認証方式の優先順位設定
MAC認証、Web認証、およびIEEE 802.1X認証では、以下の認証方式を使用できます。
- local
AccessDefenderのローカルデータベース認証(MAC認証、Web認証のみ)
- group radius
radius-server hostコマンドで設定したすべてのRADIUSサーバー
- group グループ名
aaa group server radiusコマンドで設定したRADIUSサーバーグループに登録されているRADIUSサーバー
- force
強制認証
認証方式は認証方法ごとに最大で4個まで指定できます。認証方式を設定するには、aaa authentication mac-authコマンド、aaa authentication web-authコマンド、またはaaa authentication dot1xコマンドを使用します。
IEEE 802.1X認証ではローカルデータベース認証は未サポートです。IEEE 802.1X認証を使用する際は必ずaaa authentication dot1xコマンドでRADIUSサーバーグループまたは強制認証を設定してください。
移行条件変更機能を有効に設定した場合には、複数の認証方式を指定した順番で使用できるようになります。
移行条件変更機能
複数の認証方式を指定していても、デフォルトでは先に指定した認証方式で認証が拒否されると内部ネットワークへのアクセスが許可されません。ただし、移行条件変更機能を有効にすると、1つの認証方式で認証が拒否されても次の認証方式に移行します。そして他の認証方式で認証されたときは、内部ネットワークへのアクセスが許可されます。移行条件変更機能を有効化するには、aaa authentication control sufficientコマンドを使用します。
IEEE 802.1X認証では移行条件変更機能は使用できません。
移行条件変更機能が有効な場合でも、他の認証方式で明示的に認証拒否と判定されて認証失敗になった場合には、強制認証は行われません。
移行条件変更機能が無効の場合でも、RADIUSサーバーへの問い合わせがタイムアウトした場合には次の認証方式に移行します。