Cisco IOSがサポートするRADIUSアトリビュート（属性値ペア）

Cisco IOS - IETF Radius Attribute

　◆　Cisco IOSがサポートしているIETF Radius Attribute（属性値ペア）一覧

属性番号 IETF Attribute 説明

1 User-Name
　Radiusサーバにより認証されるユーザ名

2 User-Password
　ユーザのパスワード、またはAccess-Challengeに続くユーザの入力

3 CHAP-Password
　CHAPのパスワード。Access-Challengeに対する応答（ユーザが入力した応答値）

4 NAS-IP Address
　認証を要求しているNetwork Access Server(NAS）のIPアドレス。

5 NAS-Port
　ユーザを認証しようとしているNASの物理ポート番号。16ビットの値で構成。

6 Service-Type

　要求されたサービスのタイプ。特定の数値で示される。1：Login、 2：Framed
　3：Callback-Login、4：Callback-Framed、 5：Outbound、 6：Administrative、
　7：NAS-Prompt、8：Authenticate Only、 9：Callback-NAS-Prompt

7 Framed-Protocol

　フレーム構成。フレーム構成は以下の数値で指定される。
　1：PPP　2：SLIP　3：ARA　
　4：Gandalf独自プロトコル　5：Xylogics 独自のIPX/SLIP

8 Framed-IP-Address

　ユーザに指定するIPアドレス。
　Access-Request内でユーザのIPアドレスをRADIUSサーバに送信することで、
　ユーザに対して設定するIPアドレスを示す。Cisco IOSでは次のコマンドで有効
　になる。 (config)# radius-server attribute 8 include-in-access-req
　※ 受け入れられる値は、0xFFFFFFFF ( ユーザーがアドレスを選択 ) と
　0xFFFFFFFE ( リモートアクセスサーバーがアドレスを選択 ) のみとなる。

9 Framed-IP-Netmask
　ユーザに指定するサブネットマスク。

10 Framed-Routing
　ユーザに指定するルーティング方式。

11 Filter-Id
　ユーザのフィルタリストの名前。

12 Framed-MTU
　ユーザが設定可能なMTU。

13 Framed-Compression

　リンクに使用される圧縮プロトコル。圧縮プロトコルの数値は以下。
　0：なし　1：VJ-TCP/IP ヘッダー圧縮　2：IPX ヘッダー圧縮

14 Login-IP-Host
　ユーザが接続するホスト

15 Login-Service

　ユーザをログインホストに接続するために使用すべきサービス
　0：Telnet　1：Rlogin　2：TCP-Clear　3：PortMaster　4：LAT

16 Login-TCP-Port
　ユーザを接続すべきTCPポート

18 Reply-Message
　CHAP、PAP、および MS-CHAP (v1とv2の両方) の Successパケット
　および EAP Notification メッセージに挿入されて、返される。

19 Callback-Number
　コールバックに使用するダイヤリング文字列

22 Framed-Route
　ネットワークアクセスサーバ上のユーザに対して設定するルーティング情報

24 State
　ネットワークアクセスサーバとRADIUSサーバ間で状態情報の保持を可能にする

25 Class

　RADIUSサーバで入力された場合に、このユーザに関するすべての
　アカウンティングパケットにネットワークアクセスサーバで追加される任意の値。

26 Vendor-Specific
　-

27 Session-Timeout
　セッションを終了する前に、ユーザにサービスを提供する最大秒数

28 Idle-Timeout
　セッションが終了する前にユーザに許可されるアイドル接続の最大秒数

30 Called-Station-Id
　着信電話番号。VPN 接続の場合はVPNサーバーのIPアドレス

31 Calling-Station-Id
　発信電話番号。VPN接続の場合はVPNクライアントのIPアドレス

32 NAS-Identifier
　リモートアクセスサーバーの完全修飾ドメイン名 (FQDN)
　(config)# radius-server attribute 32 include-in-access-req のコマンドを使用
　して、Access-RequestまたはAccounting-Request 内でアトリビュート32を送信。

34 Login-LAT-Service
　ユーザをLATで接続すべきシステム

35 Login-LAT-Node
　ユーザを自動的にLATで接続すべきノード

40 Acct-Status-Type
　Accounting-Requestがユーザサービスの開始または終了をマークするかを示す

41 Acct-Delay-Time
　クライアントが特定のレコードの送信を試みる秒数

42 Acct-Input-Octets
　このサービスの提供中にポートから受信されたオクテット数

43 Acct-Output-Octets
　このサービスの配信中にポートに送信されたオクテット数

44 Acct-Session-Id

　ログファイル内の開始レコードと終了レコードのマッチングを容易にする一意の
　アカウンティング識別子。このアトリビュートを access-request パケット内で送信
　するには、(config)# radius-server attribute 44 include-in-access-req を使用。

45 Acct-Authentic

　ユーザがどのように認証されたか、RADIUS、ネットワークアクセスサーバ自体、
　その他のリモート認証プロトコルのどれで認証されたか示す。このアトリビュートは
　RADIUSで認証されたユーザの場合は「radius」、TACACS+とKerberosの場合は
　「remote」に、local、enable、line if-needed 方式の場合は「local」に設定される。
　その他のすべての方式の場合は、このアトリビュートが省略される。

46 Acct-Session-Time
　ユーザがサービスを受信していた時間（秒数）

47 Acct-Input-Packets
　ユーザへの提供中にポートから受信されたパケット数

48 Acct-Output-Packets
　ユーザへの配信中にポートに送信されたパケット数

49 Acct-Terminate-Cause

　接続が終了した理由の詳細を報告。理由は以下の数値として報告される。
　1.ユーザ要求、2.搬送波の消失、3.サービスの消失、4.アイドルタイムアウト、
　5.セッションタイムアウト、6.管理リセット、9.NAS エラー、12.ポートの不要化、
　15.使用できないサービス、16.コールバック、17.ユーザエラー、18.ホスト要求

