Cisco IOS セキュリティ コンフィギュレーション ガ イド:ユーザ サービスのセキュリティ保護
暗号化ベンダー固有アトリビュート
暗号化ベンダー固有アトリビュート
発行日;2012/02/01 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

暗号化ベンダー固有アトリビュート

機能情報の確認

この章の構成

の前提条件

について

タグ付きの文字列 VSA

暗号化された文字列 VSA

タグ付きおよび暗号化された文字列 VSA

の検証方法

の設定例

NAS の設定例

タグ付きおよび暗号化 VSA がある RADIUS ユーザ プロファイルの例

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

の機能情報

暗号化ベンダー固有アトリビュート

暗号化ベンダー固有アトリビュート機能により、ユーザは RADIUS サーバでフィルタを一元的に管理することができます。また、この機能は次の種類の文字列の Vendor-Specific Attributes(VSA; ベンダー固有アトリビュート)をサポートしています。

タグ付きの文字列 VSA(この新しい VSA がタグ付きであることを除き、Cisco VSA Type 1(Cisco:AVPair (1))に類似)

暗号化された文字列 VSA(この新しい VSA が暗号化されていることを除き、Cisco VSA Type 1 に類似)

タグ付きおよび暗号化された文字列 VSA(この新しい VSA がタグ付きで、暗号化されていることを除き、Cisco VSA Type 1 に類似)

Cisco:AVPairs では、Attribute Value Pair(AVP; アトリビュートと値のペア)の文字列の形式で追加の認証情報および認可情報を指定します。Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)の RADIUS アトリビュート 26(Vendor-Specific)が、ベンダー ID 番号「9」およびベンダータイプ値「1」で転送された場合(Cisco AVPair であることを意味します)、Cisco AVPair の RADIUS ユーザ プロファイルは「Cisco:AVPair = "protocol:attribute=value"」というような形式になります。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「暗号化ベンダー固有アトリビュートの機能情報」を参照してください。

プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。

暗号化ベンダー固有アトリビュートの前提条件

タグ付きで暗号化された VSA を RADIUS サーバが受け付けるようにするためには、AAA 認証および AAA 認可用にサーバを設定し、PPP コールを受け付けるように設定する必要があります。

この作業の実行方法については、『Cisco IOS Dial Technologies Configuration Guide, Release 12.4 』の「PPP Configuration」と、『Cisco IOS Security Configuration Guide, Release 12.4 』の「Configuring Authentication」および「Configuring Authorization」を参照してください。

暗号化ベンダー固有アトリビュートについて

ここでは、さまざまな VSA のパケット暗号化形式について説明します。

タグ付きの文字列 VSA

暗号化された文字列 VSA

タグ付きおよび暗号化された文字列 VSA

タグ付きの文字列 VSA

図 1 は、タグ付きの文字列 VSA のパケットの形式を示しています。

図 1 タグ付きの文字列 VSA の形式

 

正しい値を取り出すために、Tag フィールドが正しく解析される必要があります。このフィールドの値の範囲はわずか 0x01 ~ 0x1F です。値が指定範囲内にない場合、RADIUS サーバはその値を無視し、Tag フィールドが Attribute String フィールドの一部であると見なします。

暗号化された文字列 VSA

図 2 は、暗号化された文字列 VSA のパケットの形式を示しています。

図 2 暗号化された文字列 VSA の形式

 

Salt フィールドにより、VSA の各インスタンスの暗号化に使用される暗号キーが重複することはありません。Salt フィールドの最重要ビットである 1 番目のビットは 1 に設定される必要があります。


) Vendor-type (36) は、アトリビュートが暗号化された文字列 VSA であることを示しています。


タグ付きおよび暗号化された文字列 VSA

図 3 は、新しくサポートされた各 VSA のパケットの形式を示しています。

図 3 タグ付きおよび暗号化された文字列 VSA の形式

 

この VSA は、Tag フィールドが追加されていることを除き、暗号化された文字列 VSA とほぼ同じです。Tag フィールドは、値が有効な範囲内(0x01 ~ 0x1F)にない場合、Salt フィールドの一部と見なされます。

暗号化ベンダー固有アトリビュートの検証方法

暗号化ベンダー固有アトリビュート機能には、設定はまったく不要です。RADIUS のタグ付きおよび暗号化 VSA が RADIUS サーバから送信されていることを検証するために、次のコマンドを特権 EXEC モードで実行します。

 

コマンド
目的

Router# debug radius

RADIUS 関連の情報を表示します。このコマンドの出力は、タグ付きおよび暗号化 VSA が RADIUS サーバから送信されているかどうかを示しています。

暗号化ベンダー固有アトリビュートの設定例

ここでは、次の設定例について説明します。

「NAS の設定例」

「タグ付きおよび暗号化 VSA がある RADIUS ユーザ プロファイルの例」

NAS の設定例

次の例は、タグ付きおよび暗号化 VSA を使用して、基本的な設定の Network Access Server(NAS; ネットワーク アクセス サーバ)を設定する方法を示しています(この例では、PPP コールの確立に必要な設定がすでにイネーブルになっていると想定されています)。

aaa new-model
aaa authentication ppp default group radius
aaa authorization network default group radius
!
radius-server host 10.2.2.2 auth-port 1645 acct-port 1646
radius-server key cisco

タグ付きおよび暗号化 VSA がある RADIUS ユーザ プロファイルの例

次の例は、タグ付きおよび暗号化された文字列 VSA をサポートする RADIUS サーバのユーザ プロファイルの例です。

mascot Password = "password1"
Service-Type = NAS-Prompt,
Framed-Protocol = PPP,
Cisco:Cisco-Enc = "ip:route=10.0.0.0 255.0.0.0"
Cisco.attr Cisco-Enc 36 tag-encstr(*,*)
 

その他の参考資料

ここでは、暗号化ベンダー固有アトリビュートの関連資料について説明します。

関連資料

内容
参照先

RADIUS アトリビュート

Cisco IOS Security Configuration Guide: Securing User Services , Release 12.4T』

規格

規格
タイトル

なし

--

MIB

MIB
MIB リンク

なし

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

RFC 2865

「Remote Authentication Dial In User Service (RADIUS)」

RFC 2868

「RADIUS Attributes for Tunnel Protocol Support」

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、豊富なオンライン リソースが提供されており、それらに含まれる資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次の URL からアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

暗号化ベンダー固有アトリビュートの機能情報

表 1 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートする Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


 

表 1 暗号化ベンダー固有アトリビュートの機能情報

機能名
リリース
機能情報

暗号化ベンダー固有アトリビュート

12.2(8)T
12.2(28)SB
12.2(33)SRC

Cisco IOS XE リリース 2.3

暗号化ベンダー固有アトリビュート機能により、ユーザは RADIUS サーバでフィルタを一元的に管理できます。また、この機能はタグ付き、暗号化、タグ付きおよび暗号化の各文字列 Vendor-Specific Attributes(VSA; ベンダー固有アトリビュート)をサポートしています。

この機能は、Cisco IOS リリース 12.2(8)T で導入されました。

この機能は、Cisco IOS リリース 12.2(28)SB に統合されました。

この機能は、Cisco IOS リリース 12.2(33)SRC に統合されました。

この機能は、Cisco IOS XE リリース 2.3 で、Cisco ASR 1000 シリーズ ルータに実装されました。