Cisco DCNM for LAN セキュリティ コンフィギュレーション ガイド リリース 5.x
AAA の設定
AAA の設定
発行日;2012/09/13   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

AAA の設定

この章では、Cisco NX-OS デバイスで認証、許可、アカウンティング(AAA)を設定する手順について説明します。

この章は、次の内容で構成されています。

AAA について

ここでは、Cisco NX-OS デバイスでの AAA について説明します。

AAA セキュリティ サービス

AAA 機能を使用すると、Cisco NX-OS デバイスを管理するユーザの ID を確認し、ユーザにアクセスを許可し、ユーザの実行するアクションを追跡できます。 Cisco NX-OS デバイスは、Remote Access Dial-In User Service(RADIUS)プロトコルまたは Terminal Access Controller Access Control System Plus(TACACS+)プロトコルをサポートします。

Cisco NX-OS は入力されたユーザ ID およびパスワードの組み合わせに基づいて、ローカル データベースによるローカル認証または許可、あるいは 1 つまたは複数の AAA サーバによるリモート認証または許可を実行します。 Cisco NX-OS デバイスと AAA サーバの間の通信は、事前共有秘密キーによって保護されます。 すべての AAA サーバ用または特定の AAA サーバ専用に共通秘密キーを設定できます。

AAA セキュリティは、次のサービスを実行します。

認証
ログインとパスワードのダイアログ、チャレンジとレスポンス、メッセージング サポート、および選択したセキュリティ プロトコルに応じた暗号化などを使用してユーザを識別します。

認証は、デバイスにアクセスする人物またはデバイスの ID を確認するプロセスです。この ID の確認は、Cisco NX-OS デバイスにアクセスするエンティティから提供されるユーザ ID とパスワードの組み合わせに基づいて行われます。 Cisco NX-OS デバイスでは、ローカル認証(ローカル ルックアップ データベースを使用)またはリモート認証(1 台または複数の RADIUS サーバまたは TACACS+ サーバを使用)を実行できます。

許可
アクセス コントロールを提供します。AAA 許可は、ユーザが何を実行する権限を与えられるかを表す一連の属性を組み立てるプロセスです。 Cisco NX-OS ソフトウェアでは、AAA サーバからダウンロードされる属性を使用して権限付与が行われます。 RADIUS や TACACS+ などのリモート セキュリティ サーバは、適切なユーザで該当する権利を定義した属性値(AV)のペアをアソシエートすることによって、ユーザに特定の権限を付与します。
アカウンティング
情報を収集する、情報をローカルのログに記録する、情報を AAA サーバに送信して課金、監査、レポート作成などを行う方法を提供します。

アカウンティング機能では、Cisco NX-OS デバイスへのアクセスに使用されるすべての管理セッションを追跡し、ログに記録して管理します。 この情報を使用して、トラブルシューティングや監査のためのレポートを生成できます。 アカウンティング ログは、ローカルに保存することもできれば、リモート AAA サーバに送信することもできます。


(注)  


Cisco NX-OS ソフトウェアでは、認証、許可、およびアカウンティングを個別にサポートしています。 たとえば、アカウンティングは設定せずに、認証と許可を設定したりできます。


AAA を使用する利点

AAA は、次のような利点を提供します。

  • アクセス設定の柔軟性と制御性の向上
  • 拡張性
  • 標準化された認証方式(RADIUS、TACACS+ など)
  • 複数のバックアップ デバイス

リモート AAA サービス

RADIUS プロトコルおよび TACACS+ プロトコルを介して提供されるリモート AAA サービスには、ローカル AAA サービスと比べて次のような利点があります。

  • ファブリック内の各 Cisco NX-OS デバイスのユーザ パスワード リストの管理が容易になります。
  • AAA サーバはすでに企業内に幅広く導入されており、簡単に AAA サービスに使用できます。
  • ファブリック内のすべての Cisco NX-OS デバイスのアカウンティング ログを中央で管理できます。
  • ファブリック内の各 Cisco NX-OS デバイスのユーザ属性の管理が、Cisco NX-OS デバイスのローカル データベースを使用するよりも容易になります。

