設定の RADIUS VSA およびレルム

RADIUS VSA に関する情報

インターネット エンジニアリング タスク フォース(IETF)のドラフト標準では、ネットワーク アクセス サーバと RADIUS サーバ間でベンダー固有の属性(VSA)を使用してベンダー固有の情報を伝達する方法が規定されています。VSA を使用すれば、ベンダーは一般的な用途に適さない独自の拡張属性をサポートできます。VSA は XML ファイル内で事前に定義されます。XML ファイルにベンダー固有の属性を追加する必要があり、この XML ファイルがコントローラにダウンロードされます。このサポートを有効にするためにコントローラ上で実施しなければならない設定はありません。ファイルには、XML タグを指定するための XML スキーマで規定されている特定の形式で RADIUS 属性が含まれています。

定義されたベンダー固有の属性を含むXML ファイルは FTP サーバからダウンロードできます。ダウンロードしたファイルはフラッシュ メモリに保存され、複数のリブート プロセスを通して保持されます。ファイルは、ダウンロードが成功したときとコントローラが起動するたびに解析されます。XML ファイルは RADIUS サーバにアップロードして認証とアカウンティングに使用できます。コントローラは、これらの値を解析すると、そのファイルをベンダー固有の属性を保存するための別のデータ構造に保存します。また、指定された使用形式に基づいて、認証パケットとアカウンティング パケットのどちらかまたはその両方でこれらの属性値を使用します。ファイルにエラーが含まれている場合は、コントローラの解析が失敗して、属性が適用されません。ファイル内のエラーを修正するか、ファイルを FTP サーバからコントローラにダウンロードし直す必要があります。

RADIUS AVP リストの XML サンプル ファイル

参照用に、RADIUS AVP リストの XML サンプル ファイルを使用できます。サンプル XML ファイルには 2 個の属性のみが含まれていて、1 つは認証用、もうひとつはアカウンティング用です。RADIUS の属性と値のペアを追加することができますが、これらの属性と値のペアは、指定された形式で追加する必要があります。

<?xml version="1.0" encoding="UTF-8"?>
<!--Sample XML file edited by User1-->

<radiusFile>
<avpList SSID_PROF="test" incAuth="true" incAcct="false">
        <radiusAttributes>
                <attributeName>Idle-Timeout</attributeName>
                <vendorId>9</vendorId>
                <attributeId>21</attributeId>
                <valueType>INTEGER</valueType>
                <attributeValue>100</attributeValue>
        </radiusAttributes>
        <radiusAttributes>
                <attributeName>remote-name</attributeName>
                <vendorId>9</vendorId>
                <attributeId>26</attributeId>
                <valueType>STRING</valueType>
                <attributeValue>TEST</attributeValue>
        </radiusAttributes>
</avpList>
<avpList SSID_PROF="test" incAcct="true">
        <radiusAttributes>
                <attributeName>Idle-Timeout</attributeName>
                <vendorId>9</vendorId>
                <attributeId>21</attributeId>
                <valueType>INTEGER</valueType>
                <attributeValue>100</attributeValue>
        </radiusAttributes>
        <radiusAttributes>
                <attributeName>remote-name</attributeName>
                <vendorId>9</vendorId>
                <attributeId>26</attributeId>
                <valueType>STRING</valueType>
                <attributeValue>TEST</attributeValue>
        </radiusAttributes>
</avpList>
</radiusFile>

RADIUS AVP リストのダウンロード(GUI)

    ステップ 1   [Commands] > [Download File] の順に選択して、[Download File to Controller] ページを開きます。
    ステップ 2   [File Type] ドロップダウン リストから、[RADIUS AVP List] を選択します。
    ステップ 3   [Transfer Mode] ドロップダウン リストで、次のオプションから選択します。
    • TFTP
    • FTP
    • SFTP
    ステップ 4   [IP Address] テキスト ボックスに、サーバの IPv4 アドレスまたは IPv6 アドレスを入力します。
    ステップ 5   [File Path] テキスト ボックスに、RADIUS AVP リストのディレクトリ パスを入力します。
    ステップ 6   [File Name] テキスト ボックスに、RADIUS AVP リストの名前を入力します。
    ステップ 7   FTP サーバを使用している場合は、次の手順に従います。
    1. [Server Login Username] テキスト ボックスに、FTP サーバにログインするためのユーザ名を入力します。
    2. [Server Login Password] テキスト ボックスに、FTP サーバにログインするためのパスワードを入力します。
    3. [Server Port Number] テキスト ボックスに、ダウンロードが発生する FTP サーバのポート番号を入力します。デフォルト値は 21 です。SFTP のデフォルト値は 22 です。
    ステップ 8   コントローラに RADIUS AVP リストをダウンロードするには、[Download] をクリックします。ダウンロードのステータスを示すメッセージが表示されます。
    ステップ 9   [Security] > [AAA] > [RADIUS] > [Downloaded AVP] を選択して、[Download RADIUS AVP List] ページを開きます。
    ステップ 10   [WLAN SSID Profile name] ドロップダウン リストから、WLAN SSID プロファイル名を選択します。
    ステップ 11   AVP リストにマッピングされた RADIUS 認証属性を表示するには、[Auth AVP] タブをクリックします。
    ステップ 12   AVP リストにマッピングされた RADIUS アカウンティング属性を表示するには、[Acct AVP] タブをクリックします。

