Cisco IOS セキュリティ コンフィギュレーション ガ イド:ユーザ サービスのセキュリティ保護
Kerberos の設定
Kerberos の設定
発行日;2012/02/01 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

Kerberos の設定

機能情報の確認

この章の構成

Kerberos の設定の前提条件

Kerberos の設定の概要

Kerberos クライアントのサポート操作

境界ルータに対する認証

KDC からの TGT 取得

ネットワーク サービスに対する認証

Kerberos を設定する方法

Kerberos コマンドによる KDC の設定

KDC データベースへのユーザの追加

KDC での SRVTAB の作成

SRVTAB の抽出

Kerberos プロトコルを使用するためのルータの設定

Kerberos レルムの定義

SRVTAB ファイルのコピー

Kerberos 認証の指定

認定証のフォワーディングのイネーブル化

ルータに対する Telnet セッションの開始

Encrypted Kerberized Telnet セッションの確立

必須の Kerberos 認証のイネーブル化

Kerberos インスタンス マッピングのイネーブル化

Kerberos の監視とメンテナンス

Kerberos 設定の例

Kerberos レルム定義の例

SRVTAB ファイル コピーの例

Kerberos 設定の例

暗号化された Telnet セッションの例

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

Kerberos の設定に関する機能情報

Kerberos の設定

Kerberos は、Massachusetts Institute of Technology(MIT; マサチューセッツ工科大学)が開発した秘密鍵ネットワーク認証プロトコルであり、暗号化と認証に Data Encryption Standard(DES; データ暗号規格)暗号アルゴリズムを使用します。Kerberos は、ネットワーク リソースの要求を認証するために設計されました。Kerberos は他の秘密鍵システムと同様に、ユーザとサービスのセキュアな検証を実行する、信頼できるサード パーティの概念に基づいています。Kerberos プロトコルでは、この信頼できるサード パーティは、Key Distribution Center(KDC; 鍵発行局)と呼ばれます。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「Kerberos の設定に関する機能情報」を参照してください。

プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。

Kerberos の設定の前提条件

通信と相互認証を行う Kerberos レルムのホストと KDC について、相互に識別する必要があります。そのために、KDC 上の Kerberos データベースにホストのエントリを追加し、KDC が生成する SRVTAB ファイルを Kerberos レルムのすべてのホストに追加します。また、KDC データベースにユーザのエントリも作成します。

Kerberos 管理プログラム(KDC と呼ばれます)は、UNIX ホストにインストールし、データベースで初期化する必要があります。Kerberos レルムの名前とパスワードも設定する必要があります。これらのタスクを完了する手順については、Kerberos ソフトウェアのマニュアルを参照してください。


) KDC のホスト名または IP アドレス、KDC で照会のために監視するポート番号、およびサービスを提供する Kerberos レルムの名前を書き留めます。この情報は、ルータを設定するために必要です。


Kerberos の設定の概要

Kerberos の主な用途は、ユーザと、そのユーザが使用するネットワーク サービスの身元が主張どおりであることを検証することです。この検証のために、信頼できる Kerberos サーバがユーザにチケットを発行します。これらのチケットは、有効期限があり、ユーザの認定証キャッシュに保存されており、標準のユーザ名とパスワードの認証メカニズムの代わりに使用できます。

Kerberos の認定証スキームは、「シングル ログオン」という概念を表しています。このプロセスでは、ユーザを 1 回認証する必要があり、そのユーザの認定証が受け入れられた場所に関係なく、セキュア認証を許可します(別のパスワードは暗号化しません)。

Cisco IOS リリース 11.2 以降、Cisco IOS ソフトウェアは Kerberos 5 をサポートするようになりました。そのため、Kerberos 5 をすでに配置している組織の場合、ルータ上で、他のネットワーク ホスト(UNIX サーバや PC など)ですでに使用している同じ Kerberos 認証データベースを使用できます。

次のネットワーク サービスは、Cisco IOS ソフトウェアの Kerberos 認証機能によってサポートされています。

Telnet

rlogin

rsh

rcp


) Kerberos クライアント サポートのシスコシステムズの実装は、MIT のコードから派生した CyberSafe が開発したコードに基づいています。そのため、シスコの Kerberos 実装は、CyberSafe Challenger 製の市販 Kerberos サーバおよび無料配布されている MIT のサーバ コードとの完全互換性テストに成功しています。


表 1 に、一般的な Kerberos に関連する用語とその定義を示します。

 

表 1 Kerberos の用語

用語
定義

認証

ユーザまたはサービスが、別のサービスに対して自身の身元を示すプロセス。たとえば、クライアントがルータに対して認証したり、ルータが他のルータに対して認証したりすることができます。

認可

ネットワークまたはルータでユーザが持っている特権、および実行できるアクションをルータが判断する手段です。

認定証

Ticket Granting Ticket(TGT; チケット認可チケット)やサービス認定証など、認証チケットを指す一般的な用語です。Kerberos の認定証では、ユーザまたはサービスの ID を確認します。ネットワーク サービスがチケットを発行した Kerberos サーバを信頼することを決定すると、ユーザとパスワードを再入力する代わりにそのチケットを使用できます。認定証には、8 時間というデフォルトの有効期限があります。

インスタンス

Kerberos プリンシパルの承認レベルのラベル。ほとんどの Kerberos プリンシパルは、user@REALM という形式です(たとえば、smith@EXAMPLE.COM)。Kerberos インスタンスを指定した Kerberos プリンシパルは、user/instance@REALM という形式です(たとえば、smith/admin@EXAMPLE.COM)。Kerberos インスタンスは、認証が成功した場合に、ユーザの承認レベルを指定するために使用できます。Kerberos インスタンスの認可マッピングを実装および実施するのは、各ネットワーク サービスのサーバ次第です。Kerberos レルム名は、大文字で指定する必要があります。

Kerberos 化

Kerberos 認定証インフラストラクチャをサポートするように変更されたアプリケーションおよびサービス。

Kerberos レルム

Kerberos サーバに登録されるユーザ、ホスト、およびネットワーク サービスから構成されるドメイン。ユーザまたはネットワーク サービスの ID を確認する Kerberos サーバは、別のユーザまたはネットワーク サービスから信頼されます。Kerberos レルムは、常に大文字で指定する必要があります。

