Cisco Configuration Professional 1.0 ルーティングおよびセキュリティ ユーザーズ ガイド
AAA(認証、許可、および アカウンティング)
AAA(認証、許可、およびアカウンティング)
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

AAA(認証、許可、およびアカウンティング)

AAA の設定

AAA 画面のリファレンス

AAA 概要画面

AAA サーバおよびサーバ グループ

AAA サーバ

TACACS+ サーバの追加/編集

RADIUS サーバの追加/編集

グローバル設定の編集

AAA サーバ グループ

AAA サーバ グループの追加/編集

認証ポリシー/許可ポリシー ウィンドウ

認証および許可

認証 NAC

認証 802.1x

認証または許可の方式リストの追加または編集

AAA(認証、許可、およびアカウンティング)

Cisco IOS AAA(認証、許可、およびアカウンティング)は、3 つの独立したセキュリティ機能を一貫した方法で設定するアーキテクチャ フレームワークです。AAA では、認証、許可、およびアカウンティング サービスをモジュール化した方法で実行できます。

Cisco IOS AAA には次の利点があります。

柔軟性と制御の向上。

スケーラビリティ。

標準化された認証方式。Cisco CP では、Remote Authentication Dialin User Service( RADIUS)および Terminal Access Controller Access Control System Plus( TACACS+)のいずれかの認証方式を設定できます。

この章の内容は、次のとおりです。

AAA の設定

AAA 画面のリファレンス

AAA の設定

AAA を設定する手順は、次のとおりです。


ステップ 1 Cisco CP のナビゲーション ペインで、[設定]>[セキュリティ]>[AAA]>[AAAの要約]の順にクリックします。

ステップ 2 [AAA]画面で、[AAA の有効化]をクリックします。これにより、ルータ上で AAA が有効になります。

ステップ 3 [AAA]フォルダの隣のプラス記号(+)をクリックすると、その他の AAA ブランチが表示されます。

ステップ 4 必要な設定のタイプのブランチをクリックします。

ステップ 5 表示された[AAA]画面で、設定を作成したり、画面内の既存エントリを選択したりする場合は[追加]を、設定を変更する場合は[編集]をクリックします。

ステップ 6 表示されたダイアログで設定を行い、[OK]をクリックして設定をルータに送信します。[設定の編集]画面で[コマンドをルータに配信する前にプレビューする]を選択した場合は、送信する Cisco IOS CLI コマンドが表示されます。ルータに設定を送信する場合は[OK]を、この設定を破棄する場合は[キャンセル]をクリックします


 

AAA 画面のリファレンス

この章の各トピックでは、AAA の設定画面について説明します。

AAA 概要画面

AAA サーバおよびサーバ グループ

AAA サーバ

TACACS+ サーバの追加/編集

RADIUS サーバの追加/編集

AAA サーバ グループ

AAA サーバ グループの追加/編集

認証ポリシー/許可ポリシー ウィンドウ

認証および許可

認証 NAC

認証 802.1x

認証または許可の方式リストの追加または編集

AAA 概要画面

この画面は、AAA ツリーの最上位レベルにあります。この画面には、ルータの AAA 設定の要約ビューが表示されます。詳細情報を表示したり、AAA の設定を編集したりするには、[AAA]ツリーで適切なノードをクリックします。

フィールド リファレンス

 

表36-1 AAA のメイン画面のフィールド

項目
説明

AAA の有効化

AAA の無効化

AAA が有効の場合は、ボタン名が[AAA の無効化]になります。AAA が無効の場合は、ボタン名が[AAA の有効化]になります。

AAA はデフォルトでは有効です。[AAA の無効化]をクリックすると、ルータにアクセスできるようにするために設定が変更されることを通知するメッセージが、Cisco CP に表示されます。AAA を無効にすると、ルータを Easy VPN サーバとして設定できなくなります。また、ユーザ アカウントをコマンド ライン インターフェイス(CLI)のビューと関連付けることができなくなります。

