RADIUS 属性
リモート認証ダイヤルイン ユーザ サービス(RADIUS)属性は、RADIUS デーモンに保存された ユーザ プロファイル内の特定の認証、許可、アカウンティング(AAA)要素を定義するために 使用されます。 この付録では、ブロードバンド ネットワーク ゲートウェイ(BNG)でサポートされる RADIUS 属性の次のタイプについて説明します。 • RADIUS IETF 属性, 1 ページ • RADIUS ベンダー固有属性, 4 ページ • RADIUS ADSL 属性, 8 ページ • RADIUS ASCEND 属性, 9 ページ • Microsoft RADIUS 属性, 9 ページ • RADIUS Disconnect-Cause 属性, 10 ページRADIUS IETF 属性
IETF 属性と VSA の比較 RADIUS インターネット技術特別調査委員会(IETF)属性は、255 個の標準属性で構成されるオ リジナルのセットで、クライアントとサーバ間での AAA 情報の伝達に使用されます。 IETF 属性 は標準であるため、属性データは事前定義されてその内容も認識されています。このため、IETF 属性を介して AAA 情報を交換するすべてのクライアントとサーバは、属性の厳密な意味や各属性 値の一般的な限界など、属性データに一致させる必要があります。RADIUS ベンダー固有属性(VSA)は、1 つの IETF ベンダー固有属性(属性 26)から派生しま す。 属性 26 を使用すれば、ベンダーは、追加の 255 個の属性を自由に作成できます。 つまり、 ベンダーは、どの IETF 属性のデータとも一致しない属性を作成して、属性 26 の背後にカプセル 化することができます。そのため、新しく作成された属性は、属性26を受け入れているユーザに 受け入れられます。
表 1:サポートされている RADIUS IETF 属性 タイプ 値 名前 45 整数 Acct-Authentic 41 整数 Acct-Delay-Time 52 整数 Acct-Input-Giga-Words 42 整数 Acct-Input-Octets 47 整数 Acct-Input-Packets 85 整数 Acct-Interim-Interval 51 整数 Acct-Link-Count 53 整数 Acct-Output-Giga-Words 43 整数 Acct-Output-Octets 48 整数 Acct-Output-Packets 40 整数 Acct-Status-Type 40 バイナリ CHAP-Challenge 3 バイナリ CHAP-Password 101 整数 Dynamic-Author-Error-Cause 55 整数 Event-Timestamp 11 バイナリ Filter-Id 7 整数 Framed-Protocol 8 ipv4addr Framed-IP-Address 22 文字列 Framed-Route 14 ipv4addr login-ip-addr-host 50 文字列 Multilink-Session-ID 32 文字列 Nas-Identifier 4 ipv4addr NAS-IP-Address 5 整数 NAS-Port 18 バイナリ Reply-Message 6 整数 Service-Type 32 文字列 Tunnel-Assignment-Id RADIUS 属性 RADIUS IETF 属性
タイプ 値 名前 86 整数 Tunnel-Packets-Lost 135 ipv4addr X-Ascend-Client-Primary-DNS 136 ipv4addr X-Ascend-Client-Secondary-DNS 95 文字列 NAS-IPv6-Address 123 バイナリ Delegated-IPv6-Prefix 123 バイナリ Stateful-IPv6-Address-Pool 97 バイナリ Framed-IPv6-Prefix 96 バイナリ Framed-Interface-Id 100 文字列 Framed-IPv6-Pool 99 文字列 Framed-IPv6-Route 98 文字列 login-ip-addr-host
LAC の IETF タグ付き属性
L2TP アクセス コンセントレータ(LAC)の IETF タグ付き属性のサポートは、RADIUS サーバか ら LAC に送信される Access-Accept パケットで、同じトンネルを参照するトンネル属性をグルー プ化する手段を提供します。 Access-Accept パケットには、同じ RADIUS 属性でタグが異なる複 数のインスタンスを含めることができます。 タグ付き属性のサポートは、指定のトンネルに属す るすべての属性がそれぞれのタグ フィールドに同じ値を持ち、各セットに Tunnel-Preference 属性 の適切な値のインスタンスが含まれるようにします。これは、マルチベンダーネットワーク環境 で使用されるトンネル属性に準拠しているため、異なるベンダーで製造されたネットワーク アク セス サーバ(NAS)間の相互運用性の問題が解消されます。 トンネル プロトコル サポートの RADIUS 属性の詳細については、RFC 2868を参照してください。 次の例で、IETF タグ付き属性の形式について説明します。
