Cisco DCNM Security コンフィギュレーション ガイド Release 4.0
RADIUS の設定
RADIUS の設定
発行日;2012/01/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

RADIUS の設定

RADIUS の概要

RADIUS のネットワーク環境

RADIUS の動作

RADIUS サーバ モニタリング

VSA

バーチャライゼーション サポート

RADIUS のライセンス要件

RADIUS の前提条件

注意事項および制約事項

RADIUS サーバの設定

RADIUS サーバの設定プロセス

RADIUS サーバ ホストの追加

RADIUS サーバ ホストの削除

グローバル事前共有鍵の設定

RADIUS サーバの事前共有鍵の設定

RADIUS サーバ グループの追加

RADIUS サーバ ホストの RADIUS サーバ グループへの追加

RADIUS サーバ ホストの RADIUS サーバ グループからの削除

RADIUS サーバ グループの削除

ログイン時の RADIUS サーバの指定をユーザに許可する

RADIUS のグローバル送信リトライ回数およびタイムアウト間隔の設定

個別サーバの RADIUS 送信リトライ回数およびタイムアウト間隔の設定

RADIUS サーバのアカウンティングおよび認証アトリビュートの設定

RADIUS サーバの定期モニタリングの設定

デッド タイム間隔の設定

RADIUS サーバ ホストの削除

RADIUS サーバ統計情報の表示

次の作業

RADIUS サーバ グループおよびサーバのフィールドの説明

Security:AAA:Server Groups:Summary ペイン

Security:AAA:Server Groups:デバイス:Default RADIUS Server Group:Global RADIUS Settings タブ

Security:AAA:Server Groups:デバイス:Default RADIUS Server Group:サーバ:Server Details タブ

Security:AAA:Server Groups:デバイス:サーバ グループ:Details タブ

その他の参考資料

関連資料

規格

MIB

RADIUS の設定

この章では、NX-OS デバイスで Remote Access Dial-In User Service(RADIUS)プロトコルを設定する手順について説明します。

この章の内容は次のとおりです。

「RADIUS の概要」

「RADIUS のライセンス要件」

「RADIUS の前提条件」

「注意事項および制約事項」

「RADIUS サーバの設定」

「RADIUS サーバ統計情報の表示」

「次の作業」

「RADIUS サーバ グループおよびサーバのフィールドの説明」

「その他の参考資料」

RADIUS の概要

RADIUS 分散型クライアント/サーバ システムを使用すると、不正アクセスからネットワークを保護することができます。シスコの実装では、RADIUS クライアントは Cisco NX-OS デバイス上で稼働します。認証要求とアカウンティング要求は、すべてのユーザ認証情報とネットワーク サービス アクセス情報が格納されている中央の RADIUS サーバに送信されます。

ここでは、次の内容について説明します。

「RADIUS のネットワーク環境」

「RADIUS の動作」

「VSA」

「バーチャライゼーション サポート」

RADIUS のネットワーク環境

RADIUS は、リモート ユーザのネットワーク アクセスを維持すると同時に高度なレベルのセキュリティを必要とするさまざまなネットワーク環境に実装できます。

RADIUS は、アクセスのセキュリティが必要な次のネットワーク環境で使用できます。

複数のベンダーのネットワーク装置で構成される、それぞれが RADIUS をサポートするネットワーク。たとえば複数のベンダーのネットワーク装置が、1 つの RADIUS サーバベースのセキュリティ データベースを使用できます。

すでに RADIUS を使用しているネットワーク。RADIUS 機能を持つ Cisco NX-OS デバイスをネットワークに追加できます。これが AAA サーバへ移行する最初のステップにもなります。

リソースのアカウンティングが必要なネットワーク。RADIUS アカウンティングは、RADIUS 認証や認可と無関係に使用できます。RADIUS アカウンティング機能を使用すると、サービスの開始と終了の時点にデータを送信し、そのセッション中に使用されたリソース(時間、パケット、バイトなど)の量を示すことができます。Internet service provider(ISP; インターネット サービス プロバイダー)は、RADIUS アクセス制御およびアカウンティング ソフトウェアのフリーウェア バージョンを使用して、セキュリティおよび課金の独自ニーズを満たすこともできます。

認証プロファイルをサポートするネットワーク。ネットワークに RADIUS サーバを導入すると、AAA 認証を設定しユーザ単位のプロファイルをセットアップできます。ユーザ単位のプロファイルにより、既存の RADIUS ソリューションを使用するポートの管理性が向上し、共有リソースを効率的に管理して、各種のサービスレベル 契約を提供できるようになります。