AAA サーバおよびグループ

この読み取り専用フィールドには、AAA サーバおよびサーバ グループの数が表示されます。ルータは、AAA サーバへの認証、許可、およびアカウンティング要求をリレーします。AAA サーバはグループに分けられているので、ルータが最初にアクセスしたサーバが利用できない場合に、AAA グループ内の代替サーバを利用できます。

認証ポリシー

この読み取り専用フィールドには、設定されている認証ポリシーが表示されます。認証ポリシーはユーザの識別方法を定義します。認証ポリシーを編集するには、[AAA]ツリーの[認証ポリシー]の[ログイン]サブノードをクリックします。

許可ポリシー

この読み取り専用フィールドには、設定済みの許可ポリシーが表示されます。許可ポリシーでは、ユーザ ログインを許可または拒否する方法が定義されます。許可ポリシーを編集するには、[AAA]ツリーの[許可ポリシー]をクリックします。

許可ポリシー(Exec 許可およびネットワーク許可)を編集するには、[AAA]ツリーの[許可ポリシー]ノードの[Exec]および[ネットワーク]サブノードをそれぞれクリックします。

AAA サーバおよびサーバ グループ

このウィンドウには、 AAA サーバおよび AAA サーバ グループの説明が表示されます。

[AAA サーバ]ウィンドウを表示するには、 AAA サーバ のブランチをクリックします。

[AAA サーバ グループ]ウィンドウを表示するには、 AAA サーバ グループ のブランチをクリックします。

AAA サーバ

このウィンドウには、ルータで使用するように設定されている AAA サーバに関する情報のスナップショットが表示されます。IP アドレス、サーバ タイプ、およびその他のパラメータがサーバごとに表示されます。

フィールド リファレンス

 

表36-2 AAA サーバのフィールド

項目
説明

グローバル設定

TACACS+ サーバおよび RADIUS サーバのグローバル設定を行う場合は、[グローバル設定]をクリックします。[グローバル設定の編集]ウィンドウでは、この AAA サーバへのアクセスが試行される期間(この期間の経過後は、次のサーバへのアクセスが試行されます)、TACACS+ サーバまたは RADIUS サーバにアクセスする際に使用するキー、および TACACS+ パケットまたは RADIUS パケットを受信するインターフェイスを指定できます。これらの設定は、サーバ固有の設定が行われていないすべてのサーバに適用されます。

追加

TACACS+ サーバまたは RADIUS サーバをリストに追加するには、[追加]をクリックします。

編集

選択した AAA サーバの情報を編集するには、[編集]をクリックします。

削除

選択した AAA サーバの情報を削除するには、[削除]をクリックします。

サーバ IP

AAA サーバの IP アドレスです。

パラメータ

このカラムには、タイムアウト、キー、およびその他のパラメータがサーバごとに表示されます。

TACACS+ サーバの追加/編集

このウィンドウでは、 TACACS+ サーバの情報の追加や編集を行います。

フィールド リファレンス

 

表36-3 TACACS+ サーバ フィールドの追加/編集

項目
説明

サーバ IP またはホスト名

サーバの IP アドレスまたはホスト名を入力します。ルータがドメイン ネーム サービス( DNS)サーバを使用するように設定されていない場合は、IP アドレスを入力します。

サーバとの単一接続

このチェック ボックスは、サーバとの通信のたびに TCP 接続を開始および終了するのではなく、ルータで TACACS+ サーバとの単一接続をオープンして維持する場合に選択します。単一接続をオープンしておくと、TACACS+ サーバでより多くの TACACS+ 処理を実行できるので効率が向上します。

 

) このオプションは、TACACS+ サーバで CiscoSecure バージョン 1.0.1 以降が実行されている場合にだけサポートされます。


サーバ固有のセットアップ

AAA サーバのグローバル設定を無効にして、サーバ固有のタイムアウト値および暗号キーを指定する場合は、[サーバ固有のセットアップ]を選択します。次のような設定が可能です。

 

タイムアウト(秒) ― ルータがこのサーバへのアクセスを試行する秒数を入力します。指定した秒数が経過すると、グループ リスト内の次のサーバへのアクセスを試行します。ここで値を入力しない場合、ルータでは AAA サーバの[グローバル設定]ウィンドウで設定された値が使用されます。

