RADIUS ベンダー固有属性および RADIUS Disconnect-Cause 属性値に関する情報
シスコの RADIUS 実装は、この仕様で推奨される形式を使用して、1 つのベンダー固有オプションをサポートしています。シスコのベンダー ID は 9 であり、サポート対象のオプションはベンダータイプ 1(名前は「cisco-avpair」)です。値は、次の形式のストリングです。
protocol : attribute sep value *
「Protocol」は、特定の認可タイプを表すシスコの「protocol」属性です。使用可能なプロトコルには、IP、IPX、VPDN、VOIP、SHELL、RSVP、SIP、AIRNET、OUTBOUND があります。「attribute」および「value」は、シスコの TACACS+ 仕様で定義されている適切な属性値(AV)ペアです。「sep」は、必須の属性の場合は「=」、任意指定の属性の場合は「*」です。これにより、TACACS+ 認可で使用できるすべての機能を RADIUS にも使用できるようになります。
たとえば、次の AV ペアは IP 許可の際(PPP の IPCP アドレス割り当ての際)、シスコの「multiple named ip address pools」機能を起動します。
cisco-avpair= ”ip:addr-pool=first“
「*」を挿入すると、AV ペア「ip:addr-pool=first」は任意指定になります。AV ペアはオプションにできることに注意してください。
cisco-avpair= ”ip:addr-pool*first“
次に、ネットワーク アクセス サーバからユーザがログインしたときに、すぐに EXEC コマンドを実行する方法の例を示します。
cisco-avpair= ”shell:priv-lvl=15“
属性 26 には、次の 3 つの要素が含まれています。
-
タイプ
-
長さ
-
文字列(またはデータ) - Vendor-Id
- Vendor-Type
- Vendor-Length
- Vendor-Data
次の図は、属性 26 の「背後で」カプセル化される VSA のパケット形式を示します。
Note |
VSA の形式はベンダーが指定します。Attribute-Specific フィールド(Vendor-Data とも呼ばれる)は、ベンダーによるその属性の定義によって異なります。 |
次の表に、「ベンダー固有 RADIUS IETF 属性テーブル」(次の 2 番目の表)で表示される重要なフィールドを示します。これは、サポート対象のベンダー固有 RADIUS 属性(IETF 属性 26)を表示します。
フィールド |
説明 |
---|---|
番号 |
次の表に示されるすべての属性は、IETF 属性 26 の拡張です。 |
ベンダー固有のコマンドコード |
特定のベンダーの識別に使用する定義されたコード。コード 9 は Cisco VSA、311 は Microsoft VSA、529 は Ascend VSA を定義します。 |
サブタイプ番号 |
属性 ID 番号。この番号は、属性 26 の背後でカプセル化される「2 番めのレイヤ」の ID 番号であること以外、IETF 属性の ID 番号に似ています。 |
属性 |
属性の ASCII 文字列名。 |
説明 |
属性の説明。 |
番号 |
ベンダー固有の企業コード |
サブタイプ番号 |
属性 |
説明 |
||
---|---|---|---|---|---|---|
MS-CHAP 属性 |
||||||
26 |
311 |
1 |
MSCHAP-Response |
PPP MS-CHAP ユーザがチャレンジに対する応答で提供するレスポンス値が含まれます。Access-Request パケットでしか使用されません。この属性は、PPP CHAP ID と同じです(RFC 2548)。 |
||
26 |
311 |
11 |
MSCHAP-Challenge |
ネットワーク アクセス サーバが MS-CHAP ユーザに送信するチャレンジが含まれます。これは、Access-Request パケットと Access-Challenge パケットの両方で使用できます。(RFC 2548)。 |
||
VPDN 属性 |
||||||
26 |
9 |
1 |
l2tp-busy-disconnect |
LNS の vpdn-group で、事前にコピーするよう設定された仮想テンプレートを使用している場合、この属性は、接続先の事前にコピーされたインターフェイスが検索されない、新しい L2TP セッションのディスポジションを制御します。属性が true(デフォルト)の場合、セッションが LNS により切断されます。そうでない場合は、新しいインターフェイスが仮想テンプレートからコピーされます。 |
||
26 |
9 |
1 |
l2tp-cm-local-window-size |
L2TP 制御メッセージの最大受信ウィンドウ サイズを指定します。この値は、トンネルの確立中にピアにアドバタイズされます。 |
||
26 |
9 |
1 |
l2tp-drop-out-of-order |
正しくない順序で受信したデータパケットを破棄して、シーケンス番号を順守します。これは受信した場合の処理方法であって、データ パケット上でシーケンス番号が送信されるわけではありません。 |
||
26 |
9 |
1 |
l2tp-hello-interval |
hello キープアライブ インターバルの秒数を指定します。ここで指定した秒数、トンネルでデータが送信されないと、hello パケットが送信されます。 |
||
26 |
9 |
1 |
l2tp-hidden-avp |
有効にすると、L2TP 制御メッセージで、大文字小文字を区別する AVP にスクランブルがかけられるか、または非表示になります。 |
||
26 |
9 |
1 |
l2tp-nosession-timeout |
タイムアウトおよびシャットダウンまでに、セッションなしでトンネルがアクティブのままになる秒数を指定します。 |
||
26 |
9 |
1 |
tunnel-tos-reflect |
LNS でトンネルに入るパケットに対して、IP ToS フィールドを各ペイロード パケットの IP ヘッダーからトンネル パケットの IP ヘッダーにコピーします。 |
||
26 |
9 |
1 |
l2tp-tunnel-authen |
この属性を設定すると、L2TP トンネル認証が実行されます。 |
||
26 |
9 |
1 |
l2tp-tunnel-password |
L2TP トンネル認証および AVP 隠蔽に使用される共有秘密。 |
||
26 |
9 |
1 |
l2tp-udp-checksum |
これは認可属性で、L2TP がデータ パケットに対して UDP チェックサムを実行する必要があるかどうかを定義します。有効な値は「yes」と「no」です。デフォルトは「no」です。 |
||
H323 属性 |
||||||
26 |
9 |
23 |
Remote-Gateway-ID (h323-remote-address) |
リモート ゲートウェイの IP アドレスを示します。 |
||
26 |
9 |
24 |
Connection-ID (h323-conf-id) |
会議 ID を識別します。 |
||
26 |
9 |
25 |
Setup-Time (h323-setup-time) |
以前、グリニッジ標準時(GMT)およびズール タイムと呼ばれていた協定世界時(UTC)でのこの接続のセットアップ時間を示します。 |
||
26 |
9 |
26 |
Call-Origin (h323-call-origin) |
ゲートウェイに対するコールの発行元を示します。有効値は、originating および terminating です(回答)。 |
||
26 |
9 |
27 |
Call-Type (h323-call-type) |
コールのレグ タイプを示します。使用可能な値は telephony と VoIP です。 |
||
26 |
9 |
28 |
Connect-Time (h323-connect-time) |
このコール レッグの UTC での接続時間を示します。 |
||
26 |
9 |
29 |
Disconnect-Time (h323-disconnect-time) |
このコール レッグが UTC で接続解除された時間を示します。 |
||
26 |
9 |
30 |
Disconnect-Cause (h323-disconnect-caus)e |
Q.931 仕様によって、接続がオフラインにされた理由を示します。 |
||
26 |
9 |
31 |
Voice-Quality (h323-voice-quality) |
コールの音声品質に影響する Impairment Factor(ICPIF)を指定します。 |
||
26 |
9 |
33 |
Gateway-ID (h323-gw-id) |
下位のゲートウェイの名前を示します。 |
||
大規模のダイヤルアウト属性 |
||||||
26 |
9 |
1 |
callback-dialstring |
コールバックに使用するダイヤリング文字列を定義します。 |
||
26 |
9 |
1 |
data-service |
説明はありません。 |
||
26 |
9 |
1 |
dial-number |
ダイヤルする番号を定義します。 |
||
26 |
9 |
1 |
force-56 |
チャネルの 64 K すべてが使用可能に見える場合でも、ネットワーク アクセス サーバが 56 K の部分のみを使用するかどうかを指定します。 |
||
26 |
9 |
1 |
map-class |
ユーザ プロファイルに、ダイヤルアウトするネットワーク アクセス サーバ上で同じ名前のマップ クラスで設定される情報の参照を許可します。 |
||
26 |
9 |
1 |
send-auth |
CLID 認証に続く、username-password 認証で使用するプロトコル(PAP または CHAP)を定義します。 |
||
その他の属性 |
||||||
26 |
9 |
2 |
Cisco-NAS-Port |
NAS-Port アカウンティングに追加的なベンダー固有属性(VSA)を指定します。属性値ペア(AVPair)ストリングの形式で追加的な NAS-Port 情報を指定するには、radius-server vsa send グローバル コンフィギュレーション コマンドを使用します。
|
||
26 |
9 |
1 |
min-links |
MLP に対するリンクの最小数を設定します。 |
||
26 |
9 |
1 |
proxyacl#<n> |
ダウンロード可能なユーザ プロファイル(ダイナミック ACL)を、認証プロキシを使用して設定でき、これにより設定されたインターフェイスのトラフィックの通過を許可するよう、認証を設定できます。 |
||
26 |
9 |
1 |
spi |
登録中にホーム エージェントがモバイル ノードの認証で必要とする認証情報を伝送します。この情報は、ip mobile secure host <addr> コンフィギュレーション コマンドと同じ構文です。基本的に、この文字列に続く残りのコンフィギュレーション コマンドはそのまま含まれます。これにはセキュリティ パラメータ インデックス(SPI)、鍵、認証アルゴリズム、認証モード、およびリプレイ保護タイムスタンプ範囲が含まれています。 |
||
26 |
9 |
1 |
client-mac-address |
PPPoE クライアントの MAC アドレスが含まれます。
|
NAS を設定して VSA を認識し使用する方法については、「RADIUS の設定」機能モジュールの「ベンダー固有 RADIUS 属性を使用するためのルータの設定」セクションを参照してください。