AAA サーバ グループ

認証、許可、アカウンティングのためのリモート AAA サーバは、サーバ グループを使用して指定できます。 サーバ グループとは、同じ AAA プロトコルを実装した一連のリモート AAA サーバです。 サーバ グループの目的は、リモート AAA サーバが応答できなくなったときにフェールオーバー サーバを提供することです。 グループ内の最初のリモート サーバが応答しなかった場合、いずれかのサーバが応答を送信するまで、グループ内の次のリモート サーバで試行が行われます。 サーバ グループ内のすべての AAA サーバが応答しなかった場合、そのサーバ グループ オプションは障害が発生しているものと見なされます。 必要に応じて、複数のサーバ グループを指定できます。 Cisco NX-OS デバイスは、最初のサーバ グループのすべてのサーバからエラーを受信した場合に、次のサーバ グループのサーバを試行します。

AAA サーバ設定オプション

Cisco NX-OS デバイスの AAA 設定は、サービス ベースです。次のサービスごとに異なった AAA 設定を作成できます。

  • コンソール ログイン認証
  • 802.1X 認証
  • ユーザ管理セッション アカウンティング
  • 802.1X アカウンティング

AAA サービスには、次の認証方式を指定できます。

すべての RADIUS サーバ

RADIUS サーバのグローバル プールを使用して認証を行います。

指定サーバ グループ
ローカル

ローカルのユーザ名またはパスワード データベースを使用して認証を行います。

なし

AAA 認証が使用されないように指定します。


(注)  


「指定サーバ グループ」方式でなく、「すべての RADIUS サーバ」方式を指定した場合、Cisco NX-OS デバイスは、設定された RADIUS サーバのグローバル プールから設定の順に RADIUS サーバを選択します。 このグローバル プールから選択されるサーバは、Cisco NX-OS デバイス上で RADIUS サーバ グループに選択的に設定できるサーバです。


次の表に、AAA サービスに対応して設定できる AAA 認証方式を示します。

表 1  AAA サービスのための AAA 認証方式

AAA サービス

AAA の方式

コンソール ログイン認証

サーバ グループ、ローカル、なし

ユーザ ログイン認証

サーバ グループ、ローカル、なし

802.1X 認証

サーバ グループのみ

ユーザ管理セッション アカウンティング

サーバ グループ、ローカル

802.1X アカウンティング

サーバ グループ、ローカル


(注)  


コンソール ログイン認証、ユーザ ログイン認証、およびユーザ管理セッション アカウンティングの場合は、Cisco NX-OS デバイスが、指定された順序で各オプションを試行します。 その他の設定済みオプションが失敗した場合、ローカル オプションがデフォルト方式です。


ユーザ ログインのための認証および許可プロセス

次に、このプロセスについて順番に説明します。

  • Cisco NX-OS デバイスにログインする場合、Telnet、SSH、またはコンソール ログインのオプションが使用できます。
  • サーバ グループ認証方式を使用して AAA サーバ グループを設定した場合は、Cisco NX-OS デバイスが、次のように認証要求をグループ内の最初の AAA サーバに送信します。
    • 特定の AAA サーバが応答しなかった場合は、その次の AAA サーバ、さらにその次へと、各サーバが順に試行されます。この処理は、リモート サーバが認証要求に応答するまで続けられます。
    • サーバ グループのすべての AAA サーバが応答しなかった場合、その次のサーバ グループのサーバが試行されます。
    • 設定されている認証方式がすべて失敗した場合、ローカル データベースを使用して認証が実行されます。
  • Cisco NX-OS デバイスがリモート AAA サーバでユーザの認証に成功した場合は、次のいずれかが適用されます。
    • AAA サーバ プロトコルが RADIUS の場合、cisco-av-pair 属性で指定されているユーザ ロールが認証応答とともにダウンロードされます。
    • AAA サーバ プロトコルが TACACS+ の場合、シェルのカスタム属性として指定されているユーザ ロールを取得するために、もう 1 つの要求が同じサーバに送信されます。
    • リモート AAA サーバからのユーザ ロールの取得に成功しない場合、ユーザに vdc-operator ロールが割り当てられます。
  • ローカルでユーザ名とパスワードの認証が成功した場合は、ログインが許可され、ローカル データベースに設定されているロールが割り当てられます。

(注)  


「残りのサーバ グループなし」とは、すべてのサーバ グループのいずれのサーバからも応答がないということです。 「残りのサーバなし」とは、現在のサーバ グループ内のいずれのサーバからも応答がないということです。


AAA の前提条件

Cisco DCNM の機能を使用するための前提条件は、次のとおりです。 機能固有の前提条件については、プラットフォームのマニュアルを参照してください。

  • AAA のシステム メッセージのログ レベルは、Cisco DCNM の要件を満たすか上回っている必要があります。 デバイス検出時に、ログ レベルが不適切であることが検出された場合は、最低限必要なレベルまで Cisco DCNM によって引き上げられます。 ただし、Cisco Nexus 7000 シリーズ スイッチで Cisco NX-OS Release 4.0 を実行する場合は例外です。 Cisco NX-OS Release 4.0 の場合は、デバイスの検出を行う前に、コマンドライン インターフェイスを使用して Cisco DCNM の要件を満たすか、上回るようにログ レベルを設定してください。 詳細については、を参照してください。

