TACACS+
8.2 RADIUS/TACACS+の解説
8.2.2 RADIUS/TACACS+の適用機能および範囲
本装置では RADIUS/TACACS+を,運用端末からのログイン認証と装置管理者モードへの変更(enable コマンド)時の認証,コマンド承認,およびアカウンティングに使用します。RADIUS/TACACS+機能の サポート範囲を次に示します。
(1) RADIUS/TACACS+の適用範囲
RADIUS/TACACS+認証を適用できる操作を次に示します。
• 本装置への telnet(IPv4/IPv6)
• 本装置への ftp(IPv4/IPv6)
• コンソール(RS232C)および AUX からのログイン
• 装置管理者モードへの変更(enable コマンド)
RADIUS/TACACS+コマンド承認を適用できる操作を次に示します。
• 本装置への telnet(IPv4/IPv6)
• コンソール(RS232C)および AUX からのログイン
RADIUS/TACACS+アカウンティングを適用できる操作を次に示します。
• 本装置への telnet(IPv4/IPv6)によるログイン・ログアウト
• 本装置への ftp(IPv4/IPv6)によるログイン・ログアウト
• コンソール(RS232C)および AUX からのログイン・ログアウト
• CLI でのコマンド入力(TACACS+だけサポート)
• システム操作パネルでのコマンド入力(TACACS+だけサポート)
(2) RADIUS のサポート範囲
RADIUS サーバに対して,本装置がサポートする NAS 機能を次の表に示します。
表 8‒4 RADIUS のサポート範囲
分類 内容
文書全体 NAS に関する記述だけを対象にします。
パケットタイプ ログイン認証,装置管理者モードへの変更(enable コマンド)時の認証,コマンド承認 で使用する次のタイプ
• Access-Request(送信)
• Access-Accept(受信)
• Access-Reject(受信)
アカウンティングで使用する次のタイプ
• Accounting-Request(送信)
• Accounting-Response(受信)
属性 ログイン認証と装置管理者モードへの変更(enable コマンド)時の認証で使用する次の 属性
• User-Name
分類 内容
• User-Password
• Service-Type
• NAS-IP-Address
• NAS-IPv6-Address
• NAS-Identifier
• Reply-Message
コマンド承認で使用する次の属性
• Class
• Vendor-Specific(Vendor-ID=21839)
アカウンティングで使用する次の属性
• User-Name
• NAS-IP-Address
• NAS-IPv6-Address
• NAS-Port
• NAS-Port-Type
• Service-Type
• Calling-Station-Id
• Acct-Status-Type
• Acct-Delay-Time
• Acct-Session-Id
• Acct-Authentic
• Acct-Session-Time
(a) 使用する RADIUS 属性の内容
使用する RADIUS 属性の内容を次の表に示します。
RADIUS サーバを利用してコマンド承認する場合は,認証時に下の表に示すような Class や Vendor-Specific を返すようにあらかじめ RADIUS サーバを設定しておく必要があります。RADIUS サーバに は,ベンダー固有属性を登録(dictionary ファイルなどに設定)してください。コマンド承認の属性詳細 については,「8.2.4 RADIUS/TACACS+/ローカルを使用したコマンド承認」を参照してください。
表 8‒5 使用する RADIUS 属性の内容
属性名 属性値 パケットタイプ 内容
User-Name 1 Access-Request Accounting-Request
認証するユーザの名前。
ログイン認証の場合は,ログインユーザ名を送 信します。
装置管理者モードへの変更(enable コマンド)
時の認証の場合は,「表 8‒10 設定するユーザ 名属性」に従ってユーザ名を送信します。
User-Password 2 Access-Request 認証ユーザのパスワード。送信時には暗号化さ れます。
属性名 属性値 パケットタイプ 内容 Service-Type 6 Access-Request
Accounting-Request
Login(値=1)。Administrative(値=6,ただ しパケットタイプが Access-Request の場合だ け使用)。Accept および Access-Reject に添付された場合は無視します。
NAS-IP-Address 4 Access-Request Accounting-Request
