Cisco DCNM for LAN セキュリティ コンフィギュレーション ガイド リリース 5.x
TACACS+ の設定
TACACS+ の設定
発行日;2012/09/13   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

TACACS+ の設定

この章では、Cisco NX-OS デバイス上で Terminal Access Controller Access Control System Plus(TACACS+)プロトコルを設定する手順について説明します。

この章は、次の内容で構成されています。

TACACS+ について

TACACS+ は、Cisco NX-OS デバイスにアクセスしようとするユーザの検証を集中的に行うセキュリティ プロトコルです。 TACACS+ サービスは、通常 UNIX または Windows NT ワークステーション上で動作する TACACS+ デーモンのデータベースで管理されます。 Cisco NX-OS デバイスに設定した TACACS+ 機能を使用可能にするには、TACACS+ サーバにアクセスして TACACS+ サーバを設定しておく必要があります。

TACACS+ では、認証、許可、アカウンティングの各ファシリティを個別に提供します。 TACACS+ では、単一のアクセス コントロール サーバ(TACACS+ デーモン)が各サービス(認証、許可、およびアカウンティング)を別個に提供します。 各サービスを固有のデータベースに結合し、デーモンの機能に応じてそのサーバまたはネットワークで使用できる他のサービスを使用できます。

TACACS+ クライアント/サーバ プロトコルでは、トランスポート要件を満たすため TCP(TCP ポート 49)を使用します。 Cisco NX-OS デバイスは、TACACS+ プロトコルを使用して集中型の認証を行います。

TACACS+ の利点

TACACS+ には、RADIUS 認証にはない次の利点があります。

  • 独立した AAA ファシリティを提供する。 たとえば Cisco NX-OS デバイスは、認証を行わずにアクセスを許可できます。
  • AAA クライアントとサーバ間のデータ送信に TCP トランスポート プロトコルを使用しているため、コネクション型プロトコルによる確実な転送を実行する。
  • スイッチと AAA サーバ間でプロトコル ペイロード全体を暗号化して、高度なデータ機密性を実現する。 RADIUS プロトコルはパスワードだけを暗号化します。

ユーザ ログインにおける TACACS+ の動作

TACACS+ を使用する Cisco NX-OS デバイスに対して、ユーザが Password Authentication Protocol(PAP; パスワード認証プロトコル)ログインを試みると、次の処理が行われます。


(注)  


TACACS+ では、デーモンがユーザを認証するために十分な情報を得られるまで、デーモンとユーザとの自由な対話を許可します。 通常、デーモンはユーザ名とパスワードを入力するよう求めますが、ユーザの母親の旧姓などの追加項目を求めることもできます。


  1. Cisco NX-OS デバイスは接続が確立されると、ユーザ名とパスワードを取得するために TACACS+ デーモンに接続します。
  2. Cisco NX-OS デバイスは、最終的に TACACS+ デーモンから次のいずれかの応答を得ます。
    ACCEPT
    ユーザの認証に成功したので、サービスを開始します。 Cisco NX-OS デバイスがユーザ許可を必要とする場合は、許可処理が始まります。
    REJECT
    ユーザの認証に失敗しました。 TACACS+ デーモンは、ユーザに対してそれ以上のアクセスを拒否するか、ログイン シーケンスを再試行するよう要求します。
    ERROR
    デーモンによる認証サービスの途中でエラーが発生したか、またはデーモンと Cisco NX-OS デバイスの間のネットワーク接続でエラーが発生しました。 Cisco NX-OS デバイスは ERROR 応答を受信した場合、別の方法でユーザの認証を試行します。
    認証が終了し、NX-OS デバイスで許可がイネーブルになっていれば、続いてユーザの許可フェーズに入ります。 ユーザは TACACS+ 許可に進む前に、まず TACACS+ 認証を正常に完了する必要があります。
  3. TACACS+ 許可が必要な場合、Cisco NX-OS デバイスは再び TACACS+ デーモンに接続します。デーモンから ACCEPT または REJECT 応答が返されます。 ACCEPT 応答には、ユーザに対する EXEC または NETWORK セッションの送信に使用される属性が含まれます。また ACCEPT 応答により、ユーザがアクセス可能なサービスが決まります。 この場合のサービスは次のとおりです。
    • Telnet、rlogin、Point-to-Point Protocol(PPP; ポイントツーポイント プロトコル)、Serial Line Internet Protocol(SLIP;シリアル ライン インターネット プロトコル)、EXEC サービス
    • 接続パラメータ(ホストまたはクライアントの IP アドレス(IPv4 または IPv6)、アクセス リスト、ユーザ タイムアウト)

デフォルトの TACACS+ サーバ暗号化タイプおよび秘密キー

スイッチを TACACS+ サーバに対して認証するには、TACACS+ 秘密キーを設定する必要があります。 秘密キーは、Cisco NX-OS デバイスと TACACS+ サーバ ホストの間で共有される秘密テキスト ストリングです。 キーの長さは 63 文字で、出力可能な任意の ASCII 文字を含めることができます(スペースは使用できません)。 Cisco NX-OS デバイス上のすべての TACACS+ サーバの設定には、グローバル事前共有キーを使用できます。

