クラウドおよびシステム管理 : Cisco IOS と NX-OS ソフトウェア

認証の設定

認証の設定
発行日;2012/01/21 | 英語版ドキュメント(2011/04/25 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

認証の設定

機能情報の検索

マニュアルの内容

認証の設定の前提条件

認証の設定に関する制約事項

認証の設定に関する情報

認証方式の名前リスト

方式リストとサーバ グループ

方式リストの例

AAA 認証の一般的な設定手順

AAA 認証方式の設定方法

AAA を使用したログイン認証の設定

ユーザ名が失効している場合のアクセス要求の RADIUS サーバへの送信防止

イネーブル パスワードを使用したログイン認証

Kerberos を使用したログイン認証

回線パスワードを使用したログイン認証

ローカル パスワードを使用したログイン認証

Group RADIUS を使用したログイン認証

Group TACACS+ を使用したログイン認証

group group-name を使用したログイン認証

AAA を使用した PPP 認証の設定

Kerberos を使用した PPP 認証

ローカル パスワードを使用した PPP 認証

Group RADIUS を使用した PPP 認証

Group TACACS+ を使用した PPP 認証

group group-name を使用した PPP 認証

PPP 要求の AAA スケーラビリティの設定

AAA を使用した ARAP 認証の設定

認可されたゲスト ログインを許可する ARAP 認証

ゲスト ログインを許可する ARAP 認証

回線パスワードを使用した ARAP 認証

ローカル パスワードを使用した ARAP 認証

Group RADIUS を使用した ARAP 認証

Group TACACS+ を使用した ARAP 認証

group group-name を使用した ARAP 認証

AAA を使用した NASI 認証の設定

イネーブル パスワードを使用した NASI 認証

回線パスワードを使用した NASI 認証

ローカル パスワードを使用した NASI 認証

Group RADIUS を使用した NASI 認証

Group TACACS+ を使用した NASI 認証

group group-name を使用した NASI 認証

ログイン入力のための期間指定

特権レベルでのパスワード保護のイネーブル化

パスワード プロンプトに表示されるテキストの変更

ユーザ名がブランクのアクセス要求の RADIUS サーバへの送信防止

AAA 認証のメッセージ バナーの設定

ログイン バナーの設定

Failed-Login バナーの設定

AAA パケット オブ ディスコネクトの設定

ダブル認証のイネーブル化

ダブル認証が動作する仕組み

ダブル認証の設定

ダブル認証後のユーザ プロファイルへのアクセス

自動ダブル認証のイネーブル化

Non-AAA 認証方式

回線パスワード保護の設定

ユーザ名認証の設定

CHAP または PAP 認証のイネーブル化

PPP カプセル化のイネーブル化

PAP または CHAP のイネーブル化

インバウンド認証およびアウトバウンド認証

アウトバウンド PAP 認証のイネーブル化

PAP 認証要求の拒否

共通 CHAP パスワードの作成

CHAP 認証要求の拒否

ピアが認証されるまでの CHAP 認証の遅延

MS-CHAP の使用

認証例

RADIUS 認証の例

TACACS+ 認証の例

Kerberos 認証の例

AAA スケーラビリティの例

ログイン バナーと障害バナーの例

AAA パケット オブ ディスコネクト サーバ キーの例

ダブル認証の例

ダブル認証を使用する AAA のローカル ホストの設定例

第 1 段階(PPP)の認証と認可の AAA サーバの設定例

第 2 段階(Per-User)の認証と認可の AAA サーバの設定例

TACACS+ を使用する設定全体の例

自動ダブル認証の例

MS-CHAP の例

参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

認証の設定の機能情報

認証の設定

 

認証には、ログインとパスワードのダイアログ、チャレンジと応答、メッセージのサポート、選択したセキュリティ プロトコルに応じた暗号化など、ユーザを識別する方式が用意されています。認証とは、ネットワークおよびネットワーク サービスにアクセスを許可する前にユーザを識別する手段のことです。

機能情報の検索

ご使用のソフトウェア リリースでは、このモジュールで説明されているすべての機能がサポートされているとは限りません。最新の機能情報および警告については、ご使用のプラットフォームおよびソフトウェア リリースのリリースノートを参照してください。このモジュールに記載されている機能に関する情報を検索したり、各機能がサポートされているリリースに関するリストを参照したりするには、「認証の設定の機能情報」を参照してください。

プラットフォームのサポートおよび Cisco IOS と Catalyst OS ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスしてください。Cisco.com のアカウントは必要ありません。

認証の設定の前提条件

Cisco IOS ソフトウェアの認証の実装は、Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)認証および認証なしの方式に分類されます。シスコでは、可能な限り AAA セキュリティ サービスを使用して認証を実装することを推奨します。

認証の設定に関する制約事項

Cisco IOS Release 12.3 で有効となる設定可能な AAA 方式リストの数は 250 です。

非標準のオプションを指定した RADIUS サーバを 1 台、および非標準のオプションを指定しない別の RADIUS サーバを 1 台設定した場合、非標準のオプションを指定した RADIUS サーバ ホストは定義済みのホストを受け入れません。acct-port キーワードを使用してアカウンティング要求と異なる UDP 宛先ポート、および非標準オプションの有無に関係なく auth-port キーワードを使用して認証要求の UDP 宛先ポートに同じ RADIUS サーバ ホスト IP アドレスを設定した場合、RADIUS サーバは非標準オプションを受け入れません。

認証の設定に関する情報

ここでは、認証方式の名前リストを定義し、このリストをさまざまなインターフェイスに適用して、AAA 認証を設定する方法について説明します。

認証方式の名前リスト

AAA 認証を設定するには、まず認証方式の名前リストを定義してから、この名前リストをさまざまなインターフェイスに適用します。認証方式リストに定義するのは、実行される認証のタイプおよび認証の実行シーケンスです。したがって、定義した認証方式のいずれかが実行される前に、特定のインターフェイスにリストを適用しておく必要があります。この唯一の例外は、デフォルトの方式リストです(リスト名は「default」)。デフォルトの方式リストは、方式の名前リストが明示的に定義されているインターフェイスを除き、すべてのインターフェイスに自動的に適用されます。方式リストが定義されていると、デフォルトの方式リストは無効になります。

方式リストは、ユーザを認証するために照会する認証方式が順番に記述されたリストです。方式リストを使用すると、認証に使用する 1 つまたは複数のセキュリティ プロトコルを指定できます。したがって、最初の方式が失敗した場合でも認証のバックアップ システムが確保されます。Cisco IOS ソフトウェアでは、リストの先頭にある方式を使用してユーザを認証します。この方式で応答がなかった場合は、方式リストに記載されている次の認証方式が選択されます。リストされている認証方式で通信に成功するか、または方式リストに定義されたすべての方式で認証を試行するまで、このプロセスは継続されます。

重要なことは、Cisco IOS ソフトウェアがリストにある次の認証方式で認証を試行するのは、前の方式で応答がなかった場合だけであるという点です。上記のサイクルのいずれかの時点で認証に失敗した場合、つまり、セキュリティ サーバまたはローカルのユーザ名データベースが応答してユーザ アクセスを拒否した場合、認証プロセスが終了して他の認証方式は試行されません。

ここの構成は、次のとおりです。

方式リストとサーバ グループ

方式リストの例

AAA 認証の一般的な設定手順

方式リストとサーバ グループ

サーバ グループは、既存の RADIUS サーバまたは TACACS+ サーバのホストをグループ化して方式リストで利用するための手段です。図 1 に、4 台のセキュリティ サーバで構成される一般的な AAA ネットワーク構成を示します。R1 および R2 が RADIUS サーバ、T1 および T2 が TACACS+ サーバです。R1 および R2 は RADIUS サーバのグループを構成します。T1 および T2 は TACACS+ サーバのグループを構成します。

図 1 一般的な AAA ネットワーク構成

 

サーバ グループを使用すると、設定済みサーバ ホストのサブセットを指定して、そのホストを特定のサービスに利用できます。たとえば、サーバ グループを使用して R1 と R2 を 1 つのサーバ グループとして定義し、T1 と T2 を別のサーバ グループとして定義できます。また、認証ログイン用の方式リストには R1 と T1 を指定し、Point-to-Point Protocol(PPP; ポイントツーポイント プロトコル)認証用の方式リストには R2 と T2 を指定することもできます。

さらに、サーバ グループには、同じサーバを複数のホスト エントリとして追加できます(各エントリの ID が一意な場合に限る)。IP アドレスと UDP ポート番号を組み合せて一意な ID を作成し、この ID を使用して、さまざまなポートを特定の AAA サービスを提供する RADIUS ホストとして個別に定義できます。つまり、この一意な ID を使用すると、同じ IP アドレスのサーバのさまざまな UDP ポートに RADIUS 要求を送信できます。同じ RADIUS サーバの異なる 2 つのホスト エントリに同じサービス(認証など)が設定されていた場合、設定された 2 番目のホスト エントリは、最初のホスト エントリに対するフェイルオーバー バックアップとして動作します。このような例では、最初のホスト エントリがアカウンティング サービスを提供できなかった場合、ネットワーク アクセス サーバは同じデバイス上に設定された 2 番目のホスト エントリを試行してアカウンティング サービスを利用します (RADIUS ホスト エントリは設定されている順序で試行されます)。

サーバ グループの設定および Dialed Number Identification Service(DNIS; 着信番号識別サービス)番号に基づくサーバ グループの設定の詳細については、「Configuring RADIUS」または「Configuring TACACS+」の章を参照してください。

方式リストの例

システム管理者が、すべてのインターフェイスで同じ認証方式を使用して PPP 接続を認証するセキュリティ ソリューションを決定したとします。RADIUS グループでは、認証情報を取得するために最初に R1 と通信し、応答がなかった場合は R2 と通信します。R2 が応答しない場合は TACACS+ グループの T1 と通信し、T1 が応答しなければ T2 と通信します。指定したサーバがすべて応答しなかった場合、認証はアクセス サーバ自体にあるローカルなユーザ名データベースで行われることになります。このソリューションを実装するには、システム管理者が次のコマンドを入力してデフォルトの方式リストを作成します。

aaa authentication ppp default group radius group tacacs+ local
 

この例で、「default」は方式リストの名前を表しています。この方式リストで使用するプロトコルは、名前に続けて、照会される順序でリストされています。デフォルトのリストはすべてのインターフェイスに自動的に適用されます。

リモート ユーザがネットワークにダイヤルインしようとすると、ネットワーク アクセス サーバはまず R1 に照会して認証情報を確認します。R1 がユーザを認証した場合、R1 はネットワーク アクセス サーバに PASS 応答を発行し、ユーザがネットワークにアクセスできるようになります。R1 が FAIL 応答を返した場合、ユーザはアクセスを拒否されてセッションが終了します。R1 が応答しない場合、ネットワーク アクセス サーバはこれを ERROR として処理し、R2 に照会して認証情報を確認します。このパターンは、ユーザが認証されるか拒否されるまで、またはセッションが終了するまで残りの指定方式を使用して継続します。

重要なことは、FAIL 応答は ERROR とは大きく異なるという点です。FAIL というのは、適用される認証データベースに格納された正しく認証するための基準をユーザが満たしていないことを意味しています。FAIL 応答を受け取ると、認証は終了します。ERROR というのは、セキュリティ サーバが認証クエリーに応答しなかったことを意味しています。このため、認証は試行されていません。ERROR が検出された場合に限り、認証方式リストに定義された次の認証方式が AAA によって選択されます。

システム管理者が、特定のインターフェイスまたはインターフェイス群だけに方式リストを適用する必要があるとします。この場合、システム管理者は方式の名前リストを作成し、該当するインターフェイスにこの名前リストを適用します。次に、インターフェイス 3 だけに適用される認証方式をシステム管理者が実装する方法の例を示します。

aaa authentication ppp default group radius group tacacs+ local
aaa authentication ppp apple group radius group tacacs+ local none
interface async 3
ppp authentication chap apple
 

この例で、「apple」は方式リストの名前です。この方式リストで使用するプロトコルは、名前に続けて実行される順序でリストされています。作成後、方式リストは該当するインターフェイスに適用されます。方式リスト名(apple)は、AAA 認証コマンドと PPP 認証コマンドで一致している必要があります。

次に、システム管理者がサーバ グループを使用して、PPP 認証に有効なサーバは R2 と T2 だけであることを指定する例を示します。このとき、管理者は特定のサーバ グループを定義して、そのメンバをそれぞれ R2(172.16.2.7)および T2(172.16.2.77)とする必要があります。この例では、 aaa group server コマンドを使用して、次のように RADIUS サーバ グループ「rad2only」を定義しています。

aaa group server radius rad2only
server 172.16.2.7
 

TACACS+ サーバ グループ「tac2only」は、 aaa group server コマンドを使用して次のように定義します。

aaa group server tacacs+ tac2only
server 172.16.2.77
 

次に管理者は、サーバ グループを使用して PPP 認証を適用します。この例では、PPP 認証用のデフォルト方式リストは group rad2only group tac2only local の順序に従います。

aaa authentication ppp default group rad2only group tac2only local

AAA 認証の一般的な設定手順

AAA 認証を設定するには、次の手順を実行します。

1. aaa new-model グローバル コンフィギュレーション コマンドを使用して、AAA をイネーブルにします。AAA の設定の詳細については、「AAA Overview」の章を参照してください。

2. セキュリティ サーバを使用する場合は、RADIUS、TACACS+、または Kerberos などのセキュリティ プロトコル パラメータを設定します。RADIUS の詳細については、「Configuring RADIUS」の章を参照してください。TACACS+ の詳細については、「Configuring TACACS+」の章を参照してください。Kerberos の詳細については、「Configuring Kerberos」の章を参照してください。

3. AAA 認証コマンドを使用して、認証用の方式リストを定義します。

4. 必要に応じて、特定のインターフェイスまたは回線に方式リストを適用します。

AAA 認証方式の設定方法

ここでは、次の AAA 認証方式について説明します。

AAA を使用したログイン認証の設定

AAA を使用した PPP 認証の設定

PPP 要求の AAA スケーラビリティの設定

AAA を使用した ARAP 認証の設定

AAA を使用した NASI 認証の設定

ログイン入力のための期間指定

特権レベルでのパスワード保護のイネーブル化

パスワード プロンプトに表示されるテキストの変更

ユーザ名がブランクのアクセス要求の RADIUS サーバへの送信防止

AAA 認証のメッセージ バナーの設定

AAA パケット オブ ディスコネクトの設定

ダブル認証のイネーブル化

自動ダブル認証のイネーブル化


) AAA 機能は、aaa new-model コマンドを発行して AAA をグローバルにイネーブルにするまでは使用できません。AAA をイネーブルにする方法の詳細については、「AAA Overview」の章を参照してください。


この章のコマンドを使用した認証設定の例については、この章の最後の「認証例」を参照してください。

AAA を使用したログイン認証の設定

AAA セキュリティ サービスによって、さまざまなログイン認証方式が有効になります。 aaa authentication login コマンドを使用すると、サポートされているログイン認証方式のいずれを使用するかに関係なく、AAA 認証がイネーブルになります。 aaa authentication login コマンドでは、ログイン時に試行される認証方式の 1 つまたは複数のリストを作成します。これらのリストを適用するには、 login authentication ライン コンフィギュレーション コマンドを使用します。

AAA を使用したログイン認証を設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

ステップ 1

Router(config)# aaa new-model

グローバルに AAA をイネーブルにします。

ステップ 2

Router(config)# aaa authentication login { default | list-name } method1 [ method2 ...]

