複数の RADIUS サーバー間での認証および認可について
Catalyst アクセスポイント上のシスコ組み込みワイヤレスコントローラ は、認証と認可の両方を組み合わせた単一の RADIUS サーバーと要求および応答トランザクションを行うアプローチを使用します。コントローラでの認証と認可は、複数の RADIUS サーバーに分割することができます。
RADIUS サーバーは、認証サーバー、認可サーバー、またはその両方の役割を担うことができます。認証と認可を異なる RADIUS サーバーで行う場合は、 組み込みワイヤレスコントローラ上の Session Aware Network(SANet)コンポーネントによって、クライアントが 組み込みワイヤレスコントローラに参加するときに一方のサーバーで認証を行い、別のサーバーで認可を行うことが可能になりました。
認証は、Cisco ISE、Cisco DNAC、Free RADIUS、または任意のサードパーティ製 RADIUS サーバーを使用して実行できます。認証サーバーで認証が成功すると、 組み込みワイヤレスコントローラは、認証サーバーから受信した属性を、認可サーバーとして指定された別の RADIUS サーバーに中継します。
その後、認可サーバーは次の処理を実行します。
-
サーバーで定義されている他のポリシーやルールを使用して、受信した属性を処理する。
-
認証応答の一部として属性を導出し、 組み込みワイヤレスコントローラに返す。
(注) |
認証と認可の分割設定では、両方のサーバーを使用可能にする必要があります。また、 組み込みワイヤレスコントローラがセッションを受け入れられるように、両方のサーバーで ACCESS-ACCEPT を使用して認証と認可を正常に行う必要があります。 |
(注) |
複数の AAA サーバーが使用されている場合、ダイナミック アクセス コントロール リスト(dACL)が機能しないことがあります。 |