セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PIX、TACACS+ および RADIUS の設定例: 4.4.x

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

RADIUS および TACACS+ 認証は、FTP、Telnet、および HTTP の接続に対して実行できます。 認証は、一般的ではない他の TCP プロトコルでも、通常は行うことができます。

TACACS+ 認証がサポートされています。 RADIUS 許可はサポートされません。 前のバージョン上の PIX 4.4.1 認証、許可、アカウンティング(AAA)の変更は下記のものを含んでいます: AAA サーバ グループおよびフェールオーバーは、イネーブルおよびシリアルコンソール アクセスのための認証、およびプロンプト メッセージを受け入れ、拒否します。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

認証か許可か

  • 認証はユーザがだれであるかです。

  • 許可はユーザがことができるものですする。

  • 認証は、許可がなくても有効です。

  • 許可は、認証がないと有効ではありません。

内部 100 人のユーザがあり、ほしいためにこれらのユーザの 6 つにネットワークの外部の FTP、Telnet、または HTTP をされるほしいことを仮定して下さい。 PIX を送信 トラフィックを認証し、すべての 6 人のユーザに TACACS+/RADIUS セキュリティサーバの ID を与えるように言います。 シンプル認証によって、この 6 人のユーザはユーザ名 および パスワードによって認証できますそして出かけます。 他の 94 人のユーザは出かけることができませんでした。 PIX は username/password のためのユーザをプロンプト表示しましたり、そして TACACS+/RADIUS セキュリティサーバに、および応答によってユーザ名 および パスワードを、開くか、または否定します接続を渡します。 この 6 人のユーザは FTP、Telnet、または HTTP をする可能性があります。

しかしこの 3 人のユーザの 1 人を、「テリー」、ではないです信頼されること仮定して下さい。 するようにテリー外部に FTP を、ない HTTP または Telnet が望みます。 これはユーザがだれのあるか認証に加えてすることができるものを承認する認証を、すなわち追加しなければならないことを意味します。 PIX に認証を追加するとき、PIX はセキュリティサーバに最初に「コマンド」がテリー試みているものをテリーのユーザ名 および パスワードを送信 しましたり、セキュリティサーバにすることを述べている認証要求を送信 します。 きちんとサーバセットアップによって、テリーはどこでも HTTP か Telnet に「FTP 1.2.3.4」に許可することができましたが、否定しました能力を。

ユーザがAuthentication/Authorization をオンにしたときに見る画面表示

認証/許可をオンにして、内側から外側、または外側から内側に移動しようとすると、次のように表示されます。

  • Telnet -ユーザはパスワードについては要求に先行しているユーザ名プロンプト表示が現れます。 認証(および許可)が PIX/サーバで正常に行われると、以降の宛先ホストからユーザ名とパスワードの入力を求められます。

  • FTP - ユーザはユーザネームプロンプトが表示されるのを見ます。 ユーザ名に「local_username@remote_username」を、パスワードに「local_password@remote_password」を入力する必要があります。 PIX は「local_username」と「local_password」をローカルのセキュリティ サーバに送信します。認証(および許可)が PIX/サーバで正常に行われると、「remote_username」と「remote_password」は以降の宛先 FTP サーバに渡されます。

  • HTTP - ウィンドウはユーザネームを要求するブラウザおよびパスワードで表示する。 認証(および許可)が正常に行われると、宛先の Web サイトおよびその先に到達します。 ブラウザがユーザ名 および パスワードをキャッシュすることに留意して下さい。 PIX が HTTP 接続をタイムアウトする必要があるのにタイムアウトしない場合、実際にはブラウザによって再認証が行われている傾向があります。キャッシュされたユーザ名とパスワードが PIX へ「送られ」、次に PIX がこれを認証サーバへ転送します。 この現象は、PIX の syslog またはサーバのデバッグに示されます。 Telnet や FTP では「正常に」機能しているようでも HTTP 接続ではそうでない場合は、これが原因です。

すべてのシナリオに適用できるセキュリティサーバ設定

CiscoSecure UNIX TACACS サーバの設定

CSU.cfg ファイルで PIX IP アドレスか完全修飾ドメイン名 および キーがあることを確かめて下さい。

user = ddunlap {
password = clear "rtp"
default service = permit
}

user = can_only_do_telnet {
password = clear "telnetonly"
service = shell {
cmd = telnet {
permit .*
}
}
}

user = can_only_do_ftp {
password = clear "ftponly"
service = shell {
cmd = ftp {
permit .*
}
}
}

user = httponly {
password = clear "httponly"
service = shell {
cmd = http {
permit .*
}
}
}

CiscoSecure UNIX RADIUS サーバの設定

ネットワーク アクセス サーバ(NAS)リストに PIX IP およびキーを追加するのに高度なグラフィカル ユーザ インターフェイス(GUI)を使用して下さい。

user=adminuser {
radius=Cisco {
check_items= {
2="all"
}
reply_attributes= {
6=6
}
}

CiscoSecure NT 2.x RADIUS

次の手順を実行します。

  1. User Setup GUI セクションのパスワードを入手して下さい。

  2. Group Setup GUI セクションから、ログインするためにアトリビュート 6 (サービス タイプ)をまたは管理上設定 して下さい。

  3. NAS 設定 GUI の PIX IP を追加して下さい。

EasyACS TACACS+

EasyACSドキュメンテーションはセットアップを記述します。

  1. グループ セクションでは、『Shell exec』 をクリック して下さい(実行特権を与えるため)。

  2. に認証を PIX に追加するために、グループセットアップの下部ので『Deny unmatched IOS commands』 をクリック して下さい。

  3. 割り当てたいと思う各コマンドに Add/edit new コマンドを選択して下さい(たとえば、Telnet)。

  4. 特定のサイトに Telnet を許可したいと思う場合形式「割り当て #.#.#.#」の引数部分で IP を入力して下さい。 Telnet をすべてのサイトに許可するために、『Allow all unlisted arguments』 をクリック して下さい。