グローバルな秘密キーの設定は、個々の TACACS+ サーバの設定時に無効にできます。

TACACS+ サーバのモニタリング

応答を返さない TACACS+ サーバがあると、AAA 要求の処理に遅延が発生する可能性があります。 AAA 要求の処理時間を短縮するために、TACACS+ サーバを定期的にモニタして TACACS+ サーバが応答している(アライブ)かどうかを調べることができます。 Cisco NX-OS デバイスは、応答の遅い TACACS+ サーバをデッド(dead)としてマークし、デッド TACACS+ サーバには AAA 要求を送信しません。 Cisco NX-OS デバイスはデッド TACACS+ サーバを定期的にモニタし、応答があればアライブ状態に戻します。 このモニタリング プロセスでは、実際の AAA 要求が送信される前に、TACACS+ サーバが稼働状態であることを確認します。 TACACS+ サーバがデッドまたはアライブの状態に変わると簡易ネットワーク管理プロトコル(SNMP)トラップが生成され、Cisco NX-OS デバイスはパフォーマンスに影響が出る前に、障害が発生していることをエラー メッセージで表示します。

図 1. TACACS+ サーバの状態. 次の図に、TACACS+ サーバ モニタリングのサーバの状態を示します。


(注)  


アライブ サーバとデッド サーバのモニタリング間隔は異なります。これらはユーザが設定できます。 TACACS+ サーバ モニタリングを実行するには、テスト認証要求を TACACS+ サーバに送信します。


TACACS+ 設定の配布

Cisco Fabric Services(CFS)を使用すると、Cisco NX-OS デバイスからネットワーク上の他の Cisco NX-OS デバイスに TACACS+ 設定を配布できます。 使用しているデバイスにおいて、ある機能に対して CFS 配布をイネーブルにすると、そのデバイスは CFS 領域に属します。この CFS 領域には、その機能に対して CFS 配布をイネーブルにしているネットワーク上の他のデバイスが含まれます。 TACACS+ に対する CFS 配布はデフォルトではディセーブルになっています。


(注)  


設定変更を配布する場合は、TACACS+ に対する CFS を各デバイスで明示的にイネーブルにする必要があります。


使用している Cisco NX-OS デバイスで TACACS+ に対する CFS 配布をイネーブルにした後、最初に入力した TACACS+ コンフィギュレーション コマンドによって、Cisco NX-OS ソフトウェアで次の処理が行われます。

  • Cisco NX-OS デバイスで CFS セッションを作成します。
  • TACACS+ に対する CFS がイネーブルにされている CFS 領域で、すべての Cisco NX-OS デバイスの TACACS+ 設定をロックします。
  • TACACS+ の設定変更を Cisco NX-OS デバイスの一時バッファに保存します。

この変更は、CFS 領域にあるデバイスに対して配布するよう明示的にコミットするまで、Cisco NX-OS デバイスの一時バッファに存在します。 変更をコミットすると、Cisco NX-OS ソフトウェアが次の処理を実行します。

  • Cisco NX-OS デバイスの実行コンフィギュレーションに変更を適用します。
  • 更新された TACACS+ 設定を CFS 領域内にある他の Cisco NX-OS デバイスに配布します。
  • CFS 領域内にある他のデバイスの TACACS+ 設定のロックを解除します。
  • CFS セッションを終了します。

CFS では TACACS+ サーバ グループの設定、定期的な TACACS+ サーバのテスト設定、およびサーバ キーとグローバル キーは配布しません。 キーは Cisco NX-OS デバイスに対して一意であり、他の Cisco NX-OS デバイスと共有できません。

CFS の詳細については、『Cisco Nexus 7000 Series NX-OS System Management Configuration Guide』を参照してください。

TACACS+ のベンダー固有属性

Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)ドラフト標準には、ネットワーク アクセス サーバと TACACS+ サーバの間で Vendor-Specific Attribute(VSA; ベンダー固有属性)を伝達する方法が規定されています。 IETF は、属性 26 を使用します。 VSA を使用するとベンダーは、一般的な用途には適合しない独自の拡張属性をサポートできます。

TACACS+ 用の Cisco VSA 形式

シスコの TACACS+ 実装では、IETF 仕様で推奨される形式を使用したベンダー固有オプションを 1 つサポートしています。 シスコのベンダー ID は 9、サポートされるオプションのベンダー タイプは 1(名前付き cisco-av-pair)です。 値は、次の形式のストリングです。

protocol : attribute separator value *

protocol は、特定の許可タイプを表すシスコの属性です。separator は、必須属性の場合に =(等号)、オプションの属性の場合に *(アスタリスク)です。

Cisco NX-OS デバイスでの認証に TACACS+ サーバを使用した場合、TACACS+ プロトコルは TACACS+ サーバに対し、認証結果とともに権限付与情報などのユーザ属性を返すように指示します。 この許可情報は、VSA で指定されます。

Cisco NX-OS ソフトウェアでは次の VSA プロトコル オプションをサポートしています。

Shell
ユーザ プロファイル情報を提供する access-accept パケットで使用されるプロトコル。
Accounting
accounting-request パケットで使用されるプロトコル。 値にスペースが含まれている場合は、二重引用符で囲む必要があります。

Cisco NX-OS ソフトウェアは、次の属性をサポートしています。

roles

ユーザが属するすべてのロールの一覧です。 値フィールドは、スペースで区切られたロール名を一覧表示したストリングです。 たとえば、ユーザが network-operator および vdc-admin のロールに属している場合、値フィールドは network-operator vdc-admin となります。 このサブ属性は Access-Accept フレームの VSA 部分に格納され、TACACS+ サーバから送信されます。この属性はシェル プロトコル値とだけ併用できます。 次に、Cisco ACS でサポートされるロール属性の例を示します。

shell:roles=network-operator vdc-admin 

shell:roles*network-operator vdc-admin


(注)  


