Cisco NCS 5000 シリーズ ルータ向けシステム セキュリティ コマンド リファレンス
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年5月18日
章のタイトル: 認証、許可、アカウンティング コマンド
- aaa accounting
- aaa accounting system default
- aaa accounting update
- aaa authentication(XR-VM)
- aaa authorization(XR-VM)
- aaa default-taskgroup
- aaa group server radius
- aaa group server tacacs+
- accounting(回線)
- authorization(回線)
- description(AAA)
- group(AAA)
- inherit taskgroup
- inherit usergroup
- key(TACACS+)
- login authentication
- password(AAA)
- radius-server dead-criteria time
- radius-server dead-criteria tries
- radius-server deadtime(BNG)
- radius-server key(BNG)
- radius-server retransmit(BNG)
- radius-server timeout(BNG)
- radius source-interface(BNG)
- secret
- server(RADIUS)
- server(TACACS+)
- server-private(RADIUS)
- server-private(TACACS+)
- show aaa(XR-VM)
- show aaa accounting
- show radius
- show radius accounting
- show radius authentication
- show radius dead-criteria
- show radius server-groups
- show tacacs
- show tacacs server-groups
- show user
- show aaa user-group
- show tech-support aaa
- single-connection
- tacacs-server host
- tacacs-server key
- tacacs-server timeout
- tacacs-server ipv4
- tacacs source-interface
- task
- taskgroup
- timeout(TACACS+)
- timeout login response
- usergroup
- username
- users group
ここでは、認証、許可、アカウンティング(AAA)サービスを設定するために使用されるコマンドについて説明します。
AAA の概念、設定作業、および例の詳細については、『System Security Configuration Guide for Cisco NCS 5000 Series Routers』の「Configuring AAA Services」の章を参照してください。
 (注) |
現在、デフォルトの VRF のみがサポートされています。VPNv4、VPNv6、および VPN ルーティング/転送(VRF)アドレス ファミリは、今後のリリースでサポートされます。 |
- aaa accounting
- aaa accounting system default
- aaa accounting update
- aaa authentication(XR-VM)
- aaa authorization(XR-VM)
- aaa default-taskgroup
- aaa group server radius
- aaa group server tacacs+
- accounting(回線)
- authorization(回線)
- description(AAA)
- group(AAA)
- inherit taskgroup
- inherit usergroup
- key(TACACS+)
- login authentication
- password(AAA)
- radius-server dead-criteria time
- radius-server dead-criteria tries
- radius-server deadtime(BNG)
- radius-server key(BNG)
- radius-server retransmit(BNG)
- radius-server timeout(BNG)
- radius source-interface(BNG)
- secret
- server(RADIUS)
- server(TACACS+)
- server-private(RADIUS)
- server-private(TACACS+)
- show aaa(XR-VM)
- show aaa accounting
- show radius
- show radius accounting
- show radius authentication
- show radius dead-criteria
- show radius server-groups
- show tacacs
- show tacacs server-groups
- show user
- show aaa user-group
- show tech-support aaa
- single-connection
- tacacs-server host
- tacacs-server key
- tacacs-server timeout
- tacacs-server ipv4
- tacacs source-interface
- task
- taskgroup
- timeout(TACACS+)
- timeout login response
- usergroup
- username
- users group
aaa accounting
アカウンティング用のメソッド リストを作成するには、 XR EXEC モードで aaa accounting コマンドを使用します。リスト名をシステムから削除するには、このコマンドの no 形式を使用します。
aaa accounting { commands | exec | mobile | network | system } { default | list-name } { start-stop | stop-only } { none | method }
no aaa accounting { commands | exec | mobile | network } { default | list-name }
構文の説明
| commands |
XR EXEC シェル コマンドのアカウンティングをイネーブルにします。 |
| exec |
XR EXEC セッションのアカウンティングをイネーブルにします。 |
| mobile |
モバイル IP 関連のアカウンティング イベントをイネーブルにします。 |
| network |
Internet Key Exchange(IKE; インターネットキー交換)や Point-to-Point Protocol(PPP; ポイントツーポイント プロトコル)など、すべてのネットワーク関連サービス要求に対するアカウンティングをイネーブルにします。 |
| system |
すべてのシステム関連イベントをイネーブルにします。 |
| event manager |
XR EXEC 用の許可リストを設定します。 |
| default |
このキーワードに続くアカウンティング メソッドのリストをアカウンティング サービスのデフォルト メソッド リストとして使用します。 |
| list-name |
アカウンティング メソッド リストの名前の指定に使用する文字列です。 |
| start-stop |
プロセスの開始時に「start accounting」通知を送信し、プロセスの終了時に「stop accounting」通知を送信します。要求されたユーザ プロセスは、「start accounting」通知がアカウンティング サーバで受信されたかどうかに関係なく開始されます。 |
| stop-only |
要求されたユーザ プロセスの終了時に「stop accounting」通知を送信します。 注:これはシステム アカウンティングではサポートされていません。 |
| none |
アカウンティングを使用しません。 |
| method |
AAA システム アカウンティングのイネーブル化に使用する方式です。値は、次のいずれかになります。 |
コマンド デフォルト
AAA アカウンティングはディセーブルです。
コマンド モード
XR EXEC モードコマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
aaa accounting コマンドを使用して、デフォルトまたは名前付きのメソッド リストを作成して特定のアカウンティング メソッドを定義し、回線ごと、またはインターフェイスごとに使用できるようにします。メソッド リストには方式を 4 つまで指定できます。このリスト名を回線に適用し(コンソール、 aux、または vty テンプレート)、その特定の回線のアカウンティングをイネーブルにします。
Cisco IOS XR ソフトウェアは、アカウンティングに TACACS+ 方式と RADIUS 方式の両方をサポートします。ルータからセキュリティ サーバにアカウンティング レコードの形でユーザ アクティビティが報告され、そのレコードはセキュリティ サーバに保存されます。
アカウンティング メソッド リストには、アカウンティングの実行方法が定義されます。このリストを使用して、特定のタイプのアカウンティング サービスに固有の回線またはインターフェイスに使用する特定のセキュリティ プロトコルを指定できます。
最小アカウンティングでは、stop-only キーワードを含めて、要求されたユーザ プロセス後に「stop accounting」通知を送信します。さらに詳細なアカウンティングでは、TACACS+ または RADIUSが要求されたプロセスの開始時に「start accounting」通知を送信し、プロセスの後に「stop accounting」通知を送信するように start-stop キーワードを含めることができます。アカウンティング レコードは TACACS+ または RADIUS サーバのみに格納されます。
要求されたユーザ プロセスは、「start accounting」通知がアカウンティング サーバで受信されたかどうかに関係なく開始されます。
(注) |
このコマンドは、TACACS または拡張 TACACS には使用できません。 |
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り、書き込み |
例
次に、デフォルトの commands アカウンティング メソッド リストを定義する例を示します。この例では、TACACS+ セキュリティ サーバにより、stop-only 制限付きのアカウンティング サービスが提供されます。
RP/0/RP0/CPU0:router# configure RP/0/RP0/CPU0:router(config)# aaa accounting commands default stop-only group tacacs+
aaa accounting system default
認証、許可、およびアカウンティング(AAA)システム アカウンティングをイネーブルにするには、 XR コンフィギュレーション モードで aaa accounting system default コマンドを使用します。システム アカウンティングをディセーブルにするには、このコマンドの no 形式を使用します。
aaa accounting system default { start-stop | stop-only } { none | method }
no aaa accounting system default
構文の説明
| start-stop |
システム起動時に「start accounting」通知を送信し、システム シャットダウンまたはリロード時に「stop accounting」通知を送信します。 |
| stop-only |
システム シャットダウンまたはリロード時に「stop accounting」通知を送信します。 |
| none |
アカウンティングを使用しません。 |
| method |
AAA システム アカウンティングのイネーブル化に使用する方式です。値は、次のいずれかになります。 |
コマンド デフォルト
AAA アカウンティングはディセーブルです。
コマンド モード
XR コンフィギュレーション モードコマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
システム アカウンティングには、名前付きアカウンティング リストは使用されません。定義できるのは、デフォルト リストだけです。
デフォルトのメソッド リストが、自動的にすべてのインターフェイスまたは回線に適用されます。デフォルトのメソッド リストが定義されていない場合、アカウンティングは実行されません。
メソッド リストには方式を 4 つまで指定できます。
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り、書き込み |
例
次に、ルータが最初に起動したときに「start accounting」通知を TACACS+ サーバに送信するようにする例を示します。また、ルータのシャットダウンまたはリロード時には「stop accounting」レコードが送信されます。
RP/0/RP0/CPU0:router# configure RP/0/RP0/CPU0:router(config)# aaa accounting system default start-stop group tacacs+
aaa accounting update
中間アカウンティング レコードがアカウンティング サーバに定期的に送信されるようにするには、 XR コンフィギュレーション モードで aaa accounting update コマンドを使用します。中間アカウンティングの更新をディセーブルにするには、このコマンドの no 形式を使用します。
aaa accounting update { newinfo | periodic minutes }
no aaa accounting update
構文の説明
| newinfo |
(任意)当該のユーザに関して報告する新しいアカウンティング情報があるときは常に、中間アカウンティング レコードをアカウンティング サーバに送信します。 |
| periodicminutes |
(任意)minutes 引数(分数を指定する整数)で設定したとおりに中間アカウンティング レコードを定期的にアカウンティング サーバに送信します。範囲は、1 ~ 35791394 分です。 |
コマンド デフォルト
AAA のアカウンティングのアップデートはディセーブルになります。
コマンド モード
XR コンフィギュレーション モードコマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
newinfo キーワードを使用した場合は、レポートする新しいアカウンティング情報が発生するたびに、中間アカウンティング レコードがアカウンティング サーバに送信されます。たとえば、IP Control Protocol(IPCP; IP 制御プロトコル)がリモート ピアとの IP アドレス ネゴシエーションを完了した時点でこのようなレポートが送信されます。中間アカウンティング レコードには、リモート ピアに使用されるネゴシエート済み IP アドレスが含まれます。
periodic キーワードと一緒に使用した場合、中間アカウンティング レコードはminutes 引数で定義したとおりに定期的に送信されます。中間アカウンティング レコードには、アカウンティング レコードが送信される時点までにそのユーザに関して記録されたすべてのアカウンティング情報が含まれます。
newinfo キーワードと periodic キーワードを一緒に使用すると、中間アカウンティング レコードは、レポートする新しいアカウンティング情報が発生するたびにアカウンティング サーバに送信され、また、minutes 引数で定義されたとおりにアカウンティング レコードがアカウンティング サーバに定期的に送信されます。たとえば、aaa accounting update コマンドと newinfo キーワードおよび periodic キーワードを設定すると、現在ログインしているすべてのユーザは中間アカウンティング レコードを定期的に生成し続け、新たにログインしたユーザは newinfo アルゴリズムに基づいてアカウンティング レコードを生成します。
 注意 |
aaa accounting update コマンドと periodic キーワードを使用すると、多くのユーザがネットワークにログインしている場合は大きな輻輳が発生する可能性があります。 |
periodic キーワードと newinfo キーワードの両方を一緒に使用することはできません。一度に設定できるのはいずれか 1 つのキーワードのみです。
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り、書き込み |
例
次に、定期的な中間アカウンティング レコードを 30 分間隔で RADIUS サーバに送信する例を示します。
RP/0/RP0/CPU0:router# configure RP/0/RP0/CPU0:router(config)# aaa accounting update periodic 30
次に、報告する新しいアカウンティング情報があるときに、中間アカウンティング レコードを RADIUS サーバに送信する例を示します。
RP/0/RP0/CPU0:router# configure RP/0/RP0/CPU0:router(config)# aaa accounting update newinfo
aaa authentication(XR-VM)
認証用のメソッド リストを作成するには、 XR コンフィギュレーション モードまたは システム管理コンフィギュレーション モードで aaa authentication コマンドを使用します。この認証方式をディセーブルにするには、このコマンドの no 形式を使用します。
aaa authentication { login | ppp } { default | list-name } method-list
no aaa authentication { login | ppp } { default | list-name } method-list
構文の説明
コマンド デフォルト
デフォルトでは、すべてのポートにローカル認証が適用されます。
コマンド モード
XR コンフィギュレーション モード または システム管理コンフィギュレーション モードコマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
aaa authentication コマンドを使用して、一連の認証方式、つまりメソッド リストを作成します。メソッド リストには方式を 4 つまで指定できます。メソッド リストは、認証方式(TACACS+ または RADIUS)を順番に記述した名前付きのリストです。後続の認証方式は、最初の方式が失敗した場合ではなく、使用不可能な場合にだけ使用されます。
別の名前付きメソッド リストが明示的に指定されている場合を除き、すべてのインターフェイスの認証にデフォルトのメソッド リストが適用されます。別のリストが明示的に指定されている場合は、デフォルト リストが上書きされます。
コンソールおよび vty のアクセスについては、認証が設定されていない場合、デフォルトのローカル方式が適用されます。
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り、書き込み |
例
次に、認証用のデフォルトのメソッド リストを指定し、さらに XR コンフィギュレーション モードでコンソールの認証をイネーブルにする例を示します。
RP/0/RP0/CPU0:router# configure RP/0/RP0/CPU0:router(config)# aaa authentication login default group tacacs+
次に、認証用のリモートのメソッド リストを指定し、さらに システム管理コンフィギュレーション モードでコンソールの認証をイネーブルにする例を示します。
RP/0/RP0/CPU0:router# admin sysadmin-vm:0_RP0# configure sysadmin-vm:0_RP0(config)# aaa authentication users user lab RP/0/RP0/CPU0:router# admin sysadmin-vm:0_RP0# configure sysadmin-vm:0_RP0(config)# aaa authentication groups group aaa-r
aaa authorization(XR-VM)
許可用のメソッド リストを作成するには、 XR コンフィギュレーション モードで aaa authorization コマンドを使用します。機能の許可をディセーブルにするには、このコマンドの no 形式を使用します。
aaa authorization { commands | eventmanager | exec | network } { default | list-name } { none | local | group { tacacs | + | radius | group-name } }
no aaa authorization { commands | eventmanager | exec | network } { default | list-name }
構文の説明
| commands |
|
| eventmanager |
イベント マネージャ(障害マネージャ)を許可するための許可方式を適用します。 |
| exec |
|
| network |
PPP やインターネットキー交換(IKE)などのネットワーク サービスに対する許可を設定します。 |
| default |
このキーワードに続く許可方式のリストを許可のデフォルト メソッド リストとして使用します。 |
| list-name |
許可メソッド リストの名前の指定に使用する文字列です。 |
| none |
許可を使用しません。none を指定した場合は、後続の認証方式は試行されません。ただし、タスク ID の許可は常に必要であり、ディセーブルにはできません。 |
| local |
ローカルの許可を使用します。この許可方式は、コマンドの許可には使用できません。 |
| group tacacs+ |
設定されているすべての TACACS+ サーバのリストを許可に使用します。 |
| group radius |
設定されているすべての RADIUS サーバのリストを許可に使用します。この許可方式は、コマンドの許可には使用できません。 |
| groupgroup-name |
aaa group server tacacs+ コマンド、または aaa group server radius コマンドで定義された許可用の TACACS+ サーバまたは RADIUS サーバの名前付きサブセットを使用します。 |
コマンド デフォルト
