コンフィグファイルをWindows標準のメモ帳アプリケーションで保存する場合は保存時に文字コード「ANSI」を指定してください。RADIUS用コンフィグファイルを作成する
認証サーバとしてRADIUSサーバを使用するには、テキストエディタでコンフィグファイルを作成し、認証サーバおよび認可サーバの情報を次の形式で定義します。ファイル名および拡張子は任意です。なお、認可サーバを使用しない場合は、認可サーバについての項目の定義は不要です。
コンフィグファイルをWindows標準のメモ帳アプリケーションで保存する場合は保存時に文字コード「ANSI」を指定してください。
メモ帳以外のエディタを使用しておりUTF-8のBOM設定がある場合は、「BOMなし」を指定して保存してください。
形式
#コメント auth.server.type=radius auth.server.name=<サーバ識別名> auth.group.mapping=<値> auth.radius.<サーバ識別名>.<属性>=<値> auth.group.<ドメイン名>.<属性>=<値>
例
auth.server.type=radius auth.server.name=PrimaryServer auth.group.mapping=true auth.radius.PrimaryServer.protocol=pap auth.radius.PrimaryServer.host=xxx.xxx.xxx.xxx auth.radius.PrimaryServer.port=1812 auth.radius.PrimaryServer.timeout=3 auth.radius.PrimaryServer.secret=secretword auth.radius.PrimaryServer.retry.times=3 auth.radius.PrimaryServer.attr.NAS-Identifier=xxxxxxxx auth.group.auth.radius.PrimaryServer.domain.name=radius.example.com auth.group.auth.radius.PrimaryServer.domain.name.protocol=ldap auth.group.auth.radius.PrimaryServer.domain.name.host=xxx.xxx.xxx.xxx auth.group.auth.radius.PrimaryServer.domain.name.port=386 auth.group.auth.radius.PrimaryServer.domain.name.searchdn=CN=sample1,CN=Users,DC=domain,DC=local auth.group.auth.radius.PrimaryServer.domain.name.searchpw=passwordauth.ldap.PrimaryServer.basedn=CN=Users,DC=domain,DC=local
RADIUS用設定項目(認証サーバ分)
|
属性 |
説明 |
省略可否 |
デフォルト値 |
|---|---|---|---|
|
auth.server.type |
認証サーバの種別。radiusを指定してください。 |
必須 |
なし |
|
auth.server.name |
認証サーバの識別名。正・副2台の認証サーバを登録する場合は、認証サーバの識別名をコンマ(,)で区切ってください。認証サーバの識別名は、正・副合わせて64バイト以下で指定します。複数の認証サーバを登録するときの区切り文字のコンマ(,)は、1バイトにカウントされます。 次の記号を除くASCIIコードを使用できます。\ / : , ; * ? “ < > | $ % & ‘ ~ これより以下の項目では、ここで設定した値を<サーバ識別名>といいます。 |
必須 |
なし |
|
auth.group.mapping |
認可サーバと連携するかどうか。
|
省略可 |
false |
|
auth.radius.<サーバ識別名>.protocol |
使用するRADIUSプロトコル。
|
必須 |
なし |
|
auth.radius.<サーバ識別名>.host |
RADIUSサーバのホスト名、IPv4アドレス、またはIPv6アドレス。IPv6アドレスは[]で囲んで指定してください。 |
必須 |
なし |
|
auth.radius.<サーバ識別名>.port |
RADIUSサーバのポート番号。1~65535の範囲で指定します。※1 |
省略可 |
1812 |
|
auth.radius.<サーバ識別名>.timeout |
RADIUSサーバとの接続タイムアウトを検出するまでの時間。1~30の範囲で指定します。単位は秒です。※1 |
省略可 |
10 |
|
auth.radius.<サーバ識別名>.secret |
PAPまたはCHAP認証で使用するRADIUSシークレット(共有鍵)。 |
必須 |
なし |
|
auth.radius.<サーバ識別名>.retry.times |
