Cisco Nexus 5000 シリーズ スイッチ CLI ソフト ウェア コンフィギュレーション ガイド
RADIUSの設定
RADIUSの設定
発行日;2012/01/31 | 英語版ドキュメント(2009/08/13 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

RADIUSの設定

RADIUS について

RADIUS ネットワーク環境

RADIUS 操作

RADIUS サーバのモニタリング

VSA

RADIUS の前提条件

注意事項と制限事項

RADIUS サーバの設定

RADIUS サーバ ホストの設定

グローバルな事前共有鍵の設定

RADIUS サーバの事前共有鍵の設定

RADIUS サーバ グループの設定

ユーザによるログイン時の RADIUS サーバ指定の許可

グローバルな RADIUS 送信リトライ回数とタイムアウト間隔の設定

サーバに対する RADIUS 送信リトライ回数とタイムアウト間隔の設定

RADIUS サーバのアカウンティングおよび認証属性の設定

RADIUS サーバの定期的モニタリングの設定

デッド タイム間隔の設定

RADIUS サーバまたはサーバ グループの手動モニタリング

RADIUS の設定の確認

RADIUS サーバの統計情報の表示

RADIUS の設定例

デフォルト設定値

RADIUSの設定

この章では、Nexus 5000 シリーズ スイッチ上で、Remote Access Dial-In User Service(RADIUS)プロトコルを設定する方法について説明します。

この章の内容は、次のとおりです。

「RADIUS について」

「RADIUS の前提条件」

「注意事項と制限事項」

「RADIUS サーバの設定」

「RADIUS の設定の確認」

「RADIUS サーバの統計情報の表示」

「RADIUS の設定例」

「デフォルト設定値」

RADIUS について

RADIUS 分散クライアント/サーバ システムを使用すると、不正アクセスからネットワークを保護できます。シスコの実装では、RADIUS クライアントは Nexus 5000 シリーズ スイッチで稼動し、すべてのユーザ認証情報およびネットワーク サービス アクセス情報が格納された中央の RADIUS サーバに認証要求およびアカウンティング要求を送信します。

ここで説明する内容は、次のとおりです。

「RADIUS ネットワーク環境」

「RADIUS 操作」

「VSA」

RADIUS ネットワーク環境

RADIUS は、高度なセキュリティを必要とし、かつ同時にリモート ユーザのネットワーク アクセスを維持する必要があるさまざまなネットワーク環境に実装できます。

RADIUS は、アクセス セキュリティを必要とする次のネットワーク環境で使用します。

RADIUS をサポートしている複数ベンダーのネットワーク デバイスを使用したネットワーク

たとえば、複数ベンダーのネットワーク デバイスで、単一の RADIUS サーバ ベースのセキュリティ データベースを使用できます。

すでに RADIUS を使用しているネットワーク

RADIUS を使用した Nexus 5000 シリーズ スイッチをネットワークに追加できます。この作業は、AAA サーバに移行するときの最初の手順となることがあります。

リソース アカウンティングを必要とするネットワーク

RADIUS アカウンティングは、RADIUS 認証および許可に関係なく使用できます。RADIUS アカウンティング機能を使用すると、サービスの開始および終了時に、当該セッション中に使用したリソース(時間、パケット、バイトなど)の量を示すデータを送信できます。Internet Service Provider(ISP; インターネット サービス プロバイダー)は、RADIUS アクセス コントロールおよびアカウンティング用ソフトウェアのフリーウェア版を使用して、特殊なセキュリティおよび課金ニーズに対応しています。

認証プロファイルをサポートするネットワーク

ネットワークで RADIUS サーバを使用すると、AAA 認証を設定し、ユーザごとのプロファイルを作成できます。ユーザごとのプロファイルにより、Nexus 5000 シリーズ スイッチは、既存の RADIUS ソリューションを使用してポートを容易に管理できると同時に、共有リソースを効率的に管理してさまざまなサービス レベル アグリーメントを提供できます。

