Cisco Global Site Selector アドミニストレーション ガイド Software Version 2.0
TACACS+ サーバによる GSS ユーザ アカウントの管理
TACACS+ サーバによる GSS ユーザ アカウントの管理
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

TACACS+ サーバによる GSS ユーザ アカウントの管理

TACACS+ の概要

TACACS+ 設定のクイック スタート

GSS で使用する TACACS+ サーバの設定

TACACS+ サーバの認証設定値の設定

TACACS+ サーバの認可設定値の設定

TACACS+ サーバからのプライマリ GSSM GUI 権限レベルの認可設定

TACACS+ サーバからユーザを認証する場合のカスタム ユーザ GUI ビューのイネーブル化

TACACS+ サーバのアカウンティング設定値の設定

GSS での TACACS+ サーバ ホストの指定

GSS での TACACS+ サーバ キープアライブのディセーブル化

GSS での TACACS+ サーバ タイムアウトの指定

GSS の TACACS+ 認証の指定

GSS の TACACS+ 認可の指定

GSS での TACACS+ アカウンティングの指定

GSS での TACACS+ 統計情報の表示

GSS での TACACS+ 統計情報のクリア

GSS での TACACS+ のディセーブル化

TACACS+ サーバによる GSS ユーザ アカウントの管理

この章では、別個の Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)サービスの Terminal Access Controller Access Control System Plus(TACACS+)サーバのクライアントとして、Global Site Selector(GSS)、プライマリ Global Site Selector Manager(GSSM)、またはスタンバイ GSSM を設定する方法について説明します。TACACS+ サーバのクライアントとして GSS を設定すると、GSS 装置へのアクセスが可能なユーザを制御したり、特定のユーザが使用できる CLI(コマンドライン インターフェイス)コマンドを制御したり、特定の CLI コマンドおよび GSS ユーザがアクセスした GUI ページを TACACS+ サーバを使用して記録したりすることで、高レベルのセキュリティを実現できます。

この章の構成は、次のとおりです。

TACACS+ の概要

TACACS+ 設定のクイック スタート

GSS で使用する TACACS+ サーバの設定

GSS での TACACS+ サーバ ホストの指定

GSS での TACACS+ サーバ キープアライブのディセーブル化

GSS での TACACS+ サーバ タイムアウトの指定

GSS の TACACS+ 認証の指定

GSS の TACACS+ 認可の指定

GSS での TACACS+ アカウンティングの指定

GSS での TACACS+ 統計情報の表示

GSS での TACACS+ 統計情報のクリア

GSS での TACACS+ のディセーブル化

TACACS+ の概要

TACACS+ プロトコルは、GSS にアクセスしようとしているユーザの中央集中型検証を提供するセキュリティ アプリケーションです。TACACS+ サービスは、UNIX または Windows NT/Windows 2000 サーバで実行される TACACS+ セキュリティ デーモン上のリレーショナル データベースで維持されます。

TACACS+ は、GSS と TACACS+ サーバ間の別個の AAA ファシリティを提供します。TACACS+ を使用すると、複数のアクセス コントロール サーバ(TACACS+ セキュリティ デーモン)が AAA サービスを提供できます。Cisco Secure Access Control Server(ACS)は、AAA アクセス コントロール サーバの一例です。

TACACS+ は、信頼性のある配信のトランスポート プロトコルとして TCP を使用します。オプションで、GSS を設定し、GSS 装置と TACACS+ サーバ間に送信されるすべてのトラフィックを共有秘密形式に暗号化できます。

TACACS+ クライアントとして稼働している GSS 装置にユーザがアクセスする場合、GSS は、TACACS+ サーバにユーザ認証要求(ユーザ名とパスワードを含む)を転送します。TACACS+ サーバは、サーバのデータベースの情報に基づいて、成功または失敗の応答を返します。

図 4-1 に、クライアント GSS と TACACS+ サーバの設定を示します。

図 4-1 GSS クライアントと TACACS+ サーバ間のトラフィック フローの簡略図

 

TACACS+ サーバは、TACACS+ クライアントとして稼働している GSS に次の AAA 独立型サービスを提供します。

認証 ― GSS にアクセスしようとしているユーザを識別します。認証には、割り当てられたパスワードでユーザ名を検証する手順が伴うことが頻繁にあります。GSS ユーザは、コンソール、Telnet、Secure Shell(SSH; セキュア シェル)、FTP(ファイル転送プロトコル)、またはプライマリ GSSM GUI インターフェイスを使用してリモートから GSS にアクセスするときに、TACACS+ サーバに対して認証されます。

SSH セッションから GSS に正常にログインするには、GSS と TACACS+ サーバの両方にユーザが設定されている必要があります。Telnet または FTP セッションから正常にログインするには、TACACS+ サーバだけにユーザが設定されている必要があります。どちらの場合も、リモート ログイン認証が拒否される場合は、GSS にアクセスできません。

認可 ― コマンド単位の制御とフィルタリングを提供して、GSS または GSSM(プライマリまたはスタンバイ)でユーザが実行できる GSS CLI コマンドを制御します。認可は、ユーザが TACACS+ サーバから認証を受信して、GSS の使用を開始したあとで実行されます。プライマリ GSSM GUI にアクセスするユーザに権限レベルを割り当てることもできます。

