RADIUSサーバーによるユーザー認証 : コマンド設定

管理番号:YMHSW-23382

本設定例の対応機種は、SWX3220シリーズSWX3200シリーズ(Rev.4.00.16以降)、SWX3100シリーズ(Rev.4.01.21以降)、SWX2322PシリーズSWX2320シリーズSWX2310Pシリーズ(Rev.2.02.15以降)、SWX2310シリーズ(Rev.2.04.02以降)です。

図 RADIUSサーバーによるユーザー認証 : コマンド設定

RADIUSサーバー機能を利用して、ユーザーまたは機器を認証するための設定例です。
ヤマハスイッチでは、IEEE 802.1X認証、MAC認証、Web認証を利用できます。

1台のRADIUSサーバーで、複数のRADIUSクライアントから認証の要求を受け付けることができます。認証を一元管理することで、管理者の負担を軽減できます。

技術情報: RADIUS Server(SWX3220SWX3200SWX3100SWX2322P / SWX2320SWX2310PSWX2310

本設定例では、以下の構成で説明します。

  • ユーザー1:IEEE 802.1X認証を利用します。
          クライアント証明書のインポートが必要です。「クライアント証明書のインポート」をご覧ください。
  • ユーザー2:Web認証を利用します。
          ユーザー名、パスワードの入力が必要です。「Webブラウザーを利用したWeb認証」をご覧ください。
  • ユーザー3:MAC認証を利用します。
          ユーザー名、パスワードに、認証する機器のMACアドレスを設定してください。

本設定例は、Windows 10、Google Chrome で表示した画面を使用しています。

対応機種のうち、設定例を掲載している機種は、以下のとおりです。

機種 掲載内容 備考
RADIUSサーバー SWX3220 SWX3200 SWX3100 SWX2322P SWX2320 SWX2310P SWX2310 コマンド設定例  
RADIUSクライアント SWX3220 SWX3200 SWX3100 SWX2322P SWX2320 SWX2310P SWX2310 コマンド設定例  

スイッチの設定例

※ネットワーク機器を安全にお使いいただくために、管理パスワードの変更を奨励します。

RADIUSサーバー

下記の設定(Config)を取り出すことができます。
※RADIUSサーバーに関しては、一部の設定だけ確認できます。

RADIUSサーバーの設定   interface vlan1
    ip address 192.168.100.240/24
    exit
  crypto pki generate ca
  y
  ! # 注釈1
  radius-server local-profile
    nas 192.168.100.241 key (RADIUSシークレット)
    user user01 password01
    ! # 注釈2
    user user02 password02 auth peap
    ! # 注釈3
    user (MACアドレス3) (MACアドレス3) auth peap
    ! # 注釈4
    exit
  radius-server local interface vlan1
  radius-server local enable
  exit
certificate user user01
! # 注釈2
radius-server local refresh

[注釈の説明]

注釈1:
ルート認証局の作成を確認するためのコマンドです。

注釈2:
ユーザー1がIEEE 802.1X認証を利用するためのコマンドです。
クライアント証明書のインポート方法は、「クライアント証明書のインポート」をご覧ください。

注釈3:
ユーザー2がWeb認証を利用するためのコマンドです。
Webブラウザーを利用したWeb認証の方法は、「Webブラウザーを利用したWeb認証」をご覧ください。

注釈4:
ユーザー3がMAC認証を利用するためのコマンドです。

RADIUSクライアント

下記の設定(Config)を取り出すことができます。

RADIUSクライアントの設定 aaa authentication dot1x
aaa authentication auth-web
aaa authentication auth-mac

interface port1.2
  dot1x port-control auto
  auth host-mode multi-supplicant
  exit
interface port1.3
  auth host-mode multi-supplicant
  auth-web enable
  exit
interface port1.4
  auth-mac enable
  auth host-mode multi-supplicant
  exit
interface vlan1
  ip address 192.168.100.241/24
  exit

radius-server host 192.168.100.240 key (RADIUSシークレット)

設定の確認

・(RADIUSサーバー)「show radius-server local nas」コマンドで設定を確認します。

[コンソール]
SWX3220#show radius-server local nas
host                                         key
-------------------------------------------- ------
192.168.100.241                              (RADIUSシークレット)
SWX3220#
[解説]
RADIUSクライアントの設定を確認します。
RADIUSクライアントに、「192.168.100.241」が指定されています。
コマンドの詳細は、RADIUSクライアント(NAS)の表示をご覧ください。

