Cisco DCNM for SAN セキュリティ コンフィギュレーション ガイド Cisco DCNM for SAN, Release 6.x
外部 AAA サーバでのセキュリティ機能の設定
外部 AAA サーバでのセキュリティ機能の設定
発行日;2012/09/18 | 英語版ドキュメント(2012/08/01 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

外部 AAA サーバでのセキュリティ機能の設定

スイッチ管理のセキュリティの概要

セキュリティ オプション

SNMP セキュリティ オプション

スイッチの AAA 機能

認証

認可

アカウンティング

リモート AAA サービス

サーバ グループ

AAA サービス設定オプション

AAA サーバのモニタリング

認証と認可のプロセス

グローバル AAA サーバ モニタリング パラメータ

RADIUS サーバのデフォルト設定

RADIUS サーバにおける暗号の種類と事前共有キーのデフォルト値の概要

RADIUS サーバの概要

テスト アイドル タイマーの設定

テスト ユーザ名の設定

RADIUS サーバの検証の概要

ベンダー固有属性の概要

VSA の形式

AAA サーバでの SNMPv3 の指定

ワンタイム パスワード サポート

TACACS+ の概要

TACACS+ サーバのデフォルト設定

TACACS+ サーバにおける暗号の種類と事前共有キーのデフォルト値の概要

TACACS+ サーバの概要

TACACS+ サーバからのパスワード エージング通知

TACACS+ サーバの検証の概要

TACACS+ サーバの定期的な検証

ユーザによるログイン時の TACACS+ サーバ指定の概要

無応答サーバのバイパス(回避)の概要

AAA サーバへの配信

スイッチでの配信セッションの開始

CHAP 認証

MSCHAP による認証

MSCHAP のイネーブル化の概要

ローカル AAA サービス

アカウンティング サービス

注意事項と制限

リモート認証に関する注意事項

RADIUS および TACACS+ 設定のマージに関する注意事項

デフォルト設定

RADIUS、TACACS+、および LDAP サーバの設定

スイッチの認可と認証

認証のフォールバック メカニズムの設定

RADIUS サーバにおける暗号の種類と事前共有キーのデフォルト値の設定

RADIUS サーバのタイムアウト間隔および再送信のデフォルト値の設定

LDAP サーバの設定

LDAP 検索マップの作成

RADIUS サーバの設定

RADIUS サーバの検証

ログイン時にユーザによる RADIUS サーバの指定を許可

TACACS+ サーバにおける暗号の種類と事前共有キーのデフォルト値の設定

TACACS+ サーバのタイムアウト間隔および再送信のデフォルト値の設定

TACACS+ サーバの設定

ユーザによるログイン時の TACACS+ サーバ指定の許可

サーバ グループの設定

AAA サーバへの配信のイネーブル化

配信のコミット

配信セッションの廃棄

セッションのクリア

MSCHAP 認証のイネーブル化

Cisco Access Control Servers の設定

RADIUS および TACACS+ 設定の確認

RADIUS サーバ統計情報の表示

TACACS+ サーバ統計情報の表示

配信する保留中の設定の表示

RADIUS、TACACS+、および LDAP 機能の履歴

外部 AAA サーバでのセキュリティ機能の設定

認証、許可、アカウンティング(AAA)機能は、スイッチを管理するユーザの ID 確認、ユーザへのアクセス権付与、およびユーザ アクションの追跡を実行します。Cisco MDS 9000 ファミリのすべてのスイッチで、Remote Access Dial-In User Service(RADIUS)プロトコルまたは Terminal Access Controller Access Control device Plus(TACACS+)プロトコルを使用することで、リモート AAA サーバを使用するソリューションが実現されます。

指定されたユーザ ID およびパスワードの組み合わせに基づいて、スイッチはローカル認証やローカル データベースによる認可、またはリモート認証や AAA サーバによる認可を実行します。スイッチと AAA サーバ間の通信は、事前共有秘密キーによって保護されます。この秘密キーはすべての AAA サーバ、または特定の AAA サーバに設定できます。このセキュリティ機能により、AAA サーバを中央で管理できます。

この章では、次の事項について説明します。

「スイッチ管理のセキュリティの概要」

「注意事項と制限」

「デフォルト設定」

「RADIUS、TACACS+、および LDAP サーバの設定」

「RADIUS および TACACS+ 設定の確認」

「RADIUS、TACACS+、および LDAP 機能の履歴」

スイッチ管理のセキュリティの概要

Cisco MDS 9000 ファミリ スイッチの管理セキュリティは、コマンドライン インターフェイス(CLI)や簡易ネットワーク管理プロトコル(SNMP)を含む、すべての管理アクセス方式にセキュリティを提供します。

ここで説明する内容は、次のとおりです。

「セキュリティ オプション」

「SNMP セキュリティ オプション」

「スイッチの AAA 機能」

「RADIUS サーバのデフォルト設定」

「RADIUS サーバにおける暗号の種類と事前共有キーのデフォルト値の概要」

「RADIUS サーバの概要」

「RADIUS サーバの検証の概要」

「ベンダー固有属性の概要」

「VSA の形式」

「AAA サーバでの SNMPv3 の指定」

「ワンタイム パスワード サポート」

「TACACS+ の概要」

「TACACS+ サーバのデフォルト設定」

「TACACS+ サーバにおける暗号の種類と事前共有キーのデフォルト値の概要」

「TACACS+ サーバの概要」

「TACACS+ サーバからのパスワード エージング通知」

「TACACS+ サーバの検証の概要」

「ユーザによるログイン時の TACACS+ サーバ指定の概要」

「無応答サーバのバイパス(回避)の概要」

「AAA サーバへの配信」

「スイッチでの配信セッションの開始」

「CHAP 認証」

「MSCHAP による認証」

「MSCHAP のイネーブル化の概要」

「ローカル AAA サービス」

「アカウンティング サービス」

セキュリティ オプション

DCNM-SAN にアクセスするには、TCP/UDP SNMP または HTTP トラフィックを使用します。管理方法(コンソール、Telnet、および SSH)ごとに、セキュリティ制御オプションを 1 つまたは複数設定できます。設定できるオプションは、ローカル、リモート(RADIUS か TACACS+)、または none です。

リモート セキュリティ制御

RADIUS を利用

「RADIUS、TACACS+、および LDAP サーバの設定」を参照してください。

TACACS+ を利用

「RADIUS、TACACS+、および LDAP サーバの設定」を参照してください。

ローカル セキュリティ制御。

「ローカル AAA サービス」を参照してください。

これらのセキュリティ機能は、次のシナリオにも設定できます。

Small Computer Systems Interface over IP(iSCSI)認証

『IP Services Configuration Guide, Cisco DCNM for SAN』を参照してください。

Fibre Channel Security Protocol(FC-SP)認証

「FC-SP および DHCHAP の設定」を参照してください。

SNMP セキュリティ オプション

SNMP エージェントは、SNMPv1、SNMPv2c、および SNMPv3 のセキュリティ機能をサポートしています。SNMP を使用するすべてのアプリケーション(Cisco MDS 9000 DCNM for SAN など)に、標準 SNMP セキュリティ機能が適用されます。

SNMP セキュリティ オプションは DCNM for SAN と Device Manager にも適用できます。

SNMP セキュリティ オプションの詳細については、『Cisco MDS 9000 NX-OS Family System Management Configuration Guide』を参照してください。

DCNM for SAN および Device Manager については、『 Cisco DCNM Fundamentals Guide 』を参照してください。

スイッチの AAA 機能

CLI または DCNM for SAN(DCNM-SAN)あるいは SNMP アプリケーションを使用して、すべての Cisco MDS 9000 ファミリ スイッチに AAA スイッチ機能を設定できます。

ここで説明する内容は、次のとおりです。

「認証」

「認可」

「アカウンティング」

「リモート AAA サービス」

「リモート認証に関する注意事項」

「サーバ グループ」

「認証と認可のプロセス」

認証

認証は、スイッチを管理する人物またはそのスイッチにアクセスするデバイスの ID を確認するプロセスです。この ID 確認は、スイッチにアクセスしようとするエンティティが提出するユーザ ID およびパスワードの組み合わせに基づいて行われます。Cisco MDS 9000 ファミリ スイッチでは、ローカル認証(ローカル ルックアップ データベースを使用)またはリモート認証(1 台または複数の RADIUS サーバまたは TACACS+ サーバを使用)を実行できます。