RADIUS 操作

ユーザがログインを試行し、RADIUS を使用して Nexus 5000 シリーズ スイッチに対する認証を行う際には、次のプロセスが実行されます。

1. ユーザに対してユーザ名とパスワードの入力を求められるので、入力します。

2. ユーザ名と暗号化されたパスワードがネットワーク経由で RADIUS サーバに送信されます。

3. ユーザは、RADIUS サーバから次のいずれかの応答を受信します。

ACCEPT:ユーザが認証されました。

REJECT:ユーザは認証されず、ユーザ名とパスワードの再入力を求められるか、アクセスを拒否されます。

CHALLENGE:RADIUS サーバによってチャレンジが発行されます。チャレンジは、ユーザから追加データを収集します。

CHANGE PASSWORD:RADIUS サーバからユーザに、新しいパスワードを選択するよう要求が発行されます。

ACCEPT または REJECT 応答には、EXEC またはネットワーク許可に使用される追加データが含まれています。RADIUS 許可を使用するには、まず RADIUS 認証を完了する必要があります。ACCEPT または REJECT パケットに含まれる追加データの内容は、次のとおりです。

ユーザがアクセス可能なサービス。Telnet、rlogin、local-area transport(LAT; ローカルエリア トランスポート)接続、Point-to-Point Protocol(PPP; ポイントツーポイント プロトコル)、Serial Line Internet Protocol(SLIP; シリアル ライン インターネット プロトコル)、EXEC サービスなどです。

接続パラメータ。ホストまたはクライアントの IPv4 あるいは IPv6 アドレス、アクセス リスト、およびユーザ タイムアウトです。

RADIUS サーバのモニタリング

応答を返さない RADIUS サーバがあると、AAA 要求の処理に遅延が発生することがあります。AAA 要求の処理時間を節約するため、定期的に RADIUS サーバを監視し、RADIUS サーバが応答を返す(アライブ)かどうかチェックするように、Nexus 5000 シリーズ スイッチを設定できます。Nexus 5000 シリーズ スイッチは、応答を返さない RADIUS サーバをデッド(dead)としてマークし、デッド RADIUS サーバには AAA 要求を送信しません。また、定期的にデッド RADIUS サーバを監視し、それらが応答を返したらアライブ状態に戻します。このモニタリング プロセスでは、実際の AAA 要求が送信される前に、RADIUS サーバが稼動状態であることを確認します。RADIUS サーバの状態がデッドまたはアライブに変わると、Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)トラップが生成され、スイッチによって、障害が発生したことを知らせるエラー メッセージが表示されます。図 17-1を参照してください。

図 17-1 RADIUS サーバの状態

 


) アライブ サーバとデッド サーバのモニタリング間隔は異なります。これらはユーザが設定できます。RADIUS サーバ モニタリングを実行するには、テスト認証要求を RADIUS サーバに送信します。


VSA

Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)ドラフト標準には、ネットワーク アクセス サーバと RADIUS サーバ間での Vendor-Specific Attribute(VSA; ベンダー固有属性)の通信方法が規定されています。IETF は属性 26 を使用します。VSA によって各ベンダーは、一般の用途に適さない独自の拡張属性をサポートできます。シスコの RADIUS 実装は、仕様で推奨されたフォーマットを使用するベンダー固有オプションを 1 つサポートしています。シスコのベンダー ID は 9 で、サポートするオプションはベンダー タイプ 1、名前は cisco-av-pair です。値は次の形式のストリングです。

ここで、protocol は特定の許可タイプを表すシスコの属性です。separator は、必須の属性の場合は protocol : attribute separator value *
 

等号(=)、アスタリスク (* )は省略可能な属性を表します。

Nexus 5000 シリーズ スイッチで認証に RADIUS サーバを使用する場合、RADIUS プロトコルは RADIUS サーバに対し、認証結果とともに許可情報などのユーザ属性を戻すように指示します。この許可情報は、VSA を使用して指定されます。

Nexus 5000 シリーズ スイッチでは、次の VSA プロトコル オプションがサポートされています。

Shell:ユーザ プロファイル情報を提供する access-accept パケットで使用されます。

Accounting:accounting-request パケットで使用されます。値にスペースが含まれている場合は、二重引用符で囲む必要があります。

Nexus 5000 シリーズ スイッチでは、次の属性がサポートされています。

roles:ユーザが属するすべてのロールの一覧です。値フィールドは、スペースで区切られたロール名を一覧表示したストリングです。

accountinginfo:標準の RADIUS アカウンティング プロトコルに含まれる属性を補足する追加的なアカウンティング情報を格納します。この属性は、スイッチ上の RADIUS クライアントからの Account-Request フレームの VSA 部分にだけ格納され送信されます。この属性と共に使用できるのは、アカウンティングの Protocol Data Unit(PDU; プロトコル データ ユニット)だけです。