すべてのアクション(none キーワードの方式に等価)に対する許可をディセーブルにします。
コマンド モード
XR コンフィギュレーション モードコマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
aaa authorization コマンドを使用して、回線ごとまたはインターフェイスごとに使用できる特定の許可方式を定義するメソッド リストを作成します。メソッド リストには方式を 4 つまで指定できます。
(注) |
ここに示すコマンドの許可は、タスクに基づいた許可ではなく、外部の AAA サーバで実行される許可に適用します。 |
許可メソッド リストによって、許可の実行方法とこれらの方式の実行順序が定義されます。メソッド リストは、一連の許可方式(TACACS+ など)を記述した名前付きリストです。メソッド リストを使用して、許可に 1 つまたは複数のセキュリティ プロトコルを指定し、最初の方式が失敗した場合のバックアップ システムを確保することができます。Cisco IOS XR ソフトウェアでは、特定のネットワーク サービスに対してユーザを許可するために、リスト内の最初の方式が使用されます。この方式が応答に失敗すると、Cisco IOS XR ソフトウェアではメソッド リスト内の次の方式が選択されます。このプロセスは、リスト内の許可方式との通信に成功するまで、または定義されている方式を使い果たすまで続行されます。
(注) |
Cisco IOS XR ソフトウェアでは、前の方式から応答がない(障害ではない)場合にだけ、次に指定された方式を使って許可が試みられます。このサイクルの任意の時点で認可が失敗した場合(つまり、セキュリティ サーバまたはローカル ユーザ名データベースからユーザ サービスの拒否応答が返される場合)、認可プロセスは停止し、その他の認可方式は試行されません。 |
Cisco IOS XR ソフトウェアは、次の許可方式をサポートします。
- none:ルータから認可情報の要求はありません。この回線やインターフェイスに対する認可は行われません。
- local:ローカル データベースを許可に使用します。
- group tacacs+:設定されているすべての TACACS+ サーバのリストを許可に使用します。
- group radius:設定されているすべての RADIUS サーバのリストを許可に使用します。
- groupgroup-name:許可用の TACACS+ サーバまたは RADIUS サーバの名前付きのサブセットを使用します。
メソッド リストは、要求されている許可のタイプによって異なります。Cisco IOS XR ソフトウェアは、次の 4 つのタイプの AAA 許可をサポートします。
-
Commands authorization:ユーザが実行する
XR EXEC モード コマンドに適用します。Command authorization は、すべての
XR EXEC モードのコマンドに試行されます。
(注)
「コマンド」の許可は、認証時に設定されたタスク プロファイルに基づく「タスクベース」の許可とは異なります。
-
XR EXEC モード authorization:
XR EXEC モード セッションを開始するために許可を適用します。
(注)
exec キーワードは障害マネージャ サービスの許可には使用されていません。障害マネージャ サービスを許可するには、eventmanager キーワード(障害マネージャ)を使用します。EXEC 許可には、exec キーワードを使用します。
- ネットワークの許可:IKE などのネットワーク サービスの許可が適用されます。
-
Event manager authorization:イベント マネージャ(障害マネージャ)を許可するための許可方式を適用します。TACACS+ を使用することも、locald を使用することもできます。
(注)
eventmanager キーワード(障害マネージャ)でexec キーワードを置換し、イベント マネージャ(障害マネージャ)を許可します。
名前付きメソッド リストを作成すると、指定した許可タイプに対して特定の許可メソッド リストが定義されます。メソッド リストを定義した場合、定義した方式のいずれかを実行するには、まず特定の回線またはインターフェイスにメソッド リストを適用する必要があります。
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り、書き込み |
例
次に、TACACS+ の許可を使用するように指定する listname1 というネットワーク許可メソッド リストを定義する例を示します。
RP/0/RP0/CPU0:router# configure RP/0/RP0/CPU0:router(config)# aaa authorization commands listname1 group tacacs+
aaa default-taskgroup
リモート TACACS+ 認証と RADIUS 認証の両方にタスク グループを指定するには、 XR コンフィギュレーション モードで aaa default-taskgroup コマンドを使用します。このデフォルトのタスク グループを削除するには、このコマンドの no 形式を入力します。
aaa default-taskgroup taskgroup-name
no aaa default-taskgroup
構文の説明
| taskgroup-name |
既存のタスク グループの名前です。 |
コマンド デフォルト
リモート認証には、デフォルトのタスク グループは割り当てられません。
コマンド モード
XR コンフィギュレーション モードコマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
aaa default-taskgroup コマンドを使用して、リモート TACACS+ 認証用に既存のタスク グループを指定します。
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り、書き込み |
例
次に、リモート TACACS+ 認証のデフォルト タスク グループとして taskgroup1 を指定する例を示します。
RP/0/RP0/CPU0:router# configure RP/0/RP0/CPU0:router(config)# aaa default-taskgroup taskgroup1
aaa group server radius
異なる RADIUS サーバ ホストを重複のないリストにグループ化するには、 XR コンフィギュレーション モードで aaa group server radius コマンドを使用します。グループ サーバを設定リストから削除するには、このコマンドの no 形式を使用します。
aaa group server radius group-name
no aaa group server radius group-name
構文の説明
| group-name |
サーバ グループの名前の指定に使用する文字列です。 |
コマンド デフォルト
このコマンドはディセーブルになります。
コマンド モード
XR コンフィギュレーション モードコマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
aaa group serverradius コマンドを使用して、既存のサーバ ホストをグループ化します。これにより、設定済みのサーバ ホストのサブセットを選択して、それらのサーバを特定のサービスに使用することができます。サーバ グループは、グローバル サーバ ホスト リストと併せて使用されます。サーバ グループは、選択されているサーバ ホストの IP アドレスまたはホスト名を示します。
また、サーバ グループには、各エントリが一意の ID を持っていれば、同一サーバに複数のホスト エントリを組み込むことができます。IP アドレスと User Datagram Protocol(UDP)ポート番号を組み合わせることによって、異なるポートを特定の認証、許可、およびアカウンティング(AAA)サービスを提供する RADIUS ホストとして個別に定義できます。つまり、この固有識別情報を使用して、ある IP アドレスに位置する 1 台のサーバ上に複数の UDP ポートが存在する場合、それぞれの UDP ポートに対して RADIUS 要求を送信できます。たとえば、同一の RADIUS サーバの 2 つの異なるホスト エントリを同一のサービスに対して設定すると、2 つ目のホスト エントリは最初のホスト エントリをバックアップする自動スイッチオーバーとして機能します。この場合、最初のホスト エントリがアカウンティング サービスを提供できなかった場合、ネットワーク アクセス サーバは同じデバイス上の 2 つ目のホスト エントリでアカウンティング サービスを試行します。RADIUS ホスト エントリは、サーバ グループに設定された順序で試行されます。
サーバ グループのメンバはすべて同じタイプ、つまり RADIUS であることが必要です。
サーバ グループには、radius や tacacs の名前を付けることはできません。
このコマンドを実行すると、サーバ グループ コンフィギュレーション モードが開始されます。server コマンドを使用して、特定の RADIUS サーバを定義済みのサーバ グループに関連付けることができます。
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り、書き込み |
例
次に、3 つのメンバ サーバからなる radgroup1 という AAA グループ サーバを設定する例を示します。
RP/0/RP0/CPU0:router# configure RP/0/RP0/CPU0:router(config)# aaa group server radius radgroup1 RP/0/RP0/CPU0:router(config-sg-radius)# server 10.0.0.5 auth-port 1700 acct-port 1701 RP/0/RP0/CPU0:router(config-sg-radius)# server 10.0.0.10 auth-port 1702 acct-port 1703 RP/0/RP0/CPU0:router(config-sg-radius)# server 10.0.0.20 auth-port 1705 acct-port 1706
(注) |
auth-portport-number キーワードと acct-portport-number キーワードおよび引数を指定しない場合は、auth-port キーワードの port-number 引数は 1645 となり、acct-port キーワードの port-number 引数のデフォルト値は 1646 になります。 |
aaa group server tacacs+
異なる TACACS+ サーバ ホストを重複しないリストにグループ化するには、 XR コンフィギュレーション モードで aaa group server tacacs+ コマンドを使用します。サーバ グループを設定リストから削除するには、このコマンドの no 形式を使用します。
aaa group server tacacs+ group-name
no aaa group server tacacs+ group-name
構文の説明
| group-name |
サーバ グループの名前の指定に使用する文字列です。 |
コマンド デフォルト
このコマンドはディセーブルになります。
コマンド モード
XR コンフィギュレーション モードコマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
AAA サーバグループ機能により、既存のサーバ ホストをグループ化する手段が追加されます。この機能を使用して、設定されているサーバ ホストのサブセットを選択し、それらのホストを特定のサービスに使用できます。
aaa group server tacacs+ コマンドにより、サーバ グループ コンフィギュレーション モードが開始されます。server コマンドは特定の TACACS+ サーバを定義済みのサーバ グループに関連付けます。
サーバ グループは、特定のタイプのサーバ ホストのリストです。サポートされているサーバ ホストのタイプは、TACACS+ サーバ ホストです。サーバ グループは、グローバル サーバ ホストのリストと一緒に使用します。サーバ グループは、選択されているサーバ ホストの IP アドレスまたはホスト名を示します。
サーバ グループには、radius や tacacs の名前を付けることはできません。
(注) |
グループ名方式では、定義済みの一連の TACACS+ サーバを参照します。tacacs-server host コマンドを使用して、ホスト サーバを設定します。 |
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り、書き込み |
例
次に、3 つのメンバ サーバからなる tacgroup1 という AAA グループ サーバを設定する例を示します。
RP/0/RP0/CPU0:router# configure RP/0/RP0/CPU0:router(config)# aaa group server tacacs+ tacgroup1 RP/0/RP0/CPU0:router(config-sg-tacacs)# server 192.168.200.226 RP/0/RP0/CPU0:router(config-sg-tacacs)# server 192.168.200.227 RP/0/RP0/CPU0:router(config-sg-tacacs)# server 192.168.200.228
accounting(回線)
認証、許可、およびアカウンティング(AAA)サービスをイネーブルにするには、accounting コマンドを使用します。AAA アカウンティング サービスをディセーブルにするには、このコマンドの no 形式を使用します。
accounting { commands | exec } { default | list-name }
no accounting { commands | exec }
構文の説明
| commands |
|
| exec |
|
| default |
aaa accounting コマンドを使用して作成したデフォルトのメソッド リストの名前。 |
| list-name |
使用するアカウンティング メソッド リストの名前を指定します。このリストは aaa accounting コマンドを使用して作成されます。 |
コマンド デフォルト
アカウンティングはディセーブルです。
コマンド モード
回線テンプレート コンフィギュレーション
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
aaa accounting コマンドをイネーブルにし、特定のタイプのアカウンティングに名前付きのアカウンティング メソッド リストを定義(またはデフォルトのリストを使用)した後に、定義したリストを実行するアカウンティング サービスの適切な回線に適用する必要があります。accounting コマンドを使用して、指定したメソッド リストを選択した回線または回線のグループに適用します。このようにメソッド リストを指定しないと、選択した回線または回線グループにアカウンティングが適用されません。
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り、書き込み |
例
次に、configure という回線テンプレートの listname2 というアカウンティング メソッド リストを使用してコマンド アカウンティング サービスをイネーブルにする例を示します。
RP/0/RP0/CPU0:router# configure RP/0/RP0/CPU0:router(config)# line template configure RP/0/RP0/CPU0:router(config-line)# accounting commands listname2
authorization(回線)
特定の回線または回線のグループに認証、認可、およびアカウンティング(AAA)許可をイネーブルにするには、回線テンプレート コンフィギュレーション モードで authorization コマンドを使用します。許可をディセーブルにするには、このコマンドの no 形式を使用します。
authorization { commands | exec | eventmanager } { default | list-name }
no authorization { commands | exec | eventmanager }
構文の説明
| commands |
選択した回線におけるすべてのコマンドの許可をイネーブルにします。 |
| exec |
|
| default |
aaa authorization コマンドを使用して作成したデフォルトのメソッド リストを適用します。 |
| eventmanager |
eventmanager 許可方式を設定します。この方式は Embedded Event Manager に使用されます。 |
| list-name |
使用する許可メソッド リストの名前を指定します。リスト名を指定しない場合は、デフォルト名が使用されます。このリストは aaa authorization コマンドを使用して作成されます。 |
コマンド デフォルト
許可はディセーブルになります。
コマンド モード
回線テンプレート コンフィギュレーション
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
aaa authorization コマンドを使用して、特定のタイプの許可に名前付きの許可メソッド リストを定義(またはデフォルトのメソッド リストを使用)した後に、許可を実行する適切な回線に定義したリストを適用する必要があります。authorization コマンドを使用して、指定したメソッド リスト(または、指定しなかった場合はデフォルトのメソッド リスト)を選択した回線または回線のグループに適用します。
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り、書き込み |
例
次に、configure という回線テンプレートの listname4 というメソッド リストを使用してコマンド許可をイネーブルにする例を示します。
RP/0/RP0/CPU0:router# configure RP/0/RP0/CPU0:router(config)# line template configure RP/0/RP0/CPU0:router(config-line)# authorization commands listname4
description(AAA)
タスク グループまたはユーザ グループの説明を設定時に作成するには、タスク グループ コンフィギュレーション モードまたはユーザ グループ コンフィギュレーション モードで description コマンドを使用します。タスク グループの説明またはユーザ グループの説明を削除するには、このコマンドの no 形式を使用します。
description string
no description
構文の説明
| string |
タスク グループまたはユーザ グループを説明する文字列です。 |
コマンド デフォルト
なし
コマンド モード
タスク グループ コンフィギュレーション
ユーザ グループ コンフィギュレーション
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
タスク グループまたはユーザ グループのコンフィギュレーション サブモード内で description を使用し、タスク グループまたはユーザ グループの説明をそれぞれ定義します。
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り、書き込み |
例
次に、タスク グループの説明を作成する例を示します。
RP/0/RP0/CPU0:router# configure RP/0/RP0/CPU0:router(config)# taskgroup alpha RP/0/RP0/CPU0:router(config-tg)# description this is a sample taskgroup
次に、ユーザ グループの説明を作成する例を示します。
RP/0/RP0/CPU0:router# configure RP/0/RP0/CPU0:router(config)# usergroup alpha RP/0/RP0/CPU0:router(config-ug)# description this is a sample user group
group(AAA)
ユーザをグループに追加するには、ユーザ名コンフィギュレーション モードで group コマンドを使用します。ユーザをグループから削除するには、このコマンドの no 形式を使用します。
group { cisco-support | maintenance | netadmin | operator | provisioning | retrieve | root-lr | serviceadmin | sysadmin | group-name }
no group { cisco-support | maintenance | netadmin | operator | provisioning | retrieve | root-lr | serviceadmin | sysadmin | group-name }
構文の説明
| cisco-support |
事前定義されたシスコ サポート担当者グループにユーザを追加します。
|
||
| maintenance |
事前に定義された SCAPA メンテナンス グループにユーザを追加します。 |
||
| netadmin |
事前定義されたネットワーク管理者グループにユーザを追加します。 |
||
| operator |
事前定義されたオペレータ グループにユーザを追加します。 |
||
| provisioning |
事前に定義された SCAPA プロビジョニング グループにユーザを追加します。 |
||
| retrieve |
事前に定義された SCAPA 取得グループにユーザを追加します。 |
||
| root-lr |
事前定義された root-lr グループにユーザを追加します。root-lr 権限を持つユーザのみがこのオプションを使用できます。 |
||
| serviceadmin |
事前定義されたサービス管理者グループにユーザを追加します。 |
||
| sysadmin |
事前定義されたシステム管理者グループにユーザを追加します。 |
||
| group-name |
usergroup コマンドですでに定義されている名前付きのユーザ グループにユーザを追加します。 |
コマンド デフォルト
なし
コマンド モード
ユーザ名コンフィギュレーション
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
ユーザ名コンフィギュレーション モードで group コマンドを使用します。ユーザ名コンフィギュレーション モードにアクセスするには、 XR コンフィギュレーション モードで usernameコマンドを使用します。
システム管理コンフィギュレーション モードで group コマンドを使用した場合は、シスコ サポートのキーワードだけを指定できます。
シスコ サポート グループに関連付けられた特権はルート システム グループにも含まれています。シスコ サポート グループを設定に使用する必要はなくなりました。
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り、書き込み |
