RADIUSサーバー

1. 機能概要

RADIUSサーバー機能とは、ユーザー情報や証明書を管理し、クライアントから通知される情報を基にして認証を行う機能です。
本機のMAC認証・802.1X認証・Web認証と組み合わせることで、本機単体で認証機能を実現することができます。
また、本機以外の機器での認証時に本機を認証サーバーとして動作させることができます。

image

RADIUSサーバー機能の基本性能および対応する認証方式は以下のとおりです。

  • 基本性能

    項目 性能

    登録可能RADIUSクライアント数

    100件

    登録可能ユーザー数

    2000件

    鍵強度

    2048ビット

    署名アルゴリズム

    SHA256

    認証局名(デフォルト値)

    swx-radius

  • 対応する認証方式

    認証方式 用途

    PAP

    MAC認証

    EAP-MD5

    IEEE802.1X認証、MAC認証、WEB認証

    EAP-TLS

    IEEE802.1X認証

    EAP-TTLS

    IEEE802.1X認証

    PEAP

    IEEE802.1X認証

2. 用語の定義

PKI (Public Key Infrastructure)

公開鍵基盤。公開鍵暗号を使用した、デジタル証明書、認証局(CA)などが含まれます。

認証局(CA)

信頼性を担保する機関。ルート認証局と中間認証局に分けられます。
ルート認証局を最上位に配置し、その配下に中間認証局がある木構造をなしています。

中間認証局

認証局(CA)の中でも、その信頼性がより上位の認証局(CA)によって担保されている認証局のことを指します。

ルート認証局

認証局(CA)の中でも、その信頼性が、自局自身によって担保されている認証局のことを指します。

ルート認証局証明書

発行者と主体者が同じであり、かつ自分自身の秘密鍵で、それに対応する自らの公開鍵に署名した公開鍵証明書のことで、木構造をなす証明書のルートとなるものです。

デジタル証明書

認証局が発行する公開鍵が、真正の発行者の公開鍵であることを証明するデータのことです。
発行者が、公開鍵と共に認証局(CA)に対して、証明書発行要求をおこなうと、認証局(CA)は精査し確認したのちにデジタル証明書を発行します。

EAP-MD5認証方式 (Message digest algorithm 5)

ユーザー名とパスワードを使う認証方式ですが、パスワード平文の代わりにMD5ハッシュ値を交換して認証します。

EAP-TLS認証方式 (Transport Layer Security)

IEEE 802.1Xで用いられる認証方式EAP実装の一種で、ユーザーIDとパスワードによる認証ではなくユーザーとRADIUSサーバー間のトランスポート層を暗号化した上で電子証明書を交換して認証します。RFC2716、RFC5216で規定されます。

EAP-TTLS認証方式 (Tunneled TLS)

IEEE 802.1Xで用いられる認証方式EAP実装の一種で、サーバーの電子証明書を用いてTLS通信路を構築し、その暗号化された通信路内でパスワードによりユーザーを認証します。RFC5281で規定されます。

PEAP認証方式 (Protected EAP)

動作原理はEAP-TTLSと同等(暗号トンネル内のプロトコルの違いのみ)で、サーバーの電子証明書を用いてTLS通信路を構築し、その暗号化された通信路内でパスワードによりユーザーを認証します。

信頼されるということ

信頼性のある第三者機関によって、公開鍵が発行者のものであることの証明書が、発行されていること。

RADIUSサーバー

RADIUSサーバー機能を提供するホスト機器、ここでは本機のことを指します。
RADIUSサーバーを介して、接続されたユーザーを認証し、ユーザーID、パスワード、MACアドレス、所属VLAN等の認証・認可情報を管理します。

サーバー証明書

上記、RADIUSサーバーが信頼されていることを認証局(CA)が証明した証書です。

RADIUSクライアント

NAS、オーセンティケーターとも言われ、LAN/SFPポートに接続されたユーザーと認証サーバーの間を中継し、認証の成否によりLANへのアクセスを制御します。

ユーザー

RADIUSクライアントに接続して認証を要求する機器、又はソフトウェアであるサプリカントを指します。
認証する個人を特定するための最小単位となります。ユニークなユーザーIDと、パスワード、など認証や認可に必要なデータがあります。

クライアント証明書 (ユーザー証明書)

上記、ユーザーが信頼されていることを認証局(CA)が証明した証書です。

3. 機能詳細

3.1. ルート認証局

RADIUSサーバー機能を使用するためには、最初にルート認証局を作成する必要があります。
ルート認証局は、デジタル証明書の発行・管理に利用されるものであり、 crypto pki generate ca コマンドで作成することができます。
認証局名は、 crypto pki generate ca コマンドの引数で指定することができ、省略した場合は swx-radius となります。

