解説書 Vol.2
サポートする機能を以下に示します。
- <この節の構成>
- (1) 認証動作モード
- (2) 認証方式
- (3) 認証アルゴリズム
- (4) RADIUS Accounting機能
(1) 認証動作モード
本装置でサポートする認証動作モード(PAEモード)はAuthenticatorです。本装置がSupplicantとして動作することはありません。
(2) 認証方式
本装置でサポートする認証方式はRADIUSサーバ認証です。
端末から受信したEAPOLパケットをEAPoverRADIUSに変換し,認証処理はRADIUSサーバで行います。
RADIUSサーバはEAP対応されている必要があります。
本装置が使用するRADIUSの属性名を次の表に示します。
属性名 type値 解説 パケットタイプ User-Name 1 認証されるユーザ名。 Request NAS-IP-Address 4 認証を要求している,Authenticator(本装置)のIPアドレス。
ローカルアドレスが設定されている場合はローカルアドレス,ローカルアドレスが設定されていない場合は送信インタフェースのIPアドレスになります。Request NAS-Port 5 Supplicantを認証しているAuthenticatorの物理ポート番号を表す。 Request Service-Type 6 提供するサービスタイプ。 Request
AcceptFramed-MTU 12 Supplicant〜Authenticator間の最大フレームサイズ。 Request Reply-Message 18 ユーザに表示されるメッセージ。 Challenge
Accept
RejectState 24 AuthenticatorとRADIUSサーバ間のState情報の保持を可能にする。 Request
ChallengeSession-Timeout 27 Supplicantヘ送信したEAP-Requestに対する応答待ちタイムアウト値。 Challenge Called-Station-Id 30 ブリッジやアクセスポイントのMACアドレス。 Request Calling-Station-Id 31 SupplicantのMACアドレス(大文字ASCII,"-"区切り)。 Request NAS-Identifier 32 Authenticatorを識別する文字列。 Request NAS-Port-Type 61 Authenticatorがユーザ認証に使用している,物理ポートのタイプ。 Request Tunnel-Type【AX7800S】 64 トンネル・タイプ。VLAN単位認証(動的)モードでだけ意味を持ち,VLAN(13)を設定。 Accept Tunnel-Medium-Type【AX7800S】 65 トンネルを作成する際のプロトコル。
VLAN単位認証(動的)モードでだけ意味を持ち,IEEE802(6)を設定。Accept Connect-Info 77 Supplicantのコネクションの特徴を示す。 Request EAP-Message 79 EAPパケットをカプセル化する。 Request
Challenge
Accept
RejectMessage-Authenticator 80 RADIUS/EAPパケットを保護するために使用する。 Request
Challenge
Accept
RejectTunnel-Private-Group-ID【AX7800S】 81 VLANを識別する文字列。Accept時は,認証済みのSupplicantに割り当てるVLANを意味する。
VLAN単位認証(動的)モードでだけ意味を持ち,次に示す文字列が対応する。
(1)VLAN IDを示す文字列
(2)"VLAN"+VLAN IDを示す文字列
文字列にスペースを含んではいけない(含めた場合VLAN割り当ては失敗する)。
(設定例)
VLAN10の場合
(1)の場合 "10"
(2)の場合 "VLAN10"Accept Acct-Interim-Interval 85 Interimパケット送信間隔。 Accept NAS-Port-Id 87 Supplicantを認証するAuthenticatorのポートを識別するために使用する。NAS-Port-Idは,可変長のストリングであり,NAS-Portが長さ4オクテットの整数値である点でNAS-Portと異なる。 Request
(3) 認証アルゴリズム
本装置でサポートする認証アルゴリズムを次の表に示します。
認証アルゴリズム 概要 EAP-MD5-Challenge UserPasswordとチャレンジ値の比較を行う。 EAP-TLS 証明書発行機構を使用した認証方式。 EAP-PEAP EAP-TLSトンネル上で,他のEAP認証アルゴリズムを用いて認証する。 EAP-TTLS EAP-TLSトンネル上で,他方式(EAP,PAP,CHAPなど)の認証アルゴリズムを用いて認証する。
(4) RADIUS Accounting機能
本装置はRADIUS Accounting機能をサポートします。この機能はIEEE 802.1X認証にて認証許可となった端末へのサービス開始やサービス停止のタイミングでユーザアカウンティング情報を送信し,利用状況追跡を行えるようにするための機能です。RADIUS AuthenticationサーバとRADIUS Accountingサーバを別のサーバに設定することによって,認証処理とアカウンティング処理の負荷を分散させることができます。
RADIUS Accounting機能を使用する際に,RADIUSサーバに送信される情報を次の表に示します。
表3-4 RADIUS Accountingがサポートする属性
属性名 type値 解説 アカウンティング要求種別による送信の有無 Start Stop Interim-
UpdateUser-Name 1 認証されるユーザ名。 ○ ○ ○ NAS-IP-Address 4 認証を要求している,Authenticator(本装置)のIPアドレス。
ローカルアドレスが設定されている場合はローカルアドレス,ローカルアドレスが設定されていない場合は,送信インタフェースのIPアドレスになります。○ ○ ○ NAS-Port 5 Supplicantを認証しているAuthenticatorの物理ポート番号を表す。 ○ ○ ○ Service-Type 6 提供するサービスタイプ。 ○ ○ ○ Calling-Station-Id 31 SupplicantのMACアドレス(大文字ASCII,"-"区切り)。 ○ ○ ○ NAS-Identifier 32 Authenticatorを識別する文字列。 ○ ○ ○ Acct-Status-Type 40 Accounting要求種別Start(1),Stop(2),Interim-Update(3) ○ ○ ○ Acct-Delay-Time 41 Accounting情報送信遅延時間 ○ ○ ○ Acct-Input-Octets 42 Accounting情報(受信オクテット数)。
0固定。− ○ ○ Acct-Output-Octets 43 Accounting情報(送信オクテット数)。
0固定。− ○ ○ Acct-Session-Id 44 Accounting情報を識別するID。 ○ ○ ○ Acct-Authentic 45 認証方式(RADIUS(1),Local(2),Remote(3)) ○ ○ ○ Acct-Session-Time 46 Accounting情報(セッション持続時間) − ○ ○ Acct-Input-Packets 47 Accounting情報(受信パケット数)。
0固定。− ○ ○ Acct-Output-Packets 48 Accounting情報(送信パケット数)。
0固定。− ○ ○ Acct-Terminate-Cause 49 Accounting情報(セッション終了要因)
詳細は「表3-5 Acct-Terminate-Causeでの切断要因」を参照のこと。
(User Request (1),
Lost Carrier (2),
Admin Reset (6),
Supplicant Restart (19),
Reauthentication Failure (20),
Port Reinitialized (21),
Port Administratively Disabled(22))− ○ − NAS-Port-Type 61 Authenticatorがユーザ認証に使用している,物理ポートのタイプ。 ○ ○ ○ NAS-Port-Id 87 Supplicantを認証するAuthenticatorのポートを識別するために使用する。NAS-Port-Idは,可変長のストリングであり,NAS-Portが長さ4オクテットの整数値である点でNAS-Portと異なる。 ○ ○ ○ (凡例) ○:送信する −:送信しない
表3-5 Acct-Terminate-Causeでの切断要因
値 切断要因 解説 1 User Request Supplicantからの要求で切断した。 2 Lost Carrier モデムのキャリア信号がなくなった。 6 Admin Reset 管理者の意思で切断した。 19 Supplicant Restart Supplicantのステートマシンが初期化された。 20 Reauthentication Failure 再認証失敗した。 21 Port Reinitialized ポートのMACが再初期化された。 22 Port Administratively Disabled ポートが管理的に無効にされた。
Copyright (c)2005, 2011, ALAXALA Networks Corporation. All rights reserved.