Cisco IOS セキュリティ コンフィギュレーション ガ イド:ユーザ サービスのセキュリティ保護
RADIUS アトリビュート スクリーニング
RADIUS アトリビュート スクリーニング
発行日;2012/02/01 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

RADIUS アトリビュート スクリーニング

機能情報の確認

この章の構成

RADIUS アトリビュート スクリーニングの前提条件

RADIUS アトリビュート スクリーニングの制約事項

RADIUS アトリビュート スクリーニングに関する情報

RADIUS アトリビュートのスクリーン方法

RADIUS アトリビュート スクリーニングの設定

RADIUS アトリビュート スクリーニングの確認

RADIUS アトリビュート スクリーニングの設定例

認可許可:例

アカウンティング拒否:例

認可拒否とアカウンティング許可:例

必須アトリビュートの拒否:例

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

RADIUS アトリビュート スクリーニングの機能情報

用語集

RADIUS アトリビュート スクリーニング

RADIUS アトリビュート スクリーニング機能を使用すれば、認可やアカウンティングなどの目的で Network Access Server(NAS; ネットワーク アクセス サーバ)上の「許可」または「拒否」RADIUS アトリビュートのリストを設定できます。

NAS が Access-Accept パケットで受信したすべて の RADIUS アトリビュートを受け入れて処理する場合は、不必要なアトリビュートを処理する可能性があり、顧客の Authentication, Authorization, and Accounting(AAA; 認証、認可、およびアカウンティング)サーバを制御しないホールセール プロバイダーの場合に問題が発生します。たとえば、顧客が加入していないサービスを指定するアトリビュートが存在したり、他のホールセール ダイヤル ユーザ向けのサービスを低下させるアトリビュートが存在したりする場合です。そのため、特定のアトリビュートの使用を制限するように NAS を設定できることが、多くのユーザの要件になります。

RADIUS アトリビュート スクリーニング機能を実装するには、次の方法のいずれかを使用する必要があります。

NAS が、特定の目的で、設定された拒否リストに登録されたものを除く、すべての標準 RADIUS アトリビュートを受け入れて、処理できるようにする

NAS が、特定の目的で、設定された許可リストに登録されたものを除く、すべての標準 RADIUS アトリビュートを拒否(除外)できるようにする

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「RADIUS アトリビュート スクリーニングの機能情報」を参照してください。

プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。

RADIUS アトリビュート スクリーニングの前提条件

RADIUS 許可リストまたは拒否リストを設定する前に、グローバル コンフィギュレーション モードで aaa new-model コマンドを使用して AAA を有効にする必要があります。

RADIUS アトリビュート スクリーニングの制約事項

NAS の要件

この機能を有効にするには、RADIUS グループを使用して認可するように NAS を設定する必要があります。

許可リストまたは拒否リストの制約事項

許可リストまたは拒否リストの設定に使用される 2 つのフィルタは相互排他的です。そのため、ユーザはサーバ グループの目的ごとに、1 つのアクセス リストか、1 つの拒否リストしか設定できません。

ベンダー固有アトリビュート

この機能は、Vvendor-Specific Attribute(VSA; ベンダー固有アトリビュート)スクリーニングをサポートしていません。ただし、ユーザは、すべての VSA を許可または拒否する許可リストまたは拒否リスト内でアトリビュート 26(Vendor-Specific)を指定できます。

必須アトリビュート スクリーニングの推奨事項

次の必須アトリビュートは、拒否しないことを推奨します。

認可用:

6(Service-Type)

7(Framed-Protocol)

アカウンティング用:

4(NAS-IP-Address)

40(Acct-Status-Type)

41(Acct-Delay-Time)

44(Acct-Session-ID)

アトリビュートが必須の場合は、拒否が無視され、アトリビュートのパススルーが許可されます。


) 必須アトリビュートの拒否リストを設定してもエラーにはなりません。これは、リストでは目的(認可またはアカウンティング)が指定されないためです。サーバが、アトリビュートの使用目的を認識したときに、そのアトリビュートが必須かどうかを判断します。