VSA を shell:roles*"network-operator vdc-admin" として指定した場合、この VSA はオプション属性としてフラグ設定され、他のシスコ デバイスはこの属性を無視します。


accountinginfo
標準の TACACS+ アカウンティング プロトコルに含まれる属性とともにアカウンティング情報を格納します。 この属性は、スイッチ上の TACACS+ クライアントから、Account-Request フレームの VSA 部分にだけ格納されて送信されます。 この属性と共に使用できるのは、アカウンティングの Protocol Data Unit(PDU; プロトコル データ ユニット)だけです。

TACACS+ のライセンス要件

次の表に、この機能のライセンス要件を示します。

製品

ライセンス要件

Cisco DCNM

TACACS+ にはライセンスは必要ありません。 ライセンス パッケージに含まれていない機能は Cisco DCNM にバンドルされており、無料で提供されます。 Cisco DCNM ライセンス方式についての詳細は、『Cisco DCNM Installation and Licensing Guide, Release 5.x』を参照してください。

Cisco NX-OS

TACACS+ にはライセンスは必要ありません。 ライセンス パッケージに含まれていない機能はすべて Cisco NX-OS システム イメージにバンドルされており、追加費用は一切発生しません。 各プラットフォームの Cisco NX-OS ライセンス スキームの説明については、そのプラットフォームのライセンス ガイドを参照してください。

TACACS+ の前提条件

Cisco DCNM の機能を使用するための前提条件は、次のとおりです。 機能固有の前提条件については、プラットフォームのマニュアルを参照してください。

  • TACACS+ のシステム メッセージ ログ レベルが、Cisco DCNM 要件を満たすか上回ること。 デバイス検出時に、ログ レベルが不適切であることが検出された場合は、最低限必要なレベルまで Cisco DCNM によって引き上げられます。 ただし、Cisco Nexus 7000 シリーズ スイッチで Cisco NX-OS Release 4.0 を実行する場合は例外です。 Cisco NX-OS Release 4.0 の場合は、デバイスの検出を行う前に、コマンドライン インターフェイスを使用して Cisco DCNM の要件を満たすか、上回るようにログ レベルを設定してください。 詳細については、を参照してください。

TACACS+ をサポートしているプラットフォーム

この機能をサポートするプラットフォームは次のとおりです。ただし、実装方法は異なる場合があります。 注意事項や制約事項、システムのデフォルト値、コンフィギュレーションの制限などに関するプラットフォーム固有の情報については、対応するマニュアルを参照してください。

プラットフォーム マニュアル
Cisco Nexus 1000V シリーズ スイッチ Cisco Nexus 1000V シリーズ スイッチのマニュアル
Cisco Nexus 3000 シリーズ スイッチ Cisco Nexus 3000 シリーズ スイッチのマニュアル
Cisco Nexus 4000 シリーズ スイッチ Cisco Nexus 4000 シリーズ スイッチのマニュアル
Cisco Nexus 5000 シリーズ スイッチ Cisco Nexus 5000 シリーズ スイッチ マニュアル
Cisco Nexus 7000 シリーズ スイッチ Cisco Nexus 7000 シリーズ スイッチのマニュアル

TACACS+ の設定

ここでは、Cisco NX-OS デバイスで TACACS+ を設定する手順を説明します。


(注)  


Cisco IOS の CLI に慣れている場合、この機能に対応する Cisco NX-OS コマンドは通常使用する Cisco IOS コマンドと異なる場合があるので注意してください。


TACACS+ サーバの設定プロセス

手順
    ステップ 1   TACACS+ をイネーブルにします。
    ステップ 2   TACACS+ サーバと Cisco NX-OS デバイスの接続を確立します。
    ステップ 3   TACACS+ サーバの秘密キーを設定します。
    ステップ 4   必要に応じて、AAA 認証方式用に、TACACS+ サーバのサブセットを使用して TACACS+ サーバ グループを設定します。
    ステップ 5   (任意)TCP ポートを設定します。
    ステップ 6   (任意)必要に応じて、TACACS+ サーバの定期モニタリングを設定します。

    TACACS+ のイネーブル化

    デフォルトでは、デバイスの TACACS+ 機能はディセーブルに設定されています。 認証に関するコンフィギュレーション コマンドと検証コマンドを使用するには、TACACS+ 機能を明示的にイネーブルにする必要があります。

    手順
      ステップ 1   [Feature Selector] ペインで、[Security] > [AAA] > [Server Groups] を選択します。
      ステップ 2   [Summary] ペインで、デバイスをクリックします。
      ステップ 3   メニュー バーで、[Actions] > [Enable TACACS] を選択します。
      ステップ 4   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

      TACACS+ サーバ ホストの追加

      リモートの TACACS+ サーバにアクセスするには、TACACS+ サーバ ホストを追加して、デバイス上でその TACACS+ サーバの IP アドレスかホスト名を設定する必要があります。 最大 64 の TACACS+ サーバを追加できます。


      (注)  


      TACACS+ サーバの IP アドレスまたはホスト名を Cisco NX-OS デバイスに設定するとき、デフォルトでは TACACS+ サーバはデフォルトの TACACS+ サーバ グループに追加されます。 TACACS+ サーバは別の TACACS+ サーバ グループに追加することもできます。


      はじめる前に

      リモート TACACS+ サーバの IP アドレス(IPv4 または IPv6)またはホスト名を取得していること。

      手順
        ステップ 1   [Feature Selector] ペインで、[Security] > [AAA] > [Server Groups] を選択します。
        ステップ 2   [Summary] ペインで、デバイスをダブルクリックしてサーバ グループを表示します。
        ステップ 3   [Default TACACS Server Group] をクリックします。
        ステップ 4   メニュー バーで、[Actions] > [Add Server] を選択します。 [Details] ペインに [Server Details] が表示されます。
        ステップ 5   [Server] フィールドに、TACACS+ サーバの IPv4 アドレス、IPv6 アドレス、またはホスト名を入力します。
        ステップ 6   [Server] ドロップダウン リストから、適切なサーバ ID タイプとして IPv4 アドレス、IPv6 アドレス、またはホスト名のいずれかを選択します。
        (注)     

