Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

RADIUS認証とアカウンティングの基本設定

加入者アクセス用の認証およびアカウンティングパラメーターの設定

アクセスプロファイルを使用して、加入者アクセス管理機能の認証とアカウンティングサポートを設定します。アクセスプロファイルでは、認証とアカウンティングに使用する方法のタイプを指定できます。また、加入者アクセス管理がアカウンティング統計を収集して使用する方法を設定することもできます。

加入者アクセスの認証とアカウンティングを設定するには:

  1. 使用する認証方法とアカウンティング方法を指定します。

    加入者 アクセス用の認証およびアカウンティング方式の指定を参照してください。

  2. アカウンティング統計の収集方法を指定します。

    加入 者単位のセッションアカウンティングの設定を参照してください。

加入者アクセスの認証およびアカウンティング方式の指定

加入者のアクセス管理で使用する認証とアカウンティングの方法を指定できます。

複数の認証およびアカウンティング方法を設定できます。 authentication-order および accounting order ステートメントは、加入者アクセス管理機能がこれらの方法を使用する順序を指定します。たとえば、 radius password の認証エントリーは、RADIUS認証が最初に実行されることを指定します。タイムアウトした場合(たとえば、RADIUSサーバーに到達できない場合)、ローカル認証(password)が試行されます。ただし、ある方法が認証試行を拒否した場合、後続の方法は試行されません。 password が最初に試行される方法として設定されている場合、認証は常に受け入れまたは拒否されます。どちらの場合も、他の方法は試行されません。

authentication-orderステートメントで以下の認証メソッドを指定できます。

  • radius—外部RADIUSサーバーを使用したRADIUSベースの認証。

  • password—ローカルで設定および保存されたユーザー名とパスワードを使用したローカル認証。

    加入者アクセス管理は、リリース18.2R1 Junos OSまでpasswordオプションをサポートしていません。Junos OSリリース18.2R1以降、通常は外部認証および認証サーバーがない場合や、外部認証へのバックアップとしてローカル認証を使用する場合に、passwordオプションを使用して個々の加入者にローカル認証を提供できるようになりました。この場合、アクセスプロファイルのsubscriber usernameステートメントのpasswordオプションで実際の加入者パスワードを設定します。それ以前のリリースでは、常にradius認証方法を指定する必要があります。

以下のアカウンティング方法を指定できます。

  • radius—外部のRADIUSサーバーを使用したRADIUSベースのアカウンティング。

加入者アクセス管理の認証方法とアカウンティング方法を設定するには:

  1. 認証方法とその使用順序を指定します。
  2. アカウンティング方法を指定します。

加入者アクセス用の RADIUS 認証とアカウンティング サーバーの指定

加入者アクセス管理に使用する1つ以上のRADIUS認証サーバーまたはアカウンティングサーバーを指定できます。

RADIUS 認証とアカウンティング サポートを設定するには:

  1. RADIUS サポートを設定することを指定します。
  2. 認証に使用するRADIUSサーバーのIPアドレスを指定します。
  3. アカウンティングに使用するRADIUSサーバーのIPアドレスを指定します。

複数のRADIUS認証サーバーまたはアカウンティングサーバーを設定するには:

  • 認証またはアカウンティングに使用されるすべてのRADIUSサーバーのIPアドレスを指定します。

加入者向けのローカル認証と許可の設定

Junos OSリリース18.2R1以降、加入者に対してローカル認証と制限されたローカル認証を設定できるようになりました。ローカル認証は、MXシリーズルーター上の加入者管理とサービスで現在サポートされているすべての加入者タイプをサポートします。ローカル認証と許可は、次のような状況で役立ちます。

  • 外部の認証および許可サーバーを使用したくない場合。

  • 認証が失敗した場合RADIUSローカル認証と認証によってバックアップ方法を提供する必要がある場合。

  • JunosEソフトウェアを実行しているE SeriesルーターからJunos OSを実行しているMXシリーズルーターにネットワークを移行する場合。

アクセスプロファイルのauthentication-order方法として設定するようにpasswordオプションを設定することで、加入者のローカル認証と認証を有効にします。次に、ローカルで認証する各加入者のパスワードを設定します。アクセスプロファイルに関連付けられた加入者がログインすると、ログインユーザー名が設定されたユーザー名と比較されます。それが一致する場合、ログインパスワードが設定されたパスワードと比較されます。ローカル認証の失敗は、資格の不一致が原因で発生します。つまり、加入者のユーザー名またはパスワードのどちらかが一致しません。

ローカル認証は、以下のいずれかの形式をとることができます。

  • ユーザーパスワード認証—設定されたパスワードは、加入者のログインパスワードを検証するために使用されます。

  • チャレンジハンドシェイク認証(CHAP)—設定されたパスワードは、加入者のチャレンジパスワードとチャレンジ応答の資格を確認するためのチャレンジシークレットとして機能します。

また、オプションで、アドレスプール、論理システム、ルーティングインスタンスなどの複数の属性を設定して、認証が成功したときに加入者に対してローカルで承認することもできます。ローカル認証用のアドレスまたはアドレスプールを設定しない場合、アドレス割り当てはネットワークマッチングまたはルーティングインスタンスに割り当てられた最初のアドレスプールに基づきます。

注:

ローカル認証と許可は、シャーシ全体で最大100加入者をサポートします。 authentication-order password が設定されていないアクセスプロファイルで加入者が設定されている場合、ローカル認証は発生しませんが、これらの加入者は、ローカル認証の加入者数100人というシステム制限に対してカウントされます。

ローカル認証と許可を設定するには:

  1. ローカル認証を有効にします。

    ローカル認証のみを使用する場合は、唯一の認証方法として password を設定します。メソッドがタイムアウトした場合にローカル認証でRADIUS認証をバックアップする場合は、次のように、 radius を最初のメソッドとして、 password を2番目のメソッドとして設定する必要があります。

    最初の方法として password を設定した場合、認証は常に受け入れまたは拒否されます。いずれの場合も、2 番目の方法は試行されません。

  2. 加入者のローカルパスワードを設定します。
  3. (オプション)加入者のIPv4アドレスを設定します。
  4. (オプション)アドレスプールを設定して、加入者にIPv4アドレスを割り当てます。
  5. (オプション)アドレスプールを設定して、加入者にルーターアドバタイズIPv6プレフィックスまたはDHCPv6 IA_NA/128アドレスを割り当てます。
  6. (オプション)委任されたIPv6プレフィックスをローカルに割り当てるようにアドレスプールを設定します。
  7. (オプション)論理システムを設定し、必要に応じて加入者に割り当てられたルーティングインスタンスを設定します。
  8. (オプション)加入者用のルーティングインスタンスを設定します。

以下の show コマンドを使用して、ローカル認証に関する情報を表示できます。

  • show network-access aaa statistics authentication detail—ローカル認証の失敗統計を表示します。

  • show network-access requests statistics—ローカル認証とローカル再認証の両方の統計情報(受信したリクエスト、成功と失敗の応答数など)を表示します。

  • show network-access aaa statistics re-authentication—再認証の統計情報を表示しますが、これらはローカル認証とRADIUSの両方から集計されます。

関連ドキュメント

変更履歴テーブル

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。

リリース
説明
18.2R1
Junos OSリリース18.2R1以降、加入者に対してローカル認証と制限されたローカル認証を設定できるようになりました。