50 Acct-Multi-Session-Id
　ログファイル内の複数の関連セッションをリンクするために使用

51 Acct-Link-Count
　特定のマルチリンクセッション内で認識されていたリンク数

55 Event-Timestamp

　NAS上でイベントが発生した時刻を記録。。アカウンティングパケット内で
　RADIUSアトリビュート 55 を送信するには、以下のIOSコマンドを実行。
　→　(config)# radius-server attribute 55 include-in-acct-req

60 CHAP-Challenge
　CHAP認証中にリモートアクセスサーバーから送信されるチャレンジ

61 NAS-Port-Type

　ユーザを認証するためにNASで使用されている物理ポートのタイプ。
　送信される値は、次の値のみとなる。Async (Modem) (0)、
　ISDN Sync (2)、SDN Async V.120 (3)、ISDN Async V.110 (4)、VPN (5)

62 Port-Limit
　NASからユーザに提供される最大ポート数

64 Tunnel-Type

　使用されているトンネリングプロトコル。Cisco IOS ソフトウェアは
　このアトリビュートに対してL2TPとL2F の2つの値をサポート

65 Tunnel-Medium-Type
　トンネル作成に使用される転送メディアタイプ。送信される値は IP (1) のみ。

66 Tunnel-Client-Endpoint
　トンネルの開始側端のアドレス

67 Tunnel-Server-Endpoint
　トンネルのサーバ端のアドレス

68 Acct-Tunnel-Connection-ID
　トンネルセッションに割り当てられた識別子

69 Tunnel-Password
　リモートサーバの認証に使用されるパスワード

76 Prompt
　ユーザの応答をエコーすべきかをNASに指示（0=エコーなし、1=エコーあり）

77 Connect-Info
　モデムコールに関する追加情報を提供

82 Tunnel-Assignment-ID
　セッションが割り当てられた特定のトンネルイニシエータ

83 Tunnel-Preference
　各トンネルに割り当てられた相対プリファレンス

85 Acct-Interim-Interval
　特定のセッションの一時更新間隔を秒数

90 Tunnel-Client-Auth-ID
　トンネルイニシエータ（NAS とも呼ばれる）で使用される名前

91 Tunnel-Server-Auth-ID
　トンネルターミネータ（ホームゲートウェイとも呼ばれる）で使用される名前

　RadiusはRASの認証手段として開発されましたが、その後にEAPを取り込むなどして発展を続けています。

　　　

Radiusパケット（種別コード）説明コード

　Access-Request 　認証要求コード 1

　Access-Accept 　認証による許可コード 2

　Access-Reject 　認証による拒絶コード 3

　Accounting-Request 　課金要求コード 4

　Accounting-Response 　課金要求に対する応答コード 5

　Radiusプロトコルでは、「属性と値」のペアで構成される属性値ペアというフォーマットで、色々な情報を
　やりとりします。属性値ペアはAVペアと呼ばれたりアトリビュートとも呼ばれています。冒頭の図でも説明
　している通り、ユーザ名やパスワード情報もこの属性値ペアによって、Radiusサーバに引き渡されています。
　値は「数字」または「文字列」が渡されます。冒頭でCisco IOSがサポートしているIETF Radius Attribute
　（属性値ペア）一覧の代表的なもの紹介しました。Cisco ASAがサポートするRADIUS属性もご参考下さい。

　◆　Cisco ASA と Active Directory との連携 by Radius認証

　SSL-VPN接続のユーザ認証時に、Windows ServerのADとCisco ASAとが連携してRadiusプロトコルを使用
　して認証できます。ASAがRadiusクライアントとして動作し、Windows ServerのNetwork Policy Serverが
　Radiusサーバとして動作します。ユーザ情報はAD内の情報を参照して認証判断します。

　　

　※　Radius認証の設定例でradius-common-pwコマンドがよく紹介されていますが、このコマンドは必須ではありません。

　単純なユーザ認証だけならKerberos認証の方が
　一般的には使用されます。Radiusの場合は認証
　以外に、アカウンティングの特性を持っている
　だけでなく、属性値ペア（アトリビュート）に
　よって制御が行えることから認証＋アルファの
　要件の際に一般的に活躍する認証プロトコルです。

　例えばダイナミックACLか、ユーザごとのACL名
　を使用するVPNを提供できます。RADIUSサーバ
　でダウンロード可能なACLまたはACL名がASAに
　送信されるので、所定のサービスへのアクセスが
　ACLで許可または拒否する実装が可能になります。
　※ セッションの有効期限が切れるとASAでACLが削除される。

　アトリビュートを使用して制御する場合、ASAと連携するRADIUSサーバを設定するためのタスクフローは
　以下の通りです。①の認識が特に重要です。ASAとACSを連携させた方がよい理由が理解できるかと思います。

　①　Cisco ASAのアトリビュートをRadiusサーバにロードします。Cisco ACSをRadiusサーバに使用する場合
　この手順は必要ないです。Cisco ACSにはCisco ASAのRadius認可アトリビュートは統合されているからです。
　他ベンダーのRadiusサーバの場合、CiscoASAの各アトリビュートを手作業で定義 (設定) する必要があります。

　②　Radiusサーバグループを追加
　③　サーバグループの場合はグループにサーバを追加
　④　任意：AAA認証チャレンジプロセスの実行中に表示するテキストを指定