このページの目次
認証プロファイルの作成と管理
[認証プロファイルの管理] ページを使用して、新しい認証プロファイルを作成し、既存の認証プロファイルを管理します。
認証プロファイルの管理ページを表示するには:ビルドモードで、タスクペインのプロファイルおよび構成管理からの認証を選択します。認証プロファイルの管理 ページが表示されます。
このトピックでは、以下について説明します。
認証プロファイルの管理
[認証プロファイルの管理] ページでは、次のことができます。
[ 追加] をクリックして、新しい認証プロファイルを作成します。手順については、「 認証プロファイルの作成」を参照してください。
既存のプロファイルを変更するには、プロファイルを選択して [編集] をクリックします。
関連付けられているインターフェイスなど、プロファイルに関する情報を表示するには、プロファイル名をクリックするか、プロファイルを選択して [詳細(Details)] をクリックします。
認証プロファイルを削除するには、プロファイルを選択して [削除] をクリックします。
ヒント:使用中のプロファイル、つまりオブジェクトに割り当てられているプロファイルや他のプロファイルで使用されているプロファイルは削除できません。プロファイルの現在の割り当てを表示するには、プロファイルを選択して [ 詳細] をクリックします。
プロファイルを複製するには、プロファイルを選択して [複製] をクリックします。
表 1 に、「認証プロファイルの管理」ページで提供される認証プロファイルに関する情報を示します。このページには、ネットワーク・ビューで選択した有効範囲に関係なく、ネットワークに定義されているすべての認証プロファイルがリストされます。
フィールド |
説明 |
|---|---|
プロファイル名 |
プロファイルの作成時にプロファイルに付けられた名前。 |
ファミリータイプ |
プロファイルが作成されたデバイス ファミリ。 |
説明 |
プロファイルの作成時に入力されたプロファイルの説明。
ヒント:
説明全体を表示するには、見出しの列の境界線をクリックしてドラッグし、[説明] 列のサイズを変更する必要がある場合があります。 |
作成時刻 |
このプロファイルが作成された日時。 |
更新時刻 |
このプロファイルが最後に変更された日時。 |
ユーザー名 |
プロファイルを作成または変更したユーザーのユーザー名。 |
すべての列が表示されるとは限りません。「認証プロファイルの管理」テーブルのフィールドを表示または非表示にするには、フィールド・ヘッダーの下向き矢印をクリックして「 列」を選択し、表示または非表示にするフィールドの横にあるチェック・ボックスをオンまたはオフにします。
認証プロファイルの作成
Network Director では、認証プロファイルを作成して、ユーザーの認証に使用する方法を構成できます。また、アカウンティング目的で使用するアカウンティング・サーバーの詳細を指定することもできます。
認証プロファイルの場合は、以下を指定する必要があります。
プロファイル名
少なくとも 1 つのアクセス ルール
認証プロファイルを作成したら、それをポート プロファイルに含めることができます。ポートプロファイルで指定された認証プロファイルは、ポートに接続するすべてのユーザーとデバイスのデフォルトプロファイルとして機能します。
認証プロファイルを作成するには:
- Network Directorのバナー内をクリックします
。
スイッチの認証設定の指定
スイッチング デバイスの認証プロファイルを設定するには、スイッチでの認証プロファイルを作成するための 表 2 で説明されている [Create Authentication Profile] ページ設定を入力します。必要な設定は、ユーザー インターフェイスのフィールド ラベルの横に表示される赤いアスタリスク (*) で示されます。
フィールド |
アクション |
|---|---|
プロファイル名 |
プロファイルの名前を入力します。 有線デバイス用に作成するプロファイルには、最大 64 文字を使用できます。プロファイル名に特殊文字やスペースを含めることはできません。デバイス検出または帯域外変更の一部としてNetwork Directorによって自動的に作成されるプロファイルには、アンダースコア(_)文字が含まれている場合があることに注意してください。 |