ルート認証局をもとにして発行・管理される証明書には以下のものがあります。
すべての証明書で、鍵強度は2048ビット、署名アルゴリズムはSHA256となります。

ルート認証局証明書

本機が信頼されたルート認証局であることを証明します。
ルート認証局の作成と同時に発行されます。
有効期限は証明書作成から2037年12月31日 23時59分59秒 (JST)が適用されます。

サーバー証明書

本機が信頼されたサーバーであることを証明します。
ルート認証局の作成と同時に発行されます。
有効期限は証明書作成から2037年12月31日 23時59分59秒 (JST)が適用されます。

クライアント(ユーザー)証明書

ユーザーが信頼されていることを証明します。

クライアント失効証明書

クライアント証明書が無効になったことを証明します。

ルート認証局は以下の操作によって削除または上書きされます。

  • cold start コマンドを実行したとき削除されます。

  • no crypto pki generate ca コマンドを実行したとき削除されます。

  • stack enable コマンドを実行したとき削除されます。

  • stack disable コマンドを実行したとき削除されます。

  • erase startup-config コマンドを実行したとき削除されます。

  • crypto pki generate ca コマンドを再度実行したとき上書きされます。

  • restore system コマンドを実行したとき上書きされます。

  • copy radius-server local コマンドを実行したとき上書きされます。

最初に設置したルート認証局を一貫して保持し続ける必要がありますので、不用意に削除してしまわないようご注意ください。
また万一削除してしまった場合に備えて、後述のバックアップを予め行っておくよう対策をお願いします。

ひとたびルート認証局を削除してしまうと、同じ認証局名を設定したとしても以前とは異なる認証局になります。
もしバックアップ前にルート認証局を削除してしまった場合、それ以降は証明書の追加/失効はできません。 証明書の発行を最初から全てやり直すことになります。

crypto pki generate ca コマンドによってルート認証局が作成されると、自動的に内部領域に保存されるため write コマンドを実行する必要はありません。

3.2. RADIUSクライアントの設定

RADIUSサーバーにアクセスすることを許可するRADIUSクライアントを nas コマンドで指定します。
個別のIPアドレスまたはネットワークアドレスで指定することができ、最大で 100件 を設定することができます。
RADIUSクライアントとして、以下の製品で動作を確認しています。

  • ヤマハスイッチ(SWXシリーズ)

  • ヤマハルーター(RTXシリーズ、NVRシリーズ)

  • ヤマハ無線アクセスポイント(WLXシリーズ)

nas コマンドで設定したRADIUSクライアントの設定は、show running-config 等でコンフィグに表示されません。
コンフィグとは別の領域に自動保存されるため write コマンドを実行する必要はありませんが、実際の動作に反映させるためには radius-server local refresh コマンドを実行する必要があります。
設定内容を確認するには、 show radius-server local nas コマンドを使用します。

3.3. ユーザーの登録

認証を行うユーザー情報は、 user コマンドで登録します。
ユーザー情報は最大で 2000件 登録することができます。
user コマンドで設定可能な項目は以下のとおりです。

タイプ

項目

概要・備考

必須

ユーザーID

ユーザー情報を一意に識別するためのID

パスワード

ユーザーIDと組み合わせて使用されるパスワード
クライアント証明書が圧縮されている場合には、解凍にこのパスワードを使用します。

オプション

ユーザー名称

ユーザーの識別のため、任意の文字列を設定することができます。

MACアドレス

RADIUSクライアントがCalling-Station-Idを通知してきたときに比較され、一致しないと認証されません。

SSID

RADIUSクライアントがCalled-Station-Idを通知してきたときに比較され、一致しないと認証されません。

メールアドレス

証明書をメールで送付するときの宛先となります。

認証方式

デフォルトではEAP-TLSとなるため、他の認証方式とする場合には指定する必要があります。

証明書有効期限

認証方式がEAP-TLSのときのみ有効で、省略した場合は2037年12月31日23時59分59秒となります。

ダイナミックVLAN-ID

ダイナミックVLAN機能を使用する場合に指定します。

user コマンドで設定したユーザー設定は、show running-config 等でコンフィグに表示されません。
コンフィグとは別の領域に自動保存されるため write コマンドを実行する必要はありませんが、実際の動作に反映させるためには radius-server local refresh コマンドを実行する必要があります。
設定内容を確認するには、 show radius-server local user コマンドを使用します。

3.4. 認証方式の制限

authentication コマンドで認証方式を制限することができます。
初期設定では認証方式は制限されていませんが、一時的に特定の認証方式を無効にしたい場合などで使用することができます。

3.5. RADIUSサーバー機能の有効化

RADIUSサーバー機能を有効にするには、 radius-server local enable コマンドを使用します。
RADIUSクライアントやユーザー情報の設定を行い、必要な準備が整ってからRADIUSサーバー機能を有効にしてください。