Tunnel-Type = :0:L2TP, Tunnel-Medium-Type = :0:IP, Tunnel-Server-Endpoint = :0:"1.1.1.1", Tunnel-Assignment-Id = :0:"1", Tunnel-Preference = :0:1, Tunnel-Password = :0:"hello"
タグ値 0 は、上記の例で:0:の形式で使用されており、同じトンネルを参照する同じパケットで
それらの属性をグループ化します。 同様の例は、次のとおりです。
Tunnel-Type = :1:L2TP, Tunnel-Medium-Type = :1:IP, Tunnel-Server-Endpoint = :1:"2.2.2.2", Tunnel-Assignment-Id = :1:"1", Tunnel-Preference = :1:1, Tunnel-Password = :1:"hello" Tunnel-Type = :2:L2TP, Tunnel-Medium-Type = :2:IP, Tunnel-Server-Endpoint = :2:"3.3.3.3", Tunnel-Assignment-Id = :2:"1", Tunnel-Preference = :2:2, Tunnel-Password = :2:"hello" Tunnel-Type = :3:L2TP, Tunnel-Medium-Type = :3:IP, Tunnel-Server-Endpoint = :3:"4.4.4.4", Tunnel-Assignment-Id = :3:"1", Tunnel-Preference = :3:2, Tunnel-Password = :3:"hello"
RADIUS 属性
Tunnel-Type = :4:L2TP, Tunnel-Medium-Type = :4:IP, Tunnel-Server-Endpoint = :4:"5.5.5.5", Tunnel-Assignment-Id = :4:"1", Tunnel-Preference = :4:3, Tunnel-Password = :4:"hello" Tunnel-Type = :5:L2TP, Tunnel-Medium-Type = :5:IP, Tunnel-Server-Endpoint = :5:"6.6.6.6", Tunnel-Assignment-Id = :5:"1", Tunnel-Preference = :5:3, Tunnel-Password = :5:"hello"
表 2:サポートされる IETF タグ付き属性 タイプ 値 IETF タグ付き属性の名前 64 整数 Tunnel-Type 65 整数 Tunnel-Medium-Type 66 文字列 Tunnel-Client-Endpoint 67 文字列 Tunnel-Server-Endpoint 69 文字列 Tunnel-Password 82 文字列 Tunnel-Assignment-ID 83 整数 Tunnel-Preference 90 文字列 Tunnel-Client-Auth-ID 91 文字列 Tunnel-Server-Auth-ID
RADIUS ベンダー固有属性
インターネット技術特別調査委員会(IETF)ドラフト標準には、ネットワーク アクセス サーバと RADIUS サーバの間でベンダー固有属性(属性 26)を使用してベンダー固有の情報を伝達する方 法が規定されています。 属性 26 はベンダー固有属性をカプセル化します。このため、ベンダー は一般的な用途に適さない独自の拡張属性をサポートできます。 シスコの RADIUS 実装は、この仕様で推奨される形式を使用して、1 つのベンダー固有オプショ ンをサポートしています。 シスコのベンダー ID は 9 で、サポートされるオプションはベンダー タイプ 1、名前は「cisco-av-pair」です。値は次の形式の文字列になります。protocol : attribute sep value *
