TACACS+
8.2 RADIUS/TACACS+の解説
8.2.4 RADIUS/TACACS+/ローカルを使用したコマンド承認
本装置に未登録のユーザ名でログインした場合の注意点を示します。
• ファイルの管理
ファイルを作成した場合,すべて remote_user 管理となって,別のユーザでも作成したファイルの読み 込みおよび書き込みができます。重要なファイルは ftp などで外部に保管するなど,ファイルの管理に 注意してください。
(b) 装置管理者モードへの変更(enable コマンド)時の認証を使用する場合
装置管理者モードへの変更(enable コマンド)用に,次のユーザ情報を登録してください。
• ユーザ名
本装置ではユーザ名属性として,次の表に示すユーザ名をサーバに送信します。送信するユーザ名はコ ンフィグレーションコマンドで変更できます。対応するユーザ名をサーバに登録してください。
表 8‒10 設定するユーザ名属性
コマンド名 ユーザ名
RADIUS 認証 TACACS+認証
設定なし admin admin
aaa authentication enable attribute-user-per-method $enab15$ ログインユーザ名
• 特権レベル
特権レベルは 15 で固定です。
ただし,使用するサーバによっては,送信したユーザ名属性に関係なく特定のユーザ名(例えば,
$enab15$)を使用する場合や,特権レベルの登録が不要な場合などがあります。詳細は,使用するサーバ のマニュアルを確認してください。
制限したコマンドは,CLI の補完機能で補完候補として表示しません。なお,<vlan id>や<host name>
などの,<>で囲まれたパラメータ部分の値や文字列を含んだコマンドを,許可するコマンドリストに指定 した場合は,<>部分は補完候補として表示しません。
(1) コマンド承認の流れ
対象とするユーザのログインに先だって,コマンド承認のための設定をします。RADIUS/TACACS+指定 時は,RADIUS/TACACS+のリモート認証サーバにコマンドクラスとコマンドリストを登録します。ロー カル指定時は,コマンドクラスとコマンドリストをコンフィグレーションで設定します。
RADIUS サーバおよび TACACS+サーバによるログイン認証とコマンド承認の流れを次の図に示します。
図 8‒22 RADIUS/TACACS+サーバによるログイン認証,コマンド承認
RADIUS/TACACS+指定時は,ログイン認証と同時に,サーバからコマンドクラスおよびコマンドリスト を取得します。ローカル指定時は,ログイン認証と同時に,コンフィグレーションで設定されたコマンドク ラスおよびコマンドリストを使用します。本装置ではこれらのコマンドクラスおよびコマンドリストに 従って,ログイン後のコマンドを許可または制限します。
RADIUS サーバおよび TACACS+サーバによるコマンド承認例を次の図に示します。
図 8‒23 RADIUS/TACACS+サーバによるコマンド承認例
この例では,ログイン後,ユーザは本装置で運用コマンド show interfaces などを実行できますが,運用 コマンド reload はコマンドリストによって制限されているために実行できません。
(2) コマンドクラスの指定
各ユーザに対して,制限または許可するコマンドのポリシーを決定します。本装置では,コマンドクラスを 指定することで,一定のポリシーに従ってコマンド群を許可したり制限したりできます。サポートするコマ ンドクラスとコマンド承認動作を次の表に示します。
表 8‒12 コマンドクラスとコマンド承認動作
コマンドクラス 説明 コマンド承認時のコマンドの扱い
制限 許可
noenable コマンド入力モードを装置管理 者モードへ変更する運用コマン ド enable を制限するコマンド クラスです。一般ユーザモード で入力できる運用コマンドだけ を許可します。
• コンフィグレーションコ マンド
• 運用コマンド enable
• 入力モードが装置管理者 モードだけの運用コマン ド
• デバッグコマンド
• 制限以外の運用コマン ド
noconfig コンフィグレーションの変更を 制限するコマンドクラスです。
• コンフィグレーションコ マンド
• 次の文字列から始まる運 用コマンド
config,copy,erase configuration
• デバッグコマンド
• 制限以外の運用コマン ド
noauthorization コマンド承認に関係するコン フィグレーションコマンドを制 限するコマンドクラスです。コ ンフィグレーションの編集と操 作に関するコンフィグレーショ ンコマンドおよびコンフィグ レーションを操作する運用コマ ンド(copy,erase
configuration)も許可します。
• 次の文字列から始まるコ ンフィグレーションコマ ンド
aaa,username,radius-server,tacacs-server,
parser view
• デバッグコマンド
• 制限以外のコンフィグ レーションコマンド
• 運用コマンド
allcommand コンフィグレーションコマンド および運用コマンドを制限しな いコマンドクラスです。
• デバッグコマンド • コンフィグレーション コマンド
• 運用コマンド root マニュアルに掲載されていない
デバッグコマンド(ps コマンド など)を含め,すべてのコマン ドを制限しないコマンドクラス です。
