Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

Juniper Mist RADIUS属性

概要 この情報を使用して、Juniper Mist™アクセスポイント(AP)に実装されているRADIUS属性を把握します。

認証属性

WLANユーザー認証用にMist APでRADIUSサービスを有効にすることができます。RADIUS サービスは、IEEE 802.1X 認証を実装する WLAN に 必要です

認証中、AP はアクセス要求メッセージでユーザ情報を RADIUS サーバーに送信します。RADIUS サーバーは、次のいずれかの応答を返します。

  • Access-Reject:要求されたネットワーク リソースへのアクセスを無条件に拒否します。失敗の理由には、無効な資格情報や非アクティブなアカウントが含まれる場合があります。

  • Access-Challenge:セカンダリ パスワード、PIN、トークン、カードなどの追加情報をユーザーに要求します。Access-Challengeは、拡張認証プロトコル(EAP)を使用した認証など、ユーザーとRadiusサーバーの間に安全なトンネルが確立されている場合の、より複雑な認証にも使用されます。

  • Access-Accept:要求されたネットワーク リソースへのアクセスを許可します。アクセス要求には、多くの場合、戻り属性を使用するユーザー向けの追加の構成情報が含まれています。

IETF標準認証属性

以下の表は、RFC 2865に従ってJuniper Mist APに実装されている標準的な認証属性を説明しています。RFC 2868 および RFC 2869 の推奨事項に従って、追加の拡張機能も実装されています。

表 1: IETF 標準認証属性
属性名 タイプ RFC の説明
ユーザー名 1 RFC 2865 ユーザー名属性はアクセス要求で転送され、認証されるユーザーの名前を示します。
ユーザーパスワード 2 RFC 2865 ユーザーパスワード属性は、アクセスリクエストで転送されます。これは、認証されるユーザーのパスワード、またはアクセスチャレンジ後のユーザーの入力を示します。
NAS-IPアドレス 4 RFC 2865

NAS-IP-Address属性は、アクセスリクエストで転送され、ユーザー認証を要求するAPのIPアドレスを示します。

この属性は、WLAN の RADIUS 設定で設定できます。WLAN 上のすべての AP が、設定された値を送信します。

サービスタイプ 6 RFC 2865 Service-Type 属性はアクセス要求で転送され、ユーザーが要求したサービスの種類、または提供されるサービスの種類を示します。属性値は常に、802.1X/EAP WLANの場合はAPによってフレームユーザに設定され、MAC認証が有効なWLANの場合はコールチェックに設定されます。
フレームMTU 12 RFC 2865 Framed-MTU属性は、アクセスリクエストで転送され、ユーザーに対して設定される最大伝送単位(MTU)を示します。属性値は、AP によって常に 1200 に設定されます。
状態 24 RFC 2865 状態属性は、アクセスチャレンジで転送できます。そのチャレンジに対するアクセス要求応答 (存在する場合) で、クライアントからサーバーに変更されずに送信する必要があります。
着信側ステーション ID 30 RFC 2865 着信側ステーション ID 属性はアクセス要求で転送され、認証ユーザが関連付けられている BSSID および ESSID を示します。アクセスポイントは、XX-XX-XX-XX-XX-XX:ESSIDの形式で属性値を転送します。
コーリング ステーション ID 31 RFC 2865 発信側ステーション ID 属性はアクセス要求で転送され、認証ユーザの MAC アドレスを示します。Access-Requestパケットでのみ使用されます。アクセスポイントは、XX-XX-XX-XX-XX-XX-XXの形式で属性値を転送します。
NAS識別子 32 RFC 2865

NAS識別子属性は、アクセスリクエストで転送されます。この属性は、WLAN の RADIUS 設定で設定できます。WLAN 上のすべてのアクセス ポイントが、設定された値を送信します。