        サーバ ID 形式が選択した ID タイプに一致する場合は、ID が正しいことを示す黄色で [Server] フィールドが囲まれます。 サーバ ID 形式が ID タイプに一致しない場合は、エラーを示す赤色で [Server] フィールドが囲まれます。 アドレスまたはアドレス タイプを変更して、この問題を解決してください。

        ステップ 7   (任意) [Authentication Port] フィールドで、新しい TCP ポート番号を入力するか、フィールドをクリアして認証をディセーブルにします。 デフォルトの認証 TCP ポートは 49 です。
        ステップ 8   (任意) [Test] 領域に、定期サーバ ホスト モニタリングのユーザ名、パスワード、およびアイドル時間間隔(分)を入力できます。 デフォルト ユーザ名は test、デフォルト パスワードは test です。また、デフォルトのアイドル時間間隔は 0 分で、このときは定期モニタリングがディセーブルになります。
        ステップ 9   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

        TACACS+ サーバ ホストのコピー

        TACACS+ サーバ ホストの設定を、TACACS+ サーバから、同じ Cisco NX-OS デバイス上または別の Cisco NX-OS デバイス上の別のサーバ グループにコピーできます。

        はじめる前に

        デフォルトの TACACS+ サーバ グループ内でサーバが設定されていることを確認します。

        ターゲット TACACS+ サーバ グループが作成してあることを確認します。

        手順
          ステップ 1   [Feature Selector] ペインで、[Security] > [AAA] > [Server Groups] を選択します。
          ステップ 2   [Summary] ペインで、デバイスをダブルクリックしてサーバ グループを表示します。
          ステップ 3   [Default TACACS Server Group] をダブルクリックします。

          TACACS+ サーバ ホストのリストが表示されます。

          ステップ 4   コピーする TACACS+ サーバ ホストをクリックします。
          ステップ 5   メニュー バーで、[Actions] > [Copy] を選択します。

          サーバ グループのサーバのリストに TACACS+ サーバ ホストが表示されます。

          ステップ 6   宛先 TACACS+ サーバ グループをクリックします。
          (注)     

          サーバ ホスト コンフィギュレーションは、同じデバイス内または別のデバイスのサーバ グループにコピーできます。

          ステップ 7   メニュー バーで、[Actions] > [Paste] を選択します。
          ステップ 8   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

          TACACS+ サーバ ホストの削除

          サーバ グループから TACACS+ サーバ ホストを削除できます。

          手順
            ステップ 1   [Feature Selector] ペインで、[Security] > [AAA] > [Server Groups] を選択します。
            ステップ 2   [Summary] ペインで、デバイスをダブルクリックしてサーバ グループを表示します。
            ステップ 3   サーバ グループをダブルクリックして、サーバ ホストのリストを表示します。
            ステップ 4   削除する TACACS+ サーバ ホストをクリックします。
            ステップ 5   メニュー バーで [Actions] > [Delete Server] を選択して、確認ダイアログで [Yes] をクリックします。 リストに TACACS+ サーバ ホストが表示されなくなります。
            ステップ 6   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

            TACACS+ グローバル キーの設定

            デバイスで使用するすべてのサーバについて、グローバル レベルで秘密キーを設定できます。 秘密キーとは、デバイスと TACACS+ サーバ ホスト間の共有秘密テキスト ストリングです。

            はじめる前に

            リモート TACACS+ サーバの秘密キーの値を取得します。

            手順
              ステップ 1   [Feature Selector] ペインで、[Security] > [AAA] > [Server Groups] を選択します。
              ステップ 2   [Summary] ペインで、デバイスをダブルクリックしてサーバ グループを表示します。
              ステップ 3   [Default TACACS Server Group] をクリックします。
              ステップ 4   [Details] ペインで、[Global Settings] タブをクリックします。
              ステップ 5   [Key] フィールドに、秘密キーを入力します。
              ステップ 6   (任意) [Encrypt] をオンにして、キーを暗号化します。 デフォルトはクリア テキストです。 Cisco NX-OS ソフトウェアでは、実行コンフィギュレーションに保存する前にクリア テキストのキーを暗号化します。
              ステップ 7   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

              特定の TACACS+ サーバ用のキーの設定

              TACACS+ サーバの秘密キーを設定できます。 秘密キーは、Cisco NX-OS デバイスと TACACS+ サーバ ホストとの間の共有秘密テキスト ストリングです。

              はじめる前に

              1 つまたは複数の TACACS+ サーバ ホストを設定します。

              リモート TACACS+ サーバの秘密キーの値を取得します。

              手順
                ステップ 1   [Feature Selector] ペインで、[Security] > [AAA] > [Server Groups] を選択します。
                ステップ 2   [Summary] ペインで、デバイスをダブルクリックしてサーバ グループを表示します。
                ステップ 3   [Default TACACS Server Group] をダブルクリックして、TACACS+ サーバのリストを表示します。
                ステップ 4   目的の TACACS+ サーバをクリックします。
                ステップ 5   [Details] ペインで、[Server Details] タブをクリックします。
                ステップ 6   [Override Defaults] をオンにします。
                ステップ 7   [Key] フィールドに、秘密キーを入力します。 デフォルトはグローバル秘密キーです。
                ステップ 8   (任意) [Encrypt] をオンにして、キーを暗号化します。 デフォルトはクリア テキストです。
                ステップ 9   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                TACACS+ サーバ グループの追加

