RADIUS コマンド

この章は、次の項で構成されています。

radius-server attribute 32

デバイスから RADIUS サーバーに送信される RADIUS パケットに RADIUS 属性 32(NAS 識別子)を含めることを定義するには、radius-server attribute 32 グローバル コンフィギュレーション モード コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。

構文

radius-server attribute 32 {include-in-access-req| include-in-accounting-req} [format string]

no radius-server attribute 32 {include-in-access-req| include-in-accounting-req}

パラメータ

  • include-in-access-req:属性 32 がすべての RADIUS アクセス要求パケットに含められることを定義します。オプションで、NAS 識別子として使用する文字列を定義できます。

  • include-in-accounting-req:属性 32 がすべての RADIUS アカウンティング要求パケットに含められることを定義します。オプションで、NAS 識別子として使用する文字列を定義できます。

  • format string(オプション):NAS 識別子属性の値として使用する文字列を指定します。このパラメータが指定されていない場合、デバイスの完全修飾名が NAS 識別子属性として送信されます。(長さ:1 ~ 64 文字)

デフォルト設定

RADIUS 属性 32 は、デフォルトでは送信されません。

コマンド モード

グローバル コンフィギュレーション モード

使用上のガイドライン

デバイスから送信される RADIUS アクセス要求または RADIUS アカウンティング要求に RADIUS 属性 32 - NAS 識別子を含めるには、radius-server attribute 32 コマンドを使用します。include-in-access-req パラメータが指定されている場合、デバイスによって送信されるアクセス要求パケットに属性 32 が含められます。include-in-accounting-req パラメータが指定されている場合、デバイスによって送信されるアカウンティング要求パケットに属性 32 が含められます。属性は、これらのパケットタイプのいずれかまたは両方に対して有効にできます。属性 32 を含めることに加えて、NAS 識別子フィールドのフォーマットは文字列の形式で指定できます。フォーマットパラメータなしで属性 32 を含めることが有効になっている場合、デバイスの完全修飾名がデバイスの NAS 識別子として使用されます。

指定されたパケットから属性 32 を削除するには、コマンドの no 形式を使用します。include-in-access-req パラメータが指定されている場合、アクセス要求パケットの送信は無効になります。include-in-accounting-req パラメータが指定されている場合、アカウンティング要求パケットの送信は無効になります。デフォルトでは、デバイスの RADIUS アクセス要求または RADIUS アカウンティング要求に属性 32 は含まれません。

例 1:次の例では、属性のフォーマットを指定せずに、RADIUS アクセス要求パケットに RADIUS 属性 32 を含めることを有効にします。この場合、デバイスの完全修飾名が NAS 識別子として使用されます。

switchxxxxxx(config)# radius-server attribute 32 include-in-access-req

例 2:次の例では、RADIUS アカウンティング要求パケットに RADIUS 属性 32 を含めることを有効にし、NAS 識別子として使用する文字列を指定します。

switchxxxxxx(config)# radius-server attribute 32 include-in-access-req format 
mydevice

radius-server force-message authenicator host


(注)  


radius-server force-message-authenticator host コマンドは、ファームウェアバージョン 4.1.6.53 以降でサポートされています。


指定した RADIUS サーバーから受信されたすべてのタイプの RADIUS 応答に対して Message-Authenticator 属性検証を有効にするには、radius-server force-message-authenticator グローバル コンフィギュレーション モード コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。

構文

radius-server force-message-authenticator host {ip-address | hostname}

no radius-server force-message-authenticator host {ip-address | hostname}

パラメータ

  • ip-address:RADIUS サーバ ホストの IP アドレスを指定します。IP アドレスは、IPv4、IPv6、または IPv6z アドレスを使用できます。

  • hostname:RADIUS サーバ ホスト名を指定します。IPv4 アドレスへの変換のみがサポートされています。(長さ:1 ~ 158 文字、ホスト名の各部分の最大ラベル長は 63 文字です)

