- play_arrow ログインクラスとログイン設定
- play_arrow ユーザー アカウント
- play_arrow ユーザー アクセス用のパスワード
- play_arrow トラステッドプラットフォームモジュール
- play_arrow ユーザー認証
- play_arrow リモート アクセス管理
- play_arrow IEEE 802.1xポートベースネットワークアクセス制御の設定
- play_arrow 拡張LANモードでのIEEE 802.1xポートベースネットワークアクセス制御の設定
- 拡張LANモードのMXシリーズルーター向け802.1Xの概要
- 拡張LANモードのMXシリーズルーターでの802.1XとLLDPおよびLLDP-MEDについて
- 拡張LANモードにおけるMXシリーズルーターでの802.1XとRADIUSアカウンティングについて
- 拡張LANモードにおけるMXシリーズルーターでの802.1XとVoIPについて
- 拡張LANモードのMXシリーズルーター上の802.1XのゲストVLANについて
- 拡張LANモードのMXシリーズルーター上の802.1Xの動的VLANについて
- 拡張LANモードのMXシリーズルーターにおけるサーバー障害時のフォールバックおよび認証についての理解
- 拡張LANモードのMXシリーズルーターでの802.1X RADIUSアカウンティングの設定
- 拡張LANモードのMXシリーズルーターでの802.1Xインターフェイス設定の構成
- 拡張LANモードのMXシリーズルーターでのLLDP-MEDの設定
- 拡張LANモードのMXシリーズルーターでLLDPを設定する
- 拡張LANモードのMXシリーズルーターでのサーバー障害フォールバックの設定
- MXシリーズルーターでのキャプティブポータル認証について
- MXシリーズルーターの認証セッションタイムアウトについて
- 拡張LANモードにおけるMXシリーズルーターの認証プロセスフロー
- 拡張LANモードのMXシリーズルーターでのRADIUSサーバー接続の指定
- 拡張LANモードのMXシリーズルーターでのキャプティブポータル認証の設定
- MXシリーズルーターでのキャプティブポータル認証ログインページの設計
- 拡張LANモードのMXシリーズルーターでの認証の静的MACバイパスの設定
- 拡張LANモードのMXシリーズルーターでの認証セッションタイムアウトの制御
- 拡張LANモードのMXシリーズルーターでのMAC RADIUS認証の設定
- 例:MXシリーズルーターでのMAC RADIUS認証の設定
- 例:MXシリーズルーターでのキャプティブポータル認証の設定
- 例:802.1X用RADIUSサーバーをMXシリーズルーターに接続する
- 例:会議室に802.1Xを設定し、企業への訪問者にMXシリーズルーター上でインターネットアクセスを提供する
- 例:MX シリーズルーターでの認証の静的 MAC バイパスの設定
- 例:MXシリーズルーターで802.1XまたはMAC RADIUS認証が有効なインターフェイス上の複数のサプリカントへのファイアウォールフィルターの適用
- play_arrow デバイスの検出
- play_arrow ドメイン名のセキュリティ
- play_arrow パーミッション フラグ
- アクセス
- アクセス制御
- 管理者
- 管理者制御
- all
- クリア
- 構成
- コントロール
- 畑
- ファイアウォール
- ファイアウォール制御
- フロッピー
- フロータップ
- フロータップ制御
- フロータップ操作
- IDPプロファイラ操作
- インターフェイス
- インターフェイス制御
- maintenance
- ネットワーク
- pgcp-session-mirroring
- pgcp-session-mirroring-control
- リセット
- rollback
- ルーティング
- ルーティング制御
- 秘密
- シークレット制御
- セキュリティ
- セキュリティ制御
- 貝
- SNMP
- snmp制御
- 制
- システム制御
- trace
- トレース制御
- view
- ビュー構成
- play_arrow 設定ステートメントと運用コマンド
EXシリーズスイッチでの柔軟な認証順序
Junos OSスイッチは、ネットワークへの接続を必要とするデバイスの認証方法として、802.1X、MAC RADIUS、キャプティブポータルをサポートしています。柔軟な認証順序機能を使用して、スイッチがクライアントの認証を試みるときに使用する認証方式の順序を指定できます。1 つのインターフェイスに複数の認証方式が設定されている場合、1 つの認証方式が失敗すると、スイッチは別の方式にフォールバックします。詳細については、このトピックを参照してください。
柔軟な認証順序の設定
柔軟な認証順序機能を使用して、スイッチがクライアントの認証を試みるときに使用する認証方式の順序を指定できます。1 つのインターフェイスに複数の認証方式が設定されている場合、1 つの認証方式が失敗すると、スイッチは別の方式にフォールバックします。
デフォルトでは、スイッチは最初に 802.1X 認証を使用してクライアントの認証を試みます。クライアントからの応答がなく、インターフェイスで MAC RADIUS 認証が構成されているために 802.1X 認証が失敗した場合、スイッチは MAC RADIUS を使用して認証を試みます。MAC RADIUSに障害が発生し、インターフェイスにキャプティブ ポータルが設定されている場合、スイッチはキャプティブ ポータルを使用して認証を試みます。
柔軟な認証順序により、使用する認証方法の順序は、インターフェイスに接続されているクライアントのタイプに基づいて変更できます。authentication-order ステートメントを設定して、802.1X 認証と MAC RADIUS 認証のどちらを最初に試行するかを指定できます。キャプティブポータルは、常に最後に試行される認証方法です。
MAC RADIUS認証がオーダーの最初の認証方法として設定されている場合、スイッチはクライアントからデータを受信すると、MAC RADIUS認証を使用してクライアントの認証を試みます。MAC RADIUS 認証が失敗した場合、スイッチは 802.1X 認証を使用してクライアントを認証します。802.1X 認証が失敗し、インターフェイスにキャプティブ ポータルが設定されている場合、スイッチはキャプティブ ポータルを使用して認証を試みます。
