Cisco DCNM Security コンフィギュレーション ガイド Release 4.0
TACACS+ の設定
TACACS+ の設定
発行日;2012/01/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

TACACS+ の設定

TACACS+ の概要

TACACS+ の利点

ユーザ ログインにおける TACACS+ の動作

デフォルトの TACACS+ サーバ暗号化タイプおよび事前共有鍵

TACACS+ サーバ モニタリング

VSA

シスコの VSA 形式

シスコの TACACS+ 特権レベル

バーチャライゼーション サポート

TACACS+ のライセンス要件

TACACS+ の前提条件

注意事項および制約事項

TACACS+ の設定

TACACS+ サーバの設定プロセス

TACACS+ のイネーブル化

TACACS+ サーバ ホストの追加

TACACS+ サーバ ホストの削除

グローバル事前共有鍵の設定

TACACS+ サーバの事前共有鍵の設定

TACACS+ サーバ グループの追加

TACACS+ サーバ ホストの TACACS+ サーバ グループへの追加

TACACS+ サーバ ホストの TACACS+ サーバ グループからの削除

TACACS+ サーバ グループの削除

ログイン時の TACACS+ サーバの指定

グローバル TACACS+ タイムアウト間隔の設定

個別サーバのタイムアウト間隔の設定

TCP ポートの設定

TACACS+ サーバの定期モニタリングの設定

デッド タイム間隔の設定

TACACS+ のディセーブル化

TACACS+ 統計情報の表示

次の作業

TACACS+ サーバ グループおよびサーバのフィールドの説明

Security:AAA:Server Groups:Summary ペイン

Security:AAA:Server Groups:デバイス:Default TACACS Server Group:Global TACACS Settings タブ

Security:AAA:Server Groups:デバイス:Default TACACS Server Group:サーバ:Server Details タブ

Security:AAA:Server Groups:デバイス:サーバ グループ:Details タブ

その他の参考資料

関連資料

規格

MIB

TACACS+ の設定

この章では、NX-OS デバイス上で TACACS+ プロトコルを設定する手順について説明します。

この章の内容は次のとおりです。

「TACACS+ の概要」

「TACACS+ のライセンス要件」

「TACACS+ の前提条件」

「注意事項および制約事項」

「TACACS+ の設定」

「TACACS+ 統計情報の表示」

「次の作業」

「TACACS+ サーバ グループおよびサーバのフィールドの説明」

「その他の参考資料」

TACACS+ の概要

TACACS+ は、NX-OS デバイスにアクセスしようとするユーザの検証を集中的に行うセキュリティ プロトコルです。TACACS+ サービスは、通常 UNIX または Windows NT ワークステーション上で稼働する TACACS+ デーモンのデータベースで管理されます。NX-OS デバイスに設定した TACACS+ 機能を使用可能にするには、TACACS+ サーバにアクセスして TACACS+ サーバを設定しておく必要があります。

TACACS+ は、認証、許可、およびアカウンティング機能を個別に備えています。TACACS+ では、1 つのアクセス制御サーバ(TACACS+ デーモン)が認証、許可、およびアカウンティングの各サービスを個別に提供できます。各サービスをそれぞれ固有のデータベースに結合し、デーモンの機能に応じて、そのサーバまたはネットワーク上で使用できる他のサービスを利用できます。

TACACS+ クライアント/サーバ プロトコルは、TCP(TCP ポート 49)を使用して転送を行います。Cisco NX-OS デバイスは、TACACS+ プロトコルを使用して集中型の認証を行います。

ここでは、次の内容について説明します。

「TACACS+ の利点」

「ユーザ ログインにおける TACACS+ の動作」

「デフォルトの TACACS+ サーバ暗号化タイプおよび事前共有鍵」

「TACACS+ サーバ モニタリング」

「VSA」

「バーチャライゼーション サポート」

TACACS+ の利点

TACACS+ には、RADIUS 認証と比較して次の利点があります。

AAA の個別ファシリティを提供します。たとえば NX-OS デバイスは、認証を行わずにアクセスを許可できます。

AAA クライアントとサーバの間のデータ送信に TCP トランスポート プロトコルを使用するので、コネクション型プロトコルにより確実に転送されます。

スイッチと AAA サーバの間でプロトコル ペイロード全体を暗号化して、さらに優れたデータ保護を実現できます。RADIUS プロトコルではパスワードだけ暗号化されます。

ユーザ ログインにおける TACACS+ の動作

TACACS+ を使用する NX-OS デバイスに対して、ユーザが Password Authentication Protocol(PAP; パスワード認証プロトコル)ログインを試みると、次の処理が行われます。

1. NX-OS デバイスは接続が確立されると、ユーザ名とパスワードを取得するために TACACS+ デーモンに接続します。


) TACACS+ によって、デーモンとユーザとの間の対話が可能になり、デーモンはユーザの認証に必要な情報を取得できるようになります。通常、デーモンはユーザ名とパスワードを入力するよう求めますが、ユーザの母親の旧姓などの追加項目を求めることもできます。