RADIUS の前提条件

RADIUS を使用するには、次の前提条件を満たしている必要があります。

RADIUS サーバの IP アドレス(IPv4 または IPv6)またはホスト名を取得していること。

RADIUS サーバから事前共有鍵を取得していること。

Nexus 5000 シリーズ スイッチが、AAA サーバの RADIUS クライアントとして設定されていること。

注意事項と制限事項

RADIUS には次の注意事項と制限事項があります。

Nexus 5000 シリーズ スイッチ上に設定できる RADIUS サーバの数は最大 64 個です。

RADIUS サーバの設定

RADIUS サーバを設定するには、次の作業を行います。


ステップ 1 Nexus 5000 シリーズ スイッチと RADIUS サーバとの接続を確立します。

「RADIUS サーバ ホストの設定」を参照してください。

ステップ 2 RADIUS サーバの事前共有秘密鍵を設定します。

「グローバルな事前共有鍵の設定」を参照してください。

ステップ 3 必要に応じて、AAA 認証方式用に、RADIUS サーバのサブセットを使用して RADIUS サーバ グループを設定します。

「ユーザによるログイン時の RADIUS サーバ指定の許可」および「AAA の設定」を参照してください。

ステップ 4 必要に応じて、次のオプションのパラメータを設定します。

デッド タイム間隔

「次に、RADIUS サーバの定期的モニタリングを設定する例を示します。」を参照してください。

ログイン時に RADIUS サーバの指定を許可

「ユーザによるログイン時の RADIUS サーバ指定の許可」を参照してください。

送信リトライ回数とタイムアウト間隔

「グローバルな RADIUS 送信リトライ回数とタイムアウト間隔の設定」を参照してください。

アカウンティングおよび認証属性

「RADIUS サーバのアカウンティングおよび認証属性の設定」を参照してください。

ステップ 5 必要に応じて、定期的に RADIUS サーバを監視するよう設定します。

「RADIUS サーバの定期的モニタリングの設定」を参照してください。


 

次の各項で、RADIUS の設定手順について詳細に説明します。

「RADIUS サーバ ホストの設定」

「グローバルな事前共有鍵の設定」

「RADIUS サーバの事前共有鍵の設定」

「RADIUS サーバ グループの設定」

「ユーザによるログイン時の RADIUS サーバ指定の許可」

「グローバルな RADIUS 送信リトライ回数とタイムアウト間隔の設定」

「サーバに対する RADIUS 送信リトライ回数とタイムアウト間隔の設定」

「RADIUS サーバのアカウンティングおよび認証属性の設定」

「RADIUS サーバの定期的モニタリングの設定」

「デッド タイム間隔の設定」

「RADIUS サーバまたはサーバ グループの手動モニタリング」

RADIUS サーバ ホストの設定

認証に使用する各 RADIUS サーバについて、IP アドレス(IPv4 または IPv6)、あるいはホスト名を設定する必要があります。すべての RADIUS サーバ ホストは、デフォルトの RADIUS サーバ グループに追加されます。最大 64 の RADIUS サーバを設定できます。

RADIUS サーバ ホストを設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config) # radius-server host { ipv4-address | ipv6-address | host-name }

RADIUS サーバの IPv4 または IPv6 アドレス、あるいはホスト名を指定します。

ステップ 3

switch(config)# exit

コンフィギュレーション モードを終了します。

ステップ 4

switch# show radius-server

(任意)RADIUS サーバの設定を表示します。

ステップ 5

switch# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

次に、RADIUS サーバ ホストを設定する例を示します。

switch# configure terminal

switch(config)# radius-server host 10.10.1.1

switch(config)# exit

switch# show radius-server

switch# copy running-config startup-config

グローバルな事前共有鍵の設定

Nexus 5000 シリーズ スイッチで使用するすべてのサーバでは、グローバル レベルで事前共有鍵を設定できます。事前共有鍵とは、Nexus 5000 シリーズ スイッチと RADIUS サーバ ホスト間の共有秘密テキスト ストリングです。

