4 章
4.6 セキュリティの設定
4章 各種設定
本装置に登録されているユーザ一覧は、show userコマンドで確認することができます。
(c)NS-2240# show user↵
User-Name Category(Uid) Public-Key Port-Access-List ---
root root(0)
setup setup(198) verup verup(199)
log log(200)
somebody normal(100)
portusr portusr(500) 1-32 port01usr portusr(501) 1-32 (c)NS-2240#
show userコマンドで表示されるPort-Access-ListのTTYリスト表示は、システムソフトウ ェアVersion1.1で追加された項目です。
システムソフトウェアVersion1.3でユーザの表示順序をroot/setup/verup/log/normal /portusrとし、normalとportusrは名前でソートするように変更しました。
ユーザ情報(機能/ユーザID/グループ名)の詳細は、「2.3.1 ユーザ管理/認証機能」を参照 してください。
4.6.2 ユーザパスワードの設定
工場出荷時に登録されているユーザにはいずれもパスワードが設定されていません。ユー ザにパスワードを設定するには、下記のようにset user passwordコマンドを実行します。
パスワードを変更する場合も、同じコマンドを使用します。
(c)NS-2240# configure↵
(c)NS-2240(conf)# set user root password↵ New password: ↵
Retype new password: ↵
(c)NS-2240(conf)# set user somebody password↵ New password: ↵
Retype new password: ↵
(c)NS-2240(conf)# set user log password↵ New password: ↵
Retype new password: ↵
(c)NS-2240(conf)# set user verup password↵ New password: ↵
Retype new password: ↵ (c)NS-2240(conf)# exit↵
装置管理ユーザは、全てのユーザのパスワードを変更することができます。
ユーザの権限一覧は、「付録B ユーザ権限」を参照してください。
4章 各種設定
4.6.3 RADIUS認証機能/RADIUSアカウント機能の設定
RADIUS認証サーバでユーザを認証したり、RADIUSアカウントサーバにアカウントログ
を保存するには下記のコマンドを実行します。RADIUS認証機能/RADIUSアカウント機能 はシステムソフトウェアVersion1.2で追加された機能です。
(1) RADIUS認証クライアントの設定
認証方式をRADIUSに変更して、RADIUS認証サーバ1に172.31.1.1、RADIUS認証ポート に1645、シークレットキー(abcdef)を登録する場合は以下のコマンドを実行します。下記
設定ではRADIUS認証されるユーザはすべてポートユーザとして処理されます。一般ユー
ザと装置管理ユーザは本装置の内部認証(ローカル認証)で行われます。RADIUS認証ポ ートの工場出荷時の設定は1812です。
(c)NS-2240# configure↵
(c)NS-2240(conf)# set auth mode radius↵
(c)NS-2240(conf)# set auth radius server 1 addr 172.31.1.1↵ (c)NS-2240(conf)# set auth radius server 1 port 1645↵
(c)NS-2240(conf)# set auth radius server 1 key password↵ [シークレットキー(abcdef)入力]
(c)NS-2240(conf)# exit↵
一般ユーザや装置管理ユーザをRADIUS認証サーバで認証させる場合は、後述の「(4)
ユーザグループの識別とシリアルポートのアクセス制限の設定(filter_id_head)」と
「(5)ユーザグループの識別とシリアルポートのアクセス制限の設定(アクセスグルー ピング機能)」を参照してください。
(2) RADIUSアカウントクライアントの設定
ア カ ウ ン ト 方 式 をRADIUSに 変 更 し て 、RADIUSア カ ウ ン ト サ ー バ1に172.31.1.1、
RADIUSアカウントポートに1646、シークレットキー(abcdef)を登録する場合は以下のコ
マンドを実行します。RADIUSアカウントポートの工場出荷の設定は1813です。
(c)NS-2240# configure↵
(c)NS-2240(conf)# set acct mode radius↵
(c)NS-2240(conf)# set acct radius server 1 addr 172.31.1.1↵ (c)NS-2240(conf)# set acct radius server 1 port 1646↵
(c)NS-2240(conf)# set acct radius server 1 key password↵ [シークレットキー(abcdef)入力]
(c)NS-2240(conf)# exit↵
(3) RADIUS認証/アカウント要求パケットのリトライ/タイムアウト値の設定
RADIUS認証/アカウント要求パケットのリトライ回数、認証/アカウント応答パケットの
タイムアウト時間を設定する場合は以下のコマンドを実行します。
工場出荷時ではリトライ回数が3回、タイムアウト値は5秒で設定されています。
(c)NS-2240# configure↵
(c)NS-2240(conf)# set auth radius retry 5↵
(c)NS-2240(conf)# set auth radius server 1 timeout 10↵ (c)NS-2240(conf)# set acct radius retry 5↵
(c)NS-2240(conf)# set acct radius server 1 timeout 10↵ (c)NS-2240(conf)# exit↵
(4) ユーザグループの識別とシリアルポートのアクセス制限の設定(flter_id_head)
RADIUS認証でユーザグループの識別とシリアルポートのアクセス制限を行う場合は、set
auth server {normal | root | portusr } filter_id_headコマンドで、認証時にRADIUS認証 サーバから送られてくるFilter-Idの先頭文字列を識別子として用いて、ユーザグループの 識別を行うように設定します。それぞれのユーザグループに設定できる識別子は1つずつ です。
以下の設定を行った時、RADIUS認証サーバに登録されたユーザのFilter-Idアトリビュー ト値により、次のように動作します。
(c)NS-2240# configure↵
(c)NS-2240(conf)# set auth radius server 1 root filter_id_head NS2240_ROOT↵ (c)NS-2240(conf)# set auth radius server 1 normal filter_id_head NS2240_NORMAL↵ (c)NS-2240(conf)# set auth radius server 1 portusr filter_id_head NS2240_PORT↵ (c)NS-2240(conf)# exit↵
・ Filter-Idアトリビュート値がNS2240_ROOTから始まる文字列であった場合には、そ
のユーザを装置管理ユーザとして扱います。
・ Filter-Idアトリビュート値がNS2240_NORMALから始まる文字列であった場合には、
そのユーザを一般ユーザとして扱います。
・ Filter-Idアトリビュート値がNS2240_PORTから始まる文字列であった場合には、そ
のユーザをポートユーザとして扱います。また、”NS2240_PORT1-10”のように、
NS2240_PORTの後にポート番号を示す文字列が続いている場合、記述されているポ
ートへのアクセス権が設定されます。
4章 各種設定
図 4-1 ユーザグループの識別とシリアルポートのアクセス制限(filter_id_head)
RADIUS認証が成功してもユーザグループが特定されない場合の動作は「(6)ユーザグ
ループが特定できないユーザのアクセス方法の設定」を参照してください。
ログイン時の優先順は、①装置管理ユーザ(root)、②一般ユーザ(normal)、③ポートユー
ザ (portusr)です。ダイレクトモードの場合には、本体ログインではアクセス権限①②の
うち優先度の高いものでログインし、ポートサーバへのアクセスは③のアクセス権がある 場合のみログインできます。セレクトモードのログイン時には、そのユーザの持つアクセ ス権限①②③のうちもっとも優先度の高いものでログインします。
(システムソフトウェアVersion1.2以下の場合、ログイン時の優先順は異なります。上記 コマンドで指定したフォーマットと一致する最初のFilter-Idが適用されます。)
・RADIUSサーバのFilter-Id設定内容
・set auth radius server {normal | root | portusr }filter_id_headコマンドの設定 内容
ダイレクトモード セレクトモード 本体アクセス ポートアクセス
装置管理ユーザ 装置管理ユーザ ×(アクセス不可) 装置管理ユーザ 一般ユーザ 一般ユーザ ×(アクセス不可) 一般ユーザ ポートユーザ ×(アクセス不可) ポートユーザ ポートユーザ 装置管理ユーザ/一般ユーザ 装置管理ユーザ ×(アクセス不可) 装置管理ユーザ 装置管理ユーザ/ポートユーザ 装置管理ユーザ ポートユーザ 装置管理ユーザ 一般ユーザ/ポートユーザ 一般ユーザ ポートユーザ 一般ユーザ 装置管理ユーザ/一般ユーザ/ポートユーザ 装置管理ユーザ ポートユーザ 装置管理ユーザ
本機能は、NS-2240の台数が少ない場合やユーザ管理をRADIUSサーバだけで完結させた い場合に有効です。例えば、NS-2240の台数が少なく、ポートユーザ毎にアクセスできる シリアルポートが固定できる場合(user1はシリアルポート1~10に、user2はシリアルポー ト20~30にアクセス可など)に利用します。
注意 本装置は本装置内のローカル認証→RADIUS認証の順番でユーザ認証を行います。
一般ユーザをRADIUS認証する場合は本装置内に登録されている一般ユーザを削 除するか、もしくは、RADIUSサーバに登録したパスワードと異なるパスワードを 設定してください。一般ユーザのパスワードが登録されていない場合は、パスワー
RADIUSサーバ ユーザ名 アトリビュート設定
somebody Filter-Id = NS2240_NORMAL root Filter-Id = NS2240_ROOT suzuki Filter-Id = NS2240_PORT1-10 tanaka Filter-Id = NS2240_PORT11-20 yamada Filter-Id = NS2240_PORT30-32
ユーザ種別 filter_id_head設定 装置管理ユーザ NS2240_ROOT 一般ユーザ NS2240_NORMAL ポートユーザ NS2240_PORT
■filter_id_head設定 NS-2240
■RADIUSサーバ設定
ドにリターンキーを入れるだけで本装置内のローカル認証で成功しログインが可 能となりますのでご注意ください。
装置管理ユーザでのログインやsuコマンド実行時も同様です。RADIUSサーバに登 録したパスワードと異なるパスワードを装置管理ユーザに設定してください。ただ し、装置管理ユーザ(root)は一般ユーザと異なり削除することはできません。
詳細はコマンドリファレンスのset auth radius server { portusr | root | normal } filter_id_headコマンド、および、本書の「付録D アトリビュートとRADIUS認証/アカウン トサーバ設定例」を参照してください。
(5) ユーザグループの識別とシリアルポートのアクセス制限の設定(アクセスグルーピング機能) システムソフトウェアVersion1.3で追加されたアクセスグルーピング機能は、前述の filter_id_headを基に、次の2点の機能を強化しています。
・ 装置管理ユーザ/一般ユーザ/ポートユーザに複数の識別子を登録できます。
アクセスグルーピング機能では、ユーザグループに対して設定する個々の識別子をア クセスグループと呼びます。
・ RADIUSサーバ側にはユーザが所属するアクセスグループのみを定義し、アクセスグル
ープの定義とポートユーザのアクセス権の設定を各NS-2240側に設定することにより、
アクセスするNS-2240ごとに異なるシリアルポートのアクセス権限を設定できます。
アクセスグルーピング機能を使用するには、create auth access_groupコマンドで装置管 理ユーザ/一般ユーザ/ポートユーザのアクセスグループを本装置に設定し、ユーザ認証を
RADIUSに変更します。
(c)NS-2240# configure↵
(c)NS-2240(conf)# create auth access_group root radius filter_id admin_grp↵ (c)NS-2240(conf)# create auth access_group normal radius filter_id normal_grp↵
(c)NS-2240(conf)# create auth access_group portusr port 1-10 radius filter_id port_grp ↵ (c)NS-2240(conf)# exit↵
以下の設定を行った時、RADIUS認証サーバに登録されたユーザのFilter-Idアトリビュー ト値により、次のように動作します。
・ Filter-Idアトリビュート値がadmin_grpであった場合には、そのユーザを装置管理ユ
ーザとして扱います。
・ Filter-Idアトリビュート値がnormal_grpであった場合には、そのユーザを一般ユーザ として扱います。
・ Filter-Idアトリビュート値がport_grpであった場合には、そのユーザをport_grpアク セスグループに属しているポートユーザとして扱います。また、port_grpアクセスグ ループに属しているユーザは、コマンドで指定されているシリアルポート1-10へのア クセス権が設定されます。
(filter_id_headの場合、コマンドで指定した文字列とFilter-Idアトリビュート値の先 頭文字列を部分的に比較しておりますが、アクセスグルーピング機能では完全一致で 比較を行っております。)
4章 各種設定
図 4-2 ユーザグループの識別とシリアルポートのアクセス制限(アクセスグループ)
なお、RADIUS認証が成功してもユーザグループが特定されない場合の動作は「(6)ユ
ーザグループが特定できないユーザのアクセス方法の設定」を参照してください。
ログイン時の優先順は、①装置管理ユーザ(root)、②一般ユーザ(normal)、③ポートユー
ザ (portusr)です。ダイレクトモードの場合には、本体ログインではアクセス権限①②の
うち優先度の高いものでログインし、ポートサーバへのアクセスは③のアクセス権がある 場合のみログインできます。セレクトモードのログイン時には、そのユーザの持つアクセ ス権限①②③のうちもっとも優先度の高いものでログインします。
・RADIUSサーバのFilter-Id設定内容
・create auth access_groupコマンドの 設定内容
ダイレクトモード セレクトモード 本体アクセス ポートアクセス
装置管理ユーザ 装置管理ユーザ ×(アクセス不可) 装置管理ユーザ 一般ユーザ 一般ユーザ ×(アクセス不可) 一般ユーザ ポートユーザ ×(アクセス不可) ポートユーザ ポートユーザ 装置管理ユーザ/一般ユーザ 装置管理ユーザ ×(アクセス不可) 装置管理ユーザ 装置管理ユーザ/ポートユーザ 装置管理ユーザ ポートユーザ 装置管理ユーザ 一般ユーザ/ポートユーザ 一般ユーザ ポートユーザ 一般ユーザ 装置管理ユーザ/一般ユーザ/ポートユーザ 装置管理ユーザ ポートユーザ 装置管理ユーザ
本機能は、NS-2240の台数が多く、かつ、複数のポートユーザのアクセスグループを登録 したい場合や、NS-2240毎にポートユーザがアクセスできるシリアルポートが異なる場合
(例えば、user1がアクセスできるシリアルポートは、NS-2240-1では1-10、NS-2240-2
では15-20など)に本設定を行うと便利です。
参考として、2台のNS-2240でシリアルポートへのアクセス権が異なる2つのポートユーザ のアクセスグループを登録する設定例を記載します。
■NS-2240-1の設定
- 装置管理ユーザのアクセスグループ :admin_grp - 一般ユーザのアクセスグループ :normal_grp - ポートユーザのアクセスグループ :port_grp1
- port_grp1のシリアルポートのアクセス権 :1-10
RADIUSサーバ ユーザ名 アトリビュート設定
somebody Filter-Id = normal_grp root Filter-Id = admin_grp suzuki Filter-Id = port_grp tanaka Filter-Id = port_grp yamada Filter-Id = port_grp
ユーザ種別 グループ名 アクセス権 装置管理ユーザ admin_grp 設定できません 一般ユーザ normal_grp
ポートユーザ port_grp シリアルポート1~10
■アクセスグルーピング設定 NS-2240
■RADIUSサーバ設定