ApresiaのRADIUS設定の設定です。
(RADIUSサーバはACS ver5)
telnetなどでリモートログインする際に、ローカルのパスワードではなく、外部認証サーバを用いて、認証接続する方法です。
今回の機種はApresiaで認証サーバはACSを想定しています。
ApresiaはAEOS6、AEOS7、AEOS8のようにOSが変わればコマンドが変わるケースがよくあります。
今回の設定もAEOS8はAEOS6、AEOS7と異なります。
なので、2通りのコンフィグを記入することにします。
AEOS8からTACACS+による認証も可能になりました。今回は、RADIUSの設定のみを記載しますが、TACACS+の設定もほぼ同じです。
ちなみに、AEOS8での検証はしたことがないので、コマンドが若干違うかもしれませんが、たぶん大丈夫だと思います。違う場合はご連絡いただけると助かります。
・Apresia(AEOS6、AEOS7)のコマンド
radius login enable
radius login primary ip 10.1.1.1 port 1645 / 1812
radius login secondary ip 10.1.1.2 port 1645 / 1812
radius login primary secret-key (key)
radius login secondary secret-key (key)
radius login max-request 5 /// デフォルト3回
radius login request-interval 5 /// デフォルト3秒
※通信不可と判断するタイムアウト時間は「最大送信回数 * 再間隔」となる
・Apresia(AEOS8)のコマンド
aaa authentication login control sufficient ///複数の認証の設定がある際、いずれか1 つの認証に成功すれば認証成功になり、全ての認証に失敗した場合は、ローカルログインでの認証を行う。
aaa authentication login radius 1 2
aaa radius 1 host 10.1.1.1 auth-port 1645 / 1812 key (key)
aaa radius 2 host 10.1.1.2 auth-port 1645 / 1812 key (key)
aaa radius deadtime 5 /// RADIUS サーバーへの問い合わせがタイムアウトすると、deadtime 間 RADIUS サーバーへの問い合わせをしない「1-1440(分)、通常は設定なし」
・アトリビュート
* Read-only権限はユーザモード(プロンプト「>」)にてenableコマンドが使用できません。
「ACSイメージ」
コメント