2. NX-OS デバイスは、最終的に TACACS+ デーモンから次のいずれかの応答を得ます。

a. ACCEPT ― ユーザが認証され、サービスが始まります。NX-OS デバイスがユーザ許可を必要とする場合は、許可処理が始まります。

b. REJECT ― ユーザは認証されませんでした。TACACS+ デーモンは、ユーザのアクセスを拒否するか、ログイン シーケンスを再試行するようにユーザに求めます。

c. ERROR ― デーモンによる認証サービスの途中でエラーが発生したか、またはデーモンと NX-OS デバイスの間のネットワーク接続でエラーが発生しました。NX-OS デバイスは ERROR 応答を受信した場合、別の方法でユーザの認証を試行します。

認証が終了し、NX-OS デバイスで許可がイネーブルになっていれば、続いてユーザの許可フェーズに入ります。ユーザは TACACS+ 認証が正常に完了しないうちは、TACACS+ 許可に進めません。

3. TACACS+ 許可が必要な場合、NX-OS デバイスは再び TACACS+ デーモンに接続します。デーモンから ACCEPT または REJECT 応答が返されます。ACCEPT 応答には、そのユーザに対する EXEC または NETWORK セッションに使用されるアトリビュートが含まれ、ユーザがアクセスできるサービスが確定します。

サービスには次のものが含まれます。

Telnet、rlogin、PPP(ポイントツーポイント プロトコル)、Serial Line Internet Protocol(SLIP; シリアル ライン インターネット プロトコル)または、EXEC サービス

ホストまたはクライアントの IP アドレス(IPv4/IPv6)、アクセス リスト、ユーザ タイムアウトなどの接続パラメータ

デフォルトの TACACS+ サーバ暗号化タイプおよび事前共有鍵

スイッチを TACACS+ サーバに対して認証するには、TACACS+ 事前共有鍵を設定する必要があります。事前共有鍵は、NX-OS デバイスと TACACS+ サーバ ホストの間で共有されるシークレット テキスト ストリングです。鍵の長さは 63 文字に制限され、任意の印字可能な ASCII 文字を含めることができます(スペースは使用できません)。NX-OS デバイス上のすべての TACACS+ サーバの設定には、グローバル事前共有鍵を使用できます。

このグローバル事前共有鍵の設定は、TACACS+ サーバを個別に設定するときに key オプションを使用して明示的に上書きすることができます。

TACACS+ サーバ モニタリング

TACACS+ サーバの応答が遅いと、AAA 要求の処理が遅れることがあります。AAA 要求の処理時間を短縮するために、TACACS+ サーバを定期的にモニタして TACACS+ サーバが応答している(アライブ)かどうかを調べることができます。NX-OS デバイスは、応答の遅い TACACS+ サーバをデッド(dead)としてマークし、デッド TACACS+ サーバには AAA 要求を送信しません。NX-OS デバイスはデッド TACACS+ サーバを定期的にモニタし、応答があればアライブ状態に戻します。このプロセスにより、TACACS+ サーバが稼働状態であることを確認してから、実際の AAA 要求が送信されます。TACACS+ サーバがデッドまたはアライブの状態に変わると SNMP トラップが生成され、NX-OS デバイスはパフォーマンスに影響が出る前に、障害が発生していることをエラー メッセージで表示します。図4-1 を参照してください。

図4-1 TACACS+ サーバの状態

 


) アライブ サーバとデッド サーバのモニタリング間隔は異なります。これらは、ユーザが設定できます。TACACS+ サーバ モニタリングは、テスト認証要求を TACACS+ サーバに送信して行われます。


VSA

Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)ドラフト標準には、ネットワーク アクセス サーバと TACACS+ サーバの間で VSA(vendor-specific attribute; ベンダー固有属性)を伝達する方法が規定されています。IETF はアトリビュート 26 を使用しています。VSA を使用すると、ベンダーは一般的な用途に適さない独自の拡張アトリビュートをサポートできます。

ここでは、次の内容について説明します。

「シスコの VSA 形式」

「シスコの TACACS+ 特権レベル」

シスコの VSA 形式

シスコの TACACS+ 実装では、IETF 仕様で推奨される形式を使用したベンダー固有オプションを 1 つサポートしています。シスコのベンダー ID は 9 で、サポートするオプションはベンダー タイプ 1、名前は cisco-av-pair です。値は、次の形式のストリングです。

protocol : attribute separator value *
 

protocol は、特定の許可タイプを表すシスコのアトリビュートです。separator は、必須アトリビュートの場合に =(等号)、オプションのアトリビュートの場合に * (アスタリスク)です。

Cisco NX-OS デバイスでの認証に TACACS+ サーバを使用した場合、TACACS+ プロトコルは TACACS+ サーバに対し、認証結果とともに権限付与情報などのユーザ アトリビュートを返すように指示します。この権限付与情報は、VSA を通じて指定されます。

次の VSA プロトコル オプションが Cisco NX-OS ソフトウェアでサポートされています。

shell ― ユーザ プロファイル情報を提供する access-accept パケットで使用されるプロトコル

Accounting ― accounting-request パケットで使用されるプロトコル。値にスペースが含まれる場合は、二重引用符で囲む必要があります。

Cisco NX-OS ソフトウェアは、次のアトリビュートをサポートしています。

roles ― ユーザが属しているすべてのロールをリストします。値フィールドは、ロール名をスペースで区切ったストリングです。たとえば、ユーザが network-operator および vdc-admin のロールに属している場合、値フィールドは「network-operator vdc-admin」となります。このサブアトリビュートは Access-Accept フレームの VSA 部分に格納され、TACACS+ サーバから送信されます。このアトリビュートはシェル プロトコル値とだけ併用できます。次に、Cisco ACS でサポートされるロール アトリビュートの例を示します。

shell:roles=“network-operator vdc-admin”
 
shell:roles*“network-operator vdc-admin”
 

