Cisco IOS セキュリティ コンフィギュレーション ガ イド:ユーザ サービスのセキュリティ保護
RADIUS EAP サポート
RADIUS EAP サポート
発行日;2012/02/05 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

RADIUS EAP サポート

機能情報の確認

この章の構成

前提条件

制約事項

RADIUS EAP サポートに関する情報

EAP の動作方法

新しくサポートされたアトリビュート

RADIUS EAP サポートの設定方法

EAP の設定

EAP の確認

設定例

クライアント上の EAP ローカル設定:例

NAS 用の EAP プロキシ設定:例

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

RADIUS EAP サポートの機能情報

用語集

RADIUS EAP サポート

RADIUS EAP サポート機能は、ユーザに PPP 内でのクライアント認証方式(独自の認証を含む)の適用を可能にします。この認証方式は、Network Access Server(NAS; ネットワーク アクセス サーバ)ではサポートされない可能性があり、Extensible Authentication Protocol(EAP; 拡張可能認証プロトコル)を通して実現されます。この機能が導入される前は、PPP 接続用のさまざまな認証方式をサポートするために、特別なベンダー固有設定と、クライアントと NAS に対する変更が必要でした。RADIUS EAP サポートを使用すれば、トークン カードや公開鍵などの認証スキームでネットワークに対するエンド ユーザとデバイスの認証対象アクセスを補強できます。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「RADIUS EAP サポートの機能情報」を参照してください。

プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。

前提条件

クライアント上で EAP RADIUS を有効にする前に、次のタスクを実行する必要があります。

interface コマンドを使用してインターフェイス タイプを設定し、インターフェイス コンフィギュレーション モードを開始します。

encapsulation コマンドを使用して、PPP をカプセル化するためのインターフェイスを設定します。

これらのタスクの実行方法については、「 Configuring Asynchronous SLIP and PPP モジュール を参照してください。

制約事項

EAP がプロキシ モードで実行中は、認証時間が大幅に延びる可能性があります。これは、ピアからのすべてのパケットを RADIUS サーバに送信し、RADIUS サーバからのすべての EAP パケットをクライアントに戻す必要があるためです。この余分な処理によって遅延が発生しますが、 ppp timeout authentication コマンドを使用して、デフォルトの認証タイムアウト値を増やすことができます。

RADIUS EAP サポートに関する情報

EAP は、Link Control Protocol(LCP; リンク コントロール プロトコル)フェーズではなく、認証フェーズ中にネゴシエートされる複数の認証メカニズムをサポートする PPP 用の認証プロトコルです。EAP を使用すれば、汎用のインターフェイスを介して、サードパーティ製の認証サーバと PPP 実装の間でデータのやり取りができます。

EAP の動作方法

デフォルトで、EAP はプロキシ モードで動作します。これは、EAP によって、RADIUS サーバ上に存在する、または、RADIUS サーバ経由でアクセスされるバックエンド サーバに対して、NAS から認証プロセス全体をネゴシエートできることを意味します。EAP が LCP 交換中にクライアントと NAS 間でネゴシエートされた後は、すべての認証メッセージがクライアントとバックエンド サーバ間で透過的に転送されます。NAS が認証プロセスに直接関与することはありません。つまり、NAS はプロキシとして機能し、リモート ピア間で EAP メッセージを送信します。


) EAP は、ローカル モードでも動作できます。セッションは、Message Digest 5(MD5; メッセージ ダイジェスト 5)アルゴリズムを使用して認証され、Challenge Handshake Authentication Protocol(CHAP; チャレンジ ハンドシェーク認証プロトコル)と同じ認証ルールに従います。プロキシ モードを無効にして、ローカルで認証するには、ppp eap local コマンドを使用する必要があります。


新しくサポートされたアトリビュート

RADIUS EAP サポート機能は、次の RADIUS アトリビュートのサポートを導入しています。

番号
IETF アトリビュート
説明

79

EAP-Message

PPP type、request-id、length、および EAP-type の各フィールドを含む EAP メッセージの 1 つのフラグメントをカプセル化します。

80

Message Authenticator

メッセージの発信元整合性を保証します。無効なチェックサムを伴って受信されたすべてのメッセージは、通知されることなく両端で破棄されます。このアトリビュートは、RADIUS 要求または応答メッセージ全体の HMAC-MD5 チェックサムを含み、RADIUS サーバ シークレットを鍵として使用します。

RADIUS EAP サポートの設定方法

RADIUS EAP サポート機能の設定タスクについては、次の項を参照してください。一覧内の各作業は、必須と任意に分けています。

「EAP の設定」(必須)

「EAP の確認」(任意)

EAP の設定

このタスクを実行して、PPP カプセル化用に設定されたインターフェイス上で EAP を設定します。

手順の概要

1. enable

2. configure terminal

3. ppp authentication eap

4. ppp eap identity string

5. ppp eap password [ number ] string

6. ppp eap local

7. ppp eap wait

8. ppp eap refuse [ callin ]

