Cisco IOS セキュリティ コンフィギュレーション ガ イド:ユーザ サービスのセキュリティ保護
AAA Double Authentication Secured by Absolute Timeout
AAA Double Authentication Securedby Absolute Timeout
発行日;2012/02/05 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

AAA Double Authentication Secured

機能情報の確認

この章の構成

AAA Double Authentication Secured by Absolute Timeout の前提条件

AAA Double Authentication Secured by Absolute Timeout の制約事項

AAA Double Authentication Secured by Absolute Timeout について

AAA 二重認証

AAA Double Authentication Secured by Absolute Timeout の適用方法

AAA Double Authentication Secured by Absolute Timeout の適用

AAA Double Authentication Secured by Absolute Timeout の確認

AAA Double Authentication Secured by Absolute Timeout の例

RADIUS ユーザ プロファイルの例

TACACS+ ユーザ プロファイルの例

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

AAA Double Authentication Secured by AbsoluteTimeout の機能情報

AAA Double Authentication Secured
by Absolute Timeout

AAA Double Authentication Secured by Absolute Timeout 機能により、ユーザ単位のセッション タイムアウトを使用して保護することで、二重の認証メカニズムが確保されます。この機能では、サービス プロバイダーによるネットワークへの接続を認可された接続のみに最適化し、不要なセッションが接続されないようにすることで、ネットワークへのアクセス全体のセキュリティを高めます。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「AAA Double Authentication Secured by Absolute Timeout の機能情報」を参照してください。

プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。

AAA Double Authentication Secured by Absolute Timeout の前提条件

Cisco RADIUS サーバまたは TACACS+ サーバにアクセスできる必要があります。また、RADIUS または TACACS+ の設定方法を十分に理解していることが必要です。

Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)の設定方法を十分理解していることが必要です。

AAA 自動二重認証を有効化する方法を十分理解していることが必要です。

AAA Double Authentication Secured by Absolute Timeout の制約事項

AAA Double Authentication Secured by Absolute Timeout 機能は、既存の二重認証機能と同じように、PPP 接続専用です。自動二重認証は、X.25 や Serial Line Internet Protocol(SLIP; シリアル ライン インターネット プロトコル)などの他のプロトコルとともに使用することはできません。

TACACS+ サーバが使用されている場合、パフォーマンスにわずかに影響することがあります。ただし、RADIUS サーバが使用されている場合は、パフォーマンスへの影響はありません。

AAA Double Authentication Secured by Absolute Timeout について

AAA Double Authentication Secured by Absolute Timeout 機能を設定するために、次の概念を理解しておく必要があります。

「AAA 二重認証」

AAA 二重認証

現在の AAA 二重認証メカニズムでは、ユーザはホストのユーザ名とパスワードを使用して最初の認証を渡す必要があります。2 回目の認証は、Challenge Handshake Authentication Protocol(CHAP; チャレンジ ハンドシェーク認証プロトコル)または Password Authentication Protocol(PAP; パスワード認証プロトコル)の後で行われますが、このときはログイン ユーザ名とそのパスワードが使用されます。最初の認証では、PPP セッション タイムアウトがローカルまたはリモートで設定されていれば、PPP セッション タイムアウトがバーチャル アクセス インターフェイスに適用されます。AAA Double Authentication Secured by Absolute Timeout 機能により、ユーザ単位のセッション タイムアウトを使用して保護することで、二重の認証メカニズムが確保されます。ユーザ単位のタイムアウトは、一般的な絶対タイムアウト値よりも優先されるほか、カスタマイズすることが可能です。このメカニズムの動作原理は、二重認証のユーザ単位のアクセス コントロール リストと同じです。

AAA Double Authentication Secured by Absolute Timeout の適用方法

ここでは、次の各手順について説明します。

「AAA Double Authentication Secured by Absolute Timeout の適用」

「AAA Double Authentication Secured by Absolute Timeout の確認」

AAA Double Authentication Secured by Absolute Timeout の適用

絶対タイムアウトを適用するために、Link Control Protocol(LCP; リンクコントロール プロトコル)のユーザ単位のアトリビュートとしてログイン ユーザ プロファイルで「Session-Timeout」を設定する必要があります。この機能の Command Line Interface(CLI; コマンドライン インターフェイス)には新しいものや変更されたものはありませんが、AAA 二重認証を有効にするときに access-profile コマンドを使用する前に、LCP のユーザ単位のアトリビュート(Session-Timeout など)を再度認可してから、Network Control Protocol(NCP; ネットワーク制御プロトコル)を再度認可して、ACL やルートなどの他の必要な条件を適用します。「AAA Double Authentication Secured by Absolute Timeout の例」を参照してください。


