Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

RADIUS 認証

Junos OS は、複数のルーターまたはスイッチまたはセキュリティデバイスでのユーザーの集中認証を RADIUS サポートします。デバイスで RADIUS 認証を使用するには、ネットワーク上の1台以上の RADIUS サーバーに関する情報を設定する必要があります。また、デバイスに RADIUS アカウンティングを設定して、ユーザーに関する統計データを LAN から収集または送信したり、データを RADIUS 経理サーバーに送ったりすることもできます。詳細については、このトピックをお読みください。

RADIUS サーバー認証の構成

RADIUS 認証は、ルーターまたはスイッチへのアクセスを試みるユーザーの認証方法です。

RADIUS を使用する理由

Junos OS は、複数のルーター上でユーザーの集中認証に使用する2つのプロトコルをサポートしています。RADIUS と TACACS +. RADIUS をお勧めします。これはマルチベンダー IETF 標準であり、その機能は TACACS + やその他の独自のシステムよりも広く受け入れられています。さらに、ワンタイムパスワードシステムを使用してセキュリティを強化することをお勧めしますが、これらのシステムのすべてのベンダーがサポートRADIUS。

優先度が相互運用性とパフォーマンスに関しては、RADIUS を使用する必要があります。

  • 相互運用性:RADIUSは TACACS+よりも相互運用性が高く、主に TACACS+ が独自の性質を持つためです。TACACS + はより多くのプロトコルをサポートしますが、RADIUS は広くサポートされています。

  • パフォーマンス:RADIUSとスイッチの重量が非常に重くなるので、ネットワーク エンジニアは一般的に TACACS+ より優RADIUS選択します。

構成 RADIUS サーバーの詳細

デバイスで RADIUS 認証を使用するには、各 RADIUS サーバーのradius-server[edit system]階層レベルに1つのステートメントを含めることで、ネットワーク上の1台以上の RADIUS サーバーに関する情報を構成します。

リモート認証は複数のデバイスで構成されているため、一般的に構成グループ内で構成されています。そのため、ここで示すステップはと呼ばれるglobal設定グループに含まれています。構成グループの使用は必須ではありません。

注:

ステートメントremoteは常に小文字でなければなりません。

注:

この機能は、SRX1500、SRX5400、SRX5600、SRX5800 の各デバイスでサポートされています。

RADIUS サーバーによる認証を構成するには、次のようにします。

  1. IPv4 または IPv6 サーバーのアドレスを追加します。

    • IPv4 送信元アドレスとサーバーアドレスを設定します。

      たとえば、以下のように記述します。

    • IPv6 の送信元アドレスとサーバーアドレスを設定します。

      たとえば、以下のように記述します。

      送信元アドレスは、ルーターまたはスイッチインターフェイスのいずれかに構成されている有効な IPv4 または IPv6 アドレスです。これにより、ローカルで生成された IP パケットの送信元アドレスとして固定アドレスを設定します。

      サーバーアドレスは、特定のサーバーに割り当てられている一意の IPv4 または IPv6 アドレスで、サーバーへの情報のルーティングに使用されます。Junos OS デバイスに RADIUS サーバーに到達できる複数のインターフェイスがある場合は、RADIUS サーバーとのすべての通信に使用できる IP アドレスを割り当てる Junos OS ます。

  2. 共有シークレットのパスワードが含まれています。

    secret password文でパスワードを指定する必要があります。パスワードにスペースが含まれている場合は、半角の引用符で囲みます。ローカルルーターまたはスイッチによって使用されるシークレットパスワードは、サーバーによって使用されているものと一致している必要があります。シークレットパスワードは、Junos OS デバイスが RADIUS サーバーにアクセスするために使用するパスワードを構成します。

    たとえば、以下のように記述します。

  3. 必要に応じて、RADIUS サーバーに接続するポートを指定します。

    デフォルトでは、ポート番号1812が使用されます (RFC 2865 で指定されています)。

    注:

    アカウンティングポートを指定して、 accounting-portステートメントとともにアカウンティングパケットを送信することもできます。デフォルトは 1813 (RFC 2866 で指定されている) です。

    たとえば、以下のように記述します。

  4. Junos OS が認証を試みる順序を指定します。

    ステートメントをauthentication-orderリモート認証構成に含める必要があります。

    この例では、ネットワークに RADIUS と TACACS + サーバーの両方が含まれていることを前提としています。この例では、ユーザーがログインしようとするたびに、Junos OS は最初に RADIUS サーバーに照会して認証を行います。失敗した場合は、ローカルに設定されたユーザーアカウントで認証を試行します。最後に、TACACS + サーバーが試行されます。

