- play_arrow ログインクラスとログイン設定
- play_arrow ユーザー アカウント
- play_arrow ユーザー アクセス用のパスワード
- play_arrow トラステッドプラットフォームモジュール
- play_arrow ユーザー認証
- play_arrow リモート アクセス管理
- play_arrow IEEE 802.1xポートベースネットワークアクセス制御の設定
- play_arrow 拡張LANモードでのIEEE 802.1xポートベースネットワークアクセス制御の設定
- 拡張LANモードのMXシリーズルーター向け802.1Xの概要
- 拡張LANモードのMXシリーズルーターでの802.1XとLLDPおよびLLDP-MEDについて
- 拡張LANモードにおけるMXシリーズルーターでの802.1XとRADIUSアカウンティングについて
- 拡張LANモードにおけるMXシリーズルーターでの802.1XとVoIPについて
- 拡張LANモードのMXシリーズルーター上の802.1XのゲストVLANについて
- 拡張LANモードのMXシリーズルーター上の802.1Xの動的VLANについて
- 拡張LANモードのMXシリーズルーターにおけるサーバー障害時のフォールバックおよび認証についての理解
- 拡張LANモードのMXシリーズルーターでの802.1X RADIUSアカウンティングの設定
- 拡張LANモードのMXシリーズルーターでの802.1Xインターフェイス設定の構成
- 拡張LANモードのMXシリーズルーターでのLLDP-MEDの設定
- 拡張LANモードのMXシリーズルーターでLLDPを設定する
- 拡張LANモードのMXシリーズルーターでのサーバー障害フォールバックの設定
- MXシリーズルーターでのキャプティブポータル認証について
- MXシリーズルーターの認証セッションタイムアウトについて
- 拡張LANモードにおけるMXシリーズルーターの認証プロセスフロー
- 拡張LANモードのMXシリーズルーターでのRADIUSサーバー接続の指定
- 拡張LANモードのMXシリーズルーターでのキャプティブポータル認証の設定
- MXシリーズルーターでのキャプティブポータル認証ログインページの設計
- 拡張LANモードのMXシリーズルーターでの認証の静的MACバイパスの設定
- 拡張LANモードのMXシリーズルーターでの認証セッションタイムアウトの制御
- 拡張LANモードのMXシリーズルーターでのMAC RADIUS認証の設定
- 例:MXシリーズルーターでのMAC RADIUS認証の設定
- 例:MXシリーズルーターでのキャプティブポータル認証の設定
- 例:802.1X用RADIUSサーバーをMXシリーズルーターに接続する
- 例:会議室に802.1Xを設定し、企業への訪問者にMXシリーズルーター上でインターネットアクセスを提供する
- 例:MX シリーズルーターでの認証の静的 MAC バイパスの設定
- 例:MXシリーズルーターで802.1XまたはMAC RADIUS認証が有効なインターフェイス上の複数のサプリカントへのファイアウォールフィルターの適用
- play_arrow デバイスの検出
- play_arrow ドメイン名のセキュリティ
- play_arrow パーミッション フラグ
- アクセス
- アクセス制御
- 管理者
- 管理者制御
- all
- クリア
- 構成
- コントロール
- 畑
- ファイアウォール
- ファイアウォール制御
- フロッピー
- フロータップ
- フロータップ制御
- フロータップ操作
- IDPプロファイラ操作
- インターフェイス
- インターフェイス制御
- maintenance
- ネットワーク
- pgcp-session-mirroring
- pgcp-session-mirroring-control
- リセット
- rollback
- ルーティング
- ルーティング制御
- 秘密
- シークレット制御
- セキュリティ
- セキュリティ制御
- 貝
- SNMP
- snmp制御
- 制
- システム制御
- trace
- トレース制御
- view
- ビュー構成
- play_arrow 設定ステートメントと運用コマンド
RADIUS over TLS(RADSEC)