 

キーの設定 ― オプション。ルータとこのサーバ間のトラフィックを暗号化するために使用するキーを入力します。ここで値を入力しない場合、ルータでは AAA サーバの[グローバル設定]ウィンドウで設定された値が使用されます。

 

新しいキー/キーの確認 ― キーを入力し、確認のためにそのキーを再入力します。

RADIUS サーバの追加/編集

このウィンドウでは、 RADIUS サーバの情報の追加や編集を行います。

フィールド リファレンス

 

表36-4 RADIUS サーバ フィールドの追加/編集

項目
説明

サーバ IP またはホスト名

サーバの IP アドレスまたはホスト名を入力します。ルータがドメイン ネーム サービス(DNS)サーバを使用するように設定されていない場合は、IP アドレスを入力します。

許可ポート

許可要求に使用するサーバ ポートを指定します。デフォルトは 1645 です。

アカウンティング ポート

アカウンティング要求に使用するサーバ ポートを指定します。デフォルトは 1646 です。

タイムアウト(秒)

オプション。ルータがこのサーバへのアクセスを試行する秒数を入力します。指定した秒数が経過すると、グループ リスト内の次のサーバへのアクセスを試行します。ここで値を入力しない場合、ルータでは AAA サーバの[グローバル設定]ウィンドウで設定された値が使用されます。

キーの設定

オプション。ルータとこのサーバ間のトラフィックを暗号化するために使用するキーを入力します。ここで値を入力しない場合、ルータでは AAA サーバの[グローバル設定]ウィンドウで設定された値が使用されます。

新しいキー/キーの確認 ― キーを入力し、確認のためにそのキーを再入力します。

グローバル設定の編集

このウィンドウでは、ルータと AAA サーバ間のすべての通信に適用される通信設定を指定します。個別のルータに対する通信設定は、このウィンドウの設定よりも優先されます。

フィールド リファレンス

 

表36-5 グローバル設定のフィールド

項目
説明

TACACS+ サーバ

RADIUS サーバ

適切なボタンをクリックして、グローバル パラメータを設定するサーバのタイプを指定します。[ TACACS+ サーバ]を選択すると、固有のパラメータが設定されていない TACACS+ サーバとのすべての通信にこのパラメータが適用されます。[ RADIUS サーバ]を選択すると、固有のパラメータが設定されていない RADIUS サーバとのすべての通信にこのパラメータが適用されます。

タイムアウト(秒)

RADIUS または TACACS+ サーバからの応答を待つ秒数を入力します。

キー

ルータと TACACS+ サーバまたは RADIUS サーバ間のすべての通信で使用する暗号キーを入力します。

送信元インターフェイスの選択

ルータで TACACS+ または RADIUS パケットの受信に使用される単一のインターフェイスを指定する場合には、このボックスを選択します。

インターフェイス ― ルータで TACACS+ または RADIUS のパケットを受信するためのインターフェイスを選択します。[送信元インターフェイスの選択]チェック ボックスの選択が解除されている場合、このフィールドは無効になります。

AAA サーバ グループ

このウィンドウには、このルータに設定されている AAA サーバ グループが表示されます。AAA サーバが設定されていない場合、このウィンドウは空になります。

フィールド リファレンス

 

表36-6 AAA サーバ グループのフィールド

項目
説明

追加

[追加]ボタンをクリックすると、 RADIUS サーバ グループを作成できます。RADIUS サーバ グループを作成すると、このウィンドウにグループの名前とメンバが表示されます。

編集

[編集]をクリックすると、強調表示されているサーバ グループに関する情報を変更できます。

削除

[削除]をクリックすると、強調表示されているサーバ グループを削除できます。

グループ名

サーバ グループの名前です。サーバ グループ名を使用すると、1 つの名前で複数のサーバを参照できます。

タイプ

選択されたグループ内のサーバのタイプです。 TACACS+ または RADIUS です。

グループ メンバ

このグループ内の AAA サーバの IP アドレスまたはホスト名です。

AAA サーバ グループの追加/編集

このウィンドウでは、 AAA サーバ グループの作成や変更を行います。

フィールド リファレンス

 