                サーバ グループを使用して、1 台または複数台のリモート AAA サーバによるユーザ認証を参照することができます。 グループのメンバーはすべて、TACACS+ プロトコルに属している必要があります。 設定した順序に従ってサーバが試行されます。

                これらのサーバ グループはいつでも設定できますが、設定したグループを有効にするには、AAA サービスに適用する必要があります。

                はじめる前に

                1 つまたは複数の TACACS+ サーバ ホストを設定します。

                手順
                  ステップ 1   [Feature Selector] ペインで、[Security] > [AAA] > [Server Groups] を選択します。
                  ステップ 2   [Summary] ペインで、デバイスをクリックします。
                  ステップ 3   メニュー バーで、[Actions] > [Add Server Group] を選択します。 デバイスのサーバ グループ リストの末尾に新しい行が表示され、[Details] ペインに [Details] タブが表示されます。
                  ステップ 4   [Server Group Name] フィールドに名前を入力して、Enter キーを押します。 サーバ グループ名は、最大 127 文字の長さの英数字のストリングで、大文字小文字が区別されます。
                  ステップ 5   (任意) [Dead time(mins)] フィールドに、デッドタイム間隔の分数を入力します。 デフォルトのデッドタイム間隔は 0 分です。
                  ステップ 6   [VRF Name] フィールドで、下向きの矢印をクリックして [VRF Name] ダイアログを表示し、VRF をクリックします。 [OK] をクリックします。
                  ステップ 7   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                  TACACS+ サーバ グループへの TACACS+ サーバ ホストの追加

                  TACACS+ サーバ グループに TACACS+ サーバ ホストを追加できます。

                  はじめる前に

                  [Default TACACS+ Server Group] に TACACS+ サーバ ホストが追加されていることを確認します。

                  手順
                    ステップ 1   [Feature Selector] ペインで、[Security] > [AAA] > [Server Groups] を選択します。
                    ステップ 2   [Summary] ペインで、デバイスをダブルクリックしてサーバ グループを表示します。
                    ステップ 3   TACACS+ サーバ グループをクリックします。
                    ステップ 4   メニュー バーで、[Actions] > [Add Server] を選択します。 [Details] ペインに [Server Details] が表示されます。
                    ステップ 5   [Server] フィールドに、TACACS+ サーバの IPv4 アドレス、IPv6 アドレス、またはホスト名を入力します。
                    ステップ 6   [Server] ドロップダウン リストから、適切なサーバ ID タイプとして IPv4 アドレス、IPv6 アドレス、またはホスト名のいずれかを選択します。
                    (注)     

                    サーバ ID 形式が選択した ID タイプに一致する場合は、ID が正しいことを示す黄色で [Server] フィールドが囲まれます。 サーバ ID 形式が ID タイプに一致しない場合は、エラーを示す赤色で [Server] フィールドが囲まれます。 アドレスまたはアドレス タイプを変更して、この問題を解決してください。

                    ステップ 7   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                    TACACS+ サーバ グループからの TACACS+ サーバ ホストの削除

                    TACACS+ サーバ グループから TACACS+ サーバ ホストを削除できます。

                    手順
                      ステップ 1   [Feature Selector] ペインで、[Security] > [AAA] > [Server Groups] を選択します。
                      ステップ 2   [Summary] ペインで、デバイスをダブルクリックしてサーバ グループを表示します。
                      ステップ 3   サーバ グループをダブルクリックして、サーバ ホストのリストを表示します。
                      ステップ 4   削除する TACACS+ サーバ ホストをクリックします。
                      ステップ 5   メニュー バーで [Actions] > [Delete Server] を選択して、確認ダイアログで [Yes] をクリックします。 リストに TACACS+ サーバ ホストが表示されなくなります。
                      ステップ 6   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                      TACACS+ サーバ グループの削除

                      TACACS+ サーバ グループを削除できます。

                      手順
                        ステップ 1   [Feature Selector] ペインで、[Security] > [AAA] > [Server Groups] を選択します。
                        ステップ 2   [Summary] ペインでデバイスをダブルクリックして、サーバ グループのリストを表示します。
                        ステップ 3   削除する TACACS+ サーバ グループをクリックします。
                        ステップ 4   メニュー バーで [Actions] > [Delete Server Group] を選択して、確認ダイアログで [Yes] をクリックします。 サーバ グループ リストにサーバ グループが表示されなくなります。
                        ステップ 5   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                        TACACS+ サーバ グループのためのグローバル発信元インターフェイスの設定

                        TACACS+ サーバ グループにアクセスする際に使用する、TACACS+ サーバ グループ用のグローバル発信元インターフェイスを設定できます。 この設定を行うと、TACACS+ サーバはすべての発信 TACACS+ パケットについて、強制的に発信元インターフェイスの IP アドレスを使用するようになります。 デフォルトでは、Cisco NX-OS ソフトウェアは使用可能なあらゆるインターフェイスを使用します。

                        はじめる前に

                        正しい VDC 内にいることを確認します。

                        手順
                          ステップ 1   [Feature Selector] ペインで、[Security] > [AAA] > [Server Groups] を選択します。

