セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PIX 5.0.x の設定: TACACS+ およびRADIUS

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2003 年 9 月 30 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

RADIUS および TACACS+ 認証は、FTP、Telnet、および HTTP の接続に対して実行できます。 認証は、一般的ではない他の TCP プロトコルでも、通常は行うことができます。

TACACS+ 許可はサポートされます。 RADIUS 許可はサポートされません。 前のバージョン上の PIX 5.0 認証、許可、アカウンティング(AAA)の変更は HTTP 以外トラフィックのための AAA 会計が含まれ、FTP し、Telnet で接続します。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

認証か許可か

  • 認証はユーザがだれであるかです。

  • 許可はユーザがことができるものですする。

  • 認証は、許可がなくても有効です。

  • 許可は、認証がないと有効ではありません。

一例として内部百人のユーザがあり、ほしいためにこれらのユーザの 6 つにネットワークの外部の FTP、Telnet、または HTTP をされるほしいことを、仮定して下さい。 PIX を送信 トラフィックを認証し、すべての 6 人のユーザに TACACS+/RADIUS セキュリティサーバの ID を与えるように言って下さい。 シンプル認証を使うと、この 6 人のユーザはユーザ名 および パスワードを使うと認証することができましたりそして出かけます。 他の 94 人のユーザは出かけることができません。 PIX は username/password のためのユーザをプロンプト表示しましたり、そして TACACS+/RADIUS セキュリティサーバにユーザ名 および パスワードを渡します。 応答によっては、それは接続を開くか、または否定します。 この 6 人のユーザは FTP、Telnet、または HTTP をすることができます。

一方では、この 3 人のユーザの 1 人を、「テリー」、ではないです信頼されること仮定して下さい。 するようにテリー外部に FTP を、ない HTTP または Telnet が望みます。 これは認証を追加する必要意味します。 すなわち、ユーザがだれのあるか認証に加えてすることができるものを承認します。 PIX に認証を追加するとき、PIX はセキュリティサーバに最初に「コマンド」がテリー試みているものをテリーのユーザ名 および パスワードを送信 しましたり、セキュリティサーバにすることを述べている認証要求を送信 します。 きちんとサーバセットアップを使うと、テリーは「FTP 1.2.3.4」に許可することができますが、「HTTP」または「Telnet」への能力をどこでも否定されます。

ユーザがAuthentication/Authorization をオンにしたときに見る画面表示

認証/許可と内部から外部へ(または逆に)行くことを試みる時:

  • Telnet -ユーザはパスワードについては要求に先行しているユーザ名プロンプト表示が現れます。 認証(および許可)が PIX/サーバで正常に行われると、以降の宛先ホストからユーザ名とパスワードの入力を求められます。

  • FTP - ユーザはユーザネームプロンプトが表示されるのを見ます。 ユーザ名に「local_username@remote_username」を、パスワードに「local_password@remote_password」を入力する必要があります。 PIX は「local_username」と「local_password」をローカルのセキュリティ サーバに送信します。認証(および許可)が PIX/サーバで正常に行われると、「remote_username」と「remote_password」は以降の宛先 FTP サーバに渡されます。

  • HTTP - ウィンドウはそのブラウザで表示する ユーザ名 および パスワードを要求します。 認証(および許可)が正常に行われると、宛先の Web サイトおよびその先に到達します。 ブラウザがユーザ名 および パスワードをキャッシュすることに留意して下さい。 PIX が HTTP 接続をタイムアウトする必要があるのにタイムアウトしない場合、実際にはブラウザによって再認証が行われている傾向があります。キャッシュされたユーザ名とパスワードが PIX へ「送られ」、次に PIX がこれを認証サーバへ転送します。 この現象は、PIX の syslog またはサーバのデバッグに示されます。 Telnet および FTP が正常に働くようであるが HTTP 接続が場合、こういうわけで。

すべてのシナリオに適用できるセキュリティサーバ設定

Cisco Secure UNIX TACACSサーバ 設定

CSU.cfg ファイルで PIX IP アドレスか完全修飾ドメイン名 および キーがあることを確かめて下さい。

user = ddunlap {
password = clear "rtp"
default service = permit
}

user = can_only_do_telnet {
password = clear "telnetonly"
service = shell {
cmd = telnet {
permit .*
}
}
}

user = can_only_do_ftp {
password = clear "ftponly"
service = shell {
cmd = ftp {
permit .*
}
}
}

user = httponly {
password = clear "httponly"
service = shell {
cmd = http {
permit .*
}
}
}

Cisco Secure UNIX RADIUS サーバコンフィギュレーション

ネットワーク アクセス サーバ(NAS)リストに PIX IP およびキーを追加するのにグラフィカル ユーザ インターフェイス (GUI)を使用して下さい。

user=adminuser {
radius=Cisco {
check_items= {
2="all"
}
reply_attributes= {
6=6
}
}

Cisco Secure Windows 2.x RADIUS

次の手順に従ってください。

  1. User Setup GUI セクションのパスワードを入手して下さい。

  2. Group Setup GUI セクションから、ログインするためにアトリビュート 6 (サービス タイプ)をまたは管理上設定 して下さい。

  3. NAS 設定 GUI の PIX IP を追加して下さい。

EasyACS TACACS+

EasyACSドキュメンテーションはセットアップを記述します。

  1. グループ セクションで、『Shell exec』 をクリック して下さい(実行特権を与えるため)。

  2. 認証を PIX に追加するために、グループセットアップの下部ので『Deny unmatched IOS commands』 をクリック して下さい。

  3. 割り当てたい各コマンドのために『Add/Edit new command』 を選択 して下さい(たとえば、Telnet)。

  4. 特定のサイトに Telnet を許可したいと思う場合形式「割り当て #.#.#.#」の引数部分で IP を入力して下さい。 Telnet をすべてのサイトに許可するために、『Allow all unlisted arguments』 をクリック して下さい。

