この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、Cisco NX-OS デバイスで Remote Access Dial-In User Service(RADIUS)プロトコルを設定する手順について説明します。
この章は、次の項で構成されています。
RADIUS 分散クライアント/ サーバ システムを使用すると、不正アクセスからネットワークを保護できます。シスコの実装では、RADIUS クライアントは Cisco NX-OS デバイスで稼働し、すべてのユーザ認証情報およびネットワーク サービス アクセス情報が格納された中央の RADIUS サーバに認証要求およびアカウンティング要求を送信します。
RADIUS は、高度なセキュリティを必要とし、同時にリモート ユーザのネットワーク アクセスを維持する必要があるさまざまなネットワーク環境に実装できます。
RADIUS は、アクセス セキュリティを必要とする次のネットワーク環境で使用します。
RADIUS をサポートしている複数ベンダーのネットワーク デバイスを使用したネットワークたとえば、複数ベンダーのネットワーク デバイスで、単一の RADIUS サーバ ベースのセキュリティ データベースを使用できます。
すでに RADIUS を使用中のネットワーク。RADIUS を使用した Cisco NX-OS デバイスをネットワークに追加できます。この作業は、AAA サーバに移行するときの最初の手順になります。
リソース アカウンティングが必要なネットワーク。RADIUS アカウンティングは、RADIUS 認証または RADIUS 認可とは個別に使用できます。RADIUS アカウンティング機能を使用すると、サービスの開始および終了時に、セッション中に使用したリソース(時間、パケット、バイトなど)の量を示すデータを送信できます。インターネット サービス プロバイダー(ISP)は、RADIUS アクセス コントロールおよびアカウンティング用ソフトウェアのフリーウェア版を使用して、特殊なセキュリティおよび課金ニーズに対応しています。
認証プロファイルをサポートするネットワークネットワークで RADIUS サーバを使用すると、AAA 認証を設定し、ユーザごとのプロファイルをセットアップできます。ユーザごとのプロファイルにより、Cisco NX-OS デバイスは、既存の RADIUS ソリューションを使用してポートを容易に管理できると同時に、共有リソースを効率的に管理してさまざまなサービス レベル契約(SLA)を提供できます。
ユーザが RADIUS を使用して Cisco NX-OS デバイスへのログインおよび認証を試行すると、次のプロセスが実行されます。
ユーザが、ユーザ名とパスワードの入力を求められ、入力します。
ユーザ名および暗号化されたパスワードが、ネットワーク経由で RADIUS サーバに送信されます。
ユーザは、RADIUS サーバから次のいずれかの応答を受信します。
ACCEPT 応答または REJECT 応答には、EXEC 許可またはネットワーク許可に使用される追加データが含まれています。RADIUS 認可を使用するには、まず RADIUS 認証を完了する必要があります。ACCEPT または REJECT パケットに含まれる追加データの内容は次のとおりです。
応答しない RADIUS サーバがあると、AAA 要求の処理が遅れることがあります。AAA 要求の処理時間を節約するために、定期的に RADIUS サーバをモニタリングし、RADIUS サーバが応答を返す(アライブ)かどうかを調べるよう、Cisco NX-OS デバイスを設定できます。Cisco NX-OS デバイスは、応答を返さない RADIUS サーバをデッド(dead)としてマークし、デッド RADIUS サーバには AAA 要求を送信しません。Cisco NX-OS デバイスは定期的にデッド RADIUS サーバをモニタリングし、それらが応答を返したら、アライブ状態に戻します。このモニタリング プロセスでは、実際の AAA 要求が送信される前に、RADIUS サーバが稼働状態であることを確認します。RADIUS サーバの状態がデッドまたはアライブに変わると、簡易ネットワーク管理プロトコル(SNMP)トラップが生成され、Cisco NX-OS デバイスによって、障害が発生したことを知らせるエラー メッセージが表示されます。
(注) | アライブ サーバとデッド サーバのモニタリング間隔は異なります。これらはユーザが設定できます。RADIUS サーバ モニタリングを実行するには、テスト認証要求を RADIUS サーバに送信します。 |
インターネット技術特別調査委員会(IETF)が、ネットワーク アクセス サーバと RADIUS サーバの間での VSA の通信のための方式を規定する標準を作成しています。IETF は属性 26 を使用します。ベンダーは VSA を使用して、一般的な用途には適さない独自の拡張属性をサポートできます。シスコの RADIUS 実装は、この仕様で推奨される形式を使用して、1 つのベンダー固有オプションをサポートしています。シスコのベンダー ID は 9、サポートされるオプションのベンダー タイプは 1(名前付き cisco-av-pair)です。値は次の形式のストリングです。
