認証用のRADIUSサーバー設定
ジュニパーネットワークスのイーサネットスイッチは、802.1X、MAC RADIUS、またはキャプティブポータル認証を使用して、デバイスまたはユーザーにアクセスコントロールを提供します。802.1X、MAC RADIUS、またはキャプティブ ポータル認証がスイッチ上で設定されている場合、エンド デバイスは認証(RADIUS)サーバーによる最初の接続で評価されます。802.1X または MAC RADIUS 認証を使用するには、接続する RADIUS サーバーごとにスイッチ上の接続を指定する必要があります。詳細については、このトピックをお読みください。
スイッチでのRADIUSサーバー接続の指定(CLI手順)
IEEE 802.1XおよびMAC RADIUS認証はどちらもネットワークエッジセキュリティを提供し、(RADIUSサーバー)でサプリカントの認証情報またはMACアドレスが提示および一致 authentication server されるまで、インターフェイスのデバイスとの間のすべてのトラフィックをブロックすることで、不正なユーザーアクセスからイーサネットLANを保護します。サプリカントが認証されると、スイッチはアクセスのブロックを停止し、サプリカントにインターフェイスを開きます。
802.1X または MAC RADIUS 認証を使用するには、接続する RADIUS サーバーごとにスイッチ上の接続を指定する必要があります。
複数のRADIUSサーバーを設定するには、複数の radius-server ステートメントを含めます。複数のサーバーが設定されている場合、デフォルトでは、設定順にサーバーにアクセスされます。構成された最初のサーバーはプライマリ サーバーです。プライマリ サーバーに到達できない場合、ルーターは 2 番目に設定されたサーバーへの到達を試みます。などです。ラウンドロビン方式を設定することで、要求を負荷分散できます。サーバーは、1つのサーバーから有効な応答を受信するか、設定されたすべての再試行の制限に達するまで、順番にラウンドロビン方式で試行されます。
EX シリーズ スイッチでの使用では、ラウンドロビン方式のアクセス方法は推奨されません。
また、1 つ以上の IP アドレスに解決する完全修飾ドメイン名 (FQDN) を構成することもできます。を参照してください スイッチでのRADIUSサーバー接続の指定(CLI手順)。
スイッチ上の RADIUS サーバーを設定するには、次の手順にしたがっています。
FQDN を使用した RADIUS サーバーの構成
1 つ以上の IP アドレスに解決する完全修飾ドメイン名 (FQDN) を構成できます。[edit access radius-server-name hostname] 階層レベルで FQDN を使用して RADIUS サーバーを構成します。FQDNが複数のアドレスに解決されると、デフォルトでは、サーバーは構成順にアクセスされます。最初の解決済みアドレスは、プライマリ サーバーです。プライマリ サーバーに到達できない場合、ルーターは 2 番目のサーバーへの到達を試みます。などです。ラウンドロビン方式を設定することで、要求を負荷分散できます。サーバーは、1つのサーバーから有効な応答を受信するか、設定されたすべての再試行の制限に達するまで、順番にラウンドロビン方式で試行されます。
関連項目
セッションアウェアラウンドロビンRADIUSリクエストについて
Junos OSリリース22.4R1以降、ラウンドロビンアルゴリズムが設定されている場合、RADIUSサーバーからのアクセスの課題に応じて対応するアクセスリクエストが同じRADIUSサーバーに送信されるように、認証(認証)サービスがセッション認識されます。その結果、認証が成功します。
既存の動作に従って、いずれかのRADIUSサーバーからアクセスチャレンジと状態属性を受信すると、対応するアクセス要求がラウンドロビンアルゴリズムを使用して次のRADIUSサーバーに送信されます。次のRADIUSサーバーにはこのセッションのレコードがないため、認証に失敗するアクセス要求を拒否します。この新しい機能により、対応するアルゴリズムが設定され、RADIUSサーバーからのアクセスの課題に応じて、それぞれのアクセス要求が同じRADIUSサーバーに送信され、その結果、認証が成功します。RADIUSサーバーがアクセスの問題で応答しない場合、RADIUSサーバーは要求を受け入れるか拒否します。次の認証要求については、ラウンドロビン方式に従ってリクエストが次のRADIUSサーバーに送信されます。アクセス要求ごとに RADIUS サーバーから任意の数のアクセス課題を送信し、RADIUS サーバーが要求を受け入れるか拒否するまで、認証されたアクセス要求は同じ RADIUS サーバーに応答します。
この機能は、認証ライト クライアント(dot1x など)でのみサポートされ、PPP(Point-to-Point Protocol)を使用するブロードバンド クライアントではサポートされません。これはブロードバンド クライアントではサポートされていないので、注意してください。また、アクセスチャレンジメッセージは、認証の場合にのみ RADIUS クライアントとRADIUSサーバーの間で交換され、アカウンティングには交換されません。
