|
|
|
1 |
User-Name |
RADIUS サーバで認証されるユーザの名前を示します。 |
2 |
User-Password |
ユーザのパスワードまたは Access-Challenge に続くユーザの入力を示します。16 文字未満のパスワードは、 RFC 2865 仕様で暗号化されます。 |
3 |
CHAP-Password |
Access-Challenge に対する応答で PPP Challenge-Handshake Authentication Protocol(CHAP; チャレンジ ハンドシェーク認証プロトコル)ユーザが入力した応答値を示します。 |
4 |
NAS-IP Address |
認証を要求しているネットワーク アクセス サーバの IP アドレスを示します。デフォルト値は 0.0.0.0/0 です。 |
5 |
NAS-Port |
ユーザを認証しているネットワーク アクセス サーバの物理ポート番号を示します。NAS-Port 値(32 ビット)は、1 つまたは 2 つの 16 ビット値( radius-server extended-portnames コマンドの設定に依存)で構成されます。各 16 ビットの数値は、次のように、解釈用の 5 桁の 10 進整数として表示されるはずです。 非同期端末回線、非同期ネットワーク インターフェイス、および仮想非同期インターフェイスの場合、この値は 00ttt です 。ここで、 ttt は回線番号または非同期インターフェイス装置番号です。 通常の同期ネットワーク インターフェイスの場合、この値は 10xxx です。 プライマリ レート ISDN インターフェイス上のチャネルの場合、この値は 2ppcc です。 基本レート ISDN インターフェイス上のチャネルの場合、この値は 3bb0c です。 その他のタイプのインターフェイスの場合、この値は 6nnss です。 |
6 |
Service-Type |
要求されたサービスのタイプまたは指定されたサービスのタイプを示します。 • 要求内: 既知の PPP または SLIP 接続の場合は Framed。 enable コマンドの場合は Administrative-user。 • 応答内: Login:接続を確立します。 Framed:SLIP または PPP を開始します。 Administrative User:EXEC または enable ok を開始します。 Exec User:EXEC セッションを開始します。 サービス タイプは、次のような特定の数値で示されます。 • 1:Login • 2:Framed • 3:Callback-Login • 4:Callback-Framed • 5:Outbound • 6:Administrative • 7:NAS-Prompt • 8:Authenticate Only • 9:Callback-NAS-Prompt |
7 |
Framed-Protocol |
フレーム化アクセスに使用されるフレーム構成を示します。他のフレーム構成は許可されません。 フレーム構成は次のように数値で指定されます。 • 1:PPP • 2:SLIP • 3:ARA • 4:Gandalf 独自のシングルリンク/マルチリンク プロトコル • 5:Xylogics 独自の IPX/SLIP |
8 |
Framed-IP-Address |
access-request 内でユーザの IP アドレスを RADIUS サーバに送信することによって、ユーザに対して設定する IP アドレスを示します。このコマンドを有効にするには、グローバル コンフィギュレーション モードで radius-server attribute 8 include-in-access-req コマンドを使用します。 |
9 |
Framed-IP-Netmask |
ユーザがルータまたはネットワークの場合に、ユーザに対して設定する IP ネットマスクを示します。このアトリビュート値によって、指定されたマスクを使用して Framed-IP-Address に静的ルートが追加されることになります。 |
10 |
Framed-Routing |
ユーザがルータまたはネットワークの場合に、ユーザに対するルーティング方式を示します。このアトリビュートに対しては、「なし」と「送信とリッスン」の値だけがサポートされています。 ルーティング方式は次のように数値で指定されます。 • 0:なし • 1:ルーティング パケットの送信 • 2:ルーティング パケットのリッスン • 3:ルーティング パケットの送信とリッスン |
11 |
Filter-Id |
ユーザのフィルタ リストの名前を示し、%d、%d.in、または %d.out としてフォーマットされます。このアトリビュートは、最近のサービス タイプ コマンドに関連付けられます。ログインと EXEC の場合は、0 ~ 199 の回線アクセス リスト値として %d または %d.out を使用します。フレーム化サービスの場合は、インターフェイス出力アクセス リストとして %d または %d.out を使用し、入力アクセス リストとして %d.in を使用します。この番号は、参照しているプロトコルに対する自己符号化です。 |
12 |
Framed-MTU |
Maximum Transmission Unit(MTU; 最大伝送ユニット)が PPP またはその他の手段でネゴシエートされない場合に、ユーザに対して設定可能な MTU を示します。 |
13 |
Framed-Compression |