) TACACS+ ユーザ プロファイルのタイムアウト設定は、RADIUS ユーザ プロファイルの設定とは多少異なります。RADIUS プロファイルでは、autocommand の「access-profile」とともに 1 つの「Session-Timeout」だけが設定されています。このタイムアウトは EXEC セッションおよび PPP セッションに適用されます。TACACS+ では、タイムアウトはサービス タイプ「exec」および「ppp」(LCP)下で設定し、EXEC セッションと PPP セッションに適用する必要があります。タイムアウトをサービス タイプ「ppp」下でのみ設定すると、そのタイムアウト値は EXEC 認可で使用できず、EXEC セッションに適用されません。


AAA Double Authentication Secured by Absolute Timeout の確認

AAA 二重認証が絶対タイムアウトで保護されていることを確認したり、AAA 二重認証に関連付けられているさまざまなアトリビュートの情報を参照したりするための手順は、次のとおりです。 show コマンドと debug コマンドは、どの順序で使用してもかまいません。


) アイドル タイムアウトがフル バーチャル アクセス インターフェイスおよびサブバーチャル アクセス インターフェイスで設定されているときに、show users コマンドを実行すると、両方のインターフェイスのアイドル時間が表示されます。ただし、アイドル タイムアウトが両方のインターフェイスで設定されていない場合に、show users コマンドを実行すると、フル バーチャル アクセス インターフェイスのアイドル時間のみが表示されます。


手順の概要

1. enable

2. show users

3. show interfaces virtual-access number [ configuration ]

4. debug aaa authentication

5. debug aaa authorization

6. debug aaa per-user

7. debug ppp authentication

8. debug radius

または

debug tacacs

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

show users

enable

 

Router# show users

ルータ上のアクティブ回線に関する情報を表示します。

ステップ 3

show interfaces virtual-access number [ configuration ]

 

Router# show interfaces virtual-access 2 configuration

指定したバーチャル アクセス インターフェイスのステータス、トラフィック データ、設定情報を表示します。

ステップ 4

debug aaa authentication

 

Router# debug aaa authentication

AAA TACACS+ 認証の情報を表示します。

ステップ 5

debug aaa authorization

 

Router# debug aaa authorization

AAA TACACS+ 認可の情報を表示します。

ステップ 6

debug aaa per-user

 

Router# debug aaa per-user

ユーザ認証として各ユーザに適用されるアトリビュートを表示します。

ステップ 7

debug ppp authentication

 

Router# debug ppp authentication

ユーザが認証を通過しているかどうかを表示します。

ステップ 8

debug radius

 

Router# debug radius

 

または

debug tacacs

 

Router# debug tacacs

RADIUS サーバ関連の情報を表示します。

または

TACACS+ サーバ関連の情報を表示します。

次に、 show users コマンドの出力例を示します。

Router# show users
 
Line User Host(s Idle Location
* 0 con 0 aaapbx2 idle 00:00:00 aaacon2 10
8 vty 0 broker_def idle 00:00:08 192.168.1.8
 
Interface User Mode Idle Peer Address
Vi2 broker_default VDP 00:00:01 192.168.1.8 <=========
Se0:22 aaapbx2 Sync PPP 00:00:23
 

次に、 show interfaces virtual-access コマンドの出力例を示します。

Router# show interfaces virtual-access 2 configuration
 
Virtual-Access2 is a Virtual Profile (sub)interface
 
Derived configuration: 150 bytes
!
interface Virtual-Access2
ip unnumbered Serial0:23
no ip route-cache
timeout absolute 3 0
! The above line shows that the per-user session timeout has been applied.
ppp authentication chap
ppp timeout idle 180000
! The above line shows that the absolute timeout has been applied.

AAA Double Authentication Secured by Absolute Timeout の例

ここでは、次の設定例について説明します。

「RADIUS ユーザ プロファイルの例」

「TACACS+ ユーザ プロファイルの例」

RADIUS ユーザ プロファイルの例

次の出力例は、RADIUS ユーザ プロファイルが適用されていることと、AAA 二重認証が絶対タイムアウトによって保護されていることを示しています。

aaapbx2 Password = "password1",
Service-Type = Framed,
Framed-Protocol = PPP,
Session-Timeout = 180,
Idle-Timeout = 180000,
cisco-avpair = "ip:inacl#1=permit tcp any any eq telnet"
cisco-avpair = "ip:inacl#2=permit icmp any any"
 
 
broker_default Password = "password1",
Service-Type = Administrative,
cisco-avpair = "shell:autocmd=access-profile",
Session-Timeout = 360,
cisco-avpair = "ip:inacl#1=permit tcp any any"
cisco-avpair = "ip:inacl#2=permit icmp any any"
 
 
broker_merge Password = "password1",
Service-Type = Administrative,
cisco-avpair = "shell:autocmd=access-profile merge",
Session-Timeout = 360,
cisco-avpair = "ip:inacl#1=permit tcp any any"
cisco-avpair = "ip:inacl#2=permit icmp any any"
cisco-avpair = "ip:route#3=10.4.0.0 255.0.0.0"
cisco-avpair = "ip:route#4=10.5.0.0 255.0.0.0"
cisco-avpair = "ip:route#5=10.6.0.0 255.0.0.0"
 
 
broker_replace Password = "password1",
Service-Type = Administrative,
cisco-avpair = "shell:autocmd=access-profile replace",
Session-Timeout = 360,
cisco-avpair = "ip:inacl#1=permit tcp any any"
cisco-avpair = "ip:inacl#2=permit icmp any any"
cisco-avpair = "ip:route#3=10.4.0.0 255.0.0.0"
cisco-avpair = "ip:route#4=10.5.0.0 255.0.0.0"
cisco-avpair = "ip:route#5=10.6.0.0 255.0.0.0"

TACACS+ ユーザ プロファイルの例

次の出力例は、TACACS+ ユーザ プロファイルが適用されていることと、AAA 二重認証が絶対タイムアウトによって保護されていることを示しています。

リモート ホスト

次の例では、最初の段階の認証でリモート ホストがローカル ホストによって認証され、リモート ホストの認可プロファイルが用意されます。

user = aaapbx2
chap = cleartext Cisco
pap = cleartext cisco
login = cleartext cisco
 
service = ppp protocol = lcp
idletime = 3000
timeout = 3
 
service = ppp protocol = ip
inacl#1="permit tcp any any eq telnet"
 
service = ppp protocol = ipx

引数のない access-profile コマンド

引数を何も付けずに access-profile コマンドを実行すると、古い設定(ユーザ単位およびインターフェイス単位)で見つかったアクセス リストがすべて削除され、アクセス リストの定義のみが新しいプロファイルに存在する状態になります。

user = broker_default
login = cleartext Cisco
chap = cleartext "cisco"
 
service = exec
 
autocmd = "access-profile"
! This is the autocommand that executes when broker_default logs in.
timeout = 6
 
service = ppp protocol = lcp
timeout = 6
 
service = ppp protocol = ip
! Put access lists, static routes, and other requirements that are
! needed here. Read the software specifications for details. If you leave
! this blank, the user will have no access lists (not even the ones that were
! installed prior to the creation of this user profile)!
 
inacl#1="permit tcp any any"
inacl#2="permit icmp host 10.0.0.0 any"
 
service = ppp protocol = ipx
! Put access lists, static routes, and other requirements that are
! needed here. Read the software specifications for details. If you leave
! this blank, the user will have no access lists (not even the ones that were
! installed prior to the creation of this user profile)!

merge キーワードを指定した access-profile コマンド

「merge」オプションを指定すると、古いアクセス リストが(上記のように)すべて削除されますが、その後、ほぼすべての AV ペアをアップロードおよびインストールすることができます。この merge では、カスタムのスタティック ルート、Service Advertisement Protocol(SAP)フィルタ、プロファイルに必要になることがある他の要件をアップロードできます。この merge は競合する設定のあらゆる要素を未処理のままにするため、注意して使用する必要があります。

user = broker_merge
login = cleartext Cisco
chap = cleartext "cisco"
 
service = exec
 
autocmd = "access-profile merge"
! This is the autocommand that executes when broker_merge logs in.
timeout = 6
 
service = ppp protocol = lcp
timeout = 6
 
service = ppp protocol = ip
! Put access lists, static routes, and other requirements that are
! needed here. Read the software specifications for details. If you leave
! this blank, the user will have no access lists (not even the ones that were
! installed prior to the creation of this user profile)!
 
