Cisco ASR 9000 シリーズ アグリゲーション サービス ルータ システム セキュリティ コンフィギュレーション ガイド リリース 4.2
AAA サービスの設定
AAA サービスの設定
発行日;2012/09/12   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

AAA サービスの設定

このモジュールでは、Cisco IOS XR ソフトウェア システムでのユーザ アクセスの制御に使用されるタスクベース認可の管理モデルの実装について説明します。 タスクベース認可の実装では、主にユーザ グループおよびタスク グループを設定する必要があります。

ユーザ グループおよびタスク グループは、認証、認可およびアカウンティング(AAA)サービスに使用される Cisco IOS XR ソフトウェア コマンド セットを介して設定されます。 認証コマンドは、ユーザまたはプリンシパルの ID の検証に使用されます。 認可コマンドは、認証ユーザ(またはプリンシパル)に特定のタスクを実行する権限があるか確認するときに使用されます。 アカウンティング コマンドは、セッションのログイン、および特定のユーザまたはシステムにより生成されるアクションを記録することで監査証跡を作成するときに使用されます。

AAA は、Cisco IOS XR ソフトウェア ベース パッケージの一部で、デフォルトで使用可能です。


(注)  


このモジュールで使用される AAA コマンドの詳細については、 『Cisco ASR 9000 Series Aggregation Services Router System Security Command Reference』の「Authentication, Authorization, and Accounting Commands on Cisco ASR 9000 シリーズ ルータ」モジュールを参照してください。 この章で使用される他のコマンドの説明については、コマンド リファレンスのマスター インデックスを参照するか、またはオンラインで検索してください。


AAA サービス設定の機能履歴

リリース

変更点

リリース 3.7.2

この機能を追加しました。

リリース 4.1.0

VRF 対応 TACACS+ のサポートが追加されました。

AAA サービスの設定に関する前提条件

次に、AAA サービスの設定に関する前提条件を示します。

  • 適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 このコマンド リファレンスには、各コマンドに必要なタスク ID が含まれます。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。
  • 初期設定ダイアログを使用してルート システム ユーザを確立します。 管理者は、特定の AAA 設定なしでいくつかのローカル ユーザを設定できます。 外部セキュリティ サーバは、ユーザ アカウントが管理ドメイン内の複数のルータで共有される場合に必要になります。 一般的な設定では、外部サーバが到達不能になった場合のバックアップとしてローカル データベース オプションを使用して、外部 AAA セキュリティ サーバおよびデータベースを使用します。

AAA サービスの設定に関する制約事項

この項では、AAA サービスの設定に関する制約事項をリストします。

互換性

互換性は、Cisco フリーウェア TACACS+ サーバおよび FreeRADIUS のみで検証されています。

相互運用性

ルータ管理者は、

ルータおよび Cisco IOS XR ソフトウェア で実行されていないその他のシスコ デバイスに対して同じ AAA サーバ ソフトウェアとデータベース(たとえば、CiscoSecure ACS)を使用できます。 ルータとタスク ID をサポートしていない外部 TACACS+ サーバ間の相互運用性をサポートするには、TACACS+ および RADIUS 認証ユーザのタスク IDの項を参照してください。

AAA サービスの設定について

この項では、Cisco IOS XR ソフトウェア ユーザが AAA でユーザ グループおよびタスク グループを設定する前、または Remote Authentication Dial-in User Service(RADIUS)や TACACS+ サーバを設定する前に理解しておく必要があるすべての概念情報をリストします。 概念情報では、AAA について、およびなぜ重要なのかについても説明します。

ユーザ、ユーザグループおよびタスクグループ

Cisco IOS XR ソフトウェア ユーザ属性は、Cisco IOS XR ソフトウェア 管理モデルの基礎を形成します。 各ルータ ユーザには、次の属性が関連付けられます。

  • 管理ドメイン内でユーザを一意に特定するユーザ ID(ASCII 文字列)
  • 253 文字以下のパスワードおよび一方向の暗号化シークレット
  • ユーザがメンバである(タスク ID などの属性をイネーブルにした)ユーザ グループ(1 つ以上)のリスト (タスク IDの項を参照)。

ユーザ カテゴリ

ルータ ユーザは、次のカテゴリに分類されます。

  • ルート システム ユーザ(すべての管理権限)
  • ルート SDR ユーザ(特定のセキュア ドメイン ルータ管理権限)
  • セキュア ドメイン ルータ ユーザ(特定のセキュア ドメイン ルータ ユーザ アクセス)
ルート システム ユーザ

ルート システム ユーザは、ルータ シャーシ全体の「所有」が許可されたエンティティです。 ルート システム ユーザは、すべてのルータ コンポーネントで最高の権限を持ち、システムのすべてのセキュア ドメイン ルータをモニタできます。 ルート システム ユーザ アカウントは、ルータ設定中に少なくとも 1 つ作成する必要があります。 ルート システム ユーザは複数作成できます。

ルート システム ユーザは、次のようなタスクの設定またはモニタリングを実行できます。

  • セキュア ドメイン ルータを設定します。
  • ルート SDR ユーザを作成、削除および変更します(セキュア ドメイン ルータにルート システム ユーザとしてログインした後) (ルート SDR ユーザの項を参照)。
  • セキュア ドメイン ルータ ユーザを作成、削除、変更し、ユーザ タスク権限を設定します(セキュア ドメイン ルータにルート システム ユーザとしてログインした後) (セキュア ドメイン ルータ ユーザの項を参照)。
  • セキュア ドメイン ルータに割り当てられていないファブリック ラックまたは任意のルータ リソースにアクセスします。これにより、セキュア ドメイン ルータの設定に関係なくルート システム ユーザが任意のルータ ノードに対して認証できます。
ルート SDR ユーザ

ルート SDR ユーザは、特定の SDR の設定およびモニタリングを制御します。 ルート SDR ユーザは、ユーザを作成し、SDR 内での権限を設定できます。 複数のルート SDR ユーザが独立して作業できます。 1 つの SDR に、複数の SDR ユーザを作成できます。

ルート SDR ユーザは、特定の SDR に対して次の管理タスクを実行できます。

  • SDR のセキュア ドメイン ルータ ユーザおよび権限を作成、削除、変更します (セキュア ドメイン ルータ ユーザの項を参照)。
  • SDR にアクセスできるユーザ グループを作成、削除、変更します。
  • SDR のほぼすべてを管理します。

ルート SDR ユーザは、ルート システム ユーザへのアクセスを拒否できません (ルート システム ユーザの項を参照)。

セキュア ドメイン ルータ ユーザ

セキュア ドメイン ルータ ユーザには、ルート システム ユーザまたはルート SDR ユーザにより定義されている SDR への制限付きアクセス権があります。 セキュア ドメイン ルータ ユーザは、日常のシステムおよびネットワーク管理業務を行います。 セキュア ドメイン ルータ ユーザが実行できるタスクは、セキュア ドメイン ルータ ユーザが属するユーザ グループに関連付けられているタスク ID により決まります (ユーザ グループの項を参照)。

ユーザ グループ

Cisco IOS XR ソフトウェアでは、システム管理者は、ユーザのグループ、およびユーザのグループで共通するジョブ特性を設定できます。 グループは、明示的にユーザに割り当てる必要があります。 ユーザは、デフォルトでは、グループに割り当てられていません。 ユーザは、複数のグループに割り当てることができます。

ユーザ グループは、アクセス権限など、属性のセットを共有するユーザの集まりです。 各ユーザは、1 つ以上のユーザ グループに関連付けることができます。 ユーザ グループは、次の属性を持ちます。

  • ユーザの認可を定義するタスク グループのリスト。 cisco-support 以外のすべてのタスクは、デフォルトで、ルート システム ユーザに許可されています (ルート システム ユーザの項を参照)。
  • 各ユーザ タスクには、読み取り、書き込み、実行またはデバッグ権限を割り当てることができます。
事前定義ユーザ グループ

Cisco IOS XR ソフトウェアには、属性を定義済みの一連のユーザ グループが用意されています。 事前定義されているグループは次のとおりです。

  • cisco-support:このグループは、Cisco サポート チームが使用します。
  • netadmin:すべてのシステムおよびネットワーク パラメータを制御およびモニタできます。
  • operator:基本権限を持つデモンストレーション グループ。
  • root-lr:特定のセキュア ドメイン ルータを制御およびモニタできます。
  • root-system:システム全体を制御およびモニタできます。
  • sysadmin:すべてのシステム パラメータを制御およびモニタできますが、ネットワーク プロトコルを設定できません。
  • serviceadmin:セッション ボーダー コントローラ(SBC)などのサービス管理タスク。

ユーザ グループ root-system には、唯一のメンバとしてルート システム ユーザが含まれます (ルート システム ユーザの項を参照)。root-system ユーザ グループには認可が事前に定義されています。つまり、root-system ユーザ管理リソースのすべて、および他の SDR の一部を担当します。

ユーザ定義ユーザ グループ

管理者は、特定のニーズに合わせて、独自のユーザ グループを設定できます。

ユーザ グループ継承

ユーザ グループは、別のユーザ グループから属性を継承できます (同様に、タスク グループは、別のタスク グループから属性を継承できます)。 たとえば、ユーザ グループ A がユーザ グループ B から属性を継承すると、ユーザ グループ A のタスク属性の新しいセットは、A と B の属性の集合になります。 グループ A がグループ B から属性を継承した場合、グループ B で変更を行うと、明示的に再継承しなくても、その変更がグループ A にも影響を与えるため、ユーザ グループでの継承関係は動的といえます。

タスク グループ

タスク グループは、タスク ID の集合によって定義されます。 タスク グループには、各アクション クラスに対応したタスク ID リストが含まれます。

各ユーザ グループは、そのグループのユーザに適用できる一連のタスク グループが関連付けられます。 ユーザのタスク許可は、そのユーザが属するユーザ グループに関連付けられたタスク グループから継承されます。

事前定義タスク グループ

次に、管理者が通常の初期設定で使用できる事前定義タスク グループを示します。

  • cisco-support:Cisco サポート担当タスク
  • netadmin:ネットワーク管理者タスク
  • operator:オペレータの日常業務(デモンストレーション目的)
  • root-lr:セキュア ドメイン ルータ管理者タスク
  • root-system:システム規模の管理者タスク
  • sysadmin:システム管理者タスク
  • serviceadmin:SBC などのサービス管理タスク
ユーザ定義タスク グループ

ユーザは、特定のニーズに合わせて、独自のタスク グループを設定できます。

グループ継承

タスク グループは、他のタスク グループからの継承をサポートします (同様に、ユーザ グループは、別のユーザ グループから属性を継承できます。 ユーザ グループの項を参照してください)。たとえば、タスク グループ A がタスク グループ B から継承すると、タスク グループ A の属性の新しいセットは、A と B の集合になります。

Cisco IOS XR ソフトウェア管理モデル

ルータは、管理(admin)プレーンとセキュア ドメイン ルータ(SDR)プレーンの 2 つのプレーンで機能します。 admin(共有)プレーンは、すべての SDR で共有されるリソースで構成され、SDR プレーンは、特定の SDR に固有なリソースで構成されます。

root-system ユーザには、ルータの最高レベルの権限があります。 このユーザは、セキュア ドメイン ルータをプロビジョニングし、ルート SDR ユーザを作成します。 作成すると、ルート SDR ユーザは、SDR の root-system ユーザの権限を利用します。 ルート SDR ユーザは、セキュア ドメイン ルータ ユーザを作成できます。 root-system ユーザおよびルート SDR ユーザには、ユーザが変更できない固定権限(タスク ID)があります。

各 SDR には、ローカル ユーザ、グループ、TACACS+ および RADIUS 設定など、独自の AAA 設定があります。 SDR で作成されたユーザは、同じユーザが他の SDR で設定されていない限り、他の SDR にアクセスできません。

管理アクセス

システムへの管理アクセスは、次の操作を十分理解していない場合、または注意して計画していない場合、失われる可能性があります。 すべての root-system ユーザのロックアウトは、パスワードの回復のためにシステム リロードが必要になる重大な問題です。

  • 使用できないリモート AAA サーバを使用する認証(特にコンソールの認証)を設定する。

(注)  


他の方式リストを指定しない none オプションの使用は、Cisco IOS XR ソフトウェアではサポートされていません。


  • フラッシュ カードを disk0: から削除する、またはディスクが破損すると、補助ポート認証が拒否されることがあります。これにより、特定のシステム デバッグ機能に影響を与えることがあります。 ただし、コンソールを使用できる場合、システムにアクセスできます。
  • コンソールでコマンド認可または EXEC 認可を設定する場合は十分に注意してください。これは、この設定により TACACS+ サーバが使用できなくなる、またはすべてのコマンドが拒否され、ユーザがロックアウトされる場合があるためです。 このロックアウトは、特に、TACACS+ サーバで認識されていないユーザで認証が行われる場合、あるいは TACACS+ ユーザで何らかの理由によりほとんど、またはすべてのコマンドが拒否される場合に発生します。

ロックアウトを回避するには、次のいずれか、または両方を推奨します。

  • コンソールで TACACS+ コマンド認可または EXEC 認可を設定する前に、認可を設定するユーザが、TACACS+ プロファイルの適切なユーザ権限を使用してログインしていることを確認してください。
  • サイトのセキュリティ ポリシーで許可されている場合、none オプションをコマンド認可または EXEC 認可に使用します。これにより、TACACS+ サーバが使用できない場合、AAA は none 方式にロールオーバーし、ユーザはコマンドを実行できるようになります。

AAA データベース

AAA データベースには、システムへのアクセスを制御するユーザ、グループおよびタスク情報が保存されます。 AAA データベースはローカルまたはリモートにできます。 特定の状況で使用されるデータベースは、AAA 設定により異なります。

ローカル データベース

ユーザ、ユーザ グループ、タスク グループなどの AAA データは、セキュア ドメイン ルータ内でローカルに保存できます。 このデータは、メモリ内データベースに保存され、コンフィギュレーション ファイルに保存されます。 保存されたパスワードは暗号化されます。


(注)  


データベースは、保存されている特定のセキュア ドメイン ルータ(SDR)に対してローカルで、定義されているユーザまたはグループは、同じシステムの他の SDR に表示されません。


残りすべてのユーザをローカル データベースから削除できます。 すべてのユーザを削除すると、ユーザが次にログインするときに、設定ダイアログが表示され、新しいユーザ名およびパスワードを入力するよう求められます。


(注)  


設定ダイアログは、ユーザがコンソールにログインするときだけ表示されます。


リモート データベース

AAA データは、CiscoSecure ACS など、外部セキュリティ サーバに保存できます。 サーバに保存されるセキュリティ データは、任意のクライアント(ネットワーク アクセス サーバ(NAS))により使用できます。ただし、クライアントは、サーバ IP アドレスおよび共有秘密を知っている必要があります。

リモート AAA 設定

CiscoSecure ACS などの製品は、共有または外部 AAA データベースの管理に使用できます。 ルータは、標準の IP ベース セキュリティ プロトコル(TACACS+ または RADIUS など)を使用して、リモート AAA サーバと通信します。

クライアント設定

セキュリティ サーバは、ルータと共有するシークレット キーおよびクライアントの IP アドレスで設定する必要があります。

ユーザ グループ

外部サーバで作成されるユーザ グループは、ルータのローカル AAA データベース設定のユーザ グループとは関係がありません。 外部 TACACS+ サーバまたは RADIUS サーバ ユーザ グループの管理は別であるため、ルータはユーザ グループ構造を認識しません。 リモート ユーザまたはグループ プロファイルには、ユーザが属するグループ(ルータで定義)、および個々のタスク ID を指定する属性を含めることができます。 詳細については、TACACS+ および RADIUS 認証ユーザのタスク IDの項を参照してください。

