の例は、MS-CHAPv2 パスワードプロトコル、パスワード認証順序、ユーザーアカウントを構成するためのステートメントを示しています。

スイッチでのサーバー障害のフォールバックと認証について

ジュニパーネットワークスイーサネットスイッチは、認証を使用してエンタープライズネットワークでアクセスコントロールを実装します。802.1 X、MAC RADIUS、または専用ポータル認証がスイッチに設定されている場合、エンドデバイスは認証 (RADIUS) サーバーによる最初の接続で評価されます。エンドデバイスが認証サーバー上に設定されている場合、デバイスは LAN へのアクセスを許可され、EX シリーズスイッチはアクセスを許可するためのインターフェイスを開きます。

サーバーがフォールバックに失敗すると、RADIUS 認証サーバーが利用できない場合に、そのスイッチに接続されたエンドデバイスをどのようにサポートするかを指定できます。サーバー障害フォールバックは、構成済みで使用中 RADIUS サーバーにアクセスできなくなった場合に、再認証の際に最も頻繁にトリガーされます。ただし、サーバー障害時のフォールバックは、エンド デバイスがサーバー経由で認証を初めて試みRADIUSすることもできます。

サーバーがフォールバックに失敗した場合、サーバーがタイムアウトしたときにエンドデバイスが認証を待機するために実行する4つのアクションのいずれかを指定できます。スイッチは、サプリカントへのアクセスを許可または拒否したり、RADIUS タイムアウトが発生する前にサプリカントに既に付与されているアクセスを維持したりすることができます。また、サプリカントを特定の VLAN に移動するようにスイッチを設定することもできます。VLAN は、すでにスイッチに設定されている必要があります。構成済みの VLAN 名は、サーバーによって送信されるすべての属性をオーバーライドします。

  • 認証 を許可し、エンド デバイスがエンド デバイスによって認証された場合に、エンド デバイスからインターフェイスを通ってトラフィックRADIUSできます。

  • 認証 を拒否し、インターフェイスを介してエンド デバイスからのトラフィックが流れるのを防止します。これがデフォルトです。

  • スイッチ がアクセス拒否メッセージを受信した場合、エンド デバイスを指定RADIUS VLANに移動します。構成済みの VLAN 名は、サーバーによって送信されるすべての属性をオーバーライドします。(VLAN はすでにスイッチ上に存在している必要があります)。

  • すでに LANにアクセス可能な認証済みのエンドデバイスを 維持し、 非認証エンドデバイスを拒否します。RADIUS のサーバーが再認証の間にタイムアウトした場合、以前に認証されたエンドデバイスが再ユーザーになり、新しいユーザーは LAN アクセスを拒否されます。

RADIUS サーバーの構成エラーフォールバック (CLI 手順)

RADIUS 認証サーバーが利用できない場合に、スイッチに接続されたエンドデバイスをどのようにサポートするかを指定するために、認証フォールバックオプションを設定できます。

スイッチで 802.1 X または MAC RADIUS 認証を設定する場合は、プライマリ認証サーバーと1つまたは複数のバックアップ認証サーバーを指定します。スイッチからプライマリ認証サーバーに到達できず、セカンダリ認証サーバーにも到達しない場合は、RADIUS サーバータイムアウトが発生します。これが発生するのは、認証を待機しているエンドデバイスへのアクセスを許可または拒否する認証サーバーであるため、スイッチは LAN へのアクセスを試みるエンドデバイスへのアクセス指示を受信せず、通常の認証は終了.

サーバーのフォールバック機能を設定して、認証サーバーが利用できない場合に、スイッチがエンドデバイスに適用するアクションを指定できます。スイッチは、サプリカントへのアクセスを許可または拒否したり、RADIUS タイムアウトが発生する前にサプリカントに既に付与されているアクセスを維持したりすることができます。また、サプリカントを特定の VLAN に移動するようにスイッチを設定することもできます。

また、認証サーバーから RADIUS のアクセス拒否メッセージを受信するエンドデバイスに対しては、サーバー拒否フォールバック機能を構成することもできます。サーバー拒否フォールバック機能は、LAN への限定的なアクセスを提供しますが、通常は、802.1 X 対応であっても、間違った資格情報を送信した、応答性の高いエンドデバイスに対してのみ、インターネットに限定して接続します。

サーバー障害フォールバックは、リリース 14.1 X53 ~ D40 およびリリース 15.1 R4 から始まる音声トラフィックでサポートされています。VoIP クライアントが音声トラフィックを送信するためにサーバーのフェイルフォールバックアクションserver-fail-voipを設定するには、文を使用します。すべてのデータトラフィックについてserver-fail 、ステートメントを使用します。このスイッチは、クライアントから送信されたトラフィックのタイプに基づいて、使用するフォールバック方法を決定します。タグなしデータフレームは、VoIP クライアントから送信server-failされた場合でも、によって設定されたアクションの対象となります。タグ付き VoIP VLAN フレームは、によって設定server-fail-voipされたアクションの対象となります。構成server-fail-voipされていない場合、音声トラフィックは破棄されます。

注:

サーバー拒否フォールバックは、VoIP VLAN タグ付きトラフィックではサポートされていません。VoIP クライアントがタグなしデータトラフィックを VLAN に送信して認証を開始し、サーバー拒否フォールバックが有効になっている場合、VoIP クライアントはフォールバック VLAN へのアクセスを許可されます。その後、同じクライアントがタグ付き音声トラフィックを送信すると、音声トラフィックは破棄されます。

VoIP クライアントが、サーバー拒否フォールバックが有効になっているときにタグ付き音声トラフィックを送信して認証を開始した場合、VoIP クライアントはフォールバック VLAN へのアクセスを拒否されます。

次の手順を使用して、データクライアントのサーバー障害アクションを構成できます。VoIP クライアントが音声トラフィックを送信するためにサーバーのフォールバックをserver-fail-voip設定するには、 server-fail文の箇所でステートメントを使用します。

サーバー障害のフォールバックアクションを構成するには、以下の手順に従います。

  • RADIUS サーバータイムアウトが発生した場合 (エンドデバイスが RADIUS サーバーによって正常に認証された場合のように)、サプリカントから LAN へのトラフィックフローを許可するようにインターフェイスを構成します。
  • エンドデバイスから LAN へのトラフィックフローを防止するために、インターフェイスを構成します (終了デバイスが認証に失敗し、RADIUS サーバーによってアクセスが拒否されていた場合のようになります)。
  • RADIUS サーバータイムアウトが発生した場合にエンドデバイスを指定された VLAN に移動するためのインターフェイスを構成します。
  • 再認証中に RADIUS タイムアウトが発生した場合 (新しいエンドデバイスでアクセスが拒否されている場合)、すでに接続されているエンドデバイスを認識するようにインターフェイスを構成します。

認証サーバーから RADIUS のアクセス拒否メッセージを受信するインターフェイスを設定して、エンドデバイスをインターフェイス上で LAN アクセスしようとしているサーバー拒否 VLAN、指定した VLAN がスイッチ上で既に構成されている場合、それらを移動することができます。

サーバー拒否フォールバック VLAN を構成するには、次のようにします。

リリース履歴テーブル
リリース
説明
14.1X53-D40
サーバー障害フォールバックは、リリース 14.1 X53 ~ D40 およびリリース 15.1 R4 から始まる音声トラフィックでサポートされています。