) VSA を shell:roles*"network-operator vdc-admin" として指定した場合、この VSA はオプション アトリビュートとしてフラグ設定され、他のシスコ製装置はこのアトリビュートを無視します。


accountinginfo ― 標準の TACACS+ アカウンティング プロトコルに含まれるアトリビュートとともにアカウンティング情報を格納します。このアトリビュートは、スイッチ上の TACACS+ クライアントから、Account-Request フレームの VSA 部分にだけ格納されて送信されます。このアトリビュートはアカウンティングの Protocol Data Unit(PDU; プロトコル データ ユニット)とだけ併用できます。

シスコの TACACS+ 特権レベル

TACACS+ サーバは、NX-OS デバイスにログインするときにユーザが所有するアクセス権を指定するための特権レベルをサポートしています。最大の特権レベル 15 の場合、Cisco NX-OS ソフトウェアは、デフォルトの VDC に network-admin ロールを適用し、デフォルト以外の VDC に vdc-admin ロールを適用します。他のすべての特権レベルは vdc-operator ロールに変換されます。ユーザ ロールの詳細については、 第 5 章「RBAC の設定」 を参照してください。


) cisco-av-pair にユーザ ロールを指定した場合は、指定したロールが特権レベルに優先します。


バーチャライゼーション サポート

TACACS+ の設定と操作は、Virtual Device Context(VDC)に対してローカルです。VDC の詳細については、『 Cisco DCNM Virtual Device Context Configuration Guide, Release 4.0 』を参照してください。

NX-OS デバイスは、Virtual Routing and Forwarding instance(VRF)を使用して TACACS+ サーバをアクセスします。VRF の詳細については、『 Cisco DCNM Unicast Routing Configuration Guide, Release 4.0 』を参照してください。

TACACS+ のライセンス要件

この機能のライセンス要件は次の表のとおりです。

 

製品
ライセンス要件

DCNM

TACACS+ にライセンスは必要ありません。ライセンス パッケージに含まれていない機能は、Cisco DCNM にバンドルされており、料金なしで利用できます。DCNM のライセンス スキームに関する詳細は、『 Cisco DCNM Licensing Guide, Release 4.0 』を参照してください。

NX-OS

TACACS+ にライセンスは必要ありません。ライセンス パッケージに含まれていない機能は、Cisco NX-OS システム イメージにバンドルされており、追加料金なしで利用できます。NX-OS のライセンス スキームに関する詳細は、『 Cisco NX-OS Licensing Guide, Release 4.0 』を参照してください。

TACACS+ の前提条件

TACACS+ には次の前提条件があります。

TACACS+ サーバの IPv4 または IPv6 アドレスまたはホスト名を取得すること

TACACS+ サーバから事前共有鍵を取得すること(ある場合)

NX-OS デバイスが AAA サーバの TACACS+ クライアントとして設定されていること

NX-OS ソフトウェアの TACACS+ のログ レベルが、コマンドライン インターフェイス(CLI)を使用して 5 に設定されていることを確認します。

switch# configure terminal
switch(config)# logging level tacacs+ 5
 

注意事項および制約事項

TACACS+ には、次の注意事項と制限事項があります。

NX-OS デバイス上には最大 64 の TACACS+ サーバを設定できます。

ローカルの Cisco NX-OS デバイス上に設定されているユーザ アカウントが、AAA サーバ上のリモート ユーザ アカウントと同じ名前の場合、Cisco NX-OS ソフトウェアは、AAA サーバ上に設定されているユーザ ロールでなく、ローカル ユーザ アカウントのユーザ ロールをリモート ユーザに適用します。

TACACS+ の設定

ここでは、次の内容について説明します。

「TACACS+ サーバの設定プロセス」

「TACACS+ のイネーブル化」

「TACACS+ サーバ ホストの追加」

「TACACS+ サーバ ホストの削除」

「グローバル事前共有鍵の設定」

「TACACS+ サーバの事前共有鍵の設定」

「TACACS+ サーバ グループの追加」

「TACACS+ サーバ ホストの TACACS+ サーバ グループへの追加」

「TACACS+ サーバ ホストの TACACS+ サーバ グループからの削除」

「TACACS+ サーバ グループの削除」

「ログイン時の TACACS+ サーバの指定」

「グローバル TACACS+ タイムアウト間隔の設定」

「個別サーバのタイムアウト間隔の設定」

「TCP ポートの設定」

「TACACS+ サーバの定期モニタリングの設定」

「デッド タイム間隔の設定」

「TACACS+ のディセーブル化」

TACACS+ サーバの設定プロセス

TACACS+ サーバを設定するには、次の作業を行います。


ステップ 1 TACACS+ をイネーブルにします(TACACS+ のイネーブル化を参照)。

ステップ 2 TACACS+ サーバと NX-OS デバイスの接続を確立します(TACACS+ サーバ ホストの追加を参照)。

ステップ 3 TACACS+ サーバの事前共有秘密鍵を設定します(グローバル事前共有鍵の設定およびTACACS+ サーバの事前共有鍵の設定を参照)。

ステップ 4 必要な場合は、AAA 認証方式に、TACACS+ サーバのサブセットを使用して TACACS+ サーバ グループを設定します(TACACS+ サーバ グループの追加および AAA の設定を参照)。