外部サーバのユーザ グループの設定は、個々のサーバ製品の設計により異なります。 該当するサーバ製品のマニュアルを参照してください。

タスク グループ

タスク グループは、各操作のタイプ(読み取りや書き込みなど)で許可されるタスク ID のリストで定義されます。 タスク ID は、基本的にルータ システムで定義されます。 外部ソフトウェアのタスク グループを設定するには、タスク ID 定義がサポートされている必要があります。

タスク ID は、外部 TACACS+ または RADIUS サーバでも設定できます。

AAA 設定

この項では、AAA の設定について説明します。

方式リスト

AAA データは、さまざまなデータ ソースに保存できます。 AAA 設定は、方式リストを使用して、AAA データのソースの優先順位を定義します。 AAA は、複数の方式リストを定義でき、アプリケーション(ログインなど)は、これらのいずれかを選択できます。 たとえば、コンソールおよび補助ポートと vty ポートでは、それぞれ異なる方式リストを使用できます。 方式リストが指定されていない場合、アプリケーションは、デフォルトの方式リストを使用します。 デフォルトの方式リストが存在しない場合、AAA は、ローカル データベースとしてソースを使用します。

ロールオーバー メカニズム

AAA は、データベース オプションの優先順位リストを使用するよう設定できます。 システムがデータベースを使用できない場合、リストの次のデータベースに自動的にロールオーバーします。 認証、認可またはアカウンティング要件がデータベースで拒否されると、ロールオーバーは発生せず、要求が拒否されます。

次の方法が選択可能です。

  • Local:ローカルで設定されるデータベースを使用します(アカウンティングや一部の認可には適していません)。
  • TACACS+:TACACS+ サーバ(CiscoSecure ACS など)を使用します。
  • RADIUS:RADIUS サーバを使用します。
  • Line:回線パスワードおよびユーザ グループを使用します(認証のみに適しています)。
  • None:要求を許可します(認証には適していません)。
サーバ グルーピング

サーバのシングル グローバル リストを保守する代わりに、ユーザは、異なる AAA プロトコル(RADIUS および TACACS+ など)のサーバ グループを形成して、AAA アプリケーション(PPP および EXEC など)に関連付けることができます。

認証

認証は、プリンシパル(ユーザまたはアプリケーション)がシステムへのアクセスを取得する最も重要なセキュリティ プロセスです。 プリンシパルは、管理ドメインで一意であるユーザ名(またはユーザ ID)により定義されます。 ユーザにサービスを提供するアプリケーション(EXEC または管理エージェントなど)は、ユーザからユーザ名およびクレデンシャルを取得します。 AAA は、アプリケーションにより渡されたユーザ名およびクレデンシャルに基づいて認証を実行します。 認証ユーザのロールは、ユーザが属する 1 つ以上のグループにより決まります ユーザは、1 つ以上のユーザ グループのメンバにすることができます)。

ルート システム ユーザの認証

root-system ユーザは、システムのセキュア ドメイン ルータの任意のノードにログインできます。 ユーザは、root-system グループに属する場合、root-system ユーザです。 root-system ユーザは、ローカルまたはリモート AAA データベースで定義できます。

所有者以外のセキュア ドメイン ルータ ユーザの認証

所有者以外のセキュア ドメイン ルータにログインする場合、ルート システム ユーザは、「@admin」サフィクスをユーザ名に追加する必要があります。 「@admin」サフィクスを使用すると、認証要求が所有者のセキュア ドメイン ルータに送信され、確認されます。 所有者のセキュア ドメイン ルータは、認証方法の選択にリスト名 remote を使用します。 remote 方式リストは、aaa authentication login remote method1 method2... コマンドを使用して設定されます (AAA 方式リストの設定の項を参照)。

所有者のセキュア ドメイン ルータ ユーザの認証

所有者のセキュア ドメイン ルータ ユーザは、所有者のセキュア ドメイン ルータ ユーザに関連付けられている特定のセキュア ドメイン ルータに属するノードだけにログインできます。 ユーザが root-sdr グループのメンバである場合、ユーザは、所有者のセキュア ドメイン ルータ ユーザとして認証されます。

セキュア ドメイン ルータ ユーザの認証

セキュア ドメイン ルータ ユーザの認証は、所有者のセキュア ドメイン ルータ ユーザの認証に似ています。 指定された所有者のセキュア ドメイン ルータ ユーザ グループまたは root-system ユーザ グループのメンバで見つからないユーザは、セキュア ドメイン ルータ ユーザとして認証されます。

認証フロー制御

AAA は、次のプロセスに従い認証を実行します。

  1. ユーザが、ユーザ名およびパスワード(またはシークレット)を提供して認証を要求します。
  2. AAA が、ユーザのパスワードを検証して、パスワードがデータベースのものと一致しない場合ユーザを拒否します。
  3. AAA が、ユーザのロールを決定します(ルート システム ユーザ、ルート SDR ユーザまたは SDR ユーザ)。
  • ユーザが root-system ユーザ グループのメンバとして設定されている場合、AAA は、そのユーザを root-system ユーザとして認証します。
  • ユーザが所有者のセキュア ドメイン ルータ ユーザ グループのメンバとして設定されている場合、AAA は、そのユーザを所有者のセキュア ドメイン ルータ ユーザとして認証します。
  • ユーザが root-system ユーザ グループまたは所有者のセキュア ドメイン ルータ ユーザ グループのメンバとして設定されていない場合、AAA は、そのユーザをセキュア ドメイン ルータ ユーザとして認証します。

クライアントは、ユーザの許可されているタスク ID を認証中に取得できます。 この情報は、ユーザが属するユーザ グループで指定されているすべてのタスク グループ定義の集合を形成することで取得されます。 このような情報を使用するクライアントは、通常、タスク ID セットが静的であるユーザのセッション(API セッションなど)を作成します。 EXEC および外部 API クライアントは、両方ともこの機能を使用して、操作を最適化できます。 EXEC は、該当しないコマンドを非表示にでき、EMS アプリケーションは、たとえば、該当しないグラフィカル ユーザ インターフェイス(GUI)メニューをディセーブルにできます。

ユーザ グループ メンバーシップなどのユーザの属性やタスク権限が変更されると、これらの変更された属性は、ユーザの現在アクティブなセッションでは反映されません。これらは、ユーザの次のセッションで有効になります。

Korn シェル認証

Korn シェル(ksh)は、ルート プロセッサ(RP)、スタンバイ RP、分散 RP カードの補助ポート、さらにラインカード(LC)とサービス プロセッサ(SP)のコンソールおよび補助ポートのプライマリ シェルです。 次に、ksh 認証の特徴をいくつか示します。

  • セキュリティのため、ksh 認証では、シークレットを設定できるのは root-system ユーザだけです。 標準パスワードの root-system ユーザは認証されません。これは、標準パスワードは、二方向暗号化で、パスワード情報が簡単に復号化できるフラッシュ ディスクに保存され、セキュリティ リスクが発生するためです。
  • シークレットを使用する root-system ユーザが標準 AAA CLI を使用して設定されるたびに、そのユーザは、有効な ksh ユーザになります。個別の設定は必要ありません。
  • Ksh は、root-system ユーザであっても、TACACS+ または RADIUS ユーザを認証しません。
  • Ksh 認証は、シングル ユーザ パスワード データベースを使用します。つまり、dSC の root-system ユーザが、標準 AAA CLI を使用して設定されると、そのユーザは、任意のカードのユーザ名パスワードを使用してログインできます。 これには、RP、スタンバイ RP、LC および SP が含まれます。
  • Ksh 認証は、カードのブート後に無効またはバイパスすることはできません。 認証をバイパスするには、ユーザは、カードをリロードする必要があります (詳細については、「ksh 認証のバイパス」の項を参照してください)。
  • ksh は、認証されないコンソールから実行します(run コマンドを使用します)。これは、run コマンドは、root-system タスク ID を必要とするためです。 ユーザはすでに root-system であるため、再び認証されません。
ksh 認証のバイパス

ksh 認証は処理が軽量で、プロセスも多くありませんが、次の場合などは、ksh 認証をバイパスする必要があります。

  • dSC(ACTIVE RP)disk0 の破損
  • Qnet 接続の切断
  • dSC(ACTIVE RP)のノード ID を決定できない

ksh 認証をバイパスするには、ユーザは、ROMMON 変数 AUX_AUTHEN_LEVEL を 0 に設定し、イメージをリロードする必要があります。 リブートは、認証のバイパスが必要なカードだけで必要です。

ROMMON 変数 AUX_AUTHEN_LEVEL には、次のいずれかの値を指定できます。

  • 0:認証がカードでバイパスされます。
  • 1:認証が失われます。 認証は、ベストエフォートの原則で実行されます。認証により、ユーザは、システムが認証情報に正常にアクセスできない場合に ksh にアクセスできます。
  • 2:厳密な認証です。 これは、デフォルトの状態です。 認証はバイパスされません。 認証インフラストラクチャがダウンしていても、システムはアクセスを拒否するだけです。

たとえば、カードの認証をバイパスするには、次のように入力します。

rommon1> AUX_AUTHEN_LEVEL=0
rommon2> sync
rommon2> boot tftp:/ ... 

パスワード タイプ

ユーザおよびそのユーザのグループ メンバーシップを設定する場合、暗号化またはクリア テキストの 2 つのパスワードを指定できます。

ルータは、二方向および一方向(シークレット)の両方の暗号化ユーザ パスワードをサポートします。 オリジナルの暗号化されていないパスワード文字列が暗号化シークレットからは推測できないため、シークレット パスワードはユーザ ログイン アカウントに適しています。 アプリケーションによっては(PPP など)、パケットでのパスワードの送信など、独自の機能のための保存パスワードを復号化する必要があるので、二方向のみのパスワードが必要です。 ログイン ユーザでは、両方のタイプのパスワードを設定できますが、一方のパスワードがすでに設定されている状態でもう一方のパスワードを設定すると、警告メッセージが表示されます。

シークレットとパスワードの両方をユーザに設定すると、ログインなど、復号化できるパスワードを必要としないすべての操作で、シークレットが優先されます。 PPP などのアプリケーションでは、シークレットが存在する場合でも、二方向の暗号化パスワードが使用されます。

タスクベースの認可

AAA は、CLI または API を介した操作の任意の制御、設定またはモニタに「タスク許可」を使用します。 Cisco IOS ソフトウェアの特権レベルの概念は、Cisco IOS XR ソフトウェアでは、タスクベースの認可システムに置き換わりました。

タスク ID

ユーザによるCisco IOS XR ソフトウェアの制御、設定およびモニタを可能にする操作タスクは、タスク ID 別に表されます。 タスク ID は、コマンドで操作をする許可を定義します。 ユーザには、ルータに許可されているアクセスの範囲を定義するタスク ID のセットが関連付けられます。

タスク ID は、次のようにユーザに割り当てられます。 各ユーザは、1 つの以上のユーザ グループに関連付けられます。 すべてのユーザ グループは、1 つ以上のタスク グループに関連付けられ、すべてのタスク グループは、タスク ID のセットで定義されます。 つまり、ユーザと特定のユーザ グループを関連付けることで、そのユーザとタスク ID の特定のセットが関連付けられます。 タスク ID が関連付けられたユーザは、そのタスク ID に関連付けられている任意の操作を実行できます。

タスク ID に関する一般的な使用上のガイドライン

ほとんどのルータ制御、設定またはモニタリング操作(CLI または XML API)は、タスク ID の特定のセットが関連付けられます。 通常、特定の CLI コマンドまたは API イノベーションは、1 つ以上のタスク ID が関連付けられます。 config および commit コマンドでは、特定のタスク ID 許可は必要ありません。 設定およびコミット操作では、特定のタスク ID 許可は必要ありません(エイリアスでもタスク ID 許可は必要ありません)。 root-lr 許可が割り当てられるまで、config replace を実行できません。 コンフィギュレーション モードを開始しない場合、TACACS+ コマンド認可を使用して、config コマンドを拒否できます。 これらの関連付けは、ルータ内でハードコード化されていて、変更できません。 タスク ID は、特定のタスクを実行する許可を付与します。タスク ID では、タスクを実行する許可は拒否されません。 タスク ID 操作は、次の表にリストされているクラスの 1 つ、すべて、または任意の組み合わせにすることができます。

表 1 タスク ID クラス

操作

説明

Read

読み取り専用操作を許可します。

Write

変更操作を許可、および読み取り操作を暗黙的に許可します。

Execute

ping や Telnet など、アクセス操作を許可します。

Debug

デバッグ操作を許可します。

システムは、各 CLI コマンドおよび API イノベーションがユーザのタスク ID 許可リストと一致しているか検証します。 CLI コマンドの使用時に問題が発生した場合、システム管理者に連絡してください。

スラッシュで区切られた複数のタスク ID 操作(read/write など)は、両方の操作が指定のタスク ID に適用されることを示します。

カンマで区切られた複数のタスク ID 操作(read, read/write など)は、両方の操作が個々のタスク ID に適用されることを示します。 たとえば、copy ipv4 access-list コマンドは、読み取りおよび書き込み操作を acl タスク ID に適用し、実行操作を filesystem タスク ID に適用できます。

タスク ID および操作の列が指定されていない場合、コマンドは、タスク ID および操作とユーザとの関連付けなしで使用されます。 また、ROM モニタ コマンドを使用するために、ユーザにタスク ID を関連付ける必要はありません。

コマンドが特定のコンフィギュレーション サブモードで使用される場合、そのコマンドを使用するための追加タスク ID をユーザに関連付ける必要があります。 たとえば、show redundancy コマンドを実行するには、ユーザに、system(read)タスク ID および操作を関連付ける必要があります(次の例を参照)。

RP/0/RSP0/CPU0:router# show redundancy

また、管理 EXEC モードでは、ユーザに、admin および system(read)タスク ID および操作を関連付ける必要があります(次の例を参照)。

RP/0/RSP0/CPU0:router# admin
RP/0/RSP0/CPU0:router(admin)# show redundancy

TACACS+ および RADIUS 認証ユーザのタスク ID

Cisco IOS XR ソフトウェア AAA では、TACACS+ および RADIUS 方式で認証されるユーザに次の方法でタスク許可を割り当てることができます。

  • タスク マップのテキスト バージョンを、外部 TACACS+ および RADIUS サーバのコンフィギュレーション ファイルに直接指定します。 詳細については、タスク マップを参照してください。
  • 外部 TACACS+ および RADIUS サーバのコンフィギュレーション ファイルで特権レベルを指定します。 詳細については、特権レベル マッピングを参照してください。
  • TACACS+ および RADIUS 方式で認証するユーザと同じユーザ名でローカル ユーザを作成します。
  • 許可が TACACS+ および RADIUS 方式で認証する任意のユーザに適用されるデフォルト タスク グループを設定別に指定します。

タスク マップ

外部 TACACS+ サーバおよび RADIUS サーバを使用して認証されるユーザに対して、Cisco IOS XR ソフトウェア AAA は、タスク ID をリモートで定義する方式をサポートします。

タスク ストリングの形式

TACACS+ サーバのコンフィギュレーション ファイルのタスク文字列は、カンマ(,)で区切られたトークンで構成されます。 各トークンは、タスク ID 名およびその許可、またはこの特定のユーザを含むユーザ グループのいずれかで構成されます(次の例を参照)。

task = “ permissions : taskid name , # usergroup name , ...”


