TACACS+
8.3 RADIUS/TACACS+のコンフィグレーション
8.3.1 コンフィグレーションコマンド一覧
RADIUS/TACACS+に関するコンフィグレーションコマンド一覧を次の表に示します。
表 8‒21 コンフィグレーションコマンド一覧(RADIUS)
コマンド名 説明
radius-server host 認証,承認,アカウンティングに使用する RADIUS サーバを設定します。
radius-server key 認証,承認,アカウンティングに使用する RADIUS サーバ鍵を設定します。
radius-server retransmit 認証,承認,アカウンティングに使用する RADIUS サーバへの再送回数を設 定します。
radius-server timeout 認証,承認,アカウンティングに使用する RADIUS サーバの応答タイムアウ ト値を設定します。
表 8‒22 コンフィグレーションコマンド一覧(TACACS+)
コマンド名 説明
tacacs-server host 認証,承認,アカウンティングに使用する TACACS+サーバを設定します。
tacacs-server key 認証,承認,アカウンティングに使用する TACACS+サーバの共有秘密鍵を 設定します。
tacacs-server timeout 認証,承認,アカウンティングに使用する TACACS+サーバの応答タイムア ウト値を設定します。
表 8‒23 コンフィグレーションコマンド一覧(認証)
コマンド名 説明
aaa authentication enable 装置管理者モードへの変更(enable コマンド)時に使用する認証方式を指定 します。
aaa authentication enable attribute-user-per-method
装置管理者モードへの変更(enable コマンド)時の認証に使用するユーザ名 属性を変更します。
aaa authentication enable end-by-reject
装置管理者モードへの変更(enable コマンド)時の認証で,否認された場合 に認証を終了します。
aaa authentication login リモートログイン時に使用する認証方式を指定します。
aaa authentication login console コンソール(RS232C)および AUX からのログイン時に aaa authentication login コマンドで指定した認証方式を使用します。
aaa authentication login end-by-reject
ログイン時の認証で,否認された場合に認証を終了します。
username 本装置へログインするユーザアカウントを作成して,パスワードを設定しま す。
表 8‒24 コンフィグレーションコマンド一覧(コマンド承認)
コマンド名 説明
aaa authorization commands RADIUS サーバまたは TACACS+サーバによるコマンド承認をする場合に 指定します。
aaa authorization commands console
コンソール(RS232C)および AUX からのログインの場合に aaa authorization commands コマンドで指定したコマンド承認を行います。
commands exec ローカル(コンフィグレーション)によるコマンド承認で使用するコマンド リストに,コマンド文字列を追加します。
parser view ローカル(コンフィグレーション)によるコマンド承認で使用するコマンド リストを生成します。
username 指定ユーザに,ローカル(コンフィグレーション)によるコマンド承認で使 用するコマンドリストまたはコマンドクラスを設定します。
表 8‒25 コンフィグレーションコマンド一覧(アカウンティング)
コマンド名 説明
aaa accounting commands コマンドアカウンティングを行うときに設定します。
aaa accounting exec ログイン・ログアウトアカウンティングを行うときに設定します。
8.3.2 RADIUS サーバによる認証の設定
(1) ログイン認証の設定例
[設定のポイント]
RADIUS サーバ,およびローカル認証を行う設定例を示します。RADIUS サーバとの通信不可などの 異常によって認証に失敗した場合だけローカル認証を行うように設定します。なお,否認によって認証 に失敗した場合には,その時点で一連の認証を終了し,ローカル認証を行いません。
あらかじめ,通常のリモートアクセスに必要な設定を行っておく必要があります。
[コマンドによる設定]
1.(config)# aaa authentication login default group radius local
ログイン時に使用する認証方式を RADIUS 認証,ローカル認証の順に設定します。
2.(config)# aaa authentication login end-by-reject
RADIUS 認証で否認された場合には,その時点で一連の認証を終了し,ローカル認証を行わないように 設定します。
3.(config)# radius-server host 192.168.10.1 key "039fkllf84kxm3"
RADIUS 認証に使用するサーバ 192.168.10.1 の IP アドレスと共有鍵を設定します。
(2) 装置管理者モードへの変更(enable コマンド)時の認証の設定例
[設定のポイント]
RADIUS サーバ,およびローカル認証を行う設定例を示します。RADIUS サーバとの通信不可などの 異常によって認証に失敗した場合だけローカル認証を行うように設定します。なお,否認によって認証 に失敗した場合には,その時点で一連の認証を終了し,ローカル認証を行いません。
また,RADIUS 認証時のユーザ名属性として$enab15$を送信するように設定します。
[コマンドによる設定]
1.(config)# aaa authentication enable default group radius enable
装置管理者モードへの変更(enable コマンド)時に使用する認証方式を RADIUS 認証,ローカル認証 の順に設定します。
2.(config)# aaa authentication enable end-by-reject
RADIUS 認証で否認された場合には,その時点で一連の認証を終了し,ローカル認証を行わないように 設定します。
3.(config)# aaa authentication enable attribute-user-per-method
RADIUS 認証時のユーザ名属性として$enab15$を送信するように設定します。
4.(config)# radius-server host 192.168.10.1 key "039fkllf84kxm3"
RADIUS 認証に使用するサーバ 192.168.10.1 の IP アドレスと共有鍵を設定します。
8.3.3 TACACS+サーバによる認証の設定
(1) ログイン認証の設定例
[設定のポイント]
TACACS+サーバおよびローカル認証を行う設定例を示します。TACACS+サーバとの通信不可など の異常によって認証に失敗した場合だけローカル認証を行うように設定します。なお,否認によって認 証に失敗した場合には,その時点で一連の認証を終了し,ローカル認証を行いません。
あらかじめ,通常のリモートアクセスに必要な設定を行っておく必要があります。
[コマンドによる設定]
1.(config)# aaa authentication login default group tacacs+ local