RADIUS の動作

RADIUS を使用する NX-OS デバイスに、ユーザがログインおよび認証を試みると、次の処理が行われます。

1. プロンプトが表示され、ユーザはユーザ名およびパスワードを入力します。

2. ユーザ名と暗号化されたパスワードがネットワーク経由で RADIUS サーバに送信されます。

3. ユーザは、RADIUS サーバから次のいずれかの応答を受信します。

ACCEPT ― ユーザが認証されたことを表します。

REJECT ― ユーザの認証が失敗し、ユーザ名およびパスワードの再入力を要求されるか、またはアクセスが拒否されます。

CHALLENGE ― RADIUS サーバによりチャレンジが送信されますBチャレンジによってユーザから追加データが収集されます。

CHANGE PASSWORD ― ユーザは新しいパスワードを選択するように RADIUS サーバから要求が送信されます。

ACCEPT または REJECT 応答には、EXEC またはネットワーク許可に使用される追加データが含まれています。ユーザは RADIUS 認証が完了しないうちは RADIUS 許可を使用できません。ACCEPT または REJECT パケットに含まれる追加データには、次のものがあります。

Telnet、rlogin、または Local-Area Transport(LAT; ローカルエリア トランスポート)、および Point-to-Point Protocol(PPP)、Serial Line Internet Protocol(SLIP)、または EXEC サービスなどといった、ユーザがアクセスできるサービス

ホストまたはクライアントの IPv4/IPv6 アドレス、アクセス リスト、ユーザ タイムアウトなどの接続パラメータ

RADIUS サーバ モニタリング

RADIUS サーバの応答が遅いと、AAA 要求の処理が遅れる原因にもなります。AAA 要求の処理時間を短縮するために、定期的に RADIUS サーバをモニタして RADIUS サーバが応答している(アライブ)かどうかを調べる設定ができます。NX-OS デバイスは、応答の遅い RADIUS サーバをデッド(dead)としてマークし、デッド RADIUS サーバには AAA 要求を送信しません。NX-OS デバイスは、デッド RADIUS サーバを定期的にモニタし、応答があればアライブ状態に戻します。このモニタリング プロセスにより、RADIUS サーバが稼働状態であることが確認されてから、実際の AAA 要求が送信されます。RADIUS サーバがデッドまたはアライブの状態に変わると SNMP トラップが生成され、NX-OS デバイスは障害が発生していることをエラー メッセージで表示します。図3-1 を参照してください。

図3-1 RADIUS サーバの状態

 


) アライブ サーバとデッド サーバのモニタリング間隔は異なります。これらは、ユーザが設定できます。RADIUS サーバ モニタリングは、テスト認証要求を RADIUS サーバに送信して行われます。


VSA

Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)ドラフト標準には、ネットワーク アクセス サーバと RADIUS サーバの間で VSA(vendor-specific attribute; ベンダー固有属性)を伝達する方法が規定されています。IETF はアトリビュート 26 を使用しています。VSA を使用すると、ベンダーは一般的な用途に適さない独自の拡張アトリビュートをサポートできます。シスコの RADIUS 実装では、IETF 仕様で推奨される形式を使用したベンダー固有オプションを 1 つサポートしています。シスコのベンダー ID は 9 で、サポートするオプションはベンダー タイプ 1、名前は cisco-av-pair です。値は、次の形式のストリングです。

protocol : attribute separator value *
 

protocol は、特定の許可タイプを表すシスコのアトリビュートです。separator は、必須アトリビュートの場合に =(等号)、オプションのアトリビュートの場合に * (アスタリスク)です。

Cisco NX-OS デバイス上の認証に RADIUS サーバを使用した場合、RADIUS プロトコルでは RADIUS サーバに対して、認証結果とともに権限付与情報などのユーザ アトリビュートを返すように指示します。この権限付与情報は、VSA を通じて指定されます。

次の VSA プロトコル オプションが Cisco NX-OS ソフトウェアでサポートされています。

shell ― ユーザ プロファイル情報を提供する access-accept パケットで使用されるプロトコル

Accounting ― accounting-request パケットで使用されるプロトコル。値にスペースが含まれる場合は、二重引用符で囲む必要があります。

Cisco NX-OS ソフトウェアは、次のアトリビュートをサポートしています。

roles ― ユーザが属しているすべてのロールをリストします。値フィールドは、ロール名をスペースで区切ったストリングです。たとえば、ユーザが network-operator および vdc-admin のロールに属している場合、値フィールドは「network-operator vdc-admin」となります。このサブアトリビュートは Access-Accept フレームの VSA 部分に格納され、RADIUSサーバから送信されます。このアトリビュートはシェル プロトコル値とだけ併用できます。次に、Cisco ACS でサポートされるロール アトリビュートの例を示します。

shell:roles=“network-operator vdc-admin”
 
shell:roles*“network-operator vdc-admin”
 

次に、FreeRADIUS でサポートされるロール アトリビュートの例を示します。

Cisco-AVPair = ”shell:roles=\“network-operator vdc-admin\””
 
Cisco-AVPair = “shell:roles*\“network-operator vdc-admin\””
 

