サーバ単位グループ レベルで指定された RADIUS 属性 5 NAS-Port フォーマット

サーバ単位グループ レベルで指定された RADIUS 属性 5(NAS-Port)フォーマット機能を使用すれば、RADIUS サーバ グループごとに設定をカスタマイズできます。この柔軟性によって、グローバル フォーマットの代わりに、カスタマイズされたネットワーク アクセス サーバ(NAS)ポート フォーマットを使用できます。

サーバ単位グループ レベルで指定された RADIUS 属性 5 NAS-Port フォーマットの前提条件

  • 認証、認可、およびアカウンティング(AAA)コンポーネントを含む Cisco IOS イメージを実行する必要があります。

サーバ単位グループ レベルで指定された RADIUS 属性 5 NAS-Port フォーマットに関する情報

RADIUS 属性 5 フォーマットのカスタマイズ

Cisco IOS リリース 12.3(14)T よりも前の Cisco IOS ソフトウェアでは、アクセス要求またはアカウンティング要求で送信された RADIUS 属性をグローバルにカスタマイズすることが可能でした。設定可能な各属性では、RADIUS サーバとの通信時の動作がカスタマイズできました。サーバ グループの実装により、グローバル属性設定の柔軟性が制限され、ルータと相互に通信する可能性のあるさまざまな RADIUS サーバをサポートするのに必要な、種々のカスタマイズに対処できなくなりました。たとえば、global radius-server attribute nas-port format command オプションを設定すると、RADIUS サーバーと相互に通信するルータのすべてのサービスが同じ設定で使用されていました。

Cisco IOS リリース 12.3(14)T では、ルータを設定して、サーバ単位のグループを柔軟に上書きできるようになりました。RADIUS サーバ上のさまざまなサービス タイプに固有の名前付け方式を使用するようサービスを設定できます。サービス タイプは、独自のサービス グループを使用するように設定できます。この柔軟性により、NAS-port フォーマットをカスタマイズして、グローバル フォーマットの代わりに使用できるようになりました。

サーバ単位グループ レベルで指定された RADIUS 属性 5 NAS-Port フォーマットの設定方法

サーバ単位グループ レベルの RADIUS 属性 5 フォーマットの設定

サーバ単位グループ レベルの RADIUS 属性 5 フォーマットをサポートするようにルータを設定するには、次の手順を実行します。


Note


サーバ単位グループの機能を使用するには、名前付け方式リストをサービス内で積極的に使用する必要があります。1 つのクライアントを特定の名前付き方式を使用するように設定して、他のクライアントをデフォルト フォーマットを使用するように設定できます。


Before you begin

次の手順を実行する前に、まず AAA の方式リストを設定して、お客様の状況に適用できるようにする必要があります。

SUMMARY STEPS

  1. enable
  2. configure terminal
  3. aaa group server radius group-name
  4. server ip-address [auth-port port-number ] [acct-port port-number ]
  5. attribute nas-port format format-type [string ]

DETAILED STEPS

  Command or Action Purpose

Step 1

enable

Example:


Router> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

Step 2

configure terminal

Example:


Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

Step 3

aaa group server radius group-name

Example:


Router (config)# aaa group server radius radius1

異なる RADIUS サーバ ホストを別々のリストと方式にグループ化し、server-group コンフィギュレーション モードを開始します。

Step 4

server ip-address [auth-port port-number ] [acct-port port-number ]

Example:


Router (server-group)# server 172.101.159.172 auth-port 1645 acct-port 1646

グループ サーバー用の RADIUS サーバーの IP アドレスを設定します。

Step 5

attribute nas-port format format-type [string ]

Example:


Router (server-group)# attribute nas-port format d

サービスの種類ごとに固有の名前付け方式を使用するようにサービスを設定します。

  • サービス タイプは、独自のサーバ グループを使用するように設定できます。

サーバ単位グループ レベルの RADIUS 属性 5 フォーマットのモニタリングとメンテナンス

サーバー単位グループレベルの RADIUS 属性 5 フォーマットをモニターおよびメンテナンスするには、次の手順を実行します(debug コマンドは個別に使用される場合があります)。

SUMMARY STEPS

  1. enable
  2. debug aaa sg-server selection
  3. debug radius

DETAILED STEPS

  Command or Action Purpose

Step 1

enable

Example:


Router> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

Step 2

debug aaa sg-server selection

Example:


Router# debug aaa sg-server selection

ルータ内の RADIUS および TACACS+ サーバ グループ システムが特定のサーバを選択している理由に関する情報を表示します。

Step 3

debug radius

Example:


Router# debug radius

サーバ グループが特定の要求に対して選択されたことを示す情報を表示します。

サーバ単位グループ レベルで指定された RADIUS 属性 5 NAS-Port フォーマットの設定例

サーバ単位グループ レベルで指定された RADIUS 属性 5 フォーマットの例

次の設定例は、デフォルトが形式 F:\tips-migration を使用する一方、RADIUS 属性 5 を送信しないよう選択された専用線 PPP クライアントを示します。


interface Serial2/0
 no ip address
 encapsulation ppp
 ppp accounting SerialAccounting
 ppp authentication pap
aaa accounting network default start-stop group radius
aaa accounting network SerialAccounting start-stop group group1
aaa group server radius group1
 server 10.101.159.172 auth-port 1645 acct-port 1646
 attribute nas-port none
radius-server host 10.101.159.172 auth-port 1645 acct-port 1646
radius-server attribute nas-port format d

その他の参考資料

ここでは、RADIUS ベンダー固有属性(VSA)および RADIUS Disconnect-Cause 属性値に関する関連資料について説明します。

関連資料

関連項目

マニュアル タイトル

Cisco IOS コマンド

『Cisco IOS Master Commands List, All Releases』

セキュリティ コマンド

『Cisco IOS Security Command Reference』

セキュリティ機能

Cisco IOS XE Security Configuration Guide: Securing User Services, Release 2』

セキュリティ サーバ プロトコル

Cisco IOS XE Security Configuration Guide: Securing User Services, Release 2』の「セキュリティ サーバ プロトコル」の項

RADIUS Configuration

「RADIUS の設定」機能モジュール。

標準

標準

タイトル

インターネット技術特別調査委員会(IETF)インターネット ドラフト:Network Access Servers Requirements

「Network Access Servers Requirements: Extended RADIUS Practices」

MIB

MIB

MIB のリンク

なし。

選択したプラットフォーム、Cisco ソフトウェア リリース、およびフィーチャ セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC

タイトル

RFC 2865

『Remote Authentication Dial In User Service (RADIUS)』

シスコのテクニカル サポート

説明

リンク

シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。

お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。

シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。

http://www.cisco.com/cisco/web/support/index.html

サーバ単位グループ レベルで指定された RADIUS 属性 5 NAS-Port フォーマットの機能情報

次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。

プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。
Table 1. サーバ単位グループ レベルで指定された RADIUS 属性 5(NAS-Port)フォーマットの機能情報

機能名

リリース

機能情報

サーバ単位グループ レベルで指定された RADIUS 属性 5(NAS-Port)フォーマット

Cisco IOS XE Release 3.9S

サーバ単位グループ レベルで指定された RADIUS 属性 5(NAS-Port)フォーマット機能を使用すれば、RADIUS サーバ グループごとに設定をカスタマイズできます。この柔軟性によって、グローバル フォーマットの代わりに、カスタマイズされたネットワーク アクセス サーバ(NAS)ポート フォーマットを使用できます。

次のコマンドが導入または変更されました。\tips-migration attribute nas-port format