Cisco IOS セキュリティ コンフィギュレーション ガ イド:ユーザ サービスのセキュリティ保護
ローカル AAA サーバ
ローカル AAA サーバ
発行日;2012/02/01 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

ローカル AAA サーバ

機能情報の確認

この章の構成

ローカル AAA サーバの制約事項

ローカル AAA サーバに関する情報

ローカル認可アトリビュートの概要

ローカル AAA アトリビュートのサポート

AAA アトリビュート リスト

RADIUS 形式から CiscoIOS AAA 形式への変換

アトリビュートの検証

ローカル AAA サーバの設定方法

AAA アトリビュート リストの定義

加入者プロファイルの定義

ローカル AAA サーバのモニタおよびトラブルシューティング

ローカル AAA サーバの設定例

ローカル AAA サーバの例

特定のアトリビュートの RADIUS バージョンから CiscoIOS AAA バージョンへのマッピング例

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

ローカル AAA サーバの機能情報

ローカル AAA サーバ

ローカル AAA サーバ機能を使用すると、現在 AAA サーバ上で利用可能なユーザ認証アトリビュートと認可アトリビュートをルータ上でローカルに利用できるように、ルータを設定できます。アトリビュートは、ローカル ユーザ データベースや加入者プロファイルなど、既存のフレームワークに追加できます。ローカル AAA サーバは、Cisco IOS でサポートされるアトリビュートの完全な辞書へのアクセスを実現します。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「ローカル AAA サーバの機能情報」を参照してください。

プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。

ローカル AAA サーバの制約事項

この機能を使用する前に、 aaa new-model コマンドをイネーブルにしておく必要があります。

ローカル AAA サーバに関する情報

ローカル AAA サーバ機能を設定するには、次の概念について理解しておく必要があります。

「ローカル認可アトリビュートの概要」

「ローカル AAA アトリビュートのサポート」

「AAA アトリビュート リスト」

「アトリビュートの検証」

ローカル認可アトリビュートの概要

Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)サブシステムは、Cisco IOS ソフトウェア内のさまざまなサービスが使用できる、サポートされているすべてのアトリビュートを管理します。そのため、サポートされているすべてのアトリビュートの独自のローカル辞書を保持しています。しかし、Cisco IOS リリース 12.3(14)T よりも前までは、これらの認可オプションのほとんどは、ローカル(オンボックス)認可で使用できませんでした。

ローカル AAA アトリビュートのサポート

Cisco IOS リリース 12.3(14)T からは、AAA サーバで現在利用できる AAA 認証アトリビュートと認可アトリビュートが、既存の Cisco IOS デバイスで使用できるように、ルータを設定できます。アトリビュートは、ローカル ユーザ データベースや加入者プロファイルなど、既存のフレームワークに追加できます。たとえば、アトリビュート リストを既存のユーザ名に追加できるようになり、ローカル ユーザ データベースがローカル AAA サーバとして機能できるようになりました。ローカル ユーザ名リストが比較的小さい状況では、この柔軟性により、AAA サーバがなくても、完全なユーザの認証と認可を Cisco IOS ソフトウェアの中で実行できます。この機能を使用すると、ユーザ データベースをローカルに保持したり、ローカル ユーザを定義するときにポリシー オプションを犠牲にすることなく、フェールオーバー ローカル メカニズムを提供できます。

加入者プロファイルを使用すると、ドメインベースのクライアントが、エンドユーザ サービス レベルでポリシーを適用できます。この柔軟性により、1 つの場所のドメイン配下のすべてのユーザに対して共通のポリシーを設定し、ユーザの認可をローカルに行うかどうかにかかわらず適用できます。Cisco IOS リリース 12.3(14)T から、アトリビュート リストを加入者プロファイルに追加できるようになり、AAA サーバを使用してサービスに適用できるすべてのアトリビュートを適用できます。AAA アトリビュート リストの下で設定されたアトリビュートは、既存の加入者プロファイルで生成された既存のアトリビュートとマージされ、Subscriber Server Switch(SSS)フレームワークに渡されて適用されます。