ローカル認証リストを作成します。

ステップ 3

Router(config)# line [ aux | console | tty | vty ] line-number [ ending-line-number ]

認証リストを適用する回線のライン コンフィギュレーション モードを開始します。

ステップ 4

Router(config-line)# login authentication

{ default | list-name }

回線または回線セットに認証リストを適用します。

list-name は、作成するリストを指定する文字ストリングです。method 引数は、認証アルゴリズムによって試行される実際の方式を示しています。2 番目以降の認証方式は、その前の方式が失敗した場合ではなくエラーを返した場合にだけ使用されます。すべての方式でエラーが返された場合にも認証が必ず成功するように指定するには、コマンドラインで最後の方式に none を指定します。

たとえば、(この例で)TACACS+ サーバからエラーが返された場合にも認証が必ず成功するように指定するには、次のコマンドを入力します。

aaa authentication login default group tacacs+ none

none キーワードを使用すると、ログインするユーザはだれでも認証に成功するため、このキーワードはバックアップの認証方式に限って使用する必要があります。


login authentication コマンドで名前リストを指定 しなかった ときに使用されるデフォルト リストを作成するには、 default キーワードを使用し、続けてデフォルト状況で使用される方式を指定します。デフォルト方式リストはすべてのインターフェイスに自動的に適用されます。

たとえば、ログイン時のユーザ認証のデフォルト方式に RADIUS を指定するには、次のコマンドを入力します。

aaa authentication login default group radius
 

表 1 に、サポートされているログイン認証方式を示します。

 

表 1 AAA 認証のログイン方式

キーワード
説明

enable

認証にイネーブル パスワードを使用します。

krb5

認証に Kerberos 5 を使用します。

krb5-telnet

Telnet を使用してルータに接続する場合に Kerberos 5 Telnet 認証プロトコルを使用します。このキーワードを選択する場合は、方式リストの先頭の方式に指定する必要があります。

line

認証に回線パスワードを使用します。

local

認証にローカルのユーザ名データベースを使用します。

local-case

大文字と小文字を区別するローカルのユーザ名認証を使用します。

none

認証を使用しません。

group radius

認証にすべての RADIUS サーバのリストを使用します。

group tacacs+

認証にすべての TACACS+ サーバのリストを使用します。

group group-name

aaa group server radius コマンドまたは aaa group server tacacs+ コマンドの定義に従って、認証に RADIUS サーバまたは TACACS+ サーバのサブセットを使用します。


login コマンドによって変更されるのはユーザ名および特権レベルだけであり、シェルは実行されません。したがって、autocommand は実行されません。この環境で autocommand を実行するには、ルータに対して Telnet セッションを確立する必要があります(ループバック)。autocommand をこのようにして実装する場合は、ルータに必ずセキュア Telnet セッションを設定してください。


この項の構成は、次のとおりです。

ユーザ名が失効している場合のアクセス要求の RADIUS サーバへの送信防止

イネーブル パスワードを使用したログイン認証

Kerberos を使用したログイン認証

回線パスワードを使用したログイン認証

ローカル パスワードを使用したログイン認証

Group RADIUS を使用したログイン認証

Group TACACS+ を使用したログイン認証

group group-name を使用したログイン認証

ユーザ名が失効している場合のアクセス要求の RADIUS サーバへの送信防止

次のタスクを使用すると、失効したユーザ名は RADIUS サーバに送信されなくなります。Easy VPN クライアントは、パスワードが失効しているという通知を RADIUS サーバから受け取ります。また、パスワードの失効機能により、ユーザが普通にパスワードを変更するための手段が用意されます。


radius-server vsa send authentication コマンドを設定して、パスワードの失効機能を有効にする必要があります。


手順の概要

1. enable

2. configure terminal

3. aaa new-model

4. aaa authentication login { default | list-name } passwd-expiry method1 [ method2... ]

5. radius-server vsa send authentication

詳細手順

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

aaa new-model

 

Router(config)# aaa new-model

AAA をイネーブルにします。

ステップ 4

aaa authentication login { default | list-name } passwd-expiry method1 [ method2... ]

 

Router(config)# aaa authentication login userauthen passwd-expiry group radius

default キーワードを指定すると、デフォルトの方式リストとして、このキーワードに続けて指定した認証方式が、ユーザのログイン時に使用されます。

list-name 引数は、ユーザのログイン時にアクティブになる認証方式のリストを指定する文字ストリングです。

password-expiry キーワードを使用すると、ローカル認証リストでパスワードのエージングがイネーブルになります。

method 引数は、指定したシーケンスで認証アルゴリズムによって試行される方式のリストを示しています。最低でも 1 つの方式を入力する必要があり、入力できる方式は最大 4 つまでです。

この例では、crypto クライアントを指定した AAA を使用して、パスワードのエージングを設定しています。

ステップ 5

radius-server vsa send authentication

 

Router(config)# radius-server vsa send authentication

アクセス要求内のベンダー固有アトリビュートを送信します。

イネーブル パスワードを使用したログイン認証

ログイン認証方式としてイネーブル パスワードを指定するには、 enable method キーワードを指定して aaa authentication login コマンドを使用します。たとえば、他の方式リストが定義されていないときに、ログイン時のユーザ認証方式としてイネーブル パスワードを指定するには、次のコマンドを入力します。

aaa authentication login default enable
 

ログイン認証方式としてイネーブル パスワードを使用する前に、イネーブル パスワードを定義しておく必要があります。イネーブル パスワードの定義の詳細については、「Configuring Passwords and Privileges」の章を参照してください。

Kerberos を使用したログイン認証

Kerberos による認証は他のほとんどの認証方式とは異なり、ユーザのパスワードがリモート アクセス サーバに送信されません。ネットワークにログインするリモート ユーザは、ユーザ名の入力を要求されます。ユーザのエントリが Key Distribution Center(KDC; 鍵発行局)に存在する場合は、そのユーザのパスワードを含む暗号化された Ticket Granting Ticket(TGT; チケット認可チケット)が作成され、ルータに送信されます。次に、ユーザはパスワードの入力を要求され、ルータはそのパスワードを含む TGT の復号化を試みます。復号化に成功するとユーザが認証され、ルータにあるそのユーザの資格情報キャッシュに TGT が保存されます。

krb5 では KINIT プログラムを使用しますが、ユーザは TGT を取得するために KINIT プログラムを実行してルータに対して認証を行う必要はありません。これは、Cisco IOS の Kerberos 実装では KINIT がログイン手順に統合されているためです。

ログイン認証方式として Kerberos を指定するには、 krb5 method キーワードを指定して aaa authentication login コマンドを使用します。たとえば、他の方式リストが定義されていないときに、ログイン時のユーザ認証方式として Kerberos を指定するには、次のコマンドを入力します。

aaa authentication login default krb5
 

ログイン認証方式として Kerberos を使用する前に、Kerberos セキュリティ サーバとの通信をイネーブルにしておく必要があります。Kerberos サーバとの通信を確立する方法の詳細については、「Configuring Kerberos」の章を参照してください。

回線パスワードを使用したログイン認証

ログイン認証方式として回線パスワードを指定するには、 line method キーワードを指定して aaa authentication login コマンドを使用します。たとえば、他の方式リストが定義されていないときに、ログイン時のユーザ認証方式として回線パスワードを指定するには、次のコマンドを入力します。

aaa authentication login default line
 

ログイン認証方式として回線パスワードを使用する前に、回線パスワードを定義しておく必要があります。回線パスワードの定義の詳細については、この章の「回線パスワード保護の設定」を参照してください。

ローカル パスワードを使用したログイン認証

シスコ製ルータまたはアクセス サーバが認証にローカルのユーザ名データベースを使用するように指定するには、 local method キーワードを指定して aaa authentication login コマンドを使用します。たとえば、他の方式リストが定義されていないときに、ログイン時のユーザ認証方式としてローカルのユーザ名データベースを指定するには、次のコマンドを入力します。

aaa authentication login default local
 

ローカルのユーザ名データベースにユーザを追加する方法の詳細については、この章の「ユーザ名認証の設定」を参照してください。

Group RADIUS を使用したログイン認証

ログイン認証方式として RADIUS を指定するには、 group radius method を指定して aaa authentication login コマンドを使用します。たとえば、他の方式リストが定義されていないときに、ログイン時のユーザ認証方式として RADIUS を指定するには、次のコマンドを入力します。

aaa authentication login default group radius
 

ログイン認証方式として RADIUS を使用する前に、RADIUS セキュリティ サーバとの通信をイネーブルにしておく必要があります。RADIUS サーバとの通信を確立する方法の詳細については、「Configuring RADIUS」の章を参照してください。

アクセス要求内の RADIUS アトリビュート 8 の設定

aaa authentication login コマンドを使用して RADIUS を指定し、ログイン ホストが Network Access Server(NAS; ネットワーク アクセス サーバ)から IP アドレスを要求するように設定されていると、グローバル コンフィギュレーション モードで radius-server attribute 8 include-in-access-req コマンドを使用して、access-request パケットのアトリビュート 8(Framed-IP-Address)を送信できます。このコマンドを使用すると、ユーザ認証の前に NAS が RADIUS サーバにユーザ IP アドレスのヒントを提供できるようになります。アトリビュート 8 の詳細については、このマニュアルの巻末にある付録「RADIUS Attributes」を参照してください。

Group TACACS+ を使用したログイン認証

ログイン認証方式として TACACS+ を指定するには、 group tacacs+ method を指定して aaa authentication login コマンドを使用します。たとえば、他の方式リストが定義されていないときに、ログイン時のユーザ認証方式として TACACS+ を指定するには、次のコマンドを入力します。

aaa authentication login default group tacacs+
 

ログイン認証方式として TACACS+ を使用する前に、TACACS+ セキュリティ サーバとの通信をイネーブルにしておく必要があります。TACACS+ サーバとの通信を確立する方法の詳細については、「Configuring TACACS+」の章を参照してください。

group group-name を使用したログイン認証

ログイン認証方式として使用する RADIUS または TACACS+ のサーバのサブセットを指定するには、 group group-name 方式を指定して aaa authentication login コマンドを使用します。グループ名およびグループのメンバの指定と定義を行うには、 aaa group server コマンドを使用します。たとえば、 group loginrad のメンバを最初に定義するには、 aaa group server コマンドを使用します。

aaa group server radius loginrad
server 172.16.2.3
server 172.16.2 17
server 172.16.2.32
 

このコマンドによって、RADIUS サーバ 172.16.2.3、172.16.2.17、および 172.16.2.32 がグループ loginrad のメンバに指定されます。

他の方式リストが定義されていないときに、ログイン時のユーザ認証方式として group loginrad を指定するには、次のコマンドを入力します。

aaa authentication login default group loginrad
 

ログイン認証方式としてグループ名を使用する前に、RADIUS または TACACS+ のセキュリティ サーバとの通信をイネーブルにしておく必要があります。RADIUS サーバとの通信を確立する方法の詳細については、「Configuring RADIUS」の章を参照してください。TACACS+ サーバとの通信を確立する方法の詳細については、「Configuring TACACS+」の章を参照してください。

AAA を使用した PPP 認証の設定

数多くのユーザが、非同期回線または ISDN を経由して、ダイヤルアップでネットワーク アクセス サーバにアクセスします。非同期回線または ISDN を経由するダイヤルアップでは、CLI を完全にバイパスします。その代わりに、接続が確立するとすぐにネットワーク プロトコル(PPP または ARA など)が開始されます。

AAA セキュリティ サービスによって、PPP を実行するシリアル インターフェイス上でさまざまな認証方式が有効になります。 aaa authentication ppp コマンドを使用すると、サポートされている PPP 認証方式のいずれを使用するかに関係なく、AAA 認証がイネーブルになります。

PPP を使用するシリアル回線の AAA 認証方式を設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

ステップ 1

Router(config)# aaa new-model

グローバルに AAA をイネーブルにします。

ステップ 2

Router(config)# aaa authentication ppp { default | list-name } method1 [ method2... ]

ローカル認証リストを作成します。

ステップ 3

Router(config)# interface interface-type interface-number

認証リストを適用するインターフェイスのインターフェイス コンフィギュレーション モードを開始します。

ステップ 4

Router(config-if)# ppp authentication { protocol1 [ protocol2... ]} [ if-needed ] { default | list-name } [ callin ] [ one-time ][ optional ]

回線または回線セットに認証リストを適用します。このコマンドで、 protocol1 および protocol2 はプロトコル Challenge Handshake Authentication Protocol(CHAP; チャレンジ ハンドシェーク認証プロトコル)、MS-CHAP、および Password Authentication Protocol(PAP; パスワード認証プロトコル)を表します。PPP 認証は、 protocol1 で指定された最初の認証方式を使用して試行されます。 protocol1 で認証が確立されない場合は、設定された次のプロトコルを使用して認証のネゴシエーションが行われます。

aaa authentication ppp コマンドでは、ユーザが PPP 経由で認証を受けようとするときに試行される認証方式の 1 つまたは複数のリストを作成します。これらのリストを適用するには、 ppp authentication ライン コンフィギュレーション コマンドを使用します。

ppp authentication コマンドで名前リストを指定 しなかった ときに使用されるデフォルト リストを作成するには、 default キーワードを使用し、続けてデフォルト状況で使用される方式を指定します。

たとえば、ユーザ認証のデフォルト方式としてローカルのユーザ名データベースを指定するには、次のコマンドを入力します。

aaa authentication ppp default local
 

list-name は、作成するリストを指定する任意の文字ストリングです。method 引数は、認証アルゴリズムによって試行される実際の方式を示しています。2 番目以降の認証方式は、その前の方式が失敗した場合ではなくエラーを返した場合にだけ使用されます。すべての方式でエラーが返された場合にも認証が必ず成功するように指定するには、コマンドラインで最後の方式に none を指定します。

たとえば、(この例で)TACACS+ サーバからエラーが返された場合にも認証が必ず成功するように指定するには、次のコマンドを入力します。

aaa authentication ppp default group tacacs+ none

none を使用すると、ログインするすべてのユーザが認証に成功するため、このキーワードはバックアップの認証方式として使用する必要があります。


表 2 に、サポートされているログイン認証方式を示します。

 

表 2 AAA 認証の PPP 方式

キーワード
説明

if-needed

ユーザが TTY 回線で認証済みの場合は認証を行いません。

krb5

認証に Kerberos 5 を使用します(PAP 認証だけに使用可)。

local

認証にローカルのユーザ名データベースを使用します。

local-case

大文字と小文字を区別するローカルのユーザ名認証を使用します。

none

認証を使用しません。

group radius

認証にすべての RADIUS サーバのリストを使用します。

group tacacs+

認証にすべての TACACS+ サーバのリストを使用します。

group group-name

aaa group server radius コマンドまたは aaa group server tacacs+ コマンドの定義に従って、認証に RADIUS サーバまたは TACACS+ サーバのサブセットを使用します。

この項の構成は、次のとおりです。

Kerberos を使用した PPP 認証

ローカル パスワードを使用した PPP 認証

Group RADIUS を使用した PPP 認証

Group TACACS+ を使用した PPP 認証

group group-name を使用した PPP 認証

Kerberos を使用した PPP 認証

PPP を実行するインターフェイス上で使用する認証方式として Kerberos を指定するには、 krb5 method キーワードを指定して aaa authentication ppp コマンドを使用します。たとえば、他の方式リストが定義されていないときに、ユーザ認証方式として Kerberos を指定するには、次のコマンドを入力します。

aaa authentication ppp default krb5
 

PPP 認証方式として Kerberos を使用する前に、Kerberos セキュリティ サーバとの通信をイネーブルにしておく必要があります。Kerberos サーバとの通信を確立する方法の詳細については、「Configuring Kerberos」の章を参照してください。