例
次に、ユーザ グループのオペレータを user1 というユーザに割り当てる例を示します。
RP/0/RP0/CPU0:router# configure RP/0/RP0/CPU0:router(config)# username user1 RP/0/RP0/CPU0:router(config-un)# group operator
inherit taskgroup
タスク グループが別のタスク グループからアクセス許可を取得できるようにするには、タスク グループ コンフィギュレーション モードで inherit taskgroup コマンドを使用します。
inherit taskgroup { taskgroup-name | netadmin | operator | sysadmin | cisco-support | root-lr | serviceadmin }
構文の説明
| taskgroup-name |
アクセス許可を継承する元のタスク グループの名前です。 |
| netadmin |
ネットワーク管理者タスク グループからアクセス許可を継承します。 |
| operator |
オペレータ タスク グループからアクセス許可を継承します。 |
| sysadmin |
システム管理者タスク グループからアクセス許可を継承します。 |
| cisco-support |
Cisco サポート タスク グループからアクセス許可を継承します。 |
| root-lr |
root-lr タスク グループからアクセス許可を継承します。 |
| serviceadmin |
サービス管理者タスク グループからアクセス許可を継承します。 |
コマンド デフォルト
なし
コマンド モード
タスク グループ コンフィギュレーション
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
inherit taskgroup コマンドを使用して、1 つのタスク グループから別のタスク グループにアクセス許可(タスク ID)を継承します。継承元のタスク グループが変更されると、ただちに継承元のグループ内に反映されます。
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り、書き込み |
例
次に、タスク グループ tg2 のアクセス許可がタスク グループ tg1 に継承される例を示します。
RP/0/RP0/CPU0:router# configure RP/0/RP0/CPU0:router(config)# taskgroup tg1 RP/0/RP0/CPU0:router(config-tg)# inherit taskgroup tg2 RP/0/RP0/CPU0:router(config-tg)# end
inherit usergroup
ユーザ グループが別のユーザ グループから特性を取得できるようにするには、ユーザ グループ コンフィギュレーション モードで inherit usergroup コマンドを使用します。
inherit usergroup usergroup-name
構文の説明
| usergroup-name |
アクセス許可が継承される元のユーザ グループの名前です。 |
コマンド デフォルト
なし
コマンド モード
ユーザ グループ コンフィギュレーション
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
各ユーザ グループは、そのグループのユーザに適用できる一連のタスク グループが関連付けられます。タスク グループは、タスク ID の集合によって定義されます。タスク グループには、各アクション クラスに対応したタスク ID リストが含まれます。ユーザに対するタスク アクセス許可は、そのユーザが属するユーザ グループに関連付けられたタスク グループから(EXEC または XML セッションの開始時に)取得されます。
ユーザ グループは、別のユーザ グループからの継承をサポートします。inherit usergroup コマンドを使用して、1 つのユーザ グループから別のユーザ グループにアクセス許可(タスク ID 属性)をコピーします。「コピー先」のユーザ グループは継承元のグループのプロパティを継承し、これらのグループに指定されているすべてのタスク ID の集合を形成します。たとえば、ユーザ グループ A がユーザ グループ B を継承すると、ユーザ グループ A のタスク マップは A と B のタスク マップの集合になります。ユーザ グループは事前に設定されたroot-system users、root-sdr users、netadmin users などのグループからプロパティは継承できません。継承元のユーザグループが変更されると、継承元のグループ内にただちに反映されます。
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り、書き込み |
例
次に、purchasing ユーザ グループが sales ユーザ グループのプロパティを継承できるようにする例を示します。
RP/0/RP0/CPU0:router# configure RP/0/RP0/CPU0:router(config)# usergroup purchasing RP/0/RP0/CPU0:router(config-ug)# inherit usergroup sales
key(TACACS+)
AAA サーバ と TACACS+ サーバ間で共有される認証および暗号化キーを指定するには、TACACS ホスト コンフィギュレーション モードで key(TACACS+) コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
key { 0 clear-text-key | 7 encrypted-key | auth-key }
no key { 0 clear-text-key | 7 encrypted-key | auth-key }
構文の説明
| 0clear-text-key |
暗号化されていない(クリアテキスト)共有キーを指定します。 |
| 7encrypted-key |
暗号化共有キーを指定します。 |
| auth-key |
AAA サーバと TACACS+ サーバ間の暗号化されていないキーを指定します。 |
コマンド デフォルト
なし
コマンド モード
TACACS ホスト コンフィギュレーション
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
TACACS+ パケットは、キーを使って暗号化されます。このキーは、TACACS+ デーモンで使用されるキーと一致する必要があります。このキーを指定すると、このサーバに対して tacacs-server key コマンドで設定されたキーのみが上書きされます。
このキーを使用して、TACACS+ から発信されるパケットを暗号化します。パケットが正しく復号化されるよう、このキーは外部 TACACS+ サーバに設定されているキーと一致している必要があります。一致しない場合は、復号化に失敗します。
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り、書き込み |
例
次に、暗号キーを anykey に設定する例を示します。
RP/0/RP0/CPU0:router(config)# tacacs-server host 209.165.200.226 RP/0/RP0/CPU0:router(config-tacacs-host)# key anykey
login authentication
ログインに対する認証、認可、およびアカウンティング(AAA)認証をイネーブルにするには、回線テンプレート コンフィギュレーション モードで login authentication コマンドを使用します。デフォルトの認証設定に戻すには、このコマンドの no 形式を使用します。
login authentication { default | list-name }
no login authentication
構文の説明
| default |
aaa authentication login コマンドによって設定した AAA 認証方式のデフォルト リスト。 |
| list-name |
認証に使用するメソッド リストの名前です。aaa authentication login コマンドを使用してこのリストを指定します。 |
コマンド デフォルト
このコマンドでは、aaa authentication login コマンドで設定したデフォルトが使用されます。
コマンド モード
回線テンプレート コンフィギュレーション
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
login authentication コマンドは、AAA で使用する回線単位のコマンドであり、ログインを試行する AAA 認証方式のリストの名前を指定します。
注意 |
aaa authentication login コマンドで設定していない list-name 値を使用した場合は、設定が拒否されます。 |
login authentication コマンドの no 形式を入力すると、default キーワードを使用したコマンドの入力と同じ効果があります。
このコマンドを実行する前に、aaa authentication login コマンドを使用して認証プロセスのリストを作成します。
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り、書き込み |
| tty-access |
読み取り、書き込み |
例
次に、回線テンプレート template1 にデフォルトの AAA 認証を使用する例を示します。
RP/0/RP0/CPU0:router# configure RP/0/RP0/CPU0:router(config)# line template template1 RP/0/RP0/CPU0:router(config-line)# login authentication default
次に、回線テンプレート template2 に AAA 認証リスト list1 を使用する例を示します。
RP/0/RP0/CPU0:router# configure RP/0/RP0/CPU0:router(config)# line template template2 RP/0/RP0/CPU0:router(config-line)# login authentication list1
password(AAA)
ユーザにログイン パスワードを作成するには、ユーザ名コンフィギュレーション モードまたは回線テンプレート コンフィギュレーション モードで password コマンドを使用します。パスワードを削除するには、このコマンドの no 形式を使用します。
password { [0] | 7 password }
no password { 0 | 7 password }
構文の説明
| 0 |
(任意)暗号化されていないクリアテキスト パスワードが続くことを指定します。 |
| 7 |
暗号化パスワードが続くことを指定します。 |
| password |
「lab」など、ログインするユーザが入力する暗号化されていないパスワードのテキストを指定します。暗号化が設定されている場合、パスワードはユーザに表示されません。 最長で 253 文字まで入力できます。 |
コマンド デフォルト
パスワードは暗号化されていないクリア テキストです。
コマンド モード
ユーザ名コンフィギュレーション
回線テンプレート コンフィギュレーション
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
パスワードは暗号化かクリア テキストのいずれかのタイプを指定できます。
パスワードが保護されている回線で XR EXEC モード プロセスが開始されると、そのプロセスによってパスワードの入力が求められます。ユーザが正しいパスワードを入力すると、プロンプトが実行されます。ユーザがパスワードの入力に 3 回失敗すると、プロセスは終了し、端末がアイドル状態に戻ります。
パスワードは双方向に暗号化されており、復号化できるパスワードを必要とする PPP などのアプリケーションに使用する必要があります。
(注) |
show running-config コマンドは、0 オプションが使用されている場合は常に、クリアテキストのログイン パスワードを暗号化された形式で表示します。 |
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り、書き込み |
例
次に、暗号化されていないパスワード pwd1 をユーザに確立する例を示します。show コマンドによる出力には、暗号化された形式でパスワードが表示されます。
RP/0/RP0/CPU0:router# configure RP/0/RP0/CPU0:router(config)# username user1 RP/0/RP0/CPU0:router(config-un)# password 0 pwd1 RP/0/RP0/CPU0:router(config-un)# commit RP/0/RP0/CPU0:router(config-un)# show running-config Building configuration... username user1 password 7 141B1309
radius-server dead-criteria time
RADIUS サーバからの有効なパケットをルータが最後に受信してから、そのサーバを dead とマーキングするまでに経過させる必要がある最小時間を秒単位で指定するには、 XR コンフィギュレーション モードで radius-server dead-criteria time コマンドを使用します。設定されていた基準をディセーブルにするには、このコマンドの no 形式を使用します。
radius-server dead-criteria time seconds
no radius-server dead-criteria time seconds
構文の説明
| seconds |
秒単位の時間です。範囲は、1 ~ 120 秒です。seconds 引数を設定しない場合、この秒数はサーバのトランザクション レートに応じて 10 ~ 60 になります。
|
コマンド デフォルト
このコマンドを使用しない場合、この秒数はサーバのトランザクション レートに応じて 10 ~ 60 になります。
コマンド モード
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
(注) |
radius-server deadtime コマンドよりも前に radius-server dead-criteria time コマンドを設定すると、radius-server dead-criteria time コマンドが実行されない場合があります。 |
ルータが起動してからパケットの受信がなく、タイムアウトになると、時間基準は満たされたものとして処理されます。
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り、書き込み |
例
次に、radius-server dead-criteria time コマンドに対して RADIUS サーバが dead とマーキングされる dead-criteria 条件となる時間を設定する例を示します。
RP/0/RP0/CPU0:router# configure RP/0/RP0/CPU0:router(config)# radius-server dead-criteria time 5
radius-server dead-criteria tries
RADIUS サーバが dead とマーキングされるまでにルータで発生する連続タイムアウトの回数を指定するには、 XR コンフィギュレーション モードで radius-server dead-criteria tries コマンドを使用します。設定されていた基準をディセーブルにするには、このコマンドの no 形式を使用します。
radius-server dead-criteria tries
no radius-server dead-criteria tries
構文の説明
| tries |
1 ~ 100 のタイムアウト回数。tries 引数を設定しない場合、連続タイムアウトの回数は、サーバのトランザクション レートと設定した再送信回数に応じて 10 ~ 100 になります。
|
コマンド デフォルト
このコマンドを使用しない場合、サーバのトランザクション レートと設定した再送信回数に応じて、連続タイムアウトの回数は 10 ~ 100 になります。
コマンド モード
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
サーバが認証とアカウンティングの両方を実行する場合、両方のパケットのタイプが数値に含まれます。構造が適切でないパケットは、タイムアウトされたものとしてカウントされます。最初の送信と再送信を含むすべての送信がカウントされます。
(注) |
radius-server deadtime コマンドよりも前に radius-server dead-criteria tries コマンドを設定すると、radius-server dead-criteria tries コマンドが実行されない場合があります。 |
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り、書き込み |
例
次に、RADIUS サーバが radius-server dead-criteria tries コマンドに対して dead とマーキングされる dead-criteria 条件となる再試行回数を設定する例を示します。
RP/0/RP0/CPU0:router# configure RP/0/RP0/CPU0:router(config)# radius-server dead-criteria tries 4
radius-server deadtime(BNG)
一部のサーバが使用できない場合に RADIUS の応答時間を短縮し、使用できないサーバがただちにスキップされるようにするには、 XR コンフィギュレーション モードで radius-server deadtime コマンドを使用します。deadtime を 0 に設定するには、このコマンドの no 形式を使用します。
radius-server deadtime value
no radius-server deadtime value
構文の説明
| value |
RADIUS サーバがトランザクション要求によってスキップされる時間を最長 1440(24 時間)まで分単位で表したものです。指定できる範囲は 1 ~ 1440 です。デフォルト値は 0 です |
コマンド デフォルト
デッド タイムは 0 に設定されます。
コマンド モード
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
他すべてのサーバに dead マークが付いている場合、また、ロールオーバー方式が存在しない場合以外は、指定の時間内に追加要求が発生すると、dead マークの付いた RADIUS サーバはスキップされます。
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り、書き込み |
例
次に、radius-server deadtime コマンドで、認証要求に応答しない RADIUS サーバの deadtime を 5 分に設定する例を示します。
RP/0/RP0/CPU0:router# configure RP/0/RP0/CPU0:router(config)# radius-server deadtime 5
radius-server key(BNG)
ルータと RADIUS デーモン間のすべての RADIUS 通信に認証および暗号キーを設定するには、 XR コンフィギュレーション モードで radius-server key コマンドを使用します。キーをディセーブルにするには、このコマンドの no 形式を使用します。
radius-server key { 0 clear-text-key | 7 encrypted-key | clear-text-key }
no radius-server key
構文の説明
| 0clear-text-key |
暗号化されていない(クリアテキスト)共有キーを指定します。 |
| 7encrypted-key |
暗号化共有キーを指定します。 |
| clear-text-key |
暗号化されていない(クリアテキスト)共有キーを指定します。 |
コマンド デフォルト
認証および暗号キーはディセーブルになります。
コマンド モード
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
入力したキーは、RADIUS サーバで使用されるキーと一致する必要があります。先頭のスペースはすべて無視されますが、キーの中間および末尾のスペースは使用できます。キーにスペースを使用する場合、引用符をキーに含める場合を除き、引用符でキーを囲まないでください。
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り、書き込み |
例
次に、クリアテキスト キーを「samplekey」に設定する例を示します。
RP/0/RP0/CPU0:router# configure RP/0/RP0/CPU0:router(config)# radius-server key 0 samplekey
次に、暗号化共有キーを「anykey」に設定する例を示します。
RP/0/RP0/CPU0:router# configure RP/0/RP0/CPU0:router(config)# radius-server key 7 anykey
radius-server retransmit(BNG)
Cisco IOS XR ソフトウェアがサーバへのパケットの送信を中止する前に再送信する回数を指定するには、 XR コンフィギュレーション モードで radius-server retransmit コマンドを使用します。このコマンドの no 形式を使用すると、デフォルト値の 3 に設定されます。
radius-server retransmit { retries disable}
no radius-server retransmit { retries disable}
構文の説明
| retries |
再送信の最大試行回数です。範囲は 1 ~ 100 です。デフォルトは 3 です。 |
| disable |
radius-server transmit コマンドをディセーブルにします。 |
コマンド デフォルト
RADIUS サーバには 3 回まで、または応答が受信されるまで再送信されます。
コマンド モード
XR コンフィギュレーション モードコマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
RADIUS クライアントでは、すべてのサーバに対して再送信が試みられ、それぞれがタイムアウトになってから再送信カウントが増加します。
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り、書き込み |
例
次に、再送信カウンタ値を 5 回に指定する例を示します。
RP/0/RP0/CPU0:router# configure RP/0/RP0/CPU0:router(config)# radius-server retransmit 5
radius-server timeout(BNG)