  5. 『Finish editing command』 をクリック して下さい。

  6. 許可されたコマンドのそれぞれのためのステップ 1 〜 5 を実行して下さい(たとえば、Telnet、HTTP や FTP)。

  7. NAS Configuration GUI セクションの PIX IP を追加して下さい。

CiscoSecure 2.x TACACS+

ユーザは GUI の User Setup セクションのパスワードを入手します。

  1. グループ セクションで、『Shell exec』 をクリック して下さい(実行特権を与えるため)。

  2. 認証を PIX に追加するために、グループセットアップの下部ので『Deny unmatched IOS commands』 をクリック して下さい。

  3. 割り当てたいと思う各コマンドのために『Add/Edit』 を選択 して下さい(たとえば、Telnet)。

  4. 特定のサイトに Telnet を許可したいと思う場合引数入力用の長方形で割り当て IP を入力して下さい(たとえば、「割り当て 1.2.3.4")。 Telnet をすべてのサイトに許可するために、『Allow all unlisted arguments』 をクリック して下さい。

  5. 『Finish editing command』 をクリック して下さい。

  6. 許可されたコマンドのそれぞれのためのステップ 1 〜 5 を実行して下さい(たとえば、Telnet、HTTP または FTP)。

  7. NAS Configuration GUI セクションの PIX IP を追加して下さい。

Livingston RADIUS サーバの設定

PIX IP を追加し、クライアントにファイルをキー入力して下さい。

adminuser Password="all"
User-Service-Type = Shell-User 

Merit RADIUS サーバの設定

PIX IP を追加し、クライアントにファイルをキー入力して下さい。

adminuser Password="all"
Service-Type = Shell-User 

TACACS+ フリーウェア サーバの設定

key = "cisco"

user = adminuser {
login = cleartext "all"
default service = permit
}

user = can_only_do_telnet {
login = cleartext "telnetonly"
cmd = telnet { 
permit .*
}
}

user = httponly {
login = cleartext "httponly"
cmd = http { 
permit .*
}
}

user = can_only_do_ftp {
login = cleartext "ftponly"
cmd = ftp { 
permit .*
}
}

デバッグの手順

  • PIX コンフィギュレーションが認証、許可、アカウンティング(AAA)をことを追加する前に機能していることを確かめて下さい。

    • 認証と許可を制定する前にトラフィックを通過させることができないと、結局これらを制定できなくなります。

  • PIX をログオンするイネーブル:

    • logging console debugging コマンドはでロードされたシステム重く使用するべきではありません。

    • logging buffered debugging コマンドは使用できます。 show logging または logging コマンドから出力は syslog サーバに送られ、検査することができます。

  • デバッグが TACACS+ か RADIUSサーバのためにオンになっていることを確かめて下さい。 このオプションはすべてのサーバで有効です。

ネットワーク構成図

/image/gif/paws/13819/pix441_a.gif

PIX の設定
pix-5# write terminal
 Building configuration...
 : Saved
 :
 PIX Version 4.4(1)
 nameif ethernet0 outside security0
 nameif ethernet1 inside security100
 nameif ethernet2 pix/intf2 security10
 nameif ethernet3 pix/intf3 security15
 enable password 8Ry2YjIyt7RRXU24 encrypted
 passwd 2KFQnbNIdI.2KYOU encrypted
 hostname pix-5
 fixup protocol ftp 21
 fixup protocol http 80
 fixup protocol smtp 25
 fixup protocol h323 1720
 fixup protocol rsh 514
 fixup protocol sqlnet 1521
 names
 pager lines 24
 no logging timestamp
 logging console debugging
 no logging monitor
 no logging buffered
 logging trap debugging
 logging facility 20
 interface ethernet0 auto
 interface ethernet1 auto
 interface ethernet2 auto
 interface ethernet3 auto
 mtu outside 1500
 mtu inside 1500
 mtu pix/intf2 1500
 mtu pix/intf3 1500
 ip address outside 11.11.11.1 255.255.255.0
 ip address inside 10.31.1.150 255.255.255.0
 ip address pix/intf2 127.0.0.1 255.255.255.255
 ip address pix/intf3 127.0.0.1 255.255.255.255
 no failover
 failover timeout 0:00:00
 failover ip address outside 0.0.0.0
 failover ip address inside 0.0.0.0
 failover ip address pix/intf2 0.0.0.0
 failover ip address pix/intf3 0.0.0.0
 arp timeout 14400
 global (outside) 1 11.11.11.10-11.11.11.14 netmask 255.255.255.0
 static (inside,outside) 11.11.11.20 171.68.118.115 netmask 255.255.255.255 0 0
 static (inside,outside) 11.11.11.21 171.68.118.101 netmask 255.255.255.255 0 0
 static (inside,outside) 11.11.11.22 10.31.1.5 netmask 255.255.255.255 0 0
 conduit permit icmp any any 
 conduit permit tcp any any 
 no rip outside passive
 no rip outside default
 no rip inside passive
 no rip inside default
 no rip pix/intf2 passive
 no rip pix/intf2 default
 no rip pix/intf3 passive
 no rip pix/intf3 default
 route inside 0.0.0.0 0.0.0.0 10.31.1.1 1
 timeout xlate 3:00:00 conn 1:00:00 half-closed 0:10:00 udp 0:02:00
 timeout rpc 0:10:00 h323 0:05:00
 timeout uauth 0:00:00 absolute
 aaa-server TACACS+ protocol tacacs+ 
 aaa-server RADIUS protocol radius 
!

!--- For any given list, multiple AAA servers can 
!--- be configured. They will be 
!--- tried sequentially if any one of them is down.