) Kerberos によるログイン認証は、PPP PAP 認証の場合にだけ機能します。


ローカル パスワードを使用した PPP 認証

シスコ製ルータまたはアクセス サーバが認証にローカルのユーザ名データベースを使用するように指定するには、 method キーワード local を指定して aaa authentication ppp コマンドを使用します。たとえば、他の方式リストが定義されていないときに、PPP を実行する回線で使用する認証方式としてローカルのユーザ名データベースを指定するには、次のコマンドを入力します。

aaa authentication ppp default local
 

ローカルのユーザ名データベースにユーザを追加する方法の詳細については、この章の「ユーザ名認証の設定」を参照してください。

Group RADIUS を使用した PPP 認証

ログイン認証方式として RADIUS を指定するには、 group radius method を指定して aaa authentication ppp コマンドを使用します。たとえば、他の方式リストが定義されていないときに、ログイン時のユーザ認証方式として RADIUS を指定するには、次のコマンドを入力します。

aaa authentication ppp default group radius
 

PPP 認証方式として RADIUS を使用する前に、RADIUS セキュリティ サーバとの通信をイネーブルにしておく必要があります。RADIUS サーバとの通信を確立する方法の詳細については、「Configuring RADIUS」の章を参照してください。

アクセス要求内の RADIUS アトリビュート 44 の設定

group radius method を指定した aaa authentication ppp コマンドを使用して、ログイン認証方式として RADIUS を指定すると、グローバル コンフィギュレーション モードで radius-server attribute 44 include-in-access-req コマンドを使用して、access-request パケットのアトリビュート 44(Acct-Session-ID)を送信するようにルータを設定できます。このコマンドを使用すると、コールが開始されてから終了するまで、RADIUS デーモンでそのコールの追跡が可能となります。アトリビュート 44 の詳細については、このマニュアルの巻末にある付録「RADIUS Attributes」を参照してください。

Group TACACS+ を使用した PPP 認証

ログイン認証方式として TACACS+ を指定するには、 group tacacs+ method を指定して aaa authentication ppp コマンドを使用します。たとえば、他の方式リストが定義されていないときに、ログイン時のユーザ認証方式として TACACS+ を指定するには、次のコマンドを入力します。

aaa authentication ppp default group tacacs+
 

PPP 認証方式として TACACS+ を使用する前に、TACACS+ セキュリティ サーバとの通信をイネーブルにしておく必要があります。TACACS+ サーバとの通信を確立する方法の詳細については、「Configuring TACACS+」の章を参照してください。

group group-name を使用した PPP 認証

ログイン認証方式として使用する RADIUS または TACACS+ のサーバのサブセットを指定するには、 group group-name 方式を指定して aaa authentication ppp コマンドを使用します。グループ名およびグループのメンバの指定と定義を行うには、 aaa group server コマンドを使用します。たとえば、 group ppprad のメンバを最初に定義するには、 aaa group server コマンドを使用します。

aaa group server radius ppprad
server 172.16.2.3
server 172.16.2 17
server 172.16.2.32
 

このコマンドによって、RADIUS サーバ 172.16.2.3、172.16.2.17、および 172.16.2.32 がグループ ppprad のメンバとして指定されます。

他の方式リストが定義されていないときに、ログイン時のユーザ認証方式として group ppprad を指定するには、次のコマンドを入力します。

aaa authentication ppp default group ppprad
 

PPP 認証方式としてグループ名を使用する前に、RADIUS または TACACS+ のセキュリティ サーバとの通信をイネーブルにしておく必要があります。RADIUS サーバとの通信を確立する方法の詳細については、「Configuring RADIUS」の章を参照してください。TACACS+ サーバとの通信を確立する方法の詳細については、「Configuring TACACS+」の章を参照してください。

PPP 要求の AAA スケーラビリティの設定

ネットワーク アクセス サーバ(NAS)の PPP マネージャによって割り当てられるバックグラウンド プロセスの数を設定および監視すると、AAA の認証および認可の要求を処理できます。以前の Cisco IOS リリースでは、PPP のすべての AAA 要求の処理に 1 つのバックグラウンド プロセスだけが割り当てられていました。このため、AAA サーバのパラレリズムを十分に活用できませんでした。AAA スケーラビリティ機能を使用すると、PPP の AAA 要求を処理するプロセスの数を設定できます。したがって、同時に認証または認可が可能なユーザの数が増加します。

PPP の AAA 要求を処理する特定数のバックグラウンド プロセスを割り当てるには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# aaa processes number

PPP の AAA 認証認可要求を処理する特定数のバックグラウンド プロセスを割り当てます。

引数 number では、PPP の AAA 認証認可要求の処理に割り当てられるバックグラウンド プロセスの数を定義します。1 ~ 2147483647 までの任意の値を設定できます。また、PPP マネージャが PPP 要求を処理する方法から、この引数では同時に認証が可能な新規ユーザの数も定義されます。この引数は、いつでも増やしたり減らしたりすることができます。


) バックグラウンド プロセスを過剰に割り当てると、コストが高くなる可能性があります。設定するバックグラウンド プロセスの数は、PPP の AAA 要求を処理できる最小のプロセス数としてください。


AAA を使用した ARAP 認証の設定

aaa authentication arap コマンドでは、AppleTalk Remote Access Protocol(ARAP; AppleTalk Remote Access プロトコル)ユーザがルータにログインしようとするときに試行される認証方式の 1 つまたは複数のリストを作成します。これらのリストを使用するには、 arap authentication ライン コンフィギュレーション コマンドを使用します。

グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

ステップ 1

Router(config)# aaa new-model

グローバルに AAA をイネーブルにします。

ステップ 2

Router(config)# aaa authentication arap

{ default | list-name } method1 [ method2... ]

ARAP ユーザの認証をイネーブルにします。

ステップ 3

Router(config)# line number

(オプション)ライン コンフィギュレーション モードに変更します。

ステップ 4

Router(config-line)# autoselect arap

(オプション)ARAP の自動選択をイネーブルにします。

ステップ 5

Router(config-line)# autoselect during-login

(オプション)ユーザのログイン時に ARAP セッションを自動的に開始します。

ステップ 6

Router(config-line)# arap authentication list-name

(オプション。 aaa authentication arap コマンドで default を使用した場合は不要)回線上で ARAP の TACACS+ 認証をイネーブルにします。

list-name は、作成するリストを指定する任意の文字ストリングです。method 引数は、シーケンスが開始されたときに認証アルゴリズムによって試行される実際の方式リストを示しています。

arap authentication コマンドで名前リストを指定 しなかった ときに使用されるデフォルト リストを作成するには、 default キーワードを使用し、続けてデフォルト状況で使用される方式を指定します。

2 番目以降の認証方式は、その前の方式が失敗した場合ではなくエラーを返した場合にだけ使用されます。すべての方式でエラーが返された場合にも認証が必ず成功するように指定するには、コマンドラインで最後の方式に none を指定します。


none を使用すると、ログインするすべてのユーザが認証に成功するため、このキーワードはバックアップの認証方式として使用する必要があります。


表 3 に、サポートされているログイン認証方式を示します。

 

表 3 AAA 認証の ARAP 方式

キーワード
説明

auth-guest

ユーザが EXEC にログイン済みの場合に限り、ゲスト ログインを許可します。

guest

ゲスト ログインを許可します。

line

認証に回線パスワードを使用します。

local

認証にローカルのユーザ名データベースを使用します。

local-case

大文字と小文字を区別するローカルのユーザ名認証を使用します。

group radius

認証にすべての RADIUS サーバのリストを使用します。

group tacacs+

認証にすべての TACACS+ サーバのリストを使用します。

group group-name

aaa group server radius コマンドまたは aaa group server tacacs+ コマンドの定義に従って、認証に RADIUS サーバまたは TACACS+ サーバのサブセットを使用します。

たとえば、ARAP で使用されるデフォルトの AAA 認証方式リストを作成するには、次のコマンドを入力します。

aaa authentication arap default if-needed none
 

ARAP に同じ認証方式リストを作成し、リストの名前を MIS-access とするには、次のコマンドを入力します。

aaa authentication arap MIS-access if-needed none
 

この項の構成は、次のとおりです。

認可されたゲスト ログインを許可する ARAP 認証

ゲスト ログインを許可する ARAP 認証

回線パスワードを使用した ARAP 認証

ローカル パスワードを使用した ARAP 認証

Group RADIUS を使用した ARAP 認証

Group TACACS+ を使用した ARAP 認証

group group-name を使用した ARAP 認証

認可されたゲスト ログインを許可する ARAP 認証

ユーザが正常に EXEC にログインしている場合にだけゲスト ログインを許可するには、 auth-guest キーワードを指定して aaa authentication arap コマンドを使用します。この方式は ARAP 認証方式リストの先頭に置く必要がありますが、この方法が成功しなかった場合の他の方式を続けて指定できます。たとえば、デフォルトの認証方式として認可されたすべてのゲスト ログイン(つまり、すでに EXEC に正常にログイン済みのユーザによるログイン)を許可し、この方式が失敗した場合にだけ RADIUS を使用するには、次のコマンドを入力します。

aaa authentication arap default auth-guest group radius
 

ARAP 認可済みゲスト ログインの詳細については、『 Cisco IOS AppleTalk and Novell IPX Configuration Guide 』の「Configuring AppleTalk」の章を参照してください。


) デフォルトでは、AAA を初期化すると ARAP によるゲスト ログインはディセーブルになります。ゲスト ログインを許可するには、guest キーワードまたは auth-guest キーワードを指定して aaa authentication arap コマンドを使用する必要があります。


ゲスト ログインを許可する ARAP 認証

ゲスト ログインを許可するには、 guest キーワードを指定して aaa authentication arap コマンドを使用します。この方式は ARAP 認証方式リストの先頭に置く必要がありますが、この方法が成功しなかった場合の他の方式を続けて指定できます。たとえば、デフォルトの認証方式としてすべてのゲスト ログインを許可し、この方式が失敗した場合にだけ RADIUS を使用するには、次のコマンドを入力します。

aaa authentication arap default guest group radius
 

ARAP ゲスト ログインの詳細については、『 Cisco IOS AppleTalk and Novell IPX Configuration Guide 』の「Configuring AppleTalk」の章を参照してください。

回線パスワードを使用した ARAP 認証

認証方式として回線パスワードを指定するには、 method キーワード line を指定して aaa authentication arap コマンドを使用します。たとえば、他の方式リストが定義されていないときに、ARAP ユーザ認証方式として回線パスワードを指定するには、次のコマンドを入力します。

aaa authentication arap default line
 

ARAP 認証方式として回線パスワードを使用する前に、回線パスワードを定義しておく必要があります。回線パスワードの定義の詳細については、この章の「回線パスワード保護の設定」を参照してください。

ローカル パスワードを使用した ARAP 認証

シスコ製ルータまたはアクセス サーバが認証にローカルのユーザ名データベースを使用するように指定するには、 method キーワード local を指定して aaa authentication arap コマンドを使用します。たとえば、他の方式リストが定義されていないときに、ARAP ユーザ認証方式としてローカルのユーザ名データベースを指定するには、次のコマンドを入力します。

aaa authentication arap default local
 

ローカルのユーザ名データベースにユーザを追加する方法の詳細については、この章の「ユーザ名認証の設定」を参照してください。

Group RADIUS を使用した ARAP 認証

ARAP 認証方式として RADIUS を指定するには、 group radius method を指定して aaa authentication arap コマンドを使用します。たとえば、他の方式リストが定義されていないときに、ログイン時のユーザ認証方式として RADIUS を指定するには、次のコマンドを入力します。

aaa authentication arap default group radius
 

ARAP 認証方式として RADIUS を使用する前に、RADIUS セキュリティ サーバとの通信をイネーブルにしておく必要があります。RADIUS サーバとの通信を確立する方法の詳細については、「Configuring RADIUS」の章を参照してください。

Group TACACS+ を使用した ARAP 認証

ARAP 認証方式として TACACS+ を指定するには、 group tacacs+ method を指定して aaa authentication arap コマンドを使用します。たとえば、他の方式リストが定義されていないときに、ログイン時のユーザ認証方式として TACACS+ を指定するには、次のコマンドを入力します。

aaa authentication arap default group tacacs+
 

ARAP 認証方式として TACACS+ を使用する前に、TACACS+ セキュリティ サーバとの通信をイネーブルにしておく必要があります。TACACS+ サーバとの通信を確立する方法の詳細については、「Configuring TACACS+」の章を参照してください。

group group-name を使用した ARAP 認証

ARAP 認証方式として使用する RADIUS または TACACS+ のサーバのサブセットを指定するには、 group group-name 方式を指定して aaa authentication arap コマンドを使用します。グループ名およびグループのメンバの指定と定義を行うには、 aaa group server コマンドを使用します。たとえば、 group araprad のメンバを最初に定義するには、 aaa group server コマンドを使用します。

aaa group server radius araprad
server 172.16.2.3
server 172.16.2 17
server 172.16.2.32
 

このコマンドによって、RADIUS サーバ 172.16.2.3、172.16.2.17、および 172.16.2.32 がグループ araprad のメンバとして指定されます。

他の方式リストが定義されていないときに、ログイン時のユーザ認証方式として group araprad を指定するには、次のコマンドを入力します。

aaa authentication arap default group araprad
 

ARAP 認証方式としてグループ名を使用する前に、RADIUS または TACACS+ のセキュリティ サーバとの通信をイネーブルにしておく必要があります。RADIUS サーバとの通信を確立する方法の詳細については、「Configuring RADIUS」の章を参照してください。TACACS+ サーバとの通信を確立する方法の詳細については、「Configuring TACACS+」の章を参照してください

AAA を使用した NASI 認証の設定

aaa authentication nasi コマンドでは、NetWare Asynchronous Services Interface(NASI)ユーザがルータにログインしようとするときに試行される認証方式の 1 つまたは複数のリストを作成します。これらのリストを使用するには、 nasi authentication ライン コンフィギュレーション コマンドを使用します。

AAA を使用した NASI 認証を設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

ステップ 1

Router(config)# aaa new-model

グローバルに AAA をイネーブルにします。

ステップ 2

Router(config)# aaa authentication nasi

{ default | list-name } method1 [ method2... ]

NASI ユーザの認証をイネーブルにします。

ステップ 3

Router(config)# line number

(オプション。 aaa authentication nasi コマンドで default を使用した場合は不要)ライン コンフィギュレーション モードを開始します。

ステップ 4

Router(config-line)# nasi authentication list-name

(オプション。 aaa authentication nasi コマンドで default を使用した場合は不要)回線上で NASI 認証をイネーブルにします。

list-name は、作成するリストを指定する任意の文字ストリングです。method 引数は、シーケンスが開始されたときに認証アルゴリズムによって試行される実際の方式リストを示しています。

aaa authentication nasi コマンドで名前リストを指定 しなかった ときに使用されるデフォルト リストを作成するには、 default キーワードを使用し、続けてデフォルト状況で使用される方式を指定します。

2 番目以降の認証方式は、その前の方式が失敗した場合ではなくエラーを返した場合にだけ使用されます。すべての方式でエラーが返された場合にも認証が必ず成功するように指定するには、コマンドラインで最後の方式に none を指定します。


none を使用すると、ログインするすべてのユーザが認証に成功するため、このキーワードはバックアップの認証方式として使用する必要があります。


表 4 に、サポートされている NASI 認証方式を示します。

 

表 4 AAA 認証の NASI 方式

キーワード
説明

enable

認証にイネーブル パスワードを使用します。

line

認証に回線パスワードを使用します。

local

認証にローカルのユーザ名データベースを使用します。

local-case

大文字と小文字を区別するローカルのユーザ名認証を使用します。

none

認証を使用しません。

group radius

認証にすべての RADIUS サーバのリストを使用します。

group tacacs+

認証にすべての TACACS+ サーバのリストを使用します。

group group-name

aaa group server radius コマンドまたは aaa group server tacacs+ コマンドの定義に従って、認証に RADIUS サーバまたは TACACS+ サーバのサブセットを使用します。

