認証用の RADIUS サーバー設定
ジュニパーネットワークスのイーサネットスイッチは、802.1X、MAC RADIUS、またはキャプティブポータル認証を使用して、デバイスまたはユーザーにアクセス制御を提供します。802.1X、MAC RADIUS、またはキャプティブポータル認証がスイッチで設定されている場合、エンドデバイスは、初期接続時に認証(RADIUS)サーバーによって評価されます。802.1X または MAC RADIUS 認証を使用するには、接続する各 RADIUS サーバーのスイッチ上の接続を指定する必要があります。詳細については、このトピックをお読みください。
スイッチでの RADIUS サーバー接続の指定(CLI 手順)
IEEE 802.1XとMAC RADIUS 認証はどちらもネットワークエッジセキュリティを提供し、サプリカントの資格情報またはMACアドレスが authentication server (RADIUSサーバー)で提示および照合されるまで、インターフェイス上のデバイスとの間のすべてのトラフィックをブロックすることで、認証されていないユーザーアクセスからイーサネットLANを保護します。サプリカントが認証されると、スイッチはアクセスのブロックを停止し、サプリカントにインターフェイスを開きます。
802.1X または MAC RADIUS 認証を使用するには、接続する各 RADIUS サーバーのスイッチ上の接続を指定する必要があります。
複数のRADIUSサーバーを設定するには、複数の radius-server ステートメントを含めます。複数のサーバーが設定されている場合、デフォルトでは設定順にサーバーにアクセスします。最初に設定されたサーバーがプライマリサーバーです。プライマリサーバーに到達できない場合、ルーターは2番目に設定されたサーバーへの到達を試みます。ラウンドロビン方式を設定することで、リクエストの負荷を分散できます。サーバーは、サーバーの 1 つから有効な応答を受信するか、設定されたすべての再試行制限に達するまで、順番にラウンドロビン方式で試行されます。
ラウンドロビン方式のアクセス方式は、EXシリーズスイッチでの使用は推奨されません。
また、1つ以上のIPアドレスに解決する完全修飾ドメイン名(FQDN)を設定することもできます。「スイッチ での RADIUS サーバー接続の指定(CLI 手順)を参照してください。
スイッチ上で RADIUS サーバーを設定するには、次の手順に従います。
FQDNを使用したRADIUSサーバーの設定
1つ以上のIPアドレスに解決される完全修飾ドメイン名(FQDN)を設定できます。[edit access radius-server-name hostname]階層レベルでFQDNを使用してRADIUSサーバーを設定します。FQDNが複数のアドレスに解決されると、デフォルトで設定順にサーバーにアクセスします。最初に解決されたアドレスがプライマリサーバーです。プライマリサーバーに到達できない場合、ルーターは2番目のサーバーへの到達を試みます。ラウンドロビン方式を設定することで、リクエストの負荷を分散できます。サーバーは、サーバーの 1 つから有効な応答を受信するか、設定されたすべての再試行制限に達するまで、順番にラウンドロビン方式で試行されます。
関連項目
セッション認識ラウンドロビン RADIUS リクエストの理解
Junos OSリリース22.4R1以降、ラウンドロビンアルゴリズムが構成されている場合、認証(authd)サービスは、ラウンドロビンアルゴリズムが構成されている場合にセッション認識され、RADIUSサーバーからのアクセスチャレンジに応答して対応するアクセス要求が同じRADIUSサーバーに送信され、その結果、認証が成功します。
既存の動作に従って、RADIUSサーバーの1つからアクセスチャレンジと状態属性を受信すると、対応するアクセス要求がラウンドロビンアルゴリズムを使用して次のRADIUSサーバーに送信されます。次の RADIUS サーバーにはこのセッションの記録がないため、アクセス要求を拒否し、認証に失敗します。この新機能では、対応するアルゴリズムが構成され、サーバーからのアクセスチャレンジに応じてそれぞれのアクセス要求が同じRADIUSサーバーに送信され、その結果、RADIUS認証に成功します。RADIUSサーバーがアクセスチャレンジで応答しない場合、リクエストを受け入れるか拒否します。次の認証要求では、ラウンドロビン方式に従って要求が次の RADIUS サーバーに送信されます。各アクセス要求に応答して RADIUS サーバーから任意の数のアクセスチャレンジを送信でき、要求が RADIUS サーバーによって承認または拒否されるまで、Authd は同じ RADIUS サーバーに応答します。
この機能は、ブロードバンドクライアントではサポートされていないため、Authd-liteクライアント(dot1xなど)でのみサポートされ、PPP(Point-to-Point Protocol)を使用するブロードバンドクライアントではサポートされていないことに注意してください。また、アクセスチャレンジメッセージは、RADIUSクライアントとRADIUSサーバーの間で交換されるのは、認証の場合にのみ行われ、アカウンティングには交換されません。
パスワード変更をサポートするためのMS-CHAPv2の設定(CLI手順)