説明 |
プロファイルの簡単な説明を入力します。 |
| 802.1Xオーセンティケータ | |
802.1X を有効にする |
スイッチング プロファイルでは、802.1X 認証がデフォルトで有効になっています。802.1X 認証は、認証ポート アクセス エンティティ(スイッチ)を使用して、サプリカント(エンド デバイス)との間のすべてのトラフィックを、サプリカントの資格情報が認証サーバー(RADIUS サーバー)に提示および一致されるまでポートでブロックすることで機能します。認証されると、スイッチはトラフィックのブロックを停止し、サプリカントに対してポートを開放します。VLAN を使用すると、ネットワーク アクセスをさらに定義できます。
メモ:
802.1X 認証を無効にすると、いくつかの関連する設定が使用できなくなります。 |
MAC-RADIUS を有効にする |
このプロファイルでMAC-RADIUSベースの認証を有効にする場合に選択します。MAC RADIUS認証により、許可されたMACアドレスへのLANアクセスが可能になります。インターフェイスに新しいMACアドレスが表示されると、スイッチはRADIUSサーバーに相談して、MACアドレスが許可されたアドレスかどうかを確認します。RADIUS サーバーで MAC アドレスが設定されている場合、デバイスは LAN へのアクセスを許可されます。
ヒント:
802.1X認証とMAC-RADIUS認証を組み合わせることができます。 |
サプリカント モード |
サプリカントが使用する認証モードを、[ シングル]、[ 複数]、 または [シングルセキュア]のいずれかで指定します。
|
ゲスト VLAN |
[ 選択(Select )] をクリックし、インターフェイスに 802.1X サプリカントが接続されていない場合にインターフェイスの移動先の VLAN を選択します。指定する VLAN は、スイッチ上にすでに存在している必要があります。 |
VLAN拒否 |
[選択(Select)] をクリックし、スイッチと RADIUS 認証サーバー間の認証プロセス中に、スイッチが EAPoL(拡張認証プロトコル オーバー LAN)アクセス拒否メッセージを受信したときに、インターフェイスの移動先の VLAN を選択します。 |
サーバー障害タイプ |
すべてのRADIUS認証サーバーに到達できない場合にスイッチが実行するサーバー障害時のフォールバックアクションを、 なし、 拒否、 許可、 キャッシュの使用、または VLAN名のいずれかで指定します。
|
| キャプティブポータル キャプティブポータルは、Webブラウザを認証メカニズムに変えることによる認証に使用される特別なWebページです。 |
|
キャプティブポータルの有効化 |
サプリカント モードのキャプティブ ポータル設定を表示するには、このオプションを有効にします。このオプションを有効にすると、[詳細設定] で追加のキャプティブ ポータル設定も使用できます。 |
サプリカント モード |
キャプティブポータルサプリカントに使用するモードを、 シングル、 マルチ、または シングルセキュアのいずれかで指定します。
|
詳細設定の構成をスキップして既定の設定をそのまま使用するには、[ 完了] をクリックします。認証プロファイルをポートプロファイルにリンクできるようになりました。手順については、 ポートプロファイルの作成と管理を参照してください。
スイッチの詳細設定を構成するには、[ 詳細設定 ] をクリックし、 表 3 で説明されている詳細設定を入力します。
フィールド |
アクション |
|---|---|
| 802.1X 設定 これらの設定は、この認証プロファイルで 802.1X 認証が有効になっている場合にのみ使用できます。既定の設定を使用することも、変更することもできます。 |
|
送信期間 (デフォルトは30秒) |
サプリカントに最初のEAPOL PDUを再送信する前にインターフェイスが待機する時間を秒単位で指定します。デフォルトは30秒です。 |
最大要求数(デフォルトは2要求) |
認証セッションがタイムアウトになるまでに、EAPOL要求パケットがサプリカントに送信される最大回数を指定します。デフォルトは 2 要求です。 |