サーバ ホストがタイムアウトする前に応答するまでルータが待機するインターバルを設定するには、 XR コンフィギュレーション モードで radius-server timeout コマンドを使用します。デフォルトに戻すには、このコマンドの no 形式を使用します。
radius-server timeout seconds
no radius-server timeout
構文の説明
| seconds |
タイムアウトの間隔を指定する秒数です。範囲は、1 ~ 1000 です。 |
コマンド デフォルト
デフォルトの radius-server timeout 値は 5 秒です。
コマンド モード
XR コンフィギュレーション モードコマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
radius-server timeout コマンドを使用して、タイムアウトする前にサーバ ホストが応答するまでルータが待機する秒数を設定します。
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り、書き込み |
例
次に、インターバル タイマーを 10 秒に変更する例を示します。
RP/0/RP0/CPU0:router# configure RP/0/RP0/CPU0:router(config)# radius-server timeout 10
radius source-interface(BNG)
RADIUS が、すべての発信 RADIUS パケットに対して指定したインターフェイスまたはサブインターフェイスの IP アドレスを使用するようにするには、 XR コンフィギュレーション モードで radius source-interface コマンドを使用します。指定したインターフェイスがデフォルトにならないようにし、すべての発信 RADIUS パケットに使用されないようにするには、このコマンドの no 形式を使用します。
radius source-interface interface [ vrf vrf_name ]
no radius source-interface interface
構文の説明
| interface-name |
RADIUS がすべての発信パケットに使用するインターフェイスの名前です。 |
| vrfvrf-id |
割り当てられている VRF の名前を指定します。 |
コマンド デフォルト
特定のソース インターフェイスが設定されていない場合、インターフェイスがダウン状態にある場合、またはインターフェイスに IP アドレスが設定されていない場合は、IP アドレスが自動的に選択されます。
コマンド モード
XR コンフィギュレーション モードコマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
radius source-interface コマンドを使用して、指定したインターフェイスまたはサブインターフェイスの IP アドレスをすべての発信 RADIUS パケットに設定します。インターフェイスまたはサブインターフェイスがアップ状態である限り、このアドレスが使用されます。このように、RADIUS サーバでは IP アドレスのリストを保持する代わりに、すべてのネットワーク アクセス クライアントに対して 1 つの IP アドレス エントリを使用できます。
指定されたインターフェイスまたはサブインターフェイスには、IP アドレスが関連付けられている必要があります。指定のインターフェイスまたはサブインターフェイスに IP アドレスが設定されていないか、そのインターフェイスがダウン状態にある場合、RADIUS はデフォルトに戻ります。これを防ぐには、IP アドレスをインターフェイスまたはサブインターフェイスに追加するか、あるいはインターフェイスを起動状態にします。
radius source-interface コマンドは、ルータに多くのインターフェイスやサブインターフェイスがあり、特定のルータからのすべての RADIUS パケットに同じ IP アドレスが含まれている場合は特に便利です。
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り、書き込み |
例
次に、すべての発信 RADIUS パケットに対して RADIUS がサブインターフェイス s2 の IP アドレスを使用するようにする例を示します。
RP/0/RP0/CPU0:router# configure RP/0/RP0/CPU0:router(config)# radius source-interface loopback 10 vrf vrf1
secret
Message Digest 5(MD5)で暗号化されたシークレットを設定して暗号化されたユーザ名に関連付けるには、ユーザ名コンフィギュレーション モードまたは回線テンプレート コンフィギュレーション モードで secret コマンドを使用します。セキュア シークレットを削除するには、このコマンドの no 形式を使用します。
secret { [0] secret-login | 5 secret-login }
no secret { 0 | 5 } secret-login
構文の説明
| 0 |
(任意)暗号化されていない(クリアテキスト)パスワードが続くことを指定します。MD5 暗号化アルゴリズムを使用した設定では、パスワードは保存用に暗号化されます。それ以外の場合、パスワードは暗号化されません。 |
||
| 5 |
暗号化された MD5 パスワード(シークレット)が続くことを指定します。 |
||
| secret-login |
ユーザのログイン ID と一緒に MD5 で暗号化されたパスワードとして保存される、ユーザが入力する英数字のテキスト文字列です。 最長で 253 文字まで入力できます。
|
コマンド デフォルト
パスワードは指定されません。
コマンド モード
ユーザ名コンフィギュレーション
回線テンプレート コンフィギュレーション
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
Cisco IOS XR ソフトウェアでは、ログインに使用するユーザ名とパスワードに Message Digest 5(MD5)暗号化を設定できます。MD5 暗号化は、暗号化されたパスワードの逆送信を不可能にする一方向ハッシュ関数であり、強力な暗号化保護を可能にします。MD5 暗号化を使用すると、クリアテキスト パスワードを取得できません。したがって、MD5 で暗号化されたパスワードは、Challenge Handshake Authentication Protocol(CHAP; チャレンジ ハンドシェーク認証プロトコル)など、クリアテキスト パスワードの取得を必要とするプロトコルと一緒には使用できません。
セキュア シークレット ID のタイプは暗号化(5)とクリア テキスト(0)のいずれかを指定できます。0 も 5 も選択しなかった場合、入力したクリアテキスト パスワードは暗号化されません。
パスワードが保護されている回線で XR EXEC モード プロセスが開始されると、そのプロセスによってシークレットの入力が求められます。ユーザが正しいシークレットを入力すると、プロンプトが実行されます。ユーザがシークレットの入力に 3 回失敗すると、端末はアイドル状態に戻ります。
シークレットは一方向に暗号化されているため、復号可能なシークレットを必要としないログイン アクティビティに使用します。
MD5 パスワード暗号化がイネーブルになっていることを確認するには、show running-config コマンドを使用します。コマンド出力に「username name secret 5」という行が表示された場合は、拡張パスワード セキュリティがイネーブルです。
(注) |
show running-config コマンドは、0 オプションを使用して暗号化されていないパスワードを指定しているときは、ログイン パスワードをクリア テキストで表示しません。「例」の項を参照してください。 |
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り、書き込み |
例
次に、ユーザ user2 にクリアテキストのシークレット「lab」を設定する例を示します。
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# username user2 RP/0/RSP0/CPU0:router(config-un)# secret 0 lab RP/0/RSP0/CPU0:router(config-un)# commit RP/0/RSP00/CPU0:router(config-un)# show running-config Building configuration... username user2 secret 5 $1$DTmd$q7C6fhzje7Cc7Xzmu2Frx1 ! end
server(RADIUS)
特定の RADIUS サーバと定義済みのサーバ グループを関連付けるには、RADIUS サーバグループ コンフィギュレーション モードで server コマンドを使用します。関連付けられたサーバをサーバ グループから削除するには、このコマンドの no 形式を使用します。
server ip-address [ auth-port port-number ] [ acct-port port-number ]
no server ip-address [ auth-port port-number ] [ acct-port port-number ]
構文の説明
| ip-address |
RADIUS サーバ ホストの IP アドレスです。 |
| auth-portport-number |
(任意)認証要求に対するユーザ データグラム プロトコル(UDP)宛先ポートを指定します。port-number 引数は、認証要求に対するポート番号を指定します。この値が 0 に設定されている場合、そのホストは認証に使用されません。デフォルトは 1645 です。 |
| acct-portport-number |
(任意)アカウンティング要求に対する UDP 宛先ポートを指定します。port-number 引数は、アカウンティング要求に対するポート番号を指定します。この値が 0 に設定されている場合、そのホストはアカウンティング サービスに使用されません。デフォルトは 1646 です。 |
コマンド デフォルト
ポート属性が定義されていない場合、デフォルトは次のようになります。
コマンド モード
RADIUS サーバグループ コンフィギュレーション
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
server コマンドを使用して、特定の RADIUS サーバと定義済みのサーバ グループを関連付けます。
サーバを識別する方法は、AAA サービスを提供する方法に応じて 2 種類あります。サーバを IP アドレスを使用して識別できます。また、任意で auth-port キーワードと acct-port キーワードを使用して複数のホスト インスタンスまたはエントリを識別できます。
オプションのキーワードを使用すると、ネットワーク アクセス サーバにより、IP アドレスと特定の UDP ポート番号に基づいてグループ サーバに関連付けられている RADIUS セキュリティ サーバおよびホスト インスタンスが識別されます。IP アドレスと UDP ポート番号の組み合わせによって一意の ID を作成し、特定の AAA サービスを提供する RADIUS ホスト エントリとして各ポートを個々に定義できます。たとえば、同一の RADIUS サーバの 2 つの異なるホスト エントリを同一のサービス(アカウンティングなど)に対して設定すると、2 番目に設定したホスト エントリは最初のホスト エントリをバックアップする自動スイッチオーバーとして機能します。この場合、最初のホスト エントリがアカウンティング サービスを提供できなかった場合、ネットワーク アクセス サーバは同じ装置上でアカウンティング サービス用に設定されている 2 番めのホスト エントリを試行します(試行される RADIUS ホスト エントリの順番は、設定されている順序に従います)。
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り、書き込み |
例
次に、同一のサービス、つまり認証とアカウンティングに設定されている同一の RADIUS サーバ上の 2 つの異なるホスト エントリを使用する例を示します。2 番目に設定されているホスト エントリは、最初のホスト エントリをバックアップするスイッチオーバーとして機能します。
RP/0/RP0/CPU0:router# configure RP/0/RP0/CPU0:router(config)# aaa group server radius group1 RP/0/RP0/CPU0:router(config-sg-radius)# server 1.1.1.1 auth-port 1645 acct-port 1646 RP/0/RP0/CPU0:router(config-sg-radius)# server 2.2.2.2 auth-port 2000 acct-port 2001
server(TACACS+)
特定の TACACS+ サーバと定義済みのサーバ グループを関連付けるには、TACACS+ サーバグループ コンフィギュレーション モードで server コマンドを使用します。関連付けられたサーバをサーバ グループから削除するには、このコマンドの no 形式を使用します。
server { hostname | ip-address }
no server { hostname | ip-address }
構文の説明
| hostname |
サーバ ホスト名の指定に使用する文字列です。 |
| ip-address |
サーバ ホストの IP アドレスです。 |
コマンド デフォルト
なし
コマンド モード
TACACS+ サーバグループ コンフィギュレーション
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
server コマンドを使用して、特定の TACACS+ サーバと定義済みのサーバ グループを関連付けます。サーバは、設定時にアクセス可能である必要はありません。あとで、認証、許可、アカウンティング(AAA)の設定に使用されるメソッド リストから、設定済みのサーバ グループを参照できます。
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り、書き込み |
例
次に、IP アドレス 192.168.60.15 の TACACS+ サーバをサーバ グループ tac1 に関連付ける例を示します。
RP/0/RP0/CPU0:router# configure RP/0/RP0/CPU0:router(config)# aaa group server tacacs+ tac1 RP/0/RP0/CPU0:router(config-sg-tacacs+)# server 192.168.60.15
server-private(RADIUS)
プライベート RADIUS サーバの IP アドレスをグループ サーバに設定するには、RADIUS サーバグループ コンフィギュレーション モードで server-private コマンドを使用します。関連付けられたプライベート サーバを AAA グループ サーバから削除するには、このコマンドの no 形式を使用します。
server-private ip-address [ auth-port port-number ] [ acct-port port-number ] [ timeout seconds ] [ retransmit retries ] [ key string ]
no server-private ip-address [ auth-port port-number ] [ acct-port port-number ] [ timeout seconds ] [ retransmit retries ] [ key string ]
構文の説明
| ip-address |
RADIUS サーバ ホストの IP アドレスです。 |
| auth-portport-number |
(任意)認証要求に対するユーザ データグラム プロトコル(UDP)宛先ポートを指定します。port-number 引数は、認証要求に対するポート番号を指定します。この値が 0 に設定されている場合、そのホストは認証に使用されません。デフォルト値は 1645 です。 |
| acct-portport-number |
(任意)アカウンティング要求に対する UDP 宛先ポートを指定します。port-number 引数は、アカウンティング要求に対するポート番号を指定します。この値が 0 に設定されている場合、そのホストはアカウンティング サービスに使用されません。デフォルト値は 1646 です。 |
| timeoutseconds |
(任意)再送信するまでにルータが RADIUS サーバの応答を待機する秒数を指定します。この設定は radius-server timeout コマンドのグローバル値を上書きします。タイムアウト値が指定されていない場合は、グローバル値が使用されます。 seconds 引数はタイムアウト値を秒単位で指定します。範囲は 1 ~ 1000 です。タイムアウト値が指定されていない場合は、グローバル値が使用されます。 |
| retransmitretries |
(任意)サーバが応答しない、または応答が遅い場合に、RADIUS 要求をサーバに再送信する回数を指定します。この設定は radius-server transmit コマンドのグローバル設定を上書きします。 retries 引数は再送信値を指定します。範囲は 1 ~ 100 です。再送信値が指定されていない場合は、グローバル値が使用されます。 |
| keystring |
(任意)ルータと RADIUS サーバ上で稼働する RADIUS デーモン間で使用される認証および暗号キーを指定します。このキーは radius-server key コマンドのグローバル設定を上書きします。キー文字列を指定しない場合、グローバル値が使用されます。 |
コマンド デフォルト
ポート属性が定義されていない場合、デフォルトは次のようになります。
コマンド モード
RADIUS サーバグループ コンフィギュレーション
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
server-private コマンドを使用して、特定のプライベート サーバと定義済みのサーバ グループを関連付けます。VRF インスタンス間では IP アドレスの重複が可能です。プライベート サーバ(プライベート アドレスを持つサーバ)はサーバ グループ内で定義して、他のグループからは非表示のままにすることができます。一方、グローバル プール(デフォルトの RADIUS サーバ グループなど)内のサーバは、IP アドレスとポート番号を使って参照できます。したがって、サーバ グループ内のサーバのリストには、プライベート サーバの設定内や定義内にあるホストへの参照が含まれています。
auth-port キーワードと acct-port キーワードは両方とも、RADIUS サーバグループ プライベート コンフィギュレーション モードを開始します。
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り、書き込み |
例
次に、group1 RADIUS グループ サーバを定義して、これにプライベート サーバを関連付け、RADIUS サーバグループ プライベート コンフィギュレーション モードを開始する例を示します。
RP/0/RP0/CPU0:router# configure RP/0/RP0/CPU0:router(config)# aaa group server radius group1 RP/0/RP0/CPU0:router(config-sg-radius)# server-private 10.1.1.1 timeout 5 RP/0/RP0/CPU0:router(config-sg-radius)# server-private 10.1.1.1 retransmit 3 RP/0/RP0/CPU0:router(config-sg-radius)# server-private 10.1.1.1 key coke RP/0/RP0/CPU0:router(config-sg-radius)# server-private 10.1.1.1 auth-port 300 RP/0/RP0/CPU0:router(config-sg-radius-private)# exit RP/0/RP0/CPU0:router(config-sg-radius)# server-private 10.2.2.2 timeout 5 RP/0/RP0/CPU0:router(config-sg-radius)# server-private 10.2.2.2 retransmit 3 RP/0/RP0/CPU0:router(config-sg-radius)# server-private 10.2.2.2 key coke RP/0/RP0/CPU0:router(config-sg-radius)# server-private 10.2.2.2 auth-port 300 RP/0/RP0/CPU0:router(config-sg-radius-private)#
RP/0/RP0/CPU0:router# configure RP/0/RP0/CPU0:router(config)# aaa group server radius group1 RP/0/RP0/CPU0:router(config-sg-radius)# server-private 10.1.1.1 auth-port 300 RP/0/RP0/CPU0:router(config-sg-radius-private)# exit (config-sg-radius)# server-private 10.2.2.2 auth-port 300 RP/0/RP0/CPU0:router(config-sg-radius-private)#
server-private(TACACS+)
プライベート TACACS+ サーバの IP アドレスをグループ サーバに設定するには、TACACS+ サーバグループ コンフィギュレーション モードで server-private コマンドを使用します。関連付けられたプライベート サーバを AAA グループ サーバから削除するには、このコマンドの no 形式を使用します。
server-private { hostname | ip-address } [ port port-number ] [ timeout seconds ] [ key string ]
no server-private { hostname | ip-address }
構文の説明
| hostname |
サーバ ホスト名の指定に使用する文字列です。 |
| ip-address |
TACACS+ サーバ ホストの IP アドレスです。IPv4 アドレスおよび IPv6 アドレスのどちらもサポートされています。 |
| portport-number |
(任意)サーバのポート番号を指定します。この設定によって、デフォルトのポート 49 は上書きされます。有効なポート番号の範囲は 1 ~ 65535 です。 |
| timeoutseconds |
(任意)認証、許可、アカウンティング(AAA)サーバが TACACS+ サーバからの応答を待機する時間の長さを設定するタイムアウト値を秒で指定します。このオプションは、このサーバのみに対して tacacs-server timeout コマンドで設定されたグローバル タイムアウト値を上書きします。範囲は 1 ~ 1000 です。デフォルトは 5 分です。 |
