|
1
|
User-Name
|
RADIUS サーバで認証されるユーザの名前を示します。
|
|
2
|
User-Password
|
Access-Challenge の後に続くユーザのパスワードとユーザ入力を示します。16 文字を超えるパスワードは、RFC 2865 の仕様により暗号化されます。
|
|
3
|
CHAP-Password
|
Access-Challenge に対する応答で PPP Challenge Handshake Authentication Protocol(CHAP)ユーザが入力した応答値を示します。
|
|
4
|
NAS-IP Address
|
認証を要求しているネットワーク アクセス サーバの IP アドレスを示します。デフォルト値は 0.0.0.0/0 です。
|
|
5
|
NAS-Port
|
ユーザを認証しているネットワーク アクセス サーバの物理ポート番号を示します。NAS-Port 値(32 ビット)は、1 つまたは 2 つの 16 ビット値(radius-server extended-portnames コマンドの設定に依存)で構成されます。各 16 ビットの数値は、次のように、解釈用の 5 桁の 10 進整数として表示されるはずです。
非同期端末回線、非同期ネットワーク インターフェイス、および仮想非同期インターフェイスの場合、この値は 00ttt です。ここで、ttt は回線番号または非同期インターフェイスユニット番号です。
|
|
6
|
Service-Type
|
要求されたサービスのタイプまたは指定されたサービスのタイプを示します。
既知の PPP または Serial Line Internet Protocol(SLIP)接続の場合にフレーム化。enable コマンドの場合は Administrative-user。
Login:接続を確立します。Framed:SLIP または PPP を開始します。Administrative User:EXEC または enable ok を開始します。
Exec User:EXEC セッションを開始します。
サービス タイプは、次のような特定の数値で示されます。
-
1:Login
-
2:Framed
-
3:Callback-Login
-
4:Callback-Framed
-
5:Outbound
-
6:Administrative
-
7:NAS-Prompt
-
8:Authenticate Only
-
9:Callback-NAS-Prompt
|
|
7
|
Framed-Protocol
|
フレーム化アクセスに使用されるフレーム構成を示します。他のフレーム構成は許可されません。
フレーム構成は次のように数値で指定されます。
|
|
8
|
Framed-IP-Address
|
access-request 内でユーザの IP アドレスを RADIUS サーバに送信することによって、ユーザに対して設定する IP アドレスを示します。このコマンドを有効にするには、グローバル コンフィギュレーション モードで radius-server attribute 8 include-in-access-req コマンドを使用します。
|
|
9
|
Framed-IP-Netmask
|
ユーザがネットワーク上でデバイスを使用している場合に、ユーザに対して設定する IP ネットマスクを示します。この属性値によって、指定されたマスクを使用して Framed-IP-Address にスタティック ルートが追加されることになります。
|
|
10
|
Framed-Routing
|
ユーザがネットワーク上でデバイスを使用している場合に、ユーザに対するルーティング方式を示します。この属性に対してサポートされている値は、「None」と「Send and Listen」だけです。
ルーティング方式は次のように数値で指定されます。
-
0:なし
-
1:ルーティング パケットの送信
-
2:ルーティング パケットのリッスン
-
3:ルーティング パケットの送信とリッスン
|
|
11
|
Filter-Id
|
ユーザのフィルタ リストの名前を示し、%d、%d.in、または %d.out としてフォーマットされます。この属性は、最近のサービス タイプ コマンドに関連付けられます。ログインと EXEC の場合は、0 ~ 199 の回線アクセス リスト値として
%d または %d.out を使用します。フレーム化サービスの場合は、インターフェイス出力アクセス リストとして %d または %d.out を使用し、入力アクセス リストとして %d.in を使用します。この番号は、参照しているプロトコルに対する自己符号化です。
|
|
12
|
Framed-MTU
|