  5. 『Finish editing command』 をクリック して下さい。

  6. 許可されたコマンドのそれぞれのためのステップ 1 〜 5 を実行して下さい(たとえば、Telnet、HTTP、または FTP)。

  7. NAS Configuration GUI セクションの PIX IP を追加して下さい。

Cisco Secure 2.x TACACS+

ユーザは User Setup GUI セクションのパスワードを入手します。

  1. グループ セクションで、『Shell exec』 をクリック して下さい(実行特権を与えるため)。

  2. 認証を PIX に追加するために、グループセットアップの下部ので『Deny unmatched IOS commands』 をクリック して下さい。

  3. 割り当てたいと思う各コマンドのために『Add/Edit new command』 を選択 して下さい(たとえば、Telnet)。

  4. 特定のサイトに Telnet を許可したいと思う場合引数入力用の長方形で割り当て IP を入力して下さい(たとえば、「割り当て 1.2.3.4")。 Telnet をすべてのサイトに許可するために、『Allow all unlisted arguments』 をクリック して下さい。

  5. 『Finish editing command』 をクリック して下さい。

  6. 許可されたコマンドのそれぞれのための前の手順を行って下さい(たとえば、Telnet、HTTP や FTP)。

  7. NAS Configuration GUI セクションの PIX IP を追加して下さい。

Livingston RADIUS サーバの設定

PIX IP を追加し、クライアントにファイルをキー入力して下さい。

adminuser Password="all"
User-Service-Type = Shell-User

Merit RADIUS サーバの設定

PIX IP を追加し、クライアントにファイルをキー入力して下さい。

adminuser Password="all"
Service-Type = Shell-User 
key = "cisco"

user = adminuser {
login = cleartext "all"
default service = permit
}

user = can_only_do_telnet {
login = cleartext "telnetonly"
cmd = telnet { 
permit .*
}
}

user = httponly {
login = cleartext "httponly"
cmd = http { 
permit .*
}
}

user = can_only_do_ftp {
login = cleartext "ftponly"
cmd = ftp { 
permit .*
}
}

デバッグの手順

  • AAA を追加する前にことを PIX コンフィギュレーション作業確かめて下さい。

    • 認証と許可を制定する前にトラフィックを通過させることができないと、結局これらを制定できなくなります。

  • PIX をログオンするイネーブル

    • logging console debugging コマンドは、負荷の高いシステムでは使用しないでください。

    • logging buffered debugging コマンドは使用できます。 show logging または logging コマンドから出力は syslog サーバに送られ、検査することができます。

  • デバッグが TACACS+ か RADIUSサーバのためにオンになっていることを確かめて下さい。 このオプションはすべてのサーバで有効です。

ネットワーク構成図

/image/gif/paws/13820/pix50_a.gif

PIX の設定
pix-5# write terminal
 nameif ethernet0 outside security0
 nameif ethernet1 inside security100
 enable password 8Ry2YjIyt7RRXU24 encrypted
 passwd 2KFQnbNIdI.2KYOU encrypted
 hostname pixfirewall
 fixup protocol ftp 21
 fixup protocol http 80
 fixup protocol smtp 25
 fixup protocol h323 1720
 fixup protocol rsh 514
 fixup protocol sqlnet 1521
 names
 name 1.1.1.1 abcd
 name 1.1.1.2 a123456789
 name 1.1.1.3 a123456789123456
 pager lines 24
 logging timestamp
 no logging standby
 logging console debugging
 no logging monitor
 logging buffered debugging
 no logging trap
 logging facility 20
 logging queue 512
 interface ethernet0 auto
 interface ethernet1 auto
 mtu outside 1500
 mtu inside 1500
 ip address outside 192.1.1.254 255.255.255.0
 ip address inside 10.31.1.200 255.255.255.0
 no failover
 failover timeout 0:00:00
 failover ip address outside 0.0.0.0
 failover ip address inside 0.0.0.0
 arp timeout 14400
 global (outside) 1 192.1.1.10-192.1.1.20 netmask 255.255.255.0
 static (inside,outside) 192.1.1.25 171.68.118.143 netmask 255.255.255.255 0 0
 static (inside,outside) 192.1.1.30 10.31.1.5 netmask 255.255.255.255 0 0
 conduit permit tcp any any 
 conduit permit icmp any any 
 conduit permit udp any any 
 no rip outside passive
 no rip outside default
 no rip inside passive
 no rip inside default
 route inside 171.68.118.0 255.255.255.0 10.31.1.1 1
 timeout xlate 3:00:00 conn 1:00:00 half-closed 0:10:00 udp 0:02:00
 timeout rpc 0:10:00 h323 0:05:00
 timeout uauth 0:00:00 absolute
 aaa-server TACACS+ protocol tacacs+ 
 aaa-server RADIUS protocol radius 
 aaa-server AuthInbound protocol tacacs+ 
 aaa-server AuthInbound (inside) host 171.68.118.143 cisco timeout 5
 aaa-server AuthOutbound protocol radius 
 aaa-server AuthOutbound (inside) host 171.68.118.133 cisco timeout 5
 aaa authentication telnet outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 AuthOutbound
 aaa authentication telnet inbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 AuthInbound
 aaa authentication http outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 AuthOutbound
 aaa authentication http inbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 AuthInbound
 aaa authentication ftp outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 AuthOutbound
 aaa authentication ftp inbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 AuthInbound
 no snmp-server location
 no snmp-server contact
 snmp-server community public
 no snmp-server enable traps
 telnet timeout 5
 terminal width 80
 Cryptochecksum:fef4bfc9801d7692dce0cf227fe7859b
 : end

PIX からの PIXAuthentication デバッグ例からの認証デバッグ例

これらのデバッグ例:

発信

10.31.1.5 の内部ユーザは外部 192.1.1.1 にトラフィックを初期化し、TACACS+ によって認証されます。 RADIUSサーバが含まれている 171.68.118.133 送信 トラフィックは Server リスト「AuthOutbound」を使用します。

