Cisco DCNM Security コンフィギュレーション ガイド Release 4.0
AAA の設定
AAA の設定
発行日;2012/01/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

AAA の設定

AAA の概要

AAA セキュリティ サービス

AAA を使用することの利点

リモート AAA サービス

AAA サーバ グループ

AAA サービス設定オプション

ユーザ ログインの認証および認可プロセス

バーチャライゼーション サポート

AAA のライセンス要件

AAA の前提条件

AAA の注意事項および制限事項

AAA の設定

AAA 認証ルール方式の変更

AAA 認証ルール方式の追加

AAA 認証ルール方式の再編成

AAA 認証ルール方式の削除

AAA アカウンティング ルール方式の変更

AAA アカウンティング ルール方式の追加

AAA アカウンティング ルール方式の再編成

AAA アカウンティング ルール方式の削除

Cisco NX-OS デバイスによる AAA サーバの VSA の使用

VSA の概要

VSA の形式

AAA サーバ上での Cisco NX-OS のユーザ ロールおよび SNMPv3 パラメータの指定

AAA のフィールドの説明

Security:AAA:Rules:Summary ペイン

Security:AAA:Rules:デバイス:Authentication Rules:Rule:Authentication Rules タブ

Security:AAA:Rules:デバイス:Accounting Rules:Rule:Accounting Rules タブ

その他の参考資料

関連資料

規格

MIB

AAA の設定

この章では、Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)を設定する手順について説明します。

この章の内容は次のとおりです。

「AAA の概要」

「AAA のライセンス要件」

「AAA の前提条件」

「AAA の注意事項および制限事項」

「AAA の設定」

「AAA のフィールドの説明」

「AAA のフィールドの説明」

「その他の参考資料」

AAA の概要

ここでは、次の内容について説明します。

「AAA セキュリティ サービス」

「AAA を使用することの利点」

「リモート AAA サービス」

「AAA サーバ グループ」

「AAA サービス設定オプション」

「ユーザ ログインの認証および認可プロセス」

「バーチャライゼーション サポート」

AAA セキュリティ サービス

AAA 機能を使用すると、NX-OS デバイスを管理するユーザの ID を確認し、ユーザにアクセスを許可し、ユーザの実行するアクションを追跡できます。Cisco NX-OS デバイスは、Remote Access Dial-In User Service(RADIUS)プロトコルまたは Terminal Access Controller Access Control device Plus(TACACS+)プロトコルをサポートします。

Cisco NX-OS は入力されたユーザ ID およびパスワードの組み合わせに基づいて、ローカル データベースによるローカル認証または許可、あるいは 1 つまたは複数の AAA サーバによるリモート認証または許可を実行します。NX-OS デバイスと AAA サーバの間の通信は、事前共有秘密鍵によって保護されます。共有する秘密鍵は、すべての AAA サーバに設定することも、特定の AAA サーバにのみ設定することもできます

AAA セキュリティでは、次のサービスが提供されます。

認証 ― ログインとパスワードのダイアログ、チャレンジとレスポンス、メッセージング サポート、および選択したセキュリティ プロトコルに応じた暗号化などを使用してユーザを識別します。

認証は、デバイスにアクセスする人物またはデバイスの ID を確認するプロセスです。この ID の確認は、NX-OS デバイスにアクセスするエンティティから提供されるユーザ ID とパスワードの組み合わせに基づいて行われます。Cisco NX-OS デバイスでは、ローカル認証(ローカル ルックアップ データベースを使用)またはリモート認証(1 台または複数の RADIUS サーバまたは TACACS+ サーバを使用)を実行できます。

認可 ― アクセス制御を提供します。

AAA 認可は、ユーザの実行可能な内容を指定したアトリビュートをまとめるプロセスです。NX-OS ソフトウェアでは、AAA サーバからダウンロードされるアトリビュートを使用して権限付与が行われます。RADIUS や TACACS+ などのリモート セキュリティ サーバでは、権限が定義された AV のペアを適切なユーザに関連付けることにより、ユーザに所定の権限を許可します。

