Cisco WAFS 3.0 コマンド リファレンス
A コマンド
A コマンド
発行日;2012/01/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

A コマンド

aaa accounting

alarm overload-detect

authentication

autosense

A コマンド

この章では、文字 A で始まる Cisco WAFS 3.0 ソフトウェア コマンドについて詳しく説明します。 各コマンドの説明は、構文、デフォルト値、コマンド モード、使用上の注意事項、および使用例で構成されます。

CLI コマンド モードの使用方法については、 第 1 章、 「WAFS コマンドライン インターフェイスの使用方法」 を参照してください。

この章で説明するコマンドは、次のとおりです。

aaa accounting

alarm overload-detect

authentication

autosense

aaa accounting

authentication, authorization, and accounting(AAA;認証、許可、アカウンティング)を設定するには、グローバル コンフィギュレーション モードで aaa accounting コマンドを使用します。

aaa accounting { commands { 0 | 15 } default { start-stop | stop-only | wait-start } tacacs | exec default { start-stop | stop-only | wait-start } tacacs | system default { start-stop | stop-only } tacacs }

no aaa accounting { commands { 0 | 15 } default { start-stop | stop-only | wait-start } tacacs | exec default { start-stop | stop-only | wait-start } tacacs | system default { start-stop | stop-only } tacacs }

 
構文の説明

commands

指定された特権レベルで、すべてのコマンドのアカウンティングを設定します。

0

標準ユーザのユーザ特権レベル。

15

管理ユーザのユーザ特権レベル。

default

デフォルトのアカウンティング リストを使用するように AAA アカウンティングを設定します。

start-stop

プロセスの開始時にアカウンティング開始通知を、プロセスの終了時にアカウンティング終了通知を送信します。 アカウンティング開始記録はバックグラウンドで送信されます。 要求されたユーザ プロセスは、アカウンティング サーバがアカウンティング開始通知を受信したかどうかに関係なく開始されます。

stop-only

ユーザによって要求されたプロセスの終了時にアカウンティング終了通知を送信します。

wait-start

アカウンティング サーバに開始と終了の両方のアカウンティング通知を送信します。 ただし、要求されたユーザ サービスは、アカウンティング開始通知が確認応答されるまで開始されません。 ユーザは、記録されるまでは CLI コマンドまたはログインを実行できません。

アカウンティング終了通知も送信されますが、確認応答は不要です。

tacacs

アカウンティング用に TACACS+ が使用できるようにします。

exec

ユーザ EXEC プロセス(ユーザ シェル)のアカウンティングを有効にします。 有効になると、EXEC シェル アカウンティングは、EXEC 端末セッション(ユーザ シェル)イベントと管理者による EXEC シェルへのログインおよびログアウトをレポートします。

system

ユーザに関連付けられていないシステムレベルのイベント(リロードなど)のアカウンティングを有効にします。

 
デフォルト

AAA アカウンティングはデフォルトで無効に設定されています。

 
コマンド モード

グローバル コンフィギュレーション

 
使用上の注意事項

AAA アカウンティング機能により、管理ユーザのアクティビティ、ユーザがアクセスするサービス、およびユーザが消費するネットワーク リソースの量(たとえば、接続時間や転送されるバイト)を追跡できます。 また、AAA アカウンティング機能を使用して、課金、監査、レポート、またはセキュリティを目的として、ユーザのアクティビティを追跡することもできます。 WAFS は TACACS+ を使用して AAA アカウンティングを実装します。一方、RADIUS は現在サポートされていません。 AAA アカウンティングが有効になると、WAE は、アカウンティング レコードの形式で TACACS+ セキュリティ サーバにユーザのアクティビティをレポートします。 このデータは、ネットワーク管理、クライアント課金、および監査用に分析できます。

次のタイプのイベントのアカウンティングをアクティブにできます。

EXEC : EXEC シェル アカウンティングを使用して、Telnet、FTP、または SSH(SSH バージョン 1 または バージョン 2)を介した EXEC シェルへの管理者のログインおよびログアウトをレポートします。 このタイプのアカウンティングは、WAE でのユーザ EXEC 端末セッション(ユーザ シェル)に関する情報を記録します。この情報には、ユーザ名、日付、各セッションの開始および終了時刻、時間帯、WAE のアクセスに使用したシステムの IP アドレスなどがあります。 EXEC シェル アカウンティング情報には、TACACS+ サーバ上のアカウンティング ログ ファイルを介してアクセスできます。 このログ ファイルは、このタイプのアカウンティング情報に対して次のレポート形式を使用します。

WeekDay#Month#Day#Time#Year#CEaddress#username#terminal#RemoteHost#Event#
EventTime#TaskId#Timezone#Service
 