表36-7 AAA サーバ グループの追加/編集のフィールド

項目
説明

グループ名

グループの名前を入力します。

サーバ タイプ

RADIUS TACACS+ のいずれかのサーバのタイプを選択します。


) 現在の設定内容によっては、このフィールドが保護されていて、特定のタイプに設定される場合があります。


この AAA サーバ グループに追加するサーバを選択してください

このエリアには、選択したタイプのルータに設定されているすべての AAA サーバの IP アドレスが、使用されている認証ポートとアカウンティング ポートとともに一覧表示されます。追加するサーバの横の[選択]チェック ボックスを選択します。

認証ポリシー/許可ポリシー ウィンドウ

[認証ポリシー]および[許可ポリシー]ウィンドウには、ルータの認証ポリシーに関する情報の概要が表示されます。

フィールド リファレンス

 

表36-8 認証ポリシー/許可ポリシーのフィールド

項目
説明

認証タイプ

認証ポリシーのタイプです。

ポリシー数

このタイプのポリシーの数です。

使用目的

これらのポリシーの使用目的についての説明です。

認証および許可

[ログイン]および[Exec 許可およびネットワーク許可]ウィンドウには、ログインと NAC 要求の認証、および Exec コマンド レベル要求とネットワーク要求の許可に使用される方式リストが表示されます。これらのウィンドウでは、各方式リストを確認および管理できます。

フィールド リファレンス

 

表36-9 認証/許可のフィールド

項目
説明

追加

編集

削除

これらのボタンを使用すると、方式リストを作成、編集、および削除できます。

リスト名

方式リストの名前。方式リストとは、ユーザを認証するために照会される認証方式を、優先順位に従って記載したリストのことです。

方式 1

ルータで最初に使用される方式です。この方式で、いずれか 1 つのサーバによってユーザが認証された(PASS 応答が送信された)場合は、認証が成功したことになります。サーバから FAIL 応答が返された場合は、認証が失敗したことになります。最初の方式で応答するサーバがなかった場合、ルータはリスト内の次の方式を使用します。方式は、リストの作成または編集時に、順番に並べることができます。

方式 2

方式 3

方式 4

方式 1 で参照されるサーバが応答しない場合にルータで使用される方式を、使用される順序に従って示しています。方式が 3 つ以下の場合、リストが設定されていない場所は空のままです。

認証 NAC

[認証 NAC]ウィンドウには、ルータに設定されている EAPoUDP 方式リストが表示されます。このウィンドウで追加の方式リストを指定すると、ルータでは、デフォルトの方式リストが使用される前に、指定した方式リストが使用されます。

フィールド リファレンス

 

表36-10 NAC 認証のフィールド

項目
説明

追加

編集

削除

これらのボタンを使用すると、方式リストを作成、編集、および削除できます。

リスト名

方式リストの名前。方式リストとは、ユーザを認証するために照会される認証方式を、優先順位に従って記載したリストのことです。NAC の設定に NAC ウィザードが使用された場合は、このカラムにリスト名「default」が表示されます。

方式 1

ルータで最初に使用される方式です。NAC の設定に NAC ウィザードが使用された場合は、このカラムに方式名「group SDM_NAC_Group」が表示されます。

この方式で、いずれか 1 つのサーバによってユーザが認証された(PASS 応答が送信された)場合は、認証が成功したことになります。サーバから FAIL 応答が返された場合は、認証が失敗したことになります。最初の方式で応答するサーバがなかった場合、ルータはリスト内の次の方式を使用します。方式は、リストの作成または編集時に、順番に並べることができます。

方式 2

方式 3

方式 4

方式 1 で参照されるサーバが応答しない場合にルータで使用される方式を、使用される順序に従って示しています。方式が 3 つ以下の場合、リストが設定されていない場所は空のままです。