) VSA を shell:roles*"network-operator vdc-admin" または "shell:roles*\"network-operator vdc-admin\"" として指定した場合、この VSA はオプション アトリビュートとしてフラグ設定され、他のシスコ製装置はこのアトリビュートを無視します。


accountinginfo ― 標準の RADIUS アカウンティング プロトコルに含まれるアトリビュートとともにアカウンティング情報を格納します。このアトリビュートは、スイッチ上の RADIUS クライアントから、Account-Request フレームの VSA 部分にだけ格納されて送信されます。このアトリビュートはアカウンティングの Protocol Data Unit(PDU; プロトコル データ ユニット)とだけ併用できます。

バーチャライゼーション サポート

RADIUS の設定と操作は、Virtual Device Context(VDC)に対してローカルです。VDC の詳細については、『 Cisco DCNM Virtual Device Context Configuration Guide, Release 4.0 』を参照してください。

NX-OS デバイスは、Virtual Routing and Forwarding instance(VRF)を使用して TACACS+ サーバをアクセスします。VRF の詳細については、『 Cisco DCNM Unicast Routing Configuration Guide, Release 4.0 』を参照してください。

RADIUS のライセンス要件

この機能のライセンス要件は次の表のとおりです。

 

製品
ライセンス要件

DCNM

RADIUS にライセンスは必要ありません。ライセンス パッケージに含まれていない機能は、Cisco DCNM にバンドルされており、料金なしで利用できます。DCNM のライセンス スキームに関する詳細は、『 Cisco DCNM Licensing Guide, Release 4.0 』を参照してください。

NX-OS

RADIUS にライセンスは必要ありません。ライセンス パッケージに含まれていない機能は、Cisco NX-OS システム イメージにバンドルされており、追加料金なしで利用できます。NX-OS のライセンス スキームに関する詳細は、『 Cisco NX-OS Licensing Guide, Release 4.0 』を参照してください。

RADIUS の前提条件

RADIUS には次の前提条件があります。

RADIUS サーバの IPv4 または IPv6 アドレスまたはホスト名を取得すること

RADIUS サーバから事前共有鍵を取得すること

NX-OS デバイスが AAA サーバの RADIUS クライアントとして設定されていること

NX-OS ソフトウェアの RADIUS のログ レベルが、コマンドライン インターフェイス(CLI)を使用して 5 に設定されていることを確認します。

switch# configure terminal
switch(config)# logging level radius 5
 

注意事項および制約事項

RADIUS には、次の注意事項と制限事項があります。

NX-OS デバイス上には最大 64 の RADIUS サーバを設定できます。

ローカルの Cisco NX-OS デバイス上に設定されているユーザ アカウントが、AAA サーバ上のリモート ユーザ アカウントと同じ名前の場合、Cisco NX-OS ソフトウェアは、AAA サーバ上に設定されているユーザ ロールでなく、ローカル ユーザ アカウントのユーザ ロールをリモート ユーザに適用します。

RADIUS サーバの設定

ここでは、次の内容について説明します。

「RADIUS サーバの設定プロセス」

「RADIUS サーバ ホストの追加」

「RADIUS サーバ ホストの削除」

「グローバル事前共有鍵の設定」

「RADIUS サーバの事前共有鍵の設定」

「RADIUS サーバ グループの追加」

「RADIUS サーバ ホストの RADIUS サーバ グループへの追加」

「RADIUS サーバ ホストの RADIUS サーバ グループからの削除」

「RADIUS サーバ グループの削除」

「ログイン時の RADIUS サーバの指定をユーザに許可する」

「RADIUS のグローバル送信リトライ回数およびタイムアウト間隔の設定」

「個別サーバの RADIUS 送信リトライ回数およびタイムアウト間隔の設定」

「RADIUS サーバのアカウンティングおよび認証アトリビュートの設定」

「RADIUS サーバの定期モニタリングの設定」

「デッド タイム間隔の設定」

「RADIUS サーバ ホストの削除」

RADIUS サーバの設定プロセス

RADIUS サーバの設定には、次の作業を行います。


ステップ 1 RADIUS サーバと NX-OS デバイスの接続を確立します(RADIUS サーバ ホストの追加を参照)。

ステップ 2 RADIUS サーバの事前共有秘密鍵を設定します(グローバル事前共有鍵の設定を参照)。

ステップ 3 必要な場合は、AAA 認証方式に、RADIUS サーバのサブセットを使用して RADIUS サーバ グループを設定します(ログイン時の RADIUS サーバの指定をユーザに許可するおよび AAA の設定を参照)。

ステップ 4 必要な場合は、次のオプション パラメータを設定します。

デッド タイム間隔(デッド タイム間隔の設定を参照)

ログイン時の RADIUS サーバの指定の許可(ログイン時の RADIUS サーバの指定をユーザに許可するを参照)

送信リトライ回数およびタイムアウト間隔(RADIUS のグローバル送信リトライ回数およびタイムアウト間隔の設定を参照)

アカウンティングおよび認証のアトリビュート(RADIUS サーバのアカウンティングおよび認証アトリビュートの設定を参照)

ステップ 5 必要な場合、RADIUS サーバの定期モニタリングの設定(RADIUS サーバの定期モニタリングの設定を参照)


 

