RADIUS認証
他の種類の認証ポリシーと同様に、リモート認証ダイヤルインユーザーサービス (RADIUS) 認証ポリシーは、式とアクションで構成されます。認証ポリシーを作成したら、それを認証仮想サーバーにバインドし、プライオリティを割り当てます。バインドするときは、プライマリポリシーまたはセカンダリポリシーとして指定します。ただし、RADIUS 認証ポリシーの設定には、以下に説明する特定の特別な要件があります。
通常、認証時に認証サーバーのIPアドレスを使用するようにNetScalerを構成します。RADIUS 認証サーバでは、ユーザ認証に IP アドレスの代わりに RADIUS サーバの FQDN を使用するように ADC を設定できるようになりました。FQDN を使用すると、認証サーバが複数の IP アドレスのいずれかにあっても、常に 1 つの FQDN を使用する環境で、より複雑な認証、認可、および監査の設定を簡素化できます。IP アドレスではなくサーバーの FQDN を使用して認証を構成するには、認証アクションの作成時を除き、通常の構成プロセスに従います。 アクションを作成するときは、ServerIp パラメーターの代わりにServerNameパラメーターを使用します。
NetScalerがRADIUSサーバーのIPまたはFQDNを使用してユーザーを認証するように構成するかを決定する前に、認証、承認、および監査をIPアドレスではなくFQDNで認証するように構成すると、認証プロセスに余分な手順が追加されることを検討してください。ADC はユーザーを認証するたびに、FQDN を解決する必要があります。非常に多くのユーザーが同時に認証を試みると、DNS ルックアップの結果として認証プロセスが遅くなる可能性があります。
注
これらの手順は、読者が既に RADIUS プロトコルに精通していて、選択した RADIUS 認証サーバをすでに設定していることを前提としています。
コマンドラインインターフェイスを使用して RADIUS サーバーの認証アクションを追加するには
RADIUS サーバへの認証を行う場合は、明示的な認証アクションを追加する必要があります。これを行うには、コマンドプロンプトで次のコマンドを入力します。
add authentication radiusAction <name> [-serverip <IP> | -serverName] <FQDN>][-serverPort <port>] [-authTimeout <positive_integer>] {-radKey } [-radNASip ( ENABLED | DISABLED )][-radNASid <string>] [-radVendorID <positive_integer>][-radAttributeType <positive_integer>][-radGroupsPrefix <string>] [-radGroupSeparator <string>][-passEncoding <passEncoding>][-ipVendorID <positive_integer>] [-ipAttributeType <positive_integer>][-accounting ( ON | OFF )][-pwdVendorID <positive_integer> [-pwdAttributeType <positive_integer>]] [-defaultAuthenticationGroup <string>] [-callingstationid ( ENABLED | DISABLED )]
<!--NeedCopy-->
次の例では、Authn-Act-1 という名前の RADIUS 認証アクションを追加しています。このアクションには、サーバー IP が 10.218.24.65、サーバーポート 1812、認証タイムアウト 15分、RADIUS キー WareThelorAx 、NAS IP は無効になっており、NAS ID は NAS1です。
add authentication radiusaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812 -authtimeout 15 -radkey WareTheLorax -radNASip DISABLED -radNASid NAS1
Done
<!--NeedCopy-->
次の例では同じ RADIUS 認証アクションを追加していますが、IP の代わりにサーバー FQDN rad01.example.com を使用しています。
add authentication radiusaction Authn-Act-1 -serverName rad01.example.com -serverport 1812 -authtimeout 15 -radkey WareTheLorax -radNASip DISABLED -radNASid NAS1
Done
<!--NeedCopy-->
コマンドラインを使用して外部 RADIUS サーバーの認証アクションを設定するには
既存の RADIUS アクションを設定するには、コマンドプロンプトで次のコマンドを入力します。
set authentication radiusAction <name> [-serverip <IP> | -serverName] <FQDN>][-serverPort <port>] [-authTimeout <positive_integer>] {-radKey } [-radNASip ( ENABLED | DISABLED )][-radNASid <string>] [-radVendorID <positive_integer>][-radAttributeType <positive_integer>][-radGroupsPrefix <string>] [-radGroupSeparator <string>][-passEncoding <passEncoding>][-ipVendorID <positive_integer>] [-ipAttributeType <positive_integer>][-accounting ( ON | OFF )][-pwdVendorID <positive_integer> [-pwdAttributeType <positive_integer>]] [-defaultAuthenticationGroup <string>] [-callingstationid ( ENABLED | DISABLED )]
<!--NeedCopy-->
コマンドラインインターフェイスを使用して外部 RADIUS サーバーの認証アクションを削除するには
既存の RADIUS アクションを削除するには、コマンドプロンプトで次のコマンドを入力します。
rm authentication radiusAction <name>