この項の構成は、次のとおりです。

イネーブル パスワードを使用した NASI 認証

回線パスワードを使用した NASI 認証

ローカル パスワードを使用した NASI 認証

Group RADIUS を使用した NASI 認証

Group TACACS+ を使用した NASI 認証

group group-name を使用した NASI 認証

イネーブル パスワードを使用した NASI 認証

認証方式としてイネーブル パスワードを指定するには、 method キーワード enable を指定して aaa authentication nasi コマンドを使用します。たとえば、他の方式リストが定義されていないときに、NASI ユーザ認証方式としてイネーブル パスワードを指定するには、次のコマンドを入力します。

aaa authentication nasi default enable
 

認証方式としてイネーブル パスワードを使用する前に、イネーブル パスワードを定義しておく必要があります。イネーブル パスワードの定義の詳細については、「Configuring Passwords and Privileges」の章を参照してください。

回線パスワードを使用した NASI 認証

認証方式として回線パスワードを指定するには、 method キーワード line を指定して aaa authentication nasi コマンドを使用します。たとえば、他の方式リストが定義されていないときに、NASI ユーザ認証方式として回線パスワードを指定するには、次のコマンドを入力します。

aaa authentication nasi default line
 

NASI 認証方式として回線パスワードを使用する前に、回線パスワードを定義しておく必要があります。回線パスワードの定義の詳細については、この章の「回線パスワード保護の設定」を参照してください。

ローカル パスワードを使用した NASI 認証

シスコ製ルータまたはアクセス サーバが認証情報にローカルのユーザ名データベースを使用するように指定するには、 method キーワード local を指定して aaa authentication nasi コマンドを使用します。たとえば、他の方式リストが定義されていないときに、NASI ユーザ認証方式としてローカルのユーザ名データベースを指定するには、次のコマンドを入力します。

aaa authentication nasi default local
 

ローカルのユーザ名データベースにユーザを追加する方法の詳細については、この章の「ユーザ名認証の設定」を参照してください。

Group RADIUS を使用した NASI 認証

NASI 認証方式として RADIUS を指定するには、 group radius method を指定して aaa authentication nasi コマンドを使用します。たとえば、他の方式リストが定義されていないときに、NASI ユーザ認証方式として RADIUS を指定するには、次のコマンドを入力します。

aaa authentication nasi default group radius
 

NASI 認証方式として RADIUS を使用する前に、RADIUS セキュリティ サーバとの通信をイネーブルにしておく必要があります。RADIUS サーバとの通信を確立する方法の詳細については、「Configuring RADIUS」の章を参照してください。

Group TACACS+ を使用した NASI 認証

NASI 認証方式として TACACS+ を指定するには、 group tacacs+ method キーワードを指定して aaa authentication nasi コマンドを使用します。たとえば、他の方式リストが定義されていないときに、NASI ユーザ認証方式として TACACS+ を指定するには、次のコマンドを入力します。

aaa authentication nasi default group tacacs+
 

認証方式として TACACS+ を使用する前に、TACACS+ セキュリティ サーバとの通信をイネーブルにしておく必要があります。TACACS+ サーバとの通信を確立する方法の詳細については、「Configuring TACACS+」の章を参照してください。

group group-name を使用した NASI 認証

NASI 認証方式として使用する RADIUS または TACACS+ のサーバのサブセットを指定するには、 group group-name 方式を指定して aaa authentication nasi コマンドを使用します。グループ名およびグループのメンバの指定と定義を行うには、 aaa group server コマンドを使用します。たとえば、 group nasirad のメンバを最初に定義するには、 aaa group server コマンドを使用します。

aaa group server radius nasirad
server 172.16.2.3
server 172.16.2 17
server 172.16.2.32
 

このコマンドによって、RADIUS サーバ 172.16.2.3、172.16.2.17、および 172.16.2.32 がグループ nasirad のメンバとして指定されます。

他の方式リストが定義されていないときに、ログイン時のユーザ認証方式として group nasirad を指定するには、次のコマンドを入力します。

aaa authentication nasi default group nasirad
 

NASI 認証方式としてグループ名を使用する前に、RADIUS または TACACS+ のセキュリティ サーバとの通信をイネーブルにしておく必要があります。RADIUS サーバとの通信を確立する方法の詳細については、「Configuring RADIUS」の章を参照してください。TACACS+ サーバとの通信を確立する方法の詳細については、「Configuring TACACS+」の章を参照してください。

ログイン入力のための期間指定

timeout login response コマンドを使用すると、タイムアウトするまでにシステムがログイン入力(ユーザ名とパスワードなど)を待機する期間を指定できます。デフォルトのログイン値は 30 秒です。 timeout login response コマンドを使用すると、タイムアウト値を 1 ~ 300 秒で指定できます。ログイン タイムアウト値をデフォルトの 30 秒から変更するには、ライン コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config-line)# timeout login response seconds

タイムアウトするまでにシステムがログイン情報を待機する期間を指定します。

特権レベルでのパスワード保護のイネーブル化

ユーザが特権 EXEC コマンド レベルにアクセスできるかどうかを決定する一連の認証方式を作成するには、 aaa authentication enable default コマンドを使用します。指定できる認証方式は最大 4 つです。2 番目以降の認証方式は、その前の方式が失敗した場合ではなくエラーを返した場合にだけ使用されます。すべての方式でエラーが返された場合にも認証が必ず成功するように指定するには、コマンドラインで最後の方式に none を指定します。

グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# aaa authentication enable default method1 [ method2... ]

特権 EXEC レベルを要求するユーザのユーザ ID およびパスワード チェックをイネーブルにします。

要求には、ユーザ名「$enab15$」が含まれます。TACACS+ サーバに送信される要求には、ログイン認証に入力されたユーザ名が含まれます。

method 引数は、シーケンスが開始されたときに認証アルゴリズムによって試行される実際の方式リストを示しています。 表 5 に、サポートされているイネーブル認証方式を示します。

 

表 5 AAA 認証の Enable Default 方式

キーワード
説明

enable

認証にイネーブル パスワードを使用します。

line

認証に回線パスワードを使用します。

none

認証を使用しません。

group radius

認証にすべての RADIUS ホストのリストを使用します。

(注) RADIUS 方式はユーザ名単位では動作しません。

group tacacs+

認証にすべての TACACS+ ホストのリストを使用します。

group group-name

aaa group server radius コマンドまたは aaa group server tacacs+ コマンドの定義に従って、認証に RADIUS サーバまたは TACACS+ サーバのサブセットを使用します。

パスワード プロンプトに表示されるテキストの変更

ユーザにパスワードの入力を要求するときに Cisco IOS ソフトウェアによって表示されるデフォルトのテキストを変更するには、 aaa authentication password-prompt コマンドを使用します。このコマンドを実行すると、イネーブル パスワードのパスワード プロンプトと同様、リモート セキュリティ サーバで表示されないログイン パスワードのパスワード プロンプトも変更されます。このコマンドの no 形式を使用すると、パスワード プロンプトは次のデフォルトの値に戻ります。

Password:
 

aaa authentication password-prompt コマンドでは、リモートの TACACS+ サーバまたは RADIUS サーバによって表示されるダイアログは変更されません。

aaa authentication password-prompt コマンドは、ログイン方式として RADIUS を使用しているときに機能します。コマンドで定義されたパスワード プロンプトの表示は、RADIUS サーバに到達不能な場合でも確認できます。TACACS+ では、 aaa authentication password-prompt コマンドは機能しません。ユーザに表示するパスワード プロンプトが NAS に表示されます。TACACS+ サーバに到達可能な場合、NAS はサーバからパスワード プロンプトを取得し、 aaa authentication password-prompt コマンドで定義されたプロンプトの代わりに、サーバから取得したプロンプトを使用します。TACACS+ サーバに到達不能な場合は、 aaa authentication password-prompt コマンドで定義されたパスワード プロンプトが使用されることがあります。

グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# aaa authentication password-prompt text-string

ユーザがパスワードの入力を要求されたときに表示されるデフォルトのテキストを変更します。

ユーザ名がブランクのアクセス要求の RADIUS サーバへの送信防止

次の設定手順に従うと、ユーザ名がブランクのアクセス要求が RADIUS サーバに送信されることを防止できます。この機能によって、RADIUS サーバとの不必要な対話が防止され、RADIUS ログが短くなります。


aaa authentication suppress null-username コマンドを使用できるのは、Cisco IOS XE Release 2.4 および Cisco IOS Release 12.2(33)SRD だけです。


手順の概要

1. enable

2. configure terminal

3. aaa new-model

4. aaa authentication suppress null-username

詳細手順

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

aaa new-model

 

Router(config)# configure terminal

グローバルに AAA をイネーブルにします。

ステップ 4

aaa authentication suppress null-username

 

Router(config)# aaa authentication suppress null-username

ユーザ名がブランクのアクセス要求が RADIUS サーバに送信されることを防止します。

AAA 認証のメッセージ バナーの設定

AAA では、ユーザごとに設定可能なログイン バナーおよび failed-login バナーの使用がサポートされています。ユーザがシステムにログインして AAA を使用した認証を受けるとき、および何らかの理由で認証に失敗したときに表示されるメッセージ バナーを設定できます。

この項の構成は、次のとおりです。

ログイン バナーの設定

Failed-Login バナーの設定

ログイン バナーの設定

ログイン バナーを作成するには、デリミタおよびテキスト ストリング自体を設定する必要があります。デリミタは、システムに対して、デリミタに続くテキスト ストリングをバナーとして表示することを通知します。デリミタはテキスト ストリングの最後まで繰り返され、バナーが終了することを示します。デリミタには拡張 ASCII 文字セットの任意の 1 文字を使用できます。ただし、デリミタとして定義すると、バナーを構成するテキスト ストリング内ではその文字を使用できなくなります。

ユーザがログインするときに(デフォルトのログイン メッセージの代わりに)必ず表示されるバナーを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

ステップ 1

Router(config)# aaa new-model

AAA をイネーブルにします。

ステップ 2

Router(config)# aaa authentication banner delimiter string delimiter

ユーザごとのログイン バナーを作成します。

ログイン バナーに表示できる最大文字数は、2996 文字です。

Failed-Login バナーの設定

failed-login バナーを作成するには、デリミタおよびテキスト ストリング自体を設定する必要があります。デリミタは、システムに対して、デリミタに続くテキスト ストリングをバナーとして表示することを通知します。デリミタはテキスト ストリングの最後まで繰り返され、failed-login バナーが終了することを示します。デリミタには拡張 ASCII 文字セットの任意の 1 文字を使用できます。ただし、デリミタとして定義すると、バナーを構成するテキスト ストリング内ではその文字を使用できなくなります。

ユーザがログインするときに(デフォルトのログイン失敗メッセージの代わりに)必ず表示されるバナーを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

ステップ 1

Router(config)# aaa new-model

AAA をイネーブルにします。

ステップ 2

Router(config)# aaa authentication fail-message delimiter string delimiter

ユーザがログインに失敗したときに表示されるメッセージを作成します。

failed-login バナーに表示できる最大文字数は、2996 文字です。

AAA パケット オブ ディスコネクトの設定

Packet of Disconnect(POD; パケット オブ ディスコネクト)は、特定のセッション アトリビュートが識別されたときにネットワーク アクセス サーバ(NAS)の接続を終了します。UNIX ワークステーション上の POD クライアントは、AAA から取得したセッション情報を使用して、ネットワーク アクセス サーバで実行されている POD サーバに接続解除パケットを送信します。NAS は 1 つまたは複数の照合するキー アトリビュートを使用して、インバウンドのユーザ セッションをすべて終了します。必須フィールドがない場合または完全一致が見つからない場合は、要求が拒否されます。

POD を設定するには、グローバル コンフィギュレーション モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

Router(config)# aaa accounting network default

start-stop radius

AAA のアカウンティング レコードをイネーブルにします。

ステップ 2

Router(config)# aaa accounting delay-start

(オプション)開始アカウンティング レコードの生成を Framed-IP-Address が割り当てられるまで遅らせ、POD パケットでこのレコードを使用できるようにします。

ステップ 3

Router(config)# aaa pod server server-key string

POD 受信をイネーブルにします。

ステップ 4

Router(config)# radius-server host IP address non-standard

ベンダー固有バージョンの RADIUS を使用する RADIUS ホストを宣言します。

ダブル認証のイネーブル化

以前は、PPP セッションの認証には PAP または CHAP のいずれかの認証方式のうち、1 つしか使用できませんでした。ダブル認証では、リモート ユーザは(CHAP 認証または PAP 認証の後に)認証の第 2 段階を通ってからネットワークにアクセスする必要があります。

この 2 番目(「ダブル」)の認証には、ユーザは知っているが、そのユーザのリモート ホストには格納 されていない パスワードが必要です。したがって、2 番目の認証はユーザ固有の認証となり、ホストには依存しません。このことから、リモート ホストから情報が盗まれた場合でも有効な、より高いレベルのセキュリティを確保できます。また、ユーザごとにカスタマイズされたネットワーク権限を許可することによって、柔軟性も大幅に高まります。

第 2 段階の認証では、CHAP でサポートされていないトークン カード パスワードなどのワンタイム パスワードを使用できます。ワンタイム パスワードを使用すると、ユーザ パスワードが盗まれても盗難者にとってそのパスワードは使い物になりません。

この項の構成は、次のとおりです。

ダブル認証が動作する仕組み

ダブル認証の設定

ダブル認証後のユーザ プロファイルへのアクセス

ダブル認証が動作する仕組み

ダブル認証には、2 つの認証および認可の段階があります。リモート ユーザがダイヤルインして PPP セッションが開始されると、この 2 つの段階が開始されます。

第 1 段階では、ユーザはリモート ホスト名を使用してログインします。CHAP(または PAP)によってリモート ホストが認証され、次に PPP が AAA とネゴシエーションを行ってリモート ホストを認可します。このプロセスでは、リモート ホストに関連付けられたネットワーク アクセス権限がユーザに割り当てられます。


) ネットワーク管理者はこの第 1 段階で認証を制限して、ローカル ホストへの Telnet 接続だけを許可することを推奨します。


第 2 段階では、リモート ユーザがネットワーク アクセス サーバに Telnet で接続して認証を受ける必要があります。リモート ユーザがログインしたら、そのユーザは AAA ログイン認証を使用して認証を受ける必要があります。ユーザは次に access-profile コマンドを入力し、AAA を使用して再認可を受けます。この認可が完了すると、ユーザはダブル認証を受けたことになり、各ユーザのネットワーク権限に従ってネットワークにアクセスできるようになります。

システム管理者はセキュリティ サーバで適切なパラメータを設定し、認証の各段階の後にリモート ユーザが持つネットワーク権限を決定します。ダブル認証を使用するには、ユーザが access-profile コマンドを発行してダブル認証をアクティブにする必要があります。


注意 図 2 に示すように複数のホストがネットワーク アクセス サーバへの PPP 接続を共有している場合は、ダブル認証によって何らかの好ましくない事態が発生する可能性があります。

最初にユーザ Bob が PPP セッションを開始し、(図 2 のとおり)ネットワーク アクセス サーバでダブル認証をアクティブにした場合、Bob の PPP セッションが期限切れになるまで、他のユーザは全員、自動的に Bob と同じネットワーク権限を持つことになります。これは、PPP セッションで Bob の認可プロファイルがネットワーク アクセス サーバのインターフェイスに適用され、他のユーザからのすべての PPP トラフィックで Bob が確立した PPP セッションを使用するためです。
次に、Bob が PPP セッションを開始してダブル認証をアクティブにし、その後(Bob の PPP セッションが期限切れになる前に)別のユーザ Jane が access-profile コマンドを実行する(または Jane がネットワーク アクセス サーバに Telnet で接続し、autocommand access-profile を実行する)と、再認可が行われて Jane の認可プロファイルがインターフェイスに適用されます(Bob のプロファイルは置き換えられます)。このことにより、Bob の PPP トラフィックが中断したり停止したりするか、または Bob が持つ必要のない追加の認可権限が Bob に付与される可能性があります。