デフォルト設定

Message-Authenticator 属性検証は、EAP 認証を使用した RADIUS 交換に含まれる RADIUS 応答に対してのみ有効になります。

コマンド モード

グローバル コンフィギュレーション モード

使用上のガイドライン

指定したサーバーからのすべての RADIUS 応答に Message-Authenticator 属性(RADIUS 属性 80)を含めるには、radius-server force-message-authenticator コマンドを使用します。この設定を有効にすると、Message-Authenticator 属性を含まないすべてのタイプの RADIUS 応答が警告なしで破棄され、イベントがログに記録されます。これは、応答が EAP 認証を使用する RADIUS 交換に含まれる場合のみに適用されます。

ホストパラメータで指定された RADIUS サーバーが、以前に radius-server host コマンドを使用してデバイスで設定されていない場合、このコマンドは失敗します。

例 1:次の例では、RADIUS サーバー 1.2.3.4 から受信されたすべての RADIUS 応答に対して Message-Authentication 属性検証を有効にします。

switchxxxxxx(config)# radius-server force-message-authenticator host 1.2.3.4

例 2:次の例では、RADIUS サーバー 5.6.7.8 から受信されたすべての RADIUS 応答に対して Message-Authentication 属性検証を有効にしようとすると、RADIUS サーバー 5.6.7.8 がデバイスで設定されていないので失敗します。

switchxxxxxx(config)# radius-server force-message-authenticator host 5.6.7.8
Command failed since RADIUS server 5.6.7.8 was not configured on the device.

radius-server host

radius-server host グローバル コンフィギュレーション モード コマンドを使用すると、RADIUS サーバ ホストを設定できます。指定した RADIUS サーバ ホストを削除するには、コマンドの no 形式を使用します。

構文

radius-server host {ip-address | hostname} [auth-port auth-port-number] [acct-port acct-port-number] [timeout timeout] [retransmit retries] [deadtime deadtime] [key key-string] [priority priority] [usage {login | dot1.x | all}]

encrypted radius-server host {ip-address | hostname} [auth-port auth-port-number] [acct-port acct-port-number] [timeout timeout] [retransmit retries] [deadtime deadtime] [key encrypted-key-string] [priority priority] [usage {login | dot1.x | all}]

no radius-server host {ip-address | hostname}

パラメータ

  • ip-address:RADIUS サーバ ホストの IP アドレスを指定します。IP アドレスは、IPv4、IPv6、または IPv6z アドレスを使用できます。

  • hostname:RADIUS サーバ ホスト名を指定します。IPv4 アドレスへの変換のみがサポートされています。(長さ:1 ~ 158 文字、ホスト名の各部分の最大ラベル長は 63 文字です)

  • auth-port auth-port-number:認証要求のポート番号を指定します。ポート番号を 0 に設定すると、そのホストは認証に使用されません。(範囲:0 ~ 65535)

  • acct-port acct-port-number:アカウンティング要求のポート番号。0 に設定すると、ホストはアカウンティングに使用されません。指定しない場合、ポート番号はデフォルトの 1813 になります。

  • timeout timeout:タイムアウト値を秒単位で指定します。(範囲:1 ~ 30)

  • retransmit retries:再試行の再送信の数を指定します(範囲:1 ~ 15)

  • deadtime deadtime:RADIUS サーバがトランザクション要求によって省略される間の期間を分単位で指定します。(範囲:0 ~ 2000)

  • key key-string:デバイスと RADIUS サーバ間のすべての RADIUS 通信の認証および暗号化キーを指定します。キーは RADIUS デーモンで使用する暗号に一致している必要があります。空の文字列を指定するには、"" と入力します。(長さ:0 ~ 128 文字)。このパラメータを省略した場合は、グローバルに設定されている radius キーが使用されます。

  • key encrypted-key-string:key-string と同じですが、キーは暗号化された形式です。

  • priority priority:サーバを使用する順序を指定します。0 は最高の優先度です。(範囲:0 ~ 65535)