変数を使用して、デバイス名、モデル、MAC アドレス、およびサイト名を送信できます。変数は次のとおりです。

{{DEVICE_NAME}}

{{DEVICE_MODEL}}

{{DEVICE_MAC}}

{{SITE_NAME}}
プロキシ状態 33 RFC 2865 プロキシ状態属性は、アクセス要求を転送するときにプロキシサーバーによって別のサーバーに送信されます。これは、アクセス アクセス サーバーに応答を送信する前に、Access-Accept、Access-Reject または Access-Challenge で変更されずに返され、プロキシ サーバーによって削除される必要があります
NASポートタイプ 61 RFC 2865 NAS-Port-Type属性は、アクセスリクエストで転送され、認証ユーザーの物理接続のタイプを示します。属性値は、アクセス ポイントによって常に Wireless-802.11 に設定されます。
接続情報 77 RFC 2869 接続情報属性は、アクセスリクエストで転送され、認証ユーザーのデータレートと無線タイプを示します。アクセス ポイントは、CONNECT XXMbps 802.11X の形式で属性値を転送します。
EAPメッセージ 79 RFC 2869 EAPメッセージ属性は、Access-Request、Access-Challenge、Access-Accept、Access-Rejectedで転送され、EAP(拡張アクセスプロトコル)パケットをカプセル化します。
メッセージ認証システム 80 RFC 2869 メッセージ認証属性アクセス要求で転送され、CHAP、ARAP、またはEAPアクセス要求パケットのなりすましを防ぐために使用できます。
トンネルプライベートグループID 81 RFC 2868

Tunnel-Private-Group-ID属性はAccess-Acceptで転送され、認証ユーザーに割り当てる数値VLAN IDを示します。属性値は、1 から 4094 までの数値、または名前付き VLAN を表す文字列に設定する必要があります。
フィルターID 11 RFC 2865 Filter-Id 属性は、Access-Accept で転送でき、クライアントが関連付けられるユーザー ロールを示します。ユーザーグループは、Mist WxLANポリシーフレームワークがネットワークファイアウォールルールを割り当てるために使用します。

形式: グループ名

例: 従業員

サポートされているベンダー固有の属性

以下の表は、RFC 2865に準拠したJuniper Mistアクセスポイントでサポートされているベンダー固有属性(VSA)の概要を示しています。

表 2: サポートされているベンダー固有属性
属性名 タイプ ベンダー ID 属性番号 の書式設定

説明
Airespace-interface-name 26 14179 5 文字列

Airespace-Interface-Name属性は、802.1XまたはRADIUS MAC認証されたユーザーの動的VLANメンバーシップを示すために、Access-Acceptで転送される場合があります。返される属性値は、常に文字列形式のVLAN名です。VLAN 名から VLAN ID への変換は、WLAN で VLAN ID または変数を使用して設定する必要があります。

形式:VLAN名

例:従業員 VLAN
Airespace-ACL-name 26 14179 6

文字列

Airespace-ACL-Name属性は、Access-Acceptで転送でき、クライアントを関連付けるユーザーロールを示す。ユーザーグループは、Mist WxLANポリシーフレームワークによって使用され、きめ細かなネットワークリソース制限を割り当てます。

形式: グループ名

例: 従業員
Arubaユーザーロール 26 14823 1 文字列

Aruba-User-Role属性は、Access-Acceptで転送でき、クライアントが関連付けられるユーザーロールを示す。ユーザーグループは、Mist WxLANポリシーフレームワークによって使用され、きめ細かなネットワークリソース制限を割り当てます。

形式: グループ名

例: 従業員
Cisco-AVPair 26 9 1 文字列

Cisco-AVPair 属性を Access-Accept で転送して、ポータル認証のためにクライアントをリダイレクトする必要があることを Mist アクセス ポイントに示し、リダイレクト URL の場所を指定できます。この属性は通常、Cisco ISE または Aruba Clearpass RADIUS サーバーとのゲスト アクセスの統合、または 802.1X/EAP ユーザ向けのポスチャ リダイレクト機能を有効にするために使用されます。