図 2 潜在的にリスクを伴うトポロジ:複数のホストでネットワーク アクセス サーバへの PPP 接続を共有

 

ダブル認証の設定

ダブル認証を設定するには、次の手順を実行する必要があります。

1. aaa-new model グローバル コンフィギュレーション コマンドを使用して、AAA をイネーブルにします。AAA をイネーブルにする方法の詳細については、「AAA Overview」の章を参照してください。

2. aaa authentication コマンドを使用して、ログイン認証方式リストまたは PPP 認証方式リストを使用するようにネットワーク アクセス サーバを設定し、この方式リストを適切な回線またはインターフェイスに適用します。

3. aaa authorization コマンドを使用して、ログイン時の AAA ネットワーク認可を設定します。ネットワーク認可の設定の詳細については、「Configuring Authorization」の章を参照してください。

4. セキュリティ プロトコル パラメータを設定します(RADIUS または TACACS+ など)。RADIUS の詳細については、「Configuring RADIUS」の章を参照してください。TACACS+ の詳細については、「Configuring TACACS+」の章を参照してください。

5. ユーザが Telnet 接続を確立してローカル ホストだけに接続できる、セキュリティ サーバのアクセス コントロール リストの AV のペアを使用します。

6. (オプション)autocommand として access-profile コマンドを設定します。autocommand を設定すると、リモート ユーザは、ユーザ個人のユーザ プロファイルに関連付けられた認可済みの権限にアクセスするために、手動で access-profile コマンドを入力する必要がなくなります。autocommand の設定の詳細については、『 Cisco IOS Dial Technologies Command Reference: Network Services 』の autocommand コマンドを参照してください。


access-profile コマンドが autocommand として設定されている場合、ユーザはローカル ホストに Telnet で接続してログインし、ダブル認証を完了する必要があります。


ユーザ固有の認可文を作成するときは、次のルールに従ってください(このルールは access-profile コマンドのデフォルト動作と関連しています)。

セキュリティ サーバでアクセス コントロール リストの AV のペアを設定するときは、有効な AV ペアを使用します。有効な AV ペアのリストについては、『 Cisco IOS Security Command Reference 』の「Authentication Commands」の章を参照してください。

リモート ユーザがインターフェイスの既存の認可(第 2 段階の認証および認可よりも前に存在した認可)を使用する必要があるが、異なる Access Control List(ACL; アクセス コントロール リスト)を付与する場合は、ユーザ固有の認可定義で ACL AV のペア だけ を指定します。デフォルトの認可プロファイルをセットアップしてリモート ホストに適用するが、特定のユーザには特定の ACL を適用する場合は、これが望ましい場合があります。

これらのユーザ固有の認可文が後でインターフェイスに適用された場合、ユーザの認可に使用された access-profile コマンドの形式に従って、これらの文が既存のインターフェイス設定に 追加される か、または既存のインターフェイス設定を 置き換える ことができます。認可文を設定する前に、 access-profile コマンドが動作する仕組みを理解しておく必要があります。

ISDN またはマルチリンク PPP を使用する場合は、ローカル ホストでバーチャル テンプレートも設定する必要があります。

ダブル認証をトラブルシューティングするには、 debug aaa per-user デバッグ コマンドを使用します。このコマンドの詳細については、『 Cisco IOS Debug Command Reference 』を参照してください。

ダブル認証後のユーザ プロファイルへのアクセス

ダブル認証では、リモート ユーザがローカル ホスト名を使用してローカル ホストに PPP リンクを確立すると、リモート ホストが CHAP(または PAP)認証されます。CHAP(または PAP)認証の後、PPP は AAA とネゴシエーションを行い、リモート ホストに関連付けられたネットワーク アクセス権限をユーザに割り当てます (この段階での権限は、Telnet 接続を確立してローカル ホストへの接続を許可するだけに制限することを推奨します)。

ユーザがダブル認証の第 2 フェーズを開始して、ローカル ホストに Telnet 接続を確立する必要がある場合、そのユーザは自分のユーザ名およびパスワードを入力します(CHAP または PAP のユーザ名およびパスワードとは異なる)。この処理を実行すると、個々のユーザ名およびパスワードに従って AAA 再認証が発生します。ただし、ローカル ホストに関連付けられた初期権限は、有効なままです。 access-profile コマンドを使用して、ローカル ホストに関連付けられた権限を置き換えるか、またはユーザ プロファイルで定義されたユーザの権限と結合してください。

ダブル認証後にユーザ プロファイルにアクセスするには、EXEC コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router> access-profile [ merge | replace ] [ ignore-sanity-checks ]

ダブル認証後にユーザに関連付けられた権限にアクセスします。

autocommand として実行されるように access-profile コマンドを設定してある場合、このコマンドはリモート ユーザがログインした後に自動的に実行されます。

自動ダブル認証のイネーブル化

自動ダブル認証を実装すると、ユーザがダブル認証プロセスを簡単に行うことができるようになります。自動ダブル認証ではダブル認証のセキュリティ メリットをすべて受けられますが、リモート ユーザにはより簡単で利用しやすいインターフェイスが提供されます。ダブル認証では、ユーザがネットワーク アクセス サーバまたはルータに Telnet で接続し、ユーザ名とパスワードを入力すると、第 2 レベルのユーザ認証が実現されます。自動ダブル認証では、ユーザがネットワーク アクセス サーバに Telnet で接続する必要はありません。代わりに、ユーザ名とパスワード、または Personal Identification Number(PIN)を要求するダイアログボックスに応答します。自動ダブル認証機能を使用するには、対応するクライアント アプリケーションがリモート ユーザ ホストで実行されている必要があります。Cisco IOS Release 12.0 以降、利用可能なクライアント アプリケーション ソフトウェアは、PC 用の Glacier Bay アプリケーション サーバ ソフトウェアだけです。


) 既存のダブル認証機能と同様、自動ダブル認証はマルチリンク PPP ISDN 接続専用です。自動ダブル認証は、X.25 や SLIP などの他のプロトコルとは併用できません。


自動ダブル認証は、既存のダブル認証機能を機能拡張した認証です。自動ダブル認証を設定するには、次の手順を実行して、先にダブル認証を設定しておく必要があります。

1. aaa-new model グローバル コンフィギュレーション コマンドを使用して、AAA をイネーブルにします。AAA をイネーブルにする方法の詳細については、「AAA Overview」の章を参照してください。

2. aaa authentication コマンドを使用して、ログイン認証方式リストまたは PPP 認証方式リストを使用するようにネットワーク アクセス サーバを設定し、この方式リストを適切な回線またはインターフェイスに適用します。

3. aaa authorization コマンドを使用して、ログイン時の AAA ネットワーク認可を設定します。ネットワーク認可の設定の詳細については、「Configuring Authorization」の章を参照してください。

4. セキュリティ プロトコル パラメータを設定します(RADIUS または TACACS+ など)。RADIUS の詳細については、「Configuring RADIUS」の章を参照してください。TACACS+ の詳細については、「Configuring TACACS+」の章を参照してください。

5. ユーザが Telnet 接続を確立してローカル ホストだけに接続できる、セキュリティ サーバのアクセス コントロール リストの AV のペアを使用します。

6. autocommand として access-profile コマンドを設定します。autocommand を設定すると、リモート ユーザは、ユーザ個人のユーザ プロファイルに関連付けられた認可済みの権限にアクセスするために、手動で access-profile コマンドを入力する必要がなくなります。autocommand の設定の詳細については、『 Cisco IOS Dial Technologies Command Reference 』の autocommand コマンドを参照してください。


access-profile コマンドが autocommand として設定されている場合、ユーザはローカル ホストに Telnet で接続してログインし、ダブル認証を完了する必要があります。


ユーザ固有の認可文を作成するときは、次のルールに従ってください(このルールは access-profile コマンドのデフォルト動作と関連しています)。

セキュリティ サーバでアクセス コントロール リストの AV のペアを設定するときは、有効な AV ペアを使用します。有効な AV のペアのリストについては、『 Cisco IOS Security Command Reference 』の「 Authentication, Authorization, and Accounting (AAA) 」を参照してください。

リモート ユーザがインターフェイスの既存の認可(第 2 段階の認証および認可よりも前に存在した認可)を使用する必要があるが、異なるアクセス コントロール リスト(ACL)を付与する場合は、ユーザ固有の認可定義で ACL AV のペア だけ を指定します。デフォルトの認可プロファイルをセットアップしてリモート ホストに適用するが、特定のユーザには特定の ACL を適用する場合は、これが望ましい場合があります。

これらのユーザ固有の認可文が後でインターフェイスに適用されると、ユーザの認可に使用された access-profile コマンドの形式に従って、既存のインターフェイス設定に 追加される か、または既存のインターフェイス設定を 置き換える ことができます。認可文を設定する前に、 access-profile コマンドが動作する仕組みを理解しておく必要があります。

ISDN またはマルチリンク PPP を使用する場合は、ローカル ホストでバーチャル テンプレートも設定する必要があります。

ダブル認証をトラブルシューティングするには、 debug aaa per-user デバッグ コマンドを使用します。このコマンドの詳細については、『 Cisco IOS Debug Command Reference 』を参照してください。

ダブル認証の設定が完了すると、オートメーション機能拡張を設定する準備が整います。

自動ダブル認証を設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

ステップ 1

Router(config)# ip trigger-authentication

[ timeout seconds ] [ port number ]

ダブル認証のオートメーションをイネーブルにします。

ステップ 2

Router(config)# interface bri number
 

または

Router(config)# interface serial number :23

ISDN BRI インターフェイスまたは ISDN PRI インターフェイスを選択し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

Router(config-if)# ip trigger-authentication

自動ダブル認証をインターフェイスに適用します。

自動ダブル認証をトラブルシューティングするには、特権 EXEC モードで次のコマンドを使用します。

 

コマンド
目的

ステップ 1

Router# show ip trigger-authentication

自動ダブル認証が試行されたリモート ホスト(成功または失敗)のリストを表示します。

ステップ 2

Router# clear ip trigger-authentication

自動ダブル認証が試行されたリモート ホストのリストをクリアします (これは、 show ip trigger-authentication コマンドで表示されるテーブルをクリアします)。

ステップ 3

Router# debug ip trigger-authentication

自動ダブル認証に関連する debug 出力を表示します。

Non-AAA 認証方式

ここでは、次の Non-AAA 認証タスクについて説明します。

回線パスワード保護の設定

ユーザ名認証の設定

CHAP または PAP 認証のイネーブル化

MS-CHAP の使用

回線パスワード保護の設定

このタスクを使用して端末回線のアクセス コントロールを提供するには、パスワードを入力してパスワード チェックを確立します。


) 回線パスワード保護を設定してから TACACS または拡張 TACACS を設定した場合、TACACS のユーザ名とパスワードが回線パスワードよりも優先されます。セキュリティ ポリシーが未実装の場合は、AAA を使用することを推奨します。


手順の概要

1. enable

2. configure terminal

3. line [ aux | console | tty | vty ] line-number [ ending-line-number ]

4. password password

5. login

詳細手順

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

line [ aux | console | tty | vty ] line-number [ ending-line-number ]

 

Router(config)# line console 0

ライン コンフィギュレーション モードを開始します。

ステップ 4

password password

 

Router(config-line)# secret word

回線上の端末または他のデバイスにパスワードを割り当てます。パスワード チェッカでは大文字と小文字が区別され、スペースを使用できます。たとえば、パスワード「Secret」とパスワード「secret」は異なるパスワードです。また、「two words」は有効なパスワードです。

ステップ 5

login

 

Router(config-line)# login

ログイン時のパスワード チェックをイネーブルにします。

このコマンドの no 形式を使用してパスワード チェックをディセーブルにすると、回線パスワード検証をディセーブルにできます。

コマンドによって変更されるのはユーザ名および特権レベルだけであり、シェルは実行されません。したがって、autocommand は実行されません。この環境で autocommand を実行するには、ルータに対して Telnet セッションを確立する必要があります(ループバック)。autocommand をこのようにして実装する場合は、ルータに必ずセキュア Telnet セッションを設定してください。

ユーザ名認証の設定

ユーザ名に基づく認証システムを作成できます。これは、次のような状況において有効です。

TACACS をサポートできないネットワークに対して、TACACS に似たユーザ名および暗号化されたパスワードによる認証システムを提供します。

特殊なケースのログインを提供します。たとえば、アクセス リスト検証、パスワードのない検証、ログイン時の autocommand 実行、および「エスケープなし」の状況などがあります。

ユーザ名認証を設定するには、使用中のシステム設定の必要に応じて、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

ステップ 1

Router(config)# username name [ nopassword | password password | password encryption-type encrypted password ]

 

または

Router(config)# username name [ access-class number ]

暗号化されたパスワードを使用してユーザ名認証を設定します。

または

(オプション)アクセス リストによるユーザ名認証を設定します。

ステップ 2

Router(config)# username name [ privilege level ]

(オプション)ユーザの特権レベルを設定します。

ステップ 3

Router(config)# username name [ autocommand command ]

(オプション)自動的に実行されるコマンドを指定します。

ステップ 4

Router(config)# username name [ noescape ] [ nohangup ]

(オプション)「エスケープなし」のログイン環境を設定します。

キーワード noescape を指定すると、ユーザは接続先のホストでエスケープ文字を使用できなくなります。 nohangup 機能では、autocommand の使用後に接続解除されません。


注意 service password-encryption コマンドをイネーブルにしない限り、パスワードは設定にクリア テキストで表示されます。service password-encryption コマンドの詳細については、『Cisco IOS Security Command Reference』の「Passwords and Privileges Commands」の章を参照してください。

CHAP または PAP 認証のイネーブル化

Internet Service Provider(ISP; インターネット サービス プロバイダー)のダイヤル ソリューションの中で最も一般的に使用されているトランスポート プロトコルの 1 つは、Point-to-Point Protocol(PPP; ポイントツーポイント プロトコル)です。通常、リモート ユーザはアクセス サーバにダイヤルインして PPP セッションを開始します。PPP のネゴシエーションが完了すると、リモート ユーザは ISP ネットワークおよびインターネットに接続します。

ISP は自身のアクセス サーバだけにカスタマーを接続させる必要があるため、リモート ユーザはアクセス サーバに対して認証を受けてから PPP セッションを開始する必要があります。通常、リモート ユーザはアクセス サーバから入力を要求されたときにユーザ名とパスワードを入力して認証されます。これは実用的なソリューションですが、リモート ユーザにとっては管理が難しく、使いにくいものです。

PPP に組み込まれている認証プロトコルを使用する方が、ソリューションとしては優れています。この場合、リモート ユーザはアクセス サーバにダイヤルインし、アクセス サーバと PPP の最小サブセットを開始します。このとき、リモート ユーザは ISP のネットワークにはアクセスしません。アクセス サーバがリモート デバイスと通信することだけが許可されます。

現在、PPP では、パスワード認証プロトコル(PAP)およびチャレンジ ハンドシェーク認証プロトコル(CHAP)の 2 つの認証プロトコルをサポートしています。いずれのプロトコルも RFC 1334 で指定されており、同期および非同期のインターフェイスでサポートされています。PAP または CHAP による認証は、サーバから要求されたときにユーザ名とパスワードを入力する認証と同等の認証です。接続中にリモート ユーザのパスワードが送信されないため、CHAP の方がよりセキュアであると見なされます。