3.6. 設定内容の動作への反映

RADIUSサーバーに関連した設定を追加・変更・削除した場合、 radius-server local refresh コマンドを実行することで実動作に反映されます。
radius-server local refresh コマンドによって実動作に反映されるコマンドは以下のとおりです。

  • authentication コマンド

  • nas コマンド

  • reauth interval コマンド

  • user コマンド

WebGUIでRADIUSサーバーに関連した設定を追加・変更・削除した場合には、自動的に radius-server local refresh コマンドに相当する処理が行われます。

3.7. クライアント証明書の発行

証明書を使った認証を行うユーザー(user コマンドで認証方式をEAP-TLSとしたユーザー)に対してクライアント証明書を発行する場合には、 certificate user コマンドを使用します。
1ユーザーにつき、最大2通までクライアント証明書を保持することができ、3通目のクライアント証明書を発行すると既存のクライアント証明書の中で古いほうのクライアント証明書が失効します。
certificate user コマンドで個別のユーザーIDを指定した場合、指定したユーザーのクライアント証明書が発行されます。
certificate user コマンドで個別のユーザーIDを指定しない場合、以下の条件のどちらかに合致するすべてのユーザーのクライアント証明書が発行されます。

クライアント証明書の一括発行の対象条件

  • 一度もクライアント証明書が発行されていない

  • クライアント証明書が発行されたあと、パスワードまたは有効期限が変更されている

クライアント証明書の発行には、1通あたりおおよそ 15秒 程度かかります。 certificate user コマンドではバックグラウンドでクライアント証明書の発行処理が行われますが、複数のユーザーのクライアント証明書を一括発行する場合には時間がかかる可能性があるため注意してください。
クライアント証明書の発行を途中でキャンセルするには、 certificate abort コマンドを使用します。

発行したクライアント証明書を取り出す方法は以下の通りです。

  • certificate user コマンドでのmailオプション指定
    クライアント証明書の発行と同時に指定したメールアドレスに対してクライアント証明書を送付することができます。
    クライアント証明書はZIP圧縮されており、 user コマンドのパスワードで解凍することができます。
    クライアント証明書のメール送信の詳細については 証明書のメール送信 を参照してください。

  • certificate export sd コマンド
    任意のユーザーまたはすべてのユーザーのクライアント証明書を microSD にコピーして取り出すことができます。
    compressオプションによって任意のユーザーのクライアント証明書を圧縮して取り出した場合、 user コマンドのパスワードで解凍することができます。
    compressオプションによってすべてのユーザーのクライアント証明書をまとめて圧縮して取り出した場合、パスワード不要で解凍することができます。

  • certificate export mail コマンド
    任意のユーザーまたはすべてのユーザーのクライアント証明書を user コマンドで設定したメールアドレス宛に送信することができます。
    クライアント証明書はZIP圧縮されており、 user コマンドのパスワードで解凍することができます。

  • Web GUIで本機にアクセス
    任意のユーザーまたはすべてのユーザーのクライアント証明書をダウンロードすることができます。
    ZIP圧縮されていますが、解凍にパスワードは不要です。

3.8. クライアント証明書の失効

クライアント証明書を発行したユーザーに対して認証できないようにするには、失効証明書を発行する必要があります。
任意のユーザーに対して失効証明書が発行されると、認証処理において失効証明書が参照され、認証結果に反映されます。
失効証明書は以下の処理によって発行されます。

  • certificate revoke id コマンドの実行
    指定された証明書IDのクライアント証明書に対して失効証明書が発行されます。

  • certificate revoke user コマンドの実行
    指定されたユーザーのすべてのクライアント証明書に対して失効証明書が発行されます。

  • user コマンドで認証方式をEAP-TLSからその他(PAP,PEAP,EAP-MD5,EAP-TTLS)に変更
    対象ユーザーのすべてのクライアント証明書に対して失効証明書が発行されます。
    対象ユーザーの認証方式を再度EAP-TLSに変更した場合は、 クライアント証明書の発行 の対象となります。

  • user コマンドの削除
    対象ユーザーのすべてのクライアント証明書に対して失効証明書が発行されます。
    対象ユーザーと同じユーザーIDで再度ユーザーを登録した場合、 クライアント証明書の発行 の対象となります。

  • certificate user コマンドで3通目のクライアント証明書を発行
    対象ユーザーの古い方のクライアント証明書に対して失効証明書が発行されます。

  • ユーザー情報のインポートとエクスポート でのインポート
    インポートによってユーザーが削除された場合には、削除されたユーザーのすべてのクライアント証明書に対して失効証明書が発行されます。

3.9. 証明書のメール送信

クライアント証明書の発行 に記載されているクライアント証明書のメール送信を使用する場合には、事前に以下の準備が必要です。
ここで記載する設定は最低限のものであり、使用状況にあわせて必要な設定を行ってください。

