発行日;2013/07/12   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

RADIUS 属性

リモート認証ダイヤルイン ユーザ サービス(RADIUS)属性は、RADIUS デーモンに保存されたユーザ プロファイル内の特定の認証、許可、アカウンティング(AAA)要素を定義するために使用されます。

この付録では、ブロードバンド ネットワーク ゲートウェイ(BNG)でサポートされる RADIUS 属性の次のタイプについて説明します。

RADIUS IETF 属性

IETF 属性と VSA の比較

RADIUS インターネット技術特別調査委員会(IETF)属性は、255 個の標準属性で構成されるオリジナルのセットで、クライアントとサーバ間での AAA 情報の伝達に使用されます。 IETF 属性は標準であるため、属性データは事前定義されてその内容も認識されています。このため、IETF 属性を介して AAA 情報を交換するすべてのクライアントとサーバは、属性の厳密な意味や各属性値の一般的な限界など、属性データに一致させる必要があります。

RADIUS ベンダー固有属性(VSA)は、1 つの IETF ベンダー固有属性(属性 26)から派生します。 属性 26 を使用すれば、ベンダーは、追加の 255 個の属性を自由に作成できます。 つまり、ベンダーは、どの IETF 属性のデータとも一致しない属性を作成して、属性 26 の背後にカプセル化することができます。そのため、新しく作成された属性は、属性 26 を受け入れているユーザに受け入れられます。

表 1 サポートされている RADIUS IETF 属性

名前

タイプ

Acct-Authentic 整数 45
Acct-Delay-Time 整数 41
Acct-Input-Giga-Words 整数 52
Acct-Input-Octets 整数 42
Acct-Input-Packets 整数 47
Acct-Interim-Interval 整数 85
Acct-Link-Count 整数 51
Acct-Output-Giga-Words 整数 53
Acct-Output-Octets 整数 43
Acct-Output-Packets 整数 48
Acct-Status-Type 整数 40
CHAP-Challenge バイナリ 40
CHAP-Password バイナリ 3
Dynamic-Author-Error-Cause 整数 101
Event-Timestamp 整数 55
Filter-Id バイナリ 11
Framed-Protocol 整数 7
Framed-IP-Address ipv4addr 8
Framed-Route 文字列 22
login-ip-addr-host ipv4addr 14
Multilink-Session-ID 文字列 50
Nas-Identifier 文字列 32
NAS-IP-Address ipv4addr 4
NAS-Port 整数 5
Reply-Message バイナリ 18
Service-Type 整数 6
Tunnel-Assignment-Id 文字列 32
Tunnel-Packets-Lost 整数 86
X-Ascend-Client-Primary-DNS ipv4addr 135
X-Ascend-Client-Secondary-DNS ipv4addr 136
NAS-IPv6-Address 文字列 95
Delegated-IPv6-Prefix バイナリ 123
Stateful-IPv6-Address-Pool バイナリ 123
Framed-IPv6-Prefix バイナリ 97
Framed-Interface-Id バイナリ 96
Framed-IPv6-Pool 文字列 100
Framed-IPv6-Route 文字列 99
login-ip-addr-host 文字列 98

LAC の IETF タグ付き属性

L2TP アクセス コンセントレータ(LAC)の IETF タグ付き属性のサポートは、RADIUS サーバから LAC に送信される Access-Accept パケットで、同じトンネルを参照するトンネル属性をグループ化する手段を提供します。 Access-Accept パケットには、同じ RADIUS 属性でタグが異なる複数のインスタンスを含めることができます。 タグ付き属性のサポートは、指定のトンネルに属するすべての属性がそれぞれのタグ フィールドに同じ値を持ち、各セットに Tunnel-Preference 属性の適切な値のインスタンスが含まれるようにします。 これは、マルチベンダー ネットワーク環境で使用されるトンネル属性に準拠しているため、異なるベンダーで製造されたネットワーク アクセス サーバ(NAS)間の相互運用性の問題が解消されます。

トンネル プロトコル サポートの RADIUS 属性の詳細については、RFC 2868 を参照してください。

次の例で、IETF タグ付き属性の形式について説明します。

Tunnel-Type = :0:L2TP, Tunnel-Medium-Type = :0:IP, Tunnel-Server-Endpoint = :0:"1.1.1.1", Tunnel-Assignment-Id = :0:"1", Tunnel-Preference = :0:1, Tunnel-Password = :0:"hello"