(注)  


Cisco IOS XR ソフトウェアでは、タスク ID を外部 RADIUS または TACACS+ サーバの属性として指定できます。 サーバが非 Cisco IOS XR ソフトウェア システムと共有される場合、これらの属性には、サーバ マニュアルで示されているように、オプション マークが付けられます。 たとえば、CiscoSecure ACS および Cisco のフリーウェア TACACS+ サーバでは、オプション属性の属性値の前に等号記号(=)ではなく、アスタリスク(*)が必要です。 属性をオプションとして設定する場合、TACACS+ サーバのマニュアルを参照してください。


たとえば、user1 BGP という名前のユーザに、read、write および execute 許可を付与し、user1 を operator という名前のユーザ グループに含める場合、外部サーバの TACACS+ コンフィギュレーション ファイルのユーザ名エントリは次のようになります。

user = user1{
member = some-tac-server-group
opap = cleartext "lab"
service = exec {
task = "rwx:bgp,#operator"
}
}

r、w、x、d はそれぞれ read、write、execute、debug に対応します。ポンド記号(#)はユーザ グループが続くことを示します。


(注)  


Cisco IOS ソフトウェアに基づいたシステムとの相互運用性をイネーブルにするには、「task」の前にオプション キーワードを追加する必要があります。


CiscoSecure ACS が使用される場合、次の手順を実行して、タスク ID とユーザ グループを指定します。

手順の概要

    1.    ユーザ名とパスワードを入力します。

    2.    [Group Setup] ボタンをクリックして、[Group Setup] ウィンドウを表示します。

    3.    [Group] ドロップダウン リストから、更新するグループを選択します。

    4.    [Edit Settings] ボタンをクリックします。

    5.    スクロール矢印を使用して、[Shell (exec)] チェックボックスを探します。

    6.    [Shell (exec)] チェックボックスを選択して、カスタム属性設定をイネーブルにします。

    7.    [Custom attributes] チェックボックスを選択します。

    8.    フィールドに空白や引用符を含めずに次のタスク文字列を入力します。

    9.    [Submit + Restart] ボタンをクリックしてサーバを再起動します。


手順の詳細
    ステップ 1   ユーザ名とパスワードを入力します。
    ステップ 2   [Group Setup] ボタンをクリックして、[Group Setup] ウィンドウを表示します。
    ステップ 3   [Group] ドロップダウン リストから、更新するグループを選択します。
    ステップ 4   [Edit Settings] ボタンをクリックします。
    ステップ 5   スクロール矢印を使用して、[Shell (exec)] チェックボックスを探します。
    ステップ 6   [Shell (exec)] チェックボックスを選択して、カスタム属性設定をイネーブルにします。
    ステップ 7   [Custom attributes] チェックボックスを選択します。
    ステップ 8   フィールドに空白や引用符を含めずに次のタスク文字列を入力します。

    例:
    task=rwx:bgp,#netadmin
    
    ステップ 9   [Submit + Restart] ボタンをクリックしてサーバを再起動します。

    次の RADIUS ベンダー固有属性(VSA)の例では、ユーザは、sysadmin 事前定義タスク グループに含まれ、BGP を設定でき、OSPF の設定を表示できます。



    例:
    user Auth-Type := Local, User-Password == lab
            Service-Type = NAS-Prompt-User,
            Reply-Message = "Hello, %u",
            Login-Service = Telnet,
            Cisco-AVPair = "shell:tasks=#sysadmin,rwx:bgp,r:ospf"
    

    user1 が、ユーザ名 user1 および適切なパスワードを使用して、正常に外部 TACACS+ サーバに接続およびログインすると、show user tasks コマンドを EXEC モードで使用して、user1 が実行できるすべてのタスクを表示できます。 次に例を示します。



    例:
    Username:user1
    Password:
    RP/0/RSP0/CPU0:router# show user tasks
    
    Task:      basic-services  :READ    WRITE    EXECUTEDEBUG
    Task:                 bgp  :READ    WRITE    EXECUTE
    Task:                 cdp  :READ
    Task:                diag  :READ
    Task:          ext-access  :READ             EXECUTE
    Task:             logging  :READ
    

    タスク文字列が指定されていない user2 という名前のユーザが外部サーバにログインすると、次の情報が表示されます。



    例:
    Username:user2
    Password:
    RP/0/RSP0/CPU0:router# show user tasks
    No task ids available
    

    特権レベル マッピング

    タスク ID の概念をサポートしない TACACS+ デーモンとの互換性のために、AAA は、外部 TACACS+ サーバ コンフィギュレーション ファイルのユーザの特権レベルとローカル ユーザ グループのマッピングをサポートします。 TACACS+ 認証に従い、外部 TACACS+ サーバから返される特権レベルからマッピングされるユーザ グループのタスク マップがユーザに割り当てられます。 たとえば、特権レベル 5 が外部 TACACS サーバから返された場合、AAA は、ローカル ユーザ グループ priv5 のタスク マップを取得しようとします。 このマッピング プロセスは、1 ~ 13 までの他の特権レベルでも同様です。 特権レベル 15 の場合、root-system ユーザ グループが使用されます。特権レベル 14 は、ユーザ グループ owner-sdr にマッピングされます。

    たとえば、シスコ フリーウェア tac plus サーバでは、コンフィギュレーション ファイルは、そのコンフィギュレーション ファイルで priv_lv を指定する必要があります(次の例を参照)。

    user = sampleuser1{
        member = bar
        service = exec-ext {
            priv_lvl = 5
        }
    }
    

    この例の 5 という数値は、ユーザ sampleuser に割り当てる必要がある任意の特権レベルに置き換えることができます。

    RADIUS サーバでは、タスク ID は、Cisco-AVPair を使用して定義されます(次の例を参照)。

    user = sampleuser2{
        member = bar
        Cisco-AVPair = "shell:tasks=#root-system,#cisco-support"{
            Cisco-AVPair = "shell:priv-lvl=10"
        }
    }
    

    AAA サービスの XML スキーマ

    Extensible Markup Language(XML)インターフェイスは、XML ドキュメント形式で要求と応答を使用して、AAA を設定およびモニタします。 AAA コンポーネントは、設定およびモニタリングに使用されるデータの内容と構造に対応する XML スキーマを発行します。 XML ツールおよびアプリケーションは、このスキーマを使用して、XML エージェントと通信して設定を実行します。

    次のスキーマが、AAA により発行されます。

    • 認証、許可、アカウンティングの設定
    • ユーザ、ユーザ グループおよびタスク グループ設定
    • TACACS+ サーバおよびサーバ グループ設定
    • RADIUS サーバおよびサーバ グループ設定

    RADIUS について

    RADIUS は、不正なアクセスからネットワークのセキュリティを保護する分散クライアント/サーバ システムです。 シスコの実装では、RADIUS クライアントは Cisco ルータ上で稼働します。認証要求とアカウンティング要求は、すべてのユーザ認証情報とネットワーク サービス アクセス情報が格納されている中央の RADIUS サーバに送信されます。

    RADIUS は完全にオープンなプロトコルであり、ソース コード形式で配布されているため、現在使用できる任意のセキュリティ システムと連携するように変更できます。

    シスコは、AAA セキュリティ パラダイムの下で RADIUS をサポートしています。 RADIUS は、TACACS+、Kerberos、ローカル ユーザ名の検索など、他の AAA セキュリティ プロトコルと併用できます。


    (注)  


    RADIUS はすべての Cisco プラットフォームでサポートされますが、RADIUS でサポートされる一部の機能は、指定されたプラットフォームだけで実行されます。


    RADIUS は、リモート ユーザのネットワーク アクセスを維持すると同時に高度なレベルのセキュリティを必要とするさまざまなネットワーク環境に実装されています。

    RADIUS は、アクセスのセキュリティが必要な次のネットワーク環境で使用できます。

    • それぞれが RADIUS をサポートする、マルチベンダー アクセス サーバによるネットワーク。 たとえば、複数のベンダーのアクセス サーバが、1 つの RADIUS サーバベース セキュリティ データベースを使用します。 複数ベンダーのアクセス サーバからなる IP ベースのネットワークでは、ダイヤルイン ユーザは RADIUS サーバを通じて認証されます。RADIUS サーバは、Kerberos セキュリティ システムで動作するようにカスタマイズされています。
    • アプリケーションが RADIUS プロトコルをサポートするターンキー ネットワーク セキュリティ環境。たとえば、「スマート カード」アクセス コントロール システムを使用するアクセス環境。 ある事例では、RADIUS と Enigma のセキュリティ カードを併用してユーザを検証し、ネットワーク リソースに対するアクセス権を付与しています。
    • すでに RADIUS を使用中のネットワーク。 RADIUS 機能を持つ Cisco ルータをネットワークに追加できます。 Terminal Access Controller Access Control System Plus(TACACS+)サーバに移行する場合、これが最初の手順となります。
    • ユーザが単一のサービスにだけアクセスする必要があるネットワーク。 RADIUS を使用すると、単一ホスト、単一ユーティリティ(Telnet など)、または単一プロトコル(ポイントツーポイント プロトコル(PPP))に対するユーザ アクセスを制御できます。 たとえば、ユーザがログインすると、RADIUS は、IP アドレス 10.2.3.4 を使用してそのユーザが PPP を実行する権限を持っていることを識別し、定義済みのアクセス リストが開始されます。
    • リソース アカウンティングが必要なネットワーク。 RADIUS アカウンティングは、RADIUS 認証または RADIUS 認可とは個別に使用できます。 RADIUS アカウンティング機能を使用すると、サービスの開始および終了時に、セッション中に使用したリソース(時間、パケット、バイトなど)の量を示すデータを送信できます。 インターネット サービス プロバイダー(ISP)は、RADIUS アクセス コントロールおよびアカウンティング ソフトウェアのフリーウェア バージョンを使用して、セキュリティおよび課金の独自ニーズを満たすこともできます。
    • 事前認証のサポートを希望するネットワーク。 ネットワークに RADIUS サーバを導入すると、AAA 事前認証を設定し、事前認証のプロファイルを設定できます。 サービス プロバイダーが事前認証を使用すると、既存の RADIUS ソリューションを使用するポートの管理性が向上し、共有リソースを効率的に管理して、各種のサービスレベル契約を提供できるようになります。

    RADIUS が適さないネットワーク セキュリティ状況

    RADIUS は次のネットワーク セキュリティ状況には適していません。

    • マルチプロトコル アクセス環境。 RADIUS は次のプロトコルをサポートしていません。
      • AppleTalk Remote Access(ARA)
      • NetBIOS Frame Control Protocol(NBFCP)
      • NetWare Asynchronous Services Interface(NASI)
      • X.25 PAD 接続
    • ルータ間で接続している環境。 RADIUS は、双方向認証を行いません。 RADIUS は、ルータと RADIUS 認証を必要とするシスコ製以外のルータとの認証に使用できます。
    • 各種のサービスを使用するネットワーク。 RADIUS は、一般に 1 人のユーザを 1 つのサービス モデルにバインドします。

    RADIUS の動作

    ユーザがログインを試行し、RADIUS を使用してアクセス サーバから認証を受ける場合、次の手順が発生します。

    1. ユーザが、ユーザ名とパスワードの入力を求められ、入力します。
    2. ユーザ名および暗号化されたパスワードが、ネットワーク経由で RADIUS サーバに送信されます。
    3. ユーザは、RADIUS サーバから次のいずれかの応答を受信します。
      1. ACCEPT:ユーザが認証されたことを表します。
      1. REJECT:ユーザは認証されず、ユーザ名とパスワードの再入力を求められるか、アクセスを拒否されます。
      1. CHALLENGE:RADIUS サーバによってチャレンジが発行されます。 チャレンジは、ユーザから追加データを収集します。
      1. CHANGE PASSWORD:RADIUS サーバからユーザに対して新しいパスワードの選択を求める要求が発行されます。
      ACCEPT または REJECT 応答には、EXEC またはネットワーク認可に使用される追加データが含まれています。 RADIUS 認可を使用するには、まず RADIUS 認証を完了する必要があります。 ACCEPT または REJECT パケットに含まれる追加データの内容は次のとおりです。
    • Telnet、rlogin、またはローカルエリア トランスポート(LAT)、および PPP、Serial Line Internet Protocol(SLIP)、または EXEC サービスなどといった、ユーザがアクセスできるサービス。
    • ホストまたはクライアントの IP アドレス、アクセス リスト、ユーザ タイムアウトなどの接続パラメータ。

    AAA サービスの設定方法

    AAA サービスを設定するには、以下の項で説明する作業を実行します。

    タスク グループの設定

    タスクベースの認可では、その基本要素としてタスク ID の概念が使用されます。 タスク ID は、ユーザの操作実行許可を定義します。 各ユーザは、タスク ID で識別される許可されたルータ操作タスクのセットが関連付けられます。 ユーザは、ユーザ グループに関連付けられることで許可が付与されます。ユーザ グループには、タスク グループが関連付けられます。 各タスクグループには、使用できるタスク ID の Cisco CRS-1 セットから選択された 1 つ以上のタスク ID が関連付けられます。 認可スキームを設定する場合、最初にタスク グループを設定します。次に、タスク グループ、個々のユーザの順に設定します。

    タスク グループの設定

    タスク グループには、アクション タイプごとに一連のタスク ID が設定されます。

    no プレフィックスを使用した task コマンドを指定して、特定のタスク ID をタスク グループから削除できます。

    タスク グループ自体は削除できます。 ドキュメント名のあるタスク グループを削除すると、エラーが発生します。

    はじめる前に

    タスク グループを作成して、タスク ID を関連付ける前に、タスク ID のルータ リストおよび各タスク ID の目的について理解しておく必要があります。 show aaa task supported コマンドを使用して、タスク ID の完全なリストを表示します。


    (注)  


    AAA タスク ID の write 許可を持っているユーザだけタスク グループを設定できます。


    手順の概要

      1.    configure

      2.    taskgroup taskgroup-name

      3.    description string

      4.    task {read | write | execute | debug} taskid-name

      5.    ステップ 2 で指定したタスク グループに関連付ける各タスク ID で、ステップ 4 を繰り返します。

      6.    次のいずれかのコマンドを使用します。

      • end
      • commit


    手順の詳細
       コマンドまたはアクション目的
      ステップ 1 configure


      例:
      RP/0/RSP0/CPU0:router# configure
       

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 2taskgroup taskgroup-name


      例:
      RP/0/RSP0/CPU0:router(config)# taskgroup beta
      
       

      特定のタスク グループの名前を作成し、タスク グループ コンフィギュレーション サブモードを開始します。

      • no 形式の taskgroup コマンドを指定すると、特定のタスク グループをシステムから削除できます。
       
      ステップ 3description string


      例:
      RP/0/RSP0/CPU0:router(config-tg)# description this is a sample task group description
      
       

      (任意)ステップ 2 で指定したタスク グループの説明を作成します。

       
      ステップ 4task {read | write | execute | debug} taskid-name


      例:
      RP/0/RSP0/CPU0:router(config-tg)# task read bgp
      
       

      ステップ 2 で指定したタスク グループに関連付けるタスク ID を指定します。

      • そのタスク ID が関連付けられ、タスク グループのメンバにより実行される任意の CLI または API 呼び出しに read 許可を割り当てます。
      • no プレフィックスを使用した task コマンドを指定して、特定のタスク ID をタスク グループから削除できます。
       
      ステップ 5ステップ 2 で指定したタスク グループに関連付ける各タスク ID で、ステップ 4 を繰り返します。  — 
      ステップ 6次のいずれかのコマンドを使用します。
      • end
      • commit


      例:
      RP/0/RSP0/CPU0:router(config)# end

      または

      RP/0/RSP0/CPU0:router(config)# commit
       

      設定変更を保存します。

      • end コマンドを実行すると、変更をコミットするように要求されます。
        Uncommitted changes found, commit them
        before exiting(yes/no/cancel)? [cancel]:
        