    たとえば、以下のように記述します。

  5. ログインクラスを RADIUS 認証されたユーザーに割り当てます。

    RADIUS 認証されたユーザーに対して、さまざまなユーザーテンプレートとログインクラスを割り当てることができます。このため、RADIUS 認証されたユーザーには、Junos OS デバイスに対して異なる管理者権限を与えることができます。デフォルトでは、RADIUS 認証されたremoteユーザーがユーザーテンプレートを使用し、ユーザーテンプレートが設定されてremoteいる場合remote 、ユーザーテンプレートで指定される関連クラスに割り当てられます。ユーザー名remoteは Junos OS では特別なケースです。リモートサーバーによって認証されたユーザーのためのテンプレートとして機能しますが、デバイス上にローカルに設定されたユーザーアカウントはありません。この方法では、Junos OS は、ローカルに定義されたアカウントを使用せずに、リモートテンプレートの権限を認証済みユーザーに適用します。リモートテンプレートにマップされたすべてのユーザーは、同じログインクラスであることになります。

    Junos OS 構成では、ユーザーテンプレートは通常のローカルユーザーアカウントと同じように構成されますが、ローカル認証パスワードが構成されていない点が異なります。この場合、認証は RADIUS サーバー上でリモートで実行されているためです。

    • RADIUS 認証されたすべてのユーザーに対して同じ権限を使用するには、次のようにします。

      たとえば、以下のように記述します。

    • RADIUS 認証されたユーザーごとに異なるログインクラスを使用するには、それぞれに異なる権限を付与する必要があります。

      1. Junos OS 設定で複数のユーザーテンプレートを作成します。

        すべてのユーザーテンプレートには、異なるログインクラスを割り当てることができます。

        たとえば、以下のように記述します。

      2. RADIUS サーバーで、認証されたユーザーに適用するユーザーテンプレートの名前を指定します。

        RADIUS サーバーでは、どのユーザーテンプレートが適用されるのかを示すために、RADIUS アクセス許可メッセージに、Juniper ローカルユーザー名属性 (ベンダー2636、タイプ1、文字列) Juniper VSA (ベンダー固有の属性) が含まれている必要があります。Juniper ローカルユーザー名の文字列値は、デバイスに設定されたユーザーテンプレートの名前に対応する必要があります。関連するVSAのジュニパー RADIUS、 「ベンダー固有のジュニパーネットワークス RADIUSとLDAP属性 」を参照してください

        Juniper ローカルユーザー名がアクセス拒否メッセージに含まれていない場合や、デバイス上に存在しないユーザーテンプレート名が文字列に含まれている場合、ユーザーはremoteユーザーテンプレートに割り当てられます (設定されている場合)。構成されていない場合、ユーザーの認証は失敗します。

        ログイン後、リモート認証されたユーザーはログイン時と同じユーザー名を保持します。ただし、ユーザーは割り当てられたユーザーテンプレートからユーザークラスを継承します。

        RADIUS サーバーでは、Junos OS デバイスで使用されるユーザーテンプレートを示す Juniper ローカルユーザー名の文字列をユーザーに割り当てることができます。前述の例では、この文字列は RO、OP、SU のいずれかになります。RADIUS サーバーの設定は使用するサーバーによって異なります。

管理インスタンスを使用するための RADIUS の設定

デフォルトでは、Junos OS は、デフォルトのルーティングインスタンスを通じて RADIUS 用に認証、許可、アカウンティングの各パケットをルーティングします。Junos OS リリース18.1 から開始すると、既存の RADIUS 動作が拡張され、デフォルト以外の VRF インスタンスで管理インターフェイスをサポートします。

このrouting-instance mgmt_junosオプションがradius-server server-ip-address and radius server server-ip-addressステートメントの両方で設定されると、そのmanagement-instanceステートメントも構成されている場合、RADIUS パケットは管理インスタンス mgmt_junos を介してルーティングされます。

注:

このrouting-instance mgmt_junosオプションは、 radius-serverおよびのradius serverステートメントの両方で設定する必要があります。このmanagement-instanceステートメントが設定されていない場合でも、RADIUS パケットはデフォルトルーティングインスタンスのみを使用して送信されます。