本装置の IP アドレス。
• RADIUS サーバへの送信元 IP アドレスが 設定されている場合,送信元 IP アドレス
• RADIUS サーバへの送信元 IP アドレスが 設定されていなくて,ローカルアドレスが設 定されている場合,ローカルアドレス
• RADIUS サーバへの送信元 IP アドレスお よびローカルアドレスが設定されていない 場合,送信インタフェースの IP アドレス NAS-IPv6-Address 95 Access-Request
Accounting-Request
本装置の IPv6 アドレス。
• RADIUS サーバへの送信元 IPv6 アドレス が設定されている場合,送信元 IPv6 アドレ ス
• RADIUS サーバへの送信元 IPv6 アドレス が設定されていなくて,ローカルアドレスが 設定されている場合,ローカルアドレス
• RADIUS サーバへの送信元 IPv6 アドレス およびローカルアドレスが設定されていな い場合,送信インタフェースの IPv6 アドレ ス
ただし,IPv6 リンクローカルアドレスで通信す る場合は,ローカルアドレス設定の有無にかか わらず送信インタフェースの IPv6 リンクロー カルアドレスになります。
NAS-Identifier 32 Access-Request Accounting-Request
本装置の装置名。装置名が設定されていない場 合は添付されません。
Reply-Message 18 Access-Accept Access-Reject Accounting-Response
サーバからのメッセージ。添付されている場合 は,運用ログとして出力されます。
Class 25 Access-Accept ログインクラス。コマンド承認で適用します。
Vendor-Specific 26 Access-Accept ログインリスト。コマンド承認で適用します。
NAS-Port 5 Accounting-Request ユーザが接続されている NAS のポート番号を 指します。本装置では,tty ポート番号を格納し ます。ただし,ftp の場合は 100 を格納します。
NAS-Port-Type 61 Accounting-Request NAS に接続した方法を指します。本装置では,
telnet/ftp は Virtual(5),コンソール/AUX は Async(0)を格納します。
Calling-Station-Id 31 Accounting-Request 利用者の識別 ID を指します。本装置では,
telnet/ftp はクライアントの IPv4/IPv6 アドレ
属性名 属性値 パケットタイプ 内容
ス,コンソールは“console”,AUX は“aux”
を格納します。
Acct-Status-Type 40 Accounting-Request Accounting-Request がどのタイミングで送信 されたかを指します。本装置では,ユーザのロ グイン時に Start(1),ログアウト時に Stop(2)
を格納します。
Acct-Delay-Time 41 Accounting-Request 送信する必要のあるイベント発生から Accounting-Request を送信するまでにかかっ た時間(秒)を格納します。
Acct-Session-Id 44 Accounting-Request セッションを識別するための文字列を指しま す。本装置では,セッションのプロセス ID を格 納します。
Acct-Authentic 45 Accounting-Request ユーザがどのように認証されたかを指します。
本装置では,RADIUS(1),Local(2),Remote
(3)の 3 種類を格納します。
Acct-Session-Time 46 Accounting-Request
(Acct-Status-Type が Stop の場合だけ)
ユーザがサービスを利用した時間(秒)を指し ます。本装置では,ユーザがログイン後ログア ウトするまでの時間(秒)を格納します。
• Access-Request パケット
本装置が送信するパケットには,この表で示す以外の属性は添付しません。
• Access-Accept,Access-Reject,Accounting-Response パケット
この表で示す以外の属性が添付されていた場合,本装置ではそれらの属性を無視します。
(3) TACACS+のサポート範囲
TACACS+サーバに対して,本装置がサポートする NAS 機能を次の表に示します。
表 8‒6 TACACS+のサポート範囲
分類 内容
パケットタイプ ログイン認証と装置管理者モードへの変更(enable コマンド)時の認証で 使用する次のタイプ
• Authentication Start(送信)
• Authentication Reply(受信)
• Authentication Continue(送信)
