解説書 Vol.2
RADIUS/TACACS+を使用した認証方法について説明します。
- <この節の構成>
- (1) ログイン認証方式の指定
- (2) RADIUS/TACACS+サーバの選択
(1) ログイン認証方式の指定
リモートログインの認証に使用するサービスは複数指定できます。指定できるサービスはRADIUS,TACACS+およびpasswordコマンドによる本装置単体でのログインセキュリティ機能です。これらの認証方式は単独でも同時でも指定でき,同時に指定された場合は先に指定された方式で認証に失敗した場合に,次に指定された方式で認証できます。
認証方式としてRADIUS,TACACS+,単体でのログインセキュリティの順番で指定した場合の認証方式シーケンスを次の図に示します。
この図で端末からユーザが本装置にtelnetを実行すると,RADIUSサーバに対し本装置からRADIUS認証を要求します。RADIUSサーバと通信不可またはRADIUSサーバでの認証に失敗すると,次にTACACS+サーバに対し本装置からTACACS+認証を要求します。TACACS+サーバと通信不可またはTACACS+サーバでの認証に失敗すると,次に本装置のログインセキュリティ機能での認証を実行します。ここで認証に成功し,ユーザは本装置へのログインに成功します。
(2) RADIUS/TACACS+サーバの選択
RADIUSサーバ,TACACS+サーバはそれぞれ最大四つまで指定できます。一つのサーバと通信できないで認証サービスが受けられない場合は,順次これらのサーバに接続を試行します。
- 注意
- DNSサーバを使用してホスト名を解決する場合,DNSサーバとの通信に時間が掛かることがあります。このため,RADIUSサーバおよびTACACS+サーバはIPアドレスで指定することをお勧めします。
RADIUS/TACACS+サーバと通信不可を判断するタイムアウト時間を設定できます。デフォルト値は5秒です。また,各RADIUSサーバでタイムアウトした場合は,再接続を試行します。この再試行回数も設定でき,デフォルト値は2回です。このため,ログイン方式としてRADIUSが使用できないと判断するまでの最大時間は,タイムアウト時間×リトライ回数×RADIUSサーバ設定数になります。なお,各TACACS+サーバでタイムアウトした場合は,再接続を試行しません。このため,ログイン方式としてTACACS+が使用できないと判断するまでの最大時間は,タイムアウト時間×TACACS+サーバ設定数になります。RADIUSサーバ選択のシーケンスを次の図に示します。
この図でリモート運用端末からユーザが本装置にtelnetを実行すると,RADIUSサーバ1に対し本装置からRADIUS認証を要求します。RADIUSサーバ1と通信できなかった場合は,続いてRADIUSサーバ2に対してRADIUS認証を実行します。ここで認証に成功し,ユーザは本装置へのログインに成功します。
TACACS+サーバ選択のシーケンスを次の図に示します。
図13-4 TACACS+サーバ選択のシーケンス
この図でリモート運用端末からユーザが本装置にtelnetを実行すると,TACACS+サーバ1に対し本装置からTACACS+認証を要求します。TACACS+サーバ1と通信できなかった場合は,続いてTACACS+サーバ2に対してTACACS+認証を実行します。ここで認証に成功し,ユーザは本装置へのログインに成功します。
Copyright (c)2005, 2011, ALAXALA Networks Corporation. All rights reserved.