アカウンティング ― 特定の CLI コマンドと GSS ユーザがアクセスした GUI ページを記録します。アカウンティングを使用すると、システム管理者は GSS ユーザのアクティビティを監視できるので、複数のユーザが使用する GSS 装置を管理する場合に役立ちます。情報は、TACACS+ サーバに送信されるアカウンティング レコードに含まれます。各レコードには、ユーザ名、ユーザが実行した CLI コマンドまたはアクセスしたプライマリ GSSM GUI ページ、ユーザが実行したプライマリ GSSM GUI ページのアクション、およびアクションの実行時間が含まれます。ログ ファイルは、TACACS+ サーバからスプレッドシート アプリケーションにインポートできます。

GSS で使用する場合、最大 3 つの TACACS+ サーバを定義できます。GSS は最初に設定された TACACS+ サーバを定期的に TCP キープアライブで照会し、ネットワーク接続と TACACS+ アプリケーションの動作を確認します。GSS は、TACACS+ サーバがダウンしていると判断すると、バックアップ サーバとして設定された TACACS+ サーバのリストに記載されている次のサーバへの接続を試みます。2 番め(または 3 番め)の TACACS+ サーバを使用できる場合、GSS はアクティブ TACACS+ サーバとしてそのサーバを選択します。

GSS はデフォルトで TCP キープアライブを使用して、アクティブ TACACS+ サーバとの接続を監視します。TCP キープアライブが失敗した場合、またはキープアライブの使用をディセーブルにしている場合は、グローバル TACACS+ タイムアウト期間を指定して、GSS が TACACS+ サーバからの接続に対する応答を待機する時間を指定することもできます。定義されたすべての TACACS+ サーバに、タイムアウト値が適用されます。

指定された 3 つの TACACS+ サーバに接続できない場合、GSS はローカル認証設定をチェックして、コンソール ポートまたは Telnet 接続からローカル ユーザ認証を再実行します。ロックアウトを回避するため、常にローカル認証がコンソール ポートと Telnet 接続でイネーブルにされています。ローカル認証は、FTP、GUI、または SSH 接続のオプションになります。

TACACS+ 設定のクイック スタート

表4-1 に、GSS への TACACS+ サーバ動作の設定に必要な、簡単な手順の概要を示します。各ステップには、各タスクを実行するのに必要な CLI コマンドが含まれます。各機能の説明と CLI コマンドに付随するすべてのオプションについては、表のあとに表示される各セクションを参照してください。

 

表4-1 TACACS+ 設定のクイック スタート

タスクとコマンド例

1. Cisco Secure ACS など、TACACS+ サーバに AAA サービスの設定値を設定します。

2. GSS 装置のグローバル コンフィギュレーション モードをイネーブルにします。

gssm1.example.com# config
gssm1.example.com(config)#

3. TACACS+ AAA データベースを含む TACACS+ サーバを定義します。最大 3 つのサーバを GSS に定義できます。サーバの IP アドレスまたはホスト名を指定します。デフォルトでは、TCP ポートは 49 です。オプションで別のポート番号を定義できます。必要な場合は、TACACS+ サーバの暗号キーを定義できます。

gssm1.example.com(config)# tacacs-server host 192.168.1.102 port 9988 key SECRET-456

4. (オプション)設定された TACACS+ サーバのグローバル TACACS+ タイムアウト期間を定義します。

gssm1.example.com(config)# tacacs-server timeout 60

5. 特定の GSS アクセス方式の TACACS+ 認証をイネーブルにします。

gssm1.example.com(config)# aaa authentication ssh

6. TACACS+ 認可サービスをイネーブルにし、TACACS+ サーバの定義に従って、特定の GSS CLI コマンドへのユーザ アクセスを許可または制限します。

gssm1.example.com(config)# aaa authorization commands

7. TACACS+ アカウンティング サービスをイネーブルにして、各 GSS ユーザによる特定の CLI コマンドと GUI ページの使用を監視します。

gssm1.example.com(config)# aaa accounting commands

GSS で使用する TACACS+ サーバの設定

ここでは、Cisco Secure ACS など、TACACS+ サーバを設定する方法について説明します。このセクションは、TACACS+ サーバと TACACS+ クライアントとして稼働する GSS との正常な通信を確保するためのガイドラインになります。Cisco Secure ACS または別の TACACS+ サーバの設定方法に関する詳細については、ソフトウェアに添付されているマニュアルを参照してください。

ここで説明する内容は、次のとおりです。

TACACS+ サーバの認証設定値の設定

TACACS+ サーバの認可設定値の設定

TACACS+ サーバのアカウンティング設定値の設定


) TACACS+ サーバを使用して GSS が正常にユーザ認証を実行できるようにするには、GSS CLI と TACACS+ サーバの両方で同じユーザ名とパスワードを使用する必要があります。


TACACS+ サーバの認証設定値の設定

Cisco Secure ACS の認証設定値を設定するには、次の手順を実行します。

1. Cisco Secure ACS HTML インターフェイスの Network Configuration セクションにある Add AAA Client ページに進みます(図 4-2 を参照)。

図 4-2 Cisco Secure ACS の Add AAA Client ページ

 

2. 次の項目を設定します。

AAA Client Hostname ― GSS に割り当てる名前を入力します。

AAA Client IP Address ― TACACS+ サーバとの通信に使用する GSS イーサネット インターフェイスの IP アドレスを入力します。

Key ― GSS と Cisco Secure ACS がトランザクションの認証に使用する共有秘密を入力します。正常に稼働させるには、Cisco Secure ACS と GSS の両方に同じ共有秘密を指定する必要があります。キーは、大文字と小文字を区別します。