Command : WAE は、WAE 上で実行された CLI コマンドに関する情報を記録します。 各コマンドのアカウンティング レコードには、実行されたコマンドの構文、そのコマンドを実行したユーザの名前、そのユーザの特権レベル、各コマンドを実行した日付と時刻が含まれています。 WAE では、0 と 15 の 2 つの特権レベルをサポートします。これはそれぞれ標準ユーザと管理ユーザを表します。 コマンド アカウンティング情報には、TACACS+ サーバ上のアカウンティング ログ ファイルを介してアクセスできます。 このログ ファイルは、このタイプのアカウンティング情報に対して次のレポート形式を使用します。

WeekDay#Month#Day#Time#Year#CEaddress#username#terminal#RemoteHost#Event#
EventTime#TaskId#Timezone#Service#PrivilegeLevel#CLICommand
 

System :WAE は、システムレベルのイベント(たとえば、システムが再起動するタイミング)すべてに関する情報を記録します。 システム アカウンティング情報には、TACACS+ サーバ上のアカウンティング ログ ファイルを介してアクセスできます。 このログ ファイルは、このタイプのアカウンティング情報に対して次のレポート形式を使用します。

WeekDay#Month#Day#Time#Year#CEaddress#username#terminal#RemoteHost#Event#
EventTime#TaskId#Timezone#SystemService#SystemAccountingEvent#EventReason
 

WAFS ソフトウェアは、デフォルトのアカウンティング リストのみサポートします。


注意 wait-start オプションが設定された場合、WAFS ソフトウェアは次の警告メッセージを表示します。

Warning: The device may become non-responsive if it cannot contact a configured TACACS+ server.

管理者は、次のプロンプトに対して yes を入力するまで、設定を確認するよう繰り返し求められます。

Are you sure you want to proceed? [yes]

次の例では WAE に TACACS+ を設定し、プロセスの開始時にアカウンティング開始通知を、プロセスの終了時にアカウンティング終了通知を送信するように指定します。また、アカウンティング サーバがアカウンティング開始通知を受信したかどうかに関係なく要求されたユーザ プロセスが開始するように指定します。

WAE(config)# tacacs key abc
WAE(config)# tacacs server 192.168.50.1 primary
WAE(config)# aaa accounting system default start-stop tacacs
WAE# show aaa accounting
Accounting Type Record event(s) Protocol
----------------------------------------------------------------
Exec shell unknown unknown
Command level 0 unknown unknown
Command level 15 unknown unknown
System start-stop TACACS+
 

次の例では、WAE はすべてのユーザ EXEC セッションを記録するよう設定されます。 また、このコマンドは、セッションの終了時にアカウンティング終了通知を TACACS+ サーバに送信するように指定します。

WAE(config)# aaa accounting exec default stop-only tacacs
 

次の例では、WAE は標準ユーザによって実行されたすべての CLI コマンドを記録するよう設定されます。 また、このコマンドは、標準ユーザによって実行されたすべての CLI コマンドの終了時に、アカウンティング終了通知を TACACS+ サーバに送信するように指定します。

WAE(config)# aaa accounting commands 0 default stop-only tacacs
 

次の例では、WAE は管理ユーザによって実行されたすべての CLI コマンドを記録するよう設定されます。 また、このコマンドは、プロセスの開始時にアカウンティング開始通知を、プロセスの終了時にアカウンティング終了通知をTACACS+ サーバに送信するように指定します。 管理ユーザによって実行された CLI コマンドは、アカウンティング開始通知が確認応答されるまで続行されません。

WAE(config)# aaa accounting commands 15 default wait-start tacacs
 

次の例は、TACACS+ サーバ上にある EXEC シェル アカウンティング レポートです。

Wed Apr 14 11:19:19 2004 172.16.0.0 super10 pts/0 172.31.0.0 start
start_time=1081919558 task_id=3028 timezone=PST service=shell
Wed Apr 14 11:19:23 2004 172.16.0.0 super10 pts/0 172.31.0.0
stop stop_time=1081919562 task_id=3028 timezone=PST service=shell
Wed Apr 14 11:22:13 2004 172.16.0.0 normal20 pts/0 via5.abc.com start
start_time=1081919732 task_id=3048 timezone=PST service=shell
Wed Apr 14 11:22:16 2004 172.16.0.0 normal20 pts/0 via5.abc.com stop
stop_time=1081919735 task_id=3048 timezone=PST service=shell
Wed Apr 14 11:25:29 2004 172.16.0.0 admin ftp via5.abc.com start start_time=1081919928
task_id=3069 timezone=PST service=shell
Wed Apr 14 11:25:33 2004 172.16.0.0 admin ftp via5.abc.com stop stop_time=1081919931
task_id=3069 timezone=PST service=shell
 

