Cisco Nexus 1000V セキュリティ コンフィギュレー ション ガイド リリース 4.0(4)SV1(3)
RADIUS の設定
RADIUS の設定
発行日;2012/02/05 | 英語版ドキュメント(2011/05/18 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

RADIUS の設定

RADIUS の概要

RADIUS のネットワーク環境

RADIUS の動作

RADIUS サーバ モニタリング

ベンダー固有属性

RADIUS の前提条件

注意事項および制約事項

デフォルト設定

RADIUS サーバの設定

RADIUS サーバ ホストの設定

RADIUS サーバ ホストの削除

RADIUS グローバル鍵の設定

RADIUS サーバ鍵の設定

RADIUS サーバ グループの設定

RADIUS サーバの誘導要求のイネーブル化

すべての RADIUS サーバのグローバル タイムアウトの設定

すべての RADIUS サーバのグローバル リトライ回数の設定

単一 RADIUS サーバのタイムアウト間隔の設定

単一 RADIUS サーバのリトライ回数の設定

RADIUS アカウンティング サーバの設定

RADIUS 認証サーバの設定

RADIUS サーバの定期モニタリングの設定

グローバル デッド タイム間隔の設定

RADIUS サーバまたはサーバ グループの手動でのモニタリング

RADIUS サーバ ホストの削除

RADIUS 設定の確認

RADIUS サーバ統計情報の表示

RADIUS 設定例

その他の関連資料

関連資料

標準規格

RADIUS 機能の履歴

RADIUS の設定

この章では、Cisco NX-OS デバイスで RADIUS プロトコルを設定する手順について説明します。

ここでは、次の内容について説明します。

「RADIUS の概要」

「RADIUS の前提条件」

「注意事項および制約事項」

「デフォルト設定」

「RADIUS サーバの設定」

「RADIUS 設定の確認」

「RADIUS サーバ統計情報の表示」

「RADIUS 設定例」

「その他の関連資料」

「RADIUS 機能の履歴」

RADIUS の概要

RADIUS 分散型クライアント/サーバ システムを使用すると、不正アクセスからネットワークを保護することができます。シスコの実装では、RADIUS クライアントは Cisco NX-OS デバイス上で稼動します。認証要求とアカウンティング要求は、すべてのユーザ認証情報とネットワーク サービス アクセス情報が格納されている中央の RADIUS サーバに送信されます。

ここでは、次の内容について説明します。

「RADIUS のネットワーク環境」

「RADIUS の動作」

「ベンダー固有属性」

RADIUS のネットワーク環境

RADIUS は、リモート ユーザのネットワーク アクセスを維持すると同時に高度なレベルのセキュリティを必要とするさまざまなネットワーク環境に実装できます。

RADIUS は、アクセスのセキュリティが必要な次のネットワーク環境で使用できます。

複数ベンダーのネットワーク デバイスで構成され、それぞれが RADIUS をサポートしているネットワーク。たとえば、複数ベンダーのネットワーク デバイスが 1 つの RADIUS サーバベースのセキュリティ データベースを使用できます。

すでに RADIUS を使用しているネットワーク。RADIUS 機能を持つ Cisco NX-OS デバイスをネットワークに追加できます。これが AAA サーバへ移行する最初のステップにもなります。

リソースのアカウンティングが必要なネットワーク。RADIUS アカウンティングは、RADIUS 認証や認可と無関係に使用できます。RADIUS アカウンティング機能を使用すると、サービスの開始と終了の時点にデータを送信し、そのセッション中に使用されたリソース(時間、パケット、バイトなど)の量を示すことができます。Internet Service Provider(ISP; インターネット サービス プロバイダー)は、特殊なセキュリティおよび課金のニーズを満たすために、RADIUS アクセス制御およびアカウンティング ソフトウェアのフリーウェア バージョンを使用する場合もあります。

認証プロファイルをサポートするネットワーク。ネットワークに RADIUS サーバを導入すると、AAA 認証を設定しユーザ単位のプロファイルをセットアップできます。ユーザ単位のプロファイルにより、既存の RADIUS ソリューションを使用するポートの管理性が向上し、共有リソースを効率的に管理して、各種のサービスレベル契約を提供できるようになります。

RADIUS の動作

RADIUS を使用する NX-OS デバイスにユーザがログインおよび認証を試みると、次の処理が行われます。

1. プロンプトが表示され、ユーザはユーザ名とパスワードを入力します。

2. ユーザ名と暗号化されたパスワードがネットワーク経由で RADIUS サーバに送信されます。

3. ユーザは、RADIUS サーバから次のいずれかの応答を受信します。

ACCEPT:ユーザは認証されました。

REJECT:ユーザは認証されず、ユーザ名とパスワードの再入力を要求されるか、またはアクセスが拒否されます。

CHALLENGE:RADIUS サーバによりチャレンジが送信されます。チャレンジによってユーザから追加データが収集されます。

CHANGE PASSWORD:RADIUS サーバからユーザに対して、新しいパスワードの選択を求める要求が送信されます。

ACCEPT または REJECT 応答には、EXEC またはネットワーク許可に使用される追加データが含まれています。RADIUS 許可を使用するには、まず RADIUS 認証を完了する必要があります。ACCEPT または REJECT パケットに含まれる追加データには、次のものがあります。

Telnet、rlogin、または Local-Area Transport(LAT; ローカルエリア トランスポート)接続、および Point-to-Point Protocol(PPP; ポイントツーポイント プロトコル)、Serial Line Internet Protocol(SLIP; シリアル ライン インターネット プロトコル)、または EXEC サービスといった、ユーザがアクセスできるサービス

ホストまたはクライアントの IPv4 アドレス、アクセス リスト、ユーザ タイムアウトなどの接続パラメータ

RADIUS サーバ モニタリング

応答しない RADIUS サーバがあると、AAA 要求の処理が遅れることがあります。AAA 要求の処理時間を短縮するために、RADIUS サーバを定期的にモニタして RADIUS サーバが応答している(アライブ)かどうかを調べることができます。応答しない RADIUS サーバはデッド(dead)としてマークされ、AAA 要求は送信されません。デッド RADIUS サーバは定期的にモニタされ、応答があればアライブ状態に戻されます。このモニタリング プロセスにより、RADIUS サーバが稼動状態であることを確認してから、実際の AAA 要求が送信されます。RADIUS サーバがデッドまたはアライブの状態に変わると Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)トラップが生成され、障害が発生していることを示すエラー メッセージが表示されます。図 5-1 を参照してください。

図 5-1 RADIUS サーバの状態

 


) アライブ サーバとデッド サーバのモニタリング間隔は異なります。これらは、ユーザが設定できます。RADIUS サーバ モニタリングは、テスト認証要求を RADIUS サーバに送信して行われます。


ベンダー固有属性

Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)ドラフト標準には、ネットワーク アクセス サーバと RADIUS サーバの間で Vendor-Specific Attribute(VSA; ベンダー固有属性)を伝達する方法が規定されています。IETF はアトリビュート 26 を使用しています。VSA を使用すると、ベンダーは一般的な用途に適さない独自の拡張アトリビュートをサポートできます。シスコの RADIUS 実装では、IETF 仕様で推奨される形式を使用したベンダー固有オプションを 1 つサポートしています。シスコのベンダー ID は 9 で、サポートするオプションはベンダー タイプ 1、名前は cisco-av-pair です。値は、次の形式のストリングです。

protocol : attribute separator value *
 

protocol は、特定の許可タイプを表すシスコのアトリビュートです。separator は、必須アトリビュートの場合は =(等号)、任意のアトリビュートの場合は * (アスタリスク)です。

認証に RADIUS サーバを使用した場合、RADIUS プロトコルでは RADIUS サーバに対して、認証結果とともに権限付与情報などのユーザ アトリビュートを返すように指示します。この権限付与情報は、VSA を通じて指定されます。

次に、サポートされる VSA プロトコル オプションを示します。

shell:ユーザ プロファイル情報を提供する access-accept パケットで使用されるプロトコル。

Accounting:accounting-request パケットで使用されるプロトコル。値にスペースが含まれる場合は、二重引用符で囲む必要があります。

次に、サポートされるアトリビュートを示します。

roles:ユーザが属しているすべてのロールをリストします。値フィールドは、ロール名をスペースで区切ったストリングです。たとえば、ユーザが属しているロールが network-operator と vdc-admin ならば、値フィールドは「network-operator vdc-admin」となります。このアトリビュートは、RADIUS サーバから送信される Access-Accept フレームの VSA 部分に格納されます。このアトリビュートはシェル プロトコル値とだけ併用できます。次に、Cisco ACS でサポートされるロール アトリビュートの例を示します。

shell:roles=“network-operator vdc-admin”
 
shell:roles*“network-operator vdc-admin”
 

次に、FreeRADIUS でサポートされるロール アトリビュートの例を示します。

Cisco-AVPair = ”shell:roles=¥“network-operator vdc-admin¥””
 
Cisco-AVPair = “shell:roles*¥“network-operator vdc-admin¥””
 

) VSA を shell:roles*"network-operator vdc-admin" または "shell:roles*¥"network-operator vdc-admin¥"" として指定した場合、この VSA はオプション アトリビュートとしてフラグ設定され、他のシスコ デバイスはこのアトリビュートを無視します。


accountinginfo:標準の RADIUS アカウンティング プロトコルに含まれるアトリビュートとともにアカウンティング情報を格納します。このアトリビュートは、スイッチ上の RADIUS クライアントから、Account-Request フレームの VSA 部分にだけ格納されて送信されます。このアトリビュートはアカウンティングの Protocol Data Unit(PDU; プロトコル データ ユニット)とだけ併用できます。

RADIUS の前提条件

RADIUS には次の前提条件があります。

RADIUS サーバの IP アドレスまたはホスト名がわかっていること。

ネットワーク内での RADIUS 通信を保護するために使用される鍵がわかっていること。

デバイスが AAA サーバの RADIUS クライアントとして設定されていること。

注意事項および制約事項

RADIUS には、次の注意事項と制限事項があります。

最大 64 の RADIUS サーバを設定できます。

デフォルト設定

表 5-1 に、RADIUS のデフォルト設定を示します。

 

表 5-1 デフォルトの RADIUS パラメータ

パラメータ
デフォルト

サーバ ロール

認証およびアカウンティング

デッド タイマー間隔

0 分

再送信回数

1

再送信タイマー間隔

5 秒

アイドル タイマー間隔

0 分

定期サーバ モニタリングのユーザ名

test

定期サーバ モニタリングのパスワード

test

RADIUS サーバの設定

ここでは、次の内容について説明します。

「RADIUS サーバ ホストの設定」

「RADIUS グローバル鍵の設定」

「RADIUS サーバ鍵の設定」

「RADIUS サーバ グループの設定」

「RADIUS サーバの誘導要求のイネーブル化」

「すべての RADIUS サーバのグローバル タイムアウトの設定」

「すべての RADIUS サーバのグローバル リトライ回数の設定」

「単一 RADIUS サーバのタイムアウト間隔の設定」

「単一 RADIUS サーバのリトライ回数の設定」

「RADIUS アカウンティング サーバの設定」

「RADIUS 認証サーバの設定」

「RADIUS サーバの定期モニタリングの設定」

「グローバル デッド タイム間隔の設定」

「RADIUS サーバまたはサーバ グループの手動でのモニタリング」


) この機能に対応する Cisco NX-OS コマンドは、Cisco IOS で使用されているコマンドと異なる場合があるので注意してください。


RADIUS サーバ ホストの設定

認証に使用する各 RADIUS サーバの IP アドレスまたはホスト名を設定するには、次の手順を実行します。

始める前に

この手順を開始する前に、次のことを確認または実行する必要があります。

EXEC モードで CLI にログインしています。

最大 64 の RADIUS サーバを設定できます。

すべての RADIUS サーバ ホストは自動的にデフォルトの RADIUS サーバ グループに追加されます。

手順の概要

1. config t

2. radius-server host { ipv4-address | host-name }

3. exit

4. show radius-server

5. copy running-config startup-config

手順の詳細

 

コマンド
目的

ステップ 1

config t

 

例:

n1000v# config t

n1000v(config)#

CLI グローバル コンフィギュレーション モードを開始します。

ステップ 2

radius-server host { ipv4-address | host-name }

 

例:

n1000v(config)# radius-server host 10.10.1.1

RADIUS サーバの IP アドレスまたはホスト名を定義します。

ステップ 3

exit

 

例:

n1000v(config)# exit

n1000v#

CLI EXEC モードに戻ります。

ステップ 4

show radius-server

 

例:

n1000v# show radius-server

(任意)RADIUS サーバの設定を表示します。

ステップ 5

copy running-config startup-config

 

例:

n1000v# copy running-config startup-config

(任意)この実行コンフィギュレーションの変更内容を、スタートアップ コンフィギュレーションに保存します。

RADIUS サーバ ホストの削除

サーバ グループから RADIUS サーバ ホストを削除できます。

RADIUS グローバル鍵の設定

すべての RADIUS サーバが Cisco Nexus 1000V での認証に使用するキーを設定するには、次の手順を実行します。

始める前に

この手順を開始する前に、次のことを確認または実行する必要があります。

EXEC モードで CLI にログインしています。

RADIUS サーバ認証に使用されるグローバル鍵がわかっています。

手順の概要

1. config t

2. radius-server key [ 0 | 7 ] key-value

3. exit

4. show radius-server

5. copy running-config startup-config

手順の詳細

グローバル事前共有鍵を設定するには、次の手順を実行します。

 

コマンド
目的

ステップ 1

config t

 

例:

n1000v# config t

n1000v(config)#

CLI グローバル コンフィギュレーション モードを開始します。

ステップ 2

radius-server key [ 0 | 7 ] key-value

 

例:

n1000v(config)# radius-server key 0 QsEfThUkO

すべての RADIUS サーバの事前共有鍵を指定します。クリア テキスト( 0 )または暗号化( 7 )の事前共有鍵を指定します。デフォルト形式はクリア テキストです。最大長は 63 文字です。

デフォルトでは、事前共有鍵は設定されません。

ステップ 3

exit

 

例:

n1000v(config)# exit

n1000v#

CLI EXEC モードに戻ります。

ステップ 4

show radius-server

 

例:

n1000v# show radius-server

(任意)RADIUS サーバの設定を表示します。

コマンドを使用します。

ステップ 5

copy running-config startup-config

 

例:

n1000v# copy running-config startup-config

(任意)この実行コンフィギュレーションの変更内容を、スタートアップ コンフィギュレーションに保存します。

RADIUS サーバ鍵の設定

単一の RADIUS サーバ ホストの鍵を設定するには、次の手順を実行します。

始める前に

この手順を開始する前に、次のことを確認または実行する必要があります。

EXEC モードで CLI にログインしています。

リモート RADIUS ホストに使用される鍵を取得しています。

手順の概要

1. config t

2. radius-server host { ipv4-address | host-name } key key-value

3. exit

4. show radius-server

5. copy running-config startup-config

手順の詳細

 

コマンド
目的

ステップ 1

config t

 

例:

n1000v# config t

n1000v(config)#

CLI グローバル コンフィギュレーション モードを開始します。

ステップ 2

radius-server host { ipv4-address | host-name } key [ 0 | 7 ] key-value

 

例:

n1000v(config)# radius-server host 10.10.1.1 key 0 PlIjUhYg

特定の RADIUS サーバの事前共有鍵を指定します。クリア テキスト( 0 )または暗号化( 7 )の事前共有鍵を指定します。デフォルト形式はクリア テキストです。最大長は 63 文字です。

グローバル事前共有鍵ではなく、この事前共有鍵が使用されます。

ステップ 3

exit

 

例:

n1000v(config)# exit

n1000v#

CLI EXEC モードに戻ります。

ステップ 4

show radius-server

 

例:

n1000v# show radius-server

(任意)RADIUS サーバの設定を表示します。

コマンドを使用します。

ステップ 5

copy running-config startup-config

 

例:

n1000v# copy running-config startup-config

(任意)この実行コンフィギュレーションの変更内容を、スタートアップ コンフィギュレーションに保存します。

RADIUS サーバ グループの設定

メンバー サーバが認証機能を共有する RADIUS サーバ グループを設定するには、次の手順を実行します。

始める前に

この手順を開始する前に、次のことを確認または実行する必要があります。

EXEC モードで CLI にログインしています。

RADIUS サーバ グループ内のすべてのサーバが、同じ RADIUS プロトコルに属しています。

グループ内のサーバへのアクセスは、サーバを設定した順番で行われます。

手順の概要

1. config t

2. aaa group server radius group-name

3. server { ipv4-address | server-name }

4. deadtime minutes

5. use-vrf vrf-name

6. exit

7. show radius-server groups [ group-name ]

8. copy running-config startup-config

手順の詳細

 

コマンド
目的

ステップ 1

config t

 

例:

n1000v# config t

n1000v(config)#

CLI グローバル コンフィギュレーション モードを開始します。

ステップ 2

aaa group server radius group-name

 

例:

n1000v(config)# aaa group server radius RadServer

n1000v(config-radius)#

RADIUS サーバ グループを作成し、そのグループの RADIUS サーバ グループ コンフィギュレーション サブモードを開始します。 group-name 引数は、最大 127 文字の英数字ストリングで、大文字と小文字が区別されます。

ステップ 3

server { ipv4-address | server-name }

 

例:

n1000v(config-radius)# server 10.10.1.1

RADIUS サーバを RADIUS サーバ グループのメンバーとして設定します。

コマンドを使用してサーバを設定し、再度このコマンドを実行してください。

ステップ 4

deadtime minutes

 

例:

n1000v(config-radius)# deadtime 30

(任意)モニタリングのデッド タイムを設定します。デフォルト値は 0 分です。有効な範囲は 1 ~ 1440 です。

(注) デッド タイム間隔がゼロ(0)より大きい RADIUS サーバ グループの場合は、その値がグローバル デット タイム値に優先します(「グローバル デッド タイム間隔の設定」を参照)。

ステップ 5

use-vrf vrf-name

 

例:

n1000v(config-radius)# use-vrf vrf1

(任意)サーバ グループ内のサーバとの接続に使用する VRF を指定します。

ステップ 6

exit

 

例:

n1000v(config-radius)# exit

n1000v(config)#

CLI EXEC モードに戻ります。

ステップ 7

show radius-server groups [ group-name ]

 

例:

n1000v(config)# show radius-server group

(任意)RADIUS サーバ グループの設定を表示します。

ステップ 8

copy running-config startup-config

 

例:

n1000v(config)# copy running-config startup-config

(任意)この実行コンフィギュレーションの変更内容を、スタートアップ コンフィギュレーションに保存します。

RADIUS サーバの誘導要求のイネーブル化

認証要求の送信先の RADIUS サーバをユーザが指定できるようにするには、次の手順を実行します。これは directed-request(誘導要求)と呼ばれます。

このオプションをイネーブルにした場合、ユーザは username@vrfname:hostname としてログインできます。ここで、vrfname は使用する VRF、hostname は設定された RADIUS サーバの名前です。


) ユーザ指定のログインは Telnet セッションに限りサポートされます。


始める前に

この手順を開始する前に、次のことを確認または実行する必要があります。

EXEC モードで CLI にログインしています。

デフォルトでは、誘導要求はディセーブルです。

手順の概要

1. config t

2. radius-server directed-request

3. exit

4. show radius-server directed-request

5. copy running-config startup-config

手順の詳細

 

コマンド
目的

ステップ 1

config t

 

例:

n1000v# config t

n1000v(config)#

CLI グローバル コンフィギュレーション モードを開始します。

ステップ 2

n1000v(config)# radius-server directed-request

 

例:

n1000v(config)# radius-server directed-request

誘導要求をイネーブルにします。デフォルトはディセーブルです。

ステップ 3

exit

 

例:

n1000v(config)# exit

n1000v#

CLI EXEC モードに戻ります。

ステップ 4

show radius-server directed-request

 

例:

n1000v# show radius-server directed-request

(任意)誘導要求の設定を表示します。

ステップ 5

copy running-config startup-config

 

例:

n1000v# copy running-config startup-config

(任意)実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

すべての RADIUS サーバのグローバル タイムアウトの設定

ここでは、RADIUS サーバからの応答を待つ時間を指定するグローバル タイムアウト間隔の設定手順を説明します。この時間が経過すると、タイムアウト障害となります。

始める前に

この手順を開始する前に、次のことを確認または実行する必要があります。

EXEC モードで CLI にログインしています。

「単一 RADIUS サーバのタイムアウト間隔の設定」で指定したタイムアウトは、RADIUS のグローバル タイムアウトに優先します。

手順の概要

1. config t

2. radius-server timeout seconds

3. exit

4. show radius-server

5. copy running-config startup-config

手順の詳細

 

コマンド
目的

ステップ 1

config t

 

例:

n1000v# config t

n1000v(config)#

CLI グローバル コンフィギュレーション モードを開始します。

ステップ 2

radius-server timeout seconds

 

例:

n1000v(config)# radius-server timeout 10

RADIUS サーバの送信タイムアウト間隔を指定します。デフォルトのタイムアウト間隔は 5 秒です。有効な範囲は 1 ~ 60 秒です。

ステップ 3

exit

 

例:

n1000v(config)# exit

n1000v#

CLI EXEC モードに戻ります。

ステップ 4

show radius-server

 

例:

n1000v# show radius-server

(任意)RADIUS サーバの設定を表示します。

ステップ 5

copy running-config startup-config

 

例:

n1000v# copy running-config startup-config

(任意)この実行コンフィギュレーションの変更内容を、スタートアップ コンフィギュレーションに保存します。

すべての RADIUS サーバのグローバル リトライ回数の設定

ローカル認証に切り換える前に RADIUS サーバへの送信を再試行する最大回数を設定するには、次の手順を実行します。この設定はすべての RADIUS サーバに適用されます。

始める前に

この手順を開始する前に、次のことを確認または実行する必要があります。

EXEC モードで CLI にログインしています。

デフォルトでは、ローカル認証に切り換える前に、RADIUS サーバへの再送信を 1 回だけ試行します。

リトライ回数は最大 5 回まで増やすことができます。

「単一 RADIUS サーバのリトライ回数の設定」で単一の RADIUS サーバに指定したリトライ回数は、このグローバル設定に優先します。

手順の概要

1. config t

2. radius-server retransmission count

3. radius-server timeout seconds

4. exit

5. show radius-server

6. copy running-config startup-config

手順の詳細

 

コマンド
目的

ステップ 1

config t

 

例:

n1000v# config t

n1000v(config)#

CLI グローバル コンフィギュレーション モードを開始します。

ステップ 2

radius-server retransmit count

 

例:

n1000v(config)# radius-server retransmit 3

ローカル認証に切り換える前に許可する再送信回数を定義します。これはすべての RADIUS サーバに適用されるグローバル設定です。デフォルトの再送信回数は 1 です。有効な範囲は 0 ~ 5 です。

ステップ 3

exit

 

例:

n1000v(config)# exit

n1000v#

CLI EXEC モードに戻ります。

ステップ 4

show radius-server

 

例:

n1000v# show radius-server

(任意)RADIUS サーバの設定を表示します。

ステップ 5

copy running-config startup-config

 

例:

n1000v# copy running-config startup-config

(任意)この実行コンフィギュレーションの変更内容を、スタートアップ コンフィギュレーションに保存します。

単一 RADIUS サーバのタイムアウト間隔の設定

ここでは、RADIUS サーバからの応答を待つ時間を設定する手順を説明します。この時間が経過すると、タイムアウト障害となります。

始める前に

この手順を開始する前に、次のことを確認または実行する必要があります。

EXEC モードで CLI にログインしています。

単一の RADIUS サーバに指定したタイムアウトは、「すべての RADIUS サーバのグローバル タイムアウトの設定」で定義したタイムアウトに優先します。

手順の概要

1. config t

2. radius-server host { ipv4-address | host-name } timeout seconds

3. exit

4. show radius-server

5. copy running-config startup-config

手順の詳細

 

コマンド
目的

ステップ 1

config t

 

例:

n1000v# config t

n1000v(config)#

CLI グローバル コンフィギュレーション モードを開始します。

ステップ 2

radius-server host { ipv4-address | host-name } timeout seconds

 

例:

n1000v(config)# radius-server host server1 timeout 10

特定のサーバのタイムアウト間隔を指定します。デフォルトのタイムアウト間隔は 5 秒です。有効な範囲は 1 ~ 60 秒です。

(注) 単一の RADIUS サーバに指定したタイムアウトは、RADIUS のグローバル タイムアウトに優先します。

ステップ 3

exit

 

例:

n1000v(config)# exit

n1000v#

CLI EXEC モードに戻ります。

ステップ 4

show radius-server

 

例:

n1000v# show radius-server

(任意)RADIUS サーバの設定を表示します。

ステップ 5

copy running-config startup-config

 

例:

n1000v# copy running-config startup-config

(任意)この実行コンフィギュレーションの変更内容を、スタートアップ コンフィギュレーションに保存します。

単一 RADIUS サーバのリトライ回数の設定

ローカル認証に切り換える前に RADIUS サーバへの送信を再試行する最大回数を設定するには、次の手順を実行します。この設定は単一の RADIUS サーバに適用され、グローバル リトライ回数に優先します。

始める前に

この手順を開始する前に、次のことを確認または実行する必要があります。

EXEC モードで CLI にログインしています。

デフォルトでは、ローカル認証に切り換える前に、RADIUS サーバへの再送信を 1 回だけ試行します。

リトライ回数は最大 5 回まで増やすことができます。

単一の RADIUS サーバに指定したリトライ回数は、すべての RADIUS サーバ用に作成されるグローバル設定に優先します。

手順の概要

1. config t

2. radius-server host { ipv4-address | host-name } retransmit count

3. exit

4. show radius-server

5. copy running-config startup-config

手順の詳細

 

コマンド
目的

ステップ 1

config t

 

例:

n1000v# config t

n1000v(config)#

CLI グローバル コンフィギュレーション モードを開始します。

ステップ 2

radius-server host { ipv4-address | host-name } retransmit count

 

例:

n1000v(config)# radius-server host server1 retransmit 3

特定の RADIUS サーバの再送信回数を指定します。デフォルトはグローバル値です。

(注) この単一 RADIUS サーバの再送信回数は、すべての RADIUS サーバ用のグローバル設定に優先します。

ステップ 3

exit

 

例:

n1000v(config)# exit

n1000v#

CLI EXEC モードに戻ります。

ステップ 4

show radius-server

 

例:

n1000v# show radius-server

(任意)RADIUS サーバの設定を表示します。

ステップ 5

copy running-config startup-config

 

例:

n1000v# copy running-config startup-config

(任意)この実行コンフィギュレーションの変更内容を、スタートアップ コンフィギュレーションに保存します。

RADIUS アカウンティング サーバの設定

アカウンティング機能を実行するサーバを設定するには、次の手順を実行します。

始める前に

この手順を開始する前に、次のことを確認または実行する必要があります。

EXEC モードで CLI にログインしています。

デフォルトでは、RADIUS サーバはアカウンティングと認証の両方に使用されます。

RADIUS アカウンティング メッセージの宛先 UDP ポート番号がわかっています。

手順の概要

1. config t

2. radius-server host { ipv4-address | host-name } acct-port udp-port

3. radius-server host { ipv4-address | host-name } accounting

4. exit

5. show radius-server

6. copy running-config startup-config

手順の詳細

RADIUS サーバの認証およびアカウンティング アトリビュートを設定するには、次の手順を実行します。

 

コマンド
目的

ステップ 1

config t

 

例:

n1000v# config t

n1000v(config)#

CLI グローバル コンフィギュレーション モードを開始します。

ステップ 2

radius-server host { ipv4-address | host-name } acct-port udp-port

 

例:

n1000v(config)# radius-server host 10.10.1.1 acct-port 2004

(任意)特定のホストに RADIUS アカウンティング メッセージを受信する UDP ポートを関連付けます。デフォルトの UDP ポートは 1812 です。有効な範囲は 0 ~ 65535 です。

ステップ 3

radius-server host { ipv4-address | host-name } accounting

 

例:

n1000v(config)# radius-server host 10.10.1.1 accounting

(任意)特定の RADIUS ホストをアカウンティング サーバとして指定します。デフォルトは、アカウンティングと認証の両方の用途です。

ステップ 4

exit

 

例:

n1000v(config)# exit

n1000v#

CLI EXEC モードに戻ります。

ステップ 5

show radius-server

 

例:

n1000v(config)# show radius-server

(任意)RADIUS サーバの設定を表示します。

ステップ 6

copy running-config startup-config

 

例:

n1000v# copy running-config startup-config

(任意)この実行コンフィギュレーションの変更内容を、スタートアップ コンフィギュレーションに保存します。

RADIUS 認証サーバの設定

認証機能を実行するサーバを設定するには、次の手順を実行します。

始める前に

この手順を開始する前に、次のことを確認または実行する必要があります。

EXEC モードで CLI にログインしています。

デフォルトでは、RADIUS サーバはアカウンティングと認証の両方に使用されます。

RADIUS 認証メッセージの宛先 UDP ポート番号がわかっています。

手順の概要

1. config t

2. radius-server host { ipv4-address | host-name } auth-port udp-port

3. radius-server host { ipv4-address | host-name } authentication

4. exit

5. show radius-server

6. copy running-config startup-config

手順の詳細

RADIUS サーバの認証およびアカウンティング アトリビュートを設定するには、次の手順を実行します。

 

コマンド
目的

ステップ 1

config t

 

例:

n1000v# config t

n1000v(config)#

CLI グローバル コンフィギュレーション モードを開始します。

ステップ 2

radius-server host { ipv4-address | host-name } auth-port udp-port

 

例:

n1000v(config)# radius-server host 10.10.2.2 auth-port 2005

(任意)特定のホストに RADIUS 認証メッセージを受信する UDP ポートを関連付けます。デフォルトの UDP ポートは 1812 です。有効な範囲は 0 ~ 65535 です。

ステップ 3

radius-server host { ipv4-address | host-name } authentication

 

例:

n1000v(config)# radius-server host 10.10.2.2 authentication

(任意)特定の RADIUS ホストを認証サーバとして指定します。デフォルトは、アカウンティングと認証の両方の用途です。

ステップ 4

exit

 

例:

n1000v(config)# exit

n1000v#

CLI EXEC モードに戻ります。

ステップ 5

show radius-server

 

例:

n1000v(config)# show radius-server

(任意)RADIUS サーバの設定を表示します。

ステップ 6

copy running-config startup-config

 

例:

n1000v# copy running-config startup-config

(任意)この実行コンフィギュレーションの変更内容を、スタートアップ コンフィギュレーションに保存します。

RADIUS サーバの定期モニタリングの設定

RADIUS サーバのモニタリングを設定するには、次の手順を実行します。

始める前に

この手順を開始する前に、次のことを確認または実行する必要があります。

EXEC モードで CLI にログインしています。

テスト アイドル タイマーには、応答しない RADIUS サーバにテスト パケットが送信されるまでの経過時間を指定します。


) セキュリティ上の理由から、RADIUS データベースに存在するユーザ名をテスト ユーザ名として設定しないでください。



) デフォルトのアイドル タイマー値は 0 分です。アイドル時間の間隔が 0 分の場合、NX-OS デバイスは RADIUS サーバの定期モニタリングを実行しません。


手順の概要

1. config t

2. radius-server host { ipv4-address | host-name } test { idle-time minutes | password password [ idle-time minutes ] | username name [ password password [ idle-time minutes ]]}

3. radius-server dead-time minutes

4. exit

5. show radius-server

6. copy running-config startup-config

手順の詳細

 

コマンド
目的

ステップ 1

config t

 

例:

n1000v# config t

n1000v(config)#

CLI グローバル コンフィギュレーション モードを開始します。

ステップ 2

radius-server host { ipv4-address | host-name } test { idle-time minutes | password password [ idle-time minutes ] | username name [ password password [ idle-time minutes ]]}

 

例:

n1000v(config)# radius-server host 10.10.1.1 test username user1 password Ur2Gd2BH idle-time 3

サーバ モニタリングのパラメータを指定します。デフォルト ユーザ名は test で、デフォルト パスワードは test です。アイドル タイマーのデフォルト値は 0 分です。有効な範囲は、0 ~ 1440 分です。

(注) RADIUS サーバを定期モニタリングする場合には、アイドル タイマーを 0 より大きな値に設定する必要があります。

ステップ 3

radius-server dead-time minutes

 

例:

n1000v(config)# radius-server dead-time 5

デッドと宣言された RADIUS サーバにテスト パケットを送信するまで待機する分数を指定します。デフォルト値は 0 分です。有効な範囲は 1 ~ 1440 分です。

ステップ 4

exit

 

例:

n1000v(config)# exit

n1000v#

CLI EXEC モードに戻ります。

ステップ 5

show radius-server

 

例:

n1000v# show radius-server

(任意)RADIUS サーバの設定を表示します。

ステップ 6

copy running-config startup-config

 

例:

n1000v# copy running-config startup-config

(任意)この実行コンフィギュレーションの変更内容を、スタートアップ コンフィギュレーションに保存します。

グローバル デッド タイム間隔の設定

すべての RADIUS サーバのデッド タイム間隔を設定するには、次の手順を実行します。デッド タイム間隔には、RADIUS サーバをデッドであると宣言したあと、そのサーバがアライブになったかどうかを確認するためにテスト パケットを送信するまで待機する時間を指定します。デフォルト値は 0 分です。


) デッド タイム間隔が 0 分の場合、RADIUS サーバの応答がなくても、そのサーバをデッドとしません。RADIUS サーバ グループに対するデッド タイム間隔を設定できます(「RADIUS サーバ グループの設定」を参照)。


始める前に

この手順を開始する前に、次のことを確認または実行する必要があります。

EXEC モードで CLI にログインしています。

手順の概要

1. config t

2. radius-server dead-time minutes

3. exit

4. show radius-server

5. copy running-config startup-config

手順の詳細

RADIUS のデッド タイム間隔を設定するには、次の手順を実行します。

 

コマンド
目的

ステップ 1

config t

 

例:

n1000v# config t

n1000v(config)#

CLI グローバル コンフィギュレーション モードを開始します。

ステップ 2

n1000v(config)# radius-server deadtime minutes

 

例:

n1000v(config)# radius-server deadtime 5

デッド タイム間隔を設定します。デフォルト値は 0 分です。有効な範囲は 1 ~ 1440 分です。

ステップ 3

exit

 

例:

n1000v(config)# exit

n1000v#

CLI EXEC モードに戻ります。

ステップ 4

show radius-server

 

例:

n1000v# show radius-server

(任意)RADIUS サーバの設定を表示します。

ステップ 5

copy running-config startup-config

 

例:

n1000v# copy running-config startup-config

(任意)この実行コンフィギュレーションの変更内容を、スタートアップ コンフィギュレーションに保存します。

RADIUS サーバまたはサーバ グループの手動でのモニタリング

RADIUS サーバまたはサーバ グループにテスト メッセージを手動で送信するには、次の手順を実行します。

始める前に

この手順を開始する前に、次のことを確認または実行する必要があります。

EXEC モードで CLI にログインしています。

手順の概要

1. test aaa server radius { ipv4-address | host-name } [ vrf vrf-name ] username password

2. test aaa group group-name username password

手順の詳細

 

コマンド
目的

ステップ 1

test aaa server radius { ipv4-address | server-name } [ vrf vrf-name ] username password

 

例:

n1000v# test aaa server radius 10.10.1.1 user1 Ur2Gd2BH

RADIUS サーバにテスト メッセージを送信して使用可能であることを確認します。

ステップ 1

test aaa group group-name username password

 

例:

n1000v# test aaa group RadGroup user2 As3He3CI

RADIUS サーバ グループにテスト メッセージを送信して使用可能であることを確認します。

RADIUS サーバ ホストの削除

RADIUS サーバ グループから RADIUS サーバ ホストを削除するには、次の手順を実行します。

始める前に

この手順を開始する前に、次のことを確認または実行する必要があります。

EXEC モードで CLI にログインしています。

「RADIUS サーバ ホストの設定」で 1 つまたは複数の RADIUS サーバ ホストを追加しています。

RADIUS 設定の確認

RADIUS の設定情報を表示するには、次のコマンドを使用します。

 

コマンド
目的

show running-config radius [all]

実行コンフィギュレーション内の RADIUS 設定を表示します。

show startup-config radius

スタートアップ コンフィギュレーション内の RADIUS 設定を表示します。

show radius-server [ server-name | ipv4-address ] [ directed-request | groups | sorted | statistics ]

RADIUS サーバのすべての設定済みパラメータを表示します。

このコマンドの出力フィールドの詳細については、『 Cisco Nexus 1000V Command Reference, Release 4.0(4)SV1(3) 』を参照してください。

RADIUS サーバ統計情報の表示

NX-OS デバイスが保持している RADIUS サーバのアクティビティに関する統計情報を表示するには、次の手順を実行します。

始める前に

この手順を開始する前に、次のことを確認または実行する必要があります。

EXEC モードで CLI にログインしています。

手順の概要

1. show radius-server statistics { hostname | ipv4-address }

手順の詳細

 

コマンド
目的

ステップ 1

n1000v# show radius-server statistics { hostname | ipv4-address }

 

例:

n1000v# show radius-server statistics 10.10.1.1

RADIUS 統計情報を表示します。

このコマンドの出力フィールドの詳細については、『 Cisco Nexus 1000V Command Reference, Release 4.0(4)SV1(3) 』を参照してください。

RADIUS 設定例

次に、RADIUS を設定する例を示します。

radius-server key 7 "ToIkLhPpG"
radius-server host 10.10.1.1 key 7 "ShMoMhTl" authentication accounting
aaa group server radius RadServer
server 10.10.1.1
 

その他の関連資料

RADIUS の実装に関する詳細情報については、次を参照してください。

「関連資料」

「標準規格」

関連資料

関連項目
マニュアル タイトル

コマンド リファレンス

Cisco Nexus 1000V Command Reference, Release 4.0(4)SV1(3)

標準規格

標準規格
タイトル

この機能でサポートされる新規または改訂された標準規格はありません。また、この機能による既存の標準規格サポートの変更はありません。

RADIUS 機能の履歴

ここでは、RADIUS のリリース履歴を示します。

 

機能名
リリース
機能情報

RADIUS

4.0

この機能が追加されました。