|
◆ RADIUSクライアントの設定 - 新しいIOSの設定
現在では「RADIUSサーバを登録」してから、それを「認証サーバグループに登録」する設定をします。
◆ RADIUSサーバの登録
(config)# radius server config-name
(config-radius-server)# address ipv4 address auth-port number acct-port number
(config-radius-server)# key string
※ ソフトウェアのバージョンにより上記コマンド前に「 aaa new-model 」コマンドを設定しておく必要があります。
◆ RADIUSサーバを認証サーバグループに登録( 複数のRADIUSサーバをグループに含められます )
(config)# aaa new-model
(config)# aaa group server radius group-name
(config-sg-server)# server name config-name
認証方式リスト、認可方式リスト、アカウンティング方式リストに指定します。認証方式リストなどは
別ページで解説。各方式リストの解説を読んでいない現時点では以下のコンフィグを理解できてなくOK。
◆ 認証方式リスト、認可方式リスト、アカウンティング方式リストなどに適用( 必要な方式リストに対してのみ適用 )
(config)# aaa authentication login default group group-name
(config)# aaa authentication dot1x default group group-name
(config)# aaa authorization network default group group-name
(config)# aaa authorization auth-proxy default group group-name
(config)# aaa accounting dot1x default start-stop group group-name
(config)# aaa accounting system default start-stop group group-name
◆ RADIUSクライアントの設定例( IEEE802.1X認証などでAAAを実装する例 )
Cisco(config) # radius server ISE01
Cisco(config-radius-server) # address ipv4 192.168.10.101 auth-port 1812 acct-port 1813
Cisco(config-radius-server) # key Cisco123
Cisco(config) # aaa new-model
Cisco(config) # aaa group server radius GROUP-ISE
Cisco(config-sg-radius) # server name ISE01
Cisco(config) # dot1x system-auth-control
Cisco(config) # aaa authentication dot1x default group GROUP-ISE
Cisco(config) # aaa authorization network default group GROUP-ISE
Cisco(config) # aaa accounting dot1x default start-stop group GROUP-ISE
Cisco(config) # aaa accounting system default start-stop group GROUP-ISE
|
◆ RADIUSクライアントの設定 - レガシーな設定
AAAでRADIUSサーバをAAAクライアント( RADIUSクライアント )として使用するための設定を解説。
◆ RADIUSクライアントの設定
(config)# radius-server host address [ auth-port ] [ acct-port ] [ timeout seconds ] [ retransmit retries ] key string
| コマンド引数 |
説明 |
| address |
RADIUSサーバのIPアドレスを指定(DNSで名前解決できるならホスト名でもOK)
|
| auth-port |
オプション:認証/認可要求のUDPポート1645を変更する場合は auth-port の後にポート番号を指定。
|
| acct-port |
オプション:アカウンティングのUDPポート1646を変更する場合は acct-port の後にポート番号を指定。
|
| timeout |
オプション:RADIUSクライアントがRADIUSサーバの応答を待機して再送信するまでの時間間隔。 |
| retransmit |
オプション:RADIUSサーバが応答しない場合に、Radius RequestをRADIUSサーバに再送信する回数。 |
| key |
RADIUSクライアントとRADIUSサーバで使用する共有暗号鍵(Shared Secret)の設定 |
◆ RADIUSクライアントの設定例( 旧IOS - IEEE802.1X認証などでAAAを実装する例 )
Cisco(config) # radius-server host 192.168.10.101 auth-port 1812 acct-port 1813 key Cisco123
Cisco(config) # radius-server host 192.168.10.102 auth-port 1812 acct-port 1813 key Cisco123
Cisco(config) # dot1x system-auth-control
Cisco(config) # aaa new-model
Cisco(config) # aaa authentication dot1x default group radius
Cisco(config) # aaa authorization network default group radius
Cisco(config) # aaa accounting dot1x default start-stop group radius
Cisco(config) # aaa accounting system default start-stop group radius
|
以上の設定により、認証方式リストとして例えば「aaa authentication dot1x default group radius」と
設定した場合には、上述で設定したRADIUSサーバの2台が使用されるようになります。優先順位は設定順。
|