この管理インスタンスの詳細については、管理のインスタンスを参照してください。

例:システム認証用に RADIUS サーバーを構成する

この例は、システム認証用に RADIUS サーバーを設定する方法を示しています。

要件

開始する前に:

概要

この例では、172.16.98.1 という IP アドレスを持つ新しい RADIUS サーバーを追加し、Radiussecret1 として RADIUS サーバーの共有シークレットパスワードを指定します。シークレットは、暗号化された値として構成データベースに保存されます。最後に、デバイスによって RADIUS サーバーの要求に含まれる送信元アドレスを指定します。ほとんどの場合、デバイスのループバックアドレスを使用できます。この例では10.0.0.1 になっています。

構成

手順

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

GUIのクイック設定
順を追った手順

システム認証用に RADIUS サーバーを構成するには、次のようにします。

  1. J-Web ユーザーインターフェイスで、[] Configure>System Properties>User Managementを選択します。

  2. クリックEditします。[ユーザー管理の編集] ダイアログボックスが表示されます。

  3. Authentication Method and Order タブを選択します。

  4. [RADIUS] セクションで、 Addをクリックします。[Radius サーバーの追加] ダイアログボックスが表示されます。

  5. [IP アドレス] ボックスに、サーバーの 32 ビット IP アドレスを入力します。

  6. [パスワードおよびパスワードの確認] ボックスにサーバーのシークレットパスワードを入力し、入力内容を確認します。

  7. [サーバーポート] ボックスに、適切なポートを入力します。

  8. [発信元アドレス] ボックスに、サーバーの送信元 IP アドレスを入力します。

  9. [試みる回数] ボックスで、サーバーがユーザーの認証情報を検証しようとする回数を指定します。

  10. [タイムアウト] ボックスで、サーバーからの応答をデバイスが待機する時間 (秒単位) を指定します。

  11. 設定OKを確認し、候補の設定として保存するときにクリックします。

  12. デバイスの設定が完了したら、[ Commit Options>Commit] をクリックします。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

システム認証用に RADIUS サーバーを構成するには、次のようにします。

  1. 新しい RADIUS サーバーを追加して、IP アドレスを設定します。

  2. RADIUS サーバーの共有シークレット (パスワード) を指定します。

  3. デバイスのループバック アドレス ソース アドレスを指定します。

結果

設定モードから、 show system radius-serverコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

注:

RADIUS 認証を完全に設定するには、ユーザーテンプレートアカウントを作成し、システム認証順を指定する必要があります。以下のいずれかの作業を実行します。

検証

構成が正常に機能していることを確認します。

RADIUS サーバーシステム認証の構成を検証しています

目的

RADIUS サーバーがシステム認証用に設定されていることを確認します。

アクション

動作モードから、 show system radius-serverコマンドを入力します。

例:RADIUS 認証の構成

Junos OS は、複数のルーター上でユーザーの集中認証に使用する2つのプロトコルをサポートしています。RADIUS と TACACS +. RADIUS をお勧めします。これはマルチベンダー IETF 標準であり、その機能は TACACS + やその他の独自のシステムよりも広く受け入れられています。さらに、ワンタイムパスワードシステムを使用してセキュリティを強化することをお勧めしますが、これらのシステムのすべてのベンダーがサポートRADIUS。

Junos OS は、1つまたは複数のテンプレートアカウントを使用してユーザー認証を実行します。テンプレートアカウントまたはアカウントを作成し、そのアカウントを使用するようにユーザーアクセスを設定します。RADIUS サーバーが利用できない場合は、ログインプロセスでルーターまたはスイッチ上に設定されたローカルアカウントを使用することになります。

次の例は、RADIUS 認証を構成する方法を示しています。

次の例は、RADIUS 認証を有効にして、クライアントとサーバー間の共有シークレットを定義する方法を示しています。このシークレットにより、クライアントとサーバーは、信頼されたピアと通信していることを判断できます。

各サーバーのタイムアウト値を定義して、指定した秒数以内に応答がない場合は、次のサーバーまたは次の認証メカニズムのどちらかを試してみることができます。

次の例は、さまざまなユーザーまたはユーザーグループに対して RADIUS テンプレートアカウントを設定する方法を示しています。

RADIUS 認証の構成 (QFX シリーズまたは OCX シリーズ)

RADIUS 認証は、ルーターまたはスイッチへのアクセスを試みるユーザーの認証方法です。RADIUS 認証を構成するタスクは以下のとおりです。

注:

このsource-addressステートメントは、qfabric システム[edit system radius-options[edit system-radius-server name]の or 階層ではサポートされていません。

構成 RADIUS サーバーの詳細

ルーターまたはスイッチで RADIUS 認証を使用するには、各 RADIUS サーバーのradius-server[edit system]階層レベルに1つのステートメントを含めることで、ネットワーク上の1台以上の RADIUS サーバーに関する情報を構成します。

サーバー アドレスは 、サーバーのRADIUSです。

RADIUS サーバーに接続するポートを指定できます。デフォルトでは、ポート番号1812が使用されます (RFC 2865 で指定されています)。アカウンティングポートを指定してアカウンティングパケットを送信することもできます。デフォルトは 1813 (RFC 2866 で指定されている) です。

secret password文でパスワードを指定する必要があります。パスワードにスペースが含まれている場合は、半角の引用符で囲みます。ローカルルーターやスイッチによって使用されるシークレットは、サーバーで使用されるものと一致している必要があります。

オプションとして、ローカルルーターまたはスイッチが RADIUS サーバー ( timeoutステートメント内) からの応答を受信するまでの待ち時間と、ルーターまたはスイッチが RADIUS 認証サーバー ( retry文内) に接続しようとする回数を指定することもできます。デフォルトでは、ルーターまたはスイッチは3秒間待機します。これを1~90秒の値に設定できます。デフォルトでは、ルーターまたはスイッチは、サーバーへの接続を3回再試行します。これを 1 ~ 10 回の値として設定できます。

このsource-addressステートメントを使用して、個別または複数の RADIUS サーバーの論理アドレスを指定できます。

複数の RADIUS サーバーを構成するにradius-serverは、複数のステートメントを含めます。

承認の目的で1つのアカウントを共有する一連のユーザーを設定するには、テンプレートユーザーを作成します。これを行うには、 例 で説明 user されているとおり、 階層レベルに [edit system login] ステートメントを含 てます。認証順序を設定します

また、 [edit access][edit access profile]階層レベルで RADIUS 認証を構成することもできます。Junos OS は、認証に使用されるサーバーのセットを決定するために、次のような検索順序を使用します。

  1. [edit access profile profile-name radius-server server-address]

  2. [edit access radius-server server-address]

  3. [edit system radius-server server-address]

パスワード変更サポート用の MS-CHAPv2 の設定

MS-CHAPv2 をパスワード変更サポート用に設定する前に、以下のことを確認してください。

  • RADIUS サーバー認証パラメーターを構成します。

  • 最初の authentication-order パスワードの試行に RADIUS使用するパスワードを設定します。

ルーターまたはスイッチで、チャレンジハンドシェイク認証プロトコルバージョン 2 (MS-CHAPv2) の Microsoft 実装を設定して、パスワードの変更をサポートできます。この機能は、ユーザーにルーターやスイッチへのアクセスを提供します。パスワードの有効期限が切れたとき、リセットされたとき、または次回ログイン時に変更するように設定されているときに、パスワードを変更するオプションが選択されます。

MS-CHAP-v2 を構成するには、以下のステートメントを[edit system radius-options]階層レベルで含めます。

次の例は、MS-CHAPv2 パスワードプロトコル、パスワード認証順序、ユーザーアカウントを構成するためのステートメントを示しています。

外部 RADIUS サーバーにアクセスするために Junos OS の送信元アドレスを指定する

ネットワークにアクセスする際に使用 Junos OS ソースアドレスを指定して、認証用に外部 RADIUS サーバーに接続することができます。また、RADIUS サーバーに接続してアカウンティング情報を送信する際に使用 Junos OS 送信元アドレスを指定することもできます。

RADIUS サーバーの送信元アドレスを指定するには、 source-address次のよう[edit system radius-server server-address]なステートメントを階層レベルに含めます。

送信元アドレスは 、ルーターまたはスイッチ インターフェイスの1つで設定された有効なIPアドレスです。

ジュニパーネットワークス固有の属性RADIUS LDAP 属性

Junos OSとLDAPベンダー固有ジュニパーネットワークス RADIUS(VSA)の設定をサポートしています。これらの VSA は、RADIUS と LDAP のベンダー固有の属性でカプセル化され、ベンダー ID は ジュニパーネットワークス ID 番号(2636)に設定されています。 表 1 は、ジュニパーネットワークス可能なVSAのリストです。

