Cisco MDS 9000 ファミリー トラブルシューティング ガイド Release 3.x
RADIUS および TACACS+ のトラブル シューティング
RADIUS および TACACS+ のトラブルシューティング
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

RADIUS および TACACS+ のトラブルシューティング

AAA の概要

ベスト プラクティス

ライセンスの要件

トラブルシューティングの初期チェックリスト

Fabric Manager の一般的なトラブルシューティング ツール

CLI の一般的なトラブルシューティング用コマンド

AAA の問題

スイッチが AAA サーバと通信できない

RADIUS 設定の Fabric Manager による確認

RADIUS 設定の CLI による確認

TACACS+ 設定の Fabric Manager による確認

TACACS+ 設定の CLI による確認

RADIUS サーバ モニタ設定の Fabric Manager による確認

RADIUS サーバモニタ設定の CLI による確認

TACACS+ サーバ モニタ設定の Fabric Manager による確認

TACACS+ サーバ モニタ設定の CLI による確認

ユーザ認証の失敗

RADIUS サーバ グループの Fabric Manager による確認

RADIUS サーバ グループの CLI による確認

TACACS+ サーバ グループの Fabric Manager による確認

TACACS+ サーバ グループの CLI による確認

ユーザが設定済みのロールに属していない

ユーザが特定の機能にアクセスできない

RADIUS および TACACS+ の Cisco ACS によるトラブルシューティング

RADIUS および TACACS+ のトラブルシューティング

authentication, authorization, and accounting(AAA; 認証、認可、アカウンティング)メカニズムは、スイッチを管理するユーザの ID 確認、アクセス権付与、およびアクション追跡を実行します。Cisco MDS 9000 ファミリのすべてのスイッチでは、Remote Access Dial-In User Service(IRADIUS)および Terminal Access Controller Access Control System Plus(TACACS+)プロトコルを使用して、リモート AAA サーバによるソリューションを実装できます。

この章で説明する内容は、次のとおりです。

「AAA の概要」

「ベスト プラクティス」

「ライセンスの要件」

「トラブルシューティングの初期チェックリスト」

「AAA の問題」

「RADIUS および TACACS+ の Cisco ACS によるトラブルシューティング」

AAA の概要

スイッチでは、指定されたユーザ ID およびパスワードの組み合わせに基づいて、ローカル認証やローカル データベースによる許可、またはリモート認証や AAA サーバによる許可を実行します。スイッチと AAA サーバ間の通信は、事前共有秘密鍵によって保護されます。秘密鍵は、すべての AAA サーバまたは AAA サーバごとのグローバル鍵として設定できます。このセキュリティ メカニズムにより、AAA サーバを中央で管理できます。


) リモート AAA サーバによって認証されたユーザは、コマンド スケジューラを使用するジョブは作成できません。


ベスト プラクティス

ここでは、Cisco SAN-OS 製品の RADIUS および TACACS+ を実装する際のベスト プラクティスについて説明します。

IP で到達可能な少なくとも 1 つの AAA サーバを設定してください。

すべての AAA サーバが到達不能である場合にデフォルトで使用できるポリシーとして、適切なローカル AAA ポリシーを必ず設定してください。

CFS を使用して AAA サーバの設定を配信してください。


) AAA サーバ キーの配布は、CFS では行われません。各スイッチで AAA サーバ キーを手動で設定する必要があります。


AAA サーバ モニタリングを使用し、応答しない AAA サーバを自動的に検出してサーバ グループから削除するようにしてください。

aaa authentication login error-enable CLI コマンドを使用して、AAA サーバが認証要求に応答しないために認証プロセスがローカル認証にロールオーバーした場合に、コンソール メッセージを受け取るようにしてください。これは、コンソール メッセージだけに影響します。

複雑なアルファベットのログイン パスワードを使用することを義務づけてください。数字だけのユーザ名が AAA サーバ 上に存在し、ログイン中に入力された場合、そのユーザはログインできません。

ユーザ パスワードは、8 文字以上でなければなりません。

ライセンスの要件

すべての RADIUS および TACACS+ 機能は、Cisco SAN-OS によってスイッチまたはディレクタに実装されます。追加のライセンスは必要ありません。

トラブルシューティングの初期チェックリスト

AAA に関する問題のトラブルシューティングがある場合には、次の問題を確認します。

 

チェックリスト
確認済み

test aaa server CLI コマンドを使用して、AAA サーバへの接続を確認します。

 

AAA サーバ上の適切なアトリビュートをユーザ ロールに割り当てていることを確認します。

 