「Protocol」は、特定の許可タイプを表すシスコの「protocol」属性です。使用可能なプロトコル には、IP、IPX、VPDN、VOIP、SHELL、RSVP、SIP、AIRNET、OUTBOUND があります。 「attribute」および「value」は、シスコの TACACS+ 仕様で定義されている適切な属性値(AV) ペアです。「sep」は、必須の属性の場合は「=」、任意指定の属性の場合は「*」になります。 こ れにより、TACACS+ 許可で使用できるすべての機能を RADIUS にも使用できるようになります。 たとえば、次の AV ペアにより、IP を許可している間(PPP の IPCP アドレス割り当てを行ってい る間)、シスコの「指定された複数の IPアドレスプール」をアクティブにすることができます。 cisco-avpair= "ip:addr-pool=first" RADIUS 属性 RADIUS ベンダー固有属性
「*」を挿入すると、AV ペア「ip:addr-pool=first」はオプションになります。 AV ペアはオプショ ンにできることに注意してください。 IETF 属性 26(ベンダー固有)は、ベンダー固有属性をカプセル化します。このため、ベンダーは 一般的な用途に適さない独自の拡張属性をサポートできます。 cisco-avpair= "ip:addr-pool*first" 次に、ネットワーク アクセス サーバからユーザがログインしたときに、すぐに EXEC コマンドを 実行する方法の例を示します。 cisco-avpair= "shell:priv-lvl=15" 属性 26 には、次の 3 つの要素が含まれています。 •タイプ •長さ •ストリング(またはデータ) ◦ Vendor-Id ◦ Vendor-Type ◦ Vendor-Length ◦ Vendor-Data
VSA の形式はベンダーが指定します。 Attribute-Specific フィールド(Vendor-Data とも呼ばれ る)は、ベンダーによるその属性の定義によって異なります。 (注) 表 3:サポートされるシスコのベンダー固有 RADIUS 属性 タイプ 値 名前 1 バイナリ access-loop-encapsulation 1 文字列 accounting-list 1 文字列 acct-policy-in 1 文字列 acct-policy-map 1 文字列 acct-policy-out 1 整数 actual-data-rate-downstream 1 整数 actual-data-rate-upstream 1 整数 actual-interleaving-delay-downstream 1 整数 actual-interleaving-delay-upstream 1 整数 attainable-data-rate-downstream RADIUS 属性 RADIUS ベンダー固有属性
タイプ 値 名前 1 整数 attainable-data-rate-upstream 1 文字列 circuit-id-tag 2 文字列 cisco-nas-port 1 文字列 client-mac-address 1 文字列 command 1 文字列 connect-progress 1 整数 connect-rx-speed 1 整数 connect-tx-speed 1 文字列 dhcp-client-id 1 文字列 dhcp-vendor-class 1 文字列 disc-cause-ext 1 文字列 Disconnect-Cause 1 整数 if-handle 1 文字列 inacl 1 ブール interworking-functionality-tag 1 文字列 ip-addresses 1 文字列 ip-unnumbered 1 文字列 ipv4-unnumbered 1 文字列 login-ip-host 1 整数 maximum-interleaving-delay-downstream 1 整数 maximum-interleaving-delay-upstream 1 整数 maximum-data-rate-downstream 1 整数 maximum-data-rate-upstream 1 整数 minimum-data-rate-downstream 1 整数 minimum-data-rate-downstream-low-power 1 整数 minimum-data-rate-upstream 1 整数 minimum-data-rate-upstream-low-power 1 整数 parent-if-handle RADIUS 属性 RADIUS ベンダー固有属性