protocol : attribute separator value *
protocol は、特定の許可タイプを表すシスコの属性です。separator は、必須属性の場合は =(等号)、オプションの属性の場合は *(アスタリスク)です。
Cisco NX-OS デバイスでの認証に RADIUS サーバを使用する場合は、許可情報などのユーザ属性を認証結果とともに返すように、RADIUS サーバに RADIUS プロトコルで指示します。 この許可情報は、VSA で指定されます。
次の VSA プロトコル オプションが、Cisco NX-OS ソフトウェアでサポートされています。
Cisco NX-OS ソフトウェアでは、次の属性がサポートされています。
shell:roles=network-operator network-admin shell:roles*“network-operator network-admin
次に、FreeRADIUS でサポートされるロール属性の例を示します。
Cisco-AVPair = shell:roles=\network-operator network-admin\ Cisco-AVPair = shell:roles*\network-operator network-admin\
(注) | VSA を、shell:roles*"network-operator network-admin" または "shell:roles*\"network-operator network-admin\"" として指定した場合、この VSA はオプション属性としてフラグ設定され、他のシスコ デバイスはこの属性を無視します。 |
製品 |
ライセンス要件 |
---|---|
Cisco NX-OS |
RADIUS にはライセンスは必要ありません。ライセンス パッケージに含まれていない機能は nx-os イメージにバンドルされており、無料で提供されます。Cisco NX-OS ライセンス方式の詳細については、『Cisco NX-OS Licensing Guide』を参照してください。 |
RADIUS には、次の前提条件があります。
RADIUS に関する注意事項と制約事項は次のとおりです。
パラメータ |
デフォルト |
---|---|
サーバの役割 |
認証とアカウンティング |
デッド タイマー間隔 |
0 分 |
再送信回数 |
1 |
再送信タイマー間隔 |
5 秒 |
認証ポート |
1812 |
アカウンティング ポート |
1813 |
アイドル タイマー間隔 |
0 分 |
サーバの定期的モニタリングのユーザ名 |
test |
サーバの定期的モニタリングのパスワード |
test |
ここでは、Cisco NX-OS デバイスで RADIUS サーバを設定する手順を説明します。
(注) | Cisco IOS の CLI に慣れている場合、この機能の Cisco NX-OS コマンドは従来の Cisco IOS コマンドと異なる点があるため注意が必要です。 |
リモートの RADIUS サーバにアクセスするには、RADIUS サーバの IP アドレスまたはホスト名を設定する必要があります。最大 64 の RADIUS サーバを設定できます。
(注) | RADIUS サーバの IP アドレスまたはホスト名を Cisco NX-OS デバイスに設定するとき、デフォルトでは RADIUS サーバはデフォルトの RADIUS サーバ グループに追加されます。RADIUS サーバを別の RADIUS サーバ グループに追加することもできます。 |
サーバがすでにサーバ グループのメンバーとして設定されていることを確認します。
サーバが RADIUS トラフィックを認証するよう設定されていることを確認します。
Cisco NX-OS デバイスが、AAA サーバの RADIUS クライアントとして設定されていること。
1.
configure terminal
2.
radius-server host {ipv4-address | ipv6-address | hostname}
3.
(任意) show radius {pending | pending-diff}
4.
(任意) radius commit
5.
exit
6.
(任意) show radius-server
7.
(任意) copy running-config startup-config
Cisco NX-OS デバイスで使用するすべてのサーバの RADIUS キーを設定できます。RADIUS キーとは、Cisco NX-OS デバイスと TACACS+ サーバ ホスト間の共有秘密テキスト ストリングです。
リモート RADIUS サーバの RADIUS キーの値を取得します。
リモート RADIUS サーバに RADIUS キーを設定します。
1.
configure terminal
2.
radius-server key [0 |6 |7] key-value
3.
exit
4.
