セキュリティ コンフィギュレーション ガイド、Cisco IOS XE Release 3SE(Catalyst 3650 スイッチ)
TACACS+ の設定
TACACS+ の設定

目次

TACACS+ の設定

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。

プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator には、http:/​/​www.cisco.com/​go/​cfn からアクセスします。 Cisco.com のアカウントは必要ありません。

Terminal Access Controller Access Control System Plus(TACACS+)によるスイッチ アクセスの制御の前提条件

Terminal Access Controller Access Control System Plus(TACACS+)によるスイッチ アクセスのセット アップと設定の前提条件は、次のとおりです(示されている順序で実行する必要があります)。

  1. スイッチに TACACS+ サーバ アドレスとスイッチを設定します。

  2. 認証キーを設定します。

  3. TACACS+ サーバで手順 2 からキーを設定します。

  4. AAA をイネーブルにします。

  5. ログイン認証方式リストを作成します。

  6. 端末回線にリストを適用します。

  7. 認証およびアカウンティング方式のリストを作成します。

TACACS+ によるスイッチ アクセスの制御の前提条件は、次のとおりです。

  • スイッチ上で TACACS+ 機能を設定するには、設定済みの TACACS+ サーバにアクセスする必要があります。 また、通常 LINUX または Windows ワークステーション上で稼働する TACACS+ デーモンのデータベースで管理されている TACACS+ サービスにもアクセスする必要があります。

  • スイッチ スタックと TACACS+ サーバとの間に冗長接続を設定することを推奨します。 これによって、接続済みのスタック メンバの 1 つがスイッチ スタックから削除された場合でも、TACACS+ サーバにアクセスできます。

  • スイッチで TACACS+ を使用するには、TACACS+ デーモン ソフトウェアが稼働するシステムが必要です。

  • TACACS+ を使用するには、それをイネーブルにする必要があります。

  • 許可は、使用するスイッチでイネーブルにする必要があります。

  • ユーザは TACACS+ 許可に進む前に、まず TACACS+ 認証を正常に完了する必要があります。

  • この項または他の項で示す AAA コマンドを使用するには、まず aaa new-model コマンドを使用して AAA をイネーブルにする必要があります。

  • 最低限、TACACS+ デーモンを維持するホスト(1 つまたは複数)を特定し、TACACS+ 認証の方式リストを定義する必要があります。 また、任意で TACACS+ 許可およびアカウンティングの方式リストを定義できます。

  • 方式リストは実行される認証のタイプと実行順序を定義します。このリストを特定のポートに適用してから、定義済み認証方式を実行する必要があります。 唯一の例外はデフォルトの方式リスト(偶然に default と名前が付けられている)です。 デフォルトの方式リストは、名前付き方式リストを明示的に定義されたインターフェイスを除いて、自動的にすべてのポートに適用されます。 定義済みの方式リストは、デフォルトの方式リストに優先します。

  • TACACS+ を使用して認証を行った場合は、TACACS+ を使用して特権 EXEC アクセスを許可します。

  • 認証に TACACS+ を使用しなかった場合は、ローカル データベースを使用します。

TACACS+ について

TACACS+ およびスイッチ アクセス

ここでは、TACACS+ について説明します。 TACACS+ は詳細なアカウンティング情報を提供し、認証と許可のプロセスを柔軟に管理します。 TACACS+ は、認証、許可、アカウンティング(AAA)機能により拡張されており、TACACS+ をイネーブルにするには AAA コマンドを使用する必要があります。

スイッチは、IPv6 対応の TACACS+ をサポートします。 情報については、『Cisco IOS XE IPv6 Configuration Guide, Release 2』の「Implementing ADSL for IPv6」の章の「TACACS+ Over an IPv6 Transport」の項を参照してください。

この機能の設定に関する詳細については、『Cisco IOS XE IPv6 Configuration Guide, Release 2』の「Implementing ADSL for IPv6」の章の「Configuring TACACS+ over IPv6」の項を参照してください。


(注)  


ここで使用するコマンドの構文および使用方法の詳細については、『Cisco IOS Security Command Reference, Release 12.4』および『Cisco IOS IPv6 Command Reference』を参照してください。


TACACS+ の概要

TACACS+ は、スイッチにアクセスしようとするユーザの検証を集中的に行うセキュリティ アプリケーションです。

TACACS+ では、独立したモジュラ型の認証、許可、アカウンティング機能が提供されます。 TACACS+ では、単一のアクセス コントロール サーバ(TACACS+ デーモン)が各サービス(認証、許可、およびアカウンティング)を別個に提供します。 各サービスを固有のデータベースに結合し、デーモンの機能に応じてそのサーバまたはネットワークで使用できる他のサービスを使用できます。

TACACS+ の目的は、1 つの管理サービスから複数のネットワーク アクセス ポイントを管理する方式を提供することです。 スイッチは、他の Cisco ルータやアクセス サーバとともにネットワーク アクセス サーバにできます。

図 1. 一般的な TACACS+ ネットワーク構成

TACACS+ は、AAA セキュリティ サービスによって管理され、次のようなサービスを提供します。

  • 認証:ログインおよびパスワード ダイアログ、チャレンジおよび応答、メッセージ サポートによって認証の完全制御を行います。

    認証機能は、ユーザとの対話を実行できます(たとえば、ユーザ名とパスワードが入力された後、自宅の住所、母親の旧姓、サービス タイプ、社会保険番号などのいくつかの質問をすることによりユーザを試します)。 TACACS+ 認証サービスは、ユーザ画面にメッセージを送信することもできます。 たとえば、会社のパスワード有効期間ポリシーに従い、パスワードの変更の必要があることをユーザに通知することもできます。

  • 許可:autocommand、アクセス コントロール、セッション期間、プロトコル サポートの設定といった、ユーザ セッション時のユーザ機能についてきめ細かく制御します。 また、TACACS+ 許可機能によって、ユーザが実行できるコマンドを制限することもできます。

  • アカウンティング:課金、監査、およびレポートに使用する情報を収集して TACACS+ デーモンに送信します。 ネットワークの管理者は、アカウンティング機能を使用して、セキュリティ監査のためにユーザの活動状況をトラッキングしたり、ユーザ課金用の情報を提供したりできます。 アカウンティング レコードには、ユーザ ID、開始時刻および終了時刻、実行されたコマンド(PPP など)、パケット数、およびバイト数が含まれます。

TACACS+ プロトコルは、スイッチと TACACS+ デーモン間の認証を行い、スイッチと TACACS+ デーモン間のプロトコル交換をすべて暗号化することによって機密保持を実現します。

TACACS+ の動作

ユーザが、TACACS+ を使用しているスイッチに対して簡易 ASCII ログインを試行し、認証が必要になると、次のプロセスが発生します。

  1. 接続が確立されると、スイッチは TACACS+ デーモンに接続してユーザ名プロンプトを取得し、これをユーザに表示します。 ユーザがユーザ名を入力すると、スイッチは TACACS+ デーモンに接続してパスワード プロンプトを取得します。 スイッチによってパスワード プロンプトが表示され、ユーザがパスワードを入力すると、そのパスワードが TACACS+ デーモンに送信されます。

    TACACS+ によって、デーモンとユーザとの間の対話が可能になり、デーモンはユーザを認証できるだけの情報を取得できるようになります。 デーモンは、ユーザ名とパスワードの組み合わせを入力するよう求めますが、ユーザの母親の旧姓など、その他の項目を含めることもできます。

  2. スイッチは、最終的に TACACS+ デーモンから次のいずれかの応答を得ます。

    • ACCEPT:ユーザが認証され、サービスを開始できます。 許可を必要とするようにスイッチが設定されている場合は、この時点で許可処理が開始されます。

    • REJECT:ユーザは認証されません。 TACACS+ デーモンに応じて、ユーザはアクセスを拒否されるか、ログイン シーケンスを再試行するように求められます。

    • ERROR:デーモンによる認証サービスのある時点で、またはデーモンとスイッチの間のネットワーク接続においてエラーが発生しました。 ERROR 応答が表示された場合は、スイッチは、通常別の方法でユーザを認証しようとします。

    • CONTINUE:ユーザは、さらに認証情報の入力を求められます。

    認証後、スイッチで許可がイネーブルになっている場合、ユーザは追加の許可フェーズに入ります。 ユーザは TACACS+ 許可に進む前に、まず TACACS+ 認証を正常に完了する必要があります。

  3. TACACS+ 許可が必要な場合は、再び TACACS+ デーモンに接続し、デーモンが ACCEPT または REJECT の許可応答を返します。 ACCEPT 応答が返された場合は、その応答に、そのユーザおよびそのユーザがアクセスできるサービスの、EXEC または NETWORK セッション宛ての属性の形式でデータが含まれています。

    • Telnet、Secure Shell(SSH; セキュア シェル)、rlogin、または特権 EXEC サービス

    • 接続パラメータ(ホストまたはクライアントの IP アドレス、アクセス リスト、およびユーザ タイムアウトを含む)

方式リストの説明

方式リストによって、ユーザの認証、許可、またはアカウント維持のための順序と方式を定義します。 方式リストを使用して、使用するセキュリティ プロトコルを 1 つまたは複数指定できるので、最初の方式が失敗した場合のバックアップ システムが確保されます。 ソフトウェアは、リスト内の最初の方式を使用してユーザの認証、許可、アカウントの維持を行います。その方式で応答が得られなかった場合、ソフトウェアはそのリストから次の方式を選択します。 このプロセスは、リスト内の方式による通信が成功するか、方式リストの方式をすべて試し終わるまで続きます。

関連コンセプト

TACACS+ 設定オプション

認証用に 1 つのサーバを使用することも、また、既存のサーバ ホストをグループ化するために AAA サーバ グループを使用するように設定することもできます。 サーバをグループ化して設定済みサーバ ホストのサブセットを選択し、特定のサービスにそのサーバを使用できます。 サーバ グループは、グローバル サーバ ホスト リストとともに使用され、選択されたサーバ ホストの IP アドレスのリストが含まれています。

TACACS+ ログイン認証

方式リストは、ユーザ認証のためクエリ送信を行う手順と認証方式を記述したものです。 認証に使用する 1 つまたは複数のセキュリティ プロトコルを指定できるので、最初の方式が失敗した場合のバックアップ システムが確保されます。 ソフトウェアは、リスト内の最初の方式を使用してユーザを認証します。その方式で応答が得られなかった場合、ソフトウェアはそのリストから次の認証方式を選択します。 このプロセスは、リスト内の認証方式による通信が成功するか、定義された方式をすべて試し終わるまで繰り返されます。 この処理のある時点で認証が失敗した場合(つまり、セキュリティ サーバまたはローカルのユーザ名データベースがユーザ アクセスを拒否すると応答した場合)、認証プロセスは停止し、それ以上認証方式が試行されることはありません。

特権 EXEC アクセスおよびネットワーク サービス用の TACACS+ 許可

AAA 許可によってユーザが使用できるサービスが制限されます。 AAA 許可がイネーブルに設定されていると、スイッチはユーザのプロファイルから取得した情報を使用します。このプロファイルは、ローカルのユーザ データベースまたはセキュリティ サーバ上にあり、ユーザのセッションを設定します。 ユーザは、ユーザ プロファイル内の情報で認められている場合に限り、要求したサービスのアクセスが許可されます。

TACACS+ アカウンティング

AAA アカウンティング機能は、ユーザがアクセスしたサービスと、消費したネットワーク リソース量をトラッキングします。 AAA アカウンティングをイネーブルにすると、スイッチはユーザの活動状況をアカウンティング レコードの形式で TACACS+ セキュリティ サーバに報告します。 各アカウンティング レコードにはアカウンティングの Attribute-Value(AV)ペアが含まれ、レコードはセキュリティ サーバに格納されます。 このデータを、ネットワーク管理、クライアント請求、または監査のために分析できます。

TACACS+ のデフォルト設定

TACACS+ および AAA は、デフォルトではディセーブルに設定されています。

セキュリティの失効を防止するため、ネットワーク管理アプリケーションを使用して TACACS+ を設定することはできません。 TACACS+ をイネーブルに設定した場合、CLI を通じてスイッチにアクセスするユーザを認証できます。


(注)  


TACACS+ の設定は CLI を使用して行いますが、TACACS+ サーバは権限レベル 15 に設定された HTTP 接続を許可します。


TACACS+ を設定する方法

ここでは、TACACS+ をサポートするようにスイッチを設定する方法について説明します。

関連コンセプト

TACACS+ サーバ ホストの特定および認証キーの設定

TACACS+ サーバ ホストを指定し、認証キーを設定するには、特権 EXEC モードで次の手順を実行します。

手順の概要

    1.    configure terminal

    2.    tacacs-server host hostname

    3.    aaa new-model

    4.    aaa group server tacacs+ group-name

    5.    server ip-address

    6.    end


手順の詳細
     コマンドまたはアクション目的
    ステップ 1configure terminal


    例:
    
    Switch# configure terminal
    
    
     

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 2tacacs-server host hostname


    例:
    Switch(config)# tacacs-server host yourserver
    
    
     

    TACACS+ サーバを維持する IP ホストを特定します。 このコマンドを複数回入力して、優先ホストのリストを作成します。 ソフトウェアは、指定された順序でホストを検索します。

    hostname には、ホストの名前または IP アドレスを指定します。

     
    ステップ 3aaa new-model


    例:
    Switch(config)# aaa new-model
    
    
     

    AAA をイネーブルにします。

     
    ステップ 4aaa group server tacacs+ group-name


    例:
    Switch(config)# aaa group server tacacs+ your_server_group
    
    
     

    (任意)グループ名で AAA サーバグループを定義します。

    このコマンドによって、スイッチはサーバ グループ サブコンフィギュレーション モードになります。

     
    ステップ 5server ip-address


    例:
    Switch(config)# server 10.1.2.3
    
    
     

    (任意)特定の TACACS+ サーバを定義済みサーバ グループに関連付けます。 AAA サーバ グループの TACACS+ サーバごとに、このステップを繰り返します。

    グループの各サーバは、ステップ 2 で定義済みのものでなければなりません。

     
    ステップ 6end


    例:
    
    Switch(config)# end
    
    
     

    特権 EXEC モードに戻ります。

     
    関連コンセプト

    TACACS+ ログイン認証の設定

    TACACS+ ログイン認証を設定するには、特権 EXEC モードで次の手順を実行します。

    はじめる前に

    AAA 認証を設定するには、認証方式の名前付きリストを作成してから、各種ポートにそのリストを適用します。


    (注)  


    AAA 方式を使用して HTTP アクセスに対しスイッチのセキュリティを確保するには、ip http authentication aaa グローバル コンフィギュレーション コマンドでスイッチを設定する必要があります。 AAA 認証を設定しても、AAA 方式を使用した HTTP アクセスに対しスイッチのセキュリティは確保しません。


    ip http authentication コマンドの詳細については、『Cisco IOS Security Command Reference, Release 12.4』を参照してください。

    手順の概要

      1.    configure terminal

      2.    aaa new-model

      3.    aaa authentication login {default | list-name} method1 [method2...]

      4.    line [console | tty | vty] line-number [ending-line-number]

      5.    login authentication {default | list-name}

      6.    end


    手順の詳細
       コマンドまたはアクション目的
      ステップ 1configure terminal


      例:
      
      Switch# configure terminal
      
      
       

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 2aaa new-model


      例:
      Switch(config)# aaa new-model
      
      
       

      AAA をイネーブルにします。

       
      ステップ 3aaa authentication login {default | list-name} method1 [method2...]


      例:
      Switch(config)# aaa authentication login default tacacs+ local
      
      
       

      ログイン認証方式リストを作成します。

      • login authentication コマンドに名前付きリストが指定されなかった場合に使用されるデフォルトのリストを作成するには、default キーワードの後ろにデフォルト状況で使用する方式を指定します。 デフォルトの方式リストは、自動的にすべてのポートに適用されます。

      • list-name には、作成するリストの名前として使用する文字列を指定します。

      • method1... には、認証アルゴリズムが試行する実際の方式を指定します。 追加の認証方式は、その前の方式でエラーが返された場合に限り使用されます。前の方式が失敗した場合は使用されません。

      次のいずれかの方式を選択します。

      • enable:イネーブル パスワードを認証に使用します。 この認証方式を使用するには、あらかじめ enable password グローバル コンフィギュレーション コマンドを使用してイネーブル パスワードを定義しておく必要があります。

      • group tacacs+:TACACS+ 認証を使用します。 この認証方式を使用するには、あらかじめ TACACS+ サーバを設定しておく必要があります。 詳細については、TACACS+ サーバ ホストの特定および認証キーの設定を参照してください。

      • line:回線パスワードを認証に使用します。 この認証方式を使用するには、あらかじめ回線パスワードを定義しておく必要があります。 password password ライン コンフィギュレーション コマンドを使用します。

      • local:ローカル ユーザ名データベースを認証に使用します。 データベースにユーザ名情報を入力しておく必要があります。 username password グローバル コンフィギュレーション コマンドを使用します。

      • local-case:大文字と小文字が区別されるローカル ユーザ名データベースを認証に使用します。 username name password グローバル コンフィギュレーション コマンドを使用して、ユーザ名情報をデータベースに入力する必要があります。

      • none:ログインに認証を使用しません。

       
      ステップ 4line [console | tty | vty] line-number [ending-line-number]


      例:
      Switch(config)# line 2 4
      
      
       

      ライン コンフィギュレーション モードを開始し、認証リストを適用する回線を設定します。

       
      ステップ 5login authentication {default | list-name}


      例:
      Switch(config-line)# login authentication default
      
      
       

      1 つの回線または複数回線に認証リストを適用します。

      • default を指定する場合は、aaa authentication login コマンドで作成したデフォルトのリストを使用します。

      • list-name には、aaa authentication login コマンドで作成したリストを指定します。

       
      ステップ 6end


      例:
      Switch(config-line)# end
      
      
       

      特権 EXEC モードに戻ります。

       
      関連コンセプト

      特権 EXEC アクセスおよびネットワーク サービス用の TACACS+ 許可の設定

      グローバル コンフィギュレーション コマンド aaa authorization tacacs+ キーワードを使用すると、ユーザのネットワーク アクセスを特権 EXEC モードに制限するパラメータを設定できます。

      aaa authorization exec tacacs+ local コマンドは、次の許可パラメータを設定します。

      • TACACS+ を使用して認証を行った場合は、TACACS+ を使用して特権 EXEC アクセスを許可します。

      • 認証に TACACS+ を使用しなかった場合は、ローカル データベースを使用します。


      (注)  


      許可が設定されていても、CLI を使用してログインし、認証されたユーザに対しては、許可は省略されます。


      手順の概要

        1.    configure terminal

        2.    aaa authorization network tacacs+

        3.    aaa authorization exec tacacs+

        4.    end


      手順の詳細
         コマンドまたはアクション目的
        ステップ 1configure terminal


        例:
        
        Switch# configure terminal
        
        
         

        グローバル コンフィギュレーション モードを開始します。

         
        ステップ 2aaa authorization network tacacs+


        例:
        Switch(config)# aaa authorization network tacacs+
        
        
         

        ネットワーク関連のすべてのサービス要求に対してユーザ TACACS+ 許可を行うことを設定します。

         
        ステップ 3aaa authorization exec tacacs+


        例:
        Switch(config)# aaa authorization exec tacacs+
        
        
         

        ユーザの特権 EXEC アクセスに対してユーザ TACACS+ 許可を行うことを設定します。

        exec キーワードを指定すると、ユーザ プロファイル情報(autocommand 情報など)が返される場合があります。

         
        ステップ 4end


        例:
        
        Switch(config)# end
        
        
         

        特権 EXEC モードに戻ります。

         

        TACACS+ アカウンティングの起動

        TACACS+ アカウンティングを起動するには、特権 EXEC モードで次の手順を実行します。

        手順の概要

          1.    configure terminal

          2.    aaa accounting network start-stop tacacs+

          3.    aaa accounting exec start-stop tacacs+

          4.    end


        手順の詳細
           コマンドまたはアクション目的
          ステップ 1configure terminal


          例:
          
          Switch# configure terminal
          
          
           

          グローバル コンフィギュレーション モードを開始します。

           
          ステップ 2aaa accounting network start-stop tacacs+


          例:
          Switch(config)# aaa accounting network start-stop tacacs+
          
          
           

          ネットワーク関連のすべてのサービス要求について、TACACS+ アカウンティングをイネーブルにします。

           
          ステップ 3aaa accounting exec start-stop tacacs+


          例:
          Switch(config)# aaa accounting exec start-stop tacacs+
          
          
           

          TACACS+ アカウンティングをイネーブルにして、特権 EXEC プロセスの最初に記録開始アカウンティング通知、最後に記録停止通知を送信します。

           
          ステップ 4end


          例:
          
          Switch(config)# end
          
          
           

          特権 EXEC モードに戻ります。

           
          次の作業

          AAA サーバが到達不能の場合に、ルータとのセッションを確立するには、aaa accounting system guarantee-first コマンドを使用します。 これは、最初のレコードとしてシステム アカウンティングを保証します(これがデフォルトの条件です) 場合によっては、システムがリロードされるまでコンソールまたは端末接続でセッションを開始できない場合があります。システムのリロードにかかる時間は 3 分を超えることがあります。

          ルータのリロード時に AAA サーバが到達不能な場合、ルータとのコンソールまたは Telnet セッションを確立するには、no aaa accounting system guarantee-first コマンドを使用します。

          関連コンセプト

          AAA サーバが到達不能な場合のルータとのセッションの確立

          AAA サーバが到達不能の場合に、ルータとのセッションを確立するには、aaa accounting system guarantee-first コマンドを使用します。 これは、最初のレコードとしてシステム アカウンティングを保証します(これがデフォルトの条件です) 場合によっては、システムがリロードされるまでコンソールまたは端末接続でセッションを開始できない場合があります。システムのリロードにかかる時間は 3 分を超えることがあります。

          ルータのリロード時に AAA サーバが到達不能な場合、ルータとのコンソールまたは Telnet セッションを確立するには、no aaa accounting system guarantee-first コマンドを使用します。

          TACACS+ のモニタリング

          表 1 TACACS+ 情報を表示するためのコマンド
          コマンド 目的

          show tacacs

          TACACS+ サーバの統計情報を表示します。

          Additional References

          Related Documents

          Related Topic Document Title

          Configuring Identity Control policies and Identity Service templates for Session Aware networking.

          Session Aware Networking Configuration Guide, Cisco IOS XE Release 3SE (Catalyst 3850 Switches)

          http:/​/​www.cisco.com/​en/​US/​docs/​ios-xml/​ios/​san/​configuration/​xe-3se/​3850/​san-xe-3se-3850-book.html

          Configuring RADIUS, TACACS+, Secure Shell, 802.1X and AAA.

          Securing User Services Configuration Guide Library, Cisco IOS XE Release 3SE (Catalyst 3850 Switches)

          http:/​/​www.cisco.com/​en/​US/​docs/​ios-xml/​ios/​security/​config_library/​xe-3se/​3850/​secuser-xe-3se-3850-library.html

          MIBs

          MIB MIBs Link

          本リリースでサポートするすべての MIB

          To locate and download MIBs for selected platforms, Cisco IOS releases, and feature sets, use Cisco MIB Locator found at the following URL:

          http:/​/​www.cisco.com/​go/​mibs

          Technical Assistance

          Description Link

          The Cisco Support website provides extensive online resources, including documentation and tools for troubleshooting and resolving technical issues with Cisco products and technologies.

          To receive security and technical information about your products, you can subscribe to various services, such as the Product Alert Tool (accessed from Field Notices), the Cisco Technical Services Newsletter, and Really Simple Syndication (RSS) Feeds.

          Access to most tools on the Cisco Support website requires a Cisco.com user ID and password.

          http:/​/​www.cisco.com/​support