Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

認可変更(CoA)

WLANに認可変更(CoA)サーバーを追加するメリットをご覧ください。

Change of Authorization(CoA)を使用すると、最初の認証後に許可されたRADIUSセッションを変更して、変化するアクセス要件を満たすことができます。たとえば、CoAでは、管理者が開始したセッションのリセットなどのユースケースでセッションを終了できます。CoAは、ゲスト登録が正常に完了した後に、更新されたアクセス権をユーザーに付与するためにも使用できます。

RADIUSの認可変更(CoA)のメリット

RADIUSの認可変更(CoA)のメリット:

  • アクティブなユーザーセッションの制御を強化:CoAでは、RADIUSサーバーがNASに未承諾メッセージを送信できるようにすることで、初期認証後にセッションの特性を変更することができます。この拡張制御を使用して、必要に応じてユーザー セッションを終了または再承認できます。

  • 標準RADIUSプロトコルの制限を克服:標準RADIUSプロトコルでは、NASからのみメッセージを開始できます。CoAはこの機能を拡張し、セッション管理へのより柔軟で動的なアプローチを提供します。

  • ネットワーク管理の合理化: CoAの切断メッセージ機能を使用すると、効率的なセッションリセットが可能になります。これにより、時間とリソースが節約されるだけでなく、管理業務も簡素化されます。

  • ゲストアクセス管理の円滑化:ゲストユーザーがキャプティブポータルを通じて登録した後、CoA再認証メッセージ機能を利用してフルネットワークアクセスを許可できるため、ゲストアクセスの管理プロセスがよりスムーズかつ効果的になります。

  • ベンダー固有の属性をサポート:CoAはベンダー固有の属性と互換性があるため、CoAメッセージを送信する際に、RADIUSサーバーとNASデバイス間で効果的な相互運用を行うことができます。これにより、シームレスで効率的なネットワーク運用に貢献します。

WLAN 設定での CoA の有効化

WLAN設定で、[ CoA/DMサーバ ]セクションに移動して、この機能を有効にします。 [IP アドレス ] と [共有シークレット] を入力します。デフォルトの [ポート ] 値をそのまま使用することも、ポートを指定することもできます。

CoA/DM Server Fields on the Edit/Create WLAN Page
手記:

WLAN 設定の詳細については、「 WLAN テンプレートと WLAN オプションの構成」を参照してください。

CoAの仕組み

RADIUS環境に認証変更(CoA)機能を実装すると、初期認証プロセス後に、RADIUSサーバーがネットワークアクセスサーバー(NAS)に未承諾メッセージを積極的に送信し、セッション特性を変更することができるようになります。この事前対応型アプローチにより、従来NASのみがメッセージを開始できる標準RADIUSプロトコルの制限に対応できます。

CoA機能には、活用できる主なメッセージタイプが2つあります。

  • 切断メッセージ: このメッセージタイプは、メッセージに Acct-Terminate-Cause 属性を組み込むことでユーザーセッションを終了するように設計されています。この機能の主な用途は、さまざまな理由でセッションをリセットする必要がある場合です。

  • CoA Re-Auth Message:このメッセージタイプは、NASにセッションの再認証を求めます。ゲストアクセスなどのシナリオでは、ゲストユーザーがキャプティブポータルを介して登録を完了し、その結果、ネットワークがフルアクセスを許可する場合に特に便利です。re-authorize コマンドを効果的に伝えるため、メッセージにはベンダー固有の属性が採用されています。

RADIUSサーバーとNASデバイス間のシームレスな相互運用性を確保するには、特定のベンダー属性のサポートを有効にする必要がある場合があります。これにより、ネットワークインフラストラクチャ内でCoAメッセージが円滑に機能するようになります。

要約すると、RADIUS環境にCoA機能を組み込むことで、次のことを実現できます。

  • RADIUSサーバーが認証後にセッションを積極的に変更できるようにし、標準プロトコルの制約を克服します。

  • 2つの主要なメッセージタイプ(切断とCoA再認証)を利用して、さまざまなセッションシナリオを効果的に管理します。

  • 管理者が開始するセッションのリセットや、登録後のゲストユーザーへのフルネットワークアクセスの許可など、さまざまなユースケースに対処します。

  • ベンダー固有の属性を活用して、異なるネットワークデバイス間でのCoAの最適な互換性と機能を確保します。

このアプローチを採用することで、より動的で応答性の高いネットワーク環境を構築でき、多様なセッション管理要件に対応し、ユーザーに堅牢で安全なエクスペリエンスを提供できます。

メッセージフロー

  1. 切断メッセージ:セッションの終了

    • AVP:Acct-Terminate-Cuase

    • 値: admin-reset

    Disconnect-Request and Disconnect-ACK/NAKDisconnect-Request Example

  2. CoA:セッションの再認証

    CoA-Request and CoA-ACK/NAKCoA-Request Example

    • AVP:ベンダー固有(Cisco-AVP)

    • 値: 再認証

    Juniper Mistに適用されないCoAメッセージ:

    • Port-Shutによるセッション終了

    • Port-Bounceによるセッション終了

関連資料