図3-2 に、AAA Server Groups ペインを示します。

図3-2 Server Groups ペイン

 

図3-3 に、Server Details タブを示します。

図3-3 Server Details タブ

 

RADIUS サーバ ホストの追加

RADIUS サーバ ホストを追加し、認証に使用する各 RADIUS サーバの IPv4 または IPv6 アドレスまたはホスト名を設定する必要があります。すべての RADIUS サーバ ホストをデフォルトの RADIUS サーバ グループに追加します。最大 64 の RADIUS サーバを追加できます。図3-3を参照してください。

詳細な手順

RADIUS サーバ ホストを追加するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > AAA > Server Groups の順に選択します。

ステップ 2 Summary ペインで、サーバ グループを表示するデバイスをダブルクリックします。

ステップ 3 Default RADIUS Server Group をクリックします。

ステップ 4 メニュー バーから、 Server Groups > Add Server の順に選択します。

Server Details が Details ペインに表示されます。

ステップ 5 Server フィールドに RADIUS サーバの IPv4 アドレス、IPv6 アドレス、またはホスト名を入力します。

ステップ 6 Server ドロップダウン リストから、正しいサーバ識別子タイプとして IPv4 アドレス、IPv6 アドレス、またはホスト名のいずれかを選択します。


) サーバ識別子の形式が選択した識別子タイプと一致する場合、DCNM は Server フィールドで黄色く縁取りされ、正しいことが示されます。サーバ識別子の形式が選択した識別子タイプと一致しない場合、DCNM は Server フィールドで赤く縁取りされ、エラーが示されます。アドレスまたはアドレス タイプを変更して、この問題を修正してください。


ステップ 7 (任意)Authentication Port フィールドに、UDP ポート番号を入力するか、フィールドをクリアして認証をディセーブルにします。

デフォルトの認証 UDP ポートは 1812 です。

ステップ 8 (任意)Accounting Port フィールドに、UDP ポート番号を入力するか、フィールドをクリアしてアカウンティングをディセーブルにします。

デフォルトのアカウンティング UDP ポートは 1813 です。

ステップ 9 (任意)Test 領域にユーザ名、パスワード、定期的サーバ ホスト モニタリングのアイドル時間間隔(秒)を入力できます。

デフォルト ユーザ名は test で、デフォルトのパスワードは test です。また、デフォルトのアイドル時間間隔は 0 分で、これは定期的モニタリングがディセーブルになっていることを表します。

ステップ 10 メニュー バーから File > Deploy を選択し、変更をデバイスに適用します。


 

RADIUS サーバ ホストの削除

サーバ グループから RADIUS サーバ ホストを削除できます。

詳細な手順

RADIUS サーバ ホストを削除するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > AAA > Server Groups の順に選択します。

ステップ 2 Summary ペインで、サーバ グループを表示するデバイスをダブルクリックします。

ステップ 3 サーバ グループをダブルクリックし、サーバ ホストのリストを表示します。

ステップ 4 削除する RADIUS サーバ ホストをクリックします。

ステップ 5 メニュー バーから、 Server Groups > Delete Server の順に選択し、確認のダイアログで Yes をクリックします。

リストにその RADIUS サーバ ホストが表示されなくなります。

ステップ 6 メニュー バーから File > Deploy を選択し、変更をデバイスに適用します。


 

グローバル事前共有鍵の設定

NX-OS デバイスで使用されるすべてのサーバの事前共有鍵をグローバル レベルで設定できます。事前共有鍵は、NX-OS デバイスと RADIUS サーバ ホストの間の共有秘密テキスト ストリングです。図3-2を参照してください。

作業を開始する前に

リモート RADIUS サーバの事前共有鍵の値を取得します。

詳細な手順

グローバル事前共有鍵を設定するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > AAA > Server Groups の順に選択します。

ステップ 2 Summary ペインで、サーバ グループを表示するデバイスをダブルクリックします。

ステップ 3 Default RADIUS Server Group をクリックします。

ステップ 4 Details ペインで、 Global RADIUS Settings タブをクリックします。

ステップ 5 Key フィールドに事前共有鍵を入力します。

ステップ 6 (任意)キーを暗号化するには、 Encrypt にチェックをつけます。

デフォルトはクリア テキストです。

ステップ 7 メニュー バーから File > Deploy を選択し、変更をデバイスに適用します。


 

RADIUS サーバの事前共有鍵の設定

RADIUS サーバの事前共有鍵を設定できます。事前共有鍵は、NX-OS デバイスと RADIUS サーバ ホストの間の共有秘密テキスト ストリングです。図3-3を参照してください。

作業を開始する前に

1 つまたは複数の RADIUS サーバ ホストを設定します(RADIUS サーバ ホストの追加を参照)。

リモート RADIUS サーバの事前共有鍵の値を取得します。

詳細な手順

RADIUS サーバの事前共有鍵を設定するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > AAA > Server Groups の順に選択します。

