RTシリーズのTCP/IPに関するFAQ
RADIUS って何?
最終変更日 | 2022/Dec/28 |
文書サイズ | 14KB |
RADIUS って何?
[ RADIUS ]
リモートユーザの認証などをルータ自身ではなく LAN側に置いたコンピュータに行わせることで、 管理できるユーザ数を飛躍的に増やしたり、 またコンピュータ上の様々なツールを利用して 管理を簡単に行えるようにするためのものです。
RADIUSにはRADIUSサーバとRADIUSクライアント (NAS:Network Access Serverとも呼ばれます)の二つの要素があります。
ISDN回線 or 専用線 : +-------------------+ | RTシリーズ | … RADIUSクライアント +---------+---------+ |192.168.0.1 | 192.168.0.0/24 --------------+----------------------+--------------------- | |192.168.0.254 +---------+---------+ | RADIUSサーバ | +-------------------+ルータはRADIUSクライアントであり、着信があった時にその情報を RADIUSサーバに問い合わせ、RADIUSサーバにしたがって認証などの動作を行います。
[ 設定など ]
PP-Anonymous に着信させる場合にRADIUSクライアント(NAS)と して動作させることができます。 この場合に限って、PAP/CHAP に関する情報を pp auth username コマンドの設定からではなく RADIUS サーバから取得することができます。 RADIUSを利用する場合、以下のように設定します。
radius auth on radius auth server SERVER # 注1 radius secret SECRET pp select anonymous pp auth request chap-pap
上記設定例のコマンド解説
[ RTシリーズのアカウンティング機能への対応 ]
RADIUS ではアカウンティングも行えますが、 そちらを利用するには以下のように設定します。
アカウンティングのためにも RADIUSシークレットを設定する必要がありますが、 RADIUS認証で用いるものと同じものを利用する必要があります。radius account on radius account server SERVER # 注1 radius secret SECRET
[ RTシリーズのアトリビュート対応 ]
アトリビュート | 意味 | 認証 | アカウント | 備考 | |
---|---|---|---|---|---|
送信 | 受信 | 送信 | |||
User-Name | ユーザ名 | ○ | − | ○ | |
User-Password | PAPパスワード | ○ | − | − | |
CHAP-Password | CHAPパスワード | ○ | − | − | |
NAS-IP-Address | RTのIPアドレス | ○ | − | ○ | |
NAS-Port | 接続しようとしているインタフェース番号 | ○ | − | ○ | |
Service-Type | サービスの種類 | ○ | ○ | ○ | 送信するのはFramed(2)のみ、受信はFramed(2)とCallback Framed(4)が利用できる |
Framed-Protocol | プロトコルの種類 | ○ | − | ○ | 必ずPPP(1)を送信する |
Framed-IP-Address | クライアントに割り当てるIPアドレス | − | ○ | ○ | |
Filter-Id | フィルタ名 | − | ○ | − | Rev.6.00.20以降 |
Framed-Compression | VJCを有効にする | − | ○ | − | |
Callback-Number | コールバックする場合の電話番号 | − | ○ | − | |
Calling-Station-Id | クライアントの電話番号 | ○ | − | ○ | |
NAS-Port-Type | RTのインタフェースの種類 | ○ | − | ○ | ISDN Sync(2)を送信する |
Acct-Status-Type | アカウントの種類 | − | − | ○ | |
Acct-Input-Octets | 受信バイト数 | − | − | ○ | |
Acct-Output-Octets | 送信バイト数 | − | − | ○ | |
Acct-Session-Id | セッションID | − | − | ○ | |
Acct-Authentic | 認証主体 | − | − | ○ | |
Acct-Session-Time | 接続時間 | − | − | ○ | |
Acct-Input-Packets | 受信パケット数 | − | − | ○ | |
Acct-Output-Packets | 送信パケット数 | − | − | ○ |
[ そのほか ]
RADIUS 認証を行う場合、発番号認証は利用できませんでした。 しかし、ファームウェアを更新して頂ければ、利用可能になります。
RADIUSサーバのusersファイルに認証条件としてCall-Station-Idを追加す
ると発番号認証が可能になります。
(Merit, DTCで動作確認)。
-----発番号が"11"のときのusersファイルの設定例----- username Password = "password", Calling-Station-Id = "11" <-- 発番号の設定 User-Service = Framed-User, Framed-Protocol = PPP, Framed-Address = 255.255.255.254, Framed-Netmask = 255.255.255.255, Framed-Compression = VJ-TCP-IP, Idle-Timeout = 3600,
RADIUSサーバは一般的にはソフトウェアとして提供されています。 以下のURLから入手可能です。
Windows 2000に付属するIASを利用する場合の、IASの設定手順です。
[ 関連情報 ]
[ 仕様に関するリリースノート ]
[ 関連RFC ]
[ 参考RFC ]
[ FAQ for RT-Series ]
[ FAQ for TCP/IP / files / IP-Filter / VPN(IPsec) / Intro / Install / Config ]