        • yes と入力すると、実行コンフィギュレーション ファイルに変更が保存され、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。
        • no と入力すると、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。変更はコミットされません。
        • cancel と入力すると、現在のコンフィギュレーション セッションが継続します。コンフィギュレーション セッションは終了せず、設定変更もコミットされません。
      • 実行コンフィギュレーション ファイルに設定変更を保存し、コンフィギュレーション セッションを継続するには、commit コマンドを使用します。
       
      次の作業

      タスク グループのすべてのセットの設定が完了したら、ユーザ グループのフル セットを設定します(「ユーザ グループの設定」の項を参照)。

      ユーザ グループの設定

      ユーザ グループは、タスク グループなど一連のユーザに対するコマンド パラメータによって設定されます。 usergroup コマンドを入力すると、ユーザ グループ コンフィギュレーション サブモードにアクセスします。 usergroup コマンドの no 形式を使用すると、特定のユーザ グループを削除できます。 システムで参照されているユーザ グループを削除すると、警告が表示されます。

      はじめる前に

      (注)  


      WRITE:AAA タスク ID が関連付けられているユーザだけ、ユーザ グループを設定できます。 ユーザ グループは、root-system や owner-sdr などの事前定義されたグループのプロパティを継承できません。


      手順の概要

        1.    configure

        2.    usergroup usergroup-name

        3.    description string

        4.    taskgroup taskgroup-name

        5.    ステップ 2 で指定したユーザ グループを関連付ける各タスク グループで、ステップ 4 を繰り返します。

        6.    次のいずれかのコマンドを使用します。

        • end
        • commit


      手順の詳細
         コマンドまたはアクション目的
        ステップ 1 configure


        例:
        RP/0/RSP0/CPU0:router# configure
         

        グローバル コンフィギュレーション モードを開始します。

         
        ステップ 2 usergroup usergroup-name


        例:
         RP/0/RSP0/CPU0:router(config)# usergroup beta 
         

        特定のユーザ グループの名前を作成し、ユーザ グループ コンフィギュレーション サブモードを開始します。

        • no 形式の usergroup コマンドを指定すると、特定のユーザ グループをシステムから削除できます。
         
        ステップ 3 description string


        例:
         RP/0/RSP0/CPU0:router(config-ug)# description this is a sample user group
                          description 
         

        (任意)ステップ 2 で指定したユーザ グループの説明を作成します。

         
        ステップ 4 taskgroup taskgroup-name


        例:
         RP/0/RSP0/CPU0:router(config-ug)# taskgroup beta 
         

        ステップ 2 で指定したユーザ グループを、この手順で指定したタスク グループに関連付けます。

        • ユーザ グループは、入力したタスク グループに対してすでに定義されている設定属性(タスク ID リストと権限)を取ります。
         
        ステップ 5ステップ 2 で指定したユーザ グループを関連付ける各タスク グループで、ステップ 4 を繰り返します。  — 
        ステップ 6次のいずれかのコマンドを使用します。
        • end
        • commit


        例:
        RP/0/RSP0/CPU0:router(config)# end

        または

        RP/0/RSP0/CPU0:router(config)# commit
         

        設定変更を保存します。

        • end コマンドを実行すると、変更をコミットするように要求されます。
          Uncommitted changes found, commit them
          before exiting(yes/no/cancel)? [cancel]:
          
          • yes と入力すると、実行コンフィギュレーション ファイルに変更が保存され、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。
          • no と入力すると、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。変更はコミットされません。
          • cancel と入力すると、現在のコンフィギュレーション セッションが継続します。コンフィギュレーション セッションは終了せず、設定変更もコミットされません。
        • 実行コンフィギュレーション ファイルに設定変更を保存し、コンフィギュレーション セッションを継続するには、commit コマンドを使用します。
         
        次の作業

        ユーザ グループのフル セットの設定が完了したら、個々のユーザを設定します(ユーザの設定の項を参照)。

        ユーザの設定

        このタスクを実行して、ユーザを設定します。

        各ユーザは、管理ドメイン内で一意のユーザ名によって識別されます。 各ユーザは、少なくとも 1 つのユーザ グループのメンバーであることが必要です。 ユーザ グループを削除すると、そのグループに関連付けられたユーザが孤立する場合があります。 AAA サーバでは孤立したユーザも認証されますが、ほとんどのコマンドは許可されません。

        手順の概要

          1.    configure

          2.    username user-name

          3.    次のいずれかを実行します。

          • password {0 | 7} password
          • secret {0 | 5} secret

          4.    group group-name

          5.    ステップ 2 で指定したユーザに関連付けられた各ユーザ グループで、ステップ 4 を繰り返します。

          6.    次のいずれかのコマンドを使用します。

          • end
          • commit


        手順の詳細
           コマンドまたはアクション目的
          ステップ 1 configure


          例:
          RP/0/RSP0/CPU0:router# configure
           

          グローバル コンフィギュレーション モードを開始します。

           
          ステップ 2 username user-name


          例:
           RP/0//CPU0:router(config)# username user1 
           
          RSP0

          新しいユーザの名前を作成(または現在のユーザを識別)して、ユーザ名コンフィギュレーション サブモードを開始します。

          • user-name 引数には 1 つの単語だけ使用できます。 スペースや引用符は使用できません。
           
          ステップ 3次のいずれかを実行します。
          • password {0 | 7} password
          • secret {0 | 5} secret


          例:
           RP/0/RSP0/CPU0:router(config-un)# password 0 pwd1 

          または

           RP/0/RSP0/CPU0:router(config-un)# secret 0 sec1 
           

          ステップ 2 で指定したユーザのパスワードを指定します。

          • secret コマンドを使用して、ステップ 2 で指定したユーザ名の安全なログイン パスワードを作成します。
          • password コマンドに続けて 0 を入力した場合は、暗号化されていない(クリアテキストの)パスワードを続けます。 password コマンドに続けて 7 を入力した場合は、暗号化されたパスワードを続けます。
          • secret コマンドに続けて 0 を入力した場合は、暗号化されていない(クリアテキストの)安全なパスワードを続けます。 secret コマンドに続けて 5 を入力した場合は、暗号化された安全なパスワードを続けます。
          • タイプ 0 が、password コマンドおよび secret コマンドのデフォルトです。
           
          ステップ 4 group group-name


          例:
           RP/0/RSP0/CPU0:router(config-un)# group sysadmin 
           

          ステップ 2 で指定したユーザ名を、usergroup コマンドを介して定義したユーザ グループに割り当てます。

          • ユーザは、ユーザ グループのさまざまなタスク グループへの割り当てによって定義された内容に従って、ユーザ グループのすべての属性を受け取ります。
          • 各ユーザは、少なくとも 1 つのユーザ グループに割り当てる必要があります。 ユーザは複数のユーザ グループに属することがあります。
           
          ステップ 5ステップ 2 で指定したユーザに関連付けられた各ユーザ グループで、ステップ 4 を繰り返します。  — 
          ステップ 6次のいずれかのコマンドを使用します。
          • end
          • commit


          例:
          RP/0/RSP0/CPU0:router(config)# end

          または

          RP/0/RSP0/CPU0:router(config)# commit
           

          設定変更を保存します。

          • end コマンドを実行すると、変更をコミットするように要求されます。
            Uncommitted changes found, commit them
            before exiting(yes/no/cancel)? [cancel]:
            
            • yes と入力すると、実行コンフィギュレーション ファイルに変更が保存され、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。
            • no と入力すると、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。変更はコミットされません。
            • cancel と入力すると、現在のコンフィギュレーション セッションが継続します。コンフィギュレーション セッションは終了せず、設定変更もコミットされません。
          • 実行コンフィギュレーション ファイルに設定変更を保存し、コンフィギュレーション セッションを継続するには、commit コマンドを使用します。
           
          次の作業

          ユーザのフル セットの設定が完了したら、RADIUS サーバ通信または TACACS+ サーバを使用するようにルータを設定します(RADIUS サーバ通信のルータの設定またはTACACS+ サーバの設定の項を参照)。

          RADIUS サーバ通信のルータの設定

          ルータと RADIUS サーバの通信を設定します。

          通常、RADIUS ホストは、シスコ(CiscoSecure ACS)、Livingston、Merit、Microsoft、または他のソフトウェア プロバイダーの RADIUS サーバ ソフトウェアを実行するマルチユーザ システムです。 RADIUS サーバとの通信のためにルータを設定するには、次のような要素があります。

          • ホスト名または IP アドレス
          • 認証の宛先ポート
          • アカウンティングの宛先ポート
          • 再送信回数
          • タイムアウト時間
          • キー文字列

          RADIUS セキュリティ サーバは、ホスト名または IP アドレス、ホスト名と特定のユーザ データグラム プロトコル(UDP)ポート番号、または IP アドレスおよび特定の UDP ポート番号により識別されます。 固有の識別情報は、IP アドレスと UDP ポート番号の組み合わせで構成されます。これにより、RADIUS ホストとして定義されているさまざまなポートが、固有の AAA サービスを提供できるようになります。 つまり、この固有識別情報を使用して、ある IP アドレスに位置する 1 台のサーバ上に複数の UDP ポートが存在する場合、それぞれの UDP ポートに対して RADIUS 要求を送信できます。 同じ RADIUS サーバ上の異なる 2 つのホスト エントリに同じサービス(たとえばアカウンティング)を設定した場合、2 番めに設定したホスト エントリは、最初に設定したホスト エントリのフェールオーバー バックアップとして動作します。 この場合、最初のホスト エントリがアカウンティング サービスを提供できなかった場合、ネットワーク アクセス サーバは同じ装置上でアカウンティング サービス用に設定されている 2 番めのホスト エントリを試行します (試行される RADIUS ホスト エントリの順番は、設定されている順序に従います)。

          RADIUS サーバと Cisco ルータは、共有秘密テキスト ストリングを使用してパスワードを暗号化し、応答を交換します。RADIUS を設定して AAA セキュリティ コマンドを使用するには、RADIUS サーバ デーモンを実行するホストと、ルータと共有する秘密テキスト(キー)ストリングを指定する必要があります。

          タイムアウト値、再送信値、および暗号キー値には、すべての RADIUS サーバを対象にしたグローバル設定、サーバ別設定、またはグローバル設定とサーバ別設定の組み合わせを使用できます。 すべての RADIUS サーバとルータとの通信にこのようなグローバル設定を適用するには、radius-server timeoutradius-server retransmit、および radius-server key という 3 つの固有なグローバル コンフィギュレーション コマンドを使用します。 特定の RADIUS サーバにこれらの値を適用するには、radius-server host コマンドをグローバル コンフィギュレーション モードで使用します。


          (注)  


          同じシスコ製ネットワーク アクセス サーバで、タイムアウト、再送信、およびキー値のコマンドを同時に設定(グローバル設定およびサーバ別設定)できます。 ルータにグローバル機能とサーバ別機能の両方を設定する場合、サーバ別のタイマー、再送信、およびキー値のコマンドの方が、グローバルのタイマー、再送信、およびキー値のコマンドよりも優先されます。


          手順の概要

            1.    configure

            2.    radius-server host {hostname | ip-address} [auth-port port-number] [acct-port port-number] [timeout seconds] [retransmit retries] [key string]

            3.    radius-server retransmit retries

            4.    radius-server timeout seconds

            5.    radius-server key {0 clear-text-key | 7 encrypted-key | clear-text-key}

            6.    radius source-interface type instance [vrf vrf-id]

            7.    設定する各外部サーバで、ステップ 2ステップ 6 を繰り返します。

            8.    次のいずれかのコマンドを使用します。

            • end
            • commit

            9.    show radius


          手順の詳細
             コマンドまたはアクション目的
            ステップ 1 configure


            例:
            RP/0/RSP0/CPU0:router# configure
             

            グローバル コンフィギュレーション モードを開始します。

             
            ステップ 2 radius-server host {hostname | ip-address} [auth-port port-number] [acct-port port-number] [timeout seconds] [retransmit retries] [key string]


            例:
             RP/0/RSP0/CPU0:router(config)# radius-server host host1 
             

            リモート RADIUS サーバのホスト名または IP アドレスを指定します。

            • auth-port port-number オプションを使用して、認証専用の RADIUS サーバに固有の UDP ポートを設定します。
            • acct-port port-number オプションを使用して、アカウンティング専用の RADIUS サーバに固有の UDP ポートを設定します。
            • ネットワーク アクセス サーバが単一の IP アドレスと関連付けられた複数のホスト エントリを認識するように設定するには、このコマンドを必要な回数だけ繰り返します。その際、各 UDP ポート番号が異なっていることを確認してください。 各 RADIUS ホストで使用するタイムアウト、再送信回数、および暗号キーの値をそれぞれ設定してください。
            • タイムアウトを設定しない場合、グローバル値が使用されます。設定する場合、値の範囲は 1 ~ 1000 です。 再送信値を設定しない場合、グローバル値が使用されます。設定する場合、値の範囲は 1 ~ 100 です。 キー文字列を指定しない場合、グローバル値が使用されます。
            (注)     

            キーは、RADIUS サーバで使用する暗号化キーに一致するテキスト ストリングでなければなりません。 キーの先頭にあるスペースは無視されますが、キー内のスペースとキー末尾のスペースは使用されるため、キーは常に radius-server host コマンド構文の最後のアイテムとして設定してください。 キーにスペースを使用する場合、引用符をキーに含める場合を除き、引用符でキーを囲まないでください。

             
            ステップ 3 radius-server retransmit retries


            例:
             RP/0/RSP0/CPU0:router(config)# radius-server retransmit 5 
             

            Cisco IOS XR ソフトウェアで RADIUS サーバ ホストのリストを検索する回数を指定します。

            • この例では、再転送の試行回数は 5 に設定されます。
             
            ステップ 4 radius-server timeout seconds


            例:
             RP/0/RSP0/CPU0:router(config)# radius-server timeout 10 
             

            タイムアウトになるまでルータがサーバ ホストの応答を待機する秒数を設定します。

            • この例では、間隔タイマーは 10 秒に設定されます。
             
            ステップ 5 radius-server key {0 clear-text-key | 7 encrypted-key | clear-text-key}


            例:
             RP/0/RSP0/CPU0:router(config)# radius-server key 0 samplekey 
             

            ルータおよび RADIUS デーモン間のすべての RADIUS コミュニケーションの認証キーおよび暗号キーを指定します。

             
            ステップ 6 radius source-interface type instance [vrf vrf-id]


            例:
             RP/0/RSP0/CPU0:router(config)# radius source-interface GigabitEthernet 0/3/0/1 
             

            (任意)RADIUS で、すべての発信 RADIUS パケットに指定のインターフェイスまたはサブインターフェイスの IP アドレスが使用されるようにします。

            • 指定されたインターフェイスまたはサブインターフェイスには、IP アドレスが関連付けられている必要があります。 指定のインターフェイスまたはサブインターフェイスに IP アドレスが設定されていないか、そのインターフェイスがダウン状態にある場合、RADIUS はデフォルトに戻ります。 これを回避するには、インターフェイスまたはサブインターフェイスに IP アドレスを追加するか、そのインターフェイスをアップ状態にします。

            vrf キーワードは、VRF ごとの指定をイネーブルにします。

             
            ステップ 7設定する各外部サーバで、ステップ 2ステップ 6 を繰り返します。  — 
            ステップ 8次のいずれかのコマンドを使用します。
            • end
            • commit


            例:
            RP/0/RSP0/CPU0:router(config)# end

            または

            RP/0/RSP0/CPU0:router(config)# commit
             

            設定変更を保存します。

            • end コマンドを実行すると、変更をコミットするように要求されます。
              Uncommitted changes found, commit them
              before exiting(yes/no/cancel)? [cancel]:
              
              • yes と入力すると、実行コンフィギュレーション ファイルに変更が保存され、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。
              • no と入力すると、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。変更はコミットされません。
              • cancel と入力すると、現在のコンフィギュレーション セッションが継続します。コンフィギュレーション セッションは終了せず、設定変更もコミットされません。
            • 実行コンフィギュレーション ファイルに設定変更を保存し、コンフィギュレーション セッションを継続するには、commit コマンドを使用します。
             
            ステップ 9 show radius


            例:
             RP/0/RSP0/CPU0:router# show radius 
             

            (任意)システムに設定されている RADIUS サーバの情報を表示します。

             
            次の作業

            ルータと RADIUS サーバとの通信を設定したら、RADIUS サーバ グループを設定します (RADIUS サーバ グループの設定の項を参照)。

            RADIUS Dead サーバ検出の設定

            RADIUS Dead-Server Detection 機能を設定します。

            RADIUS Dead-Server Detection 機能を使用すると、RADIUS サーバをデッド状態と指定するための条件を決定できます。 条件が明示的に設定されていない場合は、条件は未処理のトランザクションの数に基づいて動的に計算されます。 RADIUS Dead-Server Detection を設定すると、応答を停止している RADIUS サーバが即時検出されます。 この未応答 RADIUS サーバの即時検出、動きが鈍いサーバの誤検出の回避、デッド状態とライブ状態を繰り返す現象の回避が有効になると、デッドタイムが短くなり、パケット処理が高速になります。

            つまり、ルータが RADIUS サーバから有効なパケットを最後に受け取ってから RADIUS サーバがデッド状態と指定されるまでに経過する必要がある最低時間を秒単位で設定することができます。 ルータが起動してからパケットの受信がなく、タイムアウトになると、時間基準は満たされたものとして処理されます。

            さらに、RADIUS サーバがデッド状態と指定されるまでにルータで発生する必要がある連続タイムアウト回数を設定することもできます。 サーバが認証とアカウンティングの両方を実行する場合、両方の種類のパケットがこの回数に含まれます。 正しく作成されていないパケットは、タイムアウトになっているものとしてカウントされます。 カウントされるのは再転送だけで、最初の転送はカウントされません。 たとえば、タイムアウトになるたびに再転送が 1 回行われることになります。


            (注)  


            時間の条件と試行回数の条件の両方を満たしていないと、サーバはデッド状態と指定されません。


            radius-server deadtime コマンドは、サーバがデッド状態と指定され、その状態を維持する時間を分数で指定します。この時間を過ぎると、サーバから応答がない場合でも、アライブ状態と指定されます。 デッド条件が設定されていても、radius-server deadtime コマンドが設定されない限り、サーバはモニタされません。

            手順の概要

              1.    configure

              2.    radius-server deadtime minutes

              3.    radius-server dead-criteria time seconds

              4.    radius-server dead-criteria tries tries

              5.    次のいずれかのコマンドを使用します。

              • end
              • commit

              6.    show radius dead-criteria host ip-addr [auth-port auth-port] [acct-port acct-port]


            手順の詳細
               コマンドまたはアクション目的
              ステップ 1 configure


              例:
              RP/0/RSP0/CPU0:router# configure
               

              グローバル コンフィギュレーション モードを開始します。

               
              ステップ 2radius-server deadtime minutes


              例:
              RP/0/RSP0/CPU0:router(config)# radius-server deadtime 5
              
               

              いくつかのサーバが使用不能になったときの RADIUS サーバの応答時間を短くし、使用不能になったサーバがすぐにスキップされるようにします。

               
              ステップ 3radius-server dead-criteria time seconds


              例:
              RP/0/RSP0/CPU0:router(config)# radius-server dead-criteria time 5
              
               

              デッド状態と指定される RADIUS サーバの dead-criteria 条件の時間を確立します。

               
              ステップ 4radius-server dead-criteria tries tries


              例:
              RP/0/RSP0/CPU0:router(config)# radius-server dead-criteria tries 4
              
               

              デッド状態と指定される RADIUS サーバの dead-criteria 条件の試行回数を確立します。

               
              ステップ 5次のいずれかのコマンドを使用します。
              • end
              • commit


              例:
              RP/0/RSP0/CPU0:router(config)# end

              または

              RP/0/RSP0/CPU0:router(config)# commit
               

              設定変更を保存します。

              • end コマンドを実行すると、変更をコミットするように要求されます。
                Uncommitted changes found, commit them
                before exiting(yes/no/cancel)? [cancel]:
                
                • yes と入力すると、実行コンフィギュレーション ファイルに変更が保存され、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。
                • no と入力すると、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。変更はコミットされません。
                • cancel と入力すると、現在のコンフィギュレーション セッションが継続します。コンフィギュレーション セッションは終了せず、設定変更もコミットされません。
              • 実行コンフィギュレーション ファイルに設定変更を保存し、コンフィギュレーション セッションを継続するには、commit コマンドを使用します。
               
              ステップ 6show radius dead-criteria host ip-addr [auth-port auth-port] [acct-port acct-port]


              例:
              RP/0/RSP0/CPU0:router# show radius dead-criteria host 172.19.192.80
              
               

              (任意)指定 IP アドレスで RADIUS サーバに要求された dead-server-detection 情報を表示します。

               

              Per VRF AAA の設定

              Per VRF AAA 機能を使用すると、AAA サービスを VPN VPN ルーティングおよび転送(VRF)インスタンスに基づかせることができます。 プロバイダー エッジ(PE)または仮想ホーム ゲートウェイ(VHG)は、カスタマーの RADIUS サーバと通信します。このサーバは、カスタマーの VPN と関連付けられているため、RADIUS プロキシを介する必要はありません。 RADIUS プロキシを使用する必要がないため、ISP は、VPN による提供サービスをより効率的に拡張でき、カスタマーにさらに柔軟性を提供できます。

              新しいベンダー固有の属性(VSA)

              インターネット技術特別調査委員会(IETF)ドラフト標準には、ネットワーク アクセス サーバと RADIUS サーバの間でベンダー固有の属性(属性 26)を使用してベンダー固有の情報を伝達する方法が規定されています。 属性 26 はベンダー固有属性をカプセル化します。このため、ベンダーは一般的な用途に適さない独自の拡張属性をサポートできます。

              Cisco IOS XR ソフトウェアの RADIUS 実装は、この仕様で推奨される形式を使用して、1 つのベンダー固有オプションをサポートしています。 シスコのベンダー ID は 9 で、サポートするオプションはベンダー タイプ 1、名前は「cisco-av-pair」です。値は次の形式のストリングです。

               protocol : attribute sep value * 

              「protocol」は、特定の認可タイプに使用するシスコのプロトコル属性の値です。 「attribute」および「value」は、シスコの RADIUS 仕様で定義されている適切な属性値(AV)ペアです。「sep」は、必須の属性の場合は「=」、任意指定の属性の場合は「*」です。

              次の表で、Per VRF AAA で現在サポートされている VSA について説明します。

              表 2 Per VRF AAA でサポートされている VSA

              VSA 名

              値の種類

              説明

              (注)     

              RADIUS VSA(rad-serv、rad-serv-source-if および rad-serv-vrf)は、VSA 名の前にプレフィックス「aaa:」が必要です。

              rad-serv

              string

              サーバおよびサーバのグループの IP アドレス、キー、タイムアウトおよび再転送回数を示します。

              次に、VSA 構文を示します。

               rad-serv=a.b.c.d [key SomeKey] [auth-port X] [acct-port Y]
                                         [retransmit V] [timeout W]. 

              IP アドレス以外、すべてのパラメータはオプションで、任意の順序で発行されます。 オプションのパラメータが指定されていない場合、デフォルト値が使用されます。

              キーには、スペースを含めることはできません。「retransmit V」の「V」は、1 ~ 100 の値で、「timeout W」の「W」は 1 ~ 1000 の値です。

              rad-serv-vrf

              string

              RADIUS パケットの転送に使用される VRF の名前を指定します。 VRF 名は、vrf コマンドを介して指定された名前と一致します。

              VRF ごとの RADIUS サーバ グループを設定します。 VRF ごとの TACACS+ サーバ グループの設定については、TACACS+ サーバ グループの設定を参照してください。

              手順の概要

                1.    configure

                2.    aaa group server radius group-name

                3.    server-private {hostname | ip-address} [auth-port port-number] [acct-port port-number] [timeout seconds] [retransmit retries] [key string]

                4.    vrf vrf-name

                5.    次のいずれかのコマンドを使用します。

                • end
                • commit


              手順の詳細
                 コマンドまたはアクション目的
                ステップ 1 configure


                例:
                RP/0/RSP0/CPU0:router# configure
                 

                グローバル コンフィギュレーション モードを開始します。

                 
                ステップ 2 aaa group server radius group-name


                例:
                 RP/0/RSP0/CPU0:router(config)# aaa group server radius radgroup1 
                RP/0/RSP0/CPU0:router(config-sg-radius)# 
                 

                各種サーバ ホストを別個のリストにグループ化し、サーバ グループ コンフィギュレーション モードを開始します。

                 
                ステップ 3 server-private {hostname | ip-address} [auth-port port-number] [acct-port port-number] [timeout seconds] [retransmit retries] [key string]


                例:
                 RP/0/RSP0/CPU0:router(config-sg-radius)# server-private 10.1.1.1 timeout 5 
                RP/0/RSP0/CPU0:router(config-sg-radius)# server-private 10.2.2.2 retransmit 3
                               
                 

                グループに対するプライベート RADIUS サーバの IP アドレスを設定します。

                プライベート サーバ パラメータが指定されていない場合、グローバル コンフィギュレーションが使用されます。 グローバル コンフィギュレーションが指定されていない場合、デフォルト値が使用されます。

                auth-port キーワードと acct-port キーワードのどちらを使用しても、RADIUS サーバグループ プライベート コンフィギュレーション モードが開始されます。

                 
                ステップ 4 vrf vrf-name


                例:
                 RP/0/RSP0/CPU0:router(config-sg-radius)# vrf v2.44.com 
                 

                AAA RADIUS サーバ グループの VRF 参照を設定します。

                (注)     

                プライベート サーバ IP アドレスは、グローバルで設定されているアドレスとオーバーラップすることがあります。VRF 定義は、このような場合に、アドレスを区別するときに役に立ちます。

                 
                ステップ 5次のいずれかのコマンドを使用します。
                • end
                • commit


                例:
                RP/0/RSP0/CPU0:router(config)# end

                または

                RP/0/RSP0/CPU0:router(config)# commit
                 

                設定変更を保存します。

                • end コマンドを実行すると、変更をコミットするように要求されます。
                  Uncommitted changes found, commit them
                  before exiting(yes/no/cancel)? [cancel]:
                  
                  • yes と入力すると、実行コンフィギュレーション ファイルに変更が保存され、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。
                  • no と入力すると、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。変更はコミットされません。
                  • cancel と入力すると、現在のコンフィギュレーション セッションが継続します。コンフィギュレーション セッションは終了せず、設定変更もコミットされません。
                • 実行コンフィギュレーション ファイルに設定変更を保存し、コンフィギュレーション セッションを継続するには、commit コマンドを使用します。
                 

                TACACS+ サーバの設定

                TACACS+ サーバを設定します。

                ポートが指定されていない場合、標準ポート番号 49 がデフォルトで使用されます。 timeout および key パラメータは、すべての TACACS+ サーバに対してグローバルで指定できます。 timeout パラメータは、AAA サーバが TACACS+ サーバから応答を受信するまでの時間を指定します。 key パラメータは、AAA サーバと TACACS+ サーバ間で共有される認証および暗号キーを指定します。

                手順の概要

                  1.    configure

                  2.    tacacs-server host host-name port port-number

                  3.    tacacs-server host host-name timeout seconds

                  4.    tacacs-server host host-name key [0 | 7] auth-key

                  5.    tacacs-server host host-name single-connection

                  6.    tacacs source-interface type instance vrf vrf-name

                  7.    設定する各外部サーバで、ステップ 2ステップ 5 を繰り返します。

                  8.    次のいずれかのコマンドを使用します。

                  • end
                  • commit

                  9.    show tacacs


                手順の詳細
                   コマンドまたはアクション目的
                  ステップ 1 configure


                  例:
                  RP/0/RSP0/CPU0:router# configure
                   

                  グローバル コンフィギュレーション モードを開始します。

                   
                  ステップ 2 tacacs-server host host-name port port-number


                  例:
                  RP/0/RSP0/CPU0:router(config)# tacacs-server host 209.165.200.226 port 51 
                  RP/0/RSP0/CPU0:router(config-tacacs-host)# 
                   

                  TACACS+ ホスト サーバを指定し、オプションでサーバ ポート番号を指定します。

                  • このオプションによって、デフォルトのポート 49 は上書きされます。 有効なポート番号の範囲は 1 ~ 65535 です。
                   
                  ステップ 3 tacacs-server host host-name timeout seconds


                  例:
                  RP/0/RSP0/CPU0:router(config-tacacs-host)# tacacs-server host 209.165.200.226 timeout 30 
                  RP/0/RSP0/CPU0:router(config)# 
                   

                  TACACS+ ホスト サーバを指定し、オプションで、AAA サーバが TACACS+ サーバからの応答を待機する時間の長さを設定するタイムアウト値を指定します。

                  • このオプションによって、tacacs-server timeout コマンドで設定したグローバル タイムアウト値がこのサーバに限り上書きされます。 タイムアウト値は、タイムアウト間隔を指定する整数として表されます。 範囲は 1 ~ 1000 です。
                   
                  ステップ 4 tacacs-server host host-name key [0 | 7] auth-key


                  例:
                  RP/0/RSP0/CPU0:router(config)# tacacs-server host 209.165.200.226 key 0 a_secret 
                   

                  TACACS+ ホスト サーバを指定し、オプションで、AAA サーバと TACACS+ サーバ間で共有される認証および暗号キーを指定します。

                  • TACACS+ パケットは、このキーを使って暗号化されます。 このキーは TACACS+ デーモンで使用されるキーと一致する必要があります。 このキーを指定すると、このサーバに限り、tacacs-server key コマンドで設定されているグローバル キーが上書きされます。
                  • (任意)0 の入力により、暗号化されていない(クリアテキスト)キーが続くことを指定します。
                  • (任意)7 の入力により、暗号キーが続くことを指定します。
                  • auth-key 引数は、AAA サーバと TACACS+ サーバ間で共有される暗号化または復号化されるキーを指定します。
                   
                  ステップ 5 tacacs-server host host-name single-connection


                  例:
                  RP/0/RSP0/CPU0:router(config)# tacacs-server host 209.165.200.226 single-connection 
                   

                  単一 TCP 接続を介してすべての TACACS+ 要求をこのサーバに多重化するようにルータを設定します。 デフォルトでは、セッションごとに別個の接続が使用されます。

                   
                  ステップ 6 tacacs source-interface type instance vrf vrf-name


                  例:
                  RP/0/RSP0/CPU0:router(config)# tacacs source-interface GigabitEthernet 0/4/0/0 vrf abc
                   

                  (任意)すべての発信 TACACS+ パケットに対して、選択したインターフェイスの発信元 IP アドレスを指定します。

                  • 指定されたインターフェイスまたはサブインターフェイスには、IP アドレスが関連付けられている必要があります。 指定のインターフェイスまたはサブインターフェイスに IP アドレスが設定されていないか、そのインターフェイスがダウン状態にある場合、TACACS+ はデフォルト インターフェイスに戻ります。 これを回避するには、インターフェイスまたはサブインターフェイスに IP アドレスを追加するか、そのインターフェイスをアップ状態にします。
                  • vrf オプションは、AAA TACACS+ サーバ グループのバーチャル プライベート ネットワーク(VPN)ルーティングおよび転送(VRF)参照を指定します。
                   
                  ステップ 7設定する各外部サーバで、ステップ 2ステップ 5 を繰り返します。  — 
                  ステップ 8次のいずれかのコマンドを使用します。
                  • end
                  • commit


                  例:
                  RP/0/RSP0/CPU0:router(config)# end

                  または

                  RP/0/RSP0/CPU0:router(config)# commit
                   

                  設定変更を保存します。

                  • end コマンドを実行すると、変更をコミットするように要求されます。
                    Uncommitted changes found, commit them
                    before exiting(yes/no/cancel)? [cancel]:
                    
                    • yes と入力すると、実行コンフィギュレーション ファイルに変更が保存され、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。
                    • no と入力すると、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。変更はコミットされません。
                    • cancel と入力すると、現在のコンフィギュレーション セッションが継続します。コンフィギュレーション セッションは終了せず、設定変更もコミットされません。
                  • 実行コンフィギュレーション ファイルに設定変更を保存し、コンフィギュレーション セッションを継続するには、commit コマンドを使用します。
                   
                  ステップ 9 show tacacs


                  例:
                  RP/0/RSP0/CPU0:router# show tacacs 
                   

                  (任意)システムに設定されている TACACS+ サーバの情報を表示します。

                   
                  次の作業

                  TACACS+ サーバを設定したら、TACACS+ サーバ グループを設定します (TACACS+ サーバ グループの設定の項を参照)。

                  RADIUS サーバ グループの設定

                  RADIUS サーバ グループを設定します。

                  ユーザは、1 つ以上の server コマンドを入力できます。 server コマンドは、外部 RADIUS サーバのホスト名または IP アドレスおよびポート番号を指定します。 設定されている場合、このサーバ グループは、AAA 方式リスト(認証、認可またはアカウンティングの設定に使用されます)から参照できます (方式リストの項を参照)。

                  はじめる前に

                  正常に設定を行うため、外部サーバが設定時にアクセスできる必要があります。

                  手順の概要

                    1.    configure

                    2.    aaa group server radius group-name

                    3.    server {hostname | ip-address} [auth-port port-number] [acct-port port-number]

                    4.    ステップ 3で指定したサーバ グループに追加するすべての外部サーバで、ステップ 4を繰り返します。

                    5.    server-private {hostname | ip-address} [auth-port port-number] [acct-port port-number] [timeout seconds] [retransmit retries] [key string]

                    6.    deadtime minutes

                    7.    次のいずれかのコマンドを使用します。

                    • end
                    • commit

                    8.    show radius server-groups [group-name [detail]]


                  手順の詳細
                     コマンドまたはアクション目的
                    ステップ 1 configure


                    例:
                    RP/0/RSP0/CPU0:router# configure
                     

                    グローバル コンフィギュレーション モードを開始します。

                     
                    ステップ 2 aaa group server radius group-name


                    例:
                     RP/0/RSP0/CPU0:router(config)# aaa group server radius radgroup1 
                     

                    各種サーバ ホストを別個のリストにグループ化し、サーバ グループ コンフィギュレーション モードを開始します。

                     
                    ステップ 3 server {hostname | ip-address} [auth-port port-number] [acct-port port-number]


                    例:
                     RP/0/RSP0/CPU0:router(config-sg-radius)# server 192.168.20.0 
                     

                    外部 RADIUS サーバのホスト名または IP アドレスを指定します。

                    • サーバ グループは、設定されると、AAA 方式リスト(認証、認可またはアカウンティングの設定に使用されます)から参照できます。
                     
                    ステップ 4ステップ 3で指定したサーバ グループに追加するすべての外部サーバで、ステップ 4を繰り返します。  — 
                    ステップ 5 server-private {hostname | ip-address} [auth-port port-number] [acct-port port-number] [timeout seconds] [retransmit retries] [key string]


                    例:
                     RP/0/RSP0/CPU0:router(config-sg-radius)# server-private 10.10.130.2 auth-port 1600
                                      acct-port 1666 key code 
                     

                    グループ サーバに対するプライベート RADIUS サーバの IP アドレスを設定します。

                    (注)     

                    プライベート サーバ パラメータが指定されていない場合、グローバル コンフィギュレーションが使用されます。 グローバル コンフィギュレーションが指定されていない場合、デフォルト値が使用されます。

                     
                    ステップ 6 deadtime minutes


                    例:
                     RP/0/RSP0/CPU0:router(config-sg-radius)# deadtime 1 
                     

                    RADIUS サーバ グループ レベルでデッドタイム値を設定します。

                    • minutes 引数は、RADIUS サーバがトランザクション要求によってスキップされる時間を最長 1440(24 時間)まで分単位で指定します。 有効な範囲は 1 ~ 1440 です。

                    この例では、RADIUS サーバ グループ radgroup1 が認証要求への応答に失敗したときの deadtime コマンドに対して、1 分のデッドタイムを指定します。

                    (注)     

                    グループを作成したら、グループ レベルのデッドタイムを設定できます。

                     
                    ステップ 7次のいずれかのコマンドを使用します。
                    • end
                    • commit


                    例:
                    RP/0/RSP0/CPU0:router(config)# end

                    または

                    RP/0/RSP0/CPU0:router(config)# commit
                     

                    設定変更を保存します。

                    • end コマンドを実行すると、変更をコミットするように要求されます。
                      Uncommitted changes found, commit them
                      before exiting(yes/no/cancel)? [cancel]:
                      
                      • yes と入力すると、実行コンフィギュレーション ファイルに変更が保存され、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。
                      • no と入力すると、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。変更はコミットされません。
                      • cancel と入力すると、現在のコンフィギュレーション セッションが継続します。コンフィギュレーション セッションは終了せず、設定変更もコミットされません。
                    • 実行コンフィギュレーション ファイルに設定変更を保存し、コンフィギュレーション セッションを継続するには、commit コマンドを使用します。
                     
                    ステップ 8 show radius server-groups [group-name [detail]]


                    例:
                     RP/0/RSP0/CPU0:router# show radius server-groups 
                     

                    (任意)システムで設定されている各 RADIUS サーバ グループの情報を表示します。

                     
                    次の作業

                    RADIUS サーバ グループを設定したら、認証、認可およびアカウンティングを設定して方式リストを定義します (AAA 方式リストの設定の項を参照)。

                    TACACS+ サーバ グループの設定

                    TACACS+ サーバ グループを設定します。

                    1 つ以上の server コマンドを入力できます。 server コマンドは、外部 TACACS+ サーバのホスト名または IP アドレスを指定します。 設定されている場合、このサーバ グループは、AAA 方式リスト(認証、認可またはアカウンティングの設定に使用されます)から参照できます (方式リストの項を参照)。

                    はじめる前に

                    正常に設定を行うため、外部サーバが設定時にアクセスできる必要があります。 グローバルおよび vrf 設定で同じ IP アドレスを設定する場合、server-private パラメータが必要です。

                    手順の概要

                      1.    configure

                      2.    aaa group server tacacs+ group-name

                      3.    server {hostname | ip-address}

                      4.    ステップ 2で指定したサーバ グループに追加するすべての外部サーバで、ステップ 3を繰り返します。

                      5.    server-private {hostname | ip-address} [port port-number] [timeout seconds] [key string]

                      6.    vrf vrf-name

                      7.    次のいずれかのコマンドを使用します。

                      • end
                      • commit

                      8.    show tacacs server-groups


                    手順の詳細
                       コマンドまたはアクション目的
                      ステップ 1 configure


                      例:
                      RP/0/RSP0/CPU0:router# configure
                       

                      グローバル コンフィギュレーション モードを開始します。

                       
                      ステップ 2 aaa group server tacacs+ group-name


                      例:
                      RP/0/RSP0/CPU0:router(config)# aaa group server tacacs+ tacgroup1 
                       

                      各種サーバ ホストを別個のリストにグループ化し、サーバ グループ コンフィギュレーション モードを開始します。

                       
                      ステップ 3 server {hostname | ip-address}


                      例:
                      RP/0/RSP0/CPU0:router(config-sg-tacacs+)# server 192.168.100.0 
                       

                      外部 TACACS+ サーバのホスト名または IP アドレスを指定します。

                      • 設定されている場合、このグループは、AAA 方式リスト(認証、認可またはアカウンティングの設定に使用されます)から参照できます
                       
                      ステップ 4ステップ 2で指定したサーバ グループに追加するすべての外部サーバで、ステップ 3を繰り返します。  — 
                      ステップ 5 server-private {hostname | ip-address} [port port-number] [timeout seconds] [key string]


                      例:
                       RP/0/RSP0/CPU0:router(config-sg-tacacs+)# server-private 10.1.1.1 key a_secret 
                       

                      グループ サーバに対するプライベート TACACS+ サーバの IP アドレスを設定します。

                      (注)     

                      プライベート サーバ パラメータが指定されていない場合、グローバル コンフィギュレーションが使用されます。 グローバル コンフィギュレーションが指定されていない場合、デフォルト値が使用されます。

                       
                      ステップ 6vrf vrf-name


                      例:
                      RP/0/RSP0/CPU0:router(config-sg-tacacs+)# vrf abc
                       

                      AAA TACACS+ サーバ グループのバーチャル プライベート ネットワーク(VPN)ルーティングおよび転送(VRF)参照情報を設定します。

                       
                      ステップ 7次のいずれかのコマンドを使用します。
                      • end
                      • commit


                      例:
                      RP/0/RSP0/CPU0:router(config)# end

                      または

                      RP/0/RSP0/CPU0:router(config)# commit
                       

                      設定変更を保存します。

                      • end コマンドを実行すると、変更をコミットするように要求されます。
                        Uncommitted changes found, commit them
                        before exiting(yes/no/cancel)? [cancel]:
                        
                        • yes と入力すると、実行コンフィギュレーション ファイルに変更が保存され、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。
                        • no と入力すると、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。変更はコミットされません。
                        • cancel と入力すると、現在のコンフィギュレーション セッションが継続します。コンフィギュレーション セッションは終了せず、設定変更もコミットされません。
                      • 実行コンフィギュレーション ファイルに設定変更を保存し、コンフィギュレーション セッションを継続するには、commit コマンドを使用します。
                       
                      ステップ 8 show tacacs server-groups


                      例:
                      RP/0/RSP0/CPU0:router# show tacacs server-groups 
                       

                      (任意)システムで設定されている各 TACACS+ サーバ グループの情報を表示します。

                       
                      次の作業

                      TACACS+ サーバ グループを設定したら、認証、認可およびアカウンティングを設定して方式リストを定義します (AAA 方式リストの設定の項を参照)。

                      AAA 方式リストの設定

                      AAA データは、さまざまなデータ ソースに保存できます。 AAA 設定は、方式リストを使用して、AAA データのソースの優先順位を定義します。 AAA は、複数の方式リストを定義でき、アプリケーション(ログインなど)は、これらのいずれかを選択できます。 たとえば、コンソールおよび AUX ポートと VTY ポートで異なる方式リストを使用できます。 方式リストが指定されていない場合、アプリケーションは、デフォルトの方式リストを使用します。

                      この項では、次の手順について説明します。

                      認証方式リストの設定

                      認証の方式リストを設定します。

                      認証設定

                      認証は、ユーザ(またはプリンシパル)が検証されるプロセスです。 認証設定は、方式リストを使用して、さまざまなデータ ソースに保存されている、AAA データ ソースの優先順位を定義します。 認証を設定して、複数の方式リストを定義できます。アプリケーションは(ログインなど)、これらのいずれかを選択できます。 たとえば、コンソールおよび AUX ポートと VTY ポートで異なる方式リストを使用できます。 方式リストが指定されていない場合、アプリケーションは、デフォルトの方式リストを使用します。


                      (注)  


                      アプリケーションは、有効な方式リストを選択するため、定義済み方式リストを明示的に参照する必要があります。


                      認証は、login authentication 回線コンフィギュレーション サブモード コマンドを使用して、TTY 回線に適用できます。

                      一連の認証方式の作成

                      aaa authentication コマンドを使用して、一連の認証方式、つまり方式リストを作成します。 方式リストは、シーケンスで照会される認証方式(RADIUS、TACACS+ など)を説明する単なる名前付きリストです。 方式は次のいずれかです。

                      • group radius:サーバ グループまたは RADIUS サーバを認証に使用します
                      • group tacacs+:サーバ グループまたは TACACS+ サーバを認証に使用します
                      • local:ユーザ名またはパスワードのローカル データベースを認証に使用します。
                      • line:回線パスワードまたはユーザ グループを認証に使用します。

                      方式が、サーバ グループではなく、RADIUS または TACACS+ サーバの場合、RADIUS または TACACS+ サーバは、設定されている RADIUS および TACACS+ サーバのグローバル プールから、設定順に選択されます。 このグローバル プールから選択されるサーバは、サーバ グループに追加できるサーバです。

                      後続の認証方式は、初期方式がエラーを返すか、要求が拒否された場合だけ使用されます。

                      はじめる前に

                      (注)  


                      デフォルトの方式リストは、認証のすべてのインターフェイスに適用されます。ただし、デフォルト以外の方式リストが明示的に設定されている場合は例外で、この場合は、指定されている方式リストが適用されます。

                      group radius、group tacacs+ および group group-name 形式の aaa authentication コマンドは、事前定義されている RADIUS または TACACS+ サーバのセットを参照します。 ホスト サーバを設定するには、radius-server host コマンドまたは tacacs-server host コマンドを使用します。 サーバの名前付きグループを作成するには、aaa group server radius コマンドまたは aaa group server tacacs+ コマンドを使用します。


                      手順の概要

                        1.    configure

                        2.    aaa authentication {login | ppp} {default | list-name | remote} method-list

                        3.    次のいずれかのコマンドを使用します。

                        • end
                        • commit

                        4.    設定されるすべての認証方式リストに対して、ステップ 1 ~ 3 を繰り返します。


                      手順の詳細
                         コマンドまたはアクション目的
                        ステップ 1 configure


                        例:
                        RP/0/RSP0/CPU0:router# configure
                         

                        グローバル コンフィギュレーション モードを開始します。

                         
                        ステップ 2aaa authentication {login | ppp} {default | list-name | remote} method-list


                        例:
                        RP/0/RSP0/CPU0:router(config)# aaa authentication login default group tacacs+
                        
                         

                        一連の認証方式、つまり方式リストを作成します。

                        • login キーワードを使用すると、ログインの認証が設定されます。 ppp キーワードを使用すると、ポイントツーポイント プロトコルの認証が設定されます。
                        • default キーワードを入力すると、このキーワードの後のリストされている認証方式が、認証のデフォルト方式リストになります。
                        • list-name 文字列を入力すると、認証方式リストが識別されます。
                        • remote キーワードを入力すると、このキーワードの後のリストされている認証方式が、所有者以外のリモート SDR の管理認証のデフォルト方式リストになります。
                          (注)     

                          remote キーワードは管理プレーンでだけ使用できます。

                        • method-list 引数の後に方式リスト タイプを入力します。 方式リスト タイプは、目的の順序で入力します。 リストされる方式タイプは、次のいずれかのオプションです。
                          • group tacacs+:サーバ グループまたは TACACS+ サーバを認証に使用します
                          • group radius:サーバ グループまたは RADIUS サーバを認証に使用します
                          • group named-group:TACACS+ サーバまたは RADIUS サーバの名前付きサブセットが認証に使用されます
                          • local:ユーザ名またはパスワードのローカル データベースを認証に使用します
                          • line:回線パスワードまたはユーザ グループを認証に使用します
                        • この例では、default 方式リストが認証に使用されます
                         
                        ステップ 3次のいずれかのコマンドを使用します。
                        • end
                        • commit


