らくがきちょう

なんとなく

BIG-IP のログインを RADIUS 認証にする

F5 Networks の BIG-IP でログイン認証を Radius に変更する手順をメモしておきます。

検証環境

Trial 版の 11.3.0 を利用しました。やや古いので、最新の 12.x 系等では挙動が変わっているかも知れません。

# show / sys version

Sys::Version
Main Package
  Product  BIG-IP
  Version  11.3.0
  Build    39.0
  Edition  VE Trial 11.3.0-HF1 (based on BIGIP 11.3.0HF6)
  Date     Mon Mar 24 14:01:16 PDT 2014

設定手順

System > Users > Changes の順にクリックします。

f:id:sig9:20161104011919p:plain

User Directory ドロップダウンリストをクリックし、「Remote - RADIUS」をクリックします。

f:id:sig9:20161104011929p:plain

自分の環境に合わせてパラメータを指定します。今回は以下のパラメータを指定しました。

項目 備考
User Directory Remote - RADIUS  
Server Configuration Primary Only Radius サーバを冗長化する場合は Primary&Secondary を選択する
Host 10.101.0.51 Radius サーバのアドレスを指定
Port 1812 Radius サーバが Listen しているポートを指定
Secret SECRET Radius シークレットを指定
Confirm SECRET 確認用に Radius シークレットを再入力

実際の設定画面は以下の通りです。パラメータの入力が完了したら Finished をクリックし、設定を完了します。

f:id:sig9:20161104011936p:plain

注意点

Radius 認証にした場合の注意点を記載しておきます。

Radius 認証するユーザは全て同じ権限になる

Radius 認証にしたユーザは「Other External Users」という区分となり、全て同じ権限として処理されるようです。ですので、「Radius 認証した Operator と Administrator」のようにユーザ権限を分けることは出来ないようです。

f:id:sig9:20161104013148p:plain

Radius 認証したユーザはログインシェルに bash を指定出来ない

Radius 認証ユーザ用に指定出来るシェルは「Disable(シェルを利用しない)」か tmsh だけのようで、bash(Advanced Shell)は指定出来ないようです。どうしても bash を利用する必要がある場合は以下のように tmsh 上から bash を呼び出す必要があります。

run / util bash

root と admin の認証方式は変更出来ない

初期から存在している root と admin ユーザはローカル認証方式から変更出来ないようです。仮に Radius サーバ上に root や admin というユーザを作成したとしても、これらのユーザでログインする際は Radius サーバへのリクエストが送信されません。

参考