概要
このドキュメントでは、radius プロファイルで定義された radius サーバーが認証の試行中にどのように使用されるかを概説します。
詳細
パロアルトネットワークデバイスは、リスト内の各サーバーに対して RADIUS auth 要求パケットを介してソケット要求を試みます。認証試行のサーバーの順序は、構成された順序に基づいています。
例えば
[デバイス] > [サーバープロファイル] > [radius] では、3つの radius サーバープロファイルが構成されます。
- サーバー 1-10.46.48.95
- サーバー 2-10.46.48.96
- サーバー 3- 10.46.48.97
構成内の RADIUS サーバーのプロファイルは次のとおりです。
set vsys vsys2 サーバープロファイル radius radius-auth-1 サーバ srvr-1 シークレット-AQ = = TA0rlR/6vW + aEEidxA/DVuwdJtU = sh7o9V7gbphma3iMCxtP/Q = =
設定 vsys vsys2 サーバプロファイル radius radius-auth-1 サーバ srvr-1 ポート1812
設定 vsys vsys2 サーバプロファイル radius radius-auth-1 サーバ srvr-1 ip アドレス10.46.48.95
set vsys vsys2 サーバープロファイル radius radius-auth-1 サーバ srvr-2 シークレット-AQ = = TA0rlR/6vW + aEEidxA/DVuwdJtU = sh7o9V7gbphma3iMCxtP/Q = =
設定 vsys vsys2 サーバプロファイル radius radius-auth-1 サーバ srvr-2 ポート1812
設定 vsys vsys2 サーバプロファイル radius radius-auth-1 サーバ srvr-2 ip アドレス10.46.48.96
set vsys vsys2 サーバープロファイル radius radius-auth-1 サーバ srvr-3 シークレット-AQ = = TA0rlR/6vW + aEEidxA/DVuwdJtU = sh7o9V7gbphma3iMCxtP/Q = =
設定 vsys vsys2 サーバプロファイル radius radius-auth-1 サーバ srvr-3 ポート1812
設定 vsys vsys2 サーバプロファイル radius radius-auth-1 サーバ srvr-3 ip アドレス10.46.48.97
設定 vsys vsys2 サーバプロファイル半径-auth-1 checkgroup なし
設定 vsys vsys2 サーバプロファイル radius radius-auth-1 タイムアウト3
設定 vsys vsys2 サーバープロファイル radius radius-auth-1 再試行3
パロアルトネットワークデバイスは3秒間隔で連続して各サーバーに3つの試みを行います。この間隔は、構成されたタイムアウト値 (既定の3秒) に基づいています。
- 3つの radius auth 要求パケットをサーバ-1 に送信する
- 3つの radius 認証要求パケットをサーバー2に送信します。
- 3つの radius 認証要求パケットをサーバー3に送信します。
パケットキャプチャを使用したシナリオの例:
サーバー3は、RADIUS 認証要求に応答する唯一のサーバーです。このシナリオでは、以下の出力例のタイムアウト間隔は1秒です。次のパケットキャプチャの例は、サーバー1とサーバー2で行われた3つの試行を示しています。サーバー3への成功が試みられました:
02:44: 26.870888 IP 10.46.32.5.55990 > 10.46.48.95 半径: 半径、アクセス要求 (1)、id: 0x23 長さ:66
02:44: 27.871910 IP 10.46.32.5.55990 > 10.46.48.95 半径: 半径、アクセス要求 (1)、id: 0x23 長さ:66
02:44: 28.872957 IP 10.46.32.5.55990 > 10.46.48.95 半径: 半径、アクセス要求 (1)、id: 0x23 長さ:66
02:44: 29.874032 IP 10.46.32.5.55990 > 10.46.48.96 半径: 半径、アクセス要求 (1)、id: 0x23 長さ:66
02:44: 30.875082 IP 10.46.32.5.55990 > 10.46.48.96 半径: 半径、アクセス要求 (1)、id: 0x23 長さ:66
02:44: 31.876130 IP 10.46.32.5.55990 > 10.46.48.96 半径: 半径、アクセス要求 (1)、id: 0x23 長さ:66
02:44: 32.877199 IP 10.46.32.5.55990 > 10.46.48.97 半径: 半径、アクセス要求 (1)、id: 0x23 長さ:66
02:44: 32.878431 IP 10.46.48.97 半径 > 10.46.32.5.55990: 半径、アクセス許可 (2)、id: 0x23 長さ:37
別の例のシナリオ:
RADIUS 認証要求に応答するサーバーは、サーバー2のみです。
このシナリオでは、パロアルトネットワークデバイスは、サーバー-1、タイムアウト間隔で、サーバー-2 に3つの auth 要求を送信します。サーバー2が応答すると、それ以上の試みは行われません。
所有者: jye