ステップ 2 Summary ペインで、サーバ グループを表示するデバイスをダブルクリックします。

ステップ 3 Default RADIUS Server Group をダブルクリックし、RADIUS サーバのリストを表示します。

ステップ 4 対象の RADIUS サーバをクリックします。

ステップ 5 Details ペインで、 Server Details タブをクリックします。

ステップ 6 Override Defaults をチェックします。

ステップ 7 Key フィールドに事前共有鍵を入力します。

デフォルトはグローバル事前共有鍵です。

ステップ 8 (任意)キーを暗号化するには、 Encrypt にチェックをつけます。

デフォルトはクリア テキストです。

ステップ 9 メニュー バーから File > Deploy を選択し、変更をデバイスに適用します。


 

RADIUS サーバ グループの追加

ユーザの認証にサーバ グループを使用して、1 つまたは複数のリモート AAA サーバを参照できます。グループ内のすべてのメンバーは同じ RADIUS プロトコルに属する必要があります。サーバへのアクセスは、サーバを設定した順番で行われます。

サーバ グループはいつでも設定できますが、AAA サービスに適用した場合のみ有効となります。AAA サービスについては、「リモート AAA サービス」を参照してください。

作業を開始する前に

1 つまたは複数の RADIUS サーバ ホストを設定します(RADIUS サーバ ホストの追加を参照)。

詳細な手順

RADIUS サーバ グループを追加するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > AAA > Server Groups の順に選択します。

ステップ 2 Summary ペインでデバイスをクリックします。

ステップ 3 メニュー バーから、 Server Groups > RADIUS Server Group の順に選択します。

そのデバイスのサーバ グループ リストの最後に新しい行が表示され、Details ペインに Details タブが表示されます。

ステップ 4 Server Group Name フィールドに名前を入力し、 Enter キーを押します。

サーバ グループ名は最大 127 文字の英数字ストリングで、大文字と小文字は区別されます。

ステップ 5 (任意)Dead time(mins) フィールドに、デッド タイム間隔を分単位で入力します。

デフォルトのデッド タイム間隔は 0 分です。

ステップ 6 VRF Name フィールドで下矢印をクリックし、VRF Name ダイアログを表示して VRF をクリックします。 OK をクリックします。

ステップ 7 メニュー バーから File > Deploy を選択し、変更をデバイスに適用します。


 

RADIUS サーバ ホストの RADIUS サーバ グループへの追加

RADIUS サーバ ホストを RADIUS サーバ グループに追加できます。

作業を開始する前に

RADIUS サーバ ホストがデフォルトの RADIUS サーバ グループに追加してあることを確認します(RADIUS サーバ ホストの追加を参照)。

詳細な手順

RADIUS サーバ ホストを RADIUS サーバ グループに追加するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > AAA > Server Groups の順に選択します。

ステップ 2 Summary ペインで、サーバ グループを表示するデバイスをダブルクリックします。

ステップ 3 RADIUS サーバ グループをクリックします。

ステップ 4 メニュー バーから、 Server Groups > Add Server の順に選択します。

Server Details が Details ペインに表示されます。

ステップ 5 Server フィールドに RADIUS サーバの IPv4 アドレス、IPv6 アドレス、またはホスト名を入力します。

ステップ 6 Server ドロップダウン リストから、正しいサーバ識別子タイプとして IPv4 アドレス、IPv6 アドレス、またはホスト名のいずれかを選択します。


) サーバ識別子の形式が選択した識別子タイプと一致する場合、DCNM は Server フィールドで黄色く縁取りされ、正しいことが示されます。サーバ識別子の形式が選択した識別子タイプと一致しない場合、DCNM は Server フィールドで赤く縁取りされ、エラーが示されます。アドレスまたはアドレス タイプを変更して、この問題を修正してください。


ステップ 7 メニュー バーから File > Deploy を選択し、変更をデバイスに適用します。


 

RADIUS サーバ ホストの RADIUS サーバ グループからの削除

RADIUS サーバ グループから RADIUS サーバ ホストを削除できます。

詳細な手順

RADIUS サーバ ホストを RADIUS サーバ グループから削除するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > AAA > Server Groups の順に選択します。

ステップ 2 Summary ペインで、サーバ グループを表示するデバイスをダブルクリックします。

ステップ 3 サーバ グループをダブルクリックし、サーバ ホストのリストを表示します。

ステップ 4 削除する RADIUS サーバ ホストをクリックします。

ステップ 5 メニュー バーから、 Server Groups > Delete Server の順に選択し、確認のダイアログで Yes をクリックします。

リストにその RADIUS サーバ ホストが表示されなくなります。

ステップ 6 メニュー バーから File > Deploy を選択し、変更をデバイスに適用します。


 

RADIUS サーバ グループの削除

RADIUS サーバ グループを削除できます。

詳細な手順

RADIUS サーバ グループを削除するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > AAA > Server Groups の順に選択します。

ステップ 2 Summary ペインで、サーバ グループのリストを表示するデバイスをダブルクリックします。

ステップ 3 削除する RADIUS サーバ グループをクリックします。

ステップ 4 メニュー バーから、 Server Groups > Delete Server Group の順に選択し、確認のダイアログで Yes をクリックします。