Authenticate Using ― TACACS+ (Cisco IOS) を選択します。


) TACACS+ (Cisco IOS) ドロップダウン項目は、Cisco TACACS+ 認証機能の一般的なタイトルです。TACACS+ (Cisco IOS) 項目は、TACACS+ 認証プロトコルをサポートしているシスコシステムズのアクセス サーバ、ルータ、およびファイアウォールを使用するときに、TACACS+ オプションをアクティブにします。これには、GSS 装置のサポートも含まれます。


TACACS+ サーバの認可設定値の設定

TACACS+ サーバを使用して、GSS 装置の CLI コマンド サブセットへのユーザ アクセスを制限できます。Cisco Secure ACS の場合は、ユーザ グループの CLI コマンド セットを定義してから、これらのグループにユーザを割り当てます。ユーザ コマンドの認可設定値を設定する場合は、ユーザのプライマリ GSSM GUI 権限レベルを判別することもできます。


) Cisco Secure ACS の場合、グループ全体ではなく、個々のユーザのコマンド権限を定義することもできます。設定プロセスは、ユーザ単位とグループ単位で同じです。


Cisco Secure ACS から GSS の CLI コマンドの権限を定義するには、次の手順を実行します。

1. Cisco Secure ACS インターフェイスの Group Setup セクションにアクセスしたら、Group Setup ページにアクセスします。TACACS+ 設定値を設定するグループを選択したら、 Edit Settings をクリックします。Edit ページが表示されます。

2. Group Setup ページの Shell Command Authorization Set セクションにスクロールします(図 4-3 を参照)。

図 4-3 Group Setup ページの Shell Command Authorization Set セクション

 

3. Per Group Command Authorization チェックボックスをオンにします。

4. GSS コマンドのアクセスを制限しない場合は、Unmatched Cisco IOS Commands の下の Permit オプションをオンにします。コマンド フィールドはブランクのままにします。

5. 次のように、特定の GSS CLI コマンドのアクセス制限を設定します。

a. Command チェックボックスをオンにします。

b. Deny オプションをオンにします。

c. Command テキスト ボックスにコマンド名を入力します。また、許可または拒否するコマンドに必要な引数も入力します。

指定したコマンドは、Unmatched Cisco IOS Commands パラメータの設定値に応じて、グループで拒否されます。

6. 次のように Arguments テキスト ボックスに文字列を入力して、指定した CLI コマンドの引数を設定します。

deny <arg1 ... argN>
permit <arg1 ... argN>
 

引数は大文字と小文字を区別するので、GSS が Cisco Secure ACS に送信するテキストに引数が正確に一致する必要があります。Cisco IOS コマンドの各引数に対して、引数を許可または拒否するかを指定します。 permit 引数 または deny 引数 の形式で入力する必要があります。

GSS 装置は、ユーザが GSS CLI プロンプトに入力した形式とは違う形式で引数を送信する可能性があります。有効な装置の CLI コマンド セットを作成するには、適切な CLI コマンド構文について、『 Cisco Global Site Selector Command Reference 』を参照してください。

7. Deny を選択して、Unlimited Arguments の下に表示される引数だけを許可します。 Permit を選択して、具体的に一覧表示されていないすべての引数の入力をユーザに許可します。

8. 制限する各 CLI コマンドで、ステップ 5 ~ 7 を繰り返します。各コマンドのあとで Submit ボタンをクリックして、複数のコマンドを設定します。後続のコマンドに対して、新しいコマンド設定のセクションが表示されます。

CLI コマンドを許可および拒否する例は、次のとおりです。

show users CLI コマンド以外のすべての CLI コマンドを拒否するには、次の内容を実行します(図 4-4 を参照)。

a. Per Group Command Authorization の下の Deny オプションをオンにします。

b. Command テキスト ボックスに、 show を入力します。

c. Arguments テキスト ボックスに、 permit user を入力します。

d. Unlisted arguments の下の Deny オプションをオンにします。

図 4-4 コマンド権限の例 ― 指定したコマンド以外のすべての CLI コマンドを拒否する場合

 

gss tech-report コマンド以外のすべての CLI コマンドを許可するには、次の内容を実行します(図 4-5 を参照)。

a. Per Group Command Authorization の下の Permit オプションをオンにします。

b. Command テキスト ボックスに、 gss を入力します。

c. Arguments テキスト ボックスに、 deny tech-report を入力します。

d. Unlisted arguments の下の Permit オプションをオンにします。

図 4-5 コマンド権限の例 ― 指定したコマンド以外のすべての CLI コマンドを許可する場合

 

ここで説明する内容は、次のとおりです。

TACACS+ サーバからのプライマリ GSSM GUI 権限レベルの認可設定

TACACS+ サーバからユーザを認証する場合のカスタム ユーザ GUI ビューのイネーブル化

TACACS+ サーバからのプライマリ GSSM GUI 権限レベルの認可設定

Cisco Secure ACS TACACS+ サーバを設定して、プライマリ GSSM GUI にアクセスするときのユーザの権限レベル(役割)を定義できます。プライマリ GSSM GUI は、TACACS+ サーバと通信を行うときに、関連するユーザの権限レベルを学習します。この機能は、ユーザの権限レベルを動的に変更できる柔軟性を TACACS+ 管理者に与えるので、ユーザは GUI セッションを終了して、プライマリ GSSM に再びログインする必要がありません。

