認証用のRADIUSサーバー設定
ジュニパーネットワークスのイーサネットスイッチは、802.1X、MAC RADIUS、またはキャプティブポータル認証を使用して、デバイスまたはユーザーにアクセス制御を提供します。スイッチで 802.1X、MAC RADIUS、またはキャプティブ ポータル認証が設定されている場合、エンド デバイスは初期接続時に認証(RADIUS)サーバーによって評価されます。802.1X または MAC RADIUS 認証を使用するには、接続する RADIUS サーバーごとにスイッチ上の接続を指定する必要があります。詳細については、このトピックをお読みください。
スイッチでのRADIUSサーバー接続の指定(CLI手順)
IEEE 802.1XとMAC RADIUS認証はどちらもネットワークエッジセキュリティを提供し、サプリカントの認証情報またはMACアドレスが authentication server (RADIUSサーバー)で提示および一致されるまで、インターフェイスでデバイスとの間のすべてのトラフィックをブロックすることで、認証されていないユーザーアクセスからイーサネットLANを保護します。サプリカントが認証されると、スイッチはアクセスのブロックを停止し、サプリカントにインターフェイスを開きます。
802.1X または MAC RADIUS 認証を使用するには、接続する RADIUS サーバーごとにスイッチ上の接続を指定する必要があります。
複数のRADIUSサーバーを設定するには、複数のradius-serverステートメントを含めます。複数のサーバーが構成されている場合、既定では構成順にサーバーにアクセスします。最初に構成されたサーバーがプライマリ サーバーです。プライマリ サーバに到達できない場合、ルータは 2 番目に設定されたサーバへの到達を試みます。ラウンドロビン方式を設定することで、要求の負荷を分散できます。サーバーは、いずれかのサーバーから有効な応答を受信するか、構成されたすべての再試行制限に達するまで、順番にラウンドロビン方式で試行されます。
ラウンドロビン方式は、EXシリーズスイッチでの使用は推奨されません。
また、1 つ以上の IP アドレスに解決される完全修飾ドメイン名 (FQDN) を構成することもできます。「スイッチでのRADIUSサーバー接続の指定(CLI手順)」を参照してください。
スイッチにRADIUSサーバーを設定するには、次の手順に従います。
FQDN を使用した RADIUS サーバーの設定
1 つ以上の IP アドレスに解決される完全修飾ドメイン名 (FQDN) を構成できます。[edit access radius-server-name hostname] 階層レベルで FQDN を使用して RADIUS サーバーを構成します。FQDN が複数のアドレスに解決される場合、既定では、構成順にサーバーにアクセスします。最初に解決されたアドレスがプライマリ サーバーです。プライマリ サーバに到達できない場合、ルータは 2 番目のサーバへの到達を試みます。ラウンドロビン方式を設定することで、要求の負荷を分散できます。サーバーは、いずれかのサーバーから有効な応答を受信するか、構成されたすべての再試行制限に達するまで、順番にラウンドロビン方式で試行されます。
関連項目
セッション対応ラウンドロビンRADIUS要求の理解
Junos OSリリース22.4R1以降、ラウンドロビンアルゴリズムが設定されている場合、認証(authd)サービスはセッション認識となり、RADIUSサーバーからのアクセスチャレンジに応じて対応するアクセス要求が同じRADIUSサーバーに送信され、認証が成功します。
既存の動作に従って、いずれかのRADIUSサーバーからアクセスチャレンジと状態属性を受信すると、対応するアクセス要求がラウンドロビンアルゴリズムを使用して次のRADIUSサーバーに送信されます。次のRADIUSサーバーにはこのセッションの記録がないため、アクセス要求を拒否し、認証に失敗します。新機能では、対応するアルゴリズムが構成され、RADIUSサーバーからのアクセスチャレンジに応じて、それぞれのアクセス要求が同じRADIUSサーバーに送信され、認証が成功します。RADIUS サーバーがアクセス チャレンジで応答しない場合、要求を受け入れるか拒否します。次の認証要求では、ラウンドロビン方式に従って次のRADIUSサーバーに要求が送信されます。各アクセス要求に応答して、RADIUSサーバーから任意の数のアクセスチャレンジを送信することができ、authdは、要求がRADIUSサーバーによって受け入れられるか拒否されるまで、同じRADIUSサーバーに応答します。
この機能は、authd-liteクライアント(dot1xなど)でのみサポートされ、ブロードバンドクライアントではサポートされていないため、ポイントツーポイントプロトコル(PPP)を使用するブロードバンドクライアントではサポートされないことに注意してください。また、RADIUSクライアントとRADIUSサーバー間では、認証時のみアクセスチャレンジメッセージが交換され、アカウンティング用では交換されません。
パスワード変更をサポートするためのMS-CHAPv2の設定(CLI手順)