タグ値 0 は、上記の例で :0: の形式で使用されており、同じトンネルを参照する同じパケットでそれらの属性をグループ化します。 同様の例は、次のとおりです。

Tunnel-Type = :1:L2TP, Tunnel-Medium-Type = :1:IP, Tunnel-Server-Endpoint = :1:"2.2.2.2", Tunnel-Assignment-Id = :1:"1", Tunnel-Preference = :1:1, Tunnel-Password = :1:"hello"

Tunnel-Type = :2:L2TP, Tunnel-Medium-Type = :2:IP, Tunnel-Server-Endpoint = :2:"3.3.3.3", Tunnel-Assignment-Id = :2:"1", Tunnel-Preference = :2:2, Tunnel-Password = :2:"hello"

Tunnel-Type = :3:L2TP, Tunnel-Medium-Type = :3:IP, Tunnel-Server-Endpoint = :3:"4.4.4.4", Tunnel-Assignment-Id = :3:"1", Tunnel-Preference = :3:2, Tunnel-Password = :3:"hello"

Tunnel-Type = :4:L2TP, Tunnel-Medium-Type = :4:IP, Tunnel-Server-Endpoint = :4:"5.5.5.5", Tunnel-Assignment-Id = :4:"1", Tunnel-Preference = :4:3, Tunnel-Password = :4:"hello"

Tunnel-Type = :5:L2TP, Tunnel-Medium-Type = :5:IP, Tunnel-Server-Endpoint = :5:"6.6.6.6", Tunnel-Assignment-Id = :5:"1", Tunnel-Preference = :5:3, Tunnel-Password = :5:"hello"

表 2 サポートされる IETF タグ付き属性

IETF タグ付き属性の名前

タイプ

Tunnel-Type 整数 64
Tunnel-Medium-Type 整数 65
Tunnel-Client-Endpoint 文字列 66
Tunnel-Server-Endpoint 文字列 67
Tunnel-Password 文字列 69
Tunnel-Assignment-ID 文字列 82
Tunnel-Preference 整数 83
Tunnel-Client-Auth-ID 文字列 90
Tunnel-Server-Auth-ID 文字列 91

RADIUS ベンダー固有属性

インターネット技術特別調査委員会(IETF)ドラフト標準には、ネットワーク アクセス サーバと RADIUS サーバの間でベンダー固有属性(属性 26)を使用してベンダー固有の情報を伝達する方法が規定されています。 属性 26 はベンダー固有属性をカプセル化します。このため、ベンダーは一般的な用途に適さない独自の拡張属性をサポートできます。

シスコの RADIUS 実装は、この仕様で推奨される形式を使用して、1 つのベンダー固有オプションをサポートしています。 シスコのベンダー ID は 9 で、サポートされるオプションはベンダー タイプ 1、名前は「cisco-av-pair」です。値は次の形式の文字列になります。

protocol : attribute sep value *

「Protocol」は、特定の許可タイプを表すシスコの「protocol」属性です。使用可能なプロトコルには、IP、IPX、VPDN、VOIP、SHELL、RSVP、SIP、AIRNET、OUTBOUND があります。 「attribute」および「value」は、シスコの TACACS+ 仕様で定義されている適切な属性値(AV)ペアです。「sep」は、必須の属性の場合は「=」、任意指定の属性の場合は「*」になります。 これにより、TACACS+ 許可で使用できるすべての機能を RADIUS にも使用できるようになります。

たとえば、次の AV ペアにより、IP を許可している間(PPP の IPCP アドレス割り当てを行っている間)、シスコの「指定された複数の IP アドレス プール」をアクティブにすることができます。

cisco-avpair= "ip:addr-pool=first"

「*」を挿入すると、AV ペア「ip:addr-pool=first」はオプションになります。 AV ペアはオプションにできることに注意してください。

IETF 属性 26(ベンダー固有)は、ベンダー固有属性をカプセル化します。このため、ベンダーは一般的な用途に適さない独自の拡張属性をサポートできます。

cisco-avpair= "ip:addr-pool*first"

次に、ネットワーク アクセス サーバからユーザがログインしたときに、すぐに EXEC コマンドを実行する方法の例を示します。

cisco-avpair= "shell:priv-lvl=15"