  • usage {login | dot1.x | all}:RADIUS サーバ使用タイプを指定します。次の値が可能です。

    login:RADIUS サーバをユーザログインパラメータ認証用として指定します。

    dot1.x:RADIUS サーバを 802.1x ポート認証用として指定します。

    all:RADIUS サーバをユーザ ログイン認証用と 802.1x ポート認証用として指定します。

デフォルト設定

デフォルトの認証ポート番号は 1812 です。

timeout が指定されていない場合は、グローバル値( コマンド)が使用されます。

retransmit が指定されていない場合は、グローバル値( コマンド)が使用されます。

key-string が指定されていない場合は、グローバル値( コマンド)が使用されます。

usage キーワードが指定されていない場合は、all 引数が適用されます。

コマンド モード

グローバル コンフィギュレーション モード

使用上のガイドライン

複数のホストを指定するには、このコマンドはホストごとに使用されます。

次の例では、IP アドレス 192.168.10.1 の RADIUS サーバ ホスト、認証要求ポート番号 20、20 秒タイムアウト期間を指定します。

switchxxxxxx(config)# radius-server host 192.168.10.1 auth-port 20 timeout 20

radius-server key

radius-server key グローバル コンフィギュレーション モード コマンドを使用すると、デバイスと RADIUS デーモン間の RADIUS 通信の認証キーを設定できます。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

構文

radius-server key [key-string]

encrypted radius-server key [encrypted-key-string]

no radius-server key

パラメータ

  • key-string:デバイスと RADIUS サーバ間のすべての RADIUS 通信に認証および暗号キーを指定します。キーは RADIUS デーモンで使用する暗号に一致している必要があります。(範囲:0 ~ 128 文字)

  • encrypted-key-string:key-string パラメータと同じですが、キーは暗号化された形式です。

デフォルト設定

key-string は空の文字列です。

コマンド モード

グローバル コンフィギュレーション モード

次の例では、デバイスと RADIUS デーモン間のすべての RADIUS 通信の認証キーを定義します。

switchxxxxxx(config)# radius-server key enterprise-server

radius-server retransmit

radius-server retransmit グローバル コンフィギュレーション モード コマンドを使用すると、ソフトウェアが RADIUS サーバ ホストのリストを検索する回数を指定できます。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

構文

radius-server retransmit retries

no radius-server retransmit

パラメータ

  • retransmit retries:再試行再送信の回数を指定します(範囲:1 ~ 15)。

デフォルト設定

ソフトウェアは RADIUS サーバ ホストのリストを 3 回検索します。

コマンド モード

グローバル コンフィギュレーション モード

次の例では、ソフトウェアがすべての RADIUS サーバ ホストを検索する回数を 5 回に設定します。

switchxxxxxx(config)# radius-server retransmit 5

radius-server host source-interface

radius-server host source-interface グローバル コンフィギュレーション モード コマンドを使用すると、IPv4 アドレスが IPv4 RADIUS サーバとの通信用の送信元 IPv4 アドレスとして使用される送信元インターフェイスを指定できます。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

構文

radius-server host source-interface interface-id

no radius-server host source-interface

パラメータ

  • interface-id:送信元インターフェイスを指定します。

デフォルト設定

送信元 IPv4 アドレスは、発信インターフェイスで定義され、ネクスト ホップ IPv4 サブネットに属する IPv4 アドレスです。

コマンド モード

グローバル コンフィギュレーション モード

使用上のガイドライン

送信元インターフェイスが発信インターフェイスの場合は、ネクスト ホップ IPv4 サブネットに属するインターフェイス IP アドレスが適用されます。

送信元インターフェイスが発信インターフェイスでない場合は、送信元インターフェイスで定義された最小 IPv4 アドレスが適用されます。

使用可能な IPv4 送信元アドレスがない場合は、IPv4 RADIUS サーバと通信しようとすると、SYSLOG メッセージが発行されます。

送信元インターフェイスとして OOB は定義できません。

次の例では、VLAN 10 を 送信元インターフェイスとして設定します。

switchxxxxxx(config)# radius-server host source-interface vlan 100

radius-server host source-interface-ipv6

radius-server host source-interface-ipv6 グローバル コンフィギュレーション モード コマンドを使用すると、IPv6 アドレスが IPv6 RADIUS サーバとの通信用の送信元 IPv6 アドレスとして使用される送信元インターフェイスを指定できます。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