グローバルな事前共有鍵を設定するには、リモートの RADIUS サーバの事前共有鍵値を取得した上で、次の作業を行います。

 

コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# radius-server key [ 0 | 7 ] key-value

すべての RADIUS サーバで使用する事前共有鍵を指定します。クリア テキスト形式( 0 )または暗号化形式( 7 )の事前共有鍵を指定できます。デフォルトの形式はクリア テキストです。鍵の最大長は 63 文字です。

デフォルトでは、事前共有鍵は設定されません。

ステップ 3

switch(config)# exit

コンフィギュレーション モードを終了します。

ステップ 4

switch# show radius-server

(任意)RADIUS サーバの設定を表示します。

コマンドを使用します。

ステップ 5

switch# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

次に、リモートの RADIUS サーバから事前共有鍵の値を取得する例を示します。

switch# configure terminal
switch(config)# radius-server key 0 QsEfThUkO
switch(config)# exit
switch# show radius-server
switch# copy running-config startup-config

RADIUS サーバの事前共有鍵の設定

RADIUS サーバの事前共有鍵を設定できます。事前共有鍵とは、Nexus 5000 シリーズ スイッチと RADIUS サーバ ホスト間の共有秘密テキスト ストリングです。

RADIUS サーバの事前共有鍵を設定するには、リモートの RADIUS サーバの事前共有鍵値を取得した上で、次の作業を行います。

 

コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# radius-server host { ipv4-address | ipv6-address | host-name } key [ 0 | 7 ] key-value

特定の RADIUS サーバの事前共有鍵を指定します。クリア テキスト形式( 0 )または暗号化形式( 7 )の事前共有鍵を指定できます。デフォルトの形式はクリア テキストです。鍵の最大長は 63 文字です。

グローバルな事前共有鍵は、この事前共有鍵で上書きされます。

ステップ 3

switch(config)# exit

コンフィギュレーション モードを終了します。

ステップ 4

switch# show radius-server

(任意)RADIUS サーバの設定を表示します。

コマンドを使用します。

ステップ 5

switch# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

次に、RADIUS サーバの事前共有鍵を設定する例を示します。

switch# configure terminal
switch(config)# radius-server host 10.10.1.1 key 0 PlIjUhYg
switch(config)# exit
switch# show radius-server
switch# copy running-config startup-config

RADIUS サーバ グループの設定

サーバ グループを使用して、1 台または複数台のリモート AAA サーバによるユーザ認証を指定できます。グループのメンバはすべて、RADIUS プロトコルに属している必要があります。設定した順序に従って一連のサーバが試行されます。

これらのサーバ グループはいつでも設定できますが、設定したグループを有効にするには、AAA サービスに適用する必要があります。AAA サービスについては、「リモート AAA サービス」を参照してください。

RADIUS サーバ グループを設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# aaa group server radius group-name

RADIUS サーバ グループを作成し、そのグループの RADIUS サーバ グループ コンフィギュレーション サブモードを開始します。 group-name 引数は、127 文字以内の英数字(大文字と小文字を区別)で指定します。

ステップ 3

switch(config-radius)# server { ipv4-address | ipv6-address | server-name }

RADIUS サーバを、RADIUS サーバ グループのメンバとして設定します。

コマンドを使用してサーバを設定し、このコマンドをもう一度実行します。

ステップ 4

switch(config-radius)# deadtime minutes

(任意)モニタリング デッド タイムを設定します。デフォルトは 0 分です。有効範囲は 1 ~ 1440 分です。

(注) RADIUS サーバ グループのデッド タイム間隔が 0 より大きい場合は、この値がグローバルなデッド タイム値より優先されます。RADIUS サーバの定期的なモニタリングを設定する例を参照してください。

ステップ 5

switch(config-radius)# exit

コンフィギュレーション モードを終了します。

ステップ 6

switch(config) # show radius-server group [GROUP-NAME]

