Cisco NX-OS Security コンフィギュレーション ガイド Release 4.0
TACACS+ の設定
TACACS+ の設定
発行日;2012/01/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

TACACS+ の設定

TACACS+ の概要

TACACS+ の利点

ユーザ ログインにおける TACACS+ の動作

デフォルトの TACACS+ サーバ暗号化タイプおよび事前共有鍵

TACACS+ サーバ モニタリング

VSA

シスコの VSA 形式

シスコの TACACS+ 特権レベル

バーチャライゼーション サポート

TACACS+ のライセンス要件

TACACS+ の前提条件

注意事項および制限事項

TACACS+ の設定

TACACS+ サーバの設定プロセス

TACACS+ のイネーブル化

TACACS+ サーバ ホストの設定

グローバル事前共有鍵の設定

TACACS+ サーバの事前共有鍵の設定

TACACS+ サーバ グループの設定

ログイン時の TACACS+ サーバの指定

グローバル TACACS+ タイムアウト間隔の設定

個別サーバのタイムアウト間隔の設定

TCP ポートの設定

TACACS+ サーバの定期モニタリングの設定

デッド タイム間隔の設定

TACACS+ サーバまたはサーバ グループの手動でのモニタリング

TACACS+ のディセーブル化

TACACS+ 統計情報の表示

TACACS+ 設定の確認

TACACS+ 設定例

次の作業

デフォルト設定

その他の参考資料

関連資料

規格

MIB

TACACS+ の設定

この章では、NX-OS デバイス上で TACACS+ プロトコルを設定する手順について説明します。

ここでは、次の内容を説明します。

「TACACS+ の概要」

「TACACS+ のライセンス要件」

「TACACS+ の前提条件」

「注意事項および制限事項」

「TACACS+ の設定」

「TACACS+ 統計情報の表示」

「TACACS+ 設定の確認」

「TACACS+ 設定例」

「次の作業」

「デフォルト設定」

「その他の参考資料」

TACACS+ の概要

TACACS+ は、NX-OS デバイスにアクセスしようとするユーザの検証を集中的に行うセキュリティ プロトコルです。TACACS+ サービスは、通常 UNIX または Windows NT ワークステーション上で稼働する TACACS+ デーモンのデータベースで管理されます。NX-OS デバイスに設定した TACACS+ 機能を使用可能にするには、TACACS+ サーバにアクセスして TACACS+ サーバを設定しておく必要があります。

TACACS+ は、認証、許可、およびアカウンティング機能を個別に備えています。TACACS+ では、1 つのアクセス制御サーバ(TACACS+ デーモン)が認証、許可、およびアカウンティングの各サービスを個別に提供できます。各サービスをそれぞれ固有のデータベースに結合し、デーモンの機能に応じて、そのサーバまたはネットワーク上で使用できる他のサービスを利用できます。

TACACS+ クライアント/サーバ プロトコルは、TCP(TCP ポート 49)を使用して転送を行います。Cisco NX-OS デバイスは、TACACS+ プロトコルを使用して集中型の認証を行います。

ここでは、次の内容について説明します。

「TACACS+ の利点」

「ユーザ ログインにおける TACACS+ の動作」

「デフォルトの TACACS+ サーバ暗号化タイプおよび事前共有鍵」

「TACACS+ サーバ モニタリング」

「VSA」

「バーチャライゼーション サポート」

TACACS+ の利点

TACACS+ には、RADIUS 認証と比較して次の利点があります。

AAA の個別ファシリティを提供します。たとえば NX-OS デバイスは、認証を行わずにアクセスを許可できます。

AAA クライアントとサーバの間のデータ送信に TCP トランスポート プロトコルを使用するので、コネクション型プロトコルにより確実に転送されます。

スイッチと AAA サーバの間でプロトコル ペイロード全体を暗号化して、さらに優れたデータ保護を実現できます。RADIUS プロトコルではパスワードだけ暗号化されます。

ユーザ ログインにおける TACACS+ の動作

TACACS+ を使用する NX-OS デバイスに対して、ユーザが Password Authentication Protocol(PAP; パスワード認証プロトコル)ログインを試みると、次の処理が行われます。

1. NX-OS デバイスは接続が確立されると、ユーザ名とパスワードを取得するために TACACS+ デーモンに接続します。


) TACACS+ によって、デーモンとユーザとの間の対話が可能になり、デーモンはユーザの認証に必要な情報を取得できるようになります。通常、デーモンはユーザ名とパスワードを入力するよう求めますが、ユーザの母親の旧姓などの追加項目を求めることもできます。


2. NX-OS デバイスは、最終的に TACACS+ デーモンから次のいずれかの応答を得ます。

a. ACCEPT ― ユーザが認証され、サービスが始まります。NX-OS デバイスがユーザ許可を必要とする場合は、許可処理が始まります。

b. REJECT ― ユーザは認証されませんでした。TACACS+ デーモンは、ユーザのアクセスを拒否するか、ログイン シーケンスを再試行するようにユーザに求めます。

c. ERROR ― デーモンによる認証サービスの途中でエラーが発生したか、またはデーモンと NX-OS デバイスの間のネットワーク接続でエラーが発生しました。NX-OS デバイスは ERROR 応答を受信した場合、別の方法でユーザの認証を試行します。

認証が終了し、NX-OS デバイスで許可がイネーブルになっていれば、続いてユーザの許可フェーズに入ります。ユーザは TACACS+ 認証が正常に完了しないうちは、TACACS+ 許可に進めません。

3. TACACS+ 許可が必要な場合、NX-OS デバイスは再び TACACS+ デーモンに接続します。デーモンから ACCEPT または REJECT 応答が返されます。ACCEPT 応答には、そのユーザに対する EXEC または NETWORK セッションに使用されるアトリビュートが含まれ、ユーザがアクセスできるサービスが確定します。

サービスには次のものが含まれます。

Telnet、rlogin、PPP(ポイントツーポイント プロトコル)、Serial Line Internet Protocol(SLIP; シリアル ライン インターネット プロトコル)または、EXEC サービス

ホストまたはクライアントの IP アドレス(IPv4/IPv6)、アクセス リスト、ユーザ タイムアウトなどの接続パラメータ

デフォルトの TACACS+ サーバ暗号化タイプおよび事前共有鍵

スイッチを TACACS+ サーバに対して認証するには、TACACS+ 事前共有鍵を設定する必要があります。事前共有鍵は、NX-OS デバイスと TACACS+ サーバ ホストの間で共有されるシークレット テキスト ストリングです。鍵の長さは 63 文字に制限され、任意の印字可能な ASCII 文字を含めることができます(スペースは使用できません)。NX-OS デバイス上のすべての TACACS+ サーバの設定には、グローバル事前共有鍵を使用できます。

このグローバル事前共有鍵の設定は、TACACS+ サーバを個別に設定するときに key オプションを使用して明示的に上書きすることができます。

TACACS+ サーバ モニタリング

TACACS+ サーバの応答が遅いと、AAA 要求の処理が遅れることがあります。AAA 要求の処理時間を短縮するために、TACACS+ サーバを定期的にモニタして TACACS+ サーバが応答している(アライブ)かどうかを調べることができます。NX-OS デバイスは、応答の遅い TACACS+ サーバをデッド(dead)としてマークし、デッド TACACS+ サーバには AAA 要求を送信しません。NX-OS デバイスはデッド TACACS+ サーバを定期的にモニタし、応答があればアライブ状態に戻します。このプロセスにより、TACACS+ サーバが稼働状態であることを確認してから、実際の AAA 要求が送信されます。TACACS+ サーバがデッドまたはアライブの状態に変わると SNMP トラップが生成され、NX-OS デバイスはパフォーマンスに影響が出る前に、障害が発生していることをエラー メッセージで表示します。図4-1を参照してください。

図4-1 TACACS+ サーバの状態

 


) アライブ サーバとデッド サーバのモニタリング間隔は異なります。これらは、ユーザが設定できます。TACACS+ サーバ モニタリングは、テスト認証要求を TACACS+ サーバに送信して行われます。


VSA

Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)ドラフト標準には、ネットワーク アクセス サーバと TACACS+ サーバの間で VSA(vendor-specific attribute; ベンダー固有属性)を伝達する方法が規定されています。IETF はアトリビュート 26 を使用しています。VSA を使用すると、ベンダーは一般的な用途に適さない独自の拡張アトリビュートをサポートできます。

ここでは、次の内容について説明します。

「シスコの VSA 形式」

「シスコの TACACS+ 特権レベル」

シスコの VSA 形式

シスコの TACACS+ 実装では、IETF 仕様で推奨される形式を使用したベンダー固有オプションを 1 つサポートしています。シスコのベンダー ID は 9 で、サポートするオプションはベンダー タイプ 1、名前は cisco-av-pair です。値は、次の形式のストリングです。

protocol : attribute separator value *
 

protocol は、特定の許可タイプを表すシスコのアトリビュートです。separator は、必須アトリビュートの場合に =(等号)、オプションのアトリビュートの場合に *(アスタリスク)です。

Cisco NX-OS デバイスでの認証に TACACS+ サーバを使用した場合、TACACS+ プロトコルは TACACS+ サーバに対し、認証結果とともに権限付与情報などのユーザ アトリビュートを返すように指示します。この権限付与情報は、VSA を通じて指定されます。

次の VSA プロトコル オプションが Cisco NX-OS ソフトウェアでサポートされています。

shell ― ユーザ プロファイル情報を提供する access-accept パケットで使用されるプロトコル

Accounting ― accounting-request パケットで使用されるプロトコル。値にスペースが含まれる場合は、二重引用符で囲む必要があります。

Cisco NX-OS ソフトウェアは、次のアトリビュートをサポートしています。

roles ― ユーザが属しているすべてのロールをリストします。値フィールドは、ロール名をスペースで区切ったストリングです。たとえば、ユーザが network-operator および vdc‐admin のロールに属している場合、値フィールドは「network-operator vdc-admin」となります。このサブアトリビュートは Access-Accept フレームの VSA 部分に格納され、TACACS+ サーバから送信されます。このアトリビュートはシェル プロトコル値とだけ併用できます。次に、Cisco ACS でサポートされるロール アトリビュートの例を示します。

shell:roles=“network-operator vdc-admin”
 
shell:roles*“network-operator vdc-admin”
 

) VSA を shell:roles*"network-operator vdc-admin" として指定した場合、この VSA はオプション アトリビュートとしてフラグ設定され、他のシスコ製装置はこのアトリビュートを無視します。


accountinginfo ― 標準の TACACS+ アカウンティング プロトコルに含まれるアトリビュートとともにアカウンティング情報を格納します。このアトリビュートは、スイッチ上の TACACS+ クライアントから、Account-Request フレームの VSA 部分にだけ格納されて送信されます。このアトリビュートはアカウンティングの Protocol Data Unit(PDU; プロトコル データ ユニット)とだけ併用できます。

シスコの TACACS+ 特権レベル

TACACS+ サーバは、NX-OS デバイスにログインするときにユーザが所有するアクセス権を指定するための特権レベルをサポートしています。最大の特権レベル 15 の場合、Cisco NX-OS ソフトウェアは、デフォルトの VDC に network-admin ロールを適用し、デフォルト以外の VDC に vdc-admin ロールを適用します。他のすべての特権レベルは vdc-operator ロールに変換されます。ユーザ ロールの詳細については、 第 6 章「ユーザ アカウントおよび RBAC の設定」 を参照してください。


) cisco-av-pair にユーザ ロールを指定した場合は、指定したロールが特権レベルに優先します。


バーチャライゼーション サポート

TACACS+ の設定と操作は、Virtual Device Context(VDC)に対してローカルです。VDC の詳細については、『 Cisco NX-OS Virtual Device Context Configuration Guide, Release 4.0 』を参照してください。

NX-OS デバイスは、Virtual Routing and Forwarding instance(VRF)を使用して TACACS+ サーバをアクセスします。VRF の詳細については、『 Cisco NX-OS Unicast Routing Configuration Guide, Release 4.0 』を参照してください。

TACACS+ のライセンス要件

次の表に、この機能のライセンス要件を示します。

 

製品
ライセンス要件

NX-OS

TACACS+ にライセンスは必要ありません。ライセンス パッケージに含まれない機能はすべて、Cisco NX-OS システム イメージにバンドルされており、無償で提供されます。NX-OS のライセンス方式の詳細については、『 Cisco NX-OS Licensing Guide, Release 4.0 』を参照してください。

TACACS+ の前提条件

TACACS+ には次の前提条件があります。

TACACS+ サーバの IPv4 または IPv6 アドレスまたはホスト名を取得すること

TACACS+ サーバから事前共有鍵を取得すること(ある場合)

NX-OS デバイスが AAA サーバの TACACS+ クライアントとして設定されていること

注意事項および制限事項

TACACS+ には、次の注意事項と制限事項があります。

NX-OS デバイス上には最大 64 の TACACS+ サーバを設定できます。

ローカルの Cisco NX-OS デバイス上に設定されているユーザ アカウントが、AAA サーバ上のリモート ユーザ アカウントと同じ名前の場合、Cisco NX-OS ソフトウェアは、AAA サーバ上に設定されているユーザ ロールでなく、ローカル ユーザ アカウントのユーザ ロールをリモート ユーザに適用します。

TACACS+ の設定

ここでは、次の内容について説明します。

「TACACS+ サーバの設定プロセス」

「TACACS+ のイネーブル化」

「TACACS+ サーバ ホストの設定」

「グローバル事前共有鍵の設定」

「TACACS+ サーバの事前共有鍵の設定」

「TACACS+ サーバ グループの設定」

「ログイン時の TACACS+ サーバの指定」

「グローバル TACACS+ タイムアウト間隔の設定」

「個別サーバのタイムアウト間隔の設定」

「TCP ポートの設定」

「TACACS+ サーバの定期モニタリングの設定」

「デッド タイム間隔の設定」

「TACACS+ サーバまたはサーバ グループの手動でのモニタリング」

「TACACS+ のディセーブル化」


) Cisco IOS CLI の知識があるユーザは、この機能に関する Cisco NX-OS のコマンドが Cisco IOS のコマンドで使用されるものと異なる場合があることに注意してください。


TACACS+ サーバの設定プロセス

TACACS+ サーバを設定するには、次の作業を行います。


ステップ 1 TACACS+ をイネーブルにします(TACACS+ のイネーブル化を参照)。

ステップ 2 TACACS+ サーバと NX-OS デバイスの接続を確立します(TACACS+ サーバ ホストの設定を参照)。

ステップ 3 TACACS+ サーバの事前共有秘密鍵を設定します(グローバル事前共有鍵の設定およびTACACS+ サーバの事前共有鍵の設定を参照)。

ステップ 4 必要な場合は、AAA 認証方式に、TACACS+ サーバのサブセットを使用して TACACS+ サーバ グループを設定します(TACACS+ サーバ グループの設定および AAA の設定を参照)。

ステップ 5 必要な場合は、次のオプション パラメータを設定します。

デッド タイム間隔(デッド タイム間隔の設定を参照)

ユーザ ログイン時の TACACS+ サーバの指定の許可(ログイン時の TACACS+ サーバの指定を参照)

タイムアウト間隔(グローバル TACACS+ タイムアウト間隔の設定を参照)

TCP ポート(TCP ポートの設定を参照)。

ステップ 6 必要な場合、TACACS+ サーバの定期モニタリングの設定(TACACS+ サーバの定期モニタリングの設定を参照)


 

TACACS+ のイネーブル化

デフォルトでは、Cisco NX-OS デバイスの TACACS+ 機能はディセーブルになっています。認証に関する設定コマンドと検証コマンドを使用するには、TACACS+ 機能を明示的にイネーブルにする必要があります。

作業を開始する前に

正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。

手順の概要

1. config t

2. feature tacacs+

3. exit

4. copy running-config startup-config

詳細な手順

 

コマンド
目的

ステップ 1

config t

 

例:

switch# config t

switch(config)#

コンフィギュレーション モードを開始します。

ステップ 2

feature tacacs+

 

例:

switch(config)# feature tacacs+

TACACS+ をイネーブルにします。

ステップ 3

exit

 

例:

switch(config)# exit

switch#

コンフィギュレーション モードを終了します。

ステップ 4

copy running-config startup-config

 

例:

switch# copy running-config startup-config

(任意)実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

TACACS+ サーバ ホストの設定

リモートの TACACS+ サーバにアクセスするには、Cisco NX-OS デバイス上でその TACACS+ サーバの IPv4 または IPv6 アドレスを設定する必要があります。すべての TACACS+ サーバ ホストをデフォルトの TACACS+ サーバ グループに追加します。最大 64 の TACACS+ サーバを設定できます。

設定した TACACS+ サーバの事前共有鍵を設定しなかった場合、グローバル事前共有鍵が設定されていなければ警告メッセージが表示されます。TACACS+ サーバ鍵が設定されない場合は、グローバル鍵(設定されている場合)がそのサーバに使用されます(グローバル事前共有鍵の設定およびTACACS+ サーバの事前共有鍵の設定を参照)。

作業を開始する前に

正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。

TACACS+ をイネーブルにします(TACACS+ のイネーブル化を参照)。

リモートの TACACS+ サーバの IPv4 または IPv6 アドレスまたはホスト名を取得します。

手順の概要

1. config t

2. tacacs-server host { ipv4-address | ipv6-address | host-name }

3. exit

4. show tacacs-server

5. copy running-config startup-config

 

コマンド
目的

ステップ 1

config t

 

例:

switch# config t

switch(config)#

コンフィギュレーション モードを開始します。

ステップ 2

tacacs-server host { ipv4-address | ipv6-address | host-name }

 

例:

switch(config)# tacacs-server host 10.10.2.2

TACACS+ サーバの IPv4 または IPv6 アドレスまたはホスト名を指定します。

ステップ 3

exit

 

例:

switch(config)# exit

switch#

コンフィギュレーション モードを終了します。

ステップ 4

show tacacs-server

 

例:

switch# show tacacs-server

(任意)TACACS+ サーバの設定を表示します。

ステップ 5

copy running-config startup-config

 

例:

switch# copy running-config startup-config

(任意)実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

サーバ グループから TACACS+ サーバ ホストを削除できます。

詳細な手順

グローバル事前共有鍵の設定

Cisco NX-OS デバイスで使用されるすべてのサーバの事前共有鍵をグローバル レベルで設定できます。事前共有鍵は、NX-OS デバイスと TACACS+ サーバ ホストの間の共有秘密テキスト ストリングです。

作業を開始する前に

正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。

TACACS+ をイネーブルにします(TACACS+ のイネーブル化を参照)。

リモート TACACS+ サーバの事前共有鍵の値を取得します。

手順の概要

1. config t

2. tacacs-server key [ 0 | 7 ] key-value

3. exit

4. show tacacs-server

5. copy running-config startup-config

詳細な手順

 

コマンド
目的

ステップ 1

config t

 

例:

switch# config t

switch(config)#

コンフィギュレーション モードを開始します。

ステップ 2

tacacs-server key [ 0 | 7 ] key-value

 

例:

switch(config)# tacacs-server key 0 QsEfThUkO

すべての TACACS+ サーバの事前共有鍵を指定します。クリア テキスト( 0 )または暗号化( 7 )の事前共有鍵を指定します。デフォルト形式はクリア テキストです。最大長は 63 文字です。

デフォルトでは、事前共有鍵は設定されません。

ステップ 3

exit

 

例:

switch(config)# exit

switch#

コンフィギュレーション モードを終了します。

ステップ 4

show tacacs-server

 

例:

switch# show tacacs-server

(任意)TACACS+ サーバの設定を表示します。


) 事前共有鍵は実行コンフィギュレーションに暗号化形式で保存されます。暗号化事前共有鍵を表示するには、show running-config コマンドを使用します。


ステップ 5

copy running-config startup-config

 

例:

switch# copy running-config startup-config

(任意)実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

TACACS+ サーバの事前共有鍵の設定

TACACS+ サーバの事前共有鍵を設定できます。事前共有鍵は、NX-OS デバイスと TACACS+ サーバ ホストの間の共有秘密テキスト ストリングです。

作業を開始する前に

正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。

TACACS+ をイネーブルにします(TACACS+ のイネーブル化を参照)。

リモート TACACS+ サーバの事前共有鍵の値を取得します。

手順の概要

1. config t

2. tacacs-server host { ipv4-address | ipv6-address | host-name } key key-value

3. exit

4. show tacacs-server

5. copy running-config startup-config

詳細な手順

 

コマンド
目的

ステップ 1

config t

 

例:

switch# config t

switch(config)#

コンフィギュレーション モードを開始します。

ステップ 2

tacacs-server host { ipv4-address | ipv6-address | host-name } key [ 0 | 7 ] key-value

 

例:

switch(config)# tacacs-server host 10.10.1.1 key 0 PlIjUhYg

特定の TACACS+ サーバの事前共有鍵を指定します。クリア テキスト( 0 )または暗号化( 7 )の事前共有鍵を指定します。デフォルト形式はクリア テキストです。最大長は 63 文字です。

グローバル事前共有鍵ではなく、この事前共有鍵が使用されます。

ステップ 3

exit

 

例:

switch(config)# exit

switch#

コンフィギュレーション モードを終了します。

ステップ 4

show tacacs-server

 

例:

switch# show tacacs-server

(任意)TACACS+ サーバの設定を表示します。


) 事前共有鍵は実行コンフィギュレーションに暗号化形式で保存されます。暗号化事前共有鍵を表示するには、show running-config コマンドを使用します。


ステップ 5

copy running-config startup-config

 

例:

switch# copy running-config startup-config

(任意)実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

TACACS+ サーバ グループの設定

ユーザの認証にサーバ グループを使用して、1 つまたは複数のリモート AAA サーバを指定できます。グループ内のすべてのメンバーは同じ TACACS+ プロトコルに属する必要があります。サーバへのアクセスは、サーバを設定した順番で行われます。

サーバ グループはいつでも設定できますが、AAA サービスに適用した場合のみ有効となります。AAA サービスについては、「リモート AAA サービス」を参照してください。

作業を開始する前に

正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。

TACACS+ をイネーブルにします(TACACS+ のイネーブル化を参照)。

手順の概要

1. config t

2. aaa group server tacacs+ group-name

3. server { ipv4-address | ipv6-address | host-name }

4. deadtime minutes

5. use-vrf vrf-name

6. exit

7. show tacacs-server groups

8. copy running-config startup-config

詳細な手順

 

コマンド
目的

ステップ 1

config t

 

例:

switch# config t

switch(config)#

コンフィギュレーション モードを開始します。

ステップ 2

aaa group server tacacs+ group-name

 

例:

switch(config)# aaa group server tacacs+ TacServer

switch(config-tacacs+)#

TACACS+ サーバ グループを作成し、そのグループの TACACS+ サーバ グループ コンフィギュレーションモードを開始します。

ステップ 3

server { ipv4-address | ipv6-address | host-name }

 

例:

switch(config-tacacs+)# server 10.10.2.2

TACACS+ サーバを TACACS+ サーバ グループのメンバーとして設定します。

ヒント 指定した RADIUS サーバが検出されなかった場合、 tacacs-server host コマンドを使用してサーバを設定し、再度このコマンドを実行してください。

ステップ 4

deadtime minutes

 

例:

switch(config-tacacs+)# deadtime 30

(任意)モニタリングのデッド タイムを設定します。デフォルト値は 0 分です。有効値の範囲は 0 ~ 1440 です。


) デッド タイム間隔がゼロ(0)より大きい TACACS+ サーバ グループの場合は、その値がグローバル デット タイム値に優先します(デッド タイム間隔の設定を参照)。


ステップ 5

use-vrf vrf-name

 

例:

switch(config-tacacs+)# use-vrf vrf1

(任意)このサーバ グループとの接続に使用する Virtual Routing and Forwarding instance(VRF)を指定します。

ステップ 6

exit

 

例:

switch(config-tacacs+)# exit

switch(config)#

コンフィギュレーション モードを終了します。

ステップ 7

show tacacs-server groups

 

例:

switch(config)# show tacacs-server groups

(任意)TACACS+ サーバ グループの設定を表示します。

ステップ 8

copy running-config startup-config

 

例:

switch(config)# copy running-config startup-config

(任意)実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

ログイン時の TACACS+ サーバの指定

スイッチ上で directed-request 誘導要求オプションをイネーブルにすることにより、認証要求の送信先の TACACS+ サーバをユーザが指定できるようになります。デフォルトでは、Cisco NX-OS デバイスは認証要求を、デフォルト AAA 認証方式に基づいて転送します。このオプションをイネーブルにした場合、ユーザは username@vrfname:hostname としてログインできます。ここで、vrfname は使用する VRF、hostname は設定された RADIUS サーバの名前です。


) ユーザ指定のログインは Telnet セッションでのみサポートされます。


作業を開始する前に

正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。

TACACS+ をイネーブルにします(TACACS+ のイネーブル化を参照)。

手順の概要

1. config t

2. tacacs-server directed-request

3. exit

4. show tacacs-server directed-request

5. copy running-config startup-config

詳細な手順

 

コマンド
目的

ステップ 1

config t

 

例:

switch# config t

switch(config)#

コンフィギュレーション モードを開始します。

ステップ 2

tacacs-server directed-request

 

例:

switch(config)# tacacs-server directed-request

ログイン時に認証要求の送信先の TACACS+ サーバを指定することをユーザに許可します。デフォルトはディセーブルです。

ステップ 3

exit

 

例:

switch(config)# exit

switch#

コンフィギュレーション モードを終了します。

ステップ 4

show tacacs-server directed-request

 

例:

switch# show tacacs-server directed-request

(任意)TACACS+ の誘導要求の設定を表示します。

ステップ 5

copy running-config startup-config

 

例:

switch# copy running-config startup-config

(任意)実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

グローバル TACACS+ タイムアウト間隔の設定

Cisco NX-OS デバイスがすべての TACACS+ サーバからの応答を待つグローバル タイムアウト間隔を設定できます。これを過ぎるとタイムアウト障害が宣言されます。タイムアウト間隔には、Cisco NX-OS デバイスが TACACS+ サーバからの応答を待つ時間を指定します。これを過ぎるとタイムアウト障害が宣言されます。

作業を開始する前に

正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。

TACACS+ をイネーブルにします(TACACS+ のイネーブル化を参照)。

手順の概要

1. config t

2. tacacs-server timeout seconds

3. exit

4. show tacacs-server

5. copy running-config startup-config

詳細な手順

 

コマンド
目的

ステップ 1

config t

 

例:

switch# config t

switch(config)#

コンフィギュレーション モードを開始します。

ステップ 2

tacacs-server timeout seconds

 

例:

switch(config)# tacacs-server timeout 10

TACACS+ サーバのタイムアウト間隔を指定します。デフォルトのタイムアウト間隔は 5 秒です。有効値の範囲は 1 ~ 60 秒です。

ステップ 3

exit

 

例:

switch(config)# exit

switch#

コンフィギュレーション モードを終了します。

ステップ 4

show tacacs-server

 

例:

switch# show tacacs-server

(任意)TACACS+ サーバの設定を表示します。

ステップ 5

copy running-config startup-config

 

例:

switch# copy running-config startup-config

(任意)実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

個別サーバのタイムアウト間隔の設定

Cisco NX-OS デバイスが TACACS+ サーバからの応答を待つタイムアウト間隔を設定できます。これを過ぎるとタイムアウト障害が宣言されます。タイムアウト間隔には、Cisco NX-OS デバイスが TACACS+ サーバからの応答を待つ時間を指定します。これを過ぎるとタイムアウト障害が宣言されます。

作業を開始する前に

正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。

TACACS+ をイネーブルにします(TACACS+ のイネーブル化を参照)。

手順の概要

1. config t

2. tacacs-server host { ipv4-address | ipv6-address | host-name } timeout seconds

3. exit

4. show tacacs-server

5. copy running-config startup-config

詳細な手順

 

コマンド
目的

ステップ 1

config t

 

例:

switch# config t

switch(config)#

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# tacacs-server host { ipv4-address | ipv6-address | host-name } timeout seconds

 

例:

switch(config)# tacacs-server host server1 timeout 10

特定のサーバのタイムアウト間隔を指定します。デフォルトはグローバル値です。


) TACACS+ サーバに個別に指定されたタイムアウト間隔値は、すべての TACACS+ サーバに指定されたグローバル タイムアウト間隔値を無効にします。


ステップ 3

exit

 

例:

switch(config)# exit

switch#

コンフィギュレーション モードを終了します。

ステップ 4

show tacacs-server

 

例:

switch# show tacacs-server

(任意)TACACS+ サーバの設定を表示します。

ステップ 5

copy running-config startup-config

 

例:

switch# copy running-config startup-config

(任意)実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

TCP ポートの設定

他のアプリケーションと競合する場合は、TACACS+ サーバ用に別の TCP ポートを設定できます。デフォルトでは、Cisco NX-OS デバイスはすべての TACACS+ 要求に対してポート 49 を使用します。

作業を開始する前に

正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。

TACACS+ をイネーブルにします(TACACS+ のイネーブル化を参照)。

手順の概要

1. config t

2. tacacs-server host { ipv4-address | ipv6-address | host-name } port tcp-port

3. exit

4. show tacacs-server

5. copy running-config startup-config

詳細な手順

 

コマンド
目的

ステップ 1

config t

 

例:

switch# config t

switch(config)#

コンフィギュレーション モードを開始します。

ステップ 2

tacacs-server host { ipv4-address | ipv6-address | host-name } port tcp-port

 

例:

switch(config)# tacacs-server host 10.10.1.1 port 2

TACACS+ アカウンティング メッセージに使用する TCP ポートを指定します。デフォルトの TCP ポートは 49 です。有効範囲は 1 ~ 65535 です。

ステップ 3

exit

 

例:

switch(config)# exit

switch#

コンフィギュレーション モードを終了します。

ステップ 4

show tacacs-server

 

例:

switch# show tacacs-server

(任意)TACACS+ サーバの設定を表示します。

ステップ 5

copy running-config startup-config

 

例:

switch# copy running-config startup-config

(任意)実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

TACACS+ サーバの定期モニタリングの設定

TACACS+ サーバが使用可能かどうかをモニタできます。パラメータには、サーバとアイドル タイマーに使用されるユーザ名とパスワードがあります。アイドル タイマーには、TACACS+ サーバで何の要求も受信されない状態の時間を指定します。これを過ぎると Cisco NX-OS デバイスはテスト パケットを送信します。このオプションを設定して定期的にサーバをテストしたり、1 回だけテストを実行することができます。


) ネットワークのセキュリティを保護するために、TACACS+ データベースの既存のユーザ名と同じものを使用しないことを推奨します。


テスト アイドル タイマーには、TACACS+ サーバで何の要求も受信されない状態の時間を指定します。これを過ぎると Cisco NX-OS デバイスはテスト パケットを送信します。


) デフォルトのアイドル タイマー値は 0 分です。アイドル時間間隔が 0 分の場合、TACACS+ サーバの定期モニタリングは実行されません。


作業を開始する前に

正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。

TACACS+ をイネーブルにします(TACACS+ のイネーブル化を参照)。

手順の概要

1. config t

2. tacacs-server host { ipv4-address | ipv6-address | host-name } test { idle-time minutes | password password [ idle-time minutes ] | username name [ password password [ idle-time minutes ]]}

3. tacacs-server dead-time minutes

4. exit

5. show tacacs-server

6. copy running-config startup-config

詳細な手順

 

コマンド
目的

ステップ 1

config t

 

例:

switch# config t

switch(config)#

コンフィギュレーション モードを開始します。

ステップ 2

tacacs-server host { ipv4-address | ipv6-address | host-name } test { idle-time minutes | password password [ idle-time minutes ] | username name [ password password [ idle-time minutes ]]}

 

例:

switch(config)# tacacs-server host 10.10.1.1 test username user1 password Ur2Gd2BH idle-time 3

サーバのモニタリングのパラメータを指定します。デフォルト ユーザ名は test で、デフォルトのパスワードは test です。アイドル タイマーのデフォルト値は 0 分です。有効な範囲は 0 ~ 1440 分です。


) TACACS+ サーバの定期モニタリングの場合、アイドル タイマーの値を 0 より大きくする必要があります。


ステップ 3

tacacs-server dead-time minutes

 

例:

switch(config)# tacacs-server dead-time 5

以前に応答の遅かった TACACS+ サーバを NX-OS デバイスがチェックを始めるまでの分数を指定します。デフォルト値は 0 分です。有効な範囲は 0 ~ 1440 分です。

ステップ 4

exit

 

例:

switch(config)# exit

switch#

コンフィギュレーション モードを終了します。

ステップ 5

show tacacs-server

 

例:

switch# show tacacs-server

(任意)TACACS+ サーバの設定を表示します。

ステップ 6

copy running-config startup-config

 

例:

switch# copy running-config startup-config

(任意)実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

デッド タイム間隔の設定

すべての TACACS+ サーバのデッド タイム間隔を設定できます。デッド タイム間隔では、Cisco NX-OS デバイスが TACACS+ サーバをデッドであると宣言したあと、そのサーバがアライブになったかどうかを確認するためにテスト パケットを送信するまでの時間を指定します。


) デッド タイマー間隔が 0 分の場合、TACACS+ サーバの応答がなくても、そのサーバをデッドとしません。デッド タイマーはグループ単位で設定できます(TACACS+ サーバ グループの設定を参照)。


作業を開始する前に

正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。

TACACS+ をイネーブルにします(TACACS+ のイネーブル化を参照)。

手順の概要

1. config t

2. tacacs-server deadtime minutes

3. exit

4. show tacacs-server

5. copy running-config startup-config

 

コマンド
目的

ステップ 1

config t

 

例:

switch# config t

switch(config)#

コンフィギュレーション モードを開始します。

ステップ 2

tacacs-server deadtime minutes

 

例:

switch(config)# tacacs-server deadtime 5

グローバル デッド タイム間隔を設定します。デフォルト値は 0 分です。有効な範囲は、1 ~ 1440 分です。

ステップ 3

exit

 

例:

switch(config)# exit

switch#

コンフィギュレーション モードを終了します。

ステップ 4

show tacacs-server

 

例:

switch# show tacacs-server

(任意)TACACS+ サーバの設定を表示します。

ステップ 5

copy running-config startup-config

 

例:

switch# copy running-config startup-config

(任意)実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

TACACS+ サーバまたはサーバ グループの手動でのモニタリング

TACACS+ サーバまたはサーバ グループに、手動でテスト メッセージを送信できます。

作業を開始する前に

正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。

TACACS+ をイネーブルにします(TACACS+ のイネーブル化を参照)。

手順の概要

1. test aaa server tacacs+ { ipv4-address | ipv6-address | host-name } [ vrf vrf-name ] username password

2. test aaa group group-name username password

詳細な手順

 

コマンド
目的

ステップ 1

test aaa server tacacs+ { ipv4-address | ipv6-address | host-name } [ vrf vrf-name ] username password

 

例:

switch# test aaa server tacacs+ 10.10.1.1 user1 Ur2Gd2BH

TACACS+ サーバにテスト メッセージを送信して使用可能であることを確認します。

ステップ 2

test aaa group group-name username password

 

例:

switch# test aaa group TacGroup user2 As3He3CI

TACACS+ サーバ グループにテスト メッセージを送信して使用可能であることを確認します。

TACACS+ のディセーブル化

TACACS+ はディセーブルにすることができます。


注意 TACACS+ をディセーブルにすると、すべての関連する設定は自動的に破棄されます。

作業を開始する前に

正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。

手順の概要

1. config t

2. no feature tacacs+

3. exit

4. copy running-config startup-config

詳細な手順

 

コマンド
目的

ステップ 1

config t

 

例:

switch# config t

switch(config)#

コンフィギュレーション モードを開始します。

ステップ 2

no feature tacacs+

 

例:

switch(config)# no feature tacacs+

TACACS+ をディセーブルにします。

ステップ 3

exit

 

例:

switch(config)# exit

switch#

コンフィギュレーション モードを終了します。

ステップ 4

copy running-config startup-config

 

例:

switch# copy running-config startup-config

(任意)実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

TACACS+ 統計情報の表示

Cisco NX-OS デバイスが保持している TACACS+ サーバのアクティビティに関する統計情報を表示します。

作業を開始する前に

正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。

TACACS+ をイネーブルにします(TACACS+ のイネーブル化を参照)。

手順の概要

1. show tacacs-server statistics { hostname | ipv4-address | ipv6-address }

詳細な手順

 

コマンド
目的

ステップ 1

switch# show tacacs-server statistics { hostname | ipv4-address | ipv6-address }

 

例:

switch# show tacacs-server statistics 10.10.1.1

TACACS+ 統計情報を表示します。

このコマンドの出力に表示されるフィールドの詳細については、『 Cisco NX-OS Security Command Reference, Release 4.0 』を参照してください。

TACACS+ 設定の確認

TACACS+ の設定情報を表示するには、次の作業のいずれかを行います。

 

コマンド
目的

show running-config tacacs [all]

実行コンフィギュレーション内の TACACS+ 設定を表示します。

show startup-config tacacs

スタートアップ コンフィギュレーション内の TACACS+ 設定を表示します。

show tacacs-server [ host-name | ipv4-address | ipv6-address ] [ directed-request | groups | sorted | statistics ]

TACACS+ サーバのすべての設定済みパラメータを表示します。

このコマンドの出力に表示されるフィールドの詳細については、『 Cisco NX-OS Security Command Reference, Release 4.0 』を参照してください。

TACACS+ 設定例

次に、TACACS+ を設定する例を示します。

feature tacacs+
tacacs-server key 7 "ToIkLhPpG"
tacacs-server host 10.10.2.2 key 7 "ShMoMhTl"
aaa group server tacacs+ TacServer
server 10.10.2.2
 

次の作業

これで、TACACS+ サーバ グループも含めて AAA 認証方式を設定できるようになります( 第 2 章「AAA の設定」 を参照)。

デフォルト設定

表4-1 に、TACACS+ パラメータのデフォルト設定を示します。

 

表4-1 デフォルト TACACS+ パラメータ

パラメータ
デフォルト

TACACS+

ディセーブル

デッド タイマー間隔

0 分

タイムアウト間隔

5 秒

アイドル タイマー間隔

0 分

定期サーバ モニタリングのユーザ名

test

定期サーバ モニタリングのパスワード

test

その他の参考資料

TACACS+ の実装に関連する詳細情報については、次を参照してください。

「関連資料」

「規格」

「MIB」

関連資料

関連事項
タイトル

NX-OS ライセンス

Cisco NX-OS Licensing Guide, Release 4.0

コマンド リファレンス

Cisco NX-OS Security Command Reference, Release 4.0

VRF の設定

Cisco NX-OS Unicast Routing Configuration Guide, Release 4.0

規格

規格
タイトル

この機能によりサポートされた新規規格または改訂規格はありません。またこの機能による既存規格のサポートに変更はありません。

--

MIB

MIB
MIB のリンク

CISCO-AAA-SERVER-MIB

CISCO-AAA-SERVER-EXT-MIB

MIB の確認とダウンロードを行うには、次の URL にアクセスします。

http://www.cisco.com/public/sw-center/enigmatic/cant/mibs.shtml