セキュリティと VPN : Terminal Access Controller Access Control System(TACACS+)

TACACS+ の基本

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2002 年 3 月 1 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この資料はユーザ ダイヤル式認証のターミナル アクセス コントローラ アクセスコントロール System+ (TACACS+)にネットワーク アクセス サーバ(NAS)に基本サンプル設定を提供したものです。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

この設定の開発およびテストには、次のソフトウェアおよびハードウェアのバージョンを使用しました。

  • NAS

  • TACACS+ コンフィギュレーション ファイル(フリーウェア バージョン)

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

注: TACACS+ は TACACS の Cisco 専用バージョンです従って Cisco ACS でだけサポートされます。

表記法

ドキュメントの表記法の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

注: このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク構成図

このドキュメントでは次の図に示すネットワーク構成を使用しています。

/image/gif/paws/10368/basictacacs.gif

設定

このドキュメントでは次に示す設定を使用しています。

注: ダイヤルインが行えることを確認してください。 モデムの接続とローカルな認証が終わったら、TACACS+(Terminal Access Controller Access Control System)を起動します。

NAS
version 11.2
!
service timestamps debug datetime msec
service timestamps log uptime
service password-encryption
no service udp-small-servers
no service tcp-small-servers
!
hostname Cisco3640
!
aaa new-model
aaa authentication login default tacacs local
aaa authentication login consoleport none
aaa authentication ppp default if-needed tacacs
aaa authorization network tacacs   

!--- This is needed for static IP address assignment.

!
enable password cisco
!
username cisco password letmein
!
interface Ethernet0
 ip address 10.29.1.3 255.255.255.0
!
Interface Group-Async1
 ip unnumbered Ethernet0
 encapsulation ppp
 async mode interactive
 peer default ip address pool async
 no cdp enable
 ppp authentication chap
 group-range 1 16
!
ip local pool async 10.6.100.101 10.6.100.103
tacacs-server host 10.6.101.101
tacacs-server key cisco
!
line con 0
 login authentication consoleport   

!--- This always allows console port access.

!
line 1 16
 autoselect ppp
 autoselect during-login
 modem Dialin
 transport input all
 stopbits 1
 rxspeed 115200
 txspeed 115200
 flowcontrol hardware
!
line aux 0
!
line vty 0 4
!
end

TACACS+ 構成ファイル(フリーウェア バージョン)

!--- This creates a superuser (such as one with administrator permissions) 
!--- who is granted all privileges by "default service = permit", and has a password 
!--- that allows for connections in any mode.

user = Russ
{
  global = cleartext 'bar'
  default service = permit
}

!--- This creates a normal PPP user who gets an IP address from the router.

user = Jason
{
  chap = cleartext 'letmein'
  service = ppp protocol = ip {}
}

!--- This creates a user whose IP address is statically assigned.

user = Laura
{
  chap = cleartext 'letmein'
  service = ppp protocol = ip 
		{
		  addr = 10.1.1.104
		}
}

確認

現在、この設定に使用できる確認手順はありません。

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

トラブルシューティングのためのコマンド

特定の show コマンドは、Output Interpreter Tool登録ユーザ専用)によってサポートされています。このツールを使用すると、show コマンド出力の分析を表示できます。

注: debug コマンドを使用する前に、『debug コマンドに関する重要な情報』を参照してください。

  • クライアントが PPPネゴシエーションを渡すかどうか debug ppp negotiation —示します; アドレス ネゴシエーションをチェックする場合に必要です。

  • クライアントが認証を取得するかどうか debug ppp authentication —示します。 Cisco IOS を使用していればか。 以前のソフトウェア リリースは 11.2、debug ppp chap コマンドを代りに発行します。

  • debug ppp error:PPP 接続のネゴシエーションおよび動作に関するプロトコル エラーとエラー統計情報を表示します。

  • 、そしてユーザは認証を取得しているかどうか TACACS+ サーバがダウンしていなければどんな方式が認証するのに使用されているか debug aaa authentication —示します(それは TACACS+ であるはずです)。

  • debug aaa authorization —どんな方式が許可のために使用されている、そしてかどうかユーザはそれを渡しているか示します。

  • debug tacacs — サーバに送られるメッセージを表示します。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 10368