アクセス要求内の RADIUS 属性 8 Framed-IP-Address の前提条件
RADIUS アクセス要求内で RADIUS 属性 8 を送信する場合は、NAS サーバから IP アドレスを要求するようにログイン ホストを設定しておく必要があります。また、NAS からの IP アドレスを受け入れるようにログイン ホストを設定しておく必要もあります。
NAS は、ログイン ホストをサポートしているインターフェイス上のネットワーク アドレスのプールを使用して設定する必要があります。
この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
アクセス要求内の RADIUS 属性 8(Framed-IP-Address)機能は、ネットワーク アクセス サーバ(NAS)から RADIUS サーバに、ユーザ認証に先立って、ユーザ IP アドレスのヒントを提供できるようにします。RADIUS サーバ上で動作するアプリケーションは、このヒントを使用して、ユーザ名と アドレスのテーブル(マップ)を作成できます。マッピング情報を使用して、サービス アプリケーションは、正常なユーザ認証に使用するユーザのログイン情報の準備を開始できます。
RADIUS アクセス要求内で RADIUS 属性 8 を送信する場合は、NAS サーバから IP アドレスを要求するようにログイン ホストを設定しておく必要があります。また、NAS からの IP アドレスを受け入れるようにログイン ホストを設定しておく必要もあります。
NAS は、ログイン ホストをサポートしているインターフェイス上のネットワーク アドレスのプールを使用して設定する必要があります。
ネットワーク デバイスが RADIUS 認証用に設定された NAS にダイヤルインすると、NAS がユーザ認証に備えて、RADIUS サーバとの通信プロセスを開始します。通常は、ユーザ認証が成功するまで、ダイヤルイン ホストの IP アドレスが RADIUS サーバに通知されません。RADIUS アクセス要求内でサーバにデバイス IP アドレスを通知すれば、他のアプリケーションがその情報を利用できるようになります。
NAS が RADIUS サーバと通信するようにセットアップされている場合は、NAS が特定のインターフェイス上で設定された IP アドレスのプールからダイヤルイン ホストに IP アドレスを割り当てます。NAS は、ダイヤルイン ホストの IP アドレスを属性 8 として RADIUS サーバに送信します。そのとき、NAS は、ユーザ名などの他のユーザ情報も RADIUS サーバに送信します。
RADIUS が NAS からユーザ情報を受信した場合は、次の 2 つの選択肢があります。
RADIUS サーバ上のユーザ プロファイルにすでに属性 8 が含まれていた場合は、RADIUS が NAS から受け取った IP アドレスをユーザ プロファイル内で属性 8 として定義された IP アドレスに置き換えます。ユーザ プロファイル内で定義されたアドレスが NAS に返されます。
ユーザ プロファイルに属性 8 が含まれていない場合は、RADIUS サーバが、NAS からの属性 8 を受け入れて、そのアドレスを NAS に返すことができます。
RADIUS サーバから返されたアドレスは、セッションが終わるまで、NAS 上のメモリに保存されます。NAS が RADIUS アカウンティング用に設定されている場合は、RADIUS サーバに送信されるアカウンティング開始パケットに属性 8 内のものと同じ IP アドレスが含まれています。以降のすべてのアカウンティング パケット、更新(設定されている場合)、および終了パケットにも、属性 8 で指定されたものと同じ IP アドレスが含まれています。
ユーザがデュアルスタック(IPv4 または IPv6)サブスクライバである場合。
IP アドレスがローカル プールからであり、RADIUS サーバからではない場合。
これらの状況では、aaa accounting delay-start extended-time delay-value コマンドを使用し、設定した遅延値でインターネットプロトコル制御プロトコルバージョン 6(IPCPv6)アドレスネゴシエーションを遅延させます。遅延している間は、IPCPv4 アドレスが使用され、フレーム化された IPv4 アドレスがアカウンティング開始パケットに追加されます。
アクセス要求機能の RADIUS 属性 8(Framed-IP-Address)を使用すると、ユーザと IP アドレスのマッピング テーブルを構築する RADIUS サーバで、アプリケーションを実行することができます。この機能により、サーバは、RADIUS サーバでの正常なユーザ認証の前に、カスタマイズしたユーザ ログイン ページの準備といった他のアプリケーションで、マッピング テーブルの情報を使用することができます。
アクセス要求内で RADIUS 属性 8 を送信するには、次の手順を実行します。
Command or Action | Purpose | |
---|---|---|
Step 1 |
enable Example:
|
特権 EXEC モードを有効にします。
|
Step 2 |
configure terminal Example:
|
グローバル コンフィギュレーション モードを開始します。 |
Step 3 |
radius-server attribute 8 include-in-access-req Example:
|
access-request パケット内で RADIUS 属性 8 を送信します。 |
