お問合せ
HIEDA NET Corpration
 > これは変だよ  > MS IASとcisco


 

Windows 2000 Server Resource Kit 5 ネットワークガイド P341 強制的トンネルの項とほとんど同内容で実験している。

トンネルはL2TPで構成しているので、図8.8のISP(トンネルクライアント)がCisco7206でLAC(NAS)、その後のIASがトンネルクライアント用Radiusサーバー、右のトンネルサーバーがcisco7200でLNS、その右後のIASがトンネルサーバー用Radiusサーバーである。

P343にNAS・トンネルクライアント用Radiusサーバーに設定する属性情報項目がある。この他設定すべき情報として(重複もあるが) http://www.cisco.com/japanese/warp/public/3/jp/service/tac/480/l2tprad-j.html にも記述がある。

で、これらをWindows 2k ServerのIASのポリシーの詳細設定で設定した。

ネットワークモニタでパケットをキャプチャすると、LNSからのリクエストに対してAcceptするパケットともに、この属性情報がLNSに対して送信されているにもかかわらず、LNSであるcisco7200でTerminal Moniterを有効にしていると

Cannnot find response・・・・

ということで受け取っていない事が観察できた。

Radiusを使用せず、7200のローカルユーザーリストを利用すると全ての接続はうまくいく。

イベントビューアーとネットワークモニタでも、Radiusでのユーザー認証は成功しているのが確認出来る。(rejectせず、acceptしていること、および、属性情報が流れていることを確認)

ciscoが理解できる書式もしくは言語でWindowsのRadius(IAS)が喋っていないようだ。しかし、リソースキットおよびMSDNライブラリ・Technetライブラリ・TAC(cisco)でもここの設定項目詳細説明は見つけられない。

しかし、ciscoルーターをNAS(RAS)にしてWindowsのRadiusで認証することは、多くのネットワークでもやっていることだろうから、解決策はあるとにらんでいる。なんてたって、世界で一番使用されているルーターと世界で一番使用されているPC OSなのだから。

ciscoのconfigを一行ごとに説明可能か?

TACやさまざまな書籍から集めてきた情報でつぎはぎのconfigを作成することは可能だ。これでうまく動けばオーライだが、トラブルシュートするときには一行ごとにコマンドとその引数を説明できないといけない。しかし、今回、ルーター担当のパートナーは自身でも説明できないconfigを何処からかパクって来て、passwordRadius Keyをお互いで決めた値に修正して「これでいい。」という。
※ 実はこれが駄目だったことがあとで判る。やっぱり、configを一行ごとに説明できないとね。


メーカーの見解はどうなっているのだろう?

ciscoルーターとUNIX互換OSの組み合わせで構築経験がある人に訊いてみると、
  • windows標準のRADIUSサーバが ciscoの要求するVSAをサポートしていないという理由でうまくやりとりできないはず
という。通常は LINUX PCでのオープンソースのRADIUSのようだ。

しかし、リソースキットドキュメントの内容からいって、出来ないことをMSが書くわけが無いとも思う。

さらに、LACであるcisco 7206ではteminal moniterの吐くlogが
 < RADIUS >
から
 < AAA/PPP >
に移ってから応答なくなっていることから、ある程度はWindowsとciscoでお話が出来ているようにも思う。

passwordだよ!

LACとRadius間およびLNSとRadius間のキー = passwordで、ciscoはpasswordを任意の値に出来ない。なんと"cisco"固定である。これを知ったのがこのお仕事を離れてから。当時、「Windowsはciscoと話できない」、なんてデマも飛んだが、とんでもない話である。まったく、そういうことだったんだね。

僕はWindows担当で一緒に仕事したパートナーがルータ担当。Key = "cisco"固定なんてことは彼から伝えられてしかるべきである。それを、自分が調べもしないで、「Windowsはciscoと話できない」なんて事を中隊長に得々と報告したり、僕がIASサーバの設定1つも出来ないと報告したり、ルータのconfigをいじらせなかったり。自分がやらなきゃならないことをしないで、サーバーの設定で解決させようとしたパートナーの態度・考え方はまったく間違っているのだが、それに気付いていない人が多いのも困ったことだ。まぁ、Microsoftの資格は肩身の狭い思いをするフロアだからね、

しかし、中隊長もなんでその程度のスキルである彼のことを買うのか判らぬ。テクニカルな知識だけでなく仕事に対する姿勢という点で「担当範囲を全うしなかった」んだからね。



更新日:DEC 14 2003



 (C)2003 HIEDA NET Corporation All rights reserved.