Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

認証プロファイルの作成と管理

「認証プロファイルの管理」ページを使用して、新しい認証プロファイルを作成し、既存の認証プロファイルを管理します。

「認証プロファイルの管理」ページを表示するには: ビルド・モードで、「タスク」ペインの「プロファイルおよび構成管理」から「認証」を選択します。[Manage Authentication Profiles] ページが表示されます。

このトピックでは、以下について説明します。

認証プロファイルの管理

「認証プロファイルの管理」ページでは、次のことができます。

  • 追加」をクリックして、新しい認証プロファイルを作成します。手順については、「 認証プロファイルの作成」を参照してください。

  • 既存のプロファイルを選択して [編集] をクリックし、既存のプロファイルを変更します。

  • プロファイル名をクリックするか、プロファイルを選択して [詳細(Details)] をクリックすると、関連付けられているインターフェイスなど、プロファイルに関する情報が表示されます。

  • 認証プロファイルを削除するには、プロファイルを選択して [削除] をクリックします。

    先端:

    使用中のプロファイル、つまり、オブジェクトに割り当てられているプロファイルや、他のプロファイルによって使用されているプロファイルは削除できません。プロファイルの現在の割り当てを表示するには、プロファイルを選択して [詳細] をクリックします。

  • プロファイルを選択して [複製] をクリックし、プロファイルを複製します。

表 1 では、「認証プロファイルの管理」ページでの認証プロファイルに関する情報について説明します。このページには、ネットワークビューで選択した範囲に関係なく、ネットワークに定義されているすべての認証プロファイルが一覧表示されます。

表1:認証プロファイルフィールドの管理

形容

プロファイル名

プロファイルの作成時にプロファイルに付けられた名前。

ファミリータイプ

プロファイルが作成されたデバイス ファミリ。

形容

プロファイルの作成時に入力されたプロファイルの説明。

先端:

説明全体を表示するには、見出しの列の境界線をクリックしてドラッグし、[説明] 列のサイズを変更する必要がある場合があります。

作成時間

このプロファイルが作成された日時。

更新時刻

このプロファイルが最後に変更された日時。

ユーザー名

プロファイルを作成または変更したユーザーのユーザー名。
先端:

すべての列が表示されない場合があります。「認証プロファイルの管理」表のフィールドを表示または非表示にするには、フィールド・ヘッダーの下向き矢印をクリックして「 」を選択し、表示または非表示にするフィールドの横にあるチェック・ボックスをオンまたはオフにします。

認証プロファイルの作成

Network Director では、認証プロファイルを作成して、ユーザーの認証に使用する方法を設定できます。また、アカウンティング目的で使用するアカウンティングサーバーの詳細を指定することもできます。

認証プロファイルの場合は、以下を指定する必要があります。

  • プロファイル名

  • 少なくとも 1 つのアクセス ルール

認証プロファイルを作成したら、それをポートプロファイルに含めることができます。ポートプロファイルで指定された認証プロファイルは、ポートに接続するすべてのユーザーとデバイスのデフォルトプロファイルとして機能します。

認証プロファイルを作成するには:

  1. Network Director バナーの [ ] をクリックします。
  2. 「ビューの選択」で、「 論理ビュー」、「 ロケーション・ビュー」、「 デバイスビュー 」、 または「カスタム・グループ ・ビュー」のいずれかを選択します。
    先端:

    「ダッシュボード・ビュー」または「トポロジー・ビュー」は選択しないでください。
  3. [タスク(Tasks)] ペインで、ネットワークのタイプ(有線(Wired))と適切な機能領域(システム(System)または AAA)を選択し、作成するプロファイルの名前を選択します。たとえば、有線デバイスのポート プロファイルを作成するには、[ポート] > [Wired > Profiles] をクリックします。「プロファイルの管理」ページが開きます。
  4. [ 追加 ] をクリックして、新しいプロファイルを追加します。

    有線ネットワークのプロファイルを作成することを選択した場合は、Network Director によって Device Family Chooser ウィンドウが開きます。

    1. [デバイス ファミリ セレクタ(Device Family Chooser)] から、プロファイルを作成するデバイス ファミリを選択します。使用可能なデバイスファミリーは、スイッチング(EX)、キャンパススイッチングELS(拡張レイヤー2ソフトウェア)、およびデータセンタースイッチングELSです。
    2. [ OK] をクリックします。

      選択したデバイス ファミリの [認証プロファイルの作成(Create Authentication Profile)] ページが表示されます。

  5. 次のいずれかの操作を行って、認証設定を指定します。

    • EXシリーズスイッチ、キャンパススイッチング拡張レイヤー2ソフトウェアの場合は、 スイッチの認証設定の指定の説明に従って設定を指定します。

  6. 完了 」をクリックして、認証プロファイルを保存します。

    認証プロファイルが保存され、[認証プロファイルの管理(Manage Authentication Profiles)] ページが表示されます。新規または変更した認証プロファイルは、認証プロファイルの表に一覧表示されます。