次の例は、TACACS+ サーバ上にあるシステム アカウンティング レポートです。

Wed Apr 14 08:37:14 2004 172.16.0.0 unknown unknown 0.0.0.0 start start_time=1081909831
task_id=2725 timezone=PST service=system event=sys_acct reason=reload
Wed Apr 14 10:19:18 2004 172.16.0.0 admin ttyS0 0.0.0.0 stop stop_time=1081915955
task_id=5358 timezone=PST service=system event=sys_acct reason=shutdown
 

次の例は、TACACS+ サーバ上にあるコマンド アカウンティング レポートです。

Wed Apr 14 12:35:38 2004 172.16.0.0 admin ttyS0 0.0.0.0 start start_time=1081924137
task_id=3511 timezone=PST service=shell -lvl=0 cmd=logging console enable
Wed Apr 14 12:35:39 2004 172.16.0.0 admin ttyS0 0.0.0.0 stop stop_time=1081924137
task_id=3511 timezone=PST service=shell priv-lvl=0 cmd=logging console enable
 

コマンド アカウンティングに加えて、WAE は、実行された CLI コマンドをシステム ログ( syslog.txt )に記録します。 メッセージ フォーマットは次のとおりです。

ce_syslog(LOG_INFO, CESM_PARSER, PARSER_ALL, CESM_350232,
"CLI_LOG %s: %s \n", __FUNCTION__, pd->command_line);
 

 
関連コマンド

debug aaa accounting

show aaa accounting

alarm overload-detect

アラーム過負荷状態を検出するには、 alarm overload-detect グローバル コンフィギュレーション コマンドを使用します。

alarm overload-detect { clear 1-999 [ raise 10-1000 ] | enable | raise 10-1000 [ clear 1-999 ]}

no alarm overload-detect { clear 1-999 [ raise 10-1000 ] | enable | raise 10-1000 [ clear 1-999 ]}

 
構文の説明

clear

WAE 上のアラーム過負荷状態がクリアされ、network management system(NMS;ネットワーク管理システム)へのSNMP トラップおよびアラーム通知が再開されるしきい値を指定します。


alarm overload-detect clear の値は、alarm overload-detect raise の値より小さくする必要があります。


 

1-999

アラーム過負荷状態を終了させる 1 秒当たりのアラーム数。

raise

WAE がアラーム過負荷状態を開始し、NMS へのSNMP トラップおよびアラーム通知が一時停止するしきい値を指定します。

enable

アラーム過負荷状態の検出を有効にします。

10-1000

アラーム過負荷を発生させる 1 秒当たりのアラーム数。

 
デフォルト

clear : 1 秒当たり 1 アラーム

raise : 1 秒当たり 10 アラーム

 
コマンド モード

グローバル コンフィギュレーション

 
使用上の注意事項

WAE 上で実行している複数のアプリケーションで同時に問題が発生した場合、多数のアラームが同時に発生し、WAE は応答を停止します。 alarm overload-detect グローバル コンフィギュレーション コマンドを使用して、ノード ヘルス管理からの着信アラームに対するオーバーロードの限度を設定できます。 アラーム数が許容されているアラーム数の最大値を超えた場合、WAE はアラーム過負荷状態に入り、アラーム数が clear オプションで定義された数に低下するまで、その状態が続きます。

WAE がアラーム過負荷状態に入ると、次のイベントが発生します。

アラーム過負荷通知が SNMP および NMS に送信される。 clear および raise の値もSNMP および NMS に伝達されます。

以降のアラーム発生およびクリア動作に対する SNMP トラップと NMS 通知は、一時停止する。

アラーム過負荷クリア通知が送信される。

WAE は、着信アラームの割合が clear の値に低下するまで、アラーム過負荷状態を維持する。


) アラーム過負荷状態では、アプリケーションはアラームを発生させ続け、アラームは WAE 内に記録されます。 show alarms および show alarms history EXEC コマンドは、アラーム過負荷状態でもすべてのアラームを表示します。


次の例はアラーム過負荷状態の検出を有効にします。

WAE(config)# alarm overload-detect enable
 

次の例は、1 秒当たり 100 アラームでアラーム過負荷状態が発生するしきい値を設定します。

WAE(config)# alarm overload-detect raise 100
 

次の例は、1 秒当たり 10 アラームでアラーム過負荷状態が解除されるレベルを設定します。

WAE(config)# alarm overload-detect clear 10
 

 
関連コマンド

show alarms show alarm status

authentication

認証および許可方式を指定するには、 authentication グローバル コンフィギュレーション モード コマンドを使用します。 選択的にオプションを無効にするには、このコマンドの no 形式を使用します。

authentication { configuration { local | radius | tacacs } enable [ primary | secondary | tertiary ] | fail-over server-unreachable | login { local | radius | tacacs | windows-domain } enable [ primary | secondary | tertiary ] | print-services windows-domain enable }

no authentication { configuration { local | radius | tacacs } enable [ primary | secondary | tertiary ] | fail-over server-unreachable | login { local | radius | tacacs } enable [ primary | secondary | tertiary ] | print-services windows-domain enable}

