Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

RADIUSプロファイルの作成と管理

リモート認証ダイヤルインユーザーサービス(RADIUS)は、ネットワークサービスを接続して使用するコンピュータに対して、認証、許可、アカウンティング(AAA)を一元管理するネットワークプロトコルです。デフォルトでは、アカウンティングと認証の両方にRADIUSサーバーが使用されます。Network Director から、RADIUS サーバー設定を構成する RADIUS プロファイルを作成および管理できます。

ヒント:

RADIUS サーバーに加えて、EX シリーズ ELS スイッチ認証用に LDAP サーバーを構成することもできます。指示については、 LDAP プロファイルの作成と管理を参照してください。

このトピックでは、以下について説明します。

RADIUSプロファイルの管理

[RADIUS プロファイルの管理] ページでは、以下のことができます。

  • [追加] をクリックして新しいプロファイルを作成 します。方向については、「 RADIUS プロファイルの作成」を参照してください。

  • 既存のプロファイルを変更するには、そのプロファイルを選択して [編集] をクリックします。

  • グループを選択し、[ 詳細 ] をクリックするか、プロファイル名をクリックして、プロファイルに関する情報を表示します。

  • プロファイルを選択し、[削除] をクリックしてプロファイルを 削除します

    ヒント:

    使用中のプロファイル(つまり、オブジェクトに割り当てられている、または他のプロファイルが使用するプロファイル)は削除できません。プロファイルの現在の割り当てを表示するには、プロファイルを選択して [ 詳細] をクリックします。

  • プロファイルを選択し、[クローン] をクリックしてプロファイルの クローンを作成します

表 1 は、[RADIUS プロファイルの管理] ページで RADIUS プロファイルに関して提供される情報を示しています。このページには、ネットワークビューで現在選択されているスコープに関係なく、ネットワークに定義されているすべてのRADIUSプロファイルが一覧表示されます。

表 1:RADIUS プロファイル情報

フィールド

説明

RADIUSプロファイル名

RADIUS プロファイルの作成時に指定された名前。

サーバーアドレス

RADIUSサーバーのIPアドレス。

サーバー ポート

RADIUSサーバーで使用されているUDPポート。

作成時間

このプロファイルが作成された日時。

更新時刻

このプロファイルが最後に変更された日時。

ユーザー名

プロファイルを作成または変更したユーザーのユーザー名。
ヒント:

すべての列が現在表示されていない場合があります。テーブル内のフィールドを表示または非表示にするには、フィールド ヘッダーの下矢印をクリックし、[ ] を選択して、表示または非表示にするフィールドの横にあるチェック ボックスをオンまたはオフにします。

RADIUS プロファイルの作成

RADIUSプロファイルを作成するには::

  1. Network Director のバナーをクリックします

  2. [ビューの選択]で、[ 論理ビュー]、[ ロケーションビュー]、[ デバイスビュー] 、または [カスタムグループ ビュー]のいずれかを選択します。

    ヒント:

    [ダッシュボード ビュー] または [トポロジー ビュー] は選択しません。

  3. [タスク] ウィンドウで、ネットワークのタイプ(有線)、適切な機能領域(システムまたは AAA)を選択し、作成するプロファイルの名前を選択します。たとえば、有線デバイスのポートプロファイルを作成するには、 有線 > プロファイル > PORTをクリックします。[プロファイルの管理] ページが開きます。

  4. [RADIUS プロファイルの管理] ページで [ 追加 ] をクリックします。

    [RADIUSプロファイルの作成]ページが表示されます。

  5. RADIUSプロファイルの設定の指定の説明に従って、[RADIUSプロファイルの作成]ページで RADIUSプロファイルの設定を入力します

  6. [ 完了] をクリックします。

RADIUSプロファイルの設定を指定する

RADIUS プロファイルの作成 ページを使用して、RADIUS サーバーの認証、許可、アカウンティング設定を定義します。

表 2 は、RADIUS プロファイル設定を示しています。

表 2:RADIUS プロファイル設定

フィールド

アクション

サーバー名

サーバーの名前を入力するには、最大 64 文字の英数字を使用し、アンダースコア以外の特殊文字は使用しません。名前はサーバー間で一意にする必要があります。

サーバーアドレス

RADIUSサーバーのIPアドレスを入力します。

認証ポート(デフォルトは1812)

矢印を使用して、RADIUS認証メッセージに使用するUDPポートの数を調整します。デフォルトの UDP ポートは 1812 で、範囲は 0~65535 です。

秘密

RADIUS サーバーのパスワードを指定します。

詳細設定

RADIUS サーバーの詳細設定を変更することも、デフォルト設定を使用することもできます。

アカウンティング ポート(デフォルトは1813)

矢印を使用して、RADIUSアカウンティングメッセージに使用するUDPポートの数を調整します。デフォルトの UDP ポートは 1813 で、範囲は 0~65535 です。

再試行回数(デフォルトは3)

この矢印を使用して、RADIUSサーバーが利用できない場合に、Network DirectorがRADIUSサーバーに接続を再試行する回数が反映されるまで再試行回数を調整します。

タイムアウト (デフォルトは5秒)