(任意)RADIUS サーバ グループの設定を表示します。

ステップ 7

switch(config)# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

次に、RADIUS サーバ グループを設定する例を示します。

switch# configure terminal
switch(config)# aaa group server radius RadServer
switch(config-radius)# server 10.10.1.1
switch(config-radius)# deadtime 30
switch(config-radius)# use-vrf management
switch(config-radius)# exit
switch(config)# show radius-server group
switch(config)# copy running-config startup-config

ユーザによるログイン時の RADIUS サーバ指定の許可


) デフォルトでは、Nexus 5000 シリーズ スイッチは、デフォルトの AAA 認証方式に基づいて認証要求をフォワーディングします。ユーザが VRF と RADIUS サーバを指定して認証要求を送信できるように Nexus 5000 シリーズ スイッチを設定するには、directed-request オプションをイネーブルにします。このオプションをイネーブルにすると、ユーザは username@hostname としてログインできます。ここで、hostname は設定済みの TACACS+ サーバの名前です。ユーザ指定のログインは、Telnet セッションでだけサポートされます。


ユーザがログイン時に RADIUS サーバを指定できるようにするには、次の作業を行います。

 

コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# switch(config)# radius-server directed-request

ログイン時にユーザが RADIUS サーバを指定し、認証要求を送信できるようにします。デフォルトはディセーブルです。

ステップ 3

switch(config)# exit

コンフィギュレーション モードを終了します。

ステップ 4

switch# show radius-server directed-request

(任意)directed request の設定を表示します。

ステップ 5

switch# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

グローバルな RADIUS 送信リトライ回数とタイムアウト間隔の設定

すべての RADIUS サーバに対するグローバルな送信リトライ回数とタイムアウト間隔を設定できます。デフォルトでは、スイッチはローカル認証に戻す前に、RADIUS サーバへの送信を 1 回だけ再試行します。このリトライの回数は、サーバごとに最大 5 回まで増やせます。タイムアウト間隔は、スイッチがタイムアウト エラーを宣言する前に、RADIUS サーバからの応答を待機する時間を決定します。

グローバルな RADIUS 送信リトライ回数とタイムアウト間隔を設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# radius-server retransmit count

すべての RADIUS サーバの送信回数を指定します。デフォルトの送信回数は 1 回、有効な範囲は 0 ~ 5 回です。

ステップ 3

switch(config)# radius-server timeout seconds

RADIUS サーバの送信タイムアウト間隔を指定します。デフォルトのタイムアウト間隔は 5 秒、有効な範囲は 1 ~ 60 秒です。

ステップ 4

switch(config)# exit

コンフィギュレーション モードを終了します。

ステップ 5

switch# show radius-server

(任意)RADIUS サーバの設定を表示します。

ステップ 6

switch# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

サーバに対する RADIUS 送信リトライ回数とタイムアウト間隔の設定

デフォルトでは、Nexus 5000 シリーズ スイッチはローカル認証に戻す前に、RADIUS サーバへの送信を 1 回だけ再試行します。このリトライの回数は、サーバごとに最大 5 回まで増やせます。Nexus 5000 シリーズ スイッチが、タイムアウト エラーを宣言する前に、RADIUS サーバからの応答を待機するタイムアウト間隔も設定できます。

サーバに対する RADIUS 送信リトライ回数とタイムアウト間隔を設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

#switch(config)# radius-server host { ipv4-address | ipv6-address | host-name } retransmit count

特定のサーバに対する再送信回数を指定します。デフォルトはグローバル値です。

(注) 特定の RADIUS サーバ用の再送信回数は、ステップ 2 で指定したすべての RADIUS サーバ用の(グローバルな)再送信回数を上書きします。

ステップ 3

switch(config)# switch(config)# radius-server host { ipv4-address | ipv6-address | host-name } timeout seconds

特定のサーバの送信タイムアウト間隔を指定します。デフォルトはグローバル値です。

(注) 特定の RADIUS サーバ用のタイムアウト間隔値は、ステップ 3 で指定したすべての RADIUS サーバ用の(グローバルな)タイムアウト間隔値を上書きします。

ステップ 4

switch(config)# exit

コンフィギュレーション モードを終了します。

ステップ 5

switch# show radius-server

(任意)RADIUS サーバの設定を表示します。

ステップ 6

switch# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

次に、サーバに対する RADIUS 送信リトライ回数とタイムアウト間隔を設定する例を示します。

switch# configure terminal
switch(config)# radius-server host server1 retransmit 3
switch(config)# radius-server host server1 timeout 10
switch(config)# exit
switch# show radius-server
switch# copy running-config startup-config

