10.2.6 RADIUS/TACACS+との接続
- 〈この項の構成〉
(1) RADIUSサーバとの接続
(a) RADIUSサーバでの本装置の識別
RADIUSプロトコルではNASを識別するキーとして,要求パケットの発信元IPアドレスを使用するよう規定されています。本装置では要求パケットの発信元IPアドレスに次に示すアドレスを使用します。
-
コンフィグレーションコマンドinterface loopback 0のローカルアドレスが設定されている場合は,ローカルアドレスを発信元IPアドレスとして使用します。
-
ローカルアドレスが設定されていない場合は,送信インタフェースのIPアドレスを使用します。
このため,ローカルアドレスが設定されている場合は,RADIUSサーバに本装置を登録するためにローカルアドレスで指定したIPアドレスを使用する必要があります。これによって,RADIUSサーバと通信するインタフェースが特定できない場合は,ローカルアドレスを設定することでRADIUSサーバを確実に識別できる本装置の情報を登録できるようになります。
(b) RADIUSサーバのメッセージ
RADIUSサーバは応答にReply-Message属性を添付して要求元にメッセージを送付する場合があります。本装置では,RADIUSサーバからのReply-Message属性の内容を運用ログに出力します。RADIUSサーバとの認証に失敗する場合は,運用ログを参照してください。
(c) RADIUSサーバのポート番号
RADIUSの認証サービスのポート番号は,RFC2865で1812と規定されています。本装置では特に指定しないかぎり,RADIUSサーバへの要求に1812のポート番号を使用します。しかし,一部のRADIUSサーバで1812ではなく初期の実装時に使用されていた1645のポート番号を使用している場合があります。このときはコンフィグレーションradius-server hostのauth-portパラメータで1645を指定してください。なお,auth-portパラメータでは1〜65535の任意の値が指定できますので,RADIUSサーバが任意のポート番号で待ち受けできる場合にも対応できます。
(2) TACACS+サーバとの接続
(a) TACACS+サーバの設定
-
本装置とTACACS+サーバを接続する場合は,Serviceと属性名などに注意してください。TACACS+サーバの属性については,「10.2.4 RADIUS/TACACS+/ローカルを使用したコマンド承認」を参照してください。
-
コンフィグレーションコマンドinterface loopback 0のローカルアドレスが設定されている場合は,ローカルアドレスを発信元IPアドレスとして使用します。