・(RADIUSサーバー)「show radius-server local user」コマンドで設定を確認します。

[コンソール]
SWX3220#show radius-server local user
Total    3

userid                           name                             vlan mode
-------------------------------- -------------------------------- ---- ---------
user01                                                                 eap-tls
user02                                                                 peap
(MACアドレス3)                                                         peap
SWX3220#
[解説]
認証ユーザー情報を確認します。
ユーザー名「user01」、「user02」、「(MACアドレス3)」が登録されています。
認証ユーザー情報の詳細を確認したい場合、「show radius-server local user detail (userid)」でご確認ください。
コマンドの詳細は、認証ユーザー情報の表示をご覧ください。

・(RADIUSサーバー)「show radius-server local certificate list」コマンドで設定を確認します。

[コンソール]
SWX3220#show radius-server local certificate list
userid                           certificate id                                    enddate
-------------------------------- ------------------------------------------------- ----------
user01                           user01-0123456789ABCDEF                           2037/12/31
[解説]
発行済みクライアント証明書のリストを確認します。
user01の発行済みクライアント証明書が表示されます。
コマンドの詳細は、クライアント証明書のリスト表示をご覧ください。

・(RADIUSクライアント)「show auth supplicant」コマンドで設定を確認します。

[コンソール]
SWX3220#show auth supplicant
 Port     MAC address    User name         Status          VLAN Method
 -------- -------------- ----------------- --------------- ---- ------
 port1.2  (MACアドレス1) user01            Authorized         1 802.1X
 port1.3  (MACアドレス2) user02            Authorized         1 WEB
 port1.4  (MACアドレス3) (MACアドレス3)    Authorized         1 MAC
 
SWX3220#
[解説]
LANポートのサプリカント情報を表示します。
認証に失敗すると、Statusが"Unauthorized"と表示されます。
コマンドの詳細は、サプリカント情報の表示をご覧ください。

クライアント証明書のインポート

RADIUSサーバー(スイッチ)で発行した「クライアント証明書」をPCにインポートします。
ここでは、microSDカードを使用して、証明書ファイルをコピーする方法を説明します。

この方法の他に、メールを使用してサーバーからPCにファイルを送信することもできます。
そちらの方法については、以下をご覧ください。
技術資料:「RADIUS Server」-「3 機能詳細」-「3-9 証明書のメール送信」

1. RADIUSサーバーにmicroSDカードを挿入します。

2. クライアント証明書をmicroSDカードにコピーします。

[コンソール]
SWX3220#certificate export sd user user01
SWX3220#
[解説]
microSDカードに発行済みクライアント証明書をコピーします。
複数のクライアント証明書をまとめてコピーする場合は、「certificate export sd user all」コマンドをご利用ください。
コマンドの詳細は、RADIUSクライアント(NAS)の表示をご覧ください。

3. PCにmicroSDカードを挿入し、証明書ファイルをコピーします。

4. クライアント証明書をダブルクリックします。

図 RADIUSサーバーによるユーザー認証 : コマンド設定

5.「次へ」をクリックします。

図 RADIUSサーバーによるユーザー認証 : コマンド設定

6.「次へ」をクリックします。

図 RADIUSサーバーによるユーザー認証 : コマンド設定

7.「RADIUSサーバー」で設定したユーザー1のパスワード(本設定例では、password01)を入力し、「次へ」をクリックします。

図 RADIUSサーバーによるユーザー認証 : コマンド設定

8.「次へ」をクリックします。

図 RADIUSサーバーによるユーザー認証 : コマンド設定

9.「完了」をクリックします。

図 RADIUSサーバーによるユーザー認証 : コマンド設定

10.「はい」をクリックします。

図 RADIUSサーバーによるユーザー認証 : コマンド設定

11.「OK」をクリックします。以上で、クライアント証明書のインポートは完了です。

図 RADIUSサーバーによるユーザー認証 : コマンド設定

Webブラウザーを利用したWeb認証

Webブラウザーを利用した、Web認証の手順を説明します。

1. Webブラウザーを起動し、ログイン画面が表示されるのを待ちます。
※ログイン画面が自動で表示されない場合、アドレスバーに「http://192.168.100.241/wba_gateway.html」と半角英字で入力し、Enterキーを押してください。

図 RADIUSサーバーによるユーザー認証 : コマンド設定

2. 必要な設定を入力し、「ログイン」をクリックします。

ユーザー名 RADIUSサーバー」で設定したユーザー2のユーザー名
(本設定例では、user02)
パスワード RADIUSサーバー」で設定したユーザー2のパスワード
(本設定例では、password02)
図 RADIUSサーバーによるユーザー認証 : コマンド設定

3. 画面が自動で遷移するのを待ちます。

図 RADIUSサーバーによるユーザー認証 : コマンド設定

4. ログインが完了しました。以上で、Web認証は完了です。

図 RADIUSサーバーによるユーザー認証 : コマンド設定

【ご注意】
本設定例は、設定の参考例を示したもので、動作を保証するものではございません。
ご利用いただく際には、十分に評価・検証を実施してください。

メール

ご相談・お問い合わせ