サーバ グループ リストにそのサーバ グループが表示されなくなります。

ステップ 5 メニュー バーから File > Deploy を選択し、変更をデバイスに適用します。


 

ログイン時の RADIUS サーバの指定をユーザに許可する

デフォルトでは、NX-OS デバイスは認証要求を デフォルト AAA 認証方式に基づいて転送します。NX-OS デバイス上で directed-request(誘導要求)オプションをイネーブルにすることにより、認証要求の送信先の VRF および RADIUS サーバをユーザが指定できるようになります。このオプションをイネーブルにした場合、ユーザは username@vrfname:hostname としてログインできます。ここで、vrfname は使用する VRF、hostname は設定された RADIUS サーバの名前です。図3-2を参照してください。


) ユーザ指定のログインは Telnet セッションでのみサポートされます。


詳細な手順

ユーザがログイン時に RADIUS サーバを指定できるようにするには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > AAA > Server Groups の順に選択します。

ステップ 2 Summary ペインで、サーバ グループを表示するデバイスをダブルクリックします。

ステップ 3 Default RADIUS Server Group をクリックします。

ステップ 4 Details ペインで、 Global RADIUS Settings タブをクリックします。

ステップ 5 Direct Req をクリックします。

ステップ 6 メニュー バーから File > Deploy を選択し、変更をデバイスに適用します。


 

RADIUS のグローバル送信リトライ回数およびタイムアウト間隔の設定

すべての RADIUS サーバのグローバル再送信リトライ回数およびタイムアウト間隔を設定できます。デフォルトでは、スイッチは RADIUS サーバに 1 回だけ送信を再試行してから、ローカル認証に切り換えます。この回数は各サーバにつき、最大 5 回まで再試行を増やすことができます。タイムアウト間隔には、NX-OS デバイスが RADIUS サーバからの応答を待つ時間を指定します。これを過ぎるとタイムアウト障害が宣言されます。図3-2を参照してください。

詳細な手順

グローバル RADIUS 送信リトライ回数とタイムアウト間隔を設定するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > AAA > Server Groups の順に選択します。

ステップ 2 Summary ペインで、サーバ グループを表示するデバイスをダブルクリックします。

ステップ 3 Default RADIUS Server Group をクリックします。

ステップ 4 Details ペインで、 Global RADIUS Settings タブをクリックします。

ステップ 5 Retransmit フィールドに再送信試行回数を入力します。

デフォルトは 1 です。

ステップ 6 (任意)Time out(secs) フィールドに、タイムアウト間隔の秒数を入力します。

デフォルト値は 5 秒です。

ステップ 7 メニュー バーから File > Deploy を選択し、変更をデバイスに適用します。


 

個別サーバの RADIUS 送信リトライ回数およびタイムアウト間隔の設定

デフォルトでは、NX-OS デバイスは RADIUS サーバに 1 回だけ送信を再試行してから、ローカル認証に切り換えます。この回数は各サーバにつき、最大 5 回まで再試行を増やすことができます。NX-OS デバイスが RADIUS サーバからの応答を待つタイムアウト間隔も設定できます。これを過ぎるとタイムアウト障害が宣言されます。図3-3を参照してください。

1 つまたは複数の RADIUS サーバ ホストを設定します(RADIUS サーバ ホストの追加を参照)。

詳細な手順

RADIUS サーバの送信リトライ回数とタイムアウト間隔を設定するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > AAA > Server Groups の順に選択します。

ステップ 2 Summary ペインで、サーバ グループを表示するデバイスをダブルクリックします。

ステップ 3 Default RADIUS Server Group をダブルクリックし、RADIUS サーバのリストを表示します。

ステップ 4 対象の RADIUS サーバをクリックします。

ステップ 5 Details ペインで、 Server Details タブをクリックします。

ステップ 6 Override Defaults をチェックします。

ステップ 7 Retransmit フィールドに再送信試行回数を入力します。

デフォルトは 1 です。

ステップ 8 (任意)Time out(secs) フィールドに、再送信間隔の秒数を入力します。

デフォルト値は 5 秒です。

ステップ 9 メニュー バーから File > Deploy を選択し、変更をデバイスに適用します。


 

RADIUS サーバのアカウンティングおよび認証アトリビュートの設定

RADIUS サーバをアカウンティングにのみ使用するのか、認証にのみ使用するのかを指定できます。デフォルトでは、RADIUS サーバはアカウンティングと認証の両方に使用されます。また、RADIUS アカウンティング メッセージと認証メッセージの送信先である宛先 UDP ポート番号を指定することもできます。図3-3を参照してください。

1 つまたは複数の RADIUS サーバ ホストを設定します(RADIUS サーバ ホストの追加を参照)。

詳細な手順

RADIUS サーバの認証属性およびアカウンティング属性を設定するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > AAA > Server Groups の順に選択します。

