AAA の設定
AAA の設定

目次

AAA の設定

この章では、Cisco NX-OS デバイスで Authentication, Authorization, and Accounting(AAA; 認証、許可、アカウンティング)を設定する手順について説明します。

この章は、次の項で構成されています。

AAA について

ここでは、Cisco NX-OS デバイスでの AAA について説明します。

AAA セキュリティ サービス

AAA 機能を使用すると、Cisco NX-OS デバイスを管理するユーザの ID を確認し、ユーザにアクセスを許可し、ユーザの実行するアクションを追跡できます。 Cisco NX-OS デバイスは、Remote Access Dial-In User Service(RADIUS)プロトコルまたは Terminal Access Controller Access Control System Plus(TACACS+)プロトコルをサポートします。

Cisco NX-OS は入力されたユーザ ID およびパスワードの組み合わせに基づいて、ローカル データベースによるローカル認証または許可、あるいは 1 つまたは複数の AAA サーバによるリモート認証または許可を実行します。 Cisco NX-OS デバイスと AAA サーバの間の通信は、事前共有秘密キーによって保護されます。 すべての AAA サーバ用または特定の AAA サーバ専用に共通秘密キーを設定できます。

AAA セキュリティは、次のサービスを実行します。

認証
ログインとパスワードのダイアログ、チャレンジとレスポンス、メッセージング サポート、および選択したセキュリティ プロトコルに応じた暗号化などを使用してユーザを識別します。

認証は、デバイスにアクセスする人物またはデバイスの ID を確認するプロセスです。この ID の確認は、Cisco NX-OS デバイスにアクセスするエンティティから提供されるユーザ ID とパスワードの組み合わせに基づいて行われます。 Cisco NX-OS デバイスでは、ローカル認証(ローカル ルックアップ データベースを使用)またはリモート認証(1 台または複数の RADIUS サーバまたは TACACS+ サーバを使用)を実行できます。

認可
アクセス コントロールを提供します。AAA 許可は、ユーザが何を実行する権限を与えられるかを表す一連の属性を組み立てるプロセスです。 Cisco NX-OS ソフトウェアでは、AAA サーバからダウンロードされる属性を使用して権限付与が行われます。 RADIUS や TACACS+ などのリモート セキュリティ サーバは、適切なユーザで該当する権利を定義した属性値(AV)のペアをアソシエートすることによって、ユーザに特定の権限を付与します。
アカウンティング
情報を収集する、情報をローカルのログに記録する、情報を AAA サーバに送信して課金、監査、レポート作成などを行う方法を提供します。

アカウンティング機能では、Cisco NX-OS デバイスへのアクセスに使用されるすべての管理セッションを追跡し、ログに記録して管理します。 この情報を使用して、トラブルシューティングや監査のためのレポートを生成できます。 アカウンティング ログは、ローカルに保存することもできれば、リモート AAA サーバに送信することもできます。


(注)  


Cisco NX-OS ソフトウェアでは、認証、許可、およびアカウンティングを個別にサポートしています。 たとえば、アカウンティングは設定せずに、認証と許可を設定したりできます。


AAA を使用する利点

AAA は、次のような利点を提供します。

  • アクセス設定の柔軟性と制御性の向上

  • スケーラビリティ

  • 標準化された認証方式(RADIUS、TACACS+ など)

  • 複数のバックアップ デバイス

リモート AAA サービス

RADIUS プロトコルおよび TACACS+ プロトコルを介して提供されるリモート AAA サービスには、ローカル AAA サービスと比べて次のような利点があります。

  • ファブリック内の各 Cisco NX-OS デバイスのユーザ パスワード リストの管理が容易になります。

  • AAA サーバはすでに企業内に幅広く導入されており、簡単に AAA サービスに使用できます。

  • ファブリック内のすべての Cisco NX-OS デバイスのアカウンティング ログを中央で管理できます。

  • ファブリック内の各 Cisco NX-OS デバイスのユーザ属性の管理が、Cisco NX-OS デバイスのローカル データベースを使用するよりも容易になります。

AAA サーバ グループ

認証、許可、アカウンティングのためのリモート AAA サーバは、サーバ グループを使用して指定できます。 サーバ グループとは、同じ AAA プロトコルを実装した一連のリモート AAA サーバです。 サーバ グループの目的は、リモート AAA サーバが応答できなくなったときにフェールオーバー サーバを提供することです。 グループ内の最初のリモート サーバが応答しなかった場合、いずれかのサーバが応答を送信するまで、グループ内の次のリモート サーバで試行が行われます。 サーバ グループ内のすべての AAA サーバが応答しなかった場合、そのサーバ グループ オプションは障害が発生しているものと見なされます。 必要に応じて、複数のサーバ グループを指定できます。 Cisco NX-OS デバイスは、最初のサーバ グループのすべてのサーバからエラーを受信した場合に、次のサーバ グループのサーバを試行します。

AAA サービス設定オプション

Cisco NX-OS デバイスの AAA 設定は、サービス ベースです。次のサービスごとに異なった AAA 設定を作成できます。

  • User Telnet または Secure Shell(SSH)ログイン認証

  • コンソール ログイン認証

  • Cisco TrustSec 認証

  • 802.1X 認証

  • Network Admission Control(NAC)の Extensible Authentication Protocol over User Datagram Protocol(EAPoUDP)認証

  • ユーザ管理セッション アカウンティング

  • 802.1X アカウンティング

次の表に、AAA サービス設定オプションごとに CLI(コマンドライン インターフェイス)の関連コマンドを示します。

表 1  AAA サービス コンフィギュレーション コマンド

AAA サービス コンフィギュレーション オプション

関連コマンド

Telnet または SSH ログイン

aaa authentication login default

コンソール ログイン

aaa authentication login console

Cisco TrustSec 認証

aaa authentication cts default

802.1X 認証

aaa authentication dot1x default

EAPoUDP 認証

aaa authentication eou default

ユーザ セッション アカウンティング

aaa accounting default

802.1X アカウンティング

aaa accounting dot1x default

AAA サービスには、次の認証方式を指定できます。

すべての RADIUS サーバ

RADIUS サーバのグローバル プールを使用して認証を行います。

指定サーバ グループ

設定した特定の RADIUS、TACACS+、または LDAP サーバ グループを使用して認証を行います。

ローカル

ローカルのユーザ名またはパスワード データベースを使用して認証を行います。

なし

AAA 認証が使用されないように指定します。


(注)  


「指定サーバ グループ」方式でなく、「すべての RADIUS サーバ」方式を指定した場合、Cisco NX-OS デバイスは、設定された RADIUS サーバのグローバル プールから設定の順に RADIUS サーバを選択します。 このグローバル プールから選択されるサーバは、Cisco NX-OS デバイス上で RADIUS サーバ グループに選択的に設定できるサーバです。


次の表に、AAA サービスに対応して設定できる AAA 認証方式を示します。

表 2  AAA サービスのための AAA 認証方式

AAA サービス

AAA の方式

コンソール ログイン認証

サーバ グループ、ローカル、なし

ユーザ ログイン認証

サーバ グループ、ローカル、なし

Cisco TrustSec 認証

サーバ グループのみ

802.1X 認証

サーバ グループのみ

EAPoUDP 認証

サーバ グループのみ

ユーザ管理セッション アカウンティング

サーバ グループ、ローカル

802.1X アカウンティング

サーバ グループ、ローカル


(注)  


コンソール ログイン認証、ユーザ ログイン認証、およびユーザ管理セッション アカウンティングの場合は、Cisco NX-OS デバイスが、指定された順序で各オプションを試行します。 その他の設定済みオプションが失敗した場合、ローカル オプションがデフォルト方式です。 no aaa authentication login {console | default} fallback error local コマンドを使用すると、コンソール ログインまたはデフォルト ログインの local オプションをディセーブルにできます。


ユーザ ログインのための認証および許可プロセス

図 1. ユーザ ログインでの認証と許可のフロー. 次の図に、ユーザ ログインの認証および許可プロセスのフローチャートを示します。

次に、このプロセスについて順番に説明します。

  • Cisco NX-OS デバイスにログインする場合、Telnet、SSH、またはコンソール ログインのオプションが使用できます。

  • サーバ グループ認証方式を使用して AAA サーバ グループを設定した場合は、Cisco NX-OS デバイスが、次のように認証要求をグループ内の最初の AAA サーバに送信します。

    • 特定の AAA サーバが応答しなかった場合は、その次の AAA サーバ、さらにその次へと、各サーバが順に試行されます。この処理は、リモート サーバが認証要求に応答するまで続けられます。

    • サーバ グループのすべての AAA サーバが応答しなかった場合、その次のサーバ グループのサーバが試行されます。

    • コンソール ログインでローカルへのフォールバックがディセーブルでないかぎり、設定されている認証方式がすべて失敗した場合、ローカル データベースを使用して認証が実行されます。

  • Cisco NX-OS デバイスがリモート AAA サーバでユーザの認証に成功した場合は、次のいずれかが適用されます。

    • AAA サーバ プロトコルが RADIUS の場合、cisco-av-pair 属性で指定されているユーザ ロールが認証応答とともにダウンロードされます。

    • AAA サーバ プロトコルが TACACS+ の場合、シェルのカスタム属性として指定されているユーザ ロールを取得するために、もう 1 つの要求が同じサーバに送信されます。

    • リモート AAA サーバからのユーザ ロールの取得に成功しない場合、ユーザに vdc-operator ロールが割り当てられます。

  • ローカルでユーザ名とパスワードの認証が成功した場合は、ログインが許可され、ローカル データベースに設定されているロールが割り当てられます。


(注)  


「残りのサーバ グループなし」とは、すべてのサーバ グループのいずれのサーバからも応答がないということです。 「残りのサーバなし」とは、現在のサーバ グループ内のいずれのサーバからも応答がないということです。


AES パスワード暗号化およびマスター暗号キー

強力で、反転可能な 128 ビットの高度暗号化規格(AES)パスワード暗号化(タイプ 6 暗号化ともいう)をイネーブルにすることができます。 タイプ 6 暗号化の使用を開始するには、AES パスワード暗号化機能をイネーブルにし、パスワード暗号化および復号化に使用されるマスター暗号キーを設定する必要があります。

AES パスワード暗号化をイネーブルにしてマスター キーを設定すると、タイプ 6 パスワード暗号化をディセーブルにしない限り、サポートされているアプリケーション(現在は RADIUS と TACACS+)の既存および新規作成されたクリア テキスト パスワードがすべて、タイプ 6 暗号化の形式で保存されます。 また、既存の弱いすべての暗号化パスワードをタイプ 6 暗号化パスワードに変換するように Cisco NX-OS を設定することもできます。

AAA のバーチャライゼーション サポート

デフォルトのコンソール方式と AAA アカウンティング ログを除き、すべての AAA 設定と操作は仮想デバイス コンテキスト(VDC)に対してローカルです。 コンソール ログインの AAA 認証方式の設定と操作は、デフォルト VDC に対してだけ適用されます。 AAA アカウンティング ログは、デフォルト VDC だけに存在します。 任意の VDC から内容を表示できますが、内容のクリアはデフォルト VDC で行う必要があります。

VDC の詳細については、『Cisco Nexus 7000 Series NX-OS Virtual Device Context Configuration Guide』を参照してください。

AAA のライセンス要件

次の表に、この機能のライセンス要件を示します。

製品

ライセンス要件

Cisco NX-OS

AAA にはライセンスは必要ありません。 ライセンス パッケージに含まれていない機能はすべて Cisco NX-OS システム イメージにバンドルされており、追加費用は一切発生しません。

Cisco NX-OS ライセンス方式の詳細については、『Cisco NX-OS Licensing Guide』を参照してください。

AAA の前提条件

リモート AAA サーバには、次の前提条件があります。

  • 少なくとも 1 台の RADIUS サーバ、TACACS+ サーバ、または LDAP サーバが IP を使用して到達可能であることを確認します。

  • Cisco NX-OS デバイスが AAA サーバのクライアントとして設定されていることを確認します。

  • 秘密キーが Cisco NX-OS デバイスおよびリモート AAA サーバに設定されていることを確認します。

  • リモート サーバが Cisco NX-OS デバイスからの AAA 要求に応答することを確認します。

AAA の注意事項と制約事項

AAA に関する注意事項と制約事項は次のとおりです。

  • ローカルの Cisco NX-OS デバイス上に設定されているユーザ アカウントが、AAA サーバ上のリモート ユーザ アカウントと同じ名前の場合、Cisco NX-OS ソフトウェアは、AAA サーバ上に設定されているユーザ ロールではなく、ローカル ユーザ アカウントのユーザ ロールをリモート ユーザに適用します。

AAA のデフォルト設定

次の表に、AAA パラメータのデフォルト設定を示します。

表 3  AAA パラメータのデフォルト設定

パラメータ

デフォルト

コンソール認証方式

ローカル

デフォルト認証方式

ローカル

ログイン認証失敗メッセージ

ディセーブル

CHAP 認証

ディセーブル

MSCHAP 認証

ディセーブル

デフォルト アカウンティング方式

ローカル

アカウンティング ログの表示サイズ

250 KB

AAA の設定

ここでは、Cisco NX-OS デバイスで AAA を設定する手順について説明します。


(注)  


Cisco IOS の CLI に慣れている場合、この機能に対応する Cisco NX-OS コマンドは通常使用する Cisco IOS コマンドと異なる場合があるので注意してください。


AAA の設定プロセス

AAA 認証およびアカウンティングを設定するには、次の作業を行います。

  1. 認証にリモート RADIUS、TACACS+、または LDAP サーバを使用する場合は、Cisco NX-OS デバイス上でホストを設定します。

  2. コンソール ログイン認証方式を設定します。

  3. ユーザ ログインのためのデフォルトのログイン認証方式を設定します。

  4. デフォルト AAA アカウンティングのデフォルト方式を設定します。

コンソール ログイン認証方式の設定

ここでは、コンソール ログインの認証方式を設定する方法を説明します。

認証方式には、次のものがあります。

  • RADIUS サーバのグローバル プール

  • RADIUS、TACACS+、または LDAP サーバの指定サブセット

  • Cisco NX-OS デバイスのローカル データベース

  • ユーザ名だけ(none

デフォルトの方式はローカルですが、ディセーブルにするオプションがあります


(注)  


コンソール ログインの AAA の設定と操作は、デフォルト VDC に対してだけ適用されます。



(注)  


aaa authentication コマンドの group radius および group server-name 形式は、以前に定義された RADIUS サーバのセットを参照します。 ホスト サーバを設定するには、radius server-host コマンドを使用します。 サーバの名前付きグループを作成するには、aaa group server radius コマンドを使用します。



(注)  


リモート認証がイネーブルになっているときにパスワード回復を実行すると、パスワード回復の実行後すぐにコンソール ログインのローカル認証がイネーブルになります。 そのため、新しいパスワードを使用してコンソール ポート経由で Cisco NX-OS デバイスにログインできます。 ログイン後は、引き続きローカル認証を使用するか、または AAA サーバで設定された管理者パスワードのリセット後にリモート認証をイネーブルにすることができます。 パスワード回復プロセスの詳細については、『Cisco NX-OS のパスワード回復手順』を参照してください。
はじめる前に

デフォルト VDC にいることを確認します。

必要に応じて RADIUS、TACACS+、または LDAP サーバ グループを設定します。

手順の概要

    1.    configure terminal

    2.    aaa authentication login console {group group-list [none] | local | none}

    3.    exit

    4.    (任意) show aaa authentication

    5.    (任意) copy running-config startup-config


手順の詳細
     コマンドまたはアクション目的
    ステップ 1 configure terminal


    例:
    switch# configure terminal
    switch(config)#
     

    コンフィギュレーション モードを開始します。

     
    ステップ 2 aaa authentication login console {group group-list [none] | local | none}


    例:
    switch(config)# aaa authentication login console group radius
     

    コンソールのログイン認証方式を設定します。

    group-list 引数には、グループ名をスペースで区切ったリストを指定します。 グループ名は、次のように指定します。

    radius
    RADIUS サーバのグローバル プールを使用して認証を行います。
    named-group
    RADIUS、TACACS+、または LDAP サーバの指定サブセットを使用して認証を行います。

    local 方式では、認証にローカル データベースを使用し、none 方式では、AAA 認証が使用されないように指定します。

    デフォルトのコンソール ログイン方式は local です。これは、方式が何も設定されていない場合、または設定された認証方式すべてについて応答が得られない場合に、コンソール ログインに対してローカルへのフォール バックがディセーブルでない限り、使用されます。

     
    ステップ 3 exit


    例:
    switch(config)# exit
    switch#
     

    コンフィギュレーション モードを終了します。

     
    ステップ 4 show aaa authentication


    例:
    switch# show aaa authentication
     
    (任意)

    コンソール ログイン認証方式の設定を表示します。

     
    ステップ 5 copy running-config startup-config


    例:
    switch# copy running-config startup-config
     
    (任意)

    実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

     

    デフォルトのログイン認証方式の設定

    認証方式には、次のものがあります。

    • RADIUS サーバのグローバル プール

    • RADIUS、TACACS+、または LDAP サーバの指定サブセット

    • Cisco NX-OS デバイスのローカル データベース

    • ユーザ名だけ

    デフォルトの方式はローカルですが、ディセーブルにするオプションがあります

    はじめる前に

    必要に応じて RADIUS、TACACS+、または LDAP サーバ グループを設定します。

    手順の概要

      1.    configure terminal

      2.    aaa authentication login default {group group-list [none] | local | none}

      3.    exit

      4.    (任意) show aaa authentication

      5.    (任意) copy running-config startup-config


    手順の詳細
       コマンドまたはアクション目的
      ステップ 1 configure terminal


      例:
      switch# configure terminal
      switch(config)#
       

      コンフィギュレーション モードを開始します。

       
      ステップ 2 aaa authentication login default {group group-list [none] | local | none}


      例:
      switch(config)# aaa authentication login default group radius
       

      デフォルト認証方式を設定します。

      group-list 引数には、グループ名をスペースで区切ったリストを指定します。 グループ名は、次のように指定します。

      • radius:RADIUS サーバのグローバル プールが認証に使用されます。

      • named-group:認証に RADIUS、TACACS+ または LDAP サーバの名前付きサブセットを使用します。

      local 方式では、認証にローカル データベースを使用し、none 方式では、AAA 認証が使用されないように指定します。 デフォルトのログイン方式は local です。これは、方式が何も設定されていない場合、または設定された方式すべてについて応答が得られない場合に、コンソール ログインに対してローカルのフォール バックがディセーブルでない限り、使用されます。

      次のいずれかを設定できます。
      • AAA 認証グループ

      • 認証なしの AAA 認証グループ

      • ローカル認証

      • 認証なし

      (注)     

      local キーワードは、AAA 認証グループを設定するときはサポートされません(必須ではありません)。これは、ローカル認証は、リモート サーバが到達不能の場合のデフォルトであるためです。 たとえば、aaa authentication login default group g1 を設定した場合、AAA グループ g1 を使用して認証を行うことができなければ、ローカル認証が試行されます。 これに対し、aaa authentication login default group g1 none を設定した場合、AAA グループ g1 を使用して認証を行うことができなければ、認証は実行されません。

       
      ステップ 3 exit


      例:
      switch(config)# exit
      switch#
       

      コンフィギュレーション モードを終了します。

       
      ステップ 4 show aaa authentication


      例:
      switch# show aaa authentication
       
      (任意)

      デフォルトのログイン認証方式の設定を表示します。

       
      ステップ 5 copy running-config startup-config


      例:
      switch# copy running-config startup-config
       
      (任意)

      実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

       

      ローカル認証へのフォールバックのディセーブル化

      デフォルトでは、コンソール ログインまたはデフォルト ログインのリモート認証が設定されている場合、どの AAA サーバにも到達不能なときに(認証エラーになります)、ユーザが Cisco NX-OS デバイスからロックアウトされないように、ローカル認証にフォールバックされます。 ただし、セキュリティを向上させるために、ローカル認証へのフォールバックをディセーブルにできます。


      注意    


      ローカル認証へのフォールバックをディセーブルにすると、Cisco NX-OS デバイスがロックされ、パスワード回復を実行しないとアクセスできなくなることがあります。 デバイスからロックアウトされないようにするために、ローカル認証へのフォールバックをディセーブルにする対象は、デフォルト ログインとコンソール ログインの両方ではなく、いずれかだけにすることを推奨します。



      (注)  


      コンソール ログインの AAA の設定と操作は、デフォルト VDC に対してだけ適用されます。


      はじめる前に

      コンソール ログインのリモート認証を設定する場合は、事前にデフォルト VDC にいることを確認します。 デフォルト ログインのリモート認証は、VDC 単位で設定できます。

      コンソール ログインまたはデフォルト ログインのリモート認証を設定します。

      手順の概要

        1.    configure terminal

        2.    no aaa authentication login {console | default} fallback error local

        3.    (任意) exit

        4.    (任意) show aaa authentication

        5.    (任意) copy running-config startup-config


      手順の詳細
         コマンドまたはアクション目的
        ステップ 1 configure terminal


        例:
        switch# configure terminal
        switch(config)#
         

        コンフィギュレーション モードを開始します。

         
        ステップ 2 no aaa authentication login {console | default} fallback error local


        例:
        switch(config)# no aaa authentication login console fallback error local
         

        コンソール ログインまたはデフォルト ログインについて、リモート認証が設定されている場合にどの AAA サーバにも到達不能なときに実行されるローカル認証へのフォールバックをディセーブルにします。

        ローカル認証へのフォールバックをディセーブルにすると、次のメッセージが表示されます。

        "WARNING!!! Disabling fallback can lock your switch."
         
        ステップ 3 exit


        例:
        switch(config)# exit
        switch#
         
        (任意)

        コンフィギュレーション モードを終了します。

         
        ステップ 4 show aaa authentication


        例:
        switch# show aaa authentication
         
        (任意)

        コンソール ログインおよびデフォルト ログイン認証方式の設定を表示します。

         
        ステップ 5 copy running-config startup-config


        例:
        switch# copy running-config startup-config
         
        (任意)

        実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

         

        AAA 認証のデフォルト ユーザ ロールのイネーブル化

        ユーザ ロールを持たないリモート ユーザに、デフォルトのユーザ ロールを使用して、RADIUS または TACACS+ リモート認証による Cisco NX-OS デバイスへのログインを許可できます。 AAA のデフォルトのユーザ ロール機能をディセーブルにすると、ユーザ ロールを持たないリモート ユーザはデバイスにログインできなくなります。

        この機能は必要に応じて VDC に対してイネーブルまたはディセーブルにできます。 デフォルトの VDC では、デフォルトのユーザ ロールは network-operator です。 デフォルト以外の VDC では、デフォルトの VDC は vdc-operator です。

        はじめる前に

        正しい VDC 内にいることを確認します。 VDC を切り替えるには、switchto vdc コマンドを使用します。

        手順の概要

          1.    configure terminal

          2.    aaa user default-role

          3.    exit

          4.    (任意) show aaa user default-role

          5.    (任意) copy running-config startup-config


        手順の詳細
           コマンドまたはアクション目的
          ステップ 1 configure terminal


          例:
          switch# configure terminal
          switch(config)#
           

          コンフィギュレーション モードを開始します。

           
          ステップ 2 aaa user default-role


          例:
          switch(config)# aaa user default-role
           

          AAA 認証のためのデフォルト ユーザ ロールをイネーブルにします。 デフォルトはイネーブルです。

          デフォルト ユーザ ロールの機能をディセーブルにするには、このコマンドの no の形式を使用します。

           
          ステップ 3 exit


          例:
          switch(config)# exit
          switch#
           

          コンフィギュレーション モードを終了します。

           
          ステップ 4 show aaa user default-role


          例:
          switch# show aaa user default-role
           
          (任意)

          AAA デフォルト ユーザ ロールの設定を表示します。

           
          ステップ 5 copy running-config startup-config


          例:
          switch# copy running-config startup-config
           
          (任意)

          実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

           

          ログイン認証失敗メッセージのイネーブル化

          ログイン時にリモート AAA サーバが応答しない場合、そのログインは、ローカル ユーザ データベースにロール オーバーして処理されます。 このような場合に、ログイン失敗メッセージがイネーブルになっていると、次のメッセージがユーザの端末に表示されます。

          Remote AAA servers unreachable; local authentication done.
          Remote AAA servers unreachable; local authentication failed.
          はじめる前に

          正しい VDC 内にいることを確認します。 VDC を切り替えるには、switchto vdc コマンドを使用します。

          手順の概要

            1.    configure terminal

            2.    aaa authentication login error-enable

            3.    exit

            4.    (任意) show aaa authentication

            5.    (任意) copy running-config startup-config


          手順の詳細
             コマンドまたはアクション目的
            ステップ 1 configure terminal


            例:
            switch# configure terminal
            switch(config)#
             

            コンフィギュレーション モードを開始します。

             
            ステップ 2 aaa authentication login error-enable


            例:
            switch(config)# aaa authentication login error-enable
             

            ログイン認証失敗メッセージをイネーブルにします。 デフォルトはディセーブルです。

             
            ステップ 3 exit


            例:
            switch(config)# exit
            switch#
             

            コンフィギュレーション モードを終了します。

             
            ステップ 4 show aaa authentication


            例:
            switch# show aaa authentication
             
            (任意)

            ログイン失敗メッセージの設定を表示します。

             
            ステップ 5 copy running-config startup-config


            例:
            switch# copy running-config startup-config
             
            (任意)

            実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

             

            CHAP 認証のイネーブル化

            Cisco NX-OS ソフトウェアは、チャレンジ ハンドシェーク認証プロトコル(CHAP)をサポートしています。このプロトコルは、業界標準の Message Digest(MD5)ハッシュ方式を使用して応答を暗号化する、チャレンジ レスポンス認証方式のプロトコルです。 リモート認証サーバ(RADIUS または TACACS+)を介した Cisco NX-OS デバイスへのユーザ ログインに、CHAP を使用できます。

            デフォルトでは、Cisco NX-OS デバイスとリモート サーバの間でパスワード認証プロトコル(PAP)認証が使用されます。 CHAP がイネーブルの場合は、CHAP Vendor-Specific Attribute(VSA; ベンダー固有属性)を認識するように RADIUS サーバまたは TACACS+ サーバを設定する必要があります。

            次の表に、CHAP に必要な RADIUS および TACACS+ VSA を示します。

            表 4 CHAP RADIUS および TACACS+ VSA

            ベンダー ID 番号

            ベンダー タイプ番号

            VSA

            説明

            311

            11

            CHAP-Challenge

            AAA サーバから CHAP ユーザに送信されるチャレンジを保持します。 これは、Access-Request パケットと Access-Challenge パケットの両方で使用できます。

            211

            11

            CHAP-Response

            チャレンジに対する応答として CHAP ユーザが入力した値を保持します。 Access-Request パケットだけで使用します。

            はじめる前に

            ログイン用の AAA ASCII 認証をディセーブルにします。

            手順の概要

              1.    configure terminal

              2.    no aaa authentication login ascii-authentication

              3.    aaa authentication login chap enable

              4.    (任意) exit

              5.    (任意) show aaa authentication login chap

              6.    (任意) copy running-config startup-config


            手順の詳細
               コマンドまたはアクション目的
              ステップ 1 configure terminal


              例:
              switch# configure terminal
              switch(config)#
               

              コンフィギュレーション モードを開始します。

               
              ステップ 2no aaa authentication login ascii-authentication


              例:
              switch(config)# no aaa authentication login ascii-authentication
               

              ASCII 認証をディセーブルにします。

               
              ステップ 3 aaa authentication login chap enable


              例:
              switch(config)# aaa authentication login chap enable
               

              CHAP 認証をイネーブルにします。 デフォルトはディセーブルです。

              (注)     

              Cisco NX-OS デバイスで CHAP と MSCHAP(または MSCHAP V2)の両方をイネーブルにすることはできません。

               
              ステップ 4 exit


              例:
              switch(config)# exit
              switch#
               
              (任意)

              コンフィギュレーション モードを終了します。

               
              ステップ 5 show aaa authentication login chap


              例:
              switch# show aaa authentication login chap
               
              (任意)

              CHAP の設定を表示します。

               
              ステップ 6 copy running-config startup-config


              例:
              switch# copy running-config startup-config
               
              (任意)

              実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

               

              MSCHAP または MSCHAP V2 認証のイネーブル化

              Microsoft Challenge Handshake Authentication Protocol(MSCHAP; マイクロソフト チャレンジ ハンドシェーク認証プロトコル)は、マイクロソフト版の CHAP です。 Cisco NX-OS ソフトウェアは、MSCHAP バージョン 2(MSCHAP V2)もサポートしています。 リモート認証サーバ(RADIUS または TACACS+)を介した Cisco NX-OS デバイスへのユーザ ログインに、MSCHAP を使用できます。 MSCHAP V2 では、リモート認証 RADIUS サーバを介した Cisco NX-OS デバイスへのユーザ ログインだけがサポートされます。 MSCHAP V2 の場合に TACACS+ グループを設定すると、デフォルトの AAA ログイン認証では、次に設定されている方式が使用されます。他のサーバ グループが設定されていない場合は、ローカル方式が使用されます。


              (注)  


              Cisco NX-OS ソフトウェアで、次のメッセージが表示される場合があります。

              「Warning: MSCHAP V2 is supported only with Radius.」

              この警告メッセージは単なる情報メッセージであり、RADIUS での MSCHAP V2 の動作には影響しません。


              デフォルトでは、Cisco NX-OS デバイスとリモート サーバの間でパスワード認証プロトコル(PAP)認証が使用されます。 MSCHAP または MSCHAP V2 をイネーブルにする場合は、MSCHAP および MSCHAP V2 Vendor-Specific Attribute(VSA; ベンダー固有属性)を認識するように RADIUS サーバを設定する必要があります。

              次の表に、MSCHAP に必要な RADIUS VSA を示します。

              表 5 MSCHAP および MSCHAP V2 RADIUS VSA

              ベンダー ID 番号

              ベンダー タイプ番号

              VSA

              説明

              311

              11

              MSCHAP-Challenge

              AAA サーバから MSCHAP または MSCHAP V2 ユーザに送信されるチャレンジを保持します。 これは、Access-Request パケットと Access-Challenge パケットの両方で使用できます。

              211

              11

              MSCHAP-Response

              チャレンジに対する応答として MSCHAP または MSCHAP V2 ユーザが入力した値を保持します。 Access-Request パケットでしか使用されません。

              はじめる前に

              ログイン用の AAA ASCII 認証をディセーブルにします。

              手順の概要

                1.    configure terminal

                2.    no aaa authentication login ascii-authentication

                3.    aaa authentication login {mschap | mschapv2} enable

                4.    exit

                5.    (任意) show aaa authentication login {mschap | mschapv2}

                6.    (任意) copy running-config startup-config


              手順の詳細
                 コマンドまたはアクション目的
                ステップ 1 configure terminal


                例:
                switch# configure terminal
                switch(config)#
                 

                コンフィギュレーション モードを開始します。

                 
                ステップ 2no aaa authentication login ascii-authentication


                例:
                switch(config)# no aaa authentication login ascii-authentication
                 

                ASCII 認証をディセーブルにします。

                 
                ステップ 3 aaa authentication login {mschap | mschapv2} enable


                例:
                switch(config)# aaa authentication login mschap enable
                 

                MSCHAP または MSCHAP V2 認証をイネーブルにします。 デフォルトはディセーブルです。

                (注)     

                Cisco NX-OS デバイスで MSCHAP と MSCHAP V2 の両方をイネーブルにすることはできません。

                 
                ステップ 4 exit


                例:
                switch(config)# exit
                switch#
                 

                コンフィギュレーション モードを終了します。

                 
                ステップ 5 show aaa authentication login {mschap | mschapv2}


                例:
                switch# show aaa authentication login mschap
                 
                (任意)

                MSCHAP または MSCHAP V2 の設定を表示します。

                 
                ステップ 6 copy running-config startup-config


                例:
                switch# copy running-config startup-config
                 
                (任意)

                実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                 

                マスター キーの設定および AES パスワード暗号化機能のイネーブル化

                タイプ 6 暗号化用のマスター キーを設定し、高度暗号化規格(AES)パスワード暗号化機能をイネーブルにすることができます。

                手順の概要

                  1.    [no] key config-key ascii

                  2.    configure terminal

                  3.    [no] feature password encryption aes

                  4.    (任意) show encryption service stat

                  5.    copy running-config startup-config


                手順の詳細
                   コマンドまたはアクション目的
                  ステップ 1 [no] key config-key ascii


                  例:
                  switch# key config-key ascii
                  New Master Key:
                  Retype Master Key:
                  
                   

                  マスター キーを、AES パスワード暗号化機能で使用するように設定します。 マスター キーは、16 ~ 32 文字の英数字を使用できます。 マスター キーを削除するために、いつでもこのコマンドの no 形式を使用できます。

                  マスター キーを設定する前に AES パスワード暗号化機能をイネーブルにすると、マスター キーが設定されていない限りパスワード暗号化が実行されないことを示すメッセージが表示されます。 マスター キーがすでに設定されている場合、新しいマスター キーを入力する前に現在のマスター キーを入力するように求められます。

                   
                  ステップ 2 configure terminal


                  例:
                  switch# configure terminal
                  switch(config)#
                   

                  グローバル コンフィギュレーション モードを開始します。

                   
                  ステップ 3 [no] feature password encryption aes


                  例:
                  switch(config)# feature password encryption aes
                  
                   

                  AES パスワード暗号化機能をイネーブルまたはディセーブルにします。

                   
                  ステップ 4 show encryption service stat


                  例:
                  switch(config)# show encryption service stat
                  
                   
                  (任意)

                  AES パスワード暗号化機能とマスター キーの設定ステータスを表示します。

                   
                  ステップ 5 copy running-config startup-config


                  例:
                  switch(config)# copy running-config startup-config
                  
                   

                  実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                  (注)     

                  このコマンドは、実行コンフィギュレーションとスタートアップ コンフィギュレーションのマスター キーを同期するために必要です。

                   

                  既存のパスワードのタイプ 6 暗号化パスワードへの変換

                  既存の単純で脆弱な暗号化パスワードをタイプ 6 暗号化パスワードに変換できます。

                  はじめる前に

                  AES パスワード暗号化機能をイネーブルにし、マスター キーを設定したことを確認します。

                  手順の概要

                    1.    encryption re-encrypt obfuscated


                  手順の詳細
                     コマンドまたはアクション目的
                    ステップ 1 encryption re-encrypt obfuscated


                    例:
                    switch# encryption re-encrypt obfuscated
                    
                     

                    既存の単純で脆弱な暗号化パスワードをタイプ 6 暗号化パスワードに変換します。

                     

                    タイプ 6 暗号化パスワードの元の状態への変換

                    タイプ 6 暗号化パスワードを元の状態に変換できます。

                    はじめる前に

                    マスター キーを設定したことを確認します。

                    手順の概要

                      1.    encryption decrypt type6


                    手順の詳細
                       コマンドまたはアクション目的
                      ステップ 1 encryption decrypt type6


                      例:
                      switch# encryption decrypt type6
                      Please enter current Master Key:
                      
                       

                      タイプ 6 暗号化パスワードを元の状態に変換します。

                       

                      タイプ 6 暗号化パスワードの削除

                      Cisco NX-OS デバイスからすべてのタイプ 6 暗号化パスワードを削除できます。

                      手順の概要

                        1.    encryption delete type6


                      手順の詳細
                         コマンドまたはアクション目的
                        ステップ 1 encryption delete type6


                        例:
                        switch# encryption delete type6
                        
                         

                        すべてのタイプ 6 暗号化パスワードを削除します。

                         

                        AAA アカウンティングのデフォルト方式の設定

                        Cisco NX-OS ソフトウェアは、アカウンティングに TACACS+ および RADIUS 方式をサポートします。 Cisco NX-OS デバイスは、ユーザのアクティビティを、アカウンティング レコードの形式で TACACS+ または RADIUS セキュリティ サーバにレポートします。 各アカウンティング レコードに、アカウンティング属性値(AV)のペアが入っており、それが AAA サーバに格納されます。

                        AAA アカウンティングをアクティブにすると、Cisco NX-OS デバイスは、これらの属性をアカウンティング レコードとしてレポートします。アカウンティング レコードはその後セキュリティ サーバのアカウンティング ログに保存されます。

                        特定のアカウンティング方式を定義するデフォルト方式リストを作成できます。次の方式を含めることができます。

                        RADIUS サーバ グループ
                        RADIUS サーバのグローバル プールを使用してアカウンティングを行います。
                        指定されたサーバ グループ
                        指定された RADIUS または TACACS+ サーバ グループを使用してアカウンティングを行います。
                        ローカル
                        ローカルのユーザ名またはパスワード データベースを使用してアカウンティングを行います。

                        (注)  


                        サーバ グループが設定されていて、そのサーバ グループが応答しない場合、デフォルトではローカル データベースが認証に使用されます。


                        はじめる前に

                        必要に応じて RADIUS または TACACS+ サーバ グループを設定します。

                        手順の概要

                          1.    configure terminal

                          2.    aaa accounting default {group group-list | local}

                          3.    exit

                          4.    (任意) show aaa accounting

                          5.    (任意) copy running-config startup-config


                        手順の詳細
                           コマンドまたはアクション目的
                          ステップ 1 configure terminal


                          例:
                          switch# configure terminal
                          switch(config)#
                           

                          コンフィギュレーション モードを開始します。

                           
                          ステップ 2 aaa accounting default {group group-list | local}


                          例:
                          switch(config)# aaa accounting default group radius
                           

                          デフォルトのアカウンティング方式を設定します。

                          group-list 引数には、グループ名をスペースで区切ったリストを指定します。 グループ名は、次のように指定します。

                          • radius:RADIUS サーバのグローバル プールがアカウンティングに使用されます。

                          • named-group:TACACS+ サーバまたは RADIUS サーバの名前付きサブセットがアカウンティングに使用されます。

                          local 方式では、アカウンティングにローカル データベースが使用されます。

                          デフォルトの方式は、local です。これはサーバ グループが何も設定されていない場合、または設定されたすべてのサーバ グループから応答が得られなかった場合に使用されます。

                           
                          ステップ 3 exit


                          例:
                          switch(config)# exit
                          switch#
                           

                          コンフィギュレーション モードを終了します。

                           
                          ステップ 4 show aaa accounting


                          例:
                          switch# show aaa accounting 
                           
                          (任意)

                          デフォルトの AAA アカウンティング方式の設定を表示します。

                           
                          ステップ 5 copy running-config startup-config


                          例:
                          switch# copy running-config startup-config
                           
                          (任意)

                          実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                           

                          Cisco NX-OS デバイスによる AAA サーバの VSA の使用

                          ベンダー固有属性(VSA)を使用して、AAA サーバ上で Cisco NX-OS のユーザ ロールおよび SNMPv3 パラメータを指定できます。

                          VSA について

                          Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)が、ネットワーク アクセス サーバと RADIUS サーバの間での VSA の通信のための方式を規定する標準を作成しています。 IETF は、属性 26 を使用します。 VSA を使用するとベンダーは、一般的な用途には適合しない独自の拡張属性をサポートできます。 シスコの RADIUS 実装は、この仕様で推奨される形式を使用して、1 つのベンダー固有オプションをサポートしています。 シスコのベンダー ID は 9、サポートされるオプションのベンダー タイプは 1(名前付き cisco-av-pair)です。 値は、次の形式のストリングです。

                          protocol : attribute separator value *
                          
                          

                          protocol は、特定の許可タイプを表すシスコの属性です。separator は、必須属性の場合に =(等号)、オプションの属性の場合に *(アスタリスク)です。

                          Cisco NX-OS デバイス上の認証に RADIUS サーバを使用した場合、RADIUS プロトコルでは RADIUS サーバに対して、認証結果とともに権限付与情報などのユーザ属性を返すように指示します。 この許可情報は、VSA で指定されます。

                          VSA の形式

                          Cisco NX-OS ソフトウェアでは次の VSA プロトコル オプションをサポートしています。

                          Shell
                          ユーザ プロファイル情報を提供する access-accept パケットで使用されるプロトコル。
                          Accounting
                          accounting-request パケットで使用されるプロトコル。 値にスペースが含まれている場合は、二重引用符で囲んでください。

                          次の属性が Cisco NX-OS ソフトウェアでサポートされています。

                          roles

                          ユーザに割り当てられたすべてのロールの一覧です。 値フィールドは、グループ名を空白で区切ったリストの入ったストリングです。 たとえば、ユーザが network-operator および vdc-admin のロールに属している場合、値フィールドは network-operator vdc-admin となります。 このサブ属性は Access-Accept フレームの VSA 部分に格納され、RADIUS サーバから送信されます。この属性は shell プロトコル値とだけ併用できます。 次に、ロール属性を使用する例を示します。

                          shell:roles=network-operator vdc-admin 
                          shell:roles*network-operator vdc-admin
                          
                          

                          次に、FreeRADIUS でサポートされるロール属性の例を示します。

                          Cisco-AVPair = shell:roles=\network-operator vdc-admin\ 
                          Cisco-AVPair = shell:roles*\network-operator vdc-admin\ 
                          
                          

                          (注)  


                          VSA を shell:roles*"network-operator vdc-admin" または "shell:roles*\"network-operator vdc-admin\"" として指定した場合、この VSA はオプション属性としてフラグ設定され、他のシスコ デバイスはこの属性を無視します。


                          accountinginfo
                          標準の RADIUS アカウンティング プロトコルに含まれる属性とともにアカウンティング情報を格納します。 この属性が送信されるのは、スイッチ上の RADIUS クライアントからの Account-Request フレームの VSA 部分内だけです。この属性は、アカウンティング プロトコル関連の PDU でしか使用できません。

                          AAA サーバ上での Cisco NX-OS のユーザ ロールおよび SNMPv3 パラメータの指定

                          AAA サーバ上で VSA に cisco-av-pair を使用して、次の形式で Cisco NX-OS デバイスのユーザ ロールのマッピングを指定できます。

                          shell:roles="roleA roleB …"
                          
                          

                          cisco-av-pair 属性にロール オプションを指定しなかった場合のデフォルトのユーザ ロールは、network-operator です。

                          次のように SNMPv3 認証とプライバシー プロトコル属性を指定することもできます。

                          shell:roles="roleA roleB..." snmpv3:auth=SHA priv=AES-128 
                          
                          

                          SNMPv3 認証プロトコルに指定できるオプションは、SHA と MD5 です。 プライバシー プロトコルに指定できるオプションは、AES-128 と DES です。 cisco-av-pair 属性にこれらのオプションを指定しなかった場合のデフォルトの認証プロトコルは、MD5 と DES です。

                          ローカル AAA アカウンティング ログのモニタリングとクリア

                          Cisco NX-OS デバイスは、AAA アカウンティングのアクティビティに関するローカル ログを維持しています。 このログはモニタリングしたりクリアしたりできます。


                          (注)  


                          AAA アカウンティング ログは、デフォルト VDC に対してローカルです。 任意の VDC から内容をモニタリングできますが、内容のクリアはデフォルト VDC で行う必要があります。


                          手順の概要

                            1.    show accounting log [size | last-index | start-seqnum number | start-time year month day hh:mm:ss]

                            2.    (任意) clear accounting log [logflash]


                          手順の詳細
                             コマンドまたはアクション目的
                            ステップ 1 show accounting log [size | last-index | start-seqnum number | start-time year month day hh:mm:ss]


                            例:
                            switch# show accounting log
                             

                            アカウンティング ログを表示します。 このコマンド出力には、デフォルトで最大 250,000 バイトのアカウンティング ログが表示されます。 コマンドの出力を制限する場合は、size 引数を使用します。 指定できる範囲は 0 ~ 250000 バイトです。 また、ログ出力の開始シーケンス番号または開始時間を指定できます。開始インデックスの範囲は、1 ~ 1000000 です。 アカウンティング ログ ファイルにある最後のインデックス番号の値を表示するには、last-index キーワードを使用します。

                             
                            ステップ 2 clear accounting log [logflash]


                            例:
                            switch# clear aaa accounting log
                             
                            (任意)

                            アカウンティング ログの内容をクリアします。 logflash キーワードは現在の VDC のログ フラッシュに保存されているアカウンティング ログをクリアします。

                             

                            AAA 設定の確認

                            AAA の設定情報を表示するには、次のいずれかの作業を行います。

                            コマンド

                            目的

                            show aaa accounting

                            AAA アカウンティングの設定を表示します。

                            show aaa authentication [login {ascii-authentication | chap | error-enable | mschap | mschapv2}]

                            AAA 認証ログイン設定情報を表示します。

                            show aaa groups

                            AAA サーバ グループの設定を表示します。

                            show running-config aaa [all]

                            実行コンフィギュレーションの AAA 設定を表示します。

                            show startup-config aaa

                            スタートアップ コンフィギュレーションの AAA 設定を表示します。

                            これらのコマンド出力のフィールドの詳細については、『Cisco Nexus 7000 Series NX-OS Security Command Reference』を参照してください。

                            AAA の設定例

                            次に、AAA を設定する例を示します。

                            aaa authentication login default group radius 
                            aaa authentication login console group radius 
                            aaa accounting default group radius
                            
                            

                            AAA に関する追加情報

                            ここでは、AAA の実装に関する追加情報について説明します。

                            関連資料

                            関連項目

                            参照先

                            Cisco NX-OS ライセンス設定

                            『Cisco NX-OS Licensing Guide』

                            コマンド リファレンス

                            『Cisco Nexus 7000 Series NX-OS Security Command Reference』

                            SNMP

                            『Cisco Nexus 7000 Series NX-OS System Management Configuration Guide』

                            標準

                            標準

                            タイトル

                            この機能では、新規の標準がサポートされることも、一部変更された標準がサポートされることもありません。また、既存の標準に対するサポートが変更されることもありません。

                            MIB

                            MIB

                            MIB のリンク

                            • CISCO-AAA-SERVER-MIB

                            • CISCO-AAA-SERVER-EXT-MIB

                            MIB を検索およびダウンロードするには、次の URL にアクセスしてください。

                            http:/​/​www.cisco.com/​public/​sw-center/​netmgmt/​cmtk/​mibs.shtml

                            AAA 機能の履歴

                            次の表に、この機能のリリースの履歴を示します。

                            表 6  AAA 機能の履歴

                            機能名

                            リリース

                            機能情報

                            AAA

                            6.0(1)

                            Release 5.2 以降、変更はありません。

                            AAA

                            5.2(1)

                            リリース 5.1 からの変更はありません。

                            AAA

                            5.1(1)

                            Release 5.0 以降、変更はありません。

                            CHAP 認証

                            5.0(2)

                            CHAP 認証のイネーブル化またはディセーブル化のサポートが追加されました。

                            ローカル認証

                            5.0(2)

                            リモート認証が失敗したときに、ローカル認証へのフォールバックをイネーブルにすることがサポートされるようになりました。

                            ローカル認証

                            5.0(2)

                            ローカル認証へのフォールバックをディセーブルにすることがサポートされるようになりました。