AAA のライセンス要件

次の表に、この機能のライセンス要件を示します。

製品

ライセンス要件

Cisco DCNM

AAA にはライセンスは必要ありません。 ライセンス パッケージに含まれていない機能は Cisco DCNM にバンドルされており、無料で提供されます。 Cisco DCNM ライセンス方式についての詳細は、『Cisco DCNM Installation and Licensing Guide, Release 5.x』を参照してください。

Cisco NX-OS

AAA にはライセンスは必要ありません。 ライセンス パッケージに含まれていない機能はすべて Cisco NX-OS システム イメージにバンドルされており、追加費用は一切発生しません。 各プラットフォームの Cisco NX-OS ライセンス スキームの説明については、そのプラットフォームのライセンス ガイドを参照してください。

AAA をサポートしているプラットフォーム

この機能をサポートするプラットフォームは次のとおりです。ただし、実装方法は異なる場合があります。 注意事項や制約事項、システムのデフォルト値、コンフィギュレーションの制限などに関するプラットフォーム固有の情報については、対応するマニュアルを参照してください。

プラットフォーム マニュアル
Cisco Nexus 1000V シリーズ スイッチ Cisco Nexus 1000V シリーズ スイッチのマニュアル
Cisco Nexus 3000 シリーズ スイッチ Cisco Nexus 3000 シリーズ スイッチのマニュアル
Cisco Nexus 4000 シリーズ スイッチ Cisco Nexus 4000 シリーズ スイッチのマニュアル
Cisco Nexus 5000 シリーズ スイッチ Cisco Nexus 5000 シリーズ スイッチ マニュアル
Cisco Nexus 7000 シリーズ スイッチ Cisco Nexus 7000 シリーズ スイッチのマニュアル

AAA の設定

ここでは、Cisco NX-OS デバイスで AAA を設定する手順について説明します。

AAA 認証ルール方式の変更

AAA 認証ルール方式を変更できます。

方式には、次のものがあります。

グループ
RADIUS サーバ グループ
ローカル
Cisco NX-OS デバイスのローカル データベース
なし
ユーザ名だけ

デフォルトの方式は、ローカルです。

ルールはシーケンス順に適用されます。 すべての方式が失敗した場合、デバイスはデフォルトのローカル方式を使用します。

はじめる前に

必要に応じて RADIUS または TACACS+ サーバ グループを設定します。

手順
    ステップ 1   [Feature Selector] ペインで、[Security] > [AAA] > [Rules] を選択します。
    ステップ 2   [Authentication Rules] をダブルクリックして、アカウンティング ルールのリストを表示します。
    ステップ 3   方式を追加するルールをクリックします。
    ステップ 4   変更するルールをクリックします。

    [Details] ペインに [Authentication Rules] タブが表示されます。

    ステップ 5   [Authentication Rules] タブで、変更する方式をクリックします。
    ステップ 6   [Type] で方式セルをダブルクリックし、ドロップダウン リストから方式タイプを選択します。
    ステップ 7   [Group] 方式タイプを選択した場合は、[Server Group Name] で方式セルをダブルクリックし、ドロップダウン リストからサーバ グループ名を選択します。 [OK] をクリックします。
    ステップ 8   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

    AAA 認証ルール方式の追加

    AAA 認証ルール方式を変更できます。

    方式には、次のものがあります。

    グループ
    RADIUS サーバ グループ
    ローカル
    Cisco NX-OS デバイスのローカル データベース
    なし
    ユーザ名だけ

    デフォルトの方式は、ローカルです。

    ルールはシーケンス順に適用されます。 すべての方式が失敗した場合、Cisco NX-OS デバイスはデフォルトのローカル方式を使用します。


    (注)  


    コンソール ログインの AAA の設定と操作は、デフォルト VDC に対してだけ適用されます。


    はじめる前に

    必要に応じて RADIUS または TACACS+ サーバ グループを設定します。

    手順
      ステップ 1   [Feature Selector] ペインで、[Security] > [AAA] > [Rules] を選択します。
      ステップ 2   [Summary] ペインで、デバイスをダブルクリックします。
      ステップ 3   [Authentication Rules] をダブルクリックして、アカウンティング ルールのリストを表示します。
      ステップ 4   方式を追加するルールをクリックします。

