8.5.2 RADIUSサーバの準備
Web認証のRADIUS認証方式を使用するに当たっては,事前にRADIUSサーバの設定が必要です。
また,本装置のWeb認証機能が使用するRADIUSの属性を示します。
- 〈この項の構成〉
(1) RADIUSサーバの設定
ユーザごとにユーザID,パスワード,VLAN IDなどのユーザ情報をRADIUSサーバに設定します。なお,RADIUSサーバの詳細な設定方法については,使用するRADIUSサーバの説明書を参照してください。
ダイナミックVLANモードで認証成功後に切り替える認証後VLANを次のように設定します。
-
Tunnel-TypeにVirtual LANs(VLAN)を設定(値13)します。
-
Tunnel-Medium-Type に6を設定します。
-
Tunnel-Private-Group-IDにVLAN IDを次の形式で設定します。
-
数字文字で設定
例:VLAN IDが2048の場合,文字列で2048を設定
-
文字列”VLAN”に続いてVLAN IDを数字文字で設定
例:VLAN IDが2048の場合,VLAN2048を設定
-
コンフィグレーションコマンドnameで設定したVLAN名称を設定
-
なお,Tunnel-Type,Tunnel-Medium-Type,およびTunnel-Private-Group-IDの三つの属性がすべて設定されていない状態でダイナミックVLANモードで使用した場合,認証後VLANとしてネイティブVLANを適用します。
ユーザIDとパスワードには文字数1〜32文字で,次の文字が使用できます。
-
ユーザID:ASCII文字コードの0x21〜0x7E
-
パスワード:ASCII文字コードの0x21〜0x7E
また,認証方式としてPAPを設定します。
(2) Web認証が使用するRADIUS属性
Web認証が使用するRADIUSの属性を次の表に示します。
属性名 |
Type値 |
説明 |
---|---|---|
User-Name |
1 |
ユーザ名を指定します。 |
User-Password |
2 |
ユーザパスワードを指定します。 |
NAS-IP-Address |
4 |
ループバックインタフェースのIPアドレス指定時はループバックインタフェースのIPアドレスを格納し,指定されていなければRADIUSサーバと通信するインタフェースのIPアドレスを格納します。 |
Service-Type |
6 |
Framed(2)を設定します。 |
State |
24 |
該当する認証に対して,直前にRADIUSサーバからAccess-Challengeで送られてきたState値を設定します。 なお,State値がない場合は設定しません。 |
Calling-Station-Id |
31 |
認証端末のMACアドレス(小文字ASCII,“-”区切り)を指定します。 例:00-12-e2-12-34-56 |
NAS-Identifier |
32 |
固定VLANモード時に認証端末を収容しているVLAN IDを数字文字列で指定します。 例:VLAN ID 100の場合 100 ダイナミックVLANモードおよびレガシーモードでは,コンフィグレーションコマンドhostnameで指定された装置名を指定します。 |
NAS-Port-Type |
61 |
Virtual(5)を設定します。 |
NAS-IPv6-Address |
95 |
ループバックインタフェースのIPv6アドレス指定時はループバックインタフェースのIPv6アドレスを格納し,指定されていなければRADIUSサーバと通信するインタフェースのIPv6アドレスを格納します。ただし,IPv6リンクローカルアドレスで通信する場合は,ループバックインタフェースのIPv6アドレス設定の有無にかかわらず,送信インタフェースのIPv6リンクローカルアドレスを格納します。 |
属性名 |
Type値 |
説明 |
---|---|---|
Service-Type |
6 |
Framed(2)が返却される:Web認証ではチェックしません。 |
Reply-Message |
18 |
(未使用) |
Tunnel-Type |
64 |
ダイナミックVLANモードおよびレガシーモード時に使用します。 VLANを示す13であるかをチェックします。 固定VLANモード時は使用しません。 |
Tunnel-Medium-Type |
65 |
ダイナミックVLANモードおよびレガシーモード時に使用します。 IEEE802.1Xと同様の値6のTunnel-Medium-Typeであるかをチェックします。 固定VLANモード時は使用しません。 |
Tunnel-Private-Group-Id |
81 |
ダイナミックVLANモードおよびレガシーモード時に使用します。 VLANを表す数字文字列または“VLANxx” xxはVLAN IDを表します。 ただし,先頭の1オクテットの内容が0x00〜0x1fの場合は,Tagを表しているので,この場合は2オクテット目からの値がVLANを表します。先頭の1オクテットの内容が0x20以上の場合は,先頭からVLANを表します。 また,ダイナミックVLANモードでは,コンフィグレーションコマンドnameで設定されたVLAN名称が指定された場合,VLAN名称に対応するVLAN IDを使用します。 固定VLANモード時は使用しません。 |
属性名 |
Type値 |
説明 |
---|---|---|
User-Name |
1 |
利用者のユーザ名称を格納します。 |
NAS-IP-Address |
4 |
NASのIPアドレスを格納します。 ループバックインタフェースのIPアドレス設定時は,ループバックインタフェースのIPアドレスを格納します。なお,上記以外はサーバと通信するインタフェースのIPアドレスを格納します。 |
Service-Type |
6 |
Framed(2)を設定します。 |
Calling-Station-Id |
31 |
端末のMACアドレス(小文字ASCII,“-”区切り)を設定します。 例:00-12-e2-12-34-56 |
NAS-Identifier |
32 |
固定VLANモード時に認証端末を収容しているVLAN IDを数字文字列で設定します。 例:VLAN ID 100の場合 100 ダイナミックVLANモードおよびレガシーモードでは,コンフィグレーションコマンドhostnameで指定された装置名を指定します。 |
Acct-Status-Type |
40 |
ログイン時にStart(1),ログアウト時にStop(2)を格納します。 |
Acct-Delay-Time |
41 |
イベント発生時から送信するまでに必要とした時間(秒)を格納します。 |
Acct-Session-Id |
44 |
Accounting情報を識別するID(ログイン,ログアウトに関しては同じ値です)。 |
Acct-Authentic |
45 |
ユーザがどのように認証されたかを示すRADIUS,Localのどちらかを格納します。 |
Acct-Session-Time |
46 |
ログイン後ログアウトするまでの時間(秒)を格納します。 |
NAS-Port-Type |
61 |
Virtual(5)を設定します。 |
NAS-IPv6-Address |
95 |
NASのIPv6アドレスを格納します。 ループバックインタフェースのIPv6アドレス設定時は,ループバックインタフェースのIPv6アドレスを格納します。なお,上記以外はサーバと通信するインタフェースのIPv6アドレスを格納します。ただし,IPv6リンクローカルアドレスで通信する場合は,ループバックインタフェースのIPv6アドレス設定の有無にかかわらず,送信インタフェースのIPv6リンクローカルアドレスを格納します。 |