 
構文の説明

configuration

設定認証(許可)パラメータを設定します。

local

設定認証(許可)のローカル データベースを選択します。

radius

設定認証(許可)の RADIUS サーバを選択します。

tacacs

設定認証(許可)の TACACS+ サーバを選択します。

enable

許可情報のソースを有効にします。

primary

(オプション)最初に使用される許可方式を設定します。

secondary

(オプション)2 番目に使用される許可方式を設定します。

tertiary

(オプション)3 番目に使用される許可方式を設定します。

fail-over

プライマリ認証が失敗した場合に、次の認証方式を使用する条件を設定します。

server-unreachable

セカンダリ認証方式へのフェールオーバーが、プライマリ認証サーバに到達不能な場合にのみ発生するように指定します。

login

ログイン認証パラメータを設定します。

local

ログイン認証のローカル データベースを選択します。

radius

ログイン認証の RADIUS サーバを選択します。

tacacs

ログイン認証の TACACS+ サーバを選択します。

windows-domain

ログイン認証用の Windows ドメイン コントローラを選択します。

enable

認証情報のソースを有効にします。

primary

(オプション)最初に使用される認証方式を設定します。

secondary

(オプション)2 番目に使用される認証方式を設定します。

tertiary

(オプション)3 番目に使用される認証方式を設定します。

print-services

プリント サービス認証パラメータを設定します。

windows-domain

プリント サービス認証用の Windows ドメイン コントローラを選択します。

enable

Windows ドメイン コントローラを認証情報のソースとして有効にします。

 
デフォルト

ローカル認証方式は、デフォルト設定で有効になっています。

 
コマンド モード

グローバル コンフィギュレーション

 
使用上の注意事項

認証は ログイン とも呼ばれ、ユーザ名とパスワードを検証する動作です。 許可または 設定 とは、ネットワーク内の認証されたユーザに対する権限の設定のことです。 通常、認証はネットワークでの許可に優先します。

authentication コマンドは、認証と許可の両方式を設定し、この方式により WAE へのログインと設定アクセスを統制します。 ログインと設定の権限は、WAFS ソフトウェアの 3 種類のデータベース(ローカル データベース、TACACS+ データベース、RADIUS データベース)で維持されます。 データベースがすべて有効な場合、すべてのデータベースが問い合わせされます。 問い合わせた最初のデータベースにユーザ データが見つからなかった場合、2 番目のデータベース、次に 3 番目のデータベースに問い合わせを行います。

authentication コマンドは、WAE でのプリント サービスに対する Windows ドメイン認証方式を設定します。 プリント サービスの許可は、 print-services グローバル コンフィギュレーション コマンドによって処理されます。

WAE に対する認証設定方式を定義または変更する場合は、次の注意事項に従ってください。

authentication コマンドを使用すると、ユーザ アクセス管理に、外部アクセス サーバを使用するか、内部(ローカル) WAE ベース AAA システムを使用するかを選択できる。

WAE でのアクセス制御と権限の設定のため、次の組み合わせのいずれかで認証および許可方式を設定できる。

ローカル認証および許可

RADIUS 認証および許可

TACACS+ 認証および許可

Windows ドメイン認証

認証設定は次のものに適用される。

コンソールと Telnet の接続試行

SSH(SSH バージョン 1 およびバージョン 2)

WAE 上で RADIUS または TACACS+ キーを設定する場合(RADIUS および TACACS+ クライアント)、必ず同じキーを RADIUS または TACACS+ サーバに設定する。

複数の RADIUS または TACACS+ サーバを設定する場合、最初に設定したサーバがプライマリ サーバとなり、認証要求はこのプライマリ サーバに送付される。 認証および許可を目的とするセカンダリおよびターシャリ サーバを指定することもできます。

デフォルトでは、WAE はローカル データベースを使用して管理ログイン要求を認証および許可する。 WAE は、すべての認証データベースが無効になっているかどうかを確認し、無効になっている場合はシステムをデフォルトの状態に設定します。 このデフォルト状態については、「デフォルトの管理ログイン認証および許可設定」を参照してください。