RADIUS アトリビュート スクリーニングに関する情報

RADIUS アトリビュート スクリーニング機能は、次のようなメリットを提供します。

ユーザは、NAS 上で特定の目的のアトリビュートを選択して許可リストまたは拒否リストを設定できるため、不必要なアトリビュートが受け入れられ、処理されることがなくなります。

関連するアカウンティング アトリビュートだけの許可リストを設定することによって、不必要なトラフィックを削減し、アカウンティング データのカスタマイズを可能にすることができます。

RADIUS アトリビュートのスクリーン方法

次の項で、RADIUS アトリビュートをスクリーンして、確認する方法について説明します。

RADIUS アトリビュート スクリーニングの設定

RADIUS アトリビュート スクリーニングの確認

RADIUS アトリビュート スクリーニングの設定

RADIUS アトリビュートの許可リストまたは拒否リストを認可またはアカウンティング用に設定するには、次のコマンドを使用します。

手順の概要

1. enable

2. configure terminal

3. aaa authentication ppp default group group-name

4. aaa authorization network default group group-name

5. aaa group server radius group-name

6. server ip-address

7. authorization [ accept | reject ] listname - or - accounting [ accept | reject ] listname

8. exit

9. radius-server host { hostname | ip-address } [ key string ]

10. radius-server attribute list listname

11. attribute number [ number [ number... ]]

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

aaa authentication ppp default

group group-name

 

Router(config)# aaa authentication ppp default group radius-sg

PPP を実行しているシリアル インターフェイス上で使用する 1 つまたは複数の AAA 認証方式を指定します。

ステップ 4

aaa authorization network default group group-name

 

Router(config)# aaa authorization network default group radius-sg

ユーザのネットワーク アクセスを制限するパラメータを設定します。

ステップ 5

aaa group server radius group-name

 

Router(config)# aaa group server radius radius-sg

複数の RADIUS サーバ ホストを別々のリストと別々の方式にグループ分けします。

ステップ 6

server ip-address

 
Router(config-sg-radius)# server 10.1.1.1

グループ サーバ用の RADIUS サーバの IP アドレスを設定します。

ステップ 7

authorization [ accept | reject ] listname

 

および/または

 

accounting [ accept | reject ] listname

 

Router(config-sg-radius)# authorization accept min-author

RADIUS サーバから Access-Accept パケット内で返すアトリビュート用のフィルタを指定します。

および/または

アカウンティング要求内で RADIUS サーバに送信すべきアトリビュート用のフィルタを指定します。

を除く、すべてのアトリビュートが許可されることを意味します。

ステップ 8

Router(config-sg-radius)# exit

server-group コンフィギュレーション モードを終了します。

ステップ 9

radius-server host { hostname | ip-address } [ key string ]

 

Router(config)# radius-server host 10.1.1.1 key mykey1

RADIUS サーバ ホストを指定します。

ステップ 10

radius-server attribute list listname

 
Router(config)# radius-server attribute list min-author

attribute コマンドで定義されたアトリビュートのセットに付けるリスト名を定義し、サーバ グループ コンフィギュレーション モードに入ります。

と同じにする必要があります。

ステップ 11

attribute number [ number [ number... ]]

 

Router(config-sg-radius)# attribute 6-7

設定した許可リストまたは拒否リストに RADIUS アトリビュートを追加します。詳細については、「 RADIUS Attributes Overview and RADIUS IETF Attributes 」フィーチャ モジュールを参照してください。

(注) このコマンドは、許可リストまたは拒否リストにアトリビュートを追加するために何回も使用できます。

(注) user-password(RADIUS アトリビュート 2)アトリビュートと nas-ip(RADIUS アトリビュート 4)アトリビュートは、フィルタ対象として設定されている場合に、アクセス要求内でまとめてフィルタすることができます。アクセス要求には、ユーザ パスワード、CHAP パスワード、状態のいずれかを含める必要があります。また、NAS IP アドレスと NAS 識別子のどちらかを RADIUS アカウンティング要求に含める必要があります。