ユーザは、プライマリ GSSM で GUI および CLI のどちらを使用しているかに応じて、次のように権限が割り当てられます。

GUI を使用しているユーザの場合、TACACS+ サーバに設定されている権限が GSS に設定されている権限より優先されます。

CLI を使用しているユーザの場合、GSS に設定されている権限が TACACS+ サーバに設定されている権限より優先されます。ユーザがローカルに設定されていない場合、デフォルトによって、TACACS+ サーバに設定されている権限に関係なく、ユーザ権限がユーザに割り当てられます。

すべてのコマンドを許可するように TACACS+ サーバを設定する場合、ユーザは自動的に管理者に設定され、関連するすべての権限が与えられます。詳細については、 第3章「ユーザ アカウントの作成と管理」 「プライマリ GSSM GUI を使用するための権限レベル」を参照してください。


) TACACS+ サーバからユーザに割り当てられたプライマリ GSSM GUI 権限は、プライマリ GSSM GUI の GSSM User Administration 詳細ページから定義されたユーザの権限レベルを無効にします。


Cisco Secure ACS からプライマリ GSSM GUI にアクセスするときのユーザ権限レベルを指定するには、次の手順を実行します。

1. ユーザ単位の CLI コマンドの認可を初めてイネーブルにする場合は、Cisco Secure ACS インターフェイスの Interface Configuration セクションにアクセスして、次の項目を設定します。

a. TACACS+ (IOS) ページにアクセスします。User と Group の両カラムの下の Shell (exec) チェックボックスをオンにします(図 4-6 を参照)。

図 4-6 Interface Configuration ページ ― TACACS+ (IOS) ページ

 

b. Advanced Options ページにアクセスします。 Per-user TACACS+/RADIUS Attributes チェックボックスをオンにします(図 4-7 を参照)。

図 4-7 Interface Configuration ページ ― Advanced Options ページ

 

2. Cisco Secure ACS インターフェイスの User Setup セクションにアクセスして、プライマリ GSSM GUI 権限レベルを割り当てるユーザの名前を選択します。Edit ページが表示されます。

3. User Setup ページの Shell Command Authorization Set セクションにスクロールします。

4. Per User Command Authorization チェックボックスをオンにします。

5. Command チェックボックスをオンにして、Command テキスト ボックスに GuiEnable を入力します(図 4-8 を参照)。

図 4-8 Cisco Secure ACS からユーザへのオペレータレベルの権限の割り当て

 

6. Arguments テキスト ボックスに次の文字列を入力して、TACACS+ サーバからオペレータのユーザレベルの権限を割り当てます(図 4-8 を参照)。

deny administrator
 

deny administrator 文字列は、プライマリ GSSM GUI の使用時にオペレータレベルの権限をユーザに与えます。

7. Arguments テキスト ボックスに次の文字列を入力して、TACACS+ サーバからオブザーバのユーザレベルの権限を割り当てます。

deny administrator
deny operator
 

これらの 2 つの文字列は、プライマリ GSSM GUI の使用時にオブザーバレベルの権限をユーザに与えます。

8. Unlisted arguments の Permit オプションをオンにします。

TACACS+ サーバからユーザを認証する場合のカスタム ユーザ GUI ビューのイネーブル化

オペレータまたはオブザーバの役割が割り当てられたユーザの場合、TACACS+ サーバは、ユーザ ビューなど追加のプライマリ GSSM GUI アプリケーション固有の機能を直接制御しません。GSS 管理者は、プライマリ GSSM GUI ページに表示されるデータ(設定データと統計情報)を制限する一連のカスタム ビューを定義できます。次のプロパティから各カスタム ユーザ ビューに項目を加えることができます。

回答

共有キープアライブ

ロケーション

オーナー

ユーザ アカウントにカスタム ビューを割り当てる場合、ユーザにはそのビューに関連付けられた設定データと統計情報だけが表示されます。

プライマリ GSSM GUI のカスタム ユーザ ビューのバックグラウンドについては、 第3章「ユーザ アカウントの作成と管理」 「カスタム ユーザ ビューの概要」を参照してください。

認証されたユーザにビューを割り当てる場合、プライマリ GSSM GUI のユーザに対してカスタム GUI ビューを設定します。プライマリ GSSM GUI ユーザ アカウントを作成する場合、正確なログイン名を使用するようにしてください。ユーザ認証プロセス時、GSS は、ユーザ名との相関関係を用いて、そのユーザに関連するユーザ ビューがプライマリ GSSM GUI に設定されているかどうかを判別します。ユーザがプライマリ GSSM GUI にアクセスするときに、カスタム ユーザ ビューがアクティブになります。


) また、プライマリ GSSM GUI でのユーザ アカウントの作成時にパスワードが必要になります。ただし、TACACS+ サーバからユーザ認証を行うときには GUI 固有のパスワードは使用されません。CLI から GSS に TACACS+ 認証を設定するときに、aaa authentication gui CLI コマンド(「TACACS+ サーバの認証設定値の設定」を参照)の local フォールバック オプションを選択しない場合は、ランダム設定にユーザ アカウントの GUI 固有のパスワードを設定するようにしてください。ランダム設定にパスワードを設定すると、GUI 接続で TACACS+ 認証が失敗したときに、プライマリ GSSM GUI のセキュリティを維持する上で役立ちます。


TACACS+ サーバのアカウンティング設定値の設定

Cisco Secure ACS のアカウンティング サービスを設定するには、次の手順を実行します。

1. Cisco Secure ACS インターフェイスの System Configuration セクションの Logging Configuration ページで、 CSV TACACS+ Accounting をクリックします。Edit ページが表示されます(図 4-9 を参照)。