WAE でのプリント サービス認証は、ログイン認証および許可とは別に、Windows ドメイン コントローラによって管理される。

authentication login コマンドは、ユーザがどのレベルの WAE アクセス権限を持っているか判断します。 authentication configuration コマンドは、WAE への特権アクセス(設定アクセス)をユーザに許可します。 authentication print-services コマンドは、ユーザがどのレベルの WAE 上のプリント サービス アクセス権限を持っているか判断します。 print-services コマンドは、サービスへの特権アクセスをユーザに許可します。

authentication login local および authentication configuration local コマンドは、認証および許可にローカル データベースを使用します。

authentication login tacacs および authentication configuration tacacs コマンドは、リモート TACACS+ サーバを使用してユーザのアクセス レベルを判断します。

TACACS+ データベースでは、ユーザが WAE にアクセスする前にユーザを検証します。 TACACS+ は、米国国防総省(RFC 1492)から派生し、シスコシステムズによって非特権および特権モード アクセスの追加制御として使用されています。 WAFS ソフトウェアがサポートするのは TACACS+ のみで、TACACS や Extended TACACS はサポートしません。

TACACS+ を設定するには、 authentication および tacacs コマンドを使用します。 TACACS+ を有効にするには、 tacacs enable コマンドを使用します。

TACACS+ 認証の詳細については、 「tacacs」 を参照してください。


tacacs グローバル コンフィギュレーション コマンドと TACACS+ サーバは、TACACS+ 認証および許可方式を使用するように設定する必要があります。


authentication login radius および authentication configuration radius コマンドは、リモート RADIUS サーバを使用してユーザのアクセス レベルを判断します。


radius-server グローバル コンフィギュレーション コマンドと RADIUS サーバは、RADIUS 認証および許可方式を使用するように設定する必要があります。


デフォルトで、ローカル方式は有効になっていますが、TACACS+ および RADIUS はともにログインと設定が無効になっています。 TACACS+ および RADIUS が無効になっている場合、ローカルは自動的に有効になっています。 TACACS+、RADIUS、およびローカル方式は、同時に有効にできます。 primary オプションは、ログインと設定の両方の認証を試みる最初の方式を指定します。また、 secondary オプションは、最初の(プライマリ)方式が失敗した場合に使用する方式を指定します。 tertiary オプションは、プライマリとセカンダリの方式がともに失敗した場合に使用する方式を指定します。 authentication login または authentication configuration コマンドのすべての方式が primary として設定されている場合、あるいは secondary または tertiary として設定されている場合、ローカル方式が最初に試行され、次に TACACS+、その次に RADIUS となります。

次の例は、ローカル、TACACS+、RADIUS の各認証および許可を有効にし、TACACS+ を最初に使用する方式とし、TACACS+ 方式が失敗した場合にはローカルをセカンダリ方式として、ローカルと TACACS+ がともに失敗した場合には RADIUS をターシャリ方式として設定します。

WAE(config)# authentication login tacacs enable primary
WAE(config)# authentication login local enable secondary
WAE(config)# authentication login radius enable tertiary
WAE(config)# authentication configuration tacacs enable primary
WAE(config)# authentication configuration local enable secondary
WAE(config)# authentication configuration radius enable tertiary
 

tacacs グローバル コンフィギュレーション コマンドと TACACS+ サーバは、TACACS+ 認証および許可方式を使用するように設定する必要があります。 TACACS+ サーバ設定の詳細については、「TACACS+ 認証および許可設定の指定」を参照してください。 radius-server グローバル コンフィギュレーション コマンドと RADIUS サーバは、RADIUS 認証および許可方式を使用するように設定する必要があります。 RADIUS サーバ設定の詳細については、「RADIUS 認証および許可設定の指定」を参照してください。


次に、 show authentication user コマンドの例を示します。ここでは、TACACS+ サーバが認証および許可のプライマリ方式として使用されています。

WAE# show authentication user
Login Authentication: Console/Telnet Session
----------------------------- -----------------------
local enabled (secondary)
Windows domain disabled
radius disabled
tacacs enabled (primary)
 
Configuration Authentication: Console/Telnet Session
----------------------------- -----------------------
local enabled (secondary)
radius disabled
tacacs enabled (primary)
 

デフォルトの管理ログイン認証および許可設定

デフォルトでは、WAE はローカル データベースを使用して管理ユーザのログイン認証および許可権限を取得します。


authentication グローバル コンフィギュレーション コマンドは、認証方式を設定し、この方式により WAE への管理ログインと設定アクセスを統制します。


表3-1 に、管理ログイン認証および許可のデフォルト設定を示します。

 