ステップ 5 必要な場合は、次のオプション パラメータを設定します。

デッド タイム間隔(デッド タイム間隔の設定を参照)

ユーザ ログイン時の TACACS+ サーバの指定の許可(ログイン時の TACACS+ サーバの指定を参照)

タイムアウト間隔(グローバル TACACS+ タイムアウト間隔の設定を参照)

TCP ポート(TCP ポートの設定を参照)

ステップ 6 必要な場合、TACACS+ サーバの定期モニタリングの設定します(TACACS+ サーバの定期モニタリングの設定を参照)。


 

図4-2 に、AAA Server Groups ペインを示します。

図4-2 Server Groups ペイン

 

図4-3 に、Server Details タブを示します。

図4-3 Server Details タブ

 

TACACS+ のイネーブル化

デフォルトでは、デバイスの TACACS+ 機能はディセーブルになっています。認証に関する設定コマンドと検証コマンドを使用するには、TACACS+ 機能を明示的にイネーブルにする必要があります。

詳細な手順

TACACS+ をイネーブルにするには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > AAA > Sever Groups の順に選択します。

ステップ 2 Summary ペインでデバイスをクリックします。

ステップ 3 メニュー バーから、 Server Groups > Enable TACACS の順に選択します。

ステップ 4 メニュー バーで File > Deploy の順に選択し、変更をデバイスに適用します。


 

TACACS+ サーバ ホストの追加

リモート TACACS+ サーバにアクセスするには、TACACS+ サーバ ホストを追加し、デバイス上で TACACS+ サーバの IPv4 アドレス、IPv6 アドレス、ホスト名のいずれかを設定する必要があります。すべての TACACS+ サーバ ホストをデフォルトの TACACS+ サーバ グループに追加します。最大 64 の TACACS+ サーバを追加できます。

設定した TACACS+ サーバの事前共有鍵を設定しなかった場合、グローバル事前共有鍵が設定されていなければ警告メッセージが表示されます。TACACS+ サーバ鍵が設定されない場合は、グローバル鍵(設定されている場合)がそのサーバに使用されます(グローバル事前共有鍵の設定およびTACACS+ サーバの事前共有鍵の設定を参照)。

作業を開始する前に

TACACS+ をイネーブルにします(TACACS+ のイネーブル化を参照)。

リモートの TACACS+ サーバの IPv4 または IPv6 アドレスまたはホスト名を取得します。

詳細な手順

TACACS+ サーバ ホストを追加するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > AAA > Sever Groups の順に選択します。

ステップ 2 Summary ペインで、サーバ グループを表示するデバイスをダブルクリックします。

ステップ 3 Default TACACS Server Group をクリックします。

ステップ 4 メニュー バーから、 Server Groups > Add Server の順に選択します。

Server Details が Details ペインに表示されます。

ステップ 5 Server フィールドに TACACS+ サーバの IPv4 アドレス、IPv6 アドレス、またはホスト名を入力します。

ステップ 6 Server ドロップダウン リストから、正しいサーバ識別子タイプとして IPv4 アドレス、IPv6 アドレス、またはホスト名のいずれかを選択します。


) サーバ識別子の形式が選択した識別子タイプと一致する場合、DCNM は Server フィールドで黄色く縁取りされ、正しいことが示されます。サーバ識別子の形式が選択した識別子タイプと一致しない場合、DCNM は Server フィールドで赤く縁取りされ、エラーが示されます。アドレスまたはアドレス タイプを変更して、この問題を修正してください。


ステップ 7 (任意)Authentication Port フィールドに、TCP ポート番号を入力するか、フィールドをクリアして認証をディセーブルにします。

デフォルトの認証 TCP ポートは 49 です。

ステップ 8 (任意)Test 領域にユーザ名、パスワード、定期的サーバ ホスト モニタリングのアイドル時間間隔(秒)を入力できます。

デフォルト ユーザ名は test で、デフォルトのパスワードは test です。また、デフォルトのアイドル時間間隔は 0 分で、これは定期的モニタリングがディセーブルになっていることを表します。

ステップ 9 メニュー バーで File > Deploy の順に選択し、変更をデバイスに適用します。


 

TACACS+ サーバ ホストの削除

サーバ グループから TACACS+ サーバ ホストを削除できます。

詳細な手順

TACACS+ サーバ ホストを削除するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > AAA > Sever Groups の順に選択します。

ステップ 2 Summary ペインで、サーバ グループを表示するデバイスをダブルクリックします。

ステップ 3 サーバ グループをダブルクリックし、サーバ ホストのリストを表示します。

ステップ 4 削除する TACACS+ サーバ ホストをクリックします。

ステップ 5 メニュー バーから、 Server Groups > Delete Server の順に選択し、確認のダイアログで Yes をクリックします。

リストにその TACACS+ サーバ ホストが表示されなくなります。

ステップ 6 メニュー バーで File > Deploy の順に選択し、変更をデバイスに適用します。


 

グローバル事前共有鍵の設定

デバイスで使用されるすべてのサーバの事前共有鍵をグローバル レベルで設定できます。事前共有鍵は、デバイスと TACACS+ サーバ ホストの間の共有シークレット テキスト ストリングです。図4-2 を参照してください。

