Cisco IOS - IETF Radius Attribute



 ◆ Cisco IOSがサポートしているIETF Radius Attribute(属性値ペア)一覧

属性番号 IETF Attribute 説明
1 User-Name
 Radiusサーバにより認証されるユーザ名

2 User-Password
 ユーザのパスワード、またはAccess-Challengeに続くユーザの入力

3 CHAP-Password
 CHAPのパスワード。Access-Challengeに対する応答(ユーザが入力した応答値)

4 NAS-IP Address
 認証を要求しているNetwork Access Server(NAS)のIPアドレス。

5 NAS-Port
 ユーザを認証しようとしているNASの物理ポート番号。16ビットの値で構成。

6 Service-Type


 要求されたサービスのタイプ。 特定の数値で示される。1:Login、 2:Framed
 3:Callback-Login、4:Callback-Framed、 5:Outbound、 6:Administrative、
 7:NAS-Prompt、8:Authenticate Only、 9:Callback-NAS-Prompt

7 Framed-Protocol


 フレーム構成。フレーム構成は以下の数値で指定される。
 1:PPP 2:SLIP 3:ARA 
 4:Gandalf独自プロトコル 5:Xylogics 独自のIPX/SLIP

8 Framed-IP-Address


 ユーザに指定するIPアドレス。
 Access-Request内でユーザのIPアドレスをRADIUSサーバに送信することで、
 ユーザに対して設定するIPアドレスを示す。Cisco IOSでは次のコマンドで有効
 になる。 (config)# radius-server attribute 8 include-in-access-req
 ※ 受け入れられる値は、0xFFFFFFFF ( ユーザーがアドレスを選択 ) と
 0xFFFFFFFE ( リモート アクセス サーバーがアドレスを選択 ) のみとなる。

9 Framed-IP-Netmask
 ユーザに指定するサブネットマスク。

10 Framed-Routing
 ユーザに指定するルーティング方式。

11 Filter-Id
 ユーザのフィルタリストの名前。

12 Framed-MTU
 ユーザが設定可能なMTU。

13 Framed-Compression


 リンクに使用される圧縮プロトコル。圧縮プロトコルの数値は以下。
 0:なし 1:VJ-TCP/IP ヘッダー圧縮 2:IPX ヘッダー圧縮

14 Login-IP-Host
 ユーザが接続するホスト

15 Login-Service


 ユーザをログインホストに接続するために使用すべきサービス
 0:Telnet 1:Rlogin 2:TCP-Clear 3:PortMaster 4:LAT

16 Login-TCP-Port
 ユーザを接続すべきTCPポート

18 Reply-Message
 CHAP、PAP、および MS-CHAP (v1とv2の両方) の Successパケット
 および EAP Notification メッセージに挿入されて、返される。

19 Callback-Number
 コールバックに使用するダイヤリング文字列

22 Framed-Route
 ネットワークアクセスサーバ上のユーザに対して設定するルーティング情報

24 State
 ネットワークアクセスサーバとRADIUSサーバ間で状態情報の保持を可能にする

25 Class


 RADIUSサーバで入力された場合に、このユーザに関するすべての
 アカウンティングパケットにネットワークアクセスサーバで追加される任意の値。

26 Vendor-Specific
 -

27 Session-Timeout
 セッションを終了する前に、ユーザにサービスを提供する最大秒数

28 Idle-Timeout
 セッションが終了する前にユーザに許可されるアイドル接続の最大秒数

30 Called-Station-Id
 着信電話番号。VPN 接続の場合はVPNサーバーのIPアドレス

31 Calling-Station-Id
 発信電話番号。VPN接続の場合はVPNクライアントのIPアドレス

32 NAS-Identifier
 リモートアクセスサーバーの完全修飾ドメイン名 (FQDN)
 (config)# radius-server attribute 32 include-in-access-req のコマンドを使用
 して、Access-RequestまたはAccounting-Request 内でアトリビュート32を送信。

34 Login-LAT-Service
 ユーザをLATで接続すべきシステム

35 Login-LAT-Node
 ユーザを自動的にLATで接続すべきノード

40 Acct-Status-Type
 Accounting-Requestがユーザサービスの開始または終了をマークするかを示す

41 Acct-Delay-Time
 クライアントが特定のレコードの送信を試みる秒数

42 Acct-Input-Octets
 このサービスの提供中にポートから受信されたオクテット数

43 Acct-Output-Octets
 このサービスの配信中にポートに送信されたオクテット数

44 Acct-Session-Id


 ログファイル内の開始レコードと終了レコードのマッチングを容易にする一意の
 アカウンティング識別子。このアトリビュートを access-request パケット内で送信
 するには、(config)# radius-server attribute 44 include-in-access-req を使用。

45 Acct-Authentic


 ユーザがどのように認証されたか、RADIUS、ネットワークアクセスサーバ自体、
 その他のリモート認証プロトコルのどれで認証されたか示す。このアトリビュートは
 RADIUSで認証されたユーザの場合は「radius」、TACACS+とKerberosの場合は
 「remote」に、local、enable、line if-needed 方式の場合は「local」に設定される。
 その他のすべての方式の場合は、このアトリビュートが省略される。

46 Acct-Session-Time
 ユーザがサービスを受信していた時間(秒数)

47 Acct-Input-Packets
 ユーザへの提供中にポートから受信されたパケット数

48 Acct-Output-Packets
 ユーザへの配信中にポートに送信されたパケット数

49 Acct-Terminate-Cause


 接続が終了した理由の詳細を報告。理由は以下の数値として報告される。
 1.ユーザ要求、2.搬送波の消失、3.サービスの消失、4.アイドルタイムアウト、
 5.セッションタイムアウト、6.管理リセット、9.NAS エラー、12.ポートの不要化、
 15.使用できないサービス、16.コールバック、17.ユーザエラー、18.ホスト要求