Kerberos サーバ

ネットワーク ホストで実行されるデーモン。ユーザとネットワーク サービスは、自身の ID を Kerberos サーバに登録します。ネットワーク サービスは Kerberos サーバに照会し、他のネットワーク サービスに対して認証します。

Key Distribution Center(KDC; 鍵発行局)

ネットワーク ホストで実行される Kerberos サーバとデータベース プログラム。

プリンシパル

Kerberos ID とも呼ばれます。Kerberos サーバに従っているユーザの身元やサービスの内容です。

サービス認定証

ネットワーク サービスの認定証。この認定証は、KDC から発行されるとき、ネットワーク サービスと KDC で共有されるパスワード、およびユーザの TGT で暗号化されます。

SRVTAB

ネットワーク サービスが KDC と共有するパスワード。ネットワーク サービスは、SRVTAB(KEYTAB とも呼ばれます)を使用して暗号化されたサービス認定証を認証して、復号化します。

Ticket Granting Ticket(TGT; チケット認可チケット)

鍵発行局(KDC)が認証済みユーザに発行する認定証。ユーザは TGT を受信すると、KDC によって表される Kerberos レルム内のネットワーク サービスに対して、自身を認証できるようになります。

Kerberos クライアントのサポート操作

ここでは、Kerberos セキュリティ システムが、セキュリティ サーバとして機能する Cisco ルータと連携する方法について説明します。(便宜上または技術的な理由から)Kerberos は多様な方法でカスタマイズできますが、ネットワーク サービスにアクセスを試みるリモート ユーザは、3 レイヤのセキュリティを通過してからネットワーク サービスにアクセスする必要があります。

ここでは、次の内容について説明します。

「境界ルータに対する認証」

「KDC からの TGT 取得」

「ネットワーク サービスに対する認証」

境界ルータに対する認証

ここでは、リモート ユーザがネットワークにアクセスを試みるときに通過する必要があるセキュリティの第 1 レイヤについて説明します。Kerberos 認証プロセスの第 1 段階は、ユーザが境界ルータに対して自身を認証することです。次のプロセスでは、ユーザが境界ルータに対して認証する方法について説明します。

1. リモート ユーザは、会社サイトのルータに対して PPP 接続を開きます。

2. ルータは、ユーザに対してユーザ名とパスワードの入力を求めます。

3. ルータは、そのユーザに関する KDC の TGT を要求します。

4. KDC は、(他の情報も含まれますが)ユーザの ID を含む暗号化済み TGT をルータに送信します。

5. ルータは、ユーザが入力したパスワードを使用して、TGT の復号化を試行します。復号化に成功すると、リモート ユーザはルータに対して認証されます。

PPP セッションの開始、および境界ルータに対する認証に成功するリモート ユーザは、ファイアウォール内にいますが、ネットワーク サービスにアクセスするには KDC に対して直接認証する必要があります。これは、KDC から発行された TGT はルータに保存され、ユーザが物理的にルータにログオンしない限り、追加の認証には役立ちません。

KDC からの TGT 取得

ここでは、境界ルータに対して認証されたリモート ユーザが、KDC に対して自身を認証する方法について説明します。

リモート ユーザが境界ルータに対して認証すると、そのユーザは技術的にはネットワークの一部になります。つまり、ネットワークは、そのリモート ユーザとユーザのマシンまたはネットワークを含むように拡張されます。ただし、リモート ユーザがネットワーク サービスに対するアクセス権を得るには、KDC から TGT を取得する必要があります。次のプロセスでは、リモート ユーザが KDC に対して認証する方法について説明します。

1. リモート サイトにあるワークステーションを使用するリモート ユーザは、KINIT プログラム(Kerberos プロトコルに付属するクライアント ソフトウェアの一部)を起動します。

2. KINIT プログラムは、ユーザの ID を検索し、KDC から TGT を要求します。

3. KDC は TGT を作成します。TGT には、ユーザの ID、KDC の ID、および TGT の有効期限が含まれます。

4. KDC は、ユーザのパスワードをキーとして使用して、TGT を暗号化し、その TGT をワークステーションに送信します。

5. KINIT プログラムは暗号化された TGT を受信すると、ユーザにパスワード(KDC でそのユーザ用に定義されているパスワード)の入力を求めます。

6. ユーザが入力したパスワードを使用して KINIT プログラムが TGT を復号化できる場合、ユーザは KDC に対して認証され、KINIT プログラムはユーザの認定証キャッシュに TGT を保存します。

この時点で、ユーザは TGT を持っており、KDC と安全に通信できます。その TGT を使用して、ユーザは他のネットワーク サービスに対して認証できます。

ネットワーク サービスに対する認証

次のプロセスでは、TGT を持つリモート ユーザが、特定の Kerberos レルム内でネットワーク サービスに対して認証する方法について説明します。ここでは、ユーザはリモート ワークステーション(ホスト A)上にあり、Host B にログインしようとしているとします。

1. Host A 上のユーザは、Host B に対して Kerberos 化アプリケーション(Telnet など)を開始します。

2. Kerberos 化アプリケーションはサービス認定証要求を構築し、KDC に送信します。サービス認定証要求には、(他の情報も含まれますが)ユーザの ID と目的のネットワーク サービスの ID が含まれます。TGT は、サービス認定証要求を暗号化するために使用されます。

3. KDC は、Host A 上のユーザに対して発行された TGT を使用して、サービス認定証要求を復号化しようとします。KDC がパケットを復号化できる場合、要求の発行元が Host A 上の認証済みユーザであると確認されます。

4. KDC は、サービス認定証要求に含まれるネットワーク サービス ID を記録します。

5. KDC は、Host A 上のユーザの代理で、Host B に適切なネットワーク サービスのサービス認定証を構築します。サービス認定証には、クライアントの ID と、目的のネットワーク サービスの ID が含まれます。

6. 次に、KDC はサービス認定証の暗号化を 2 回実行します。まず、認定証に指定されたネットワーク サービスと共有する SRVTAB を使用して認定証を暗号化します。次に、ユーザ(この場合は Host A 上のユーザ)の TGT を使用して結果のパケットを暗号化します。