構文

radius-server host source-interface-ipv6 interface-id

no radius-server host source-interface-ipv6

パラメータ

  • interface-id:送信元インターフェイスを指定します。

デフォルト設定

IPv6 送信元アドレスは、発信インターフェイスで定義された IPv6 アドレスであり、RFC6724 に従って選択されます。

コマンド モード

グローバル コンフィギュレーション モード

使用上のガイドライン

送信元インターフェイスが発信インターフェイスである場合は、送信元 IPv6 アドレスはインターフェイスで定義され、RFC 6724 に従って選択された IPv6 アドレスです。

送信元インターフェイスが発信インターフェイスでない場合は、送信元 IPv6 アドレスは送信元インターフェイス上で定義され、宛先 IPv6 アドレスの範囲と一致します。

使用可能な送信元 IPv6 アドレスがない場合は、IPv6 RADIUS サーバとの通信を試行する際に SYSLOG メッセージが発行されます。

次の例では、VLAN 10 を 送信元インターフェイスとして設定します。

switchxxxxxx(config)# radius-server host source-interface-ipv6 vlan 100

radius-server timeout

デバイスがサーバ ホストからの応答を待つ時間を設定するには、radius-server timeout グローバル コンフィギュレーション モード コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

構文

radius-server timeout timeout-seconds

no radius-server timeout

パラメータ

  • timeout timeout-seconds:タイムアウト値を秒単位で指定します。(範囲:1 ~ 30)。

デフォルト設定

デフォルトのタイムアウト値は 3 秒です。

コマンド モード

グローバル コンフィギュレーション モード

次の例では、すべての RADIUS サーバのタイムアウト間隔を 5 秒に設定します。

switchxxxxxx(config)# radius-server timeout 5

radius-server deadtime

radius-server deadtime グローバル コンフィギュレーション モード コマンドを使用すると、使用不可能な RADIUS サーバがトランザクション要求によって省略される時間を設定できます。これにより、サーバが使用不可能な場合の RADIUS の応答所要時間が改善されます。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

構文

radius-server deadtime deadtime

no radius-server deadtime

パラメータ

  • deadtime:RADIUS サーバがトランザクション要求によって省略される間の間隔を分単位で指定します。(範囲:0 ~ 2000)。

デフォルト設定

デフォルトのデッドタイム間隔は 0 です。

コマンド モード

グローバル コンフィギュレーション モード

次の例では、すべての RADIUS サーバのデッドタイムを 10 分に設定します。

switchxxxxxx(config)# radius-server deadtime 10

show radius-servers

show radius-servers 特権 EXEC モード コマンドを使用すると、RADIUS サーバ設定を表示できます。

構文

show radius-servers

コマンド モード

特権 EXEC モード

次の例では、RADIUS サーバ設定を表示します。

switchxxxxxx# show radius-servers
IP address  Port Port Time                Dead    Deadtime
            Auth Acc  Out   Retransmission time     status     Priority Usage
----------  ---- ---- ----  ------------- ------    ------    -------- -----
172.16.1.1  1812 1813  125  Global        Global     Dead        1      All
172.16.1.2  1812 1813  102  8             Global      Up         2      All
Global values
--------------
TimeOut: 3
Retransmit: 3
Deadtime: 0
Source IPv4 interface: vlan 120
Source IPv6 interface: vlan 10

show radius-servers key

show radius-servers key 特権 EXEC モード コマンドを使用すると、RADIUS サーバのキー設定を表示できます。

構文

show radius-servers key

コマンド モード

特権 EXEC モード

次に、RADIUS サーバのキー設定を表示する例を示します。

switchxxxxxx# show radius-servers key
IP address
----------
172.16.1.1
172.16.1.2
Key (Encrypted)
---------------
1238af77aaca17568f1298cced165fec
1238af77aaca17568f12988601fcabed
Global key (Encrypted)
----------------------
1238af77aaca17568f1298bc5476ddad