アカウンティング ― 情報の収集、ローカルでの情報のロギング、およびこれらの情報を AAA サーバに送信して課金、監査、およびレポートに使用する手段を提供します。

アカウンティング機能では、NX-OS デバイスへのアクセスに使用されるすべての管理セッションを追跡し、ログに記録して管理します。この情報を使用してレポートを生成し、トラブルシューティングや監査に役立てることができます。アカウンティング ログは、ローカルに保存したり、リモートの AAA サーバに送信することができます。


) NX-OS ソフトウェアでは、認証、認可、およびアカウンティングを個別にサポートしています。たとえば、アカウンティングを設定しなくても、認証と認可を設定できます。


AAA を使用することの利点

AAA には次の利点があります。

アクセス設定の柔軟性と操作性の向上

スケーラビリティ

RADIUS、TACACS+ などの標準化された認証方式

複数のバックアップ装置

リモート AAA サービス

RADIUS プロトコルおよび TACACS+ プロトコルを介して提供されるリモート AAA サービスには、ローカルの AAA サービスと比較して次の利点があります。

ファブリック内の各 NX-OS デバイスのユーザ パスワード リストの管理が容易になります。

AAA サーバはすでに多くの企業で幅広く導入されているので、容易に AAA サービスに使用できます。

ファブリック内のすべての NX-OS デバイスのアカウンティング ログを中央で管理できます。

ファブリック内の各 NX-OS デバイスのユーザ アトリビュートの管理が、NX-OS デバイスのローカル データベースを使用するよりも容易になります。

AAA サーバ グループ

AAA に対応するリモート AAA サーバの指定に、サーバ グループを使用できます。サーバ グループは、同じ AAA プロトコルを実装したリモート AAA サーバのセットです。サーバ グループの目的は、リモート AAA サーバが応答できない場合に備えて、フェールオーバー サーバを用意しておくことにあります。グループ内の最初のリモート サーバが応答しなかった場合には、同じグループ内の次のリモート サーバが試行されます。サーバのどれかが応答するまでこの処理が行われます。サーバ グループ内のすべての AAA サーバが応答しなかった場合、このサーバ グループは使用不可能であるとみなされます。必要であれば、サーバ グループを複数指定できます。Cisco NX-OS デバイスは、最初のサーバ グループのすべてのサーバからエラーを受信した場合に、次のサーバ グループのサーバを試行します。

AAA サービス設定オプション

Cisco NX-OS デバイスの AAA 設定は、サービス ベースです。次のサービスごとに異なった AAA 設定を作成できます。

ユーザの Telnet または Secure Shell(SSH; セキュア シェル)ログイン認証

コンソール ログイン認証

802.1X 認証( 第 6 章「802.1X の設定」 を参照)

ユーザ管理セッション アカウンティング

802.1X アカウンティング( 第 6 章「802.1X の設定」 を参照)

AAA サービスには、次の認証方式を指定できます。

RADIUS サーバ グループ ― RADIUS サーバのグローバル プールを認証に使用します。

指定サーバ グループ ― 指定の RADIUS または TACACS+ サーバ グループを認証に使用します。

ローカル ― ローカルのユーザ名またはパスワード データベースを認証に使用します。

なし(none) ― ユーザ名のみを使用します。


) 認証方式が特定のサーバ グループでなく、すべて RADIUS サーバの場合は、NX-OS デバイスが、指定された RADIUS サーバのグローバル プールから設定の順に RADIUS サーバを選択します。このグローバル プールから選択されるサーバは、NX-OS デバイス上で RADIUS サーバ グループに選択的に設定できるサーバです。


表2-1 に、AAA サービスに対応して設定できる AAA 認証方式を示します。

 

表2-1 AAA サービスに対応する AAA 認証方式

AAA サービス
AAA 方式

コンソール ログイン認証

サーバ グループ、ローカル、なし(none)