スイッチおよび AAA サーバの両方にある事前共有鍵が同じものであることを確認します。

 

すべてが数字のユーザ名またはパスワードが設定されていないことを確認します。

 

Fabric Manager の一般的なトラブルシューティング ツール

AAA に関する問題のトラブルシューティングを Fabric Manager を使用して行う手順は、次のとおりです。

Switches > Security > AAA > RADIUS を選択して、RADIUS の設定を表示します。

Switches > Security > AAA > TACACS+ を選択して、TACACS+ の設定を表示します。

Switches > Security > AAA を選択して、サーバ グループおよび AAA モニタのデッドタイム値を表示します。

CLI の一般的なトラブルシューティング用コマンド

AAA に関する問題のトラブルシューティングでは、次の CLI コマンドを使用します。

show aaa authentication

show user-account

show radius status

show radius-server

show tacacs+ status

show tacacs-server

問題の根本的な原因を特定するには、次の debug コマンドを使用します。

debug radius aaa-request

debug radius aaa-request-lowlevel

debug tacacs+ aaa-request and

debug tacacs+ aaa-request-lowlevel

AAA の問題

ここでは、AAA の一般的な問題について説明します。内容は、次のとおりです。

「スイッチが AAA サーバと通信できない」

「ユーザ認証の失敗」

「ユーザが設定済みのロールに属していない」

「ユーザが特定の機能にアクセスできない」

スイッチが AAA サーバと通信できない

さまざまな設定の誤りが原因で、Cisco SAN-OS スイッチが AAA サーバと通信できなくなることがあります。

現象 スイッチが AAA サーバと通信できない。

 

表17-1 スイッチが AAA サーバと通信できない

現象
考えられる原因
解決方法

スイッチが AAA サーバと通信できない。

不正な認証ポートまたはアカウンティング ポートが設定されていない。

AAA サーバ上で設定されている認証ポートまたはアカウンティング ポートと一致するように、これらのポートを再設定してください。

RADIUS サーバの詳細については、「RADIUS 設定の Fabric Manager による確認」および「RADIUS 設定の CLI による確認」を参照してください。

TACACS+ サーバの詳細については、「TACACS+ 設定の Fabric Manager による確認」および「TACACS+ 設定の CLI による確認」を参照してください。

不正な事前共有鍵が設定されている。

スイッチおよび AAA サーバ上の事前共有鍵が同じになるように再設定します。

RADIUS サーバの詳細については、「RADIUS 設定の Fabric Manager による確認」および「RADIUS 設定の CLI による確認」を参照してください。

TACACS+ サーバの詳細については、「TACACS+ 設定の Fabric Manager による確認」および「TACACS+ 設定の CLI による確認」を参照してください。

AAA サーバ モニタのデッドタイム値が高く設定されている。

デッドタイム値の設定を低くして、AAA サーバがより迅速に動作するようにします。

RADIUS サーバの詳細については、「RADIUS サーバ モニタ設定の Fabric Manager による確認」および「RADIUS サーバモニタ設定の CLI による確認」を参照してください。

TACACS+ サーバの詳細については、「TACACS+ サーバ モニタ設定の Fabric Manager による確認」および「TACACS+ サーバ モニタ設定の CLI による確認」を参照してください。

タイムアウト値が小さすぎる。

サーバのタイムアウト値を 10 秒以上に設定します。

RADIUS サーバの詳細については、「RADIUS サーバ モニタ設定の Fabric Manager による確認」および「RADIUS サーバモニタ設定の CLI による確認」を参照してください。

TACACS+ サーバの詳細については、「TACACS+ サーバ モニタ設定の Fabric Manager による確認」および「TACACS+ サーバ モニタ設定の CLI による確認」を参照してください。

RADIUS 設定の Fabric Manager による確認

Fabric Manager を使用して RADIUS 設定を確認または変更する手順は、次のとおりです。


ステップ 1 Switches > Security > AAA > RADIUS を選択し、続いて Servers タブを選択します。Information ペインに RADIUS 設定が表示されます。

ステップ 2 変更が必要なサーバを選択し、Delete Row をクリックしてこのサーバ設定を削除します。

ステップ 3 Create Row をクリックして、新しい RADIUS サーバを追加します。

ステップ 4 KeyType フィールドおよび Key フィールドに、RADIUS サーバ上で設定されている事前共有鍵を設定します。

ステップ 5 AuthPort フィールドおよび AcctPort フィールドに、RADIUS サーバ上で設定されている認証ポートおよびアカウンティング ポートを設定します。