EXシリーズスイッチ向けJunos OSを使用すると、スイッチ上でMicrosoft Corporation実装のChallenge Handshake Authentication Protocolバージョン2(MS-CHAPv2)を設定し、パスワード変更サポートを提供できます。スイッチにMS-CHAPv2を設定すると、パスワードの有効期限が切れたり、リセットされたり、次回のログイン時に変更するように設定されたときに、パスワードを変更するためのオプションがスイッチにアクセスするユーザーに提供されます。
MS-CHAPの詳細については、RFC 2433、 Microsoft PPP CHAP拡張機能を参照してください。
パスワード変更サポートを提供するようにMS-CHAPv2を設定する前に、以下を確認してください。
構成された RADIUS サーバー認証。認証サーバーでユーザーを設定し、認証順序で最初に試行するオプションをRADIUSに設定します。 例:802.1X用RADIUSサーバーをEXシリーズスイッチに接続するを参照してください。
MS-CHAPv2を設定するには、以下を指定します。
[edit system radius-options] user@switch# set password-protocol mschap-v2
パスワードを変更するには、スイッチに必要なアクセス権限が必要です。
関連項目
パスワード変更をサポートするためのMS-CHAPv2の設定
パスワード変更をサポートするためにMS-CHAPv2を設定する前に、以下を完了していることを確認してください。
設定された RADIUS サーバー認証パラメーター。
認証順序で最初に試行されたオプションを RADIUS サーバーに設定します。
Microsoft実装のChallenge Handshake Authentication Protocolバージョン2(MS-CHAPv2)をルーターまたはスイッチで設定して、パスワードの変更をサポートできます。この機能は、パスワードの有効期限が切れたり、リセットされたり、次回のログオン時に変更するように設定されたときに、ルーターまたはスイッチにアクセスするユーザーにパスワードを変更するためのオプションを提供します。
MS-CHAP-v2を設定するには、 [edit system radius-options] 階層レベルで以下のステートメントを含めます。
[edit system radius-options] password-protocol mschap-v2;
以下の例では、MS-CHAPv2パスワードプロトコル、パスワード認証の順序、ユーザーアカウントを設定するためのステートメントを示しています。
[edit]
system {
authentication-order [ radius password ];
radius-server {
192.168.69.149 secret "$9$G-j.5Qz6tpBk.1hrlXxUjiq5Qn/C"; ## SECRET-DATA
}
radius-options {
password-protocol mschap-v2;
}
login {
user bob {
class operator;
}
}
}
スイッチでのサーバー障害時のフォールバックと認証について
ジュニパーネットワークスイーサネットスイッチは、認証を使用してエンタープライズネットワークにアクセス制御を実装します。スイッチで 802.1X、MAC RADIUS、またはキャプティブポータル認証が設定されている場合、エンド デバイスは初期接続時に認証(RADIUS)サーバーによって評価されます。エンドデバイスが認証サーバーで設定されている場合、デバイスにはLANへのアクセスが許可され、EXシリーズスイッチがインターフェイスを開いてアクセスを許可します。
サーバー障害時のフォールバックでは、RADIUS 認証サーバーが利用できなくなった場合に、スイッチに接続されたエンド デバイスをサポートする方法を指定できます。サーバー障害フォールバックは、すでに設定され使用中のRADIUSサーバーにアクセスできなくなった場合に、再認証中に最も頻繁にトリガーされます。ただし、サーバー障害時のフォールバックは、エンドデバイスが RADIUS サーバーを介した認証を初めて試みたことによってもトリガーされる可能性があります。
サーバー障害フォールバックでは、サーバーがタイムアウトになったときに、認証を待機しているエンドデバイスに対して実行する4つのアクションのうちの1つを指定します。スイッチは、サプリカントへのアクセスを受け入れるか拒否するか、RADIUS タイムアウトが発生する前にサプリカントに既に許可されたアクセスを維持できます。また、サプリカントを特定の VLAN に移動するようにスイッチを設定することもできます。VLANはすでにスイッチ上で設定されている必要があります。設定されたVLAN名は、サーバーから送信された属性よりも上書きされます。
-
Permit 認証により、エンドデバイスが RADIUS サーバーによって正常に認証されたかのように、エンドデバイスからインターフェイスを介してトラフィックが流れるようにします。
-
Deny認証、エンドデバイスからインターフェイスを介してトラフィックが流れないようにします。これがデフォルトです。
-
Move スイッチが RADIUS アクセス拒否メッセージを受信した場合、エンドデバイスを指定された VLAN に転送します。設定されたVLAN名は、サーバーから送信された属性よりも上書きされます。(VLANはすでにスイッチ上に存在している必要があります。)
-