                          [Summary] ペインに使用可能なデバイスが表示されます。

                          ステップ 2   [Summary] ペインで、デバイスをダブルクリックしてサーバ グループを表示します。
                          ステップ 3   [Default TACACS Server Group] をクリックします。
                          ステップ 4   [Details] ペインで、[Global Settings] タブをクリックします。
                          ステップ 5   [Source Interface] ドロップダウン リストから、イーサネット インターフェイス、ループバック インターフェイス、ポート チャネル インターフェイス、トンネル インターフェイス、VLAN インターフェイス、または管理インターフェイス(mgmt 0)を選択します。
                          ステップ 6   [OK] をクリックします。
                          ステップ 7   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                          特定の TACACS+ サーバ グループ用の発信元インターフェイスの設定

                          TACACS+ サーバにアクセスする際に使用する、特定の TACACS+ サーバ グループ用の発信元インターフェイスを設定できます。 この設定を行うと、TACACS+ サーバはすべての発信 TACACS+ パケットについて、強制的に発信元インターフェイスの IP アドレスを使用するようになります。


                          (注)  


                          この設定は、このサーバ グループのグローバル発信元インターフェイスよりも優先されます。


                          はじめる前に

                          正しい VDC 内にいることを確認します。

                          TACACS+ をイネーブルにします。

                          手順
                            ステップ 1   [Feature Selector] ペインで、[Security] > [AAA] > [Server Groups] を選択します。

                            [Summary] ペインに使用可能なデバイスが表示されます。

                            ステップ 2   [Summary] ペインで、デバイスをダブルクリックしてサーバ グループを表示します。
                            ステップ 3   目的の TACACS+ サーバ グループをクリックします。
                            ステップ 4   [Details] ペインで、[Details] タブをクリックします。
                            ステップ 5   [Source Interface] ドロップダウン リストから、イーサネット インターフェイス、ループバック インターフェイス、ポート チャネル インターフェイス、トンネル インターフェイス、VLAN インターフェイス、または管理インターフェイス(mgmt 0)を選択します。
                            ステップ 6   [OK] をクリックします。
                            ステップ 7   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                            ユーザによるログイン時の TACACS+ サーバ指定の許可

                            スイッチ上で directed-request(誘導要求)オプションをイネーブルにすることにより、認証要求の送信先の TACACS+ サーバをユーザが指定できるようになります。 デフォルトでは、デバイスはデフォルトの AAA 認証方式に基づいて認証要求を転送します。 このオプションをイネーブルにした場合、ユーザは username@vrfname:hostname としてログインできます。ここで、vrfname は使用する VRF、hostname は設定された TACACS+ サーバの名前です。


                            (注)  


                            directed-request オプションをイネーブルにすると、デバイスでは認証に TACACS+ 方式だけを使用し、デフォルトのローカル方式は使用しないようになります。



                            (注)  


                            ユーザ指定のログインは Telnet セッションに限りサポートされます。


                            手順
                              ステップ 1   [Feature Selector] ペインで、[Security] > [AAA] > [Server Groups] を選択します。
                              ステップ 2   [Summary] ペインで、デバイスをダブルクリックしてサーバ グループを表示します。
                              ステップ 3   [Default TACACS Server Group] をクリックします。
                              ステップ 4   [Details] ペインで、[Global Settings] タブをクリックします。
                              ステップ 5   [Direct Req] をオンにします。
                              ステップ 6   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                              グローバルな TACACS+ タイムアウト間隔の設定

                              デバイスがすべての TACACS+ サーバからの応答を待つグローバルなタイムアウト間隔を設定できます。これを過ぎるとタイムアウト エラーになります。 タイムアウト間隔には、デバイスが TACACS+ サーバからの応答を待つ時間を指定します。これを過ぎるとタイムアウト エラーになります。

                              手順
                                ステップ 1   [Feature Selector] ペインで、[Security] > [AAA] > [Server Groups] を選択します。
                                ステップ 2   [Summary] ペインで、デバイスをダブルクリックしてサーバ グループを表示します。
                                ステップ 3   [Default TACACS Server Group] をクリックします。
                                ステップ 4   [Details] ペインで、[Global Settings] タブをクリックします。
                                ステップ 5   [Time out(secs)] フィールドに、タイムアウト間隔の秒数を入力します。 デフォルトは 5 秒です。
                                ステップ 6   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                                TACACS+ サーバのタイムアウト間隔の設定

                                デバイスが、タイムアウト エラーを宣言する前に、TACACS+ サーバからの応答を待機するタイムアウト間隔を設定できます。 タイムアウト間隔には、デバイスが TACACS+ サーバからの応答を待つ時間を指定します。これを過ぎるとタイムアウト エラーになります。

                                はじめる前に

                                1 つまたは複数の TACACS+ サーバ ホストを設定します。

                                手順
                                  ステップ 1   [Feature Selector] ペインで、[Security] > [AAA] > [Server Groups] を選択します。
                                  ステップ 2   [Summary] ペインで、デバイスをダブルクリックしてサーバ グループを表示します。
                                  ステップ 3   [Default TACACS Server Group] をダブルクリックして、TACACS+ サーバのリストを表示します。
                                  ステップ 4   目的の TACACS+ サーバをクリックします。
                                  ステップ 5   [Details] ペインで、[Server Details] タブをクリックします。
                                  ステップ 6   [Override Defaults] をオンにします。
                                  ステップ 7   [Time out(secs)] フィールドに、タイムアウト間隔の秒数を入力します。 デフォルトは 5 秒です。
                                  ステップ 8   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                                  TCP ポートの設定

                                  別のアプリケーションとポート番号が競合している場合は、TACACS+ サーバ用に別の TCP ポートを設定できます。 デフォルトでは、デバイスはすべての TACACS+ 要求にポート 49 を使用します。