RADIUS アトリビュート スクリーニングの確認

許可リストまたは拒否リストを確認するには、特権 EXEC モードで次のコマンドのいずれかを使用します。

 

コマンド
目的

Router# debug aaa accounting

説明の義務があるイベントが発生したときに、その情報を表示します。

Router# debug aaa authentication

AAA 認証に関する情報を表示します。

Router# show radius statistics

アカウンティング パケットと認証パケットについての RADIUS 統計情報を示します。

RADIUS アトリビュート スクリーニングの設定例

ここでは、次の設定例について説明します。

認可許可:例

アカウンティング拒否:例

認可拒否とアカウンティング許可:例

必須アトリビュートの拒否:例

認可許可:例

次の例は、アトリビュート 6(Service-Type)とアトリビュート 7(Framed-Protocol)用の許可リストの設定方法を示しています。他のすべてのアトリビュート(VSA を含む)は RADIUS 認可に対して拒否されます。

aaa new-model
aaa authentication ppp default group radius-sg
aaa authorization network default group radius-sg
aaa group server radius radius-sg
server 10.1.1.1
authorization accept min-author
!
radius-server host 10.1.1.1 key mykey1
radius-server attribute list min-author
attribute 6-7

アカウンティング拒否:例

次の例は、アトリビュート 66(Tunnel-Client-Endpoint)とアトリビュート 67(Tunnel-Server-Endpoint)用の拒否リストの設定方法を示しています。他のすべてのアトリビュート(VSA を含む)は RADIUS アカウンティングに対して受け入れられます。

aaa new-model
aaa authentication ppp default group radius-sg
aaa authorization network default group radius-sg
aaa group server radius radius-sg
server 10.1.1.1
accounting reject tnl-x-endpoint
!
radius-server host 10.1.1.1 key mykey1
radius-server attribute list tnl-x-endpoint
attribute 66-67

認可拒否とアカウンティング許可:例

次の例は、RADIUS 認可用の拒否リストと RADIUS アカウンティング用の許可リストの設定方法を示しています。認可またはアカウンティングのサーバ グループごとに複数の許可リストまたは拒否リストを設定できませんが、サーバ グループごとに認可用のリストとアカウンティング用のリストを 1 つずつ設定できます。

aaa new-model
aaa authentication ppp default group radius-sg
aaa authorization network default group radius-sg
aaa group server radius radius-sg
server 10.1.1.1
authorization reject bad-author
accounting accept usage-only
!
radius-server host 10.1.1.1 key mykey1
radius-server attribute list usage-only
attribute 1,40,42-43,46
!
radius-server attribute list bad-author
attribute 22,27-28,56-59

必須アトリビュートの拒否:例

次の例は、debug aaa accounting コマンドのデバッグ出力を示しています。この例では、必須アトリビュートの 44、40、および 41 が拒否リストの「standard」に追加されています。

Router# debug aaa authorization
 
AAA/ACCT(6): Accounting method=radius-sg (radius)
RADIUS: attribute 44 cannot be rejected
RADIUS: attribute 61 rejected
RADIUS: attribute 31 rejected
RADIUS: attribute 40 cannot be rejected
RADIUS: attribute 41 cannot be rejected

その他の参考資料

次の項で、RADIUS アトリビュート スクリーニング機能に関する参考資料を紹介します。

関連資料

内容
参照先

IOS AAA セキュリティ機能

Cisco IOS Security Configuration Guide: Securing User Services , Release 12.4T

Cisco IOS セキュリティ コマンド

『Cisco IOS Security Command Reference』

RADIUS

Configuring RADIUS 」モジュール

規格

規格
タイトル

なし

--

MIB

MIB
MIB リンク

なし

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

このリリースによってサポートされる新しい RFC や変更された RFC はありません。

--

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、豊富なオンライン リソースが提供されており、それらに含まれる資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次の URL からアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