パスワード変更サポートを提供するためのMS-CHAPv2の設定(CLI手順)
EX シリーズ スイッチ向け Junos OS では、Microsoft Corporation のスイッチ上での Challenge Handshake Authentication Protocol version 2(MS-CHAPv2)の実装を設定して、パスワード変更のサポートを提供できます。スイッチでMS-CHAPv2を設定すると、ユーザーは、パスワードの期限が切れたり、リセットされたり、次回のログイン時に変更するように設定された場合に、パスワードを変更するオプションがスイッチにアクセスできるようになります。
MS-CHAPの情報については、 RFC 2433、 Microsoft PPP CHAP拡張を参照してください。
パスワード変更サポートを提供するように MS-CHAPv2 を設定する前に、以下を確認してください。
構成済みの RADIUS サーバー認証。認証サーバー上のユーザーを設定し、認証順序で最初に試行したオプションをradiusに設定します。例 : 802.1X用RADIUSサーバーをEXシリーズスイッチに接続します。
MS-CHAPv2を設定するには、以下を指定します。
[edit system radius-options] user@switch# set password-protocol mschap-v2
パスワードを変更するには、スイッチに必要なアクセス許可が必要です。
関連項目
パスワード変更サポート向けMS-CHAPv2の設定
パスワード変更サポート用に MS-CHAPv2 を設定する前に、以下の作業が完了していることを確認してください。
構成済みの RADIUS サーバー認証パラメーター。
認証順序で最初に試行したオプションをRADIUSサーバーに設定します。
Microsoft 実装の Challenge Handshake Authentication Protocol version 2(MS-CHAPv2)をルーターまたはスイッチで設定して、パスワードの変更をサポートできます。この機能は、ユーザーがルーターにアクセスするか、パスワードの有効期限が切れたとき、リセットされた場合、または次回のログオン時に変更するように構成されたときにパスワードを変更するオプションを提供します。
MS-CHAP-v2を設定するには、 階層レベルに以下のステートメントを [edit system radius-options] 含めます。
[edit system radius-options] password-protocol mschap-v2;
次の例は、MS-CHAPv2パスワードプロトコル、パスワード認証順序、およびユーザーアカウントを設定するためのステートメントを示しています。
[edit]
system {
authentication-order [ radius password ];
radius-server {
192.168.69.149 secret "$9$G-j.5Qz6tpBk.1hrlXxUjiq5Qn/C"; ## SECRET-DATA
}
radius-options {
password-protocol mschap-v2;
}
login {
user bob {
class operator;
}
}
}
スイッチでのサーバー障害時のフォールバックと認証について
ジュニパーネットワークスのイーサネット スイッチは、認証を使用してエンタープライズ ネットワークにアクセス コントロールを実装します。802.1X、MAC RADIUS、またはキャプティブ ポータル認証がスイッチ上で設定されている場合、エンド デバイスは認証(RADIUS)サーバーによる最初の接続で評価されます。エンド デバイスが認証サーバーで設定されている場合、デバイスには LAN へのアクセスが許可され、EX シリーズ スイッチがインターフェイスを開いてアクセスを許可します。
サーバー障害時のフォールバックでは、RADIUS 認証サーバーが利用できなくなった場合に、スイッチに接続されたエンド デバイスをどのようにサポートするかを指定できます。サーバー障害時のフォールバックは、再認証時に、すでに構成済みで使用中の RADIUS サーバーにアクセスできない場合に最も頻繁にトリガーされます。ただし、サーバー障害時のフォールバックは、エンド デバイスが RADIUS サーバーを初めて認証しようとするとトリガーされることもあります。
サーバー障害時のフォールバックでは、サーバーがタイムアウトしたときに認証を待機しているエンド デバイスに対して実行する 4 つのアクションのいずれかを指定できます。スイッチは、サプリカントへのアクセスを受け入れるか拒否するか、RADIUSタイムアウトが発生する前に、サプリカントにすでに許可されているアクセスを維持することができます。また、サプリカントを特定のVLANに移動するようにスイッチを設定することもできます。VLAN は、すでにスイッチ上で設定されている必要があります。設定されたVLAN名は、サーバーから送信された属性を上書きします。