 !
 aaa-server Outgoing protocol tacacs+ 
 aaa-server Outgoing (inside) host 171.68.118.101 cisco timeout 10
 aaa-server Incoming protocol radius 
 aaa-server Incoming (inside) host 171.68.118.115 cisco timeout 10
 aaa authentication ftp outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 Outgoing
 aaa authentication http outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 Outgoing
 aaa authentication telnet outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 Outgoing
 aaa authentication ftp inbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 Incoming
 aaa authentication http inbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 Incoming
 aaa authentication telnet inbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 Incoming
 no snmp-server location
 no snmp-server contact
 snmp-server community public
 no snmp-server enable traps
 telnet timeout 5
 terminal width 80
 Cryptochecksum:b287a37a676262275a4201cac52399ca
 : end 

PIX からの認証デバッグ例

これらのデバッグ例:

発信

10.31.1.5 の内部ユーザは外部 11.11.11.15 にトラフィックを初期化し、TACACS+ によって認証されます(TACACSサーバが 171.68.118.101)含まれている送信 トラフィックは」発信 Server リストを「使用します。

着信

11.11.11.15 の外部ユーザは内部 10.31.1.5 にトラフィックを初期化します(11.11.11.22) RADIUS によって認証され、(RADIUSサーバが 171.68.118.115)含まれている着信 トラフィックは」着信 Server リストを「使用します。

PIX デバッグ-良好な認証- TACACS+

下記の例は良好な認証を用いる PIX デバッグを示します:

109001: Auth start for user '???' from 10.31.1.5/11004 to 11.11.11.15/23
 109011: Authen Session Start: user 'ddunlap', sid 3
 109005: Authentication succeeded for user 'ddunlap' 
 from 10.31.1.5/11004 to 11.11.11.15/23
 109012: Authen Session End: user 'ddunlap', sid 3, elapsed 1 seconds
 302001: Built outbound TCP connection 4 for faddr 11.11.11.15/23 gaddr 
11.11.11.22/11004 laddr 10.31.1.5/11004

PIX デバッグ-認証不良(ユーザ名かパスワード) - TACACS+

下記の例は認証不良を用いる PIX デバッグを示します(ユーザ名かパスワード)。 ユーザは 4 つのユーザネーム/パスワードセットを見ます。 次 の メッセージは表示されます: "Error: 」超過する試みの最大数。

109001: Auth start for user '???' from 10.31.1.5/11005 to 11.11.11.15/23
 109006: Authentication failed for user '' from 10.31.1.5/11005 to 11.11.11.15/23 

PIX デバッグ- ping できます無応答- TACACS+

下記の例は PIX に伝えていない ping可能サーバのための PIX デバッグを示します。 ユーザはユーザ名を一度見、PIX はパスワードの決して入力を求めません(これは Telnet にあります)。

'Error: Max number of tries exceeded'
 109001: Auth start for user '???' from 10.31.1.5/11006 to 11.11.11.15/23
 109002: Auth from 10.31.1.5/11006 to 11.11.11.15/23 failed 
 (server 171.68.118.101 failed)
 109002: Auth from 10.31.1.5/11006 to 11.11.11.15/23 failed 
 (server 171.68.118.101 failed)
 304006: URL Server 171.68.118.101 not responding, trying 171.68.118.101
 109002: Auth from 10.31.1.5/11006 to 11.11.11.15/23 failed 
 (server 171.68.118.101 failed)
 109006: Authentication failed for user '' from 10.31.1.5/11006 to 11.11.11.15/23 

PIX デバッグ-サーバ ping できません- TACACS+

下記の例は ping 可能ではないサーバのための PIX デバッグを示します。 ユーザはユーザ名を一度見ます。 PIX はパスワードの決して入力を求めません(これは Telnet にあります)。 次 の メッセージは表示されます: 「TACACS+ サーバ」および「エラーへのタイムアウト: 」超過する試みの最大数(この例の設定は偽サーバを反映します)。

109001: Auth start for user '???' from 10.31.1.5/11007 to 11.11.11.15/23
 109002: Auth from 10.31.1.5/11007 to 11.11.11.15/23 failed 
 (server 171.68.118.199 failed)
 109002: Auth from 10.31.1.5/11007 to 11.11.11.15/23 failed 
 (server 171.68.118.199 failed)
 304006: URL Server 171.68.118.199 not responding, trying 171.68.118.199
 109002: Auth from 10.31.1.5/11007 to 11.11.11.15/23 failed 
 (server 171.68.118.199 failed)
 109006: Authentication failed for user '' from 10.31.1.5/11007 to 11.11.11.15/23 

PIX デバッグ-良好な認証- RADIUS

下記の例は良好な認証を用いる PIX デバッグを示します:

109001: Auth start for user '???' from 11.11.11.15/11003 to 10.31.1.5/23
 109011: Authen Session Start: user 'adminuser', sid 4
 109005: Authentication succeeded for user 'adminuser' 
 from 10.31.1.5/23 to 11.11.11.15/11003
 109012: Authen Session End: user 'adminuser', sid 4, elapsed 1 seconds
 302001: Built inbound TCP connection 5 for faddr 
 11.11.11.15/11003 gaddr 11.11.11.22/23 laddr 10.31.1.5/23 

PIX デバッグ-認証不良(ユーザ名かパスワード) - RADIUS

下記の例は認証不良を用いる PIX デバッグを示します(ユーザ名かパスワード)。 ユーザはユーザ名 および パスワードについては要求を見ます。 どちらかが間違っている場合、メッセージ「不適切なパスワード」は 4 回を表示する。 それから、ユーザは切断されています。 この問題はバグID #CSCdm46934 を割り当てられました。

'Error: Max number of tries exceeded'
 109001: Auth start for user '???' from 11.11.11.15/11007 to 10.31.1.5/23
 109006: Authentication failed for user '' from 10.31.1.5/23 to 11.11.11.15/11007 