(任意) show radius-server
5.
(任意) copy running-config startup-config
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 | ||
ステップ 2 | radius-server key [0 |6 |7] key-value
例: switch(config)# radius-server key 0 QsEfThUkO 例: switch(config)# radius-server key 7 "fewhg” |
すべての RADIUS サーバ用の RADIUS キーを指定します。key-value がクリア テキスト(0)の形式か、タイプ 6 暗号化(6)形式か、タイプ 7 暗号化(7)形式かを指定できます。Cisco NX-OS ソフトウェアでは、実行コンフィギュレーションに保存する前にクリア テキストのキーを暗号化します。デフォルトの形式はクリア テキストです。最大で 63 文字です。 デフォルトでは、RADIUS キーは設定されません。
| ||
ステップ 3 | exit 例: switch(config)# exit switch# |
設定モードを終了します。 | ||
ステップ 4 | show radius-server
例: switch# show radius-server | (任意)
RADIUS サーバの設定を表示します。
| ||
ステップ 5 | copy running-config startup-config 例: switch# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
Cisco NX-OS デバイスで、特定の RADIUS サーバ用のキーを設定できます。RADIUS キーは、Cisco NX-OS デバイスと特定の RADIUS サーバとの間で共有する秘密テキスト ストリングです。
1 つまたは複数の RADIUS サーバ ホストを設定します。
リモート RADIUS サーバのキーの値を取得します。
RADIUS サーバにキーを設定します。
1.
configure terminal
2.
radius-server host {ipv4-address | ipv6-address | hostname} key [0 | 6 |7] key-value
3.
exit
4.
(任意) show radius-server
5.
(任意) copy running-config startup-config
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 | ||
ステップ 2 | radius-server host {ipv4-address | ipv6-address | hostname} key [0 | 6 |7] key-value
例: switch(config)# radius-server host 10.10.1.1 key 0 PlIjUhYg 例: switch(config)# radius-server host 10.10.1.1 key 7 "fewhg” |
特定の RADIUS サーバ用の RADIUS キーを指定します。key-value がクリア テキスト(0)の形式か、タイプ 6 暗号化(6)形式か、タイプ 7 暗号化(7)形式かを指定できます。Cisco NX-OS ソフトウェアでは、実行コンフィギュレーションに保存する前にクリア テキストのキーを暗号化します。デフォルトの形式はクリア テキストです。最大で 63 文字です。 この RADIUS キーがグローバル RADIUS キーの代わりに使用されます。
| ||
ステップ 3 | exit 例: switch(config)# exit switch# |
設定モードを終了します。 | ||
ステップ 4 | show radius-server
例: switch# show radius-server | (任意)
RADIUS サーバの設定を表示します。
| ||
ステップ 5 | copy running-config startup-config 例: switch# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
サーバ グループを使用して、1 台または複数台のリモート AAA サーバによる認証を指定できます。グループのメンバーはすべて、RADIUS プロトコルに属している必要があります。設定した順序に従ってサーバが試行されます。
これらのサーバ グループはいつでも設定できますが、設定したグループを有効にするには、AAA サービスに適用する必要があります。
グループ内のすべてのサーバが RADIUS サーバであることを確認します。
1.
configure terminal
2.
aaa group server radiusgroup-name
3.
server {ipv4-address | ipv6-address | hostname}
4.
(任意) deadtimeminutes
5.
(任意) server {ipv4-address | ipv6-address | hostname}
6.
(任意) use-vrfvrf-name
7.
exit
8.
(任意) show radius-server groups [group-name]
9.
(任意) copy running-config startup-config
RADIUS サーバ グループにアクセスする際に使用する、RADIUS サーバ グループ用のグローバル発信元インターフェイスを設定できます。また、特定の RADIUS サーバ グループ用に異なる発信元インターフェイスを設定することもできます。デフォルトでは、Cisco NX-OS ソフトウェアは、使用可能なあらゆるインターフェイスを使用します。
1.
configure terminal
2.
ip radius source-interfaceinterface
3.
exit
4.
