複数の RADIUS サーバ間での認証および認可について
Cisco Catalyst 9800 シリーズ ワイヤレス コントローラ は、認証と認可の両方を組み合わせた単一の RADIUS サーバと要求および応答トランザクションを行うアプローチを使用します。コントローラでの認証と認可は、複数の RADIUS サーバに分割することができます。
RADIUS サーバは、認証サーバ、認可サーバ、またはその両方の役割を担うことができます。認証と認可を異なる RADIUS サーバで行う場合は、コントローラ上の Session Aware Network(SANet)コンポーネントによって、クライアントがコントローラに参加するときに一方のサーバで認証を行い、別のサーバで認可を行うことが可能になりました。
認証は、Cisco ISE、Cisco DNAC、Free Radius、または任意のサードパーティ製 RADIUS サーバを使用して実行できます。認証サーバで認証が成功すると、コントローラは、認証サーバから受信した属性を、認可サーバとして指定された別の RADIUS サーバに中継します。
その後、認可サーバは次の処理を実行します。
-
サーバで定義されている他のポリシーやルールを使用して、受信した属性を処理する。
-
認証応答の一部として属性を導出し、コントローラに返す。
(注) |
認証と認可の分割設定では、両方のサーバを使用可能にする必要があります。また、コントローラがセッションを受け入れられるように、両方のサーバで ACCESS-ACCEPT を使用して認証と認可を正常に行う必要があります。 |