ユーザ ログイン認証

サーバ グループ、ローカル、なし(none)

Cisco TrustSec 認証

サーバ グループのみ

802.1X 認証

サーバ グループのみ

ユーザ管理セッション アカウンティング

サーバ グループ、ローカル

802.1X アカウンティング

サーバ グループ、ローカル


) コンソール ログイン認証、ユーザ ログイン認証、およびユーザ管理セッション アカウンティングの場合は、NX-OS デバイスが、指定された順序で各オプションを試行します。ローカル オプションは、他の設定オプションが失敗した場合のデフォルト方式です。


ユーザ ログインの認証および認可プロセス

図2-1 に、ユーザ ログインの認証および認可プロセスのフローチャートを示します。次に、このプロセスについて順番に説明します。

1. Cisco NX-OS デバイスにログインする場合、Telnet、SSH、またはコンソール ログインのオプションが使用できます。

2. サーバ グループ認証方式を使用して AAA サーバ グループを設定した場合は、NX-OS デバイスが、次のように認証要求をグループ内の最初の AAA サーバに送信します。

この AAA サーバが応答しなかった場合には、次の AAA サーバが試行されます。リモート サーバが認証要求に応答するまでこの処理が行われます。

サーバ グループ内のすべての AAA サーバが応答しなかった場合、次のサーバ グループのサーバが試行されます。

設定されているすべての認証方式が失敗した場合は、ローカル データベースが認証に使用されます。

3. NX-OS デバイスがリモート AAA サーバでユーザの認証に成功した場合は、次のいずれかが適用されます。

AAA サーバ プロトコルが RADIUS の場合、cisco-av-pair アトリビュートに指定されているユーザ ロールが認証応答を使用してダウンロードされます。

AAA プロトコルが TACACS+ の場合、同じサーバに別の要求が送信されて、シェルのカスタム アトリビュートとして指定されているユーザ ロールが取得されます。

リモート AAA サーバからのユーザ ロールの取得に成功しない場合、ユーザに vdc-operator ロールが割り当てられます。

4. ローカルでユーザ名とパスワードの認証が成功した場合は、ログインが許可され、ローカル データベースに設定されているロールが割り当てられます。

図2-1 ユーザ ログインの認証および許可のフロー

 


) 「すべてのサーバ グループを検索」は、全サーバ グループのどのサーバからも応答がないことを意味します。
「すべてのサーバを検索」は、このサーバ グループのどのサーバからも応答がないことを意味します。


バーチャライゼーション サポート

デフォルトのコンソール方式と AAA アカウンティング ログを除き、すべての AAA 設定と操作は VDC に対してローカルです。コンソール ログインの AAA 認証方式の設定と操作は、デフォルト VDC に対してのみ適用されます。AAA アカウンティング ログは、デフォルト VDC にのみ存在します。任意の VDC から内容を表示できますが、内容のクリアはデフォルト VDC で行う必要があります。

VDC の詳細については、『 Cisco NX-OS Virtual Device Context Configuration Guide, Release 4.0 』を参照してください。

AAA のライセンス要件

この機能のライセンス要件は次の表のとおりです。

 

製品
ライセンス要件

DCNM

AAA にライセンスは必要ありません。ライセンス パッケージに含まれていない機能は、Cisco DCNM にバンドルされており、料金なしで利用できます。DCNM のライセンス スキームに関する詳細は、『 Cisco DCNM Licensing Guide, Release 4.0 』を参照してください。

NX-OS

AAA にライセンスは必要ありません。ライセンス パッケージに含まれていない機能は、Cisco NX-OS システム イメージにバンドルされており、追加料金なしで利用できます。NX-OS のライセンス スキームに関する詳細は、『 Cisco NX-OS Licensing Guide, Release 4.0 』を参照してください。

AAA の前提条件

リモート AAA サーバには、次の前提条件があります。

少なくとも 1 台の RADIUS サーバまたは TACACS+ サーバが IP で到達可能になっていること( RADIUS サーバ ホストの追加および TACACS+ サーバ ホストの追加を参照)。