タイプ 値 名前 1 整数 pppoe_session_id 1 文字列 qos-policy-in 1 文字列 qos-policy-out 1 文字列 redirect-vrf 1 文字列 remote-id-tag 1 文字列 service-acct-list 1 文字列 service-name 1 文字列 sub-qos-policy-in 1 文字列 sub-qos-policy-out 1 文字列 traffic-class 1 文字列 tunnel-tos-reflect 1 整数 tunnel-tos-setting 1 文字列 vpn-id 1 文字列 vpn-vrf 1 整数 vrf-id 1 整数 ipv6-enable 1 整数 ipv6-mtu 1 整数 ipv6-strict-rpf 1 整数 ipv6-unreachable 1 整数 acct-input-gigawords-ipv6 1 整数 acct-input-octets-ipv6 1 整数 acct-input-packets-ipv6 1 整数 acct-output-gigawords-ipv6 1 整数 acct-output-octets-ipv6 1 整数 acct-output-packets-ipv6 1 文字列 delegated-ipv6-pool 1 文字列 ipv6-dns-servers-addr 1 文字列 dhcpv6-class RADIUS 属性 RADIUS ベンダー固有属性
タイプ 値 名前 1 文字列 ipv6_inacl 1 文字列 ipv6_outacl 1 文字列 addrv6 1 整数 acct-input-gigawords-ipv4 1 整数 acct-input-octets-ipv4 1 整数 acct-input-packets-ipv4 1 整数 acct-output-gigawords-ipv4 1 整数 acct-output-octets-ipv4 1 整数 acct-output-packets-ipv4
RADIUS ADSL 属性
表 4:サポートされる RADIUS ADSL 属性 タイプ 値 名前 144 バイナリ Access-Loop-Encapsulation 142 整数 Actual-Interleaving-Delay-Downstream 140 整数 Actual-Interleaving-Delay-Upstream 130 整数 Actual-Data-Rate-Downstream 129 整数 Actual-Data-Rate-Upstream 134 整数 Attainable-Data-Rate-Downstream 133 整数 Attainable-Data-Rate-Upstream 1 文字列 Agent-Circuit-Id 254 ブール ソーシャル IWF-Session 141 整数 Maximum-Interleaving-Delay-Downstream 139 整数 Maximum-Interleaving-Delay-Upstream 136 整数 Maximum-Data-Rate-Downstream 135 整数 Maximum-Data-Rate-Upstream 132 整数 Minimum-Data-Rate-Downstream RADIUS 属性 RADIUS ADSL 属性タイプ 値 名前 138 整数 Minimum-Data-Rate-Downstream-Low-Power 131 整数 Minimum-Data-Rate-Upstream 137 整数 Minimum-Data-Rate-Upstream-Low-Power 2 文字列 Agent-Remote-Id
RADIUS ASCEND 属性
表 5:サポートされる RADIUS ASCEND 属性 タイプ 値 名前 135 ipv4addr Ascend-Client-Primary-DNS 136 ipv4addr Ascend-Client-Secondary-DNS 196 整数 Ascend-Connection-Progress 195 整数 Ascend-Disconnect-Cause 187 整数 Ascend-Multilink-Session-ID 188 整数 Ascend-Num-In-MultilinkMicrosoft RADIUS 属性
表 6:サポートされる Microsoft RADIUS 属性 タイプ 値 名前 30 ipv4addr MS-1st-NBNS-Server 31 ipv4addr MS-2nd-NBNS-Server 2 バイナリ MS-CHAP-ERROR 28 ipv4addr MS-Primary-DNS 29 ipv4addr MS-Secondary-DNS RADIUS 属性 RADIUS ASCEND 属性RADIUS Disconnect-Cause 属性