リンクに使用される圧縮プロトコルを示します。このアトリビュートによって、EXEC 認可中に生成された PPP または SLIP autocommand に「compress」が追加されることになります。非 EXEC 認可には実装されていません。 圧縮プロトコルは次のように数値で指定されます。 • 0:なし • 1:VJ-TCP/IP ヘッダー圧縮 • 2:IPX ヘッダー圧縮 |
14 |
Login-IP-Host |
Login-Service アトリビュートが含まれている場合に、ユーザが接続するホストを示します(この動作はログイン直後に開始されます)。 |
15 |
Login-Service |
ユーザをログイン ホストに接続するために使用すべきサービスを示します。 サービスは次のように数値で指定されます。 • 0:Telnet • 1:Rlogin • 2:TCP-Clear • 3:PortMaster • 4:LAT |
16 |
Login-TCP-Port |
Login-Service アトリビュートも存在する場合に、ユーザを接続すべき TCP ポートを定義します。 |
18 |
Reply-Message |
RADIUS サーバ経由でユーザに表示される可能性のあるテキストを示します。このアトリビュートはユーザ ファイルに含めることができますが、プロファイル当たりの Replyp-Message エントリ数を 16 以下にする必要があります。 |
19 |
Callback-Number |
コールバックに使用するダイヤリング文字列を定義します。 |
20 |
Callback-ID |
呼び出される場所の名前、つまり、ネットワーク アクセス サーバによって解釈される場所の名前(1 つ以上のオクテットからなる)を定義します。 |
22 |
Framed-Route |
このネットワーク アクセス サーバ上のユーザに対して設定するルーティング情報を指定します。RADIUS RFC 形式(net/bits [router [metric]])と従来のドット区切りのマスク(net mask [router [metric]])がサポートされています。ルータ フィールドを省略するか、0 にした場合は、ピア IP アドレスが使用されます。現在、メトリックは無視されます。このアトリビュートは access-request パケットです。 |
23 |
Framed-IPX-Network |
ユーザに対して設定される IPX ネットワーク番号を定義します。 |
24 |
State |
ネットワーク アクセス サーバと RADIUS サーバ間で状態情報の保持を可能にします。このアトリビュートは CHAP チャレンジにしか適用できません。 |
25 |
Class |
(アカウンティング)RADIUS サーバで入力された場合に、このユーザに関するすべてのアカウンティング パケットにネットワーク アクセス サーバで追加される任意の値。 |
26 |
Vendor-Specific |
27 |
Session-Timeout |
セッションを終了する前に、ユーザにサービスを提供する最大秒数を設定します。このアトリビュート値は、ユーザ単位「絶対タイムアウト」になります。 |
28 |
Idle-Timeout |
セッションが終了する前にユーザに許可されるアイドル接続の最大秒数を設定します。このアトリビュート値は、ユーザ単位「セッション タイムアウト」になります。 |
29 |
Termination-Action |
終了は次のように数値で指定されます。 • 0:デフォルト • 1:RADIUS 要求 |
30 |
Called-Station-Id |
(アカウンティング)ネットワーク アクセス サーバから、ユーザが Access-Request パケットの一部として、呼び出した電話番号を送信できるようにします(Dialed Number Identification Service(DNIS; 着信番号識別サービス)または同様のテクノロジー)。このアトリビュートは、ISDN と、PRI と一緒に使用された場合の Cisco AS5200 上のモデム コールに対してのみサポートされます。 |
31 |
Calling-Station-Id |
(アカウンティング)ネットワーク アクセス サーバから、コールが Access-Request パケットの一部として発信された電話番号を送信できるようにします(自動番号識別または同様のテクノロジー)。このアトリビュートの値は、TACACS+ の「remote-addr」の値と同じです。このアトリビュートは、ISDN と、PRI と一緒に使用された場合の Cisco AS5200 上のモデム コールに対してのみサポートされます。 |
32 |
NAS-Identifier |
Access-Request を送信したネットワーク アクセス サーバを識別する文字列。 radius-server attribute 32 include-in-access-req グローバル コンフィギュレーション コマンドを使用して、Access-Request または Accounting-Request 内で RADIUS アトリビュート 32 を送信します。フォーマットが指定されなかった場合は、デフォルトで、FQDN がアトリビュート内で送信されます。 |
33 |
Proxy-State |