  1. SMTPサーバーの設定

    1. mail server smtp host コマンドでSMTPサーバーを指定します。

  2. メールテンプレートの設定

    1. mail template コマンドでテンプレートIDを指定し、テンプレート設定モードに移行します。

    2. mail server smtp host コマンドで設定したSMTPサーバーのメールサーバーIDを、 send server コマンドで指定します。

    3. send from コマンドで送信元メールアドレスを指定します。

  3. 証明書のメール送信で使用するメールテンプレートの指定

    1. mail send certificate コマンドで、上記で作成したメールテンプレートのIDを指定します。

メールの件名および本文は以下のとおりです。フォーマットを変更することはできません。

件名

 
Certification Publishment

本文

 
Certification is published.
Name             : [userコマンドのNAMEパラメーター]
Account          : [userコマンドのUSERIDパラメーター]
MAC address      : XX:XX:XX:XX:XX:XX
Expire           : YYYY/MM/DD

3.10. 設定および証明書の確認

  • RADIUSクライアントの設定の確認
    show radius-server local nas コマンドを使用します。

    Yamaha# show radius-server local nas 192.168.100.0/24
host                                    key
--------------------------------------------------------------------------------------------------------
192.168.100.0/24                        abcde

  • ユーザーの設定の確認
    show radius-server local user コマンドを使用します。

    Yamaha# show radius-server local user

Total     1

userid                           name                             vlan mode
--------------------------------------------------------------------------------
00a0de000000                     Yamaha                              1 eap-md5
    Yamaha# show radius-server local user detail 00a0de000000

Total     1

userid      : 00a0de000000
password    : secretpassword
mode        : eap-md5
name        : Yamaha
vlan        :    1

  • クライアント証明書の発行処理の状況確認
    show radius-server local certificate status コマンドを使用します。

    Yamaha# show radius-server local certificate status
certificate process: xxxx/ zzzz processing...

  • クライアント証明書の一覧確認
    show radius-server local certificate list コマンドを使用します。

    Yamaha# show radius-server local certificate list detail Taro

userid                           certificate number                                enddate
---------------------------------------------------------------------------------------------
Yamaha                           Yamaha-DF598EE9B44D22CC                           2018/12/31
                                 Yamaha-DF598EE9B44D22CD                           2019/12/31

  • 失効証明書の確認
    show radius-server local certificate revoke コマンドを使用します。

    Yamaha# show radius-server local certificate revoke

userid                           certificate number                                reason
---------------------------------------------------------------------------------------------
Yamaha                           Yamaha-DF598EE9B44D22CC                           expired
Yamaha                           Yamaha-DF598EE9B44D22CD                           revoked

3.11. クライアント証明書の期限切れ事前メール通知

クライアント証明書の有効期限が切れる前にメールで通知を行うことができます。
事前メール通知を利用するには事前に以下の準備が必要です。
ここで記載する設定は最低限のものであり、使用状況にあわせて必要な設定を行ってください。

  1. SMTPサーバーの設定

    1. mail server smtp host コマンドでSMTPサーバーを指定します。

  2. メールテンプレートの設定

    1. mail template コマンドでテンプレートIDを指定し、テンプレート設定モードに移行します。

    2. mail server smtp host コマンドで設定したSMTPサーバーのメールサーバーIDを、 send server コマンドで指定します。

    3. send from コマンドで送信元メールアドレスを指定します。

  3. 証明書の期限切れ事前メール通知で使用するメールテンプレートの指定

    1. mail send certificate-notify コマンドで、上記で作成したメールテンプレートのIDを指定します。

  4. 証明書の期限切れ事前メール通知を行うタイミングの指定

    1. mail certificate expire-notify コマンドで、有効期限切れの何日前にメール通知を行うか指定します。

クライアント証明書の期限切れ事前メール通知の対象となる証明書の確認は、 毎日23時59分59秒 に実施されます。

メールの件名および本文は以下のとおりです。フォーマットを変更することはできません。

件名

 
Certification expiration

本文

 
Your certificate will expire in [残り日数] days.
Name             : [userコマンドのNAMEパラメーター]
Account          : [userコマンドのUSERIDパラメーター]
MAC address      : XX:XX:XX:XX:XX:XX
Expire           : YYYY/MM/DD

3.12. ユーザー情報のインポートとエクスポート

  • エクスポート
    Web GUIからユーザー情報をCSV形式ファイルとしてエクスポートすることができます。
    エクスポートしたCSV形式ファイルに追記することでユーザーをまとめて登録することができます。
    本機でエクスポートしたユーザー情報をヤマハ無線アクセスポイント(WLXシリーズ)でインポートすることはできません。