ログイン時に使用する認証方式を TACACS+認証,ローカル認証の順に設定します。
2.(config)# aaa authentication login end-by-reject
TACACS+認証で否認された場合には,その時点で一連の認証を終了し,ローカル認証を行わないよう に設定します。
3.(config)# tacacs-server host 192.168.10.1 key "4h8dlir9r-w2"
TACACS+認証に使用するサーバ 192.168.10.1 の IP アドレスと共有鍵を設定します。
(2) 装置管理者モードへの変更(enable コマンド)時の認証の設定例
[設定のポイント]
TACACS+サーバおよびローカル認証を行う設定例を示します。TACACS+サーバとの通信不可など の異常によって認証に失敗した場合だけローカル認証を行うように設定します。なお,否認によって認 証に失敗した場合には,その時点で一連の認証を終了し,ローカル認証を行いません。
また,TACACS+認証時のユーザ名属性としてログインユーザ名を送信するように設定します。
[コマンドによる設定]
1.(config)# aaa authentication enable default group tacacs+ enable
装置管理者モードへの変更(enable コマンド)時に使用する認証方式を TACACS+認証,ローカル認 証の順に設定します。
2.(config)# aaa authentication enable end-by-reject
TACACS+認証で否認された場合には,その時点で一連の認証を終了し,ローカル認証を行わないよう に設定します。
3.(config)# aaa authentication enable attribute-user-per-method
TACACS+認証時のユーザ名属性としてログインユーザ名を送信するように設定します。
4.(config)# tacacs-server host 192.168.10.1 key "4h8dlir9r-w2"
TACACS+認証に使用するサーバ 192.168.10.1 の IP アドレスと共有鍵を設定します。
8.3.4 RADIUS/TACACS+/ローカルによるコマンド承認の設定
(1) RADIUS サーバによるコマンド承認の設定例
[設定のポイント]
RADIUS サーバによるコマンド承認を行う設定例を示します。
あらかじめ,RADIUS 認証を使用する設定をしてください。
[コマンドによる設定]
1.(config)# aaa authentication login default group radius local (config)# radius-server host 192.168.10.1 key "RaD#001"
あらかじめ,RADIUS サーバによる認証の設定を行います。
2.(config)# aaa authorization commands default group radius RADIUS サーバを使用して,コマンド承認を行います。
(2) TACACS+サーバによるコマンド承認の設定例
[設定のポイント]
TACACS+サーバによるコマンド承認を行う設定例を示します。
あらかじめ,TACACS+認証を使用する設定をしてください。
[コマンドによる設定]
1.(config)# aaa authentication login default group tacacs+ local (config)# tacacs-server host 192.168.10.1 key "TaC#001"
あらかじめ,TACACS+サーバによる認証の設定を行います。
2.(config)# aaa authorization commands default group tacacs+
TACACS+サーバを使用して,コマンド承認を行います。
(3) ローカルコマンド承認の設定例
[設定のポイント]
あらかじめ,ローカル認証を使用する設定をしてください。
コマンドクラスとコマンドリストを同時に設定できますが,コマンドクラスだけを使用する場合は,コ マンドリストの設定は必要ありません。
[コマンドによる設定]
1.(config)# parser view Local_001
(config-view)# commands exec include all "show"
(config-view)# commands exec exclude all "reload"
コマンドリストを使用する場合は,あらかじめコマンドリストの設定を行います。
2.(config)# username user001 view Local_001 (config)# username user001 view-class noenable
指定ユーザにコマンドクラスまたはコマンドリストの設定を行います。
3.(config)# aaa authentication login default local ローカルパスワードによる認証の設定を行います。
4.(config)# aaa authorization commands default local ローカル認証を使用して,コマンド承認を行います。
8.3.5 RADIUS/TACACS+によるログイン・ログアウトアカウンティン グの設定
(1) RADIUS サーバによるログイン・ログアウトアカウンティングの設定例
[設定のポイント]
RADIUS サーバによるログイン・ログアウトアカウンティングを行う設定例を示します。あらかじめ,
アカウンティング送信先となる RADIUS サーバホスト側の設定を行ってください。
[コマンドによる設定]
1.(config)# radius-server host 192.168.10.1 key "RaD#001"
あらかじめ,RADIUS サーバの設定を行います。
2.(config)# aaa accounting exec default start-stop group radius ログイン・ログアウトアカウンティングの設定を行います。
[注意事項]
radius-server コンフィグレーションの設定がされていない状態で aaa accounting exec を設定した 場合,ユーザがログイン・ログアウトしたときにシステムメッセージ(メッセージ種別:ACCESS,
メッセージ識別子:27000013)が表示されます。使用する radius-server コンフィグレーションを設 定してください。
(2) TACACS+サーバによるログイン・ログアウトアカウンティングの設定例
[設定のポイント]
TACACS+サーバによるログイン・ログアウトアカウンティングを行う設定例を示します。あらかじ め,アカウンティング送信先となる TACACS+サーバホスト側の設定を行ってください。
[コマンドによる設定]
1.(config)# tacacs-server host 192.168.10.1 key "TaC#001"
あらかじめ,TACACS+サーバの設定を行います。
2.(config)# aaa accounting exec default start-stop group tacacs+
ログイン・ログアウトアカウンティングの設定を行います。
[注意事項]
tacacs-server コンフィグレーションの設定がされていない状態で aaa accounting exec を設定した 場合,ユーザがログイン・ログアウトしたときにシステムメッセージ(メッセージ種別:ACCESS,