| keystring |
(任意)ルータと TACACS+ サーバ上で稼働する TACACS+ デーモン間で使用される認証および暗号キーを指定します。このキーは tacacs-server key コマンドのグローバル設定を上書きします。キー文字列を指定しない場合、グローバル値が使用されます。 |
コマンド デフォルト
port-name 引数を指定しない場合は、デフォルトで標準ポート 49 が設定されます。
seconds 引数を指定しない場合は、デフォルトで 5 秒に設定されます。
コマンド モード
TACACS+ サーバグループ コンフィギュレーション
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
server-private コマンドを使用して、特定のプライベート サーバと定義済みのサーバ グループを関連付けます。VRF インスタンス間では IP アドレスの重複が可能です。プライベート サーバ(プライベート アドレスを持つサーバ)はサーバ グループ内で定義して、他のグループからは非表示のままにすることができます。一方、グローバル プール(デフォルトの TACACS+ サーバ グループなど)内のサーバは、IP アドレスとポート番号を使って参照できます。このように、サーバ グループ内のサーバのリストには、グローバル コンフィギュレーションにおけるホストの参照情報とプライベート サーバの定義が含まれます。
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り、書き込み |
例
次に、myserver TACACS+ グループ サーバを定義して、プライベート サーバを関連付け、TACACS+ サーバグループ プライベート コンフィギュレーション モードを開始する例を示します。
RP/0/RP0/CPU0:router# configure RP/0/RP0/CPU0:router(config)# aaa group server tacacs+ myserver RP/0/RP0/CPU0:router(config-sg-tacacs+)# server-private 10.1.1.1 timeout 5 RP/0/RP0/CPU0:router(config-sg-tacacs+)# server-private 10.1.1.1 key a_secret RP/0/RP0/CPU0:router(config-sg-tacacs+)# server-private 10.1.1.1 port 51 RP/0/RP0/CPU0:router(config-sg-tacacs-private)# exit RP/0/RP0/CPU0:router(config-sg-tacacs+)# server-private 10.2.2.2 timeout 5 RP/0/RP0/CPU0:router(config-sg-tacacs+)# server-private 10.2.2.2 key coke RP/0/RP0/CPU0:router(config-sg-tacacs+)# server-private 10.2.2.2 port 300 RP/0/RP0/CPU0:router(config-sg-tacacs-private)#
show aaa(XR-VM)
インターネット キー エクスチェンジ(IKE)セキュリティ プロトコル グループ、ユーザ グループ、ローカル ユーザ、ログイン トレース、またはタスク グループに関する情報を表示する、または、システム内のすべての IKE グループ、ユーザ グループ、ローカル ユーザ、またはタスク グループに関連付けられたすべてのタスク ID のリストを表示する、あるいは、指定した IKE グループ、ユーザ グループ、ローカル ユーザ、またはがタスク グループのすべてのタスク ID のリストを表示するには、 XR EXEC モードで show aaa コマンドを使用します。
show aaa { ikegroup ikegroup-name | loginsync | usergroup [usergroup-name] | trace | userdb [username] | task | taskgroup }
構文の説明
| ikegroup |
ローカル IKE グループの詳細情報を表示します。 |
||
| ikegroup-name |
(任意)詳細が表示される IKE グループです。 |
||
| login |
ログイン サブシステムのデータを表示します。 |
||
| sync |
データをサブシステムと同期します。 |
||
| usergroup |
すべてのユーザ グループの詳細を表示します。 |
||
| usergroup-name |
(任意)ユーザグループ名です。 |
||
| trace |
AAA サブシステムに関するトレース データを表示します。 |
||
| userdb |
すべてのローカル ユーザと各ユーザが属するユーザグループの詳細を表示します。 |
||
| username |
(任意)詳細を表示する対象のユーザです。 |
||
| task |
タスクの情報を表示します。 |
||
| taskgroup |
すべてのタスク グループの詳細を表示します。
|
コマンド デフォルト
引数を入力しない場合は、すべてのユーザ グループ、すべてのローカル ユーザ、またはすべてのタスク グループの詳細が表示されます。
コマンド モード
XR EXEC モードコマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
show aaa コマンドを使用して、システム内のすべての IKE グループ、ユーザ グループ、ローカル ユーザ、AAA タスク ID、またはタスク グループのリストを表示します。任意で ikegroup-name 引数、usergroup-name 引数、username 引数 引数を使用して、指定した IKE グループ、ユーザ グループ、ユーザ、またはタスク グループの詳細情報をそれぞれ表示します。
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り |
例
次に、ikegroup キーワードを使用した show aaa コマンドによる出力の例を示します。
RP/0/RP0/CPU0:router# show aaa ikegroup
IKE Group ike-group
Max-Users = 50
IKE Group ikeuser
Group-Key = test-password
Default Domain = cisco.com
IKE Group ike-user
次に、usergroup コマンドを使用した show aaa コマンドによる出力の例を示します。
RP/0/RP0/CPU0:router# show aaa usergroup operator
User group 'operator'
Inherits from task group 'operator'
User group 'operator' has the following combined set
of task IDs (including all inherited groups):
Task: basic-services : READ WRITE EXECUTE DEBUG
Task: cdp : READ
Task: diag : READ
Task: ext-access : READ EXECUTE
Task: logging : READ
RP/0/RP0/CPU0:router# show aaa taskgroup netadmin Task group 'netadmin' Task group 'netadmin' has the following combined set of task IDs (including all inherited groups): Task: aaa : READ Task: acl : READ WRITE EXECUTE DEBUG Task: admin : READ Task: ancp : READ WRITE EXECUTE DEBUG Task: atm : READ WRITE EXECUTE DEBUG Task: basic-services : READ WRITE EXECUTE DEBUG Task: bcdl : READ Task: bfd : READ WRITE EXECUTE DEBUG Task: bgp : READ WRITE EXECUTE DEBUG Task: boot : READ WRITE EXECUTE DEBUG Task: bundle : READ WRITE EXECUTE DEBUG Task: cdp : READ WRITE EXECUTE DEBUG Task: cef : READ WRITE EXECUTE DEBUG Task: cgn : READ WRITE EXECUTE DEBUG Task: config-mgmt : READ WRITE EXECUTE DEBUG Task: config-services : READ WRITE EXECUTE DEBUG Task: crypto : READ WRITE EXECUTE DEBUG Task: diag : READ WRITE EXECUTE DEBUG Task: drivers : READ Task: dwdm : READ WRITE EXECUTE DEBUG Task: eem : READ WRITE EXECUTE DEBUG Task: eigrp : READ WRITE EXECUTE DEBUG Task: ethernet-services : READ Task: ext-access : READ WRITE EXECUTE DEBUG Task: fabric : READ WRITE EXECUTE DEBUG Task: fault-mgr : READ WRITE EXECUTE DEBUG Task: filesystem : READ WRITE EXECUTE DEBUG Task: firewall : READ WRITE EXECUTE DEBUG Task: fr : READ WRITE EXECUTE DEBUG Task: hdlc : READ WRITE EXECUTE DEBUG Task: host-services : READ WRITE EXECUTE DEBUG Task: hsrp : READ WRITE EXECUTE DEBUG Task: interface : READ WRITE EXECUTE DEBUG Task: inventory : READ Task: ip-services : READ WRITE EXECUTE DEBUG Task: ipv4 : READ WRITE EXECUTE DEBUG Task: ipv6 : READ WRITE EXECUTE DEBUG Task: isis : READ WRITE EXECUTE DEBUG Task: l2vpn : READ WRITE EXECUTE DEBUG Task: li : READ WRITE EXECUTE DEBUG Task: logging : READ WRITE EXECUTE DEBUG Task: lpts : READ WRITE EXECUTE DEBUG Task: monitor : READ Task: mpls-ldp : READ WRITE EXECUTE DEBUG Task: mpls-static : READ WRITE EXECUTE DEBUG Task: mpls-te : READ WRITE EXECUTE DEBUG Task: multicast : READ WRITE EXECUTE DEBUG Task: netflow : READ WRITE EXECUTE DEBUG Task: network : READ WRITE EXECUTE DEBUG Task: ospf : READ WRITE EXECUTE DEBUG Task: ouni : READ WRITE EXECUTE DEBUG Task: pkg-mgmt : READ Task: pos-dpt : READ WRITE EXECUTE DEBUG Task: ppp : READ WRITE EXECUTE DEBUG Task: qos : READ WRITE EXECUTE DEBUG Task: rib : READ WRITE EXECUTE DEBUG Task: rip : READ WRITE EXECUTE DEBUG Task: root-lr : READ (reserved) Task: route-map : READ WRITE EXECUTE DEBUG Task: route-policy : READ WRITE EXECUTE DEBUG Task: sbc : READ WRITE EXECUTE DEBUG Task: snmp : READ WRITE EXECUTE DEBUG Task: sonet-sdh : READ WRITE EXECUTE DEBUG Task: static : READ WRITE EXECUTE DEBUG Task: sysmgr : READ Task: system : READ WRITE EXECUTE DEBUG Task: transport : READ WRITE EXECUTE DEBUG Task: tty-access : READ WRITE EXECUTE DEBUG Task: tunnel : READ WRITE EXECUTE DEBUG Task: universal : READ (reserved) Task: vlan : READ WRITE EXECUTE DEBUG Task: vrrp : READ WRITE EXECUTE DEBUG
Task: basic-services : READ WRITE EXECUTE DEBUG Task: cdp : READ Task: diag : READ Task: ext-access : READ EXECUTE Task: logging : READ
Task: aaa : READ WRITE EXECUTE DEBUG Task: aaa acl : READ WRITE EXECUTE DEBUG Task: acl admin : READ WRITE EXECUTE DEBUG Task: admin atm : READ WRITE EXECUTE DEBUG Task: atm basic-services : READ WRITE EXECUTE DEBUG Task: basic-services bcdl : READ WRITE EXECUTE DEBUG Task: bcdl bfd : READ WRITE EXECUTE DEBUG Task: bfd bgp : READ WRITE EXECUTE DEBUG Task: bgp boot : READ WRITE EXECUTE DEBUG Task: boot bundle : READ WRITE EXECUTE DEBUG Task: bundle cdp : READ WRITE EXECUTE DEBUG Task: cdp cef : READ WRITE EXECUTE DEBUG Task: cef config-mgmt : READ WRITE EXECUTE DEBUG Task: config-mgmt services : READ WRITE EXECUTE DEBUG Task: config-services crypto : READ WRITE EXECUTE DEBUG Task: crypto diag : READ WRITE EXECUTE DEBUG Task: diag drivers : READ WRITE EXECUTE DEBUG Task: drivers ext-access : READ WRITE EXECUTE DEBUG Task: ext-access fabric : READ WRITE EXECUTE DEBUG Task: fabric fault-mgr : READ WRITE EXECUTE DEBUG Task: fault-mgr filesystem : READ WRITE EXECUTE DEBUG Task: filesystem fr : READ WRITE EXECUTE DEBUG Task: fr hdlc : READ WRITE EXECUTE DEBUG Task: hdlc host-services : READ WRITE EXECUTE DEBUG Task: host-services hsrp : READ WRITE EXECUTE DEBUG Task: hsrp interface : READ WRITE EXECUTE DEBUG Task: interface inventory : READ WRITE EXECUTE DEBUG Task: inventory ip-services : READ WRITE EXECUTE DEBUG Task: ip-services ipv4 : READ WRITE EXECUTE DEBUG Task: ipv4 ipv6 : READ WRITE EXECUTE DEBUG Task: ipv6 isis : READ WRITE EXECUTE DEBUG Task: isis logging : READ WRITE EXECUTE DEBUG Task: logging lpts : READ WRITE EXECUTE DEBUG Task: lpts monitor : READ WRITE EXECUTE DEBUG Task: monitor mpls-ldp : READ WRITE EXECUTE DEBUG Task: mpls-ldp static : READ WRITE EXECUTE DEBUG Task: mpls-static te : READ WRITE EXECUTE DEBUG Task: mpls-te multicast : READ WRITE EXECUTE DEBUG Task: multicast netflow : READ WRITE EXECUTE DEBUG Task: netflow network : READ WRITE EXECUTE DEBUG Task: network ospf : READ WRITE EXECUTE DEBUG Task: ospf ouni : READ WRITE EXECUTE DEBUG Task: ouni pkg-mgmt : READ WRITE EXECUTE DEBUG Task: pkg pos-mgmt dpt : READ WRITE EXECUTE DEBUG Task: ppp : READ WRITE EXECUTE DEBUG Task: qos : READ WRITE EXECUTE DEBUG Task: rib : READ WRITE EXECUTE DEBUG Task: rip : READ WRITE EXECUTE DEBUG Task: root-lr : READ WRITE EXECUTE DEBUG Task: root-system : READ WRITE EXECUTE DEBUG Task: route-map : READ WRITE EXECUTE DEBUG Task: route-policy : READ WRITE EXECUTE DEBUG Task: snmp : READ WRITE EXECUTE DEBUG Task: sonet-sdh : READ WRITE EXECUTE DEBUG Task: static : READ WRITE EXECUTE DEBUG Task: sysmgr : READ WRITE EXECUTE DEBUG Task: system : READ WRITE EXECUTE DEBUG Task: transport : READ WRITE EXECUTE DEBUG Task: tty-access : READ WRITE EXECUTE DEBUG Task: tunnel : READ WRITE EXECUTE DEBUG Task: universal : READ WRITE EXECUTE DEBUG Task: vlan : READ WRITE EXECUTE DEBUG Task: vrrp : READ WRITE EXECUTE DEBUG
次に、task supported キーワードを使用した show aaa コマンドによる出力の例を示します。タスク ID はアルファベット順に表示されます。
RP/0/RP0/CPU0:router# show aaa task supported aaa acl admin atm basic-services bcdl bfd bgp boot bundle cdp cef cisco-support config-mgmt config-services crypto diag disallowed drivers eigrp ext-access fabric fault-mgr filesystem firewall fr hdlc host-services hsrp interface inventory ip-services ipv4 ipv6 isis logging lpts monitor mpls-ldp mpls-static mpls-te multicast netflow network ospf ouni pkg-mgmt pos-dpt ppp qos rib rip User group root-systemlrlr root-system route-map route-policy sbc snmp sonet-sdh static sysmgr system transport tty-access tunnel universal vlan vrrp
show aaa accounting
AAA サブシステムのコマンド履歴を日時とともに表示するには、 システム管理 EXEC モードで show aaa accounting コマンドを使用します。システム管理 VM に group aaa-r または root-system が必要です。
show aaa accounting
構文の説明
このコマンドにはキーワードまたは引数はありません。
コマンド デフォルト
なし
コマンド モード
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
このコマンドの使用に影響する特定のガイドラインはありません。
タスク ID
| タスク ID | 動作 |
|---|---|
| aaa |
読み取り |
例
次に、show aaa accounting コマンドによる出力例を示します。
sysadmin-vm:0_RP0#show aaa accounting
Mon Nov 3 13:37:21.573 UTC
Detail audit log information
Time Username Session-ID Node-Information Command
---------------------------------------------------------------------------------------------------
2014-11-03.13:14:27 UTC root 17 System logged in from the CLI with aaa disabled
..
