Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

認可変更(CoA)

概要 認証変更(CoA)サーバーをWLANに追加するメリットをご覧ください。

Change of Authorization(CoA)を使用すると、初期認証後に許可されたRADIUSセッションを変更して、変化するアクセス要件を満たすことができます。たとえば、CoAは、管理者が開始するセッションのリセットなどのユースケースを有効にして、セッションを終了できます。CoAを使用して、ゲスト登録が正常に完了した後に、更新されたアクセス権をユーザーに付与することもできます。

RADIUS における許可変更(CoA)のメリット

RADIUSにおけるChange of Authorization(CoA)のメリット:

  • アクティブユーザーセッションの制御を強化:RADIUSサーバーがNASに未承諾メッセージを送信できるようにすることで、CoAは初期認証後にセッション特性を変更する機能を提供します。この拡張コントロールを使用して、必要に応じてユーザー セッションを終了または再承認できます。

  • 標準RADIUSプロトコルの制限を克服:標準RADIUSプロトコルでは、NASからのみメッセージを開始できます。CoAはこの機能を拡張して、セッション管理に対するより柔軟で動的なアプローチを提供します。

  • ネットワーク管理の合理化:CoAのメッセージの切断機能により、効率的なセッションリセットが可能になります。これにより、時間とリソースが節約されるだけでなく、管理業務も簡素化されます。

  • ゲストアクセス管理の促進:CoA再認証メッセージ機能を利用して、ゲストユーザーがキャプティブポータルを介して登録した後、フルネットワークアクセスを許可できるため、ゲストアクセスの管理プロセスがよりスムーズかつ効果的になります。

  • ベンダー固有の属性をサポート:CoAはベンダー固有の属性との互換性があるため、CoAメッセージを送信する際にRADIUSサーバーとNASデバイス間の効果的な相互運用が可能になります。これにより、シームレスで効率的なネットワーク運用に貢献します。

WLAN設定でのCoAの有効化

WLAN設定で、 CoA / DMサーバー セクションに移動してこの機能を有効にします。 IP アドレス と共有 シークレットを入力します。デフォルトの Port 値をそのまま使用することも、ポートを指定することもできます。

CoA/DM Server Fields on the Edit/Create WLAN Page
メモ:

WLAN 設定の詳細については、次を参照してください: WLAN テンプレートと WLAN オプションを構成する。

CoAの仕組み

RADIUS 環境に認可変更(CoA)機能を実装すると、RADIUS サーバーが非送信請求メッセージをネットワーク アクセス サーバー(NAS)にアクティブに送信し、初期認証プロセス後にセッション特性を変更できるようになります。このプロアクティブなアプローチは、従来はNASのみがメッセージを開始できるようにしていた標準RADIUSプロトコルの制限に対処します。

CoA機能では、2つの主要なメッセージタイプを利用できます。

  • 切断メッセージ: このメッセージタイプは、メッセージに属性を組み込む Acct-Terminate-Cause ことによってユーザーセッションを終了するように設計されています。この機能の主な用途は、さまざまな理由でセッションをリセットする必要がある場合です。

  • CoA再認証メッセージ:このメッセージタイプは、NASにセッションの再認証を求めます。ゲスト アクセスなどのシナリオでは、これは、ゲスト ユーザがキャプティブ ポータルを介して登録を完了し、その結果、ネットワークがフル アクセスを許可する場合に特に便利です。再承認コマンドを効果的に伝えるために、メッセージではベンダー固有の属性を採用しています。

RADIUSサーバーとNASデバイス間のシームレスな相互運用性を確保するには、特定のベンダー属性のサポートを有効にする必要がある場合があります。これにより、ネットワーク インフラストラクチャ内で CoA メッセージが円滑に機能するようになります。

要約すると、RADIUS環境にCoA機能を組み込むことで、次のことが可能になります。

  • RADIUSサーバーが認証後にセッションを積極的に変更できるようにし、標準プロトコルの制約を克服します。

  • 2つの主要なメッセージタイプ(切断とCoA再認証)を活用して、さまざまなセッションシナリオを効果的に管理します。

  • 管理者が開始するセッションのリセットや、登録後のゲスト ユーザーに完全なネットワーク アクセスを許可するなど、さまざまなユース ケースに対応します。

  • ベンダー固有の属性を活用して、異なるネットワークデバイス間でCoAの最適な互換性と機能を確保します。

このアプローチを採用することで、より動的で応答性の高いネットワーク環境を構築し、多様なセッション管理要件を処理し、ユーザーに堅牢で安全なエクスペリエンスを提供できます。

メッセージ フロー

  1. 切断メッセージ: セッションの終了

    • AVP: Acct-Terminate-Cuase

    • 値: 管理者リセット

    Disconnect-Request and Disconnect-ACK/NAKDisconnect-Request Example
  2. CoA: セッションの再認証

    CoA-Request and CoA-ACK/NAKCoA-Request Example
    • AVP:ベンダー固有(Cisco-AVP)

    • 値: 再認証

    Juniper Mistに適用されないCoAメッセージ:

    • ポートシャットによるセッション終了

    • ポートバウンスによるセッション終了