着信

192.1.1.1 の外部ユーザは内部 10.31.1.5 にトラフィックを初期化します(192.1.1.30) TACACS によって認証され。 TACACSサーバが 171.68.118.143)含まれている着信 トラフィックは Server リスト「AuthInbound」を使用します。

PIX デバッグ-良好な認証- TACACS+

この例は良好な認証を用いる PIX デバッグを示したものです:

pixfirewall# 109001: Auth start for user "???" from 192.1.1.1/13155 
    to 10.31.1.5/23
 109011: Authen Session Start: user 'pixuser', sid 6
 109005: Authentication succeeded for user 'pixuser' from 10.31.1.5/23 
    to 192.1.1.1/13155
 109012: Authen Session End: user 'pixuser', Sid 6, elapsed 1 seconds
 302001: Built inbound TCP connection 6 for faddr 192.1.1.1/13155 
    gaddr 192.1.1.30/23 laddr 10.31.1.5/23 (pixuser)

PIX デバッグ-認証不良(ユーザ名かパスワード) - TACACS+

この例は認証不良を用いる PIX デバッグを示したものです(ユーザ名かパスワード)。 ユーザは 4 つのユーザネーム/パスワードセットおよびメッセージ「エラーを見ます: 超過する試みの最大数」。

pixfirewall# 109001: Auth start for user '???' from 192.1.1.1/13157 
    to 10.31.1.5/23
 109006: Authentication failed for user '' from 10.31.1.5/23 
    to 192.1.1.1/13157

PIX デバッグ-サーバを ping できます無応答- TACACS+

この例はサーバが ping することができるが、示しましたり PIX に伝えていないものです PIX デバッグを。 ユーザはユーザ名を一度見ますが、PIX はパスワードの決して入力を求めません(これは Telnet にあります)。 ユーザは「エラーを見ます: 超過する試みの最大数」

Auth start for user '???' from 192.1.1.1/13159 to 
    10.31.1.5/23
 pixfirewall# 109002: Auth from 10.31.1.5/23 to 192.1.1.1/13159 
    failed (server 171.68.118.143 failed)
 109002: Auth from 10.31.1.5/23 to 192.1.1.1/13159 failed 
    (server 171.68.118.143 failed)
 109002: Auth from 10.31.1.5/23 to 192.1.1.1/13159 failed 
    (server 171.68.118.143 failed)
 109006: Authentication failed for user '' from 10.31.1.5/23 
    to 192.1.1.1/13159 

PIX デバッグ-サーバ ping することが不可能- TACACS+

サーバが ping 可能どこにではないかこの例に PIX デバッグに示されています。 ユーザはユーザ名を一度見ますが、PIX はパスワードの決して入力を求めません(これは Telnet にあります)。 これらのメッセージは表示する: 「TACACS+ サーバ」および「エラーへのタイムアウト:超過する試みの最大数(設定の偽サーバを交換しました)。

109001: Auth start for user '???' from 192.1.1.1/13158 
    to 10.31.1.5/23
 109002: Auth from 10.31.1.5/23 to 192.1.1.1/13158 failed 
    (server 171.68.118.143 failed)
 109002: Auth from 10.31.1.5/23 to 192.1.1.1/13158 failed 
    (server 171.68.118.143 failed)
 109002: Auth from 10.31.1.5/23 to 192.1.1.1/13158 failed 
    (server 171.68.118.143 failed)
 109006: Authentication failed for user '' from 10.31.1.5/23 
    to 192.1.1.1/13158

PIX デバッグ-良好な認証- RADIUS

この例は良好な認証を用いる PIX デバッグを示したものです:

109001: Auth start for user '???' from 10.31.1.5/11074 
    to 192.1.1.1/23
 109011: Authen Session Start: user 'pixuser', Sid 7
 109005: Authentication succeeded for user 'pixuser' 
    from 10.31.1.5/11074 to 192.1.1.1/23
 109012: Authen Session End: user 'pixuser', Sid 7, 
    elapsed 1 seconds
 302001: Built outbound TCP connection 7 for faddr 192.1.1.1/23 
    gaddr 192.1.1.30/11074 laddr 10.31.1.5/11074 (pixuser)

PIX デバッグ-認証不良(ユーザ名かパスワード) - RADIUS

この例は認証不良を用いる PIX デバッグを示したものです(ユーザ名かパスワード)。 ユーザはユーザ名 および パスワードについては要求を見ます。 ユーザは正常な Username/Password エントリのための 3 つの機会があります。

- 'Error: max number of tries exceeded'
 pixfirewall# 109001: Auth start for user '???' from 
    192.1.1.1/13157 to 10.31.1.5/23
 109001: Auth start for user '???' from 10.31.1.5/11075 
    to 192.1.1.1/23
 109002: Auth from 10.31.1.5/11075 to 192.1.1.1/23 failed 
    (server 171.68.118.133 failed)
 109002: Auth from 10.31.1.5/11075 to 192.1.1.1/23 failed 
    (server 171.68.118.133 failed)
 109002: Auth from 10.31.1.5/11075 to 192.1.1.1/23 failed 
    (server 171.68.118.133 failed)
 109006: Authentication failed for user '' from 10.31.1.5/11075 
    to 192.1.1.1/23

PING デバッグ-サーバを、デーモンは ping できます- RADIUS

サーバが ping 可能どこにであるが、デーモンはダウンし、PIX と通信しませんかこの例に PIX デバッグに示されています。 ユーザはユーザ名、パスワードおよびメッセージ「RADIUSサーバが」および「エラー失敗したことを見ます: 超過する試みの最大数」

pixfirewall# 109001: Auth start for user '???' 
    from 10.31.1.5/11076 to 192.1.1.1/23
 109002: Auth from 10.31.1.5/11076 to 192.1.1.1/23 failed 
    (server 171.68.118.133 failed)
 109002: Auth from 10.31.1.5/11076 to 192.1.1.1/23 failed 
    (server 171.68.118.133 failed)
 109002: Auth from 10.31.1.5/11076 to 192.1.1.1/23 failed 
    (server 171.68.118.133 failed)
 109006: Authentication failed for user '' from 10.31.1.5/11076 
    to 192.1.1.1/23