作業を開始する前に

TACACS+ をイネーブルにします(TACACS+ のイネーブル化を参照)。

リモート TACACS+ サーバの事前共有鍵の値を取得します。

詳細な手順

グローバル事前共有鍵を設定するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > AAA > Sever Groups の順に選択します。

ステップ 2 Summary ペインで、サーバ グループを表示するデバイスをダブルクリックします。

ステップ 3 Default TACACS Server Group をクリックします。

ステップ 4 Details ペインで、 Global TACACS Settings タブをクリックします。

ステップ 5 Key フィールドに事前共有鍵を入力します。

ステップ 6 (任意)キーを暗号化するには、 Encrypt にチェックをつけます。

デフォルトはクリア テキストです。

ステップ 7 メニュー バーで File > Deploy の順に選択し、変更をデバイスに適用します。


 

TACACS+ サーバの事前共有鍵の設定

TACACS+ サーバの事前共有鍵を設定できます。事前共有鍵は、デバイスと TACACS+ サーバ ホストの間の共有シークレット テキスト ストリングです。図4-3を参照してください。

作業を開始する前に

TACACS+ をイネーブルにします(TACACS+ のイネーブル化を参照)。

1 つまたは複数の TACACS+ サーバ ホストを設定します(TACACS+ サーバ ホストの追加を参照)。

リモート TACACS+ サーバの事前共有鍵の値を取得します。

詳細な手順

TACACS+ サーバの事前共有鍵を設定するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > AAA > Sever Groups の順に選択します。

ステップ 2 Summary ペインで、サーバ グループを表示するデバイスをダブルクリックします。

ステップ 3 Default TACACS Server Group をダブルクリックし、TACACS+ サーバのリストを表示します。

ステップ 4 対象の TACACS+ サーバをクリックします。

ステップ 5 Details ペインで、 Server Details タブをクリックします。

ステップ 6 Override Defaults をチェックします。

ステップ 7 Key フィールドに事前共有鍵を入力します。

デフォルトはグローバル事前共有鍵です。

ステップ 8 (任意)キーを暗号化するには、 Encrypt にチェックをつけます。

デフォルトはクリア テキストです。

ステップ 9 メニュー バーで File > Deploy の順に選択し、変更をデバイスに適用します。


 

TACACS+ サーバ グループの追加

ユーザの認証にサーバ グループを使用して、1 つまたは複数のリモート AAA サーバを参照できます。グループ内のすべてのメンバーは同じ TACACS+ プロトコルに属する必要があります。サーバへのアクセスは、サーバを設定した順番で行われます。

サーバ グループはいつでも設定できますが、AAA サービスに適用した場合のみ有効となります。AAA サービスについては、「リモート AAA サービス」を参照してください。

作業を開始する前に

TACACS+ をイネーブルにします(TACACS+ のイネーブル化を参照)。

1 つまたは複数の TACACS+ サーバ ホストを設定します(TACACS+ サーバ ホストの追加を参照)。

詳細な手順

TACACS+ サーバ グループを追加するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > AAA > Sever Groups の順に選択します。

ステップ 2 Summary ペインでデバイスをクリックします。

ステップ 3 メニュー バーから、 Server Groups > TACACS Server Group の順に選択します。

そのデバイスのサーバ グループ リストの最後に新しい行が表示され、Details ペインに Details タブが表示されます。

ステップ 4 Server Group Name フィールドに名前を入力し、 Enter キーを押します。

サーバ グループ名は最大 127 文字の英数字ストリングで、大文字と小文字は区別されます。

ステップ 5 (任意)Dead time(mins) フィールドに、デッド タイム間隔を分単位で入力します。

デフォルトのデッド タイム間隔は 0 分です。

ステップ 6 VRF Name フィールドで下矢印をクリックし、VRF Name ダイアログを表示して VRF をクリックします。 OK をクリックします。

ステップ 7 メニュー バーで File > Deploy の順に選択し、変更をデバイスに適用します。


 

TACACS+ サーバ ホストの TACACS+ サーバ グループへの追加

TACACS+ サーバ ホストを TACACS+ サーバ グループに追加できます。

作業を開始する前に

TACACS+ サーバ ホストがデフォルトの TACACS+ サーバ グループに追加してあることを確認します(TACACS+ サーバ ホストの追加を参照)。

詳細な手順

TACACS+ サーバ ホストを TACACS+ サーバ グループに追加するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > AAA > Sever Groups の順に選択します。

ステップ 2 Summary ペインで、サーバ グループを表示するデバイスをダブルクリックします。

ステップ 3 TACACS+ サーバ グループをクリックします。

ステップ 4 メニュー バーから、 Server Groups > Add Server の順に選択します。

Server Details が Details ペインに表示されます。

ステップ 5 Server フィールドに TACACS+ サーバの IPv4 アドレス、IPv6 アドレス、またはホスト名を入力します。

ステップ 6 Server ドロップダウン リストから、正しいサーバ識別子タイプとして IPv4 アドレス、IPv6 アドレス、またはホスト名のいずれかを選択します。


) サーバ識別子の形式が選択した識別子タイプと一致する場合、DCNM は Server フィールドで黄色く縁取りされ、正しいことが示されます。サーバ識別子の形式が選択した識別子タイプと一致しない場合、DCNM は Server フィールドで赤く縁取りされ、エラーが示されます。アドレスまたはアドレス タイプを変更して、この問題を修正してください。