スイッチの認証設定の指定

スイッチング デバイスの認証プロファイルを設定するには、 表 2 で説明した [認証プロファイルの作成(Create Authentication Profile)] ページの設定を入力します。表 2 で説明した、スイッチでの認証プロファイルの作成について説明します。必要な設定は、ユーザー インターフェイスのフィールド ラベルの横に表示される赤いアスタリスク (*) で示されます。

表 2:スイッチの認証プロファイル設定

アクション

プロファイル名

プロファイルの名前を入力します。

有線デバイス用に作成されたプロファイルには、最大 64 文字を使用できます。プロファイル名には、特殊文字やスペースを含めることはできません。デバイス検出またはアウトオブバンド変更の一環として Network Director によって自動的に作成されるプロファイルには、アンダースコア(_)文字が含まれている場合があることに注意してください。

形容

プロファイルの簡単な説明を入力します。
802.1X認証

802.1X を有効にする

802.1X 認証は、スイッチング プロファイルに対してデフォルトで有効になっています。802.1X 認証は、認証ポート アクセス エンティティ(スイッチ)を使用して、サプリカントの資格情報が認証サーバー(RADIUS サーバー)に提示され、照合されるまで、ポートでサプリカント(エンド デバイス)との間のすべてのトラフィックをブロックすることで機能します。認証されると、スイッチはトラフィックのブロックを停止し、サプリカントに対してポートを開放します。VLAN を使用することで、ネットワーク アクセスをさらに定義できます。

手記:

802.1X 認証を無効にすると、関連するいくつかの設定が使用できなくなります。

MAC-RADIUSを有効にします

選択すると、このプロファイルの MAC-RADIUS ベースの認証が有効になります。MAC RADIUS認証により、許可されたMACアドレスへのLANアクセスが可能になります。インターフェイスに新しいMACアドレスが表示されると、スイッチはRADIUSサーバーに問い合わせて、MACアドレスが許可されたアドレスであるかどうかを確認します。RADIUSサーバーにMACアドレスが設定されている場合、デバイスはLANへのアクセスを許可されます。

先端:

802.1X認証とMAC-RADIUS認証を組み合わせることができます。

サプリカントモード

サプリカントが使用する認証モードを、[シングル]、[マルチ]、または [シングルセキュア]から指定します。

  • [シングル(Single)]:1 つのホストのみに認証を許可します。

  • [シングルセキュア(Single-Secure)]:1 台のエンド デバイスにのみポートへの接続を許可します。最初のログアウトまで、他のエンド デバイスの接続は有効になりません。

  • [複数(Multiple)]:複数のホストに認証を許可します。各ホストは、ネットワークへの入場が許可される前にチェックされます。

ゲスト VLAN

[選択(Select)] をクリックし、インターフェイスに 802.1X サプリカントが接続されていない場合にインターフェイスを移動する VLAN を選択します。指定するVLANは、すでにスイッチ上に存在している必要があります。

VLAN の拒否

[ 選択(Select )] をクリックし、スイッチと RADIUS 認証サーバー間の認証プロセス中にスイッチが EAPoL(Extensible Authentication Protocol Over LAN)Access-Reject メッセージを受信したときにインターフェイスが移動される VLAN を選択します。

サーバー障害タイプ

すべての RADIUS 認証サーバーに到達できない場合にスイッチが実行するサーバー障害フォールバック アクションを 、[なし]、[ 拒否]、[ 許可]、[ キャッシュを使用]、または [VLAN 名] のいずれかで指定します。

  • [拒否(Deny)]:サプリカント認証を強制的に失敗させます。インターフェイスを通過するトラフィックはありません。

  • [許可(Permit)]:サプリカント認証を強制的に成功させます。トラフィックは、RADIUSサーバーによって正常に認証されたかのようにインターフェイスを通過します。

  • [キャッシュを使用(Use cache)]:サプリカント認証が以前に正常に認証されている場合に限り、サプリカント認証を強制的に成功させます。このアクションにより、すでに認証されているサプリカントが影響を受けないようにすることができます。

  • [VLAN Name]:インターフェイス上のサプリカントを、この名前で指定された VLAN に移動します。このアクションは、インターフェイスに接続する最初のサプリカントの場合にのみ許可されます。認証されたサプリカントがすでに接続されている場合、サプリカントはVLANに移動せず、認証されません。このオプションを選択した場合は、 Fail VLAN name も指定します。
キャプティブポータル

キャプティブポータルは、Webブラウザを認証メカニズムに変えることによる認証に使用される特別なWebページです。

キャプティブポータルの有効化

このオプションを有効にすると、サプリカントモードのキャプティブポータル設定が表示されます。このオプションを有効にすると、[詳細設定(Advanced Settings)] で追加のキャプティブポータル設定も使用可能になります。