図 4-9 Cisco Secure ACS の CSV TACACS+ Accounting File Logging ページ

 

2. Log to CSV TACACS+ Accounting report チェックボックスをオンにします。

3. Select Columns To Log の下の Attributes カラムで、記録するアトリビュートをクリックします。 -> をクリックして、Logged Attributes カラムにアトリビュートを移動します。 Up または Down をクリックして、このアトリビュートのカラムをログ内の必要な位置に移動します。必要なすべてのアトリビュートが Logged Attributes カラムの必要な位置に収まるまで繰り返します。

4. Logged Attributes へのアトリビュートの移動が終わったら、 Submit をクリックします。

GSS での TACACS+ サーバ ホストの指定

TACACS+ サーバには、TACACS+ AAA リレーショナル データベースがあります。最大 3 つのサーバを GSS に指定できます。ただし、GSS は一度に 1 つのサーバだけを使用します。TACACS+ サーバの設定に対する推奨注意事項(この例では、Cisco Secure ACS)については、「GSS で使用する TACACS+ サーバの設定」を参照してください。

tacacs-server host コマンドを使用して、GSS での利用が推奨される TACACS+ セキュリティ デーモンのリストを設定します。TACACS+ ソフトウェアは、 tacacs-server host コマンドで指定した順序で、サーバ ホストを検索します。

GSS は設定されたすべての TACACS+ サーバを定期的に TCP キープアライブで照会し、ネットワーク接続と TACACS+ アプリケーションの動作を確認します。GSS は、最初の TACACS+ サーバがダウンしていると判断すると、バックアップ サーバとして設定された TACACS+ サーバのリストに記載されている次のサーバへの接続を試みます。2 番め(または 3 番め)の TACACS+ サーバを使用できる場合、GSS はアクティブ TACACS+ サーバとしてそのサーバを選択します。


) GSS はデフォルトで TCP キープアライブを使用して、アクティブ TACACS+ サーバとの接続を監視します。TCP キープアライブが失敗した場合、またはキープアライブの使用をディセーブルにしている場合は、tacacs-server timeout コマンドを使用して、GSS が TACACS+ サーバからの接続に対する応答を待機する時間として使用する、グローバル TACACS+ タイムアウト期間を定義することもできます。定義されたすべての TACACS+ サーバに、タイムアウト値が適用されます。詳細については、「GSS での TACACS+ サーバ タイムアウトの指定」を参照してください。


tacacs-server host コマンドを使用して、TACACS+ サーバを維持している IP ホストまたはホストの名前を指定します。そのサーバの IP アドレスまたはホスト名を指定する必要があります。デフォルトでは、GSS は TCP ポート 49 を使用して、TACACS+ サーバと通信を行います。オプションで、TCP ポート番号を異なるポート番号に変更できます。GSS と TACACS+ サーバ間のセキュリティを維持するために、暗号キーを指定することもできます。

TACACS+ サーバで GSS をクライアントとして稼働している場合、GSS はすべての CLI コマンドへのユーザ アクセスを制限する可能性があります。この動作は、tacacs-server host コマンドを使用して GSS に暗号キーを指定するときに発生しますが、TACACS+ サーバに同じ暗号キーを指定しません。この場合、 aaa authorization commands コマンドを入力した直後に、GSS で CLI コマンドの制限が実行されます(「GSS の TACACS+ 認可の指定」を参照)。

まず GSS に tacacs-server host コマンドを入力し、TACACS+ サーバに同じ暗号キーを指定した あと に、GSS に aaa authorization commands CLI コマンドを入力する必要があります。GSS がすべての CLI コマンドの認可に失敗し、TACACS+ サーバ上の暗号キーを変更できない場合は、GSS の電源を再投入します。電源の再投入の前に入力された CLI コマンドが GSS のスタートアップ コンフィギュレーション ファイルに保存されなかったため、GSS CLI に再びアクセスし、TACACS+ の設定をやり直すことができます。

このグローバル コンフィギュレーション コマンドの構文は、次のとおりです。

tacacs-server host ip_or_host [ port port ] [key encryption_key ]

このグローバル コンフィギュレーション コマンドの引数とキーワードは、次のとおりです。

ip_or_host ― アクセスする TACACS+ サーバの IP アドレスまたはホスト名。ドット付き 10 進表記の IP アドレス(たとえば、192.168.11.1)またはニーモニック ホスト名(たとえば、myhost.mydomain.com)を入力します。

port port ― (オプション)TACACS+ サーバの TCP ポート。デフォルトのポートは 49 です。1 ~ 65535 のポート番号を入力できます。

key encryption_key ― (オプション)GSS と TACACS+ サーバ間の共有秘密。GSS と TACACS+ サーバ間の TACACS+ パケットのトランザクションを暗号化する場合は、暗号キーを定義します。暗号キーを定義しない場合、GSS は、クリア テキストで TACACS+ サーバにパケットを送信します。暗号キーの範囲は、1 ~ 100 の英数字です。

たとえば、異なる共有秘密を持つ 192.168.1.100:8877、192.168.1.101:49(デフォルトの TCP ポートを使用)、および 192.168.1.102:9988 として 3 つの TACACS+ サーバを設定するには、次の内容を入力します。

gss1.example.com(config)# tacacs-server host 192.168.1.100 port 8877 key SECRET-123

gss1.example.com(config)# tacacs-server host 192.168.1.101 key SECRET-456

gss1.example.com(config)# tacacs-server host 192.168.1.102 port 9988 key SECRET-789

