Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

RADIUS 認証とアカウンティングの基本設定

加入者アクセス用の認証およびアカウンティング パラメーターの設定

アクセス プロファイルを使用して、加入者アクセス管理機能の認証とアカウンティングのサポートを設定します。アクセスプロファイルでは、認証とアカウンティングに使用する方式のタイプを指定できます。また、加入者アクセス管理がアカウンティング統計を収集して使用する方法を設定することもできます。

加入者アクセスの認証とアカウンティングを設定するには、次の手順に従います。

  1. 使用する認証およびアカウンティング方法を指定します。

    加入者アクセスの認証およびアカウンティング方法の指定を参照してください。

  2. アカウンティング統計の収集方法を指定します。

    加入者単位セッション アカウンティングの設定を参照してください。

加入者アクセスの認証およびアカウンティング方式の指定

加入者アクセス管理が使用する認証およびアカウンティング方法を指定できます。

複数の認証およびアカウンティング方法を設定できます。 authentication-order ステートメントと accounting order ステートメントは、加入者アクセス管理機能が方法を使用する順序を指定します。例えば、 radius password の認証エントリーは、RADIUS認証が最初に実行されることを指定します。タイムアウトした場合(RADIUSサーバーに到達できない場合など)は、ローカル認証(password)が試行されます。ただし、ある方式が認証の試行を拒否した場合、それ以降の方式は試行されません。 password が最初に試行される方法として構成されている場合、認証は常に受け入れられるか拒否されます。どちらの場合も、他の方法は試行されません。

authentication-order ステートメントでは、以下の認証方法を指定できます。

  • radius—外部RADIUSサーバーを使用したRADIUSベースの認証。

  • password- ローカルで設定および保存されたユーザ名とパスワードを使用したローカル認証。

    加入者アクセス管理は、Junos OS リリース 18.2R1 まで password オプションをサポートしていません。Junos OS リリース 18.2R1以降、通常、外部認証および認可サーバーがない場合や、ローカル認証を外部認証のバックアップとして使用する場合に、passwordオプションを使用して個々の加入者にローカル認証を提供できます。この場合、アクセス プロファイルの subscriber username ステートメントの password オプションを使用して、実際の加入者パスワードを設定します。それ以前のリリースでは、常にradius認証方法を指定する必要があります。

次のアカウンティング方法を指定できます。

  • radius—外部RADIUSサーバーを使用したRADIUSベースのアカウンティング。

加入者アクセス管理の認証およびアカウンティング方法を設定するには、次の手順に従います。

  1. 認証方法とその使用順序を指定します。
  2. 会計方法を指定します。

加入者アクセス用のRADIUS認証およびアカウンティングサーバーの指定

加入者アクセス管理に使用する1つ以上のRADIUS認証サーバーまたはアカウンティングサーバーを指定できます。

RADIUS認証およびアカウンティングサポートを設定するには:

  1. RADIUS サポートを構成することを指定します。
  2. 認証に使用するRADIUSサーバーのIPアドレスを指定します。
  3. アカウンティングに使用するRADIUSサーバーのIPアドレスを指定します。

複数のRADIUS認証サーバーまたはアカウンティングサーバーを設定するには:

  • 認証またはアカウンティングに使用するすべてのRADIUSサーバーのIPアドレスを指定します。

加入者のローカル認証と許可の設定

Junos OS リリース 18.2R1 以降、加入者に対してローカル認証と制限付きローカル認証を設定できるようになりました。ローカル認証は、MXシリーズルーターの加入者管理とサービスで現在サポートされているすべての加入者タイプをサポートしています。ローカル認証と承認は、次のような状況で役立ちます。

  • 外部の認証・認可サーバーを使用しない場合

  • ローカル認証と認証で、RADIUS認証が失敗した場合のバックアップ方法を提供する場合。

  • JunosEソフトウェアを実行しているE Seriesルーターから、Junos OSを実行しているMXシリーズルーターにネットワークを移行する場合。

アクセス プロファイルのauthentication-order メソッドとして設定される password オプションを設定して、加入者のローカル認証と許可を有効にします。次に、ローカルで認証する各加入者のパスワードを設定します。アクセス プロファイルに関連付けられた加入者がログインすると、ログイン ユーザ名が設定されたユーザ名と比較されます。一致する場合、設定されたパスワードとログインパスワードが比較されます。ローカル認証の失敗は、資格情報の不一致が原因で発生します。つまり、加入者のユーザー名またはパスワードが一致しません。

ローカル認証は、以下のいずれかの形式をとることができます。

  • ユーザーパスワード認証—設定されたパスワードは、加入者のログインパスワードを検証するために使用されます。

  • チャレンジ ハンドシェイク認証(CHAP)—設定されたパスワードは、加入者のチャレンジ パスワードとチャレンジ応答資格情報を検証するためのチャレンジ シークレットとして機能します。

また、オプションで、アドレスプール、論理システム、ルーティング インスタンスなど、認証が成功した場合に加入者に対してローカルに許可されるように属性を設定することもできます。ローカル認証用のアドレスまたはアドレスプールを設定しない場合、アドレスの割り当てはネットワークの一致またはルーティング インスタンスに割り当てられた最初のアドレスプールに基づきます。

手記:

ローカル認証と許可は、シャーシ全体で最大100加入者をサポートします。 authentication-order password が設定されていないアクセスプロファイルに加入者が設定されている場合、ローカル認証は発生しませんが、これらの加入者はローカル認証のシステム制限である100加入者に対してカウントされます。

ローカル認証と許可を設定するには:

  1. ローカル認証を有効にします。

    ローカル認証のみを使用する場合は、唯一の認証方法として password を構成します。方式がタイムアウトした場合にローカル認証RADIUS認証をバックアップする場合は、次のように、 radius を第1の方式として、 password を第2の方式として設定する必要があります。

    最初の方法として password を設定した場合、認証は常に受け入れられるか拒否されます。いずれの場合も、2 番目の方法は試行されません。

  2. サブスクライバーのローカルパスワードを設定します。
  3. (オプション)加入者のIPv4アドレスを設定します。
  4. (オプション)アドレスプールを設定して、加入者にIPv4アドレスを割り当てます。
  5. (オプション)アドレスプールを設定して、加入者にルーターアドバタイズメントIPv6プレフィックスまたはDHCPv6 IA_NA/128アドレスを割り当てます。
  6. (オプション)アドレスプールを設定して、委任されたIPv6プレフィックスをローカルに割り当てます。
  7. (オプション)論理システムを設定し、必要に応じて加入者に割り当てられたルーティング インスタンスを設定します。
  8. (オプション)加入者のルーティング インスタンスを設定します。

以下の show コマンドを使用して、ローカル認証に関する情報を表示することができます。

  • show network-access aaa statistics authentication detail—ローカル認証の障害統計情報を表示します。

  • show network-access requests statistics- 受信した要求や、成功および失敗の応答数など、ローカル認証とローカル再認証の両方の統計情報を表示します。

  • show network-access aaa statistics re-authentication—再認証の統計情報を表示しますが、ローカル認証とRADIUSの両方から集計されます。

関連資料

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。

解放
形容
18.2R1
Junos OS リリース 18.2R1 以降、加入者に対してローカル認証と制限付きローカル認証を設定できるようになりました。