ステップ 2 Summary ペインで、サーバ グループを表示するデバイスをダブルクリックします。

ステップ 3 Default RADIUS Server Group をダブルクリックし、RADIUS サーバのリストを表示します。

ステップ 4 対象の RADIUS サーバをクリックします。

ステップ 5 Details ペインで、 Server Details タブをクリックします。

ステップ 6 (任意)Authentication Port フィールドに、UDP ポート番号を入力するか、フィールドをクリアして認証をディセーブルにします。

デフォルトの認証 UDP ポートは 1812 です。

ステップ 7 (任意)Accounting Port フィールドに、UDP ポート番号を入力するか、フィールドをクリアしてアカウンティングをディセーブルにします。

デフォルトのアカウンティング UDP ポートは 1813 です。

ステップ 8 メニュー バーから File > Deploy を選択し、変更をデバイスに適用します。


 

RADIUS サーバの定期モニタリングの設定

RADIUS サーバが使用可能かどうかをモニタできます。パラメータには、サーバとアイドル タイマーに使用されるユーザ名とパスワードがあります。アイドル タイマーには、RADIUS サーバで何の要求も受信されない状態の時間を指定します。これを過ぎると NX-OS デバイスはテスト パケットを送信します。このオプションを設定して、サーバを定期的にテストすることができます。図3-3を参照してください。


) セキュリティ上の理由から、テストのユーザ名には、RADIUS データベースの既存のユーザ名と同じものを設定しないことを推奨します。


テスト アイドル タイマーには、RADIUS サーバで何の要求も受信されない状態の時間を指定します。これを過ぎると NX-OS デバイスはテスト パケットを送信します。


) デフォルトのアイドル タイマー値は 0 分です。アイドル時間の間隔が 0 分の場合、NX-OS デバイスは RADIUS サーバの定期モニタリングを実行しません。


1 つまたは複数の RADIUS サーバ ホストを追加します(RADIUS サーバ ホストの追加を参照)。

詳細な手順

定期的な RADIUS サーバのモニタリングを設定するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > AAA > Server Groups の順に選択します。

ステップ 2 Summary ペインで、サーバ グループを表示するデバイスをダブルクリックします。

ステップ 3 Default RADIUS Server Group をダブルクリックし、RADIUS サーバのリストを表示します。

ステップ 4 対象の RADIUS サーバをクリックします。

ステップ 5 Details ペインで、 Server Details タブをクリックします。

ステップ 6 User Name フィールドにユーザ名を入力します。

ステップ 7 Password フィールドにパスワードを入力します。

ステップ 8 Idle Time フィールドに定期的なモニタリングを分単位で入力します。

ステップ 9 メニュー バーから File > Deploy を選択し、変更をデバイスに適用します。


 

デッド タイム間隔の設定

すべての RADIUS サーバのデッド タイム間隔を設定できます。デッド タイム間隔では、NX-OS デバイスが RADIUS サーバをデッドであると宣言したあと、そのサーバがアライブになったかどうかを確認するためにテスト パケットを送信するまでの時間を指定します。デフォルト値は 0 分です。図3-2を参照してください。


) デッド タイム間隔が 0 分の場合、RADIUS サーバの応答がなくても、そのサーバをデッドとしません。RADIUS サーバのデッド タイム間隔を個別に設定できます(RADIUS サーバ グループの追加を参照)。


詳細な手順

RADIUS デッド タイム間隔を設定するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > AAA > Server Groups の順に選択します。

ステップ 2 Summary ペインで、サーバ グループを表示するデバイスをダブルクリックします。

ステップ 3 Default RADIUS Server Group をクリックします。

ステップ 4 Details ペインで、 Global RADIUS Settings タブをクリックします。

ステップ 5 Dead time(mins) フィールドに分単位で入力します。

デフォルト値は 0 分です。

ステップ 6 メニュー バーから File > Deploy を選択し、変更をデバイスに適用します。


 

RADIUS サーバ ホストの削除

RADIUS サーバ グループから RADIUS サーバ ホストを削除できます。図3-3を参照してください。

作業を開始する前に

1 つまたは複数の RADIUS サーバ ホストを追加します(RADIUS サーバ ホストの追加を参照)。

詳細な手順

RADIUS サーバ ホストを削除するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > AAA > Server Groups の順に選択します。

ステップ 2 Summary ペインで、サーバ グループを表示するデバイスをダブルクリックします。

ステップ 3 Default RADIUS Server Group をクリックします。

ステップ 4 対象の RADIUS サーバをクリックします。

ステップ 5 メニュー バーから、 Server Groups > Delete Server の順に選択します。

サーバのリストにその RADIUS サーバが表示されなくなります。

ステップ 6 メニュー バーから File > Deploy を選択し、変更をデバイスに適用します。


 

RADIUS サーバ統計情報の表示

NX-OS デバイスが保持している RADIUS サーバのアクティビティに関する統計情報を表示します。

1 つまたは複数の RADIUS サーバ ホストを設定します(RADIUS サーバ ホストの追加を参照)。

詳細な手順

RADIUS サーバの統計情報を表示するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > AAA > Server Groups の順に選択します。