802.1X 認証と MAC RADIUS 認証が失敗し、キャプティブ ポータルがインターフェイスで設定されていない場合、サーバー障害フォールバック方式が設定されていない限り、クライアントは LAN へのアクセスを拒否されます。詳細については、 RADIUS サーバー障害フォールバックの設定(CLI 手順) を参照してください。
マルチサプリカントモードで設定されたインターフェイスでは、異なる認証方法を並行して使用することができます。したがって、エンド デバイスがキャプティブ ポータルを使用してインターフェイス上で認証された場合でも、そのインターフェイスに接続された別のエンド デバイスは、802.1X または MAC RADIUS 認証を使用して認証できます。
インターフェイスでフレキシブル認証順序を設定する前に、そのインターフェイスで認証方式が設定されていることを確認してください。スイッチは、認証順序にその方法が含まれていても、インターフェイスで設定されていない方法を使用して認証を試みません。スイッチはその方式を無視し、そのインターフェイスで有効になっている認証順序で次の方式を試みます。
authentication-order ステートメントを設定する際は、次のガイドラインに従います。
認証順序には、少なくとも 2 つの認証方法を含める必要があります。
802.1X 認証は、認証順序に含まれるいずれかの方法である必要があります。
キャプティブ ポータルが認証順序に含まれている場合、それは順序の最後の方法でなければなりません。
インターフェイスに
mac-radius-restrictが設定されている場合、そのインターフェイスでは認証順序を設定できません。
柔軟な認証順序を設定するには、次の有効な組み合わせのいずれかを使用します。
認証順序は、 interface all オプションを使用してグローバルに設定することも、個々のインターフェイス名を使用してローカルに設定することもできます。認証順序が個々のインターフェイスとすべてのインターフェイスの両方に設定されている場合、そのインターフェイスのローカル設定がグローバル設定に上書きされます。
認証順序を設定した後、 insert コマンドを使用して認証順序を変更する必要があります。set コマンドを使用しても、設定した順序は変更されません。
初期設定後に認証順序を変更するには:
[edit] user@switch# insert protocols dot1x authenticator interface interface-name authentication-order authentication-method before authentication-method
たとえば、順序を [ [mac-radius dot1x captive portal] ] から [ [dot1x mac-radius captive portal]] に変更するには、次のようにします。
[edit] user@switch# insert protocols dot1x authenticator interface interface-name authentication-order dot1x before mac-radius
関連項目
既存の認証セッションを維持するための EAPoL ブロックの設定
802.1X オーセンティケータとして動作するスイッチが、認証されたクライアントから EAP-Start メッセージを受信すると、スイッチは 802.1X 方式を使用してクライアントの再認証を試み、通常は EAP-Request メッセージを返し、応答を待ちます。クライアントが応答に失敗した場合、スイッチはMAC RADIUSまたはキャプティブポータル方式(これらの方式が設定されている場合)を使用してクライアントの再認証を試みます。MAC RADIUSまたはキャプティブポータル認証を使用して認証されたクライアントは応答せず、スイッチが再認証を試みると、インターフェイス上のトラフィックがドロップされます。
MAC RADIUSがクライアントの認証に使用される最初の方法になるようにインターフェイスで柔軟な認証順序を設定した場合、クライアントがEAP-Startメッセージを送信すると、クライアントがMAC RADIUS認証を使用して正常に認証されたとしても、スイッチは再認証に802.1Xを使用するように戻されます。EAPoL ブロックは、固定または柔軟な認証順序で設定できます。authentication-order ステートメントを設定しない場合、順序はデフォルトで固定されます。eapol-block ステートメントは、authentication-order ステートメントの設定の有無にかかわらず設定できます。
eapol-block ステートメントを使用した MAC RADIUS 認証またはキャプティブ ポータル認証を使用して認証されたクライアントから送信された EAP-Start メッセージを無視するようにスイッチを設定できます。EAPoL メッセージのブロックが有効な場合、スイッチがクライアントから EAP-Start メッセージを受信しても、EAP-Request メッセージは返されず、既存の認証セッションが維持されます。
エンドポイントがMAC RADIUS認証またはキャプティブポータル認証で認証されていない場合、EAPoLブロックは有効になりません。エンドポイントは、802.1X 認証を使用して認証できます。
eapol-block が mac-radius オプションで設定されている場合、クライアントが MAC RADIUS 認証または CWA(セントラル Web 認証)で認証されると、EAP-Start メッセージを送信してもクライアントは認証された状態のままになります。eapol-block が captive-portal オプションで設定されている場合、クライアントがキャプティブ ポータルで認証されると、EAP-Start メッセージを送信してもクライアントは認証された状態のままになります。
この機能は、EX4300およびEX9200スイッチでサポートされています。
既存の認証セッションを維持するために EAPoL メッセージのブロックを構成するには:
