セキュリティの設定

4章 各種設定

4.6.2 ユーザパスワードの設定

工場出荷時に登録されているユーザにはいずれもパスワードが設定されていません。ユー ザにパスワードを設定するには、下記のようにset user passwordコマンドを実行します。

パスワードを変更する場合も、同じコマンドを使用します。

(c)NS-2250# set user root password↵

New password: ↵

Retype new password: ↵

(c)NS-2250# set user somebody password↵

New password: ↵

Retype new password: ↵

(c)NS-2250# set user log password↵

New password: ↵

Retype new password: ↵

(c)NS-2250# set user verup password↵

New password: ↵

Retype new password: ↵ (c)NS-2250#

装置管理ユーザは、全てのユーザのパスワードを変更することができます。

ユーザの権限一覧は、「付録A ユーザ権限」を参照してください。

4.6.3 RADIUS認証機能/RADIUSアカウント機能の設定

RADIUS 認証サーバでユーザを認証したり、RADIUS アカウントサーバにアカウントロ

グを保存するには下記のコマンドを実行します。

(1) RADIUS認証クライアントの設定

認証方式をRADIUSに変更して、RADIUS認証サーバ1に172.31.1.1、RADIUS認証ポ ートに 1645、シークレットキー(abcdef)を登録する場合は以下のコマンドを実行します。

下記設定ではRADIUS認証されるユーザはすべてポートユーザとして処理されます。

一般ユーザと装置管理ユーザは本装置の内部認証（ローカル認証）で行われます。

RADIUS認証ポートの工場出荷時の設定は1812です。

(c)NS-2250# set auth mode radius↵

(c)NS-2250# set auth radius server 1 addr 172.31.1.1↵

(c)NS-2250# set auth radius server 1 port 1645↵

(c)NS-2250# set auth radius server 1 key password↵

[シークレットキー(abcdef)入力]

(c)NS-2250#

一般ユーザや装置管理ユーザをRADIUS認証サーバで認証させる場合は、後述の「（4）

ユーザグループの識別とシリアルポートのアクセス制限の設定（filter_id_head）」と

「（5）ユーザグループの識別とシリアルポートのアクセス制限の設定（アクセスグルー ピング機能）」を参照してください。

(2) RADIUSアカウントクライアントの設定

アカウント方式を RADIUS に変更して、RADIUS アカウントサーバ 1 に 172.31.1.1、

RADIUSアカウントポートに1646、シークレットキー(abcdef)を登録する場合は以下のコ

マンドを実行します。RADIUSアカウントポートの工場出荷の設定は1813です。

(c)NS-2250# set acct mode radius↵

(c)NS-2250# set acct radius server 1 addr 172.31.1.1↵

(c)NS-2250# set acct radius server 1 port 1646↵

(c)NS-2250# set acct radius server 1 key password↵

[シークレットキー(abcdef)入力]

(c)NS-2250#

4章 各種設定

(3) RADIUS認証/アカウント要求パケットのリトライ/タイムアウト値の設定

RADIUS認証/アカウント要求パケットのリトライ回数、認証/アカウント応答パケットの

タイムアウト時間を設定する場合は以下のコマンドを実行します。

工場出荷時ではリトライ回数が3回、タイムアウト値は5秒で設定されています。

(c)NS-2250# set auth radius retry 5↵

(c)NS-2250# set auth radius server 1 timeout 10↵

(c)NS-2250# set acct radius retry 5↵

(c)NS-2250# set acct radius server 1 timeout 10↵

(c)NS-2250#

(4) ユーザグループの識別とシリアルポートのアクセス制限の設定(flter_id_head)

RADIUS 認証でユーザグループの識別とシリアルポートのアクセス制限を行う場合は、

set auth server {normal | root | portusr } filter_id_headコマンドで、認証時にRADIUS 認証サーバから送られてくる Filter-Id の先頭文字列を識別子として用いて、ユーザグル ープの識別を行うように設定します。それぞれのユーザグループに設定できる識別子は1 つずつです。

以下の設定を行った時、RADIUS認証サーバに登録されたユーザのFilter-Idアトリビュ ート値により、次のように動作します。

(c)NS-2250# set auth radius server 1 root filter_id_head NS-2250_ROOT↵

(c)NS-2250# set auth radius server 1 normal filter_id_head NS-2250_NORMAL↵

(c)NS-2250# set auth radius server 1 portusr filter_id_head NS-2250_PORT↵

(c)NS-2250#

・ Filter-Idアトリビュート値がNS-2250_ROOTから始まる文字列であった場合には、そ のユーザを装置管理ユーザとして扱います。

・ Filter-Idアトリビュート値がNS-2250_NORMALから始まる文字列であった場合には、

そのユーザを一般ユーザとして扱います。

・ Filter-Idアトリビュート値がNS-2250_PORTから始まる文字列であった場合には、そ のユーザをポートユーザとして扱います。また、”NS-2250_PORT1-10”のように、

NS-2250_PORTの後にポート番号を示す文字列が続いている場合、記述されているポ

ートへのアクセス権が設定されます。

図 4-1 ユーザグループの識別とシリアルポートのアクセス制限(filter_id_head)

RADIUS 認証が成功してもユーザグループが特定されない場合の動作は「（6）ユーザグ

ループが特定できないユーザのアクセス方法の設定」を参照してください。

ログイン時の優先順は、①装置管理ユーザ(root)、②一般ユーザ(normal)、③ポートユー

ザ (portusr)です。ダイレクトモードの場合には、本体ログインではアクセス権限①②の

うち優先度の高いものでログインし、ポートサーバへのアクセスは③のアクセス権がある 場合のみログインできます。セレクトモードのログイン時には、そのユーザの持つアクセ ス権限①②③のうちもっとも優先度の高いものでログインします。

・RADIUSサーバのFilter-Id設定内容

・set auth radius server {normal | root | portusr }filter_id_headコマンドの設定 内容

ダイレクトモード セレクトモード 本体アクセス ポートアクセス

装置管理ユーザ 装置管理ユーザ ×(アクセス不可) 装置管理ユーザ 一般ユーザ 一般ユーザ ×(アクセス不可) 一般ユーザ ポートユーザ ×(アクセス不可) ポートユーザ ポートユーザ 装置管理ユーザ/一般ユーザ 装置管理ユーザ ×(アクセス不可) 装置管理ユーザ 装置管理ユーザ/ポートユーザ 装置管理ユーザ ポートユーザ 装置管理ユーザ 一般ユーザ/ポートユーザ 一般ユーザ ポートユーザ 一般ユーザ 装置管理ユーザ/一般ユーザ/ポートユーザ 装置管理ユーザ ポートユーザ 装置管理ユーザ

本機能は、NS-2250の台数が少ない場合やユーザ管理をRADIUSサーバだけで完結させ たい場合に有効です。例えば、NS-2250の台数が少なく、ポートユーザ毎にアクセスでき るシリアルポートが固定できる場合(user1はシリアルポート1～10に、user2はシリアル ポート20～30にアクセス可など)に利用します。

注意 本装置は本装置内のローカル認証→RADIUS認証の順番でユーザ認証を行います。

一般ユーザを RADIUS認証する場合は本装置内に登録されている一般ユーザを削 除するか、もしくは、RADIUSサーバに登録したパスワードと異なるパスワードを 設定してください。一般ユーザのパスワードが登録されていない場合は、パスワー ドにリターンキーを入れるだけで本装置内のローカル認証で成功しログインが可 能となりますのでご注意ください。

RADIUSサーバ ユーザ名 アトリビュート設定

somebody Filter-Id = NS2250_NORMAL root Filter-Id = NS2250_ROOT suzuki Filter-Id = NS2250_PORT1-10 tanaka Filter-Id = NS2250_PORT11-20 yamada Filter-Id = NS2250_PORT30-32

ユーザ種別 filter_id_head設定 装置管理ユーザ NS2250_ROOT 一般ユーザ NS2250_NORMAL ポートユーザ NS2250_PORT

■filter_id_head設定 NS-2250

■RADIUSサーバ設定

4章 各種設定 装置管理ユーザでのログインやsuコマンド実行時も同様です。RADIUSサーバに 登録したパスワードと異なるパスワードを装置管理ユーザに設定してください。た だし、装置管理ユーザ(root)は一般ユーザと異なり削除することはできません。

詳細はコマンドリファレンスのset auth radius server { portusr | root | normal } filter_id_headコマンド、および、本書の「付録C アトリビュートとRADIUS認証/アカウ ントサーバ設定例」を参照してください。

(5) ユーザグループの識別とシリアルポートのアクセス制限の設定(アクセスグルーピング機能) アクセスグルーピング機能は、前述のfilter_id_headを基に、次の2点の機能を強化して います。