 

設定後は、TACACS+ サーバの IP アドレスとポートを簡単に変更することはできません。TACACS+ サーバの IP アドレスとポートを変更するには、まず設定された TACACS+ サーバを削除してから、TACACS+ サーバに新しい IP アドレスを再入力する必要があります(必要な場合は、新しいポート番号を指定します)。実行コンフィギュレーションから既存の TACACS+ サーバを削除するには、 tacacs-server-host コマンドの no 形式を使用します。

たとえば、実行コンフィギュレーションから IP アドレスが 192.168.1.101 の TACACS+ サーバ(デフォルトの TCP ポート 49 を使用)を削除するには、次の内容を入力します。

gss1.example.com(config)# no tacacs-server host 192.168.1.101
 

または

gss1.example.com(config)# no tacacs-server host 192.168.1.101 port 49
 

暗号キーを定義した場合は、そのキーを入力して、TACACS+ サーバを削除する必要はありません。

TACACS+ サーバの設定時にデフォルトのポート番号 49 以外の TCP ポートを指定した場合は、TCP ポートも入力して、TACACS+ サーバを削除する必要があります。たとえば、IP アドレスが 192.168.1.101 の TACACS+ サーバに対してポート 8877 を指定した場合は、次の内容を入力します。

gss1.example.com(config)# no tacacs-server host 192.168.1.101 port 8877

 

TACACS+ サーバを削除せずに、暗号キーを変更したり、削除したりできます。たとえば、TACACS+ サーバを削除しないで SECRET-123 キーを削除するには、次の内容を入力します。

gss1.example.com(config)# no tacacs-server host 192.168.1.101 key SECRET-123

 

デフォルトのポート 49 以外の TCP ポートを指定した場合、次の内容を指定し、サーバを削除しないで SECRET-123 キーを削除します。

gss1.example.com(config)# no tacacs-server host 192.168.1.101 port 8877 key SECRET-123

GSS での TACACS+ サーバ キープアライブのディセーブル化

デフォルトでは、GSS は TCP キープアライブの自動使用をイネーブルにして、すべてのオンライン TACACS+ サーバを定期的に TCP キープアライブで照会し、ネットワーク接続と TACACS+ アプリケーションの動作を確認します。GSS は、最初の TACACS+ サーバがダウン(オフライン)していると判断すると、バックアップ サーバとして設定された TACACS+ サーバのリストに記載されている次のサーバへの接続を試みます。2 番め(または 3 番め)の TACACS+ サーバを使用できる場合、GSS はアクティブ TACACS+ サーバとしてそのサーバを選択します。

アクティブ TACACS+ サーバでの TCP キープアライブの使用をディセーブルにするには、 tacacs-server keepalive-enable コマンドの no 形式を使用します。このグローバル コンフィギュレーション コマンドの構文は、次のとおりです。

no tacacs-server keepalive-enable

TCP キープアライブをディセーブルにすると、GSS は TACACS+ タイムアウト期間(tacacs-server timeout コマンドで指定)の使用を継続して、稼働していない TACACS+ サーバからの接続に対する応答を待機します。期間が過ぎると、設定された TACACS+ サーバのリストに記載されている次のサーバに切り替えます。グローバル TACACS+ タイムアウト期間の定義方法に関する詳細については、「GSS での TACACS+ サーバ タイムアウトの指定」を参照してください。

アクティブ TACACS+ サーバでの TCP キープアライブの使用をディセーブルにするには、次の内容を入力します。

gss1.example.com(config)# no tacacs-server keepalive-enable
 

アクティブ TACACS+ サーバでの TCP キープアライブの使用を再度イネーブルにするには、次の内容を入力します。

gss1.example.com(config)# tacacs-server keepalive-enable

GSS での TACACS+ サーバ タイムアウトの指定

TCP キープアライブが失敗した場合、またはキープアライブの使用をディセーブルにしている場合は、 tacacs-server timeout コマンドを使用して、GSS が TACACS+ サーバからの接続に対する応答を待機する時間を指定する、グローバル TACACS+ タイムアウト期間(秒単位)を定義することもできます。定義されたすべての TACACS+ サーバに、タイムアウト値が適用されます。デフォルトのタイムアウト期間は、5 秒です。

タイムアウト期間を指定するには、 tacacs-server timeout コマンドを使用します。このグローバル コンフィギュレーション コマンドの構文は、次のとおりです。

tacacs-server timeout seconds

seconds 引数の値は、1 ~ 255 秒です。GSS は変更されたタイムアウト期間を動的に適用し、次に TACACS+ に接続するときに新しい値を自動的に適用します。

たとえば、タイムアウト期間を 60 秒に設定するには、次の内容を入力します。

gss1.example.com(config)# tacacs-server timeout 60
 

タイムアウト期間をデフォルトの 5 秒にリセットするには、次の内容を入力します。

gss1.example.com(config)# no tacacs-server timeout 60

GSS の TACACS+ 認証の指定

TACACS+ サーバを特定したら、 aaa authentication コマンドを使用して、TACACS+ 認証をイネーブルにして、GSS の TACACS+ 認証サービスをイネーブルにできます。デフォルトでは、GSS は、リモートから TACACS+ サーバに接続できない場合、コンソール ポートまたは Telnet 接続からローカル認証を再実行します。FTP、GUI、または SSH 接続で TACACS+ 認証が失敗した場合は、オプションでローカル認証を指定できます。