EX シリーズ スイッチ向け Junos OS を使用すると、Microsoft Corporation の実装であるチャレンジ ハンドシェイク認証プロトコル バージョン 2(MS-CHAPv2)をスイッチ上で設定し、パスワード変更のサポートを提供できます。スイッチでMS-CHAPv2を設定すると、パスワードが期限切れになったときやリセットされたとき、または次のログイン時に変更するように設定された時に、スイッチにアクセスするユーザーにパスワードを変更するオプションが提供されます。
MS-CHAP の詳細については、RFC 2433, Microsoft PPP CHAP Extensionsを参照してください。
パスワード変更をサポートするようにMS-CHAPv2を設定する前に、以下を確認してください。
RADIUS サーバー認証を構成しました。認証サーバーでユーザーを設定し、認証順序で最初に試行したオプションを RADIUS に設定します。「例 :802.1XによるRADIUSサーバーとEXシリーズスイッチの接続例をご覧ください。
MS-CHAPv2を設定するには、以下を指定します。
[edit system radius-options] user@switch# set password-protocol mschap-v2
パスワードを変更するには、スイッチに必要なアクセス許可が必要です。
関連項目
パスワード変更をサポートするためのMS-CHAPv2の設定
パスワード変更をサポートできるようにMS-CHAPv2を設定する前に、次の作業が完了していることを確認してください。
構成されたRADIUSサーバー認証パラメーター。
認証順序で最初に試行したオプションを RADIUS サーバーに設定します。
Microsoft実装のChallenge Handshake Authentication Protocolバージョン2(MS-CHAPv2)をルーターまたはスイッチで設定して、パスワードの変更をサポートできます。この機能は、パスワードの有効期限が切れたとき、リセットされたとき、または次回ログオン時に変更するように構成されたときに、ユーザーにルーターにアクセスするか、パスワードを変更するオプションを提供します。
MS-CHAP-v2を設定するには、[edit system radius-options]階層レベルに以下のステートメントを含めます。
[edit system radius-options] password-protocol mschap-v2;
以下の例では、MS-CHAPv2パスワードプロトコル、パスワード認証の順序およびユーザーアカウントを設定するためのステートメントを示しています。
[edit]
system {
authentication-order [ radius password ];
radius-server {
192.168.69.149 secret "$9$G-j.5Qz6tpBk.1hrlXxUjiq5Qn/C"; ## SECRET-DATA
}
radius-options {
password-protocol mschap-v2;
}
login {
user bob {
class operator;
}
}
}
スイッチにおけるサーバー障害時のフォールバックおよび認証についての理解
ジュニパーネットワークスのイーサネットスイッチは、認証を使用してエンタープライズネットワークにアクセス制御を実装します。スイッチで 802.1X、MAC RADIUS、またはキャプティブ ポータル認証が設定されている場合、エンド デバイスは初期接続時に認証(RADIUS)サーバによって評価されます。エンドデバイスが認証サーバーに設定されている場合、デバイスはLANへのアクセスを許可され、EXシリーズスイッチはインターフェイスを開いてアクセスを許可します。
サーバー障害フォールバックを使用すると、RADIUS 認証サーバーが利用できなくなった場合に、スイッチに接続されたエンド デバイスをどのようにサポートするかを指定できます。サーバー障害時のフォールバックは、ほとんどの場合、再認証中に、設定済みで使用中のRADIUSサーバーにアクセスできなくなったときにトリガーされます。ただし、サーバー障害時のフォールバックは、エンドデバイスがRADIUSサーバーを介した認証を初めて試みたときにトリガーされることもあります。
サーバー障害時のフォールバックでは、サーバーがタイムアウトした場合に、認証待機中のエンドデバイスで実行する4つのアクションのいずれかを指定できます。スイッチは、サプリカントへのアクセスを受け入れるか拒否するか、または RADIUS タイムアウトが発生する前にサプリカントに既に許可されたアクセスを維持することができます。サプリカントを特定のVLANに移動させるようにスイッチを設定することもできます。VLANはスイッチ上ですでに設定されている必要があります。設定されたVLAN名は、サーバーから送信された属性をすべて上書きします。
Permit 認証:エンドデバイスがRADIUSサーバーによって正常に認証されたかのように、トラフィックがエンドデバイスからインターフェイスを介して流れるようにします。