Permit は、RADIUSサーバーによって正常に認証されたかのように、トラフィックがエンドデバイスからインターフェイスを介して流れるようにします。
Deny これにより、トラフィックがエンド デバイスからインターフェイスを経由して流れるのを防ぎます。これはデフォルトです。
Move スイッチがRADIUSアクセス拒否メッセージを受信した場合、指定されたVLANにエンドデバイスを送信します。設定されたVLAN名は、サーバーから送信された属性を上書きします。(VLAN はスイッチ上にすでに存在している必要があります)。
Sustain すでにLANアクセスを持つ認証済みエンドデバイスと deny 非認証エンドデバイスです。再認証中に RADIUS サーバーがタイムアウトすると、以前に認証されたエンド デバイスは再認証され、新しいユーザーは LAN アクセスを拒否されます。
関連項目
RADIUSサーバー障害時のフォールバックの設定(CLI手順)
認証フォールバック オプションを設定して、RADIUS 認証サーバーが利用できなくなった場合に、スイッチに接続されたエンド デバイスをどのようにサポートするかを指定できます。
スイッチで 802.1X または MAC RADIUS 認証を設定する場合、プライマリ認証サーバーと 1 つ以上のバックアップ認証サーバーを指定します。プライマリ認証サーバーにスイッチが到達できず、セカンダリ認証サーバーにも到達できない場合、RADIUSサーバーのタイムアウトが発生します。このような場合、認証を待っているエンド デバイスへのアクセスを許可または拒否する認証サーバーであるため、スイッチは LAN へのアクセスを試みるエンド デバイスのアクセス手順を受け取らず、通常の認証を完了できません。
サーバー障害時フォールバック機能を構成して、認証サーバーが利用できない場合にスイッチがエンド デバイスに適用するアクションを指定できます。スイッチは、サプリカントへのアクセスを受け入れるか拒否するか、RADIUSタイムアウトが発生する前に、サプリカントにすでに許可されているアクセスを維持することができます。また、サプリカントを特定のVLANに移動するようにスイッチを設定することもできます。
また、認証サーバーからRADIUSアクセス拒否メッセージを受信するエンドデバイスのサーバー拒否フォールバック機能を設定することもできます。サーバー拒否フォールバック機能は、802.1X に対応しているが誤った認証情報を送信した応答性の高いエンド デバイスに対して、LAN への限定アクセス(通常はインターネットへのアクセスのみ)を提供します。
サーバー障害時のフォールバックは、リリース 14.1X53-D40 およびリリース 15.1R4 以降の音声トラフィックでサポートされています。音声トラフィックを送信しているVoIPクライアントに対してサーバー障害時のフォールバックアクションを設定するには、 ステートメントを server-fail-voip 使用します。すべてのデータトラフィックに対して、 ステートメントを server-fail 使用します。スイッチは、クライアントから送信されたトラフィックのタイプに基づいて、使用するフォールバック方法を決定します。タグなしデータフレームは、VoIPクライアントから送信された場合でも、 で server-fail設定されたアクションの対象となります。タグ付き VoIP VLAN フレームは、 で server-fail-voip設定されたアクションに従います。設定されていない場合 server-fail-voip 、音声トラフィックは破棄されます。
サーバー拒否フォールバックは、VoIP VLAN タグ付きトラフィックではサポートされていません。VoIP クライアントがタグなしデータ トラフィックを VLAN に送信して認証を開始し、サーバーのフォールバックが拒否された場合、VoIP クライアントはフォールバック VLAN へのアクセスを許可されます。同じクライアントがタグ付き音声トラフィックをその後送信すると、音声トラフィックは破棄されます。
VoIP クライアントがタグ付き音声トラフィックを送信して認証を開始し、サーバー拒否フォールバックが有効な場合、VoIP クライアントはフォールバック VLAN へのアクセスを拒否されます。
以下の手順を使用して、データ クライアントのサーバー障害アクションを構成できます。音声トラフィックを送信しているVoIPクライアントのサーバー障害フォールバックを設定するには、 ステートメントの代わりに ステートメントをserver-fail使用server-fail-voipします。
サーバー障害時のフォールバック アクションを構成するには、
認証サーバーからRADIUSアクセス拒否メッセージを受信するインターフェイスを設定して、インターフェイス上のLANアクセスを試みるエンドデバイスを、スイッチ上で既に設定された指定されたVLANに移動させることができます。
サーバーを構成するには、フォールバック VLAN を拒否します。
[edit protocols dot1x authenticator] user@switch# set interface interface-name server-reject-vlan vlan-sf