50 Acct-Multi-Session-Id

 ログファイル内の複数の関連セッションをリンクするために使用

51 Acct-Link-Count
 特定のマルチリンクセッション内で認識されていたリンク数

55 Event-Timestamp


 NAS上でイベントが発生した時刻を記録。。アカウンティングパケット内で
 RADIUSアトリビュート 55 を送信するには、以下のIOSコマンドを実行。
 → (config)# radius-server attribute 55 include-in-acct-req

60 CHAP-Challenge
 CHAP認証中にリモートアクセスサーバーから送信されるチャレンジ

61 NAS-Port-Type


 ユーザを認証するためにNASで使用されている物理ポートのタイプ。
 送信される値は、次の値のみとなる。Async (Modem) (0)、
 ISDN Sync (2)、SDN Async V.120 (3)、ISDN Async V.110 (4)、VPN (5)

62 Port-Limit
 NASからユーザに提供される最大ポート数

64 Tunnel-Type


 使用されているトンネリングプロトコル。Cisco IOS ソフトウェアは
 このアトリビュートに対してL2TPとL2F の2つの値をサポート

65 Tunnel-Medium-Type
 トンネル作成に使用される転送メディアタイプ。送信される値は IP (1) のみ。

66 Tunnel-Client-Endpoint
 トンネルの開始側端のアドレス

67 Tunnel-Server-Endpoint
 トンネルのサーバ端のアドレス

68 Acct-Tunnel-Connection-ID
 トンネルセッションに割り当てられた識別子

69 Tunnel-Password
 リモートサーバの認証に使用されるパスワード

76 Prompt
 ユーザの応答をエコーすべきかをNASに指示(0=エコーなし、1=エコーあり)

77 Connect-Info
 モデムコールに関する追加情報を提供

82 Tunnel-Assignment-ID
 セッションが割り当てられた特定のトンネルイニシエータ

83 Tunnel-Preference
 各トンネルに割り当てられた相対プリファレンス

85 Acct-Interim-Interval
 特定のセッションの一時更新間隔を秒数

90 Tunnel-Client-Auth-ID
 トンネルイニシエータ(NAS とも呼ばれる)で使用される名前

91 Tunnel-Server-Auth-ID
 トンネルターミネータ(ホームゲートウェイとも呼ばれる)で使用される名前


 RadiusはRASの認証手段として開発されましたが、その後にEAPを取り込むなどして発展を続けています。


   

Radiusパケット( 種別コード ) 説明 コード
 Access-Request  認証要求 コード 1
 Access-Accept  認証による許可 コード 2
 Access-Reject  認証による拒絶 コード 3
 Accounting-Request  課金要求 コード 4
 Accounting-Response  課金要求に対する応答 コード 5


 Radiusプロトコルでは、「属性」のペアで構成される属性値ペアというフォーマットで、色々な情報を
 やりとりします。属性値ペアは
AVペアと呼ばれたりアトリビュートとも呼ばれています。冒頭の図でも説明
 している通り、ユーザ名やパスワード情報もこの属性値ペアによって、Radiusサーバに引き渡されています。
 値は「数字」または「文字列」が渡されます。冒頭でCisco IOSがサポートしているIETF Radius Attribute
 (属性値ペア)一覧の代表的なもの紹介しました。Cisco ASAがサポートするRADIUS属性もご参考下さい。




 ◆ Cisco ASA と Active Directory との連携 by Radius認証

 SSL-VPN接続のユーザ認証時に、Windows ServerのADとCisco ASAとが連携してRadiusプロトコルを使用
 して認証できます。ASAがRadiusクライアントとして動作し、Windows ServerのNetwork Policy Serverが
 Radiusサーバとして動作します。ユーザ情報はAD内の情報を参照して認証判断します。


  

 
※ Radius認証の設定例でradius-common-pwコマンドがよく紹介されていますが、このコマンドは必須ではありません。


 単純なユーザ認証だけならKerberos認証の方が
 一般的には使用されます。Radiusの場合は認証
 以外に、アカウンティングの特性を持っている
 だけでなく、属性値ペア(アトリビュート)
 よって制御が行えることから認証+アルファの
 要件の際に一般的に活躍する認証プロトコルです。

 例えばダイナミックACLか、ユーザごとのACL名
 を使用するVPNを提供できます。RADIUSサーバ
 でダウンロード可能なACLまたはACL名がASAに
 送信されるので、所定のサービスへのアクセスが
 ACLで許可または拒否する実装が可能になります。
 ※ セッションの有効期限が切れるとASAでACLが削除される。


 アトリビュートを使用して制御する場合、ASAと連携するRADIUSサーバを設定するためのタスクフローは
 以下の通りです。@の認識が特に重要です。ASAとACSを連携させた方がよい理由が理解できるかと思います。

 @ Cisco ASAのアトリビュートをRadiusサーバにロードします。Cisco ACSをRadiusサーバに使用する場合
 この手順は必要ないです。Cisco ACSにはCisco ASAのRadius認可アトリビュートは統合されているからです。
 他ベンダーのRadiusサーバの場合、CiscoASAの各アトリビュートを手作業で定義 (設定) する必要があります。

 A Radiusサーバグループを追加
 B サーバグループの場合はグループにサーバを追加
 C 任意:AAA認証チャレンジプロセスの実行中に表示するテキストを指定



ネットワークセキュリティ

ネットワークエンジニアとして

Copyright (C) 2002-2019 ネットワークエンジニアとして All Rights Reserved.