…
2014-11-03.13:37:01 UTC cisco 57 0/RP0 assigned to groups: root-system
2014-11-03.13:37:03 UTC cisco 57 0/RP0 CLI 'config terminal'
2014-11-03.13:37:03 UTC cisco 57 0/RP0 CLI done
2014-11-03.13:37:09 UTC cisco 57 0/RP0 CLI 'aaa authentication users user temp'
2014-11-03.13:37:09 UTC cisco 57 0/RP0 CLI done
2014-11-03.13:37:11 UTC cisco 57 0/RP0 CLI 'password ****
2014-11-03.13:37:11 UTC cisco 57 0/RP0 CLI done
2014-11-03.13:37:12 UTC cisco 57 0/RP0 CLI 'commit'
2014-11-03.13:37:14 UTC cisco 57 0/RP0 CLI done
2014-11-03.13:37:16 UTC cisco 57 0/RP0 CLI 'exit'
2014-11-03.13:37:16 UTC cisco 57 0/RP0 CLI done
2014-11-03.13:37:18 UTC cisco 57 0/RP0 CLI 'exit'
2014-11-03.13:37:18 UTC cisco 57 0/RP0 CLI done
2014-11-03.13:37:21 UTC cisco 57 0/RP0 CLI 'show aaa accounting'
show radius
システムに設定されている RADIUS サーバに関する情報を表示するには、 XR EXEC モードで show radius コマンドを使用します。
show radius
構文の説明
このコマンドにはキーワードまたは引数はありません。
コマンド デフォルト
RADIUS サーバが設定されていない場合、出力は表示されません。
コマンド モード
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
show radius コマンドを使用して、設定済みの各 RADIUS サーバに関する統計情報を表示します。
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り |
例
次に、show radius コマンドによる出力の例を示します。
RP/0/RP0/CPU0:router# show radius
Global dead time: 0 minute(s)
Server: 1.1.1.1/1645/1646 is UP
Timeout: 5 sec, Retransmit limit: 3
Quarantined: No
Authentication:
0 requests, 0 pending, 0 retransmits
0 accepts, 0 rejects, 0 challenges
0 timeouts, 0 bad responses, 0 bad authenticators
0 unknown types, 0 dropped, 0 ms latest rtt
Accounting:
0 requests, 0 pending, 0 retransmits
0 responses, 0 timeouts, 0 bad responses
0 bad authenticators, 0 unknown types, 0 dropped
0 ms latest rtt
Server: 2.2.2.2/1645/1646 is UP
Timeout: 10 sec, Retransmit limit: 3
Authentication:
0 requests, 0 pending, 0 retransmits
0 accepts, 0 rejects, 0 challenges
0 timeouts, 0 bad responses, 0 bad authenticators
0 unknown types, 0 dropped, 0 ms latest rtt
Accounting:
0 requests, 0 pending, 0 retransmits
0 responses, 0 timeouts, 0 bad responses
0 bad authenticators, 0 unknown types, 0 dropped
0 ms latest rtt
次の表で、この出力に表示される重要なフィールドを説明します。
| フィールド |
説明 |
|---|---|
| Server |
サーバの IP アドレス/認証要求の UDP 宛先ポート/アカウンティング要求の UDP 宛先ポートです。 |
| Timeout |
タイムアウトになるまでにルータがサーバ ホストの応答を待機する秒数です。 |
| Retransmit limit |
Cisco IOS XR ソフトウェアで RADIUS サーバ ホストのリストを検索する回数です。 |
show radius accounting
RADIUS アカウンティング サーバおよびポートの情報および詳細統計情報を取得するには、 XR EXEC モードで show radius accounting コマンドを使用します。
show radius accounting
構文の説明
このコマンドにはキーワードまたは引数はありません。
コマンド デフォルト
RADIUS サーバがルータに設定されていない場合、出力は空になります。カウンタ(要求や保留など)に対するデフォルト値の場合、RADIUS サーバは定義されただけでまだ使用されていないため、値はすべてゼロになります。
コマンド モード
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
このコマンドの使用に影響する特定のガイドラインはありません。
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り |
例
次に、show radius accounting コマンドよりサーバ単位で表示された出力の例を示します。
RP/0/RP0/CPU0:router# show radius accounting
Server: 12.26.25.61, port: 1813
0 requests, 0 pending, 0 retransmits
0 responses, 0 timeouts, 0 bad responses
0 bad authenticators, 0 unknown types, 0 dropped
0 ms latest rtt
Server: 12.26.49.12, port: 1813
0 requests, 0 pending, 0 retransmits
0 responses, 0 timeouts, 0 bad responses
0 bad authenticators, 0 unknown types, 0 dropped
0 ms latest rtt
Server: 12.38.28.18, port: 29199
0 requests, 0 pending, 0 retransmits
0 responses, 0 timeouts, 0 bad responses
0 bad authenticators, 0 unknown types, 0 dropped
0 ms latest rtt
次の表で、この出力に表示される重要なフィールドを説明します。
| フィールド |
説明 |
|---|---|
| Server |
サーバの IP アドレス/認証要求の UDP 宛先ポート、アカウンティング要求の UDP 宛先ポートです。 |
show radius authentication
RADIUS 認証サーバおよびポートの情報と詳細統計情報を取得するには、 XR EXEC モードで show radius authentication コマンドを使用します。
show radius authentication
構文の説明
このコマンドにはキーワードまたは引数はありません。
コマンド デフォルト
RADIUS サーバがルータに設定されていない場合、出力は空になります。カウンタ(要求や保留など)に対するデフォルト値の場合、RADIUS サーバは定義されただけでまだ使用されていないため、値はすべてゼロになります。
コマンド モード
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
このコマンドの使用に影響する特定のガイドラインはありません。
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り |
例
次に、show radius authentication コマンドによる出力の例を示します。
RP/0/RP0/CPU0:router# show radius authentication
Server: 12.26.25.61, port: 1812
0 requests, 0 pending, 0 retransmits
0 accepts, 0 rejects, 0 challenges
0 timeouts, 0 bad responses, 0 bad authenticators
0 unknown types, 0 dropped, 0 ms latest rtt
Server: 12.26.49.12, port: 1812
0 requests, 0 pending, 0 retransmits
0 accepts, 0 rejects, 0 challenges
0 timeouts, 0 bad responses, 0 bad authenticators
0 unknown types, 0 dropped, 0 ms latest rtt
Server: 12.38.28.18, port: 21099
0 requests, 0 pending, 0 retransmits
0 accepts, 0 rejects, 0 challenges
0 timeouts, 0 bad responses, 0 bad authenticators
0 unknown types, 0 dropped, 0 ms latest rtt
次の表で、この出力に表示される重要なフィールドを説明します。
| フィールド |
説明 |
|---|---|
| Server |
サーバの IP アドレス/認証要求の UDP 宛先ポート、アカウンティング要求の UDP 宛先ポートです。 |
show radius dead-criteria
デッド サーバの検出基準に関する情報を取得するには、 XR EXEC モードで show radius dead-criteria コマンドを使用します。
show radius dead-criteria host ip-addr [ auth-port auth-port ] [ acct-port acct-port ]
構文の説明
| hostip-addr |
設定されている RADIUS サーバの名前または IP アドレスを指定します。 |
| auth-portauth-port |
(任意)RADIUS サーバに対する認証ポートを指定します。デフォルト値は 1645 です。 |
| acct-portacct-port |
(任意)RADIUS サーバに対するアカウンティング ポートを指定します。デフォルト値は 1646 です。 |
コマンド デフォルト
時間および試行回数のデフォルト値は 1 つの値に固定されていません。これらの値は計算され、時間の場合は 10 ~ 60 秒、再試行回数の場合は 10 ~ 100 の範囲になります。
コマンド モード
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
このコマンドの使用に影響する特定のガイドラインはありません。
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り |
例
次に、show radius dead-criteria コマンドによる出力の例を示します。
RP/0/RP0/CPU0:router# show radius dead-criteria host 12.26.49.12 auth-port 11000 acct-port 11001
Server: 12.26.49.12/11000/11001
Dead criteria time: 10 sec (computed) tries: 10 (computed)
次の表で、この出力に表示される重要なフィールドを説明します。
| フィールド |
説明 |
|---|---|
| Server |
サーバの IP アドレス/認証要求の UDP 宛先ポート/アカウンティング要求の UDP 宛先ポートです。 |
| Timeout |
タイムアウトになるまでにルータがサーバ ホストの応答を待機する秒数です。 |
| Retransmits |
Cisco IOS XR ソフトウェアで RADIUS サーバ ホストのリストを検索する回数です。 |
show radius server-groups
システムに設定されている RADIUS サーバ グループに関する情報を表示するには、 XR EXEC モードで show radius server-groups コマンドを使用します。
show radius server-groups [ group-name [detail] ]
構文の説明
| group-name |
(任意)サーバ グループの名前。プロパティが表示されます。 |
| detail |
(任意)すべてのサーバ グループのプロパティを表示します。 |
コマンド デフォルト
なし
コマンド モード
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
show radius server-groups コマンドを使用して、設定されている各 RADIUS サーバ グループに関する情報を表示します。表示される情報には、グループ名、グループ内のサーバの数、名前付きサーバ グループ内のサーバのリストが含まれます。設定されているすべての RADIUS サーバのグローバル リストも、認証およびアカウンティングのポート番号と一緒に表示されます。
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り |
例
このグループに対してグループ レベルのデッドタイムが定義されていない場合、継承されるグローバル メッセージが表示されます。グループ レベルのデッドタイム値が定義されている場合はその値が表示され、このメッセージは省略されます。次に、show radius server-groups コマンドによる出力の例を示します。
RP/0/RP0/CPU0:router# show radius server-groups
Global list of servers
Contains 2 server(s)
Server 1.1.1.1/1645/1646
Server 2.2.2.2/1645/1646
Server group 'radgrp1' has 2 server(s)
Dead time: 0 minute(s) (inherited from global)
Contains 2 server(s)
Server 1.1.1.1/1645/1646
Server 2.2.2.2/1645/1646
Server group 'radgrp-priv' has 1 server(s)
Dead time: 0 minute(s) (inherited from global)
Contains 1 server(s)
Server 3.3.3.3/1645/1646 [private]
次に、グループ「radgrp1」に含まれるすべてのサーバ グループのプロパティの出力例を示します。
RP/0/RP0/CPU0:router# show radius server-groups radgrp1 detail
Server group 'radgrp1' has 2 server(s)
VRF default (id 0x60000000)
Dead time: 0 minute(s) (inherited from global)
Contains 2 server(s)
Server 1.1.1.1/1645/1646
Authentication:
0 requests, 0 pending, 0 retransmits
0 accepts, 0 rejects, 0 challenges
0 timeouts, 0 bad responses, 0 bad authenticators
0 unknown types, 0 dropped, 0 ms latest rtt
Accounting:
0 requests, 0 pending, 0 retransmits
0 responses, 0 timeouts, 0 bad responses
0 bad authenticators, 0 unknown types, 0 dropped
0 ms latest rtt
Server 2.2.2.2/1645/1646
Authentication:
0 requests, 0 pending, 0 retransmits
0 accepts, 0 rejects, 0 challenges
0 timeouts, 0 bad responses, 0 bad authenticators
0 unknown types, 0 dropped, 0 ms latest rtt
Accounting:
0 requests, 0 pending, 0 retransmits
0 responses, 0 timeouts, 0 bad responses
0 bad authenticators, 0 unknown types, 0 dropped
0 ms latest rtt
次に、グループ「raddgrp-priv」に含まれるすべてのサーバ グループのプロパティの詳細な出力例を示します。
RP/0/RP0/CPU0:router# show radius server-groups radgrp-priv detail
Server group 'radgrp-priv' has 1 server(s)
VRF default (id 0x60000000)
Dead time: 0 minute(s) (inherited from global)
Contains 1 server(s)
Server 3.3.3.3/1645/1646 [private]
Authentication:
0 requests, 0 pending, 0 retransmits
0 accepts, 0 rejects, 0 challenges
0 timeouts, 0 bad responses, 0 bad authenticators
0 unknown types, 0 dropped, 0 ms latest rtt
Accounting:
0 requests, 0 pending, 0 retransmits
0 responses, 0 timeouts, 0 bad responses
0 bad authenticators, 0 unknown types, 0 dropped
0 ms latest rtt
次の表で、この出力に表示される重要なフィールドを説明します。
| フィールド |
説明 |
|---|---|
| Server |
サーバの IP アドレス/認証要求の UDP 宛先ポート/アカウンティング要求の UDP 宛先ポートです。 |
show tacacs
システムに設定されている TACACS+ サーバに関する情報を表示するには、 XR EXEC モードで show tacacs コマンドを使用します。
show tacacs
構文の説明
このコマンドにはキーワードまたは引数はありません。
コマンド デフォルト
なし
コマンド モード
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
show tacacs コマンドを使用して、設定済みの各 TACACS+ サーバに関する統計情報を表示します。
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り |
例
次に、show tacacs コマンドによる出力例を示します。
RP/0/RP0/CPU0:router# show tacacs
For IPv4 IP addresses:
Server:1.1.1.1/21212 opens=0 closes=0 aborts=0 errors=0
packets in=0 packets out=0
status=up single-connect=false
Server:2.2.2.2/21232 opens=0 closes=0 aborts=0 errors=0
packets in=0 packets out=0
status=up single-connect=false
For IPv6 IP addresses:
Server: 1.2.3.5/49 family = AF_INET opens=0 closes=0 aborts=0 errors=0
packets in=0 packets out=0
status=up single-connect=false
次の表で、この出力に表示される重要なフィールドを説明します。
| フィールド |
説明 |
|---|---|
| Server |
サーバの IP アドレス。 |
| opens |
外部サーバに対して開くソケットの数です。 |
| closes |
外部サーバに対して閉じるソケットの数です。 |
| aborts |
途中で中断された TACACS+ 要求の数です。 |
| errors |
外部サーバからのエラー応答の数です。 |
| packets in |
外部サーバから受信した TCP パケットの数です。 |
| packets out |
外部サーバに送信された TCP パケットの数です。 |
show tacacs server-groups
システムに設定されている TACACS+ サーバ グループに関する情報を表示するには、 XR EXEC モードで show tacacs server-groups コマンドを使用します。
show tacacs server-groups
構文の説明
このコマンドにはキーワードまたは引数はありません。
コマンド デフォルト
なし
コマンド モード
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
show tacacs server-groups コマンドを使用して、設定されている各 TACACS+ サーバ グループに関する情報を表示します。表示される情報には、グループ名、グループ内のサーバの数、名前付きサーバ グループ内のサーバのリストが含まれます。設定されているすべての TACACS+ サーバのグローバル リストも表示されます。
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り |
例
次に、show tacacs server-groups コマンドによる出力例を示します。
RP/0/RP0/CPU0:router# show tacacs server-groups
Global list of servers
Server 12.26.25.61/23456
Server 12.26.49.12/12345
Server 12.26.49.12/9000
Server 12.26.25.61/23432
Server 5.5.5.5/23456
Server 1.1.1.1/49
Server group ‘tac100’ has 1 servers
Server 12.26.49.12
次の表で、この出力に表示される重要なフィールドを説明します。
| フィールド |
説明 |
|---|---|
| Server |
サーバの IP アドレス。 |
show user
現在ログインしているユーザに関連付けられているすべてのユーザ グループとタスク ID を表示するには、 XR EXEC モードで show user コマンドを使用します。
