Cisco Nexus 5000 シリーズ スイッチ CLI ソフト ウェア コンフィギュレーション ガイド
AAA の設定
AAA の設定
発行日;2012/01/31 | 英語版ドキュメント(2010/03/15 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

AAA の設定

AAA について

AAA セキュリティ サービス

AAA を使用する利点

リモート AAA サービス

AAA サーバ グループ

AAA サービスの設定オプション

ユーザ ログインの認証および許可プロセス

リモート AAA サーバの前提条件

AAA に関する注意事項と制限事項

AAA の設定

コンソール ログイン認証方式の設定

デフォルトのログイン認証方式の設定

ログイン認証失敗メッセージのイネーブル化

MSCHAP 認証のイネーブル化

デフォルトの AAA アカウンティング方式の設定

Nexus 5000 シリーズ スイッチでの AAA サーバ VSA の使用

VSA の概要

VSA のフォーマット

AAA サーバ上での スイッチのユーザ ロールと SMNPv3 パラメータの指定

ローカル AAA アカウンティング ログの表示と消去

AAA の設定の確認

AAA の設定例

デフォルト設定値

AAA の設定

この章では、Cisco Nexus 5000 シリーズ スイッチに Authentication, Authorization, and Accounting(AAA; 認証、許可、アカウンティング)を設定する方法を説明します。

この章の内容は、次のとおりです。

「AAA について」

「リモート AAA サーバの前提条件」

「AAA に関する注意事項と制限事項」

「AAA の設定」

「ローカル AAA アカウンティング ログの表示と消去」

「AAA の設定の確認」

「AAA の設定例」

「デフォルト設定値」

AAA について

ここで説明する内容は、次のとおりです。

「AAA セキュリティ サービス」

「AAA を使用する利点」

「リモート AAA サービス」

「AAA サーバ グループ」

「AAA サービスの設定オプション」

「ユーザ ログインの認証および許可プロセス」

AAA セキュリティ サービス

AAA 機能は、Nexus 5000 シリーズ スイッチを管理するユーザの ID を確認し、アクセスを許可し、実行されたアクションを追跡します。Nexus 5000 シリーズ スイッチでは、Remote Access Dial-In User Service(RADIUS)プロトコルまたは Terminal Access Controller Access Control device Plus(TACACS+)プロトコルをサポートしています。

Nexus 5000 シリーズ スイッチは提示されたユーザ ID およびパスワードの組み合せに基づき、ローカル データベースによるローカル認証またはローカル許可、あるいは AAA サーバによるリモート認証またはリモート許可を実行します。Nexus 5000 スイッチと AAA サーバ間の通信は、事前共有秘密鍵によって保護されます。共有秘密鍵は、すべての AAA サーバに設定することも、特定の AAA サーバだけに設定することもできます。

AAA セキュリティ機能は、次のサービスを提供します。

認証:ログインとパスワード ダイアログ、チャレンジとレスポンス、メッセージングのサポート、暗号化など、選択されたセキュリティ プロトコルに応じて、ユーザの本人確認を行います。

認証は、Nexus 5000 シリーズ スイッチにアクセスするユーザまたはデバイスの ID を確認するプロセスです。このプロセスは、Nexus 5000 スイッチにアクセスしようとするエンティティが入力したユーザ ID とパスワードの組み合せに基づいて行われます。Nexus 5000 シリーズ スイッチでは、ローカル認証(ローカル ルックアップ データベースを使用)またはリモート認証(1 台または複数台の RADIUS サーバまたは TACACS+ サーバを使用)を実行できます。

許可:アクセス コントロールを提供します。

AAA 許可は、ユーザが何の操作の実行を許可されているか記述する一連のアトリビュートを構築するプロセスです。Nexus 5000 シリーズ スイッチの許可機能は、AAA サーバからダウンロードされたアトリビュートによって提供されます。RADIUS や TACACS+ などのリモート セキュリティ サーバは、個々の権限と適切なユーザを規定したアトリビュート値(AV)のペアを関連付けることによって、ユーザにそれらの権限を付与します。

アカウンティング:情報を収集する、情報をローカルのログに記録する、情報を AAA サーバに送信して課金、監査、レポート作成などを行う方法を提供します。

アカウンティング機能は、Nexus 5000 シリーズ スイッチへのアクセスに使用されるすべての管理セッションのログを追跡し、管理します。この情報を利用して、トラブルシューティングや監査に使用するレポートを生成できます。アカウンティング ログはローカルで保存したり、リモート AAA サーバに送信できます。


) Cisco NX-OS ソフトウェアは、認証、許可、アカウンティングを、それぞれ別々にサポートしています。たとえば、アカウンティングを設定せずに、認証および許可を設定できます。


AAA を使用する利点

AAA には次のような利点があります。

アクセス設定の柔軟性と管理性の向上

スケーラビリティ

RADIUS や TACACS+ などの、標準化された認証方式

複数のバックアップ デバイス

リモート AAA サービス

RADIUS および TACACS+ プロトコルにより提供されるリモート AAA サービスは、ローカル AAA サーバにはない次の利点があります。

ファブリック内の各 Nexus 5000 シリーズ スイッチのユーザ パスワード リストを簡単に管理できます。

AAA サーバは、すでに多くの企業に普及しているため、AAA サービスを簡単に利用できます。

ファブリック内のすべてのスイッチのアカウンティング ログを集中管理できます。

スイッチ上のローカル データベースではなく、ファブリック内の各スイッチのユーザ アトリビュートを使用するため、管理が容易です。

AAA サーバ グループ

サーバ グループによって、認証、許可、アカウンティングに使用する複数のリモート AAA サーバを指定できます。サーバ グループは、同じ AAA プロトコルを実装するリモート AAA サーバの集合です。サーバ グループの目的は、あるリモート AAA サーバが応答に失敗した場合に、フェールオーバー サーバを提供することです。グループ内の最初のリモート サーバが応答に失敗すると、グループ内の次のリモート サーバが試されます。いずれかのサーバが応答を返すまで、この処理は続きます。サーバ グループのすべての AAA サーバが応答しなかった場合、そのサーバ グループに障害が発生したと見なされます。必要に応じて、複数のサーバ グループを指定できます。最初のグループ内のサーバからエラーを受信すると、次のサーバ グループのサーバが試されます。

AAA サービスの設定オプション

Nexus 5000 シリーズ スイッチでは、次の各サービスに、異なる AAA 設定を作成できます。

ユーザ Telnet または Secure Shell(SSH; セキュア シェル)ログイン認証

コンソール ログイン認証

ユーザ管理セッション アカウンティング

表 16-1 に、各 AAA サービスの設定オプションに関連する CLI コマンドを示します。

 

表 16-1 AAA サービスの設定コマンド

AAA サービスの設定オプション
関連するコマンド

Telnet または SSH ログイン

aaa authentication login default

コンソール ログイン

aaa authentication login console

ユーザ セッション アカウンティング

aaa accounting default

AAA サービスでは、次の認証方式を指定できます。

RADIUS サーバ グループ:RADIUS サーバのグローバル プールを使用して認証を行います。

指定サーバ グループ:指定された RADIUS または TACACS+ サーバ グループを使用して認証を行います。

ローカル(local):ローカルのユーザ名またはパスワード データベースを使用して認証を行います。

なし(none):ユーザ名だけ使用します。


) 特定のサーバ グループではなく、すべての RADIUS サーバを使用する認証方式では、Nexus 5000 シリーズ スイッチは、設定済み RADIUS サーバのグローバル プールから設定順に RADIUS サーバを選択します。このグローバル プールのサーバは、Nexus 5000 シリーズ スイッチ上の RADIUS サーバ グループ内で選択的に設定可能なサーバです。


表 16-2 に、各 AAA サービスで設定可能な AAA 認証方式を示します。

 

表 16-2 AAA サービスの AAA 認証方式

AAA サービス
AAA 方認証式

コンソール ログイン認証

サーバ グループ、ローカル、なし

ユーザ ログイン認証

サーバ グループ、ローカル、なし

ユーザ管理セッション アカウンティング

サーバ グループ、ローカル


) コンソール ログイン認証、ユーザ ログイン認証、ユーザ管理セッション アカウンティングの場合、Nexus 5000 シリーズ スイッチは、指定された順に各オプションを実行します。他の設定済みのオプションが失敗した場合は、「ローカル」がデフォルトの認証方式になります。


ユーザ ログインの認証および許可プロセス

図 16-1 に、ユーザ ログインの認証および許可プロセスのフローチャートを示します。次のプロセスが実行されます。

1. 目的の Nexus 5000 シリーズ スイッチにログインするには、Telnet、SSH、Fabric Manager/Device Manager、またはコンソール ログインのいずれかを使用します。

2. サーバ グループ認証方式を使用する AAA サーバ グループを設定した場合、そのグループの最初の AAA サーバに認証要求が送信されます。

a. 特定の AAA サーバが応答しなかった場合は、その次の AAA サーバ、さらにその次へと、各サーバが順に試行されます。この処理は、リモート サーバが認証要求に応答するまで続けられます。

b. サーバ グループのすべての AAA サーバが応答しなかった場合、その次のサーバ グループのサーバが試行されます。

c. 設定されている認証方式がすべて失敗した場合、ローカル データベースを使用して認証が実行されます。

3. Nexus 5000 Series スイッチではリモートの AAA サーバによるユーザの認証に成功すると、次のいずれかの処理が行われます。

a. AAA サーバ プロトコルが RADIUS である場合、cisco-av-pair アトリビュートで指定されたユーザ ロールが、認証応答とともにダウンロードされます。

b. AAA サーバ プロトコルが TACACS+ である場合、同じサーバに新しい要求が送信され、シェル用のカスタム アトリビュートとして指定されたユーザ ロールが取得されます。

4. ユーザ名とパスワードのローカル認証に成功すると、スイッチへのログインが認められ、ローカル データベースに設定されたロールが割り当てられます。

図 16-1 ユーザ ログインの認証および許可フロー

 


) 「残りのサーバ グループなし」とは、すべてのサーバ グループのいずれのサーバからも応答がないということです。
「残りのサーバなし」とは、現在のサーバ グループ内のいずれのサーバからも応答がないということです。


リモート AAA サーバの前提条件

リモート AAA サーバを利用するには次の前提条件を満たす必要があります。

最低 1 つの RADIUS または TACACS+ サーバが IP で到達可能であること(「RADIUS サーバ ホストの設定」および「TACACS+ サーバ ホストの設定」を参照)。

Nexus 5000 シリーズ スイッチが、AAA サーバのクライアントとして設定されていること。

Nexus 5000 シリーズ スイッチおよびリモート AAA サーバ上に事前共有秘密鍵が設定されていること。

リモート サーバが Nexus 5000 シリーズ スイッチからの AAA 要求に応答すること(「RADIUS サーバまたはサーバ グループの手動モニタリング」および「TACACS+ サーバまたはサーバ グループの手動モニタリング」を参照)。

AAA に関する注意事項と制限事項

Nexus 5000 シリーズ スイッチは、TACACS+ または RADIUS で作成されたものであれ、あるいはローカルに作成されたものであれ、数字だけを使用したユーザ名をサポートしていません。また、数字だけを使用したローカル ユーザ名を作成することもありません。AAA サーバに数字だけのユーザ名が存在し、ログイン時にその名前を入力した場合、ユーザはログインを許可されます。

AAA の設定

AAA 認証とアカウンティングを設定する手順は、次のとおりです。


ステップ 1 リモートの RADIUS または TACACS+ サーバを使用して認証を行う場合は、Nexus 5000 シリーズ スイッチ上にホストを設定します。 第 17 章「RADIUSの設定」 および 第 18 章「TACACS+ の設定」 を参照してください。

ステップ 2 コンソール ログイン認証方式を設定します。「コンソール ログイン認証方式の設定」を参照してください。

ステップ 3 ユーザ ログインのデフォルトの認証方式を設定します。「デフォルトのログイン認証方式の設定」を参照してください。

ステップ 4 デフォルトの AAA アカウンティング方式を設定します。「デフォルトの AAA アカウンティング方式の設定」を参照してください。


 

次の各項で、AAA の設定手順について詳細に説明します。

「コンソール ログイン認証方式の設定」

「デフォルトのログイン認証方式の設定」

「ログイン認証失敗メッセージのイネーブル化」

「MSCHAP 認証のイネーブル化」

「デフォルトの AAA アカウンティング方式の設定」

「Nexus 5000 シリーズ スイッチでの AAA サーバ VSA の使用」

コンソール ログイン認証方式の設定

ここでは、コンソール ログインの認証方式の設定方法を説明します。

次の認証方式があります。

RADIUS サーバのグローバル プール

RADIUS または TACACS+ サーバの指定サブセット

Nexus 5000 シリーズ スイッチ上のローカル データベース

ユーザ名のみ( none

デフォルトの方式は「ローカル」です。


) 定義済みの RADIUS サーバ セットには、aaa authentication コマンドの group radius および group server-name 形式を使用します。ホスト サーバを設定するには、radius server-host コマンドを使用します。特定のサーバ グループを作成するには、aaa group server radius コマンドを使用します。


コンソール ログイン認証方式を設定する前に、必要に応じて、RADIUS または TACACS+ サーバ グループを設定します。コンソール ログイン認証方式を設定する手順は、次のとおりです。

 

 
コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# aaa authentication login console { group group-list [ none ]| local | none }

コンソールのログイン認証方式を設定します。

group-list 引数は、スペースで区切られたグループ名のリストです。次のグループ名があります。

radius :RADIUS サーバのグローバル プールを使用して認証を行います。

named-group :TACACS+ または RADIUS サーバの指定サブセットを使用して認証を行います。

local 方式はローカル データベースを使用して認証を行います。 none 方式は、ユーザ名だけ使用します。

デフォルトのコンソール ログイン方式は local です。ログイン方式が設定されていないとき、または設定済みのすべてのログイン方式で応答がないときに、このデフォルトの方式が使用されます。

ステップ 3

switch(config)# exit

コンフィギュレーション モードを終了します。

ステップ 4

switch# show aaa authentication

(任意)コンソール ログイン認証方式の設定を表示します。

ステップ 5

switch# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

次に、コンソール ログインの認証方式を設定する例を示します。

switch# configure terminal

switch(config)# aaa authentication login console group radius

switch(config)# exit

switch# show aaa authentication

switch# copy running-config startup-config

デフォルトのログイン認証方式の設定

次の認証方式があります。

RADIUS サーバのグローバル プール

RADIUS または TACACS+ サーバの指定サブセット

Nexus 5000 シリーズ スイッチ上のローカル データベース

ユーザ名のみ

デフォルトの方式は「ローカル」です。

デフォルトのログイン認証方式を設定する前に、必要に応じて、RADIUS または TACACS+ サーバ グループを設定します。デフォルトのログイン認証方式を設定する手順は、次のとおりです。

 

 
コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# aaa authentication login default { group group-list [ none ]| local | none }

デフォルトの認証方式を設定します。

group-list 引数は、スペースで区切られたグループ名のリストです。次のグループ名があります。

radius :RADIUS サーバのグローバル プールを使用して認証を行います。

named-group :TACACS+ または RADIUS サーバの指定サブセットを使用して認証を行います。

local 方式はローカル データベースを使用して認証を行います。 none 方式は、ユーザ名だけ使用します。

デフォルトのログイン方式は local です。ログイン方式が設定されていないとき、または設定済みのすべてのログイン方式で応答がないときに、このデフォルトの方式が使用されます。

ステップ 3

switch(config)# exit

コンフィギュレーション モードを終了します。

ステップ 4

switch# show aaa authentication

(任意)デフォルトのログイン認証方式の設定を表示します。

ステップ 5

switch# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

ログイン認証失敗メッセージのイネーブル化

ログイン時に、リモート AAA サーバが応答しない場合、ログインはローカル ユーザ データベースを使用して処理されます。ログイン失敗メッセージの表示をイネーブルにしておくと、次のメッセージが表示されます。

Remote AAA servers unreachable; local authentication done.
Remote AAA servers unreachable; local authentication failed.
 

ログイン認証失敗メッセージをイネーブルにする手順は、次のとおりです。

 

 
コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# aaa authentication login error-enable

ログイン認証失敗メッセージをイネーブルにします。デフォルトはディセーブルです。

ステップ 3

switch(config)# exit

コンフィギュレーション モードを終了します。

ステップ 4

switch# show aaa authentication

(任意)ログイン失敗メッセージの設定を表示します。

ステップ 5

switch# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

MSCHAP 認証のイネーブル化

Microsoft Challenge Handshake Authentication Protocol(MSCHAP; マイクロソフト チャレンジ ハンドシェーク認証プロトコル)は、マイクロソフト版の CHAP です。リモート認証サーバ(RADIUS または TACACS+)を介して Nexus 5000 シリーズ スイッチにユーザ ログインするとき、MSCHAP を使用できます。

デフォルトでは、Nexus 5000 シリーズ スイッチは、スイッチとリモート サーバ間の認証に、Password Authentication Protocol(PAP; パスワード認証プロトコル)を使用します。MSCHAP がイネーブルの場合は、MSCHAP VSA(Vendor-Specific Attribute; ベンダー固有属性)を認識するように RADIUS サーバを設定する必要があります。「Nexus 5000 シリーズ スイッチでの AAA サーバ VSA の使用」を参照してください。 表 16-3 に、MSCHAP で必要とされる RADIUS VSA を示します。

 

表 16-3 MSCHAP RADIUS VSA

ベンダー ID 番号
ベンダー
タイプ番号
VSA
説明

311

11

MSCHAP-Challenge

AAA サーバから MSCHAP ユーザに送信されるチャレンジを保持します。Access-Request パケットおよび Access-Challenge パケットに使用できます。

211

11

MSCHAP-Response

チャレンジに対する応答として MSCHAP ユーザが入力した値を保持します。Access-Request パケットだけで使用します。

MSCHAP 認証をイネーブルにする手順は、次のとおりです。

 

 
コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# aaa authentication login mschap enable

MSCHAP 認証をイネーブルにします。デフォルトはディセーブルです。

ステップ 3

switch(config)# exit

コンフィギュレーション モードを終了します。

ステップ 4

switch# show aaa authentication login mschap

(任意)MSCHAP の設定を表示します。

ステップ 5

switch# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

デフォルトの AAA アカウンティング方式の設定

Nexus 5000 シリーズ スイッチは、TACACS+ および RADIUS によるアカウンティング方式をサポートしています。スイッチは、TACACS+ または RADIUS セキュリティ サーバに、アカウンティング レコード形式でユーザ アクティビティをレポートします。各アカウンティング レコードは、アカウンティング AV のペアを保持しており、AAA サーバに格納されます。

AAA アカウンティングをアクティブ化すると、これらのアトリビュートがアカウンティング レコードとしてレポートされ、セキュリティ サーバ上のアカウンティング ログに格納されます。

特定のアカウンティング方式を定義するデフォルト方式のリストを作成できます。それには次の方式があります。

RADIUS サーバ グループ:RADIUS サーバのグローバル プールを使用してアカウンティングを行います。

指定サーバ グループ:指定された RADIUS または TACACS+ サーバ グループをアカウンティング用に使用します。

ローカル:ローカルのユーザ名またはパスワード データベースを使用してアカウンティングを行います。


) 設定したサーバ グループから応答がない場合は、デフォルトで、アカウンティング用にローカル データベースを使用します。


デフォルトの AAA アカウンティング方式を設定する前に、必要に応じて、RADIUS または TACACS+ サーバ グループを設定してください。

デフォルトの AAA アカウンティング方式を設定する手順は、次のとおりです。

 

 
コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# aaa accounting default { group group-list | local }

デフォルトのアカウンティング方式を設定します。1 つ以上のサーバ グループ名をスペースで区切られたリストとして指定できます。

group-list 引数は、スペースで区切られたグループ名のリストです。次のグループ名があります。

radius :RADIUS サーバのグローバル プールを使用してアカウンティングを行います。

named-group :TACACS+ または RADIUS サーバの指定サブセットを使用してアカウンティングを行います。

local 方式はローカル データベースを使用してアカウンティングを行います。

デフォルトのアカウンティング方式は local です。サーバ グループが設定されていないとき、または設定済みのすべてのサーバ グループから応答がないときに、このデフォルトの方式が使用されます。

ステップ 3

switch(config)# exit

コンフィギュレーション モードを終了します。

ステップ 4

switch# show aaa accounting

(任意)デフォルトの AAA アカウンティング方式の設定を表示します。

ステップ 5

switch# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

Nexus 5000 シリーズ スイッチでの AAA サーバ VSA の使用

VSA を使用して、Nexus 5000 シリーズのユーザ ロールと SNMPv3 パラメータを AAA サーバ上に指定できます。

ここで説明する内容は、次のとおりです。

「VSA の概要」

「VSA のフォーマット」

「AAA サーバ上での Cisco Nexus 5000 シリーズ スイッチのユーザ ロールと SMNPv3 パラメータの指定」

VSA の概要

Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)ドラフト標準には、ネットワーク アクセス サーバと RADIUS サーバ間での VSA の通信方法が規定されています。IETF は属性 26 を使用します。VSA によって各ベンダーは、一般の用途に適さない独自の拡張属性をサポートできます。シスコの RADIUS 実装は、仕様で推奨されたフォーマットを使用するベンダー固有オプションを 1 つサポートしています。シスコのベンダー ID は 9 で、サポートするオプションはベンダー タイプ 1、名前は cisco-av-pair です。値は次の形式のストリングです。

ここで、protocol は特定の許可タイプを表すシスコのアトリビュートです。separator は必須のアトリビュートを表すprotocol : attribute seperator value *
 

等号(=)で、アスタリスク * )は省略可能な属性を表します。

Nexus 5000 シリーズ スイッチで認証に RADIUS サーバを使用する場合、RADIUS プロトコルは RADIUS サーバに対し、認証結果とともに許可情報などのユーザ属性を戻すように指示します。この許可情報は、VSA を使用して指定されます。

VSA のフォーマット

Nexus 5000 シリーズ スイッチでは、次の VSA プロトコル オプションがサポートされています。

Shell:ユーザ プロファイル情報を提供する access-accept パケットで使用されます。

Accounting:accounting-request パケットで使用されます。値にスペースが含まれている場合は、二重引用符で囲む必要があります。

Nexus 5000 シリーズ スイッチでは、次のアトリビュートがサポートされています。

roles:ユーザに割り当てられたすべてのロールのリストです。値フィールドは、スペースで区切られたグループ名リストを含むストリングです。

accountinginfo:このアトリビュートは、標準の RADIUS アカウンティング プロトコルに含まれるアトリビュートを補足する追加的なアカウンティング情報を表します。このアトリビュートは、スイッチ上の RADIUS クライアントの Account-Request フレームの VSA 部分にだけ格納され、送信されます。このアトリビュートと共に使用できるのは、アカウンティング プロトコル関連の PDU だけです。

AAA サーバ上での Cisco Nexus 5000 シリーズ スイッチのユーザ ロールと SMNPv3 パラメータの指定

AAA サーバ上で VSA cisco-av-pair を使用して、Nexus 5000 シリーズ スイッチのユーザ ロール マッピングを指定できます。次の形式を使用します。

shell:roles="roleA roleB ..."
 

cisco-av-pair アトリビュートにロール オプションが指定されていない場合、デフォルトのユーザ ロールに network-operator が使用されます。

また、次のように、SNMPv3 認証アトリビュートとプライバシー プロトコル アトリビュートを指定できます。

shell:roles="roleA roleB..." snmpv3:auth=SHA priv=AES-128
 

SNMPv3 認証プロトコルのオプションは、SHA および MD5 です。プライバシー プロトコル オプションは AES-128 および DES です。cisco-av-pair アトリビュートにこのオプションを指定しないと、MD5 および DES がデフォルトの認証プロトコルとして使用されます。

ユーザ ロールの詳細については、 第 22 章「ユーザ アカウントおよび RBAC の設定」 を参照してください。

ローカル AAA アカウンティング ログの表示と消去

Nexus 5000 シリーズ スイッチでは、AAA アカウンティング アクティビティのローカル ログを管理しています。ローカル ログを表示または消去する手順は、次のとおりです。

 

 
コマンド
目的

ステップ 1

switch# show accounting log [ size ] [ start-time year month day hh : mm : ss ]

アカウンティング ログを表示します。デフォルトでは、最大 250,000 バイトまで表示されます。size 引数を使用してコマンドの出力を制限できます。指定できる範囲は 0 ~ 250000 バイトです。ログ出力の開始日時を指定することもできます。

ステップ 2

switch# clear accounting log

(任意)アカウンティング ログの内容を消去します。

AAA の設定の確認

AAA の設定情報を表示するには、次のいずれかの作業を行います。

 

コマンド
目的

show aaa accounting

AAA アカウンティング設定を表示します。

show aaa authentication [ login { error-enable | mschap }]

AAA 認証情報を表示します。

show aaa groups

AAA サーバ グループの設定を表示します。

show running-config aaa [ all]

実行コンフィギュレーションの AAA 設定を表示します。

show startup-config aaa

スタートアップ コンフィギュレーションの AAA 設定を表示します。

AAA の設定例

次の例では、AAA を設定します。

aaa authentication login default group radius
aaa authentication login console group radius
aaa accounting default group radius
 

デフォルト設定値

表 16-4 に、AAA パラメータのデフォルト設定値を示します。

 

表 16-4 AAA のデフォルト パラメータ

パラメータ
デフォルト

コンソール認証方式

ローカル

デフォルト認証方式

ローカル

ログイン認証失敗メッセージ

ディセーブル

MSCHAP 認証

ディセーブル

デフォルトのアカウンティング方式

ローカル

アカウンティング ログの表示サイズ

250 KB