    RADIUS AVP リストのアップロード(GUI)

      ステップ 1   [Commands] > [Upload File] の順に選択して、[Upload File from Controller] ページを開きます。
      ステップ 2   [File Type] ドロップダウン リストから、[RADIUS AVP List] を選択します。
      ステップ 3   [Transfer Mode] ドロップダウン リストで、次のオプションから選択します。
      • TFTP
      • FTP
      • SFTP
      ステップ 4   [IP Address] テキスト ボックスに、サーバの IPv4 アドレスまたは IPv6 アドレスを入力します。
      ステップ 5   [File Path] テキスト ボックスに、RADIUS AVP リストのディレクトリ パスを入力します。
      ステップ 6   [File Name] テキスト ボックスに、RADIUS AVP リストの名前を入力します。
      ステップ 7   FTP サーバを使用している場合は、次の手順に従います。
      1. [Server Login Username] テキスト ボックスに、FTP サーバにログインするためのユーザ名を入力します。
      2. [Server Login Password] テキスト ボックスに、FTP サーバにログインするためのパスワードを入力します。
      3. [Server Port Number] テキスト ボックスに、ダウンロードが発生する FTP サーバのポート番号を入力します。デフォルト値は 21 です。SFTP のデフォルト値は 22 です。
      ステップ 8   コントローラから RADIUS AVP リストをアップロードするには、[Upload] をクリックします。アップロードのステータスを示すメッセージが表示されます。

      RADIUS AVP リストのアップロードおよびダウンロード(CLI)

        ステップ 1   コントローラ CLI にログインします。
        ステップ 2   次のコマンドを入力して、FTP サーバからコントローラに XML ファイル形式の RADIUS AVP をダウンロードします。 transfer download datatyperadius-avplist
        ステップ 3   次のコマンドを使用して、コントローラから RADIUS サーバへ XML ファイルをアップロードします。

        transfer upload datatyperadius-avplist

        ステップ 4   次のコマンドを使用して、VSA AVP を表示します。

        show radius avp-listssid-profile-name

        RADIUS レルムについて

        モバイル クライアントが WLAN にアソシエートするときに、RADIUS レルムが認証要求パケット内の EAP-AKA ID 応答要求の一部として受信されます。WLAN のネットワーク アクセス識別子(NAI)形式(EAP-AKA)は、0<IMSI>@wlan.mnc<MNC>.mcc<MCC>.3gppnetwork.org として指定できます。NAI 形式のレルムは @ 記号の後ろに示され、wlan.mnc<MNC>.mcc<MCC>.3gppnetwork.org のように指定されます。ベンダー固有の属性が MCC については 311、MNC については 480 ~ 489 として追加された場合、その NAI 形式は 0311480999999999@wlan.mnc480.mcc311.3gppnetwork.org のように指定できます。

        モバイル加入者の場合、コントローラは、デバイスから受信した NAI 形式のレルムが特定の標準に従っている場合にのみ、AAA サーバに認証要求を送信します。認証とは別に、アカウンティング要求もレルム フィルタリングに基づいて AAA サーバに送信する必要があります。

        コントローラ上でレルム フィルタリングをサポートするには、RADIUS 上でレルムを設定する必要があります。ユーザが特定の SSID を使用して接続されている場合、RADIUS サーバ上で設定されたレルムに対して受信された NAI 形式を使用してユーザが認証および認可されます。

        WLAN 上のレルム サポート

        各 WLAN は NAI レルムをサポートするように設定されます。レルムが特定の SSID に対して有効になっている場合は、RADIUS サーバ上で設定されたレルムに対して EAP ID 応答で受信されたレルムを照合するためのルックアップが実施されます。

        RADIUS サーバ上のレルム サポート

        RADIUS サーバは、設定されたレルムに基づいて認証要求とアカウンティング要求をリダイレクトする必要があります。1 つの RADIUS サーバが認証とアカウンティングごとに最大 30 のレルムをサポートします。

        • 認証用のレルム照合:EAP 方式を使用した WPA2 dot1x(EAP AKA と同様)では、ユーザ名が EAP ID 応答の一部として受信されます。レルムは、ユーザ名から抽出され、RADIUS 認証サーバで設定されたレルムと照合されます。一致した場合は、認証要求が RADIUS サーバに転送されます。一致しなかった場合は、クライアントが認証解除されます。