<!--NeedCopy-->
例
rm authentication radiusaction Authn-Act-1
Done
<!--NeedCopy-->
構成ユーティリティを使用して RADIUS サーバーを構成するには
注
構成ユーティリティでは、アクションの代わりにサーバーという用語が使用されますが、同じタスクを指します。
- [ セキュリティ] > [AAA-アプリケーショントラフィック] > [ポリシー] > [認証] > [Radius] に移動します。
-
詳細ウィンドウの [ サーバー ] タブで、次のいずれかの操作を行います。
- 新しい RADIUS サーバーを作成するには、「 追加」をクリックします。
- 既存の RADIUS サーバを変更するには、サーバを選択し、[ 編集] をクリックします。
-
「 認証 RADIUS サーバーの作成 」または「 認証 RADIUS サーバーの設定 」ダイアログで、パラメーターの値を入力または選択します。[ 発信ステーション ID を送信] の下に表示されるパラメータを入力するには、[ 詳細] を展開します。
- name* — RADIUSActionName (以前に設定されたアクションでは変更できません)
- 認証タイプ*—認証タイプ(RADIUSに設定、変更不可)
-
サーバー名/IPアドレス*-サーバー名またはサーバーIPを選択してください
- Server Name*—serverName <FQDN>
- IP アドレス *—サーバー IP<IP> サーバーに IPv6 IP アドレスが割り当てられている場合は、IPv6 チェックボックスを選択します。
- Port* — サーバーポート
- タイムアウト (秒) * — 認証タイムアウト
- シークレットキー*:RADキー(RADIUS共有シークレット)
- シークレットキーの確認*-RADIUS 共有シークレットをもう一度入力します。(対応するコマンドラインはありません。)
- 発信側ステーションIDの送信 — 発信側ステーションID
- グループベンダー識別子 — ラベンダー ID
- グループ属性タイプ-RAD 属性タイプ
- IP アドレスベンダー識別子 — IP ベンダー ID
- PWD ベンダー ID — PWD ベンダー ID
- パスワードエンコーディング—パッセンジャーコーディング
- デフォルト認証グループ — デフォルト認証グループ
- NAS ID — ランダサイド
- NAS IP アドレス抽出を有効にする — RADNAS IP
- グループプレフィックス — RAD グループプレフィックス
- グループセパレーター — RAD グループセパレーター
- IP アドレス属性タイプ — IP 属性タイプ
- パスワード属性タイプ — PWD 属性タイプ
- アカウンティング-アカウンティング
- [ 作成] または[ OK]をクリックします。作成したポリシーは、「サーバー」ページに表示されます。
RADIUS 属性 66(トンネル-クライアント-エンドポイント)のパススルーをサポート
NetScalerアプライアンスは、RADIUS認証中にRADIUS属性66(トンネル-クライアント-エンドポイント)のパススルーを許可するようになりました。この機能を適用すると、クライアントのIPアドレスは委託先から二要素認証で受け取られ、リスクベースの認証決定が行われます。
「認証RADIUSActionを追加」コマンドと「RadiusParamsを設定」コマンドの両方に新しい属性「TunnelEndpointClientIp」が導入されました。
この機能を使用するには、NetScalerアプライアンスのコマンドプロンプトで次のように入力します。
add authentication radiusAction <name> {-serverIP <ip_addr|ipv6_addr|*> | {-serverName <string>}} [-serverPort <port>] … [-tunnelEndpointClientIP (ENABLED|DISABLED)]
set radiusParams {-serverIP <ip_addr|ipv6_addr|*> |{-serverName <string>}} [-serverPort<port>] … [-tunnelEndpointClientIP(ENABLED|DISABLED)]
<!--NeedCopy-->
例
add authentication radiusAction radius -severIP 1.217.22.20 -serverName FQDN -serverPort 1812 -tunnelEndpointClientIp ENABLED
set radiusParams -serverIp 1.217.22.20 -serverName FQDN1 -serverPort 1812 -tunnelEndpointClientIP ENABLED
<!--NeedCopy-->
エンドツーエンドの RADIUS 認証の検証のサポート
NetScalerアプライアンスは、GUIを使用してエンドツーエンドのRADIUS認証を検証できるようになりました。この機能を検証するために、GUIに新しい「テスト」ボタンが導入されました。NetScalerアプライアンスの管理者は、この機能を活用して次のメリットを得ることができます。
- 完全なフロー(パケットエンジン-aaa デーモン-外部サーバ)を統合し、より優れた分析を提供します。
- 個々のシナリオに関連する問題の検証とトラブルシューティングにかかる時間を短縮
GUI を使用して RADIUS エンドツーエンド認証のテスト結果を設定および表示するには、2 つのオプションがあります。
[システムから] オプション
- [ システム] > [認証] > [基本ポリシー] > [RADIUS] に移動し、 [ サーバ ] タブをクリックします。
- リストから、使用可能な RADIUS アクションを選択します 。
- 「 認証RADIUSサーバーの構成 」ページの「 接続設定 」セクションには、2つのオプションがあります。
- RADIUSサーバ接続を確認するには、「 RADIUS到達可能性のテスト 」タブをクリックします。
- エンドツーエンドの RADIUS 認証を表示するには、「 エンドユーザー接続のテスト 」リンクをクリックします。
認証オプションから
- [ 認証] > [ダッシュボード] に移動し、リストから使用可能な RADIUS アクションを選択します。
- 「 認証RADIUSサーバーの構成 」ページの「 接続設定 」セクションには、2つのオプションがあります。
- RADIUSサーバ接続を確認するには、「 RADIUS到達可能性のテスト 」タブをクリックします。
- エンドツーエンドの RADIUS 認証ステータスを表示するには、「 エンドユーザー接続のテスト 」リンクをクリックします。