表 1: ジュニパーネットワークス固有の属性RADIUS LDAP 属性

お名前

説明

種類

期間

文字列

Juniper ローカルユーザー名

デバイスへのログイン時にこのユーザーによって使用されるユーザーテンプレートの名前を示します。この属性は、アクセス受け付けパケットでのみ使用されます。

1

≥3

印刷可能な ASCII 文字を含む1つまたは複数のオクテット。

Juniper-Allow コマンド

ユーザーのログイン クラス許可ビットによって承認されたコマンドに加えて、ユーザーが動作モード コマンドを実行できる拡張正規表現も含まれています。この属性は、アクセス受け付けパケットでのみ使用されます。

2

≥3

拡張正規表現の形式で印刷可能な ASCII 文字を含む1つまたは複数のオクテット。Junos OS の運用モードコマンド、構成ステートメント、階層を許可して拒否するための正規表現を参照してください。

Juniper-Deny コマンド

ユーザーのログイン クラスの許可ビットによって承認された動作モード コマンドを実行するためのユーザー許可を拒否する拡張正規表現が含まれています。この属性は、アクセス受け付けパケットでのみ使用されます。

3

≥3

拡張正規表現の形式で印刷可能な ASCII 文字を含む1つまたは複数のオクテット。Junos OS の運用モードコマンド、構成ステートメント、階層を許可して拒否するための正規表現を参照してください。

Juniper-Allow Configuration

ユーザーのログイン クラス許可ビットによって承認されたコマンドに加えて、ユーザーが設定モード コマンドを実行できる拡張正規表現も含まれています。この属性は、アクセス受け付けパケットでのみ使用されます。

4

≥3

拡張正規表現の形式で印刷可能な ASCII 文字を含む1つまたは複数のオクテット。Junos OS の運用モードコマンド、構成ステートメント、階層を許可して拒否するための正規表現を参照してください。

Juniper-拒否構成

ユーザーのログイン クラス許可ビットによって承認された設定コマンドを実行するためのユーザー許可を拒否する拡張正規表現が含まれています。この属性は、アクセス受け付けパケットでのみ使用されます。

5

≥3

拡張正規表現の形式で印刷可能な ASCII 文字を含む1つまたは複数のオクテット。Junos OS の運用モードコマンド、構成ステートメント、階層を許可して拒否するための正規表現を参照してください。

ジュニパー-Interactive-Command

ユーザーが入力した対話型コマンドを示します。この属性はアカウンティング要求パケットでのみ使用されます。

8

≥3

印刷可能な ASCII 文字を含む1つまたは複数のオクテット。

ジュニパー構成変更

設定 (データベース) 変更を発生させる対話型コマンドを示します。この属性はアカウンティング要求パケットでのみ使用されます。

9

≥3

印刷可能な ASCII 文字を含む1つまたは複数のオクテット。

Juniper ユーザーのアクセス許可

ユーザーの権限を指定するためにサーバーが使用する情報を格納します。この属性は、アクセス受け付けパケットでのみ使用されます。

注:

属性がJunos OSまたはRADIUSサーバーおよびLDAPサーバーに対する権限を付与するように設定されている場合 Juniper-User-Permissionsmaintenanceall 、UNIXハンドルグループのメンバーシップは、ユーザーのグループ メンバーシップのリストに自動的に追加されません。ローカルシェルからのコマンド実行su rootなどの一部の操作には、wheel group membership 権限が必要です。ただし、ユーザーが権限maintenanceallを使用してローカルに設定されている場合は、そのユーザーは自動的に UNIX wheel グループにメンバーシップが付与されます。そのため、必要なアクセス許可を持つテンプレートユーザーアカウントを作成し、個々のユーザーアカウントをテンプレートユーザーアカウントに関連付けることをお勧めします。

10

≥3

印刷可能な ASCII 文字を含む1つまたは複数のオクテット。

文字列は、スペースで区切られた権限フラグのリストです。各フラグの正確な名前を完全に指定する必要があります。ログインクラス権限フラグを参照してください。

Juniper 認証タイプ

ユーザーの認証に使用される認証方法(ローカル データベース、LDAP、RADLDSserver)を示します。ユーザーがローカル データベースを使用して認証されている場合、属性値には「ローカル」と表示されます。ユーザーがサーバーまたはLDAPサーバー RADIUS認証されている場合、属性値には「リモート」と表示されます。

