Cisco IOS セキュリティ コマンド リファレンス:コマンド D ~ L、Cisco IOS XE Release 3SE(Catalyst 3850 スイッチ)
K ~ L
K ~ L
発行日;2013/07/26   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

K ~ L

key(config-radius-server)

ルータと RADIUS サーバ間のすべての RADIUS 通信用の認証および暗号キーを指定するには、RADIUS サーバ コンフィギュレーション モードで key コマンドを使用します。 設定したキーを削除するには、このコマンドの no 形式を使用します。

key { 0 string | 7 string } string

no key

構文の説明

0

string

暗号化されていないキーが後ろに続くよう指定します。

暗号化されていない(クリアテキスト)共有キー。

7

string

非公開のキーが後ろに続くよう指定します。

非公開の共有キー。

string

暗号化されていない(クリアテキスト)共有キー。

コマンド デフォルト

認証および暗号キーはディセーブルになります。

コマンド モード


RADIUS サーバ コンフィギュレーション(config-radius-server)

コマンド履歴

リリース

変更内容

15.2(2)T

このコマンドが導入されました。

使用上のガイドライン

aaa new-model コマンドを使用して認証、許可、アカウンティング(AAA)認証をイネーブルにした後、radius server key コマンドを使用して認証および暗号キーを設定する必要があります。


(注)  


aaa new-model コマンドを実行後、RADIUS キーを指定します。


入力したキーは、RADIUS サーバで使用されるキーと一致する必要があります。 先頭のスペースはすべて無視されますが、キーの中間および末尾のスペースは使用できます。 キーにスペースを使用する場合、引用符をキーに含める場合を除き、引用符でキーを囲まないでください。

次に、IP アドレス 192.0.2.2 を持つホストを RADIUS サーバとして指定し、暗号キーとして rad123 を設定する例を示します。

Device(config)# aaa new-model
Device(config)# radius server myserver
Device(config-radius-server)# address ipv4 192.0.2.2
Device(config-radius-server)# key rad123

次に、認証および暗号キーを anykey に設定する例を示します。 7 は、非公開のキーが後ろに続くよう指定します。

Device(config)# aaa new-model
Device(config)# radius server myserver
Device(config-radius-server)# address ipv4 192.0.2.2
Device(config-radius-server)# key 7 anykey

設定を保存し、show running-config コマンドを使用すると、次のように暗号キーが表示されます。

Device# show running-config

radius server myserver
  address ipv4 192.0.2.2
  key 7 19283103834782sda
! The leading 7 indicates that the following text is encrypted.

関連コマンド

コマンド

説明

aaa new-model

AAA アクセス コントロール モデルをイネーブルにします。

address ipv4

RADIUS サーバのアカウンティングおよび認証パラメータの IPv4 アドレスを設定します。

radius server

RADIUS サーバ設定の名前を指定し、RADIUS サーバ コンフィギュレーション モードを開始します。

show running-config

ルーティング デバイスの現在の設定を表示します。

key(TACACS+)

TACACS+ サーバでサーバ単位の暗号キーを設定するには、TACACS+ サーバ コンフィギュレーション モードで key コマンドを使用します。 サーバ単位の暗号キーを削除するには、このコマンドの no 形式を使用します。

key [ 0 | 7 ] key-string

no key [ 0 | 7 ] key-string

構文の説明

0

(任意)暗号化されていないキーが後ろに続くよう指定します。

7

(任意)非公開のキーが後ろに続くよう指定します。

key-string

非暗号化共有キー。

コマンド デフォルト

TACACS+ 暗号キーは設定されません。

コマンド モード


TACACS+ サーバ コンフィギュレーション(config-server-tacacs)

コマンド履歴

リリース

変更内容

Cisco IOS XE Release 3.2S

このコマンドが導入されました。

使用上のガイドライン

key コマンドで、サーバ単位の暗号キーを設定することができます。

次に、key1 という名前の非暗号化共有キーを指定する例を示します。

Router (config)# tacacs server server1
Router(config-server-tacacs)# key 0 key1

関連コマンド

コマンド

説明

tacacs server

IPv6 または IPv4 に対して TACACS+ サーバを設定して、TACACS+ サーバ コンフィギュレーション モードを開始します。

key-hash

セキュア シェル(SSH)Rivest、Shamir、および Adleman(RSA)キータイプおよび名前を指定するには、SSH 公開キー コンフィギュレーション モードで、key-hash コマンドを使用します。 SSH Rivest、Shamir、および Adleman(RSA)公開キーを削除するには、このコマンドの no 形式を使用します。

key-hash key-type key-name

no key-hash [ key-type key-name ]

構文の説明

key-type key-name

SSH RSA 公開キーのタイプと名前。

コマンド デフォルト

SSH キーのタイプと名前は指定されません。

コマンド モード

SSH 公開キー コンフィギュレーション(conf-ssh-pubkey-user)

コマンド履歴

リリース

変更内容

12.2(33)SRA

このコマンドは、Cisco IOS Release 12.(33)SRA よりも前のリリースに導入されました。

使用上のガイドライン

秘密キー-公開キー ペアの設定では、キー タイプを ssh-rsa にする必要があります。 公開キー ストリングのハッシュを計算するには、ハッシュ処理ソフトウェアを使用します。また、別の Cisco IOS ルータからのハッシュ値をコピーすることもできます。 公開キー データを最初に入力するには、key-string コマンドを使用することが推奨されます。

次に、SSH キー タイプおよび名前を指定する例を示します。

Router(config)# ip ssh pubkey-chain
Router(conf-ssh-pubkey)# username test
Router(conf-ssh-pubkey-user)# key-hash ssh-rsa key1
Router(conf-ssh-pubkey-user))# exit
Router(config-pubkey)# exit
Router(config)# exit

関連コマンド

コマンド

説明

key-string

リモート ピアの SSH RSA 公開キーを指定します。

load-balance(server-group)

名前付き RADIUS サーバ グループに対して RADIUS サーバ ロード バランシングをイネーブルにするには、サーバ グループ コンフィギュレーション モードで load-balance コマンドを使用します。 名前付き RADIUS サーバ ロード バランシングをディセーブルにするには、このコマンドの no形式を使用します。

load-balance method least-outstanding [ batch-size number ] [ignore-preferred-server]

no load-balance

構文の説明

method least-outstanding

ロード バランシングの最少アウトスタンディング モードをイネーブルにします。

batch-size

(任意)バッチごとに割り当てられるトランザクションの数。

number

(任意)バッチのトランザクションの数。

  • デフォルトは 25 です。
  • 範囲は 1 ~ 2147483647 です。
(注)     

バッチ サイズがスループットと CPU の負荷に影響する場合があります。 デフォルト バッチ サイズの 25 の使用を推奨します。これは、CPU の負荷に悪影響を及ぼさない、高スループットに最適化されているためです。

ignore-preferred-server

(任意)認証、許可、アカウンティング(AAA)の単一セッションに関連するトランザクションが、同一サーバを使用しようとしているかどうかを示します。

  • 設定されている場合は、優先サーバ設定は使用されません。
  • デフォルトは優先サーバを使用することです。

コマンド デフォルト

このコマンドを設定しない場合、名前付き RADIUS サーバ ロード バランシングは発生しません。

コマンド モード


サーバ グループ コンフィギュレーション

コマンド履歴

リリース

変更内容

12.2(28)SB

このコマンドが導入されました。

12.4(11)T

このコマンドが Cisco IOS Release 12.4(11)T に統合されました。

12.2(33)SRC

このコマンドが、Cisco IOS Release 12.2(33)SRC に統合されました。

次の例は、名前付き RADIUS サーバ グループに対して有効にされたロード バランシングを示しています。 この例は、RADIUS コマンド出力の現在の設定、デバッグ出力、および AAA サーバ ステータス情報の 3 つの部分からなります。

次の例は、関連する RADIUS 設定を示しています。

Router# show running-config
.
.
.
aaa group server radius server-group1
 server 192.0.2.238 auth-port 2095 acct-port 2096
 server 192.0.2.238 auth-port 2015 acct-port 2016
 load-balance method least-outstanding batch-size 5
!
aaa authentication ppp default group server-group1
aaa accounting network default start-stop group server-group1
.
.
.

上記 RADIUS コマンド出力の現行設定内の行は、次のように定義されています。

  • aaa group server radius コマンドは、2 つのメンバー サーバからなるサーバ グループの設定を表示します。
  • load-balance コマンドは、バッチ サイズが指定されたグローバル RADIUS サーバ グループに対してロード バランシングをイネーブルにします。
  • aaa authentication ppp コマンドは、RADIUS を使用してすべての PPP ユーザを認証します。
  • aaa accounting コマンドは、クライアントが認証された後と start-stop キーワードを使用した切断後に、AAA サーバに対するすべてのアカウンティング要求の送信をイネーブルにします。

下のデバッグ出力は、上の設定に関する優先サーバの選択と要求の処理を示しています。

Router#
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT(0000002C):No preferred server available.
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT:Obtaining least loaded server.
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT:No more transactions in batch. Obtaining a new server.
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT:Obtaining a new least loaded server.
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT:Server[0] load:0
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT:Server[1] load:0
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT:Selected Server[0] with load 0
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT:[5] transactions remaining in batch.
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT(0000002C):Server (192.0.2.238:2095,2096) now being used as preferred server
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT(0000002D):No preferred server available.
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT:Obtaining least loaded server.
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT:[4] transactions remaining in batch. Reusing server.
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT(0000002D):Server (192.0.2.238:2095,2096) now being used as preferred server
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT(0000002E):No preferred server available.
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT:Obtaining least loaded server.
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT:[3] transactions remaining in batch. Reusing server.
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT(0000002E):Server (192.0.2.238:2095,2096) now being used as preferred server
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT(0000002F):No preferred server available.
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT:Obtaining least loaded server.
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT:[2] transactions remaining in batch. Reusing server.
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT(0000002F):Server (192.0.2.238:2095,2096) now being used as preferred server
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT(00000030):No preferred server available.
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT:Obtaining least loaded server.
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT:[1] transactions remaining in batch. Reusing server.
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT(00000030):Server (192.0.2.238:2095,2096) now being used as preferred server
*Feb 28 13:51:16.023:AAA/SG/SERVER_SELECT(00000031):No preferred server available.
*Feb 28 13:51:16.023:AAA/SG/SERVER_SELECT:Obtaining least loaded server.
*Feb 28 13:51:16.023:AAA/SG/SERVER_SELECT:No more transactions in batch. Obtaining a new server.
*Feb 28 13:51:16.023:AAA/SG/SERVER_SELECT:Obtaining a new least loaded server.
*Feb 28 13:51:16.023:AAA/SG/SERVER_SELECT:Server[1] load:0
*Feb 28 13:51:16.023:AAA/SG/SERVER_SELECT:Server[0] load:5
*Feb 28 13:51:16.023:AAA/SG/SERVER_SELECT:Selected Server[1] with load 0
*Feb 28 13:51:16.023:AAA/SG/SERVER_SELECT:[5] transactions remaining in batch.
*Feb 28 13:51:16.023:AAA/SG/SERVER_SELECT(00000031):Server (192.0.2.238:2015,2016) now being used as preferred server
*Feb 28 13:51:16.023:AAA/SG/SERVER_SELECT(00000032):No preferred server available.
*Feb 28 13:51:16.023:AAA/SG/SERVER_SELECT:Obtaining least loaded server.
*Feb 28 13:51:16.023:AAA/SG/SERVER_SELECT:[4] transactions remaining in batch. Reusing server.
.
.
.

名前付き RADIUS サーバ グループのサーバ ステータス情報の例

下の出力は、名前付き RADIUS サーバ グループ設定例の AAA サーバ ステータスを示しています。

Router# show aaa servers
RADIUS:id 8, priority 1, host 192.0.2.238, auth-port 2095, acct-port 2096
     State:current UP, duration 3781s, previous duration 0s
     Dead:total time 0s, count 0
     Quarantined:No
     Authen:request 0, timeouts 0
             Response:unexpected 0, server error 0, incorrect 0, time 0ms
             Transaction:success 0, failure 0
     Author:request 0, timeouts 0
             Response:unexpected 0, server error 0, incorrect 0, time 0ms
             Transaction:success 0, failure 0
     Account:request 0, timeouts 0
             Response:unexpected 0, server error 0, incorrect 0, time 0ms
             Transaction:success 0, failure 0
     Elapsed time since counters last cleared:0m
RADIUS:id 9, priority 2, host 192.0.2.238, auth-port 2015, acct-port 2016
     State:current UP, duration 3781s, previous duration 0s
     Dead:total time 0s, count 0
     Quarantined:No
     Authen:request 0, timeouts 0
             Response:unexpected 0, server error 0, incorrect 0, time 0ms
             Transaction:success 0, failure 0
     Author:request 0, timeouts 0
             Response:unexpected 0, server error 0, incorrect 0, time 0ms
             Transaction:success 0, failure 0
     Account:request 0, timeouts 0
             Response:unexpected 0, server error 0, incorrect 0, time 0ms
             Transaction:success 0, failure 0
     Elapsed time since counters last cleared:0m
Router#

この出力は、2 つの RADIUS サーバのステータスを示しています。 両方のサーバが動作中ですが、カウンタが 0 分前にクリアされて以降は、どの要求も処理されていません。

関連コマンド

コマンド

説明

debug aaa sg-server selection

ルータ内の RADIUS および TACACS+ サーバ グループ システムが特定のサーバを選択している理由を表示します。

debug aaa test

RADIUS ロード バランシングのため、アイドル タイマーまたはデッド タイマーが期限切れになる時間を示します。

radius-server host

ロード バランシング用の RADIUS 自動テストをイネーブルにします。

radius-server load-balance

グローバル RADIUS サーバ グループに対して RADIUS サーバ ロード バランシングをイネーブルにします。

test aaa group

RADIUS ロード バランシング サーバ応答を手動でテストします。