      [Details] ペインに [Authentication Rules] タブが表示されます。

      ステップ 5   方式を右クリックして、ポップアップ メニューから [Add Method] をクリックします。

      シーケンス番号および空白のフィールドとともに新しいルールがリストの末尾に表示されます。

      ステップ 6   新しい方式の [Type] でセルをダブルクリックし、ドロップダウン リストから方式タイプを選択します。
      (注)     

      方式タイプに [None] を選択した場合、この方式は常にリストの最後にくる方式とする必要があります。

      ステップ 7   [Group] 方式タイプを選択した場合は、[Server Group Name] で方式セルをダブルクリックし、ドロップダウン リストからサーバ グループ名を選択します。 [OK] をクリックします。
      ステップ 8   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

      AAA 認証ルール方式の再編成

      AAA 認証ルール方式の順序を再編成できます。


      (注)  


      [None] 方式は常にリストの最後の方式とする必要があります。


      手順
        ステップ 1   [Feature Selector] ペインで、[Security] > [AAA] > [Rules] を選択します。
        ステップ 2   [Summary] ペインで、デバイスをダブルクリックします。
        ステップ 3   [Authentication Rules] をダブルクリックして、アカウンティング ルールのリストを表示します。
        ステップ 4   再編成する方式が含まれるルールをクリックします。
        ステップ 5   [Details] ペインに、方式のリストを含む [Authentication Rules] タブが表示されます。
        ステップ 6   再編成する方式をクリックします。
        ステップ 7   右クリックして、ポップアップ メニューから [Move Up] または [Move Up] をクリックします。
        ステップ 8   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

        AAA 認証ルール方式の削除

        AAA 認証ルール方式を削除できます。


        (注)  


        AAA 認証ルールには少なくとも 1 つの方式が含まれている必要があります。 ルールに複数の方式が含まれている場合にのみ、方式を削除できます。


        手順
          ステップ 1   [Feature Selector] ペインで、[Security] > [AAA] > [Rules] を選択します。
          ステップ 2   [Summary] ペインで、デバイスをダブルクリックします。
          ステップ 3   [Authentication Rules] をダブルクリックして、アカウンティング ルールのリストを表示します。
          ステップ 4   方式を削除するルールをクリックします。

          [Details] ペインに [Authentication Rules] タブが表示されます。

          ステップ 5   削除する方式をクリックします。
          (注)     

          シーケンス番号が 2 以上の方式だけを削除できます。 シーケンス番号 1 のルールを削除するには、最初に方式を再編成する必要があります。

          ステップ 6   右クリックして、ポップアップ メニューから [Delete Method] をクリックします。

          ルールがリストから消え、シーケンス番号が更新されます。

          ステップ 7   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

          AAA 認証のデフォルト ユーザ ロールのイネーブル化またはディセーブル化

          ユーザ ロールを持たないリモート ユーザに、デフォルトのユーザ ロールを使用して、RADIUS または TACACS+ リモート認証による Cisco NX-OS デバイスへのログインを許可できます。 AAA のデフォルトのユーザ ロール機能をディセーブルにすると、ユーザ ロールを持たないリモート ユーザはデバイスにログインできなくなります。

          この機能は必要に応じて VDC に対してイネーブルまたはディセーブルにできます。 デフォルトの VDC では、デフォルトのユーザ ロールは network-operator です。 デフォルト以外の VDC では、デフォルトの VDC は vdc-operator です。

          はじめる前に

          正しい VDC 内にいることを確認します。

          手順
            ステップ 1   [Feature Selector] ペインで、[Security] > [AAA] > [Server Groups] を選択します。

            [Summary] ペインに使用可能なデバイスが表示されます。

            ステップ 2   [Summary] ペインから、AAA 認証のデフォルト ユーザ ロールをイネーブルまたはディセーブルにするデバイスをクリックします。

            [Details] ペインにサーバ グループの設定とイベントに関するタブが表示されます。

            ステップ 3   次のいずれかの手順を実行します。
            • AAA 認証のデフォルト ユーザ ロールをイネーブルにするには、[Settings] タブで [Assign default user role] をオンにします。 これがデフォルト設定です。
            • AAA 認証のデフォルト ユーザ ロールをディセーブルにするには、[Settings] タブで [Assign default user role] をオフにします。
            ステップ 4   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