最大伝送ユニット(MTU)が PPP でネゴシエートされない場合に、ユーザに対して設定可能な MTU を示します。
|
|
13
|
Framed-Compression
|
リンクに使用される圧縮プロトコルを示します。この属性により、EXEC 認可時に生成される PPP または SLIP オートコマンドに「/compress」が追加されます。これは EXEC 認可以外には実装されていません。
圧縮プロトコルは次のように数値で指定されます。
-
0:なし
-
1:VJ-TCP/IP ヘッダー圧縮
-
2:IPX ヘッダー圧縮
|
|
14
|
Login-IP-Host
|
Login-Service 属性が含まれている場合に、ユーザが接続するホストを示しますこの動作はログイン直後に開始されます。
|
|
15
|
Login-Service
|
ユーザをログイン ホストに接続するために使用すべきサービスを示します。
サービスは次のように数値で指定されます。
-
0:Telnet
-
1:Rlogin
-
2:TCP-Clear
-
3:PortMaster
-
4:LAT
|
|
16
|
Login-TCP-Port
|
Login-Service 属性も存在する場合に、ユーザを接続すべき TCP ポートを定義します。
|
|
18
|
Reply-Message
|
RADIUS サーバを使用してユーザに表示される可能性のあるテキストを示します。この属性はユーザ ファイルに含めることができますが、プロファイル当たりの Reply-Message エントリ数を 16 以下にする必要があります。
|
|
19
|
Callback-Number
|
コールバックに使用するダイヤリング文字列を定義します。
|
|
20
|
Callback-ID
|
呼び出される場所の名前、つまり、ネットワーク アクセス サーバによって解釈される場所の名前(1 つ以上のオクテットからなる)を定義します。
|
|
22
|
Framed-Route
|
このネットワーク アクセス サーバ上のユーザに対して設定するルーティング情報を指定します。RADIUS RFC 形式(net/bits [router [metric]])と従来のドット区切りのマスク(net mask [router [metric]])がサポートされています。デバイス
フィールドを省略するか、0 にした場合は、ピア IP アドレスが使用されます。現在、メトリックは無視されます。この属性は access-request パケットです。
|
|
23
|
Framed-IPX-Network
|
ユーザに対して設定される IPX ネットワーク番号を定義します。
|
|
24
|
State
|
ネットワーク アクセス サーバと RADIUS サーバ間で状態情報の保持を可能にします。この属性は CHAP チャレンジにしか適用できません。
|
|
25
|
Class
|
(アカウンティング)RADIUS サーバで入力された場合に、このユーザに関するすべてのアカウンティング パケットにネットワーク アクセス サーバで追加される任意の値
|
|
26
|
Vendor-Specific
|
ベンダーに一般使用に適さない独自の拡張属性の使用を許可します。シスコの RADIUS 実装は、この仕様で推奨される形式を使用して、1 つのベンダー固有オプションをサポートしています。シスコのベンダー ID は 9 であり、サポート対象のオプションはベンダータイプ
1(名前は「cisco-avpair」)です。値は、次の形式のストリングです。
protocol : attribute sep value
「protocol」は、特定の認可タイプに使用するシスコの「protocol」属性の値です。「attribute」および「value」は、シスコの TACACS+ 仕様で定義されている適切な AV ペアです。「sep」は、必須の属性の場合は「=」、任意指定の属性の場合は「*」です。これにより、TACACS+
認可で使用できるすべての機能を RADIUS にも使用できるようになります。次に例を示します。
cisco-avpair= ”ip:addr-pool=first“
cisco-avpair= ”shell:priv-lvl=15“
1 つめの例は、IP 認可の際(PPP の IPCP アドレスの割り当て中)にシスコの「Multiple Named ip address Pools」機能を有効化します。2 つめの例は、ネットワーク アクセス サーバからのユーザ ログイン直後に
EXEC コマンドにアクセスできるようにします。
表 1 に、サポートされているベンダー固有 RADIUS 属性(IETF 属性 26)を示します。
|
|
27
|
Session-Timeout
|
セッションを終了する前に、ユーザにサービスを提供する最大秒数を設定します。この属性値は、ユーザ単位の絶対タイムアウトになります。