                        例:
                        RP/0/RSP0/CPU0:router(config)# end

                        または

                        RP/0/RSP0/CPU0:router(config)# commit
                         

                        設定変更を保存します。

                        • end コマンドを実行すると、変更をコミットするように要求されます。
                          Uncommitted changes found, commit them
                          before exiting(yes/no/cancel)? [cancel]:
                          
                          • yes と入力すると、実行コンフィギュレーション ファイルに変更が保存され、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。
                          • no と入力すると、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。変更はコミットされません。
                          • cancel と入力すると、現在のコンフィギュレーション セッションが継続します。コンフィギュレーション セッションは終了せず、設定変更もコミットされません。
                        • 実行コンフィギュレーション ファイルに設定変更を保存し、コンフィギュレーション セッションを継続するには、commit コマンドを使用します。
                         
                        ステップ 4設定されるすべての認証方式リストに対して、ステップ 1 ~ 3 を繰り返します。  — 
                        次の作業

                        認証方式リストを設定したら、認可方式リストを設定します。 (認可方式リストの設定の項を参照)。

                        認可方式リストの設定

                        認可方式リストを設定します。


                        (注)  


                        radius キーワードを aaa authorization コマンドで設定できます。


                        認可の設定

                        許可方式リストによって、許可の実行方法とこれらの方式の実行順序が定義されます。 方式リストは、一連の認可方式(TACACS+ など)を記述した名前付きリストです。 方式リストは、認可に使用するセキュリティ プロトコルを 1 つ以上指定できるため、最初の方式が失敗した場合のバックアップ システムを確保できます。 Cisco IOS XR ソフトウェアでは、特定のネットワーク サービスに対してユーザを許可するために、リスト内の最初の方式が使用されます。この方式が応答に失敗すると、Cisco IOS XR ソフトウェアでは方式リスト内の次の方式が選択されます。 このプロセスは、リスト内の認可方式との通信に成功するまで、または定義されている方式を使い果たすまで続行されます。


                        (注)  


                        Cisco IOS XR ソフトウェアでは、前の方式から応答がない(障害ではない)場合にだけ、次に指定された方式を使って認可が試みられます。 このサイクルの任意の時点で認可が失敗した場合(つまり、セキュリティ サーバまたはローカル ユーザ名データベースからユーザ サービスの拒否応答が返される場合)、認可プロセスは停止し、その他の認可方式は試行されません。


                        方式リストは、要求されている許可のタイプによって異なります。 Cisco IOS XR ソフトウェアは、次の 4 つのタイプの AAA 許可をサポートします。

                        • コマンドの認可:ユーザが実行する EXEC モード コマンドに適用されます。 コマンドの許可では、すべての EXEC モード コマンドに対する許可が試みられます。

                          (注)  


                          「コマンド」の認可は、認証中に確立されるタスク プロファイルに基づく「タスクベース」の認可とは異なります。


                        • EXEC の認可:EXEC セッションの開始に対する認可が適用されます。

                          (注)  


                          exec キーワードは、障害マネージャ サービスの許可に使用されなくなりました。 障害マネージャ サービスの許可には、eventmanager キーワード(障害マネージャ)を使用します。 exec キーワードは、EXEC の許可に使用します。


                        • ネットワークの認可:IKE などのネットワーク サービスの認可が適用されます。
                        • イベント マネージャの認可:イベント マネージャ(障害マネージャ)を認可するための認可方式が適用されます。 RADIUS サーバは、イベント マネージャ(障害マネージャ)認可に設定できません。 TACACS+ を使用することも、locald を使用することもできます。

                        名前付き方式リストを作成すると、指定した許可タイプに対して特定の許可方式リストが定義されます。 方式リストを定義した場合、定義した方式のいずれかを実行するには、まず特定の回線またはインターフェイスに方式リストを適用する必要があります。 新しい方式リストを作成する場合、TACACS+ などの方式の名前は使用しないでください。

                        「コマンド」の認可は、コマンドの認可方式リストの回線テンプレートへの追加の結果として、ルータで自動的に実行される「タスクベース」の認可とは区別されます。 コマンド認可のデフォルト動作は none です。 デフォルトの方式リストが設定されている場合でも、この方式リストを使用するために回線テンプレートに追加する必要があります。

                        aaa authorization commands コマンドを使用すると、一連の属性値(AV)ペアを含む要求パケットが、認可プロセス中に TACACS+ デーモンに送信されます。 デーモンは、次のいずれかを実行できます。

                        • 要求をそのまま受け取る。
                        • 認可を拒否する。
                        一連の認可方式の作成

                        aaa authorization コマンドを使用して、認可パラメータを設定し、各回線またはインターフェイスで使用できる特定の認可方式を定義する名前付きの方式リストを作成します。

                        Cisco IOS XR ソフトウェアは、次の許可方式をサポートします。

                        • none:ルータから認可情報の要求はありません。この回線やインターフェイスに対する認可は行われません。
                        • local:ローカル データベースを認可に使用します。
                        • group tacacs+:設定されているすべての TACACS+ サーバを認可に使用します。
                        • group radius:設定されているすべての RADIUS サーバのリストを認可に使用します。
                        • group group-name:TACACS+ サーバまたは サーバの名前付きサブセットを認可に使用します。
                        手順の概要

                          1.    configure

                          2.    aaa authorization {commands | eventmanager | exec | network} {default | list-name} {none | local | group {tacacs+ | radius | group-name}}

                          3.    次のいずれかのコマンドを使用します。

                          • end
                          • commit


                        手順の詳細
                           コマンドまたはアクション目的
                          ステップ 1 configure


                          例:
                          RP/0/RSP0/CPU0:router# configure
                           

                          グローバル コンフィギュレーション モードを開始します。

                           
                          ステップ 2aaa authorization {commands | eventmanager | exec | network} {default | list-name} {none | local | group {tacacs+ | radius | group-name}}


                          例:
                          RP/0/RSP0/CPU0:router(config)# aaa authorization commands listname1 group tacacs+
                          
                           

                          一連の認可方式、つまり方式リストを作成します。

                          • commands キーワードは、すべての EXEC シェル コマンドの認可を設定します。 コマンドの認可は、ユーザにより発行される EXEC モード コマンドに適用されます。 コマンドの許可では、すべての EXEC モード コマンドに対する許可が試みられます。
                          • eventmanager キーワードは、イベント マネージャ(障害マネージャ)を認可するための認可方式を適用します。
                          • exec キーワードは、インタラクティブ(EXEC)セッションの認可を設定します。
                          • network キーワードは、PPP または IKE のようなネットワーク サービスの認可を設定します。
                          • default キーワードを入力すると、このキーワードの後のリストされている認可方式が、認可のデフォルト方式リストになります。
                          • list-name 文字列を入力すると、認可方式リストが識別されます。 方式リスト自体は、方式リスト名に続きます。 方式リスト タイプは、目的の順序で入力します。 リストされる方式リスト タイプは、次のいずれかにできます。
                            • none:ネットワーク アクセス サーバ(NAS)は、認可情報を要求しません。 認可は常に成功します。 以降の認可方式は試行されません。 ただし、タスク ID の許可は常に必要であり、ディセーブルにはできません。
                            • local:ローカル データベースを認可に使用します。
                          • group tacacs+:設定されているすべての TACACS+ サーバを認可に使用します。 NAS は、認可情報を TACACS+ セキュリティ デーモンと交換します。 TACACS+ 認可は、AV ペアを関連付けることでユーザに特定の権限を定義します。AV は適切なユーザとともに TACACS+ セキュリティ サーバのデータベースに保存されます。
                          • group radius:設定されているすべての RADIUS サーバのリストを認可に使用します。
                          • group group-nameaaa group server tacacs+ または aaa group server radius コマンドで定義されているとおりに、TACACS+ サーバまたは RADIUS サーバのサブセット、名前付きサーバ グループを認可に使用します。
                           
                          ステップ 3次のいずれかのコマンドを使用します。
                          • end
                          • commit


                          例:
                          RP/0/RSP0/CPU0:router(config)# end

                          または

                          RP/0/RSP0/CPU0:router(config)# commit
                           

                          設定変更を保存します。

                          • end コマンドを実行すると、変更をコミットするように要求されます。
                            Uncommitted changes found, commit them
                            before exiting(yes/no/cancel)? [cancel]:
                            
                            • yes と入力すると、実行コンフィギュレーション ファイルに変更が保存され、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。
                            • no と入力すると、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。変更はコミットされません。
                            • cancel と入力すると、現在のコンフィギュレーション セッションが継続します。コンフィギュレーション セッションは終了せず、設定変更もコミットされません。
                          • 実行コンフィギュレーション ファイルに設定変更を保存し、コンフィギュレーション セッションを継続するには、commit コマンドを使用します。
                           
                          次の作業

                          認可方式リストを設定したら、アカウンティング方式リストを設定します (アカウンティング方式リストの設定の項を参照)。

                          アカウンティング方式リストの設定

                          アカウンティング方式リストを設定します。


                          (注)  


                          radius キーワードを aaa accounting コマンドで設定できます。


                          アカウンティングの設定

                          現在、Cisco IOS XR ソフトウェアは、アカウンティングで TACACS+ および RADIUS 方式の両方をサポートしています。 ルータは、アカウンティング レコードの形式で TACACS+ または RADIUS セキュリティ サーバにユーザ アクティビティを報告します。 各アカウンティング レコードは、アカウンティング AV ペアが含まれ、セキュリティ サーバ上で保管されます。

                          アカウンティング方式リストには、アカウンティングの実行方法が定義されます。このリストを使用して、特定のタイプのアカウンティング サービスに固有の回線またはインターフェイスに使用する特定のセキュリティ プロトコルを指定できます。 方式リストの名前を付ける場合、TACACS+ などの方式の名前を使用しないでください。

                          最小のアカウンティングの場合、stop-only キーワードを指定して、要求されたユーザ プロセスの終了時に「stop accounting」通知を送信します。 最小より大きいアカウンティングの場合、start-stop キーワードを使用できます。これにより、外部 AAA サーバが、要求されたプロセスの開始時に「start accounting」通知を送信し、プロセスの終了時に「stop accounting」通知を送信します。 また、aaa accounting update コマンドを使用して、累積情報による更新レコードを定期的に送信できます。 アカウンティング レコードは、TACACS+ または RADIUS サーバだけに格納されます。

                          AAA アカウンティングをアクティブにすると、ルータは、これらの属性をアカウンティング レコードとして報告します。そのアカウンティング レコードは、セキュリティ サーバ上のアカウンティング ログに格納されます。

                          一連のアカウンティング方式の作成

                          aaa accounting コマンドを使用して、各回線またはインターフェイスで使用できる特定のアカウンティング方式を定義するデフォルトまたは名前付き方式リストを作成します。

                          Cisco IOS XR ソフトウェアは、次のアカウンティング方式をサポートします。

                          • none:アカウンティングは、この回線またはインターフェイスで実行されません。
                          • group tacacs+:設定されているすべての TACACS+ サーバをアカウンティングに使用します。
                          • group radius:設定されているすべての RADIUS サーバのリストをアカウンティングに使用します。
                          手順の概要

                            1.    configure

                            2.    次のいずれかを実行します。

                            • aaa accounting {commands | exec | network} {default | list-name} {start-stop | stop-only}
                            • {none | method}

                            3.    次のいずれかのコマンドを使用します。

                            • end
                            • commit


                          手順の詳細
                             コマンドまたはアクション目的
                            ステップ 1 configure


                            例:
                            RP/0/RSP0/CPU0:router# configure
                             

                            グローバル コンフィギュレーション モードを開始します。

                             
                            ステップ 2次のいずれかを実行します。
                            • aaa accounting {commands | exec | network} {default | list-name} {start-stop | stop-only}
                            • {none | method}


                            例:
                            RP/0/RSP0/CPU0:router(config)# aaa accounting commands default stop-only group tacacs+
                            
                             

                            一連のアカウンティング方式、つまり方式リストを作成します。

                            • commands キーワードは、EXEC シェル コマンドでアカウンティングをイネーブルにします。
                            • exec キーワードを使用して、対話型(EXEC)セッションに対するアカウンティングをイネーブルにします。
                            • network キーワードは、ポイントツーポイント プロトコル(PPP)など、すべてのネットワーク関連サービス要求のアカウンティングをイネーブルにします。
                            • default キーワードを入力すると、このキーワードの後のリストされているアカウンティング方式が、アカウンティングのデフォルト方式リストになります。
                            • list-name 文字列を入力すると、アカウンティング方式リストが識別されます。
                            • start-stop キーワードは、プロセスの開始時に「start accounting」通知を送信し、プロセスの終了時に「stop accounting」通知を送信します。 要求されたユーザ プロセスは、「start accounting」通知をアカウンティング サーバから受信したかどうかにかかわらず開始されます。
                            • stop-only キーワードは、要求されたユーザ プロセスの終了時に「stop accounting」通知を送信します。
                            • none キーワードは、アカウンティングが実行されないことを示します。
                            • 方式リスト自体は、start-stop キーワードの後に続きます。 方式リスト タイプは、目的の順序で入力します。 方式引数は、次のタイプをリストします。
                              • group tacacs+:設定されているすべての TACACS+ サーバをアカウンティングに使用します。
                              • group radius:設定されているすべての RADIUS サーバのリストをアカウンティングに使用します。
                              • group group-nameaaa group server tacacs+ または aaa group server radius コマンドで定義されているとおりに、TACACS+ サーバまたは RADIUS サーバのサブセット、名前付きサーバ グループをアカウンティングに使用します。
                            • 次の例では、アカウンティング サービスが TACACS+ セキュリティ サーバで提供され、stop-only 制限がある default コマンド アカウンティング方式リストの定義を示します。
                             
                            ステップ 3次のいずれかのコマンドを使用します。
                            • end
                            • commit


                            例:
                            RP/0/RSP0/CPU0:router(config)# end

                            または

                            RP/0/RSP0/CPU0:router(config)# commit
                             

                            設定変更を保存します。

                            • end コマンドを実行すると、変更をコミットするように要求されます。
                              Uncommitted changes found, commit them
                              before exiting(yes/no/cancel)? [cancel]:
                              
                              • yes と入力すると、実行コンフィギュレーション ファイルに変更が保存され、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。
                              • no と入力すると、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。変更はコミットされません。
                              • cancel と入力すると、現在のコンフィギュレーション セッションが継続します。コンフィギュレーション セッションは終了せず、設定変更もコミットされません。
                            • 実行コンフィギュレーション ファイルに設定変更を保存し、コンフィギュレーション セッションを継続するには、commit コマンドを使用します。
                             
                            次の作業

                            方式リストを設定したら、これらの方式リストを適用します (アプリケーションの方式リストの適用の項を参照)。

                            中間アカウンティング レコードの生成

                            アカウンティング サーバに送信される定期的中間アカウンティング レコードをイネーブルにします。 aaa accounting update コマンドをアクティブにすると、Cisco IOS XR ソフトウェアは、システム上のすべてのユーザに中間アカウンティング レコードを発行します。


                            (注)  


                            中間アカウンティング レコードは、インターネット キー交換(IKE)アカウンティングなど、ネットワーク セッションだけで生成されます。これは、network キーワードを指定した aaa accounting コマンドで制御されます。 システム、コマンドまたは EXEC アカウンティング セッションでは、中間レコードは生成されません。


                            手順の概要

                              1.    configure

                              2.    aaa accounting update {newinfo | periodic minutes}

                              3.    次のいずれかのコマンドを使用します。

                              • end
                              • commit


                            手順の詳細
                               コマンドまたはアクション目的
                              ステップ 1 configure


