コンフィグレーションガイド Vol.1


10.2.6 RADIUS/TACACS+との接続

〈この項の構成〉

(1) RADIUSサーバとの接続

(a) RADIUSサーバでの本装置の識別

RADIUSプロトコルではNASを識別するキーとして,要求パケットの発信元IPアドレスを使用するよう規定されています。本装置では要求パケットの発信元IPアドレスに次に示すアドレスを使用します。

  • コンフィグレーションコマンドinterface loopback 0のローカルアドレスが設定されている場合は,ローカルアドレスを発信元IPアドレスとして使用します。

  • ローカルアドレスが設定されていない場合は,送信インタフェースのIPアドレスを使用します。

このため,ローカルアドレスが設定されている場合は,RADIUSサーバに本装置を登録するためにローカルアドレスで指定したIPアドレスを使用する必要があります。これによって,RADIUSサーバと通信するインタフェースが特定できない場合は,ローカルアドレスを設定することでRADIUSサーバを確実に識別できる本装置の情報を登録できるようになります。

(b) RADIUSサーバのメッセージ

RADIUSサーバは応答にReply-Message属性を添付して要求元にメッセージを送付する場合があります。本装置では,RADIUSサーバからのReply-Message属性の内容を運用ログに出力します。RADIUSサーバとの認証に失敗する場合は,運用ログを参照してください。

(c) RADIUSサーバのポート番号

RADIUSの認証サービスのポート番号は,RFC2865で1812と規定されています。本装置では特に指定しないかぎり,RADIUSサーバへの要求に1812のポート番号を使用します。しかし,一部のRADIUSサーバで1812ではなく初期の実装時に使用されていた1645のポート番号を使用している場合があります。このときはコンフィグレーションradius-server hostのauth-portパラメータで1645を指定してください。なお,auth-portパラメータでは1〜65535の任意の値が指定できますので,RADIUSサーバが任意のポート番号で待ち受けできる場合にも対応できます。

(2) TACACS+サーバとの接続

(a) TACACS+サーバの設定

  • 本装置とTACACS+サーバを接続する場合は,Serviceと属性名などに注意してください。TACACS+サーバの属性については,「10.2.4 RADIUS/TACACS+/ローカルを使用したコマンド承認」を参照してください。

  • コンフィグレーションコマンドinterface loopback 0のローカルアドレスが設定されている場合は,ローカルアドレスを発信元IPアドレスとして使用します。