Access-Request の転送時にプロキシ サーバから別のサーバに送信可能なアトリビュート。このアトリビュートは、Access-Accept、Access-Reject、または Access-Challenge 内でそのまま返され、ネットワーク アクセス サーバに応答が送信される前にプロキシ サーバで削除される必要があります。 |
34 |
Login-LAT-Service |
ユーザを LAT で接続すべきシステムを示します。このアトリビュートは、EXEC モードでのみ使用できます。 |
35 |
Login-LAT-Node |
ユーザを自動的に LAT で接続すべきノードを示します。 |
36 |
Login-LAT-Group |
このユーザの認可に使用される LAT グループ コードを識別します。 |
37 |
Framed-AppleTalk-Link |
AppleTalk ルータであるユーザへのシリアル リンクに使用すべき別の AppleTalk のネットワーク番号を示します。 |
38 |
Framed-AppleTalk- Network |
ユーザに AppleTalk ノードを割り当てるためにネットワーク アクセス サーバで使用される AppleTalk ネットワーク番号を示します。 |
39 |
Framed-AppleTalk-Zone |
このユーザに使用すべき AppleTalk デフォルト ゾーンを示します。 |
40 |
Acct-Status-Type |
(アカウンティング)この Accounting-Request がユーザ サービスの始まり(開始)または終わり(終了)をマークするかどうかを示します。 |
41 |
Acct-Delay-Time |
(アカウンティング)クライアントが特定のレコードの送信を試みる秒数を示します。 |
42 |
Acct-Input-Octets |
(アカウンティング)このサービスの提供中にポートから受信されたオクテット数を示します。 |
43 |
Acct-Output-Octets |
(アカウンティング)このサービスの配信中にポートに送信されたオクテット数を示します。 |
44 |
Acct-Session-Id |
(アカウンティング)ログ ファイル内の開始レコードと終了レコードのマッチングを容易にする一意のアカウンティング識別子。Acct-Session ID 番号は、ルータの電源が再投入されるか、ソフトウェアがリロードされるたびに、1 にリセットされます。このアトリビュートを access-request パケット内で送信するには、グローバル コンフィギュレーション モードで radius-server attribute 44 include-in-access-req コマンドを使用します。 |
45 |
Acct-Authentic |
(アカウンティング)ユーザがどのように認証されたか、RADIUS、ネットワーク アクセス サーバ自体、およびその他のリモート認証プロトコルのどれで認証されたかを示します。このアトリビュートは、RADIUS で認証されたユーザの場合は「radius」に、TACACS+ と Kerberos の場合は「remote」に、local、enable、line、および if-needed 方式の場合は「local」に設定されます。その他のすべての方式の場合は、このアトリビュートが省略されます。 |
46 |
Acct-Session-Time |
(アカウンティング)ユーザがサービスを受信していた時間(秒数)を示します。 |
47 |
Acct-Input-Packets |
(アカウンティング)このサービスのフレーム化ユーザへの提供中にポートから受信されたパケット数を示します。 |
48 |
Acct-Output-Packets |
(アカウンティング)このサービスのフレーム化ユーザへの配信中にポートに送信されたパケット数を示します。 |
49 |
Acct-Terminate-Cause |
(アカウンティング)接続が終了した理由の詳細を報告します。終了の理由は次のように数値で指定されます。 1. ユーザ要求 2. 搬送波の消失 3. サービスの消失 4. アイドル タイムアウト 5. セッション タイムアウト 6. 管理リセット 7. 管理リブート 8. ポート エラー 9. NAS エラー 10. NAS 要求 11. NAS リブート 12. ポートの不要化 13. ポートの横取り 14. ポートの保留 15. 使用できないサービス 16. コールバック 17. ユーザ エラー 18. ホスト要求 (注) アトリビュート 49 に関して、Cisco IOS は 1 ~ 6、9、12、および 15 ~ 18 の値をサポートしています。 |
50 |
Acct-Multi-Session-Id |
(アカウンティング)ログ ファイル内の複数の関連セッションをリンクするために使用される一意のアカウンティング識別子。 マルチリンク セッション内でリンクされたセッションごとに、一意の Acct-Session-Id 値が割り当てられますが、Acct-Multi-Session-Id は共有されます。 |
51 |
Acct-Link-Count |
(アカウンティング)アカウンティング レコードが生成された時点で特定のマルチリンク セッション内で認識されていたリンク数を示します。ネットワーク アクセス サーバは、複数のリンクが含まれる任意のアカウンティング要求内にこのアトリビュートを追加できます。 |
52 |
Acct-Input-Gigawords |
サービスの提供中に Acct-Input-Octets カウンタが一周(2 の 32 乗)した回数を示します。 |
53 |
