TACACS+
8.2 RADIUS/TACACS+の解説
8.2.5 RADIUS/TACACS+を使用したアカウンティング
RADIUS/TACACS+を使用したアカウンティング方法について説明します。
(1) アカウンティングの指定
本装置の RADIUS/TACACS+コンフィグレーションと aaa accounting コンフィグレーションのアカウ ンティングを設定すると,運用端末から本装置へのログイン・ログアウト時に RADIUS または TACACS +サーバへアカウンティング情報を送信します。また,本装置へのコマンド入力時に TACACS+サーバへ アカウンティング情報を送信します。
アカウンティングの設定は,ログインとログアウトのイベントを送信するログインアカウンティング指定 と,コマンド入力のイベントを送信するコマンドアカウンティング指定があります。コマンドアカウンティ ングは TACACS+だけでサポートしています。
それぞれのアカウンティングに対して,アカウンティング START と STOP を両方送信するモード(start-stop)と STOP だけを送信するモード(stop-only)を選択できます。さらに,コマンドアカウンティング に対しては,入力したコマンドをすべて送信するモードとコンフィグレーションだけを送信するモードを選 択できます。また,設定された各 RADIUS/TACACS+サーバに対して,通常はどこかのサーバでアカウ ンティングが成功するまで順に送信しますが,成功したかどうかにかかわらずすべてのサーバへ順に送信す るモード(broadcast)も選択できます。
(2) アカウンティングの流れ
ログインアカウンティングとコマンドアカウンティングの両方を START-STOP 送信モードで TACACS +サーバへ送信する設定をした場合のシーケンスを次の図に示します。
図 8‒29 TACACS+アカウンティングのシーケンス(ログイン・コマンドアカウンティングの START-STOP 送信モード時)
この図で運用端末から本装置にログインが成功すると,本装置から TACACS+サーバに対しユーザ情報や 時刻などのアカウンティング情報を送信します。また,コマンドの入力前後にも本装置から TACACS +サーバに対し入力したコマンド情報などのアカウンティング情報を送信します。最後に,ログアウト時に は,ログインしていた時間などの情報を送信します。
ログインアカウンティングは START-STOP 送信モードのままで,コマンドアカウンティングだけを STOP-ONLY 送信モードして TACACS+サーバへ送信する設定をした場合のシーケンスを次の図に示し ます。
図 8‒30 TACACS+アカウンティングのシーケンス(ログインアカウンティング START-STOP,コマン ドアカウンティング STOP-ONLY 送信モード時)
「図 8‒29 TACACS+アカウンティングのシーケンス(ログイン・コマンドアカウンティングの START-STOP 送信モード時)」の例と比べると,ログイン・ログアウトでのアカウンティング動作は同じですが,
コマンドアカウンティングで STOP-ONLY を指定している場合,コマンドの入力前にだけ本装置から TACACS+サーバに対し入力したコマンド情報などのアカウンティング情報を送信します。
(3) アカウンティングの注意事項
RADIUS/TACACS+コンフィグレーション,aaa accounting コンフィグレーションのアカウンティング の設定や interface loopback コンフィグレーションで IPv4 装置アドレスを変更した場合は,送受信途中 や未送信のアカウンティングイベントと統計情報はクリアされ,新しい設定で動作します。
多数のユーザが,コマンドを連続して入力したり,ログイン・ログアウトを繰り返したりした場合,アカウ ンティングイベントが大量に発生するため,一部のイベントでアカウンティングできないことがあります。
アカウンティングイベントの大量な発生による本装置・サーバ・ネットワークへの負担を避けるためにも,
コマンドアカウンティングは STOP-ONLY で設定することをお勧めします。また,正常に通信できない RADIUS/TACACS+サーバは指定しないでください。
運用コマンド clear accounting でアカウンティング統計情報をクリアする場合,clear accounting コマン ドの入力時点で各サーバへの送受信途中のアカウンティングイベントがあるときは,そのイベントの送受信 終了後に,各サーバへの送受信統計のカウントを開始します。
DNS サーバを使用してホスト名を解決する場合,DNS サーバとの通信に時間が掛かることがあります。
このため,RADIUS サーバおよび TACACS+サーバは IP アドレスで指定することをお勧めします。