RADIUSサーバの通信に失敗した場合のリトライ回数。0~3の範囲で指定します。0を指定するとリトライしません。※1 |
省略可 |
3 |
|
auth.radius.<サーバ識別名>.attr.NAS-Identifier |
RADIUSサーバがSVPを識別するための識別子。ユーザのRADIUS環境でattr.NAS-Identifier属性を使用している場合に、この項目を定義してください。ASCIIコードを使用できます。253バイトまでで指定してください。 |
省略可※2 |
なし |
|
auth.radius.<サーバ識別名>.attr.NAS-IP-Address |
SVPのIPv4アドレス。NAS-IP-Addressの属性値を指定します。認証要求時には、この値がRADIUSサーバに送信されます。 |
省略可※2 |
なし |
|
auth.radius.<サーバ識別名>.attr.NAS-IPv6-Address |
SVPのIPv6アドレス。NAS-IPv6-Addressの属性値を指定します。認証要求時には、この値がRADIUSサーバに送信されます。 |
省略可※2 |
なし |
注※1
指定可能な値以外を指定した場合は、デフォルト値が設定されます。
注※2
NASモジュールを搭載している場合、「NAS-Identifier」、「NAS-IP-Address」、または「NAS-IPv6-Address」のどれか1つを必ず設定してください。
RADIUS用設定項目(認可サーバ分)
|
属性 |
説明 |
省略可否 |
デフォルト値 |
|---|---|---|---|
|
auth.radius.<サーバ識別名>.domain.name |
LDAPサーバが管理するドメインの名称。 これより以下の項目では、ここで設定した値を<ドメイン名>といいます。 |
必須 |
なし |
|
auth.radius.<サーバ識別名>.dns_lookup |
DNSサーバのSRVレコードに登録してある情報を使用してLDAPサーバを検索するかどうか。
ただし、認可サーバの「host」および「port」が指定されている場合は、「true」を指定しても検索されません。 |
省略可 |
false |
|
auth.group.<ドメイン名>.protocol |
使用するLDAPプロトコル。
ただし、ldapを指定する場合、「auth.radius.<サーバ識別名>.dns_lookup」を必ず「true」に設定してください。 |
必須 |
なし |
|
auth.group.<ドメイン名>.host |
LDAPサーバのホスト名、IPv4アドレス、またはIPv6アドレス。IPv6アドレスは[]で囲んで指定してください。 |
省略可※1 |
なし |
|
auth.group.<ドメイン名>.port |
LDAPサーバのポート番号。1~65535の範囲で指定します。※2 |
省略可 |
389 |
|
auth.group.<ドメイン名>.searchdn |
検索用ユーザのDN。 |
必須 |
なし |
|
auth.group.<ドメイン名>.searchpw |
検索用ユーザのパスワード。LDAPサーバに登録しているパスワードと同じ値を指定してください。 |
必須 |
なし |
|
auth.group.<ドメイン名>.basedn |
認証するユーザを検索する際に基点となるDN(BaseDN)。指定したDNより下の階層のユーザが検索の対象となるため、検索するユーザをすべて含む階層のDNを指定してください。※3 |
省略可 |
abbr |
|
auth.group.<ドメイン名>.timeout |
LDAPサーバとの接続タイムアウトを検出するまでの時間。1~30の範囲で指定します。単位は秒です。※2 |
省略可 |
10 |
|
auth.group.<ドメイン名>.retry.interval |
LDAPサーバの通信に失敗した場合のリトライ間隔。1~5の範囲で指定します。単位は秒です。※2 |
省略可 |
1 |
|
auth.group.<ドメイン名>.retry.times |
LDAPサーバの通信に失敗した場合のリトライ回数。0~3の範囲で指定します。0を指定するとリトライしません。※2 |
省略可 |
3 |
注※1
「auth.ldap.<サーバ識別名>.dns_lookup」に「true」を指定した場合に省略できます。
注※2
指定可能な値以外を指定した場合は、デフォルト値が設定されます。
注※3
属性値に記号(+ ; , < = >など)を入力する場合、記号の前に円記号(\)を入力してエスケープしてください。記号を複数入力する場合、1文字ごとに円記号(\)を入力してください。
例えば、basednに指定した値が「abc++」の場合は、次のように入力して「+」をエスケープしてください。
abc\+\+
ただし、\、/、または"を入力するときは、円記号(\)のあとにそれぞれの記号のASCIIコードを16進数で入力してください。
「\」は、「\5c」と入力します。
「/」は、「\2f」と入力します。
「"」は、「\22」と入力します。
例えば、basednに指定した値が「abc\」の場合は、次のように入力してください。
abc\5c