11

≥5

印刷可能な ASCII 文字を含む1つまたは複数のオクテット。

Juniper セッションポート

確立されたセッションの発信元ポート番号を示します。

12

整数のサイズ

数値

VSAの詳細については、 RFC 2138、 リモート認証ダイヤル インユーザーサービス(RADIUS) を参照してください

Juniper スイッチングフィルターの VSA Match 条件とアクション

デバイスは、ジュニパーネットワークスに特有の RADIUS のサーバー属性の設定をサポートしています。これらの属性は、ベンダー固有の属性(VSA)として知られています。RFC 2138、リモート認証ダイヤル イン ユーザーサービス(プロトコル)に記載RADIUS。

Vsa を使用して、RADIUS サーバー上でポートフィルター属性を構成できます。Vsa は、認証の成功または失敗の結果として RADIUS サーバーからデバイスに送信されるクリアテキストフィールドです。認証では、デバイスが RADIUS サーバーによって認証されるまで、そのポートでサプリカントをブロックすることで、権限のないユーザーアクセスを防止します。VSA の属性は、デバイスによって認証中に解釈され、デバイスは適切なアクションを実行します。RADIUS サーバーでの認証におけるポートフィルタリング属性の実装は、サプリカントの LAN アクセスを管理するための一元的な場所を提供します。

ジュニパーネットワークスに固有のポートフィルタリング属性は、RADIUS サーバーの VSA にカプセル化されており、ベンダー ID はジュニパーネットワークス ID 番号2636に設定します。

Vsa によってポートフィルタリング属性を設定するだけでなく、デバイスにすでに設定されているポートファイアウォールフィルタを RADIUS サーバーに適用することもできます。ポートフィルタリング属性と同様に、フィルターは認証プロセス中に適用され、そのアクションはデバイスポートに適用されます。ポートファイアウォールフィルターを RADIUS サーバーに追加することで、複数のポートおよびデバイスにフィルターを追加する必要がなくなります。

Juniper スイッチフィルターの VSA は、サプリカントのアクセスをネットワークに一元的に制御するために、802.1 X 認証と連携して動作します。この VSA を使用して、スイッチに送信される RADIUS サーバー上のフィルターを構成し、802.1 X 認証を使用して認証されたユーザーに適用することができます。

Juniper スイッチフィルターの VSA には、1つまたは複数のフィルター条件が含まれています。フィルター条件は、結果として得られるアクションで、1つ以上の照合条件を使用して設定されます。照合条件とは、パケットが適用されるように設定されたアクションを実行するために満たす必要がある条件です。アクションとは、パケットがマッチ条件の基準を満たす場合にスイッチが取るアクションです。スイッチが実行できるアクションは、パケットを許可するか拒否するかのいずれかです。

以下のガイドラインは、Vsa に一致条件とアクションを指定する場合に適用されます。

  • 両方match actionもステートメントは必須です。

  • 一致条件が指定されていない場合は、すべてのパケットがデフォルトで一致していると見なされます。

  • アクションが指定されていない場合、デフォルトのアクションはパケットを拒否します。

  • match and action文には、任意またはすべてのオプションを含めることができます。

  • AND 演算子は、カンマで区切られた、タイプが異なるフィールドで実行されます。同じタイプのフィールドを繰り返すことはできません。

  • このforwarding-classオプションを適用するには、転送クラスがスイッチに設定されている必要があります。転送クラスがスイッチに設定されていない場合、このオプションは無視されます。

表 2RADIUS サーバー上のmatchコマンドを使用して VSA 属性をファイアウォールフィルターとして構成する場合に、指定できる match 条件について説明します。照合条件を定義する文字列は、 match 文と呼ばれます。

表 2: 条件の照合

オプション

説明

destination-mac mac-address

パケットの宛先メディアアクセス制御 (MAC) アドレスです。

source-dot1q-tag tag

Tag 値は、802.1 Q ヘッダーの範囲0内で使用4095されます。

destination-ip ip-address

最終的な宛先ノードのアドレス。

ip-protocol protocol-id

IPv4 プロトコル値。数値の代わりに、次のいずれかのテキストシノニムを指定できます。

ahegp (8)esp (50gre (47)icmp (1)igmp (2)ipip (4),,,,,,,,,,,,,, またはipv6 (41)ospf (89)pim (103)rsvp (46)tcp (6)udp (17)

source-port port

TCP またはユーザーデータグラムプロトコル (UDP) 送信元ポートフィールド。通常、この match 文は、 ip-protocol match 文とともに指定して、ポートでどのプロトコルが使用されているかを確認します。数値フィールドの代わりに、[ destination-port] に一覧表示されたテキストオプションのいずれかを指定できます。

destination-port port

TCP または UDP 宛先ポートフィールド。通常、この match 文は、 ip-protocol match 文とともに指定して、ポートでどのプロトコルが使用されているかを確認します。数値の代わりに、次のいずれかの同義語を指定できます (ポート番号も表示されています)。