            ログイン認証失敗メッセージのイネーブル化またはディセーブル化

            ログイン時にリモート AAA サーバからの応答がない場合には、ローカル ユーザ データベースへのロールオーバーによってログインが処理されます。 このような場合に、ログイン失敗メッセージがイネーブルになっていると、次のメッセージがユーザの端末に表示されます。

            Remote AAA servers unreachable; local authentication done.
            Remote AAA servers unreachable; local authentication failed.
            はじめる前に

            正しい VDC 内にいることを確認します。

            手順
              ステップ 1   [Feature Selector] ペインで、[Security] > [AAA] > [Server Groups] を選択します。

              [Summary] ペインに使用可能なデバイスが表示されます。

              ステップ 2   [Summary] ペインから、ログイン認証失敗メッセージをイネーブルまたはディセーブルにするデバイスをクリックします。

              [Details] ペインにサーバ グループの設定とイベントに関するタブが表示されます。

              ステップ 3   次のいずれかの手順を実行します。
              • ログイン認証失敗メッセージをイネーブルにするには、[Settings] タブで [Display failure message in console] をオンにします。
              • ログイン認証失敗メッセージをディセーブルにするには、[Settings] タブで [Display failure message in console] をオフにします。 これがデフォルト設定です。
              ステップ 4   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

              AAA 認証のイネーブル化またはディセーブル化

              Cisco NX-OS デバイス上のユーザ ログインに対して AAA 認証をイネーブルまたはディセーブルにできます。

              RADIUS または TACACS+ リモート認証サーバを経由した Cisco NX-OS デバイスへのユーザ ログインに対して Microsoft バージョンの CHAP である Microsoft チャレンジ ハンドシェイク認証プロトコル(MSCHAP)、RADIUS サーバを経由したユーザ ログインに対して MSCHAP V2、または TACACS+ サーバでのユーザ パスワードに ASCII を使用できます。 デフォルトでは、AAA 認証はディセーブルです。

              デフォルトでは、Cisco NX-OS デバイスとリモート サーバの間で Password Authentication Protocol(PAP; パスワード認証プロトコル)認証が使用されます。 MSCHAP または MSCHAP V2 をイネーブルにする場合は、MSCHAP および MSCHAP V2 Vendor-Specific Attribute(VSA; ベンダー固有属性)を認識するように RADIUS サーバを設定する必要があります。

              次の表に、MSCHAP および MSCHAP V2 に必要な RADIUS VSA を示します。

              表 2 MSCHAP および MSCHAP V2 RADIUS VSA

              ベンダー ID 番号

              ベンダー タイプ番号

              VSA

              説明

              311

              11

              MSCHAP-Challenge

              AAA サーバから MSCHAP または MSCHAP V2 ユーザに送信されるチャレンジを保持します。 これは、Access-Request パケットと Access-Challenge パケットの両方で使用できます。

              211

              11

              MSCHAP-Response

              チャレンジに対する応答として MSCHAP または MSCHAP V2 ユーザが入力した値を保持します。 Access-Request パケットでしか使用されません。

              はじめる前に

              正しい VDC 内にいることを確認します。

              手順
                ステップ 1   [Feature Selector] ペインで、[Security] > [AAA] > [Server Groups] を選択します。

                [Summary] ペインに使用可能なデバイスが表示されます。

                ステップ 2   [Summary] ペインから、AAA 認証をイネーブルまたはディセーブルにするデバイスをクリックします。

                [Details] ペインにサーバ グループの設定とイベントに関するタブが表示されます。

                ステップ 3   [ASCII]、[MSCHAP]、または [MSCHAPv2] を選択して特定の AAA 認証タイプをイネーブルにするか、[NONE] を選択して AAA 認証をディセーブルにします。 デフォルト設定は [NONE] です。
                ステップ 4   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                AAA アカウンティング ルール方式の変更

                AAA アカウンティング ルール方式を変更できます。 デバイスは、アカウンティングに TACACS+ 方式と RADIUS 方式をサポートします。これらの方式では、ユーザ アクティビティをアカウンティング レコードの形式で TACACS+ セキュリティ サーバまたは RADIUS セキュリティ サーバに報告します。

                次のアカウンティング方式を指定できます。

                サーバ グループ
                指定された RADIUS または TACACS+ サーバ グループを使用してアカウンティングを行います。
                ローカル
                ローカルのユーザ名またはパスワード データベースを使用してアカウンティングを行います。

                デフォルトの方式は、ローカルです。


                (注)  


