6.1 IEEE802.1X の概要
6.1.1 サポート機能
本装置でサポートする機能を以下に示します。
(1) 認証動作モード
本装置でサポートする認証動作モード(PAE モード)は Authenticator です。本装置が Supplicant とし て動作することはありません。
(2) 認証方式
本装置でサポートする認証方式は RADIUS サーバ認証です。端末から受信した EAPOL パケットを EAPoverRADIUS に変換し,認証処理は RADIUS サーバで行います。RADIUS サーバは EAP 対応され ている必要があります。
本装置が使用する RADIUS の属性名を「表 6‒2 認証で使用する属性名(その 1 Access-Request)」か ら「表 6‒5 認証で使用する属性名(その 4 Access-Reject)」に示します。
表 6‒2 認証で使用する属性名(その 1 Access-Request)
属性名 Type
値 説明
User-Name 1 認証されるユーザ名。
NAS-IP-Address 4 認証を要求している,Authenticator(本装置)の IP アドレス。ローカルアド レスが設定されている場合はローカルアドレス,ローカルアドレスが設定さ れていない場合は,送信インタフェースの IP アドレス。
NAS-Port 5 Supplicant を認証している認証単位の IfIndex。
Service-Type 6 提供するサービスタイプ。
Framed(2)固定。
Framed-MTU 12 Supplicant〜Authenticator 間の最大フレームサイズ。
(1466)固定。
属性名 Type
値 説明
State 24 Authenticator と RADIUS サーバ間の State 情報の保持を可能にする。
Called-Station-Id 30 ブリッジやアクセスポイントの MAC アドレス。本装置の MAC アドレス
(ASCII,"-"区切り)。
Calling-Station-Id 31 Supplicant の MAC アドレス(ASCII,"-"区切り)。
NAS-Identifier 32 Authenticator を識別する文字列(ホスト名の文字列)。
NAS-Port-Type 61 Authenticator がユーザ認証に使用している,物理ポートのタイプ。
Ethernet(15)固定。
Connect-Info 77 Supplicant のコネクションの特徴を示す文字列。
ポート単位認証:
物理ポート(“CONNECT Ethernet”) CH ポート(“CONNECT Port-Channel ”) EAP-Message 79 EAP パケットをカプセル化する。
Message-Authenticator 80 RADIUS/EAP パケットを保護するために使用する。
NAS-Port-Id 87 Supplicant を認証する Authenticator のポートを識別するための文字列。
ポート単位認証:“Port x/y”,“ChGr x”
(x,y には数字が入る)
表 6‒3 認証で使用する属性名(その 2 Access-Challenge)
属性名 Type
値 説明
Reply-Message 18 ユーザに表示されるメッセージ。
State 24 Authenticator と RADIUS サーバ間の State 情報の保持を可能にする。
Session-Timeout 27 Supplicant へ送信した EAP-Request に対する応答待ちタイムアウト値。
EAP-Message 79 EAP パケットをカプセル化する。
Message-Authenticator 80 RADIUS/EAP パケットを保護するために使用する。
表 6‒4 認証で使用する属性名(その 3 Access-Accept)
属性名 Type
値 説明
Service-Type 6 提供するサービスタイプ。
Framed(2)固定。
Filter-Id 11 Supplicant のセッションに適用されるフィルタ・リストの名前。
ポート単位認証の端末認証モードで意味を持つ。ただし,適用可能なフィル タが認証専用 IPv4 アクセスリスト固定であるため,"0"以外の値が設定され ていた場合に有効。
Reply-Message 18 ユーザに表示されるメッセージ。
属性名 Type
値 説明
Session-Timeout 27 Supplicant の再認証タイマ値。※
Termination-Action 29 Radius サーバからの再認証タイマ満了時のアクション指示。※ EAP-Message 79 EAP パケットをカプセル化する。
Message-Authenticator 80 RADIUS/EAP パケットを保護するために使用する。
Acct-Interim-Interval 85 Interim パケット送信間隔(秒)。
60 以上を設定すると Interim パケットが送信される(60 未満では送信しな い)。
この値を設定する場合,600 以上にすることを推奨する。600 未満にした場 合ネットワークのトラフィックが増大するため注意が必要である。
注※
RADIUS から返送される Access-Accept で Termination-Action が Radius-Request(1)の場合,同時に設定された Session-Timeout の値が,再認証するまでの時間(単位:秒)となります。なお,Session-Timeout の値によって 次に示す動作となります。
0 :再認証は無効となります。
1〜60 :再認証タイマ値を 60 秒として動作します。
61〜65535:設定された値で動作します。
表 6‒5 認証で使用する属性名(その 4 Access-Reject)
属性名 Type
値 説明
Reply-Message 18 ユーザに表示されるメッセージ。
EAP-Message 79 EAP パケットをカプセル化する。
Message-Authenticator 80 RADIUS/EAP パケットを保護するために使用する。
(3) 認証アルゴリズム
本装置でサポートする認証アルゴリズムを次の表に示します。