PIX デバッグ-サーバかキー/クライアントミスマッチ ping することが不可能- RADIUS

この例はサーバが ping 可能ではないまたはキー/クライアントミスマッチがある PIX デバッグに蹄鉄を打ちます。 ユーザは RADIUSサーバ」および「エラーへのユーザ名、パスワードおよびメッセージ「タイムアウトを見ます:超過する試みの最大数(偽サーバは設定交換されました)。

109001: Auth start for user '???' from 10.31.1.5/11077 
    to 192.1.1.1/23
 109002: Auth from 10.31.1.5/11077 to 192.1.1.1/23 failed 
    (server 100.100.100.100 failed)
 109002: Auth from 10.31.1.5/11077 to 192.1.1.1/23 failed 
    (server 100.100.100.100 failed)
 109002: Auth from 10.31.1.5/11077 to 192.1.1.1/23 failed 
    (server 100.100.100.100 failed)
 109006: Authentication failed for user '' from 10.31.1.5/11077 
    to 192.1.1.1/23  

認可の追加

認証を追加することにする場合(許可が認証なしで無効であるので)同じ送信元範囲 および 宛先範囲のために許可を求めます:

aaa authorization telnet inbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 AuthInbound
aaa authorization HTTP inbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 AuthInbound
aaa authorization ftp inbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 AuthInbound 

アウトゴーイングトラフィックが RADIUS と認証される、RADIUS認証は無効ですので認証が「発信」のために追加されないことに注目すれば。

PIX からの認証及び権限デバッグ例

PIX デバッグ-良好な認証および認証の成功- TACACS+

この例は良好な認証および認証の成功の PIX デバッグを示したものです:

109011: Authen Session Start: user 'pixuser', Sid 8
 109007: Authorization permitted for user 'pixuser' 
    from 192.1.1.1/13160 to 10.31.1.5/23
 109012: Authen Session End: user 'pixuser', Sid 8, 
    elapsed 1 seconds
 302001: Built inbound TCP connection 8 for faddr 192.1.1.1/13160 
    gaddr 192.1.1.30/23 laddr 10.31.1.5/23 (pixuser) 

PIX デバッグ-良好な認証、認証失敗- TACACS+

この例は良好な認証を用いる認証失敗の PIX デバッグを示したものです。 ここにユーザはまたメッセージ「エラー見ます: 拒否される許可」

109001: Auth start for user '???' from 192.1.1.1/13162 
    to 10.31.1.5/23
 109011: Authen Session Start: user 'userhttp', Sid 10
 109005: Authentication succeeded for user 'userhttp' 
    from 10.31.1.5/23 to 192.1.1.1/13162
 109008: Authorization denied for user 'userhttp' 
    from 10.31.1.5/23 to 192.1.1.1/13162
 109012: Authen Session End: user 'userhttp', Sid 10, 
    elapsed 1 seconds
 302010: 0 in use, 2 most used

アカウンティングの追加

TACACS+

aaa accounting any inbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 AuthInbound 

説明がオン/オフであるかどうか外観を同じデバッグして下さい。 ただし、の時に「」、a 「開始する」アカウンティング レコード 送信 されます構築しました。 「ティアダウンの時に」、a 「停止」アカウンティング レコードは送信 されます。

この出力のように TACACS+ アカウンティング レコード見え(これらは Cisco Secure NT、それ故にコンマで区切られった 形式からあります):

04/26/2000,01:31:22,pixuser,Default Group,192.1.1.1,
  start,,,,,,,0x2a,,PIX,10.31.1.200,telnet,6,
  Login,1,,,1,,,,,,,,,,,,local_ip=10.31.1.5 foreign_ip=192.1.1.1,
  ,, ,,,,,,,,,,zekie,,,,,,,,^
04/26/2000,01:31:26,pixuser,Default Group,192.1.1.1,stop,4,
  ,36,82,,,0x2a,,PIX,10.31.1.200,telnet,6,
  Login,1,,,1,,,,,,,,,,,,local_ip=10.31.1.5 foreign_ip=192.1.1. 1,
  ,,,,,,,,,,,,zekie,,,,,,,,

RADIUS

aaa accounting any outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 AuthOutbound

デバッグは説明がオン/オフであるかどうか同じを検知 します。 ただし、の時に「」、a 「開始する」アカウンティング レコード 送信 されます構築しました。 「ティアダウンの時に」、a 「停止」アカウンティング レコードは送信 されます。

この出力のように RADIUS アカウンティング レコード見え(これらは Cisco Secure UNIX からあります; Cisco Secure NT の物は代りにコンマで区切られるかもしれません):

radrecv: Request from host a1f01c8 code=4, id=18, length=65
Acct-Status-Type = Start
Client-Id = 10.31.1.200
Login-Host = 10.31.1.5
Login-TCP-Port = 23
Acct-Session-Id = "0x0000002f"
User-Name = "pixuser"
Sending Accounting Ack of id 18 to a1f01c8 (10.31.1.200)
radrecv: Request from host a1f01c8 code=4, id=19, length=83
Acct-Status-Type = Stop
Client-Id = 10.31.1.200
Login-Host = 10.31.1.5
Login-TCP-Port = 23
Acct-Session-Id = "0x0000002f"
Username = "pixuser"
Acct-Session-Time = 7

except コマンドの使用

特定ソースや宛先は認証、許可、または説明を必要としないことをネットワークでは、決定すれば、出力されるそのようなことをすることができます:

aaa authentication except inbound 192.1.1.1 255.255.255.255
   0.0.0.0 0.0.0.0 AuthInbound