) アカウンティングは、引き続き AAA サーバで行われ、この機能ではサポートされません。


AAA アトリビュート リスト

AAA アトリビュート リストは、ルータにローカルなユーザ プロファイルを定義します。AAA サブシステムが認識しているすべてのアトリビュートを設定できます。

AAA アトリビュート リストで定義されている AAA アトリビュートは、RADIUS または TACACS+ の標準的なアトリビュートです。ただし、アトリビュートは Cisco IOS の内部形式になっています。アトリビュートは、RADIUS 形式(RADIUS の場合)から Cisco IOS AAA の内部形式に変換する必要があります。TACACS+ アトリビュートは一般に Cisco IOS AAA インターフェイス形式と同じです。

RADIUS 形式から Cisco IOS AAA 形式への変換

show aaa attributes protocol radius コマンドを使用して、Cisco IOS AAA 形式の Internet Engineering Task Force(IETF)RADIUS アトリビュートを取得できます。 show コマンドの出力では、サポートされているすべての AAA アトリビュートの完全な一覧が表示されます。


) RADIUS から内部 AAA への変換は、AAA フレームワークの中で内部的に行われます。RADIUS Vendor-Specific Attributes(VSA; ベンダー固有アトリビュート)は、一般に変換時に正確に反映されます。TACACS+ アトリビュートも、通常はローカル アトリビュートと同じであり、変換処理を必要としません。しかし、IETF の番号付きアトリビュートと一部の特別な VSA では、多くの場合変換処理が必要です。


アトリビュートの検証

アトリビュートは設定時に検証されません。AAA サブシステムは、サービスが特定のアトリビュートを定義ファイルの内部で定義するときに、サービスが期待している形式だけを認識しています。しかし、アトリビュート情報自体は検証できません。この検証は、サービスがアトリビュートを初めて使用するときにサービスによって行われます。この検証は、AAA サーバが RADIUS でも TACACS+ でも適用されます。そのため、AAA サーバの設定に慣れていない場合は、アトリビュート リストを、実稼動環境で設定して使用する前に、リストを使用するサービスがあるテスト デバイスでテストすることを推奨します。

ローカル AAA サーバの設定方法

ここでは、次の各手順について説明します。

「AAA アトリビュート リストの定義」(必須)

「加入者プロファイルの定義」(必須)

「ローカル AAA サーバのモニタおよびトラブルシューティング」(任意)

AAA アトリビュート リストの定義

AAA アトリビュート リストを定義するには、次の手順を実行します。

手順の概要

1. enable

2. configure terminal

3. aaa attribute list list-name

4. attribute type { name } { value } [ service service ] [ protocol protocol ]

5. attribute type { name } { value } [ service service ] [ protocol protocol ]

6. attribute type { name } { value } [ service service ] [ protocol protocol ]

7. attribute type { name } { value }

8. attribute type { name } { value }

9. attribute type { name } { value }

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

aaa attribute list list-name

 

Router (config)# aaa attribute list TEST

AAA アトリビュート リストを定義します。

ステップ 4

attribute type { name } { value } [ service service ] [ protocol protocol ]

 

Router (config-attr-list)# attribute type addr-pool poolname service ppp protocol ip

使用する IP アドレス プールを定義します。

ステップ 5

attribute type { name } { value } [ service service ] [ protocol protocol ]

 

Router (config-attr-list)# attribute type ip-unnumbered loopbacknumber service ppp protocol ip

使用するループバック インターフェイスを定義します。

ステップ 6

attribute type { name } { value } [ service service ] [ protocol protocol ]

 

Router (config-attr-list)# attribute type vrf-id vrfname service ppp protocol ip

使用する Virtual Route Forwarding(VRF)を定義します。

ステップ 7

attribute type { name } { value }

 

Router (config-attr-list)# attribute type ppp-authen-list aaalistname

使用する AAA 認証リストを定義します。

ステップ 8

attribute type { name } { value }

 