7. KDC は、2 回暗号化された認定証を Host A に送信します。

8. Host A は、ユーザの TGT を使用してサービス認定証の復号化を試行します。Host A がサービス認定証を復号化できる場合、その認定証の発行元が KDC であると確認されます。

9. Host A はサービス認定証を目的のネットワーク サービスに送信します。認定証は、まだ KDC とネットワーク サービスに共有されている SRVTAB で暗号化されています。

10. ネットワーク サービスは、SRVTAB を使用してサービス認定証の復号化を試行します。

11. ネットワーク サービスが認定証を復号化できる場合、その認定証の発行元が KDC であると確認されます。ネットワーク サービスは、ユーザから間接的に送信されたデータでも、KDC から送信された復号化できるデータであれば、常に信頼します。これは、ユーザがまず KDC で認証されているためです。

この時点で、ユーザは Host B 上のネットワーク サービスに対して認証されます。このプロセスは、ユーザが Kerberos レルムのネットワーク サービスにアクセスするときは毎回繰り返されます。

Kerberos を設定する方法

ここでは、Kerberos 認証済みのサーバ クライアント システムを設定する方法について説明します。内容は次のとおりです。

「Kerberos コマンドによる KDC の設定」

「Kerberos プロトコルを使用するためのルータの設定」

Kerberos コマンドによる KDC の設定

Kerberos レルムで KDC として動作するようにホストを設定した後は、レルムのすべてのプリンシパルの KDC データベースに対してエントリを作成する必要があります。プリンシパルは、Cisco ルータおよびホスト上のネットワーク サービスの場合、またはユーザの場合があります。

Kerberos コマンドで゛ KDC データベースにサービスを追加するには(また、既存のデータベース情報を変更するには)、以下の項のタスクを実行します。

KDC データベースへのユーザの追加

KDC での SRVTAB の作成

SRVTAB の抽出


) すべての Kerberos コマンド例は、オリジナルの MIT 実装の Kerberos 5 Beta 5 に基づいています。それよりも新しいバージョンでは、やや異なるインターフェイスを使用しています。


KDC データベースへのユーザの追加

KDC にユーザを追加し、そのユーザの特権インスタンスを作成するには、KDC を実行するホストのルートになるために su コマンドを実行します。また、kdb5_edit プログラムを使用して、特権 EXEC モードで次のコマンドを使用します。

 

コマンド
目的

ステップ 1

Router# ank username@REALM

ank (add new key)コマンドを使用して、KDC にユーザを追加します。このコマンドを実行するとパスワードの入力が求められ、ユーザはルータに対して認証するために入力する必要があります。

ステップ 2

Router# ank username/instance@REALM

ank コマンドを使用して、ユーザの特権インスタンスを追加します。

たとえば、Kerberos レルム CISCO.COM のユーザ loki を追加するには、次の Kerberos コマンドを入力します。

ank loki@CISCO.COM
 

) Kerberos レルム名は、大文字で指定する必要があります。


ネットワーク管理がイネーブル レベルでルータに接続できるように、特権インスタンスを作成できます。たとえば、イネーブル モードを開始するためにクリア テキスト パスワードを入力する(またセキュリティを脅かす)必要がないようにできます。

特権(この場合は enable ですが、任意に指定できます)を追加した loki のインスタンスを追加するには、次の Kerberos コマンドを入力します。

ank loki/enable@CISCO.COM
 

以下の各例では、パスワードの入力が求められます。このパスワードは、ユーザ loki がログイン時に使用できるように、ユーザに付与する必要があります。

Kerberos インスタンス マッピングのイネーブル化では、Kerberos インスタンスを多様な Cisco IOS 特権レベルにマッピングする方法について説明します。

KDC での SRVTAB の作成

Kerberos プロトコルを使用するために認証するすべてのルータは、SRVTAB を持っている必要があります。この項およびSRVTAB の抽出では、 router1 というルータの SRVTAB を作成し、抽出する方法について説明します。SRVTAB ファイルのコピーでは、SRVTAB ファイルをルータにコピーする方法について説明します。

KDC に SRVTAB エントリを作成するには、特権 EXEC モードで次のコマンドを使用します。

 

コマンド
目的

Router# ark SERVICE/HOSTNAME@REALM

ark (add random key)コマンドを使用して、ホストまたはルータがサポートするネットワーク サービスを KDC に追加します。

たとえば、 router1 という Cisco ルータ用の Kerberos 化認証サービスを Kerberos レルム CISCO.COM に追加するには、,次の Kerberos コマンドを入力します。

ark host/router1.cisco.com@CISCO.COM
 

すべての Kerberos 化ホスト上に、認証にこの KDC を使用するすべてのネットワーク サービスに関するエントリを作成します。

SRVTAB の抽出

SRVTAB には、(他の情報も含まれますが)KDC データベースに入力したサービス プリンシパルのパスワードまたはランダムに生成されたキーが含まれます。サービス プリンシパル キーは、そのサービスを実行するホストと共有する必要があります。そのためには、SRVTAB をファイルに保存し、Kerberos レルムにあるルータおよびすべてのホストにそのファイルをコピーします。SRVTAB エントリをファイルに保存することを、SRVTAB の 抽出 といいます。SRVTAB を抽出するには、特権 EXEC モードで次のコマンドを使用します。

 

コマンド
目的
Router# xst router-name host

kdb5_edit コマンド xst を使用して、SRVTAB エントリをファイルに書き込みます。

たとえば、host/router1.cisco.com@CISCO.COM SRVTAB をファイルに書き込むには、次の Kerberos コマンドを入力します。

xst router1.cisco.com@CISCO.COM host
 

quit コマンドを使用して、kdb5_edit プログラムを終了します。

Kerberos プロトコルを使用するためのルータの設定

ネットワーク セキュリティ サーバとして動作し、Kerberos プロトコルを使用してユーザを認証するように Cisco ルータを設定するには、以下の項のタスクを実行します。