」認証からのボックスを除いて「あり、許可がある場合、また許可からのボックスを除外して下さい。

最大セッションとログイン ユーザの表示

一部の TACACS+ および RADIUS サーバには、「最大セッション」または「ログイン ユーザの表示」機能があります。 最大セッションを実行したりログイン ユーザをチェックしたりする機能は、アカウンティング レコードによって変わります。 作成される会計「開始する」レコード「停止」レコードがないが、とき、人がまだログオンされることを TACACS+ か RADIUSサーバは仮定します(PIX によってセッションがあります)。

これは Telnet や FTP 接続では接続の性質上うまく機能します。 HTTP では接続の性質上、十分に機能しません。 この出力例では、別のネットワークコンフィギュレーションは使用されますが、概念は同じです。

ユーザは方法で認証を受ける PIX によって Telnet で接続します:

(pix) 109001: Auth start for user '???' from 171.68.118.100/1200 
    to 9.9.9.25 /23
(pix) 109011: Authen Session Start: user 'cse', Sid 3
(pix) 109005: Authentication succeeded for user 'cse' 
    from 171.68.118.100/12 00 to 9.9.9.25/23
(pix) 302001: Built TCP connection 5 for faddr 9.9.9.25/23 
    gaddr 9.9.9.10/12 00 laddr 171.68.118.100/1200 (cse)
(server start account) Sun Nov 8 16:31:10 1998 
    rtp-pinecone.rtp.cisco.com cse
 PIX 171.68.118.100 start task_id=0x3 foreign_ip=9.9.9.25 
    local_ip=171.68.118.100 cmd=telnet

「開始する」は記録するが、ことをサーバが見たので「停止」レコードは(この時点で)、サーバ「Telnet」ユーザがログオンされることを示しません。 最大セッション数がこのユーザ向けのサーバの "1" に(サーバを仮定しているサポートすれば最大セッション数を設定 されれば試みればユーザが認証を必要とする別の接続を、そして) (多分別の PC から)、接続はサーバによって拒否されます。

ユーザはターゲットホスト、そして終了の Telnet か FTPビジネスと続きます(10 分をそこに使います):

(pix) 302002: Teardown TCP connection 5 faddr 
    9.9.9.25/80 gaddr 9.9.9.10/128 1 
    laddr 171.68.118.100/1281 duration 0:00:00 bytes 1907 (cse)
   (server stop account) Sun Nov 8 16:41:17 1998 
    rtp-pinecone.rtp.cisco.com cse
 PIX 171.68.118.100 stop task_id=0x3 foreign_ip=9.9.9.25 
    local_ip=171.68.118.100 cmd=telnet elapsed_time=5 
    bytes_in=98 bytes_out=36

ユーザ認証は 0 (毎回認証する)または多く(ユーザ認証期間の間の一度および再度認証する)であるかどうか、アカウンティング レコードはアクセスされる各サイトのために切られます。

HTTP は、そのプロトコルの性質によって、動作が異なります。 この出力は HTTPの例を示したものです:

ユーザは 171.68.118.100 にから 9.9.9.25 PIX によってブラウズします:

(pix) 109001: Auth start for user '???' from 171.68.118.100/1281 
    to 9.9.9.25 /80
 (pix) 109011: Authen Session Start: user 'cse', Sid 5
 (pix) 109005: Authentication succeeded for user 'cse' 
    from 171.68.118.100/12 81 to 9.9.9.25/80
 (pix) 302001: Built TCP connection 5 for faddr 9.9.9.25/80 
    gaddr 9.9.9.10/12 81 laddr 171.68.118.100/1281 (cse)
 (server start account) Sun Nov 8 16:35:34 1998 
    rtp-pinecone.rtp.cisco.com cse
 PIX 171.68.118.100 start task_id=0x9 foreign_ip=9.9.9.25 
    local_ip=171.68.118.100 cmd=http
 (pix) 302002: Teardown TCP connection 5 faddr 9.9.9.25/80 
    gaddr 9.9.9.10/128 1 laddr 171.68.118.100/1281 duration 
    0:00:00 bytes 1907 (cse)
 (server stop account) Sun Nov 8 16:35.35 1998 
    rtp-pinecone.rtp.cisco .com cse PIX 171.68.118.100 
    stop task_id=0x9 foreign_ip =9.9.9.25
 local_ip=171.68.118.100 cmd=http elapsed_time=0 
    bytes_ in=1907 bytes_out=223

ユーザは、ダウンロードされた Web ページを読みます。

16:35:34 で掲示される開始レコードおよび 16:35:35 で掲示される停止レコード。 このダウンロードには 1 秒かかりました(つまり、開始と停止のレコード間は 1 秒未満でした)。 ユーザはまだ開いた Webサイトおよび接続に彼らが Webページを読んでいるときまだログオンされますか。 いいえ。 最大セッションまたはログイン ユーザの表示は機能するでしょうか? 答えはいいえ、です。HTTP の接続時間(「開始」と「終了」の間の時間)が短すぎるため、機能できません。 「開始」および「停止」レコードは、1 秒以下です。 レコードが殆ど同時に発生するので、「開始する」レコードは「停止」レコードなしではありません。 ユーザ認証がより大きい 0 または何かのために設定 されるかどうかまだ「開始する」があり、各トランザクションのためのサーバに送られるレコードを「停止して下さい」。 ただし、max-sessions and view logged-in users は HTTP 接続の性質が原因ではたらかせません。

PIX 自身での認証および有効化

前の説明は PIX によって Telnet (および HTTP、FTP)トラフィックを認証することを記述しました。 認証なしで PIX 作業 Telnet を確かめます:

telnet 10.31.1.5 255.255.255.255 passwd ww
aaa authentication telnet console AuthInbound

ユーザが PIX に Telnet で接続するとき、Telnetパスワード(ww)のためにプロンプト表示されます。 それから PIX はまた「AuthInbound」Server リストが使用されるので TACACS+ (この場合、)または RADIUSユーザ名およびパスワード要求します。 サーバがダウンしている場合、PIX にユーザ名のための PIX の入力によってそれからイネーブルパスワード(enable password whatever)アクセス権を得るためにおよび得ることができます。