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ppp authentication eap

 

Router(config-if)# ppp authentication eap

EAP を認証プロトコルとして有効にします。

ステップ 4

ppp eap identity string

 

Router(config-if)# ppp eap identity user

(任意)ピアから要求されたときの EAP ID を指定します。

ステップ 5

ppp eap password [ number ] string

 

Router(config-if)# ppp eap password 7 141B1309

(任意)ピア認証用の EAP パスワードを設定します。

このコマンドは、クライアント上でのみ設定する必要があります。

ステップ 6

ppp eap local

 

Router(config-if)# ppp eap local

(任意)デフォルトの RADIUS バックエンド サーバを使用するのではなく、ローカルに認証します。

(注) このコマンドは、NAS 上でのみ設定する必要があります。

ステップ 7

ppp eap wait

 

Router(config-if)# ppp eap wait

(任意)発信者自身の認証を待機します。デフォルトでは、クライアントの方が発信者よりも先に自分自身を認証します。

(注) このコマンドは、NAS 上でのみ設定する必要があります。

ステップ 8

ppp eap refuse [ callin ]

 

Router(config-if)# ppp eap refuse

(任意)EAP を使用した認証を拒否します。 callin キーワードが有効になっている場合は、着信コールのみが認証されません。

(注) このコマンドは、NAS 上でのみ設定する必要があります。

EAP の確認

クライアントまたは NAS 上の EAP 設定を確認するには、特権 EXEC コンフィギュレーション モードで次のコマンドの少なくとも 1 つを使用します。

 

コマンド
目的

Router# show users

ルータ上のアクティブ回線に関する情報を表示します。

Router# show interfaces

ルータまたはアクセス サーバで設定されているすべてのインターフェイスの統計情報を表示します。

Router# show running-config

設定が実行設定の一部として表示されることを確認します。

設定例

ここでは、次の設定例について説明します。

「クライアント上の EAP ローカル設定:例」

「NAS 用の EAP プロキシ設定:例」

クライアント上の EAP ローカル設定:例

次の例は、EAP 用に設定されたクライアントのサンプル設定です。

interface Ethernet0/0
ip address 10.1.1.202 255.255.255.0
no ip mroute-cache
half-duplex
!
interface BRI0/0
ip address 192.168.101.100 255.255.255.0
encapsulation ppp
no ip mroute-cache
dialer map ip 192.168.101.101 56167
dialer-group 1
isdn switch-type basic-5ess
ppp eap identity user
ppp eap password 7 141B1309
!
!
ip default-gateway 10.1.1.1
ip classless
ip route 192.168.101.101 255.255.255.255 BRI0/0
no ip http server
!
dialer-list 1 protocol ip permit

NAS 用の EAP プロキシ設定:例

次の例は、EAP プロキシを使用するために設定された NAS 用のサンプル設定です。

aaa authentication login default group radius
aaa authentication login NOAUTH none
aaa authentication ppp default if-needed group radius
aaa session-id common
enable secret 5 $1$x5D0$cfTL/D8Be.34PgTbdGdgl/
!
username dtw5 password 0 lab
username user password 0 lab
 
ip subnet-zero
no ip domain-lookup
ip host lab24-boot 172.19.192.254
ip host lb 172.19.192.254
!
isdn switch-type primary-5ess
!
controller T1 3
framing esf
linecode b8zs
pri-group timeslots 1-24
!
interface Ethernet0
ip address 10.1.1.108 255.255.255.0
no ip route-cache
no ip mroute-cache
!
interface Serial3:23
ip address 192.168.101.101 255.255.255.0
encapsulation ppp
dialer map ip 192.168.101.100 60213
dialer-group 1
isdn switch-type primary-5ess
isdn T321 0
ppp authentication eap
ppp eap password 7 011F0706
!
!
ip default-gateway 10.0.190.1
ip classless
ip route 192.168.101.0 255.255.255.0 Serial3:23
no ip http server
!
dialer-list 1 protocol ip permit
!
radius-server host 10.1.1.201 auth-port 1645 acct-port 1646 key lab
radius-server retransmit 3
call rsvp-sync
!
mgcp profile default
!
!
line con 0
exec-timeout 0 0
logging synchronous
login authentication NOAUTH
line 1 48
line aux 0
ine vty 0 4
lpassword lab

その他の参考資料

次の項で、RADIUS EAP サポート機能に関する参考資料を紹介します。

関連資料

内容
参照先

AAA を使用した PPP 認証の設定

Configuring Authentication 」モジュール

RADIUS の設定

Configuring RADIUS 」モジュール

PPP の設定

Configuring Asynchronous SLIP and PPP モジュール

ダイヤル テクノロジー コマンド

『Cisco IOS Dial Technologies Command Reference』

セキュリティ コマンド

『Cisco IOS Security Command Reference』

規格

規格
タイトル

なし

--

MIB

MIB
MIB リンク

なし

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

RFC 2284

PPP Extensible Authentication Protocol (EAP)

