AAA ルールについて
認証、許可、アカウンティング(AAA)ルールを使用すると、IP アドレスではなくユーザ権限に基づいて、ネットワーク リソースへのアクセスを制御できます。AAA ルールは、従来のアクセス ルールとは異なるタイプの制御を実現します。アクセス ルールでは、許可する IP アドレスとサービスを制御できますが、AAA ルールでは、各ユーザの ACL を設定して、ユーザの接続元 IP アドレスに関係なくユーザごとに認可を定義できます(これらのユーザ単位の ACL は、デバイスに定義される AAA ルールではなく、AAA サーバで設定します)。
AAA ルール ポリシーは、デバイスに向けられたトラフィックではなく、デバイスを通過するトラフィックに AAA ルールが適用されることが、他のデバイス プラットフォームの AAA ポリシーとは異なります。AAA ルールを使用すると、ネットワークへの着信とネットワークからの発信を制御できます。このことは、セキュリティ レベルの高いネットワーク セグメントでアクセスを慎重に制御する必要がある場合に役立ちます。AAA ルールは、請求、セキュリティ、またはリソース割り当ての目的でユーザ単位のアカウンティング レコードを維持する必要がある場合にも役立ちます。
AAA ルール ポリシーでは、実際には 3 つの異なるタイプのルールを設定します。これらのルールの設定は、IOS デバイスの場合と ASA、PIX、および FWSM デバイスの場合で大きく異なります。IOS デバイスの場合、これらのポリシーではいわゆる認証プロキシ アドミッション コントロールを定義します。共有 AAA ルールを作成する場合は、これらのデバイス タイプに別々のルールを作成します。AAA ルールで設定できるルール タイプは次のとおりです。
-
認証ルール:認証ルールでは、基本的なユーザ アクセスを制御します。認証ルールを設定した場合、ユーザは、ルールが定義されているデバイスを接続要求が通過するときにログインする必要があります。HTTP、HTTPS、FTP、または Telnet 接続に対して、ユーザにログインを強制できます。ASA、PIX、および FWSM デバイスの場合、その他のタイプのサービスを制御できますが、ユーザは、まずサポートされているいずれかのプロトコルを使用して認証を受ける必要があり、その後、他のタイプのトラフィックが許可されます。
デバイスがこれらのトラフィック タイプを認識できるのは、デフォルト ポート(FTP(21)、Telnet(23)、HTTP(80)、HTTPS(443))上だけです。これらのタイプのトラフィックを他のポートにマッピングすると、ユーザにプロンプトが表示されず、アクセスは失敗します。
-
認可ルール:認証以外に、追加の制御レベルを定義できます。認証では、ユーザが自身を識別することだけが必要となります。認証に成功すると、認可ルールは、AAA サーバにユーザが試行した接続を完了するのに十分な権限を持っているかどうかを問い合わせることができます。認可に失敗した場合、接続はドロップされます。
-
ASA、PIX、および FWSM デバイスの場合は、AAA ルール ポリシーで直接認可ルールを定義します。認証を必要としないトラフィックの認可が必要な場合、認証されていないトラフィックは常にドロップされます。認証に RADIUS サーバを使用する場合、認可は自動的に実行されるため、認可ルールは必要ありません。認可ルールを設定する場合は、TACACS+ サーバを使用する必要があります。
-
IOS デバイスの場合、認可を設定するには、[ファイアウォール(Firewall)] > [設定(Settings)] > [AAA]
ポリシーで認可サーバーグループを設定する必要があります。認可は、認証の対象となる、どのトラフィックに対しても実行されます。TACACS+ または RADIUS サーバを使用できます。
-
-
アカウンティング:認証または認可を設定しない場合でも、アカウンティング ルールを定義できます。認証を設定すると、ユーザごとにアカウンティング レコードが作成されるため、接続を確立した特定のユーザを識別できます。ユーザ認証が実行されない場合、アカウンティング レコードは IP アドレスに基づきます。アカウンティングに TACACS+ または RADIUS サーバを使用できます。
-
ASA、PIX、および FWSM デバイスの場合は、AAA ルール ポリシーで直接アカウンティング ルールを定義します。TCP または UDP プロトコルに対してアカウンティングを実行できます。
-
IOS デバイスの場合、アカウンティングを設定するには、[ファイアウォール(Firewall)] > [設定(Settings)] > [AAA]
ポリシーでアカウンティング サーバー グループを設定する必要があります。アカウンティングは、認証の対象となる、どのトラフィックに対しても実行されます。
-