PIX デバッグ- Deamon は PIX と、- RADIUS 通信しません

下記の例は ping可能サーバとの PIX デバッグを示しますが、デーモンはダウンしています。 サーバは PIX と通信しません。 ユーザはパスワードに先行しているユーザ名を見ます。 次 の メッセージは表示されます: 「RADIUSサーバ」は「エラー失敗し、: 」超過する試みの最大数。

109001: Auth start for user '???' from 11.11.11.15/11008 to 10.31.1.5/23
 109002: Auth from 10.31.1.5/23 to 11.11.11.15/11008 failed 
 (server 171.68.118.115 failed)
 109002: Auth from 10.31.1.5/23 to 11.11.11.15/11008 failed 
 (server 171.68.118.115 failed)
 304006: URL Server 171.68.118.115 not responding, trying 171.68.118.115
 109002: Auth from 10.31.1.5/23 to 11.11.11.15/11008 failed 
 (server 171.68.118.115 failed)
 109006: Authentication failed for user '' from 10.31.1.5/23 to 11.11.11.15/11008  

PIX デバッグ-サーバかキー/クライアントミスマッチ ping できません- RADIUS

下記の例は ping 可能ではないまたはどこにキー/クライアントミスマッチがあるサーバのための PIX デバッグ示します。 ユーザはユーザ名 および パスワードを見ます。 次 の メッセージは表示されます: 「RADIUSサーバ」および「エラーへのタイムアウト: 」超過する試みの最大数(設定のサーバは例としてのみあります)。

109001: Auth start for user '???' from 11.11.11.15/11009 to 10.31.1.5/23
 109002: Auth from 10.31.1.5/23 to 11.11.11.15/11009 failed 
 (server 171.68.118.199 failed)
 109002: Auth from 10.31.1.5/23 to 11.11.11.15/11009 failed 
 (server 171.68.118.199 failed)
 304006: URL Server 171.68.118.199 not responding, trying 171.68.118.199
 109002: Auth from 10.31.1.5/23 to 11.11.11.15/11009 failed 
 (server 171.68.118.199 failed)
 109006: Authentication failed for user '' from 10.31.1.5/23 to 11.11.11.15/11009 

認証の追加

許可が認証なしで無効であるので、同じ送信元範囲 および 宛先範囲のために許可を求めます:

aaa authorization ftp outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 
aaa authorization http outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 
aaa authorization telnet outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 

発信

着信トラフィックが RADIUS と認証され、RADIUS認証が無効であるので「着信」のための認証を追加しないことに注目して下さい

PIX からの認証及び権限デバッグ例

良好な認証および認証の成功の PIX デバッグ- TACACS+

下記の例は良好な認証および認証の成功の PIX デバッグを示します:

109001: Auth start for user '???' from 10.31.1.5/11002 to 11.11.11.15/23
 109011: Authen Session Start: user 'can_only_do_telnet', sid 7
 109005: Authentication succeeded for user 'can_only_do_telnet' 
 from 10.31.1.5/11002 to 11.11.11.15/23
 109011: Authen Session Start: user 'can_only_do_telnet', sid 7
 109007: Authorization permitted for user 'can_only_do_telnet' 
 from 10.31.1.5/11002 to 11.11.11.15/23
 109012: Authen Session End: user 'can_only_do_telnet', sid 7, 
 elapsed 1 seconds
 302001: Built outbound TCP connection 6 for faddr 11.11.11.15/23 
 gaddr 11.11.11.22/11002 laddr 10.31.1.5/11002 (can_only_do_telnet) 

PIX デバッグ-良好な認証、認証失敗- TACACS+

下記の例は良好な認証を用いる PIX デバッグ、認証失敗を示します:

ここにユーザはまたメッセージ「エラー見ます: 」拒否される許可

109001: Auth start for user '???' from 10.31.1.5/11000 to 11.11.11.15/23
 109011: Authen Session Start: user 'can_only_do_ftp', sid 5
 109005: Authentication succeeded for user 'can_only_do_ftp' 
 from 10.31.1.5/11000 to 11.11.11.15/23
 109008: Authorization denied for user 'can_only_do_ftp' from 
 10.31.1.5/11000 to 11.11.11.15/23
 109012: Authen Session End: user 'can_only_do_ftp', sid 5, elapsed 33 seconds 

アカウンティングの追加

TACACS+

aaa accounting any outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 Outgoing

デバッグは説明がオン/オフであるかどうか同じを検知 します。 ただし、送信 された「構築される」、「開始する」アカウンティング レコードがの時にあります。 送信 された「ティアダウン」、「停止」アカウンティング レコードがの時あります。

次のように TACACS+ アカウンティング レコード見え(これらは CiscoSecure UNIX からあります; CiscoSecure NT の物は代りにコンマで区切られるかもしれません):

Thu Jun  3 10:41:50 1999 10.31.1.150 can_only_do_telnet 
 PIX 10.31.1.5 start task_id=0x7 foreign_ip=11.11.11.15 
local_ip=10.31.1.5  cmd=telnet
Thu Jun  3 10:41:55 1999 10.31.1.150 can_only_do_telnet PIX 10.31.1.5 
 stop task_id=0x7 foreign_ip=11.11.11.15 
local_ip=10.31.1.5 cmd=telnet elapsed_time=4 bytes_in=74 bytes_out=27 

RADIUS

aaa accounting any inbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 Incoming

デバッグは説明がオン/オフであるかどうか同じを検知 します。 ただし、「開始する」アカウンティング レコードの時に送信 されます「構築しました」。 「ティアダウン」は、「停止」アカウンティング レコードの時に送信 されます:

次のように RADIUS アカウンティング レコード見え: (これらは CiscoSecure UNIX からあります; CiscoSecure NT の物は代りにコンマで区切られるかもしれません):