Disconnect-cause 属性値は、接続がオフラインにされた理由を指定します。 属性値は、Accounting 要求パケットで送信されます。 セッションの認証が失敗しても、これらの値は、セッションの終 了時に送信されます。 セッションが認証されないと、属性が開始レコードを生成せずに終了レ コードを発生させる可能性があります。 Disconnect-Cause(195)属性の原因コード、値、および説明を示します。Disconnect-Cause は、RADIUS AVPairs で使用されるごとに 1000 ずつ増分されます。たとえば、 disc-cause 4 は 1004 になります。 (注) 表 7:サポートされる Disconnect-Cause 属性 説明 値 原因コード 接続解除の理由は提供されな い。 No-Reason 0 イベントは接続解除されていな い。 No-Disconnect 1 理由は不明。 Unknown 2 コールが接続解除された。 Call-Disconnect 3 calling-party 数の認証の失敗。 CLID-Authentication-Failure 4 コールへの接続にモデムが使用 できない。 No-Modem-Available 9 キャリアが検出されない。 最初のモデム接続中 に接続解除がある と、コード 10、11、 および 12 が送信され る場合があります。 (注) No-Carrier 10 キャリアの喪失。 Lost-Carrier 11 モデム結果コード検出の失敗。 No-Detected-Result-Codes 12 RADIUS 属性 RADIUS Disconnect-Cause 属性
説明 値 原因コード ユーザがセッションを終了し た。 コード 20、22、23、 24、25、26、27、お よび 28 は、EXEC セッションに適用さ れます。 (注) User-Ends-Session 20 ユーザ入力待機中のタイムアウ ト。 コード 21、100、 101、102、および 120 は、すべてのセッ ション タイプに適用 されます。 (注) Idle-Timeout 21 既存の Telnet セッションによる 接続解除。 Exit-Telnet-Session 22 SLIP/PPP への切り替え不能。 リモート エンドに IP アドレス がない。 No-Remote-IP-Addr 23 既存の raw TCP による接続解 除。 Exit-Raw-TCP 24 間違ったパスワード。 Password-Fail 25 Raw TCP がディセーブルにされ た。 Raw-TCP-Disabled 26 Control-C が検出された。 Control-C-Detected 27 EXEC プロセスが破棄された。 EXEC-Process-Destroyed 28 ユーザが仮想接続を終了した。 Close-Virtual-Connection 29 仮想接続が終了した。 End-Virtual-Connection 30 ユーザが Rlogin を終了した。 Exit-Rlogin 31 無効な Rlogin オプションが選 択された。 Invalid-Rlogin-Option 32 不十分なリソース。 Insufficient-Resources 33 RADIUS 属性 RADIUS Disconnect-Cause 属性
説明 値 原因コード PPP LCP ネゴシエーションがタ イムアウトした。 コード 40 ~ 49 が PPP セッションに適 用されます。 (注) Timeout-PPP-LCP 40 PPP LCP ネゴシエーションが失 敗した。 Failed-PPP-LCP-Negotiation 41 PPP PAP 認証が失敗した。 Failed-PPP-PAP-Auth-Fail 42 PPP CHAP 認証が失敗した。 Failed-PPP-CHAP-Auth 43 PPP リモート認証が失敗した。 Failed-PPP-Remote-Auth 44 PPP がリモート エンドから Terminate Request を受信した。 PPP-Remote-Terminate 45 上位層がセッションの終了を要 求した。 PPP-Closed-Event 46 開いている NCP がなかったた め、PPP セッションが終了し た。 NCP-Closed-PPP 47 MP エラーのため、PPP セッ ションが終了した。 MP-Error-PPP 48 最大チャネルに達したため、 PPP セッションが終了した。 PPP-Maximum-Channels 49 ターミナル サーバ テーブルが いっぱいになったため、接続解 除された。 Tables-Full 50 内部リソースがいっぱいになっ たため、接続解除された。 Resources-Full 51 Telnet ホストに対する IP アド レスが有効でない。 Invalid-IP-Address 52 ホスト名が検証されていない。 Bad-Hostname 53 ポート番号が無効または欠落し ている。 Bad-Port 54 RADIUS 属性 RADIUS Disconnect-Cause 属性