) GSS 装置(SSH、Telnet、または FTP)のリモート アクセスをイネーブルにしてから、特定の GSS アクセス方式の TACACS+ 認証をイネーブルにする必要があります。詳細については、『Cisco Global Site Selector Getting Started Guide』を参照してください。


このグローバル コンフィギュレーション コマンドの構文は、次のとおりです。

aaa authentication { ftp | gui | login | ssh } [ local ]

このグローバル コンフィギュレーション コマンドのキーワードは、次のとおりです。

ftp ― FTP リモート アクセス接続の TACACS+ 認証サービスをイネーブルにします。

gui ― プライマリ GSSM GUI 接続の TACACS+ 認証サービスをイネーブルにします。

login ― GSS コンソール ポートへの直接接続、または Telnet リモート アクセス接続を使用して、ログイン サービスの TACACS+ 認証サービスをイネーブルにします。

ssh ― SSH リモート アクセス接続の TACACS+ 認証サービスをイネーブルにします。

local ― (オプション)FTP、GUI、または SSH 接続で TACACS+ 認証が失敗した場合に、GSS でローカル認証を再実行するときに使用します。 local オプションは、ログイン(コンソール ポートまたは Telnet)アクセス方式で常にイネーブルにされています。

たとえば、ローカル認証に復帰できる SSH リモート アクセス接続の TACACS+ 認証をイネーブルにするには、次の内容を入力します。

gss1.example.com(config)# aaa authentication ssh local
 

TACACS+ 認証機能をディセーブルにするには、 aaa authentication コマンドの no 形式を使用します。たとえば、SSH リモート アクセス接続の TACACS+ 認証をディセーブルにするには、次の内容を入力します。

gss1.example.com(config)# no aaa authentication ssh

GSS の TACACS+ 認可の指定

TACACS+ 認可では、TACACS+ サーバの定義に従って、特定の GSS CLI コマンドへのユーザ アクセスを制限するパラメータを設定できます。 aaa authorization commands コマンドを使用して、TACACS+ 認可サービスをイネーブルにし、特定の GSS CLI コマンドへのユーザ アクセスを制限します。 aaa authorization commands コマンドは、GSS で入力されたユーザレベルと特権レベルの EXEC モード コマンドに適用されます。コマンドは、グローバル コンフィギュレーション コマンドとインターフェイス コンフィギュレーション コマンドを含む、ユーザレベルと特権レベルの EXEC モード コマンドのすべての入力を認可します。

TACACS+ サーバで GSS をクライアントとして稼働している場合、GSS はすべての CLI コマンドへのユーザ アクセスを制限する可能性があります。たとえば、この制限は、tacacs-server host コマンドを使用して GSS に暗号キーを指定するときに発生しますが(「GSS での TACACS+ サーバ ホストの指定」を参照)、TACACS+ サーバに同じ暗号キーを指定しません。この場合、 aaa authorization commands コマンドを入力した直後に、GSS で CLI コマンドの制限が実行されます。

まず GSS に tacacs-server host コマンドを入力し、TACACS+ サーバに同じ暗号キーを指定した あと に、GSS に aaa authorization commands CLI コマンドを入力する必要があります。GSS がすべての CLI コマンドの認可に失敗し、TACACS+ サーバ上の暗号キーを変更できない場合は、GSS の電源を再投入します。電源の再投入の前に入力された CLI コマンドが GSS のスタートアップ コンフィギュレーション ファイルに保存されなかったため、GSS CLI に再びアクセスし、TACACS+ の設定をやり直すことができます。

GSS CLI コマンドの TACACS+ 認可をイネーブルにするには、次の内容を入力します。

gss1.example.com(config)# aaa authorization commands
 

TACACS+ の CLI コマンドの認可機能をディセーブルにするには、このコマンドの no 形式を使用します。たとえば、次のように入力します。

gss1.example.com(config)# no aaa authorization commands
 

TACACS+ サーバから GSS CLI コマンドへのユーザ アクセスを制限する方法に関する詳細については、「TACACS+ サーバの認可設定値の設定」を参照してください。

GSS での TACACS+ アカウンティングの指定

TACACS+ アカウンティングでは、GSS CLI コマンドまたはプライマリ GSSM GUI ページのほか、GSS で実行されたユーザ アクションを監視できます。情報は、アカウンティング レコードに含まれ、GSS から TACACS+ サーバに送信されます。各レコードには、ユーザ名、ユーザが実行した CLI コマンド、ユーザがアクセスしたプライマリ GSSM GUI ページと実行したアクション、および実行時間などのフィールド数が含まれます。Cisco Secure ACS は、Comma-Separated Value(CSV; カンマ区切り形式)テキスト ファイルにログを記録します。CSV ログ ファイルは、多数の一般的なスプレッドシート アプリケーションにインポートできます。必要な場合は、いくつかの CSV-to-HTML アプリケーションを使用して、HTML テーブルとして CSV エクスポート形式のスプレッドシートを生成できます。