Acct-Output-Gigawords |
サービスの配信中に Acct-Output-Octets カウンタが一周(2 の 32 乗)した回数を示します。 |
55 |
Event-Timestamp |
NAS 上でイベントが発生した時刻を記録します。アトリビュート 55 内で送信されるタイムスタンプは、1970 年 1 月 1 日 00:00 UTC 以降の秒数です。アカウンティング パケット内で RADIUS アトリビュート 55 を送信するには、 radius-server attribute 55 include-in-acct-req コマンドを使用します。 』を参照してください。 |
60 |
CHAP-Challenge |
ネットワーク アクセス サーバから PPP CHAP ユーザに送信されたチャレンジ ハンドシェーク認証プロトコル チャレンジが保存されます。 |
61 |
NAS-Port-Type |
ユーザを認証するためにネットワーク アクセス サーバで使用されている物理ポートのタイプを示します。物理ポートは、次のように数値で示されます。 • 0:非同期 • 1:同期 • 2:ISDN 同期 • 3:ISDN 非同期(V.120) • 4:ISDN 非同期(V.110) • 5:仮想 |
62 |
Port-Limit |
NAS からユーザに提供される最大ポート数を設定します。 |
63 |
Login-LAT-Port |
ユーザを LAT で接続すべきポートを定義します。 |
64 |
Tunnel-Type |
使用されているトンネリング プロトコルを示します。Cisco IOS ソフトウェアは、このアトリビュートに対して L2TP と L2F の 2 つの値をサポートしています。このアトリビュートが設定されていない場合は、L2F がデフォルトとして使用されます。 |
65 |
Tunnel-Medium-Type1 |
トンネルの作成に使用される転送メディア タイプを示します。このアトリビュートには、このリリースで使用可能な値(IP)が 1 つしかありません。このアトリビュートに値を設定しなかった場合は、デフォルトとして IP が使用されます。 |
66 |
Tunnel-Client-Endpoint |
トンネルの開始側端のアドレスが含まれています。Access-Request と Access-Accept の両方のパケットに含めて、新しいトンネルを開始するアドレスを示すことも できます 。Tunnel-Client-Endpoint アトリビュートが Access-Request パケットに含まれている場合は、RADIUS サーバがヒントとしてこの値を取得する必要があります。ただし、サーバがこのヒントに従う義務はありません。このアトリビュートは、Accounting-Request パケットに含める 必要があります 。このパケットには、トンネルが開始されたアドレスを示す場合に Start と Stop のどちらかの値を伴う Acct-Status-Type アトリビュートが含まれています。このアトリビュートは、Tunnel-Server-Endpoint アトリビュートや Acct-Tunnel-Connection-ID アトリビュートと一緒に使用して、アカウンティングと監査の目的でトンネルを特定する、グローバルで一意の手段を提供できます。 次のように、このアトリビュートの 127.0.0.X の値を受け入れるためにネットワーク アクセス サーバの機能が拡張されています。 127.0.0.0 は、loopback0 IP アドレスを使用することを示します。 127.0.0.1 は、loopback1 IP アドレスを使用することを示します。 ... 127.0.0.X は、loopbackX IP アドレスを使用することを示します。 実際のトンネル クライアント エンドポイント IP アドレスとして使用されることを示す。この機能拡張によって、複数のネットワーク アクセス サーバ全体のスケーラビリティが向上します。 |
67 |
Tunnel-Server-Endpoint1 |
トンネルのサーバ端のアドレスを示します。このアトリビュートのフォーマットは、Tunnel-Medium-Type の値によって異なります。このリリースはトンネル メディア タイプとして IP しかサポートしていないため、このアトリビュートに使用できるのは LNS の IP アドレスまたはホスト名だけです。 |
68 |
Acct-Tunnel-Connection-ID |
トンネル セッションに割り当てられた識別子を示します。このアトリビュートは、Start、Stop、または上記のいずれかを値として持つ Acct-Status-Type アトリビュート と一緒に Accounting-Request パケットに含める必要があります。このアトリビュートは、Tunnel-Client-Endpoint アトリビュートや Tunnel-Server-Endpoint アトリビュートと一緒に使用して、監査の目的でトンネル セッションを一意に特定する手段を提供できます。 |
69 |
Tunnel-Password1 |
