Cisco Nexus 5000 シリーズ スイッチ CLI ソフト ウェア コンフィギュレーション ガイド
TACACS+ の設定
TACACS+ の設定
発行日;2012/01/31 | 英語版ドキュメント(2009/08/13 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

TACACS+ の設定

TACACS+ について

TACACS+ の利点

TACACS+ を使用したユーザ ログイン

デフォルトの TACACS+ サーバ暗号化タイプと事前共有鍵

TACACS+ サーバのモニタリング

TACACS+ の前提条件

注意事項と制限事項

TACACS+ の設定

TACACS+ サーバの設定プロセス

TACACS+ のイネーブル化

TACACS+ サーバ ホストの設定

グローバルな事前共有鍵の設定

TACACS+ サーバの事前共有鍵の設定

TACACS+ サーバ グループの設定

ログイン時の TACACS+ サーバの指定

グローバルな TACACS+ タイムアウト間隔の設定

サーバのタイムアウト間隔の設定

TCP ポートの設定

TACACS+ サーバの定期的モニタリングの設定

デッド タイム間隔の設定

TACACS+ サーバまたはサーバ グループの手動モニタリング

TACACS+ のディセーブル化

TACACS+ 統計情報の表示

TACACS+ の設定の確認

TACACS+ の設定例

デフォルト設定値

TACACS+ の設定

この章では、Nexus 5000 シリーズ スイッチ上で、Terminal Access Controller Access Control System Plus(TACACS+)プロトコルを設定する方法について説明します。

この章の内容は、次のとおりです。

「TACACS+ について」

「TACACS+ の前提条件」

「注意事項と制限事項」

「TACACS+ の設定」

「TACACS+ 統計情報の表示」

「TACACS+ の設定の確認」

「TACACS+ の設定例」

「デフォルト設定値」

TACACS+ について

TACACS+ セキュリティ プロトコルを使用すると、Nexus 5000 シリーズ スイッチへのアクセスを試みるユーザの検証を集中的に処理できます。TACACS+ サービスは、通常、UNIX または Windows NT ワークステーション上で稼動している TACACS+ デーモン上のデータベースで管理されます。Nexus 5000 シリーズ スイッチ上で設定済みの TACACS+ 機能を使用するには、TACACS+ サーバへのアクセス権を持ち、かつこのサーバを設定しておく必要があります。

TACACS+ では、認証、許可、アカウンティングの各ファシリティを別々に提供します。TACACS+ を使用すると、単一のアクセス コントロール サーバ(TACACS+ デーモン)で、各サービス(認証、許可、アカウンティング)を個別に利用できます。各サービスはそれぞれ固有のデータベースに関連付けられており、デーモンの機能に応じて、そのサーバまたはネットワーク上で使用可能な他のサービスを利用できます。

TACACS+ クライアント/サーバ プロトコルでは、トランスポート要件を満たすために、TCP(TCP ポート 49)を使用します。Nexus 5000 シリーズ スイッチは、TACACS+ プロトコルを使用して集中型の認証を行います。

ここで説明する内容は、次のとおりです。

「TACACS+ の利点」

「TACACS+ を使用したユーザ ログイン」

「デフォルトの TACACS+ サーバ暗号化タイプと事前共有鍵」

「TACACS+ サーバのモニタリング」

TACACS+ の利点

TACACS+ には、RADIUS 認証にはない、次の利点があります。

独立した AAA ファシリティを提供します。たとえば、Nexus 5000 シリーズ スイッチは、認証を行わずにアクセスを許可できます。

AAA クライアントとサーバ間のデータ送信に TCP トランスポート プロトコルを使用しているため、コネクション型プロトコルによる確実な転送を実行します。

スイッチと AAA サーバ間でプロトコル ペイロード全体を暗号化して、高度なデータ保護を実現できます。RADIUS プロトコルはパスワードだけを暗号化します。

TACACS+ を使用したユーザ ログイン

ユーザが TACACS+ を使用して、Nexus 5000 シリーズ スイッチに対し Password Authentication Protocol(PAP; パスワード認証プロトコル)によるログインを試行すると、次のプロセスが実行されます。

1. Nexus 5000 シリーズ スイッチが接続を確立すると、TACACS+ デーモンにアクセスして、ユーザ名とパスワードを取得します。


) TACACS+ では、デーモンがユーザを認証するために十分な情報を得られるまで、デーモンとユーザとの自由な対話を許可します。この動作では通常、ユーザ名とパスワードの入力が要求されますが、ユーザの母親の旧姓など、その他の項目の入力が要求されることもあります。


2. Nexus 5000 シリーズ スイッチが、TACACS+ デーモンから次のいずれかの応答を受信します。

ACCEPT:ユーザの認証に成功したので、サービスを開始します。Nexus 5000 シリーズ スイッチがユーザの許可を要求している場合は、許可が開始されます。

REJECT:ユーザの認証に失敗しました。TACACS+ デーモンは、ユーザに対してそれ以上のアクセスを拒否するか、ログイン操作を再試行するように要求します。

ERROR:認証中に、デーモン内、またはデーモンと Nexus 5000 シリーズ スイッチ間のネットワーク接続でエラーが発生しました。Nexus 5000 シリーズ スイッチは ERROR 応答を受信すると、代わりのユーザ認証方式を試します。

Nexus 5000 シリーズ スイッチで許可がイネーブルになっている場合は、この後、許可フェーズの処理が実行されます。TACACS+ 許可フェーズに進むには、まず、TACACS+ 認証フェーズを正常に終了する必要があります。

3. TACACS+ 許可が必要な場合、Nexus 5000 シリーズ スイッチは、再度、TACACS+ デーモンにアクセスします。デーモンは ACCEPT または REJECT 許可応答を返します。ACCEPT 応答には、ユーザに対する EXEC または NETWORK セッションに使用されるアトリビュートが格納されています。また、ACCEPT 応答によって、ユーザがアクセス可能なサービスも確定します。

次のサービスがあります。

Telnet、rlogin、PPP(ポイントツーポイント プロトコル)、Serial Line Internet Protocol(SLIP; シリアル ライン インターネット プロトコル)、EXEC サービス

接続パラメータ(ホストまたはクライアントの IP アドレス(IPv4 または IPv6)、アクセス リスト、ユーザ タイムアウトを含む)

デフォルトの TACACS+ サーバ暗号化タイプと事前共有鍵

TACACS+ サーバに対してスイッチを認証するには、TACACS+ 事前共有鍵を設定する必要があります。事前共有鍵とは、Nexus 5000 シリーズ スイッチと TACACS+ サーバ ホスト間で共有される秘密テキスト ストリングです。鍵の長さは 63 文字で、出力可能な任意の ASCII 文字を含めることができます(スペースは使用できません)。Nexus 5000 シリーズ スイッチ上のすべての TACACS+ サーバ設定で使用されるグローバルな事前共有秘密鍵を設定できます。

グローバルな事前共有鍵の設定は、個々の TACACS+ サーバの設定時に明示的に key オプションを使用することによって上書きできます。

TACACS+ サーバのモニタリング

応答を返さない TACACS+ サーバがあると、AAA 要求の処理に遅延が発生することがあります。Nexus 5000 シリーズ スイッチは、AAA 要求の処理時間を節約するため、定期的に TACACS+ サーバを監視し、TACACS+ サーバが応答を返す(アライブ)かどうかをチェックします。また、応答を返さない TACACS+ サーバをデッド(dead)としてマークし、デッド TACACS+ サーバには AAA 要求を送信しません。Nexus 5000 シリーズ スイッチは定期的にデッド TACACS+ サーバを監視し、応答があった場合、アライブ状態に戻します。このモニタリング プロセスでは、実際の AAA 要求が送信される前に、TACACS+ サーバが稼動状態であることを確認します。TACACS+ サーバの状態がデッドまたはアライブに変わると、Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)トラップが生成され、Nexus 5000 シリーズ スイッチによって、パフォーマンスに影響が出る前に、障害が発生していることを知らせるエラー メッセージが表示されます。図 18-1を参照してください。

図 18-1 TACACS+ サーバの状態

 


) アライブ サーバとデッド サーバのモニタリング間隔は異なります。これらはユーザが設定できます。TACACS+ サーバ モニタリングを実行するには、テスト認証要求を TACACS+ サーバに送信します。


TACACS+ の前提条件

TACACS+ を使用するには、次の前提条件を満たしている必要があります。

TACACS+ サーバの IP アドレス(IPv4 または IPv6)またはホスト名を取得していること

事前共有鍵が存在する場合は、その鍵を TACACS+ サーバから取得していること

Nexus 5000 シリーズ スイッチが、AAA サーバの TACACS+ クライアントとして設定されていること

注意事項と制限事項

TACACS+ には次の注意事項と制限事項があります。

Nexus 5000 シリーズ スイッチ上に設定できる TACACS+ サーバの数は最大 64 個です。

TACACS+ の設定

ここで説明する内容は、次のとおりです。

「TACACS+ サーバの設定プロセス」

「TACACS+ のイネーブル化」

「TACACS+ サーバ ホストの設定」

「グローバルな事前共有鍵の設定」

「TACACS+ サーバの事前共有鍵の設定」

「TACACS+ サーバ グループの設定」

「ログイン時の TACACS+ サーバの指定」

「グローバルな TACACS+ タイムアウト間隔の設定」

「サーバのタイムアウト間隔の設定」

「TCP ポートの設定」

「TACACS+ サーバの定期的モニタリングの設定」

「デッド タイム間隔の設定」

「TACACS+ サーバまたはサーバ グループの手動モニタリング」

「TACACS+ のディセーブル化」

TACACS+ サーバの設定プロセス

TACACS+ サーバを設定するには、次の作業を行います。


ステップ 1 TACACS+ をイネーブルにします。

「TACACS+ のイネーブル化」を参照してください。

ステップ 2 TACACS+ サーバと Nexus 5000 シリーズ スイッチとの接続を確立します。

「TACACS+ サーバ ホストの設定」を参照してください。

ステップ 3 TACACS+ サーバの事前共有秘密鍵を設定します。

「グローバルな事前共有鍵の設定」および「TACACS+ サーバの事前共有鍵の設定」を参照してください。

ステップ 4 必要に応じて、AAA 認証方式用に、TACACS+ サーバのサブセットを使用して TACACS+ サーバ グループを設定します。

「TACACS+ サーバ グループの設定」および「AAA の設定」を参照してください。

ステップ 5 必要に応じて、次のオプションのパラメータを設定します。

デッド タイム間隔

ログイン時の TACACS+ サーバの指定の許可

タイムアウト間隔

「グローバルな TACACS+ タイムアウト間隔の設定」を参照してください。

TCP ポート

「TCP ポートの設定」を参照してください。

ステップ 6 必要に応じて、定期的に TACACS+ サーバを監視するよう設定します。

「TACACS+ サーバの定期的モニタリングの設定」を参照してください。


 

TACACS+ のイネーブル化

デフォルトでは、Nexus 5000 シリーズ スイッチで TACACS+ 機能はディセーブルに設定されています。TACACS+ 機能を明示的にイネーブルにして、認証用の設定コマンドおよび確認コマンドにアクセスするには、次の作業を行います。

 

コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# feature tacacs+

TACACS+ をイネーブルにします。

ステップ 3

switch(config)# exit

コンフィギュレーション モードを終了します。

ステップ 4

switch# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

TACACS+ サーバ ホストの設定

リモートの TACACS+ サーバにアクセスするには、Nexus 5000 シリーズ スイッチ上に、TACACS+ サーバの IP アドレス(IPv4 または IPv6)またはホスト名を設定する必要があります。すべての TACACS+ サーバ ホストは、デフォルトの TACACS+ サーバ グループに追加されます。最大 64 台の TACACS+ サーバを設定できます。

設定済みの TACACS+ サーバに事前共有鍵が設定されておらず、かつグローバル鍵も設定されていない場合は、警告メッセージが表示されます。TACACS+ サーバ鍵が設定されていない場合は、グローバル鍵(設定されている場合)が該当サーバで使用されます(「グローバルな事前共有鍵の設定」および「TACACS+ サーバの事前共有鍵の設定」を参照)。

TACACS+ サーバ ホストを設定する前に、次の点を確認してください。

TACACS+ がイネーブルになっていること(「TACACS+ のイネーブル化」を参照)。

リモート TACACS+ サーバの IP アドレス(IPv4 または IPv6)またはホスト名を取得していること。

TACACS+ サーバ ホストを設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# tacacs-server host { ipv4-address | ipv6-address | host-name }

TACACS+ サーバの IP アドレス(IPv4 または IPv6)、あるいはホスト名を指定します。

ステップ 3

switch(config)# exit

コンフィギュレーション モードを終了します。

ステップ 4

switch# show tacacs-server

(任意)TACACS+ サーバの設定を表示します。

ステップ 5

switch# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

サーバ グループから TACACS+ サーバ ホストを削除できます。

グローバルな事前共有鍵の設定

Nexus 5000 シリーズ スイッチで使用するすべてのサーバでは、グローバル レベルで事前共有鍵を設定できます。事前共有鍵とは、Nexus 5000 シリーズ スイッチと TACACS+ サーバ ホスト間で共有される秘密テキスト ストリングです。

事前共有鍵を設定する前に、次の点を確認してください。

TACACS+ がイネーブルになっていること(「TACACS+ のイネーブル化」を参照)。

リモートの TACACS+ サーバの事前共有鍵値を取得していること

グローバルな事前共有鍵を設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# tacacs-server key [ 0 | 7 ] key-value

すべての TACACS+ サーバで使用する事前共有鍵を指定します。クリア テキスト形式( 0 )または暗号化形式( 7 )の事前共有鍵を指定できます。デフォルトの形式はクリア テキストです。鍵の最大長は 63 文字です。

デフォルトでは、事前共有鍵は設定されません。

ステップ 3

switch(config)# exit

コンフィギュレーション モードを終了します。

ステップ 4

switch# show tacacs-server

(任意)TACACS+ サーバの設定を表示します。

コマンドを使用します。

ステップ 5

switch# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

次に、グローバルな事前共有鍵を設定する例を示します。

switch# configure terminal
switch(config)# tacacs-server key 0 QsEfThUkO
switch(config)# exit
switch# show tacacs-server
switch# copy running-config startup-config

TACACS+ サーバの事前共有鍵の設定

TACACS+ サーバの事前共有鍵を設定できます。事前共有鍵とは、Nexus 5000 シリーズ スイッチと TACACS+ サーバ ホスト間で共有される秘密テキスト ストリングです。

TACACS+ 事前共有鍵を設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# tacacs-server host { ipv4-address | ipv6-address | host-name } key [ 0 | 7 ] key-value

特定の TACACS+ サーバの事前共有鍵を指定します。クリア テキスト形式( 0 )または暗号化形式( 7 )の事前共有鍵を指定できます。デフォルトの形式はクリア テキストです。鍵の最大長は 63 文字です。

グローバルな事前共有鍵は、この事前共有鍵で上書きされます。

ステップ 3

switch(config)# exit

コンフィギュレーション モードを終了します。

ステップ 4

switch# show tacacs-server

(任意)TACACS+ サーバの設定を表示します。

コマンドを使用します。

ステップ 5

switch# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

次に、TACACS+ 事前共有鍵を設定する例を示します。

switch# configure terminal
switch(config)# tacacs-server host 10.10.1.1 key 0 PlIjUhYg
switch(config)# exit
switch# show tacacs-server
switch# copy running-config startup-config

TACACS+ サーバ グループの設定

サーバ グループを使用して、1 台または複数台のリモート AAA サーバを指定し、ユーザ認証を行えます。グループのメンバはすべて、TACACS+ プロトコルに属している必要があります。設定した順序に従って一連のサーバが試行されます。

これらのサーバ グループはいつでも設定できますが、設定したグループを有効にするには、AAA サービスに適用する必要があります。AAA サービスについては、「リモート AAA サービス」を参照してください。

TACACS+ サーバ グループを設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# aaa group server tacacs+ group-name

TACACS+ サーバ グループを作成し、そのグループの TACACS+ サーバ グループ コンフィギュレーション モードを開始します。

ステップ 3

switch(config-tacacs+)# server { ipv4-address | ipv6-address | host-name }

TACACS+ サーバを、TACACS+ サーバ グループのメンバとして設定します。

コマンドを使用してサーバを設定し、このコマンドをもう一度実行します。

ステップ 4

switch(config-tacacs+)# deadtime minutes

(任意)モニタリング デッド タイムを設定します。デフォルトは 0 分です。有効範囲は 0 ~ 1440 分です。

(注) TACACS+ サーバ グループのデッド タイム間隔が 0 より大きい場合は、その値がグローバルなデッド タイム値より優先されます。

ステップ 5

switch(config-tacacs+)# exit

コンフィギュレーション モードを終了します。

ステップ 6

switch(config)# show tacacs-server groups

(任意)TACACS+ サーバ グループの設定を表示します。

ステップ 7

switch(config)# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

次に、TACACS+ サーバ グループを設定する例を示します。

switch# configure terminal
switch(config)# aaa group server tacacs+ TacServer
switch(config-tacacs+)# server 10.10.2.2
switch(config-tacacs+)# deadtime 30
switch(config-tacacs+)# exit
switch(config)# show tacacs-server groups
switch(config)# copy running-config startup-config

ログイン時の TACACS+ サーバの指定

directed-request オプションをイネーブルにして、どの TACACS+ サーバで認証要求を送信するかユーザが指定できるようにスイッチを設定できます。デフォルトでは、Nexus 5000 シリーズ スイッチは、デフォルトの AAA 認証方式に基づいて認証要求をフォワーディングします。このオプションをイネーブルにすると、ユーザは username@hostname としてログインできます。ここで、hostname は設定済みの TACACS+ サーバの名前です。


) ユーザ指定のログインは、Telnet セッションでだけサポートされます。


ログイン時に TACACS+ サーバを指定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# tacacs-server directed-request

ログイン時に、ユーザが TACACS+ サーバを指定し、認証要求を送信できるようにします。デフォルトはディセーブルです。

ステップ 3

switch(config)# exit

コンフィギュレーション モードを終了します。

ステップ 4

switch# show tacacs-server directed-request

(任意)TACACS+ の directed request の設定を表示します。

ステップ 5

switch# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

グローバルな TACACS+ タイムアウト間隔の設定

Nexus 5000 シリーズ スイッチが、TACACS+ サーバからの応答を待機するグローバルなタイムアウト間隔を設定できます。この時間が経過してもサーバから応答がない場合は、タイムアウト エラーが宣言されます。タイムアウト間隔は、Nexus 5000 シリーズ スイッチがタイムアウト エラーを宣言する前に、TACACS+ サーバからの応答を待機する時間を決定します。

TACACS+ グローバル タイムアウト間隔を指定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# tacacs-server timeout seconds

TACACS+ サーバのタイムアウト間隔を指定します。デフォルトのタイムアウト間隔は 5 秒、有効な範囲は 1 ~ 60 秒です。

ステップ 3

switch(config)# exit

コンフィギュレーション モードを終了します。

ステップ 4

switch# show tacacs-server

(任意)TACACS+ サーバの設定を表示します。

ステップ 5

switch# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

サーバのタイムアウト間隔の設定

Nexus 5000 シリーズ スイッチが、TACACS+ サーバからの応答を待機するタイムアウト間隔を設定できます。この時間が経過してもサーバから応答がない場合は、タイムアウト エラーが宣言されます。タイムアウト間隔は、Nexus 5000 シリーズ スイッチがタイムアウト エラーを宣言するまで、TACACS+ サーバからの応答を待機する時間を決定します。

サーバのタイムアウト間隔を設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

switch# configure terminal

 

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# switch(config)# tacacs-server host { ipv4-address | ipv6-address | host-name } timeout seconds

特定のサーバのタイムアウト間隔を指定します。デフォルトはグローバル値です。

(注) 特定の TACACS+ サーバに指定したタイムアウト間隔は、すべての TACACS+ サーバで使用されるグローバルなタイムアウト間隔を上書きします。

ステップ 3

switch(config)# exit

コンフィギュレーション モードを終了します。

ステップ 4

switch# show tacacs-server

(任意)TACACS+ サーバの設定を表示します。

ステップ 5

switch# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

TCP ポートの設定

別のアプリケーションとポート番号が競合している場合は、TACACS+ サーバ用に別の TCP ポートを設定できます。デフォルトでは、Nexus 5000 シリーズ スイッチは、すべての TACACS+ 要求に 49 番ポートを使用します。

TCP ポートを設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# tacacs-server host { ipv4-address | ipv6-address | host-name } port tcp-port

TACACS+ アカウンティング メッセージ用の UDP ポートを指定します。デフォルトの TCP ポートは 49 番です。有効範囲は 1 ~ 65535 番です。

ステップ 3

switch(config)# exit

コンフィギュレーション モードを終了します。

ステップ 4

switch# show tacacs-server

(任意)TACACS+ サーバの設定を表示します。

ステップ 5

switch# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

次に、TCP ポートを設定する例を示します。

switch# configure terminal
switch(config)# tacacs-server host 10.10.1.1 port 2
switch(config)# exit
switch# show tacacs-server
switch# copy running-config startup-config

TACACS+ サーバの定期的モニタリングの設定

TACACS+ サーバの可用性をモニタリングできます。パラメータとして、サーバに使用するユーザ名とパスワード、およびアイドル タイマーがあります。アイドル タイマーには、TACACS+ サーバが要求を受信しなかった場合に Nexus 5000 シリーズ スイッチがテスト パケットを送信するまでの間隔を指定します。このオプションを設定して、サーバを定期的にテストできます。また、1 回だけテストを実行できます。


) ネットワークのセキュリティ保護のため、TACACS+ データベース内の既存のユーザ名と同じユーザ名を使用しないことを推奨します。


テスト アイドル タイマーには、TACACS+ サーバが要求を受信しなくなってから、Nexus 5000 シリーズ スイッチがテスト パケットを送信するまでの間隔を指定します。


) デフォルトのアイドル タイマー値は 0 分です。アイドル タイム間隔が 0 分の場合、TACACS+ サーバの定期的なモニタリングは実行されません。


TACACS+ サーバの定期的なモニタリングを設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# tacacs-server host { ipv4-address | ipv6-address | host-name } test { idle-time minutes | password password [ idle-time minutes ] | username name [ password password [ idle-time minutes ]]}

サーバ モニタリング用のパラメータを指定します。デフォルトのユーザ名は test、デフォルトのパスワードは test です。アイドル タイマーのデフォルト値は 0 分、有効範囲は 0 ~ 1440 分です。

(注) TACACS+ サーバの定期的なモニタリングを行うには、アイドル タイマーに 0 より大きな値を設定する必要があります。

ステップ 3

switch(config)# tacacs-server dead-time minutes

Nexus 5000 シリーズ スイッチが、前回応答しなかった TACACS+ サーバをチェックするまでの時間(分)を指定します。デフォルト値は 0 分、有効範囲は 0 ~ 1440 分です。

ステップ 4

switch(config)# exit

コンフィギュレーション モードを終了します。

ステップ 5

switch# show tacacs-server

 

(任意)TACACS+ サーバの設定を表示します。

ステップ 6

switch# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

次に、TACACS+ サーバの定期的モニタリングを設定する例を示します。

switch# configure terminal
switch(config)# tacacs-server host 10.10.1.1 test username user1 password Ur2Gd2BH idle-time 3
switch(config)# tacacs-server dead-time 5
switch(config)# exit
switch# show tacacs-server
switch# copy running-config startup-config

デッド タイム間隔の設定

すべての TACACS+ サーバのデッド タイム間隔を設定できます。デッド タイム間隔には、Nexus 5000 シリーズ スイッチが、TACACS+ サーバをデッドとして宣言したあと、そのサーバがアライブ状態に戻ったかどうかを判断するためのテスト パケットを送信するまでの間隔を指定します。


) デッド タイム間隔に 0 分を設定すると、TACACS+ サーバは、応答を返さない場合でも、デットとしてマークされません。デッド タイマーはグループ単位で設定できます(「TACACS+ サーバ グループの設定」を参照)。


すべての TACACS+ サーバのデッド タイム間隔を設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# tacacs-server deadtime minutes

グローバルなデッド タイム間隔を設定します。デフォルト値は 0 分です。有効範囲は 1 ~ 1440 分です。

ステップ 3

switch(config)# exit

コンフィギュレーション モードを終了します。

ステップ 4

switch# show tacacs-server

(任意)TACACS+ サーバの設定を表示します。

ステップ 5

switch# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

TACACS+ サーバまたはサーバ グループの手動モニタリング

TACACS+ サーバまたはサーバ グループにテスト メッセージを手動で送信するには、次の作業を行います。

 

コマンド
目的

ステップ 1

switch# test aaa server tacacs+ { ipv4-address | ipv6-address | host-name } [ vrf vrf-name ] username password

TACACS+ サーバにテスト メッセージを送信して可用性を確認します。

ステップ 2

switch# test aaa group group-name username password

TACACS+ サーバ グループにテスト メッセージを送信して可用性を確認します。

次に、手動でテスト メッセージを送信する例を示します。

switch# test aaa server tacacs+ 10.10.1.1 user1 Ur2Gd2BH
switch# test aaa group TacGroup user2 As3He3CI

TACACS+ のディセーブル化

TACACS+ をディセーブルにできます。


注意 TACACS+ をディセーブルにすると、関連するすべての設定が自動的に廃棄されます。

TACACS+ をディセーブルにするには、次の作業を行います。

 

コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# feature tacacs+

TACACS+ をイネーブルにします。

ステップ 3

switch(config)# exit

コンフィギュレーション モードを終了します。

ステップ 4

switch# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

TACACS+ 統計情報の表示

Nexus 5000 シリーズ スイッチが TACACS+ のアクティビティについて保持している統計情報を表示するには、次の作業を行います。

 

コマンド
目的

switch# show tacacs-server statistics { hostname | ipv4-address | ipv6-address }

TACACS+ 統計情報を表示します。

このコマンドの出力に表示される各フィールドの詳細については、『 Cisco Nexus 5000 シリーズ Command Reference 』を参照してください。

TACACS+ の設定の確認

TACACS+ の設定情報を表示するには、次のいずれかの作業を行います。

 

コマンド
目的

show running-config tacacs [all]

実行コンフィギュレーションの TACACS+ 設定を表示します。

show startup-config tacacs

スタートアップ コンフィギュレーションの TACACS+ 設定を表示します。

show tacacs-server [ host-name | ipv4-address | ipv6-address ] [ directed-request | groups | sorted | statistics ]

設定済みのすべての TACACS+ サーバのパラメータを表示します。

TACACS+ の設定例

次に、TACACS+ を設定する例を示します。

feature tacacs+
tacacs-server key 7 "ToIkLhPpG"
tacacs-server host 10.10.2.2 key 7 "ShMoMhTl"
aaa group server tacacs+ TacServer
server 10.10.2.2
use-vrf management

デフォルト設定値

表 18-1 に、TACACS+ パラメータのデフォルト設定値を示します。

 

表 18-1 TACACS+ のデフォルト パラメータ

パラメータ
デフォルト

TACACS+

ディセーブル

デッド タイマー間隔

0 分

タイムアウト間隔

5 秒

アイドル タイマー間隔

0 分

サーバの定期的モニタリングのユーザ名

test

サーバの定期的モニタリングのパスワード

test