                              例:
                              RP/0/RSP0/CPU0:router# configure
                               

                              グローバル コンフィギュレーション モードを開始します。

                               
                              ステップ 2aaa accounting update {newinfo | periodic minutes}


                              例:
                              RP/0/RSP0/CPU0:router(config)# aaa accounting update periodic 30
                              
                               

                              アカウンティング サーバに送信される定期的中間アカウンティング レコードをイネーブルにします。

                              • newinfo キーワードを使用すると、報告する新しいアカウンティング情報があるたびに中間アカウンティング レコードがアカウンティング サーバに送信されます。 たとえば、IPCP がリモート ピアとの間で IP アドレスのネゴシエーションを完了したときなどです。 中間アカウンティング レコードには、リモート ピアに使用されるネゴシエート済み IP アドレスが含まれます。
                              • periodic キーワードを使用すると、中間アカウンティング レコードは number 引数で定義されているとおりに定期的に送信されます。 中間アカウンティング レコードには、中間アカウンティング レコードが送信される時間までに、そのユーザについて記録されたすべてのアカウンティング情報が含まれます。
                              注意       

                              periodic キーワードを使用すると、多数のユーザがネットワークにログインしているときに、大きな輻輳が生じる場合があります。

                               
                              ステップ 3次のいずれかのコマンドを使用します。
                              • end
                              • commit


                              例:
                              RP/0/RSP0/CPU0:router(config)# end

                              または

                              RP/0/RSP0/CPU0:router(config)# commit
                               

                              設定変更を保存します。

                              • end コマンドを実行すると、変更をコミットするように要求されます。
                                Uncommitted changes found, commit them
                                before exiting(yes/no/cancel)? [cancel]:
                                
                                • yes と入力すると、実行コンフィギュレーション ファイルに変更が保存され、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。
                                • no と入力すると、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。変更はコミットされません。
                                • cancel と入力すると、現在のコンフィギュレーション セッションが継続します。コンフィギュレーション セッションは終了せず、設定変更もコミットされません。
                              • 実行コンフィギュレーション ファイルに設定変更を保存し、コンフィギュレーション セッションを継続するには、commit コマンドを使用します。
                               

                              アプリケーションの方式リストの適用

                              認可およびアカウンティング サービスの方式リストを設定したら、これらのサービスを使用するアプリケーション(コンソール、vty、補助など)に、設定した方式リストを適用できます。 方式リストの適用するには、AAA 認可およびアカウンティングをイネーブルします。

                              この項では、次の手順について説明します。

                              AAA 認可のイネーブル化

                              AAA 認可を特定の回線または回線のグループに対してイネーブルにします。

                              方式リストの適用

                              aaa authorization コマンドを使用して、特定のタイプの認可に対して名前付き認可方式リストを定義(またはデフォルトの方式リストを使用)したあと、認可を実行する該当の回線に、定義済みのリストを適用する必要があります。 authorization コマンドを使用して、指定の方式リスト(または、方式リストを指定していない場合はデフォルトの方式リスト)を選択した回線または回線グループに適用します。

                              手順の概要

                                1.    configure

                                2.    line {aux | console | default | template template-name}

                                3.    authorization {commands | exec} {default | list-name}

                                4.    次のいずれかのコマンドを使用します。

                                • end
                                • commit


                              手順の詳細
                                 コマンドまたはアクション目的
                                ステップ 1 configure


                                例:
                                RP/0/RSP0/CPU0:router# configure
                                 

                                グローバル コンフィギュレーション モードを開始します。

                                 
                                ステップ 2line {aux | console | default | template template-name}


                                例:
                                RP/0/RSP0/CPU0:router(config)# line console
                                
                                 

                                回線テンプレート コンフィギュレーション モードを開始します。

                                 
                                ステップ 3authorization {commands | exec} {default | list-name}


                                例:
                                RP/0/RSP0/CPU0:router(config-line)# authorization commands listname5
                                
                                 

                                AAA 認可を特定の回線または回線のグループに対してイネーブルにします。

                                • commands キーワードは、すべてのコマンドに対して、選択した回線における認可をイネーブルにします。
                                • exec キーワードを使用して、対話型(EXEC)セッションに対する認可をイネーブルにします。
                                • default キーワードを入力し、aaa authorization コマンドで定義されているように、デフォルトの方式リストの名前を適用します。
                                • 使用する認可方式リストの名前を入力します。 リスト名を指定しない場合は、デフォルト名が使用されます。 リストは aaa authorization コマンドで作成されます。
                                • 次に、方式リスト listname5 を使用したコマンド認可の例を示します。
                                 
                                ステップ 4次のいずれかのコマンドを使用します。
                                • end
                                • commit


                                例:
                                RP/0/RSP0/CPU0:router(config)# end

                                または

                                RP/0/RSP0/CPU0:router(config)# commit
                                 

                                設定変更を保存します。

                                • end コマンドを実行すると、変更をコミットするように要求されます。
                                  Uncommitted changes found, commit them
                                  before exiting(yes/no/cancel)? [cancel]:
                                  
                                  • yes と入力すると、実行コンフィギュレーション ファイルに変更が保存され、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。
                                  • no と入力すると、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。変更はコミットされません。
                                  • cancel と入力すると、現在のコンフィギュレーション セッションが継続します。コンフィギュレーション セッションは終了せず、設定変更もコミットされません。
                                • 実行コンフィギュレーション ファイルに設定変更を保存し、コンフィギュレーション セッションを継続するには、commit コマンドを使用します。
                                 
                                次の作業

                                AAA 認可をイネーブルにして認可方式リストを適用したら、AAA アカウンティングをイネーブルにしてアカウンティング方式リストを適用します (アカウンティング サービスのイネーブル化の項を参照)。

                                アカウンティング サービスのイネーブル化

                                アカウンティング サービスを特定の回線または回線のグループに対してイネーブルにします。

                                手順の概要

                                  1.    configure

                                  2.    line {aux | console | default | template template-name}

                                  3.    accounting {commands | exec} {default | list-name}

                                  4.    次のいずれかのコマンドを使用します。

                                  • end
                                  • commit


                                手順の詳細
                                   コマンドまたはアクション目的
                                  ステップ 1 configure


                                  例:
                                  RP/0/RSP0/CPU0:router# configure
                                   

                                  グローバル コンフィギュレーション モードを開始します。

                                   
                                  ステップ 2line {aux | console | default | template template-name}


                                  例:
                                  RP/0/RSP0/CPU0:router(config)# line console
                                  
                                   

                                  回線テンプレート コンフィギュレーション モードを開始します。

                                   
                                  ステップ 3accounting {commands | exec} {default | list-name}


                                  例:
                                  RP/0/RSP0/CPU0:router(config-line)# accounting commands listname7
                                  
                                   

                                  AAA アカウンティングを特定の回線または回線のグループに対してイネーブルにします。

                                  • commands キーワードは、すべての EXEC シェル コマンドに対して、選択した回線におけるアカウンティングをイネーブルにします。
                                  • exec キーワードを使用して、対話型(EXEC)セッションに対するアカウンティングをイネーブルにします。
                                  • default キーワードを入力し、aaa accounting コマンドで定義されているように、デフォルトの方式リストの名前を適用します。
                                  • 使用するアカウンティング方式リストの名前を指定します。 リスト名を指定しない場合は、デフォルト名が使用されます。 リストは、aaa accounting コマンドで作成されます。
                                  • 次に、方式リスト listname7 を使用したコマンド アカウンティングの例を示します。
                                   
                                  ステップ 4次のいずれかのコマンドを使用します。
                                  • end
                                  • commit


                                  例:
                                  RP/0/RSP0/CPU0:router(config)# end

                                  または

                                  RP/0/RSP0/CPU0:router(config)# commit
                                   

                                  設定変更を保存します。

                                  • end コマンドを実行すると、変更をコミットするように要求されます。
                                    Uncommitted changes found, commit them
                                    before exiting(yes/no/cancel)? [cancel]:
                                    
                                    • yes と入力すると、実行コンフィギュレーション ファイルに変更が保存され、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。
                                    • no と入力すると、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。変更はコミットされません。
                                    • cancel と入力すると、現在のコンフィギュレーション セッションが継続します。コンフィギュレーション セッションは終了せず、設定変更もコミットされません。
                                  • 実行コンフィギュレーション ファイルに設定変更を保存し、コンフィギュレーション セッションを継続するには、commit コマンドを使用します。
                                   
                                  次の作業

                                  AAA アカウンティング サービスをイネーブルにしてアカウンティング方式リストを適用したら、ログイン パラメータを設定します (ログイン パラメータの設定の項を参照)。

                                  ログイン パラメータの設定

                                  サーバがログインの応答を待機する間隔を設定します。

                                  手順の概要

                                    1.    configure

                                    2.    line template template-name

                                    3.    timeout login response seconds

                                    4.    次のいずれかのコマンドを使用します。

                                    • end
                                    • commit


                                  手順の詳細
                                     コマンドまたはアクション目的
                                    ステップ 1 configure


                                    例:
                                    RP/0/RSP0/CPU0:router# configure
                                     

                                    グローバル コンフィギュレーション モードを開始します。

                                     
                                    ステップ 2line template template-name


                                    例:
                                    RP/0/RSP0/CPU0:router(config)# line template alpha
                                    
                                     

                                    設定する回線を指定し、回線テンプレート コンフィギュレーション モードを開始します。

                                     
                                    ステップ 3timeout login response seconds


                                    例:
                                    RP/0/RSP0/CPU0:router(config-line)# timeout login response 20
                                    
                                     

                                    サーバがログインの応答を待機する間隔を設定します。

                                    • seconds 引数は、0 ~ 300 のタイムアウト間隔(秒数)を指定します。 デフォルトは 30 秒です。
                                    • この例では、インターバル タイマーを 20 秒に変更します。
                                     
                                    ステップ 4次のいずれかのコマンドを使用します。
                                    • end
                                    • commit


                                    例:
                                    RP/0/RSP0/CPU0:router(config)# end

                                    または

                                    RP/0/RSP0/CPU0:router(config)# commit
                                     

                                    設定変更を保存します。

                                    • end コマンドを実行すると、変更をコミットするように要求されます。
                                      Uncommitted changes found, commit them
                                      before exiting(yes/no/cancel)? [cancel]:
                                      
                                      • yes と入力すると、実行コンフィギュレーション ファイルに変更が保存され、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。
                                      • no と入力すると、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。変更はコミットされません。
                                      • cancel と入力すると、現在のコンフィギュレーション セッションが継続します。コンフィギュレーション セッションは終了せず、設定変更もコミットされません。
                                    • 実行コンフィギュレーション ファイルに設定変更を保存し、コンフィギュレーション セッションを継続するには、commit コマンドを使用します。
                                     

                                    AAA サービスの設定の設定例

                                    この項では、次の設定例について説明します。

                                    AAA サービスの設定:例

                                    次に、AAA サービスを設定する例を示します。

                                    認証方式リスト vty-authen が設定されます。 この例では、設定されたすべての TACACS+ サーバのリストを認証に使用する方式リストを指定します。 この方式が失敗した場合、ローカル ユーザ名データベース方式が認証に使用されます。

                                    configure
                                    aaa authentication login vty-authen group tacacs+ local
                                    

                                    PPP のデフォルトの方式リストは、ローカル方式を使用するように設定されます。

                                    aaa authentication ppp default local
                                    

                                    ユーザ名 user1 が、ログイン目的で作成され、安全なログイン パスワードが割り当てられ、user1 が root-system ユーザになります。 ユーザ名 user2 でも同様に設定します。

                                    username user1
                                    secret lab
                                    group root-system
                                    exit
                                    
                                    username user2
                                    secret lab
                                    exit
                                    

                                    タスク グループ tga が作成され、タスクが tga に追加されます。ユーザ グループ uga が作成され、uga が、タスク グループ tga から権限を継承するように設定されます。 説明がタスク グループ uga に追加されます。

                                    taskgroup tga
                                    task read bgp
                                    task write ospf
                                    exit
                                    
                                    usergroup uga
                                    taskgroup tga
                                    description usergroup uga
                                    exit
                                    

                                    ユーザ名 user2 が、ユーザ グループ uga から継承されます。

                                    username user2
                                    group uga
                                    exit
                                    

                                    3 台の TACACS サーバが設定されます。

                                    tacacs-server host 10.1.1.1 port 1 key abc
                                    tacacs-server host 10.2.2.2 port 2 key def
                                    tacacs-server host 10.3.3.3 port 3 key ghi
                                    

                                    ユーザ グループ priv5 が作成されます。これは、TACACS+ 方式で認証され、外部 TACACS+ デーモン コンフィギュレーション ファイルでのエントリの特権レベルは 5 です。

                                    usergroup priv5
                                    taskgroup operator
                                    exit
                                    

                                    認可方式リスト vty-author が設定されます。 次に、設定されているすべての TACACS+ サーバのリストを使用してコマンドが認可される例を示します。

                                    aaa authorization commands vty-author group tacacs+
                                    

                                    アカウンティング方式リスト vty-acct が設定されます。 次に、設定されているすべての TACACS+ サーバのリストを使用して start-stop コマンド アカウンティングが行われる例を示します。

                                    aaa accounting commands vty-acct start-stop group tacacs+
                                    

                                    TACACS+ 認証では、たとえば、特権レベル 8 が返され、ローカル ユーザ グループ priv8 が存在せず、同じ名前のローカル ユーザも存在しない場合、taskgroup-name 引数で tga を指定した aaa default-taskgroup コマンドを使用すると、このようなユーザにタスク グループ tga のタスクマップが提供されます。

                                    aaa default-taskgroup tga
                                    

                                    回線テンプレート vty に、回線パスワードが割り当てられます。これは、回線認証で使用され、ユーザ グループ uga を回線認証(使用される場合)に割り当てられるグループに指定します。また、vty-authen、vty-author および vty-acct をそれぞれ、認証、認可およびアカウンティングで使用される方式リストに指定します。

                                    line template vty
                                    password lab
                                    users group uga
                                    login authentication vty-authen
                                    authorization commands vty-author
                                    accounting commands vty-acct
                                    exit
                                    

                                    TACACS+ サーバ グループ abc が作成され、すでに設定されている TACACS+ サーバが追加されます。

                                    aaa group server tacacs+ abc
                                    server 10.3.3.3
                                    exit
                                    

                                    参考資料

                                    ここでは、AAA サービスの設定に関連する参考資料について説明します。

                                    関連資料

                                    関連項目

                                    ドキュメント名

                                    AAA サービスのコマンド:完全なコマンド構文、コマンド モード、コマンド履歴、デフォルト値、使用上の注意、例

                                    「Authentication, Authorization, and Accounting Commands on Cisco ASR 9000 シリーズ ルータ

                                    標準

                                    標準

                                    タイトル

                                    この機能でサポートが追加または変更された標準はありません。また、この機能で変更された既存の標準のサポートはありません。

                                    MIB

                                    MIB

                                    MIB リンク

                                    Cisco IOS XR ソフトウェアを使用して MIB を検出およびダウンロードするには、URL(http://cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml)にある Cisco MIB Locator を使用して、[Cisco Access Products] メニューでプラットフォームを選択します。

                                    RFC

                                    RFC

                                    タイトル

                                    この機能でサポートが追加または変更された RFC はありません。また、この機能で変更された既存の RFC のサポートはありません。

                                    シスコのテクニカル サポート

                                    説明

                                    リンク

                                    シスコのテクニカル サポート Web サイトには、数千ページに及ぶ検索可能な技術情報があります。製品、テクノロジー、ソリューション、技術的なヒント、およびツールへのリンクもあります。 Cisco.com に登録済みのユーザは、このページから詳細情報にアクセスできます。

                                    http://www.cisco.com/en/US/support/index.html