属性 26 には、次の 3 つの要素が含まれています。

  • タイプ
  • 長さ
  • ストリング(またはデータ)
    • Vendor-Id
    • Vendor-Type
    • Vendor-Length
    • Vendor-Data

(注)  


VSA の形式はベンダーが指定します。 Attribute-Specific フィールド(Vendor-Data とも呼ばれる)は、ベンダーによるその属性の定義によって異なります。


表 3 サポートされるシスコのベンダー固有 RADIUS 属性

名前

タイプ

access-loop-encapsulation バイナリ 1
accounting-list 文字列 1
acct-policy-in 文字列 1
acct-policy-map 文字列 1
acct-policy-out 文字列 1
actual-data-rate-downstream 整数 1
actual-data-rate-upstream 整数 1
actual-interleaving-delay-downstream 整数 1
actual-interleaving-delay-upstream 整数 1
attainable-data-rate-downstream 整数 1
attainable-data-rate-upstream 整数 1
circuit-id-tag 文字列 1
cisco-nas-port 文字列 2
client-mac-address 文字列 1
command 文字列 1
connect-progress 文字列 1
connect-rx-speed 整数 1
connect-tx-speed 整数 1
dhcp-client-id 文字列 1
dhcp-vendor-class 文字列 1
disc-cause-ext 文字列 1
Disconnect-Cause 文字列 1
if-handle 整数 1
inacl 文字列 1
interworking-functionality-tag ブール 1
ip-addresses 文字列 1
ip-unnumbered 文字列 1
ipv4-unnumbered 文字列 1
login-ip-host 文字列 1
maximum-interleaving-delay-downstream 整数 1
maximum-interleaving-delay-upstream 整数 1
maximum-data-rate-downstream 整数 1
maximum-data-rate-upstream 整数 1
minimum-data-rate-downstream 整数 1
minimum-data-rate-downstream-low-power 整数 1
minimum-data-rate-upstream 整数 1
minimum-data-rate-upstream-low-power 整数 1
parent-if-handle 整数 1
pppoe_session_id 整数 1
qos-policy-in 文字列 1
qos-policy-out 文字列 1
redirect-vrf 文字列 1
remote-id-tag 文字列 1
service-acct-list 文字列 1
service-name 文字列 1
sub-qos-policy-in 文字列 1
sub-qos-policy-out 文字列 1
traffic-class 文字列 1
tunnel-tos-reflect 文字列 1
tunnel-tos-setting 整数 1
vpn-id 文字列 1
vpn-vrf 文字列 1
vrf-id 整数 1
ipv6-enable 整数 1
ipv6-mtu 整数 1
ipv6-strict-rpf 整数 1
ipv6-unreachable 整数 1
acct-input-gigawords-ipv6 整数 1
acct-input-octets-ipv6 整数 1
acct-input-packets-ipv6 整数 1
acct-output-gigawords-ipv6 整数 1
acct-output-octets-ipv6 整数 1
acct-output-packets-ipv6 整数 1
delegated-ipv6-pool 文字列 1
ipv6-dns-servers-addr 文字列 1
dhcpv6-class 文字列 1
ipv6_inacl 文字列 1
ipv6_outacl 文字列 1
addrv6 文字列 1
acct-input-gigawords-ipv4 整数 1
acct-input-octets-ipv4 整数 1
acct-input-packets-ipv4 整数 1
acct-output-gigawords-ipv4 整数 1
acct-output-octets-ipv4 整数 1
acct-output-packets-ipv4 整数 1

RADIUS ADSL 属性

表 4 サポートされる RADIUS ADSL 属性

名前

タイプ

Access-Loop-Encapsulation バイナリ 144
Actual-Interleaving-Delay-Downstream 整数 142
Actual-Interleaving-Delay-Upstream 整数 140
Actual-Data-Rate-Downstream 整数 130
Actual-Data-Rate-Upstream 整数 129
Attainable-Data-Rate-Downstream 整数 134
Attainable-Data-Rate-Upstream 整数 133
Agent-Circuit-Id 文字列 1
IWF-Session ブール ソーシャル 254
Maximum-Interleaving-Delay-Downstream 整数 141
Maximum-Interleaving-Delay-Upstream 整数 139
Maximum-Data-Rate-Downstream 整数 136
Maximum-Data-Rate-Upstream 整数 135
Minimum-Data-Rate-Downstream 整数 132
Minimum-Data-Rate-Downstream-Low-Power 整数 138
Minimum-Data-Rate-Upstream 整数 131
Minimum-Data-Rate-Upstream-Low-Power 整数 137
Agent-Remote-Id 文字列 2