                サーバ グループが設定されていて、そのサーバ グループが応答しない場合、デフォルトではローカル データベースが認証に使用されます。


                はじめる前に

                必要に応じて RADIUS または TACACS+ サーバ グループを設定します。

                手順
                  ステップ 1   [Feature Selector] ペインで、[Security] > [AAA] > [Rules] を選択します。
                  ステップ 2   [Summary] ペインで、デバイスをダブルクリックします。
                  ステップ 3   [Accounting Rules] をダブルクリックして、アカウンティング ルールのリストを表示します。
                  ステップ 4   変更するルールをクリックします。

                  [Details] ペインに [Accounting Rules] タブが表示されます。

                  ステップ 5   [Accounting Rules] タブで、変更する方式をクリックします。
                  ステップ 6   [Type] で方式セルをダブルクリックし、ドロップダウン リストから方式タイプを選択します。
                  ステップ 7   [Group] 方式タイプを選択した場合は、[Server Group Name] で方式セルをダブルクリックし、ドロップダウン リストからサーバ グループ名を選択します。 [OK] をクリックします。
                  ステップ 8   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                  AAA アカウンティング ルール方式の追加

                  AAA アカウンティング ルール方式を追加できます。

                  方式には、次のものがあります。

                  グループ
                  RADIUS サーバ グループ
                  ローカル
                  Cisco NX-OS デバイスのローカル データベース

                  デフォルトの方式は、ローカルです。

                  ルールはシーケンス順に適用されます。 すべての方式が失敗した場合、デバイスはデフォルトのローカル方式を使用します。

                  はじめる前に

                  必要に応じて RADIUS または TACACS+ サーバ グループを設定します。

                  手順
                    ステップ 1   [Feature Selector] ペインで、[Security] > [AAA] > [Rules] を選択します。
                    ステップ 2   [Summary] ペインで、デバイスをダブルクリックします。
                    ステップ 3   [Accounting Rules] をダブルクリックして、アカウンティング ルールのリストを表示します。
                    ステップ 4   方式を追加するルールをクリックします。

                    [Details] ペインに [Accounting Rules] タブが表示されます。

                    ステップ 5   新しい方式を追加する 1 つ前の方式を右クリックして、ポップアップ メニューから [Add Method] をクリックします。

                    シーケンス番号および空白のフィールドとともに新しい方式がリストの末尾に表示されます。

                    ステップ 6   新しい方式がタイプ [Local] の方式の後にある場合は、新しい方式を右クリックしてポップアップ メニューから [Move Up] をクリックします。
                    (注)     

                    タイプ [Local] の方式よりも後には方式を追加できません。

                    ステップ 7   新しい方式の [Type] でセルをダブルクリックし、ドロップダウン リストから [Group] をクリックします。
                    ステップ 8   [Server Group Name] で、新しい方式のセルをダブルクリックします。
                    ステップ 9   サーバ グループ名を入力するか、ドロップダウン リストからサーバ グループ名を選択して [OK] をクリックします。
                    ステップ 10   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                    AAA アカウンティング ルール方式の再編成

                    AAA アカウンティング ルール方式の順序を再編成できます。

                    手順
                      ステップ 1   [Feature Selector] ペインで、[Security] > [AAA] > [Rules] を選択します。
                      ステップ 2   [Summary] ペインで、デバイスをダブルクリックします。
                      ステップ 3   [Accounting Rules] をダブルクリックして、アカウンティング ルールのリストを表示します。
                      ステップ 4   再編成する方式が含まれるルールをクリックします。

                      [Details] ペインに、方式のリストを含む [Accounting Rules] タブが表示されます。

                      ステップ 5   再編成する方式をクリックします。
                      ステップ 6   右クリックして、ポップアップ メニューから [Move Up] または [Move Up] をクリックします。
                      ステップ 7   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                      AAA アカウンティング ルール方式の削除

                      AAA アカウンティング ルール方式を削除できます。


                      (注)  


                      AAA アカウンティング ルールには少なくとも 1 つの方式が含まれている必要があります。 ルールに複数の方式が含まれている場合にのみ、方式を削除できます。


                      手順
                        ステップ 1   [Feature Selector] ペインで、[Security] > [AAA] > [Rules] を選択します。
                        ステップ 2   [Summary] ペインで、デバイスをダブルクリックします。
                        ステップ 3   [Accounting Rules] をダブルクリックして、アカウンティング ルールのリストを表示します。
                        ステップ 4   方式を削除するルールをクリックします。

                        [Details] ペインに [Accounting Rules] タブが表示されます。

                        ステップ 5   削除する方式をクリックします。
                        (注)     