  • インポート
    Web GUIからユーザー情報をインポートすることができます。
    ユーザー情報をインポートするとき、インポートに伴ってクライアント証明書の発行対象となったユーザーに対して、一括でクライアント証明書を発行することができます。
    ユーザーが多数含まれるユーザー情報をインポートする場合、実動作に反映されるまで時間がかかることがあります。
    ヤマハ無線アクセスポイント(WLXシリーズ)でエクスポートしたユーザー情報を本機にインポートすることができます。
    ただし、本機で使用できない文字が含まれていた場合、そのユーザーはインポートすることはできません。別途個別にユーザーの追加を行ってください。
    本機で使用できない文字については、 注意事項 を参照してください。

3.13. すべてのRADIUSサーバー関連情報のバックアップとリストア

本機では、ルート認証局を含むすべてのRADIUSサーバー関連情報のバックアップ・リストアを行うことができます。

  • バックアップ
    copy radius-server local コマンドでエクスポート先としてmicroSDを指定することで、すべてのRADIUSサーバー関連情報をmicroSDにバックアップすることができます。
    また、Web GUIからも同等のバックアップを行うことができます。機器の故障等に備えてバックアップしておくことを勧めます。
    バックアップファイルには、以下の3つのコマンドの設定情報は含まれますが、それ以外のRADIUSサーバー機能に関わる設定情報は含まれません。バックアップファイルと併せてコンフィグファイルもバックアップしておくことを勧めます。

    • crypto pki generate ca コマンド

    • user コマンド

    • nas コマンド

    本機でバックアップしたすべてのRADIUSサーバー関連情報をヤマハ無線アクセスポイント(WLXシリーズ)でリストアすることはできません。

  • リストア
    copy radius-server local コマンドでエクスポート先として内部のコンフィグ番号を指定することで、上記でバックアップしたデータをmicroSDからリストアすることができます。
    また、Web GUIからも同様のリストアを行うことができ、SWXシリーズであればどのモデルで取得したデータであってもリストアすることができます。
    ルート認証局が作成されている状態でリストアを行う場合には、ルート認証局が上書きされるため注意してください。

3.14. ヤマハ無線アクセスポイント(WLXシリーズ)でバックアップしたRADIUSサーバー関連情報のリストア

本機では、ヤマハ無線アクセスポイント(WLXシリーズ)でバックアップしたRADIUSサーバー関連情報をリストアすることができます。リストアはWeb GUIでのみ行うことができます。
ヤマハ無線アクセスポイント(WLXシリーズ)で動作させていたRADIUSサーバー機能を本機に移行する場合には、以下の手順を実施してください。

  1. ヤマハ無線アクセスポイント(WLXシリーズ)でバックアップしたデータを本機にリストアします。
    WLX402では、Web GUIのRADIUSサーバー設定ページからバックアップデータ(ZIPファイル)を取得することができます。
    WLX313では、Web GUIの設定(保存/復元)ページからバックアップデータ(ZIPファイル)を取得することができます。

  2. nas コマンドまたはWeb GUIでRADIUSクライアントを指定します。

  3. radius-server local interface コマンドまたはWeb GUIでRADIUS認証を動作させるVLANインターフェースを指定します。

  4. 証明書のメール送信や証明書の期限切れ事前メール通知を使用する場合はメール関連の設定を行います。

  5. radius-server local enable コマンドまたはWeb GUIでRADIUSサーバー機能を有効にします。

  6. radius-server local refresh コマンドでRADIUSの情報を実動作に反映させます。

上記の手順により、クライアント証明書を再発行する必要無く、ヤマハ無線アクセスポイント(WLXシリーズ)から本機にRADIUSサーバー機能を移行することができます。
ヤマハ無線アクセスポイント(WLXシリーズ)から本機にRADIUSサーバー機能を移行した場合、失効証明書の有効期限は取り込んだ日時から20年間に自動更新されます。
ヤマハ無線アクセスポイント(WLXシリーズ)でバックアップしたデータをリストアする場合、以下の情報を復元することができます。

  • ルート認証局

  • ルート証明書

  • サーバー証明書

  • クライアント証明書

  • 失効証明書

  • ユーザー情報

RADIUSクライアントの設定など上記以外の情報は復元されませんので、別途設定する必要があります。
本機で使用できない文字が含まれていた場合、そのユーザーはリストアすることはできません。別途個別にユーザーの追加を行ってください。
本機で使用できない文字については、 注意事項 を参照してください。
認証局名に本機で使用できない文字が含まれていたとしてもリストアすることができます。ただし、使用できない文字がアンダースコア(_)に変換されてコンフィグに表示されます。

3.15. SYSLOGの出力情報

RADIUSサーバー機能として、SYSLOGに出力する情報には以下のものがあります。
プレフィックスは、 [ RADIUSD] です。

タイプ メッセージ 説明

INFO

RADIUS server started.

RADIUSサーバー機能のプロセスを開始しました。

INFO

RADIUS server stopped.