なし • コンフィグレーション
コマンド
• 運用コマンド
• デバッグコマンド
(3) コマンドリストの指定
コマンドクラス以外に,許可するコマンドと制限するコマンドをそれぞれコマンドリストに指定できます。
許可コマンドリストおよび制限コマンドリストには,コンフィグレーションコマンドおよび運用コマンドを 指定できます。マニュアルに掲載されていないデバッグコマンドは,コマンドリストに指定できません。
コマンドを指定する場合は,各コマンドリストに設定対象のコマンド文字列をスペースも意識して指定しま す。複数指定する場合はコンマ(,)で区切って並べます。なお,ローカルコマンド承認では,コマンド文 字列をコンフィグレーションコマンド commands exec で一つずつ設定します。本装置では,設定された コマンド文字列をコンマ(,)で連結したものをコマンドリストとして使用します。コマンドリストで指定 されたコマンド文字列と,ユーザが入力したコマンドの先頭部分とが,合致するかどうかで判定し(前方一 致),コマンドの実行を許可したり制限したりします。
なお,特別な文字列として,all を指定できます。all はコンフィグレーションコマンドおよび運用コマンド のすべてを意味します。
許可コマンドリスト,制限コマンドリスト,およびコマンドクラスの設定有無による動作例を次に示しま す。
[設定例 1]許可コマンドリストだけを設定した場合
設定された文字列と合致する文字列を含むコマンドだけを許可します。
表 8‒13 設定例 1 の内容と指定コマンドの判定結果
設定 指定コマンド 判定
許可コマンドリスト="show ip ,ping"
制限コマンドリスト 設定なし
show ip arp 許可
show ipv6 neighbors 制限
ping ipv6 ::1 許可
reload 制限
許可コマンドリストに"show ip "(ip の後ろに半角スペース)と設定されているため,合致する show ip arp コマンドは許可されますが,合致しない show ipv6 neighbors コマンドは許可されません。
[設定例 2]制限コマンドリストだけを設定した場合
設定された文字列と合致する文字列を含むコマンドだけを制限します。該当しないコマンドは,すべて 許可として判定されます。
表 8‒14 設定例 2 の内容と指定コマンドの判定結果
設定 指定コマンド 判定
許可コマンドリスト 設定なし 制限コマンドリスト="reload"
show ip arp 許可
show ipv6 neighbors 許可
ping ipv6 ::1 許可
reload 制限
[設定例 3]許可コマンドリストと制限コマンドリストの両方を設定した場合
• 許可コマンドリストと制限コマンドリストに同じコマンド文字列が指定されている場合は,許可と して判定されます。
• 許可コマンドリストと制限コマンドリストの両方に合致した場合は,合致したコマンド文字数が多 い方の動作に判定されます。ただし,all 指定は文字数 1 とします。
• 許可コマンドリストと制限コマンドリストの両方を設定し,両方に合致しない場合は,許可として 判定されます。
表 8‒15 設定例 3 の内容と指定コマンドの判定結果
コマンドリスト 指定コマンド 判定
許可コマンドリスト="show,ping ipv6"
制限コマンドリスト="show,ping"
show system 許可
show ipv6 neighbors 許可
ping ipv6 ::1 許可
ping 10.10.10.10 制限
clear logging 許可
[設定例 4]コマンドクラスとコマンドリストの両方を設定した場合
• root 以外のコマンドクラスを設定した場合は,コマンドクラスごとに規定されたコマンドリストと,
設定したコマンドリストを合わせて判定します。コマンドクラスごとに規定されたコマンドリスト を次の表に示します。
表 8‒16 コマンドクラスごとに規定されたコマンドリスト
コマンドクラス 規定のコマンドリスト
noenable 制限コマンドリスト="enable"
noconfig 制限コマンドリスト="config,copy,erase configuration"
noauthorization 制限コマンドリスト="aaa,username,radius-server,tacacs-server,parser view"
allcommand 許可コマンドリスト="all"
• コマンドクラス root を設定した場合は,コマンドリストの設定は無効になります。
表 8‒17 設定例 4 の内容と指定コマンドの判定結果
設定 指定コマンド 判定
コマンドクラス="noauthorization"
許可コマンドリスト="username user password"
制限コマンドリスト 設定なし
username user password 許可
username 制限
コマンドクラス noauthorization を設定すると,username から始まるコンフィグレーションコマンド は制限されます。ログインパスワードを変更できるようにしたい場合は,username <user name>
password を許可コマンドリストに設定します。
(4) RADIUS/TACACS+サーバへの登録情報
RADIUS または TACACS+のリモートサーバに,コマンドの制限に対応した属性値を設定します。例とし て,次の表に示すポリシーでコマンドを制限します。