RADIUS ポリシー ドメインのレスポンス
目次
casso127jpjp
目次
2
ユーザを認証する場合、
Single Sign-On
レスポンスを使用して、RADIUS 属性を NAS デバイスに返すことができます。ユーザが認証されると、属性は、セッションの特徴を設定し、認証されたユーザのユーザ プロファイルを定義します。ユーザ プロファイルは、NAS デバイスによって使用されます。たとえば、レスポンス内の属性を使用して、RADIUS ユーザ セッションの時間制限を定義できます。権限をユーザに割り当てるユーザ プロファイル情報を、レスポンスを使用して NAS デバイスに提供することができます。たとえば、同じリソースへのアクセスをあるユーザには制限なしで、また別のユーザには制限ありで許可することができます。本来 RADIUS は認証メカニズムにすぎませんが、レスポンスをこのように使用することで、ユーザに許可を与えることができるようになります。
注:
NAS が認証だけを指定する場合、デフォルトで、Single Sign-On
は RADIUS 属性を返しません。NAS が認証のみを指定するときに RADIUS 属性を返すには、「常に RADIUS 属性を返すポリシー サーバの設定」にある手順に従ってください。レスポンスの機能
RADIUS レスポンスは、認証ルールとペアになっています。ルールによってユーザが認証されると、RADIUS レスポンスが発行されます。ルールによってユーザが認証されないと、レスポンスは発行されません。
レスポンスが発行されると、ポリシー サーバは、レスポンスに含まれる属性を NAS デバイスに送信します。この情報はユーザのセッションのカスタマイズに使用されます。
属性タイプ
レスポンスでは、次の属性を使用できます。
- ユーザ属性
- DN 属性
- アクティブ レスポンス属性
- RADIUS 属性
ユーザ属性
この属性は、LDAP、Windows NT、または ODBC ユーザ ディレクトリのユーザに関する情報を返します。ユーザ属性は、ユーザディレクトリから取得され、RADIUS デバイスの動作を変更するために使用できます。
DN 属性
この属性は、ユーザに関連付けられている LDAP ディレクトリ オブジェクトに関するプロファイル情報を返します。たとえば、DN 属性は、ユーザのグループや組織単位(OU)などの LDAP オブジェクトに関する情報を返す場合があります。
アクティブ レスポンス属性
この属性は、
Single Sign-On
許可 API を使用して開発されたカスタム ライブラリからの値を返します。Single Sign-On
がカスタム ライブラリの関数を呼び出すと、アクティブ レスポンスが生成されます。RADIUS 属性
この属性は、以下のエージェントタイプ属性によって定義される値を返します。
- RADIUSRFC (Request for Comment) 2138 の RADIUS プロトコル仕様で定義されている、一般 RADIUS 属性。この属性の識別子は、1 ~ 25 と 27 ~ 63 です。この属性のいくつかは、同じレスポンスで複数使用される場合があります。どの RADIUS エージェントタイプも、一般 RADIUS 属性を含むレスポンスを返すことができます。
- RADIUS 拡張NAS デバイスのディレクトリ ファイルに定義された属性。この属性は、一般 RADIUS 属性では定義されない、使用している NAS デバイス固有の値を定義します。この属性の固有識別子は、一般 RADIUS 属性のために予約されている範囲外のもの (64 以降) です。たとえば、Lucent は、Ascend-Disconnect-Causeと呼ばれる拡張 RADIUS 属性(識別子 195)を提供します。拡張 RADIUS 属性のベンダータイプに適合するエージェントタイプだけが、その属性を使用できます。たとえば、Shiva エージェントタイプは、Shiva 用の拡張 RADIUS 属性を使用できますが、Cisco エージェントタイプは、この拡張属性をレスポンスで使用できません。レスポンスで使用される拡張属性は、RADIUS クライアントの辞書ファイルで定義される属性と適合する必要があります。デフォルトで、Single Sign-Onは定義済み RADIUS 拡張属性を、これらの属性を使用する Ascend (Lucent)などのいくつかのエージェント タイプ用に提供します。また、必要に応じて、任意の RADIUS エージェントタイプ用に、追加の RADIUS 拡張属性を定義できます。
- ベンダー固有NAS デバイスの辞書ファイルで定義された属性。識別子として 26 を使用します。ベンダー固有属性を使用すると、一般 RADIUS 属性によって提供されない値の属性を定義できます。一部のベンダーは、RADIUS 拡張属性の代わりに、または RADIUS 拡張属性に追加して、ベンダー固有属性を使用します。たとえば、Cisco は、RADIUS 拡張属性を使用しません。ただし、この NAS デバイスは、いくつかのベンダー固有属性(Cisco AV–pair、Account-Infoなど)をサポートしています。ベンダー固有属性を使用して、情報を他のプロトコルに渡すことができます。たとえば、Cisco AV–pair 属性用のベンダー固有属性を定義して、TACACS+ 情報を TACACS+ サーバに渡すことができます。ベンダー固有属性は、RADIUS クライアントのベンダータイプに適合するレスポンスでのみ定義できます。デフォルトで、Single Sign-Onは、定義済みベンダー固有属性を、これらの属性を使用する Network Associates の Sniffer エージェント タイプなどのいくつかのエージェント タイプ用に提供します。また、必要に応じて、任意の RADIUS エージェントタイプ用に、追加のベンダー固有拡張属性を定義できます。注:RADIUS 属性の詳細については、RADIUS プロトコル仕様 RFC (Request for Comment) 2138を参照してください。
常に RADIUS 属性を返すポリシー サーバの設定
一部の NAS デバイスでは、NAS が認証だけを指定している場合でも、RADIUS が Access-Accept のレスポンスを返すと想定しています。NAS が認証だけを指定する場合、デフォルトでは、
Single Sign-On
は RADIUS 属性を返しません。NAS デバイスに常に RADIUS 属性を返すには、次のパラメータを使用して新しいレジストリ値を作成します。
- 値タイプ--DWORD
- 値の名--HKEY_LOCAL_MACHINE\SOFTWARE\Netegrity\SiteMinder\CurrentVersion\Authentication\AlwaysReturnRadiusAttrs
- 値データ--0 より大きい数値
注:
インストール プログラムは、AlwaysReturnRadiusAttrs のレジストリ エントリを作成しません。エントリが作成されて設定されるまで、Single Sign-On
は、デフォルト値の 0 を使用します。AlwaysReturnRadiusAttrs を 0 よりも大きい値に設定すると、認証サーバのデバッグ ログに次のメッセージが表示されます。
Radius Attributes will be returned regardless of RA_SERVICE_TYPE_AUTHENTICATE_ONLY
エージェント タイプの属性の作成
レスポンスで属性を使用するには、レスポンスを返すエージェント タイプが属性を使用できるようにする必要があります。属性をエージェントタイプで定義することによって、エージェントタイプが属性を使用できるようになります。多数のエージェントタイプが、ベンダー固有属性および RADIUS 拡張属性で定義済みですが、必要に応じて、拡張 RADIUS 属性、一般 RADIUS 属性、およびベンダー固有属性をエージェントタイプに追加できます。
属性の複数のインスタンスの定義
同じエージェントタイプでベンダー固有属性の複数のインスタンスを定義できます。ベンダー固有属性の複数のインスタンスを定義すると、その属性のインスタンスごとに、NAS デバイスに異なる値を送信できます。たとえば、Cisco エージェントの場合、次のベンダー固有属性を、すべて同じ識別子 (26) を使用して定義できます。
- Cisco-AVpair
- Account-Info
- Command-Code
レスポンス内で属性を使用できる回数を定義する設定は、管理 UI の[エージェント タイプ属性の変更]ページにあります。
属性を複数回使用できるように設定するには、[アクセスの受け付け]の値を[ゼロまたは複数]に設定する必要があります。
定義する属性のタイプは、レスポンスを返すエージェントのベンダータイプと適合している必要があります。たとえば、ベンダー固有の Cisco 属性を返すことができるのは、Cisco エージェントだけです。
エージェントによってレスポンスが返される場合、レスポンスのパケット構造は、レスポンスを送信する RADIUS エージェントのタイプを反映します。たとえば、Cisco エージェントによって返されるレスポンスのパケット構造には、ベンダー ID と文字列の長さが含まれています。
エージェント タイプに属性を定義する方法
- [インフラストラクチャ]-[エージェント]をクリックします。
- [エージェント タイプ]をクリックします。[エージェント タイプ]ページが表示されます。
- 検索条件を指定して、[検索]をクリックします。検索条件に一致するエージェント タイプのリストが表示されます。
- エージェント タイプの名前をクリックします。[エージェント タイプの表示]ページが表示されます。
- [変更]をクリックします。設定とコントロールがアクティブになります。
- [エージェント タイプ属性の作成]をクリックします。[エージェント タイプ属性タイプの新規オブジェクトの作成]オプションが選択されていることを確認します。
- [OK]をクリックします。[エージェント タイプ属性の作成]ページが表示されます。
- エージェント タイプの名前および説明を入力します。
- [RADIUS タイプ]リストで[RADIUS]、[RADIUS 拡張]、または[ベンダー固有]を選択します。
- [データ型]リストで、属性に含まれるデータの型を選択します。
- [識別子]フィールドで、以下の属性識別子の 1 つを入力します。
- 一般 RADIUSRADIUS プロトコル仕様に属性の識別子が定義されています。一般 RADIUS 属性の識別子を上書きすることはできますが、通常は、事前に定義された一般 RADIUS 属性の定義を保持する必要があります。この定義が、RADIUS 仕様(RFC 2138)に適合しているためです。例:Callback-Id 変数の属性を作成するには、[識別子]フィールドに「20」と入力します。
- RADIUS 拡張属性識別子は、ベンダー ドキュメントの中で定義されています。例:Ascend-Callback 変数の属性を作成するには、[識別子]フィールドに「246」と入力します。
- ベンダー固有属性識別子は 26 です。例:Cisco エージェントの属性を作成して、このエージェントが TACACS+ を使用できるようにするには、[識別子]フィールドに「26」と入力します。
注:属性識別子の詳細については、使用している RADIUS ベンダーのマニュアルを参照してください。 - [RADIUS の動作]内の各フィールドの RADIUS コードを選択します。RADIUS コードは次のとおりです。
- 不可レスポンスで属性を使用することはできません。
- ゼロまたは 1同じレスポンス内で、属性のインスタンスを返すことができないか、または 1 つ返すことができます。この値を選択して、レスポンスで属性を使用した場合は、レスポンスで属性を使用した後に、その属性が[属性]リストから削除されます。
- ゼロまたは複数同じレスポンス内で、属性のインスタンスを返すことができないか、または複数返すことができます。
- 1 のみレスポンスで、属性のインスタンスを 1 つだけ返す必要があります。この値を選択して、レスポンスで属性を使用した場合は、レスポンスで属性を使用した後に、その属性が[属性]リストから削除されます。
- アクセスのリクエストユーザが特定の NAS へのアクセスを許可されているかどうかを判定するための情報を提供します。[アクセスのリクエスト]のパケットは、そのユーザのためにリクエストされている任意の特別なサービスに関する情報も提供します。
- アクセスの受け付けユーザへのサービスの提供を開始するために必要な特定の設定情報を提供します。注:レスポンスで属性を使用するには、[アクセスの受け付け]の値を[ゼロまたは 1]、[ゼロまたは複数]、または[1 のみ]に設定する必要があります。
- アクセスの拒否受信した属性の値のいずれかを受け付けることができない場合に、情報を送信します。このコードは、応答メッセージとしてよく使用されます。
- アクセスのチャレンジNAS デバイスがチャレンジ/レスポンスに対して設定されている場合に、情報を送信します。
- 監査のリクエスト提供されているサービスのタイプ、およびサービスの提供先であるユーザの説明です。
- 監査のレスポンス監査のリクエストが正常に記録された場合に、情報を送信します。RADIUS の監査のレスポンスには、属性が含まれている必要はありません。
- データ型が数値である場合は、[作成]をクリックします。
- 対応するフィールドに属性の記号名および数値を入力し[OK]をクリックします。[エージェント タイプ属性の変更]ページが再表示され、属性名/値ペアが追加されます。注:複数の属性名/値ペアを作成するには、手順 11 および 12 を繰り返します。記号名を値にマッピングすると、名前を憶えるだけで済みます。
- [サブミット]をクリックします。[エージェント タイプの変更]ページが再表示され、エージェント タイプ属性が追加されます。
- [サブミット]をクリックします。属性が選択されたエージェント タイプに対して定義されます。注:タスクが完了し、このエージェント タイプのためのレスポンスを作成するときに、エージェント タイプに追加したエージェント タイプ属性を属性リストから選択できます。
既存属性の変更
作成した属性や RADIUS エージェント用に定義済みの属性を変更できます。たとえば、Ascend エージェントタイプ用に定義済みの Ascend-PPP-Address 属性を変更できます。
注:
既存の属性を変更した場合、その属性をすでに使用しているレスポンス内の属性は、動的には更新されません。レスポンスで属性が使用されている場合は、更新した属性を使用してレスポンスを作成し直してください。すべての RADIUS エージェント タイプは、
RFC 2138
で定義されているように、一般 RADIUS 属性を使用するように事前に設定されています。これらの属性は、各 RADIUS エージェントタイプによって使用されるように提供されています。重要:
一般属性を上書きしたり、一般 RADIUS エージェントで新しい属性を定義したりすると、変更内容が、すべて
の RADIUS エージェントに適用されます。たとえば、一般 RADIUS エージェントの Filter ID 属性を変更した場合は、他のすべての RADIUS エージェント タイプ(Cisco、Shiva、Livingston、Ascend、Checkpoint など)も変更されます。エージェント タイプ属性を変更する方法
- 管理 UI にログインします。
- [インフラストラクチャ]タブからエージェントを選択します。
- [エージェント タイプの変更]をクリックします。
- [検索]をクリックします。
- エージェント タイプを選択して[選択]をクリックします。[エージェント タイプの変更]ペインが開きます。
- 属性の左側にある[編集]ボタンをクリックして、エージェント タイプの値を変更します。
- [サブミット]をクリックして変更内容を保存します。