RADIUSサーバー機能のプロセスが停止しました。

INFO

Authentication succeeded.: [{ ユーザーID }/<via Auth-Type = { 認証方式 }>] (from client port { ポート番号 } cli { MACアドレス })

ユーザー認証に成功しました。

INFO

Authentication failed.: [{ ユーザーID }/<via Auth-Type = { 認証方式 }>] (from client port { ポート番号 } cli { MACアドレス })

ユーザー認証に失敗しました。

INFO

MAC address is not allowed.User-ID:{ ユーザーID } MAC:{ MACアドレス }

MACアドレスが適切でないため、ユーザー認証に失敗しました。

INFO

Connected NAS is not allowed.IP:{ IPアドレス }

許可していないRADIUSクライアントから認証要求を受信しました。

4. 関連コマンド

関連コマンドについて、以下に示します。
コマンドの詳細は、コマンドリファレンスを参照願います。

操作項目 操作コマンド

radius-server local enable

ローカルRADIUSサーバー機能の設定

radius-server local interface

アクセスインターフェースの設定

crypto pki generate ca

ルート認証局を生成

radius-server local-profile

RADIUSコンフィグレーションモード

authentication

認証方式の設定

nas

RADIUSクライアント(NAS)の設定

user

認証ユーザーの設定

reauth interval

再認証間隔の設定

radius-server local refresh

ローカルRADIUSサーバーへの設定データ反映

certificate user

クライアント証明書の発行

certificate abort

クライアント証明書の発行中断

certificate revoke id

指定した証明書IDのクライアント証明書の失効

certificate revoke user

指定したユーザーのクライアント証明書の失効

certificate export sd

クライアント証明書のエクスポート(SDコピー)

certificate export mail

クライアント証明書のエクスポート(メール送信)

copy radius-server local

RADIUSデータのコピー

show radius-server local nas

RADIUSクライアント(NAS)の表示

show radius-server local user

認証ユーザー情報の表示

show radius-server local certificate status

クライアント証明書の発行状態表示

show radius-server local certificate list

クライアント証明書のリスト表示

show radius-server local certificate revoke

クライアント証明書の失効リスト表示

5. 設定例

5.1. RADIUSサーバー機能とポート認証機能を同時に利用する場合

ローカルRADIUSサーバーを使用して、サプリカントA、B、CをそれぞれMAC認証、IEEE802.1X認証、及びWeb認証で認証きるように設定します。

image

  1. スイッチでローカルRADIUSサーバーを有効にし、ユーザーを登録します。

    Yamaha# configure terminal
Yamaha(config)# crypto pki generate ca
Generate CA? (y/n): y
Finished
Yamaha(config)# radius-server local-profile
Yamaha(config-radius)# user 00a0de000001 00a0de000001 auth peap
Yamaha(config-radius)# user 8021xuser 8021xpass auth peap
Yamaha(config-radius)# user webuser webpass auth peap
Yamaha(config-radius)# exit
Yamaha(config)# radius-server local enable
Yamaha(config)# exit
Yamaha# radius-server local refresh

  2. Web認証を行うためにVLAN #1 へIPアドレスを割り当てます

    Yamaha# configure terminal
Yamaha(config)# interface vlan1
Yamaha(config-if)# ip-address 192.168.100.240/24

  3. LANポート #1 でMAC認証、IEEE802.1X認証、及びWeb認証を有効化します。

    Yamaha# configure terminal
Yamaha(config)# aaa authentication auth-mac
Yamaha(config)# auth-mac auth-user unformatted lower-case
Yamaha(config)# aaa authentication dot1x
Yamaha(config)# aaa authentication auth-web
Yamaha(config)# interface port1.1
Yamaha(config-if)# auth host-mode multi-supplicant
Yamaha(config-if)# auth-mac enable
Yamaha(config-if)# dot1x port-control auto
Yamaha(config-if)# auth-web enable

  4. 認証機能で使用するRADIUSサーバーを設定します。

    Yamaha# configure terminal
Yamaha(config)# radius-server host 127.0.0.1 key secret_local

5.2. ヤマハルーターのログインユーザーの認証でRADIUSサーバー機能を利用する場合

TELNETクライアントからヤマハルーターにアクセスするとき、ログインユーザーの認証と管理者権限の認証をヤマハスイッチのRADIUSサーバーで行います。
ログインユーザーとしては、ユーザーID: user1、パスワード: password1 でログインできるようにします。
管理者には、パスワード: admin で昇格できるようにします。

image

■ヤマハスイッチの設定

  1. インターフェースにIPアドレスを設定します。

    Yamaha# configure terminal
Yamaha(config)# interface vlan1
Yamaha(config-if)# ip address 192.168.100.240/24
Yamaha(config-if)# exit

