authentication-order (Authenticator)
構文
authentication-order [dot1x | mac-radius | captive-portal];
階層レベル
[edit logical-systems name protocols dot1x authenticator interface], [edit protocols dot1x authenticator interface interface-name]
説明
デバイスがクライアントの認証を試みるときに使用する認証方法の優先順序を構成します。1 つのインターフェイスに複数の認証方式が設定されている場合、1 つの認証方式が失敗すると、デバイスは別の方式にフォールバックします。ステートメントを設定して authentication-order
、802.1X認証とMAC RADIUS認証のどちらを最初に試行するかを指定できます。
デフォルトでは、デバイスは最初に 802.1X 認証を使用してクライアントの認証を試みます。クライアントからの応答がなく、インターフェイスで MAC RADIUS 認証が構成されているために 802.1X 認証が失敗した場合、デバイスは MAC RADIUS 認証にフォールバックします。MAC RADIUSに障害が発生し、キャプティブ ポータルがデバイスに設定されている場合、デバイスはキャプティブ ポータルにフォールバックします。
最初の方法として MAC RADIUS 認証を構成すると、802.1X 認証をサポートしないホストに対して 802.1X 認証が試行された後に発生するフォールバック タイムアウト期間を防ぐことができます。MAC RADIUS認証がインターフェイスの最初の認証方法として設定されている場合、そのインターフェイス上の任意のクライアントからデータを受信すると、デバイスはMAC RADIUS認証を使用してクライアントの認証を試みます。MAC RADIUS 認証が失敗した場合、デバイスは 802.1X 認証にフォールバックします。802.1X 認証が失敗し、インターフェイスにキャプティブ ポータルが設定されている場合、デバイスはキャプティブ ポータルにフォールバックします。
クライアントが別の方法で認証されている場合でも、802.1X 認証の優先度は常に最も高くなります。MAC RADIUS認証を使用して認証されたクライアントからEAPパケットを受信すると、デバイスはEAPパケットを確認し、802.1X認証クレデンシャルを使用して認証をアップグレードします。同様に、クライアントがキャプティブ ポータルへのフォールバックによって認証され、デバイスがそのクライアントから EAP パケットを受信した場合、デバイスは 802.1X 認証を使用してクライアントの認証を試みます。
デバイスは、インターフェイス上で設定された方法のみを使用して認証を試みます。認証方式が認証順序に含まれているが、インターフェイスで設定されていない場合、デバイスはその方式を無視し、有効になっている順序で次の方式を使用して認証を試みます。ただし、インターフェイスでメソッドが有効になっていても、認証順序に含まれていない場合、デバイスはそのメソッドの使用を試みません。たとえば、インターフェイスでキャプティブ ポータルが有効になっていても、認証順序が に設定されている場合 [mac-radius dot1x]
、そのインターフェイスの認証方法はキャプティブ ポータルにフォールバックしません。
認証順序は、 オプションを使用して interface all
すべてのインターフェイスに対して設定できます。認証順序が個々のインターフェイス用に設定されており、すべてのインターフェイスにも認証順序が設定されている場合は、個々のインターフェイスの順序に従います。個々のインターフェイスに認証順序が設定されておらず、すべてのインターフェイスに認証順序が設定されている場合は、すべてのインターフェイスの設定に従います。
ステートメントを設定する authentication-order
際は、以下のガイドラインに従ってください。
認証順序には、少なくとも 2 つの認証方法を含める必要があります。
802.1X 認証は、認証順序に含まれるいずれかの方法である必要があります。
キャプティブ ポータルが認証順序に含まれている場合、それは順序の最後の方法でなければなりません。
インターフェイスで が設定されている場合
mac-radius-restrict
、認証順序は設定できません。
の authentication-order
有効な組み合わせは次のとおりです。
[dot1x mac-radius captive-portal]
[dot1x captive-portal]
[dot1x mac-radius]
[mac-radius dot1x captive-portal]
既定
authentication-order
が設定されていない場合、デバイスは次のように、最初に 802.1X 認証、MAC RADIUS 認証、次にキャプティブ ポータルを使用して、クライアントの認証を試みます。
802.1X 認証 - インターフェイスで 802.1X が設定されている場合、デバイスは EAPoL 要求をエンド デバイスに送信し、802.1X 認証によるエンド デバイスの認証を試みます。エンド デバイスが EAP 要求に応答しない場合、デバイスはインターフェイスで MAC RADIUS 認証が設定されているかどうかを確認します。
MAC RADIUS 認証—インターフェイスで MAC RADIUS 認証が設定されている場合、デバイスはエンド デバイスの MAC RADIUS アドレスを認証サーバーに送信します。MAC RADIUS認証が設定されていない場合、デバイスはキャプティブポータルがインターフェイスに設定されているかどうかを確認します。
キャプティブポータル認証—キャプティブポータルがインターフェイスに設定されている場合、デバイスは、他の設定された認証方法を試みた後、この方法を使用してエンドデバイスの認証を試みます。
オプション
captive-portal
- インターフェイス上の認証方式の順序でキャプティブポータル認証を設定します。
dot1x
- インターフェイス上の認証方法の順に 802.1X 認証を設定します。
mac-radius
- インターフェイス上の認証方法の順序でMAC RADIUS認証を設定します。
必要な権限レベル
routing—設定でこのステートメントを表示します。routing-controlー設定にこのステートメントを追加します。
リリース情報
Junos OSリリース15.1R3で導入されたステートメント。