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cvspserver (2401), cmd (514), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), telnet (23), tacacs-ds (65), talk (517), tftp (69), timed (525), who (513), xdmcp (177), zephyr-clt (2103),zephyr-hm (2104)

フィルタリング基準を指定する1つ以上の条件を定義する場合は、パケットがすべての条件を満たす場合に実行されるアクションも定義します。表 3では、条件に指定できるアクションが示されています。

表 3: Vsa に関するアクション

オプション

説明

(allow |deny)

パケットを受信するか、インターネット制御メッセージプロトコル (ICMP) メッセージを送信せずに、黙ってパケットを廃棄します。

forwarding-class class-of-service

ナ次のいずれかの転送クラスでパケットを分類します。

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

loss-priority(low |medium |high)

ナパケットロスの優先度 (PLP) をlowmedium、またhighはに設定します。転送クラスと損失の優先度の両方を指定します。

RADIUS アカウンティングについて

RFC 2866 RADIUS,IETF Accounting . デバイスで RADIUS アカウンティングを構成することにより、ユーザーに関する統計データの収集、LAN からのログイン/ログアウト、およびデータの RADIUS 経理サーバーへの送信がサポートされます。収集された統計データを使用して、一般的なネットワーク監視、使用パターンの分析と追跡、またはアクセスした時間やタイプに基づいたユーザーの課金を行うことができます。

RADIUS アカウンティングを構成するには、1つ以上の RADIUS accounting サーバーを指定してデバイスからの統計データを受信し、収集するアカウンティングデータのタイプを選択します。

指定する RADIUS アカウンティングサーバーは、RADIUS 認証に使用されるのと同じサーバーであっても、別の RADIUS サーバーでもかまいません。RADIUS アカウンティングサーバーのリストを指定できます。プライマリサーバー (初回構成時) が利用できない場合、リスト内の各 RADIUS サーバーは、Junos OS で設定された順に試行されます。

デバイスと RADIUS サーバー間の RADIUS アカウンティングプロセスは次のように動作します。

  1. RADIUS アカウンティングサーバーは、特定のポートでユーザーデータグラムプロトコル (UDP) パケットをリッスンします。たとえば、FreeRADIUS では、デフォルトポートは1813です。

  2. デバイスは、イベントレコードを含むアカウンティング要求パケットをアカウンティングサーバーに転送します。このサプリカントに関連付けられたイベントレコードには、このサプリカントのユーザーサービスの開始を示す値である、 Acct Status Type属性が含まれています。サプリカントのセッションが終了すると、アカウンティング要求にはユーザー サービスの終了を示す Acct-Status-Type 属性値が格納されています。RADIUS アカウンティングサーバーは、セッション情報とセッションの長さを含むストップアカウンティングレコードとしてこれを記録します。

  3. RADIUS アカウンティングサーバーは、これらのイベントを、開始アカウンティングまたは決算アカウンティングレコードとしてファイルに記録します。FreeRADIUSでは、ファイル名はサーバーのアドレスです。例:192.0.2.0

  4. アカウンティングサーバーはアカウンティング応答パケットをデバイスに送り返し、アカウンティング要求を受信したことを確認します。

  5. デバイスがサーバーから応答を受信しない場合は、アカウンティングサーバーからアカウンティング応答が返されるまで、アカウンティング要求の送信が続行されます。

このプロセスを通じて収集される統計情報は、RADIUS サーバーから表示できます。これらの統計を確認するために、ユーザーはこれらを受信するよう設定されたログファイルにアクセスします。

RADIUS システムアカウンティングの設定

RADIUS アカウンティングを有効にすると、ジュニパーネットワークス デバイスは RADIUS クライアントとして機能し、ソフトウェア ログイン、設定変更、インタラクティブ コマンドなどのユーザー アクティビティについて、RADIUS サーバーに通知できます。RADIUS アカウンティングのフレームワークについては、RFC 2866 で説明されています。