RADIUS サーバのアカウンティングおよび認証属性の設定

RADIUS サーバをアカウンティング専用に使用するのか、認証専用に使用するのかを指定できます。デフォルトでは、RADIUS サーバはアカウンティングと認証の両方に使用されます。RADIUS のアカウンティングおよび認証メッセージの宛先 UDP ポート番号も指定できます。

RADIUS サーバのアカウンティング属性と認証属性を設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config) # radius-server host { ipv4-address | ipv6-address | host-name } acct-port udp-port

(任意)RADIUS アカウンティング メッセージ用の UDP ポートを指定します。デフォルトの UDP ポートは 1812 番です。指定できる範囲は 0 ~ 65535 番です。

ステップ 3

switch(config)# radius-server host { ipv4-address | ipv6-address | host-name } accounting

(任意)特定の RADIUS サーバをアカウンティング用に限って使用するよう指定します。デフォルトは、アカウンティングと認証の両方に使用されます。

ステップ 4

switch(config)# radius-server host { ipv4-address | ipv6-address | host-name } auth-port udp-port

(任意)RADIUS 認証メッセージ用の UDP ポートを指定します。デフォルトの UDP ポートは 1812 番です。指定できる範囲は 0 ~ 65535 番です。

ステップ 5

switch(config)# radius-server host { ipv4-address | ipv6-address | host-name } authentication

(任意)特定の RADIUS サーバを認証用に限って使用するよう指定します。デフォルトは、アカウンティングと認証の両方に使用されます。

ステップ 6

switch(config)# exit

コンフィギュレーション モードを終了します。

ステップ 7

switch(config)# show radius-server

(任意)RADIUS サーバの設定を表示します。

ステップ 8

switch# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

次に、RADIUS サーバのアカウンティング属性と認証属性を設定する例を示します。

switch# configure terminal
switch(config)# radius-server host 10.10.1.1 acct-port 2004
switch(config)# radius-server host 10.10.1.1 accounting
switch(config)# radius-server host 10.10.2.2 auth-port 2005
switch(config)# radius-server host 10.10.2.2 authentication
switch(config)# exit
switch(config)# show radius-server
switch# copy running-config startup-config

RADIUS サーバの定期的モニタリングの設定

RADIUS サーバの可用性をモニタリングできます。パラメータとして、サーバに使用するユーザ名とパスワード、およびアイドル タイマーがあります。アイドル タイマーには、RADIUS サーバが要求を受信しなくなってから、Nexus 5000 シリーズ スイッチがテスト パケットを送信するまでの間隔を指定します。このオプションを設定することで、サーバを定期的にテストできます。


) セキュリティ上の理由から、RADIUS データベース内の既存のユーザ名と同じテスト ユーザ名を使用しないことを推奨します。


テスト アイドル タイマーには、RADIUS サーバが要求を受信しなくなってから、Nexus 5000 シリーズ スイッチがテスト パケットを送信するまでの間隔を指定します。


) デフォルトのアイドル タイマー値は 0 分です。アイドル タイム間隔が 0 分の場合、RADIUS サーバの定期的なモニタリングは実行されません


RADIUS サーバの定期的なモニタリングを設定するには、次の作業を行います。

コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# radius-server host { ipv4-address | ipv6-address | host-name } test { idle-time minutes | password password [ idle-time minutes ] | username name [ password password [ idle-time minutes ]]}

サーバ モニタリング用のパラメータを指定します。デフォルトのユーザ名は test、デフォルトのパスワードは test です。デフォルトのアイドル タイマー値は 0 分です。有効値は 0 ~ 1440 分です。

(注) RADIUS サーバの定期的なモニタリングを行うには、アイドル タイマーに 0 より大きな値を設定する必要があります。

ステップ 3

switch(config)# radius-server deadtime minutes

Nexus 5000 シリーズ スイッチが、前回応答しなかった RADIUS サーバをチェックするまでの時間(分)を指定します。デフォルト値は 0 分です。有効値は 1 ~ 1440 分です。