また、PPP は、(PAP 認証または CHAP 認証の有無に関係なく)ダイヤルアウト ソリューションでもサポートされています。アクセス サーバは、リモート デバイスへのコールを開始し、PPP などのトランスポート プロトコルの開始を試みるときに、ダイヤルアウト機能を利用します。

CHAP および PAP の詳細については、『 Cisco IOS Configuration Fundamentals Configuration Guide 』の「Configuring Interfaces」の章を参照してください。


) CHAP または PAP を使用するには、PPP カプセル化を実行している必要があります。


インターフェイス上で CHAP がイネーブルなときにリモート デバイスがそのインターフェイスに接続を試みると、アクセス サーバはリモート デバイスに CHAP パケットを送信します。CHAP パケットは、リモート デバイスの応答を要求または「チャレンジ」します。チャレンジ パケットは、ID、ランダムな番号、およびローカル ルータのホスト名で構成されます。

リモート デバイスはチャレンジ パケットを受信すると、ID、リモート デバイスのパスワード、およびランダムな番号を連結し、リモート デバイスのパスワードを使用して、連結した文字すべてを暗号化します。リモート デバイスは、暗号化プロセスで使用したパスワードに関連付けられた名前とともに、結果をアクセス サーバに返信します。

アクセス サーバは応答を受信すると、受信した名前を使用して、ユーザ データベースに格納されているパスワードを取得します。取得したパスワードは、リモート デバイスが暗号化プロセスで使用したパスワードと同じパスワードである必要があります。次にアクセス サーバは、連結された情報を、新たに取得したパスワードで暗号化します。応答パケットで送信された結果とこの結果が一致すると、認証が成功します。

CHAP 認証を使用するメリットは、リモート デバイスのパスワードがクリア テキストで送信されないことです。このため、他のデバイスがパスワードを盗んで ISP のネットワークに不正アクセスすることを防止できます。

CHAP トランザクションは、リンクが確立されたときにだけ発生します。それ以外のコールのときにアクセス サーバはパスワードを要求しません (ただし、ローカル デバイスは、コール中に他のデバイスからそのような要求に応答できます)。

PAP がイネーブルな場合、アクセス サーバへの接続を試みるリモート ルータは認証要求を送信する必要があります。認証要求で指定されたユーザ名とパスワードが受け入れられると、Cisco IOS ソフトウェアによって認証確認応答が送信されます。

CHAP または PAP をイネーブルにすると、アクセス サーバにはアクセス サーバにダイヤルインするリモート デバイスからの認証が必要となります。イネーブルにされているプロトコルをリモート デバイスがサポートしていない場合、そのコールはドロップされます。

CHAP または PAP を使用するには、次の手順を実行する必要があります。

1. PPP カプセル化をイネーブルにします。

2. インターフェイス上で CHAP または PAP をイネーブルにします。

3. CHAP の場合は、認証が必要なリモート システムごとにホスト名認証、およびシークレットまたはパスワードを設定します。

この項の構成は、次のとおりです。

PPP カプセル化のイネーブル化

PAP または CHAP のイネーブル化

インバウンド認証およびアウトバウンド認証

アウトバウンド PAP 認証のイネーブル化

PAP 認証要求の拒否

共通 CHAP パスワードの作成

CHAP 認証要求の拒否

ピアが認証されるまでの CHAP 認証の遅延

PPP カプセル化のイネーブル化

PPP カプセル化をイネーブルにするには、インターフェイス コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config-if)# encapsulation ppp

インターフェイス上で PPP をイネーブルにします。

PAP または CHAP のイネーブル化

PPP カプセル化を設定したインターフェイス上で CHAP 認証または PAP 認証をイネーブルにするには、インターフェイス コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config-if)# ppp authentication { protocol1 [ protocol2... ]} [ if-needed ] { default | list-name } [ callin ] [ one-time ]

サポートされている認証プロトコルおよびそのプロトコルが使用される順序を定義します。このコマンドで、 protocol1、protocol2 はプロトコル CHAP、MS-CHAP、および PAP を表します。PPP 認証は、最初の認証方式( protocol1 )を使用して試行されます。 protocol1 で認証が確立されない場合は、設定された次のプロトコルを使用して認証のネゴシエーションが行われます。

インターフェイス上で ppp authentication chap を設定した場合、PPP 接続を開始するインターフェイス上のすべての着信コールは、CHAP を使用して認証する必要があります。同様に、 ppp authentication pap を設定した場合は、PPP 接続を開始するすべての着信コールを PAP で認証する必要があります。 ppp authentication chap pap を設定した場合、アクセス サーバは PPP セッションを開始するすべての着信コールを CHAP で認証しようとします。リモート デバイスが CHAP をサポートしていない場合、アクセス サーバは PAP を使用してコールを認証しようとします。リモート デバイスが CHAP または PAP のいずれもサポートしていない場合、認証は失敗してコールはドロップされます。 ppp authentication pap chap を設定した場合、アクセス サーバは PPP セッションを開始するすべての着信コールを PAP で認証しようとします。リモート デバイスが PAP をサポートしていない場合、アクセス サーバは CHAP を使用してコールを認証しようとします。リモート デバイスがいずれのプロトコルもサポートしていない場合、認証は失敗してコールはドロップされます。 callin キーワードを指定して ppp authentication コマンドを設定した場合、アクセス サーバはリモート デバイスがコールを開始した場合にだけそのリモート デバイスを認証します。

認証方式リストおよび one-time キーワードを使用できるのは、AAA をイネーブルにしてある場合だけです。TACACS または拡張 TACACS を使用している場合には使用できません。 ppp authentication コマンドを使用して認証方式リストの名前を指定した場合、PPP は指定された方式リストに定義された方式を使用して、接続の認証を試みます。AAA がイネーブルなときに方式リストが名前で定義されていない場合は、デフォルトとして定義された方式を使用して、接続の認証を試みます。 one-time キーワードを指定した ppp authentication コマンドを使用すると、認証時のワンタイム パスワードのサポートをイネーブルにできます。

if-needed キーワードを使用できるのは、TACACS または拡張 TACACS を使用している場合だけです。 if-needed キーワードを指定した ppp authentication コマンドは、現在のコールの継続中に認証がまだ済んでいない場合に、PPP が PAP または CHAP で接続したリモート デバイスだけを認証することを意味します。リモート デバイスが標準のログイン手順で認証され、EXEC プロンプトから PPP を開始した場合、インターフェイス上で ppp authentication chap if-needed が設定されていると PPP は CHAP での認証を行いません。


注意 aaa authentication ppp コマンドを使用して設定されていない list-name を使用する場合は、回線上の PPP をディセーブルにしてください。

ローカル ルータまたはアクセス サーバが認証を必要とする各リモート システムに username エントリを追加する方法の詳細については、「ユーザ名認証の設定」を参照してください。

インバウンド認証およびアウトバウンド認証

PPP では 2 とおりの認証をサポートしています。通常、リモート デバイスがアクセス サーバにダイヤルインすると、アクセス サーバは、リモート デバイスがアクセスを許可されていることを証明するよう要求します。これは、インバウンド認証と呼ばれています。同時に、リモート デバイスも、アクセス サーバが正しいアクセス サーバであることを証明するように要求することができます。これは、アウトバウンド認証と呼ばれています。また、アクセス サーバは、リモート デバイスへのコールを開始するときにもアウトバウンド認証を行います。

アウトバウンド PAP 認証のイネーブル化

アウトバウンド PAP 認証をイネーブルにするには、インターフェイス コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config-if)# ppp pap sent-username username password password

アウトバウンド PAP 認証をイネーブルにします。

アクセス サーバは、リモート デバイスへのコールを開始するとき、またはリモート デバイスのアウトバウンド認証要求に応答する必要があるときは、常に ppp pap sent-username コマンドで指定されたユーザ名とパスワードを使用して自分自身を認証します。

PAP 認証要求の拒否

PAP 認証を要求するピアからの PAP 認証を拒否する、つまり、すべてのコールに対して PAP 認証をディセーブルにするには、インターフェイス コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config-if)# ppp pap refuse

PAP 認証を要求するピアからの PAP 認証を拒否します。

refuse キーワードを使用しないと、ルータはピアからの PAP 認証チャレンジを拒否しません。

共通 CHAP パスワードの作成

リモート CHAP 認証の場合に限り、共通の CHAP シークレット パスワードを作成して未知のピアからのチャレンジに対する応答で使用するようにルータを設定できます。たとえば、ルータが、新しい(つまり未知の)ルータが追加された(別のベンダーの、または古いバージョンの Cisco IOS ソフトウェアを実行している)ルータのロータリーをコールする場合などです。 ppp chap password コマンドを使用すると、複数のユーザ名およびパスワードの設定コマンドを、任意のダイヤラ インターフェイス上または非同期グループ インターフェイス上のこのコマンドの 1 回のコピーで置き換えることができます。

ルータの集合にコールするルータで共通の CHAP シークレット パスワードを設定できるようにするには、インターフェイス コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config-if)# ppp chap password secret

ルータの集合にコールするルータで、共通の CHAP シークレット パスワードをイネーブルにします。

CHAP 認証要求の拒否

CHAP 認証を要求するピアからの CHAP 認証を拒否する、つまり、すべてのコールに対して CHAP 認証をディセーブルにするには、インターフェイス コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config-if)# ppp chap refuse [ callin ]

CHAP 認証を要求するピアからの CHAP 認証を拒否します。

callin キーワードを使用すると、ルータはピアから受信した CHAP 認証確認への応答を拒否しますが、ピアではルータが送信するすべての CHAP チャレンジに応答する必要があります。

アウトバウンド PAP が( ppp pap sent-username コマンドを使用して)イネーブルになっている場合、拒否パケットの認証方式としては PAP を推奨します。

ピアが認証されるまでの CHAP 認証の遅延

ルータに対してピア自身が認証されるまで、CHAP 認証を要求するピアに対してルータが認証されないように指定するには、インターフェイス コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config-if)# ppp chap wait secret

ルータに対してピア自身が認証されるまで、CHAP 認証を遅延するようにルータを設定します。

このコマンド(デフォルト)では、ルータに対してピア自身が認証されるまで、CHAP 認証を要求するピアに対してルータが認証されないことを指定します。 no ppp chap wait コマンドでは、ルータがただちに認証確認に応答することを指定します。

MS-CHAP の使用

Microsoft Challenge Handshake Authentication Protocol(MS-CHAP; マイクロソフト チャレンジ ハンドシェーク認証プロトコル)は、RFC 1994 を拡張した Microsoft 版の CHAP です。標準版の CHAP と同様、MS-CHAP は PPP 認証に使用されます。この場合、Microsoft Windows NT または Microsoft Windows 95 を使用する PC と、シスコ製ルータまたはネットワーク アクセス サーバとして機能するアクセス サーバとの間で認証が発生します。

MS-CHAP と標準の CHAP の違いは、次のとおりです。

MS-CHAP は LCP オプション 3 認証プロトコルの CHAP アルゴリズム 0x80 をネゴシエーションするとイネーブルになります。

MS-CHAP Response パケットの形式は、Microsoft Windows NT 3.5 と 3.51、Microsoft Windows 95、および Microsoft LAN Manager 2. x と互換性を持つよう設計されています。この形式では、平文または可逆的に暗号化されたパスワードをオーセンティケータが保存する必要がありません。

MS-CHAP では、オーセンティケータが制御する認証再試行メカニズムを使用します。

MS-CHAP では、オーセンティケータが制御するチャレンジ パスワード メカニズムを使用します。

MS-CHAP では、Failure パケット メッセージ フィールドに返される「reason-for failure」コード セットが定義されています。

MS-CHAP を使用する PPP 認証は、実装したセキュリティ プロトコルに応じて、AAA セキュリティ サービスの有無に関係なく使用できます。AAA をイネーブルにしてある場合、MS-CHAP を使用する PPP 認証は TACACS+ および RADIUS の両方と組み合せて使用できます。 表 6 に、RADIUS で MS-CHAP をサポートできるようにするベンダー固有の RADIUS アトリビュート(IETF アトリビュート 26)を示します。

 

表 6 MS-CHAP のベンダー固有 RADIUS アトリビュート

ベンダー ID
番号
ベンダータイプ
番号
ベンダー固有アトリビュート
説明

311

11

MSCHAP-Challenge

ネットワーク アクセス サーバによって MS-CHAP ユーザに送信されたチャレンジが含まれます。これは、Access-Request パケットおよび Access-Challenge パケットで使用できます。

211

11

MSCHAP-Response

チャレンジに応答して PPP MS-CHAP ユーザによって指定された応答値が含まれます。これは、Access-Request パケットだけで使用します。このアトリビュートは PPP CHAP ID と同じです。

MS-CHAP を使用した PPP 認証を定義するには、インターフェイス コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

ステップ 1

Router(config-if)# encapsulation ppp

PPP カプセル化をイネーブルにします。

ステップ 2

Router(config-if)# ppp authentication ms-chap [ if-needed ] [ list-name | default ] [ callin ] [ one-time ]

MS-CHAP を使用する PPP 認証を定義します。

インターフェイス上で ppp authentication ms-chap を設定すると、PPP 接続を開始したインターフェイス上のすべての着信コールを MS-CHAP を使用して認証する必要があります。 callin キーワードを指定して ppp authentication コマンドを設定した場合、アクセス サーバはリモート デバイスがコールを開始した場合にだけそのリモート デバイスを認証します。

認証方式リストおよび one-time キーワードを使用できるのは、AAA をイネーブルにしてある場合だけです。TACACS または拡張 TACACS を使用している場合には使用できません。 ppp authentication コマンドを使用して認証方式リストの名前を指定した場合、PPP は指定された方式リストに定義された方式を使用して、接続の認証を試みます。AAA がイネーブルなときに方式リストが名前で定義されていない場合は、デフォルトとして定義された方式を使用して、接続の認証を試みます。 one-time キーワードを指定した ppp authentication コマンドを使用すると、認証時のワンタイム パスワードのサポートをイネーブルにできます。

if-needed キーワードを使用できるのは、TACACS または拡張 TACACS を使用している場合だけです。 if-needed キーワードを指定した ppp authentication コマンドは、現在のコールの継続中にデバイスの認証がまだ済んでいない場合に、PPP が MS-CHAP によるリモート デバイスだけを認証することを意味します。リモート デバイスが標準のログイン手順で認証され、EXEC プロンプトから PPP を開始した場合、 ppp authentication chap if-needed が設定されていると PPP は MS-CHAP での認証を行いません。


) MS-CHAP を使用する PPP 認証をユーザ名認証とともに使用した場合、ローカルのユーザ名とパスワードのデータベースに MS-CHAP シークレットを追加する必要があります。ユーザ名認証の詳細については、「Establish Username Authentication」を参照してください。


認証例

ここでは、認証設定の例について説明します。

「RADIUS 認証の例」

「TACACS+ 認証の例」

「Kerberos 認証の例」

「AAA スケーラビリティの例」

「ログイン バナーと障害バナーの例」

「AAA パケット オブ ディスコネクト サーバ キーの例」

「ダブル認証の例」

「自動ダブル認証の例」

「MS-CHAP の例」

RADIUS 認証の例

ここでは、RADIUS を使用する 2 つの設定例を示します。

次に、RADIUS を使用して認証および認可を行うようにルータを設定する方法の例を示します。

aaa authentication login radius-login group radius local
aaa authentication ppp radius-ppp if-needed group radius
aaa authorization exec default group radius if-authenticated
aaa authorization network default group radius
line 3
login authentication radius-login
interface serial 0
ppp authentication radius-ppp
 