認証 802.1x

[認証 802.1x]ウィンドウには、802.1x 認証に適合するように設定されている方式リストが表示されます。


) 802.1x の設定に追加の方式リストを指定することはできません。


フィールド リファレンス

 

表36-11 802.1x 認証のフィールド

項目
説明

追加

編集

削除

これらのボタンを使用すると、方式リストを作成、編集、および削除できます。

リスト名

方式リストの名前。方式リストとは、ユーザを認証するために照会される認証方式を、優先順位に従って記載したリストのことです。

802.1x の設定に LAN ウィザードが使用された場合は、このカラムにリスト名「default」が表示されます。

方式 1

ルータで最初に使用される方式です。この方式で、いずれか 1 つのサーバによってユーザが認証された(PASS 応答が送信された)場合は、認証が成功したことになります。サーバから FAIL 応答が返された場合は、認証が失敗したことになります。最初の方式で応答するサーバがなかった場合、ルータはリスト内の次の方式を使用します。方式は、リストの作成または編集時に、順番に並べることができます。

802.1x の設定に LAN ウィザードが使用された場合は、このカラムに方式名「group SDM_802.1x」が表示されます。

方式 2

方式 3

方式 4

方式 1 で参照されるサーバが応答しない場合にルータで使用される方式です。方式が 3 つ以下の場合、リストが設定されていない場所は空のままです。

認証または許可の方式リストの追加または編集

方式リストとは、ユーザを認証するために照会される認証方式を、優先順位に従って記載したリストのことです。方式リストを使用すると、認証に使用するセキュリティ プロトコルを 1 つ以上指定できます。これによって、最初の方式が失敗した場合のための、認証のバックアップ システムを確保できます。

Cisco IOS ソフトウェアは、リストの最初に記載されている方式を使用してユーザを認証します。その方式で応答がなかった場合、Cisco IOS ソフトウェアは、方式リストに記載されている次の認証方式を選択します。リストされた認証方式との通信に成功するか、方式リストに定義されているすべての方式を試し終わるまでこれが繰り返されます。

Cisco IOS ソフトウェアが、次にリストされている認証方式での認証を試行するのは、その前の方式で応答がなかったときだけであることに注意してください。このサイクルのいずれかの時点で認証に失敗した場合(つまり、セキュリティ サーバまたはローカル ユーザ名データベースがユーザ アクセスを拒否することによって応答した場合)、認証プロセスは停止し、他の認証方式は試行されません。

フィールド リファレンス

 

表36-12 認証または許可の方式リストの追加のフィールド

項目
説明

名前

指定する

[名前]リストで名前[デフォルト]または[ユーザ定義]を選択して、[指定する]フィールドに方式リストの名前を入力します。

方式

方式は、設定済みのサーバ グループです。方式は 4 つまで指定して、ルータで使用される順にリストに配置できます。ルータでは、最初にリスト内の 1 つめの方式が試行されます。認証要求に対して PASS または FAIL 応答を受け取った場合は、それ以上の照会は行われません。最初の方式を使用して応答が得られなかった場合は、リスト内の次の方式が使用されます。PASS または FAIL 応答を受け取らない限り、リスト内の方式が最後まで順番に使用されます。

追加

リストに方式を追加するには、[追加]をクリックします。追加する設定済みのサーバ グループがない場合は、表示されたウィンドウでサーバ グループを設定できます。

削除

リストから方式を削除する場合に、このボタンをクリックします。

上へ移動

下へ移動

ルータでは、このウィンドウに表示されている順に方式が使用されます。方式をリスト内の上に移動する場合は、[上へ移動]をクリックします。方式をリスト内の下に移動する場合は、[下へ移動]をクリックします。

方式 "none" は常にリストの最後に表示されます。リスト内で、この下に他の方式を移動することはできません。これは、IOS の制限です。IOS では、方式名 "none" が方式リストに追加されると、それ以降他の方式名が受け付けられなくなります。

パスワード エージングの有効化

ユーザのパスワードの期限が切れたときに、Easy VPN サーバから通知が送られ、新たなパスワードの登録が要求されるようにするには、[パスワード エージングの有効化]を選択します。