ステップ 4

switch(config)# exit

コンフィギュレーション モードを終了します。

ステップ 5

switch# show radius-server

(任意)RADIUS サーバの設定を表示します。

ステップ 6

switch# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

次に、RADIUS サーバの定期的モニタリングを設定する例を示します。

switch# configure terminal
switch(config)# radius-server host 10.10.1.1 test username user1 password Ur2Gd2BH idle-time 3
switch(config)# radius-server deadtime 5
switch(config)# exit
switch# show radius-server
switch# copy running-config startup-config

デッド タイム間隔の設定

すべての RADIUS サーバのデッド タイム間隔を設定できます。デッド タイム間隔には、Nexus 5000 シリーズ スイッチが RADIUS サーバをデッドとして宣言したあと、そのサーバがアライブ状態に戻ったかどうかを判断するためにテスト パケットを送信するまでの間隔を指定します。デフォルト値は 0 分です。


) デッド タイム間隔に 0 分を設定すると、RADIUS サーバは、応答を返さない場合でも、デッドとしてマークされません。RADIUS サーバ グループのデッド タイム間隔を設定することもできます(「RADIUS サーバ グループの設定」を参照)。


デッド タイム間隔を設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

#switch(config)# radius-server deadtime

デッド タイム間隔を設定します。デフォルト値は 0 分です。有効範囲は 1 ~ 1440 分です。

ステップ 3

switch(config)# exit

コンフィギュレーション モードを終了します。

ステップ 4

switch# show radius-server

(任意)RADIUS サーバの設定を表示します。

ステップ 5

switch# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

RADIUS サーバまたはサーバ グループの手動モニタリング

RADIUS サーバまたはサーバ グループにテスト メッセージを手動で送信するには、次の作業を行います。

 

コマンド
目的

ステップ 1

switch# test aaa server radius { ipv4-address | ipv6-address | server-name } [ vrf vrf-name ] username password

RADIUS サーバにテスト メッセージを送信して可用性を確認します。

ステップ 2

switch# test aaa group group-name username password

RADIUS サーバ グループにテスト メッセージを送信して可用性を確認します。

次に、RADIUS サーバに手動でテスト メッセージを送信する例を示します。

switch# test aaa server radius 10.10.1.1 user1 Ur2Gd2BH
switch# test aaa group RadGroup user2 As3He3CI

RADIUS の設定の確認

RADIUS の設定情報を表示するには、次のいずれかの作業を行います。

 

コマンド
目的

show running-config radius [all]

実行コンフィギュレーションの RADIUS 設定を表示します。

show startup-config radius

スタートアップ コンフィギュレーションの RADIUS 設定を表示します。

show radius-server [ server-name | ipv4-address | ipv6-address ] [ directed-request | groups | sorted | statistics ]

設定済みのすべての RADIUS サーバのパラメータを表示します。

このコマンドの出力に表示される各フィールドの詳細については、『 Cisco Nexus 5000 シリーズ Command Reference 』を参照してください。

RADIUS サーバの統計情報の表示

Cisco Nexus 5000 シリーズ スイッチが RADIUS サーバのアクティビティについて保持している統計情報を表示するには、次の作業を行います。

 

コマンド
目的

switch# switch# show radius-server statistics { hostname | ipv4-address | ipv6-address }

RADIUS 統計情報を表示します。

次に、統計情報を表示する例を示します。

switch# show radius-server statistics 10.10.1.1

RADIUS の設定例

次に、RADIUS を設定する例を示します。

radius-server key 7 "ToIkLhPpG"
radius-server host 10.10.1.1 key 7 "ShMoMhTl" authentication accounting
aaa group server radius RadServer
server 10.10.1.1
use-vrf management

デフォルト設定値

表 17-1 に、RADIUS パラメータのデフォルト設定値を示します。

 

表 17-1 RADIUS のデフォルト パラメータ

パラメータ
デフォルト

サーバの役割

認証とアカウンティング

デッド タイマー間隔

0 分

再送信回数

1

再送信タイマー間隔

5 秒

アイドル タイマー間隔

0 分

サーバの定期的モニタリングのユーザ名

test

サーバの定期的モニタリングのパスワード

test