AVPair URLリダイレクト

形式: url-redirect=<URL 値>

例: url-redirect=https://ise28.89mistilbs.org:8443/portal/gateway?sessionId=0a004b1c/Jtf4peiJ5A8nPreloHRRITWvmhDCbnH3qXQ8MngtoA&portal=71984f36-f55e-4439-ba6e-903d9f77c216&action=cwa&token=1f7dca2cc907b1ad56ee4880e1cfa1ae

AVPair PSK

Cisco-AVPair 属性には、特定のクライアントに割り当てられているパスフレーズを Mist アクセス ポイントに示す PSK 属性が含まれている場合があります。AP に PSK 値を提供するには、PSK が ASCII 形式で送信されることを示す 2 つの Cisco AVPair 属性と、実際の事前共有キー値を提供する AVPair の 2 つの属性を同時に送信する必要があることに注意してください。

形式:

psk-mode=ASCII

&

PSK=<パスフレーズ>
11-認証-検索-キー 26 52970 3 Tlv

Eleven-Authentication-Find-Key属性は、サポートされているRADIUSサーバーに追加情報を提供するために使用され、RADIUSを介したワイヤレスクライアントのPSKルックアップを簡素化し、事前にワイヤレスクライアントMACを特定のPSKに関連付ける必要がなくなります。この属性は、内部に複数のサブ属性を含むRFC6929によるTLVです。
11-EAPOL-Frame-2 (サブ属性)     1 オクテット Eleven-EAPOL-Frame-2サブ属性には、4ウェイハンドシェイク中にワイヤレスクライアントからアクセスポイントに送信された2番目のEAPOLフレームが含まれます
イレブン-EAPOL-アノンス (サブ属性)     2 オクテット Eleven-EAPOL-Anonceサブ属性には、4ウェイハンドシェイク中にアクセスポイントからワイヤレスクライアントに送信された最初のEAPOLフレームが含まれます
Eleven-EAPOL-SSID (サブ属性)     3 文字列 Eleven-EAPOL-SSID サブ属性には、ワイヤレス クライアントが関連付けようとしている現在の SSID 名が含まれています
Eleven-EAPOL-APMAC (サブ属性)     4 オクテット Eleven-EAPOL-APMAC サブ属性に xxxxxxxxxxxx 形式の BSSID が含まれています
Eleven-EAPOL-STMAC (サブ属性)     5 オクテット Eleven-EAPOL-STMAC サブ属性に、 xxxxxxxxxxxx 形式のワイヤレス クライアント MAC アドレスが含まれています

RADIUS アカウンティング属性

WLAN 設定で RADIUS アカウンティング サーバーを有効または無効にできます。RADIUSアカウンティング情報を使用して、課金目的でユーザーのネットワーク使用状況を追跡し、一般的なネットワーク監視のためのデータを収集することができます。

次のアカウンティング設定がサポートされています。

  • 開始-停止—Juniper Mist APは、ユーザーセッションの開始時と終了時にアカウンティングリクエストを転送します。この動作は、WLAN で少なくとも 1 つのアカウンティング サーバーが構成されるとすぐに既定で有効になります。

  • 開始-暫定-停止—Juniper Mist APは、ユーザーセッションの開始時と終了時、およびセッションのライフタイム中は定期的にアカウンティングリクエストを転送します。フレームIPアドレス属性は、アカウンティングメッセージに含まれます。

    メモ:

    暫定更新間隔は、RADIUSサーバーからAcct-Interim-Interval(85)AVPを送信することで動的に上書きすることもできます。

以下の表は、RFC 2866に従ってJuniper Mistアクセスポイントに実装されている標準的なRADIUSアカウンティング属性を示しています。

表 3: サポートされるアカウンティング属性
属性名 タイプ RFC の説明
ユーザー名 1 RFC 2865 ユーザー名属性は、アカウンティング要求で転送され、ユーザーの名前を示します。
NAS-IPアドレス 4 RFC 2865