このコマンドを使って:

aaa authentication enable console AuthInbound 

ユーザは TACACS (この場合、「AuthInbound」Server リストが使用されるので、要求は TACACSサーバに)行きますまたは RADIUSサーバに送信 される ユーザ名 および パスワードのためにプロンプト表示されます。 イネーブルのための認証パケットがログオンのための認証パケットと同じであるので、ユーザが TACACS または RADIUS の PIX にログインできる場合、それらは同じ ユーザ名/パスワードで TACACS か RADIUS によって有効に なることができます。 この問題は Cisco バグ ID CSCdm47044登録ユーザのみ)を割り当てられました。

シリアルコンソールの認証

AAA認証 シリアルコンソール AuthInbound コマンドは PIX のシリアルコンソールにアクセスするために認証確認が要求します。

ユーザがコンソールからの設定コマンドを実行するとき、syslog メッセージは切られます(PIX を syslog host にデバッグ レベルで syslog を送信 するために仮定することは設定されます)。 これは表示するものがの syslog サーバで例です:

logmsg: pri 245, flags 0, from [10.31.1.200.2.2], msg Nov 01 1999    
 03:21:14: %PIX-5-111008: User 'pixuser' executed the 'logging' command. 

ユーザが見るプロンプトを変更して下さい

auth-prompt pix_pix_pix コマンドがある場合、PIX を通過するユーザはこのシーケンスを見ます:

PIX_PIX_PIX [at which point one would enter the username]
Password:[at which point one would enter the password] 

最終宛先ボックスの到達に、「ユーザ名: 」および「パスワード: 」プロンプトは表示する。 このプロンプトは PIX によって、ない PIX 行っているユーザだけ影響を与えます。

注: PIX にアクセスのために切られるアカウンティング レコードがありません。

メッセージユーザを見ます成功/失敗でカスタマイズして下さい

コマンドを作成すれば:

auth-prompt accept "GOOD_AUTH"
auth-prompt reject "BAD_AUTH"

ユーザは PIX によって失敗した/成功したログインのこのシーケンスを見ます:

PIX_PIX_PIX
 Username: asjdkl
 Password: 
 "BAD_AUTH" 
 "PIX_PIX_PIX" 
 Username: cse
 Password: 
 "GOOD_AUTH"

ユーザごとのアイドルおよび絶対タイムアウト

アイドル状態および絶対的なユーザ認証タイムアウトはユーザー単位の TACACS+ サーバから送信 することができます。 ネットワークのユーザ全員が同じ「タイムアウトユーザ認証を持つべきなら」これを設定しないで下さい! しかしユーザごとの異なるユーザ認証を必要としたら読み続けて下さい。

この例では、timeout uauth 3:00:00 コマンドは使用されます。 人が認証されれば、彼らは 3 時間再認証する必要がありません。 ただし、このプロファイルのユーザを設定し、PIX で TACACS AAA認証があれば、ユーザ プロファイルのアイドル状態および絶対タイムアウトはそのユーザ向けの PIX のタイムアウトユーザ認証を無効にします。 これは PIX による Telnetセッションがアイドル状態/絶対タイムアウトの後で切断されていることを意味しません。 それはちょうど再認証が起こるかどうか制御します。

このプロファイルは TACACS+ フリーウェアから来ます:

user = timeout {
default service = permit
login = cleartext "timeout"
service = exec {
timeout = 2
idletime = 1
}
}

認証の後で、PIX の show uauth コマンドを実行して下さい:

pix-5# show uauth 
                         Current    Most Seen
 Authenticated Users       1          1
 Authen In Progress        0          1
 user 'timeout' at 10.31.1.5, authorized to:
    port 11.11.11.15/telnet
    absolute   timeout: 0:02:00
    inactivity timeout: 0:01:00

ユーザが 1 分のためのアイドル状態を坐らせた後、PIX のデバッグは示します:

109012: Authen Session End: user 'timeout', Sid 19, elapsed 91 seconds

ユーザはそれが同じターゲットホストか別のホストに戻るとき再認証しなければなりません。

バーチャルHTTP

認証が PIX の外部のサイトで、また PIX 自体で必要となれば、異例なブラウザの動作は時々ブラウザがユーザ名 および パスワードをキャッシュするので観察することができます。

これを避けるために、PIX 設定へ RFC 1918 アドレス(leavingcisco.com PIX 内部ネットワークのためにアドレスをインターネットでルート不可能である、しかし有効およびユニーク)追加することによってこのコマンドを使用してバーチャル HTTP を設定できます:

virtual http #.#.#.# [warn] 

ユーザが PIX 外部に移動しようとすると、認証が必要になります。 warn パラメータがある場合、ユーザはリダイレクト メッセージを受信します。 認証は、uauth の中の期間に行われます。 ドキュメントに示すように、バーチャル HTTP の 0 秒に timeout uauth コマンド実行時間を設定 しない で下さい。 HTTP が実際の Web サーバに接続できなくなります。

仮想 HTTP 送信ダイアグラム

/image/gif/paws/13820/pix50_b.gif

PIX 設定 仮想 HTTP 送信

ip address outside 9.9.9.1 255.255.255.0
 ip address inside 171.68.118.115 255.255.255.0
 global (outside) 1 9.9.9.5-9.9.9.9 netmask 255.0.0.0
 timeout uauth 01:00:00
 aaa-server TACACS+ protocol tacacs+
 aaa-server AuthOutbound protocol tacacs+
 aaa-server AuthOutbound (inside) host 171.68.118.101 cisco timeout 10
 aaa authentication any outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 AuthOutbound
 virtual http 171.68.118.99 
 auth-prompt THIS_IS_PIX_5 

仮想 Telnet

PIX をすべての着信 および 発信 トラフィックを認証するために設定することは可能性のあるですがそうするよい概念ではないです。 これはいくつかのプロトコルが、「メールのような」、簡単に認証されないという理由によります。 PIX によるすべてのトラフィックが認証されているときメール サーバおよびクライアントが PIX によって通信することを試みるとき、認証不可能なプロトコルのための PIX syslog はメッセージを表示します(以下を参照):

