BIG-IP のログインを RADIUS 認証にする
F5 Networks の BIG-IP でログイン認証を Radius に変更する手順をメモしておきます。
検証環境¶
Trial 版の 11.3.0 を利用しました。やや古いので、最新の 12.x 系等では挙動が変わっているかも知れません。
1 2 3 4 5 6 7 8 9 | |
設定手順¶
System > Users > Changes の順にクリックします。
User Directory ドロップダウンリストをクリックし、「Remote - RADIUS」をクリックします。
自分の環境に合わせてパラメータを指定します。今回は以下のパラメータを指定しました。
| 項目 | 値 | 備考 |
|---|---|---|
| User Directory | Remote - RADIUS | |
| Server Configuration | Primary Only | Radius サーバを冗長化する場合は Primary&Secondary を選択する |
| Host | 10.101.0.51 | Radius サーバのアドレスを指定 |
| Port | 1812 | Radius サーバが Listen しているポートを指定 |
| Secret | SECRET | Radius シークレットを指定 |
| Confirm | SECRET | 確認用に Radius シークレットを再入力 |
実際の設定画面は以下の通りです。パラメータの入力が完了したら Finished をクリックし、設定を完了します。
注意点¶
Radius 認証にした場合の注意点を記載しておきます。
Radius 認証するユーザは全て同じ権限になる¶
Radius 認証にしたユーザは「Other External Users」という区分となり、全て同じ権限として処理されるようです。ですので、「Radius 認証した Operator と Administrator」のようにユーザ権限を分けることは出来ないようです。
Radius 認証したユーザはログインシェルに bash を指定出来ない¶
Radius 認証ユーザ用に指定出来るシェルは「Disable(シェルを利用しない)」か tmsh だけのようで、bash(Advanced Shell)は指定出来ないようです。どうしても bash を利用する必要がある場合は以下のように tmsh 上から bash を呼び出す必要があります。
1 | |
root と admin の認証方式は変更出来ない¶
初期から存在している root と admin ユーザはローカル認証方式から変更出来ないようです。仮に Radius サーバ上に root や admin というユーザを作成したとしても、これらのユーザでログインする際は Radius サーバへのリクエストが送信されません。