|
|
28
|
Idle-Timeout
|
セッションが終了する前にユーザに許可されるアイドル接続の最大秒数を設定します。この属性値は、ユーザ単位のセッションタイムアウトになります。
|
|
29
|
Termination-Action
|
終了は次のように数値で指定されます。
|
|
30
|
Called-Station-Id
|
(アカウンティング)ネットワーク アクセス サーバから、ユーザが Access-Request パケットの一部として呼び出した電話番号を送信できるようにします(着信番号識別サービス(DNIS)または同様の技術を使用)。この属性は、ISDN と、PRI
と一緒に使用された場合の Cisco AS5200 上のモデム コールに対してのみサポートされます。
|
|
31
|
Calling-Station-Id
|
(アカウンティング)ネットワーク アクセス サーバから、コールが Access-Request パケットの一部として発信された電話番号を送信できるようにします(自動番号識別または同様の技術を使用)。この属性の値は、TACACS+ の「remote-addr」の値と同じです。この属性は、ISDN
と、PRI と一緒に使用された場合の Cisco AS5200 上のモデム コールに対してのみサポートされます。
|
|
32
|
NAS-Identifier
|
Access-Request を送信したネットワーク アクセス サーバを識別する文字列。radius-server attribute 32 include-in-access-req グローバル コンフィギュレーション コマンドを使用して、Access-Request または Accounting-Request 内で RADIUS 属性 32 を送信します。フォーマットが指定されなかった場合は、デフォルトで、完全修飾ドメイン名(FQDN)が属性内で送信されます。
|
|
33
|
Proxy-State
|
Access-Request の転送時にプロキシ サーバから別のサーバに送信可能な属性。この属性は、Access-Accept、Access-Reject、または Access-Challenge 内でそのまま返され、ネットワーク アクセス
サーバに応答が送信される前にプロキシ サーバで削除される必要があります。
|
|
34
|
Login-LAT-Service
|
ユーザをローカル エリア トランスポート(LAT)で接続すべきシステムを示します。この属性は、EXEC モードでのみ使用できます。
|
|
35
|
Login-LAT-Node
|
ユーザが LAT で自動的に接続されるノードを示します。
|
|
36
|
Login-LAT-Group
|
ユーザに使用が認可されている LAT グループ コードを識別します。
|
|
37
|
Framed-AppleTalk-Link
|
AppleTalk デバイスであるシリアル リンクに使用すべき別の AppleTalk のネットワーク番号を示します。
|
|
38
|
Framed-AppleTalk- Network
|
ユーザに AppleTalk ノードを割り当てるためにネットワーク アクセス サーバで使用される AppleTalk ネットワーク番号を示します。
|
|
39
|
Framed-AppleTalk-Zone
|
ユーザに使用すべき AppleTalk デフォルト ゾーンを示します。
|
|
40
|
Acct-Status-Type
|
(アカウンティング)この Accounting-Request がユーザ サービスの始まり(開始)または終わり(終了)をマークするかどうかを示します。
|
|
41
|
Acct-Delay-Time
|
(アカウンティング)クライアントが特定のレコードの送信を試みる秒数を示します。
|
|
42
|
Acct-Input-Octets
|
(アカウンティング)このサービスの提供中にポートから受信されたオクテット数を示します。
|
|
43
|
Acct-Output-Octets
|
(アカウンティング)このサービスの配信中にポートに送信されたオクテット数を示します。
|
|
44
|
Acct-Session-Id
|
(アカウンティング)ログ ファイル内の開始レコードと終了レコードのマッチングを容易にする一意のアカウンティング識別子。Acct-Session ID の番号は、デバイスの電源を入れ直したり、ソフトウェアをリロードしたりするたびに、1 から再開します。この属性を
access-request パケット内で送信するには、グローバル コンフィギュレーション モードで radius-server attribute 44 include-in-access-req コマンドを使用します。
