Cisco Nexus 5000 シリーズ NX-OS セキュリティ コンフィギュレーション ガイド リリース 5.1(3)N1(1)
認証、許可、アカウンティングの設定
認証、許可、アカウンティングの設定
発行日;2012/09/12   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

認証、許可、アカウンティングの設定

この章では、Cisco Nexus 5000 シリーズ スイッチに認証、許可、アカウンティング(AAA)を設定する方法を説明します。 次のような構成になっています。

AAA について

AAA セキュリティ サービス

認証、認可、アカウンティング(AAA)機能では、Cisco Nexus 5000 シリーズ スイッチを管理するユーザにつき、ID を確認し、アクセス権を付与し、アクションを追跡できます。 Cisco Nexus 5000 シリーズ スイッチは、Remote Access Dial-In User Service(RADIUS)または Terminal Access Controller Access Control device Plus(TACACS+)プロトコルをサポートします。

ユーザが入力したユーザ ID とパスワードに基づいて、スイッチは、ローカル データベースを使用してローカル認証/ローカル許可を実行するか、1 つまたは複数の AAA サーバを使用してリモート認証またはリモート許可を実行します。 スイッチと AAA サーバ間の通信は、事前共有秘密キーによって保護されます。 すべての AAA サーバ用または特定の AAA サーバ専用に共通秘密キーを設定できます。

AAA セキュリティは、次のサービスを実行します。

  • 認証:ユーザを識別します。選択したセキュリティ プロトコルに応じて、ログインとパスワードのダイアログ、チャレンジ/レスポンス、メッセージング サポート、暗号化などが行われます。
  • 許可:アクセス コントロールを実行します。 Cisco Nexus 5000 シリーズ スイッチでの許可は、AAA サーバからダウンロードされる属性により実行されます。 RADIUS や TACACS+ などのリモート セキュリティ サーバは、適切なユーザで該当する権利を定義した属性値(AV)のペアをアソシエートすることによって、ユーザに特定の権限を付与します。
  • アカウンティング:課金、監査、レポートのための情報収集、ローカルでの情報のロギング、および AAA サーバへの情報の送信の方式を提供します。

(注)  


Cisco NX-OS ソフトウェアは、認証、許可、アカウンティングをそれぞれ個別にサポートします。 たとえば、アカウンティングは設定せずに、認証と許可を設定したりできます。


AAA を使用する利点

AAA は、次のような利点を提供します。

  • アクセス設定の柔軟性と制御性の向上
  • スケーラビリティ
  • 標準化された認証方式(RADIUS、TACACS+ など)
  • 複数のバックアップ デバイス

リモート AAA サービス

RADIUS プロトコルおよび TACACS+ プロトコルを介して提供されるリモート AAA サービスには、ローカル AAA サービスと比べて次のような利点があります。

  • ファブリック内の各スイッチに対するユーザ パスワード リストを簡単に管理できます。
  • AAA サーバはすでに企業内に幅広く導入されており、簡単に AAA サービスに使用できます。
  • ファブリック内のすべてのスイッチのアカウンティング ログを一元管理できます。
  • ファブリック内の各スイッチのユーザ属性は、スイッチ上のローカル データベースを使用するよりも簡単に管理できます。

AAA サーバ グループ

認証、許可、アカウンティングのためのリモート AAA サーバは、サーバ グループを使用して指定できます。 サーバ グループとは、同じ AAA プロトコルを実装した一連のリモート AAA サーバです。 リモート AAA サーバが応答しなかった場合、サーバ グループは、フェールオーバー サーバを提供します。 グループ内の最初のリモート サーバが応答しなかった場合、いずれかのサーバが応答を送信するまで、グループ内の次のリモート サーバで試行が行われます。 サーバ グループ内のすべての AAA サーバが応答しなかった場合、そのサーバ グループ オプションは障害が発生しているものと見なされます。 必要に応じて、複数のサーバ グループを指定できます。 スイッチが最初のグループ内のサーバからエラーを受信すると、次のサーバ グループのサーバが試行されます。

AAA サーバ設定オプション

Cisco Nexus 5000 シリーズ スイッチでは、次のサービスごとに異なった AAA 設定を作成できます。

  • User Telnet または Secure Shell(SSH)ログイン認証
  • コンソール ログイン認証
  • ユーザ管理セッション アカウンティング

次の表に、AAA サービス設定オプションの CLI コマンドを示します。

表 1 AAA サービス コンフィギュレーション コマンド

AAA サービス コンフィギュレーション オプション

関連コマンド

Telnet または SSH ログイン

aaa authentication login default

コンソール ログイン

aaa authentication login console

ユーザ セッション アカウンティング

aaa accounting default

AAA サービスには、次の認証方式を指定できます。

  • RADIUS サーバ グループ:RADIUS サーバのグローバル プールを認証に使用します。
  • 特定のサーバ グループ:指定した RADIUS または TACACS+ サーバ グループを認証に使用します。
  • ローカル:ユーザ名またはパスワードのローカル データベースを認証に使用します。
  • なし:ユーザ名だけを使用します。

(注)  


方式がすべて RADIUS サーバになっており、特定のサーバ グループが指定されていない場合、Cisco Nexus 5000 シリーズ スイッチは、設定されている RADIUS サーバのグローバル プールから、設定の順序で、RADIUS サーバを選択します。 このグローバル プールのサーバは、Nexus 5000 シリーズ スイッチ上の RADIUS サーバ グループ内で選択的に設定可能なサーバです。


次の表に、AAA サービスに対して設定できる AAA 認証方式を示します。

表 2  AAA サービスのための AAA 認証方式

AAA サービス

AAA の方式

コンソール ログイン認証

サーバ グループ、ローカル、なし

ユーザ ログイン認証

サーバ グループ、ローカル、なし

ユーザ管理セッション アカウンティング

サーバ グループ、ローカル


(注)  


コンソール ログイン認証、ユーザ ログイン認証、およびユーザ管理セッション アカウンティングでは、Cisco Nexus 5000 シリーズ スイッチは、各オプションを指定された順序で試行します。 その他の設定済みオプションが失敗した場合、ローカル オプションがデフォルト方式です。


ユーザ ログインの認証および許可プロセス

ユーザ ログインの認証および許可プロセスは、次のように実行されます。

  • 目的の Cisco Nexus 5000 シリーズ スイッチにログインする際、Telnet、SSH、Fabric Manager または Device Manager、コンソール ログインのいずれかのオプションを使用できます。
  • サーバ グループ認証方式を使用して AAA サーバ グループが設定してある場合は、Cisco Nexus 5000 シリーズ スイッチが、グループ内の最初の AAA サーバに認証要求を送信し、次のように処理されます。 その AAA サーバが応答しなかった場合、リモートのいずれかの AAA サーバが認証要求に応答するまで、試行が継続されます。 サーバ グループのすべての AAA サーバが応答しなかった場合、その次のサーバ グループのサーバが試行されます。 設定されている認証方式がすべて失敗した場合、ローカル データベースを使用して認証が実行されます。
  • Cisco Nexus 5000 シリーズ スイッチがリモート AAA サーバでユーザの認証に成功した場合は、次の条件が適用されます。 AAA サーバ プロトコルが RADIUS の場合、cisco-av-pair 属性で指定されているユーザ ロールが認証応答とともにダウンロードされます。 AAA サーバ プロトコルが TACACS+ の場合、シェルのカスタム属性として指定されているユーザ ロールを取得するために、もう 1 つの要求が同じサーバに送信されます。
  • ユーザ名とパスワードがローカルで正常に認証された場合は、Cisco Nexus 5000 シリーズ スイッチにログインでき、ローカル データベース内で設定されているロールが割り当てられます。

次の図には、認証および許可プロセスのフロー チャートを示します。

図 1. ユーザ ログインの認証および許可のフロー


(注)  


「残りのサーバ グループなし」とは、すべてのサーバ グループのいずれのサーバからも応答がないということです。

「残りのサーバなし」とは、現在のサーバ グループ内のいずれのサーバからも応答がないということです。


リモート AAA の前提条件

リモート AAA サーバには、次の前提条件があります。

  • 少なくとも 1 台の RADIUS サーバまたは TACACS+ サーバが、IP で到達可能であること。
  • Cisco Nexus 5000 シリーズ スイッチが AAA サーバのクライアントとして設定されている。
  • 事前に共有された秘密キーが Cisco Nexus 5000 シリーズ スイッチ上およびリモート AAA サーバ上で設定されている。
  • リモート サーバが Cisco Nexus 5000 シリーズ スイッチからの AAA 要求に応答する。

AAA の注意事項と制約事項

Cisco Nexus 5000 シリーズ スイッチは、TACACS+ または RADIUS で作成されたか、ローカルに作成されたかに関係なく、すべて数字のユーザ名はサポートしません。 すべて数字のユーザ名が AAA サーバに存在し、ログイン時に入力された場合には、Cisco Nexus 5000 シリーズ スイッチはそのユーザをログインさせます。


注意    


すべて数字のユーザ名でユーザ アカウントを作成しないでください。


AAA の設定

コンソール ログイン認証方式の設定

認証方式には、次のものがあります。

  • RADIUS サーバのグローバル プール
  • RADIUS サーバまたは TACACS+ サーバの名前付きサブセット
  • Cisco Nexus 5000 シリーズ スイッチ上のローカル データベース
  • ユーザ名だけ(none

デフォルトの方式は、local です。


(注)  


事前に設定されている一連の RADIUL サーバには、aaa authentication コマンドの group radius 形式および group server-name 形式を使用します。 ホスト サーバを設定するには、radius server-host コマンドを使用します。 サーバの名前付きグループを作成するには、aaa group server radius コマンドを使用します。


必要に応じて、コンソール ログイン認証方式を設定する前に RADIUS または TACACS+ サーバ グループを設定します。

手順の概要

    1.    switch# configure terminal

    2.    switch(config)# aaa authentication login console {group group-list [none] | local | none}

    3.    switch(config)# exit

    4.    (任意) switch# show aaa authentication

    5.    (任意) switch# copy running-config startup-config


手順の詳細
     コマンドまたはアクション目的
    ステップ 1 switch# configure terminal
     

    コンフィギュレーション モードを開始します。

     
    ステップ 2 switch(config)# aaa authentication login console {group group-list [none] | local | none}
     

    コンソールのログイン認証方式を設定します。

    group-list 引数には、グループ名をスペースで区切ったリストを指定します。 グループ名は、次のように指定します。

    • radius:RADIUS サーバのグローバル プールが認証に使用されます。
    • named-group:TACACS+ サーバまたは RADIUS サーバの名前付きサブセットが認証に使用されます。

    local 方式では、ローカル データベースが認証に使用されます。 none 方式では、ユーザ名だけが使用されます。

    デフォルトのコンソール ログイン方式は local です。この方式は、方式が一切設定されていない場合、および設定済みのどの方式でも応答が得られなかった場合に使用されます。

     
    ステップ 3 switch(config)# exit
     

    コンフィギュレーション モードを終了します。

     
    ステップ 4 switch# show aaa authentication
     
    (任意)

    コンソール ログイン認証方式の設定を表示します。

     
    ステップ 5 switch# copy running-config startup-config
     
    (任意)

    実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

     

    次に、コンソール ログインの認証方式を設定する例を示します。

    switch# configure terminal
    
    switch(config)# aaa authentication login console group radius
    
    switch(config)# exit
    
    switch# show aaa authentication
    
    switch# copy running-config startup-config
    

    デフォルトのログイン認証方式の設定

    デフォルトの方式は、local です。

    必要に応じて、デフォルトのログイン認証方式を設定する前に RADIUS または TACACS+ サーバ グループを設定します。 デフォルトのログイン認証方式を設定する手順は、次のとおりです。

    手順の概要

      1.    switch# configure terminal

      2.    switch(config)# aaa authentication login default {group group-list [none] | local | none}

      3.    switch(config)# exit

      4.    (任意) switch# show aaa authentication

      5.    (任意) switch# copy running-config startup-config


    手順の詳細
       コマンドまたはアクション目的
      ステップ 1 switch# configure terminal
       

      コンフィギュレーション モードを開始します。

       
      ステップ 2 switch(config)# aaa authentication login default {group group-list [none] | local | none}
       

      デフォルト認証方式を設定します。

      group-list 引数には、グループ名をスペースで区切ったリストを指定します。 グループ名は、次のように指定します。

      • radius:RADIUS サーバのグローバル プールが認証に使用されます。
      • named-group:TACACS+ サーバまたは RADIUS サーバの名前付きサブセットが認証に使用されます。

      local 方式では、ローカル データベースが認証に使用されます。 none 方式では、ユーザ名だけが使用されます。

      デフォルトのログイン方式は local です。この方式は、方式が一切設定されていない場合、および設定済みのどの方式でも応答が得られなかった場合に使用されます。

       
      ステップ 3 switch(config)# exit
       

      コンフィギュレーション モードを終了します。

       
      ステップ 4 switch# show aaa authentication
       
      (任意)

      デフォルトのログイン認証方式の設定を表示します。

       
      ステップ 5 switch# copy running-config startup-config
       
      (任意)

      実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

       

      ログイン認証失敗メッセージのイネーブル化

      ユーザがログインして、リモート AAA サーバが応答しなかった場合は、ローカル ユーザ データベースによってログインが処理されます。 ログイン失敗メッセージの表示をイネーブルにしていた場合は、次のようなメッセージが表示されます。

      Remote AAA servers unreachable; local authentication done.
      Remote AAA servers unreachable; local authentication failed.
      手順の概要

        1.    switch# configure terminal

        2.    switch(config)# aaa authentication login error-enable

        3.    switch(config)# exit

        4.    (任意) switch# show aaa authentication

        5.    (任意) switch# copy running-config startup-config


      手順の詳細
         コマンドまたはアクション目的
        ステップ 1 switch# configure terminal
         

        コンフィギュレーション モードを開始します。

         
        ステップ 2 switch(config)# aaa authentication login error-enable
         

        ログイン認証失敗メッセージをイネーブルにします。 デフォルトはディセーブルです。

         
        ステップ 3 switch(config)# exit
         

        コンフィギュレーション モードを終了します。

         
        ステップ 4 switch# show aaa authentication
         
        (任意)

        ログイン失敗メッセージの設定を表示します。

         
        ステップ 5 switch# copy running-config startup-config
         
        (任意)

        実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

         

        AAA コマンド許可の設定

        TACACS+ サーバの許可方式が設定されている場合、すべての EXEC モード コマンドおよびすべてのコンフィギュレーション モード コマンドを含め、TACACS+ サーバで実行されるすべてのコマンドを許可できます。

        許可方式には、次のものがあります。

        • Group:TACACS+ サーバ グループ
        • Local:ローカル ロールベース許可
        • None:許可は実行されません

        デフォルトの方式は、Local です。


        (注)  


        コンソール セッション上の許可はありません。


        はじめる前に

        AAA コマンドの許可を設定する前に、TACACS+ をイネーブルにする必要があります。

        手順の概要

          1.    configure terminal

          2.    aaa authorization {commands | config-commands} {default} {{[group group-name] | [ local]} | {[group group-name] | [ none]}}


        手順の詳細
           コマンドまたはアクション目的
          ステップ 1 configure terminal


          例:
          switch# configure terminal
          switch(config)#
           

          グローバル コンフィギュレーション モードを開始します。

           
          ステップ 2 aaa authorization {commands | config-commands} {default} {{[group group-name] | [ local]} | {[group group-name] | [ none]}}


          例:
          switch(config)# aaa authorization config-commands default group tac1
          
          


          例:
          switch# aaa authorization commands default group tac1
          
          
           

          許可パラメータを設定します。

          EXEC モード コマンドを許可するには、commands キーワードを使用します。

          コンフィギュレーション モード コマンドを許可するには、config-commands キーワードを使用します。

          許可方式を指定するには、grouplocal、または none キーワードを使用します。

           

          次に、TACACS+ サーバ グループ tac1 で EXEC モード コマンドを許可する例を示します。

          switch# aaa authorization commands default group tac1
          
          

          次に、TACACS+ サーバ グループ tac1 でコンフィギュレーション モード コマンドを許可する例を示します。

          switch(config)# aaa authorization config-commands default group tac1
          

          次に、TACACS+ サーバ グループ tac1 でコンフィギュレーション モード コマンドを許可する例を示します。

          • サーバが到達可能である場合、コマンドはサーバ応答に基づいて許可され、または許可されません。
          • サーバに到達する際にエラーが生じた場合、コマンドはユーザのローカル ロールに基づいて許可されます。
          switch(config)# aaa authorization config-commands default group tac1 local
          

          次に、TACACS+ サーバ グループ tac1 でコンフィギュレーション モード コマンドを許可する例を示します。

          • サーバが到達可能である場合、コマンドはサーバ応答に基づいて許可され、または許可されません。
          • サーバに到達する際にエラーが生じた場合は、ローカル ロールにかかわらずコマンドを許可します。
          switch# aaa authorization commands default group tac1 none
          

          次に、ローカル ロールにかかわらず EXEC モード コマンドを許可する例を示します。

          switch# aaa authorization commands default none
          

          次に、ローカル ロールを使用して EXEC モード コマンドを許可する例を示します。

          switch# aaa authorization commands default local
          

          MSCHAP 認証のイネーブル化

          Microsoft Challenge Handshake Authentication Protocol(MSCHAP; マイクロソフト チャレンジ ハンドシェーク認証プロトコル)は、マイクロソフト版の CHAP です。 リモート認証サーバ(RADIUS または TACACS+)を通じて、Cisco Nexus 5000 シリーズ スイッチへのユーザ ログインに MSCHAP を使用できます。

          デフォルトでは、Cisco Nexus 5000 シリーズ スイッチはスイッチとリモート サーバの間で Password Authentication Protocol(PAP; パスワード認証プロトコル)認証を使用します。 MSCHAP がイネーブルの場合は、MSCHAP VSA(Vendor-Specific Attribute; ベンダー固有属性)を認識するように RADIUS サーバを設定する必要があります。

          次の表に、MSCHAP に必要な RADIUS VSA を示します。

          表 3  MSCHAP RADIUS VSA

          ベンダー ID 番号

          ベンダー タイプ番号

          VSA

          説明

          311

          11

          MSCHAP-Challenge

          AAA サーバから MSCHAP ユーザに送信されるチャレンジを保持します。 これは、Access-Request パケットと Access-Challenge パケットの両方で使用できます。

          211

          11

          MSCHAP-Response

          チャレンジに対する応答として MSCHAP ユーザが入力した値を保持します。 Access-Request パケットでしか使用されません。

          手順の概要

            1.    switch# configure terminal

            2.    switch(config)# aaa authentication login mschap enable

            3.    switch(config)# exit

            4.    (任意) switch# show aaa authentication login mschap

            5.    (任意) switch# copy running-config startup-config


          手順の詳細
             コマンドまたはアクション目的
            ステップ 1 switch# configure terminal
             

            コンフィギュレーション モードを開始します。

             
            ステップ 2 switch(config)# aaa authentication login mschap enable
             

            MS-CHAP 認証をイネーブルにします。 デフォルトはディセーブルです。

             
            ステップ 3 switch(config)# exit
             

            コンフィギュレーション モードを終了します。

             
            ステップ 4 switch# show aaa authentication login mschap
             
            (任意)

            MS-CHAP 設定を表示します。

             
            ステップ 5 switch# copy running-config startup-config
             
            (任意)

            実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

             
            関連コンセプト

            AAA アカウンティングのデフォルト方式の設定

            Cisco Nexus 5000 シリーズ スイッチは、アカウンティングに TACACS+ 方式と RADIUS 方式をサポートします。 スイッチは、ユーザ アクティビティをアカウンティング レコードの形で TACACS+ セキュリティ サーバまたは RADIUS セキュリティ サーバに報告します。 各アカウンティング レコードに、アカウンティング属性値(AV)のペアが入っており、それが AAA サーバに格納されます。

            AAA アカウンティングをアクティブにすると、Cisco Nexus 5000 シリーズ スイッチは、これらの属性をアカウンティング レコードとして報告します。そのアカウンティング レコードは、セキュリティ サーバ上のアカウンティング ログに格納されます。

            特定のアカウンティング方式を定義するデフォルト方式のリストを作成できます。それには次の方式があります。

            • RADIUS サーバ グループ:RADIUS サーバのグローバル プールをアカウンティングに使用します。
            • 特定のサーバ グループ:指定した RADIUS または TACACS+ サーバ グループをアカウンティングに使用します。
            • ローカル:ユーザ名またはパスワードのローカル データベースをアカウンティングに使用します。

            (注)  


            サーバ グループが設定されていて、そのサーバ グループが応答しない場合、デフォルトではローカル データベースが認証に使用されます。


            はじめる前に

            必要に応じて、AAA アカウンティングのデフォルト方式を設定する前に RADIUS または TACACS+ サーバ グループを設定します。

            手順の概要

              1.    switch# configure terminal

              2.    switch(config)# aaa accounting default {group group-list | local}

              3.    switch(config)# exit

              4.    (任意) switch# show aaa accounting

              5.    (任意) switch# copy running-config startup-config


            手順の詳細
               コマンドまたはアクション目的
              ステップ 1 switch# configure terminal
               

              コンフィギュレーション モードを開始します。

               
              ステップ 2 switch(config)# aaa accounting default {group group-list | local}
               

              デフォルトのアカウンティング方式を設定します。 スペースで区切ったリストで、1 つまたは複数のサーバ グループ名を指定できます。

              group-list 引数には、グループ名をスペースで区切ったリストを指定します。 グループ名は、次のように指定します。

              • radius:RADIUS サーバのグローバル プールがアカウンティングに使用されます。
              • named-group:TACACS+ サーバまたは RADIUS サーバの名前付きサブセットがアカウンティングに使用されます。

              local 方式では、アカウンティングにローカル データベースが使用されます。

              デフォルトのアカウンティング方式は local です。サーバ グループが設定されていないとき、または設定済みのすべてのサーバ グループから応答がないときに、このデフォルトの方式が使用されます。

               
              ステップ 3 switch(config)# exit
               

              コンフィギュレーション モードを終了します。

               
              ステップ 4 switch# show aaa accounting
               
              (任意)

              デフォルトの AAA アカウンティング方式の設定を表示します。

               
              ステップ 5 switch# copy running-config startup-config
               
              (任意)

              実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

               

              AAA サーバの VSA の使用

              VSA

              ベンダー固有属性(VSA)を使用して、AAA サーバ上でのCisco Nexus 5000 シリーズのユーザ ロールおよび SNMPv3 パラメータを指定できます。

              Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)が、ネットワーク アクセス サーバと RADIUS サーバの間での VSA の通信のための方式を規定する標準を作成しています。 IETF は、属性 26 を使用します。 VSA を使用するとベンダーは、一般的な用途には適合しない独自の拡張属性をサポートできます。 シスコの RADIUS 実装は、この仕様で推奨される形式を使用して、1 つのベンダー固有オプションをサポートしています。 シスコのベンダー ID は 9、サポートされるオプションのベンダー タイプは 1(名前付き cisco-av-pair)です。 値は、次の形式のストリングです。

              protocol : attribute seperator value *

              プロトコルは、特定のタイプの許可用のシスコ属性です。必須属性の区切り文字は等号(=)で、アスタリスク(*)は任意属性を示します。

              Cisco Nexus 5000 シリーズ スイッチでの認証に RADIUS サーバを使用する場合は、許可情報などのユーザ属性を認証結果とともに返すように、RADIUS サーバに RADIUS プロトコルで指示します。 この許可情報は、VSA で指定されます。

              VSA の形式

              次の VSA プロトコル オプションが、Cisco Nexus 5000 シリーズ スイッチでサポートされています。

              • Shell:ユーザ プロファイル情報を提供する access-accept パケットで使用されます。
              • Accounting:accounting-request パケットで使用されます。 値にスペースが含まれている場合は、二重引用符で囲んでください。

              次の属性が Cisco Nexus 5000 シリーズ スイッチでサポートされています。

              • roles:ユーザに割り当てるすべてのロールをリストします。 値フィールドは、グループ名を空白で区切ったリストの入ったストリングです。
              • accountinginfo:標準の RADIUS アカウンティング プロトコルで処理される属性に加えて、追加のアカウンティング情報が格納されます。 この属性が送信されるのは、スイッチ上の RADIUS クライアントからの Account-Request フレームの VSA 部分内だけです。この属性は、アカウンティング プロトコル関連の PDU でしか使用できません。

              AAA サーバ上でのスイッチのユーザ ロールと SNMPv3 パラメータの指定

              AAA サーバで VSA cisco-av-pair を使用して、次の形式で、Cisco Nexus 5000 シリーズ スイッチのユーザ ロール マッピングを指定できます。

              shell:roles="roleA roleB …"
               

              cisco-av-pair 属性にロール オプションを指定しなかった場合のデフォルトのユーザ ロールは、network-operator です。


              (注)  


              Cisco Unified Wireless Network TACACS+ 設定と、ユーザ ロールの変更については、『Cisco Unified Wireless Network TACACS+ Configuration』を参照してください。


              次のように SNMPv3 認証とプライバシー プロトコル属性を指定することもできます。

              shell:roles="roleA roleB..." snmpv3:auth=SHA priv=AES-128 
               

              SNMPv3 認証プロトコルに指定できるオプションは、SHA と MD5 です。 プライバシー プロトコルに指定できるオプションは、AES-128 と DES です。 cisco-av-pair 属性にこれらのオプションを指定しなかった場合のデフォルトの認証プロトコルは、MD5 と DES です。

              詳細については、『Cisco Nexus 5000 Series NX-OS System Management Configuration Guide』の「Configuring User Accounts and RBAC」の章を参照してください。

              ローカル AAA アカウンティング ログのモニタリングとクリア

              Cisco Nexus 5000 シリーズ スイッチは、AAA アカウンティング アクティビティのローカル ログを保持しています。

              手順の概要

                1.    switch# show accounting log [size] [start-time year month day hh : mm : ss]

                2.    (任意) switch# clear accounting log


              手順の詳細
                 コマンドまたはアクション目的
                ステップ 1 switch# show accounting log [size] [start-time year month day hh : mm : ss]
                 

                アカウンティング ログを表示します。 このコマンド出力には、デフォルトで最大 250,000 バイトのアカウンティング ログが表示されます。 サイズ引数を指定すれば、コマンドの出力を制限できます。 指定できる範囲は 0 ~ 250000 バイトです。 ログ出力の開始時刻を指定することもできます。

                 
                ステップ 2 switch# clear accounting log
                 
                (任意)

                アカウンティング ログの内容をクリアします。

                 

                AAA 設定の確認

                AAA の設定情報を表示するには、次のいずれかの作業を行います。

                手順の概要

                  1.    show aaa accounting

                  2.    show aaa authentication [login {error-enable | mschap}]

                  3.    show aaa authorization

                  4.    show aaa groups

                  5.    show running-config aaa [all]

                  6.    show startup-config aaa


                手順の詳細
                   コマンドまたはアクション目的
                  ステップ 1 show aaa accounting
                   

                  AAA アカウンティングの設定を表示します。

                   
                  ステップ 2 show aaa authentication [login {error-enable | mschap}]
                   

                  AAA 認証情報を表示します。

                   
                  ステップ 3 show aaa authorization
                   

                  AAA 許可の情報を表示します。

                   
                  ステップ 4 show aaa groups
                   

                  AAA サーバ グループの設定を表示します。

                   
                  ステップ 5 show running-config aaa [all]
                   

                  実行コンフィギュレーションの AAA 設定を表示します。

                   
                  ステップ 6 show startup-config aaa
                   

                  スタートアップ コンフィギュレーションの AAA 設定を表示します。

                   

                  AAA の設定例

                  次に、AAA を設定する例を示します。

                   switch(config)# aaa authentication login default group radius
                  
                   switch(config)# aaa authentication login console group radius
                  
                   switch(config)# aaa accounting default group radius
                  

                  デフォルトの AAA 設定

                  次の表に、AAA パラメータのデフォルト設定を示します。

                  表 4  デフォルトの AAA パラメータ

                  パラメータ

                  デフォルト

                  コンソール認証方式

                  local

                  デフォルト認証方式

                  local

                  ログイン認証失敗メッセージ

                  ディセーブル

                  MSCHAP 認証

                  ディセーブル

                  デフォルト アカウンティング方式

                  local

                  アカウンティング ログの表示サイズ

                  250 KB