再試行(デフォルトは 3 回) |
最初の失敗の後、スイッチがポートの認証を試行する回数を指定します。認証試行後の静かな期間中、ポートは待機状態となります。デフォルトでは 3 回の再試行を行います。 |
沈黙期間 (デフォルトは 60 秒) |
サプリカントによる認証の試行が失敗した後、認証を再試行するまで、インターフェイスが待機状態のままである秒数を指定します。デフォルトは 60 秒です。 |
再認証なし(デフォルトは選択されていません) |
このチェックボックスをオンにすると、Quiet Periodの経過後にスイッチがサプリカントを再認証できなくなります。 |
再認証間隔 (デフォルトは 3600 秒) |
[再認証なし(No Reauthentication)] オプションがオフの場合、認証セッションがタイムアウトするまでの秒数を指定します。デフォルトは 3600 秒です。 |
サプリカント タイムアウト (デフォルトは 30 秒) |
認証サーバーからサプリカントに要求をリレーする場合、要求を再送する前にポートが応答を待つ時間を指定します。デフォルトは30秒です。 |
RADIUS サーバー タイムアウト (デフォルトは 30 秒) |
スイッチがRADIUSサーバーからの応答を待つ時間の長さを指定します。デフォルトは30秒です。 |
MAC 制限(MAC RADIUS を使用するスイッチのみ) |
この認証プロファイルで MAC-RADIUS が有効になっている場合、認証を MAC RADIUS のみに制限するには、このオプションを選択します。MAC-RADIUS 制限が設定されている場合、スイッチはすべての 802.1X パケットをドロップします。このオプションは、ゲスト VLAN などの他の 802.1X 認証方式がインターフェイスに必要ない場合に便利で、接続されたデバイスが 802.1X 非対応ホストであるとスイッチが判断するまでに発生する遅延を解消します。 オプションで、 フラップオンディスコネクトを有効にします。RADIUS サーバーがサプリカントに切断メッセージを送信すると、スイッチはサプリカントが認証されているインターフェイスをリセットします。インターフェイスがマルチ サプリカント モードに設定されている場合、スイッチは指定されたインターフェイスのすべてのサプリカントをリセットします。このオプションは、MAC 制限オプションも設定されている場合にのみ有効になります。 |
| キャプティブポータル キャプティブポータルが基本設定のこの認証プロファイルで有効になっている場合、デフォルトの詳細なキャプティブポータル設定を使用するか、示されているように変更できます。 |
|
沈黙期間 (デフォルトは 60 秒) |
ユーザーが最大再試行回数を超えてから、再度認証を試行できるようになるまでの時間を秒単位で設定します。 範囲: 1 から 65,535 デフォルト: 60 |
再試行 (既定値は 3 回) |
ユーザーが認証情報の送信を試行できる回数を構成します。 範囲: 1 から 65,535 デフォルト: 3 |
セッションの有効期限 (デフォルトは 3600 秒) |
セッションの最大継続時間を秒単位で設定します。 範囲: 1 から 65,535 デフォルト: 3600 |
サーバーのタイムアウト (既定値は 30 秒) |
クライアントから認証サーバーに応答を中継するときに、タイムアウトしてサーバー障害アクションを呼び出す前に、インターフェイスが応答を待機する時間を秒単位で設定します。 範囲: 1 から 65,535 デフォルト: 30 |
OK をクリックします。
「詳細設定」ウィンドウが閉じ、「スイッチング用の認証プロファイルの作成」ページが再び表示されます。
[ 完了] をクリックします。
[認証プロファイルの管理] ページが再表示され、新しい認証プロファイルが一覧表示されます。
認証プロファイルをポートプロファイルにリンクできるようになりました。詳細については、 ポート プロファイルの作成と管理を参照してください。
次のタスク
認証プロファイルを作成すると、次の操作を実行できます。
スイッチング デバイスの場合は、認証プロファイルをポート プロファイルにリンクします。詳細については、 ポート プロファイルの作成と管理を参照してください。