NAS-IPアドレス属性は、アカウンティング要求で転送され、アクセスポイントのIPアドレスを示します。
フレーム IP アドレス 8 RFC 2865 Framed-IP-Address属性は、Accounting-Requestパケットで転送され、ワイヤレスクライアントの現在または最後の既知のIPアドレスを示します。WLAN で中間アカウンティングが有効になっている場合にのみ送信されます。

注: 最初のクライアント接続中に、クライアントがまだIPアドレスを取得していない場合、フレームIPアドレスAVPは最初のアカウンティング開始パケットに表示されません。ただし、APはクライアントIPアドレスを学習するとすぐに、フレームIPアドレス情報を含む非同期(通常の中間アカウンティング更新間隔外)アカウンティング中間更新メッセージを送信します。
クラス 25 RFC 2865 Class 属性は、オプションで Access-Accept で転送され、アカウンティングが有効になっている場合は、クライアントが変更せずに Accounting-Request パケットの一部としてアカウンティング サーバーに送信する必要があります。Mistアクセスポイントは、各クライアントに対して複数のクラス属性を送信することをサポートしています。
着信側ステーション ID 30 RFC 2865 着信側ステーション ID 属性は、アカウンティング要求で転送され、ユーザが関連付けられている BSSID および ESSID を示します。アクセスポイントは、XX-XX-XX-XX-XX-XX:ESSIDの形式で属性値を転送します。
コーリング ステーション ID 31 RFC 2865 発信側ステーション ID 属性は、アカウンティング要求で転送され、ユーザの MAC アドレスを示します。アクセスポイントは、XX-XX-XX-XX-XX-XX-XXの形式で属性値を転送します。
NAS識別子 32 RFC 2865 NAS識別子属性は、アカウンティングリクエストで転送され、WLAN設定で構成されたユーザー定義識別子を示します。
Acct-status-type 40 RFC 2866 Acct-Status-Type属性は、アカウンティング要求で転送され、アカウンティング要求がアカウンティング更新のステータスをマークするかどうかを示します。サポートされている値には、開始停止および中間更新が含まれます。
Acct-Delay-Time 41 RFC 2866 Acct-Delay-Time属性は、アカウンティングリクエストで転送され、アクセスポイントがアカウンティングレコードを送信しようとした秒数を示します。この値は、このアカウンティング要求を生成するイベントのおおよその時間を見つけるために、サーバーへの到着時刻から減算されます。
Acct-input-octats 42 RFC 2866 Acct-Input-Octets属性は、アカウンティングリクエストで転送され、接続中にユーザーから受信したオクテットの数を示します。この属性は、Acct-Status-TypeStop に設定されている会計要求レコードにのみ存在できます。
Acct-Output-Octets 43 RFC 2866 Acct-Output-Octets属性は、Accounting-Requestで転送され、接続中にユーザーに転送されたオクテットの数を示します。この属性は、Acct-Status-TypeStop に設定されている会計要求レコードにのみ存在できます。
Acct-Session-ID 44 RFC 2866 Acct-Session-Id属性は、アカウンティング・リクエストで転送され、アカウンティング・ログ・ファイル内の開始停止および中間レコードを容易にマッチングできるように、固有の識別子を提供します。
アカウント認証 45 RFC 2866 Account-Authentic 属性は、Accounting-Requestで転送され、ユーザーがどのように認証されたかを示します。RADIUSアカウンティングが有効になっている場合、アクセスポイントはこの値をRADIUSに設定します。
Acct-Session-Time 46 RFC 2866 Acct-Session-Time属性は、アカウンティングリクエストで転送され、ユーザーがサービスを受けた秒数を示します。この属性は、Acct-Status-TypeStop に設定されている会計要求レコードにのみ存在できます。
acct 入力パケット 47 RFC 2866 Acct-Input-Packets属性は、Accounting-Requestで転送され、接続中にユーザーから受信されたパケットの数を示します。この属性は、Acct-Status-TypeStop に設定されている会計要求レコードにのみ存在できます。
acct 出力パケット 48 RFC 2866 Acct-Output-Packets属性は、Accounting-Requestで転送され、接続の過程でユーザーに転送されたパケット数を示します。この属性は、Acct-Status-TypeStop に設定されている会計要求レコードにのみ存在できます。
Acct-Terminate-Cause 49 RFC 2866 Acct-Terminate-Cause属性は、アカウンティングリクエストで転送され、セッションがどのように終了したかを示します。この属性は、Acct-Status-TypeStop に設定されている会計要求レコードにのみ存在できます。
イベントタイムスタンプ 55 RFC 2869 イベントタイムスタンプ属性は、アカウンティングリクエストで転送され、アクセスポイントでアカウンティングイベントが発生した時刻を示します。
NASポートタイプ 61 RFC 2865 NAS-Port-Type属性は、アカウンティング要求で転送され、ユーザーの物理接続のタイプを示します。この属性値は、Mistアクセスポイントによって常にWireless-802.11に設定されます。

