RADIUS/TACACS+を使用した認証

アカウンティング時に使用する TACACS+ flag を次の表に示します。

表 8‒8　TACACS+アカウンティング flag 一覧

flag 内容

TAC_PLUS_ACCT_FLAG_START アカウンティング START パケットを示します。ただし，aaa コン フィグレーションで送信契機に stop-only を指定している場合は，

アカウンティング START パケットは送信しません。

TAC_PLUS_ACCT_FLAG_STOP アカウンティング STOP パケットを示します。ただし，aaa コン フィグレーションで送信契機に stop-only を指定している場合は，

このアカウンティング STOP パケットだけを送信します。

アカウンティング時に使用する TACACS+属性（Attribute-Value）の内容を次の表に示します。

表 8‒9　TACACS+アカウンティング Attribute-Value 一覧

Attribute Value

task_id イベントごとに割り当てられる ID です。本装置ではアカウンティングイベントのプロセス ID を格納します。

start_time イベントを開始した時刻です。本装置ではアカウンティングイベントが開始された時刻を格 納します。この属性は次のイベントで格納されます。

• 送信契機 start-stop 指定時のログイン時，コマンド実行前

• 送信契機 stop-only 指定時のコマンド実行前

stop_time イベントを終了した時刻です。本装置ではアカウンティングイベントが終了した時刻を格納 します。この属性は次のイベントで格納されます。

• 送信契機 start-stop 指定時のログアウト時，コマンド実行後

• 送信契機 stop-only 指定時のログアウト時

elapsed_time イベント開始からの経過時間（秒）です。本装置ではアカウンティングイベントの開始から終 了までの時間（秒）を格納します。この属性は次のイベントで格納されます。

• 送信契機 start-stop 指定時のログアウト時，コマンド実行後

• 送信契機 stop-only 指定時のログアウト時 timezone タイムゾーン文字列を格納します。

service 文字列“shell”を格納します。

priv-lvl コマンドアカウンティング設定時に，入力されたコマンドが運用コマンドの場合は 1，コンフィ グレーションコマンドの場合は 15 を格納します。

cmd コマンドアカウンティング設定時に，入力されたコマンド文字列（最大 250 文字）を格納しま す。

(1)　認証サービスの選択

ログイン認証および装置管理者モードへの変更（enable コマンド）時の認証に使用するサービスは複数指 定できます。指定できるサービスは RADIUS，TACACS+，ならびにコンフィグレーションコマンド username および enable password による本装置単体でのログインセキュリティ機能です。

これらの認証方式は単独でも同時でも指定できます。同時に指定された場合に先に指定された方式で認証 に失敗したときの認証サービスの選択動作を，次に示す end-by-reject を設定するコンフィグレーションコ マンドで変更できます。

ログイン認証の場合

aaa authentication login end-by-reject

装置管理者モードへの変更（enable コマンド）時の認証の場合 aaa authentication enable end-by-reject

(a)　end-by-reject 未設定時

end-by-reject 未設定時の認証サービスの選択について説明します。end-by-reject 未設定時は，先に指定 された方式で認証に失敗した場合に，その失敗の理由に関係なく，次に指定された方式で認証できます。

例として，コンフィグレーションで認証方式に RADIUS，TACACS+，単体でのログインセキュリティの 順番で指定し，それぞれの認証結果が RADIUS サーバ通信不可，TACACS+サーバ認証否認，ログインセ キュリティ機能認証成功となる場合の認証方式シーケンスを次の図に示します。

図 8‒18　認証方式シーケンス（end-by-reject 未設定時）

この図で端末からユーザが本装置に telnet を実行すると，RADIUS サーバに対し本装置から RADIUS 認 証を要求します。RADIUS サーバとの通信不可によって RADIUS サーバでの認証に失敗すると，次に TACACS+サーバに対し本装置から TACACS+認証を要求します。TACACS+認証否認によって

TACACS+サーバでの認証に失敗すると，次に本装置のログインセキュリティ機能での認証を実行します。

ここで認証に成功し，ユーザは本装置へのログインに成功します。

(b)　end-by-reject 設定時

end-by-reject 設定時の認証サービスの選択について説明します。end-by-reject 設定時は，先に指定され た方式で認証否認された場合に，次に指定された方式で認証を行いません。否認された時点で認証を終了 し，一連の認証が失敗となります。通信不可などの異常によって認証が失敗した場合だけ，次に指定された 方式で認証できます。

例として，コンフィグレーションで認証方式に RADIUS，TACACS+，単体でのログインセキュリティの 順番で指定し，それぞれの認証結果が RADIUS サーバ通信不可，TACACS+サーバ認証否認となる場合の 認証方式シーケンスを次の図に示します。