) Telnet または SSH により DCNM-SAN または Device Manager を利用して Cisco MDS スイッチに正常にログインした場合、スイッチに AAA サーバベースの認証が設定されていると、1 日の有効期限で一時的な SNMP ユーザ エントリが自動的に作成されます。スイッチは、使用している Telnet または SSH ログイン名を SNMPv3 ユーザ名として SNMPv3 プロトコル データ ユニット(PDU)を認証します。管理ステーションは Telnet または SSH ログイン名を、SNMPv3 の auth および priv パスフレーズとして、一時的に使用できます。この一時的な SNMP ログインが許可されるのは、1 つ以上のアクティブな MDS シェル セッションが存在する場合だけです。指定時刻にアクティブなセッションが存在しない場合は、ログインが削除され、SNMPv3 の操作を実行できません。



) DCNM-SAN は末尾が空白スペースの AAA パスワードをサポートしません(例「passwordA」)。


認可

すべての Cisco MDS スイッチに次の認可ロールがあります。

ネットワーク オペレータ(network-operator):設定を表示する権限だけがあります。オペレータは設定内容を変更できません。

ネットワーク管理者(network-admin):すべてのコマンドを実行し、設定内容を変更する権限があります。管理者は最大 64 の追加ロールを作成し、カスタマイズできます。

デフォルトロール:GUI を利用する権限があります(DCNM-SAN および Device Manager)。このアクセス権は、GUI にアクセスすることを目的として、すべてのユーザに自動的に与えられます。

これらのロールは変更または削除ができません。追加のロールを作成することで、次のオプションを設定できます。

ユーザ ロールをローカルに割り当てるか、またはリモート AAA サーバを使用して、ロール ベースの認可を設定します。

ロール情報を格納するように、リモート AAA サーバのユーザ プロファイルを設定します。このロール情報は、リモート AAA サーバを通じてユーザを認証したときに、自動的にダウンロードされ、使用されます。


) ユーザが新しく作成されたロールのうちの 1 つだけに属している場合、このロールが削除されると、ユーザにはただちにデフォルトの network-operator ロールが設定されます。


アカウンティング

アカウンティング機能はスイッチへのアクセスに使用されるすべての管理設定のログを追跡し、管理します。この情報を利用して、トラブルシューティングや監査に使用するレポートを生成できます。アカウンティング ログはローカルで保存したり、リモート AAA サーバに送信したりできます。

リモート AAA サービス

RADIUS プロトコルおよび TACACS+ プロトコルを介して提供されるリモート AAA サービスには、ローカル AAA サービスと比べて次のような利点があります。

ファブリック内の各スイッチに対するユーザ パスワード リストをより簡単に管理できます。

AAA サーバはすでに企業全体に配置済みであり、簡単に導入できます。

ファブリック内のすべてのスイッチのアカウンティング ログを集中管理できます。

ファブリック内の各スイッチに対するユーザ ロール設定をより簡単に管理できます。

サーバ グループ

認証、許可、アカウンティングのためのリモート AAA サーバは、サーバ グループを使用して指定できます。サーバ グループは、同じ AAA プロトコルを実装するリモート AAA サーバ セットです。サーバ グループの目的は、リモート AAA サーバが応答できなくなったときにフェールオーバー サーバを提供することです。グループ内の最初のリモート サーバが応答しなかった場合、いずれかのサーバが応答を送信するまで、グループ内の次のリモート サーバで試行が行われます。サーバ グループ内のすべての AAA サーバが応答しなかった場合、そのサーバ グループ オプションは障害が発生しているものと見なされます。必要に応じて、複数のサーバ グループを指定できます。Cisco MDS スイッチが最初のグループ内のサーバからエラーを受信すると、次のサーバ グループのサーバが試行されます。

AAA サービス設定オプション

Cisco MDS 9000 ファミリ スイッチ製品内の AAA 設定は、サービス ベースです。次のサービスごとに、異なる AAA 設定を作成できます。

Telnet または SSH ログイン(DCNM-SAN および Device Manager ログイン)

コンソール ログイン

iSCSI 認証(『IP Services Configuration Guide, Cisco DCNM for SAN』を参照)

FC-SP 認証(「FC-SP および DHCHAP の設定」を参照)

アカウンティング

一般に、AAA 設定の任意のサービスに対して指定できるオプションは、サーバ グループ、ローカル、および none の 3 つです。各オプションは指定した順序で試行されます。すべてのオプションが失敗した場合、ローカルが試行されます。


注意 Cisco MDS NX-OS では、ユーザ名がアルファベットで始まる限り、リモートで作成するか(TACACS+ または RADIUS を使用)ローカルで作成するかに関係なく、英数字または特定の特殊文字(+(プラス)、=(等号)、_(下線)、-(ハイフン)、\(バックスラッシュ)、および .(ピリオド))を使って作成したユーザ名がサポートされます。ローカル ユーザ名をすべて数字で作成したり、特殊文字(上記の特殊文字を除く)を使用して作成したりすることはできません。数字だけのユーザ名やサポートされていない特殊文字によるユーザ名が AAA サーバに存在し、ログイン時に入力されると、そのユーザはアクセスを拒否されます。


) オプションの 1 つとしてローカルが指定されていない場合でも、認証用に設定されたすべての AAA サーバに到達不能であるかどうかがデフォルトで試行されます。ユーザは、このフォールバックを柔軟にディセーブルにすることができます(「認証のフォールバック メカニズムの設定」を参照)。


RADIUS がタイムアウトする際は、フォールバック設定に応じてローカル ログインが試行されます。このローカル ログインに成功するには、同一のパスワードを持つそのユーザのローカル アカウントが存在し、かつ RADIUS のタイムアウトと再試行は 40 秒未満でなければなりません。そのユーザが認証されるのは、ローカルの認証設定にそのユーザ名とパスワードが存在する場合です。

AAA サーバのモニタリング

応答の途絶えた AAA サーバは AAA 要求の処理に遅延をもたらします。AAA 要求の処理時間を節約するため、MDS スイッチは定期的に AAA サーバをモニタして AAA サーバが応答している(または稼働している)かどうかを確認できます。MDS スイッチは、応答のない AAA サーバを停止中としてマーク付けします。また、停止中のいずれの AAA サーバにも AAA 要求を送りません。MDS スイッチは定期的に停止中の AAA サーバを監視し、応答するようになったら稼働中と認識します。このモニタリング プロセスでは、実際の AAA 要求を送出する前にその AAA サーバが稼働中であることを確認します。AAA サーバのステートが停止中または稼働中に変化すると常に SNMP トラップが生成され、MDS スイッチはパフォーマンスに影響が出る前に、管理者に対して障害が発生していることを警告します。AAA サーバのステートについては、図 4-1 を参照してください。

図 4-1 AAA サーバのステート

 


) 稼働中のサーバと停止中のサーバのモニタリング間隔はそれぞれ別で、ユーザが設定できます。AAA サーバのモニタリングはテスト用認証要求を AAA サーバに送信することで行われます。


テスト パケットで使用されるユーザ名とパスワードは設定が可能です。

「RADIUS、TACACS+、および LDAP サーバの設定」を参照してください。

認証と認可のプロセス

認証は、スイッチを管理する人物の ID を確認するプロセスです。この ID 確認は、スイッチを管理しようとする人物が入力したユーザ ID およびパスワードの組み合わせに基づいて行われます。Cisco MDS 9000 ファミリ スイッチでは、ローカル認証(ルックアップ データベースを使用)またはリモート認証(1 台または複数の RADIUS サーバまたは TACACS+ サーバを使用)を実行できます。

許可は、アクセス コントロールを提供します。これは、ユーザが何を実行する権限を与えられるかを表す一連の属性を組み立てるプロセスです。ユーザは、ユーザ ID とパスワードの組み合わせに基づいて認証および認可され、割り当てられているロールに従ってネットワークにアクセスします。スイッチで TACACS+ プロトコルを使用していれば、ユーザによる不正なアクセスを防ぐことができるパラメータを設定できます。

AAA の許可は、ユーザが何を実行する権限を与えられるかを表す一連の属性を組み立てるプロセスです。Cisco NX-OS ソフトウェアでは、AAA サーバからダウンロードされる属性を使用して権限付与が行われます。RADIUS や TACACS+ などのリモート セキュリティ サーバは、適切なユーザで該当する権利を定義した属性値(AV)のペアをアソシエートすることによって、ユーザに特定の権限を付与します。

図 4-2 に、認可と認証のプロセスのフローチャートを示します。

図 4-2 スイッチの認可と認証のフロー

 


) 残りのサーバ グループがないということは、どのサーバ グループのどのサーバからも応答がないということを意味します。
残りのサーバがないということは、このサーバ グループのどのサーバからも応答がないということを意味します。


