Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

RADIUS プロバイダー

リモート認証ダイヤルインユーザーサービス(RADIUS)制限事項については、以下を参照してください。

RADIUS の制限事項

  • すべてのパスワードの変更は、RADIUSサーバー上で行う必要があります。外部プロバイダを有効化すると、Apstraからユーザーのパスワードを変更することはできません。
  • RADIUS認証は、SSH経由のLinuxユーザーログインを制御しません。
  • RADIUSサーバーでユーザーグループが変更された場合は、それに応じてApstraのロールマッピングを変更する必要があります。
  • 入れ子になったグループは許可されません。各グループをロールに明示的に割り当てる必要があります。
  • ユーザーがログインすると、リモートRADIUSサーバーに対する認証にユーザー名とパスワードのみが必要です。ログイン資格情報はキャッシュされません。そのため、ユーザーがログインする際には、ApstraとリモートRADIUSサーバー間の接続が必要となります。

RADIUSプロバイダの作成

  1. 左側のナビゲーション・メニューから、「外部システム>プロバイダ」に移動し、「プロバイダの作成」をクリックします。
  2. 名前 (64 文字以下) を入力し、[RADIUS] を選択し、RADIUS をアクティブなプロバイダーにする場合は、[アクティブ?] をオンに切り替えます。
  3. [接続設定] で、以下を入力または選択します。
    • ポート - サーバーが使用する TCPポートで、デフォルトは RFC 2865 で指定されている 1812 です。
    • ホスト名 FQDN IP(s) - RADIUS サーバーの完全修飾ドメイン名 (FQDN) または IP アドレス。高可用性(HA)環境では、同じ設定を使用して複数のRADIUSサーバーを指定します。最初のサーバーにアクセスできない場合は、後続のサーバーへの接続が順番に試行されます。
  4. プロバイダ固有のパラメータ」で、必要に応じて以下を入力または選択します。

    • 共有キー (64文字以下) - サーバー上で設定された共有キー

      注意:

      設定済みのRADIUSプロバイダを編集すると、共有キーが表示されません。変更しない場合、以前に設定された共有キーが保持されます。プロバイダーをテストし、共有キーを再入力していない場合は、null 共有キーがテストに使用され、機能しない可能性があります。

      Apstraソフトウェアで正常にテストされる事前共有キー構成の例は、Ubuntu FreeRADIUS(オープンソースのRADIUSサーバー)からのものです。RADIUSサーバー構成で指定された共有キーは、Apstraで提供される必要があります。

    • 高度な設定

      • グループ名属性名 :ユーザーが属するロールを指定するには、RADIUSサーバーでユーザーのグループを指定する必要があります。ユーザーグループ情報は、属性として Framed-Filter-ID で指定する必要があります。これは、異なるRADIUSグループにユーザーを割り当てるために使用されます。

        例えば、以下のFreeRADIUS設定では、 Framed-Filter-ID 属性を freeradに指定しています。この場合、後でマッピングするときに、プロバイダー グループに freerad と入力します。

      ユーザーをApstra環境内の既存のグループにマッピングできるように、RADIUSサーバーは認証応答の一部としてApstraグループ名を返す必要があります。

      注意:

      グループがマッピングされていない場合、ユーザーはログインできません。

    • タイムアウト (秒) - 既定値は 30 秒です

プロバイダーを構成してアクティブ化した後、そのプロバイダーを 1 つ以上のユーザーロールに マッピング して、それらのロールを持つユーザーにアクセス許可を付与する必要があります。