説明 値 原因コード TCP 接続がリセットされた。 コード 60 ~ 67 は Telnet または raw TCP セッションに適用さ れます。 (注) Reset-TCP 60 TCP 接続がホストによって拒否 された。 TCP-Connection-Refused 61 TCP 接続がタイムアウトした。 Timeout-TCP 62 TCP 接続が終了した。 Foreign-Host-Close-TCP 63 TCP ネットワークに到達できな い。 TCP-Network-Unreachable 64 TCP ホストに到達できない。 TCP-Host-Unreachable 65 管理上の理由により、TCPネッ トワークに到達できない。 TCP-Network-Admin Unreachable 66 TCP ポートに到達できない。 TCP-Port-Unreachable 67 セッションがタイムアウトし た。 Session-Timeout 100 セキュリティ上の理由から、 セッションが失敗した。 Session-Failed-Security 101 コールバックにより、セッショ ンが終了した。 Session-End-Callback 102 検出されたプロトコルがディ セーブルにされていたため、 コールが拒否された。 Invalid-Protocol 120 RADIUS 要求による接続解除。 RADIUS-Disconnect 150 管理上の接続解除。 Local-Admin-Disconnect 151 SNMP 要求による接続解除。 SNMP-Disconnect 152 許可された V.110 リトライを超 過した。 V110-Retries 160 PPP 認証がタイムアウトした。 PPP-Authentication-Timeout 170 ローカルのハングアップによっ て接続解除された。 Local-Hangup 180 RADIUS 属性 RADIUS Disconnect-Cause 属性
説明 値 原因コード リモート エンドのハングアッ プよって接続解除された。 Remote-Hangup 185 T1 回線が休止状態のため接続 解除された。 T1-Quiesced 190 コールの最大継続時間を超過し たため、接続解除された。 Call-Duration 195 クライアントによってコールが 接続解除された(PPP 経由)。 LNS がクライアントから PPP terminate request を受信すると コードが送信されます。 VPN-User-Disconnect 600 キャリアの喪失。 これは回線 が物理的に普通になった結果で ある場合があります。 クライアントがダイヤラを使用 してダイヤルアウトできない場 合、コードが送信されます。 VPN-Carrier-Loss 601 コールの処理に使用できるリ ソースがない。 クライアントがメモリを割り当 てることができない場合、コー ドが送信されます(メモリの不 足)。 VPN-No-Resources 602 L2TP または L2F 制御パケット が間違っている。 このコードは、必須の属性値ペ ア(AVP)が欠落しているな ど、ピアから受信した制御パ ケットが無効な場合に送信され ます。 L2TP を使用すると、 コードは 6 回の再送信後に送信 されます。L2F を使用すると、 再送信の回数はユーザ設定が可 能です。 トンネルにアクティ ブなセッションがあ る場合は、 VPN-Tunnel-Shut が送 信されます。 (注) VPN-Bad-Control-Packet 603 RADIUS 属性 RADIUS Disconnect-Cause 属性
説明 値 原因コード 管理上の接続解除。 これは、 VPN ソフト シャットダウンの 結果である場合があります。こ れは、クライアントが最大セッ ション制限に達するか、最大 ホップカウントを超過した場合 に発生します。 トンネルが、clear vpdn tunnel コマンドの発行によってダウン した場合に、コードが送信され ます。 VPN-Admin-Disconnect 604 トンネルのティアダウン、また はトンネルのセットアップが失 敗した。 トンネルにアクティブなセッ ションがあり、トンネルがダウ ンした場合にコードが送信され ます。 このコードはトンネ ルの認証が失敗した 場合は、送信されま せん。 (注) VPN-Tunnel-Shut 605 LNS PPP モジュールによって、 コールが接続解除された。 LNS がクライアントに PPP terminate request を送信すると コードが送信されます。 これ は通常の PPP 接続解除が LNS によって開始されたことを示し ます。 VPN-Local-Disconnect 606 VPN ソフト シャットダウンが イネーブルになった。 前述したソフト シャットダウ ンの制約事項のいずれかによっ てコールが拒否されると、コー ドが送信されます。 VPN-Session-Limit 607 VPN コール リダイレクトがイ ネーブルになった。 VPN-Call-Redirect 608 RADIUS 属性 RADIUS Disconnect-Cause 属性
RADIUS 属性 RADIUS Disconnect-Cause 属性