RADIUS ASCEND 属性

表 5 サポートされる RADIUS ASCEND 属性

名前

タイプ

Ascend-Client-Primary-DNS ipv4addr 135
Ascend-Client-Secondary-DNS ipv4addr 136
Ascend-Connection-Progress 整数 196
Ascend-Disconnect-Cause 整数 195
Ascend-Multilink-Session-ID 整数 187
Ascend-Num-In-Multilink 整数 188

Microsoft RADIUS 属性

表 6 サポートされる Microsoft RADIUS 属性

名前

タイプ

MS-1st-NBNS-Server ipv4addr 30
MS-2nd-NBNS-Server ipv4addr 31
MS-CHAP-ERROR バイナリ 2
MS-Primary-DNS ipv4addr 28
MS-Secondary-DNS ipv4addr 29

RADIUS Disconnect-Cause 属性

Disconnect-cause 属性値は、接続がオフラインにされた理由を指定します。 属性値は、Accounting 要求パケットで送信されます。 セッションの認証が失敗しても、これらの値は、セッションの終了時に送信されます。 セッションが認証されないと、属性が開始レコードを生成せずに終了レコードを発生させる可能性があります。

Disconnect-Cause(195)属性の原因コード、値、および説明を示します。


(注)  


Disconnect-Cause は、RADIUS AVPairs で使用されるごとに 1000 ずつ増分されます。たとえば、disc-cause 4 は 1004 になります。


表 7 サポートされる Disconnect-Cause 属性

原因コード

説明

0

No-Reason

接続解除の理由は提供されない。

1

No-Disconnect

イベントは接続解除されていない。

2

Unknown

理由は不明。

3

Call-Disconnect

コールが接続解除された。

4

CLID-Authentication-Failure

calling-party 数の認証の失敗。

9

No-Modem-Available

コールへの接続にモデムが使用できない。

10

No-Carrier

キャリアが検出されない。
(注)     

最初のモデム接続中に接続解除があると、コード 10、11、および 12 が送信される場合があります。

11

Lost-Carrier

キャリアの喪失。

12

No-Detected-Result-Codes モデム結果コード検出の失敗。

20

User-Ends-Session ユーザがセッションを終了した。
(注)     

コード 20、22、23、24、25、26、27、および 28 は、EXEC セッションに適用されます。

21

Idle-Timeout ユーザ入力待機中のタイムアウト。
(注)     

コード 21、100、101、102、および 120 は、すべてのセッション タイプに適用されます。

22

Exit-Telnet-Session 既存の Telnet セッションによる接続解除。

23

No-Remote-IP-Addr SLIP/PPP への切り替え不能。リモート エンドに IP アドレスがない。

24

Exit-Raw-TCP 既存の raw TCP による接続解除。

25

Password-Fail 間違ったパスワード。

26

Raw-TCP-Disabled Raw TCP がディセーブルにされた。

27

Control-C-Detected Control-C が検出された。

28

EXEC-Process-Destroyed EXEC プロセスが破棄された。

29

Close-Virtual-Connection ユーザが仮想接続を終了した。

30

End-Virtual-Connection 仮想接続が終了した。

31

Exit-Rlogin ユーザが Rlogin を終了した。

32

Invalid-Rlogin-Option 無効な Rlogin オプションが選択された。

33

Insufficient-Resources

不十分なリソース。

40

Timeout-PPP-LCP

PPP LCP ネゴシエーションがタイムアウトした。

(注)     

コード 40 ~ 49 が PPP セッションに適用されます。

41 Failed-PPP-LCP-Negotiation PPP LCP ネゴシエーションが失敗した。
42 Failed-PPP-PAP-Auth-Fail PPP PAP 認証が失敗した。
43 Failed-PPP-CHAP-Auth PPP CHAP 認証が失敗した。
44 Failed-PPP-Remote-Auth PPP リモート認証が失敗した。
45 PPP-Remote-Terminate PPP がリモート エンドから Terminate Request を受信した。
46 PPP-Closed-Event 上位層がセッションの終了を要求した。
47 NCP-Closed-PPP 開いている NCP がなかったため、PPP セッションが終了した。
48 MP-Error-PPP MP エラーのため、PPP セッションが終了した。
49 PPP-Maximum-Channels 最大チャネルに達したため、PPP セッションが終了した。
50 Tables-Full ターミナル サーバ テーブルがいっぱいになったため、接続解除された。
51 Resources-Full 内部リソースがいっぱいになったため、接続解除された。
52 Invalid-IP-Address Telnet ホストに対する IP アドレスが有効でない。
53 Bad-Hostname ホスト名が検証されていない。
54 Bad-Port ポート番号が無効または欠落している。
60 Reset-TCP TCP 接続がリセットされた。
(注)     