Kerberos レルムの定義

SRVTAB ファイルのコピー

Kerberos 認証の指定

認定証のフォワーディングのイネーブル化

ルータに対する Telnet セッションの開始

Encrypted Kerberized Telnet セッションの確立

必須の Kerberos 認証のイネーブル化

Kerberos インスタンス マッピングのイネーブル化

Kerberos の監視とメンテナンス

Kerberos レルムの定義

ルータが、Kerberos データベースに定義されているユーザを認証するには、KDC を実行するホストのホスト名または IP アドレスと Kerberos レルムの名前を知っている必要があります。また、オプションで、ホスト名または Domain Name System(DNS)ドメインを Kerberos レルムにマッピングする機能がルータに必要です。

特定の Kerberos レルムで、指定した KDC に対して認証するようにルータを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。DNS ドメイン名の先頭にはドット(.)を付ける必要があります。

 

コマンド
目的

ステップ 1

Router(config)# kerberos local-realm kerberos-realm

ルータのデフォルト レルムを定義します。

ステップ 2

Router(config)# kerberos server kerberos-realm { hostname | ip-address } [ port-number ]

特定の Kerberos レルムで使用する KDC、およびオプションで KDC が監視するポート番号をルータに指定します(デフォルトは 88 です)。

ステップ 3

Router(config)# kerberos realm { dns-domain | host } kerberos-realm

(任意)ホスト名または DNS ドメインを Kerberos レルムにマッピングします。


) KDC を実行するマシンおよびすべての Kerberos 化ホストは 5 分の期限内で通信する必要があり、通信できない場合、認証は失敗します。そのため、すべての Kerberos 化マシン(特に KDC)は、Network Time Protocol(NTP; ネットワーク タイム プロトコル)を実行する必要があります。


kerberos local-realm kerberos realm 、および kerberos server の各コマンドは、UNIX krb.conf ファイルと同等です。表 2 は、Cisco IOS コンフィギュレーション コマンドから Kerberos 5 コンフィギュレーション ファイル(krb5.conf)への対応一覧です。

 

表 2 Kerberos 5 のコンフィギュレーション ファイルおよびコマンド

krb5.conf ファイル
Cisco IOS コンフィギュレーション コマンド

[libdefaults]

default_realm = DOMAIN.COM

(コンフィギュレーション モードで)

kerberos local-realm DOMAIN.COM

[domain_realm]

.domain.com = DOMAIN.COM

domain.com = DOMAIN.COM

(コンフィギュレーション モードで)

kerberos realm .domain.com DOMAIN.COM
kerberos realm domain.com DOMAIN.COM

[realms]

kdc = DOMAIN.PIL.COM:750

admin_server = DOMAIN.PIL.COM

default_domain = DOMAIN.COM

(コンフィギュレーション モードで)

kerberos server DOMAIN.COM 172.65.44.2
( 172.65.44.2 is the example IP address for DOMAIN.PIL.COM )

Kerberos レルムの定義例については、この章で後述するKerberos レルムの定義を参照してください。

SRVTAB ファイルのコピー

リモート ユーザが Kerberos 認定証を使用してルータに対して認証できるようにするには、ルータが KDC 秘密鍵を共有する必要があります。そのためには、KDC で抽出した SRVTAB をルータにコピーする必要があります。

SRVTAB ファイルを Kerberos レルムのホストにコピーする最もセキュアな方式は、ファイルを物理メディアにコピーし、各ホストの場所に行き、そのシステムに手動でファイルをコピーすることです。ルータに物理メディア ドライバがない場合、SRVTAB ファイルをルータにコピーするには、TFTP を使用してネットワークを介して転送する必要があります。

KDC からルータに対して SRVTAB ファイルをリモート コピーするには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# kerberos srvtab remote { hostname | ip-address } { filename }

KDC から SRVTAB ファイルを取得します。

ルータの SRVTAB ファイルを KDC にコピーする場合、 kerberos srvtab remote コマンドでこのファイルの情報を分析し、 kerberos srvtab entry 形式でルータの実行コンフィギュレーションに保存します。ルータをリブートしたときに SRVTAB が使用できるようにするには(KDC から取得する必要はありません)、 write memory コンフィギュレーション コマンドを使用し、実行コンフィギュレーション(分析した SRVTAB ファイルを含みます)を NVRAM に書き込みます。

SRVTAB ファイルをコピーする例については、この章で後述するSRVTAB ファイル コピーの例を参照してください。

Kerberos 認証の指定

これまでの操作でルータの Kerberos の設定が完了しました。そのため、ルータは Kerberos を使用して認証できます。次の手順は、認証するようにルータに指示することです。AAA によって Kerberos 認証が容易になるため、 aaa authentication コマンドを入力し、認証方式として Kerberos を指定する必要があります。詳細については、「認証の設定」の章を参照してください。

認定証のフォワーディングのイネーブル化

これまでの手順で Kerberos を設定すると、Kerberos 化ルータに対して認証されているユーザは TGT を持ち、その TGT を使用してネットワーク上のホストに対して認証できます。ただし、ユーザがホストの認証後に認定証のリストを表示しようとすると、出力には Kerberos 認定証が表示されません。

Kerberos 化された Telnet、rcp、rsh、および rlogin(適切なフラグ付き)を使用するときに、ルータからネットワーク上の Kerberos 化リモート ホストに対して認証する場合、オプションで、ユーザの TGT を転送するようにルータを設定できます。

Kerberos レルムで他のホストに接続するときにユーザの認定証を転送するように、すべてのクライアントに強制するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# kerberos credentials forward

Kerberos 認証に成功したときに、すべてのクライアントがユーザの認定証を転送するように強制します。

認定証の転送をイネーブルにすると、ユーザの TGT は、認証を受ける次のホストへ自動的に転送されます。この方法で、ユーザは Kerberos レルム内の複数のホストに接続できます。新しい TGT を取得するたびに KINIT プログラムを実行する必要はありません。

ルータに対する Telnet セッションの開始

ネットワーク内からルータに対して Telnet セッションを開始するユーザを認証するために、Kerberos を使用するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# aaa authentication login { default | list-name } krb5_telnet

Telnet を使用してルータに接続する場合、ログイン認証を設定して Kerberos 5 Telnet 認証プロトコルを使用します。

ルータに対する Telnet セッションは認証されますが、イネーブル モードを開始するには、ユーザがクリア テキスト パスワードを入力する必要があります。後述する kerberos instance map コマンドを使用すると、事前に定義した特権レベルでルータに対して認証できます。

Encrypted Kerberized Telnet セッションの確立

ユーザがセキュア Telnet セッションを開始するもう 1 つの方法は、Encrypted Kerberized Telnet を使用することです。Encrypted Kerberized Telnet を使用すると、Telnet セッションを確立する前に、ユーザは Kerberos 認定証によって認証されます。Telnet セッションは、64-bit Cipher Feedback(CFB)による 56-bit データ暗号規格(DES)暗号を使用して暗号化されます。送受信データは暗号化され、クリア テキストではないため、着信したルータまたはアクセス サーバの整合性は制御しやすくなります。


) この機能を使用できるのは、56-bit 暗号化イメージを持っている場合だけです。56-bit DES 暗号化は、米国政府の輸出規制の対象です。


ルータからリモート ホストに対して、Encrypted Kerberized Telnet セッションを確立するには、EXEC コンフィギュレーション モードで次のコマンドのいずれかを使用します。

 

コマンド
目的

Router(config)# connect host [ port ] /encrypt kerberos

 

または

Router(config)# telnet host [ port ] /encrypt kerberos

暗号化された Telnet セッションを確立します。

ユーザが Cisco ルータからリモート ホストに対する Telnet セッションを開始すると、ルータとリモート ホストは、Kerberos 認定証を使用してユーザを認証するためにネゴシエートします。この認証に成功すると、ルータとリモート ホストは、暗号化を使用するかどうかをネゴシエートします。このネゴシエーションに成功すると、着信および発信トラフィックは、64-bit CFB による 56-bit DES を使用して暗号化されます。

ユーザが、リモート ホストから Kerberos 認証用に設定された Cisco ルータに対してダイヤルインすると、Telnet セッションに暗号化を使用するかどうかについて、ホストとルータでネゴシエーションが試行されます。このネゴシエーションに成功すると、ルータは Telnet セッション中のすべての発信データを暗号化します。

暗号化のネゴシエーションに成功しなかった場合、セッションは終了し、ユーザは、暗号化された Telnet セッションの確立に失敗したというメッセージを受信します。

リモート ホストから双方向暗号化をイネーブル化する方法については、リモート ホスト デバイスのマニュアルを参照してください。

Encrypted Kerberized Telnet を使用してセキュア Telnet セッションを開始する例については、この章で後述する暗号化された Telnet セッションの例を参照してください。

必須の Kerberos 認証のイネーブル化

セキュリティの追加レイヤとして、リモート ユーザがルータに対して認証した後に、ユーザは Kerberos 化 Telnet、rlogin、rsh、および rcp だけを使用してネットワーク上の他のサービスに対して認証できます。Kerberos 認証を必須にしていない状態で Kerberos 認証に失敗すると、アプリケーションは、そのネットワーク サービスのデフォルト認証方式を使用して、ユーザの認証を試行します。たとえば、Telnet および rlogin はパスワードの入力を求め、rsh はローカル rhost ファイルを使用して認証を試行します。

Kerberos 認証を必須にするには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# kerberos clients mandatory

リモート ホストとの間で Kerberos プロトコルをネゴシエートできない場合、Telnet、rlogin、rsh、および rcp を失敗に設定します。

Kerberos インスタンス マッピングのイネーブル化

KDC での SRVTAB の作成で説明したように、KDC データベースにユーザの管理インスタンスを作成できます。 kerberos instance map コマンドを使用すると、その管理インスタンスを Cisco IOS 特権レベルにマッピングできます。それによって、事前定義した特権レベルで、ユーザはルータに対するセキュア Telnet セッションを開くことができます。イネーブル モードを開始するためにクリア テキストのパスワードを入力する必要はありません。

Kerberos インスタンスを Cisco IOS 特権レベルにマッピングするには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# kerberos instance map instance privilege-level

Kerberos インスタンスを Cisco IOS 特権レベルにマッピングします。

KDC データベースにユーザ loki の Kerberos インスタンスがある場合(たとえば、 loki/admin )、ユーザ loki は、loki/admin としてルータに対して Telnet セッションを開始し、特権レベル 15 で自動的に認証します。インスタンス「admin」は特権レベル 15 にマッピングされるという前提です(前述のKDC データベースへのユーザの追加を参照してください)。

Cisco IOS コマンドを多様な特権レベルに設定するには、 privilege level コマンドを使用します。

Kerberos インスタンスを Cisco IOS 特権レベルにマッピングしたら、ユーザがログインするたびに Kerberos インスタンスをチェックするようにルータを設定する必要があります。認可を実行し、マップ済み Kerberos インスタンスに基づいてユーザが EXEC シェルを実行する権限があるかどうかを判断するには、 krb5-instance キーワードを指定して aaa authorization コマンドを使用します。詳細については、「認可の設定」の章を参照してください。

Kerberos の監視とメンテナンス

現在のユーザの認定証を表示または削除するには、EXEC モードで次のコマンドを使用します。

 

コマンド
目的

ステップ 1

Router# show kerberos creds

現在のユーザの認定証キャッシュに含まれる認定証を一覧表示します。

ステップ 2

Router# clear kerberos creds

転送済みの認定証を含め、現在のユーザの認定証キャッシュに含まれるすべての認定証を破棄します。

Kerberos 設定の例については、Kerberos 設定の例を参照してください。

Kerberos 設定の例

ここでは、Kerberos 設定の例を紹介します。

Kerberos レルム定義の例

SRVTAB ファイル コピーの例

Kerberos 設定の例

暗号化された Telnet セッションの例

Kerberos レルム定義の例

デフォルトの Kerberos レルムとして CISCO.COM を定義するには、次のコマンドを使用します。

kerberos local-realm CISCO.COM
 

CISCO.COM KDC が、ホスト 10.2.3.4 でポート番号 170 を使用して実行されていることをルータに示すには、次の Kerberos コマンドを使用します。

kerberos server CISCO.COM 10.2.3.4 170
 

DNS ドメイン cisco.com を Kerberos レルム CISCO.COM にマッピングするには、次のコマンドを使用します。

kerberos realm.cisco.com CISCO.COM

SRVTAB ファイル コピーの例

host123.cisco.com というホスト上の SRVTAB ファイルを、router1.cisco.com というルータにコピーするには、次のようなコマンドを使用します。

kerberos srvtab remote host123.cisco.com router1.cisco.com-new-srvtab

Kerberos 設定の例

ここでは、一般的な非 Kerberos ルータ設定について説明、 write term コマンドでこの設定に関する出力を表示します。また、この設定に基づいて、オプションの Kerberos 機能を追加します。各設定の出力は、前の設定との比較のために示します。

次に、kdb5_edit プログラムを使用して、次の設定タスクを実行する例を示します。

Kerberos データベースにユーザ chet を追加します

ユーザ chet(chet/admin)の特権 Kerberos インスタンスを Kerberos データベースに追加します

chet の制限付きインスタンス(chet/restricted)を Kerberos データベースに追加します

ワークステーション chet-ss20.cisco.com を追加します

ルータ chet-2500.cisco.com を Kerberos データベースに追加します

ワークステーション chet-ss20.cisco.com を Kerberos データベースに追加します

ルータとワークステーションの SRVTAB を抽出します

ldb コマンドを使用して)KDC データベースの内容を一覧表示します

この設定例では、ホスト chet-ss20 は KDC でもあります。

chet-ss20# sbin/kdb5_edit
kdb5_edit: ank chet
Enter password:
Re-enter password for verification:
kdb5_edit: ank chet/admin
Enter password:
Re-enter password for verification:
kdb5_edit: ank chet/restricted
Enter password:
Re-enter password for verification:
kdb5_edit: ark host/chet-ss20.cisco.com
kdb5_edit: ark host/chet-2500.cisco.com
kdb5_edit: xst chet-ss20.cisco.com host
'host/chet-ss20.cisco.com@CISCO.COM' added to keytab 'WRFILE:chet-ss20.cisco.com-new-srvtab'
kdb5_edit: xst chet-2500.cisco.com host
'host/chet-2500.cisco.com@CISCO.COM' added to keytab 'WRFILE:chet-2500.cisco.com-new-srvtab'
kdb5_edit: ldb
entry: host/chet-2500.cisco.com@CISCO.COM
entry: chet/restricted@CISCO.COM
entry: chet@CISCO.COM
entry: K/M@CISCO.COM
entry: host/chet-ss20.cisco.com@CISCO.COM
entry: krbtgt/CISCO.COM@CISCO.COM
entry: chet/admin@CISCO.COM
kdb5_edit: q
chet-ss20#
 

次に、 write term コマンドの出力例を示します。ルータ chet-2500 の設定が表示されます。これは、Kerberos 認証を使用しない場合の一般的な設定です。

chet-2500# write term
Building configuration...
 
Current configuration:
!
! Last configuration
change at 14:03:55 PDT Mon May 13 1996
!
version 11.2
service udp-small-servers
service tcp-small-servers
!
hostname chet-2500
!
clock timezone PST -8
clock summer-time PDT recurring
aaa new-model
aaa authentication login console none
aaa authentication ppp local local
enable password sMudgKin
!
username chet-2500 password 7 sMudgkin
username chet-3000 password 7 sMudgkin
username chetin password 7 sMudgkin
!
interface Ethernet0
ip address 172.16.0.0 255.255.255.0
!
interface Serial0
no ip address
shutdown
no fair-queue
!
interface Serial1
no ip address
shutdown
no fair-queue
!
interface Async2
ip unnumbered Ethernet0
encapsulation ppp
shutdown
async dynamic routing
async mode dedicated
no cdp enable
ppp authentication pap local
no tarp propagate
!
interface Async3
ip unnumbered Ethernet0
encapsulation ppp
shutdown
async dynamic address
async dynamic routing
async mode dedicated
no cdp enable
ppp authentication pap local
no tarp propagate
!
router eigrp 109
network 172.17.0.0
no auto-summary
!
ip default-gateway 172.30.55.64
ip domain-name cisco.com
ip name-server 192.168.0.0
ip classless
!
!
 
line con 0
exec-timeout 0 0
login authentication console
line 1 16
transport input all
line aux 0
transport input all
line vty 0 4
password sMudgKin
!
ntp clock-period 17179703
ntp peer 172.19.10.0
ntp peer 172.19.0.0
end
 

次に、Kerberos データベースを介してルータ上でユーザ認証をイネーブルにする例を示します。Kerberos データベースを介してユーザ認証をイネーブルにするには、次のタスクを実行します。

コンフィギュレーション モードを開始します

Kerberos ローカル レルムを定義します

KDC をホストするマシンを指定します

認定証のフォワーディングをイネーブルにします

ログインの認証方式として Kerberos を指定します

コンフィギュレーション モードを終了します(CTL-Z キー)

新しいコンフィギュレーションを端末に書き込みます

chet-2500# configure term
Enter configuration commands, one per line. End with CNTL/Z.
chet-2500(config)# kerberos local-realm CISCO.COM
chet-2500(config)# kerberos server CISCO.COM chet-ss20
Translating "chet-ss20"...domain server (192.168.0.0) [OK]
 
chet-2500(config)# kerberos credentials forward
chet-2500(config)# aaa authentication login default krb5
chet-2500(config)#
chet-2500#
%SYS-5-CONFIG_I: Configured from console by console
chet-2500# write term
 

次のコンフィギュレーションを前のコンフィギュレーションと比較します。特に、この新しいコンフィギュレーションで「aaa」、「username」、および「kerberos」という単語で始まる行に注目します(行 10 ~ 20)。

Building configuration...
 
Current configuration:
!
! Last configuration change at 14:05:54 PDT Mon May 13 1996
!
version 11.2
service udp-small-servers
service tcp-small-servers
!
hostname chet-2500
!
clock timezone PST -8
clock summer-time PDT recurring
aaa new-model
aaa authentication login default krb5
aaa authentication login console none
aaa authentication ppp local local
enable password sMudgKin
!
username chet-2500 password 7 sMudgkin
username chet-3000 password 7 sMudgkin
username chetin password 7 sMudgkin
kerberos local-realm CISCO.COM
kerberos server CISCO.COM 172.71.54.14
kerberos credentials forward
!
interface Ethernet0
ip address 172.16.0.0 255.255.255.0
!
interface Serial0
no ip address
shutdown
no fair-queue
!
interface Serial1
no ip address
shutdown
no fair-queue
!
interface Async2
ip unnumbered Ethernet0
encapsulation ppp
shutdown
async dynamic routing
async mode dedicated
no cdp enable
ppp authentication pap local
no tarp propagate
!
interface Async3
ip unnumbered Ethernet0
encapsulation ppp
shutdown
async dynamic address
async dynamic routing
async mode dedicated
no cdp enable
ppp authentication pap local
no tarp propagate
!
router eigrp 109
network 172.17.0.0
no auto-summary
!
ip default-gateway 172.30.55.64
ip domain-name cisco.com
ip name-server 192.168.0.0
ip classless
!
!
line con 0
exec-timeout 0 0
login authentication console
line 1 16
transport input all
line aux 0
transport input all
line vty 0 4
password sMudgKin
!
ntp clock-period 17179703
ntp peer 172.19.10.0
ntp peer 172.19.0.0
end
 

これまでの手順でルータを設定すると、ユーザ chet はユーザ名とパスワードを使用してルータにログインでき、自動的に TGT を取得できます。次に例を示します。ユーザ chet は認定証を所有しているため、ホスト chet-ss20 に対する認証に成功します。ユーザ名/パスワードを入力する必要はありません。

chet-ss20% telnet chet-2500
Trying 172.16.0.0 ...
Connected to chet-2500.cisco.com.
Escape character is '^]'.
 
 
User Access Verification
 
Username: chet
Password:
 
chet-2500> show kerberos creds
Default Principal: chet@CISCO.COM
Valid Starting Expires Service Principal
13-May-1996 14:05:39 13-May-1996 22:06:40 krbtgt/CISCO.COM@CISCO.COM
 
chet-2500> telnet chet-ss20
Trying chet-ss20.cisco.com (172.71.54.14)... Open
Kerberos: Successfully forwarded credentials
 
 
SunOS UNIX (chet-ss20) (pts/7)
 
Last login: Mon May 13 13:47:35 from chet-ss20.cisco.c
Sun Microsystems Inc. SunOS 5.4 Generic July 1994
unknown mode: new
chet-ss20%
 

次に、Kerberos 認定証を使用して、ルータに対して認証する例を示します。Kerberos 認定証を使用して認証するには、次のタスクを実行します。

コンフィギュレーション モードを開始します

KDC から SRVTAB ファイルをリモート コピーします

Telnet を使用してルータに接続する場合、ログイン時認証を設定して Kerberos 5 Telnet 認証プロトコルを使用します

コンフィギュレーションを端末に書き込みます

新しいコンフィギュレーションには、 kerberos srvtab entry という行が含まれます。この行は、 kerberos srvtab remote コマンドで作成されます。

chet-2500# configure term
Enter configuration commands, one per line. End with CNTL/Z.
chet-2500(config)# kerberos srvtab remote earth chet/chet-2500.cisco.com-new-srvtab
Translating "earth"...domain server (192.168.0.0) [OK]
 
Loading chet/chet-2500.cisco.com-new-srvtab from 172.68.1.123 (via Ethernet0): !
[OK - 66/1000 bytes]
 
chet-2500(config)# aaa authentication login default krb5-telnet krb5
chet-2500(config)#
chet-2500#
%SYS-5-CONFIG_I: Configured from console by console
chet-2500# write term
Building configuration...
 
Current configuration:
!
! Last configuration change at 14:08:32 PDT Mon May 13 1996
!
version 11.2
service udp-small-servers
service tcp-small-servers
!
hostname chet-2500
!
clock timezone PST -8
clock summer-time PDT recurring
aaa new-model
aaa authentication login default krb5-telnet krb5
aaa authentication login console none
aaa authentication ppp local local
enable password sMudgKin
!
username chet-2500 password 7 sMudgkin
username chet-3000 password 7 sMudgkin
username chetin password 7 sMudgkin
kerberos local-realm CISCO.COM
kerberos srvtab entry host/chet-2500.cisco.com@CISCO.COM 0 832015393 1 1 8 7 sMudgkin
kerberos server CISCO.COM 172.71.54.14
kerberos credentials forward
!
interface Ethernet0
ip address 172.16.0.0 255.255.255.0
!
interface Serial0
no ip address
shutdown
no fair-queue
!
 
interface Serial1
no ip address
shutdown
no fair-queue
!
interface Async2
ip unnumbered Ethernet0
encapsulation ppp
shutdown
async dynamic routing
async mode dedicated
no cdp enable
ppp authentication pap local
no tarp propagate
!
interface Async3
ip unnumbered Ethernet0
encapsulation ppp
shutdown
async dynamic address
async dynamic routing
async mode dedicated
no cdp enable
ppp authentication pap local
no tarp propagate
!
router eigrp 109
network 172.17.0.0
no auto-summary
!
ip default-gateway 172.30.55.64
ip domain-name cisco.com
ip name-server 192.168.0.0
ip classless
!
!
line con 0
exec-timeout 0 0
login authentication console
line 1 16
transport input all
line aux 0
transport input all
line vty 0 4
password sMudgKin
!
ntp clock-period 17179703
ntp peer 172.19.10.0
ntp peer 172.19.0.0
end
 
chet-2500#
 

この設定では、ユーザが Kerberos 認定証を使用してルータに Telnet を送信できます。次に例を示します。

chet-ss20% bin/telnet -a -F chet-2500
Trying 172.16.0.0...
Connected to chet-2500.cisco.com.
Escape character is '^]'.
[ Kerberos V5 accepts you as "chet@CISCO.COM" ]
 
User Access Verification
 
chet-2500>[ Kerberos V5 accepted forwarded credentials ]
 
chet-2500> show kerberos creds
Default Principal: chet@CISCO.COM
Valid Starting Expires Service Principal
13-May-1996 15:06:25 14-May-1996 00:08:29 krbtgt/CISCO.COM@CISCO.COM
 
chet-2500>q
Connection closed by foreign host.
chet-ss20%
 

次に、Kerberos インスタンスをシスコの特権レベルにマッピングする例を示します。Kerberos インスタンスを特権レベルにマッピングするには、次のタスクを実行します。

コンフィギュレーション モードを開始します

Kerberos インスタンス admin を特権レベル 15 にマッピングします

Kerberos インスタンス restricted を特権レベル 3 にマッピングします

kerberos instance map コマンドによって定義されるインスタンスを、AAA 認可に使用するように指定します

コンフィギュレーションを端末に書き込みます

chet-2500# configure term
Enter configuration commands, one per line. End with CNTL/Z.
chet-2500(config)# kerberos instance map admin 15
chet-2500(config)# kerberos instance map restricted 3
chet-2500(config)# aaa authorization exec default krb5-instance
chet-2500(config)#
chet-2500#
%SYS-5-CONFIG_I: Configured from console by console
chet-2500# write term
Building configuration...
 
Current configuration:
!
! Last configuration change at 14:59:05 PDT Mon May 13 1996
!
version 11.2
service udp-small-servers
service tcp-small-servers
!
hostname chet-2500
!
aaa new-model
aaa authentication login default krb5-telnet krb5
aaa authentication login console none
aaa authentication ppp default krb5 local
aaa authorization exec default krb5-instance
enable password sMudgKin
!
username chet-2500 password 7 sMudgkin
username chet-3000 password 7 sMudgkin
username chetin password 7 sMudgkin
ip domain-name cisco.com
ip name-server 192.168.0.0
kerberos local-realm CISCO.COM
kerberos srvtab entry host/chet-2500.cisco.com@CISCO.COM 0 832015393 1 1 8 7 sMudgkin
kerberos server CISCO.COM 172.71.54.14
kerberos instance map admin 15
kerberos instance map restricted 3
kerberos credentials forward
clock timezone PST -8
clock summer-time PDT recurring
!
interface Ethernet0
ip address 172.16.0.0 255.255.255.0
!
interface Serial0
no ip address
shutdown
no fair-queue
!
interface Serial1
no ip address
shutdown
no fair-queue
!
interface Async2
ip unnumbered Ethernet0
encapsulation ppp
shutdown
async dynamic routing
async mode dedicated
no cdp enable
ppp authentication pap local
no tarp propagate
!
interface Async3
ip unnumbered Ethernet0
encapsulation ppp
shutdown
async dynamic address
async dynamic routing
async mode dedicated
no cdp enable
ppp authentication pap local
no tarp propagate
!
router eigrp 109
network 172.17.0.0
no auto-summary
!
ip default-gateway 172.30.55.64
ip classless
!
!
line con 0
exec-timeout 0 0
login authentication console
line 1 16
transport input all
line aux 0
transport input all
line vty 0 4
password sMudgKin
!
ntp clock-period 17179703
ntp peer 172.19.10.0
ntp peer 172.19.0.0
end
 
chet-2500#
 

次に、Kerberos インスタンスを有効にしたユーザ chet が使用できるようになった 3 タイプのセッションの出力例を示します。

chet-ss20% telnet chet-2500
Trying 172.16.0.0 ...
Connected to chet-2500.cisco.com.
Escape character is '^]'.
 
User Access Verification
 
Username: chet
Password:
 
chet-2500> show kerberos creds
Default Principal: chet@CISCO.COM
Valid Starting Expires Service Principal
13-May-1996 14:58:28 13-May-1996 22:59:29 krbtgt/CISCO.COM@CISCO.COM
 
chet-2500> show privilege
Current privilege level is 1
chet-2500> q
Connection closed by foreign host.
chet-ss20% telnet chet-2500
Trying 172.16.0.0 ...
Connected to chet-2500.cisco.com.
Escape character is '^]'.
 
 
User Access Verification
 
Username: chet/admin
Password:
 
chet-2500# show kerberos creds
Default Principal: chet/admin@CISCO.COM
Valid Starting Expires Service Principal
13-May-1996 14:59:44 13-May-1996 23:00:45 krbtgt/CISCO.COM@CISCO.COM
chet-2500# show privilege
Current privilege level is 15
chet-2500# q
Connection closed by foreign host.
chet-ss20% telnet chet-2500
Trying 172.16.0.0 ...
Connected to chet-2500.cisco.com.
Escape character is '^]'.
 
User Access Verification
 
Username: chet/restricted
Password:
 
chet-2500# show kerberos creds
Default Principal: chet/restricted@CISCO.COM
Valid Starting Expires Service Principal
13-May-1996 15:00:32 13-May-1996 23:01:33 krbtgt/CISCO.COM@CISCO.COM
 
chet-2500# show privilege
Current privilege level is 3
chet-2500# q
Connection closed by foreign host.
chet-ss20%

暗号化された Telnet セッションの例

次に、ルータから「host1」というリモート ホストに対して、暗号化された Telnet セッションを確立する例を示します。

Router> telnet host1 /encrypt kerberos

その他の参考資料

ここでは、Kerberos の設定機能に関する関連資料について説明します。

関連資料

内容
参照先

ユーザ認証

『Cisco IOS Security Guide: Securing User Services』

規格

規格
タイトル

この機能がサポートする新しい規格または変更された規格はありません。また、この機能による既存規格のサポートに変更はありません。

--

MIB

MIB
MIB リンク

この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

RFC 2942

「Telnet Authentication: Kerberos Version 5」

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、豊富なオンライン リソースが提供されており、それらに含まれる資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次の URL からアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

Kerberos の設定に関する機能情報

表 3 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートする Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。


表 3 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


 

表 3 Kerberos の設定に関する機能情報

機能名
リリース
機能情報

Kerberos の設定

11.1

Kerberos は、Massachusetts Institute of Technology(MIT; マサチューセッツ工科大学)が開発した秘密鍵ネットワーク認証プロトコルであり、暗号化と認証に Data Encryption Standard(DES; データ暗号規格)暗号アルゴリズムを使用します。Kerberos は、ネットワーク リソースの要求を認証するために設計されました。Kerberos は他の秘密鍵システムと同様に、ユーザとサービスのセキュアな検証を実行する、信頼できるサード パーティの概念に基づいています。Kerberos プロトコルでは、この信頼できるサード パーティは、Key Distribution Center(KDC; 鍵発行局)と呼ばれます。

この機能は、Cisco IOS リリース 11.1 で導入されました。