                                  はじめる前に

                                  1 つまたは複数の TACACS+ サーバ ホストを設定します。

                                  手順
                                    ステップ 1   [Feature Selector] ペインで、[Security] > [AAA] > [Server Groups] を選択します。
                                    ステップ 2   [Summary] ペインで、デバイスをダブルクリックしてサーバ グループを表示します。
                                    ステップ 3   [Default TACACS Server Group] をダブルクリックして、TACACS+ サーバのリストを表示します。
                                    ステップ 4   目的の TACACS+ サーバをクリックします。
                                    ステップ 5   [Details] ペインで、[Server Details] タブをクリックします。
                                    ステップ 6   [Authentication Port] フィールドで、新しい TCP ポート番号を入力するか、フィールドをクリアして認証をディセーブルにします。 デフォルトの認証 TCP ポートは 49 です。
                                    ステップ 7   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                                    TACACS+ サーバの定期的モニタリングの設定

                                    TACACS+ サーバの可用性をモニタリングできます。 パラメータとして、サーバに使用するユーザ名とパスワード、およびアイドル タイマーがあります。 アイドル タイマーには、TACACS+ サーバがどのくらいの期間要求を受信しなかった場合に、デバイスがテスト パケットを送信するかを指定します。 このオプションを設定して定期的にサーバをテストしたり、1 回だけテストを実行したりできます。


                                    (注)  


                                    ネットワークのセキュリティ保護のため、TACACS+ データベース内の既存のユーザ名と同じユーザ名を使用しないことを推奨します。


                                    テスト アイドル タイマーには、TACACS+ サーバがどのくらいの期間要求を受信しなかった場合に、デバイスがテスト パケットを送信するかを指定します。


                                    (注)  


                                    デフォルトのアイドル タイマー値は 0 分です。 アイドル時間間隔が 0 分の場合、TACACS+ サーバの定期モニタリングは実行されません。


                                    はじめる前に

                                    1 つまたは複数の TACACS+ サーバ ホストを設定します。

                                    手順
                                      ステップ 1   [Feature Selector] ペインで、[Security] > [AAA] > [Server Groups] を選択します。
                                      ステップ 2   [Summary] ペインで、デバイスをダブルクリックしてサーバ グループを表示します。
                                      ステップ 3   [Default TACACS Server Group] をダブルクリックして、TACACS+ サーバのリストを表示します。
                                      ステップ 4   目的の TACACS+ サーバをクリックします。
                                      ステップ 5   [Details] ペインで、[Server Details] タブをクリックします。
                                      ステップ 6   [User Name] フィールドに、ユーザ名を入力します。
                                      ステップ 7   [Password] フィールドに、パスワードを入力します。
                                      ステップ 8   [Idle Time] フィールドに、定期モニタリングの分数を入力します。
                                      ステップ 9   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                                      TACACS+ デッド タイム間隔の設定

                                      すべての TACACS+ サーバのデッド タイム間隔を設定できます。 デッド タイム間隔には、デバイスが TACACS+ サーバをデッド状態であると宣言した後、そのサーバがアライブ状態に戻ったかどうかを判断するためにテスト パケットを送信するまでの間隔を指定します。


                                      (注)  


                                      デッド タイム間隔が 0 分の場合、TACACS+ サーバは、応答を返さない場合でも、デットとしてマークされません。 デッド タイマーはグループ単位で設定できます。


                                      手順
                                        ステップ 1   [Feature Selector] ペインで、[Security] > [AAA] > [Server Groups] を選択します。
                                        ステップ 2   [Summary] ペインで、デバイスをダブルクリックしてサーバ グループを表示します。
                                        ステップ 3   [Default TACACS Server Group] をクリックします。
                                        ステップ 4   [Details] ペインで、[Global Settings] タブをクリックします。
                                        ステップ 5   [Dead time(mins)] フィールドに、分数を入力します。 デフォルト値は 0 分です。
                                        ステップ 6   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                                        TACACS+ のディセーブル化

                                        TACACS+ をディセーブルにできます。


                                        注意    


                                        TACACS+ をディセーブルにすると、関連するすべての設定が自動的に廃棄されます。


                                        手順
                                          ステップ 1   [Feature Selector] ペインで、[Security] > [AAA] > [Server Groups] を選択します。
                                          ステップ 2   [Summary] ペインで、デバイスをクリックします。
                                          ステップ 3   メニュー バーで、[Actions] > [Disable TACACS] を選択します。
                                          ステップ 4   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                                          TACACS+ 統計情報の表示

                                          デバイスが保持している TACACS+ のアクティビティに関する統計情報を表示します。

                                          はじめる前に

                                          1 つまたは複数の TACACS+ サーバ ホストを設定します。

                                          手順
                                            ステップ 1   [Feature Selector] ペインで、[Security] > [AAA] > [Server Groups] を選択します。
                                            ステップ 2   [Summary] ペインで、デバイスをダブルクリックしてサーバ グループを表示します。
                                            ステップ 3   [Default TACACS Server Group] をダブルクリックして、TACACS+ サーバのリストを表示します。
                                            ステップ 4   目的の TACACS+ サーバをクリックします。
                                            ステップ 5   [Details] ペインで、[Statistics] タブをクリックします。