        • アカウンティング用のレルム照合:ユーザ名が Access Accept メッセージで受信されます。アカウンティング メッセージがトリガーされると、レルムがユーザ名から抽出され、RADIUS アカウンティング サーバ上で設定されたアカウンティング レルムと比較されます。一致した場合は、アカウンティング要求が RADIUS サーバに転送されます。一致しなかった場合は、アカウンティング要求が破棄されます。たとえば、レルムがコントローラ上で cisco として設定されている場合は、RADIUS サーバ上でユーザ名が xyz@cisco として認証されます。


        (注)  

        NAI レルムが WLAN 上で有効になっていても、レルムがユーザ名に含まれていない場合は、動作がデフォルトでルックアップなしに設定され、RADIUS サーバの通常の選択が使用されます。


        (注)  

        クライアントが高速再認証識別を使用すると、コントローラで対応する要求を正しいサーバに転送するために、認証サーバからレルム名が要求されます。

        EAP-AKA をレルムと組み合わせて使用したとき、eap サーバがユーザ名部分とレルム部分の両方がある AT_NEXT_REAUTH_ID 属性で応答すると、高速再認証がサポートされます。レルムの目的は、受信コントローラが後続の高速再認証要求で正しいサーバをつかまえることです。たとえば EAP-AKA をサポートしているしているホスト apd サーバはレルム部分をサポートしません。したがって Cisco WLC は、この互換性がある eap サーバについてのみ、高速再認証をサポートしています。

        RADIUS レルムの設定の前提条件

        RADIUS 認証またはアカウンティング サーバは、レルムを追加する前に無効し、コントローラ上でレルムを追加した後に有効にする必要があります。

        RADIUS レルムの設定に関する制約事項

        • 1 つのコントローラに、最大 17 個の RADIUS 認証サーバおよびアカウンティング サーバを設定できます。

        • 1 つの RADIUS 認証サーバおよびアカウンティング サーバに対して、設定できるレルムの合計数は 30 です。

        WLAN でのレルムの設定(GUI)

          ステップ 1   [WLANs] を選択して、[WLANs] ページを開きます。
          ステップ 2   必要な WLAN の ID 番号をクリックして、[WLANs > Edit] ページを開きます。
          ステップ 3   [Advanced] タブを選択して、[WLANs > Edit]([Advanced])ページを開きます。
          ステップ 4   WLAN でレルムを有効にするには、[RADIUS NAI-Realm] チェックボックスをオンにします。
          ステップ 5   [Apply] をクリックして、変更を確定します。
          ステップ 6   [Save Configuration] をクリックして、変更を保存します。

          WLAN でのレルムの設定(CLI)

            ステップ 1   次のコマンドを入力して、WLAN でレルムを有効または無効にします。 config wlanradius_server realm{enable | disable}wlan-id
            ステップ 2   次のコマンドを入力して、 WLAN のレルムの設定を表示します。 show wlanwlan-id

            RADIUS 認証サーバでのレルムの設定(GUI)

              ステップ 1   [Security] > [AAA] > [RADIUS] > [Authentication] の順に選択して、[RADIUS Authentication Servers > Edit] ページを開きます。
              ステップ 2   [Realm List] リンクをクリックし、[Authentication Server Index] ページを開きます。
              ステップ 3   [Realm Name] テキスト ボックスにレルム名を入力します。
              ステップ 4   [Add] をクリックします。

              RADIUS 認証サーバでのレルムの設定(CLI)

                ステップ 1   次のコマンドを入力して、RADIUS 認証サーバにレルムを追加します。 config radius auth realm add radius_index realm_string
                ステップ 2   次のコマンドを入力して、 RADIUS 認証サーバからレルムを削除します。 config radius auth realm delete radius_index realm_string
                ステップ 3   このコマンドを入力して、RADIUS 認証サーバの情報を表示します。 show radius auth detailed radius_index

                RADIUS アカウンティング サーバでのレルムの設定(GUI)

                  ステップ 1   [Security] > [AAA] > [RADIUS] > [Accounting] の順に選択して、[RADIUS Accounting Servers > Edit] ページを開きます。
                  ステップ 2   [Realm List] リンクをクリックし、[Accounting Server Index] ページを開きます。
                  ステップ 3   [Realm Name] テキスト ボックスにレルム名を入力します。
                  ステップ 4   [Add] をクリックします。

                  RADIUS アカウンティング サーバでのレルムの設定(CLI)

                    ステップ 1   次のコマンドを入力して、RADIUS アカウンティング サーバにレルムを追加します。 config radius acct realm addradius_indexrealm_string
                    ステップ 2   このコマンドを使用して RADIUS アカウンティング サーバからレルムを削除します。 config radius acct realm deleteradius_indexrealm_string
                    ステップ 3   このコマンドを使用して RADIUS アカウンティング サーバの情報を表示します。 show radius acct detailed radius_index