NX-OS デバイスが AAA サーバのクライアントとして設定されていること

事前共有秘密鍵が NX-OS デバイスおよびリモート AAA サーバに設定されていること

NX-OS ソフトウェアの AAA のログ レベルが、コマンドライン インターフェイス(CLI)を使用して 5 に設定されていることを確認します。

switch# configure terminal
switch(config)# logging level aaa 5
 

AAA の注意事項および制限事項

RADIUS には、次の注意事項と制限事項があります。

Cisco NX-OS ソフトウェアは、ユーザ名が RADIUS または TACACS+ によって作成されたのかローカルに作成されたのかに関係なく、すべて数字のユーザ名をサポートしていません。そのためすべて数字のユーザ名は作成されません。すべて数字のユーザ名が AAA サーバ上に存在していて、ログイン時に入力された場合、NX-OS デバイスはそのユーザのログインを受け入れません。

ローカルの Cisco NX-OS デバイス上に設定されているユーザ アカウントが、AAA サーバ上のリモート ユーザ アカウントと同じ名前の場合、Cisco NX-OS ソフトウェアは、AAA サーバ上に設定されているユーザ ロールでなく、ローカル ユーザ アカウントのユーザ ロールをリモート ユーザに適用します。

AAA の設定

図2-2 に、AAA ルールのペインを示します。

図2-2 AAA ルールのペイン

 

ここでは、次の内容について説明します。

「AAA 認証ルール方式の変更」

「AAA 認証ルール方式の追加」

「AAA 認証ルール方式の再編成」

「AAA 認証ルール方式の削除」

「AAA アカウンティング ルール方式の変更」

「AAA アカウンティング ルール方式の追加」

「AAA アカウンティング ルール方式の再編成」

「AAA アカウンティング ルール方式の削除」

「Cisco NX-OS デバイスによる AAA サーバの VSA の使用」


) 802.1X の認証方式を設定するには、「802.1X の AAA 認証方式の設定」を参照してください。


AAA 認証ルール方式の変更

AAA 認証ルール方式は変更できます。

方式には次のものがあります。

グループ ― RADIUS サーバ グループ

ローカル ― デバイスのローカル データベース

なし ― ユーザ名のみ

デフォルト方式はローカルです。

ルールはシーケンスに適用されます。すべての方式が失敗した場合、デバイスはデフォルトのローカル方式を使用します。


) コンソール ログインの AAA の設定と操作は、デフォルト VDC に対して適用されます。


作業を開始する前に

必要に応じて RADIUS または TACACS+ サーバ グループを設定します。

詳細な手順

認証ルール方式を変更するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > AAA > Rules の順に選択します。

ステップ 2 Authentication Rules をダブルクリックし、アカウンティング ルールのリストを表示します。

ステップ 3 方式を追加するルールをクリックします。

ステップ 4 変更するルールをクリックします。

Authentication Rules タブが Details ペインに表示されます。

ステップ 5 Authentication Rules タブで変更する方式をクリックします。

ステップ 6 タイプの下の方式のセルをダブルクリックし、ドロップダウン リストから方式タイプを選択します。

ステップ 7 グループ方式タイプを選択する場合、サーバ グループ名の下の方式のセルをダブルクリックし、ドロップダウン リストからサーバ グループ名を選択します。 OK をクリックします。

ステップ 8 メニュー バーから File > Deploy を選択し、変更をデバイスに適用します。


 

AAA 認証ルール方式の追加

AAA 認証ルール方式は変更できます。

方式には次のものがあります。

グループ ― RADIUS サーバ グループ

ローカル ― NX-OS デバイス上のローカル データベース

なし ― ユーザ名のみ

デフォルト方式はローカルです。

ルールはシーケンスに適用されます。すべての方式が失敗した場合、NX-OS デバイスはデフォルトのローカル方式を使用します。


) コンソール ログインの AAA の設定と操作は、デフォルト VDC にのみ適用されます。


作業を開始する前に

必要に応じて RADIUS または TACACS+ サーバ グループを設定します。

詳細な手順

認証ルール方式を追加するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > AAA > Rules の順に選択します。