RFC 1938

A One-Time Password System

RFC 2869

RADIUS Extensions

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、豊富なオンライン リソースが提供されており、それらに含まれる資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高い ドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次の URL からアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

RADIUS EAP サポートの機能情報

表 1 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートする Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


 

表 1 RADIUS EAP サポートの機能情報

機能名
リリース
機能情報

RADIUS EAP サポート

12.2(2)XB5
12.2(13)T
12.2(28)SB

RADIUS EAP サポート機能は、ユーザに PPP 内でのクライアント認証方式(独自の認証を含む)の適用を可能にします。この認証方式は、Network Access Server(NAS; ネットワーク アクセス サーバ)ではサポートされない可能性があり、Extensible Authentication Protocol(EAP; 拡張可能認証プロトコル)を通して実現されます。この機能が導入される前は、PPP 接続用のさまざまな認証方式をサポートするために、特別なベンダー固有設定と、クライアントと NAS に対する変更が必要でした。RADIUS EAP サポートを使用すれば、トークン カードや公開鍵などの認証スキームでネットワークに対するエンド ユーザとデバイスの認証対象アクセスを補強できます。

この機能は、Cisco 2650、Cisco 3640、Cisco 3660、Cisco AS5300、および Cisco AS400 プラットフォームの 12.2(2)XB5 で導入されました。

この機能は、Cisco IOS リリース 12.2(13)T に統合されました。

この機能は、Cisco IOS リリース 12.2(28)SB に統合されました。

ppp authentication ppp eap identity、ppp eap local ppp eap password ppp eap refuse 、および ppp eap wait の各コマンドが導入または変更されました。

用語集

CHAP :Challenge Handshake Authentication Protocol(チャレンジ ハンドシェーク認証プロトコル)。PPP カプセル化を使用した回線上でサポートされ、不正アクセスを防止するセキュリティ機能。CHAP それ自体が不正アクセスを防止するわけではなく、単に、リモート エンドを識別するだけです。その後で、ルータまたはアクセス サーバがそのユーザのアクセスを許可するかどうかを決定します。

EAP :Extensible Authentication Protocol(拡張可能認証プロトコル)。LCP フェーズではなく、認証フェーズ中にネゴシエートされる複数の認証メカニズムをサポートする PPP 認証プロトコル。EAP を使用すれば、汎用のインターフェイスを介して、サードパーティ製の認証サーバと PPP 実装の間でデータのやり取りができます。

LCP :Link Control Protocol(リンク コントロール プロトコル)。PPP で使用するためのデータ リンク接続を確立して、設定し、テストするプロトコル。

MD5(HMAC バリアント): Message Digest 5(メッセージ ダイジェスト 5)。ハッシュ アルゴリズムの 1 つで、パケット データの認証に使用されます。HMAC は、メッセージ認証用の重要なハッシングです。

NAS :Network Access Server(NAS; ネットワーク アクセス サーバ)。公衆電話交換網(PSTN)などのリモート アクセス ネットワーク上でユーザにローカル ネットワーク アクセスを提供するデバイス。

PAP :Password Authentication Protocol(パスワード認証プロトコル)。PPP ピアの相互認証を可能にする認証プロトコル。ローカル ルータに接続を試みているリモート ルータは、認証要求を送信するように要求されます。CHAP と違って、PAP はパスワードとホスト名またはユーザ名をクリア テキスト(暗号化なし)で渡します。PAP それ自体が不正アクセスを防止するわけではなく、単に、リモート エンドを識別するだけです。その後で、ルータまたはアクセス サーバがそのユーザのアクセスを許可するかどうかを決定します。PAP は、PPP 回線上でのみサポートされます。

PPP :Point-to-Point Protocol(ポイントツーポイント プロトコル)。ポイントツーポイント リンク上でネットワーク レイヤ プロトコル情報をカプセル化するプロトコル。PPP は RFC 1661 で規定されています。

RADIUS :Remote Authentication Dial-In User Service(リモート認証ダイヤルイン ユーザ サービス)。モデム接続と ISDN 接続を認証し、接続時間を追跡するためのデータベース。

アトリビュート :RADIUS Internet Engineering Task Force(IETF)アトリビュートは、クライアントとサーバ間で AAA 情報を通信するために使用される 255 個の標準アトリビュートからなるオリジナル セットの 1 つです。IETF アトリビュートは標準のため、アトリビュート データが事前に定義され、周知されています。そのため、IETF アトリビュートを介して、認証、認可、およびアカウンティング(AAA)情報を交換するすべてのクライアントとサーバが、アトリビュートの正確な意味やアトリビュート値の一般的な範囲などのアトリビュート データに合意している必要があります。

 

このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワーク トポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。

© 2001-2009 Cisco Systems, Inc.
All rights reserved.