  2. ルート認証局を作成します。

    Yamaha(config)#crypto pki generate ca
Generate CA? (y/n): y
Finished

  3. RADIUSサーバーを設定します。

    Yamaha(config)# radius-server local-profile
Yamaha(config-radius)# nas 192.168.100.1 key yamaha
Yamaha(config-radius)# user user1 password1 auth pap
Yamaha(config-radius)# user *administrator admin auth pap
Yamaha(config-radius)# exit

  4. RADIUSクライアントの接続可能インターフェースを指定します。

    Yamaha(config)# radius-server local interface vlan1

  5. RADIUSサーバー機能を有効にします。

    Yamaha(config)# radius-server local enable
Yamaha(config)#exit

  6. RADIUSサーバーの設定を実動作に反映させます。

    Yamaha#radius-server local refresh
Yamaha#

■ヤマハルーターの設定

login radius use on
administrator radius auth on
ip lan1 address 192.168.100.1/24
radius auth on
radius auth server 192.168.100.240
radius auth port 1812
radius secret yamaha

5.3. ヤマハ無線アクセスポイント(WLXシリーズ)のMAC認証でRADIUSサーバー機能を利用する場合

ヤマハ無線アクセスポイントに接続するサプリカントのMACアドレス認証をヤマハスイッチのRADIUSサーバーで行います。

image

■ヤマハスイッチの設定

  1. インターフェースにIPアドレスを設定します。

    Yamaha# configure terminal
Yamaha(config)# interface vlan2
Yamaha(config-if)# ip address 192.168.200.240/24
Yamaha(config-if)# exit

  2. ルート認証局を作成します。

    Yamaha(config)#crypto pki generate ca
Generate CA? (y/n): y
Finished

  3. RADIUSサーバーを設定します。

    Yamaha(config)# radius-server local-profile
Yamaha(config-radius)# nas 192.168.200.100 key yamaha
Yamaha(config-radius)# user 00a0de000001 00a0de000001 auth pap ssid wlx
Yamaha(config-radius)# exit

  4. RADIUSクライアントの接続を許可するインターフェースを指定します。

    Yamaha(config)# radius-server local interface vlan2

  5. RADIUSサーバー機能を有効にします。

    Yamaha(config)# radius-server local enable
Yamaha(config)#exit

  6. RADIUSサーバーの設定を実動作に反映させます。

    Yamaha#radius-server local refresh
Yamaha#

■ヤマハ無線AP(WLX402)の設定
※認証に関連した部分のみの設定となります。別途無線機能等の設定を環境にあわせて行ってください。

ip vlan-id 1 address 192.168.200.100/24
airlink slect 1
airlink ssid wlx
airlink radius auth on
airlink radius server 192.168.200.240
airlink radius secret yamaha
airlink enable 1

5.4. 証明書を使ってヤマハ無線アクセスポイント(WLXシリーズ)に接続するためにRADIUSサーバー機能を利用する場合

ヤマハスイッチで発行した証明書をインストールしたサプリカントが、ヤマハ無線アクセスポイントに接続するときに認証を行います。

image

■ヤマハスイッチの設定

  1. インターフェースにIPアドレスを設定します。

    Yamaha(config)# interface vlan2
Yamaha(config-if)# ip address 192.168.120.240/24
Yamaha(config-if)# exit

  2. ルート認証局を作成します。

    Yamaha(config)#crypto pki generate ca
Generate CA? (y/n): y
Finished

  3. RADIUSサーバーを設定します。

    Yamaha(config)# radius-server local-profile
Yamaha(config-radius)# nas 192.168.120.100 key yamaha1
Yamaha(config-radius)# nas 192.168.130.100 key yamaha2
Yamaha(config-radius)# user user1 pass1 ssid wlxA
Yamaha(config-radius)# user user2 pass2 ssid wlxB
Yamaha(config-radius)# user user3 pass3 ssid wlxC
Yamaha(config-radius)# user user4 pass4 ssid wlxD
Yamaha(config-radius)# exit

  4. RADIUSクライアントの接続を許可するインターフェースを指定します。

    Yamaha(config)# radius-server local interface vlan2
Yamaha(config)# radius-server local interface vlan3

  5. RADIUSサーバー機能を有効にします。

    Yamaha(config)# radius-server local enable
Yamaha(config)# exit

  6. クライアント証明書を発行します。
    発行した証明書をサプリカントA~Dでそれぞれインストールします。

    Yamaha# certificate user user1
Yamaha# certificate user user2
Yamaha# certificate user user3
Yamaha# certificate user user4

  7. RADIUSサーバーの設定を実動作に反映させます。

    Yamaha# radius-server local refresh

■ヤマハ無線AP1(WLX402)の設定
※認証に関連した部分のみの設定となります。別途無線機能等の設定を環境にあわせて行ってください。

ip vlan-id 2 address 192.168.120.100/24
 airlink select 1
  airlink ssid wlxA
  airlink vlan-id 2
  airlink radius auth on
  airlink radius server 192.168.120.240
  airlink radius secret yamaha1
 airlink enable 1
 airlink select 2
  airlink ssid wlxB
  airlink vlan-id 2
  airlink radius auth on
  airlink radius server 192.168.120.240
  airlink radius secret yamaha1
 airlink enable 2