ステップ 2 Summary ペインでデバイスをダブルクリックします。

ステップ 3 Authentication Rules をダブルクリックし、アカウンティング ルールのリストを表示します。

ステップ 4 方式を追加するルールをクリックします。

Authentication Rules タブが Details ペインに表示されます。

ステップ 5 方式を右クリックし、ポップアップ メニューで Add Method をクリックします。

リストの最後に、新しいルールがシーケンス番号と空白のフィールドとともに表示されます。

ステップ 6 新しい方式のタイプの下にあるセルをダブルクリックし、ドロップダウン リストから方式タイプを選択します。


) 方式タイプになしを選択すると、常にリストの最後の方式となります。


ステップ 7 グループ方式タイプを選択する場合、サーバ グループ名の下の方式のセルをダブルクリックし、ドロップダウン リストからサーバ グループ名を選択します。 OK をクリックします。

ステップ 8 メニュー バーから File > Deploy を選択し、変更をデバイスに適用します。


 

AAA 認証ルール方式の再編成

AAA 認証ルールの方式のシーケンスは再編成できます。


) なし方式は、常にリスト内で最後の方式になります。


詳細な手順

AAA 認証ルール方式を再編成するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > AAA > Rules の順に選択します。

ステップ 2 Summary ペインでデバイスをダブルクリックします。

ステップ 3 Authentication Rules をダブルクリックし、アカウンティング ルールのリストを表示します。

ステップ 4 再編成する方式を持つルールをクリックします。

Authentication Rules タブが、方式リストとともに Details ペインに表示されます。

ステップ 5 再編成する方式をクリックします。

ステップ 6 右クリックし、ポップアップ メニューから Move Up または Move Down をクリックします。

ステップ 7 メニュー バーから File > Deploy を選択し、変更をデバイスに適用します。


 

AAA 認証ルール方式の削除

AAA 認証ルール方式は削除できます。


) AAA 認証ルールには、少なくとも 1 つの方式が必要です。ルールに複数の方式がある場合にだけ方式を削除できます。


詳細な手順

認証ルール方式を削除するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > AAA > Rules の順に選択します。

ステップ 2 Summary ペインでデバイスをダブルクリックします。

ステップ 3 Authentication Rules をダブルクリックし、アカウンティング ルールのリストを表示します。

ステップ 4 方式を削除するルールをクリックします。

Authentication Rules タブが Details ペインに表示されます。

ステップ 5 削除する方式をクリックします。


) シーケンス番号が 2 以上の方式だけ削除できます。シーケンス番号 1 のルールを削除するには、まず方式を再編成する必要があります(AAA 認証ルール方式の再編成を参照)。


ステップ 6 右クリックし、ポップアップ メニューで Delete Method をクリックします。

リストからルールが表示され、シーケンス番号が更新されます。

ステップ 7 メニュー バーから File > Deploy を選択し、変更をデバイスに適用します。


 

AAA アカウンティング ルール方式の変更

AAA アカウンティング ルール方式は変更できます。デバイスはアカウンティングの TACACS+ 方式および RADIUS 方式サポートします。この方式では、ユーザ アクティビティが TACACS+ または RADIUS セキュリティ サーバにアカウンティング レコードの形式で報告されます。

次のアカウンティング方式を指定できます。

サーバ グループ ― アカウンティングの指定した RADIUS または TACACS+ サーバ グループを使用します。

ローカル ― ローカルのユーザ名またはパスワード データベースをアカウンティングに使用します。

デフォルト方式はローカルです。


) サーバ グループが設定されていて、そのサーバ グループが応答しない場合、デフォルトではローカル データベースが認証に使用されます。


作業を開始する前に

必要に応じて RADIUS または TACACS+ サーバ グループを設定します。

詳細な手順

アカウンティング ルール方式を変更するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > AAA > Rules の順に選択します。