RADIUS 属性 8 がアクセス要求内で送信されていることを確認するには、次の手順を実行します。属性 8 は、すべての PPP アクセス要求内に存在するはずです。
Command or Action | Purpose | |
---|---|---|
Step 1 |
enable Example:
|
特権 EXEC モードを有効にします。
|
Step 2 |
more system:running-config Example:
|
現在実行されているコンフィギュレーション ファイルの内容を表示します(コマンドmore system:running-config が show running-config コマンドに置き換えられていることに注意してください)。 |
Step 3 |
debug radius Example:
|
RADIUS 関連の情報を表示します。このコマンドの出力は、属性 8 がアクセス要求内で送信されているかどうかを示しています。 |
次の例は、ダイヤルイン ホストの IP アドレスを RADIUS アクセス要求内で RADIUS サーバに送信する NAS 設定を示しています。NAS は、RADIUS 認証、許可、アカウンティング(AAA)用に設定されています。IP アドレスのプール(async1-pool)が設定され、インターフェイス virtual-template1 に適用されています。
aaa new-model
aaa authentication login default group radius
aaa authentication ppp default group radius
aaa authorization network default group radius
aaa accounting network default start-stop group radius
!
ip address-pool local
!
interface virtual-template1
peer default ip address pool async1-pool
!
ip local pool async1-pool 209.165.200.225 209.165.200.229
!
radius-server host 172.31.71.146 auth-port 1645 acct-port 1646
radius-server retransmit 3
radius-server attribute 8 include-in-access-req
radius-server key radhost<xxx>: Example
次の項で、アクセス要求内の RADIUS 属性 8(Framed-IP-Address)に関する参考資料を紹介します。
関連項目 |
マニュアル タイトル |
---|---|
認証の設定および RADIUS の設定 |
『Cisco IOS XE Security Configuration Guide: Configuring User Services, Release 2』の「認証の設定」および「RADIUS の設定」の章。 |
セキュリティ コマンド |
『Cisco IOS Security Command Reference』 |
標準 |
タイトル |
---|---|
この機能でサポートされる新規の標準または変更された標準はありません。また、既存の標準のサポートは変更されていません。 |
-- |
MIB |
MIB のリンク |
---|---|
この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。 |
選択したプラットフォーム、Cisco IOS XE ソフトウェア リリース、およびフィーチャ セットの MIB の場所を検索しダウンロードするには、次の URL にある Cisco MIB Locator を使用します。 |
RFC |
タイトル |
---|---|
RFC 2138 |
説明 |
リンク |
---|---|
シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。 お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。 シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。 |
次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。
プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。
機能名 |
リリース |
機能情報 |
---|---|---|
アクセス要求内の RADIUS 属性 8(Framed-IP-Address) (スティッキー IP とも呼ばれます) |
Cisco IOS XE Release 2.1 |
アクセス要求内の RADIUS 属性 8(Framed-IP-Address)機能は、ネットワーク アクセス サーバ(NAS)から RADIUS サーバに、ユーザ認証に先立って、ユーザ IP アドレスのヒントを提供できるようにします。 Cisco IOS XE Release 2.1 では、Cisco ASR 1000 シリーズ Aggregation Services Router にこの機能が実装されました。 次のコマンドが導入または変更されました。radius-server attribute 8 include-in-access-req . |