route#1="10.4.0.0 255.0.0.0"
route#2="10.5.0.0 255.0.0.0"
route#3="10.6.0.0 255.0.0.0"
inacl#5="permit tcp any any"
inacl#6="permit icmp host 10.60.0.0 any"
 
service = ppp protocol = ipx
! Put access lists, static routes, and other requirements that are
! needed here. Read the software specifications for details. If you leave
! this blank, the user will have no access lists (not even the ones that were
! installed prior to the creation of this user profile)!

replace キーワードを指定した access-profile コマンド

access-profile コマンドに replace キーワードを指定して実行すると、現在機能しているように動作します。つまり、古い設定がすべて削除され、新しい設定がすべてインストールされます。


access-profile コマンドを設定すると、アドレス プールとアドレスのアトリビュート値(AV)ペアについて新しい設定がチェックされます。この時点でアドレスは再ネゴシエートできないため、このコマンドはそのようなアドレスの AV ペアを検出すると正常に動作しません。


user = broker_replace
 
login = cleartext Cisco
chap = cleartext "cisco"
 
service = exec
 
autocmd = "access-profile replace"
! This is the autocommand that executes when broker_replace logs in.
timeout = 6
 
service = ppp protocol = lcp
timeout = 6
 
service = ppp protocol = ip
! Put access lists, static routes, and other requirements that are
! needed here. Read the software specifications for details. If you leave
! this blank, the user will have no access lists (not even the ones that were
! installed prior to the creation of this user profile)!
 
route#1="10.7.0.0 255.0.0.0"
route#2="10.8.0.0 255.0.0.0"
route#3="10.9.0.0 255.0.0.0"
inacl#4="permit tcp any any"
 
service = ppp protocol = ipx
! Put access lists, static routes, and other requirements that are
! needed here. Read the software specifications for details. If you leave
! this blank, the user will have no access lists (not even the ones that were
! installed prior to the creation of this user profile)!
 

) TACACS+ ユーザ プロファイルのタイムアウト設定は、RADIUS ユーザ プロファイルの設定とは多少異なります。RADIUS プロファイルでは、autocommand の access-profile とともに 1 つの「Session-Timeout」だけが設定されています。このタイムアウトは EXEC セッションおよび PPP セッションに適用されます。TACACS+ では、タイムアウトはサービス タイプ「exec」および「ppp」(LCP)下で設定し、EXEC セッションと PPP セッションに適用する必要があります。タイムアウトをサービス タイプ「ppp」下でのみ設定すると、そのタイムアウト値は EXEC 認可で使用できず、EXEC セッションに適用されません。


の他の参考資料

ここでは、AAA Double Authentication Secured by Absolute Timeout の関連資料について説明します。

関連資料

内容
参照先

AAA

Configuring Authentication 」フィーチャ モジュール

Configuring Authorization 」フィーチャ モジュール

Configuring Accounting 」フィーチャ モジュール

RADIUS

Configuring RADIUS フィーチャ モジュール

TACACS+

Configuring TACACS+ 」フィーチャ モジュール

セキュリティ コマンド

『Cisco IOS Security Command Reference』

規格

規格
タイトル

なし

--

MIB

MIB
MIB リンク

なし

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

なし

--

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、豊富なオンライン リソースが提供されており、それらに含まれる資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次の URL からアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

AAA Double Authentication Secured by Absolute
Timeout の機能情報

表 1 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートする Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


 

表 1 AAA Double Authentication Secured by AbsoluteTimeout の機能情報

機能名
リリース
機能情報

AAA Double Authentication Secured by Absolute Timeout

12.3(7)T
12.2(28)SB
Cisco IOS XE リリース 2.3

AAA Double Authentication Secured by Absolute Timeout 機能により、ユーザ単位のセッション タイムアウトを使用して保護することで、二重の認証メカニズムが確保されます。この機能では、サービス プロバイダーによるネットワークへの接続を認可された接続のみに最適化し、不要なセッションが接続されないようにすることで、ネットワークへのアクセス全体のセキュリティを高めます。