10.31.1.150	adminuser -- start server=rtp-evergreen.rtp.cisco.com  
time=14:53:11 date=06/3/1999 task_id=0x00000008      
 Thu Jun  3 15:53:11 1999
         Acct-Status-Type = Start
         Client-Id = 10.31.1.150
         Login-Host = 10.31.1.5
         Login-TCP-Port = 23
         Acct-Session-Id = "0x00000008"
         User-Name = "adminuser" 
 10.31.1.150 adminuser -- stop server=rtp-evergreen.rtp.cisco.com  
time=14:54:24 date=06/ 3/1999 task_id=0x00000008      
 Thu Jun  3 15:54:24 1999
         Acct-Status-Type = Stop
         Client-Id = 10.31.1.150
         Login-Host = 10.31.1.5
         Login-TCP-Port = 23
         Acct-Session-Id = "0x00000008"
         User-Name = "adminuser"
         Acct-Session-Time = 73
         Acct-Input-Octets = 27
         Acct-Output-Octets = 73  

except コマンドの使用

特定ソースや宛先は認証、許可、または説明を必要としないことをネットワークでは、決定すれば、次のように何かをすることができます:

aaa authentication except outbound 10.31.1.60 255.255.255.255 
11.11.11.15 255.255.255.255 Outgoing
aaa authorization except outbound 10.31.1.60 255.255.255.255 
11.11.11.15 255.255.255.255 Outgoing 

」認証からの IP アドレスを除いて「あり、許可がある場合、また許可からそれらを除外して下さい!

最大セッションとログイン ユーザの表示

一部の TACACS+ および RADIUS サーバには、「最大セッション」または「ログイン ユーザの表示」機能があります。 最大セッションを実行したりログイン ユーザをチェックしたりする機能は、アカウンティング レコードによって変わります。 作成される会計「開始する」レコード「停止」レコードがないが、とき、人がまだログオンされることを TACACS+ か RADIUSサーバは仮定します(すなわち、PIX によってセッションを持っています)。

これは Telnet や FTP 接続では接続の性質上うまく機能します。 HTTP では接続の性質上、十分に機能しません。 次の例では、別のネットワークコンフィギュレーションは使用されますが、概念は同じです。

ユーザは方法で認証を受ける PIX によって Telnet で接続します:

(pix) 109001: Auth start for user '???' from 171.68.118.100/1200 
 to 9.9.9.25 /23
 (pix) 109011: Authen Session Start: user 'cse', sid 3
 (pix) 109005: Authentication succeeded for user 'cse' from 
 171.68.118.100/12 00 to 9.9.9.25/23
 (pix) 302001: Built TCP connection 5 for faddr 9.9.9.25/23 
 gaddr 9.9.9.10/12 00 laddr 171.68.118.100/1200 (cse)
 (server start account) Sun Nov 8 16:31:10 1998 rtp-pinecone.rtp.cisco.com cse
 PIX 171.68.118.100 start task_id=0x3 foreign_ip=9.9.9.25 
 local_ip=171.68.118.100 cmd=telnet  

「開始する」は記録するが、ことをサーバが見たので「停止」レコードは(この時点で)、サーバ「Telnet」ユーザがログオンされることを示しません。 最大セッション数がこのユーザ向けのサーバの "1" に(サーバを仮定しているサポートすれば最大セッション数を設定 されれば試みればユーザが認証を必要とする別の接続を、そして) (多分別の PC から)、接続はサーバによって拒否されます。

ユーザはターゲットホスト、そして終了の彼女の Telnet か FTPビジネスと続きます(10 分をそこに使います):

(pix) 302002: Teardown TCP connection 5 faddr 9.9.9.25/80 gaddr 
9.9.9.10/128 1 laddr 171.68.118.100/1281 duration 0:00:00 bytes 1907 (cse)

(server stop account) Sun Nov 8 16:41:17 1998 rtp-pinecone.rtp.cisco.com cse

 PIX 171.68.118.100 stop task_id=0x3 foreign_ip=9.9.9.25 local_ip=171.68.118.100
 cmd=telnet elapsed_time=5 bytes_in=98 bytes_out=36  

ユーザ認証は 0 (毎回認証する)または多く(ユーザ認証期間の間の一度および再度認証する)であるかどうか、アカウンティング レコードはアクセスされる各サイトのために切られます。

ただし、HTTP はプロトコルの性質が別様に原因ではたらかせます。 HTTPの例は下記にあります。

ユーザは 171.68.118.100 にから 9.9.9.25 PIX によってブラウズします:

(pix) 109001: Auth start for user '???' from 171.68.118.100/1281 
 to 9.9.9.25 /80
 (pix) 109011: Authen Session Start: user 'cse', sid 5
 (pix) 109005: Authentication succeeded for user 'cse' from 
 171.68.118.100/12 81 to 9.9.9.25/80
 (pix) 302001: Built TCP connection 5 for faddr 9.9.9.25/80 gaddr 
 9.9.9.10/12 81 laddr 171.68.118.100/1281 (cse)
 (server start account) Sun Nov 8 16:35:34 1998 rtp-pinecone.rtp.cisco.com cse
 PIX 171.68.118.100 start task_id=0x9 foreign_ip=9.9.9.25 
 local_ip=171.68.118.100 cmd=http
 (pix) 302002: Teardown TCP connection 5 faddr 9.9.9.25/80 gaddr 
 9.9.9.10/128 1 laddr 171.68.118.100/1281 duration 0:00:00 bytes 1907 (cse)
 (server stop account) Sun Nov 8 16:35.35 1998 rtp-pinecone.rtp.cisco .com 
 cse PIX 171.68.118.100 stop task_id=0x9 foreign_ip =9.9.9.25
 local_ip=171.68.118.100 cmd=http elapsed_time=0 bytes_ in=1907 bytes_out=223  

