セキュリティ コンフィギュレーション ガイド:ユー ザ サービスのセキュリティ保護
アクセス要求内の RADIUS アトリビュート 8 (Framed-IP-Address)
アクセス要求内の RADIUS アトリビュート 8(Framed-IP-Address)
発行日;2012/01/12 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

アクセス要求内の RADIUS アトリビュート 8(Framed-IP-Address)

機能情報の確認

この章の構成

アクセス要求内の RADIUS アトリビュート 8(Framed-IP-Address)の前提条件

アクセス要求内の RADIUS アトリビュート 8(Framed-IP-Address)に関する情報

アクセス要求内の RADIUS アトリビュート 8(Framed-IP-Address)の設定方法

アクセス要求内の RADIUS アトリビュート 8 の設定

アクセス要求内の RADIUS アトリビュート 8 の確認

アクセス要求内の RADIUS アトリビュート 8(Framed-IP-Address)の設定例

ダイヤルイン ホストの IP アドレスを RADIUS アクセス要求内で RADIUS サーバに送信する NAS 設定

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

アクセス要求内の RADIUS アトリビュート 8(Framed-IP-Address)の機能情報

アクセス要求内の RADIUS アトリビュート 8(Framed-IP-Address)

アクセス要求内の RADIUS アトリビュート 8(Framed-IP-Address)機能は、Network Access Server(NAS; ネットワーク アクセス サーバ)から RADIUS サーバに、ユーザ認証に先立って、ユーザ IP アドレスのヒントを提供できるようにします。RADIUS サーバ上で動作するアプリケーションは、このヒントを使用して、ユーザ名と IP アドレスのテーブル(マップ)を作成できます。RADIUS サーバを使用している場合は、サービス アプリケーションでユーザ ログイン情報を準備して、RADIUS サーバでのユーザ認証に備えることができます。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「アクセス要求内の RADIUS アトリビュート 8(Framed-IP-Address)の機能情報」 を参照してください。

プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。

アクセス要求内の RADIUS アトリビュート 8(Framed-IP-Address)の前提条件

RADIUS アクセス要求内で RADIUS アトリビュート 8 を送信する場合は、NAS サーバから IP アドレスを要求するようにログイン ホストを設定しておく必要があります。また、NAS からの IP アドレスを受け入れるようにログイン ホストを設定しておく必要もあります。

NAS は、ログイン ホストをサポートしているインターフェイス上のネットワーク アドレスのプールを使用して設定する必要があります。

アクセス要求内の RADIUS アトリビュート 8(Framed-IP-Address)に関する情報

ネットワーク デバイスが RADIUS 認証用に設定された NAS にダイヤルインすると、NAS がユーザ認証に備えて、RADIUS サーバとの通信プロセスを開始します。通常は、ユーザ認証が成功するまで、ダイヤルイン ホストの IP アドレスが RADIUS サーバに通知されません。RADIUS アクセス要求内でサーバにデバイス IP アドレスを通知すれば、他のアプリケーションがその情報を利用できるようになります。

NAS が RADIUS サーバと通信するようにセットアップされている場合は、NAS が特定のインターフェイス上で設定された IP アドレスのプールからダイヤルイン ホストに IP アドレスを割り当てます。NAS は、ダイヤルイン ホストの IP アドレスをアトリビュート 8 として RADIUS サーバに送信します。そのとき、NAS は、ユーザ名などの他のユーザ情報も RADIUS サーバに送信します。

RADIUS が NAS からユーザ情報を受信した場合は、次の 2 つの選択肢があります。

RADIUS サーバ上のユーザ プロファイルにすでにアトリビュート 8 が含まれていた場合は、RADIUS が NAS から受け取った IP アドレスをユーザ プロファイル内でアトリビュート 8 として定義された IP アドレスに置き換えます。ユーザ プロファイル内で定義されたアドレスが NAS に返されます。

ユーザ プロファイルにアトリビュート 8 が含まれていない場合は、RADIUS サーバが、NAS からのアトリビュート 8 を受け入れて、そのアドレスを NAS に返すことができます。

RADIUS サーバから返されたアドレスは、セッションが終わるまで、NAS 上のメモリに保存されます。NAS が RADIUS アカウンティング用に設定されている場合は、RADIUS サーバに送信されるアカウンティング開始パケットにアトリビュート 8 内のものと同じ IP アドレスが含まれています。以降のすべてのアカウンティング パケット、更新(設定されている場合)、および終了パケットにも、アトリビュート 8 で指定されたものと同じ IP アドレスが含まれています。

アクセス要求内の RADIUS アトリビュート 8(Framed-IP-Address)の設定方法

ここでは、次の各手順について説明します。

「アクセス要求内の RADIUS アトリビュート 8 の設定」(必須)

「アクセス要求内の RADIUS アトリビュート 8 の確認」

アクセス要求内の RADIUS アトリビュート 8 の設定

アクセス要求内で RADIUS アトリビュート 8 を送信するには、次の手順を実行します。

手順の概要

1. enable

2. configure terminal

3. radius-server attribute 8 include-in-access-req

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

radius-server attribute 8 include-in-access-req

 