                        シーケンス番号が 2 以上の方式だけを削除できます。 シーケンス番号 1 のルールを削除するには、最初に方式を再編成する必要があります。

                        ステップ 6   右クリックして、ポップアップ メニューから [Delete Method] をクリックします。

                        ルールがリストから消え、シーケンス番号が更新されます。

                        ステップ 7   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                        Cisco NX-OS デバイスによる AAA サーバの VSA の使用

                        Vendor-Specific Attribute(VSA; ベンダー固有属性)を使用して、AAA サーバ上で Cisco NX-OS のユーザ ロールおよび SNMPv3 パラメータを指定できます。

                        VSA について

                        Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)が、ネットワーク アクセス サーバと RADIUS サーバの間での VSA の通信のための方式を規定する標準を作成しています。 IETF は、属性 26 を使用します。 VSA を使用するとベンダーは、一般的な用途には適合しない独自の拡張属性をサポートできます。 シスコの RADIUS 実装は、この仕様で推奨される形式を使用して、1 つのベンダー固有オプションをサポートしています。 シスコのベンダー ID は 9、サポートされるオプションのベンダー タイプは 1(名前付き cisco-av-pair)です。 値は、次の形式のストリングです。

                        protocol : attribute separator value *
                        
                        

                        protocol は、特定の許可タイプを表すシスコの属性です。separator は、必須属性の場合に =(等号)、オプションの属性の場合に *(アスタリスク)です。

                        Cisco NX-OS デバイス上の認証に RADIUS サーバを使用した場合、RADIUS プロトコルでは RADIUS サーバに対して、認証結果とともに権限付与情報などのユーザ属性を返すように指示します。 この許可情報は、VSA で指定されます。

                        VSA の形式

                        Cisco NX-OS ソフトウェアでは次の VSA プロトコル オプションをサポートしています。

                        Shell
                        ユーザ プロファイル情報を提供する access-accept パケットで使用されるプロトコル。
                        アカウンティング
                        accounting-request パケットで使用されるプロトコル。 値にスペースが含まれている場合は、二重引用符で囲んでください。

                        次の属性が Cisco NX-OS ソフトウェアでサポートされています。

                        roles

                        ユーザに割り当てられたすべてのロールの一覧です。 値フィールドは、グループ名を空白で区切ったリストの入ったストリングです。 たとえば、ユーザが network-operator および vdc-admin のロールに属している場合、値フィールドは network-operator vdc-admin となります。 このサブ属性は Access-Accept フレームの VSA 部分に格納され、RADIUS サーバから送信されます。この属性は shell プロトコル値とだけ併用できます。 次に、ロール属性を使用する例を示します。

                        shell:roles=network-operator vdc-admin 
                        shell:roles*network-operator vdc-admin
                        
                        

                        次に、FreeRADIUS でサポートされるロール属性の例を示します。

                        Cisco-AVPair = shell:roles=\network-operator vdc-admin\ 
                        Cisco-AVPair = shell:roles*\network-operator vdc-admin\ 
                        
                        

                        (注)  


                        VSA を shell:roles*"network-operator vdc-admin" または "shell:roles*\"network-operator vdc-admin\"" として指定した場合、この VSA はオプション属性としてフラグ設定され、他のシスコ デバイスはこの属性を無視します。


                        accountinginfo
                        標準の RADIUS アカウンティング プロトコルに含まれる属性とともにアカウンティング情報を格納します。 この属性が送信されるのは、スイッチ上の RADIUS クライアントからの Account-Request フレームの VSA 部分内だけです。この属性は、アカウンティング プロトコル関連の PDU でしか使用できません。

                        AAA サーバ上での Cisco NX-OS のユーザ ロールおよび SNMPv3 パラメータの指定

                        AAA サーバ上で VSA に cisco-av-pair を使用して、次の形式で Cisco NX-OS デバイスのユーザ ロールのマッピングを指定できます。

                        shell:roles="roleA roleB …"
                        
                        

                        cisco-av-pair 属性にロール オプションを指定しなかった場合のデフォルトのユーザ ロールは、network-operator です。

                        次のように SNMPv3 認証とプライバシー プロトコル属性を指定することもできます。

                        shell:roles="roleA roleB..." snmpv3:auth=SHA priv=AES-128 
                        
                        

                        SNMPv3 認証プロトコルに指定できるオプションは、SHA と MD5 です。 プライバシー プロトコルに指定できるオプションは、AES-128 と DES です。 cisco-av-pair 属性にこれらのオプションを指定しなかった場合のデフォルトの認証プロトコルは、MD5 と DES です。