サプリカントモード

キャプティブポータルサプリカントに使用するモードを 、シングルマルチ、または シングルセキュアのいずれかで指定します。

  • [シングル(Single)]:1 つのホストのみに認証を許可します。

  • [複数(Multiple)]:複数のホストに認証を許可します。各ホストは、ネットワークへの入場が許可される前にチェックされます。

  • Single-Secure :1 台のエンド デバイスだけにポートへの接続を許可します。最初のログアウトまで、他のエンド デバイスの接続は許可されません。

詳細設定の構成をスキップしてデフォルト設定を受け入れるには、[ 完了] をクリックします。これで、認証プロファイルをポートプロファイルにリンクできます。手順については、「 ポート プロファイルの作成と管理」を参照してください

スイッチの詳細設定を行うには、[ Advanced Settings ] をクリックし、 表 3 に示す [Advanced Settings] を入力します。

表3:スイッチの認証プロファイルの詳細設定

アクション
802.1X 設定

これらの設定は、この認証プロファイルで 802.1X 認証が有効になっている場合にのみ使用できます。デフォルト設定を使用することも、変更することもできます。

送信期間 (デフォルトは30秒)

サプリカントに最初のEAPOL PDUを再送信する前にインターフェイスが待機する時間を秒単位で指定します。デフォルトは30秒です。

最大リクエスト数(デフォルトは 2 リクエスト)

認証セッションがタイムアウトとなるまでに、EAPOL要求パケットがサプリカントに送信される最大回数を指定します。既定値は 2 要求です。

再試行(デフォルトは 3 回の再試行)

最初の失敗の後、スイッチがポートの認証を試行する回数を指定します。認証試行後の静かな期間中、ポートは待機状態となります。デフォルトでは 3 回の再試行です。

沈黙期間 (デフォルトは60秒)

サプリカントによる認証の試みが失敗した後、認証を再試行する前にインターフェイスが待機状態のままになる秒数を指定します。デフォルトは60秒です。

再認証なし(デフォルトはオフ)

待機時間が経過した後にスイッチがサプリカントを再認証しないようにするには、このチェックボックスをオンにします。

再認証間隔 (デフォルトは3600秒)

[再認証なし(No Reauthentication)] オプションがオフになっている場合は、認証セッションがタイムアウトするまでの秒数を指定します。デフォルトは 3600 秒です。

サプリカントタイムアウト (デフォルトは30秒)

認証サーバーからサプリカントにリクエストをリレーして、リクエストを再送する場合に、ポートが応答を待つ時間を指定します。デフォルトは30秒です。

RADIUSサーバータイムアウト (デフォルトは30秒)

スイッチが RADIUS サーバーからの応答を待つ時間を指定します。デフォルトは30秒です。

MAC Restrict(MAC RADIUSを使用するスイッチのみ)

この認証プロファイルでMAC-RADIUSが有効になっている場合、認証をMAC RADIUSのみに制限するには、このオプションを選択します。MAC-RADIUS 制限が設定されている場合、スイッチはすべての 802.1X パケットをドロップします。このオプションは、ゲスト VLAN などの他の 802.1X 認証方法がインターフェイス上で必要ない場合に便利で、接続されたデバイスが 802.1X 非対応ホストであるとスイッチが判断する際に発生する遅延を解消できます。

オプションで 、Flap-On-Disconnectを有効にします。RADIUS サーバーがサプリカントに切断メッセージを送信すると、スイッチはサプリカントが認証されているインターフェイスをリセットします。インターフェイスが複数のサプリカント モードに設定されている場合、スイッチは指定されたインターフェイス上のすべてのサプリカントをリセットします。このオプションは、[MAC 制限(MAC Restrict)] オプションも設定されている場合にのみ有効になります。

キャプティブポータル

基本設定のこの認証プロファイルでキャプティブポータルが有効になっている場合は、デフォルトの高度なキャプティブポータル設定を使用するか、指示に従って変更できます。

クワイエット期間 (デフォルトは60秒)

ユーザーが最大再試行回数を超えてから、再度認証を試行できるようになるまでの時間を秒単位で構成します。

範囲: 1 から 65,535

デフォルト:60

再試行 (デフォルトは3回)

ユーザーが認証情報の送信を試行できる回数を設定します。

範囲: 1 から 65,535

デフォルト:3

セッション有効期限 (デフォルトは3600秒)

セッションの最大継続時間を秒単位で設定します。

範囲: 1 から 65,535

デフォルト:3600

サーバータイムアウト(デフォルトは30秒)

クライアントからの応答を認証サーバーにリレーするときに、タイムアウトしてサーバー障害アクションを呼び出す前に、インターフェイスが応答を待機する時間を秒単位で構成します。

範囲: 1 から 65,535

デフォルト:30

[ OK] をクリックします。

[詳細設定(Advanced Settings)] ウィンドウが閉じ、再び [スイッチング用の認証プロファイルの作成(Create Authentication Profile for Switching)] ページが表示されます。

完了」をクリックします。

[Manage Authentication Profiles] ページが再表示され、新しい認証プロファイルが一覧表示されます。

これで、認証プロファイルをポートプロファイルにリンクできます。詳細については、「 ポートプロファイルの作成と管理」を参照してください。

次のタスク

認証プロファイルを作成したら、次の操作を実行できます:

関連資料