RADIUS の認証認可設定例の各行の定義は、次のとおりです。

aaa authentication login radius-login group radius local コマンドは、ログイン プロンプトで認証に RADIUS を使用するようにルータを設定します。RADIUS からエラーが返される場合、ユーザはローカル データベースを使用して認証されます。

aaa authentication ppp radius-ppp if-needed group radius コマンドは、まだユーザがログインしていない場合に CHAP または PAP を使用した PPP 認証を使用するように Cisco IOS ソフトウェアを設定します。EXEC 機能によってユーザが認証されている場合、PPP 認証は実行されません。

aaa authorization exec default group radius if-authenticated コマンドは、autocommand や特権レベルなど、EXEC 認証時に使用された情報を RADIUS データベースに照会しますが、ユーザが正常に認証されている場合にだけ認可を行います。

aaa authorization network default group radius コマンドは、ネットワーク認可、アドレス割り当て、およびその他のアクセス リストを RADIUS に照会します。

login authentication radius-login コマンドは、line 3 に対して radius-login 方式リストをイネーブルにします。

ppp authentication radius-ppp コマンドは、シリアル インターフェイス 0 に対して radius-ppp 方式リストをイネーブルにします。

次に、ユーザ名とパスワードの入力要求と確認、ユーザの EXEC レベルの認可、および特権レベル 2 の認可方式としてそのレベルの指定を行うようにルータを設定する方法の例を示します。この例では、ユーザ名プロンプトでローカル ユーザ名を入力すると、そのユーザ名が認証に使用されます。

ローカル データベースを使用してユーザを認証した場合、RADIUS 認証からのデータが保存されていないため、RADIUS を使用する EXEC 認可は失敗します。また、方式リストでは、ローカル データベースを使用して autocommand を検索します。autocommand がない場合、ユーザは EXEC ユーザとなります。次に、ユーザが特権レベル 2 で設定されたコマンドを発行しようとすると、TACACS+ を使用してコマンドの認可が試行されます。

aaa authentication login default group radius local
aaa authorization exec default group radius local
aaa authorization command 2 default group tacacs+ if-authenticated
radius-server host 172.16.71.146 auth-port 1645 acct-port 1646
radius-server attribute 44 include-in-access-req
radius-server attribute 8 include-in-access-req
 

RADIUS の認証認可設定例の各行の定義は、次のとおりです。

aaa authentication login default group radius local コマンドは、RADIUS で、または RADIUS が応答しない場合はルータのローカル ユーザ データベースで、ユーザ名とパスワードを確認することを指定します。

aaa authorization exec default group radius local コマンドは、ユーザが RADIUS を使用して認証される場合、RADIUS 認証情報を使用してユーザの EXEC レベルを設定することを指定します。RADIUS 情報を使用しない場合、このコマンドは EXEC 認可にローカル ユーザ データベースを使用することを指定します。

aaa authorization command 2 default group tacacs+ if-authenticated コマンドは、すでにユーザが正常に認証されている場合、特権レベル 2 で設定されたコマンドの TACACS+ 認可を指定します。

radius-server host 172.16.71.146 auth-port 1645 acct-port 1646 コマンドは、RADIUS サーバ ホストの IP アドレス、認証要求の UDP 宛先ポート、およびアカウンティング要求の UDP 宛先ポートを指定します。

radius-server attribute 44 include-in-access-req コマンドは、access-request パケット内の RADIUS アトリビュート 44(Acct-Session-ID)を送信します。

radius-server attribute 8 include-in-access-req コマンドは、access-request パケット内の RADIUS アトリビュート 8(Framed-IP-Address)を送信します。

TACACS+ 認証の例

次に、セキュリティ プロトコルとして TACACS+ を設定し、PPP 認証に使用する方法の例を示します。

aaa new-model
aaa authentication ppp test group tacacs+ local
interface serial 0
ppp authentication chap pap test
tacacs-server host 10.1.2.3
tacacs-server key goaway
 

TACACS+ の認証設定例の各行の定義は、次のとおりです。

aaa new-model コマンドは、AAA セキュリティ サービスをイネーブルにします。

aaa authentication コマンドは、PPP を実行するシリアル インターフェイスで使用する方式リスト「test」を定義します。キーワード group tacacs+ は、TACACS+ を使用して認証が行われることを意味します。認証時に TACACS+ から何らかの ERROR が返される場合、キーワード local は、ネットワーク アクセス サーバ上のローカル データベースを使用して認証を試みることを示します。

interface コマンドは回線を選択します。

ppp authentication コマンドは、この回線に test 方式リストを適用します。

tacacs-server host コマンドは、IP アドレスが 10.1.2.3 の TACACS+ デーモンを指定します。

tacacs-server key コマンドは、共有暗号鍵を「goaway」に定義します。

次に、PPP の AAA 認証を設定する方法の例を示します。

aaa authentication ppp default if-needed group tacacs+ local
 

この例で、キーワード default は、PPP 認証がデフォルトですべてのインターフェイスに適用されることを意味します。 if-needed キーワードは、ASCII ログイン手順を行ってユーザが認証済みの場合、PPP は必要でないため省略できることを意味します。認証が必要な場合、キーワード group tacacs+ は TACACS+ を使用して認証が行われることを意味します。認証時に TACACS+ から何らかの ERROR が返される場合、キーワード local は、ネットワーク アクセス サーバ上のローカル データベースを使用して認証を試みることを示します。

次に、PAP にも同じ認証アルゴリズムを作成する方法の例を示します。ただし、「default」ではなく「MIS-access」方式リストを呼び出しています。

aaa authentication ppp MIS-access if-needed group tacacs+ local
interface serial 0
ppp authentication pap MIS-access
 

この例では、(自動的にすべてのインターフェイスに適用されるデフォルト リストと異なり)リストがどのインターフェイスにも適用されないため、管理者が interface コマンドを使用して、この認証方式を適用するインターフェイスを選択する必要があります。管理者は次に、 ppp authentication コマンドを使用して、この方式リストを選択したインターフェイスに適用する必要があります。

Kerberos 認証の例

ログイン認証方式として Kerberos を指定するには、次のコマンドを使用します。

aaa authentication login default krb5
 

PPP 用に Kerberos 認証を指定するには、次のコマンドを使用します。

aaa authentication ppp default krb5

AAA スケーラビリティの例

次に、セキュリティ プロトコルとして RADIUS を指定して AAA を使用する、一般的なセキュリティ設定の例を示します。この例では、PPP の AAA 要求を処理する 16 個のバックグラウンド プロセスを割り当てるようにネットワーク アクセス サーバを設定します。

aaa new-model
radius-server host alcatraz
radius-server key myRaDiUSpassWoRd
radius-server configure-nas
username root password ALongPassword
aaa authentication ppp dialins group radius local
aaa authentication login admins local
aaa authorization network default group radius local
aaa accounting network default start-stop group radius
aaa processes 16
line 1 16
autoselect ppp
autoselect during-login
login authentication admins
modem dialin
interface group-async 1
group-range 1 16
encapsulation ppp
ppp authentication pap dialins
 

RADIUS AAA の設定例の各行の定義は、次のとおりです。

aaa new-model コマンドは、AAA ネットワーク セキュリティ サービスをイネーブルにします。

radius-server host コマンドは、RADIUS サーバ ホストの名前を定義します。

radius-server key コマンドは、ネットワーク アクセス サーバと RADIUS サーバ ホスト間の共有秘密テキスト ストリングを定義します。

radius-server configure-nas コマンドは、デバイスが最初に起動したときに、シスコ製ルータまたはアクセス サーバが RADIUS サーバにスタティック ルートおよび IP プール定義を照会することを定義します。

username コマンドは、PPP パスワード認証プロトコル(PAP)の発信者識別に使用するユーザ名とパスワードを定義します。

aaa authentication ppp dialins group radius local コマンドは、認証方式リスト「dialins」を定義します。このリストでは、PPP を使用するシリアル回線で、RADIUS 認証、(RADIUS サーバが応答しない場合は)次にローカル認証を使用することを指定します。

aaa authentication login admins local コマンドは、ログイン認証用の別の方式リスト「admins」を定義します。

aaa authorization network default group radius local コマンドを使用して、RADIUS ユーザにアドレスおよび他のネットワーク パラメータを割り当てます。

aaa accounting network default start-stop group radius コマンドは、PPP の使用状況を追跡します。

aaa processes コマンドは、PPP の AAA 要求の処理に 16 個のバックグラウンド プロセスを割り当てます。

line コマンドは、コンフィギュレーション モードをグローバル コンフィギュレーションからライン コンフィギュレーションに切り替え、設定された特定の回線を識別します。

autoselect ppp コマンドは、選択した回線上で PPP セッションを自動的に開始できるように Cisco IOS ソフトウェアを設定します。

autoselect during-login コマンドを使用すると、Enter キーを押さなくてもユーザ名とパスワードのプロンプトが表示されます。ユーザがログインすると、autoselect 機能(この場合は PPP)が開始されます。

login authentication admins コマンドは、ログイン認証に「admins」方式リストを適用します。

modem dialin コマンドは、選択した回線に接続されたモデムを、着信コールだけを受け入れるように設定します。

interface group-async コマンドは、非同期インターフェイス グループを選択および定義します。

group-range コマンドは、インターフェイス グループ内のメンバ非同期インターフェイスを定義します。

encapsulation ppp コマンドは、指定したインターフェイス上で使用するカプセル化方式として PPP を設定します。

ppp authentication pap dialins コマンドは、指定したインターフェイスに「dialins」方式リストを適用します。

ログイン バナーと障害バナーの例

次に、ユーザがシステムにログインするときに表示されるログイン バナー(この場合は、「Unauthorized Access Prohibited」というフレーズ)を設定する方法の例を示します。デリミタにはアスタリスク(*)を使用します (デフォルトのログイン認証方式として RADIUS を指定します)。

aaa new-model
aaa authentication banner *Unauthorized Access Prohibited*
aaa authentication login default group radius
 

この設定によって、次のログイン バナーが作成されます。

Unauthorized Access Prohibited
Username:
 

次に、ユーザがシステムにログインしようとして失敗したときに表示されるログイン失敗バナー(この場合は、「Failed login. Try again.」というフレーズ)を追加設定する方法の例を示します。デリミタにはアスタリスク(*)を使用します (デフォルトのログイン認証方式として RADIUS を指定します)。

aaa new-model
aaa authentication banner *Unauthorized Access Prohibited*
aaa authentication fail-message *Failed login. Try again.*
aaa authentication login default group radius
 

この設定によって、次のログイン バナーおよびログイン失敗バナーが作成されます。

Unauthorized Access Prohibited
Username:
Password:
Failed login. Try again.

AAA パケット オブ ディスコネクト サーバ キーの例

次に、POD(パケット オブ ディスコネクト)を設定する方法の例を示します。POD によって、特定のセッション アトリビュートが識別されたときにネットワーク アクセス サーバ(NAS)上の接続が終了します。

aaa new-model
aaa authentication ppp default radius
aaa accounting network default start-stop radius
aaa accounting delay-start
aaa pod server server-key xyz123
radius-server host 172.16.0.0 non-standard
radius-server key rad123

ダブル認証の例

この項の例は、ダブル認証とともに使用することが想定される設定を示しています。各自のネットワーク要件およびセキュリティ要件によっては、設定が著しく異なる可能性があります。

この項の例は、次のとおりです。

ダブル認証を使用する AAA のローカル ホストの設定例

第 1 段階(PPP)の認証と認可の AAA サーバの設定例

第 2 段階(Per-User)の認証と認可の AAA サーバの設定例

TACACS+ を使用する設定全体の例


) 以降の設定例には、特定の IP アドレスおよびその他の特定情報が含まれています。この情報は説明だけを目的としており、実際の設定では、異なる IP アドレス、異なるユーザ名とパスワード、および異なる認可文を使用します。


ダブル認証を使用する AAA のローカル ホストの設定例

次の 2 つの例に、PPP とログイン認証、およびネットワーク認可と EXEC 認可に AAA を使用するローカル ホストを設定する方法を示します。RADIUS および TACACS+ について 1 つずつ例を示します。

いずれの例でも、特定のサーバを AAA サーバとして最初の 3 行で AAA を設定します。次の 2 行では、PPP およびログイン認証用の AAA を設定し、最後の 2 行ではネットワーク認証および EXEC 認証を設定します。最後の行は、 access-profile コマンドを autocommand として実行する場合にだけ必要です。

次に、RADIUS AAA サーバを使用するルータ設定の例を示します。

aaa new-model
radius-server host secureserver
radius-server key myradiuskey
aaa authentication ppp default group radius
aaa authentication login default group radius
aaa authorization network default group radius
aaa authorization exec default group radius
 

次に、TACACS+ サーバを使用するルータ設定の例を示します。

aaa new-model
tacacs-server host security
tacacs-server key mytacacskey
aaa authentication ppp default group tacacs+
aaa authentication login default group tacacs+
aaa authorization network default group tacacs+
aaa authorization exec default group tacacs+

第 1 段階(PPP)の認証と認可の AAA サーバの設定例

この例は、AAA サーバ上の設定を示しています。RADIUS については AAA 設定例の一部を示します。

TACACS+ サーバも同様に設定することができます (次の章の「TACACS+ を使用する設定全体の例」を参照してください)。

この例では、ダブル認証の第 1 段階で CHAP によって認証される、「hostx」という名前のリモート ホストの認証と認可を定義します。ACL AV のペアによって、リモート ホストはローカル ホストへの Telnet 接続に制限されることに注意してください。ローカル ホストの IP アドレスは 10.0.0.2 です。

次に、RADIUS 用の AAA サーバ設定例の一部を示します。

hostx Password = “welcome”
User-Service-Type = Framed-User,
Framed-Protocol = PPP,
cisco-avpair = “lcp:interface-config=ip unnumbered ethernet 0”,
cisco-avpair = “ip:inacl#3=permit tcp any 172.21.114.0 0.0.0.255 eq telnet”,
cisco-avpair = “ip:inacl#4=deny icmp any any”,
cisco-avpair = “ip:route#5=10.0.0.0 255.0.0.0”,
cisco-avpair = “ip:route#6=10.10.0.0 255.0.0.0”,
cisco-avpair = “ipx:inacl#3=deny any”

第 2 段階(Per-User)の認証と認可の AAA サーバの設定例

ここでは、RADIUS サーバの AAA 設定例の一部を示します。次の設定では、ユーザ名が「patuser」であるユーザ(Pat)の認証と認可を定義します。このユーザは、ダブル認証の第 2 段階でユーザ認証されます。

TACACS+ サーバも同様に設定することができます (次の章の「TACACS+ を使用する設定全体の例」を参照してください)。

次に、 access-profile コマンドの 3 つの形式のそれぞれとともに使用できる RADIUS AAA 設定の例を示します。

最初の例は、 access-profile コマンドのデフォルト形式(キーワードなし)で使用する AAA 設定例の一部を示しています。ACL AV のペアだけが定義されています。また、この例では、autocommand として access-profile コマンドもセットアップします。

patuser Password = “welcome”
User-Service-Type = Shell-User,
cisco-avpair = “shell:autocmd=access-profile”
User-Service-Type = Framed-User,
Framed-Protocol = PPP,
cisco-avpair = “ip:inacl#3=permit tcp any host 10.0.0.2 eq telnet”,
cisco-avpair = “ip:inacl#4=deny icmp any any”
 

次の例は、 access-profile コマンドの access-profile merge 形式で使用する AAA 設定例の一部を示しています。また、この例では、autocommand として access-profile merge コマンドもセットアップします。

patuser Password = “welcome”
User-Service-Type = Shell-User,
cisco-avpair = “shell:autocmd=access-profile merge”
User-Service-Type = Framed-User,
Framed-Protocol = PPP,
cisco-avpair = “ip:inacl#3=permit tcp any any”
cisco-avpair = “ip:route=10.0.0.0 255.255.0.0",
cisco-avpair = “ip:route=10.1.0.0 255.255.0.0",
cisco-avpair = “ip:route=10.2.0.0 255.255.0.0"
 

