6.2.4 RADIUSサーバ接続機能
- 〈この項の構成〉
(1) RADIUSサーバとの接続
RADIUSサーバは最大4台まで指定できます。指定時には,サーバのIPv4アドレス,IPv6アドレスまたはホスト名を指定できますが,IEEE802.1XではIPv4アドレスまたはIPv6アドレスでの指定を推奨します。ホスト名を指定する場合は,「5.4.2 RADIUSサーバ使用時の注意」を参照の上,指定してください。ホスト名を指定したときに複数のアドレスが解決できた場合は,優先順序に従いIPアドレスを一つ決定し,RADIUSサーバと通信を行います。優先順序の詳細については,「コンフィグレーションガイド Vol.1」 「11.1 解説」を参照してください。また,本装置とRADIUSサーバとの接続は,認証の対象外となっているポートを使用してください。
RADIUSサーバへの接続は,コンフィグレーションの順に行い,接続に失敗したときは次のRADIUSサーバとの接続を試みます。すべてのRADIUSサーバとの接続に失敗した場合は,端末にEAP-Failureを送信して認証シーケンスを終了します。
RADIUSサーバとの接続後に認証シーケンスの途中で通信タイムアウトを検出した場合は,端末にEAP-Failureを送信し,認証シーケンスを終了します。
(2) VLAN単位認証(動的)でVLANを動的に割り当てるときの設定
本装置でサポートするVLAN単位認証(動的)でVLANの動的割り当てを実施する場合,RADIUSサーバへ次に示す属性を設定する必要があります。属性の詳細については,「表6‒4 認証で使用する属性名(その3 Access-Accept)」を参照してください。
-
Tunnel-Type
-
Tunnel-Medium-Type
-
Tunnel-Private-Group-Id
(3) ポート単位認証の端末認証モード,およびVLAN単位認証(静的)で認証端末にフィルタを適用するときの設定
本装置でサポートするポート単位認証の端末認証モード,およびVLAN単位認証(静的)で認証端末に対してフィルタの適用を実施する場合,RADIUSサーバへ次に示す属性を設定する必要があります。属性の詳細については,「表6‒4 認証で使用する属性名(その3 Access-Accept)」を参照してください。
-
Filter-Id
(4) RADIUSサーバでの本装置の識別の設定
RADIUSプロトコルではRADIUSクライアント(NAS)を識別するキーとして,要求パケットの送信元IPアドレスを使用するよう規定されています。本装置では要求パケットの送信元IPアドレスとして次に示すアドレスを使用します。
-
ローカルアドレスが設定されている場合は,ローカルアドレスを送信元IPアドレスとして使用します。
-
ローカルアドレスが設定されていない場合は,送信インタフェースのIPアドレスを送信元IPアドレスとして使用します。
本装置にローカルアドレスが設定されている場合,RADIUSサーバに登録する本装置のIPアドレスとして,ローカルアドレスで指定したIPアドレスを指定してください。RADIUSサーバと通信する送信インタフェースが特定できない場合であっても,ローカルアドレスを設定することによって,RADIUSサーバに設定する本装置のIPアドレスを特定できるようになります。