                                            次の作業

                                            これで、サーバ グループも含めて AAA 認証方式を設定できるようになります。

                                            TACACS+ サーバ グループおよび TACACS+ サーバのフィールドの説明

                                            ここでは、Cisco DCNM の TACACS+ のフィールドについて説明します。

                                            [Security]:[AAA]:[Server Groups]:[Summary] ペイン

                                            表 1 [Security]:[AAA]:[Server Groups]:[Summary] ペイン

                                            フィールド

                                            説明

                                            Authentication Port

                                            サーバの認証トラフィック用の UDP ポート番号。 デフォルトは 49 です。

                                            Accounting Port

                                            サーバのアカウンティングに使用される UDP ポート。

                                            Timeout

                                            サーバのタイムアウト間隔の秒数。 デフォルト値は 5 秒です。

                                            Status

                                            サーバのステータス。

                                            [Security]:[AAA]:[Server Groups]:[device]:[Default TACACS Server Group]:[Global Settings] タブ

                                            表 2  [Security]:[AAA]:[Server Groups]:[device]:[Default TACACS Server Group]:[Global Settings] タブ

                                            フィールド

                                            説明

                                            Server Group Type

                                            サーバ グループ タイプは TACACS+。

                                            Time out(secs)

                                            タイムアウト間隔の秒数。 デフォルト値は 5 秒です。

                                            Key

                                            グローバル秘密キー。

                                            Source Interface

                                            TACACS+ サーバにアクセスする際に使用する、特定の TACACS+ サーバ グループ用の発信元インターフェイス。 オプションは、イーサネット インターフェイス、ループバック インターフェイス、または管理インターフェイス(mgmt 0)です。

                                            Dead time(mins)

                                            デッド タイム間隔の分数。 デフォルトは 0 分です。

                                            Direct Req

                                            ユーザは TACACS+ サーバをログイン時に指定できます。

                                            [Security]:[AAA]:[Server Groups]:[device]:[Default TACACS Server Group]:[server]:[Server Details] タブ

                                            表 3  [Security]:[AAA]:[Server Groups]:[device]:[Default TACACS Server Group]:[server]:[Server Details] タブ

                                            フィールド

                                            説明

                                            General

                                            Server Type

                                            サーバ タイプは TACACS+。

                                            Server

                                            サーバの IPv4 アドレス、IPv6 アドレス、または英数字名、およびサーバ名タイプ。

                                            Authentication Port

                                            認証トラフィック用の TCP ポート番号。 デフォルトは 49 です。

                                            Accounting Port

                                            アカウンティングに使用される TCP ポート。

                                            Test

                                            User Name

                                            TACACS+ サーバの定期モニタリング用ユーザ名。

                                            Password

                                            TACACS+ サーバの定期モニタリング用パスワード。

                                            Idle Time

                                            TACACS+ サーバの定期モニタリング用アイドル時間間隔の分数。 デフォルトは 0 で、このときは定期モニタリングがディセーブルになります。

                                            Override Default

                                            TACACS+ サーバに設定して上書きできるグローバル値。 デフォルトではグローバル値を使用します。

                                            Key

                                            TACACS+ サーバのサーバ秘密キー。

                                            Encrypt

                                            サーバ秘密キーの暗号化ステータス。 デフォルトはクリア テキストです。

                                            Timeout(secs)

                                            タイムアウト間隔の秒数。 デフォルト値は 5 秒です。

                                            [Security]:[AAA]:[Server Groups]:[device]:[server group]:[Details] タブ

                                            表 4  [Security]:[AAA]:[Server Groups]:[device]:[server group]:[Details] タブ

                                            フィールド

                                            説明

                                            Type

                                            サーバ グループ タイプに RADIUS が表示されます。

                                            Server Group Name

                                            サーバ グループ名が表示されます。

                                            Dead time(mins)

                                            サーバ グループのデッド タイム間隔の分数。 デフォルト値は 0 分です。

                                            VRF Name

                                            VRF 名。

                                            Source Interface

                                            RADIUS サーバにアクセスする際に使用する、特定の RADIUS サーバ グループ用の発信元インターフェイス。 オプションは、イーサネット インターフェイス、ループバック インターフェイス、または管理インターフェイス(mgmt 0)です。

                                            TACACS+ に関する追加情報

                                            ここでは、TACACS+ の実装に関する追加情報について説明します。

                                            関連資料

                                            関連項目

                                            参照先

                                            Cisco NX-OS のライセンス

                                            Cisco NX-OS ライセンス ガイド

                                            Cisco DCNM ライセンス設定

                                            『Cisco DCNM Installation and Licensing Guide, Release 5.x』

                                            VRF コンフィギュレーション

                                            標準

                                            標準

                                            タイトル

                                            この機能では、新規の標準がサポートされることも、一部変更された標準がサポートされることもありません。また、既存の標準に対するサポートが変更されることもありません。

                                            MIB

                                            MIB

                                            MIB のリンク

                                            • CISCO-AAA-SERVER-MIB
                                            • CISCO-AAA-SERVER-EXT-MIB

                                            MIB を検索およびダウンロードするには、次の URL にアクセスしてください。

                                            http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml

                                            TACACS+ 機能の履歴

                                            次の表に、この機能のリリースの履歴を示します。

                                            表 5  TACACS+ 機能の履歴

                                            機能名

                                            リリース

                                            機能情報

                                            TACACS+

                                            5.2(1)

                                            Cisco Nexus 3000 シリーズ スイッチのサポートが追加されました。

                                            TACACS+

                                            5.1(1)

                                            Release 5.0 以降、変更はありません。

                                            TACACS+ サーバ グループ

                                            5.0(2)

                                            すべての TACACS+ サーバ グループ用のグローバル発信元インターフェイスの設定のサポートが追加されました。

                                            TACACS+ サーバ グループ

                                            5.0(2)

                                            特定の TACACS+ サーバ グループ用の発信元インターフェイスの設定のサポートが追加されました。