ステップ 6 TimeOut 値を設定し、Apply をクリックしてこれらの変更を保存します。

ステップ 7 CFS タブを選択し、続いて Config Action ドロップダウン メニューから commit を選択します。さらに、Apply Changes をクリックして、これらの変更をファブリック内のすべてのスイッチに配信します。


 

RADIUS 設定の CLI による確認

CLI を使用して RADIUS 設定を確認または変更する手順は、次のとおりです。


ステップ 1 show radius-server コマンドを使用して、設定されている RADIUS パラメータを表示します。

switch# show radius-server
Global RADIUS shared secret:*******
retransmission count:5
timeout value:10
following RADIUS servers are configured:
myradius.cisco.users.com:
available for authentication on port:1812
available for accounting on port:1813
10.1.1.1:
available for authentication on port:1812
available for accounting on port:1813
RADIUS shared secret:******
10.2.2.3:
available for authentication on port:1812
available for accounting on port:1813
RADIUS shared secret:******
 

ステップ 2 radius-server host ip-address key コマンドを使用して、RADIUS サーバ上で設定されているものと一致する事前共有鍵を設定します。

ステップ 3 radius-server host ip-address auth-port コマンドを使用して、RADIUS サーバ上で設定されているものと一致する認証ポートを設定します。

ステップ 4 radius-server host ip-address acc-port コマンドを使用して、RADIUS サーバ上で設定されているものと一致するアカウンティング ポートを設定します。

ステップ 5 radius-server timeout コマンドを使用して、スイッチがタイムアウト エラーと判断するまですべての RADIUS サーバからの応答を待つ時間を、秒単位で設定します。

ステップ 6 radius commit コマンドを使用して、すべての変更をコミットし、ファブリック内にあるすべてのスイッチに配信します。


 

TACACS+ 設定の Fabric Manager による確認

Fabric Manager を使用して TACACS+ 設定を確認または変更する手順は、次のとおりです。


ステップ 1 Switches > Security > AAA > TACACS+ を選択し、続いて Servers タブを選択します。Information ペインに TACACS+ 設定が表示されます。

ステップ 2 変更が必要なサーバを選択し、Delete Row をクリックしてこのサーバ設定を削除します。

ステップ 3 Create Row をクリックして、新しい TACACS+ サーバを追加します。

ステップ 4 KeyType フィールドおよび Key フィールドに、TACACS+ サーバ上で設定されている事前共有鍵を設定します。

ステップ 5 AuthPort フィールドおよび AcctPort フィールドに、TACACS+ サーバ上で設定されている認証ポートおよびアカウンティング ポートを設定します。

ステップ 6 TimeOut 値を設定し、Apply をクリックしてこれらの変更を保存します。

ステップ 7 CFS タブを選択し、続いて Config Action ドロップダウン メニューから commit を選択します。さらに、Apply Changes をクリックして、これらの変更をファブリック内のすべてのスイッチに配信します。


 

TACACS+ 設定の CLI による確認

CLI を使用して TACACS+ 設定を確認または変更する手順は、次のとおりです。


ステップ 1 show tacacs -server コマンドを使用して、設定されている TACACS+ パラメータを表示します。

switch# show tacacs-server
Global TACACS+ shared secret:***********
timeout value:30
total number of servers:3
 
following TACACS+ servers are configured:
11.5.4.3:
available on port:2
cisco.com:
available on port:49
11.6.5.4:
available on port:49
TACACS+ shared secret:*****
 

ステップ 2 tacacs-server host ip-address key コマンドを使用して、TACACS+ サーバ上で設定されているものと一致する事前共有鍵を設定します。

ステップ 3 tacacs-server host ip-address port コマンドを使用して、TACACS+ サーバ上で設定されているものと一致する通信ポートを設定します。

ステップ 4 tacacs-server timeout コマンドを使用して、スイッチがタイムアウト エラーと判断するまですべての TACACS+ サーバからの応答を待つ時間を、秒単位で設定します。

ステップ 5 tacacs commit コマンドを使用して、すべての変更をコミットし、ファブリック内にあるすべてのスイッチに配信します。


 

RADIUS サーバ モニタ設定の Fabric Manager による確認

Fabric Manager を使用して RADIUS サーバ モニタ設定を確認または変更する手順は、次のとおりです。


ステップ 1 Switches > Security > AAA > RADIUS を選択し、続いて Servers タブを選択します。Information ペインに RADIUS 設定が表示されます。

ステップ 2 変更が必要なサーバを選択し、Delete Row をクリックしてこのサーバ設定を削除します。

ステップ 3 Create Row をクリックして、新しい RADIUS サーバを追加します。

ステップ 4 KeyType フィールドおよび Key フィールドに、RADIUS サーバ上で設定されている事前共有鍵を設定します。

ステップ 5 AuthPort フィールドおよび AcctPort フィールドに、RADIUS サーバ上で設定されている認証ポートおよびアカウンティング ポートを設定します。

ステップ 6 Idle Time フィールドを指定して、サーバが引き続き機能していることを確認するためのテスト メッセージを送信する前に、RADIUS サーバがアイドル状態になるまでスイッチが待機する時間を設定します。

ステップ 7 TimeOut 値を設定し、Apply をクリックしてこれらの変更を保存します。

ステップ 8 CFS タブを選択し、続いて Config Action ドロップダウン メニューから commit を選択します。さらに、Apply Changes をクリックして、これらの変更をファブリック内のすべてのスイッチに配信します。

ステップ 9 Switches > Security > AAA を選択し、Create Row をクリックしてサーバ グループを作成します。

ステップ 10 サーバ グループを設定するスイッチのリストをチェックします。

ステップ 11 Server List フィールドに、RADIUS サーバのカンマ区切りリストを設定します。

ステップ 12 Deadtime フィールドに、デッド サーバを再テストするまでのスイッチの待機時間を設定し、Apply をクリックしてこれらの変更を保存します。


 

RADIUS サーバモニタ設定の CLI による確認

CLI を使用して RADIUS サーバ モニタ設定を確認または変更する手順は、次のとおりです。


ステップ 1 show running-config コマンドを使用して、サーバ モニタに関する RADIUS 設定を表示します。

switch# show running-config | begin radius
radius-server deadtime 40
radius-server host 10.1.1.1 key 7 “VagwwtFjq” authentication accounting timeout 20 retransmit 5
radius-server host 10.1.1.1 test idle-time 30
 

ステップ 2 radius-server host ip address test idle-time コマンドを使用して、サーバが引き続き機能していることを確認するためのテスト メッセージを送信する前に、RADIUS サーバがアイドル状態になるまでスイッチが待機する時間を設定します。

ステップ 3 radius-server deadtime コマンドを使用して、デッド サーバを再テストするまでのスイッチの待機時間を設定します。

ステップ 4 radius commit コマンドを使用して、すべての変更をコミットし、ファブリック内にあるすべてのスイッチに配信します。


 

TACACS+ サーバ モニタ設定の Fabric Manager による確認

Fabric Manager を使用して TACACS+ サーバ モニタ設定を確認または変更する手順は、次のとおりです。


ステップ 1 Switches > Security > AAA > TACACS+ を選択し、続いて Servers タブを選択します。Information ペインに TACACS+ 設定が表示されます。

ステップ 2 変更が必要なサーバを選択し、Delete Row をクリックしてこのサーバ設定を削除します。

ステップ 3 Create Row をクリックして、新しい TACACS+ サーバを追加します。

ステップ 4 KeyType フィールドおよび Key フィールドに、TACACS+ サーバ上で設定されている事前共有鍵を設定します。

ステップ 5 AuthPort フィールドおよび AcctPort フィールドに、TACACS+ サーバ上で設定されている認証ポートおよびアカウンティング ポートを設定します。

ステップ 6 Idle Time フィールドを指定して、サーバが引き続き機能していることを確認するためのテスト メッセージを送信する前に、TACACS+ サーバがアイドル状態になるまでスイッチが待機する時間を設定します。

ステップ 7 TimeOut 値を設定し、Apply をクリックしてこれらの変更を保存します。

ステップ 8 CFS タブを選択し、続いて Config Action ドロップダウン メニューから commit を選択します。さらに、Apply Changes をクリックして、これらの変更をファブリック内のすべてのスイッチに配信します。

ステップ 9 Switches > Security > AAA を選択し、Create Row をクリックしてサーバ グループを作成します。

ステップ 10 サーバ グループを設定するスイッチのリストをチェックします。

ステップ 11 Server List フィールドに、TACACS+ サーバのカンマ区切りリストを設定します。

ステップ 12 Deadtime フィールドに、デッド サーバを再テストするまでのスイッチの待機時間を設定し、Apply をクリックしてこれらの変更を保存します。


 

TACACS+ サーバ モニタ設定の CLI による確認

CLI を使用して TACACS+ サーバ モニタ設定を確認または変更する手順は、次のとおりです。


ステップ 1 show running-config コマンドを使用して、サーバ モニタに関する TACACS+ 設定を表示します。

switch# show running-config | begin tacacs
tacacs-server deadtime 40
tacacs-server host 11.6.5.4 key 7 “VagwwtFjq”
tacacs-server host 11.6.5.4 test idle-time 30
 

ステップ 2 tacacs-server host ip address test idle-time コマンドを使用して、サーバが引き続き機能していることを確認するためのテスト メッセージを送信する前に、TACACS+ サーバがアイドル状態になるまでスイッチが待機する時間を設定します。

ステップ 3 tacacs-server deadtime コマンドを使用して、デッド サーバを再テストするまでのスイッチの待機時間を設定します。

ステップ 4 tacacs commit コマンドを使用して、すべての変更をコミットし、ファブリック内にあるすべてのスイッチに配信します。


 

ユーザ認証の失敗

現象 ユーザ認証が失敗する。

 

表17-2 ユーザ認証の失敗

現象
考えられる原因
解決方法

ユーザ認証が失敗する。

不正な AAA 方式が設定されている。

設定されている AAA 方式のリストの先頭に、適切な RADIUS または TACACS+ サーバ グループがあることを確認します。

RADIUS サーバの詳細については、「RADIUS 設定の Fabric Manager による確認」および「RADIUS 設定の CLI による確認」を参照してください。

TACACS+ サーバの詳細については、「TACACS+ 設定の Fabric Manager による確認」および「TACACS+ 設定の CLI による確認」を参照してください。

不正な認証ポートが設定されているか、またはサーバのタイムアウト値が不正である。

AAA サーバ上で設定されている認証ポートと一致するようにポートを再設定するか、またはタイムアウト値により大きな値を設定します。

RADIUS サーバの詳細については、「RADIUS 設定の Fabric Manager による確認」および「RADIUS 設定の CLI による確認」を参照してください。

TACACS+ サーバの詳細については、「TACACS+ 設定の Fabric Manager による確認」および「TACACS+ 設定の CLI による確認」を参照してください。

AAA サーバでユーザが設定されていない。

ユーザ名、パスワード、およびロールを AAA サーバに追加します。詳細については、サーバのマニュアルを参照してください。

サーバ グループに AAA サーバが設定されていない。

設定されたサーバ グループに適切な AAA サーバを追加してください。

RADIUS サーバの詳細については、「RADIUS サーバ グループの Fabric Manager による確認」および「RADIUS サーバ グループの CLI による確認」を参照してください。

TACACS+ サーバの詳細については、「TACACS+ サーバ グループの Fabric Manager による確認」および「TACACS+ サーバ グループの CLI による確認」を参照してください。

RADIUS サーバ グループの Fabric Manager による確認

Fabric Manager を使用して RADIUS サーバ グループを確認または変更する手順は、次のとおりです。


ステップ 1 Switches > Security > AAA を選択し、Create Row をクリックしてサーバ グループを作成します。

ステップ 2 サーバ グループを設定するスイッチのリストをチェックします。

ステップ 3 Server List フィールドに、RADIUS サーバのカンマ区切りリストを設定します。

ステップ 4 Deadtime フィールドに、デッド サーバを再テストするまでのスイッチの待機時間を設定し、Apply をクリックしてこれらの変更を保存します。


 

RADIUS サーバ グループの CLI による確認

CLI を使用して RADIUS サーバ グループを確認または変更する手順は、次のとおりです。


ステップ 1 show running-config コマンドを使用して、サーバ グループに関する RADIUS 設定を表示します。

switch# show running-config | begin aaa
aaa group server radius RadiusGroup
server 10.1.1.1
server 10.2.3.4
 
aaa group server tacacs TacacsGroup
server 11.5.4.3
server 11.6.5.4
 

ステップ 2 aaa group server radius コマンドを使用して、このサーバ グループ内にある目的の RADIUS サーバを設定します。


) CFS では、AAA サーバ グループを配信しません。この設定は、ファブリック内の関連するすべてのスイッチにコピーする必要があります。



 

TACACS+ サーバ グループの Fabric Manager による確認

Fabric Manager を使用して TACACS+ サーバ グループを確認または変更する手順は、次のとおりです。


ステップ 1 Switches > Security > AAA を選択し、Create Row をクリックしてサーバ グループを作成します。

ステップ 2 サーバ グループを設定するスイッチのリストをチェックします。

ステップ 3 Server List フィールドに、TACACS+ サーバのカンマ区切りリストを設定します。

ステップ 4 Deadtime フィールドに、デッド サーバを再テストするまでのスイッチの待機時間を設定し、Apply をクリックしてこれらの変更を保存します。


 

TACACS+ サーバ グループの CLI による確認

CLI を使用して TACACS+ サーバ グループを確認または変更する手順は、次のとおりです。


ステップ 1 show running-config コマンドを使用して、サーバ グループに関する TACACS+ 設定を表示します。

switch# show running-config | begin aaa
aaa group server radius RadiusGroup
server 10.1.1.1
server 10.2.3.4
 
aaa group server tacacs TacacsGroup
server 11.5.4.3
server 11.6.5.4
 

ステップ 2 aaa group server tacacs コマンドを使用して、このサーバ グループ内にある目的の TACACS+ サーバを設定します。


) CFS では、AAA サーバ グループを配信しません。この設定は、ファブリック内の関連するすべてのスイッチにコピーする必要があります。



 

ユーザが設定済みのロールに属していない

現象 ユーザが設定済みのロールに属していない。

 

表17-3 ユーザが設定済みのロールに属していない

現象
考えられる原因
解決方法

ユーザが設定済みのロールに属していない。

AAA サーバ上のユーザ設定に、ロールの属性セットがない。

RADIUS の場合は、次の行を使用して、サーバ上のロールでベンダー固有属性を設定します。

Cisco-AVPair = shell:roles="rolename1 rolename2".

TACACS+ の場合は、次の行を使用して、サーバ上でロールの属性と値のペアを設定します。

roles=" rolename1 rolename2 ".

スイッチ上ですべてのロールが定義されていることを確認してください。

ユーザが特定の機能にアクセスできない

現象 ユーザが特定の機能にアクセスできない。

 

表17-4 ユーザが特定の機能にアクセスできない

現象
考えられる原因
解決方法

ユーザが特定の機能にアクセスできない。

ユーザに不正なロールが割り当てられている。

RADIUS の場合は、次の行を使用して、サーバ上のロールでベンダー固有属性を設定します。

Cisco-AVPair = shell:roles="rolename1 rolename2".

TACACS+ の場合は、次の行を使用して、サーバ上のロールで属性と値のペアを設定します。

roles=" rolename1 rolename2" .

スイッチ上ですべてのロールが定義されていることを確認してください。

ロールが適切なアクセス用に設定されていない。

第 18 章「ユーザおよびロールのトラブルシューティング」 を参照してください。

RADIUS および TACACS+ の Cisco ACS によるトラブルシューティング

Cisco ACS を使用して RADIUS および TACACS+ に関する問題のトラブルシューティングを行う手順は、次のとおりです。


ステップ 1 Cisco ACS で Network Configuration を選択して AAA Clients テーブルを表示し、Cisco SAN-OS スイッチが Cisco ACS 上で AAA クライアントとして設定されていることを確認します。

ステップ 2 User Setup > User Data Configuration を選択して、ユーザが設定されていることを確認します。

ステップ 3 ユーザの Cisco IOS/PIX RADIUS Attributes フィールドを表示します。AVペアで、ユーザに正しいロールが割り当てられていることを確認します。たとえば、 shell:roles="network-admin" です。


) Cisco IOS/PIX RADIUS Attributes フィールドでは、大文字と小文字が区別されます。AVペアに表示されているロールが Cisco SAN-OS スイッチ上に存在していることを確認します。


ステップ 4 Cisco IOS/PIX RADIUS Attributes フィールドが表示されない場合は、次の手順に従います。

a. Interface > RADIUS (Cisco IOS/PIX) を選択します。

b. cisco-av-pair オプションの User チェックボックスおよび Group チェックボックスをオンし、Submit をクリックします。

c. User Setup > User Data Configuration を選択して AVペアを追加し、各ユーザに正しいロールを割り当てます。

ステップ 5 System Configuration > Logging を選択してログを有効にし、認証の試みが失敗した原因を調べます。

ステップ 6 Reports and Activity を選択して、生成されたログを表示します。

ステップ 7 Cisco SAN-OS スイッチ上で show radius-server コマンドを使用して、RADIUS サーバのタイムアウト値が 5 秒以上に設定されていることを確認します。


 

詳細については、次の Web サイトで『User guide for Cisco Secure ACS』を参照してください。

http://cisco.com/en/US/products/sw/secursw/ps2086/products_user_guide_list.html