表 6‒6 サポートする認証アルゴリズム
認証アルゴリズム 概要
EAP-MD5-Challenge UserPassword とチャレンジ値の比較を行う。
EAP-TLS 証明書発行機構を使用した認証方式。
EAP-PEAP EAP-TLS トンネル上で,ほかの EAP 認証アルゴリズムを用いて認証する。
次に示す 2 種類の認証方式に対応。
• PEAP-MS-CHAP V2:パスワードベースの資格情報を使用した認証方式
• PEAP-TLS:証明証発行機構を使用した認証方式
EAP-TTLS EAP-TLS トンネル上で,他方式(EAP,PAP,CHAP など)の認証アルゴリズムを用い て認証する。
(4) RADIUS Accounting 機能
本装置は RADIUS Accounting 機能をサポートします。この機能は IEEE802.1X 認証で認証許可となっ た端末へのサービス開始やサービス停止のタイミングでユーザアカウンティング情報を送信し,利用状況追 跡を行えるようにするための機能です。RADIUS Authentication サーバと RADIUS Accounting サーバ を別のサーバに設定することによって,認証処理とアカウンティング処理の負荷を分散させることができま す。
RADIUS Accounting 機能を使用する際に,RADIUS サーバに送信される情報を次の表に示します。
表 6‒7 RADIUS Accounting がサポートする属性
属性名 Type
値 解説
アカウンティング要求種別による 送信の有無
start stop Interim-Update
User-Name 1 認証されるユーザ名。 ○ ○ ○
NAS-IP-Address 4 認証を要求している,Authenticator(本装置)の IP アドレス。
ローカルアドレスが設定されている場合はロー カルアドレス,ローカルアドレスが設定されてい ない場合は,送信インタフェースの IP アドレ ス。
○ ○ ○
NAS-Port 5 Supplicant を認証している認証単位の IfIndex。
○ ○ ○
Service-Type 6 提供するサービスタイプ。
Framed(2)固定。
○ ○ ○
Calling-Station-Id 31 Supplicant の MAC アドレス(ASCII,"-"区切 り)。
○ ○ ○
NAS-Identifier 32 Authenticator を識別する文字列。(ホスト名の 文字列)
○ ○ ○
Acct-Status-Type 40 Accounting 要求種別
Start(1),Stop(2),Interim-Update(3)
○ ○ ○
Acct-Delay-Time 41 Accounting 情報送信遅延時間(秒) ○ ○ ○ Acct-Input-Octets 42 Accounting 情報(受信オクテット数)。
(0)固定。
− ○ ○
Acct-Output-Octets 43 Accounting 情報(送信オクテット数)。
(0)固定。
− ○ ○
Acct-Session-Id 44 Accounting 情報を識別する ID(認証成功,認 証解除に関しては同じ値)。
○ ○ ○
Acct-Authentic 45 認証方式(RADIUS(1),Local(2),Remote(3)) ○ ○ ○ Acct-Session-Time 46 Accounting 情報(セッション持続時間) − ○ ○
属性名 Type
値 解説
アカウンティング要求種別による 送信の有無
start stop Interim-Update (0)固定。
Acct-Output-Packets 48 Accounting 情報(送信パケット数)。
(0)固定。
− ○ ○
Acct-Terminate-Cause 49 Accounting 情報(セッション終了要因) 詳細は,「表 6‒8 Acct-Terminate-Cause での 切断要因」を参照。
User Request (1),
Lost Carrier (2),
Admin Reset (6),
Reauthentication Failure (20),
Port Reinitialized (21)
− ○ −
NAS-Port-Type 61 Authenticator がユーザ認証に使用している,物 理ポートのタイプ。
Ethernet(15)固定。
○ ○ ○
NAS-Port-Id 87 Supplicant を認証する Authenticator のポー トを識別するために使用する。
NAS-Port-Id は,可変長のストリングであり,
NAS-Port が長さ 4 オクテットの整数値である 点で NAS-Port と異なる。
ポート単位認証:“Port x/y”,“ChGr x”
(x,y には数字が入る)
○ ○ ○
(凡例) ○:送信する −:送信しない
表 6‒8 Acct-Terminate-Cause での切断要因
切断要因 値 解説
User Request 1 Supplicant からの要求で切断した。
• 認証端末から logoff を受信した場合 Lost Carrier 2 モデムのキャリア信号がなくなった。
• 内部エラー
Admin Reset 6 管理者の意思で切断した。
• 認証単位でコンフィグレーションを削除した場合
• force-authorized を設定した場合
• force-unauthorized を設定した場合 Reauthentication Failure 20 再認証に失敗した。
Port Reinitialized 21 ポートの MAC が再初期化された。
• リンクダウンした場合
• clear dot1x auth-state を実行した場合
(5) syslog サーバへの動作ログ記録
IEEE802.1X の内部動作ログを syslog サーバに出力できます。なお,内部動作ログと同じ項目が出力され ます。syslog サーバへの出力形式を次の図に示します。
図 6‒3 syslog サーバへの出力形式
また,コンフィグレーションコマンド dot1x logging enable および logging event-kind によって,出力 を開始および停止できます。