グローバル AAA サーバ モニタリング パラメータ

グローバル AAA サーバ モニタリング パラメータは、次のように動作します。

新しい AAA サーバを設定すると、その AAA サーバは、グローバル テスト パラメータを使用して監視されます(定義されている場合)。

グローバル テスト パラメータが追加または変更されると、テスト パラメータが設定されていないすべての AAA サーバは、新しいグローバル テスト パラメータを使用して監視されるようになります。

サーバのサーバ テスト パラメータを削除した場合、またはアイドル時間を 0(デフォルト値)に設定した場合、そのサーバは、グローバル テスト パラメータを使用して監視されるようになります(定義されている場合)。

グローバル テスト パラメータを削除したり、グローバル アイドル時間を 0 に設定したりしても、サーバ テスト パラメータが存在するサーバは影響を受けません。ただし、これまではグローバル パラメータを使用して監視されていた他のすべてのサーバのモニタリングが停止します。

ユーザ指定のサーバ テスト パラメータによってサーバのモニタリングが失敗した場合は、グローバル テスト パラメータにフォールバックしません。

RADIUS サーバのデフォルト設定

DCNM-SAN を利用すると、スイッチとの通信を設定するどの RADIUS サーバにも利用できるデフォルト設定をセットアップできます。デフォルト設定には次の内容が含まれます。

暗号の種類

タイムアウトの値

送信試行回数

ユーザによるログイン時の RADIUS サーバ指定の許可

RADIUS サーバにおける暗号の種類と事前共有キーのデフォルト値の概要

スイッチを RADIUS サーバに対して認証するには、RADIUS 事前共有キーを設定する必要があります。キーの長さは 64 文字に制限され、出力可能な任意の ASCII 文字を含めることができます(スペースは使用できません)。グローバル キーは、スイッチにあるすべての RADIUS サーバ コンフィギュレーションで使用するよう設定できます。

グローバル キーの割り当てを上書きするには、個々の RADIUS サーバの設定時に key オプションを使用する必要があります。

RADIUS サーバの概要

最大 64 台の RADIUS サーバを追加できます。RADIUS のキーは永続性ストレージに必ず暗号化して保存されます。実行コンフィギュレーションにも、暗号化されたキーが表示されます。新しい RADIUS サーバを設定する際は、デフォルト設定を利用することも、パラメータのいずれかを修正してデフォルトの RADIUS サーバ設定を上書きすることもできます。

テスト アイドル タイマーの設定

テスト アイドル タイマーには、MDS スイッチがテスト パケットを送るまで RADIUS サーバが要求を受信しないでいる時間間隔を指定します。


) デフォルトのアイドル タイマー値は 0 分です。アイドル タイム インターバルが 0 分の場合、RADIUS サーバの定期的なモニタリングは実行されません。


テスト アイドル タイマーを設定するには、「LDAP サーバの設定」を参照してください。

テスト ユーザ名の設定

定期的な RADIUS サーバのステータス テストに使用するユーザ名とパスワードを設定できます。RADIUS サーバを監視するテスト メッセージを発行するために、テスト ユーザ名とパスワードを設定する必要はありません。デフォルトのテスト ユーザ名(test)とデフォルトのパスワード(test)を利用できます。


) セキュリティ上の理由から、テスト ユーザ名を RADIUS データベースに存在する既存のユーザ名と同一にしないことを推奨します。


定期的な RADIUS サーバのステータス テストに使用するオプションのユーザ名とパスワードの設定については、「LDAP サーバの設定」を参照してください。

RADIUS サーバの検証の概要

Cisco SAN-OS リリース 3.0(1) では、RADIUS サーバを定期的に検証できます。スイッチは、設定されたユーザ名とパスワードを使用してテスト用認証をサーバに送信します。このテスト認証にサーバが応答しない場合、サーバは応答能力がないものと見なされます。


) セキュリティ上の理由から、RADIUS サーバで設定されたユーザ名をテスト ユーザ名として使用しないことを推奨します。


サーバを定期的にテストするためにこのオプションを設定できるほか、1 回だけのテストを行うこともできます。

ベンダー固有属性の概要

Internet Engineering Task Force(IETF)ドラフト標準には、ネットワーク アクセス サーバと RADIUS サーバ間での ベンダー固有属性(VSA)の通信方式が規定されています。IETF は、属性 26 を使用します。VSA を使用するとベンダーは、一般的な用途には適合しない独自の拡張属性をサポートできます。シスコの RADIUS 実装は、この仕様で推奨される形式を使用して、1 つのベンダー固有オプションをサポートしています。シスコのベンダー ID は 9 で、サポートするオプションはベンダー タイプ 1、名前は cisco-avpair です。値は、次の形式の文字列です。

protocol : attribute separator value *
 

protocol は、特定の認可タイプを表すシスコの属性です。 separator は、必須属性の場合は = (等号記号)、省略可能な属性の場合は * (アスタリスク)です。

Cisco MDS 9000 ファミリ スイッチに対するユーザ認証に RADIUS サーバを使用した場合、RADIUS プロトコルは、認証結果とともに認可情報などのユーザ属性を戻すように RADIUS サーバに指示します。この許可情報は、VSA で指定されます。

VSA の形式

Cisco NX-OS ソフトウェアでは、次の VSA プロトコル オプションがサポートされています。

Shell プロトコル:ユーザ プロファイル情報を提供するために Access-Accept パケットで使用されます。

Accounting プロトコル:Accounting-Request パケットで使用されます。値にスペースが含まれている場合は、二重引用符で囲む必要があります。

次の属性が Cisco NX-OS ソフトウェアでサポートされています。

roles :この属性は、ユーザが属すすべてのロールをリストします。値フィールドは、グループ名のスペース区切りリストを含む文字列です。たとえば、ユーザが vsan-admin および storage-admin のロールに属している場合、値フィールドは「 vsan-adminstorage-admin 」になります。このサブ属性は Access-Accept フレームの VSA 部分に格納され、RADIUS サーバから送信されます。この属性は shell プロトコル値とだけ併用できます。次に、ロール属性を使用する 2 つの例を示します。

shell:roles="network-admin vsan-admin"

shell:roles*"network-admin vsan-admin"

VSA が shell:roles*"network-admin vsan-admin" として指定されている場合は、この VSA がオプション属性としてフラグ設定されます。その他のシスコ デバイスはこの属性を無視します。

accountinginfo :この属性は、標準の RADIUS アカウンティング プロトコルに含まれる属性を補足する追加的なアカウンティング情報を表します。この属性が送信されるのは、Account-Request フレームの VSA 部分に保管され、スイッチ上の RADIUS クライアントから送信される場合だけです。この属性を併用できるのは、アカウンティング プロトコル関連の PDU だけです。

AAA サーバでの SNMPv3 の指定

ベンダー/カスタム属性 cisco-av-pair は、次のフォーマットを使用してユーザのロール マッピングを指定する場合に使用できます。

shell:roles="roleA roleB ..."
 

cisco-av-pair 属性でロール オプションが設定されていない場合、デフォルトのユーザ ロールは network-operator になります。

また、VSA フォーマットには、オプションで SNMPv3 認証と機密保全プロトコルの属性を次のように指定できます。

shell:roles="roleA roleB..." snmpv3:auth=SHA priv=AES-128
 

SNMPv3 認証プロトコルに指定できるオプションは、SHA と MD5 です。プライバシー プロトコルに指定できるオプションは、AES-128 と DES です。これらのオプションが ACS サーバの cisco-av-pair 属性で指定されていない場合は、MD5 および DES がデフォルトで使用されます。

ワンタイム パスワード サポート

ワンタイム パスワード サポート(OTP)は、1 回のログイン セッションまたはトランザクションに有効なパスワードです。OTP は、通常の(スタティック)パスワードに関連する多数の欠点を回避します。OTP によって対処される最も重大な欠点は、スタティック パスワードとは異なり、リプレイ攻撃のリスクにさらされないことです。すでにサービスへのログインまたは操作の実行に使用された OTP を侵入者が記録しようとしても、OTP は有効ではなくなっているため、悪用されません。

ワンタイム パスワードは、RADIUS および TACACS プロトコル デーモンだけに適用されます。RADIUS プロトコル デーモンの場合、スイッチ側からの設定はありません。TACACS プロトコル デーモンの場合は、ASCII 認証モードをイネーブルにする必要があります。

