Cisco IOS ルータにおける AAA
(注) |
バージョン 4.17 以降、Cisco Security Manager は引き続き IOS の機能をサポートしていますが、バグの修正や拡張はサポートしていません。 |
認証、許可、アカウンティング(AAA)ネットワーク セキュリティ サービスは、Cisco IOS ルータのアクセス コントロールを設定する際に使用する主要なフレームワークを提供します。Security Manager で AAA ポリシーを使用すると、Cisco IOS ルータ上の AAA 機能をイネーブルにしたり、デフォルトの AAA 設定を指定したりできます。このポリシーで定義したデフォルト設定は、HTTP や回線アクセス(コンソールと VTY)のポリシーなど、他のポリシーで使用できます。AAA 機能をイネーブルにすることは、NAC、SDP、802.1x などの AAA を利用するデバイス ポリシーの前提条件です。
AAA の詳細については、次を参照してください。
AAA ポリシーの設定については、次を参照してください。
関連項目
サポートされる認可タイプ
AAA 認可を使用すると、認証済みのユーザが利用できるサービスを制限できます。Security Manager では、次のタイプの認可がサポートされます。
-
ネットワーク:PPP、SLIP、ARAP などのさまざまなタイプのネットワーク接続を認可します。
-
EXEC:EXEC(CLI)セッションの起動を認可します。
-
コマンド:特定の権限レベルに関連付けられているすべての EXEC モード コマンドの使用を認可します。
認可を有効にすると、ルータはユーザーのプロファイルから取得した情報を使用してユーザーセッションを設定します。プロファイルは、ローカル ユーザ データベースまたはセキュリティ サーバにあります。ユーザに要求したサービスへのアクセス権が付与されるのは、プロファイルで許可されている場合だけです。
関連項目
サポートされるアカウンティング タイプ
AAA アカウンティングを使用すると、ユーザがアクセスしているサービスとそれらのサービスが消費しているネットワーク リソースの量を追跡できます。Security Manager では、次のアカウンティング タイプがサポートされます。
-
接続:Telnet、Local-Area Transport(LAT; ローカルエリア トランスポート)、TN3270、Packet Assembler/Disassembler(PAD; パケット アセンブラ/ディスアセンブラ)、rlogin 接続など、このデバイスから確立されたすべてのアウトバウンド接続に関する情報を記録します。
たとえば、アウトバウンド Telnet 接続の RADIUS 接続アカウンティング レコードには、Network Access Server(NAS; ネットワーク アクセス サーバ)のポートや IP アドレス、接続の開始時刻と終了時刻、ユーザの ID、セッション中に送信されたパケットの数などの情報が含まれます。
-
EXEC:ユーザ名、日付、開始時刻と終了時刻、NAS の IP アドレスなど、デバイス上のユーザ EXEC(CLI)セッションに関する情報を記録します。ダイヤルイン ユーザの場合、レコードには、コールの発信元の電話番号が含まれます。
-
コマンド:特定の権限レベルを持つユーザがデバイスで実行する EXEC コマンドに関する情報を記録します。各コマンド アカウンティング レコードには、その権限レベルに対して実行されたコマンドのリスト、各コマンドが実行された日時、およびそのコマンドを実行したユーザの名前が含まれます。
アカウンティング タイプごとに、アカウンティング レコードを各ユーザ セッションの開始時と終了時に生成するか、または終了時にだけ生成するかを選択できます。
AAA アカウンティングをイネーブルにすると、ルータはユーザ アクティビティのアカウンティング レコードを TACACS+ または RADIUS セキュリティ サーバに送信します。各アカウンティング レコードにはアカウンティングの Attribute-Value(AV)ペアが含まれ、レコードはセキュリティ サーバに格納されます。このデータをあとでネットワーク管理、クライアント請求、および監査のために分析できます。
関連項目
方式リストについて
方式リストは、特定の AAA 機能を実行するために使用する方式を記述した順序付きリストです。Security Manager では、AAA サーバ グループを選択して方式リストを定義します。AAA サーバ グループは、一般に RADIUS や TACACS+ などの同じプロトコルを実行している 1 つ以上の AAA サーバを含む再利用可能なオブジェクトです。方式リストを使用すると、各 AAA 機能に使用するセキュリティ プロトコルを 1 つ以上指定できるため、最初の方式が失敗した場合のバックアップ システムを確保できます。
(注) |
Security Manager には、イネーブル パスワードまたはローカル データベースを使用するための定義済みの AAA サーバ グループ オブジェクトもあります。定義済みの AAA 認証サーバ グループを参照してください。 |
各 AAA 機能について、デバイスは最初にリストに定義されている最初の方式を使用します。その方式で応答がない場合、デバイスはリスト内の次の方式を選択します。このプロセスは、リスト内の方式との通信に成功するまで、または方式リストに定義されているすべての方式が試されるまで続行されます。
(注) |
デバイスは、前の方式で応答がない場合にだけリスト内の次の方式と通信しようとします。AAA サービスがこのサイクルのある時点で失敗した場合、つまり、セキュリティ サーバまたはローカル ユーザ名データベースの応答でユーザ アクセスまたはサービスが拒否された場合、プロセスは停止し、他の方式は試されません。 |
関連項目
AAA サービスの定義
Cisco IOS ルータで AAA サービスを定義するには、まずルータで AAA 機能をイネーブルにする必要があります。その後、デバイスで実装する機能の種類(認証、許可、アカウンティング)を定義できます。各機能の方式リスト(イネーブルにする認可およびアカウンティングのタイプごとのリストなど)を定義する必要があります。
たとえば、EXEC 認可とコマンド認可を設定する場合は、EXEC 認可用に 1 つの方式リストを定義し、コマンド認可を実行する権限レベルごとに他の方式リストを定義する必要があります。
(注) |
認証に RADIUS を使用する場合は、認可にも同じ RADIUS サーバ グループを使用する必要があります。 |
関連項目
手順
ステップ 1 |
次のいずれかを実行します。
[AAA] ページが表示されます。このページのフィールドの説明については、[AAA] ポリシー ページを参照してください。 |
ステップ 2 |
デバイスにアクセスするユーザに対して使用するログイン認証方式を定義します。 |
ステップ 3 |
(任意)[Maximum Number of Attempts] フィールドで、許可する認証試行の失敗回数の最大数を定義します。その回数を超えると、ユーザはロックアウトされます。 |
ステップ 4 |
(任意)正常に認証されたユーザに対して使用する認可方式を定義します。 |
ステップ 5 |
(任意)ユーザによって実行されるアクティビティに対して使用するアカウンティング方式を定義します。 |