Cisco Nexus 4001I/4005I Switch Module for IBM BladeCenter NX-OS コンフィギュレーション ガイド
AAA の設定
AAA の設定
発行日;2012/05/10 | 英語版ドキュメント(2012/05/09 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

AAA の設定

AAA について

AAA セキュリティ サービス

AAA を使用する利点

リモート AAA サービス

AAA サーバ グループ

AAA サーバ設定オプション

ユーザ ログインのための認証および許可プロセス

リモート AAA の前提条件

AAA のガイドラインと制限事項

AAA の設定

コンソール ログイン認証方式の設定

デフォルトのログイン認証方式の設定

ログイン認証失敗メッセージのイネーブル化

MS-CHAP 認証のイネーブル化

AAA アカウンティングのデフォルト方式の設定

スイッチでの AAA サーバ VSA の使用

VSA について

VSA の形式

AAA サーバでのユーザ ロールと SNMPv3 パラメータの指定

ローカル AAA アカウンティング ログの表示と消去

AAA の設定の確認

AAA の設定例

デフォルト設定

AAA の設定

この章では、Cisco Nexus 4001I/4005I Switch Module for IBM BladeCenter で Authentication, Authorization, and Accounting(AAA; 認証、許可、アカウンティング)を設定する方法を説明します。

この章で説明する内容は、次のとおりです。

「AAA について」

「リモート AAA の前提条件」

「AAA のガイドラインと制限事項」

「AAA の設定」

「ローカル AAA アカウンティング ログの表示と消去」

「AAA の設定の確認」

「AAA の設定例」

「デフォルト設定」

AAA について

ここでは、次の内容について説明します。

「AAA セキュリティ サービス」

「AAA を使用する利点」

「リモート AAA サービス」

「AAA サーバ グループ」

「AAA サーバ設定オプション」

「ユーザ ログインのための認証および許可プロセス」

AAA セキュリティ サービス

AAA 機能は、スイッチを管理するユーザの識別情報を検証し、そのユーザにアクセスを許可し、行った操作を追跡することを可能にします。このスイッチでは、Remote Access Dial-In User Service(RADIUS)プロトコルまたは Terminal Access Controller Access Control System Plus(TACACS+)プロトコルがサポートされています。

スイッチは、ユーザが入力したユーザ ID とパスワードの組み合わせに基づいて、ローカル データベースを使用してローカル認証/ローカル許可を実行するか、1 つまたは複数の AAA サーバを使用してリモート認証/リモート許可を実行します。事前に共有された秘密キーによって、スイッチと AAA サーバ間の通信のセキュリティが確保されます。すべての AAA サーバ用または特定の AAA サーバ専用に共通秘密キーを設定できます。

AAA セキュリティは、次のサービスを実行します。

認証:ユーザを識別します。選択したセキュリティ プロトコルに応じて、ログインとパスワードのダイアログ、チャレンジ/レスポンス、メッセージング サポート、暗号化などが行われます。

認証は、スイッチにアクセスするユーザまたはデバイスの識別情報を検証するプロセスです。このプロセスは、スイッチにアクセスしようとしているエンティティが提供したユーザ ID とパスワードの組み合わせに基づいて行われます。このスイッチでは、ローカル認証(ローカル ルックアップ データベースを使用)またはリモート認証(1 つまたは複数の RADIUS サーバまたは TACACS+ サーバを使用)を実行できます。

許可:アクセス コントロールを実行します。

AAA の許可は、ユーザが何を実行する権限を与えられるかを表す一連の属性を組み立てるプロセスです。スイッチでの許可は、AAA サーバからダウンロードされる属性により実行されます。RADIUS や TACACS+ などのリモート セキュリティ サーバは、適切なユーザで該当する権利を定義した Attribute Value(AV; 属性値)のペアをアソシエートすることによって、ユーザに特定の権限を付与します。

アカウンティング:課金、監査、レポートのための情報収集、ローカルでの情報のロギング、および AAA サーバへの情報の送信の方式を提供します。

アカウンティング機能は、スイッチへのアクセスに使用されたすべての管理セッションのログを追跡し、保守します。この情報を使用して、トラブルシューティングや監査のためのレポートを生成できます。アカウンティング ログは、ローカルに保存することもできれば、リモート AAA サーバに送信することもできます。


) Cisco NX-OS ソフトウェアは、認証、許可、アカウンティングをそれぞれ個別にサポートします。たとえば、アカウンティングは設定せずに、認証と許可を設定したりできます。


AAA を使用する利点

AAA は、次のような利点を提供します。

アクセス設定の柔軟性と制御性の向上

スケーラビリティ

標準化された認証方式(RADIUS、TACACS+ など)

複数のバックアップ デバイス

リモート AAA サービス

RADIUS プロトコルおよび TACACS+ プロトコルを介して提供されるリモート AAA サービスには、ローカル AAA サービスと比べて次のような利点があります。

それぞれのユーザ パスワード リストがスイッチ管理しやすくなります。

AAA サーバはすでに企業内に幅広く導入されており、簡単に AAA サービスに使用できます。

ファブリック内のすべてのスイッチのアカウンティング ログを一元管理できます。

AAA サーバ グループ

認証、許可、アカウンティングのためのリモート AAA サーバは、サーバ グループを使用して指定できます。サーバ グループとは、同じ AAA プロトコルを実装した一連のリモート AAA サーバです。サーバ グループの目的は、リモート AAA サーバが応答できなくなったときにフェールオーバー サーバを提供することです。グループ内の最初のリモート サーバが応答しなかった場合、いずれかのサーバが応答を送信するまで、グループ内の次のリモート サーバで試行が行われます。サーバ グループ内のすべての AAA サーバが応答しなかった場合、そのサーバ グループ オプションは障害が発生しているものと見なされます。必要に応じて、複数のサーバ グループを指定できます。スイッチは、最初のグループ内のサーバからエラーを受け取った場合、次のサーバ グループ内のサーバで試行します。

AAA サーバ設定オプション

スイッチには、次のサービスについて個別の AAA 設定を持たせることができます。

User Telnet または Secure Shell(SSH)ログイン認証

コンソール ログイン認証

ユーザ管理セッション アカウンティング

表 17-1 に、各 AAA サービス設定オプションの CLI コマンドを示します。

.

表 17-1 AAA サービス コンフィギュレーション コマンド

AAA サービス コンフィギュレーション オプション
関連コマンド

Telnet または SSH ログイン

aaa authentication login default

コンソール ログイン

aaa authentication login console

ユーザ セッション アカウンティング

aaa accounting default

AAA サービスには、次の認証方式を指定できます。

RADIUS サーバ グループ:RADIUS サーバのグローバル プールを認証に使用します。

特定のサーバ グループ:指定した RADIUS または TACACS+ サーバ グループを認証に使用します。

ローカル:ユーザ名またはパスワードのローカル データベースを認証に使用します。

なし:ユーザ名だけを使用します。


) 方式がすべて RADIUS サーバになっており、特定のサーバ グループが指定されていない場合、スイッチは、設定されている RADIUS サーバのグローバル プールから、設定の順序で、RADIUS サーバを選択します。このグローバル プールからのサーバは、スイッチ上の RADIUS サーバ グループ内で選択的に設定できるサーバです。


表 17-2 に、AAA サービス用に設定できる AAA 認証方式を示します。

 

表 17-2 AAA サービスのための AAA 認証方式

AAA サービス
AAA の方式

コンソール ログイン認証

サーバ グループ、ローカル、なし

ユーザ ログイン認証

サーバ グループ、ローカル、なし

ユーザ管理セッション アカウンティング

サーバ グループ、ローカル


) コンソール ログイン認証、ユーザ ログイン認証、およびユーザ管理セッション アカウンティングでは、スイッチは、各オプションを指定された順序で試行します。その他の設定済みオプションが失敗した場合、ローカル オプションがデフォルト方式です。


ユーザ ログインのための認証および許可プロセス

図 17-1 に、ユーザ ログインのための認証および許可プロセスのフローチャートを示します。次のプロセスが発生します。

1. 目的のスイッチにログインする際、Telnet、SSH、Fabric Manager または Device Manager、コンソール ログインのいずれかのオプションを使用できます。

2. サーバ グループ認証方式を使用して AAA サーバ グループが設定してある場合は、スイッチが、グループ内の最初の AAA サーバに認証要求を送信し、次のように処理されます。

a. その AAA サーバが応答しなかった場合、リモートのいずれかの AAA サーバが認証要求に応答するまで、試行が継続されます。

b. そのサーバ グループ内のすべての AAA サーバが応答しなかった場合、次のサーバ グループ内のサーバで試行します。

c. 設定されているすべての方式で応答が得られなかった場合、ローカル データベースが認証に使用されます。

3. スイッチがリモート AAA サーバで正常に認証を行えた場合は、次のように処理されます。

a. AAA サーバ プロトコルが RADIUS の場合、cisco-av-pair 属性で指定されているユーザ ロールが認証応答とともにダウンロードされます。

b. AAA サーバ プロトコルが TACACS+ の場合、シェルのカスタム属性として指定されているユーザ ロールを取得するために、もう 1 つの要求が同じサーバに送信されます。

4. ユーザ名とパスワードがローカルで正常に認証された場合は、スイッチにログインでき、ローカル データベース内で設定されているロールが割り当てられます。

図 17-1 ユーザ ログインでの認証と許可のフロー

 


) 「No more server groups left」は、どのサーバ グループ内のどのサーバからも応答が得られなかったことを意味します。
「No more servers left」は、そのサーバ グループ内のどのサーバからも応答が得られなかったことを意味します。


リモート AAA の前提条件

リモート AAA サーバには、次の前提条件があります。

少なくとも 1 つの RADIUS または TACACS+ サーバが IP で到達可能である(およびを参照してください)。

スイッチが AAA サーバのクライアントとして設定されている。

事前に共有された秘密キーがスイッチ上およびリモート AAA サーバ上で設定されている。

リモート サーバがスイッチからの AAA 要求に応答する(およびを参照)。

AAA のガイドラインと制限事項

スイッチでは、それが TACACS+ または RADIUS で作成されたものか、あるいはローカルで作成されたものかに関係なく、すべて数字のユーザ名はサポートされていません。名前がすべて数字のローカル ユーザは作成しないでください。AAA サーバ上にすべて数字のユーザ名が存在して、それがログインで入力された場合、スイッチはそのユーザをログインさせません。

AAA の設定

AAA の認証とアカウンティングを設定する手順は、次のとおりです。


ステップ 1 認証にリモート RADIUS サーバまたはリモート TACACS+ サーバを使用する場合は、スイッチ上でそのホストを設定します。およびを参照してください。

ステップ 2 コンソール ログイン認証方式を設定します。「コンソール ログイン認証方式の設定」を参照してください。

ステップ 3 ユーザ ログインのためのデフォルトのログイン認証方式を設定します。「デフォルトのログイン認証方式の設定」を参照してください。

ステップ 4 デフォルト AAA アカウンティングのデフォルト方式を設定します。「AAA アカウンティングのデフォルト方式の設定」を参照してください。


 

次のトピックで、AAA の設定手順について詳しく説明します。

「コンソール ログイン認証方式の設定」

「デフォルトのログイン認証方式の設定」

「ログイン認証失敗メッセージのイネーブル化」

「MS-CHAP 認証のイネーブル化」

「AAA アカウンティングのデフォルト方式の設定」

「スイッチでの AAA サーバ VSA の使用」

コンソール ログイン認証方式の設定

ここでは、コンソール ログインの認証方式を設定する方法を説明します。

認証方式には、次のものがあります。

RADIUS サーバのグローバル プール

RADIUS サーバまたは TACACS+ サーバの名前付きサブセット

スイッチ上のローカル データベース

ユーザ名だけ( none

デフォルトの方式は、ローカルです。


) 事前に設定されている一連の RADIUL サーバには、aaa authentication コマンドの group radius 形式および group server-name 形式を使用します。ホスト サーバを設定するには、radius server-host コマンドを使用します。サーバの名前付きグループを作成するには、aaa group server radius コマンドを使用します。


必要に応じて、コンソール ログイン認証方式を設定する前に RADIUS または TACACS+ サーバ グループを設定します。コンソール ログイン認証方式を設定する手順は、次のとおりです。

 

 
コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# aaa authentication login console { group group-list [ none ]| local | none }

コンソールのログイン認証方式を設定します。

group-list 引数には、グループ名をスペースで区切ったリストを指定します。グループ名は、次のように指定します。

radius :RADIUS サーバのグローバル プールが認証に使用されます。

named-group :TACACS+ サーバまたは RADIUS サーバの名前付きサブセットが認証に使用されます。

local 方式では、ローカル データベースが認証に使用されます。 none 方式では、ユーザ名だけが使用されます。

デフォルトのコンソール ログイン方式は local です。この方式は、方式が一切設定されていない場合、および設定済みのどの方式でも応答が得られなかった場合に使用されます。

ステップ 3

switch(config)# exit

コンフィギュレーション モードを終了します。

ステップ 4

switch# show aaa authentication

(任意)コンソール ログイン認証方式の設定を表示します。

ステップ 5

switch# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

次に、コンソール ログインの認証方式を設定する例を示します。

switch# configure terminal

switch(config)# aaa authentication login console group radius

switch(config)# exit

switch# show aaa authentication
switch# copy running-config startup-config

デフォルトのログイン認証方式の設定

認証方式には、次のものがあります。

RADIUS サーバのグローバル プール

RADIUS サーバまたは TACACS+ サーバの名前付きサブセット

スイッチ 上のローカル データベース

ユーザ名だけ

デフォルトの方式は、ローカルです。

必要に応じて、デフォルトのログイン認証方式を設定する前に RADIUS または TACACS+ サーバ グループを設定します。デフォルトのログイン認証方式を設定する手順は、次のとおりです。

 

 
コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# aaa authentication login default { group group-list [ none ]| local | none }

デフォルト認証方式を設定します。

group-list 引数には、グループ名をスペースで区切ったリストを指定します。グループ名は、次のように指定します。

radius :RADIUS サーバのグローバル プールが認証に使用されます。

named-group :TACACS+ サーバまたは RADIUS サーバの名前付きサブセットが認証に使用されます。

local 方式では、ローカル データベースが認証に使用されます。 none 方式では、ユーザ名だけが使用されます。

デフォルトのログイン方式は local です。この方式は、方式が一切設定されていない場合、および設定済みのどの方式でも応答が得られなかった場合に使用されます。

ステップ 3

switch(config)# exit

コンフィギュレーション モードを終了します。

ステップ 4

switch# show aaa authentication

(任意)デフォルトのログイン認証方式の設定を表示します。

ステップ 5

switch# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

ログイン認証失敗メッセージのイネーブル化

ユーザがログインして、リモート AAA サーバが応答しなかった場合は、ローカル ユーザ データベースによってログインが処理されます。ログイン失敗メッセージの表示をイネーブルにしていた場合は、次のようなメッセージが表示されます。

Remote AAA servers unreachable; local authentication done.
Remote AAA servers unreachable; local authentication failed.
 

ログイン認証失敗メッセージをイネーブルにする手順は、次のとおりです。

 

 
コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# aaa authentication login error-enable

ログイン認証失敗メッセージをイネーブルにします。デフォルトはディセーブルです。

ステップ 3

switch(config)# exit

コンフィギュレーション モードを終了します。

ステップ 4

switch# show aaa authentication

(任意)ログイン失敗メッセージの設定を表示します。

ステップ 5

switch# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

MS-CHAP 認証のイネーブル化

Microsoft Challenge Handshake Authentication Protocol(MS-CHAP; マイクロソフト チャレンジ ハンドシェイク認証プロトコル)は、CHAP のマイクロソフト版です。リモート認証サーバ(RADIUS または TACACS+)を通じて、スイッチへのユーザ ログインに MS-CHAP を使用できます。

デフォルトでは、スイッチは、スイッチとリモート サーバの間で Password Authentication Protocol(PAP; パスワード認証プロトコル)認証を使用します。MS-CHAP をイネーブルにする場合は、MS-CHAP の Vendor-Specific Attribute(VSA; ベンダー固有属性)を認識するように RADIUS サーバを設定する必要があります。「スイッチでの AAA サーバ VSA の使用」を参照してください。 表 17-3 に、MS-CHAP に必要な RADIUS VSA を示します。

 

表 17-3 MS-CHAP RADIUS VSA

ベンダー ID 番号
ベンダー タイプ番号
VSA
説明

311

11

MS-CHAP-Challenge

AAA サーバから MS-CHAP ユーザに送信されるチャレンジが格納されます。これは、Access-Request パケットと Access-Challenge パケットの両方で使用できます。

211

11

MS-CHAP-Response

MS-CHAP ユーザがチャレンジへの応答として提供したレスポンス値が格納されます。Access-Request パケットでしか使用されません。

MS-CHAP 認証をイネーブルにする手順は、次のとおりです。

 

 
コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# aaa authentication login mschap enable

MS-CHAP 認証をイネーブルにします。デフォルトはディセーブルです。

ステップ 3

switch(config)# exit

コンフィギュレーション モードを終了します。

ステップ 4

switch# show aaa authentication login mschap

(任意)MS-CHAP の設定を表示します。

ステップ 5

switch# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

AAA アカウンティングのデフォルト方式の設定

スイッチは、アカウンティングに TACACS+ 方式と RADIUS 方式をサポートします。スイッチは、ユーザ アクティビティをアカウンティング レコードの形で TACACS+ セキュリティ サーバまたは RADIUS セキュリティ サーバに報告します。各アカウンティング レコードに、アカウンティング Attribute Value(AV; 属性値)のペアが入っており、それが AAA サーバに格納されます。

AAA アカウンティングをアクティブにすると、スイッチは、これらの属性をアカウンティング レコードとして報告します。そのアカウンティング レコードは、セキュリティ サーバ上のアカウンティング ログに格納されます。

特定のアカウンティング方式を定義するデフォルト方式リストを作成できます。次の方式を含めることができます。

RADIUS サーバ グループ:RADIUS サーバのグローバル プールをアカウンティングに使用します。

特定のサーバ グループ:指定した RADIUS または TACACS+ サーバ グループをアカウンティングに使用します。

ローカル:ユーザ名またはパスワードのローカル データベースをアカウンティングに使用します。


) サーバ グループを設定しており、そのサーバ グループが応答しなかった場合は、デフォルトで、ローカル データベースが認証に使用されます。


必要に応じて、AAA アカウンティングのデフォルト方式を設定する前に RADIUS または TACACS+ サーバ グループを設定します。

AAA アカウンティングのデフォルト方式を設定する手順は、次のとおりです。

 

 
コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# aaa accounting default { group group-list | local }

デフォルト アカウンティング方式を設定します。スペースで区切ったリストで、1 つまたは複数のサーバ グループ名を指定できます。

group-list 引数には、グループ名をスペースで区切ったリストを指定します。グループ名は、次のように指定します。

radius :RADIUS サーバのグローバル プールがアカウンティングに使用されます。

named-group :TACACS+ サーバまたは RADIUS サーバの名前付きサブセットがアカウンティングに使用されます。

local 方式では、アカウンティングにローカル データベースが使用されます。

デフォルト方式はローカルです この方式は、サーバ グループが 1 つも設定されていない場合、および設定済みのどのサーバ グループからも応答が得られなかった場合に使用されます。

ステップ 3

switch(config)# exit

コンフィギュレーション モードを終了します。

ステップ 4

switch# show aaa accounting

(任意)AAA アカウンティングのデフォルト方式の設定を表示します。

ステップ 5

switch# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

スイッチでの AAA サーバ VSA の使用

Vendor-Specific Attribute(VSA; ベンダー固有属性)を使用して、AAA サーバ上でのスイッチのユーザ ロールおよび SNMPv3 パラメータを指定できます。

ここでは、次の内容について説明します。

「VSA について」

「VSA の形式」

「AAA サーバでのユーザ ロールと SNMPv3 パラメータの指定」

VSA について

Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)が、ネットワーク アクセス サーバと RADIUS サーバの間での VSA の通信のための方式を規定する標準を作成しています。IETF は、属性 26 を使用します。VSA を使用するとベンダーは、一般的な用途には適合しない独自の拡張属性をサポートできます。シスコの RADIUS 実装は、この仕様で推奨される形式を使用して、1 つのベンダー固有オプションをサポートしています。シスコのベンダー ID は 9、サポートされるオプションのベンダー タイプは 1(名前付き cisco-av-pair)です。値は、次の形式のストリングです。

protocol : attribute seperator value *
 

プロトコルは、特定のタイプの許可用のシスコ属性です。必須属性の区切り文字は等号(=)で、アスタリス * )は任意属性を示します。

スイッチでの認証に RADIUS サーバを使用する場合は、許可情報などのユーザ属性を認証結果とともに返すように、RADIUS サーバに RADIUS プロトコルで指示します。この許可情報は、VSA で指定されます。

VSA の形式

次の VSA プロトコル オプションが、スイッチでサポートされています。

Shell:access-accept パケットで、ユーザ プロファイル情報を提供するために使用されます。

Accounting:accounting-request パケットで使用されます。値にスペースが含まれている場合は、二重引用符で囲んでください。

次の属性がスイッチでサポートされています。

roles:ユーザに割り当てるすべてのロールをリストします。値フィールドは、グループ名を空白で区切ったリストの入ったストリングです。

accountinginfo:標準の RADIUS アカウンティング プロトコルで処理される属性に加えて、追加のアカウンティング情報が格納されます。この属性が送信されるのは、スイッチ上の RADIUS クライアントからの Account-Request フレームの VSA 部分内だけです。この属性は、アカウンティング プロトコル関連の PDU でしか使用できません。

AAA サーバでのユーザ ロールと SNMPv3 パラメータの指定

AAA サーバで VSA cisco-av-pair を使用して、次の形式で、スイッチのユーザ ロール マッピングを指定できます。

shell:roles="roleA roleB ..."
 

cisco-av-pair 属性にロール オプションを指定しなかった場合のデフォルトのユーザ ロールは、network-operator です。

次のように SNMPv3 認証とプライバシー プロトコル属性を指定することもできます。

shell:roles="roleA roleB..." snmpv3:auth=SHA priv=AES-128
 

SNMPv3 認証プロトコルに指定できるオプションは、SHA と MD5 です。プライバシー プロトコルに指定できるオプションは、AES-128 と DES です。cisco-av-pair 属性にこれらのオプションを指定しなかった場合のデフォルトの認証プロトコルは、MD5 と DES です。

ユーザ ロールの詳細については、を参照してください。

ローカル AAA アカウンティング ログの表示と消去

スイッチは、AAA アカウンティング アクティビティのローカル ログを保持しています。このログを表示したり、消去したりする手順は、次のとおりです。

 

 
コマンド
目的

ステップ 1

switch# show accounting log [ size ] [ start-time year month day hh : mm : ss ]

アカウンティング ログの内容を表示します。このコマンド出力には、デフォルトで最大 250,000 バイトのアカウンティング ログが表示されます。サイズ引数を指定すれば、コマンドの出力を制限できます。指定できる範囲は 0 ~ 250000 バイトです。ログ出力の開始時刻を指定することもできます。

ステップ 2

switch# clear accounting log

(任意)アカウンティング ログの内容を消去します。

AAA の設定の確認

AAA の設定情報を表示するには、次のいずれかの作業を行います。

 

コマンド
目的

show aaa accounting

AAA アカウンティングの設定を表示します。

show aaa authentication [ login { error-enable | mschap }]

AAA 認証情報を表示します。

show aaa groups

AAA サーバ グループの設定を表示します。

show running-config aaa [ all]

実行コンフィギュレーションの AAA 設定を表示します。

show startup-config aaa

スタートアップ コンフィギュレーションの AAA 設定を表示します。

AAA の設定例

次に、AAA を設定する例を示します。

aaa authentication login default group radius
aaa authentication login console group radius
aaa accounting default group radius

デフォルト設定

表 17-4 に、AAA パラメータのデフォルト設定を示します。

 

表 17-4 デフォルトの AAA パラメータ

パラメータ
デフォルト

コンソール認証方式

ローカル

デフォルト認証方式

ローカル

ログイン認証失敗メッセージ

ディセーブル

MS-CHAP 認証

ディセーブル

デフォルト アカウンティング方式

ローカル

アカウンティング ログの表示サイズ

250 KB