TACACS+ の概要

TACACS+ は、TCP(TCP ポート 49)を使用してトランスポート要件を満たすクライアント/サーバ プロトコルです。すべての Cisco MDS 9000 ファミリ スイッチは、TACACS+ プロトコルを使用して中央から認証できます。TACACS+ には、RADIUS 認証と比較して次のような利点があります。

独立したモジュラ式 AAA ファシリティを提供します。認証を行わずに、認可を実行できます。

AAA クライアントとサーバ間のデータ送信に TCP トランスポート プロトコルを使用しているため、コネクション型プロトコルによる確実な転送を実行します。

スイッチと AAA サーバ間でプロトコル ペイロード全体を暗号化して、高度なデータ機密性を実現します。RADIUS プロトコルはパスワードだけを暗号化します。

TACACS+ サーバのデフォルト設定

DCNM-SAN を利用すると、スイッチとの通信を設定するどの TACACS+ サーバにも利用できるデフォルト設定をセットアップできます。デフォルト設定には次の内容が含まれます。

暗号の種類

事前共有キー

タイムアウトの値

送信試行回数

ユーザによるログイン時の TACACS+ サーバ指定の許可

TACACS+ サーバにおける暗号の種類と事前共有キーのデフォルト値の概要

スイッチを TACACS+ サーバに対して認証するには、TACACS+ 事前共有キーを設定する必要があります。キーの長さは 64 文字に制限され、出力可能な任意の ASCII 文字を含めることができます(スペースは使用できません)。グローバル キーを設定して、スイッチにあるすべての TACACS+ サーバ コンフィギュレーションで使用するようにできます。

グローバル キーの割り当てを上書きするには、個々の TACACS+ サーバの設定時に key オプションを使用する必要があります。

TACACS+ サーバの概要

デフォルトでは、Cisco MDS 9000 ファミリの全スイッチで TACACS+ 機能がディセーブルに設定されています。TACACS+ サーバの設定を行うと、DCNM-SAN または Device Manager によって自動的に TACACS+ の機能がイネーブルになります。

設定されたサーバに秘密キーが設定されていない場合、グローバル キーが設定されていないと、警告メッセージが発行されます。サーバ キーが設定されていない場合は、グローバル キー(設定されている場合)が該当サーバで使用されます。


) Cisco MDS SAN-OS Release 2.1(2) よりも前のバージョンでは、キーでドル記号($)を使用できますが、二重引用符で囲む必要があります(例、"k$")。パーセント記号(%)は使用できません。Cisco MDS SAN-OS リリース 2.1(2) 以降では、二重引用符なしでドル記号($)を使用でき、パーセント記号(%)はグローバル秘密キーで使用できます。


すべての TACACS+ サーバで秘密キーに対するグローバル値を設定できます。


) 秘密キーが個々のサーバに設定されている場合は、グローバル設定されたキーよりもそれらのキーが優先されます。


TACACS+ サーバからのパスワード エージング通知

パスワード エージング通知は、ユーザが TACACS+ アカウント経由で Cisco MDS 9000 スイッチに認証すると開始されます。パスワードの期限切れが近い、または期限が切れたときは、ユーザに通知されます。パスワードの期限が切れると、ユーザはパスワードを変更するように求められます。


) Cisco MDS SAN-OS Release 3.2(1) では、TACACS+ だけがパスワード エージング通知をサポートしています。この機能をイネーブルにして RADIUS サーバを使用しようとすると、RADIUS は SYSLOG メッセージを生成し、認証はローカル データベースにフォールバックします。


パスワード エージング通知により、次の操作が容易になります。

パスワードの変更:空のパスワードを入力することによってパスワードを変更できます。

パスワード エージング通知:パスワード エージングを通知します。通知は、AAA サーバが構成され、MSCHAP および MSCHAPv2 がディセーブルになっている場合にだけ発生します。

期限切れ後のパスワードの変更:古いパスワードの期限が切れたら、パスワードの変更を開始します。AAA サーバから開始します。


) MSCHAP および MSCHAPv2 認証をディセーブルにしていない場合、パスワード エージング通知は失敗します。


 

TACACS+ サーバの検証の概要

Cisco SAN-OS リリース 3.0(1) では、TACACS+ サーバを定期的に検証できます。スイッチは、設定されたテスト用ユーザ名とテスト用パスワードを使用してテスト用認証をサーバに送信します。このテスト認証にサーバが応答しない場合、サーバは応答能力がないものと見なされます。


) セキュリティ上の理由から、TACACS+ サーバにはテスト用ユーザを設定しないことを推奨します。


サーバを定期的にテストするためにこのオプションを設定できるほか、1 回だけのテストを行うこともできます。

TACACS+ サーバの定期的な検証

DCNM-SAN を利用して TACACS+ サーバを定期的にテストするようにスイッチを設定する手順については、「RADIUS、TACACS+、および LDAP サーバの設定」を参照してください。

ユーザによるログイン時の TACACS+ サーバ指定の概要

デフォルトでは、MDS スイッチは認証要求を TACACS+ サーバ グループの最初のサーバに転送します。どの TACACS+ サーバに認証要求を送信するかをユーザが指定できるようにスイッチを設定できます。この機能をイネーブルにすると、ユーザは username@hostname としてログインできます。 hostname は設定した TACACS+ サーバの名前です。

無応答サーバのバイパス(回避)の概要

Cisco SAN-OS リリース 3.0(1) では、サーバ グループ内の無応答 AAA サーバをバイパスできます。スイッチが無応答のサーバを検出すると、ユーザを認証する際にそのサーバをバイパスします。この機能を利用すると、障害を起こしたサーバが引き起こすログインの遅延を最小限にとどめることができます。無応答サーバに要求を送信し、認証要求がタイムアウトするまで待つのではなく、スイッチはサーバ グループ内の次のサーバに認証要求を送信します。サーバ グループに応答できる他のサーバが存在しない場合は、スイッチは無応答サーバに対して認証を試み続けます。

AAA サーバへの配信

MDS スイッチの RADIUS および TACACS+ の AAA 設定は、Cisco Fabric Services(CFS)を使用して配信できます。配信はデフォルトでディセーブルです(『System Management Configuration Guide, Cisco DCNM for SAN』を参照してください)。

配信をイネーブルにすると、最初のサーバまたはグローバル設定により、暗黙のセッションが開始されます。それ以降に入力されたすべてのサーバ コンフィギュレーション コマンドは、一時的なデータベースに保管され、データベースをコミットしたときに、ファブリック内のすべてのスイッチ(送信元スイッチを含む)に適用されます。サーバ キーおよびグローバル キーを除く、さまざまなサーバおよびグローバル パラメータが配信されます。サーバ キーおよびグローバル キーはスイッチに対する固有の秘密キーです。他のスイッチと共有しないでください。


) サーバ グループ設定は配信されません。



) AAA サーバ設定配布を行う MDS スイッチは、Cisco MDS SAN-OS Release 2.0(1b) 以降または Cisco NX-OS Release 4.1(1) を実行している必要があります。


スイッチでの配信セッションの開始

配信セッションは RADIUS または TACACS+ サーバの設定またはグローバル設定を開始した瞬間に始まります。たとえば、次の作業を実行すると、暗黙のセッションが開始されます。

RADIUS サーバのグローバル タイムアウトの指定

TACACS+ サーバのグローバル タイムアウトの指定


) AAA サーバに関連する最初のコンフィギュレーション コマンドを発行すると、作成されたすべてのサーバおよびグローバル設定(配信セッションを開始する設定を含む)が一時バッファに格納されます。実行コンフィギュレーションには格納されません。


CHAP 認証

チャレンジ ハンドシェイク認証プロトコル(CHAP)は、業界標準の Message Digest 5(MD5)ハッシング スキームを使用して応答を暗号化するチャレンジレスポンス認証プロトコルです。CHAP は、さまざまなネットワーク アクセス サーバおよびクライアントのベンダーによって使用されています。ルーティングおよびリモート アクセスを実行しているサーバは、CHAP を必要とするリモート アクセス クライアントが認証されるように、CHAP をサポートしています。このリリースでは、認証方式として CHAP がサポートされています。

MSCHAP による認証

Microsoft チャレンジ ハンドシェイク認証プロトコル(MSCHAP)は Microsoft 版の CHAP です。

Cisco MDS 9000 ファミリ スイッチのユーザ ログインでは、異なるバージョンの MSCHAP を使用してリモート認証を実行できます。MSCHAP は RADIUS サーバまたは TACACS+ サーバでの認証に使用され、MSCHAPv2 は RADIUS サーバでの認証に使用されます。

MSCHAP のイネーブル化の概要

デフォルトでは、スイッチはスイッチとリモート サーバの間でパスワード認証プロトコル(PAP)認証を使用します。MSCHAP をイネーブルにする場合は、MSCHAP のベンダー固有属性を認識するように RADIUS サーバを設定する必要があります。「ベンダー固有属性の概要」を参照してください。 表 4-1 に MSCHAP に必要な RADIUS ベンダー固有属性を示します。

 

表 4-1 MSCHAP 用の RADIUS ベンダー固有属性

ベンダー ID 番号
ベンダー タイプ番号
ベンダー固有属性
説明

311

11

MSCHAP-Challenge

AAA サーバから MSCHAP ユーザに送信されるチャレンジを保持します。これは、Access-Request パケットと Access-Challenge パケットの両方で使用できます。

211

11

MSCHAP-Response

チャレンジへの応答として MS-CHAP ユーザにより提供される応答値が格納されます。Access-Request パケットでしか使用されません。

ローカル AAA サービス

システムによりユーザ名およびパスワードはローカルで保持され、パスワード情報は暗号化形式で格納されます。ユーザの認証は、ローカルに保存されているユーザ情報に基づいて実行されます。

アカウンティング サービス

アカウンティングは、スイッチの管理セッションごとに保管されるログ情報を意味しています。この情報はトラブルシューティングと監査を目的としたレポートの生成に利用できます。アカウンティングは、(RADIUS を使用して)ローカルまたはリモートで実装できます。アカウンティング ログのデフォルトの最大サイズは 250,000 バイトです。これは変更できません。


ヒント Cisco MDS 9000 ファミリ スイッチは、interim-update RADIUS アカウンティング要求パケットを使用して、アカウンティング ログ情報を RADIUS サーバに送信します。RADIUS サーバは、これらのパケットで送信された情報を記録するように、適切に設定されている必要があります。一部のサーバは、通常、AAA クライアントの設定内に log update/watchdog packets フラグを持ちます。適切な RADIUS アカウンティングを確実に実行するには、このフラグをオンにします。


) コンフィギュレーション モードで実行された設定操作は、自動的にアカウンティング ログに記録されます。重要なシステム イベント(設定保存やシステム スイッチオーバーなど)もアカウンティング ログに記録されます。


注意事項と制限

ここでは、次の内容について説明します。

「リモート認証に関する注意事項」

「RADIUS および TACACS+ 設定のマージに関する注意事項」

リモート認証に関する注意事項

リモート AAA サーバを使用する場合は、次の注意事項に従ってください。

最低 1 つの AAA サーバが IP で到達可能になっている必要があります。

すべての AAA サーバが到達不能である場合のポリシーとして、適切なローカル AAA ポリシーを必ず設定してください。

スイッチにオーバーレイ イーサネット LAN が接続されている場合は、AAA サーバに簡単に到達できます(『IP Services Configuration Guide, Cisco DCNM for SAN』を参照)。この方法を推奨します。

スイッチに接続された SAN ネットワーク内のゲートウェイ スイッチを 1 つまたは複数、AAA サーバに到達するイーサネット LAN に接続する必要があります。

RADIUS および TACACS+ 設定のマージに関する注意事項

RADIUS および TACACS+ のサーバ設定およびグローバル設定は 2 つのファブリックがマージするときにマージされます。マージされた設定は CFS 配信がイネーブルであるスイッチに適用されます。

ファブリックのマージの際は次の条件に注意してください。

サーバ グループはマージされません。

サーバ キーおよびグローバル キーはマージ中に変更されません。

マージされた設定には、CFS がイネーブルであるすべてのスイッチで見つかったすべてのサーバが含まれます。

マージされた設定におけるタイムアウトと再送信のパラメータは、個々のサーバ設定とグローバル設定に指定されている値の最大値になります。


) テスト パラメータは、CFS を通じて、TACACS+ のためだけに配信されます。ファブリックに Cisco NX-OS Release 5.0 デバイスだけが含まれる場合、テスト パラメータは配信されます。リリース 5.0 を実行しているデバイスとリリース 4.x を実行しているデバイスがファブリックに含まれる場合、テスト パラメータは配信されません。



注意 設定されたサーバ ポートの 2 つのスイッチの間で矛盾が存在する場合は、マージに失敗します。

デフォルト設定

表 4-2 に、スイッチのすべてのスイッチ セキュリティ機能のデフォルト設定を示します。

 

表 4-2 スイッチ セキュリティのデフォルト設定

パラメータ
デフォルト

Cisco MDS スイッチでのロール

ネットワーク オペレータ(network-operator)

AAA 設定サービス

ローカル

認証ポート

1812

アカウンティング ポート

1813

事前共有キーの送受信

クリア テキスト

RADIUS サーバのタイムアウト

1 秒

RADIUS サーバ再試行

1 回

認可

ディセーブル

デフォルトの AAA ユーザ ロール

イネーブル

RADIUS サーバへの誘導要求

ディセーブル

TACACS+

ディセーブル

TACACS+ サーバ

未設定

TACACS+ サーバのタイムアウト

5 秒

TACACS+ サーバへの誘導要求

ディセーブル

AAA サーバへの配信

ディセーブル

アカウンティング ログ サイズ

250 KB

RADIUS、TACACS+、および LDAP サーバの設定

Cisco MDS 9000 ファミリ スイッチは、RADIUS プロトコルを使用してリモート AAA サーバと通信できます。複数の RADIUS サーバおよびサーバ グループを設定し、タイムアウトおよび再試行回数を設定できます。

RADIUS はネットワークへの不正なアクセスを防ぐ分散型クライアント/サーバ プロトコルです。Cisco の実装では、RADIUS クライアントは Cisco MDS 9000 ファミリ スイッチで実行され、ユーザ認証およびネットワーク サービス アクセス情報がすべて含まれる RADIUS 中央サーバに認証要求が送信されます。

ここでは、RADIUS の動作の定義、ネットワーク環境の特定、および設定可能な内容について説明します。

Cisco MDS スイッチは Terminal Access Controller Access Control System Plus(TACACS+)プロトコルを使用して、リモート AAA サーバと通信します。複数の TACACS+ サーバを設定し、タイムアウト値を指定できます。

ここで説明する内容は、次のとおりです。

「スイッチの認可と認証」

「認証のフォールバック メカニズムの設定」

「RADIUS サーバにおける暗号の種類と事前共有キーのデフォルト値の設定」

「RADIUS サーバのタイムアウト間隔および再送信のデフォルト値の設定」

「LDAP サーバの設定」

「RADIUS サーバの検証」

「ログイン時にユーザによる RADIUS サーバの指定を許可」

「TACACS+ サーバにおける暗号の種類と事前共有キーのデフォルト値の設定」

「TACACS+ サーバのタイムアウト間隔および再送信のデフォルト値の設定」

「TACACS+ サーバの設定」

「ユーザによるログイン時の TACACS+ サーバ指定の許可」

「サーバ グループの設定」

「AAA サーバへの配信のイネーブル化」

「配信のコミット」

「配信セッションの廃棄」

「セッションのクリア」

「MSCHAP 認証のイネーブル化」

「Cisco Access Control Servers の設定」

スイッチの認可と認証

手順の詳細

スイッチを認可および認証する手順は、次のとおりです。


ステップ 1 Cisco MDS 9000 ファミリ内の必要なスイッチへのログインには、Telnet、SSH、DCNM-SAN/Device Manager、またはコンソールのログイン オプションを使用します。

ステップ 2 サーバ グループ認証方式を使用するサーバ グループを設定した場合は、グループ内の最初の AAA サーバに認証要求が送信されます。

その AAA サーバが応答に失敗すると次の AAA サーバに送信され、リモート サーバが認証要求に応答するまで繰り返されます。

サーバ グループ内のすべての AAA サーバが応答に失敗した場合は、次のサーバ グループのサーバに送信が行われます。

設定されているすべての方式で応答が得られなかった場合、デフォルトでローカル データベースが認証に使用されます。次の項で、このフォールバックをディセーブルにする方法について説明します。

ステップ 3 リモートの AAA サーバにより認証に成功すると、場合に応じて次の処理が実行されます。

AAA サーバのプロトコルが RADIUS の場合は、認証応答に伴って cisco-av-pair 属性で指定されたユーザ ロールがダウンロードされます。

AAA サーバ プロトコルが TACACS+ の場合、シェルのカスタム属性として指定されているユーザ ロールを取得するために、もう 1 つの要求が同じサーバに送信されます。

リモート AAA サーバからのユーザ ロールの入手に失敗した場合、show aaa user default-role コマンドがイネーブルであれば、ユーザには network-operator ロールが割り当てられます。このコマンドがディセーブルの場合には、アクセスが拒否されます。

ステップ 4 ユーザ名とパスワードがローカルで認証に成功した場合は、ログインが許可され、ローカル データベースに設定されているロールが割り当てられます。


 

認証のフォールバック メカニズムの設定

リモート認証が設定され、すべての AAA サーバに到達不能(認証エラー)である場合は、ローカル データベースへのフォールバックをイネーブルまたはディセーブルにできます。認証エラーの場合、フォールバックはデフォルトでローカルに設定されています。コンソール ログインと SSH/Telnet ログインの両方に対して、このフォールバックをディセーブルにすることもできます。このフォールバックをディセーブルすると、認証のセキュリティが強化されます。

手順の詳細

フォールバック メカニズムを設定する手順は、次のとおりです。


ステップ 1 show run aaa all コマンドを入力して、デフォルト フォールバックがデフォルト ログインとコンソール ログインの両方に対してイネーブルであることを確認します。

フォールバックをディセーブルにすると、警告メッセージが出力されます。


 


注意 デフォルトとコンソールの両方に対してフォールバックがディセーブルである場合は、リモート認証がイネーブルになり、サーバに到達不能であるため、スイッチはロックされます。

RADIUS サーバにおける暗号の種類と事前共有キーのデフォルト値の設定

手順の詳細

RADIUS サーバの暗号種類と事前共有キーのデフォルト値を設定する手順は、次のとおりです。


ステップ 1 [Switches] > [Security] > [AAA] を開いてから、[RADIUS] を選択します。

[Information] ペインに RADIUS の設定が表示されます。

ステップ 2 [Defaults] タブをクリックします。

ステップ 3 [AuthType] ドロップダウン メニューで [plain] または [encrypted] を選択します。

ステップ 4 [Auth Key] フィールドにキーを設定します。

ステップ 5 [Apply Changes] アイコンをクリックして、変更を保存します。


 

RADIUS サーバのタイムアウト間隔および再送信のデフォルト値の設定

デフォルトでは、スイッチはローカル認証に戻す前に、RADIUS サーバへの送信を 1 回だけ再試行します。このリトライの回数は、サーバごとに最大 5 回まで増やすことができます。RADIUS サーバに対してタイムアウトの値を設定することもできます。

手順の詳細

RADIUS サーバへの再送信回数と再送信の間隔を設定する手順は、次のとおりです。


ステップ 1 [Switches] > [Security] > [AAA] を開いてから、[RADIUS] を選択します。

[Information] ペインに RADIUS の設定が表示されます。

ステップ 2 [Defaults] タブを選択します

RADIUS のデフォルト設定が表示されます。

ステップ 3 認証再試行の [Timeout] および [Retransmits] の各フィールドに入力します。

ステップ 4 [Apply Changes] アイコンをクリックして、変更を保存します。


 

LDAP サーバの設定

手順の詳細

LDAP サーバおよびそのすべてのオプションを設定する手順は、次のとおりです。


ステップ 1 [Switches] > [Security] > [AAA] を開いてから、[LDAP] を選択します。

[Information] ペインに LDAP 設定が表示されます。

ステップ 2 [Servers] タブをクリックします。

既存の RADIUS サーバが表示されます。

ステップ 3 新しい LDAP サーバを追加するには、[Create Row] をクリックします。

[Create LDAP Server] ダイアログボックスが表示されます。

図 4-3 LDAP サーバの作成

 

ステップ 4 LDAP サーバとして割り当てるスイッチを選択します。

ステップ 5 LDAP サーバを識別するためのインデックス番号を割り当てます。

ステップ 6 LDAP サーバに与える IP アドレスの種類を選択します。

ステップ 7 LDAP サーバの IP アドレスまたは名前を入力します。

ステップ 8 (任意)LDAP サーバが使用する認証用ポートおよびアカウンティング用ポートを修正します。

ステップ 9 LDAP サーバに与える適切なキーの種類を選択します。

ステップ 10 タイムアウトの値を秒で選択します。有効な範囲は 0 ~ 60 秒です。

ステップ 11 ローカル認証に戻る前に、スイッチが LDAP+ サーバへの接続を試行する回数を選択します。

ステップ 12 テスト用のアイドル間隔の値を分で入力します。有効な範囲は 1 ~ 1440 分です。

ステップ 13 テスト ユーザをデフォルト パスワードとともに入力します。デフォルトのユーザ名は test です。

ステップ 14 [Create] をクリックして、変更を保存します。


 

LDAP 検索マップの作成

LDAP 検索マップを作成する手順は、次のとおりです。


ステップ 1 [Switches] > [Security] > [AAA] を開いてから、[LDAP] を選択します。

[Information] ペインに LDAP 設定が表示されます。

ステップ 2 [Search Map] タブをクリックします。

ステップ 3 [Create Row] をクリックして、新しい LDAP 検索マップを追加します。

ステップ 4 [Name] フィールドに LDAP 検索マップの名前を入力します。

ステップ 5 [Type] フィールドで、適切な検索タイプを選択します。

ステップ 6 [BaseDN] フィールドに基本ドメイン名を入力します。

ステップ 7 [Filter] フィールドにフィルタ値を入力します。

ステップ 8 [Attribute] フィールドに属性値を入力します。

ステップ 9 [Create] ボタンをクリックして変更内容を保存します。


 

RADIUS サーバの設定

手順の詳細

RADIUS サーバおよびそのすべてのオプションを設定する手順は、次のとおりです。


ステップ 1 [Switches] > [Security] > [AAA] を開いてから、[RADIUS] を選択します。

[Information] ペインに RADIUS の設定が表示されます。

ステップ 2 [Servers] タブをクリックします。

既存の RADIUS サーバが表示されます。

ステップ 3 新しい RADIUS サーバを追加するには、[Create Row] をクリックします。

[Create RADIUS Server] ダイアログボックスが表示されます(図 4-4 を参照)。

図 4-4 [Create RADIUS Server]

 

ステップ 4 RADIUS サーバとして割り当てるスイッチを選択します。

ステップ 5 RADIUS サーバを識別するためのインデックス番号を割り当てます。

ステップ 6 RADIUS サーバに与える IP アドレスの種類を選択します。

ステップ 7 RADIUS サーバの IP アドレスまたは名前を入力します。

ステップ 8 (任意)RADIUS サーバが使用する認証用ポートおよびアカウンティング用ポートを修正します。

ステップ 9 RADIUS サーバに与える適切なキーの種類を選択します。

ステップ 10 タイムアウトの値を秒で選択します。有効な範囲は 0 ~ 60 秒です。

ステップ 11 ローカル認証に戻る前に、スイッチが RADIUS サーバへの接続を試行する回数を選択します。

ステップ 12 テスト用のアイドル間隔の値を分で入力します。有効な範囲は 1 ~ 1440 分です。

ステップ 13 テスト ユーザをデフォルト パスワードとともに入力します。デフォルトのユーザ名は test です。

ステップ 14 [Create] をクリックして、変更を保存します。


 

RADIUS サーバの検証

手順の詳細

RADIUS サーバを定期的にテストするようにスイッチを設定する手順は、次のとおりです。


ステップ 1 [Switches] > [Security] > [AAA] を開いてから、[RADIUS] を選択します。

[Information] ペインに RADIUS の設定が表示されます。

ステップ 2 [Servers] タブをクリックします。

既存の RADIUS サーバが表示されます。

ステップ 3 新しい RADIUS サーバを追加するには、[Create Row] をクリックします。

[Create RADIUS Server] ダイアログボックスが表示されます(図 4-4 を参照)。

ステップ 4 IP アドレスを入力します。

ステップ 5 RADIUS サーバが使用する認証用ポートおよびアカウンティング用ポートを修正します。

ステップ 6 [TestUser] フィールドに入力し、任意に [TestPassword] フィールドを入力します。テスト用のデフォルト パスワードは Cisco です。

ステップ 7 [IdleTime] フィールドに、テスト認証を送信するまでサーバがアイドル状態になっている時間を設定します。

ステップ 8 [Create] をクリックして、変更を保存します。


 

ログイン時にユーザによる RADIUS サーバの指定を許可

デフォルトでは、MDS スイッチは認証要求を RADIUS サーバ グループの最初のサーバに転送します。誘導要求オプションをイネーブルにすると、どの RADIUS サーバに認証要求を送信するかをユーザが指定できるようにスイッチを設定できます。このオプションをイネーブルにすると、ユーザは username@hostname としてログインできます。 hostname は設定した RADIUS サーバの名前です。

手順の詳細

MDS スイッチにログインしているユーザが認証用の RADIUS サーバを選択できるようにする手順は、次のとおりです。


ステップ 1 [Switches] > [Security] > [AAA] を開いてから、[RADIUS] を選択します。

[Information] ペインに RADIUS の設定が表示されます。

ステップ 2 [Defaults] タブをクリックします。

RADIUS のデフォルト設定が表示されます。

ステップ 3 RADIUS サーバの [DirectedReq] チェックボックスをオンにします。

ステップ 4 [Apply Changes] アイコンをクリックして、変更を保存します。


 

TACACS+ サーバにおける暗号の種類と事前共有キーのデフォルト値の設定

手順の詳細

TACACS+ サーバの暗号種類と事前共有キーのデフォルト値を設定する手順は、次のとおりです。


ステップ 1 [Switches] > [Security] > [AAA] を開いてから、[TACACS+] を選択します。

[Information] ペインに TACACS+ 設定が表示されます。

ステップ 2 [Defaults] タブが無効になっている場合は、[CFS] タブをクリックします。

ステップ 3 [Defaults] タブをクリックします。

TACACS+ のデフォルト設定が表示されます。

ステップ 4 [AuthType] ドロップダウン メニューで [plain] または [encrypted] を選択し、[Auth Key] フィールドにキーを設定します。

ステップ 5 [Apply Changes] アイコンをクリックして、変更を保存します。


 

TACACS+ サーバのタイムアウト間隔および再送信のデフォルト値の設定

デフォルトでは、スイッチは TACACS+ サーバを 1 回だけ試行します。この回数は設定可能です。最大試行回数は、各サーバで 5 回です。TACACS+ サーバに対してタイムアウトの値を設定することもできます。

手順の詳細

TACACS+ サーバへの再送信回数と再送信の間隔を設定する手順は、次のとおりです。


ステップ 1 [Switches] > [Security] > [AAA] を開いてから、[TACACS+] を選択します。

[Information] ペインに TACACS+ 設定が表示されます。

ステップ 2 [Defaults] タブをクリックします。([Defaults] タブがディセーブルの場合は、[CFS] タブを最初にクリックします)。

TACACS+ のデフォルト設定が表示されます。

ステップ 3 認証再試行の [Timeout] および [Retransmits] の各フィールドに値を入力します。

ステップ 4 [Apply Changes] アイコンをクリックして、変更を保存します。


 

TACACS+ サーバの設定

手順の詳細

DCNM-SAN を使用して TACACS+ サーバとオプションのすべてを設定する手順は、次のとおりです。


ステップ 1 [Switches] > [Security] > [AAA] を開いてから、[TACACS+] を選択します。

[Information] ペインに TACACS+ 設定が表示されます。

ステップ 2 [Servers] タブをクリックします。

既存の TACACS+ サーバが表示されます。

ステップ 3 新しい TACACS+ サーバを追加するには、[Create Row] をクリックします。

[Create TACACS+ Server] ダイアログボックスが表示されます(図 4-5 を参照)。

図 4-5 [Create TACACS+ Server] ダイアログボックス

 

ステップ 4 TACACS サーバとして割り当てるスイッチを選択します。

ステップ 5 TACACS サーバを識別するためのインデックス番号を割り当てます。

ステップ 6 TACACS サーバに与える IP アドレスの種類を選択します。

ステップ 7 TACACS サーバの IP アドレスまたは名前を入力します。

ステップ 8 TACACS サーバが使用する認証用ポートおよびアカウンティング用ポートを修正します。

ステップ 9 TACACS サーバに与える適切なキーの種類を選択します。

ステップ 10 タイムアウトの値を秒で選択します。有効な範囲は 0 ~ 60 秒です。

ステップ 11 ローカル認証に戻る前に、スイッチが TACACS+ サーバへの接続を試行する回数を選択します。

ステップ 12 テスト用のアイドル間隔の値を分で入力します。有効な範囲は 1 ~ 1440 分です。

ステップ 13 テスト ユーザをデフォルト パスワードとともに入力します。デフォルトのユーザ名は test です。

ステップ 14 [Create] をクリックして、変更を保存します。


 

ユーザによるログイン時の TACACS+ サーバ指定の許可

手順の詳細

DCNM-SAN を利用して、ユーザがログイン時に TACACS+ サーバを指定できるようにスイッチを設定する手順は、次のとおりです。


ステップ 1 [Switches] > [Security] > [AAA] を開いてから、[TACACS+] を選択します。

[Information] ペインに TACACS+ 設定が表示されます。

ステップ 2 [Defaults] タブをクリックします。

TACACS+ のデフォルト設定が表示されます。

ステップ 3 [DirectedReq] チェックボックスをオンにします。

ステップ 4 [Apply Changes] アイコンをクリックして、変更を保存します。


 

サーバ グループの設定

サーバ グループを使用して、1 台または複数台のリモート AAA サーバによるユーザ認証を指定することができます。グループのメンバーはすべて同じプロトコル(RADIUS または TACACS+)に属している必要があります。設定した順序に従ってサーバが試行されます。

AAA サーバ モニタリング機能は AAA サーバを停止中としてマーク付けできます。スイッチが停止中の AAA サーバに要求を送信するまでの経過時間を分で設定できます (「AAA サーバのモニタリング」を参照)。

制約事項

これらのサーバ グループはいつでも設定できますが、設定したグループを有効にするには、AAA サービスに適用する必要があります。AAA ポリシーは CLI ユーザ、または DCNM-SAN ユーザや Device Manager ユーザに設定できます。


) MSCHPv2 認証がイネーブルの場合は、TACACS+ グループを設定できません。


手順の詳細

DCNM-SAN を使用して RADIUS、TACACS+、または LDAP サーバ グループを設定する手順は、次のとおりです。


ステップ 1 [Switches] > [Security] を展開して [AAA] を選択します。

[Information] ペインに AAA 設定が表示されます。画面が表示されない場合は、[Server Groups] タブをクリックします。

設定した RADIUS、TACACS+、または LDAP サーバ グループが表示されます。

ステップ 2 サーバ グループを作成するには [Create Row] をクリックします。

[Create Server] ダイアログボックスが表示されます。

ステップ 3 RADIUS サーバ グループを追加するには、[radius] オプション ボタンをクリックします。TACACS+ サーバ グループを追加するには、[tacacs+] オプション ボタンをクリックします。LDAP サーバ グループを追加するには、[ldap] オプション ボタンをクリックします。

ステップ 4 [ServerIdList] フィールドにサーバ名を入力します。

ステップ 5 LDAP を選択した場合は、[LDAPSearchMapName] に LDAP 検索マップの名前を入力します。

LDAPSSLMODE:LDAP サーバとのバインディングの前に、TLS トンネルを設定する必要があるかどうかを指定します。

LDAPBindFirst:検索の前に、ユーザのバインドを完了する必要があるかどうかを指定します。

ステップ 6 プレーン認証方式を選択するには、[plain] オプション ボタンをクリックします。kerberos 認証方式を選択するには、[kerberos] オプション ボタンをクリックします。md5digest 認証方式を選択するには、[md5digest] オプション ボタンをクリックします。

ステップ 7 [LDAPComparePasswd] フィールドにパスワードを入力します。

LDAPCertDNBind:PKI SSH 証明書認可の実行中に、ユーザ証明書のバインドをチェックする必要があるかどうかを指定します。

LDAPUserServerBind:SSH PKI 認可の一部として、ユーザサーバのバインドをチェックする必要があるかどうかを指定します。

ステップ 8 バイパス(回避)とマーク付けされるまでのサーバ無応答の分数を [DeadTime] フィールドに設定します。「無応答サーバのバイパス(回避)の概要」を参照してください。

ステップ 9 このサーバ グループを作成するには [Create] をクリックします。

LDAP サーバ グループに、LDAP 固有のパラメータが表示されます。

ステップ 10 [Applications] タブをクリックして、このサーバ グループをアプリケーションに割り当てます。

サーバ グループをすべてのアプリケーションに関連付けることも、特定のアプリケーションを指定することもできます。

ステップ 11 [General] タブをクリックして、このサーバ グループに認証の種類を割り当てます。

サーバ グループの種類に基づいて、[MSCHAP] または [MSCHAPv2] のいずれかのチェックボックスをオンにします。

ステップ 12 [Apply Changes] アイコンをクリックして、変更を保存します。

LDAP サーバ グループが作成されると、次の 2 つのタブに設定情報が表示されます。

Server Groups:すべての AAA プロトコル(RADIUS、TACACS+、および LDAP)が共有する共通のデータを表示します。

LDAP Server Group:LDAP 固有のプロトコルを表示します。


 

AAA サーバへの配信のイネーブル化

制約事項

アクティビティに参加できるのは、配信がイネーブルであるスイッチだけです。

手順の詳細

RADIUS サーバでの配信をイネーブルにする手順は、次のとおりです。


ステップ 1 [Switches] > [Security] > [AAA] を開いてから、[RADIUS] を選択します。

[Information] ペインに RADIUS の設定が表示されます。

ステップ 2 [CFS] タブをクリックします。RADIUS CFS の設定が表示されます。

ステップ 3 RADIUS の CFS をイネーブルにする全スイッチについて、[Admin] ドロップダウン リストで [enable] を選択します。

ステップ 4 [Apply Changes] をクリックして、変更をファブリック全体に配信します。


 

TACACS+ サーバでの配信をイネーブルにする手順は、次のとおりです。


ステップ 1 [Switches] > [Security] > [AAA] を開いてから、[TACACS+] を選択します。

[Information] ペインに TACACS+ 設定が表示されます。

ステップ 2 [CFS] タブをクリックします。

TACACS+ CFS の設定が表示されます。

ステップ 3 TACACS+ の CFS をイネーブルにする全スイッチについて、[Admin] ドロップダウン リストで [enable] を選択します。

ステップ 4 [Apply Changes] をクリックして、変更をファブリック全体に配信します。


 

配信のコミット

一時バッファに格納された RADIUS または TACACS+ グローバル設定またはサーバ設定を、ファブリック内のすべてのスイッチ(送信元スイッチを含む)の実行コンフィギュレーションに適用できます。

手順の詳細

RADIUS または TACACS+ の設定を配信する手順は、次のとおりです。


ステップ 1 [Switches] > [Security] > [AAA] を開いてから、[RADIUS] または [TACACS+] のいずれかを選択します。[Information] ペインに RADIUS または TACACS+ の設定が表示されます。

ステップ 2 [CFS] タブをクリックします。RADIUS または TACACS+ の CFS 設定が表示されます。

ステップ 3 RADIUS または TACACS+ の CFS をイネーブルにする全スイッチについて、[Config Action] ドロップダウン リストで [commitChanges] を選択します。

ステップ 4 [Apply Changes] をクリックして、変更をファブリック全体に配信します。


 

配信セッションの廃棄

進行中のセッションの配信を廃棄すると、一時バッファ内の設定が廃棄されます。廃棄された配信は適用されません。

手順の詳細

RADIUS または TACACS+ の配信を廃棄する手順は、次のとおりです。


ステップ 1 [Switches] > [Security] > [AAA] を開いてから、[RADIUS] または [TACACS+] のいずれかを選択します。[Information] ペインに RADIUS または TACACS+ のいずれかの設定が表示されます。

ステップ 2 [CFS] タブをクリックします。RADIUS または TACACS+ のいずれかの CFS 設定が表示されます。

ステップ 3 保留中の RADIUS または TACACS+ の配信を廃棄するスイッチごとに、[Config Action] ドロップダウン リストで [abort] を選択します。

ステップ 4 [Apply Changes] をクリックします。


 

セッションのクリア

手順の詳細

RADIUS または TACACS+ の配信をクリアする手順は、次のとおりです。


ステップ 1 [Switches] > [Security] > [AAA] を開いてから、[RADIUS] または [TACACS+] のいずれかを選択します。

[Information] ペインに RADIUS または TACACS+ のいずれかの設定が表示されます。

ステップ 2 [CFS] タブを選択します。RADIUS または TACACS+ のいずれかの CFS 設定が表示されます。

ステップ 3 保留中の RADIUS または TACACS+ の配信をクリアするスイッチごとに、[Config Action] ドロップダウン リストで [clear] を選択します。

ステップ 4 [Apply Changes] をクリックします。


 

MSCHAP 認証のイネーブル化

手順の詳細


) パスワード エージング、MSCHAPv2、および MSCHAP 認証は、これらの認証のいずれかがディセーブルでないと失敗する可能性があります。


Device Manager を使用して MSCHAP 認証をイネーブルにする手順は、次のとおりです。


ステップ 1 [Security] > [AAA] をクリックします。

[Information] ペインに AAA の設定が表示されます(図 4-6 を参照)。

図 4-6 Device Manager での AAA 設定

 

ステップ 2 [General] タブをクリックします。

MSCHAP 設定が表示されます(図 4-7 を参照)。

図 4-7 MSCHAP の設定

 

ステップ 3 [AuthTypeMSCHAP] または [AuthTypeMSCHAPv2] チェックボックスをオンにして、スイッチでのユーザ認証に MSCHAP または MSCHAPv2 を利用します。

ステップ 4 [Apply Changes] をクリックして、変更を保存します。


 

Cisco Access Control Servers の設定

Cisco Access Control Server(ACS)は、TACACS+ および RADIUS プロトコルを利用して、セキュアな環境を作り出す AAA サービスを提供します。AAA サーバを使用する際のユーザ管理は、通常 Cisco ACS を使用して行われます。図 4-8図 4-9図 4-10、および図 4-11 に、RADIUS または TACACS+ を利用した ACS サーバの network-admin ロールおよび複数ロールのユーザ セットアップ設定を示します。

図 4-8 RADIUS を使用する場合の network-admin ロールの設定

 

図 4-9 RADIUS を使用する場合の SNMPv3 属性を持つ複数ロールの設定

 

図 4-10 TACACS+ を使用する場合の SNMPv3 属性を持つ network-admin ロールの設定

 

図 4-11 TACACS+ を使用する場合の SNMPv3 属性を持つ複数ロールの設定

 

RADIUS および TACACS+ 設定の確認

これらのコマンドの出力に表示される各フィールドの詳細については、『 Cisco MDS 9000 Family Command Reference 』を参照してください。

「RADIUS サーバ統計情報の表示」

「TACACS+ サーバ統計情報の表示」

「配信する保留中の設定の表示」

RADIUS サーバ統計情報の表示

RADIUS サーバの統計情報を表示する手順は、次のとおりです。


ステップ 1 [Switches] > [Security] > [AAA] を開いてから、[RADIUS] を選択します。

[Information] ペインに RADIUS の設定が表示されます。

ステップ 2 [Statistics] タブをクリックします。

RADIUS サーバの統計情報が表示されます。


 

TACACS+ サーバ統計情報の表示

TACACS+ サーバの統計情報を表示する手順は、次のとおりです。


ステップ 1 [Switches] > [Security] > [AAA] を開いてから、[TACACS+] を選択します。

[Information] ペインに TACACS+ 設定が表示されます。

ステップ 2 [Statistics] タブを選択します。

TACACS+ サーバの統計情報が表示されます。


 

配信する保留中の設定の表示

一時バッファに保存された RADIUS または TACACS+ のグローバル設定またはサーバ設定を表示する手順は、次のとおりです。


ステップ 1 [Switches] > [Security] > [AAA] を開いてから、[RADIUS] または [TACACS+] を選択します。

ステップ 2 [CFS] タブをクリックします。

[CFS] タブに配信状況が表示されます。

ステップ 3 [pending] または [running] オプション ボタンをクリックします。

ステップ 4 [Apply Changes] をクリックして、変更を保存します。

ステップ 5 [Servers] タブをクリックして保留中または実行コンフィギュレーションを表示します。


 

RADIUS、TACACS+、および LDAP 機能の履歴

表 4-3 に、この機能のリリース履歴を示します。この表には、Cisco NX-OS Release 5.x 以降のリリースで導入または変更された機能だけを示します。

 

表 4-3 RADIUS、TACACS+、および LDAP 機能の履歴

機能名
リリース
機能情報

LDAP の設定

5.2

LDAP サーバおよびサーバ グループ設定が追加されました。

スイッチの AAA 機能

5.0(1a)

認証のフォールバック メカニズムの設定、AAA サーバ モニタリング パラメータのグローバル設定が追加されました。

TACACS+ サーバ モニタリング パラメータの設定

5.0(1a)

CHAP 認証が追加されました。

OTP 認証

5.0(1a)

ワンタイム パスワード サポートが追加されました。

RADIUS および TACACS+ 設定マージの注意事項

5.0(1a)

ACACS テスト パラメータは、CFS を通じて配信される必要があります。注釈が変更されました。

AAA サービス設定オプション

5.0(1a)

注釈が変更されました。