(任意) show radius-server
5.
(任意) copy running-config startup config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config) |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | ip radius source-interfaceinterface
例: switch(config)# ip radius source-interface mgmt 0 |
このデバイスで設定されているすべての RADIUS サーバ グループ用のグローバル発信元インターフェイスを設定します。 |
ステップ 3 | exit 例: switch(config)# exit switch# |
設定モードを終了します。 |
ステップ 4 | show radius-server
例: switch# show radius-server | (任意)
RADIUS サーバの設定情報を表示します。 |
ステップ 5 | copy running-config startup config 例: switch# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
デフォルトでは、Cisco NX-OS デバイスはデフォルトの AAA 認証方式に基づいて認証要求を転送します。VRF と認証要求送信先 RADIUS サーバをユーザが指定できるように Cisco NX-OS デバイスを設定するには、directed-request オプションをイネーブルにします。このオプションをイネーブルにした場合、ユーザは username@vrfname:hostname としてログインできます。ここで、vrfname は使用する VRF、hostname は設定された RADIUS サーバの名前です。
(注) | directed-request オプションをイネーブルにすると、Cisco NX-OS デバイスでは認証に RADIUS 方式だけを使用し、デフォルトのローカル方式は使用しないようになります。 |
(注) | ユーザ指定のログインは Telnet セッションに限りサポートされます。 |
1.
configure terminal
2.
radius-server directed-request
3.
(任意) show radius {pending | pending-diff}
4.
(任意) radius commit
5.
exit
6.
(任意) show radius-server directed-request
7.
(任意) copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | radius-server directed-request
例: switch(config)# radius-server directed-request |
ログイン時にユーザが認証要求の送信先となる RADIUS サーバを指定できるようにします。デフォルトでは無効になっています。 |
ステップ 3 | show radius {pending | pending-diff}
例: switch(config)# show radius pending | (任意)
配布するために保留状態になっている RADIUS 設定を表示します。 |
ステップ 4 | radius commit
例: switch(config)# radius commit | (任意)
一時データベース内にある RADIUS の設定変更を実行コンフィギュレーションに適用します。 |
ステップ 5 | exit 例: switch(config)# exit switch# |
設定モードを終了します。 |
ステップ 6 | show radius-server directed-request
例: switch# show radius-server directed-request | (任意)
directed request の設定を表示します。 |
ステップ 7 | copy running-config startup-config 例: switch# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
すべての RADIUS サーバに対するグローバルな再送信リトライ回数とタイムアウト間隔を設定できます。デフォルトでは、Cisco NX-OS デバイスはローカル認証に戻す前に、RADIUS サーバへの送信を 1 回だけ再試行します。このリトライの回数は、サーバごとに最大 5 回まで増やすことができます。タイムアウト間隔には、Cisco NX-OS デバイスが RADIUS サーバからの応答を待つ時間を指定します。これを過ぎるとタイムアウト エラーになります。
1.
configure terminal
2.
radius-server retransmitcount
3.
radius-server timeoutseconds
4.
(任意) show radius{pending | pending-diff}
5.
(任意) radius commit
6.
exit
7.
(任意) show radius-server
8.
(任意) copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | radius-server retransmitcount
例: switch(config)# radius-server retransmit 3 |
すべての RADIUS サーバの再送信回数を指定します。デフォルトの再送信回数は 1 で、範囲は 0 ~ 5 です。 |
ステップ 3 | radius-server timeoutseconds
例: switch(config)# radius-server timeout 10 |
RADIUS サーバの送信タイムアウト間隔を指定します。デフォルトのタイムアウト間隔は 5 秒で、範囲は 1 ~ 60 秒です。 |
ステップ 4 | show radius{pending | pending-diff}
例: switch(config)# show radius pending | (任意)
配布するために保留状態になっている RADIUS 設定を表示します。 |
ステップ 5 | radius commit
例: switch(config)# radius commit | (任意)
一時データベース内にある RADIUS の設定変更を実行コンフィギュレーションに適用します。 |
ステップ 6 | exit 例: switch(config)# exit switch# |
設定モードを終了します。 |
ステップ 7 | show radius-server
例: switch# show radius-server | (任意)
RADIUS サーバの設定を表示します。 |
ステップ 8 | copy running-config startup-config 例: switch# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
デフォルトでは、Cisco NX-OS デバイスはローカル認証に戻す前に、RADIUS サーバへの送信を 1 回だけ再試行します。このリトライの回数は、サーバごとに最大 5 回まで増やすことができます。Cisco NX-OS デバイスが、タイムアウト エラーを宣言する前に、RADIUS サーバからの応答を待機するタイムアウト間隔も設定できます。
1 つまたは複数の RADIUS サーバ ホストを設定します。
1.
configure terminal
2.
radius-server host {ipv4-address | ipv6-address | hostname} retransmitcount
3.
radius-server host {ipv4-address | ipv6-address | hostname} timeoutseconds
4.
(任意) show radius {pending | pending-diff}
5.
(任意) radius commit
6.
exit
7.
(任意) show radius-server
8.
(任意) copy running-config startup-config
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 | ||
ステップ 2 | radius-server host {ipv4-address | ipv6-address | hostname} retransmitcount
例: switch(config)# radius-server host server1 retransmit 3 |
特定のサーバに対する再送信回数を指定します。デフォルトはグローバル値です。
| ||
ステップ 3 | radius-server host {ipv4-address | ipv6-address | hostname} timeoutseconds
例: switch(config)# radius-server host server1 timeout 10 |
特定のサーバの送信タイムアウト間隔を指定します。デフォルトはグローバル値です。
| ||
ステップ 4 | show radius {pending | pending-diff}
例: switch(config)# show radius pending | (任意)
配布するために保留状態になっている RADIUS 設定を表示します。 | ||
ステップ 5 | radius commit 例: switch(config)# radius commit | (任意)
一時データベース内にある RADIUS の設定変更を実行コンフィギュレーションに適用し、CFS によるユーザ ロール設定の配布機能をイネーブルにしている場合は、RADIUS 設定を他の Cisco NX-OS デバイスに配布します。 | ||
ステップ 6 | exit 例: switch(config)# exit switch# |
設定モードを終了します。 | ||
ステップ 7 | show radius-server
例: switch# show radius-server | (任意)
RADIUS サーバの設定を表示します。 | ||
ステップ 8 | copy running-config startup-config 例: switch# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
RADIUS サーバをアカウンティング専用、または認証専用に使用するかを指定できます。デフォルトでは、RADIUS サーバはアカウンティングと認証の両方に使用されます。また、デフォルトのポートとの競合が発生する場合は、RADIUS アカウンティング メッセージと認証メッセージの送信先である宛先 UDP ポート番号を指定することもできます。
1 つまたは複数の RADIUS サーバ ホストを設定します。
1.
configure terminal
2.
(任意) radius-server host {ipv4-address | ipv6-address | hostname} acct-portudp-port
3.
(任意) radius-server host {ipv4-address | ipv6-address | hostname} accounting
4.
(任意) radius-server host {ipv4-address | ipv6-address | hostname} auth-portudp-port
5.
(任意) radius-server host {ipv4-address | ipv6-address | hostname} authentication
6.
(任意) show radius {pending | pending-diff}
7.
(任意) radius commit
8.
exit
9.
(任意) show radius-server
10.
(任意) copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | radius-server host {ipv4-address | ipv6-address | hostname} acct-portudp-port
例: switch(config)# radius-server host 10.10.1.1 acct-port 2004 | (任意)
RADIUS アカウンティングのメッセージに使用する UDP ポートを指定します。デフォルトの UDP ポートは 1813 です。範囲は 0 ~ 65535 です。 |
ステップ 3 | radius-server host {ipv4-address | ipv6-address | hostname} accounting
例: switch(config)# radius-server host 10.10.1.1 accounting | (任意)
RADIUS サーバをアカウンティングだけに使用することを指定します。デフォルトでは、アカウンティングと認証の両方に使用されます。 |
ステップ 4 | radius-server host {ipv4-address | ipv6-address | hostname} auth-portudp-port
例: switch(config)# radius-server host 10.10.2.2 auth-port 2005 | (任意)
RADIUS 認証メッセージ用の UDP ポートを指定します。デフォルトの UDP ポートは 1812 です。範囲は 0 ~ 65535 です。 |
ステップ 5 | radius-server host {ipv4-address | ipv6-address | hostname} authentication
例: switch(config)# radius-server host 10.10.2.2 authentication | (任意)
RADIUS サーバを認証だけに使用することを指定します。デフォルトでは、アカウンティングと認証の両方に使用されます。 |
ステップ 6 | show radius {pending | pending-diff}
例: switch(config)# show radius pending | (任意)
配布するために保留状態になっている RADIUS 設定を表示します。 |
ステップ 7 | radius commit
例: switch(config)# radius commit | (任意)
一時データベース内にある RADIUS の設定変更を実行コンフィギュレーションに適用します。 |
ステップ 8 | exit 例: switch(config)# exit switch# |
設定モードを終了します。 |
ステップ 9 | show radius-server
例: switch(config)# show radius-server | (任意)
RADIUS サーバの設定を表示します。 |
ステップ 10 | copy running-config startup-config 例: switch# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
各サーバに個別にテスト パラメータを設定しなくても、すべての RADIUS サーバの可用性をモニタリングできます。テスト パラメータが設定されていないサーバは、グローバル レベルのパラメータを使用してモニタリングされます。
(注) | 各サーバ用に設定されたテスト パラメータは、グローバルのテスト パラメータより優先されます。 |
グローバル コンフィギュレーション パラメータには、サーバで使用するユーザ名とパスワード、およびアイドル タイマーなどがあります。アイドル タイマーには、RADIUS サーバがどのくらいの期間要求を受信しなかった場合に、Cisco NX-OS デバイスがテスト パケットを送信するかを指定します。このオプションを設定して定期的にサーバをテストしたり、1 回だけテストを実行したりできます。
(注) | ネットワークのセキュリティを保護するために、RADIUS データベースの既存のユーザ名と同じものを使用しないことを推奨します。 |
(注) | デフォルトのアイドル タイマー値は 0 分です。アイドル タイム インターバルが 0 分の場合、RADIUS サーバの定期的なモニタリングは実行されません。 |
RADIUS をイネーブルにします。
1.
configure terminal
2.
radius-server test {idle-timeminutes | passwordpassword [idle-timeminutes] | usernamename [passwordpassword [idle-timeminutes]]}
3.
radius-server deadtimeminutes
4.
exit
5.
(任意) show radius-server
6.
(任意) copy running-config startup-config
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 | ||
ステップ 2 | radius-server test {idle-timeminutes | passwordpassword [idle-timeminutes] | usernamename [passwordpassword [idle-timeminutes]]}
例: switch(config)# radius-server test username user1 password Ur2Gd2BH idle-time 3 |
グローバルなサーバ モニタリング用のパラメータを指定します。デフォルトのユーザ名は test、デフォルトのパスワードは test です。アイドル タイマーのデフォルト値は 0 分です。有効な範囲は 0 ~ 1440 分です。
| ||
ステップ 3 | radius-server deadtimeminutes
例: switch(config)# radius-server deadtime 5 |
Cisco NX-OS デバイスが、前回応答しなかった RADIUS サーバをチェックするまでの時間(分)を指定します。デフォルト値は 0 分です。有効な範囲は 0 ~ 1440 分です。 | ||
ステップ 4 | exit 例: switch(config)# exit switch# |
設定モードを終了します。 | ||
ステップ 5 | show radius-server
例: switch# show radius-server | (任意)
RADIUS サーバの設定を表示します。 | ||
ステップ 6 | copy running-config startup-config 例: switch# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
各 RADIUS サーバの可用性をモニタリングできます。コンフィギュレーション パラメータには、サーバで使用するユーザ名とパスワード、およびアイドル タイマーなどがあります。アイドル タイマーには、RADIUS サーバがどのくらいの期間要求を受信しなかった場合に Cisco NX-OS スイッチがテスト パケットを送信するかを指定します。このオプションを設定して定期的にサーバをテストしたり、1 回だけテストを実行したりできます。
(注) | 各サーバ用に設定されたテスト パラメータは、グローバルのテスト パラメータより優先されます。 |
(注) | セキュリティ上の理由から、RADIUS データベース内の既存のユーザ名と同じテスト ユーザ名を設定しないことを推奨します。 |
(注) | デフォルトのアイドル タイマー値は 0 分です。アイドル時間間隔が 0 分の場合、Cisco NX-OS デバイスは、RADIUS サーバの定期的なモニタリングを実行しません。 |
RADIUS をイネーブルにします。
1 つまたは複数の RADIUS サーバ ホストを追加します。
1.
configure terminal
2.
radius-server host {ipv4-address | ipv6-address | hostname} test {idle-timeminutes | passwordpassword [idle-timeminutes] | usernamename [passwordpassword [idle-timeminutes]]}
3.
radius-server deadtimeminutes
4.
exit
5.
(任意) show radius-server
6.
(任意) copy running-config startup-config
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 | ||
ステップ 2 | radius-server host {ipv4-address | ipv6-address | hostname} test {idle-timeminutes | passwordpassword [idle-timeminutes] | usernamename [passwordpassword [idle-timeminutes]]}
例: switch(config)# radius-server host 10.10.1.1 test username user1 password Ur2Gd2BH idle-time 3 |
サーバ モニタリング用のパラメータを個別に指定します。デフォルトのユーザ名は test、デフォルトのパスワードは test です。アイドル タイマーのデフォルト値は 0 分です。有効な範囲は 0 ~ 1440 分です。
| ||
ステップ 3 | radius-server deadtimeminutes
例: switch(config)# radius-server deadtime 5 |
Cisco NX-OS デバイスが、前回応答しなかった RADIUS サーバをチェックするまでの時間(分)を指定します。デフォルト値は 0 分です。有効な範囲は 1 ~ 1440 分です。 | ||
ステップ 4 | exit 例: switch(config)# exit switch# |
設定モードを終了します。 | ||
ステップ 5 | show radius-server
例: switch# show radius-server | (任意)
RADIUS サーバの設定を表示します。 | ||
ステップ 6 | copy running-config startup-config 例: switch# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
すべての RADIUS サーバのデッド タイム間隔を設定できます。デッド タイム間隔には、Cisco NX-OS デバイスが、RADIUS サーバをデッド状態であると宣言した後、そのサーバがアライブ状態に戻ったかどうかを確認するためにテスト パケットを送信するまでの間隔を指定します。デフォルト値は 0 分です。
(注) | デッド タイム間隔が 0 分の場合、RADIUS サーバは、応答を返さない場合でも、デットとしてマークされません。RADIUS サーバ グループに対するデッド タイム間隔を設定できます。 |
1.
configure terminal
2.
radius-server deadtimeminutes
3.
(任意) show radius {pending | pending-diff}
4.
(任意) radius commit
5.
exit
6.
(任意) show radius-server
7.
(任意) copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | radius-server deadtimeminutes
例: switch(config)# radius-server deadtime 5 |
デッド タイム間隔を設定します。デフォルト値は 0 分です。有効な範囲は 1 ~ 1440 分です。 |
ステップ 3 | show radius {pending | pending-diff}
例: switch(config)# show radius pending | (任意)
配布するために保留状態になっている RADIUS 設定を表示します。 |
ステップ 4 | radius commit
例: switch(config)# radius commit | (任意)
一時データベース内にある RADIUS の設定変更を実行コンフィギュレーションに適用します。 |
ステップ 5 | exit 例: switch(config)# exit switch# |
設定モードを終了します。 |
ステップ 6 | show radius-server
例: switch# show radius-server | (任意)
RADIUS サーバの設定を表示します。 |
ステップ 7 | copy running-config startup-config 例: switch# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
RSA SecurID トークン サーバを使用することで、Cisco NX-OS デバイスでワンタイム パスワード(OTP)をサポートできます。この機能を使用すると、ユーザは、暗証番号(ワンタイム パスワード)とその時点で RSA SecurID トークンに表示されるトークン コードの両方を入力することで、Cisco NX-OS デバイスに対する認証を実行できます。
(注) | Cisco NX-OS デバイスにログインするために使用されるトークン コードは、60 秒ごとに変更されます。デバイス検出に関する問題を防ぐために、Cisco Secure ACS 内部データベースに存在する異なるユーザ名を使用することを推奨します。 |
Cisco NX-OS デバイスで、RADIUS サーバ ホストとデフォルトのリモート ログイン認証を設定します。
ワンタイム パスワードをサポートするために、Cisco NX-OS デバイスで(RADIUS サーバ ホストとリモート認証以外の)設定を行う必要はありません。ただし、Cisco Secure ACS を次のように設定する必要があります。
RADIUS サーバまたはサーバ グループに対し手動でテスト メッセージを送信できます。
1.
test aaa server radius {ipv4-address | ipv6-address | hostname} [vrfvrf-name] username password
2.
test aaa groupgroup-name username password
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | test aaa server radius {ipv4-address | ipv6-address | hostname} [vrfvrf-name] username password
例: switch# test aaa server radius 10.10.1.1 user1 Ur2Gd2BH |
RADIUS サーバにテスト メッセージを送信して可用性を確認します。 |
ステップ 2 | test aaa groupgroup-name username password
例: switch# test aaa group RadGroup user2 As3He3CI |
RADIUS サーバ グループにテスト メッセージを送信して可用性を確認します。 |
RADIUS の設定情報を表示するには、次のいずれかの作業を行います。
コマンド |
目的 |
---|---|
show radius {status | pending | pending-diff} |
Cisco Fabric Services の RADIUS 設定の配布状況と他の詳細事項を表示します。 |
show running-config radius [all] |
実行コンフィギュレーションの RADIUS 設定を表示します。 |
show startup-config radius |
スタートアップ コンフィギュレーションの RADIUS 設定を表示します。 |
show radius-server [hostname | ipv4-address | ipv6-address] [directed-request | groups | sorted | statistics] |
設定済みのすべての RADIUS サーバのパラメータを表示します。 |
Cisco NX-OS デバイスが保持している RADIUS サーバのアクティビティに関する統計情報をモニタします。
1 つまたは複数の RADIUS サーバ ホストを設定します。
1.
show radius-server statistics {hostname | ipv4-address | ipv6-address}
コマンドまたはアクション | 目的 |
---|
Cisco NX-OS デバイスが保持している RADIUS サーバのアクティビティに関する統計情報を表示します。
Cisco NX-OS デバイスの RADIUS サーバを設定します。
1.
(任意) show radius-server statistics {hostname | ipv4-address | ipv6-address}
2.
clear radius-server statistics {hostname | ipv4-address | ipv6-address}
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | show radius-server statistics {hostname | ipv4-address | ipv6-address}
例: switch# show radius-server statistics 10.10.1.1 | (任意)
Cisco NX-OS デバイスの RADIUS サーバ統計情報を表示します。 |
ステップ 2 | clear radius-server statistics {hostname | ipv4-address | ipv6-address}
例: switch# clear radius-server statistics 10.10.1.1 |
RADIUS サーバ統計情報をクリアします。 |
次に、RADIUS を設定する例を示します。
radius-server key 7 "ToIkLhPpG" radius-server host 10.10.1.1 key 7 "ShMoMhTl" authentication accounting aaa group server radius RadServer server 10.10.1.1
これで、サーバ グループも含めて AAA 認証方式を設定できるようになります。
ここでは、RADIUS の実装に関する追加情報について説明します。
関連項目 |
マニュアル タイトル |
---|---|
Cisco NX-OS ライセンス設定 |
『Cisco NX-OS Licensing Guide』 |
VRF コンフィギュレーション |
『Cisco Nexus 9000 Series NX-OS Unicast Routing Configuration Guide』 |
標準 |
タイトル |
---|---|
この機能でサポートされる新規の標準または変更された標準はありません。また、既存の標準のサポートは変更されていません。 |
— |
MIB |
MIB のリンク |
---|---|
RADIUS に関連する MIB |
サポートされている MIB を検索およびダウンロードするには、次の URL にアクセスしてください。 ftp://ftp.cisco.com/pub/mibs/supportlists/nexus9000/Nexus9000MIBSupportList.html |