図 8‒19　認証方式シーケンス（end-by-reject 設定時）

この図で端末からユーザが本装置に telnet を実行すると，RADIUS サーバに対し本装置から RADIUS 認 証を要求します。RADIUS サーバとの通信不可によって RADIUS サーバでの認証に失敗すると，次に TACACS+サーバに対し本装置から TACACS+認証を要求します。TACACS+認証否認によって TACACS+サーバでの認証に失敗すると，この時点で一連の認証が失敗となり，認証を終了します。次に 指定されている本装置のログインセキュリティ機能での認証を実行しません。その結果，ユーザは本装置へ のログインに失敗します。

(2)　RADIUS/TACACS+サーバの選択

RADIUS サーバ，TACACS+サーバはそれぞれ最大四つ指定できます。一つのサーバと通信できなくて認 証サービスが受けられない場合は，順次これらのサーバへの接続を試行します。

また，RADIUS サーバ，TACACS+サーバをホスト名で指定したときに，複数のアドレスが解決できた場 合は，優先順序に従ってアドレスを一つだけ決定して，RADIUS サーバ，TACACS+サーバと通信しま す。

優先順序についての詳細は，「10.1　解説」を参照してください。

注意

DNS サーバを使用してホスト名を解決する場合，DNS サーバとの通信に時間が掛かることがありま す。このため，RADIUS サーバ，TACACS+サーバは IP アドレスで指定することをお勧めします。

RADIUS/TACACS+サーバと通信不可を判断するタイムアウト時間を設定できます。デフォルト値は 5 秒です。また，各 RADIUS サーバでタイムアウトした場合は，再接続を試行します。この再試行回数も設 定でき，デフォルト値は 3 回です。このため，ログイン方式として RADIUS が使用できないと判断するま での最大時間は，タイムアウト時間×リトライ回数×RADIUS サーバ設定数になります。なお，各 TACACS+サーバでタイムアウトした場合は，再接続を試行しません。このため，ログイン方式として TACACS+が使用できないと判断するまでの最大時間は，タイムアウト時間×TACACS+サーバ設定数に なります。RADIUS サーバ選択のシーケンスを次の図に示します。

図 8‒20　RADIUS サーバ選択のシーケンス

この図でリモート運用端末からユーザが本装置に telnet を実行すると，RADIUS サーバ 1 に対して本装置 から RADIUS 認証を要求します。RADIUS サーバ 1 と通信できなかった場合は，続いて RADIUS サーバ 2 に対して RADIUS 認証を実行します。ここで認証に成功し，ユーザは本装置へのログインに成功します。

TACACS+サーバ選択のシーケンスを次の図に示します。

図 8‒21　TACACS+サーバ選択のシーケンス

この図でリモート運用端末からユーザが本装置に telnet を実行すると，TACACS+サーバ 1 に対して本装 置から TACACS+認証を要求します。TACACS+サーバ 1 と通信できなかった場合は，続いて TACACS +サーバ 2 に対して TACACS+認証を実行します。ここで認証に成功し，ユーザは本装置へのログインに 成功します。

(3)　RADIUS/TACACS+サーバへの登録情報

(a)　ログイン認証を使用する場合

RADIUS/TACACS+サーバにユーザ名およびパスワードを登録します。RADIUS/TACACS+サーバへ 登録するユーザ名には次に示す 2 種類があります。

• 本装置にコンフィグレーションコマンド username を使用して登録済みのユーザ名 本装置に登録されたユーザ情報を使用してログイン処理を行います。

• 本装置に未登録のユーザ名

次に示す共通のユーザ情報でログイン処理を行います。

• ユーザ名：remote_user

• ホームディレクトリ：/usr/home/share

本装置に未登録のユーザ名でログインした場合の注意点を示します。

• ファイルの管理

ファイルを作成した場合，すべて remote_user 管理となって，別のユーザでも作成したファイルの読み 込みおよび書き込みができます。重要なファイルは ftp などで外部に保管するなど，ファイルの管理に 注意してください。

(b)　装置管理者モードへの変更（enable コマンド）時の認証を使用する場合

装置管理者モードへの変更（enable コマンド）用に，次のユーザ情報を登録してください。

• ユーザ名

本装置ではユーザ名属性として，次の表に示すユーザ名をサーバに送信します。送信するユーザ名はコ ンフィグレーションコマンドで変更できます。対応するユーザ名をサーバに登録してください。

表 8‒10　設定するユーザ名属性

コマンド名 ユーザ名

RADIUS 認証 TACACS+認証

設定なし admin admin

aaa authentication enable attribute-user-per-method $enab15$ ログインユーザ名

• 特権レベル

特権レベルは 15 で固定です。

ただし，使用するサーバによっては，送信したユーザ名属性に関係なく特定のユーザ名（例えば，

$enab15$）を使用する場合や，特権レベルの登録が不要な場合などがあります。詳細は，使用するサーバ のマニュアルを確認してください。