Router (config-attr-list)# attribute type ppp-author-list aaalistname

使用する AAA 認可リストを定義します。

ステップ 9

attribute type { name } { value }

 

Router (config-attr-list)# attribute type ppp-acct-list “aaa list name”

使用する AAA アカウンティング リストを定義します。

加入者プロファイルの定義

加入者プロファイルを定義するには、次の手順を実行します。


) RADIUS ユーザは、show aaa attributes コマンドを使用して、特定のアトリビュートの RADIUS バージョンを、文字列アトリビュートの Cisco IOS AAA バージョンにマッピングする必要があります。「特定のアトリビュートの RADIUS バージョンから Cisco IOS AAA バージョンへのマッピング例」の例を参照してください。


手順の概要

1. enable

2. configure terminal

3. subscriber authorization enable

4. policy-map type service example.com

5. policy-map type service domain-name

6. service local

7. exit

8. aaa attribute list list-name

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

subscriber authorization enable

 

Router (config)# subscriber authorization enable

加入者認可をイネーブルにします。

ステップ 4

policy-map type service domain-name

 

Router (config)# policy-map type example.com

一致する必要があるユーザ名ドメインを指定し、加入者プロファイル コンフィギュレーション モードを開始します。

ステップ 5

service local

 

Router (subscriber-profile)# service local

ローカル加入者認可を実行することを指定します。

ステップ 6

exit

 

Router (subscriber-profile)# exit

加入者プロファイル コンフィギュレーション モードを終了します。

ステップ 7

aaa attribute list list-name

 

Router (config)# aaa attribute list TEST

RADIUS アトリビュートの取得元の AAA アトリビュート リストを定義します。

ローカル AAA サーバのモニタおよびトラブルシューティング

次のデバッグ コマンドは、モニタとトラブルシューティングに役立ちます。特に、ドメインベースのサービス認可が起動され、サービスを起動する、場所の認可がローカル AAA サーバで呼び出されることを確認するために役立ちます。

手順の概要

1. enable

2. debug aaa authentication

3. debug aaa authorization

4. debug aaa per-user

5. debug ppp authentication

6. debug ppp error

7. debug ppp forward

8. debug ppp negotiation

9. debug radius

10. debug sss error

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

debug aaa authentication

 

Router# debug aaa authentication

使用する認証方式とこれらの方式の結果を表示します。

ステップ 3

debug aaa authorization

 

Router# debug aaa authorization

使用する認可方式とこれらの方式の結果を表示します。

ステップ 4

debug aaa per-user

 

Router# debug aaa per-user

PPP セッションのユーザごとのアクティビティに関する情報を表示します。

ステップ 5

debug ppp authentication

 

Router# debug ppp authentication

クライアントが認証に成功したかどうかを示します。

ステップ 6

debug ppp error

 

Router (config)# debug ppp error

PPP 接続のネゴシエーションと操作に関するプロトコル エラーとエラー統計情報を表示します。

ステップ 7

debug ppp forward

 

Router# debug ppp forward

誰がセッションの制御権を持っているかを表示します。

ステップ 8

debug ppp negotiation

 

Router# debug ppp negotiation

PPP の始動時に、PPP オプションをネゴシエートするために送信された PPP パケットを表示します。

ステップ 9

debug radius

 

Router# debug radius

RADIUS サーバに関する情報を表示します。

ステップ 10

debug sss error

 

Router# debug sss error

SSS コール設定時に発生する可能性があるエラーに関する診断情報を表示します。

ローカル AAA サーバの設定例

ここでは、次の設定例について説明します。

「ローカル AAA サーバの例」

「特定のアトリビュートの RADIUS バージョンから Cisco IOS AAA バージョンへのマッピング例」

ローカル AAA サーバの例

次に、加入者プロファイル cisco.com に対して設定された Point to Point over Ethernet(PPPoE)グループ「bba-group」の例を示します(そのため、ドメイン名 cisco.com のすべてのユーザは、加入者プロファイル cisco.com の認可ポリシーを実行します)。加入者プロファイル cisco.com は、AAA アトリビュート リスト「TEST」をアタッチするように設定され、「ip vrf forwarding」と「ip unnumbered」の両方が、Link Control Protocol(LCP; リンク コントロール プロトコル)ネゴシエーションの下で PPP サービスに対して設定されています。この設定により、名前付きアトリビュートが、bba-group の「pppoe grp1」配下の cisco.com ドメインを持つセッションに基本的に適用されます。