Deny 認証により、トラフィックがエンドデバイスからインターフェイスを介して流れるのを防ぎます。これはデフォルトです。
Move スイッチが RADIUS アクセス拒否メッセージを受信した場合に、指定された VLAN へのエンド デバイス。設定されたVLAN名は、サーバーから送信された属性をすべて上書きします。(VLANはすでにスイッチ上に存在している必要があります。)
Sustain すでにLANアクセスを持つ認証済みエンドデバイスと deny 非認証エンドデバイス。再認証中にRADIUSサーバーがタイムアウトすると、以前に認証されたエンドデバイスが再認証され、新しいユーザーはLANアクセスを拒否されます。
関連項目
RADIUS サーバー障害時のフォールバックの設定 (CLI 手順)
認証フォールバックオプションを設定して、RADIUS認証サーバーが利用できなくなった場合に、スイッチに接続されたエンドデバイスをどのようにサポートするかを指定できます。
スイッチで 802.1X または MAC RADIUS 認証を設定する場合、プライマリ認証サーバーと 1 つ以上のバックアップ認証サーバーを指定します。スイッチがプライマリ認証サーバーに到達できず、セカンダリ認証サーバーにも到達できない場合は、RADIUS サーバーのタイムアウトが発生します。この場合、認証を待機しているエンドデバイスへのアクセスを許可または拒否するのは認証サーバーであるため、スイッチはLANへのアクセスを試みるエンドデバイスに対するアクセス指示を受信せず、通常の認証を完了できません。
サーバー障害フォールバック機能を設定して、認証サーバーが使用できない場合にスイッチがエンドデバイスに適用するアクションを指定できます。スイッチは、サプリカントへのアクセスを受け入れるか拒否するか、または RADIUS タイムアウトが発生する前にサプリカントに既に許可されたアクセスを維持することができます。サプリカントを特定のVLANに移動させるようにスイッチを設定することもできます。
また、認証サーバーから RADIUS アクセス拒否メッセージを受信したエンド デバイスに対して、サーバー拒否フォールバック機能を設定することもできます。サーバー拒否フォールバック機能は、802.1X に対応しているが、間違った資格情報を送信した応答性の高いエンド デバイスに LAN への限定アクセス(通常はインターネットへのアクセスのみ)を提供します。
サーバー障害フォールバックは、リリース 14.1X53-D40 およびリリース 15.1R4 以降の音声トラフィックでサポートされています。音声トラフィックを送信する VoIP クライアントに対するサーバー障害フォールバック アクションを設定するには、 server-fail-voip ステートメントを使用します。すべてのデータ トラフィックに対して、 server-fail ステートメントを使用します。スイッチは、クライアントから送信されるトラフィックの種類に基づいて、使用するフォールバック方法を決定します。タグなしのデータ フレームは、VoIP クライアントから送信された場合でも、 server-fail で設定されたアクションの対象となります。タグ付きVoIP VLANフレームは、 server-fail-voipで設定されたアクションの対象となります。server-fail-voipが設定されていない場合、音声トラフィックはドロップされます。
サーバー拒否フォールバックは、VoIP VLAN タグ付きトラフィックではサポートされていません。サーバー拒否フォールバックが有効なときに、VoIP クライアントがタグなしのデータ トラフィックを VLAN に送信して認証を開始した場合、VoIP クライアントはフォールバック VLAN へのアクセスを許可されます。その後、同じクライアントがタグ付き音声トラフィックを送信すると、音声トラフィックはドロップされます。
サーバー拒否フォールバックが有効なときに、VoIP クライアントがタグ付き音声トラフィックを送信して認証を開始すると、VoIP クライアントはフォールバック VLAN へのアクセスを拒否されます。
以下の手順を使用して、データ・クライアントのサーバー障害アクションを構成できます。音声トラフィックを送信する VoIP クライアントに対してサーバー障害時のフォールバックを設定するには、server-fail ステートメントの代わりに server-fail-voip ステートメントを使用します。
サーバー障害時のフォールバック アクションを構成するには:
認証サーバーから RADIUS アクセス拒否メッセージを受信したインターフェイスを設定すると、そのインターフェイスで LAN アクセスを試みるエンド デバイスを、スイッチにすでに設定されている指定された VLAN(サーバー拒否 VLAN)に移動できます。
サーバー拒否フォールバック VLAN を構成するには:
[edit protocols dot1x authenticator] user@switch# set interface interface-name server-reject-vlan vlan-sf
関連項目
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。