ユーザは、ダウンロードされた Web ページを読みます。

16:35:34 で掲示される開始レコードおよび 16:35:35 で掲示される停止レコード。 このダウンロードは(ある 1秒奪取 しました; 開始すると停止レコード間の 1秒より小さかったでした)。 ユーザはまだ開いた Webサイトおよび接続に彼らが Webページを読んでいるときまだログオンされますか。 いいえ。 最大セッションまたはログイン ユーザの表示は機能するでしょうか? 答えはいいえ、です。HTTP の接続時間(「開始」と「終了」の間の時間)が短すぎるため、機能できません。 「開始」および「停止」レコードは、1 秒以下です。 レコードが殆ど同時に発生するので、「開始する」レコードは「停止」レコードなしではありません。 ユーザ認証がより大きい 0 または何かのために設定 されるかどうかまだ「開始する」があり、各トランザクションのためのサーバに送られるレコードを「停止して下さい」。 ただし、最大セッションとログイン ユーザの表示は、HTTP 接続の性質により機能しません。

PIX 自身での認証および有効化

前の説明は認証 Telnet (および HTTP、FTP)トラフィック PIX によってでした。 下記の例では、PIX への Telnet が認証なしではたらくことを確かめます:

telnet 10.31.1.5 255.255.255.255
passwd ww  

それから、PIX に Telnet で接続しているユーザを認証するためにコマンドを追加します:

aaa authentication telnet console Outgoing 

ユーザが PIX に Telnet で接続するとき、Telnetパスワード(「ww」)のためにプロンプト表示されます。 PIX はまた TACACS+ をこの場合要求します(「発信」Server リストが使用されるので)または RADIUSユーザ名およびパスワード。

aaa authentication enable console Outgoing 

このコマンドで、ユーザは TACACS か RADIUSサーバに送信 される ユーザ名 および パスワードのためにプロンプト表示されます。 この場合「発信」Server リストが使用されるので、要求は TACACSサーバに行きます。 イネーブルのための認証パケットがログオンのための認証パケットと同じであるので、ユーザは同じ ユーザ名/パスワードで TACACS か RADIUS によってことができます、ユーザを仮定することは TACACS または RADIUS の PIX に有効に なる ログインできます。 この問題にはバグ ID CSCdm47044 が割り当てられています。

サーバがダウンしていれば、ユーザは PIX イネーブル モードへの PIX (「enable password whatever」入力することによってアクセス権を得る)からユーザ名および正常なイネーブルパスワードのための「PIX」をことができます。 「enable password whatever」が PIX 設定にない場合、ユーザはユーザ名のための「PIX」を入力し、入力 キーを押す必要があります。 イネーブルパスワードが設定 されるが、知られない場合、リセットするためにパスワード回復 の ディスクが必要となります。

シリアルコンソールの認証

aaa authentication serial console コマンドは PIX のシリアルコンソールにアクセスするために認証確認が要求します。 ユーザがコンソールからの設定コマンドを実行する場合、syslog メッセージは(syslog host にデバッグ レベルで syslog を送信 するために PIX が設定されれば)切られます。 syslog サーバからの例は下記にあります:

Jun  5 07:24:09 [10.31.1.150.2.2] %PIX-5-111008: User 'cse' executed 
the 'hostname' command.

プロンプト変更後に表示されるメッセージ

次のコマンドを実行するとします。

auth-prompt THIS_IS_PIX_5

PIX を通過しているユーザはシーケンスを見ます:

THIS_IS_PIX_5 [at which point one would enter the username]
 Password:[at which point one would enter the password]

そして次に、最終宛先ボックスの到達で、「ユーザ名: 」および「パスワード: 」宛先ボックスを示されますプロンプト表示して下さい。

このプロンプトは PIX によって、ない PIX に行っているユーザだけに影響を与えます。

注: PIX にアクセスのために切られるアカウンティング レコードがありません。

メッセージをカスタマイズするとユーザは成功か失敗か確認できる

次のコマンドを実行するとします。

auth-prompt accept "You're allowed through the pix" 
auth-prompt reject "You blew it" 

ユーザは PIX によって失敗した/成功したログインの次を見ます:

THIS_IS_PIX_5 
 Username: asjdkl
 Password: 
 "You blew it" 
 "THIS_IS_PIX_5" 
 Username: cse
 Password: 
 "You're allowed through the pix" 

ユーザごとのアイドルおよび絶対タイムアウト

アイドル状態および絶対的なユーザ認証タイムアウトはユーザー単位の TACACS+ サーバから送信 することができます。 ネットワークのユーザ全員が同じ「タイムアウトユーザ認証を持つべきなら」それからこれを設定しないで下さい! しかしユーザごとの異なるユーザ認証を必要としたら読んで下さい。

PIX の例では、timeout uauth 3:00:00 コマンドを使用します。 これは人が認証されれば、彼らは 3 時間再認証する必要がないことを意味します。 しかし次のプロファイルのユーザを設定し、PIX で TACACS AAA認証があれば、ユーザ プロファイルのアイドル状態および絶対タイムアウトはそのユーザ向けの PIX のタイムアウトユーザ認証を無効にします。 これは PIX による Telnetセッションがアイドル状態/絶対タイムアウトの後で接続が解除されることを意味しません。 それはちょうど再認証が起こるかどうか制御します。

user = timeout {
default service = permit
login = cleartext "timeout"
service = exec {
timeout = 2
idletime = 1
}
}

認証の後で、PIX の show uauth コマンドを発行して下さい:

pix-5# show uauth 
                         Current    Most Seen
 Authenticated Users       1          1
 Authen In Progress        0          1
 user 'timeout' at 10.31.1.5, authorized to:
    port 11.11.11.15/telnet
    absolute   timeout: 0:02:00
    inactivity timeout: 0:01:00