RADIUS システムアカウンティングを構成するためのタスクは次のとおりです。

RADIUS サーバーでのユーザーイベントの監査の設定

ユーザーイベントを監査するには、次のステートメント[edit system accounting]を階層レベルに追加します。

RADIUS サーバーアカウンティングおよび監査イベントを指定する

RADIUS サーバーを使用して認証する際に監査するイベントを指定するにはevents 、階層レベル[edit system accounting]のステートメントを追加します。

eventsは、以下のいずれか、または複数の場合があります。

  • login— ログインの監査

  • change-log—設定変更の監査

  • interactive-commands—対話型コマンドの監査(コマンドライン入力)

RADIUS サーバーアカウンティングを構成する

サーバーアカウンティング RADIUS 設定するには、 server次のよう[edit system accounting destination radius]なステートメントを階層レベルに含めます。

server-addressRADIUS サーバーのアドレスを指定します。複数の RADIUS サーバーを構成するにserverは、複数のステートメントを含めます。

注:

[edit system accounting destination radius]ステートメント階層レベルで RADIUS サーバーが設定されていない場合、Junos OS は[edit system radius-server]階層レベルで構成された RADIUS サーバーを使用します。

accounting-port port-numberRADIUS サーバーアカウンティングポート番号を指定します。

デフォルトのポート番号は1813です。

注:

RADIUS アカウンティングを[edit access profile profile-name accounting-order]階層レベルで有効にすると、 accounting-portステートメントの値を指定しない場合でも、デフォルトポートの1813でアカウンティングがトリガーされます。

routing-instance routing-instanceデフォルト以外の管理インスタンスの名前です。ルーティング mgmt_junos インスタンス名として使用します。デフォルト以外のインスタンスの管理インターフェイスを参照してください。

ローカルルーターまたはスイッチが RADIUS クライアントに渡すシークレット (パスワード) を指定するには、 secretステートメントを使用する必要があります。パスワードにスペースが含まれている場合は、パスワード全体を引用符(" ")で囲みます。

source-addressステートメントで、RADIUS サーバーの送信元アドレスを指定します。RADIUS サーバーに送信された各 RADIUS 要求は、指定された送信元アドレスを使用します。ルーターまたはスイッチインターフェイスのいずれかで設定された有効な IPv4 アドレス (radius サーバーアドレスが IPv4 の場合) または IPv6 アドレス (radius サーバーアドレスが IPv6 の場合の場合)。

必要に応じて、ルーターやスイッチが RADIUS 認証サーバーへの接続を試行する回数を指定することもretryできます。文を含めます。デフォルトでは、ルーターまたはスイッチは3回再試行されます。ルーターまたはスイッチは、1~10 回から 10 回に設定できます。

オプションとして、ローカルルーターまたはスイッチが RADIUS サーバーからの応答を受信するまでの時間を指定するにはtimeout 、ステートメントを含めます。デフォルトでは、ルーターまたはスイッチが 3 秒待機します。タイムアウトは、1~90秒に設定できます。

Junos OS リリース14.1 と Junos OS リリース 17.3 R1 から開始して、ログインしenhanced-accountingたユーザーの属性値を表示するように文を設定できます。enhanced-accounting階層レベルで[edit system radius-options]ステートメントを使用すると、アクセスメソッド、リモートポート、アクセス権限などの RADIUS 属性を監査できます。階層レベルのenhanced-avs-max <number>[edit system accounting]ステートメントを使用して、監査に表示される属性値の数を制限できます。

ジュニパーネットワークスルーターまたはスイッチが RADIUS アカウンティングで構成されているAccounting-Start場合Accounting-Stop 、RADIUS サーバーに送信とメッセージを配信します。これらのメッセージには、ソフトウェアのログイン、設定の変更、対話型コマンドなどのユーザーアクティビティに関する情報が含まれています。通常、この情報は、ネットワークの監視、利用状況の統計の収集、およびユーザーの請求が適切に行われているかどうかを確認するために使用されます。

次の例は、RADIUS アカウンティング用に設定された3つのサーバー (10.5.5.5、10.6.6.6、および 10.7.7.7) を示しています。

リリース履歴テーブル
リリース
説明
17.4R1
Junos OS リリース18.1 から開始すると、既存の RADIUS 動作が拡張され、デフォルト以外の VRF インスタンスで管理インターフェイスをサポートします。
14.1
Junos OS リリース14.1 と Junos OS リリース 17.3 R1 から開始して、ログインしenhanced-accountingたユーザーの属性値を表示するように文を設定できます。