複数のパン OS RADIUS サーバープロファイル (サーバーリスト) を認証に使用する方法

複数のパン OS RADIUS サーバープロファイル (サーバーリスト) を認証に使用する方法

24787
Created On 09/26/18 13:49 PM - Last Modified 06/08/23 09:50 AM


Resolution


概要

このドキュメントでは、radius プロファイルで定義された radius サーバーが認証の試行中にどのように使用されるかを概説します。

 

詳細

パロアルトネットワークデバイスは、リスト内の各サーバーに対して RADIUS auth 要求パケットを介してソケット要求を試みます。認証試行のサーバーの順序は、構成された順序に基づいています。

 

例えば

[デバイス] > [サーバープロファイル] > [radius] では、3つの radius サーバープロファイルが構成されます。

  • サーバー 1-10.46.48.95
  • サーバー 2-10.46.48.96
  • サーバー 3- 10.46.48.97

 

構成内の RADIUS サーバーのプロファイルは次のとおりです。

set vsys vsys2 サーバープロファイル radius radius-auth-1 サーバ srvr-1 シークレット-AQ = = TA0rlR/6vW + aEEidxA/DVuwdJtU = sh7o9V7gbphma3iMCxtP/Q = =

設定 vsys vsys2 サーバプロファイル radius radius-auth-1 サーバ srvr-1 ポート1812

設定 vsys vsys2 サーバプロファイル radius radius-auth-1 サーバ srvr-1 ip アドレス10.46.48.95

set vsys vsys2 サーバープロファイル radius radius-auth-1 サーバ srvr-2 シークレット-AQ = = TA0rlR/6vW + aEEidxA/DVuwdJtU = sh7o9V7gbphma3iMCxtP/Q = =

設定 vsys vsys2 サーバプロファイル radius radius-auth-1 サーバ srvr-2 ポート1812

設定 vsys vsys2 サーバプロファイル radius radius-auth-1 サーバ srvr-2 ip アドレス10.46.48.96

set vsys vsys2 サーバープロファイル radius radius-auth-1 サーバ srvr-3 シークレット-AQ = = TA0rlR/6vW + aEEidxA/DVuwdJtU = sh7o9V7gbphma3iMCxtP/Q = =

設定 vsys vsys2 サーバプロファイル radius radius-auth-1 サーバ srvr-3 ポート1812

設定 vsys vsys2 サーバプロファイル radius radius-auth-1 サーバ srvr-3 ip アドレス10.46.48.97

設定 vsys vsys2 サーバプロファイル半径-auth-1 checkgroup なし

設定 vsys vsys2 サーバプロファイル radius radius-auth-1 タイムアウト3

設定 vsys vsys2 サーバープロファイル radius radius-auth-1 再試行3

 

パロアルトネットワークデバイスは3秒間隔で連続して各サーバーに3つの試みを行います。この間隔は、構成されたタイムアウト値 (既定の3秒) に基づいています。

    • 3つの radius auth 要求パケットをサーバ-1 に送信する
    • 3つの radius 認証要求パケットをサーバー2に送信します。
    • 3つの radius 認証要求パケットをサーバー3に送信します。

 

パケットキャプチャを使用したシナリオの例:

サーバー3は、RADIUS 認証要求に応答する唯一のサーバーです。このシナリオでは、以下の出力例のタイムアウト間隔は1秒です。次のパケットキャプチャの例は、サーバー1とサーバー2で行われた3つの試行を示しています。サーバー3への成功が試みられました:

02:44: 26.870888 IP 10.46.32.5.55990 > 10.46.48.95 半径: 半径、アクセス要求 (1)、id: 0x23 長さ:66

02:44: 27.871910 IP 10.46.32.5.55990 > 10.46.48.95 半径: 半径、アクセス要求 (1)、id: 0x23 長さ:66

02:44: 28.872957 IP 10.46.32.5.55990 > 10.46.48.95 半径: 半径、アクセス要求 (1)、id: 0x23 長さ:66

02:44: 29.874032 IP 10.46.32.5.55990 > 10.46.48.96 半径: 半径、アクセス要求 (1)、id: 0x23 長さ:66

02:44: 30.875082 IP 10.46.32.5.55990 > 10.46.48.96 半径: 半径、アクセス要求 (1)、id: 0x23 長さ:66

02:44: 31.876130 IP 10.46.32.5.55990 > 10.46.48.96 半径: 半径、アクセス要求 (1)、id: 0x23 長さ:66

02:44: 32.877199 IP 10.46.32.5.55990 > 10.46.48.97 半径: 半径、アクセス要求 (1)、id: 0x23 長さ:66

02:44: 32.878431 IP 10.46.48.97 半径 > 10.46.32.5.55990: 半径、アクセス許可 (2)、id: 0x23 長さ:37

 

別の例のシナリオ:

RADIUS 認証要求に応答するサーバーは、サーバー2のみです。

このシナリオでは、パロアルトネットワークデバイスは、サーバー-1、タイムアウト間隔で、サーバー-2 に3つの auth 要求を送信します。サーバー2が応答すると、それ以上の試みは行われません。

 

所有者: jye
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClqECAS&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language