109001: Auth start for user '???' from 9.9.9.10/11094 
    to 171.68.118.106/25
 109009: Authorization denied from 171.68.118.106/49 to 
    9.9.9.10/11094 (not authenticated 

メールおよびいくつかのその他のサービスが認証するには十分に対話型ではないので 1 ソリューションは認証/許可に except コマンドを使用することです(メール サーバ/クライアントのソース/宛先を除いてすべてを認証して下さい)。

ある種の一般的でないサービスを認証する実質必要性がある場合これは virtual telnet コマンドを使用してすることができます。 このコマンドは認証が仮想Telnet IP に発生するようにします。 この認証の後で、一般的でないサービスのためのトラフィックは実サーバに行くことができます。

この例では、TCPポート 49 トラフィックに外部ホスト 9.9.9.10 から内部ホスト 171.68.118.106 にフローしてほしいです。 このトラフィックが実際に認証可能ではないので、仮想Telnet を設定します。 受信 仮想Telnet に関しては、関連するスタティックがある必要があります。 ここでは、9.9.9.20 および 171.68.118.20 は両方仮想アドレスです。

仮想 Telnet 受信ダイアグラム

/image/gif/paws/13820/pix50_c.gif

受信 PIX コンフィギュレーション仮想Telnet

ip address outside 9.9.9.1 255.255.255.0
 ip address inside 171.68.118.115 255.255.255.0
 static (inside,outside) 9.9.9.20 171.68.118.20 netmask 255.255.255.255 0 0
 static (inside,outside) 9.9.9.30 171.68.118.106 netmask 255.255.255.255 0 0
 conduit permit tcp host 9.9.9.20 eq telnet any
 conduit permit tcp host 9.9.9.30 eq tacacs any
 aaa-server TACACS+ protocol tacacs+
 aaa-server AuthInbound protocol tacacs+
 aaa-server AuthInbound (inside) host 171.68.118.101 cisco timeout 5
 AAA authentication any inbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 AuthInbound
 virtual telnet 9.9.9.20 

受信 TACACS+ サーバユーザコンフィギュレーション仮想Telnet

user = pinecone {
default service = permit
        login = cleartext "pinecone"
service = exec {
        timeout = 10
        idletime = 10
        }
}

PIX デバッグ仮想 Telnet 受信

9.9.9.10 のユーザは PIX の 9.9.9.20 アドレスへ Telnet で接続することによって最初に認証を受ける必要があります:

pixfirewall# 109001: Auth start for user '???' from 9.9.9.10/11099 
    to 171.68.118.20/23
 109011: Authen Session Start: user 'pinecone', Sid 13
 109005: Authentication succeeded for user 'pinecone' 
    from 171.68.118.20/23 to 9.9.9.10/1470 

認証の成功の後で、show uauth コマンドはユーザは「メートルの時間」があることを示します:

pixfirewall# show uauth
                         Current    Most Seen
 Authenticated Users       1          1
 Authen In Progress        0          1
 user 'pinecone' at 9.9.9.10, authenticated
    absolute   timeout: 0:10:00
    inactivity timeout: 0:10:00  

ここでは、9.9.9.10 のデバイスは 171.68.118.106 でデバイスに TCP/49 トラフィックを送信 したいと思います:

pixfirewall# 109001: Auth start for user 'pinecone' from 9.9.9.10/11104 
     to 171.68.118.20/23
 109011: Authen Session Start: user 'pinecone', Sid 14
 109005: Authentication succeeded for user 'pinecone' from 171.68.118.20/23 
     to 9.9.9.10/1470
 302001: Built TCP connection 23 for faddr 9.9.9.10/11104 gaddr 9.9.9.30/49 
  laddr 171.68.118.106/49 (pinecone)
 302002: Teardown TCP connection 23 faddr 9.9.9.10/11104 gaddr 9.9.9.30/49 
  laddr 171.68.118.106/49 duration 0:00:10 bytes 179 (pinecone) 

仮想 Telnet 送信

送信 トラフィックがデフォルトで許可されるので、仮想 Telnet 送信の使用にスタティックが必要となりません。 この例では、171.68.118.143 の内部ユーザは仮想 な 9.9.9.30 に Telnet で接続し、認証を受けます。 Telnet接続はすぐに破棄されます。 認証されて、TCPトラフィックは 171.68.118.143 から 9.9.9.10 のサーバへの許可されます:

pix50_d.gif

PIX コンフィギュレーション仮想Telnet 発信

ip address outside 9.9.9.1 255.255.255.0
 ip address inside 171.68.118.115 255.255.255.0
 global (outside) 1 9.9.9.5-9.9.9.9 netmask 255.0.0.0
 timeout uauth 00:05:00
 aaa-server TACACS+ protocol tacacs+
 aaa-server AuthOutbound protocol tacacs+
 aaa-server AuthOutbound (inside) host 171.68.118.101 cisco timeout 10
 AAA authentication any outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 AuthOutbound
 virtual telnet 9.9.9.30

PIX デバッグ仮想 Telnet 送信

109001: Auth start for user '???' from 171.68.118.143/1536 
     to 9.9.9.30/23
 109011: Authen Session Start: user 'timeout_143', Sid 25
 109005: Authentication succeeded for user 'timeout_143' from 
    171.68.118.143/1536 to 9. 9.9.30/23
 302001: Built TCP connection 46 for faddr 9.9.9.10/80 gaddr 
    9.9.9.30/1537 laddr 171.68 .118.143/1537 (timeout_143)
 304001: timeout_143@171.68.118.143 Accessed URL 9.9.9.10:/
 302001: Built TCP connection 47 for faddr 9.9.9.10/80 gaddr 
    9.9.9.30/1538 laddr 171.68 .118.143/1538 (timeout_143)
 302002: Teardown TCP connection 46 faddr 9.9.9.10/80 gaddr 
    9.9.9.30/1537 laddr 171.68. 118.143/1537 duration 0:00:03 
    bytes 625 (timeout_143)
 304001: timeout_143@171.68.118.143 Accessed URL 9.9.9.10:/
 302002: Teardown TCP connection 47 faddr 9.9.9.10/80 gaddr 
    9.9.9.30/1538 laddr 171.68. 118.143/1538 duration 0:00:01 
    bytes 2281 (timeout_143)
 302009: 0 in use, 1 most used