ユーザが 1 分のためのアイドル状態を坐らせた後、PIX のデバッグは示します:

109012: Authen Session End: user 'timeout', sid 19, elapsed 91 seconds  

ユーザは同じターゲットホストか別のホストに戻るとき再認証しなければなりません。

バーチャルHTTP

認証が PIX の外部のサイトで、また PIX 自体で必要となれば、異例なブラウザの動作は時々ブラウザがユーザ名 および パスワードをキャッシュするので観察することができます。

これを避けるために、PIX 設定へ RFC 1918 アドレス(leavingcisco.com すなわち、PIX 内部ネットワークのためにアドレスをインターネットでルート不可能である、しかし有効およびユニーク)追加することによって次のコマンドを使用してバーチャル HTTP を設定できます:

virtual http #.#.#.# [warn]

ユーザが PIX 外部に移動しようとすると、認証が必要になります。 warn パラメータがある場合、ユーザはリダイレクト メッセージを受信します。 認証は、uauth の中の期間に行われます。 ドキュメントに示すように、バーチャル HTTP の 0 秒に timeout uauth コマンド実行時間を設定 しない で下さい; HTTP が実際の Web サーバに接続できなくなります。

バーチャルHTTP送信の例:

/image/gif/paws/13819/pix441_b.gif

PIX 設定 仮想 HTTP 送信:

ip address outside 9.9.9.1 255.255.255.0
 ip address inside 171.68.118.115 255.255.255.0
 global (outside) 1 9.9.9.5-9.9.9.9 netmask 255.0.0.0
 timeout uauth 01:00:00
 aaa-server TACACS+ protocol tacacs+
 aaa-server Outgoing protocol tacacs+
 aaa-server Outgoing (inside) host 171.68.118.101 cisco timeout 10
  aaa authentication any outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 Outgoing
 virtual http 171.68.118.99
 auth-prompt THIS_IS_PIX_5 

仮想 Telnet

PIX をすべての着信 および 発信 トラフィックを認証するために設定することはいくつかのプロトコルが、「メールのような」、簡単に認証されないのでよい概念ではないです。 PIX によるすべてのトラフィックが認証されている場合メール サーバおよびクライアントが PIX によって通信することを試みる場合、認証できないプロトコルのための PIX syslog はメッセージを表示します(以下を参照):

109001: Auth start for user '???' from 9.9.9.10/11094 to 171.68.118.106/25
109009: Authorization denied from 171.68.118.106/49 to 9.9.9.10/11094 
(not authenticated 

メールおよびいくつかのその他のサービスが認証するには十分に対話型ではないので 1 ソリューションは認証/許可に except コマンドを使用することです(メール サーバ/クライアントのソース/宛先を除いてすべてを認証して下さい)。

しかし実際にある種の一般的でないサービスを認証する必要性があればこれは virtual telnet コマンドを使用してすることができます。 このコマンドは認証が仮想Telnet IP に発生するようにします。 この認証の後で、一般的でないサービスのためのトラフィックはバーチャルIP に結ばれる実サーバに行くことができます。

例では、TCPポート 49 トラフィックが外部ホスト 9.9.9.10 から内部ホスト 171.68.118.106 にフローするようにたいと思います。 このトラフィックが実際に認証可能ではないので、仮想Telnet を設定します。

仮想 Telnet 受信:

pix441_c.gif

受信 PIX コンフィギュレーション仮想Telnet:

ip address outside 9.9.9.1 255.255.255.0
 ip address inside 171.68.118.115 255.255.255.0
 static (inside,outside) 9.9.9.30 171.68.118.106 netmask 255.255.255.255 0 0
 conduit permit tcp host 9.9.9.30 host 9.9.9.10
 aaa-server TACACS+ protocol tacacs+
 aaa-server Incoming protocol tacacs+
 aaa-server Incoming (inside) host 171.68.118.101 cisco timeout 5
 aaa authentication any inbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 Incoming
 virtual telnet 9.9.9.30 

受信 TACACS+ サーバユーザコンフィギュレーション仮想Telnet:

user = pinecone {
default service = permit
        login = cleartext "pinecone"
service = exec {
        timeout = 10
        idletime = 10
        }
}

PIX デバッグ仮想 Telnet 受信:

9.9.9.10 のユーザは PIX の 9.9.9.30 アドレスへ Telnet で接続することによって最初に認証を受ける必要があります:

pixfirewall# 109001: Auth start for user '???' from 9.9.9.10/11099 
 to 171.68.118.106/23
 109011: Authen Session Start: user 'pinecone', sid 13
 109005: Authentication succeeded for user 'pinecone' from 
 171.68.118.106/23 to 9.9.9.10/11099

認証の成功の後で、show uauth コマンドはユーザは「メートルの時間」があることを示します:

pixfirewall# show uauth
                         Current    Most Seen
 Authenticated Users       1          1
 Authen In Progress        0          1
 user 'pinecone' at 9.9.9.10, authenticated
    absolute   timeout: 0:10:00
    inactivity timeout: 0:10:00 

そして 9.9.9.10 のデバイスが 171.68.118.106 でデバイスに TCP/49 トラフィックを送信 したいと思う時:

pixfirewall# 109001: Auth start for user 'pinecone' 
 from 9.9.9.10/11104 to 171.68.118.106/49
 109011: Authen Session Start: user 'pinecone', sid 14
 109007: Authorization permitted for user 'pinecone' from 9.9.9.10/11104 
 to 171.68.118.106/49
 302001: Built TCP connection 23 for faddr 9.9.9.10/11104 gaddr 
 9.9.9.30/49 laddr 171.68.118.106/49 (pinecone)
 302002: Teardown TCP connection 23 faddr 9.9.9.10/11104 gaddr 9.9.9.30/49 
laddr 171.68.118.106/49 duration 0:00:10 bytes 179 (pinecone) 