ステップ 7 メニュー バーで File > Deploy の順に選択し、変更をデバイスに適用します。


 

TACACS+ サーバ ホストの TACACS+ サーバ グループからの削除

TACACS+ サーバ グループから TACACS+ サーバ ホストを削除できます。

詳細な手順

TACACS+ サーバ ホストを TACACS+ サーバ グループから削除するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > AAA > Sever Groups の順に選択します。

ステップ 2 Summary ペインで、サーバ グループを表示するデバイスをダブルクリックします。

ステップ 3 サーバ グループをダブルクリックし、サーバ ホストのリストを表示します。

ステップ 4 削除する TACACS+ サーバ ホストをクリックします。

ステップ 5 メニュー バーから、 Server Groups > Delete Server の順に選択し、確認のダイアログで Yes をクリックします。

リストにその TACACS+ サーバ ホストが表示されなくなります。

ステップ 6 メニュー バーで File > Deploy の順に選択し、変更をデバイスに適用します。


 

TACACS+ サーバ グループの削除

TACACS+ サーバ グループを削除できます。

詳細な手順

TACACS+ サーバ グループを削除するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > AAA > Sever Groups の順に選択します。

ステップ 2 Summary ペインで、サーバ グループのリストを表示するデバイスをダブルクリックします。

ステップ 3 削除する TACACS+ サーバ グループをクリックします。

ステップ 4 メニュー バーから、 Server Groups > Delete Server Group の順に選択し、確認のダイアログで Yes をクリックします。

サーバ グループ リストにそのサーバ グループが表示されなくなります。

ステップ 5 メニュー バーで File > Deploy の順に選択し、変更をデバイスに適用します。


 

ログイン時の TACACS+ サーバの指定

スイッチ上で directed-request(誘導要求)オプションをイネーブルにすることにより、認証要求の送信先の TACACS+ サーバをユーザが指定できるようになります。デフォルトでは、デバイスは認証要求をデフォルト AAA 認証方式に基づいて転送します。このオプションをイネーブルにした場合、ユーザは username@vrfname:hostname としてログインできます。ここで、vrfname は使用する VRF、hostname は設定された TACACS+ サーバの名前です。図4-2を参照してください。


) directed-request(誘導要求)オプションをイネーブルにする場合、デバイスは認証に TACACS+ 方式のみを使用し、デフォルトのローカル方式は使用しません。



) ユーザ指定のログインは Telnet セッションでのみサポートされます。


作業を開始する前に

TACACS+ をイネーブルにします(TACACS+ のイネーブル化を参照)。

詳細な手順

ユーザがログイン時に TACACS+ サーバを指定できるようにするには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > AAA > Sever Groups の順に選択します。

ステップ 2 Summary ペインで、サーバ グループを表示するデバイスをダブルクリックします。

ステップ 3 Default TACACS Server Group をクリックします。

ステップ 4 Details ペインで、 Global TACACS Settings タブをクリックします。

ステップ 5 Direct Req にチェックを付けます。

ステップ 6 メニュー バーで File > Deploy の順に選択し、変更をデバイスに適用します。


 

グローバル TACACS+ タイムアウト間隔の設定

デバイスがすべての TACACS+ サーバからの応答を待つグローバル タイムアウト間隔を設定できます。これを過ぎるとタイムアウト障害が宣言されます。タイムアウト間隔には、デバイスが TACACS+ サーバからの応答を待つ時間を指定します。これを過ぎるとタイムアウト障害が宣言されます。図4-2を参照してください。

作業を開始する前に

TACACS+ をイネーブルにします(TACACS+ のイネーブル化を参照)。

詳細な手順

TACACS+ タイムアウト間隔を設定するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > AAA > Sever Groups の順に選択します。

ステップ 2 Summary ペインで、サーバ グループを表示するデバイスをダブルクリックします。

ステップ 3 Default TACACS Server Group をクリックします。

ステップ 4 Details ペインで、 Global TACACS Settings タブをクリックします。

ステップ 5 (任意)Time out(secs) フィールドに、タイムアウト間隔の秒数を入力します。

デフォルト値は 5 秒です。

ステップ 6 メニュー バーで File > Deploy の順に選択し、変更をデバイスに適用します。


 

個別サーバのタイムアウト間隔の設定

デバイスがすべての TACACS+ サーバからの応答を待つタイムアウト間隔を設定できます。これを過ぎるとタイムアウト障害が宣言されます。タイムアウト間隔には、デバイスが TACACS+ サーバからの応答を待つ時間を指定します。これを過ぎるとタイムアウト障害が宣言されます。図4-3を参照してください。

TACACS+ をイネーブルにします(TACACS+ のイネーブル化を参照)。

1 つまたは複数の TACACS+ サーバ ホストを設定します(TACACS+ サーバ ホストの追加を参照)。

詳細な手順

TACACS+ サーバのタイムアウト間隔を設定するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > AAA > Sever Groups の順に選択します。