コード 60 ~ 67 は Telnet または raw TCP セッションに適用されます。

61 TCP-Connection-Refused TCP 接続がホストによって拒否された。
62 Timeout-TCP TCP 接続がタイムアウトした。
63 Foreign-Host-Close-TCP TCP 接続が終了した。
64 TCP-Network-Unreachable TCP ネットワークに到達できない。
65 TCP-Host-Unreachable TCP ホストに到達できない。
66 TCP-Network-Admin

Unreachable

管理上の理由により、TCP ネットワークに到達できない。
67 TCP-Port-Unreachable TCP ポートに到達できない。
100 Session-Timeout セッションがタイムアウトした。
101 Session-Failed-Security セキュリティ上の理由から、セッションが失敗した。
102 Session-End-Callback コールバックにより、セッションが終了した。
120 Invalid-Protocol 検出されたプロトコルがディセーブルにされていたため、コールが拒否された。
150 RADIUS-Disconnect RADIUS 要求による接続解除。
151 Local-Admin-Disconnect 管理上の接続解除。
152 SNMP-Disconnect SNMP 要求による接続解除。
160 V110-Retries 許可された V.110 リトライを超過した。
170 PPP-Authentication-Timeout PPP 認証がタイムアウトした。
180 Local-Hangup ローカルのハングアップによって接続解除された。
185 Remote-Hangup リモート エンドのハングアップよって接続解除された。
190 T1-Quiesced T1 回線が休止状態のため接続解除された。
195 Call-Duration コールの最大継続時間を超過したため、接続解除された。
600 VPN-User-Disconnect クライアントによってコールが接続解除された(PPP 経由)。

LNS がクライアントから PPP terminate request を受信するとコードが送信されます。

601 VPN-Carrier-Loss キャリアの喪失。 これは回線が物理的に普通になった結果である場合があります。

クライアントがダイヤラを使用してダイヤルアウトできない場合、コードが送信されます。

602 VPN-No-Resources コールの処理に使用できるリソースがない。

クライアントがメモリを割り当てることができない場合、コードが送信されます(メモリの不足)。

603 VPN-Bad-Control-Packet L2TP または L2F 制御パケットが間違っている。

このコードは、必須の属性値ペア(AVP)が欠落しているなど、ピアから受信した制御パケットが無効な場合に送信されます。 L2TP を使用すると、コードは 6 回の再送信後に送信されます。L2F を使用すると、再送信の回数はユーザ設定が可能です。

(注)     

トンネルにアクティブなセッションがある場合は、VPN-Tunnel-Shut が送信されます。

604 VPN-Admin-Disconnect 管理上の接続解除。 これは、VPN ソフト シャットダウンの結果である場合があります。これは、クライアントが最大セッション制限に達するか、最大ホップカウントを超過した場合に発生します。

トンネルが、clear vpdn tunnel コマンドの発行によってダウンした場合に、コードが送信されます。

605 VPN-Tunnel-Shut トンネルのティアダウン、またはトンネルのセットアップが失敗した。

トンネルにアクティブなセッションがあり、トンネルがダウンした場合にコードが送信されます。

(注)     

このコードはトンネルの認証が失敗した場合は、送信されません。

606 VPN-Local-Disconnect LNS PPP モジュールによって、コールが接続解除された。

LNS がクライアントに PPP terminate request を送信するとコードが送信されます。 これは通常の PPP 接続解除が LNS によって開始されたことを示します。

607 VPN-Session-Limit VPN ソフト シャットダウンがイネーブルになった。

前述したソフト シャットダウンの制約事項のいずれかによってコールが拒否されると、コードが送信されます。

608 VPN-Call-Redirect VPN コール リダイレクトがイネーブルになった。