矢印を使用して、タイムアウト値を調整します。タイムアウトは、到達不能なエラーが発生する前に、Network Director が RADIUS サーバー接続を許可する秒数を示します。

デッドタイム(デフォルトは5秒)

この矢印を使用して、Network Director が以前に応答していない RADIUS サーバーを確認するまでの秒数を調整します。デフォルト値は5秒です。

MAC をパスワードとして使用

各クライアント デバイスで、RADIUS サーバーのパスワードとして MAC アドレスを使用する場合は、このオプションを有効にします。[MAC をパスワードとして使用] を有効にすると、[認証パスワード] フィールドは使用できなくなります。

認証パスワード

RADIUSサーバーのパスワードとしてMACアドレスを使用していない場合は、ここで共通のパスワードを指定します。

MAC アドレス形式

RADIUS サーバーで使用される MAC アドレス形式を決定するには、「なし」、 「ハイフン」、 「コロン」、 「ワンハイフン」、または 「未加工」 を選択します。例えば:

  • なし —ユニキャスト IPv4 の場合、MAC アドレスの例は 0123456789ab です。ユニキャスト IPv6 の場合、MAC アドレスの例は 20010db80000000000ff0000428329 です。

  • ハイフン — ユニキャスト IPv4 の場合、ハイフンを使用した MAC アドレスの例は 01-23-45-67-89-ab です。ユニキャスト IPv6 の場合、ハイフンを使用した MAC アドレスの例は 2001-0db8-0000-0000-0000-ff00-0042-8329 です。

  • コロン — ユニキャスト IPv4 の場合、コロンを使用した MAC アドレスの例は 01:23:45:67:89:ab です。ユニキャスト IPv6 の場合、コロンを使用した MAC アドレスの例は 2001:0db8:0000:0000:0000:ff00:0042:8329 です。

  • ワンハイフン:バイナリ000で始まる以外のIPv6ユニキャストアドレスは、論理的には、64ビット(サブ)ネットワークプレフィックスと、ホストのネットワークインターフェイスを識別するために使用される64ビットインターフェイス識別子の2つに分けられます。ハイフンは、2 つの部分の間に配置されます。

  • Raw: IPv6 アドレスは、すべての数字で表されます。すべてのゼロを含むセクションはスキップされません。その後、ダブル・コロンで表されます。たとえば、これは未加工の IPv6 アドレスです。2001:0000:0234:C1AB:0000:00A0:AABC:003F。

認証プロトコル(デフォルトは PAP)

PAPCHAPMSCHAP-V2、または None を選択して、RADIUS サーバーの認証プロトコルを決定します。これらの認証プロトコルは、以下のように機能します。

  • PAP:パスワード認証プロトコルの略で、ポイントツーポイントプロトコルがサーバーリソースへのアクセスを許可する前にユーザーを検証するために使用されます。ほぼすべてのネットワーク OS リモート サーバーが PAP をサポートしています。ただし、PAP は暗号化されていない ASCII パスワードをネットワーク上で送信するため、安全ではありません。リモートサーバーがより強力な認証をサポートしていない場合は、最後の手段として使用します。

  • CHAP:とは、Challenge Handshake Authentication Protocol の略で、認証エンティティに対してユーザーまたはネットワーク ホストを認証します。CHAP は、段階的に変更される識別子と変動する challenge-value を使用して、ピアによるリプレイ攻撃に対する保護を提供します。CHAP は、クライアントとサーバーの両方が秘密パスワードのプレーンテキストを知っていることを要求します。つまり、ネットワークを介して送信されることはありません。CHAP は、PAP よりも優れたセキュリティーを提供します。

  • MSCHAP-V2:パスワード変更サポート用に、Microsoft がルーターに Challenge Handshake Authentication Protocol バージョン 2 を実装した場合の略です。この機能により、ルーターにアクセスするユーザーは、パスワードの期限が切れたとき、リセットされた場合、または次回のログイン時に変更するように設定された場合に、パスワードを変更するオプションが提供されます。MS-CHAP バリアントは、どちらのピアも秘密パスワードのプレーンテキストを知る必要はありません。MSCHAP-V2 は、WPA-Enterprise プロトコルを使用した Wi-Fi セキュリティに使用される RADIUS サーバーの認証オプションとして使用されます。

サーバーの優先度(デフォルトは1)

RADIUS サーバーにアクセスする順序を示すために、サーバー優先度を入力します。1 つを入力すると、このサーバーが最初にチェックされます。

[OK] をクリックして、RADIUS サーバーを EX スイッチング アクセス プロファイルに追加します。必要に応じて、RADIUSサーバーを追加できます。

複数のRADIUSサーバーがある場合は、矢印を使用して、[認証サーバーの順序]セクションで優先順位を付けることができます。

[ 完了 ] をクリックして、RADIUS サーバー プロファイルを作成します。

RADIUSサーバー名は、RADIUSプロファイルの管理ページにあるRADIUSサーバーのリストに表示されます。

次の予定

RADIUSサーバーをアクセスプロファイルにリンクします。手順については、「 アクセス プロファイルの作成と管理」を参照してください。

関連ドキュメント