ステップ 2 Summary ペインで、サーバ グループを表示するデバイスをダブルクリックします。

ステップ 3 Default TACACS Server Group をダブルクリックし、TACACS+ サーバのリストを表示します。

ステップ 4 対象の TACACS+ サーバをクリックします。

ステップ 5 Details ペインで、 Server Details タブをクリックします。

ステップ 6 Override Defaults をチェックします。

ステップ 7 (任意)Time out(secs) フィールドに、タイムアウト間隔の秒数を入力します。

デフォルト値は 5 秒です。

ステップ 8 メニュー バーで File > Deploy の順に選択し、変更をデバイスに適用します。


 

TCP ポートの設定

他のアプリケーションと競合する場合は、TACACS+ サーバ用に別の TCP ポートを設定できます。デフォルトでは、デバイスはすべての TACACS+ 要求に対しポート 49 を使用します。図4-3を参照してください。

作業を開始する前に

TACACS+ をイネーブルにします(TACACS+ のイネーブル化を参照)。

1 つまたは複数の TACACS+ サーバ ホストを設定します(TACACS+ サーバ ホストの追加を参照)。

詳細な手順

TACACS+ サーバの認証ポートを設定するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > AAA > Sever Groups の順に選択します。

ステップ 2 Summary ペインで、サーバ グループを表示するデバイスをダブルクリックします。

ステップ 3 Default TACACS Server Group をダブルクリックし、TACACS+ サーバのリストを表示します。

ステップ 4 対象の TACACS+ サーバをクリックします。

ステップ 5 Details ペインで、 Server Details タブをクリックします。

ステップ 6 Authentication Port フィールドに、TCP ポート番号を入力するか、フィールドをクリアして認証をディセーブルにします。

デフォルトの認証 TCP ポートは 49 です。

ステップ 7 メニュー バーで File > Deploy の順に選択し、変更をデバイスに適用します。


 

TACACS+ サーバの定期モニタリングの設定

TACACS+ サーバが使用可能かどうかをモニタできます。パラメータには、サーバとアイドル タイマーに使用されるユーザ名とパスワードがあります。アイドル タイマーには、TACACS+ サーバで何の要求も受信されない状態の時間を指定します。これを過ぎるとデバイスはテスト パケットを送信します。このオプションを設定して定期的にサーバをテストしたり、1 回だけテストを実行することができます。図4-3を参照してください。


) ネットワークのセキュリティを保護するために、TACACS+ データベースの既存のユーザ名と同じものを使用しないことを推奨します。


アイドル タイマーには、TACACS+ サーバで何の要求も受信されない状態の時間を指定します。これを過ぎるとデバイスはテスト パケットを送信します。


) デフォルトのアイドル タイマー値は 0 分です。アイドル時間間隔が 0 分の場合、TACACS+ サーバの定期モニタリングは実行されません。


作業を開始する前に

TACACS+ をイネーブルにします(TACACS+ のイネーブル化を参照)。

1 つまたは複数の TACACS+ サーバ ホストを設定します(TACACS+ サーバ ホストの追加を参照)。

詳細な手順

定期的な TACACS+ サーバのモニタリングを設定するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > AAA > Sever Groups の順に選択します。

ステップ 2 Summary ペインで、サーバ グループを表示するデバイスをダブルクリックします。

ステップ 3 Default TACACS Server Group をダブルクリックし、TACACS+ サーバのリストを表示します。

ステップ 4 対象の TACACS+ サーバをクリックします。

ステップ 5 Details ペインで、 Server Details タブをクリックします。

ステップ 6 User Name フィールドにユーザ名を入力します。

ステップ 7 Password フィールドにパスワードを入力します。

ステップ 8 Idle Time フィールドに定期的なモニタリングを分単位で入力します。

ステップ 9 メニュー バーで File > Deploy の順に選択し、変更をデバイスに適用します。


 

デッド タイム間隔の設定

すべての TACACS+ サーバのデッド タイム間隔を設定できます。デッド タイム間隔では、デバイスが TACACS+ サーバをデッドであると宣言したあと、そのサーバがアライブになったかどうかを確認するためにテスト パケットを送信するまでの時間を指定します。図4-2を参照してください。


) デッド タイマー間隔が 0 分の場合、TACACS+ サーバの応答がなくても、そのサーバをデッドとしません。デッド タイマーはグループ単位で設定できます(TACACS+ サーバ グループの追加を参照)。


作業を開始する前に

TACACS+ をイネーブルにします(TACACS+ のイネーブル化を参照)。

詳細な手順

デッド タイム間隔を設定するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > AAA > Sever Groups の順に選択します。

ステップ 2 Summary ペインで、サーバ グループを表示するデバイスをダブルクリックします。

ステップ 3 Default TACACS Server Group をクリックします。

ステップ 4 Details ペインで、 Global TACACS Settings タブをクリックします。

ステップ 5 Dead time(mins) フィールドに分単位で入力します。

デフォルト値は 0 分です。

ステップ 6 メニュー バーで File > Deploy の順に選択し、変更をデバイスに適用します。


 

TACACS+ のディセーブル化

TACACS+ はディセーブルにすることができます。


注意 TACACS+ をディセーブルにすると、すべての関連する設定は自動的に破棄されます。

詳細な手順

TACACS+ をディセーブルにするには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > AAA > Sever Groups の順に選択します。

ステップ 2 Summary ペインでデバイスをクリックします。

ステップ 3 メニュー バーから、 Server Groups > Disable TACACS の順に選択します。

ステップ 4 メニュー バーで File > Deploy の順に選択し、変更をデバイスに適用します。


 