|
|
45
|
Acct-Authentic
|
(アカウンティング)ユーザがどのように認証されたか、RADIUS、ネットワーク アクセス サーバ自体、およびその他のリモート認証プロトコルのどれで認証されたかを示します。この属性は、RADIUS で認証されたユーザの場合は「radius」に、TACACS+
と Kerberos の場合は「remote」に、local、enable、line、および if-needed 方式の場合は「local」に設定されます。その他のすべての方式の場合は、この属性が省略されます。
|
|
46
|
Acct-Session-Time
|
(アカウンティング)ユーザがサービスを受信していた時間(秒数)を示します。
|
|
47
|
Acct-Input-Packets
|
(アカウンティング)このサービスのフレーム化ユーザへの提供中にポートから受信されたパケット数を示します。
|
|
48
|
Acct-Output-Packets
|
(アカウンティング)このサービスのフレーム化ユーザへの配信中にポートに送信されたパケット数を示します。
|
|
49
|
Acct-Terminate-Cause
|
(アカウンティング)接続が終了した理由の詳細を報告します。終了の理由は次のように数値で指定されます。
-
ユーザ要求
-
搬送が失われた
-
サービスの消失
-
アイドル タイムアウト
-
セッション タイムアウト
-
管理リセット
-
管理リブート
-
ポート エラー
-
NAS エラー
-
NAS 要求
-
NAS リブート
-
ポートの不要化
-
ポートの横取り
-
ポートの保留
-
使用できないサービス
-
コールバック
-
ユーザー エラー
-
ホスト要求
|
Note
|
属性 49 に関して、シスコは 1 ~ 6、8、9、12、および 15 ~ 18 の値をサポートしています。
|
|
|
50
|
Acct-Multi-Session-Id
|
(アカウンティング)ログ ファイル内の複数の関連セッションをリンクするために使用される一意のアカウンティング識別子。
マルチリンク セッション内でリンクされたセッションごとに、一意の Acct-Session-Id 値が割り当てられますが、Acct-Multi-Session-Id は共有されます。
|
|
51
|
Acct-Link-Count
|
(アカウンティング)アカウンティング レコードが生成された時点で特定のマルチリンク セッション内で認識されていたリンク数を示します。ネットワーク アクセス サーバは、複数のリンクが含まれる任意のアカウンティング要求内にこの属性を追加できます。
|
|
52
|
Acct-Input-Gigawords
|
サービスの提供中に Acct-Input-Octets カウンタが一周(2 の 32 乗)した回数を示します。
|
|
53
|
Acct-Output-Gigawords
|
サービスの配信中に Acct-Output-Octets カウンタが一周(2 の 32 乗)した回数を示します。
|
|
55
|
Event-Timestamp
|
NAS 上でイベントが発生した時刻を記録します。属性 55 内で送信されるタイムスタンプは、1970 年 1 月 1 日 00:00 UTC 以降の秒数です。アカウンティングパケット内で RADIUS 属性 55 を送信するには、radius-server attribute 55 include-in-acct-req コマンドを使用します。
|
Note
|
アカウンティング パケット内で Event-Timestamp 属性を送信するには、ネットワーク デバイスのクロックを設定する必要があります(ネットワーク デバイスのクロックの設定方法については、ネットワーク管理の設定ガイドの「基本システム管理」の章の「基本システム管理の実行」を参照してください)。ネットワークデバイスがリロードされるたびにネットワークデバイスのクロックを設定するのを避けるには、clock calendar-valid コマンドを有効にします。(このコマンドの詳細については、ネットワーク管理の設定ガイドの「基本システム管理」の章の「時刻およびカレンダー サービスの設定」を参照してください)。
|
|
|
60
|
CHAP-Challenge
|
ネットワーク アクセス サーバから PPP CHAP ユーザに送信されたチャレンジ ハンドシェーク認証プロトコル チャレンジが保存されます。
|
|
61
|
NAS-Port-Type
|
ユーザを認証するためにネットワーク アクセス サーバで使用されている物理ポートのタイプを示します。物理ポートは、次のように数値で示されます。
-
0:非同期
-
1:同期
-
2:ISDN 同期
-