ステップ 2 Summary ペインでデバイスをダブルクリックします。

ステップ 3 Accounting Rules をダブルクリックし、アカウンティング ルールのリストを表示します。

ステップ 4 変更するルールをクリックします。

Accounting Rules タブが Details ペインに表示されます。

ステップ 5 Accounting Rules タブで変更する方式をクリックします。

ステップ 6 タイプの下の方式のセルをダブルクリックし、ドロップダウン リストから方式タイプを選択します。

ステップ 7 グループ方式タイプを選択する場合、サーバ グループ名の下の方式のセルをダブルクリックし、ドロップダウン リストからサーバ グループ名を選択します。 OK をクリックします。

ステップ 8 メニュー バーから File > Deploy を選択し、変更をデバイスに適用します。


 

AAA アカウンティング ルール方式の追加

AAA アカウンティング ルール方式は追加できます。

方式には次のものがあります。

グループ ― RADIUS サーバ グループ

ローカル ― NX-OS デバイス上のローカル データベース

デフォルト方式はローカルです。

ルールはシーケンスに適用されます。すべての方式が失敗した場合、デバイスはデフォルトのローカル方式を使用します。

作業を開始する前に

必要に応じて RADIUS または TACACS+ サーバ グループを設定します。

詳細な手順

アカウンティング ルール方式を追加するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > AAA > Rules の順に選択します。

ステップ 2 Summary ペインでデバイスをダブルクリックします。

ステップ 3 Accounting Rules をダブルクリックし、アカウンティング ルールのリストを表示します。

ステップ 4 方式を追加するルールをクリックします。

Accounting Rules タブが Details ペインに表示されます。

ステップ 5 新しい方式を後ろに追加する方式を右クリックし、ポップアップ メニューで Add Method をクリックします。

リストの最後に、新しい方式がシーケンス番号と空白のフィールドとともに表示されます。

ステップ 6 新しい方式がタイプ ローカルの方式の後にある場合、新しい方式を右クリックし、ポップアップ メニューで Move Up をクリックします。


) タイプ ローカルの方式の後に方式を追加することはできません。


ステップ 7 新しい方式のタイプの下にあるセルをダブルクリックし、ドロップダウン メニューで Group をクリックします。

ステップ 8 サーバ グループ名の下の新しい方式のセルをダブルクリックします。

ステップ 9 サーバ グループ名を入力するか、ドロップダウン リストからサーバ グループ名を選択し、 OK をクリックします。

ステップ 10 メニュー バーから File > Deploy を選択し、変更をデバイスに適用します。


 

AAA アカウンティング ルール方式の再編成

AAA アカウンティング ルールの方式のシーケンスは再編成できます。

詳細な手順

AAA アカウンティング ルール方式を再編成するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > AAA > Rules の順に選択します。

ステップ 2 Summary ペインでデバイスをダブルクリックします。

ステップ 3 Accounting Rules をダブルクリックし、アカウンティング ルールのリストを表示します。

ステップ 4 再編成する方式を持つルールをクリックします。

Accounting Rules タブが、方式リストとともに Details ペインに表示されます。

ステップ 5 再編成する方式をクリックします。

ステップ 6 右クリックし、ポップアップ メニューから Move Up または Move Down をクリックします。

ステップ 7 メニュー バーから File > Deploy を選択し、変更をデバイスに適用します。


 

AAA アカウンティング ルール方式の削除

AAA アカウンティング ルール方式は削除できます。


) AAA アカウンティング ルールには、少なくとも 1 つの方式が必要です。ルーうに複数の方式がある場合にだけ方式を削除できます。


詳細な手順

アカウンティング ルール方式を削除するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > AAA > Rules の順に選択します。

