Cisco 200/300シリーズマネージドスイッチおよびWindows Server 2008を使用したRADIUS設定

目的

Remote Authorization Dial-in User Service(RADIUS)は、ネットワークサービスへのアクセスを許可するユーザの堅牢な認証方法を提供します。したがって、RADIUSサーバは中央集中型のアクセス制御を提供します。サーバ管理者は、特定のセグメントがRADIUSを使用して認証されているかどうかを判断します。この記事では、クライアント/サーバ環境でRADIUSを確立するための一般的な手順について説明します。クライアントはCisco 200/300シリーズマネージドスイッチで表され、サーバはRADIUSが有効なWindows Server 2008を実行しています。

適用可能なデバイス

• Cisco 200/300シリーズマネージドスイッチ

手順

設定は2つの部分で行われます。まずスイッチをRADIUSクライアントとして設定し、次にサーバをRADIUS用に適切に設定する必要があります。

スイッチでのRADIUSの設定

ステップ 1：SG200/300シリーズ設定ユーティリティで、Security > RADIUSの順に選択します。RADIUSページが開きます。

ステップ 2：デフォルトのRADIUS設定を入力します。

• IP Version：サポートされているIPバージョンを表示します。
• Retries：このフィールドには、障害が発生する前にRADIUSサーバに送信される要求の送信回数を入力します。
• Timeout for Reply：スイッチがクエリを再試行する前にRADIUSサーバからの応答を待機する時間（秒）を入力します。
• Dead Time：このフィールドには、スイッチがRADIUSサーバをバイパスするまでに待機する時間（分）を入力します。
• Key String：このフィールドには、スイッチとRADIUSサーバ間の認証および暗号化に使用されるデフォルトの文字列を入力します。キーは、RADIUSサーバで設定されたものと一致する必要があります。

ステップ 3：Applyをクリックして、スイッチの実行コンフィギュレーションをRADIUS設定で更新します。

 

ステップ 4：RADIUSサーバをスイッチに追加する必要があります。[Add] をクリックします。Add RADIUS Serverページが新しいウィンドウで開きます。

ステップ 5：サーバのフィールドに値を入力します。デフォルト値を使用する場合は、目的のフィールドでUse Defaultを選択します。

• Server Definition：このフィールドでは、IPアドレスまたはサーバ名によってサーバへの接続方法を指定します。
• IP Version：サーバをIPアドレスで識別する場合は、IPv4またはIPv6アドレスを選択します。
• IPv6アドレスタイプ：このフィールドには、IPv6アドレスのグローバルなタイプが表示されます。
• Server IP Address/Name：このフィールドには、RADIUSサーバのIPアドレスまたはドメイン名を入力します。
• Priority：このフィールドには、サーバのプライオリティを入力します。複数のサーバが設定されている場合、スイッチはこのプライオリティ値に従って各サーバへの接続を試みます。
• Key String：このフィールドには、スイッチとRADIUSサーバ間の認証および暗号化に使用されるデフォルトの文字列を入力します。キーはRADIUSサーバで設定されたものと一致する必要があります。
• Timeout for Reply：スイッチがクエリを再試行する前にRADIUSサーバからの応答を待機する時間（秒）を入力します。
• Authentication Port：このフィールドには、認証要求に対してRADIUSサーバに設定されているUDPポート番号を入力します。
• Retries：このフィールドには、障害が発生する前にRADIUSサーバに送信される要求の送信回数を入力します。
• Dead Time：このフィールドには、スイッチがRADIUSサーバをバイパスするまでに待機する時間（分）を入力します。
• Usage Type：このフィールドには、RADIUSサーバの認証タイプを入力します。次の3つのオプションがあります。

– ログイン：RADIUSサーバは、スイッチの管理を必要とするユーザを認証します。

- 802.1X:RADIUSサーバは802.1X認証に使用されます。

- All:RADIUSサーバはログインおよび802.1X認証に使用されます。

手順 6：Applyをクリックして、サーバ定義をスイッチの実行コンフィギュレーションに追加します。

RADIUS用のWindows Server 2008の設定

ステップ 1：Windows Server 2008マシンで、Start > Administrative tools > Network Policy Serverの順に選択します。Network Policy Serverウィンドウが開きます。

ステップ 2：ネットワークの特定のセグメントに対してRADIUSサーバを有効にするには、新しいネットワークポリシーを作成する必要があります。新しいネットワークポリシーを作成するには、Policies > Network Policyの順に選択し、右クリックしてNewを選択します。New Network Policyウィンドウが開きます。

ステップ 3：Policy Nameフィールドに、新しいポリシーの名前を入力します。[Next] をクリックします。

ステップ 4：このポリシーの条件を指定する必要があります。必要な条件は2つあります。RADIUSサーバを実装するユーザのセグメントと、このセグメントへの接続に使用する方法です。Addをクリックして、これらの条件を追加します。

ステップ 5：Groupsの下には、Windows Groups、Machine Groups、User Groupsの3つのオプションがあります。ネットワークの設定に従ってグループを選択し、Addをクリックします。選択したグループに応じて新しいウィンドウが開き、「グループを追加」をクリックします。

手順 6：オブジェクトタイプと場所を選択し、オブジェクトの名前を入力します。Okをクリックし、次にOkをクリックします。Addをクリックして、次の条件を追加します。

手順 7：RADIUS Clientで、サーバをRADIUSクライアントに接続する方法としてIPv4 Addressを選択します。この場合はスイッチのIPアドレスです。[Add] をクリックします。

ステップ 8：対応するIPアドレスを入力し、OKをクリックします。追加した条件のリストが表示されたら、Nextをクリックします。

ステップ 9：Specify Access Permissionページで、Access Grantedを選択します。[Next] をクリックします。

ステップ 10：認証ページで、ネットワークに最適な認証方法を設定します。[Next] をクリックします。

ステップ 11Configure Constraintsウィンドウで、デフォルト値を使用します。[Next] をクリックします。

ステップ 12Configure SettingsページのRADIUS Attributesで、Vendor Specificをクリックし、次にAddをクリックする。

注：このページの残りの設定は、デフォルト値に設定されています。ベンダー固有の設定だけを行う必要があります。

Vendorの下で、Ciscoを選択します。[Add] をクリックします。Attribute Informationウィンドウが開きます。

Attribute Informationウィンドウで、Addをクリックし、shell:priv-lvl:15という値を入力します。[OK] をクリックします。

注：これは、RADIUSサーバがWebベースのスイッチ設定ユーティリティへのアクセスを許可するためにシスコが割り当てた値です。

OkをクリックしてAttribute Informationウィンドウを閉じ、CloseをクリックしてAdd Vendor Specific Attributeウィンドウを閉じます。[Next] をクリックします。

ステップ 13このポリシーの設定の概要が表示されたら、Finishをクリックします。ネットワークポリシーが作成されます。

更新履歴

改定	発行日	コメント
1.0	11-Dec-2018	初版