3:ISDN 非同期(V.120)
-
4:ISDN 非同期(V.110)
-
5:仮想
|
|
62
|
Port-Limit
|
NAS からユーザに提供される最大ポート数を設定します。
|
|
63
|
Login-LAT-Port
|
ユーザを LAT で接続すべきポートを定義します。
|
|
64
|
Tunnel-Type3
|
使用されているトンネリング プロトコルを示します。シスコのソフトウェアでは、この属性の値として L2TP がサポートされます。
|
|
65
|
Tunnel-Medium-Type1
|
トンネルの作成に使用される転送メディア タイプを示します。この属性には、このリリースで使用可能な値(IP)が 1 つしかありません。この属性に値を設定しなかった場合は、デフォルトとして IP が使用されます。
|
|
66
|
Tunnel-Client-Endpoint
|
トンネルの開始側端のアドレスが含まれています。Access-Request と Access-Accept の両方のパケットに含めて、新しいトンネルを開始するアドレスを示すこともできます。Tunnel-Client-Endpoint 属性が
Access-Request パケットに含まれている場合、RADIUS サーバはその値を指示として取得する必要があります。この属性は、Accounting-Request パケットに含める必要があります。このパケットには、トンネルが開始されたアドレスを示す場合に
Start と Stop のどちらかの値を伴う Acct-Status-Type 属性が含まれています。この属性は、Tunnel-Server-Endpoint 属性や Acct-Tunnel-Connection-ID 属性と一緒に使用して、アカウンティングと監査の目的でトンネルを特定する、グローバルで一意の手段を提供できます。
次のように、この属性の 127.0.0.X の値を受け入れるためにネットワーク アクセス サーバの機能が拡張されています。
127.0.0.0 は loopback0 の IP アドレスを使用する必要があることを示し、127.0.0.1 は loopback1 の IP アドレスを使用する必要があることを示します。127.0.0.X は、実際のトンネル クライアント
エンドポイントの IP アドレスに loopbackX の IP アドレスを使用する必要があることを示します。この機能拡張によって、複数のネットワーク アクセス サーバ全体のスケーラビリティが向上します。
|
|
67
|
Tunnel-Server-Endpoint1
|
トンネルのサーバ端のアドレスを示します。この属性のフォーマットは、Tunnel-Medium-Type の値によって異なります。リリースによっては、トンネル メディア タイプとして IP のみがサポートされ、IP アドレスまたは LNS のホスト名がこの属性に使用できる場合があります。
|
|
68
|
Acct-Tunnel-Connection-ID
|
トンネル セッションに割り当てられた識別子を示します。この属性は、Start、Stop、または上記のいずれかを値として持つ Acct-Status-Type 属性と一緒に Accounting-Request パケットに含める必要があります。この属性は、Tunnel-Client-Endpoint
属性や Tunnel-Server-Endpoint 属性と一緒に使用して、監査の目的でトンネル セッションを一意に特定する手段を提供できます。
|
|
69
|
Tunnel-Password1
|
リモート サーバの認証に使用されるパスワードを定義します。この属性は、Tunnel-Type の値(AAA_ATTR_l2tp_tunnel_pw (L2TP)、AAA_ATTR_nas_password (L2F)、および AAA_ATTR_gw_password
(L2F))に基づいて、さまざまな AAA 属性に変換されます。
デフォルトで、受信されたすべてのパスワードが暗号化されます。そのため、NAS が暗号化されていないパスワードを復号化しようとすると、認可エラーが発生する可能性があります。属性 69 を有効にして、暗号化されていないパスワードを受信できるようにするには、グローバル
コンフィギュレーション モードで radius-server attribute 69 clear コマンドを使用します。
|
|
70
|
ARAP-Password
|
AppleTalk Remote Access Control(ARAP)の Framed-Protocol を含む Access-Request パケットを識別します。
|
|
71
|
ARAP-Features
|
ARAP feature flags パケットで NAS からユーザに送信する必要のあるパスワード情報が含まれています。