リモート サーバの認証に使用されるパスワードを定義します。このアトリビュートは、Tunnel-Type の値(AAA_ATTR_l2tp_tunnel_pw (L2TP)、AAA_ATTR_nas_password (L2F)、および AAA_ATTR_gw_password (L2F))に基づいて、さまざまな AAA アトリビュートに変換されます。 デフォルトで、受信されたすべてのパスワードが暗号化されます。そのため、NAS が暗号化されていないパスワードを復号化しようとすると、認可エラーが発生する可能性があります。アトリビュート 69 で暗号化されていないパスワードの受信を可能にするには、 radius-server attribute 69 clear グローバル コンフィギュレーション コマンドを使用します。 |
70 |
ARAP-Password |
ARAP の Framed-Protocol を含む Access-Request パケットを示します。 |
71 |
ARAP-Features |
NAS から ARAP「feature flags」パケット内のユーザに送信すべきパスワード情報が含まれています。 |
72 |
ARAP-Zone-Access |
ユーザの ARAP ゾーン リストの使用方法を示します。 |
73 |
ARAP-Security |
Access-Challenge パケット内で使用すべき ARAP セキュリティ モジュールを示します。 |
74 |
ARAP-Security-Data |
実際のセキュリティ モジュールのチャレンジまたは応答が含まれています。Access-Challenge パケットと Access-Request パケットの両方に使用できます。 |
75 |
Password-Retry |
ユーザが切断されるまでに認証を試みることができる回数を示します。 |
76 |
Prompt |
ユーザの応答をエコーすべきか否かを NAS に指示します(0=エコーなし、1=エコーあり)。 |
77 |
Connect-Info |
モデム コールに関する追加情報を提供します。このアトリビュートは start と stop のアカウンティング レコード内で生成されます。 |
78 |
Configuration-Token |
使用すべきユーザ プロファイルのタイプを示します。このアトリビュートは、プロキシに基づく大規模な分散認証ネットワークで使用する必要があります。Access-Accept 内で RADIUS プロキシ サーバから RADIUS プロキシ クライアントに送信されます。NAS には送信しないでください。 |
79 |
EAP-Message |
Extended Access Protocol(EAP)プロトコルを理解していなくても、NAS で EAP 経由のダイヤルイン ユーザを認証できるように EAP パケットをカプセル化します。 |
80 |
Message-Authenticator |
CHAP、ARAP、または EAP 認証方式を使用して Access-Requests のスプーフィングを阻止します。 |
81 |
Tunnel-Private-Group-ID |
特定のトンネル化されたセッションのグループ ID を示します。 |
82 |
Tunnel-Assignment-ID1 |
セッションが割り当てられた特定のトンネル イニシエータを示します。 |
83 |
Tunnel-Preference |
各トンネルに割り当てられた相対プリファレンスを示します。このアトリビュートは、RADIUS サーバからトンネル イニシエータに複数のトンネリング アトリビュートのセットが返される場合に含める必要があります。 |
84 |
ARAP-Challenge-Response |
ダイヤルイン クライアントのチャレンジに対する応答が含まれています。 |
85 |
Acct-Interim-Interval |
この特定のセッションの一時更新間隔を秒数で示します。この値は、Access-Accept メッセージにのみ含めることができます。 |
86 |
Acct-Tunnel-Packets-Lost |
特定のリンク上で失われたパケット数を示します。このアトリビュートは、Tunnel-Link-Stop の値を持つ Acct-Status-Type アトリビュートと一緒に Accounting-Request パケットに含める必要があります。 |
87 |
NAS-Port-ID |
ユーザを認証している NAS のポートを識別するテキスト文字列が含まれています。 |
88 |
Framed-Pool |
ユーザにアドレスを割り当てるために使用すべき、割り当て済みのアドレス プールの名前が含まれています。NAS が複数のアドレス プールをサポートしていない場合は、このアトリビュートを無視する必要があります。 |
90 |
Tunnel-Client-Auth-ID |
トンネル セットアップをトンネル ターミネータで認証するときに、トンネル イニシエータ(NAS とも呼ばれる)で使用される名前を示します。L2F プロトコルと L2TP プロトコルをサポートします。 |
91 |
Tunnel-Server-Auth-ID |
トンネル セットアップをトンネル イニシエータで認証するときに、トンネル ターミネータ(ホーム ゲートウェイとも呼ばれる)で使用される名前を示します。L2F プロトコルと L2TP プロトコルをサポートします。 |
200 |
IETF-Token-Immediate |
ファイル エントリがハンドヘルド セキュリティ カード サーバを示しているログイン ユーザから受け取ったパスワードを RADIUS でどのように処理するかを決定します。 このアトリビュートの値は次のように数値で指定されます。 • 0:いいえ、パスワードが無視されることを意味します。 • 1:はい、パスワードが認証に使用されることを意味します。 |