ステップ 2 Summary ペインでデバイスをダブルクリックします。

ステップ 3 Accounting Rules をダブルクリックし、アカウンティング ルールのリストを表示します。

ステップ 4 方式を削除するルールをクリックします。

Accounting Rules タブが Details ペインに表示されます。

ステップ 5 削除する方式をクリックします。


) シーケンス番号が 2 以上の方式だけ削除できます。シーケンス番号 1 のルールを削除するには、まず方式を再編成する必要があります(AAA アカウンティング ルール方式の再編成を参照)。


ステップ 6 右クリックし、ポップアップ メニューで Delete Method をクリックします。

リストからルールが表示され、シーケンス番号が更新されます。

ステップ 7 メニュー バーから File > Deploy を選択し、変更をデバイスに適用します。


 

Cisco NX-OS デバイスによる AAA サーバの VSA の使用

VSA を使用して、AAA サーバ上で Cisco NX-OS のユーザ ロールおよび SNMPv3 パラメータを指定できます。

ここでは、次の内容について説明します。

「VSA の概要」

「VSA の形式」

「AAA サーバ上での Cisco NX-OS のユーザ ロールおよび SNMPv3 パラメータの指定」

VSA の概要

Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)ドラフト標準には、ネットワーク アクセス サーバと RADIUS サーバの間で VSA(vendor-specific attribute; ベンダー固有属性)を伝達する方法が規定されています。IETF はアトリビュート 26 を使用しています。VSA を使用すると、ベンダーは一般的な用途に適さない独自の拡張アトリビュートをサポートできます。シスコの RADIUS 実装では、IETF 仕様で推奨される形式を使用したベンダー固有オプションを 1 つサポートしています。シスコのベンダー ID は 9 で、サポートするオプションはベンダー タイプ 1、名前は cisco-av-pair です。値は、次の形式のストリングです。

protocol : attribute seperator value *
 

protocol は、特定の許可タイプを表すシスコのアトリビュートです。separator は、必須アトリビュートの場合に =(等号)、オプションのアトリビュートの場合に * (アスタリスク)です。

Cisco NX-OS デバイス上の認証に RADIUS サーバを使用した場合、RADIUS プロトコルでは RADIUS サーバに対して、認証結果とともに権限付与情報などのユーザ アトリビュートを返すように指示します。この権限付与情報は、VSA を通じて指定されます。

VSA の形式

次の VSA プロトコル オプションが Cisco NX-OS ソフトウェアでサポートされています。

shell ― ユーザ プロファイル情報を提供する access-accept パケットで使用されるプロトコル

Accounting ― accounting-request パケットで使用されるプロトコル。値にスペースが含まれる場合は、二重引用符で囲む必要があります。

次のアトリビュートが Cisco NX-OS ソフトウェアでサポートされています。

roles ― ユーザに割り当てられているすべてのロールをリストします。値フィールドは、グループ名をスペースで区切ったストリングです。たとえば、ユーザが network-operator および vdc-admin のロールに属している場合、値フィールドは「network-operator vdc-admin」となります。このサブアトリビュートは Access-Accept フレームの VSA 部分に格納され、RADIUS サーバから送信されます。このアトリビュートはシェル プロトコル値とだけ併用できます。次に、ロール アトリビュートを使用する例を示します。

shell:roles=“network-operator vdc-admin”
shell:roles*“network-operator vdc-admin”
 

次に、FreeRADIUS でサポートされるロール アトリビュートの例を示します。

Cisco-AVPair = ”shell:roles=\“network-operator vdc-admin\””
Cisco-AVPair = “shell:roles*\“network-operator vdc-admin\””
 

) VSA を shell:roles*"network-operator vdc-admin" または "shell:roles*\"network-operator vdc-admin\"" として指定した場合、この VSA はオプション アトリビュートとしてフラグ設定され、他のシスコ製装置はこのアトリビュートを無視します。


accountinginfo ― 標準の RADIUS アカウンティング プロトコルに含まれるアトリビュートとともにアカウンティング情報を格納します。このアトリビュートは、スイッチ上の RADIUS クライアントから、Account-Request フレームの VSA 部分にだけ格納されて送信されます。このアトリビュートはアカウンティング プロトコル関連の PDU とだけ併用できます。