Router(config)# radius-server attribute 8 include-in-access-req

access-request パケット内で RADIUS アトリビュート 8 を送信します。

アクセス要求内の RADIUS アトリビュート 8 の確認

RADIUS アトリビュート 8 がアクセス要求内で送信されていることを確認するには、次の手順を実行します。アトリビュート 8 は、すべての PPP アクセス要求内に存在するはずです。

手順の概要

1. enable

2. more system:running-config

3. debug radius

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

more system:running-config

 

Router# more system:running-config

現在実行されているコンフィギュレーション ファイルの内容を表示します( show running-config コマンドが more system:running-config に置き換えられていることに注意してください)。

ステップ 3

debug radius

 

Router# debug radius

RADIUS 関連の情報を表示します。このコマンドの出力は、アトリビュート 8 がアクセス要求内で送信されているかどうかを示しています。

アクセス要求内の RADIUS アトリビュート 8(Framed-IP-Address)の設定例

ここでは、次の設定例について説明します。

「ダイヤルイン ホストの IP アドレスを RADIUS アクセス要求内で RADIUS サーバに送信する NAS 設定」

ダイヤルイン ホストの IP アドレスを RADIUS アクセス要求内で RADIUS サーバに送信する NAS 設定

次の例は、ダイヤルイン ホストの IP アドレスを RADIUS アクセス要求内で RADIUS サーバに送信する NAS 設定を示しています。NAS は、RADIUS Authentication, Authorization, and Accounting(AAA; 認証、認可、およびアカウンティング)用に設定されています。IP アドレスのプール(async1-pool)が設定され、インターフェイス Async1 に適用されています。

aaa new-model
aaa authentication login default group radius
aaa authentication ppp default group radius
aaa authorization network default group radius
aaa accounting network default start-stop group radius
!
ip address-pool local
!
interface Async1
peer default ip address pool async1-pool
!
ip local pool async1-pool 209.165.200.225 209.165.200.229
!
radius-server host 172.31.71.146 auth-port 1645 acct-port 1646
radius-server retransmit 3
radius-server attribute 8 include-in-access-req
radius-server key radhost<xxx>: Example

その他の参考資料

次の項で、アクセス要求内の RADIUS アトリビュート 8(Framed-IP-Address)に関する参考資料を紹介します。

関連資料

内容
参照先

認証の設定と RADIUS の設定

Cisco Security Configuration Guide 』の「 Configuring Authentication 」の章と「 Configuring RADIUS 」の各章

RFC 2138 (RADIUS)

RFC 2138 Remote Authentication Dial In User Service (RADIUS)

規格

規格
タイトル

この機能がサポートする新しい規格または変更された規格はありません。また、この機能による既存規格のサポートに変更はありません。

--

MIB

MIB
MIB リンク

この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

この機能がサポートする新規 RFC または改訂 RFC はありません。また、この機能による既存 RFC のサポートに変更はありません。

--

シスコのテクニカル サポート

説明
リンク

右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。

以下を含むさまざまな作業にこの Web サイトが役立ちます。
・テクニカル サポートを受ける
・ソフトウェアをダウンロードする
・セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける
・ツールおよびリソースへアクセスする
- Product Alert の受信登録
- Field Notice の受信登録
- Bug Toolkit を使用した既知の問題の検索
・Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する
・トレーニング リソースへアクセスする
・TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

http://www.cisco.com/techsupport

アクセス要求内の RADIUS アトリビュート 8(Framed-IP-Address)の機能情報

表 1 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートする Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


 

表 1 アクセス要求内の RADIUS アトリビュート 8(Framed-IP-Address)の機能情報

機能名
リリース
機能情報

アクセス要求内の RADIUS アトリビュート 8(Framed-IP-Address)

12.2(11)T
12.2(28)SB
12.2(33)SRC

アクセス要求内の RADIUS アトリビュート 8(Framed-IP-Address)機能は、Network Access Server(NAS; ネットワーク アクセス サーバ)から RADIUS サーバに、ユーザ認証に先立って、ユーザ IP アドレスのヒントを提供できるようにします。RADIUS サーバ上で動作するアプリケーションは、このヒントを使用して、ユーザ名と IP アドレスのテーブル(マップ)を作成できます。RADIUS サーバを使用している場合は、サービス アプリケーションでユーザ ログイン情報を準備して、RADIUS サーバでのユーザ認証に備えることができます。

この機能に関する詳細については、次の各項を参照してください。

「アクセス要求内の RADIUS アトリビュート 8(Framed-IP-Address)に関する情報」

「アクセス要求内の RADIUS アトリビュート 8(Framed-IP-Address)の設定方法」

「アクセス要求内の RADIUS アトリビュート 8(Framed-IP-Address)の設定例」

radius-server attribute 8 include-in-access-req コマンドが導入または変更されました。

 

このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワーク トポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。

© 2002-2009 Cisco Systems, Inc.
All rights reserved.

Copyright © 2002-2011, シスコシステムズ合同会社.
All rights reserved.