仮想 Telnet 送信:

送信 トラフィックがデフォルトで許可されるので、仮想 Telnet 送信の使用にスタティックが必要となりません。 次の例では、171.68.118.143 の内部ユーザは仮想 な 9.9.9.30 および認証するに Telnet で接続します。 Telnet接続はすぐに破棄されます。

認証されて、TCPトラフィックは 171.68.118.143 から 9.9.9.10 のサーバへの許可されます:

/image/gif/paws/13819/pix441_d.gif

PIX コンフィギュレーション仮想Telnet 発信:

 ip address outside 9.9.9.1 255.255.255.0
 ip address inside 171.68.118.115 255.255.255.0
 global (outside) 1 9.9.9.5-9.9.9.9 netmask 255.0.0.0
 timeout uauth 00:05:00
 aaa-server TACACS+ protocol tacacs+
 aaa-server Outgoing protocol tacacs+
 aaa-server Outgoing (inside) host 171.68.118.101 cisco timeout 10
 aaa authentication any outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 Outgoing
 virtual telnet 9.9.9.30  

PIX デバッグ仮想 Telnet 送信:

109001: Auth start for user '???' from 171.68.118.143/1536 to 9.9.9.30/23
 109011: Authen Session Start: user 'timeout_143', sid 25
 109005: Authentication succeeded for user 'timeout_143' from 
171.68.118.143/1536 to 9.9.9.30/23
 302001: Built TCP connection 46 for faddr 9.9.9.10/80 gaddr 9.9.9.30/1537 
  laddr 171.68 .118.143/1537 (timeout_143)
 304001: timeout_143@171.68.118.143 Accessed URL 9.9.9.10:/
 302001: Built TCP connection 47 for faddr 9.9.9.10/80 gaddr 9.9.9.30/1538 
  laddr 171.68 .118.143/1538 (timeout_143)
 302002: Teardown TCP connection 46 faddr 9.9.9.10/80 gaddr 9.9.9.30/1537 
  laddr 171.68. 118.143/1537 duration 0:00:03 bytes 625 (timeout_143)
 304001: timeout_143@171.68.118.143 Accessed URL 9.9.9.10:/
 302002: Teardown TCP connection 47 faddr 9.9.9.10/80 gaddr 9.9.9.30/1538 
  laddr 171.68. 118.143/1538 duration 0:00:01 bytes 2281 (timeout_143)
 302009: 0 in use, 1 most used  

仮想 Telnet ログアウト

ユーザが仮想Telnet IP に Telnet で接続するとき、show uauth コマンドは彼のユーザ認証を示します。 (ユーザ認証に残っている時間がある時)彼のセッションは終了する後トラフィックは行ったことをユーザが防ぎたいと思えば、彼は仮想Telnet IP に再度 Telnet で接続する必要があります。 これによりセッションはオフに切り替わります。

ポートの許可

ポート範囲の許可を求めることができます。 次の例では、すべての発信にまだ認証が必要となりましたが、許可は TCP ポートのためにだけ 23-49 求められます。

PIX 設定:

aaa authentication any outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 Outgoing 
aaa authorization tcp/23-49 outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 Outgoing 

このように 171.68.118.143 から 9.9.9.10 に Telnet で接続するとき、認証 および 権限は Telnetポート 23 が 23-49 範囲であるので行われました。 171.68.118.143 から 9.9.9.10 に HTTPセッションをするとき、まだ認証しなければなりませんが 80 が 23-49 範囲ではないので PIX は HTTP を承認するために TACACS+ サーバを頼みません。

TACACS+ フリーウェア サーバの設定

user = telnetrange {
        login = cleartext "telnetrange"
        cmd = tcp/23-49 {
        permit 9.9.9.10
        }
        }

PIX が TACACS+ サーバに "cmd=tcp/23-49" および "cmd-arg=9.9.9.10" を送信 して いることに注目して下さい。

PIX のデバッグ:

109001: Auth start for user '???' from 171.68.118.143/1051 to 9.9.9.10/23
 109011: Authen Session Start: user 'telnetrange', sid 0
 109005: Authentication succeeded for user 'telnetrange' from 
 171.68.118.143/1051 to 9. 9.9.10/23
 109011: Authen Session Start: user 'telnetrange', sid 0
 109007: Authorization permitted for user 'telnetrange' from 
 171.68.118.143/1051 to 9.9 .9.10/23
 302001: Built TCP connection 0 for faddr 9.9.9.10/23 gaddr 9.9.9.5/1051 
 laddr 171.68.1 18.143/1051 (telnetrange)
 109001: Auth start for user '???' from 171.68.118.143/1105 to 9.9.9.10/80
 109001: Auth start for user '???' from 171.68.118.143/1110 to 9.9.9.10/80
 109011: Authen Session Start: user 'telnetrange', sid 1
 109005: Authentication succeeded for user 'telnetrange' from 
 171.68.118.143/1110 to 9. 9.9.10/80
 302001: Built TCP connection 1 for faddr 9.9.9.10/80 gaddr 9.9.9.5/1110 
 laddr 171.68.1 18.143/1110 (telnetrange)
 302001: Built TCP connection 2 for faddr 9.9.9.10/80 gaddr 9.9.9.5/1111 
 laddr 171.68.1 18.143/1111 (telnetrange)
 302002: Teardown TCP connection 1 faddr 9.9.9.10/80 gaddr 9.9.9.5/1110 
laddr 171.68.11 8.143/1110 duration 0:00:08 bytes 338 (telnetrange)
 304001: timeout_143@171.68.118.143 Accessed URL 9.9.9.10:/
 302002: Teardown TCP connection 2 faddr 9.9.9.10/80 gaddr 9.9.9.5/1111 laddr 
171.68.11 8.143/1111 duration 0:00:01 bytes 2329 (telnetrange)  

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 13819