TACACS+ 統計情報の表示

デバイスが保持している TACACS+ サーバのアクティビティに関する統計情報を表示します。

作業を開始する前に

TACACS+ をイネーブルにします(TACACS+ のイネーブル化を参照)。

1 つまたは複数の TACACS+ サーバ ホストを設定します(TACACS+ サーバ ホストの追加を参照)。

詳細な手順

TACACS+ サーバの統計情報を表示するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > AAA > Sever Groups の順に選択します。

ステップ 2 Summary ペインで、サーバ グループを表示するデバイスをダブルクリックします。

ステップ 3 Default TACACS Server Group をダブルクリックし、TACACS+ サーバのリストを表示します。

ステップ 4 対象の TACACS+ サーバをクリックします。

ステップ 5 Details ペインで、 Statistics タブをクリックします。


 

次の作業

これで、TACACS+ サーバ グループも含めて AAA 認証方式を設定できるようになります( 第 2 章「AAA の設定」 を参照)。

TACACS+ サーバ グループおよびサーバのフィールドの説明

ここでは、次の内容について説明します。

「Security:AAA:Server Groups:Summary ペイン」

「Security:AAA:Server Groups:デバイス:Default TACACS Server Group:Global TACACS Settings タブ」

「Security:AAA:Server Groups:デバイス:Default TACACS Server Group:サーバ:Server Details タブ」

「Security:AAA:Server Groups:デバイス:サーバ グループ:Details タブ」

Security:AAA:Server Groups:Summary ペイン

 

表4-1 Security:AAA:Server Groups:Summary ペイン

フィールド
説明

Authentication Port

サーバのトラフィックを認証するための TCP ポートの番号。デフォルトは 49 です。

Accounting Port

RADIUS サーバのアカウンティングに使用する TCP ポート。TACACS+ サーバはこのフィールドを使用します。

Timeout

サーバのタイムアウト間隔の秒数。デフォルト値は 5 秒です。

Status

サーバのステータス。

Security:AAA:Server Groups:デバイス:Default TACACS Server Group:Global TACACS Settings タブ

 

表4-2 Security:AAA:Server Groups:サーバ グループ:Default TACACS Server Group:Global TACACS Settings タブ

フィールド
説明

Server Group Type

TACACS+ サーバ グループ タイプ。

Time out(secs)

タイムアウト間隔の秒数。デフォルト値は 5 秒です。

Key

事前共有鍵グローバル鍵。

Dead time(mins)

デッド タイム間隔の分数。デフォルト値は 0 分です。

Direct Req

ユーザはログイン時に TACACS+ サーバを指定できます。

Security:AAA:Server Groups:デバイス:Default TACACS Server Group:サーバ:Server Details タブ

 

表4-3 Security:AAA:Server Groups:デバイス:Default TACACS Server Group:サーバ:Server Details タブ

フィールド
説明
全般

Server Type

TACACS+ サーバ タイプ。

Server

サーバの IPv4 アドレス、IPv6 アドレス、またはアルファベットの名前およびサーバ名タイプ。

Authentication Port

トラフィックを認証するための TCP ポートの番号。デフォルトは 49 です。

Accounting Port

アカウンティングに使用する TCP ポート。

テスト

User Name

TACACS+ サーバの定期的モニタリングのためのユーザ名。

パスワード

TACACS+ サーバの定期的モニタリングのためのパスワード。

Idle Time

TACACS+ サーバの定期的モニタリングのアイドル時間間隔(分単位)。デフォルト値は 0 分で、これは定期的モニタリングがディセーブルになっていることを示します。

Override Default

無効にしたり設定したりできる、TACACS+ サーバのグローバル値。デフォルトはグローバル値を使用します。

Key

TACACS+ サーバの事前共有サーバ鍵。

Encrypt

事前共有グローバル鍵の暗号化ステータス。デフォルトはクリア テキストです。

Timeout(secs)

タイムアウト間隔の秒数。デフォルト値は 5 秒です。

Security:AAA:Server Groups:デバイス:サーバ グループ:Details タブ

 

表4-4 Security:AAA:Server Groups:デバイス:Default TACACS Server Group:サーバ:Server Details タブ

フィールド
説明

タイプ

TACACS+ サーバ グループのタイプ。

Server Group Name

サーバ グループ名。

Dead time(mins)

サーバ グループのデッド タイム間隔の分数。デフォルト値は 0 分です。

その他の参考資料

TACACS+ の実装に関連する詳細情報については、次を参照してください。

「関連資料」

「規格」

「MIB」

関連資料

関連事項
タイトル

NX-OS ライセンス

Cisco NX-OS Licensing Guide, Release 4.0

DCNM ライセンス

Cisco DCNM Licensing Guide, Release 4.0

VRF の設定

Cisco DCNM Unicast Routing Configuration Guide, Release 4.0

規格

規格
タイトル

この機能のサポート対象の規格には、新規規格も変更された規格もありません。また、この機能は既存の規格に対するサポートに影響を及ぼしません。

--

MIB

MIB
MIB のリンク

CISCO-AAA-SERVER-MIB

CISCO-AAA-SERVER-EXT-MIB

MIB の確認とダウンロードを行うには、次の URL にアクセスします。

http://www.cisco.com/public/sw-center/enigmatic/cant/mibs.shtml