aaa authentication ppp template1 local
aaa authorization network template1 local
!
aaa attribute list TEST
attribute type interface-config "ip unnumbered FastEthernet0" service ppp protocol lcp
attribute type interface-config "ip vrf forwarding blue" service ppp protocol lcp
!
ip vrf blue
description vrf blue template1
rd 1:1
route-target export 1:1
route-target import 1:1
!
subscriber authorization enable
!
policy-map type service example.com
service local
aaa attribute list TEST
!
bba-group pppoe grp1
virtual-template 1
service profile example.com
!
interface Virtual-Template1
no ip address
no snmp trap link-status
no peer default ip address
no keepalive
ppp authentication pap template1
ppp authorization template1
!

) Cisco IOS ソフトウェアのバージョンによっては、インターフェイス設定の代わりに、スケーラビリティが高い明示的なアトリビュートを使用することが望ましい場合があります(完全な VAccess インターフェイスは必要なく、サブ インターフェイスを使用してサービスを提供できます)。その場合、「attribute type interface-config 'ip unnumbered FastEthernet0' service ppp protocol lcp」の代わりに「attribute type ip-unnumbered 'FastEthernet0' service ppp protocol ip」を設定します。


特定のアトリビュートの RADIUS バージョンから Cisco IOS AAA バージョンへのマッピング例

次の show aaa attributes コマンドの出力例では、この機能を設定するときに使用できる RADIUS アトリビュートの一覧が表示されています。

Router# show aaa attributes protocol radius
 
IETF defined attributes:
 
Type=4 Name=acl Format=Ulong
Protocol:RADIUS
Unknown Type=11 Name=Filter-Id Format=Binary
 
Converts attribute 11 (Filter-Id) of type Binary into an internal attribute
named "acl" of type Ulong. As such, one can configure this attributes locally
by using the attribute type "acl."
 
Cisco VSA attributes:
 
Type=157 Name=interface-config Format=String
 
Simply expects a string for the attribute of type "interface-config."
 

aaa attribute list コマンドは、上の「Name」フィールドで定義されている、アトリビュートの Cisco IOS AAA バージョンを必要とします。


その他の参考資料

ここでは、ローカル AAA サーバに関する関連資料について説明します。

関連資料

内容
参照先

AAA、AAA アトリビュート リスト、AAA 方式リスト、加入者プロファイル

Configuring Local AAA Server 」フィーチャ モジュールと、『 Cisco 10000 Series Broadband Aggregation and Leased-Line Configuration Guide 』の「 User Database--Domain to VRF

Cisco IOS セキュリティ コマンド

『Cisco IOS Security Command Reference』

規格

規格
タイトル

なし

--

MIB

MIB
MIB リンク

なし

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

なし

--

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、豊富なオンライン リソースが提供されており、それらに含まれる資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次の URL からアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

ローカル AAA サーバの機能情報

表 1 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートする Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


 

表 1 ローカル AAA サーバの機能情報

機能名
リリース
機能情報

ローカル AAA サーバ

12.3(14)T
12.2(28)SB
12.2(33)SRC

ローカル AAA サーバ機能を使用すると、現在 AAA サーバ上で利用可能なユーザ認証アトリビュートと認可アトリビュートをルータ上でローカルに利用できるように、ルータを設定できます。アトリビュートは、ローカル ユーザ データベースや加入者プロファイルなど、既存のフレームワークに追加できます。ローカル AAA サーバは、Cisco IOS でサポートされるアトリビュートの完全な辞書へのアクセスを実現します。