3 番目の例は、 access-profile コマンドの access-profile replace 形式で使用する AAA 設定例の一部を示しています。また、この例では、autocommand として access-profile replace コマンドもセットアップします。

patuser Password = “welcome”
User-Service-Type = Shell-User,
cisco-avpair = “shell:autocmd=access-profile replace”
User-Service-Type = Framed-User,
Framed-Protocol = PPP,
cisco-avpair = “ip:inacl#3=permit tcp any any”,
cisco-avpair = “ip:inacl#4=permit icmp any any”,
cisco-avpair = “ip:route=10.10.0.0 255.255.0.0",
cisco-avpair = “ip:route=10.11.0.0 255.255.0.0",
cisco-avpair = “ip:route=10.12.0.0 255.255.0.0"

TACACS+ を使用する設定全体の例

この例は、リモート ホスト用(ダブル認証の第 1 段階で使用)および特定ユーザ用(ダブル認証の第 2 段階で使用)の TACACS+ 認可プロファイル設定を示しています。この TACACS+ の例には、前の RADIUS の例で示した設定情報とほぼ同じ設定情報が含まれています。

この設定例は、リモート ホスト「hostx」および 3 名のユーザ用(ユーザ名は「pat_default」、「pat_merge」、および「pat_replace」)の TACACS+ サーバの認証と認可のプロファイルを示しています。これら 3 名のユーザ名の設定によって、 access-profile コマンドの 3 つの異なる形式に対応する異なる設定について説明します。また、3 名のユーザ設定では、 access-profile コマンドの各形式について autocommand をセットアップする方法についても説明します。

図 3 に、このトポロジを示します。図に続く例に、TACACS+ の設定ファイルを示します。

図 3 ダブル認証のトポロジ例

 

この設定例は、リモート ホスト「hostx」および 3 名のユーザ(ユーザ名「pat_default」、「pat_merge」、および「pat_replace」)の TACACS+ サーバ上の認証と認可のプロファイルを示しています。

key = “mytacacskey”
 
default authorization = permit
 
 
#-----------------------------Remote Host (BRI)-------------------------
#
# This allows the remote host to be authenticated by the local host
# during fist-stage authentication, and provides the remote host
# authorization profile.
#
#-----------------------------------------------------------------------
 
user = hostx
{
login = cleartext “welcome”
chap = cleartext “welcome”
 
 
service = ppp protocol = lcp {
interface-config=”ip unnumbered ethernet 0"
}
 
service = ppp protocol = ip {
# It is important to have the hash sign and some string after
# it. This indicates to the NAS that you have a per-user
# config.
 
inacl#3=”permit tcp any 172.21.114.0 0.0.0.255 eq telnet”
inacl#4=”deny icmp any any”
 
route#5=”10.0.0.0 255.0.0.0"
route#6=”10.10.0.0 255.0.0.0"
}
 
service = ppp protocol = ipx {
# see previous comment about the hash sign and string, in protocol = ip
inacl#3=”deny any”
}
 
 
}
 
 
#------------------- “access-profile” default user “only acls” ------------------
#
# Without arguments, access-profile removes any access-lists it can find
# in the old configuration (both per-user and per-interface), and makes sure
# that the new profile contains ONLY access-list definitions.
#
#--------------------------------------------------------------------------------
 
user = pat_default
{
login = cleartext “welcome”
chap = cleartext “welcome”
 
service = exec
 
{
# This is the autocommand that executes when pat_default logs in.
autocmd = “access-profile”
}
 
service = ppp protocol = ip {
# Put whatever access-lists, static routes, whatever
# here.
# If you leave this blank, the user will have NO IP
# access-lists (not even the ones installed prior to
# this)!
 
inacl#3=”permit tcp any host 10.0.0.2 eq telnet”
inacl#4=”deny icmp any any”
}
 
 
service = ppp protocol = ipx {
# Put whatever access-lists, static routes, whatever
# here.
# If you leave this blank, the user will have NO IPX
# access-lists (not even the ones installed prior to
# this)!
}
 
 
}
 
 
#--------------------- “access-profile merge” user ---------------------------
#
# With the 'merge' option, first all old access-lists are removed (as before),
# but then (almost) all AV pairs are uploaded and installed. This will allow
# for uploading any custom static routes, sap-filters, and so on, that the user
# may need in his or her profile. This needs to be used with care, as it leaves
# open the possibility of conflicting configurations.
#
#-----------------------------------------------------------------------------
 
user = pat_merge
{
login = cleartext “welcome”
chap = cleartext “welcome”
 
 
service = exec
{
# This is the autocommand that executes when pat_merge logs in.
autocmd = “access-profile merge”
}
 
service = ppp protocol = ip
{
# Put whatever access-lists, static routes, whatever
# here.
# If you leave this blank, the user will have NO IP
# access-lists (not even the ones installed prior to
# this)!
 
inacl#3=”permit tcp any any”
route#2=”10.0.0.0 255.255.0.0"
route#3=”10.1.0.0 255.255.0.0"
route#4=”10.2.0.0 255.255.0.0"
 
}
 
service = ppp protocol = ipx
{
# Put whatever access-lists, static routes, whatever
# here.
# If you leave this blank, the user will have NO IPX
# access-lists (not even the ones installed prior to
# this)!
 
}
 
}
 
 
#--------------------- “access-profile replace” user ----------------------------
#
# With the 'replace' option, ALL old configuration is removed and ALL new
# configuration is installed.
#
# One caveat: access-profile checks the new configuration for address-pool and
# address AV pairs. As addresses cannot be renegotiated at this point, the
# command will fail (and complain) when it encounters such an AV pair.
# Such AV pairs are considered to be “invalid” for this context.
#-------------------------------------------------------------------------------
 
 
user = pat_replace
{
login = cleartext welcome
chap = cleartext “welcome”
 
 
service = exec
{
# This is the autocommand that executes when pat_replace logs in.
autocmd = “access-profile replace”
}
 
service = ppp protocol = ip
{
# Put whatever access-lists, static routes, whatever
# here.
# If you leave this blank, the user will have NO IP
# access-lists (not even the ones installed prior to
# this)!
 
inacl#3=”permit tcp any any”
inacl#4=”permit icmp any any”
 
 
route#2=”10.10.0.0 255.255.0.0"
route#3=”10.11.0.0 255.255.0.0"
route#4=”10.12.0.0 255.255.0.0"
}
 
service = ppp protocol = ipx
{
# put whatever access-lists, static routes, whatever
# here.
# If you leave this blank, the user will have NO IPX
# access-lists (not even the ones installed prior to
# this)!
}
 
}

自動ダブル認証の例

この例は、自動ダブル認証を設定した Cisco 2509 ルータの設定ファイル全体を示しています。自動ダブル認証に適用する設定コマンドは、アスタリスクが 2 つ並べられた(**)説明の後に始まります。

Current configuration:
!
version 11.3
no service password-encryption
!
hostname myrouter
!
!
! **The following AAA commands are used to configure double authentication:
!
! **The following command enables AAA:
aaa new-model
! **The following command enables user authentication via the TACACS+ AAA server:
aaa authentication login default group tacacs+
aaa authentication login console none
! **The following command enables device authentication via the TACACS+ AAA server:
aaa authentication ppp default group tacacs+
! **The following command causes the remote user’s authorization profile to be
! downloaded from the AAA server to the Cisco 2509 router when required:
aaa authorization exec default group tacacs+
! **The following command causes the remote device’s authorization profile to be
! downloaded from the AAA server to the Cisco 2509 router when required:
aaa authorization network default group tacacs+
enable password mypassword
!
ip host blue 172.21.127.226
ip host green 172.21.127.218
ip host red 172.21.127.114
ip domain-name example.com
ip name-server 172.16.2.75
! **The following command globally enables automated double authentication:
ip trigger-authentication timeout 60 port 7500
isdn switch-type basic-5ess
!
!
interface Ethernet0
ip address 172.21.127.186 255.255.255.248
no ip route-cache
no ip mroute-cache
no keepalive
ntp disable
no cdp enable
!
interface Virtual-Template1
ip unnumbered Ethernet0
no ip route-cache
no ip mroute-cache
!
interface Serial0
ip address 172.21.127.105 255.255.255.248
encapsulation ppp
no ip mroute-cache
no keepalive
shutdown
clockrate 2000000
no cdp enable
!
interface Serial1
no ip address
no ip route-cache
no ip mroute-cache
shutdown
no cdp enable
!
! **Automated double authentication occurs via the ISDN BRI interface BRI0:
interface BRI0
ip unnumbered Ethernet0
! **The following command turns on automated double authentication at this interface:
ip trigger-authentication
! **PPP encapsulation is required:
encapsulation ppp
no ip route-cache
no ip mroute-cache
dialer idle-timeout 500
dialer map ip 172.21.127.113 name myrouter 60074
dialer-group 1
no cdp enable
! **The following command specifies that device authentication occurs via PPP CHAP:
ppp authentication chap
!
router eigrp 109
network 172.21.0.0
no auto-summary
!
ip default-gateway 172.21.127.185
no ip classless
ip route 172.21.127.114 255.255.255.255 172.21.127.113
! **Virtual profiles are required for double authentication to work:
virtual-profile virtual-template 1
dialer-list 1 protocol ip permit
no cdp run
! **The following command defines where the TACACS+ AAA server is:
tacacs-server host 171.69.57.35 port 1049
tacacs-server timeout 90
! **The following command defines the key to use with TACACS+ traffic (required):
tacacs-server key mytacacskey
snmp-server community public RO
!
line con 0
exec-timeout 0 0
login authentication console
line aux 0
transport input all
line vty 0 4
exec-timeout 0 0
password lab
!
end
 

MS-CHAP の例

次に、MS-CHAP を使用した PPP 認証用に、(AAA および RADIUS セキュリティ サーバとの通信をイネーブルにした)Cisco AS5200 ユニバーサル アクセス サーバを設定する方法の例を示します。

aaa new-model
aaa authentication login admins local
aaa authentication ppp dialins group radius local
aaa authorization network default group radius local
aaa accounting network default start-stop group radius
 
username root password ALongPassword
 
radius-server host alcatraz
radius-server key myRaDiUSpassWoRd
 
interface group-async 1
group-range 1 16
encapsulation ppp
ppp authentication ms-chap dialins
 
line 1 16
autoselect ppp
autoselect during-login
login authentication admins
modem dialin
 

RADIUS AAA の設定例の各行の定義は、次のとおりです。

aaa new-model コマンドは、AAA ネットワーク セキュリティ サービスをイネーブルにします。

aaa authentication login admins local コマンドによって、ログイン認証用の別の方式リスト「admins」を定義します。

aaa authentication ppp dialins group radius local コマンドは、認証方式リスト「dialins」を定義します。このリストでは、PPP を使用するシリアル回線で、RADIUS 認証、(RADIUS サーバが応答しない場合は)次にローカル認証を使用することを指定します。

aaa authorization network default group radius local コマンドを使用して、RADIUS ユーザにアドレスおよび他のネットワーク パラメータを割り当てます。

aaa accounting network default start-stop group radius コマンドは、PPP の使用状況を追跡します。

username コマンドは、PPP パスワード認証プロトコル(PAP)の発信者識別に使用するユーザ名とパスワードを定義します。

radius-server host コマンドは、RADIUS サーバ ホストの名前を定義します。

radius-server key コマンドは、ネットワーク アクセス サーバと RADIUS サーバ ホスト間の共有秘密テキスト ストリングを定義します。

interface group-async コマンドは、非同期インターフェイス グループを選択および定義します。

group-range コマンドは、インターフェイス グループ内のメンバ非同期インターフェイスを定義します。

encapsulation ppp コマンドは、指定したインターフェイス上で使用するカプセル化方式として PPP を設定します。

ppp authentication ms-chap dialins コマンドは、PPP 認証の方式として MS-CHAP を選択し、指定したインターフェイスに「dialins」方式リストを適用します。

line コマンドは、コンフィギュレーション モードをグローバル コンフィギュレーションからライン コンフィギュレーションに切り替え、設定された特定の回線を識別します。

autoselect ppp コマンドは、選択した回線上で PPP セッションを自動的に開始できるように Cisco IOS ソフトウェアを設定します。

autoselect during-login コマンドを使用すると、Enter キーを押さなくてもユーザ名とパスワードのプロンプトが表示されます。ユーザがログインすると、autoselect 機能(この場合は PPP)が開始されます。

login authentication admins コマンドは、ログイン認証に「admins」方式リストを適用します。

modem dialin コマンドは、選択した回線に接続されたモデムを、着信コールだけを受け入れるように設定します。

参考資料

ここでは、認証の設定機能に関連する参考資料について説明します。

関連資料

関連項目
参照先

Authorization

Configuring Authorization 」モジュール

Accounting

Configuring Accounting 」モジュール

規格

規格
タイトル

この機能による新規または変更された規格のサポートはありません。また、この機能による既存の規格サポートに変更はありません。

MIB

MIB
MIB リンク

この機能による新規または変更された MIB のサポートはありません。また、この機能による既存の MIB サポートに変更はありません。

選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットの MIB の場所を検索しダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

RFC 2903

Generic AAA Architecture

RFC 2904

AAA Authorization Framework

RFC 2906

AAA Authorization Requirements

RFC 2989

Criteria for Evaluating AAA Protocols for Network Access

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトでは、資料やツールなどのオンライン リソースを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受けるツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト
( http://www.cisco.com/techsupport )の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次のURLからアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

認証の設定の機能情報

表 7 に、このモジュールで説明した機能をリストし、特定の設定情報へのリンクを示します。この表は、Cisco IOS Releases 12.2(1) あるいは 12.0(3)S またはそれ以降のリリースで導入または変更された機能だけを示しています。

このマニュアルに記載されていないこのテクノロジーの機能の詳細は、 Select Your Product ページを参照して Cisco IOS リリースの製品マニュアル サポートを検索してください。

ご使用の Cisco IOS ソフトウェア リリースですべてのコマンドが利用できるとは限りません。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

プラットフォームのサポートおよびソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、フィーチャ セット、またはプラットフォームをサポートする Cisco IOS および Catalyst OS のソフトウェア イメージを判別できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスしてください。Cisco.com のアカウントは必要ありません。


表 7 に、特定の Cisco IOS ソフトウェア リリース群で特定の機能をサポートする Cisco IOS ソフトウェア リリースだけを示します。特に明記されていない限り、Cisco IOS ソフトウェア リリース群の後続のリリースでもこの機能をサポートします。


 

表 7 認証の設定の機能情報

機能名
リリース
機能情報

認証

12.0
XE 2.1

Cisco IOS Release 12.0 ソフトウェアにこの機能が追加されました。

Cisco IOS Release XE 2.1 ソフトウェアにこの機能が追加されました。

AAA Per-User スケーラビリティ

12.2(27)SB
12.2(33)SR
15.0(1)M

Cisco IOS Release 12.2(27)SB にこの機能が追加されました。

Cisco IOS Release 12.2(33)SR にこの機能が統合されました。

Cisco IOS Release 15.0(1)M にこの機能が統合されました。

RADIUS:ユーザ名がブランクのアクセス要求送信を防止する CLI

12.2(33)SRD
Cisco IOS XE Release 2.4

この認証機能では、ユーザ名がブランクのアクセス要求が RADIUS サーバに送信されることを防止します。この機能によって、RADIUS サーバとの不必要な対話が防止され、RADIUS ログが短くなります。

次の項では、この機能に関する情報について説明します。

「ユーザ名がブランクのアクセス要求の RADIUS サーバへの送信防止」

コマンド aaa authentication suppress null-username が追加されました。