表3-1 管理ログイン認証および許可のデフォルト設定

機能
デフォルト値

管理ログイン認証

有効

管理設定許可

有効

認証サーバへの到達不能が原因の認証サーバのフェールオーバー

無効

TACACS+ ログイン認証(コンソールおよび Telnet)

無効

TACACS+ 許可(コンソールおよび Telnet)

無効

TACACS+ キー

未指定

TACACS+ サーバのタイムアウト

5秒

TACACS+ 再送信試行

2 回

RADIUS ログイン認証(コンソールおよび Telnet)

無効

RADIUS 許可(コンソールおよび Telnet)

無効

RADIUS サーバのIPアドレス

未指定

RADIUS サーバ UDP 許可ポート

ポート 1645

RADIUS キー

未指定

RADIUS サーバ タイムアウト

5秒

RADIUS 再送信試行

2 回

プライマリ方式による認証の実行

authentication fail-over server-unreachable グローバル コンフィギュレーション コマンドにより、プライマリ認証サーバが到達不能な場合のみ、セカンダリ認証方式へのフェールオーバーが発生するように指定できます。 この機能によりユーザは、リモート認証サーバ(TACACS+ または RADIUS)が到達不能なときだけ、ローカル データベースを使用して WAE にアクセスできるようになります。 たとえば、TACACS+ サーバが、ユーザ認証フェールオーバーが設定された状態で認証に対して有効なとき、ローカル データベースで定義されたアカウントでユーザが WAE にログインしようとすると、ログインは失敗します。 ログインが成功するのは、TACACS+ サーバが到達不能なときだけです。

サーバの冗長性

認証サーバは、対応する認証サーバ(NTLM、LDAP、または RADIUS) host コマンド オプションで指定できます。 TACACS+ サーバの場合、 server hostname コマンド オプションを使用して追加サーバを設定します。 このような追加サーバは、特に WAE ロードバランシング方式がサーバ間で均等に要求を分散するとき、認証の冗長性とスループットの向上を実現します。 WAE がいずれかの認証サーバに接続できない場合、認証は発生せず、以前に認証されていないユーザはアクセスを拒否されます。

ローカル データベースを介したログイン認証および許可

ローカル認証および許可では、ローカルに設定されたログインおよびパスワードを使用して管理ログイン試行を認証します。 ログインおよびパスワードは各 WAE に対してローカルで、各ユーザ名にはマッピングされません。

デフォルトでは、ローカル ログイン認証は最初、有効に設定されています。 ローカル ログイン認証を無効にできるのは、他の管理ログイン認証方式を 1 つ以上有効にした後です。 ただし、ローカル ログイン認証が無効になっている場合に残りすべての管理ログイン認証方式を無効にすると、ローカル ログイン認証は自動的に再度有効になります。

RADIUS 認証および許可設定の指定

RADIUS 認証クライアントは、WAFS ソフトウェアを稼動する WAE 上にあります。 有効な場合、このようなクライアントは認証要求を中央(リモート) RADIUS サーバに送りますが、このサーバにはログイン認証とネットワーク サービス アクセス情報が格納されています。

WAE で RADIUS 認証を設定するには、WAE 上で一連の RADIUS 認証サーバ設定を設定する必要があります。 WAFS Manager GUI または CLI を使用して、WAE に対する一連の RADIUS 認証サーバ設定値を設定できます。

表3-2 に、RADIUS 認証設定について説明します。

 

表3-2 RADIUS 認証設定

設定
説明

RADIUS サーバ

WAE が RADIUS 認証に使用する RADIUS サーバ。 WAE が特定の RADIUS サーバを使用できるようにするには、RADIUS サーバの IP アドレスまたはホスト名とポート情報を入力します。 最大で 5 つの異なるホストが許容されています。 初期の RADIUS ではポート番号 1645 を使用していましたが、現在の RADIUS の公式なポート番号は 1812 です。最大で 5 つの異なるポートが許容されています。

RADIUS キー

RADIUS クライアント(WAE)と RADIUS サーバ間のすべての通信の暗号化と認証に使用するキー。 キーの最大文字数は 15 で、デフォルトはありません。

ヒント 必ず同じ RADIUS キーを、RADIUS サーバで有効にしてください。

 

RADIUS タイムアウト インターバル

WAE が、タイムアウトを宣言するまで、指定された RADIUS 認証サーバからの応答を待つ秒数。 指定できる範囲は 1~20 秒です。 デフォルト値は 5 秒です。

RADIUS 再送信カウント

RADIUS タイムアウト インターバルを超過した場合に、WAE が RADIUS に接続を再送信する回数。 指定できる範囲は 1~3 回です。 デフォルト値は 2 回です。

WAE でこのような RADIUS 認証設定を設定すると、WAE に対して RADIUS ログイン認証および許可を有効にできます。

TACACS+ 認証および許可設定の指定

TACACS+ は、ネットワーク デバイスと中央データベース間で Network Access Server(NAS)情報を交換してユーザまたはエンティティの ID を確認することで、ネットワーク デバイスへのアクセスを制御します。 TACACS+ は、RFC 1492 によって規定された、UDP ベースのアクセス制御プロトコルである TACACS の機能拡張版です。 TACACS+ は、ネットワーク デバイス上で TCP を使用して信頼性の高い配信を確保し、TACACS+ サーバとTACACS+ デーモン間のすべてのトラフィックを暗号化します。

TACACS+ は、固定パスワード、ワンタイム パスワード、チャレンジ/レスポンス認証など多くの認証タイプと連携します。

ユーザが制限されたサービスを要求すると、TACACS+ は、MD5 暗号アルゴリズムを使用してユーザのパスワード情報を暗号化し、TACACS+ パケット ヘッダーを追加します。 このヘッダー情報は、送信されるパケットのタイプ(たとえば、認証パケット)、パケット シーケンス番号、使用された暗号タイプ、および総パケット長を特定します。 それから、TACACS+ プロトコルによりパケットが TACACS+ サーバに転送されます。

TACACS+ サーバは、認証、許可、およびアカウンティングの機能を装備できます。 このようなサービスは、すべて TACACS+ の一部ですが、相互に独立しているので、指定の TACACS+ 設定はこの 3 つのサービスのいずれか、またはすべてを使用できます。

TACACS+ サーバはパケットを受信すると、次のような処置を行います。

ユーザ情報を認証し、ログイン認証が成功したか失敗したかをクライアントに通知する。

認証が進行し、クライアントが追加情報を提供する必要があることをクライアントに通知する。 このチャレンジ/レスポンス プロセスは、ログイン認証が成功または失敗するまで複数回繰り返されます。

クライアントとサーバに TACACS+ キーを設定できます。 WAE にキーを設定する場合、TACACS+ サーバに設定したものと同じである必要があります。 TACACS+ クライアントとサーバは、そのキーを使用して、送信されるすべての TACACS+ パケットを暗号化します。 TACACS+ キーを設定しなければ、パケットは暗号化されません。

TACACS+ 認証はデフォルトで無効に設定されています。 TACACS+ 認証とローカル認証は同時に有効にできます。

WAE で TACACS+ 認証を設定するには、WAE 上で一連の TACACS+ 認証設定を設定する必要があります。 WAE CLI または GUI を使用して、WAE に対してこの一連の TACACS+ 認証設定を設定できます。

表3-3 に、TACACS+ 認証設定について説明します。


) WAE で TACACS+ サーバが設定されていなければ、TACACS+ 認証は実行されません。


 

表3-3 TACACS+ 認証設定

設定
説明

TACACS+ サーバ

WAE が TACACS+ 認証に使用する TACACS+ サーバ。 明示的にプライマリ TACACS+ サーバを指定してください。そうしないと WAE は独自の決定を行います。 1 つのプライマリ TACACS+ サーバと 2 つのバックアップ TACACS+ サーバを設定できます。 TACACS+ は、指定されたサービスに基づいて、標準ポート(ポート 49)を通信に使用します。

TACACS+ キー

WAE が TACACS+ サーバとの通信に使用する秘密鍵。 TACACS+ キーの最大文字数は、印字可能 ASCII 文字(タブは除く)で 99 文字を超えてはなりません。 空のキー文字列がデフォルトです。 先頭のスペースはすべて無視されます。キー文字列の内部とキーの終わりのスペースは無視されません。 キー内にスペースがある場合でも二重引用符は不要です。ただし、引用符自体がキーの一部である場合を除きます。 デフォルトはありません。

ヒント 必ず同じ TACACS+ キーを TACACS+ サーバに指定してください。

 

TACACS+ タイムアウト インターバル

WAE が、タイムアウトを宣言するまで、指定された TACACS+ 認証サーバからの応答を待つ秒数。 指定できる範囲は 1~20 秒です。 デフォルト値は 5 秒です。

TACACS+ 再送信カウント

TACACS+ タイムアウト インターバルを超過した場合に、WAE が
TACACS+ に接続を再送信する回数。 指定できる範囲は 1~3 回です。 デフォルト値は 2 回です。

TACACS+ パスワード認証方式

パスワード認証のメカニズム。 デフォルトでは、Password Authentication Protocol(PAP; パスワード認証プロトコル)がパスワード認証のメカニズムです。 もう 1 つの方法は ASCII クリア テキストをパスワード認証のメカニズムとして使用することです。

TACACS+ イネーブル パスワード属性

WAFS ソフトウェア CLI EXEC モードは、システム動作の設定、表示、テストに使用します。 ユーザと特権の 2 つのアクセス レベルに分けられます。 特権レベル EXEC モードにアクセスするには、ユーザ アクセス レベルのプロンプトで enable EXEC コマンドを入力し、パスワードの入力のプロンプトが表示されたら特権 EXEC パスワード(スーパーユーザまたは管理者相当のパスワード)を指定します。

TACACS+ には「イネーブル パスワード」機能があり、これにより管理者は、管理レベル ユーザごとに異なるイネーブル パスワードを定義できます。 管理レベル ユーザが、管理者または管理者相当のユーザ アカウント(特権レベル 15)ではなく、標準レベルのユーザ アカウント(特権レベル 0)で WAE にログインした場合、特権レベル EXEC モードにアクセスするには、管理者パスワードを入力する必要があります。

WAE> enable

Password:

この警告は、このような WAFS ユーザがログイン認証に TACACS+ を使用している場合でも当てはまります。

次の例は、ローカルと TACACS+ の認証および許可を有効にし、使用するプライマリ方式として TACACS+ を、TACACS+ が失敗した場合に使用するセカンダリ方式としてローカルを設定します。

WAE(config)# authentication login tacacs enable primary
WAE(config)# authentication login local enable secondary
WAE(config)# authentication configuration local enable secondary
WAE(config)# authentication configuration tacacs enable primary
 

次の例は show authentication コマンドの出力を示します。

WAE# show authentication user
 
Login Authentication: Console/Telnet/Ftp/SSH Session
----------------------------- ------------------------------
local enabled (secondary)
Windows domain disabled
Radius disabled
Tacacs+ enabled (primary)
 
Configuration Authentication: Console/Telnet/Ftp/SSH Session
----------------------------- ------------------------------
local enabled (secondary)
Radius disabled
Tacacs+ enabled (primary)
 

次の例はプリント サービスに対する Windows ドメイン認証を有効にし、 show authentication コマンドの出力結果を示します。

WAE(config)# authentication print-services windows-domain enable
 
WAE# show authentication user
 
Login Authentication: Console/Telnet/Ftp/SSH Session
----------------------------- ------------------------------
local enabled (primary)
Windows domain enabled
Radius disabled
Tacacs+ disabled
 
Configuration Authentication: Console/Telnet/Ftp/SSH Session
----------------------------- ------------------------------
local enabled (primary)
Radius disabled
Tacacs+ disabled
 

) 認証を設定する前に、windows-domain wins-server グローバル コンフィギュレーション コマンドを使用して Windows ドメイン コントローラを設定する必要があります。


次の例は show statistics tacacs コマンドの出力を示します。

WAE# show statistics tacacs
 
TACACS+ Statistics
-----------------------------------------------
Authentication:
Number of access requests: 0
Number of access deny responses: 0
Number of access allow responses: 0
Authorization:
Number of authorization requests: 0
Number of authorization failure responses: 0
Number of authorization success responses: 0
Accounting:
Number of accounting requests: 0
Number of accounting failure responses: 0
Number of accounting success responses: 0

 
関連コマンド

print-services

radius-server

show authentication

show statistics radius

show statistics tacac

stacacs

windows-domain

autosense

インターフェイスでの自動感知を有効にするには、 autosense インターフェイス コンフィギュレーション コマンドを使用します。 この機能を無効にするには、このコマンドの no 形式を使用します。

autosense

no autosense

 
構文の説明

このコマンドには引数やキーワードがありません。

 
デフォルト

自動感知はデフォルトで有効です。

 
コマンド モード

インターフェイス コンフィギュレーション

 
使用上の注意事項

シスコ ルータのイーサネット インターフェイスは、デュプレックス設定をネゴシエーションしません。 WAE をクロスケーブルで直接ルータに接続した場合は、WAE インターフェイスを手動でルータのインターフェイス設定と一致するように設定する必要があります。 autosense を無効にしてからイーサネット インターフェイスを設定してください。 autosense が有効なときは、手動の設定は上書きされます。 自動感知を起動するには WAE をリブートする必要があります。

次の例はギガビット イーサネット ポート 1/0 での自動感知を無効にします。

WAE(config)# interface GigabitEthernet 1/0
WAE(config-if)# no autosense
 

次の例はギガビット イーサネット ポート 1/0 での自動感知を再度有効にします。

WAE(config)# interface GigabitEthernet 1/0
WAE(config-if)# autosense
WAE(config-if)# exit
WAE(config)# exit
WAE# reload
 

 
関連コマンド

interface

show interface

show running-config

show startup-config