■ヤマハ無線AP2(WLX402)の設定
※認証に関連した部分のみの設定となります。別途無線機能等の設定を環境にあわせて行ってください。

ip vlan-id 3 address 192.168.130.100/24
 airlink select 1
  airlink ssid wlxC
  airlink vlan-id 3
  airlink radius auth on
  airlink radius server 192.168.130.240
  airlink radius secret yamaha2
 airlink enable 1
 airlink select 2
  airlink ssid wlxD
  airlink vlan-id 3
  airlink radius auth on
  airlink radius server 192.168.130.240
  airlink radius secret yamaha2
 airlink enable 2

6. 注意事項

  • RADIUSサーバー機能では認証処理や証明書の発行等の処理において、本機の内蔵時計の時刻が使用されます。
    そのため、本機の内蔵時計を常に正確な時刻に保つ必要があります。NTPサーバーとの時刻同期を推奨します。

  • ルート認証局は、作成から一貫して保持し続ける必要がありますので、不用意に削除してしまわないようご注意ください。
    削除してしまうと発行済みのクライアント証明書が使えなくなるため、すべてのユーザーに対してクライアント証明書の再発行が必要になります。
    また、RADIUSサーバー機能に関連するほぼすべての設定が削除されます。

  • 同じ型番のヤマハスイッチで同じ名前のルート認証局を作成したとしても、そのルート認証局は別物です。
    クライアント証明書は、生成時に使用したルート認証局が存在するヤマハスイッチの認証でしか使用することはできません。
    複数の機器で同一のルート認証局を保持するためには すべてのRADIUSサーバー関連情報のバックアップとリストア を参照してください。

  • IPv6リンクローカルアドレスに対してRADIUSクライアントから接続しても認証を行うことはできません。

  • ヤマハスイッチとヤマハ無線アクセスポイント(WLXシリーズ)では、ユーザー情報等に使用できる文字に違いがあります。違いは以下のとおりです。
    (赤字がヤマハスイッチでのみ使用できない文字となります)

    項目

    ヤマハスイッチの制限

    ヤマハ無線アクセスポイントの制限

    ルート認証局名
    (crypto pki generate ca コマンドのCA-NAMEオプション)

    半角英数字・半角記号のうち以下が使用できません。
    '\' (バックスラッシュ)
    '/'
    '['
    ']'
    '?'
    ' ' (スペース)
    '"' (ダブルクォート)

    半角英数字・半角記号のうち以下が使用できません。
    '\' (バックスラッシュ)
    '/'
    '['
    ']'

    RADIUSクライアントの共有パスワード
    (nas コマンドのSECRETパラメーター)

    半角英数字・半角記号のうち以下が使用できません。
    '\' (バックスラッシュ)
    '['
    ']'
    '?'
    ' ' (スペース)
    '"' (ダブルクォート)

    半角英数字・半角記号のうち以下が使用できません。
    '\' (バックスラッシュ)
    '['
    ']'

    ユーザー情報のユーザーID
    (user コマンドのUSERIDパラメーター)
    認証方式がEAP-TLSの場合

    半角英数字・半角記号のうち以下が使用できません。
    '\' (バックスラッシュ)
    '/'
    '['
    ']'

    ':'

    '<'
    '*'
    '>'
    '|'
    '?'
    ' ' (スペース)
    '"' (ダブルクォート)

    半角英数字・半角記号のうち以下が使用できません。
    '\' (バックスラッシュ)
    '/'
    '['
    ']'

    ユーザー情報のユーザーID
    (user コマンドのUSERIDパラメーター)

    認証方式がPAP,PEAPの場合

    半角英数字・半角記号のうち以下が使用できません。
    '\' (バックスラッシュ)
    '['
    ']'
    '?'
    ' ' (スペース)
    '"' (ダブルクォート)

    半角英数字・半角記号のうち以下が使用できません。
    '\' (バックスラッシュ)
    '['
    ']'

    ユーザー情報のパスワード
    (user コマンドのPASSWORDパラメーター)

    半角英数字・半角記号のうち以下が使用できません。
    '\' (バックスラッシュ)
    '['
    ']'
    '?'
    ' ' (スペース)
    '"' (ダブルクォート)

    半角英数字・半角記号のうち以下が使用できません。
    '\' (バックスラッシュ)
    '['
    ']'

    ユーザー情報の名前
    (user コマンドのNAMEオプション)

    半角英数字・半角記号のうち以下が使用できません。
    '?'
    ' ' (スペース)
    '"' (ダブルクォート)

    半角英数字・半角記号すべて使用できます。

7. 関連文書