show user [ all | authentication | group | tasks ]
構文の説明
| all |
(任意)現在ログインしているユーザに関するすべてのユーザ グループとタスク ID を表示します。 |
| authentication |
(任意)現在ログインしているユーザの認証方式パラメータを表示します。 |
| group |
(任意)現在ログインしているユーザに関連付けられているユーザ グループを表示します。 |
| tasks |
(任意)現在ログインしているユーザに関連付けられているタスク ID を表示します。tasks キーワードは、出力例で予約されているタスクを示します。 |
コマンド デフォルト
オプションを指定せずに show user コマンドを使用すると、現在ログインしているユーザの ID を表示します。
コマンド モード
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
show user コマンドを使用して、現在ログインしているユーザに関連付けられたすべてのユーザ グループおよびタスク ID を表示します。
タスク ID
| タスク ID |
動作 |
|---|---|
| none |
— |
例
次に、show user コマンドによる、認証方式パラメータを表示する出力の例を示します。
RP/0/RP0/CPU0:router# show user authentication method
local
次に、show user コマンドによる、グループを表示する出力の例を示します。
RP/0/RP0/CPU0:router# show user group
root-system
次に、show user コマンドによる、グループとタスクに関するすべての情報を表示する出力の例を示します。
RP/0/RP0/CPU0:router# show user all Username: lab Groups: root-system Authenticated using method local User lab has the following Task ID(s): Task: aaa : READ WRITE EXECUTE DEBUG Task: aaa : READ WRITE EXECUTE DEBUG Task: acl : READ WRITE EXECUTE DEBUG Task: admin : READ WRITE EXECUTE DEBUG Task: atm : READ WRITE EXECUTE DEBUG Task: basic-services : READ WRITE EXECUTE DEBUG Task: bcdl : READ WRITE EXECUTE DEBUG Task: bfd : READ WRITE EXECUTE DEBUG Task: bgp : READ WRITE EXECUTE DEBUG Task: boot : READ WRITE EXECUTE DEBUG Task: bundle : READ WRITE EXECUTE DEBUG Task: cdp : READ WRITE EXECUTE DEBUG Task: cef : READ WRITE EXECUTE DEBUG Task: config-mgmt : READ WRITE EXECUTE DEBUG Task: config-services : READ WRITE EXECUTE DEBUG Task: crypto : READ WRITE EXECUTE DEBUG Task: diag : READ WRITE EXECUTE DEBUG Task: drivers : READ WRITE EXECUTE DEBUG Task: eigrp : READ WRITE EXECUTE DEBUG Task: ext-access : READ WRITE EXECUTE DEBUG Task: fabric : READ WRITE EXECUTE DEBUG Task: fault-mgr : READ WRITE EXECUTE DEBUG Task: filesystem : READ WRITE EXECUTE DEBUG Task: firewall : READ WRITE EXECUTE DEBUG Task: fr : READ WRITE EXECUTE DEBUG Task: hdlc : READ WRITE EXECUTE DEBUG Task: host-services : READ WRITE EXECUTE DEBUG Task: hsrp : READ WRITE EXECUTE DEBUG Task: interface : READ WRITE EXECUTE DEBUG Task: inventory : READ WRITE EXECUTE DEBUG Task: ip-services : READ WRITE EXECUTE DEBUG Task: ipv4 : READ WRITE EXECUTE DEBUG Task: ipv6 : READ WRITE EXECUTE DEBUG Task: isis : READ WRITE EXECUTE DEBUG Task: logging : READ WRITE EXECUTE DEBUG Task: lpts : READ WRITE EXECUTE DEBUG Task: monitor : READ WRITE EXECUTE DEBUG Task: mpls-ldp : READ WRITE EXECUTE DEBUG Task: mpls-static : READ WRITE EXECUTE DEBUG Task: mpls-te : READ WRITE EXECUTE DEBUG Task: multicast : READ WRITE EXECUTE DEBUG Task: netflow : READ WRITE EXECUTE DEBUG Task: network : READ WRITE EXECUTE DEBUG Task: ospf : READ WRITE EXECUTE DEBUG Task: ouni : READ WRITE EXECUTE DEBUG Task: pkg-mgmt : READ WRITE EXECUTE DEBUG Task: ppp : READ WRITE EXECUTE DEBUG Task: qos : READ WRITE EXECUTE DEBUG Task: rib : READ WRITE EXECUTE DEBUG Task: rip : READ WRITE EXECUTE DEBUG Task: root-lr : READ WRITE EXECUTE DEBUG (reserved) Task: root-system : READ WRITE EXECUTE DEBUG (reserved) Task: route-map : READ WRITE EXECUTE DEBUG Task: route-policy : READ WRITE EXECUTE DEBUG Task: sbc : READ WRITE EXECUTE DEBUG Task: snmp : READ WRITE EXECUTE DEBUG Task: sonet-sdh : READ WRITE EXECUTE DEBUG Task: static : READ WRITE EXECUTE DEBUG Task: sysmgr : READ WRITE EXECUTE DEBUG Task: system : READ WRITE EXECUTE DEBUG Task: transport : READ WRITE EXECUTE DEBUG Task: tty-access : READ WRITE EXECUTE DEBUG Task: tunnel : READ WRITE EXECUTE DEBUG Task: universal : READ WRITE EXECUTE DEBUG (reserved) Task: vlan : READ WRITE EXECUTE DEBUG Task: vrrp : READ WRITE EXECUTE DEBUG
次に、show user コマンドによる、タスクを表示し、予約されるタスクを示した出力の例を示します。
RP/0/RP0/CPU0:router# show user tasks Task: aaa : READ WRITE EXECUTE DEBUG Task: aaa : READ WRITE EXECUTE DEBUG Task: acl : READ WRITE EXECUTE DEBUG Task: admin : READ WRITE EXECUTE DEBUG Task: atm : READ WRITE EXECUTE DEBUG Task: basic-services : READ WRITE EXECUTE DEBUG Task: bcdl : READ WRITE EXECUTE DEBUG Task: bfd : READ WRITE EXECUTE DEBUG Task: bgp : READ WRITE EXECUTE DEBUG Task: boot : READ WRITE EXECUTE DEBUG Task: bundle : READ WRITE EXECUTE DEBUG Task: cdp : READ WRITE EXECUTE DEBUG Task: cef : READ WRITE EXECUTE DEBUG Task: config-mgmt : READ WRITE EXECUTE DEBUG Task: config-services : READ WRITE EXECUTE DEBUG Task: crypto : READ WRITE EXECUTE DEBUG Task: diag : READ WRITE EXECUTE DEBUG Task: drivers : READ WRITE EXECUTE DEBUG Task: eigrp : READ WRITE EXECUTE DEBUG Task: ext-access : READ WRITE EXECUTE DEBUG Task: fabric : READ WRITE EXECUTE DEBUG Task: fault-mgr : READ WRITE EXECUTE DEBUG Task: filesystem : READ WRITE EXECUTE DEBUG Task: firewall : READ WRITE EXECUTE DEBUG Task: fr : READ WRITE EXECUTE DEBUG Task: hdlc : READ WRITE EXECUTE DEBUG Task: host-services : READ WRITE EXECUTE DEBUG Task: hsrp : READ WRITE EXECUTE DEBUG Task: interface : READ WRITE EXECUTE DEBUG Task: inventory : READ WRITE EXECUTE DEBUG Task: ip-services : READ WRITE EXECUTE DEBUG Task: ipv4 : READ WRITE EXECUTE DEBUG Task: ipv6 : READ WRITE EXECUTE DEBUG Task: isis : READ WRITE EXECUTE DEBUG Task: logging : READ WRITE EXECUTE DEBUG Task: lpts : READ WRITE EXECUTE DEBUG Task: monitor : READ WRITE EXECUTE DEBUG Task: mpls-ldp : READ WRITE EXECUTE DEBUG Task: mpls-static : READ WRITE EXECUTE DEBUG Task: mpls-te : READ WRITE EXECUTE DEBUG Task: multicast : READ WRITE EXECUTE DEBUG Task: netflow : READ WRITE EXECUTE DEBUG Task: network : READ WRITE EXECUTE DEBUG Task: ospf : READ WRITE EXECUTE DEBUG Task: ouni : READ WRITE EXECUTE DEBUG Task: pkg-mgmt : READ WRITE EXECUTE DEBUG Task: ppp : READ WRITE EXECUTE DEBUG Task: qos : READ WRITE EXECUTE DEBUG Task: rib : READ WRITE EXECUTE DEBUG Task: rip : READ WRITE EXECUTE DEBUG Task: root-lr : READ WRITE EXECUTE DEBUG (reserved) Task: root-system : READ WRITE EXECUTE DEBUG (reserved) Task: route-map : READ WRITE EXECUTE DEBUG Task: route-policy : READ WRITE EXECUTE DEBUG Task: sbc : READ WRITE EXECUTE DEBUG Task: snmp : READ WRITE EXECUTE DEBUG Task: sonet-sdh : READ WRITE EXECUTE DEBUG Task: static : READ WRITE EXECUTE DEBUG Task: sysmgr : READ WRITE EXECUTE DEBUG Task: system : READ WRITE EXECUTE DEBUG Task: transport : READ WRITE EXECUTE DEBUG Task: tty-access : READ WRITE EXECUTE DEBUG Task: tunnel : READ WRITE EXECUTE DEBUG Task: universal : READ WRITE EXECUTE DEBUG (reserved) Task: vlan : READ WRITE EXECUTE DEBUG Task: vrrp : READ WRITE EXECUTE DEBUG
show aaa user-group
AAA サブシステムのユーザ グループ情報を表示するには、 システム管理 EXEC モードで show aaa user-group コマンドを使用します。システム管理 VM に group aaa-r または root-system が必要です。
show aaa user-group
構文の説明
このコマンドにはキーワードまたは引数はありません。
コマンド デフォルト
なし
コマンド モード
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
このコマンドの使用に影響する特定のガイドラインはありません。
タスク ID
| タスク ID | 動作 |
|---|---|
| aaa |
読み取り |
例
次に、show aaa user-group コマンドによる出力例を示します。
sysadmin-vm:0_RP0#show aaa user-group
Mon Nov 3 13:39:33.380 UTC
User group : root-system
sysadmin-vm:0_RP0#
show tech-support aaa
AAA のデバッグ ファイルおよびトレース ファイルを システム管理 VM から取得するには、 システム管理 EXEC モードで show tech-support aaa コマンドを使用します。
show tech-support aaa
構文の説明
このコマンドにはキーワードまたは引数はありません。
コマンド デフォルト
なし
コマンド モード
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
このコマンドの使用に影響する特定のガイドラインはありません。
タスク ID
| タスク ID | 動作 |
|---|---|
| aaa |
読み取り |
例
次に、show tech-support aaa コマンドによる出力の例を示します。
sysadmin-vm:0_RP0#show tech-support aaa Mon Nov 3 13:39:33.380 UTC Fri Oct 24 07:22:15.740 UTC ++ Show tech start time: 2014-Oct-24.072216.UTC ++ Waiting for gathering to complete /opt/cisco/calvados/script/show_tech_aaa: line 27: rse: command not found . Compressing show tech output Show tech output available at /misc/disk1//showtech-aaa-admin-2014-Nov-04.082457.UTC.tgz Please collect show tech-support ctrace in addition to any sysadmin show-tech-support collection ++ Show tech end time: 2014-Nov-04.UTC ++ sysadmin-vm:0_RP0#
single-connection
単一の TCP 接続を介したこのサーバへのすべての TACACS+ 要求を多重化するには、TACACS ホスト コンフィギュレーション モードで single-connection コマンドを使用します。個別の接続を使用する新たなセッションすべてに対して単一の TCP 接続をディセーブルにするには、このコマンドの no を使用します。
single-connection
no single-connection
構文の説明
このコマンドにはキーワードまたは引数はありません。
コマンド デフォルト
デフォルトでは、セッションごとに別個の接続が使用されます。
コマンド モード
TACACS ホスト コンフィギュレーション
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
single-connection では、サーバへの要求の送信に複数の TCP 接続を使用した場合に可能な数よりも多くの TACACS 操作をTACACS+ サーバで処理することができます。
この機能をイネーブルにするには、使用されている TACACS+ サーバが単一接続モードをサポートしている必要があります。それ以外の場合はネットワーク アクセス サーバと TACACS+ サーバ間の接続がロックアップするか、非認証のエラーが発生します。
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り、書き込み |
例
次に、TACACS+ サーバ(IP アドレス 209.165.200.226)との単一の TCP 接続を設定し、すべての認証、許可、アカウンティング要求でこの TCP 接続が使用されるようにする例を示します。この設定は、TACACS+ サーバも単一接続モードで設定されている場合に限り機能します。TACACS+ サーバを単一接続モードで設定する方法については、各サーバのマニュアルを参照してください。
RP/0/RP0/CPU0:router(config)# tacacs-server host 209.165.200.226 RP/0/RP0/CPU0:router(config-tacacs-host)# single-connection
tacacs-server host
TACACS+ ホスト サーバを指定するには、 XR コンフィギュレーション モードで tacacs-server host コマンドを使用します。指定した名前またはアドレスを削除するには、このコマンドの no 形式を使用します。
tacacs-server host host-name [ port port-number ] [ timeout seconds ] [ key [ 0 | 7 ] auth-key ] [single-connection]
no tacacs-server host host-name [ port port-number ]
構文の説明
| host-name |
TACACS+ サーバのホスト名またはドメイン名または IP アドレス。 |
| portport-number |
(任意)サーバのポート番号を指定します。この設定によって、デフォルトのポート 49 は上書きされます。有効なポート番号の範囲は 1 ~ 65535 です。 |
| timeoutseconds |
(任意)認証、許可、アカウンティング(AAA)サーバが TACACS+ サーバからの応答を待機する時間の長さを設定するタイムアウト値を指定します。このオプションは、このサーバのみに対して tacacs-server timeout コマンドで設定されたグローバル タイムアウト値を上書きします。有効なタイムアウトの範囲は、1 ~ 1000 秒です。デフォルトは 5 です。 注:このパラメータは config-tacacs-host サブモードでのみ使用できます。 |
| key[0 | 7] auth-key |
(任意)AAA サーバと TACACS+ サーバ間で共有される認証および暗号キーを指定します。TACACS+ パケットは、このキーを使って暗号化されます。このキーは TACACS+ デーモンで使用されるキーと一致する必要があります。このキーを指定すると、このサーバに対して tacacs-server key コマンドで設定されたキーのみが上書きされます。 (任意)0 を入力することにより、暗号化されていない(クリアテキスト)キーが続くことを指定します。 (任意)7 を入力することにより、暗号化されたキーが続くことを指定します。 auth-key 引数は、AAA サーバと TACACS+ サーバ間に暗号化されていないキーを指定します。 注:このパラメータは config-tacacs-host サブモードでのみ使用できます。 |
| single-connection |
(任意)単一の TCP 接続を介してこのサーバにすべての TACACS+ 要求を多重送信します。デフォルトでは、セッションごとに別個の接続が使用されます。 注:このパラメータは config-tacacs-host サブモードでのみ使用できます。 |
コマンド デフォルト
TACACS+ ホストは指定されません。
port-name 引数を指定しない場合は、デフォルトで標準ポート 49 が設定されます。
seconds 引数を指定しない場合は、デフォルトで 5 秒に設定されます。
コマンド モード
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
複数の tacacs-server host コマンドを使用して、追加するホストを指定できます。Cisco IOS XR ソフトウェアでは、指定の順序でホストが検索されます。
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り、書き込み |
例
次に、IP アドレス 209.165.200.226 の TACACS+ ホストを指定する例を示します。
RP/0/RP0/CPU0:router(config)# tacacs-server host 209.165.200.226 RP/0/RP0/CPU0:router(config-tacacs-host)#
次に、tacacs-server host によるデフォルト値が show run コマンドによって表示される例を示します。
RP/0/RP0/CPU0:router# show run
Building configuration...
!! Last configuration change at 13:51:56 UTC Mon Nov 14 2005 by lab
!
tacacs-server host 209.165.200.226 port 49
timeout 5
!