RADIUS アトリビュート スクリーニングの機能情報

表 1 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートする Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


 

表 1 RADIUS アトリビュート スクリーニングの機能情報

機能名
リリース
機能情報

RADIUS アトリビュート スクリーニング

12.2(1)DX
12.2(2)DD
12.2(4)B
12.2(4)T
12.2(13)T

12.2(33)SRC

RADIUS アトリビュート スクリーニング機能を使用すれば、認可やアカウンティングなどの目的で Network Access Server(NAS; ネットワーク アクセス サーバ)上の「許可」または「拒否」RADIUS アトリビュートのリストを設定できます。

この機能は、12.2(1)DX で導入されました。

この機能は、Cisco IOS リリース 12.2(2)DD に統合されました。

この機能は、Cisco IOS リリース 12.2(4)B に統合されました。

この機能は、12.2(4)T に統合されました。

この機能は、Cisco IOS リリース 12.2(33)SRC に統合されました。

プラットフォーム サポートが Cisco 7401 ASR ルータ用に追加されました。

Cisco 7200 シリーズ プラットフォームは、Cisco IOS リリース 12.2(1)DX、12.2(2)DD、12.2(4)B、12.2(4)T、および 12.2(13)T に適用されます。

Cisco 7401 ASR プラットフォームは、Cisco IOS リリース 12.2(13)T にのみ適用されます。

accounting(サーバ グループ コンフィギュレーション)、authorization(サーバ グループ コンフィギュレーション)、attribute(サーバ グループ コンフィギュレーション)、および radius-server attribute list の各コマンドが、この機能で導入または変更されました。

用語集

AAA:Authentication, Authorization, and Accounting(認証、認可、およびアカウンティング)。Cisco ルータまたはアクセス サーバにアクセス コントロールを設定できる主要なフレームワークを提供する一連のネットワーク セキュリティ サービスです。

NAS:Network Access Server(NAS; ネットワーク アクセス サーバ)。パケットの世界(インターネットなど)と回線の世界(公衆電話交換網など)をインターフェイスするシスコ プラットフォーム(または AccessPath システムなどのプラットフォームの集合)。

RADIUS :Remote Authentication Dial-In User Service(リモート認証ダイヤルイン ユーザ サービス)。RADIUS は、不正アクセスからネットワークを保護する分散型クライアント/サーバ システムです。シスコの実装では RADIUS クライアントは Cisco ルータ上で稼動します。認証要求は、すべてのユーザ認証情報とネットワーク サービス アクセス情報が格納されている中央の RADIUS サーバに送信されます。

VSA:Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)。VSA は、1 つの IETF アトリビュート(Vendor-Specific(アトリビュート 26))から抽出されます。アトリビュート 26 を使用すれば、ベンダーは、追加の 255 個のアトリビュートを作成して実装できます。つまり、ベンダーは、どの IETF アトリビュートとも一致しないアトリビュートを作成して、それをアトリビュート 26 の背後にカプセル化することができます。具体的には、Vendor-Specific ="protocol:attribute=value" と指定します。

アトリビュート:RADIUS Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)アトリビュートは、255 の標準アトリビュートで構成されるオリジナルのセットで、クライアントとサーバ間での AAA 情報の伝達に使用されます。IETF アトリビュートは標準であるため、アトリビュート データは事前定義されてその内容も認識されています。このため、IETF アトリビュートを介して AAA 情報を交換するすべてのクライアントとサーバは、アトリビュートの厳密な意味や各アトリビュート値の一般的な限界など、アトリビュート データに一致させる必要があります。

 

このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワーク トポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。

© 2001-2002, 2009 Cisco Systems, Inc.
All rights reserved.