ステップ 2 Summary ペインで、サーバ グループを表示するデバイスをダブルクリックします。

ステップ 3 Default RADIUS Server Group をダブルクリックし、RADIUS サーバのリストを表示します。

ステップ 4 対象の RADIUS サーバをクリックします。

ステップ 5 Details ペインで、 Statistics タブをクリックします。


 

次の作業

これで、RADIUS サーバ グループも含めて AAA 認証方式を設定できるようになります( 第 2 章「AAA の設定」 を参照)。

RADIUS サーバ グループおよびサーバのフィールドの説明

ここでは、次の内容について説明します。

「Security:AAA:Server Groups:Summary ペイン」

「Security:AAA:Server Groups:デバイス:Default RADIUS Server Group:Global RADIUS Settings タブ」

「Security:AAA:Server Groups:デバイス:Default RADIUS Server Group:サーバ:Server Details タブ」

「Security:AAA:Server Groups:デバイス:サーバ グループ:Details タブ」

Security:AAA:Server Groups:Summary ペイン

 

表3-1 Security:AAA:Server Groups:Summary ペイン

フィールド
説明

Authentication Port

サーバのトラフィックを認証するための TCP ポートの番号。デフォルトは 49 です。

Accounting Port

サーバのアカウンティングに使用する TCP ポート。

Timeout

サーバのタイムアウト間隔の秒数。デフォルト値は 5 秒です。

Status

サーバのステータス。

Security:AAA:Server Groups:デバイス:Default RADIUS Server Group:Global RADIUS Settings タブ

 

表3-2 Security:AAA:Server Groups:デバイス:Default RADIUS Server Group:Global RADIUS Settings タブ

フィールド
説明

Server Group Type

サーバ グループのタイプ。

Time out(secs)

タイムアウト間隔の秒数。デフォルト値は 5 秒です。

Key

事前共有鍵グローバル鍵。

Retransmit

サーバが応答しないときに再送信を行う回数。

Dead time(mins)

デッド タイム間隔の分数。デフォルト値は 0 分です。

Direct Req

ユーザはログイン時に RADIUS サーバを指定できます。

Security:AAA:Server Groups:デバイス:Default RADIUS Server Group:サーバ:Server Details タブ

 

表3-3 Security:AAA:Server Groups:デバイス:Default RADIUS Server Group:Server:Server Details タブ

フィールド
説明
全般

Server Type

サーバ タイプ。

Server

サーバの IPv4 アドレス、IPv6 アドレス、またはアルファベットの名前およびサーバ名タイプ。

Authentication Port

トラフィックを認証するための UDP ポートの番号。デフォルトは 1812 です。

Accounting Port

アカウンティング トラフィックの UDP ポート番号。デフォルトは 1813 です。

テスト

User Name

RADIUS サーバの定期的モニタリングのためのユーザ名。

Password

RADIUS サーバの定期的モニタリングのためのパスワード。

Idle Time

RADIUS サーバの定期的モニタリングのアイドル時間間隔(分単位)。デフォルト値は 0 分で、これは定期的モニタリングがディセーブルになっていることを示します。

Override Default

無効にしたり設定したりできる、RADIUS サーバのグローバル値。デフォルトはグローバル値を使用します。

Key

RADIUS サーバの事前共有サーバ鍵。

Encrypt

事前共有グローバル鍵の暗号化ステータス。デフォルトはクリア テキストです。

Timeout(secs)

タイムアウト間隔の秒数。デフォルト値は 5 秒です。

Retransmit

サーバが応答しないときに再送信を行う回数。デフォルトは 3 です。

Security:AAA:Server Groups:デバイス:サーバ グループ:Details タブ

 

表3-4 Security:AAA:Server Groups:デバイス:Default TACACS Server Group:サーバ:Server Details タブ

フィールド
説明

Type

RADIUS サーバ グループ タイプの RADIUS を表示します。

Server Group Name

サーバ グループ名を表示します。

Dead time(mins)

サーバ グループのデッド タイム間隔の分数。デフォルト値は 0 分です。

その他の参考資料

RADIUS の実装に関連する補足情報については、次を参照してください。

「関連資料」

「規格」

「MIB」

関連資料

関連事項
タイトル

NX-OS ライセンス

Cisco NX-OS Licensing Guide, Release 4.0

DCNM ライセンス

Cisco DCNM Licensing Guide, Release 4.0

VRF の設定

Cisco DCNM Unicast Routing Configuration Guide, Release 4.0

規格

規格
タイトル

この機能のサポート対象の規格には、新規規格も変更された規格もありません。また、この機能は既存の規格に対するサポートに影響を及ぼしません。

--

MIB

MIB
MIB のリンク

CISCO-AAA-SERVER-MIB

CISCO-AAA-SERVER-EXT-MIB

MIB の確認とダウンロードを行うには、次の URL にアクセスします。

http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml