IEEE802.1X（Linux編 認証VLAN その3）

IEEE802.1X（Linux編 認証VLAN その3）

　「IEEE802.1X（Linux編 認証VLAN その2）」の続きです。ここでは、Linux上に構築したRADIUSサーバを設定していきます。

使用するネットワーク構成は、以下のようになります。

◆IEEE802.1Xの設定（RADIUSサーバ）

Fedora8の場合、設定ファイルは、「/etc/raddb」にあります。

主に設定していくファイルは、以下のファイルになります。

●clients.conf （RADIUSクライアントとなるスイッチのIPアドレスやパスワードを記述する）
●eap.conf （認証方式を指定する）
●users （認証対象となるユーザIDやパスワードなどを記述する）

◆users ファイルの設定

users ファイルを設定します。このファイルに、認証対象となるユーザIDやパスワードなどを記述します。

【変更前】

# This is a complete entry for "steve". Note that there is no Fall-Through
# entry so that no DEFAULT entry will be used, and the user will NOT
# get any attributes in addition to the ones listed here.
#
#steve  Cleartext-Password := "testing"
#       Service-Type = Framed-User,
#       Framed-Protocol = PPP,
#       Framed-IP-Address = 172.16.3.33,
#       Framed-IP-Netmask = 255.255.255.0,
#       Framed-Routing = Broadcast-Listen,
#       Framed-Filter-Id = "std.ppp",
#       Framed-MTU = 1500,
#       Framed-Compression = Van-Jacobsen-TCP-IP

【変更後】

# This is a complete entry for "steve". Note that there is no Fall-Through
# entry so that no DEFAULT entry will be used, and the user will NOT
# get any attributes in addition to the ones listed here.
#
#steve  Cleartext-Password := "testing"
#       Service-Type = Framed-User,
#       Framed-Protocol = PPP,
#       Framed-IP-Address = 172.16.3.33,
#       Framed-IP-Netmask = 255.255.255.0,
#       Framed-Routing = Broadcast-Listen,
#       Framed-Filter-Id = "std.ppp",
#       Framed-MTU = 1500,
#       Framed-Compression = Van-Jacobsen-TCP-IP

user-vlan10     Auth-Type:=EAP,User-Password == "user-vlan10"
                Tunnel-Type = 13,
                Tunnel-Medium-Type =6,
                Tunnel-Private-Group-Id = 10
user-vlan20     Auth-Type:=EAP,User-Password == "user-vlan20"
                Tunnel-Type = 13,
                Tunnel-Medium-Type =6,
                Tunnel-Private-Group-Id = 10

意味は、以下のようになります。

Tunnel-Type = 13,　・・・　VLANを表す
Tunnel-Medium-Type =6,　・・・　イーサネットを表す
Tunnel-Private-Group-Id = 10　・・・　割り当てるVLAN番号を表す

◆clients.conf ファイルの設定

　RADIUSクライアントとなるスイッチのIPアドレスやパスワードを記述します。オーセンティケータとなるスイッチが所属するネットワーク番号を指定します。

【変更前】

#client 10.10.10.10 {
#       # secret and password are mapped through the "secrets" file.
#       secret      = testing123
#       shortname   = liv1
#       # the following three fields are optional, but may be used by
#       # checkrad.pl for simultaneous usage checks
#       nastype     = livingston
#       login       = !root
#       password    = someadminpas
#}

【変更後】

client 192.168.1.0/24{
        secret  = cisco
        shortname = CISCO
}

#client 10.10.10.10 {
#       # secret and password are mapped through the "secrets" file.
#       secret      = testing123
#       shortname   = liv1
#       # the following three fields are optional, but may be used by
#       # checkrad.pl for simultaneous usage checks
#       nastype     = livingston
#       login       = !root
#       password    = someadminpas
#}

◆eap.conf ファイルの設定

　eap.conf ファイルには認証方式を指定します。今回は、「md5」を認証方式にしますので、eap.conf ファイルを編集する必要はありません。

                # Supported EAP-types

                #
                #  We do NOT recommend using EAP-MD5 authentication
                #  for wireless connections.  It is insecure, and does
                #  not provide for dynamic WEP keys.
                #
                md5 {
                }

◆「radiusd」の再起動

設定の変更が、発生する度に、RADIUS Server daemon を再起動させる必要があります。

「radiusd」を再起動させるには次のコマンドを実行します。

# service radiusd restart

「radiusd」を再起動するには、「サービスの設定」から行うこともできます。

「サービスの設定」の「再起動」をクリックします。

しばらく待つと、再起動に成功したことを示すメッセージが表示されます。

これで、設定は完了です。

次の「IEEE802.1X（Linux編 認証VLAN その4）」では、構築したIEEE802.1Xを検証していきます。