仮想 Telnet ログアウト

ユーザが仮想Telnet IP に Telnet で接続するとき、show uauth コマンドはユーザ認証を示します。

(ユーザ認証に残っている時間がある時)セッションは終了する後トラフィックは行ったことをユーザが防ぎたいと思えば、仮想Telnet IP に再度 Telnet で接続することをユーザーのニーズ。 これによりセッションはオフに切り替わります。

ポートの許可

ポート範囲の許可を求めることができます。 この例では、すべての発信にまだ認証が必要となりましたが、許可だけ TCP ポートのために 23-49 求められました。

PIX の設定

AAA authentication any outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 AuthOutbound
AAA authorization tcp/23-49 outbound 0.0.0.0 0.0.0.0 
   0.0.0.0 0.0.0.0 AuthOutbound

Telnet が 171.68.118.143 から 9.9.9.10 へのされたときに、認証 および 権限は Telnetポート 23 が 23-49 範囲であるので行われました。

HTTPセッションが 171.68.118.143 から 9.9.9.10 へのされるとき、まだ認証しなければなりませんが 80 が 23-49 範囲ではないので PIX は HTTP を承認するために TACACS+ サーバを頼みません。

TACACS+ フリーウェア サーバの設定

user = telnetrange {
        login = cleartext "telnetrange"
        cmd = tcp/23-49 {
        permit 9.9.9.10
        }
        }

PIX が TACACS+ サーバに「cmd=tcp/23-49" および「cmd-arg=9.9.9.10" を送信 することに注目して下さい。

PIX のデバッグ

109001: Auth start for user '???' from 171.68.118.143/1051 
    to 9.9.9.10/23
 109011: Authen Session Start: user 'telnetrange', Sid 0
 109005: Authentication succeeded for user 'telnetrange' 
    from 171.68.118.143/1051 to 9. 9.9.10/23
 109011: Authen Session Start: user 'telnetrange', Sid 0
 109007: Authorization permitted for user 'telnetrange' 
    from 171.68.118.143/1051 to 9.9 .9.10/23
 302001: Built TCP connection 0 for faddr 9.9.9.10/23 
    gaddr 9.9.9.5/1051 laddr 171.68.1 18.143/1051 (telnetrange)
 109001: Auth start for user '???' from 171.68.118.143/1105 
    to 9.9.9.10/80
 109001: Auth start for user '???' from 171.68.118.143/1110 
    to 9.9.9.10/80
 109011: Authen Session Start: user 'telnetrange', Sid 1
 109005: Authentication succeeded for user 'telnetrange' 
    from 171.68.118.143/1110 to 9. 9.9.10/80
 302001: Built TCP connection 1 for faddr 9.9.9.10/80 gaddr 9.9.9.5/1110 
  laddr 171.68.1 18.143/1110 (telnetrange)
 302001: Built TCP connection 2 for faddr 9.9.9.10/80 gaddr 9.9.9.5/1111 
  laddr 171.68.1 18.143/1111 (telnetrange)
 302002: Teardown TCP connection 1 faddr 9.9.9.10/80 gaddr 9.9.9.5/1110 
  laddr 171.68.11 8.143/1110 duration 0:00:08 bytes 338 (telnetrange)
 304001: timeout_143@171.68.118.143 Accessed URL 9.9.9.10:/
 302002: Teardown TCP connection 2 faddr 9.9.9.10/80 gaddr 9.9.9.5/1111 
  laddr 171.68.11 8.143/1111 duration 0:00:01 bytes 2329 (telnetrange)  

HTTP、FTP、および Telnet 以外のトラフィックのための AAA アカウンティング

PIXソフトウェアバージョン 5.0 はトラフィック説明機能性を変更します。 アカウンティング レコードは HTTP 以外トラフィックのために認証が完了すれば今切られ、FTP し、Telnet で接続することができます。

pix50_e.gif

ファイルを外部ルータから TFTP コピーするため(192.1.1.1) 内部ルータに(10.31.1.5)、TFTP プロセスのためのホールを開発するために仮想Telnet を追加して下さい:

virtual telnet 192.1.1.30
static (inside,outside) 192.1.1.30 10.31.1.5 netmask 255.255.255.255 0 0
conduit permit udp any any
AAA authentication udp/69 inbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 AuthInbound
AAA authorization udp/69 inbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 AuthInbound
AAA accounting udp/0 inbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 AuthInbound

次に、192.1.1.1 の外部ルータからのバーチャルIP 192.1.1.30 への Telnet および UDP が PIX を横断するようにする仮想アドレスへの認証する。 この例では、copy tftp flash プロセスは外部から内部への開始しました:

302006: Teardown UDP connection for faddr 192.1.1.1/7680 
    gaddr 192.1.1.30/69 laddr 10.31.1.5/69

PIX の各 copy tftp flash に関しては(この IOS コピーの間に 3 がありました)、アカウンティング レコードは認証サーバに切られ、送られます。 以下は Cisco Secure Windows の TACACS レコードの例です):

Date,Time,Username,Group-Name,Caller-Id,Acct-Flags,elapsed_time,
    service,bytes_in,bytes_out,paks_in,paks_out,
    task_id,addr,NAS-Portname,NAS-IP-Address,cmd
 04/28/2000,03:08:26,pixuser,Default Group,192.1.1.1,start,,,,,,,
    0x3c,,PIX,10.31.1.200,udp/69 

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 13820