                        AAA のフィールドの説明

                        ここでは、Cisco Data Center Network Manager(DCNM)で AAA を設定するためのフィールドについて説明します。

                        [Security]:[AAA]:[Rules]:[Summary] ペイン

                        表 3 [Security]:[AAA]:[Rules]:[Summary] ペイン

                        フィールド

                        説明

                        Name

                        ルール名。 すべてのルールの名前は default になります。

                        Service

                        サービス タイプ。

                        Sub Service

                        サブサービス タイプ。

                        Methods

                        ルールの方式。

                        [Security]:[AAA]:[Rules]:[device]:[Authentication Rules]:[Rule]:[Authentication Rules] タブ

                        表 4  [Security]:[AAA]:[Rules]:[Device]:[Authentication Rules]:[Rule]:[Authentication Rules] タブ

                        フィールド

                        説明

                        Rule name

                        ルール名。 すべてのルールの名前は default になります。

                        Service Type

                        サービス タイプ。

                        Sub Service Type

                        サブサービス タイプ。

                        Methods

                        Sequence

                        方式が実行される順序を決定するシーケンス番号。

                        Type

                        方式タイプ。

                        Server Group Name

                        サーバ グループ名。

                        [Security]:[AAA]:[Rules]:[device]:[Accounting Rules]:[Rule]:[Accounting Rules] タブ

                        このタブを使用すると、AAA アカウンティング ルールを設定できます。

                        表 5  [Security]:[AAA]:[Rules]:[Device]:[Accounting Rules]:[Rule]:[Accounting Rules] タブ

                        フィールド

                        説明

                        Rule name

                        ルールの名前。 すべてのルールの名前は default になります。

                        Service Type

                        サービスのタイプ。

                        Notify

                        未使用。

                        BroadCast

                        未使用。

                        Methods

                        Sequence

                        方式が実行される順序を決定するシーケンス番号。

                        Type

                        方式のタイプ。

                        Server Group Name

                        サーバ グループの名前。

                        [Security]:[AAA]:[Server Groups]:[device]:[Settings] タブ

                        表 6 [Security]:[AAA]:[Server Groups]:[device]:[Settings] タブ

                        フィールド

                        説明

                        AAA authentication

                        AAA 認証のタイプ。 オプションは、[ASCII]、[MSCHAP]、[MSCHAPv2]、および [NONE] です。 デフォルト設定は [NONE] です。

                        Assign default user role

                        AAA 認証のためのデフォルト ユーザ ロールをイネーブルにするために使用します。 デフォルト設定はイネーブルです。

                        Display failure message in console

                        ログイン認証失敗メッセージをイネーブルにするために使用します。 デフォルト設定はディセーブルです。

                        AAA に関する追加情報

                        ここでは、AAA の実装に関する追加情報について説明します。

                        関連資料

                        関連項目

                        参照先

                        Cisco NX-OS のライセンス

                        Cisco NX-OS ライセンス ガイド

                        Cisco DCNM ライセンス設定

                        『Cisco DCNM Installation and Licensing Guide, Release 5.x』

                        標準

                        標準

                        タイトル

                        この機能では、新規の標準がサポートされることも、一部変更された標準がサポートされることもありません。また、既存の標準に対するサポートが変更されることもありません。

                        MIB

                        MIB

                        MIB のリンク

                        • CISCO-AAA-SERVER-MIB
                        • CISCO-AAA-SERVER-EXT-MIB

                        MIB を検索およびダウンロードするには、次の URL にアクセスしてください。

                        http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml

                        AAA 機能の履歴

                        次の表に、この機能のリリースの履歴を示します。

                        表 7  AAA 機能の履歴

                        機能名

                        リリース

                        機能情報

                        AAA

                        5.2(1)

                        Cisco Nexus 3000 シリーズ スイッチのサポートが追加されました。

                        AAA

                        5.1(1)

                        Release 5.0 以降、変更はありません。

                        AAA 認証

                        5.0(2)

                        ユーザ ログインに対する AAA 認証のイネーブル化またはディセーブル化のサポートが追加されました。

                        AAA 認証

                        5.0(2)

                        ユーザ ロールを持たないリモート ユーザに、デフォルトのユーザ ロールを使用して、RADIUS または TACACS+ リモート認証によって Cisco NX-OS デバイスにログインすることがサポートされるようになりました。

                        ログイン認証

                        5.0(2)

                        ログイン認証失敗メッセージのイネーブル化またはディセーブル化のサポートが追加されました。