目次

ネットワーク機器のRADIUS認証


目次


RADIUS認証とは

RADIUS認証は、ログイン認証をRADIUSサーバで行う認証方法です。
RADIUSサーバで一元管理できます。


RADIUSサーバ設定

WindowsのRADIUSサーバ(NPS)を使う

NPS(ネットワークポリシーサーバ)

NPS設定

概要 ポリシーの状態 ポリシーを有効にするをチェック
アクセス許可 アクセスを許可するをチェック
ネットワーク接続の方法 ネットワークアクセスサーバの種類 [Unspecfied]
条件 ユーザーグループ example.local\infra-admin
設定 認証方法 暗号化されていない認証(PAP,SPP)のみチェック
NASポートの種類 Virtual(VAN)にチェック
RADIUS属性 [Service-Type:Login]

Linuxで、FreeRADIUSを使う


ベンダー機器の設定

Cisco でRADIUS認証

ログイン認証方式リスト

(config)# aaa authentication login [ default | list-name ] method1 method2...
group radius 認証方法にRADIUSサーバを使用
line 認証方法に line con 0 のpasswordでログイン可能

line con 0
password cisco
local 認証方法にローカルデータベースを使用
local-case 基本はlocalと同じだが、認証において、大文字と小文字を区別する
none ログインに認証を使用しない。


設定例

IOS VRFなしの場合
aaa new-model

aaa authentication login AUTHENTICATION-LINE line
aaa authentication login AUTHENTICATION-RADIUS group radius local-case
aaa authentication exec AUTHENTICATION-RADIUS group radius local-case


!! L3 の場合必要。L2の場合不要
ip radius source-interface VlanXXXX


radius server RADIUS1
 address ipv4 192.168.1.100 auth-port 1654 acct-port 1646
 key XXXXX


line con 0
 login authentication AUTHENTICATION-LINE

line vty 0 15
 authentication exec AUTHENTICATION-RADIUS
 login authentication AUTHENTICATION-RADIUS
IOS VRFのある場合
aaa new-model


aaa group server radius management
 server-private 192.168.1.100 key XXXXX
 ip vrf forwarding  XXXXXXX
 ip radius source-interface VlanXXX


aaa authentication login AUTHENTICATION-LINE line
aaa authentication login AUTHENTICATION-RADIUS group management local-case
aaa authentication exec AUTHENTICATION-RADIUS group management local-case


line con 0
 login authentication AUTHENTICATION-LINE

line vty 0 15
 authentication exec AUTHENTICATION-RADIUS
 login authentication AUTHENTICATION-RADIUS


Juniper JunosでRADIUS認証

set system authentication-order radius
set system authentication-order password

set system radius-server x.x.x.x  secret XXXXXX
set system radius-server x.x.x.x  timeout 3
set system radius-server x.x.x.x  source-address x.x.xx.x

set system login class read-only-local  idle-timeout 60
set system login class read-only-local  permissions network
set system login class read-only-local  permissions view
set system login class read-only-local  permissions view-configuration
set system login class superuser-local  idle-timeout 60
set system login class superuser-local  permissions all
set system login user adminuser uid 2001
set system login user adminuser class superuser-local
set system login user viewuser uid 2002
set system login user viewuser class read-only-local


参考