TACACS+ サーバのアカウンティング レポートのロギングをイネーブルにし、記録するアトリビュートを選択する必要があります。推奨されるアカウンティング用の TACACS+ サーバの設定に対する一般的な注意事項(この例では、Cisco Secure ACS)については、「TACACS+ サーバのアカウンティング設定値の設定」を参照してください。

aaa accounting コマンドを使用して、TACACS+ アカウンティング サービスをイネーブルにします。このグローバル コンフィギュレーション コマンドの構文は、次のとおりです。

aaa accounting { commands | gui }

このコマンドのキーワードは、次のとおりです。

commands ― GSS CLI コマンドの使用を監視する TACACS+ アカウンティング サービスをイネーブルにします。 commands オプションは、ユーザが入力するユーザレベルと特権レベルの EXEC モード コマンドに適用されます。コマンドのアカウンティングは、グローバル コンフィギュレーション コマンドとインターフェイス コンフィギュレーション コマンドを含む、すべてのユーザレベルと特権レベルの EXEC モード コマンドのアカウンティング レコードを生成します。

gui ― TACACS+ アカウンティング サービスをイネーブルにして、プライマリ GSSM GUI ページへのアクセスとこれらのページで実行されたアクションを監視します。

GSS CLI の TACACS+ アカウンティングをイネーブルにするには、次の内容を入力します。

gss1.example.com(config)# aaa accounting commands
 

TACACS+ アカウンティング機能をディセーブルにするには、 aaa accounting コマンドの no 形式を使用します。GSS CLI の TACACS+ アカウンティングをディセーブルにするには、次の内容を入力します。

gss1.example.com(config)# no aaa accounting commands

GSS での TACACS+ 統計情報の表示

show tacacs コマンドを使用して、GSS 装置の TACACS 設定の概要を表示できます。

たとえば、現在の TACACS+ 設定を表示するには、次の内容を入力します。

gss1.example.com# show tacacs
Current tacacs server configuration
tacacs-server timeout 5
tacacs-server keepalive-enable
tacacs-server host 1192.168.1.100 port 49
aaa authentication ftp
 

show statistics tacacs コマンドを使用して、現在の TACACS+ 統計情報を表示します。各サーバは、IP アドレスとポートで識別されます。各 AAA サービスには、PASS、FAIL、および ERROR のカウンタがあります。また、 show statistics tacacs コマンドは、TCP キープアライブが ONLINE または OFFLINE かどうかを示します。


) TCP キープアライブ機能をディセーブルにすると、show statistics tacacs コマンド出力は、常に TCP キープアライブを ONLINE として表示します。


たとえば、GSS の現在の TACACS+ 統計情報を表示するには、次の内容を入力します。

gss1.example.com# show statistics tacacs
Server 192.168.1.100:49 ONLINE
PASS FAIL ERROR
Authentication 321 4 0
Authorization 782 48 0
Accounting 535 0 0
 
Server 192.168.1.101:49 ONLINE
PASS FAIL ERROR
Authentication 17 1 0
Authorization 39 3 0
Accounting 12 0 0
 

表4-2 で、 show statistics tacacs コマンド出力のフィールドについて説明します。

 

表4-2 show statistics tacacs コマンドのフィールド説明

フィールド
説明

Server

アクティブ TACACS+ サーバの IP アドレスまたはホスト名(および TCP ポート)。また、このフィールドは TCP キープアライブが ONLINE か OFFLINE かどうかを示します。

Pass

特定のサービスで「パス」状態が発生するときに増分するカウンタ。たとえば、ユーザが GSS で認証を正常に実行すると、GSS は Authentication Pass カウンタを増分します。GSS は、認可による特定の CLI コマンドへのユーザ アクセスを許可する場合に、Authorization Pass カウンタを増分します。

Fail

AAA サービスの結果として拒否状態が発生した場合に増分するカウンタ

Error

TACACS+ サーバとの通信障害、TACACS+ プロトコルのエラー、またはセッションの完了を妨げた内部エラーの結果として増分するカウンタ

GSS での TACACS+ 統計情報のクリア

clear statistics tacacs コマンドを使用して、現在の TACACS+ 統計情報をクリアできます。GSS の統計情報をクリアすると、その装置のすべての TACACS+ アクティビティとパフォーマンス レコードが消去されます。

たとえば、次のように入力します。

gss1.example.com# clear statistics tacacs
Are you sure? (yes/no) yes

GSS での TACACS+ のディセーブル化

GSS 管理者の場合、誤って GSS 装置から自分自身をロックアウトしてしまって、その装置にアクセスするための TACACS+ ユーザの認証または認可を受信できなくなった場合、CLI からその GSS の TACACS+ 機能をディセーブルにできます。この手順を実行するには、GSS 装置に物理的にアクセスできる必要があります。

GSS 装置の TACACS+ をディセーブルにするには、次の手順を実行します。

1. ASCII 端末を、GSS 装置のコンソール ポートに接続します。Cisco Global Site Selector シリーズ ハードウェアにコンソール ケーブルを接続する手順については、『 Cisco Global Site Selector Hardware Installation Guide 』を参照してください。

2. GSS の電源制御ボタンを押して、装置の電源を再投入して、再起動を実行します。GSS が再起動すると、コンソール端末に出力が表示されます。

3. BIOS が起動し、LILO boot: プロンプトが表示されたら、次の内容を入力して、GSS 装置の TACACS+ をディセーブルにします。

LILO: <Tab>
GSS-1.31
LILO:GSS-1.31 DISABLETACACS=1
 

起動中は、次の内容が表示されます。

Mounting other Filesystems: [ OK ]
*** Disabling TACACS Authentication and Authorization
Building Properties
 

ここで、ローカルに GSS 装置にアクセスして、GSS 装置の TACACS+ 認証と認可の機能を再設定できるようになっているはずです。

4. 設定変更をメモリに保存します。

gssm1.example.com# copy running-config startup-config
 

設定変更を保存しなかった場合、GSS 装置の再起動時に以前の設定(以前の TACACS+ 設定を含む)が戻されます。