|
|
72
|
ARAP-Zone-Access
|
ユーザの ARAP ゾーン リストの使用方法を示します。
|
|
73
|
ARAP-Security
|
Access-Challenge パケット内で使用すべき ARAP セキュリティ モジュールを示します。
|
|
74
|
ARAP-Security-Data
|
Access-Challenge および Access-Request パケットに実際のセキュリティモジュールのチャレンジまたは応答が含まれています。
|
|
75
|
Password-Retry
|
ユーザが切断されるまでに認証を試みることができる回数を示します。
|
|
76
|
Prompt
|
ユーザの応答をエコーすべきか否かを NAS に指示します(0 = エコーなし、1 = エコーあり)。
|
|
77
|
Connect-Info
|
モデム コールに関する追加情報を提供します。この属性は start と stop のアカウンティング レコード内で生成されます。
|
|
78
|
Configuration-Token
|
使用するユーザ プロファイルのタイプを示します。この属性は、プロキシに基づく大規模な分散認証ネットワークで使用する必要があります。Access-Accept 内で RADIUS プロキシ サーバから RADIUS プロキシ クライアントに送信されます。NAS
には送信しないでください。
|
|
79
|
EAP-Message
|
Extended Access Protocol(EAP)プロトコルを理解していなくても、NAS で EAP を使用してダイヤルイン ユーザを認証できるように EAP パケットをカプセル化します。
|
|
80
|
Message-Authenticator
|
CHAP、ARAP、または EAP 認証方式を使用して Access-Requests のスプーフィングを阻止します。
|
|
81
|
Tunnel-Private-Group-ID
|
特定のトンネル化されたセッションのグループ ID を示します。
|
|
82
|
Tunnel-Assignment-ID1
|
セッションが割り当てられた特定のトンネル イニシエータを示します。
|
|
83
|
Tunnel-Preference
|
各トンネルに割り当てられた相対プリファレンスを示します。この属性は、RADIUS サーバからトンネル イニシエータに複数のトンネリング属性のセットが返される場合に含める必要があります。
|
|
84
|
ARAP-Challenge-Response
|
ダイヤルイン クライアントのチャレンジに対する応答が含まれています。
|
|
85
|
Acct-Interim-Interval
|
この特定のセッションの一時更新間隔を秒数で示します。この値は、Access-Accept メッセージにのみ含めることができます。
|
|
86
|
Acct-Tunnel-Packets-Lost
|
特定のリンク上で失われたパケット数を示します。この属性は、Tunnel-Link-Stop の値を持つ Acct-Status-Type 属性と一緒に Accounting-Request パケットに含める必要があります。
|
|
87
|
NAS-Port-ID
|
ユーザを認証している NAS のポートを識別するテキスト文字列が含まれています。
|
|
88
|
Framed-Pool
|
ユーザにアドレスを割り当てるために使用すべき、割り当て済みのアドレス プールの名前が含まれています。NAS が複数のアドレス プールをサポートしていない場合は、この属性を無視する必要があります。
|
|
90
|
Tunnel-Client-Auth-ID
|
トンネル セットアップをトンネル ターミネータで認証するときに、トンネル イニシエータ(NAS とも呼ばれる)で使用される名前を示します。L2F プロトコルと L2TP プロトコルをサポートします。
|
|
91
|
Tunnel-Server-Auth-ID
|
トンネル セットアップをトンネル イニシエータで認証するときに、トンネル ターミネータ(ホーム ゲートウェイとも呼ばれる)で使用される名前を示します。L2F プロトコルと L2TP プロトコルをサポートします。
|
|
200
|
IETF-Token-Immediate
|
ファイル エントリがハンドヘルド セキュリティ カード サーバを示しているログイン ユーザから受け取ったパスワードを RADIUS でどのように処理するかを決定します。
この属性の値は次のように数値で指定されます。
-
0:No - パスワードは無視されます。
-
1:Yes - パスワードが認証に使用されます。
|
フィードバック