動的認証拡張

RADIUS認証プロトコルは、もともとRADIUSサーバーからアクセスポイントに送信される未承認メッセージをサポートしていませんでした。しかし、多くの場合、アクセスポイントに交換を開始させることなく、セッション特性を変更することが望ましい場合があります。

これらの制限を克服するために、いくつかのベンダーは、RADIUSサーバーからアクセスポイントに送信される未承認メッセージをサポートする追加のRADIUS拡張機能を実装しています。これらの拡張機能は、アクティブなユーザーセッションを終了したり、アクティブなセッションの特性を変更したりするために使用できる切断および承認変更(CoA)メッセージをサポートしています。

  • Disconnect-Request—ユーザーセッションを終了させます。Disconnect-Requestパケットは、表3.0に示す識別属性を含めることで、NASと終了するユーザーセッションを識別します。

  • CoA-Request:アクセス ポイント上のセッション情報を動的に更新します。

切断要求属性

次の表では、切断要求に必要な動的認証属性について説明します。

表で概説されている属性の最小セットは、切断が機能するのに十分です。RADIUSサーバーから追加の属性が送信された場合、一部の属性も評価されますが(たとえば、NAS-IPアドレス値はMist APの現在のIPアドレスと一致する必要があります、またはAcct-Session-IDはワイヤレスクライアントセッションIDと一致する必要があります)、サポートされていないその他の属性(Acct-Terminate-Causeなど)は無視されます。

表 4: 切断要求属性
属性名 ベンダー 属性番号 説明
イベントタイムスタンプ Ietf 55 切断要求が発行された時刻。時間はMist APによってチェックされます。クロック ドリフトが大きすぎる場合、切断要求は破棄されます。イベントタイムスタンプ属性の検証は、オプションでWLAN設定で無効にできます。
コーリング ステーション ID Ietf 31 XX-XX-XX-XX-XX-XX 形式のユーザーの MAC アドレス。

CoA-Request属性

以下の表で、CoAリクエストに必要なダイナミック許可属性について説明します。

表で概説されている最小限の属性セットは、CoAが機能するのに十分です。その他の属性も、RADIUSサーバーから送信され、Juniper Mistでサポートされている場合に評価されます。たとえば、NAS-IP-Address値はJuniper Mist APの現在のIPアドレスと一致する必要があり、Acct-Session-IDはワイヤレスクライアントのセッションIDと一致する必要があります。サポートされていない属性(たとえば、追加のCisco-AVPair属性)は無視されます。

メモ:

CoA の詳細については、を参照してください。認可変更(CoA)
表 5: CoA リクエスト属性
属性名 ベンダー 属性番号 説明
イベントタイムスタンプ Ietf 55 切断要求が発行された時刻。時間はMist APによってチェックされます。クロック ドリフトが大きすぎる場合、切断要求は破棄されます。イベントタイムスタンプ属性の検証は、WLAN設定で、オプションで無効にできます
コーリング ステーション ID Ietf 31 XX-XX-XX-XX-XX-XX 形式のユーザーの MAC アドレス。
Cisco-AVPair シスコ (9) 1 加入者コマンド:再認証