Sustain、すでにLANアクセス権を持っている認証済みエンドデバイスと、deny 認証されていないエンドデバイス。再認証中にRADIUSサーバーがタイムアウトすると、以前に認証されたエンドデバイスが再認証され、新しいユーザーはLANアクセスが拒否されます。
VLANにサーバー障害VoIPが設定されており、サーバーに障害が発生すると、クライアント認証中にこのVLANのインターフェイスブリッジドメイン(IFBD)が作成されます。これにより、認証サーバーに到達できない場合やタイムアウトした場合に、スイッチがVoIPクライアントをフォールバックVLANに移動でき、音声トラフィックの継続性を確保できます。 server-fail-voip ステートメントは、アクセスの許可、アクセスの拒否、スイッチに設定されている指定されたVLANへのクライアントの移動など、音声VLANタグ付きトラフィックフォールバックアクションを具体的に処理します。 server-fail-voip ステートメントが設定されている場合、スイッチはサーバー障害時にそれを使用してVoIPクライアントトラフィックを分離して管理し、認証を完了できない場合でも音声サービスの可用性を維持します。
関連項目
RADIUSサーバー障害フォールバックの設定(CLI手順)
認証フォールバックオプションを設定して、RADIUS認証サーバーが使用できなくなった場合にスイッチに接続されたエンドデバイスをサポートする方法を指定できます。
スイッチで 802.1X または MAC RADIUS 認証を設定する場合は、プライマリ認証サーバーと 1 つ以上のバックアップ認証サーバーを指定します。スイッチがプライマリ認証サーバーにアクセスできず、セカンダリ認証サーバーにも到達できない場合、RADIUSサーバーのタイムアウトが発生します。この場合、認証待機中のエンドデバイスへのアクセスを許可または拒否するのは認証サーバーであるため、スイッチはLANへのアクセスを試みるエンドデバイスに対するアクセス指示を受信せず、通常の認証を完了できません。
サーバー障害時のフォールバック機能を設定して、認証サーバーが使用できない場合にスイッチがエンドデバイスに適用するアクションを指定できます。スイッチは、サプリカントへのアクセスを受け入れるか拒否するか、RADIUS タイムアウトが発生する前にサプリカントに既に許可されたアクセスを維持できます。また、サプリカントを特定の VLAN に移動するようにスイッチを設定することもできます。
また、認証サーバーからRADIUSアクセス拒否メッセージを受信するエンドデバイスに対して、サーバー拒否フォールバック機能を設定することもできます。サーバー拒否フォールバック機能は、802.1Xに対応しているが、間違った資格を送信した応答性の高いエンドデバイスに対して、LANへのアクセスを制限します。通常はインターネットへのアクセスのみとなります。
サーバー障害フォールバックは、リリース14.1X53-D40およびリリース15.1R4以降の音声トラフィックでサポートされています。音声トラフィックを送信するVoIPクライアントに対して、サーバー障害時のフォールバックアクションを設定するには、 server-fail-voip ステートメントを使用します。すべてのデータトラフィックに対して、 server-fail ステートメントを使用します。スイッチは、クライアントから送信されたトラフィックのタイプに基づいて、使用するフォールバック方法を決定します。タグなしのデータフレームは、VoIPクライアントから送信された場合でも、 server-failで設定されたアクションの対象となります。タグ付きVoIP VLANフレームは、 server-fail-voipで設定されたアクションの対象となります。 server-fail-voip が設定されていない場合、音声トラフィックは破棄されます。
VoIP VLAN タグ付きトラフィックでは、サーバー拒否フォールバックはサポートされていません。サーバー拒否フォールバックが有効なときに、VoIPクライアントがタグなしのデータトラフィックをVLANに送信して認証を開始すると、VoIPクライアントはフォールバックVLANへのアクセスを許可されます。その後、同じクライアントがタグ付き音声トラフィックを送信した場合、その音声トラフィックは破棄されます。
サーバー拒否フォールバックが有効なときに、VoIPクライアントがタグ付き音声トラフィックを送信して認証を開始すると、VoIPクライアントはフォールバックVLANへのアクセスが拒否されます。
以下の手順を使用して、データクライアントのサーバー障害アクションを設定できます。音声トラフィックを送信するVoIPクライアントに対してサーバー障害時のフォールバックを設定するには、server-failステートメントの代わりにserver-fail-voipステートメントを使用します。
サーバー障害時のフォールバックアクションを設定するには:
認証サーバーから RADIUS アクセス拒否メッセージを受信するインターフェイスを設定して、インターフェイス上で LAN アクセスを試みるエンドデバイスを、サーバー拒否 VLAN(スイッチ上ですでに設定されている指定された VLAN)に移動させることができます。
サーバー拒否フォールバックVLANを設定するには:
-
[edit protocols dot1x authenticator] user@switch# set interface interface-name server-reject-vlan vlan-sf
関連項目
変更履歴テーブル
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。