802.1X または MAC RADIUS 認証を使用するには、接続する RADIUS サーバーごとにスイッチ上の接続を指定する必要があります。RADIUS over TLS は、トランスポート セキュア レイヤー(TLS)プロトコルを使用して、RADIUS 要求のセキュアな通信を提供するように設計されています。RADIUS over TLS は RADSEC とも呼ばれ、通常の RADIUS トラフィックを TLS 経由で接続されたリモート RADIUS サーバーにリダイレクトします。RADSec を使用すると、RADIUS 認証、認証、およびアカウンティング データを、信頼できないネットワーク間で安全に渡すことができます。
RADSEC は、伝送制御プロトコル (TCP) と組み合わせて TLS を使用します。このトランスポートプロファイルは、もともとRADIUS伝送に使用されていたユーザーデータグラムプロトコル(UDP)よりも強力なセキュリティを提供します。RADIUS over UDP は、攻撃に対して脆弱な MD5 アルゴリズムを使用して共有秘密パスワードを暗号化します。RADSEC は、暗号化された TLS トンネル上で RADIUS パケット ペイロードを交換することで、MD5 への攻撃のリスクを軽減します。
TCP プロトコルの制限により、RADSEC は転送中の RADIUS メッセージを 255 個までに制限できます。
RADSEC 宛先の設定
RADSEC サーバーは、RADSEC 宛先オブジェクトによって表されます。RADSEC を設定するには、RADSEC サーバーを宛先として定義し、RADIUS トラフィックをその宛先に転送する必要があります。
RADSEC サーバーを宛先として定義するには、[edit access]
階層レベルで radsec
ステートメントを使用します。RADSEC 宛先は、一意の数値 ID によって識別されます。同じ RADSEC サーバを指す異なるパラメータで、複数の RADSEC 宛先を設定できます。
標準のRADIUSサーバーからRADSECサーバーにトラフィックをリダイレクトするには、RADIUSサーバーをRADSEC宛先に関連付けます。たとえば、RADIUS サーバー 10.1.1.1
は、RADSEC 宛先 10
に関連付けられています。
access { radius-server 10.1.1.1 { secret zzz; radsec-destination 10; } }
また、RADIUS サーバーをアクセス プロファイル内の RADSEC 宛先に関連付けることもできます。たとえば、プロファイル acc_profile
の RADIUS サーバー 10.2.2.2
は、RADSEC 宛先10
に関連付けられます。
access { profile acc_profile { secret zzz; radsec-destination 10; } }
複数のRADIUSサーバーを同じRADSEC宛先にリダイレクトできます。
RADSECを設定するには、次の手順に従います。
TLS 接続パラメータの設定
TLS接続は、RADIUSメッセージの交換のための暗号化、認証、およびデータ整合性を提供します。TLS は、証明書と秘密キーと公開キーの交換ペアに依存して、RADSEC クライアントとサーバー間のデータ転送をセキュリティで保護します。RADSEC デスティネーションは、Junos PKI インフラストラクチャーから動的に取得されたローカル証明書を使用します。
RADSEC を使用可能にするには、ローカル証明書の名前を指定する必要があります。ローカル証明書および認証局(CA)の設定については、 デジタル証明書の設定を参照してください。
例:シンプルな RADSEC 構成
次の例は、1 つの RADIUS サーバーと 1 つの RADSEC 宛先を持つ単純な RADSEC 設定です。RADIUSトラフィックは、RADIUSサーバー10.1.1.1からRADSEC宛先10にリダイレクトされます。
access { radius-server 10.1.1.1 { secret zzz; radsec-destination 10; } radsec { destination 10 { address 10.10.1.1; max-tx-buffers 1000; id-reuse-timeout 30; port 1777; source-address 10.1.1.2; tls-certificate my_cert; tls-min-version { v1.1 | v1.2 }; tls-peer-name x0.radsec.com tls-timeout 10; } } }