コマンド承認で使用する次のタイプ
• Authorization Request(送信)
• Authorization Response(受信)
アカウンティングで使用する次のタイプ
• Accounting Request(送信)
• Accounting Reply(受信)
ログイン認証 属性 • User
• Password
分類 内容 装置管理者モードへの変
更(enable コマンド)時 の認証
• priv-lvl
コマンド承認 service • taclogin 属性 • class
• allow-commands
• deny-commands
アカウンティング flag • TAC_PLUS_ACCT_FLAG_START
• TAC_PLUS_ACCT_FLAG_STOP 属性 • task_id
• start_time
• stop_time
• elapsed_time
• timezone
• service
• priv-lvl
• cmd
(a) 使用する TACACS+属性の内容
使用する TACACS+属性の内容を次の表に示します。
TACACS+サーバを利用してコマンド承認する場合は,認証時に class または allow-commands や deny-commands 属性とサービスを返すように TACACS+サーバ側で設定します。コマンド承認の属性詳細に ついては,「8.2.4 RADIUS/TACACS+/ローカルを使用したコマンド承認」に示します。
表 8‒7 使用する TACACS+属性の内容
service 属性 説明
- User 認証するユーザの名前。
ログイン認証の場合は,ログインユーザ名を送信します。
装置管理者モードへの変更(enable コマンド)時の認証の場合は,「表 8‒
10 設定するユーザ名属性」に従ってユーザ名を送信します。
Password 認証ユーザのパスワード。送信時には暗号化されます。
priv-lvl 認証するユーザの特権レベル。
ログイン認証の場合,1 を使用します。装置管理者モードへの変更(enable コマンド)時の認証の場合,15 を使用します。
taclogin class コマンドクラス allow-commands 許可コマンドリスト deny-commands 制限コマンドリスト
(凡例)−:該当なし
アカウンティング時に使用する TACACS+ flag を次の表に示します。
表 8‒8 TACACS+アカウンティング flag 一覧
flag 内容
TAC_PLUS_ACCT_FLAG_START アカウンティング START パケットを示します。ただし,aaa コン フィグレーションで送信契機に stop-only を指定している場合は,
アカウンティング START パケットは送信しません。
TAC_PLUS_ACCT_FLAG_STOP アカウンティング STOP パケットを示します。ただし,aaa コン フィグレーションで送信契機に stop-only を指定している場合は,
このアカウンティング STOP パケットだけを送信します。
アカウンティング時に使用する TACACS+属性(Attribute-Value)の内容を次の表に示します。
表 8‒9 TACACS+アカウンティング Attribute-Value 一覧
Attribute Value
task_id イベントごとに割り当てられる ID です。本装置ではアカウンティングイベントのプロセス ID を格納します。
start_time イベントを開始した時刻です。本装置ではアカウンティングイベントが開始された時刻を格 納します。この属性は次のイベントで格納されます。
• 送信契機 start-stop 指定時のログイン時,コマンド実行前
• 送信契機 stop-only 指定時のコマンド実行前
stop_time イベントを終了した時刻です。本装置ではアカウンティングイベントが終了した時刻を格納 します。この属性は次のイベントで格納されます。
• 送信契機 start-stop 指定時のログアウト時,コマンド実行後
• 送信契機 stop-only 指定時のログアウト時
elapsed_time イベント開始からの経過時間(秒)です。本装置ではアカウンティングイベントの開始から終 了までの時間(秒)を格納します。この属性は次のイベントで格納されます。
• 送信契機 start-stop 指定時のログアウト時,コマンド実行後
• 送信契機 stop-only 指定時のログアウト時 timezone タイムゾーン文字列を格納します。
service 文字列“shell”を格納します。
priv-lvl コマンドアカウンティング設定時に,入力されたコマンドが運用コマンドの場合は 1,コンフィ グレーションコマンドの場合は 15 を格納します。
cmd コマンドアカウンティング設定時に,入力されたコマンド文字列(最大 250 文字)を格納しま す。