RADIUS レルムについて
RADIUS レルム機能は、ユーザのドメインに関連付けられています。クライアントはこの機能を使用して、認証とアカウンティングの処理に使用する RADIUS サーバを選択できます。
モバイル クライアントが WLAN に関連付けられている場合、Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement(EAP-AKA)の ID 応答要求の一部として、認証要求パケット内で RADIUS レルムを受信します。WLAN のネットワーク アクセス ID(NAI)形式(EAP-AKA)は、username@domain.com として指定できます。NAI 形式のレルムは @ 記号の後ろに示され、domain.com として指定されます。ベンダー固有の属性が test として追加された場合は、NAI 形式は test@domain.com として表されます。
RADIUS レルム機能は、WLAN で有効または無効にすることができます。レルムが WLAN で有効になっている場合、対応するユーザはユーザ名を NAI 形式で送信する必要があります。コントローラ は、クライアントから受信した NAI 形式のレルムが定められた標準に従っている場合にのみ、AAA サーバに認証要求を送信します。認証とは別に、アカウンティング要求もレルム フィルタリングに基づいて AAA サーバに送信する必要があります。
WLAN 上のレルム サポート
各 WLAN は NAI レルムをサポートするように設定されます。レルムが特定の SSID に対して有効になると、RADIUS サーバ上で設定されたレルムに対して EAP ID 応答で受信したレルムを照合するためのルックアップが実行されます。クライアントがレルムとともにユーザ名を送信しない場合は、WLAN で設定されているデフォルトの RADIUS サーバが認証に使用されます。クライアントから受信したレルムが、WLAN 上で設定されているレルムと一致しない場合、クライアントは認証解除され、ドロップされます。
RADIUS レルム機能が WLAN で有効になっていない場合は、EAP ID 要求の一部として受信したユーザ名がユーザ名として直接使用され、設定されている RADIUS サーバが認証およびアカウンティングに使用されます。デフォルトでは、RADIUS レルム機能は WLAN で無効になっています。
-
認証用のレルム照合:EAP 方式を使用した dot1x(EAP AKA と同様)では、ユーザ名が EAP ID 応答の一部として受信されます。レルムはユーザ名から抽出され、対応する RADIUS 認証サーバですでに設定されているレルムと照合されます。一致した場合は、認証要求が RADIUS サーバに転送されます。一致しなかった場合は、クライアントが認証解除されます。
-
アカウンティング用のレルム照合:クライアントのユーザ名が access-accept メッセージを通じて受信されます。アカウンティング メッセージがトリガーされると、対応するクライアントのユーザ名からレルムが抽出され、RADIUS アカウンティング サーバ上で設定されたアカウンティング レルムと比較されます。一致した場合は、アカウンティング要求が RADIUS サーバに転送されます。一致しなかった場合は、アカウンティング要求が破棄されます。