次に、ルータがポート番号 51 の TACACS+ サーバ ホスト host1 を参照するように指定する例を示します。この接続における要求のタイムアウト値は 30 秒で、暗号キーは a_secret です。
RP/0/RP0/CPU0:router(config)# tacacs-server host host1 port 51 RP/0/RP0/CPU0:router(config-tacacs-host)# timeout 30 RP/0/RP0/CPU0:router(config-tacacs-host)# key a_secret
tacacs-server key
ルータとTACACS+ デーモン間のすべての TACACS+ 通信に使用する認証暗号キーを設定するには、 XR コンフィギュレーション モードで tacacs-server key コマンドを使用します。キーをディセーブルにするには、このコマンドの no 形式を使用します。
tacacs-server key { 0 clear-text-key | 7 encrypted-key | auth-key }
no tacacs-server key { 0 clear-text-key | 7 encrypted-key | auth-key }
構文の説明
| 0clear-text-key |
暗号化されていない(クリアテキスト)共有キーを指定します。 |
| 7encrypted-key |
暗号化共有キーを指定します。 |
| auth-key |
AAA サーバと TACACS+ サーバ間の暗号化されていないキーを指定します。 |
コマンド デフォルト
なし
コマンド モード
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
入力するキー名は、TACACS+ デーモンで使用するキーと一致する必要があります。キー名は、個別にキーが指定されていないすべてのサーバに適用されます。すべての先頭のスペースは無視されますが、キーの中と後続のスペースは使用されます。キーにスペースを使用する場合、引用符をキーに含める場合を除き、引用符でキーを囲まないでください。
キー名は、次のガイドラインに沿っている場合に限り有効です。
TACACS サーバ キーは、個々の TACACS サーバにキーが設定されていない場合に限り使用されます。個々の TACACS サーバにキーを設定すると、このグローバルなキー設定は常に上書きされます。
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り、書き込み |
例
次に、認証および暗号キーを key1 に設定する例を示します。
RP/0/RP0/CPU0:router(config)# tacacs-server key key1
tacacs-server timeout
サーバ ホストの応答をサーバが待機するインターバルを設定するには、 XR コンフィギュレーション モードで tacacs-server timeout コマンドを使用します。デフォルトに戻すには、このコマンドの no 形式を使用します。
tacacs-server timeout seconds
no tacacs-server timeout seconds
構文の説明
| seconds |
タイムアウトの間隔(秒単位)を指定する 1 ~ 1000 の整数です。 |
コマンド デフォルト
5 秒
コマンド モード
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
この TACACS+ サーバのタイムアウトは、個々の TACACS+ サーバにタイムアウトが設定されていない場合に限り使用されます。個々の TACACS+ サーバにタイムアウトの間隔が設定されている場合は常に、このグローバルなタイムアウト設定が上書きされます。
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り、書き込み |
例
次に、インターバル タイマーを 10 秒に変更する例を示します。
RP/0/RP0/CPU0:router(config)# tacacs-server timeout 10
tacacs-server ipv4
IP ヘッダーのタイプ オブ サービス(ToS)バイトの最初の 6 ビットで表される DiffServ コード ポイント(DSCP)を設定するには、 XR コンフィギュレーション モードで tacacs-server ipv4 コマンドを使用します。
tacacs-server ipv4 dscp dscp-value
構文の説明
コマンド デフォルト
なし
コマンド モード
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
このコマンドの使用に影響する特定のガイドラインはありません。
タスク ID
| タスク ID | 動作 |
|---|---|
| aaa |
読み取り、書き込み |
例
次に、DSCP 値を相対的優先転送(AF)11 に設定する例を示します。
RP/0/RSP0/CPU0:router(config)# tacacs-server ipv4 dscp af11
tacacs source-interface
すべての発信 TACACS+ パケットに選択したインターフェイスの送信元 IP アドレスを指定するには、 XR コンフィギュレーション モードで tacacs source-interface コマンドを使用します。指定したインターフェイスの IP アドレスをディセーブルにするには、このコマンドの no 形式を使用します。
tacacs source-interface type path-id [ vrf vrf-id ]
no tacacs source-interface type path-id
構文の説明
コマンド デフォルト
特定のソース インターフェイスが設定されていない場合、インターフェイスがダウン状態にある場合、またはインターフェイスに IP アドレスが設定されていない場合は、IP アドレスが自動的に選択されます。
コマンド モード
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
tacacs source-interface コマンドを使用して、指定したインターフェイスの IP アドレスをすべての発信 TACACS+ パケットに設定します。インターフェイスが起動状態にある間は、このアドレスが使用されます。このように、TACACS+ サーバでは IP アドレスのリストを保持する代わりに、ネットワーク アクセス クライアントに関連付けられた 1 つの IP アドレス エントリを使用できます。
特に、ルータに多数のインターフェイスがあり、特定のルータからのすべての TACACS+ パケットに同一の IP アドレスが含まれるようにする場合は、このコマンドが役立ちます。
指定したインターフェイスに IP アドレスがない、または指定したインターフェイスがダウン状態のときは、TACACS+ は送信元インターフェイスの設定が使用されていない場合と同様に動作します。
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り、書き込み |
例
次に、すべての発信 TACACS+ パケットに指定するインターフェイスの IP アドレスを設定する例を示します。
RP/0/RP0/CPU0:router# configure RP/0/RP0/CPU0:router(config)# tacacs source-interface TenGigabitEthernet 0/0/0/29 vrf abc
task
タスク ID をタスク グループに追加するには、タスク グループ コンフィギュレーション モードで task コマンドを使用します。タスク ID をタスク グループから削除するには、このコマンドの no 形式を使用します。
task { read | write | execute | debug } taskid-name
no task { read | write | execute | debug } taskid-name
構文の説明
| read |
名前付きタスク ID に対して読み取り専用特権をイネーブルにします。 |
| write |
名前付きタスク ID に対して書き込み特権をイネーブルにします。「write」という用語には read の意も含まれます。 |
| execute |
名前付きタスク ID に対して実行特権をイネーブルにします。 |
| debug |
名前付きタスク ID に対してデバッグ特権をイネーブルにします。 |
| taskid-name |
タスク ID の名前です。 |
コマンド デフォルト
新しく作成したタスク グループには、タスク ID は割り当てられません。
コマンド モード
タスク グループ コンフィギュレーション
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
タスク グループ コンフィギュレーション モードで task コマンドを使用します。タスク グループ コンフィギュレーション モードにアクセスするには、グローバル コンフィギュレーション モードで taskgroup コマンドを使用します。
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り、書き込み |
例
次に、config-services タスク ID に対して実行特権をイネーブルにし、そのタスク ID をタスク グループ taskgroup1 に関連付ける例を示します。
RP/0/RP0/CPU0:router# configure RP/0/RP0/CPU0:router(config)# taskgroup taskgroup1 RP/0/RP0/CPU0:router(config-tg)# task execute config-services
taskgroup
タスク グループを一連のタスク ID と関連付けてタスク グループ コンフィギュレーション モードを開始するように設定するには、 XR コンフィギュレーション モードで taskgroup コマンドを使用します。タスク グループを削除するには、このコマンドの no 形式を使用します。
taskgroup taskgroup-name [ description string | task { read | write | execute | debug } taskid-name | inherit taskgroup taskgroup-name ]
no taskgroup taskgroup-name
構文の説明
| taskgroup-name |
特定のタスク グループの名前です。 |
| description |
(任意)名前付きタスク グループの説明を作成できます。 |
| string |
(任意)タスク グループの説明に使用する文字列です。 |
| task |
(任意)タスク ID が名前付きタスク グループに関連付けられることを指定します。 |
| read |
(任意)名前付きタスク ID で読み取りアクセスだけが許可されることを指定します。 |
| write |
(任意)名前付きタスク ID で読み取りおよび書き込みアクセスだけが許可されることを指定します。 |
| execute |
(任意)名前付きタスク ID で実行アクセスが許可されることを指定します。 |
| debug |
(任意)名前付きタスク ID でデバッグ アクセスだけが許可されることを指定します。 |
| taskid-name |
(任意)タスクの名前:タスク ID です。 |
| inherit taskgroup |
(任意)名前付きタスク グループからアクセス許可をコピーします。 |
| taskgroup-name |
(任意)アクセス許可を継承する元のタスク グループの名前です。 |
コマンド デフォルト
デフォルトでは、事前定義された 5 つのユーザ グループが使用可能になります。
コマンド モード
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
タスク グループには、アクション タイプごとに一連のタスク ID が設定されます。システムでまだ参照されているタスク グループを削除すると、警告が表示され、削除は拒否されます。
グローバル コンフィギュレーション モードから、設定されているすべてのタスク グループを表示できます。ただし、タスク グループ コンフィギュレーション モードでは、設定されているすべてのタスク グループを表示できるとは限りません。
キーワードまたは引数を指定せずに taskgroup コマンドを入力すると、タスク グループ コンフィギュレーション モードが開始されます。このモードでは、description コマンド、inherit コマンド、show コマンド、および task コマンドを使用できます。
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り、書き込み |
例
次に、BGP 読み取りアクセス権をタスク グループ alpha に割り当てる例を示します。
RP/0/RP0/CPU0:router# configure RP/0/RP0/CPU0:router(config)# taskgroup alpha RP/0/RP0/CPU0:router(config-tg)# task read bgp
timeout(TACACS+)
認証、認可、およびアカウンティング(AAA)サーバが TACACS+ サーバからの応答の受信を待機する時間を設定するタイムアウト値を指定するには、TACACS ホスト コンフィギュレーション モードで timeout(TACACS+)コマンドを使用します。このコマンドをディセーブルにし、デフォルトのタイムアウト値の 5 秒に戻すには、このコマンドの no 形式を使用します。
timeout seconds
no timeout seconds
構文の説明
| seconds |
タイムアウト値(秒単位)です。範囲は 1 ~ 1000 です。タイムアウト値が指定されていない場合は、グローバル値が使用されます。 |
コマンド デフォルト
seconds:5
コマンド モード
TACACS ホスト コンフィギュレーション
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
timeout(TACACS+)コマンドは、このサーバのみに対して tacacs-server timeout コマンドで設定されたグローバル タイムアウト値を上書きします。
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り、書き込み |
例
次に、タイムアウト値の秒数を設定する例を示します。
RP/0/RP0/CPU0:router(config)# tacacs-server host 209.165.200.226 RP/0/RP0/CPU0:router(config-tacacs-host)# timeout 500
timeout login response
ログインへの応答をサーバが待機するインターバルを設定するには、回線テンプレート コンフィギュレーション モードで timeout login response コマンドを使用します。デフォルトに戻すには、このコマンドの no 形式を使用します。
timeout login response seconds
no timeout login response seconds
構文の説明
| seconds |
タイムアウトの間隔(秒単位)を指定する 0 ~ 300 の整数です。 |
コマンド デフォルト
seconds:30
コマンド モード
回線テンプレート コンフィギュレーション
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
ライン テンプレート コンフィギュレーション モードで timeout login response コマンドを使用してタイムアウト値を設定します。このタイムアウト値は、入力した回線テンプレートが適用されるすべての端末回線に適用されます。このタイムアウト値は、コンソール回線にも適用できます。タイムアウト値の時間が経過すると、ユーザに再びプロンプトが表示されます。再試行は 3 回まで可能です。
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り、書き込み |
例
次に、インターバル タイマーを 20 秒に変更する例を示します。
RP/0/RP0/CPU0:router# configure RP/0/RP0/CPU0:router(config)# line template alpha RP/0/RP0/CPU0:router(config-line)# timeout login response 20
usergroup
ユーザ グループを一連のタスク グループと関連付けてユーザ グループ コンフィギュレーション モードを開始するように設定するには、 XR コンフィギュレーション モードで usergroup コマンドを使用します。ユーザ グループを削除する、または指定したユーザ グループとのタスク グループの関連付けを削除するには、このコマンドの no 形式を使用します。
usergroup usergroup-name
no usergroup usergroup-name
構文の説明
| usergroup-name |
ユーザ グループの名前です。usergroup-name 引数には 1 つの単語だけが使用できます。スペースと引用符は使用できません。 |
コマンド デフォルト
デフォルトでは、事前定義された 5 つのユーザ グループが使用可能になります。
コマンド モード
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
ユーザ グループは、タスク グループなど一連のユーザに対するコマンド パラメータによって設定されます。特定のユーザ グループを削除するには、usergroup コマンドの no 形式を使用します。ユーザ グループ自体を削除するには、このコマンドをパラメータなしの no 形式で実行します。システムでまだ参照されているユーザ グループを削除すると、警告が表示され、削除は拒否されます。
別のユーザ グループからアクセス権をコピーするには、inherit usergroupコマンドを使用します。ユーザ グループは親グループに継承され、これらのグループに指定されているすべてのタスク ID の集合を形成します。循環インクルードは検出され、拒否されます。ユーザ グループは事前に設定された root-system や owner-sdr などのグループからプロパティを継承できません。
グローバル コンフィギュレーション モードから、設定されているすべてのユーザ グループを表示できます。ただし、ユーザグループ コンフィギュレーション モードでは、設定されているすべてのユーザ グループを表示できるとは限りません。
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り、書き込み |
例
次に、ユーザ グループ beta からユーザ グループ alpha にアクセス権を追加する例を示します。
RP/0/RP0/CPU0:router# configure RP/0/RP0/CPU0:router(config)# usergroup alpha RP/0/RP0/CPU0:router(config-ug)# inherit usergroup beta
username
ユーザ名を使用して新しいユーザを設定し、パスワードを設定し、ユーザにアクセス許可を付与し、ユーザ名コンフィギュレーション モードを開始するには、 XR コンフィギュレーション モードまたは システム管理コンフィギュレーション モードで username コマンドを使用します。ユーザをデータベースから削除するには、このコマンドの no 形式を使用します。
username user-name [ password { [0] | 7 } password | secret { [0] | 5 } password | group usergroup-name ]
no username user-name [ password { 0 | 7 } password | secret { 0 | 5 } password | group usergroup-name ]
構文の説明
| user-name |
ユーザ名。user-name 引数には 1 つの単語のみを使用できます。スペースと引用符は使用できません。 |
| password |
(任意)名前付きユーザにパスワードを作成できます。 |
| 0 |
(任意)暗号化されていない(クリアテキスト)パスワードが続くことを指定します。シスコ独自の暗号化アルゴリズムを使用した設定では、パスワードは保存用に暗号化されます。 |
| 7 |
(任意)暗号化パスワードが続くことを指定します。 |
| password |
(任意)ユーザがログインするために入力する、暗号化されていないパスワード テキスト(たとえば、「lab」)を指定します。暗号化が設定されている場合、パスワードはユーザに表示されません。 最長で 253 文字まで入力できます。 |
| secret |
(任意)名前付きユーザに対して、MD5 で保護されたパスワードを作成できます。 |
| 0 |
(任意)暗号化されていない(クリアテキスト)パスワードが続くことを指定します。MD5 暗号化アルゴリズムを使用した設定では、パスワードは保存用に暗号化されます。 |
| 5 |
(任意)暗号化パスワードが続くことを指定します。 |
| group |
(任意)名前付きユーザをユーザ グループに関連付けることができます。 |
| usergroup-name |
(任意)usergroup コマンドで定義したユーザ グループの名前。 |
コマンド デフォルト
システムにユーザ名は定義されません。
コマンド モード
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
(注) |
1 人のユーザが、単独のグループとしてシスコ サポート特権を持つことはできません。 |
username コマンドを使用して、ユーザを識別し、ユーザ名コンフィギュレーション モードを開始します。パスワードとグループの割り当ては XR コンフィギュレーション モードまたはユーザ名コンフィギュレーション サブモードのいずれかより行えます。アクセス権(タスク ID)を割り当てるには、定義されている 1 つまたは複数のユーザ グループにユーザを関連付けます。
XR コンフィギュレーション モードから、設定されているすべてのユーザ名を表示できます。ただし、ユーザ名コンフィギュレーション モードで設定されているすべてのユーザ名を表示できるとは限りません。
各ユーザは、管理ドメイン内で一意のユーザ名によって識別されます。各ユーザは、少なくとも 1 つのユーザ グループのメンバーであることが必要です。ユーザ グループを削除すると、そのグループに関連付けられたユーザが孤立する場合があります。AAA サーバでは孤立したユーザも認証されますが、ほとんどのコマンドは許可されません。
username コマンドは、デフォルトでローカル ログイン認証用の特定のユーザに関連付けられています。または、TACACS+ ログイン認証用に TACACS+ サーバのデータベースにユーザとパスワードを設定できます。詳細については、aaa authentication(XR-VM)コマンドの説明を参照してください。
事前定義された root-system グループは、管理の設定時に root-system ユーザだけが指定できます。
(注) |
ローカル ネットワーク デバイスをイネーブルにし、リモートの Challenge Handshake Authentication Protocol(CHAP)のチャレンジに応答するには、username コマンドの 1 つのエントリが、他のネットワーク デバイスにすでに関連付けられているホスト名エントリと同じである必要があります。 |
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り、書き込み |
例
次に、username コマンドの実行後に使用できるコマンドの例を示します。
RP/0/RP0/CPU0:router# config RP/0/RP0/CPU0:router(config)# username user1 RP/0/RP0/CPU0:router(config-un)# ?
| clear | コミットされていない設定をクリアします。 |
| commit | 設定変更を実行コンフィギュレーションにコミットします。 |
| describe | 実際に処理を行わず、コマンドについて説明します。 |
| do | exec コマンドを実行します。 |
| exit | このサブモードを終了 |
| group | このユーザがメンバであるユーザ グループです。 |
| no | コマンドを無効にするか、またはデフォルト値を設定します。 |
| password | このユーザのパスワードを指定します。 |
| pwd | 現在のサブモードを開始するために使用するコマンドです。 |
| root | XR コンフィギュレーション モードに戻ります。 |
| secret | このユーザの安全なパスワードを指定します。 |
| show | 設定内容を表示します。 |
RP/0/RSP0/CPU0:router(config-un)#
次に、クリアテキストのパスワード password1 をユーザ名 user1 に対して設定する例を示します。
RP/0/RP0/CPU0:router# configure RP/0/RP0/CPU0:router(config)# username user1 RP/0/RP0/CPU0:router(config-un)# password 0 password1
次に、管理コンフィギュレーション モードでユーザ user1 に MD5 セキュア シークレットを設定する例を示します。
RP/0/RP0/CPU0:P1(admin-config)# username user1 RP/0/RP0/CPU0:P1(admin-config-un)# secret 0 lab RP/0/RP0/CPU0:P1(admin-config-un)# commit RP/0/RP0/CPU0:May 6 13:06:43.205 : config[65723]: %MGBL-CONFIG-6-DB_COMMIT_ADMIN : Configuration committed by user 'cisco'. Use 'show configuration commit changes 2000000005' to view the changes. RP/0/RP0/CPU0:P1(admin-config-un)# exit RP/0/RP0/CPU0:P1(admin-config)# show run username username user1 secret 5 $1$QB03$3H29k3ZT.0PMQ8GQQKXCF0 !
users group
ユーザ グループとその特権を回線と関連付けるには、回線テンプレート コンフィギュレーション モードで users group コマンドを使用します。ユーザ グループと回線との関連付けを削除するには、このコマンドの no 形式を使用します。
users group { usergroup-name | cisco-support | netadmin | operator | root-lr | root-system | sysadmin }
no users group { usergroup-name | cisco-support | netadmin | operator | root-lr | root-system | serviceadmin | sysadmin }
構文の説明
| usergroup-name |
ユーザ グループの名前です。usergroup-name 引数には 1 つの単語だけが使用できます。スペースと引用符は使用できません。 |
| cisco-support |
その回線を介してログインしているユーザにシスコ サポート担当者の特権を与えることを指定します。 |
| netadmin |
その回線を介してログインしているユーザにネットワーク管理者の特権を与えることを指定します。 |
| operator |
その回線を介してログインしているユーザにオペレータの特権を与えることを指定します。 |
| root-lr |
その回線を介してログインしているユーザにルート論理ルータ(LR)の特権を与えることを指定します。 |
| root-system |
その回線を介してログインしているユーザにルート システムの特権を与えることを指定します。 |
| serviceadmin |
その回線を介してログインしているユーザにサービス管理者グループの特権を与えることを指定します。 |
| sysadmin |
その回線を介してログインしているユーザにシステム管理者の特権を与えることを指定します。 |
コマンド デフォルト
なし
コマンド モード
回線テンプレート コンフィギュレーション
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
users group コマンドを使用して、ユーザ グループとその特権を回線と関連付けできるようにします。つまり、回線を通じてログインするユーザには特定のユーザ グループの特権が付与されます。
タスク ID
| タスク ID |
動作 |
|---|---|
| aaa |
読み取り、書き込み |
例
次の例では、回線テンプレート vty を使って vty-pool が作成された場合、vty を介してログインしているユーザにオペレータの特権が与えられます。
RP/0/RP0/CPU0:router# configure RP/0/RP0/CPU0:router(config)# aaa authen login vty-authen line RP/0/RP0/CPU0:router(config)# commit RP/0/RP0/CPU0:router(config)# line template vty RP/0/RP0/CPU0:router(config-line)# users group operator RP/0/RP0/CPU0:router(config-line)# login authentication
フィードバック