・ 装置管理ユーザ/一般ユーザ/ポートユーザに複数の識別子を登録できます。

アクセスグルーピング機能では、ユーザグループに対して設定する個々の識別子をア クセスグループと呼びます。

・ RADIUSサーバ側にはユーザが所属するアクセスグループのみを定義し、アクセスグル

ープの定義とポートユーザのアクセス権の設定を各NS-2250側に設定することにより、

アクセスするNS-2250ごとに異なるシリアルポートのアクセス権限を設定できます。

アクセスグルーピング機能を使用するには、create auth access_groupコマンドで装置管 理ユーザ/一般ユーザ/ポートユーザのアクセスグループを本装置に設定し、ユーザ認証を

RADIUSに変更します。

(c)NS-2250# create auth access_group root radius filter_id admin_grp↵

(c)NS-2250# create auth access_group normal radius filter_id normal_grp↵

(c)NS-2250# create auth access_group portusr port 1-10 radius filter_id port_grp ↵ (c)NS-2250#

以下の設定を行った時、RADIUS認証サーバに登録されたユーザのFilter-Idアトリビュ ート値により、次のように動作します。

・ Filter-Idアトリビュート値がadmin_grpであった場合には、そのユーザを装置管理ユ

ーザとして扱います。

・ Filter-Idアトリビュート値がnormal_grpであった場合には、そのユーザを一般ユーザ として扱います。

・ Filter-Idアトリビュート値がport_grpであった場合には、そのユーザをport_grpアク セスグループに属しているポートユーザとして扱います。また、port_grpアクセスグ

図 4-2 ユーザグループの識別とシリアルポートのアクセス制限(アクセスグループ)

なお、RADIUS 認証が成功してもユーザグループが特定されない場合の動作は「（6）ユ

ーザグループが特定できないユーザのアクセス方法の設定」を参照してください。

ログイン時の優先順は、①装置管理ユーザ(root)、②一般ユーザ(normal)、③ポートユー

ザ (portusr)です。ダイレクトモードの場合には、本体ログインではアクセス権限①②の

うち優先度の高いものでログインし、ポートサーバへのアクセスは③のアクセス権がある 場合のみログインできます。セレクトモードのログイン時には、そのユーザの持つアクセ ス権限①②③のうちもっとも優先度の高いものでログインします。

・RADIUSサーバのFilter-Id設定内容

・create auth access_groupコマンドの 設定内容

ダイレクトモード セレクトモード 本体アクセス ポートアクセス

装置管理ユーザ 装置管理ユーザ ×(アクセス不可) 装置管理ユーザ 一般ユーザ 一般ユーザ ×(アクセス不可) 一般ユーザ ポートユーザ ×(アクセス不可) ポートユーザ ポートユーザ 装置管理ユーザ/一般ユーザ 装置管理ユーザ ×(アクセス不可) 装置管理ユーザ 装置管理ユーザ/ポートユーザ 装置管理ユーザ ポートユーザ 装置管理ユーザ 一般ユーザ/ポートユーザ 一般ユーザ ポートユーザ 一般ユーザ 装置管理ユーザ/一般ユーザ/ポートユーザ 装置管理ユーザ ポートユーザ 装置管理ユーザ

本機能は、NS-2250の台数が多く、かつ、複数のポートユーザのアクセスグループを登録 したい場合や、NS-2250毎にポートユーザがアクセスできるシリアルポートが異なる場合

（例えば、user1がアクセスできるシリアルポートは、NS-2250-1では1-10、NS-2250-2

では15-20など）に本設定を行うと便利です。

参考として、2台のNS-2250でシリアルポートへのアクセス権が異なる2つのポートユー ザのアクセスグループを登録する設定例を記載します。

■NS-2250-1の設定

- 装置管理ユーザのアクセスグループ ：admin_grp - 一般ユーザのアクセスグループ ：normal_grp - ポートユーザのアクセスグループ ：port_grp1

- port_grp1のシリアルポートのアクセス権 ：1-10

- ポートユーザのアクセスグループ ：port_grp2

- port_grp2のシリアルポートのアクセス権 ：31,32

RADIUSサーバ ユーザ名 アトリビュート設定

somebody Filter-Id = normal_grp root Filter-Id = admin_grp suzuki Filter-Id = port_grp tanaka Filter-Id = port_grp yamada Filter-Id = port_grp

ユーザ種別 グループ名 アクセス権 装置管理ユーザ admin_grp 設定できません 一般ユーザ normal_grp

ポートユーザ port_grp シリアルポート1～10

■アクセスグルーピング設定 NS-2250

■RADIUSサーバ設定

ドキュメント内 NS-2250シリーズ_取扱説明書-01 (ページ 122-139)