AAA サーバ上での Cisco NX-OS のユーザ ロールおよび SNMPv3 パラメータの指定

AAA サーバ上で VSA に cisco-av-pair を使用して、次の形式で Cisco NX-OS デバイスのユーザ ロールのマッピングを指定できます。

shell:roles="roleA roleB ..."
 

cisco-av-pair アトリビュートにロール オプションを指定しなかった場合、デフォルトのユーザ ロールは network-operator です。

また、次のように、SNMPv3 認証アトリビュートとプライバシ プロトコル アトリビュートも指定できます。

shell:roles="roleA roleB..." snmpv3:auth=SHA priv=AES-128
 

SNMPv3 認証プロトコル オプションは、SHA および MD5 です。プライバシ プロトコル オプションは、AES-128 および DES です。cisco-av-pair アトリビュートにこれらのオプションを指定しなかった場合、デフォルトの認証プロトコルは MD5 と DES です。

ユーザ ロールの詳細については、 第 5 章「RBAC の設定」 を参照してください。

AAA のフィールドの説明

ここでは、次の内容について説明します。

「Security:AAA:Rules:Summary ペイン」

「Security:AAA:Rules:デバイス:Authentication Rules:Rule:Authentication Rules タブ」

「Security:AAA:Rules:デバイス:Accounting Rules:Rule:Accounting Rules タブ」

Security:AAA:Rules:Summary ペイン

 

表2-2 Security:AAA:Rules:Summary ペイン

フィールド
説明

Name

ルール名。すべてのルールの名前がデフォルトです。

Service

サービス タイプ。

Sub Service

サブサービス タイプ

Methods

ルールの方式。

Security:AAA:Rules:デバイス:Authentication Rules:Rule:Authentication Rules タブ

 

表2-3 Security:AAA:Rules:デバイス:Authentication Rules:Rule:Authentication Rules タブ

フィールド
説明

Rule name

ルール名。すべてのルールの名前がデフォルトです。

Service Type

サービス タイプ。

Sub Service Type

サブサービス タイプ

方式

Sequence

方式を実行する順番を決定するシーケンス番号。

Type

方式タイプ。

Server Group Name

サーバ グループ名

Security:AAA:Rules:デバイス:Accounting Rules:Rule:Accounting Rules タブ

このタブで AAA アカウンティングを設定できます。

 

表2-4 Security:AAA:Rules:デバイス:Accounting Rules:Rule:Accounting Rules タブ

フィールド
説明

Rule name

ルールの名前。すべてのルールの名前がデフォルトです。

Service Type

サービスのタイプ。

Notify

未使用。

BroadCast

未使用。

方式

Sequence

方式を実行する順番を決定するシーケンス番号。

Type

方式のタイプ。

Server Group Name

サーバ グループの名前。

その他の参考資料

AAA の実装に関連する補足情報については、次を参照してください。

「関連資料」

「規格」

「MIB」

関連資料

関連事項
タイトル

NX-OS ライセンス

Cisco NX-OS Licensing Guide, Release 4.0

DCNM ライセンス

Cisco DCNM Licensing Guide, Release 4.0

RADIUS セキュリティ プロトコル

第 3 章「RADIUS の設定」

TACACS+ セキュリティ プロトコル

第 4 章「TACACS+ の設定」

規格

規格
タイトル

この機能のサポート対象の規格には、新規規格も変更された規格もありません。また、この機能は既存の規格に対するサポートに影響を及ぼしません。

--

MIB

MIB
MIB のリンク

CISCO-AAA-SERVER-MIB

CISCO-AAA-SERVER-EXT-MIB

MIB の確認とダウンロードを行うには、次の URL にアクセスします。

http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml