Cisco Nexus 7000 シリーズ NX-OS セキュリティ コンフィギュレーション ガイド リリース 6.x
RADIUS の設定
RADIUS の設定

目次

RADIUS の設定

この章では、Cisco NX-OS デバイスで Remote Access Dial-In User Service(RADIUS)プロトコルを設定する手順について説明します。

この章は、次の項で構成されています。

RADIUS について

RADIUS 分散クライアント/ サーバ システムを使用すると、不正アクセスからネットワークを保護できます。 シスコの実装では、RADIUS クライアントは Cisco NX-OS デバイス上で稼働します。認証要求とアカウンティング要求は、すべてのユーザ認証情報とネットワーク サービス アクセス情報が格納されている中央の RADIUS サーバに送信されます。

RADIUS ネットワーク環境

RADIUS は、高度なセキュリティを必要とし、同時にリモート ユーザのネットワーク アクセスを維持する必要があるさまざまなネットワーク環境に実装できます。

RADIUS は、アクセス セキュリティを必要とする次のネットワーク環境で使用します。

  • RADIUS をサポートしている複数ベンダーのネットワーク デバイスを使用したネットワーク たとえば、複数ベンダーのネットワーク デバイスで、単一の RADIUS サーバ ベースのセキュリティ データベースを使用できます。

  • すでに RADIUS を使用中のネットワーク。 RADIUS 機能を持つ Cisco NX-OS デバイスをネットワークに追加できます。 この作業は、AAA サーバに移行するときの最初の手順になります。

  • リソース アカウンティングが必要なネットワーク。 RADIUS アカウンティングは、RADIUS 認証または RADIUS 許可とは個別に使用できます。 RADIUS アカウンティング機能を使用すると、サービスの開始および終了時に、セッション中に使用したリソース(時間、パケット、バイトなど)の量を示すデータを送信できます。 インターネット サービス プロバイダー(ISP)は、RADIUS アクセス コントロールおよびアカウンティング用ソフトウェアのフリーウェア版を使用して、特殊なセキュリティおよび課金ニーズに対応しています。

  • 認証プロファイルをサポートするネットワーク ネットワークで RADIUS サーバを使用すると、AAA 認証を設定し、ユーザごとのプロファイルをセットアップできます。 ユーザ単位のプロファイルにより、既存の RADIUS ソリューションを使用するポートの管理性が向上し、共有リソースを効率的に管理して、各種のサービスレベル契約を提供できるようになります。

RADIUS の動作

RADIUS を使用する Cisco NX-OS デバイスに、ユーザがログインおよび認証を試みると、次の処理が行われます。

  • ユーザが、ユーザ名とパスワードの入力を求められ、入力します。

  • ユーザ名および暗号化されたパスワードが、ネットワーク経由で RADIUS サーバに送信されます。

  • ユーザは、RADIUS サーバから次のいずれかの応答を受信します。

    ACCEPT
    ユーザが認証されました。
    REJECT
    ユーザは認証されず、ユーザ名とパスワードの再入力を求められるか、アクセスを拒否されます。
    CHALLENGE
    RADIUS サーバによってチャレンジが発行されます。 チャレンジは、ユーザから追加データを収集します。
    CHANGE PASSWORD
    RADIUS サーバからユーザに、新しいパスワードを選択するよう要求が発行されます。

ACCEPT または REJECT 応答には、EXEC またはネットワーク許可に使用される追加データが含まれています。 RADIUS 許可を使用するには、まず RADIUS 認証を完了する必要があります。 ACCEPT または REJECT パケットに含まれる追加データの内容は次のとおりです。

  • ユーザがアクセス可能なサービス(Telnet、rlogin、または local-area transport(LAT; ローカルエリア トランスポート)接続、PPP(ポイントツーポイント プロトコル)、シリアル ライン インターネット プロトコル(SLIP)、EXEC サービスなど)

  • 接続パラメータ(ホストまたはクライアントの IPv4 または IPv6 アドレス、アクセス リスト、ユーザ タイムアウト)

RADIUS サーバ モニタリング

応答しない RADIUS サーバがあると、AAA 要求の処理が遅れることがあります。 AAA 要求の処理時間を短縮するために、定期的に RADIUS サーバをモニタして RADIUS サーバが応答している(アライブ)かどうかを調べるように、Cisco NX-OS を設定できます。 Cisco NX-OS デバイスは、応答の遅い RADIUS サーバをデッド(dead)としてマークし、デッド RADIUS サーバには AAA 要求を送信しません。 Cisco NX-OS デバイスは、デッド RADIUS サーバを定期的にモニタし、応答があればアライブ状態に戻します。 このモニタリング プロセスでは、実際の AAA 要求が送信される前に、RADIUS サーバが稼働状態であることを確認します。 RADIUS サーバがデッドまたはアライブの状態に変わると簡易ネットワーク管理プロトコル(SNMP)トラップが生成され、Cisco NX-OS デバイスは障害が発生していることをエラー メッセージで表示します。

図 1. RADIUS サーバの状態. 次の図に、RADIUS サーバ モニタリングの状態を示します。


(注)  


アライブ サーバとデッド サーバのモニタリング間隔は異なります。これらはユーザが設定できます。 RADIUS サーバ モニタリングを実行するには、テスト認証要求を RADIUS サーバに送信します。


RADIUS 設定の配布

Cisco Fabric Services(CFS)を使用すると、Cisco NX-OS デバイスからネットワーク上の他の Cisco NX-OS デバイスに RADIUS 設定を配布できます。 使用しているデバイスにおいて、ある機能に対して CFS 配布をイネーブルにすると、そのデバイスは CFS 領域に属します。この CFS 領域には、その機能に対して CFS 配布をイネーブルにしているネットワーク上の他のデバイスが含まれます。 RADIUS に対する CFS 配布はデフォルトではディセーブルになっています。


(注)  


設定変更を配布する場合は、RADIUS に対する CFS を各デバイスで明示的にイネーブルにする必要があります。


使用している Cisco NX-OS デバイスで RADIUS に対する CFS 配布をイネーブルにした後、最初に入力した RADIUS コンフィギュレーション コマンドによって、Cisco NX-OS ソフトウェアで次の処理が行われます。

  • Cisco NX-OS デバイスで CFS セッションを作成します。

  • RADIUS に対する CFS がイネーブルにされている CFS 領域で、すべての Cisco NX-OS デバイスの RADIUS 設定をロックします。

  • RADIUS の設定変更を Cisco NX-OS デバイスの一時バッファに保存します。

この変更は、CFS 領域にあるデバイスに対して配布するよう明示的にコミットするまで、Cisco NX-OS デバイスの一時バッファに存在します。 変更をコミットすると、Cisco NX-OS ソフトウェアが次の処理を実行します。

  • Cisco NX-OS デバイスの実行コンフィギュレーションに変更を適用します。

  • 更新された RADIUS 設定を CFS 領域内にある他の Cisco NX-OS デバイスに配布します。

  • CFS 領域内にある他のデバイスの RADIUS 設定のロックを解除します。

  • CFS セッションを終了します。

CFS では RADIUS サーバ グループの設定またはサーバ キーとグローバル キーは配布しません。 キーは Cisco NX-OS デバイスに対して一意であり、他の Cisco NX-OS デバイスと共有できません。

CFS の詳細については、『Cisco Nexus 7000 Series NX-OS System Management Configuration Guide』を参照してください。

ベンダー固有属性

インターネット技術特別調査委員会(IETF)が、ネットワーク アクセス サーバと RADIUS サーバの間での VSA の通信のための方式を規定する標準を作成しています。 IETF は、属性 26 を使用します。 VSA を使用するとベンダーは、一般的な用途には適合しない独自の拡張属性をサポートできます。 シスコの RADIUS 実装は、この仕様で推奨される形式を使用して、1 つのベンダー固有オプションをサポートしています。 シスコのベンダー ID は 9、サポートされるオプションのベンダー タイプは 1(名前付き cisco-av-pair)です。 値は、次の形式のストリングです。

protocol : attribute separator value *

protocol は、特定の許可タイプを表すシスコの属性です。separator は、必須属性の場合は =(等号)、オプションの属性の場合は *(アスタリスク)です。

Cisco NX-OS デバイス上の認証に RADIUS サーバを使用した場合、RADIUS プロトコルでは RADIUS サーバに対して、認証結果とともに権限付与情報などのユーザ属性を返すように指示します。 この許可情報は、VSA で指定されます。

Cisco NX-OS ソフトウェアでは次の VSA プロトコル オプションをサポートしています。

Shell
ユーザ プロファイル情報を提供する access-accept パケットで使用されるプロトコル。
Accounting
accounting-request パケットで使用されるプロトコル。 値にスペースが含まれている場合は、二重引用符で囲む必要があります。

Cisco NX-OS ソフトウェアは、次の属性をサポートしています。

roles
ユーザが属するすべてのロールの一覧です。 値フィールドは、スペースで区切られたロール名を一覧表示したストリングです。 たとえば、ユーザが network-operator および vdc-admin のロールに属している場合、値フィールドは network-operator vdc-admin となります。 このサブ属性は Access-Accept フレームの VSA 部分に格納され、RADIUS サーバから送信されます。この属性はシェル プロトコル値とだけ併用できます。 次に、Cisco Access Control Server(ACS)でサポートされるロール属性の例を示します。
shell:roles=network-operator vdc-admin 

shell:roles*“network-operator vdc-admin

次に、FreeRADIUS でサポートされるロール属性の例を示します。

Cisco-AVPair = shell:roles=\network-operator vdc-admin\

Cisco-AVPair = shell:roles*\network-operator vdc-admin\


(注)  


VSA を shell:roles*"network-operator vdc-admin" または "shell:roles*\"network-operator vdc-admin\"" として指定した場合、この VSA はオプション属性としてフラグ設定され、他のシスコ デバイスはこの属性を無視します。


accountinginfo
標準の RADIUS アカウンティング プロトコルに含まれる属性とともにアカウンティング情報を格納します。 この属性は、スイッチ上の RADIUS クライアントからの Account-Request フレームの VSA 部分だけに送信されます。 この属性と共に使用できるのは、アカウンティングの Protocol Data Unit(PDU; プロトコル データ ユニット)だけです。

RADIUS のバーチャライゼーション サポート

RADIUS の設定と操作は、仮想デバイス コンテキスト(VDC)に対してローカルです。 VDC の詳細については、『Cisco Nexus 7000 Series NX-OS Virtual Device Context Configuration Guide』を参照してください。

Cisco NX-OS デバイスは、仮想ルーティング/転送(VRF)インスタンスを使用して RADIUS サーバにアクセスします。 VRF の詳細情報については、『Cisco Nexus 7000 Series NX-OS Unicast Routing Configuration Guide』を参照してください。

RADIUS のライセンス要件

次の表に、この機能のライセンス要件を示します。

製品

ライセンス要件

Cisco NX-OS

RADIUS にはライセンスは必要ありません。 ライセンス パッケージに含まれていない機能はすべて Cisco NX-OS システム イメージにバンドルされており、追加費用は一切発生しません。

Cisco NX-OS ライセンス方式の詳細については、『Cisco NX-OS Licensing Guide』を参照してください。

RADIUS の前提条件

RADIUS には、次の前提条件があります。

  • RADIUS サーバの IPv4 または IPv6IP アドレスまたはホスト名を取得していること。

  • RADIUS サーバからキーを取得すること。

  • Cisco NX-OS デバイスが AAA サーバの RADIUS クライアントとして設定されていることを確認します。

RADIUS の注意事項と制約事項

RADIUS に関する注意事項と制約事項は次のとおりです。

  • Cisco NX-OS デバイス上には最大 64 の RADIUS サーバを設定できます。

  • ローカルの Cisco NX-OS デバイス上に設定されているユーザ アカウントが、AAA サーバ上のリモート ユーザ アカウントと同じ名前の場合、Cisco NX-OS ソフトウェアは、AAA サーバ上に設定されているユーザ ロールではなく、ローカル ユーザ アカウントのユーザ ロールをリモート ユーザに適用します。

  • ワンタイム パスワードをサポートするのは RADIUS プロトコルだけです。

RADIUS のデフォルト設定

次の表に、RADIUS パラメータのデフォルト設定を示します。

表 1  RADIUS パラメータのデフォルト設定

パラメータ

デフォルト

サーバの役割

認証とアカウンティング

デッド タイマー間隔

0 分

再送信回数

1

再送信タイマー間隔

5 秒

認証ポート

1812

アカウンティング ポート

1813

アイドル タイマー間隔

0 分

サーバの定期的モニタリングのユーザ名

test

サーバの定期的モニタリングのパスワード

test

RADIUS サーバの設定

ここでは、Cisco NX-OS デバイスで RADIUS サーバを設定する手順を説明します。


(注)  


Cisco IOS の CLI に慣れている場合、この機能に対応する Cisco NX-OS コマンドは通常使用する Cisco IOS コマンドと異なる場合があるので注意してください。


RADIUS サーバの設定プロセス

  1. 必要に応じて、RADIUS のための CFS 配布機能をイネーブルにします。

  2. RADIUS サーバと Cisco NX-OS デバイスの接続を確立します。

  3. RADIUS サーバの RADIUS 秘密キーを設定します。

  4. 必要に応じて、AAA 認証方式用に、RADIUS サーバのサブセットを使用して RADIUS サーバ グループを設定します。

  5. 必要に応じて、次のオプションのパラメータを設定します。

    • デッドタイム間隔

    • ユーザ ログイン時の RADIUS サーバの指定の許可

    • タイムアウト間隔

    • TCP ポート

  6. (任意)RADIUS 設定の配布がイネーブルになっている場合は、ファブリックに対して RADIUS 設定をコミットします。

RADIUS 設定の配布のイネーブル化

RADIUS 設定の配布がイネーブルになっている Cisco NX-OS デバイスだけが、CFS 領域内での RADIUS 設定変更の配布に参加できます。

はじめる前に

CFS 配布がイネーブルになっていることを確認します。

手順の概要

    1.    configure terminal

    2.    radius distribute

    3.    exit

    4.    (任意) show radius status

    5.    (任意) copy running-config startup-config


手順の詳細
     コマンドまたはアクション目的
    ステップ 1 configure terminal


    例:
    switch# configure terminal
    switch(config)#
     

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 2 radius distribute


    例:
    switch(config)# radius distribute
     

    RADIUS 設定の配布をイネーブルにします。 デフォルトはディセーブルです。

     
    ステップ 3 exit


    例:
    switch(config)# exit
    switch#
     

    コンフィギュレーション モードを終了します。

     
    ステップ 4 show radius status


    例:
    switch(config)# show radius status
     
    (任意)

    RADIUS CFS 配布の設定を表示します。

     
    ステップ 5 copy running-config startup-config


    例:
    switch# copy running-config startup-config
     
    (任意)

    実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

     

    RADIUS サーバ ホストの設定

    リモートの RADIUS サーバにアクセスするには、RADIUS サーバの IP アドレスまたはホスト名を設定する必要があります。 最大 64 の RADIUS サーバを設定できます。


    (注)  


    RADIUS サーバの IP アドレスまたはホスト名を Cisco NX-OS デバイスに設定するとき、デフォルトでは RADIUS サーバはデフォルトの RADIUS サーバ グループに追加されます。 RADIUS サーバを別の RADIUS サーバ グループに追加することもできます。


    はじめる前に

    サーバがすでにサーバ グループのメンバーとして設定されていることを確認します。

    サーバが RADIUS トラフィックを認証するよう設定されていることを確認します。

    Cisco NX-OS デバイスが AAA サーバの RADIUS クライアントとして設定されていることを確認します。

    手順の概要

      1.    configure terminal

      2.    radius-server host {ipv4-address | ipv6-address | host-name}

      3.    (任意) show radius {pending | pending-diff}

      4.    (任意) radius commit

      5.    exit

      6.    (任意) show radius-server

      7.    (任意) copy running-config startup-config


    手順の詳細
       コマンドまたはアクション目的
      ステップ 1 configure terminal


      例:
      switch# configure terminal
      switch(config)#
       

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 2 radius-server host {ipv4-address | ipv6-address | host-name}


      例:
      switch(config)# radius-server host 10.10.1.1
       

      認証に使用する RADIUS サーバの IPv4 または IPv6 アドレスまたはホスト名を指定します。

       
      ステップ 3 show radius {pending | pending-diff}


      例:
      switch(config)# show radius pending
       
      (任意)

      配布するために保留状態になっている RADIUS 設定を表示します。

       
      ステップ 4 radius commit


      例:
      switch(config)# radius commit
       
      (任意)

      CFS によるユーザ ロール設定の配布機能をイネーブルにしている場合は、一時データベース内にある RADIUS の設定変更を実行コンフィギュレーションに適用して、RADIUS 設定を他の Cisco NX-OS デバイスに配布します。

       
      ステップ 5 exit


      例:
      switch(config)# exit
      switch#
       

      コンフィギュレーション モードを終了します。

       
      ステップ 6 show radius-server


      例:
      switch# show radius-server
       
      (任意)

      RADIUS サーバの設定を表示します。

       
      ステップ 7 copy running-config startup-config


      例:
      switch# copy running-config startup-config
       
      (任意)

      実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

       

      グローバル RADIUS キーの設定

      Cisco NX-OS デバイスで使用するすべてのサーバの RADIUS キーを設定できます。 RADIUS キーは、Cisco NX-OS デバイスと RADIUS サーバ ホストの間の共有秘密テキスト ストリングです。


      (注)  


      CFS では RADIUS キーは配布しません。


      はじめる前に

      リモート RADIUS サーバの RADIUS キーの値を取得します。

      リモート RADIUS サーバに RADIUS キーを設定します。

      手順の概要

        1.    configure terminal

        2.    radius-server key [0 | 6 | 7] key-value

        3.    exit

        4.    (任意) show radius-server

        5.    (任意) copy running-config startup-config


      手順の詳細
         コマンドまたはアクション目的
        ステップ 1 configure terminal


        例:
        switch# configure terminal
        switch(config)#
         

        グローバル コンフィギュレーション モードを開始します。

         
        ステップ 2 radius-server key [0 | 6 | 7] key-value


        例:
        switch(config)# radius-server key 0 QsEfThUkO
         

        すべての RADIUS サーバ用の RADIUS キーを指定します。 key-value がクリアテキスト(0の形式か、タイプ 6 暗号化(6形式か、タイプ 7 暗号化(7)形式かを指定できます。 Cisco NX-OS ソフトウェアでは、実行コンフィギュレーションに保存する前にクリア テキストのキーを暗号化します。 デフォルトの形式はクリア テキストです。 最大で 63 文字の長さまで指定可能です。

        デフォルトでは、RADIUS キーは設定されません。

         
        ステップ 3 exit


        例:
        switch(config)# exit
        switch#
         

        コンフィギュレーション モードを終了します。

         
        ステップ 4 show radius-server


        例:
        switch# show radius-server
         
        (任意)

        RADIUS サーバの設定を表示します。

        (注)     

        RADIUS キーは実行コンフィギュレーションに暗号化された形式で保存されます。 暗号化された RADIUS キーを表示するには、show running-config コマンドを使用します。

         
        ステップ 5 copy running-config startup-config


        例:
        switch# copy running-config startup-config
         
        (任意)

        実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

         

        特定の RADIUS サーバ用のキーの設定

        Cisco NX-OS デバイスで特定の RADIUS サーバ用のキーを設定できます。 RADIUS キーは、Cisco NX-OS デバイスと特定の RADIUS サーバとの間で共有する秘密テキスト ストリングです。

        はじめる前に

        1 つまたは複数の RADIUS サーバ ホストを設定します。

        リモート RADIUS サーバのキーの値を取得します。

        RADIUS サーバにキーを設定します。

        手順の概要

          1.    configure terminal

          2.    radius-server host {ipv4-address | ipv6-address | host-name} key [0 | 6 | 7] key-value

          3.    exit

          4.    (任意) show radius-server

          5.    (任意) copy running-config startup-config


        手順の詳細
           コマンドまたはアクション目的
          ステップ 1 configure terminal


          例:
          switch# configure terminal
          switch(config)#
           

          グローバル コンフィギュレーション モードを開始します。

           
          ステップ 2 radius-server host {ipv4-address | ipv6-address | host-name} key [0 | 6 | 7] key-value


          例:
          switch(config)# radius-server host 10.10.1.1 key 0 PlIjUhYg
           

          特定の RADIUS サーバ用の RADIUS キーを指定します。 key-value がクリアテキスト(0の形式か、タイプ 6 暗号化(6形式か、タイプ 7 暗号化(7)形式かを指定できます。 Cisco NX-OS ソフトウェアでは、実行コンフィギュレーションに保存する前にクリア テキストのキーを暗号化します。 デフォルトの形式はクリア テキストです。 最大で 63 文字です。

          この RADIUS キーが グローバル RADIUS キーの代わりに使用されます。

           
          ステップ 3 exit


          例:
          switch(config)# exit
          switch#
           

          設定モードを終了します。

           
          ステップ 4 show radius-server


          例:
          switch# show radius-server
           
          (任意)

          RADIUS サーバの設定を表示します。

          (注)     

          RADIUS キーは実行コンフィギュレーションに暗号化された形式で保存されます。 暗号化された RADIUS キーを表示するには、show running-config コマンドを使用します。

           
          ステップ 5 copy running-config startup-config


          例:
          switch# copy running-config startup-config
           
          (任意)

          実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

           

          RADIUS サーバ グループの設定

          サーバ グループを使用して、1 台または複数台のリモート AAA サーバによる認証を指定できます。 グループのメンバーはすべて、RADIUS プロトコルに属している必要があります。 設定した順序に従ってサーバが試行されます。 VDC には最大 100 のサーバ グループを設定できます。

          これらのサーバ グループはいつでも設定できますが、設定したグループを有効にするには、AAA サービスに適用する必要があります。


          (注)  


          CFS では RADIUS サーバ グループの設定は配布しません。


          はじめる前に

          グループ内のすべてのサーバが RADIUS サーバであることを確認します。

          手順の概要

            1.    configure terminal

            2.    aaa group server radius group-name

            3.    server {ipv4-address | ipv6-address | host-name}

            4.    (任意) deadtime minutes

            5.    (任意) server {ipv4-address | ipv6-address | host-name}

            6.    (任意) use-vrf vrf-name

            7.    exit

            8.    (任意) show radius-server groups [group-name]

            9.    (任意) copy running-config startup-config


          手順の詳細
             コマンドまたはアクション目的
            ステップ 1 configure terminal


            例:
            switch# configure terminal
            switch(config)#
             

            グローバル コンフィギュレーション モードを開始します。

             
            ステップ 2 aaa group server radius group-name


            例:
            switch(config)# aaa group server radius RadServer
            switch(config-radius)#
             

            RADIUS サーバ グループを作成し、そのグループの RADIUS サーバ グループ コンフィギュレーション サブモードを開始します。 group-name 引数は、最大 127 文字の長さの英数字のストリングで、大文字小文字が区別されます。

             
            ステップ 3 server {ipv4-address | ipv6-address | host-name}


            例:
            switch(config-radius)# server 10.10.1.1
             

            RADIUS サーバを、RADIUS サーバ グループのメンバーとして設定します。

            指定した RADIUS サーバが見つからない場合は、radius-server host コマンドを使用してサーバを設定し、このコマンドをもう一度実行します。

             
            ステップ 4 deadtime minutes


            例:
            switch(config-radius)# deadtime 30
             
            (任意)

            モニタリング デッド タイムを設定します。 デフォルト値は 0 分です。 指定できる範囲は 1 ~ 1440 です。

            (注)     

            RADIUS サーバ グループのデッド タイム間隔が 0 より大きい場合は、この値がグローバルなデッド タイム値より優先されます。

             
            ステップ 5 server {ipv4-address | ipv6-address | host-name}


            例:
            switch(config-radius)# server 10.10.1.1
             
            (任意)

            RADIUS サーバを、RADIUS サーバ グループのメンバーとして設定します。

            ヒント   

            指定した RADIUS サーバが見つからない場合は、radius-server host コマンドを使用してサーバを設定し、このコマンドをもう一度実行します。

             

            ステップ 6 use-vrf vrf-name


            例:
            switch(config-radius)# use-vrf vrf1
             
            (任意)

            サーバ グループ内のサーバとの接続に使用する VRF を指定します。

             
            ステップ 7 exit


            例:
            switch(config-radius)# exit
            switch(config)#
             

            コンフィギュレーション モードを終了します。

             
            ステップ 8 show radius-server groups [group-name]


            例:
            switch(config)# show radius-server groups
             
            (任意)

            RADIUS サーバ グループの設定を表示します。

             
            ステップ 9 copy running-config startup-config


            例:
            switch(config)# copy running-config startup-config
             
            (任意)

            実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

             

            RADIUS サーバ グループのためのグローバル発信元インターフェイスの設定

            RADIUS サーバ グループにアクセスする際に使用する、RADIUS サーバ グループ用のグローバル発信元インターフェイスを設定できます。 また、特定の RADIUS サーバ グループ用に異なる発信元インターフェイスを設定することもできます。 デフォルトでは、Cisco NX-OS ソフトウェアは使用可能なあらゆるインターフェイスを使用します。

            手順の概要

              1.    configure terminal

              2.    ip radius source-interface interface

              3.    exit

              4.    (任意) show radius-server

              5.    (任意) copy running-config startup config


            手順の詳細
               コマンドまたはアクション目的
              ステップ 1 configure terminal


              例:
              switch# configure terminal
              switch(config)
               

              グローバル コンフィギュレーション モードを開始します。

               
              ステップ 2 ip radius source-interface interface


              例:
              switch(config)# ip radius source-interface mgmt 0
               

              このデバイスで設定されているすべての RADIUS サーバ グループ用のグローバル発信元インターフェイスを設定します。

               
              ステップ 3exit


              例:
              switch(config)# exit
              switch#
               

              コンフィギュレーション モードを終了します。

               
              ステップ 4show radius-server


              例:
              switch# show radius-server
               
              (任意)

              RADIUS サーバの設定情報を表示します。

               
              ステップ 5copy running-config startup config


              例:
              switch# copy running-config startup-config
               
              (任意)

              実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

               

              ログイン時にユーザによる RADIUS サーバの指定を許可

              デフォルトでは、Cisco NX-OS デバイスはデフォルト AAA 認証方式に基づいて認証要求を転送します。 Cisco NX-OS デバイス上で directed-request(誘導要求)オプションをイネーブルにすることにより、認証要求の送信先の VRF および RADIUS サーバをユーザが指定できるようになります。 このオプションをイネーブルにした場合、ユーザは username@vrfname:hostname としてログインできます。ここで、vrfname は使用する VRF、hostname は設定された RADIUS サーバの名前です。


              (注)  


              directed-request オプションをイネーブルにすると、Cisco NX-OS デバイスでは認証に RADIUS 方式だけを使用し、デフォルトのローカル方式は使用しないようになります。



              (注)  


              ユーザ指定のログインは Telnet セッションに限りサポートされます。


              手順の概要

                1.    configure terminal

                2.    radius-server directed-request

                3.    (任意) show radius {pending | pending-diff}

                4.    (任意) radius commit

                5.    exit

                6.    (任意) show radius-server directed-request

                7.    (任意) copy running-config startup-config


              手順の詳細
                 コマンドまたはアクション目的
                ステップ 1 configure terminal


                例:
                switch# configure terminal
                switch(config)#
                 

                グローバル コンフィギュレーション モードを開始します。

                 
                ステップ 2 radius-server directed-request


                例:
                switch(config)# radius-server directed-request
                 

                ログイン時にユーザが認証要求の送信先となる RADIUS サーバを指定できるようにします。 デフォルトはディセーブルです。

                 
                ステップ 3 show radius {pending | pending-diff}


                例:
                switch(config)# show radius pending
                 
                (任意)

                配布するために保留状態になっている RADIUS 設定を表示します。

                 
                ステップ 4 radius commit


                例:
                switch(config)# radius commit
                 
                (任意)

                CFS によるユーザ ロール設定の配布機能をイネーブルにしている場合は、一時データベース内にある RADIUS の設定変更を実行コンフィギュレーションに適用して、RADIUS 設定を他の Cisco NX-OS デバイスに配布します。

                 
                ステップ 5 exit


                例:
                switch(config)# exit
                switch#
                 

                コンフィギュレーション モードを終了します。

                 
                ステップ 6 show radius-server directed-request


                例:
                switch# show radius-server directed-request
                 
                (任意)

                directed request の設定を表示します。

                 
                ステップ 7 copy running-config startup-config


                例:
                switch# copy running-config startup-config
                 
                (任意)

                実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                 
                関連コンセプト

                グローバルな RADIUS 送信リトライ回数とタイムアウト間隔の設定

                すべての RADIUS サーバに対するグローバルな再送信リトライ回数とタイムアウト間隔を設定できます。 デフォルトでは、Cisco NX-OS デバイスは RADIUS サーバに 1 回だけ送信を再試行してから、ローカル認証に切り換えます。 このリトライの回数は、サーバごとに最大 5 回まで増やすことができます。 タイムアウト間隔には、Cisco NX-OS デバイスが RADIUS サーバからの応答を待つ時間を指定します。これを過ぎるとタイムアウト エラーになります。

                手順の概要

                  1.    configure terminal

                  2.    radius-server retransmit count

                  3.    radius-server timeout seconds

                  4.    (任意) show radius {pending | pending-diff}

                  5.    (任意) radius commit

                  6.    exit

                  7.    (任意) show radius-server

                  8.    (任意) copy running-config startup-config


                手順の詳細
                   コマンドまたはアクション目的
                  ステップ 1 configure terminal


                  例:
                  switch# configure terminal
                  switch(config)#
                   

                  グローバル コンフィギュレーション モードを開始します。

                   
                  ステップ 2 radius-server retransmit count


                  例:
                  switch(config)# radius-server retransmit 3
                   

                  すべての RADIUS サーバの再送信回数を指定します。 デフォルトの再送信回数は 1 で、範囲は 0 ~ 5 です。

                   
                  ステップ 3 radius-server timeout seconds


                  例:
                  switch(config)# radius-server timeout 10 
                   

                  RADIUS サーバの送信タイムアウト間隔を指定します。 デフォルトのタイムアウト間隔は 5 秒で、範囲は 1 ~ 60 秒です。

                   
                  ステップ 4 show radius {pending | pending-diff}


                  例:
                  switch(config)# show radius pending
                   
                  (任意)

                  配布するために保留状態になっている RADIUS 設定を表示します。

                   
                  ステップ 5 radius commit


                  例:
                  switch(config)# radius commit
                   
                  (任意)

                  CFS によるユーザ ロール設定の配布機能をイネーブルにしている場合は、一時データベース内にある RADIUS の設定変更を実行コンフィギュレーションに適用して、RADIUS 設定を他の Cisco NX-OS デバイスに配布します。

                   
                  ステップ 6 exit


                  例:
                  switch(config)# exit
                  switch#
                   

                  コンフィギュレーション モードを終了します。

                   
                  ステップ 7 show radius-server


                  例:
                  switch# show radius-server
                   
                  (任意)

                  RADIUS サーバの設定を表示します。

                   
                  ステップ 8 copy running-config startup-config


                  例:
                  switch# copy running-config startup-config
                   
                  (任意)

                  実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                   
                  関連コンセプト

                  サーバに対する RADIUS 送信リトライ回数とタイムアウト間隔の設定

                  デフォルトでは、Cisco NX-OS デバイスは RADIUS サーバに 1 回だけ送信を再試行してから、ローカル認証に切り換えます。 このリトライの回数は、サーバごとに最大 5 回まで増やすことができます。 Cisco NX-OS デバイスが RADIUS サーバからの応答を待つタイムアウト間隔も設定できます。これを過ぎるとタイムアウト エラーになります。

                  はじめる前に

                  1 つまたは複数の RADIUS サーバ ホストを設定します。

                  手順の概要

                    1.    configure terminal

                    2.    radius-server host {ipv4-address | ipv6-address | host-name} retransmit count

                    3.    radius-server host {ipv4-address | ipv6-address | host-name} timeout seconds

                    4.    (任意) show radius {pending | pending-diff}

                    5.    (任意) radius commit

                    6.    exit

                    7.    (任意) show radius-server

                    8.    (任意) copy running-config startup-config


                  手順の詳細
                     コマンドまたはアクション目的
                    ステップ 1 configure terminal


                    例:
                    switch# configure terminal
                    switch(config)#
                     

                    グローバル コンフィギュレーション モードを開始します。

                     
                    ステップ 2 radius-server host {ipv4-address | ipv6-address | host-name} retransmit count


                    例:
                    switch(config)# radius-server host server1 retransmit 3
                     

                    特定のサーバに対する再送信回数を指定します。 デフォルトはグローバル値です。

                    (注)     

                    特定の RADIUS サーバに指定した再送信回数は、すべての RADIUS サーバに指定した再送信回数より優先されます。

                     
                    ステップ 3 radius-server host {ipv4-address | ipv6-address | host-name} timeout seconds


                    例:
                    switch(config)# radius-server host server1 timeout 10
                     

                    特定のサーバの送信タイムアウト間隔を指定します。 デフォルトはグローバル値です。

                    (注)     

                    特定の RADIUS サーバに指定したタイムアウト間隔は、すべての RADIUS サーバに指定したタイムアウト間隔より優先されます。

                     
                    ステップ 4 show radius {pending | pending-diff}


                    例:
                    switch(config)# show radius pending
                     
                    (任意)

                    配布するために保留状態になっている RADIUS 設定を表示します。

                     
                    ステップ 5 radius commit


                    例:
                    switch(config)# radius commit
                     
                    (任意)

                    CFS によるユーザ ロール設定の配布機能をイネーブルにしている場合は、一時データベース内にある RADIUS の設定変更を実行コンフィギュレーションに適用して、RADIUS 設定を他の Cisco NX-OS デバイスに配布します。

                     
                    ステップ 6 exit


                    例:
                    switch(config)# exit
                    switch#
                     

                    コンフィギュレーション モードを終了します。

                     
                    ステップ 7 show radius-server


                    例:
                    switch# show radius-server
                     
                    (任意)

                    RADIUS サーバの設定を表示します。

                     
                    ステップ 8 copy running-config startup-config


                    例:
                    switch# copy running-config startup-config
                     
                    (任意)

                    実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                     
                    関連コンセプト

                    RADIUS サーバのアカウンティングおよび認証属性の設定

                    RADIUS サーバをアカウンティング専用、または認証専用に使用するかを指定できます。 デフォルトでは、RADIUS サーバはアカウンティングと認証の両方に使用されます。 また、デフォルトのポートとの競合が発生する場合は、RADIUS アカウンティング メッセージと認証メッセージの送信先である宛先 UDP ポート番号を指定することもできます。

                    はじめる前に

                    1 つまたは複数の RADIUS サーバ ホストを設定します。

                    手順の概要

                      1.    configure terminal

                      2.    (任意) radius-server host {ipv4-address | ipv6-address | host-name} acct-port udp-port

                      3.    (任意) radius-server host {ipv4-address | ipv6-address | host-name} accounting

                      4.    (任意) radius-server host {ipv4-address | ipv6-address | host-name} auth-port udp-port

                      5.    (任意) radius-server host {ipv4-address | ipv6-address | host-name} authentication

                      6.    (任意) show radius {pending | pending-diff}

                      7.    (任意) radius commit

                      8.    exit

                      9.    (任意) show radius-server

                      10.    (任意) copy running-config startup-config


                    手順の詳細
                       コマンドまたはアクション目的
                      ステップ 1 configure terminal


                      例:
                      switch# configure terminal
                      switch(config)#
                       

                      グローバル コンフィギュレーション モードを開始します。

                       
                      ステップ 2 radius-server host {ipv4-address | ipv6-address | host-name} acct-port udp-port


                      例:
                      switch(config)# radius-server host 10.10.1.1 acct-port 2004
                       
                      (任意)

                      RADIUS アカウンティングのメッセージに使用する UDP ポートを指定します。 デフォルトの UDP ポートは 1813 です。 指定できる範囲は 0 ~ 65535 です。

                       
                      ステップ 3 radius-server host {ipv4-address | ipv6-address | host-name} accounting


                      例:
                      switch(config)# radius-server host 10.10.1.1 accounting
                       
                      (任意)

                      RADIUS サーバをアカウンティングだけに使用することを指定します。 デフォルトでは、アカウンティングと認証の両方に使用されます。

                       
                      ステップ 4 radius-server host {ipv4-address | ipv6-address | host-name} auth-port udp-port


                      例:
                      switch(config)# radius-server host 10.10.2.2 auth-port 2005
                       
                      (任意)

                      RADIUS 認証メッセージ用の UDP ポートを指定します。 デフォルトの UDP ポートは 1812 です。 指定できる範囲は 0 ~ 65535 です。

                       
                      ステップ 5 radius-server host {ipv4-address | ipv6-address | host-name} authentication


                      例:
                      switch(config)# radius-server host 10.10.2.2 authentication
                       
                      (任意)

                      RADIUS サーバを認証だけに使用することを指定します。 デフォルトでは、アカウンティングと認証の両方に使用されます。

                       
                      ステップ 6 show radius {pending | pending-diff}


                      例:
                      switch(config)# show radius pending
                       
                      (任意)

                      配布するために保留状態になっている RADIUS 設定を表示します。

                       
                      ステップ 7 radius commit


                      例:
                      switch(config)# radius commit
                       
                      (任意)

                      CFS によるユーザ ロール設定の配布機能をイネーブルにしている場合は、一時データベース内にある RADIUS の設定変更を実行コンフィギュレーションに適用して、RADIUS 設定を他の Cisco NX-OS デバイスに配布します。

                       
                      ステップ 8 exit


                      例:
                      switch(config)# exit
                      switch#
                       

                      コンフィギュレーション モードを終了します。

                       
                      ステップ 9 show radius-server


                      例:
                      switch(config)# show radius-server
                       
                      (任意)

                      RADIUS サーバの設定を表示します。

                       
                      ステップ 10 copy running-config startup-config


                      例:
                      switch# copy running-config startup-config
                       
                      (任意)

                      実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                       
                      関連コンセプト

                      RADIUS サーバのグローバルな定期モニタリングの設定

                      各サーバに個別にテスト パラメータを設定しなくても、すべての RADIUS サーバの可用性をモニタリングできます。 テスト パラメータが設定されていないサーバは、グローバル レベルのパラメータを使用してモニタリングされます。


                      (注)  


                      各サーバ用に設定されたテスト パラメータは、グローバルのテスト パラメータより優先されます。


                      グローバル コンフィギュレーション パラメータには、サーバで使用するユーザ名とパスワード、およびアイドル タイマーなどがあります。 アイドル タイマーには、RADIUS サーバで何の要求も受信されない状態の時間を指定します。これを過ぎると Cisco NX-OS デバイスはテスト パケットを送信します。 このオプションを設定して定期的にサーバをテストしたり、1 回だけテストを実行したりできます。


                      (注)  


                      CFS ではグローバル RADIUS サーバ グループの設定は配布しません。



                      (注)  


                      ネットワークのセキュリティを保護するために、RADIUS データベースの既存のユーザ名と同じものを使用しないことを推奨します。



                      (注)  


                      デフォルトのアイドル タイマー値は 0 分です。 アイドル タイム インターバルが 0 分の場合、RADIUS サーバの定期的なモニタリングは実行されません。


                      はじめる前に

                      RADIUS をイネーブルにします。

                      手順の概要

                        1.    configure terminal

                        2.    radius-server test {idle-time minutes | password password [idle-time minutes] | username name [password password [idle-time minutes]]}

                        3.    radius-server deadtime minutes

                        4.    exit

                        5.    (任意) show radius-server

                        6.    (任意) copy running-config startup-config


                      手順の詳細
                         コマンドまたはアクション目的
                        ステップ 1 configure terminal


                        例:
                        switch# configure terminal
                        switch(config)#
                         

                        グローバル コンフィギュレーション モードを開始します。

                         
                        ステップ 2 radius-server test {idle-time minutes | password password [idle-time minutes] | username name [password password [idle-time minutes]]}


                        例:
                        switch(config)# radius-server test username user1 password Ur2Gd2BH idle-time 3
                         

                        グローバルなサーバ モニタリング用のパラメータを指定します。 デフォルトのユーザ名は test、デフォルトのパスワードは test です。 アイドル タイマーのデフォルト値は 0 分です。有効な範囲は 0 ~ 1440 分です。

                        (注)     

                        RADIUS サーバの定期的なモニタリングを行うには、アイドル タイマーに 0 より大きな値を設定する必要があります。

                         
                        ステップ 3 radius-server deadtime minutes


                        例:
                        switch(config)# radius-server deadtime 5
                         

                        以前に応答の遅かった RADIUS サーバを Cisco NX-OS デバイスがチェックを始めるまでの分数を指定します。 デフォルト値は 0 分です。有効な範囲は 0 ~ 1440 分です。

                         
                        ステップ 4 exit


                        例:
                        switch(config)# exit
                        switch#
                         

                        コンフィギュレーション モードを終了します。

                         
                        ステップ 5 show radius-server


                        例:
                        switch# show radius-server
                         
                        (任意)

                        RADIUS サーバの設定を表示します。

                         
                        ステップ 6 copy running-config startup-config


                        例:
                        switch# copy running-config startup-config
                         
                        (任意)

                        実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                         

                        各 RADIUS サーバの定期モニタリングの設定

                        各 RADIUS サーバの可用性をモニタリングできます。 コンフィギュレーション パラメータには、サーバで使用するユーザ名とパスワード、およびアイドル タイマーなどがあります。 アイドル タイマーには、RADIUS サーバで何の要求も受信されない状態の時間を指定します。これを過ぎると Cisco NX-OS デバイスはテスト パケットを送信します。 このオプションを設定して定期的にサーバをテストしたり、1 回だけテストを実行したりできます。


                        (注)  


                        各サーバ用に設定されたテスト パラメータは、グローバルのテスト パラメータより優先されます。



                        (注)  


                        セキュリティ上の理由から、RADIUS データベース内の既存のユーザ名と同じテスト ユーザ名を設定しないことを推奨します。



                        (注)  


                        デフォルトのアイドル タイマー値は 0 分です。 アイドル時間の間隔が 0 分の場合、Cisco NX-OS デバイスは RADIUS サーバの定期モニタリングを実行しません。


                        はじめる前に

                        RADIUS をイネーブルにします。

                        1 つまたは複数の RADIUS サーバ ホストを追加します。

                        手順の概要

                          1.    configure terminal

                          2.    radius-server host {ipv4-address | ipv6-address | host-name} test {idle-time minutes | password password [idle-time minutes] | username name [password password [idle-time minutes]]}

                          3.    radius-server deadtime minutes

                          4.    exit

                          5.    (任意) show radius-server

                          6.    (任意) copy running-config startup-config


                        手順の詳細
                           コマンドまたはアクション目的
                          ステップ 1 configure terminal


                          例:
                          switch# configure terminal
                          switch(config)#
                           

                          グローバル コンフィギュレーション モードを開始します。

                           
                          ステップ 2 radius-server host {ipv4-address | ipv6-address | host-name} test {idle-time minutes | password password [idle-time minutes] | username name [password password [idle-time minutes]]}


                          例:
                          switch(config)# radius-server host 10.10.1.1 test username user1 password Ur2Gd2BH idle-time 3
                           

                          サーバ モニタリング用のパラメータを個別に指定します。 デフォルトのユーザ名は test、デフォルトのパスワードは test です。 アイドル タイマーのデフォルト値は 0 分です。有効な範囲は 0 ~ 1440 分です。

                          (注)     

                          RADIUS サーバの定期的なモニタリングを行うには、アイドル タイマーに 0 より大きな値を設定する必要があります。

                           
                          ステップ 3 radius-server deadtime minutes


                          例:
                          switch(config)# radius-server deadtime 5
                           

                          以前に応答の遅かった RADIUS サーバを Cisco NX-OS デバイスがチェックを始めるまでの分数を指定します。 デフォルト値は 0 分です。有効な範囲は 1 ~ 1440 分です。

                           
                          ステップ 4 exit


                          例:
                          switch(config)# exit
                          switch#
                           

                          コンフィギュレーション モードを終了します。

                           
                          ステップ 5 show radius-server


                          例:
                          switch# show radius-server
                           
                          (任意)

                          RADIUS サーバの設定を表示します。

                           
                          ステップ 6 copy running-config startup-config


                          例:
                          switch# copy running-config startup-config
                           
                          (任意)

                          実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                           

                          RADIUS デッド タイム間隔の設定

                          すべての RADIUS サーバのデッド タイム間隔を設定できます。 デッド タイム間隔では、Cisco NX-OS デバイスが RADIUS サーバをデッドであると宣言した後、そのサーバがアライブになったかどうかを確認するためにテスト パケットを送信するまでの時間を指定します。 デフォルト値は 0 分です。


                          (注)  


                          デッド タイム間隔が 0 分の場合、RADIUS サーバは、応答を返さない場合でも、デットとしてマークされません。 RADIUS サーバ グループに対するデッド タイム間隔を設定できます。


                          手順の概要

                            1.    configure terminal

                            2.    radius-server deadtime minutes

                            3.    (任意) show radius {pending | pending-diff}

                            4.    (任意) radius commit

                            5.    exit

                            6.    (任意) show radius-server

                            7.    (任意) copy running-config startup-config


                          手順の詳細
                             コマンドまたはアクション目的
                            ステップ 1 configure terminal


                            例:
                            switch# configure terminal
                            switch(config)#
                             

                            グローバル コンフィギュレーション モードを開始します。

                             
                            ステップ 2 radius-server deadtime minutes


                            例:
                            switch(config)# radius-server deadtime 5
                             

                            デッド タイム間隔を設定します。 デフォルト値は 0 分です。 有効な範囲は 1 ~ 1440 分です。

                             
                            ステップ 3 show radius {pending | pending-diff}


                            例:
                            switch(config)# show radius pending
                             
                            (任意)

                            配布するために保留状態になっている RADIUS 設定を表示します。

                             
                            ステップ 4 radius commit


                            例:
                            switch(config)# radius commit
                             
                            (任意)

                            CFS によるユーザ ロール設定の配布機能をイネーブルにしている場合は、一時データベース内にある RADIUS の設定変更を実行コンフィギュレーションに適用して、RADIUS 設定を他の Cisco NX-OS デバイスに配布します。

                             
                            ステップ 5 exit


                            例:
                            switch(config)# exit
                            switch#
                             

                            設定モードを終了します。

                             
                            ステップ 6 show radius-server


                            例:
                            switch# show radius-server
                             
                            (任意)

                            RADIUS サーバの設定を表示します。

                             
                            ステップ 7 copy running-config startup-config


                            例:
                            switch# copy running-config startup-config
                             
                            (任意)

                            実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                             
                            関連コンセプト

                            ワンタイム パスワードの設定

                            RSA SecurID トークン サーバを使用することで、Cisco NX-OS デバイスでワンタイム パスワード(OTP)をサポートできます。 この機能を使用すると、ユーザは、暗証番号(ワンタイム パスワード)とその時点で RSA SecurID トークンに表示されるトークン コードの両方を入力することで、Cisco NX-OS デバイスに対する認証を実行できます。


                            (注)  


                            Cisco NX-OS デバイスにログインするために使用されるトークン コードは、60 秒ごとに変更されます。 デバイス検出に関する問題を防ぐために、Cisco Secure ACS 内部データベースに存在する異なるユーザ名を使用することを推奨します。


                            はじめる前に

                            Cisco NX-OS デバイスで、RADIUS サーバ ホストとデフォルトのリモート ログイン認証を設定します。

                            次のものがインストールされていることを確認します。
                            • Cisco Secure Access Control Server(ACS)Version 4.2

                            • RSA Authentication Manager Version 7.1(RSA SecurID トークン サーバ)

                            • RSA ACE Agent/Client

                            ワンタイム パスワードをサポートするために、Cisco NX-OS デバイスで(RADIUS サーバ ホストとリモート認証以外の)設定を行う必要はありません。 ただし、Cisco Secure ACS を次のように設定する必要があります。

                            1. RSA SecurID トークン サーバ認証をイネーブルにします。

                            2. RSA SecurID トークン サーバを不明ユーザ ポリシー データベースに追加します。

                            RADIUS 情報の配布のコミット

                            一時バッファに保存されている RADIUS のグローバル設定およびサーバ特有の設定を、ファブリック内のすべてのデバイス(元のデバイスを含む)の実行コンフィギュレーションに適用します。

                            手順の概要

                              1.    configure terminal

                              2.    (任意) show radius {pending | pending-diff}

                              3.    radius commit

                              4.    exit

                              5.    (任意) show role session status

                              6.    (任意) copy running-config startup-config


                            手順の詳細
                               コマンドまたはアクション目的
                              ステップ 1 configure terminal


                              例:
                              switch# configure terminal
                              switch(config)#
                               

                              グローバル コンフィギュレーション モードを開始します。

                               
                              ステップ 2 show radius {pending | pending-diff}


                              例:
                              switch(config)# show radius pending
                               
                              (任意)

                              配布するために保留状態になっている RADIUS 設定を表示します。

                               
                              ステップ 3 radius commit


                              例:
                              switch(config)# radius commit
                               

                              CFS によるユーザ ロール設定の配布機能をイネーブルにしている場合は、一時データベース内にある RADIUS の設定変更を実行コンフィギュレーションに適用して、RADIUS 設定を他の Cisco NX-OS デバイスに配布します。

                               
                              ステップ 4 exit


                              例:
                              switch(config)# exit
                              switch#
                               

                              コンフィギュレーション モードを終了します。

                               
                              ステップ 5 show role session status


                              例:
                              switch# show role session status
                               
                              (任意)

                              ユーザ ロールについての CSF セッションのステータスを表示します。

                               
                              ステップ 6 copy running-config startup-config


                              例:
                              switch# copy running-config startup-config
                               
                              (任意)

                              実行コンフィギュレーションを、スタートアップ コンフィギュレーションに適用します。

                               

                              RADIUS の配布セッションの廃棄

                              RADIUS の設定変更の一時データベースを廃棄して、CFS 配布セッションを終了します。

                              手順の概要

                                1.    configure terminal

                                2.    (任意) show radius {pending | pending-diff}

                                3.    radius abort

                                4.    exit

                                5.    (任意) show radius session status


                              手順の詳細
                                 コマンドまたはアクション目的
                                ステップ 1 configure terminal


                                例:
                                switch# configure terminal
                                switch(config)#
                                 

                                グローバル コンフィギュレーション モードを開始します。

                                 
                                ステップ 2 show radius {pending | pending-diff}


                                例:
                                switch(config)# show radius pending
                                 
                                (任意)

                                配布するために保留状態になっている RADIUS 設定を表示します。

                                 
                                ステップ 3 radius abort


                                例:
                                switch(config)# radius abort
                                 

                                一時ストレージにある RADIUS 設定を廃棄して、セッションを終了します。

                                 
                                ステップ 4 exit


                                例:
                                switch(config)# exit
                                switch#
                                 

                                コンフィギュレーション モードを終了します。

                                 
                                ステップ 5 show radius session status


                                例:
                                switch# show radius session status
                                 
                                (任意)

                                RADIUS CFS セッションのステータスを表示します。

                                 

                                RADIUS の配布セッションのクリア

                                実行中の Cisco Fabric Services の配布セッション(存在する場合)をクリアして、RADIUS 機能のためのファブリックのロックを解除します。

                                手順の概要

                                  1.    clear radius session

                                  2.    (任意) show radius session status


                                手順の詳細
                                   コマンドまたはアクション目的
                                  ステップ 1 clear radius session


                                  例:
                                  switch# clear radius session
                                   

                                  セッションをクリアして、ファブリックのロックを解除します。

                                   
                                  ステップ 2 show radius session status


                                  例:
                                  switch# show radius session status
                                   
                                  (任意)

                                  RADIUS CFS セッションのステータスを表示します。

                                   

                                  RADIUS サーバまたはサーバ グループの手動モニタリング

                                  RADIUS サーバまたはサーバ グループに対し手動でテスト メッセージを送信できます。

                                  手順の概要

                                    1.    test aaa server radius {ipv4-address | ipv6-address | host-name} [vrf vrf-name] username password

                                    2.    test aaa group group-name username password


                                  手順の詳細
                                     コマンドまたはアクション目的
                                    ステップ 1 test aaa server radius {ipv4-address | ipv6-address | host-name} [vrf vrf-name] username password


                                    例:
                                    switch# test aaa server radius 10.10.1.1 user1 Ur2Gd2BH
                                     

                                    RADIUS サーバにテスト メッセージを送信して可用性を確認します。

                                     
                                    ステップ 2 test aaa group group-name username password


                                    例:
                                    switch# test aaa group RadGroup user2 As3He3CI
                                     

                                    RADIUS サーバ グループにテスト メッセージを送信して可用性を確認します。

                                     

                                    RADIUS 設定の確認

                                    RADIUS の設定情報を表示するには、次のいずれかの作業を行います。

                                    コマンド

                                    目的

                                    show radius {status | pending | pending-diff}

                                    Cisco Fabric Services の RADIUS 設定の配布状況と他の詳細事項を表示します。

                                    show running-config radius [all]

                                    実行コンフィギュレーションの RADIUS 設定を表示します。

                                    show startup-config radius

                                    スタートアップ コンフィギュレーションの RADIUS 設定を表示します。

                                    show radius-server [host-name | ipv4-address | ipv6-address] [directed-request | groups | sorted | statistics]

                                    設定済みのすべての RADIUS サーバのパラメータを表示します。

                                    このコマンドの出力フィールドの詳細については、『Cisco Nexus 7000 Series NX-OS Security Command Reference』を参照してください。

                                    RADIUS サーバのモニタリング

                                    Cisco NX-OS デバイスが保持している RADIUS サーバのアクティビティに関する統計情報をモニタリングできます。

                                    はじめる前に

                                    1 つまたは複数の RADIUS サーバ ホストを設定します。

                                    手順の概要

                                      1.    show radius-server statistics {hostname | ipv4-address | ipv6-address}


                                    手順の詳細
                                       コマンドまたはアクション目的
                                      ステップ 1 show radius-server statistics {hostname | ipv4-address | ipv6-address}


                                      例:
                                      switch# show radius-server statistics 10.10.1.1
                                       

                                      RADIUS 統計情報を表示します。

                                       

                                      RADIUS サーバ統計情報のクリア

                                      Cisco NX-OS デバイスが保持している RADIUS サーバのアクティビティに関する統計情報を表示します。

                                      はじめる前に

                                      Cisco NX-OS デバイスに RADIUS サーバを設定します。

                                      手順の概要

                                        1.    (任意) show radius-server statistics {hostname | ipv4-address | ipv6-address}

                                        2.    clear radius-server statistics {hostname | ipv4-address | ipv6-address}


                                      手順の詳細
                                         コマンドまたはアクション目的
                                        ステップ 1 show radius-server statistics {hostname | ipv4-address | ipv6-address}


                                        例:
                                        switch# show radius-server statistics 10.10.1.1
                                         
                                        (任意)

                                        Cisco NX-OS デバイスでの RADIUS サーバ統計情報を表示します。

                                         
                                        ステップ 2 clear radius-server statistics {hostname | ipv4-address | ipv6-address}


                                        例:
                                        switch# clear radius-server statistics 10.10.1.1
                                         

                                        RADIUS サーバ統計情報をクリアします。

                                         

                                        RADIUS の設定例

                                        次に、RADIUS を設定する例を示します。

                                        radius-server key 7 "ToIkLhPpG" 
                                        radius-server host 10.10.1.1 key 7 "ShMoMhTl" authentication accounting 
                                        aaa group server radius RadServer
                                            server 10.10.1.1

                                        次の作業

                                        これで、サーバ グループも含めて AAA 認証方式を設定できるようになります。

                                        RADIUS に関する追加情報

                                        ここでは、RADIUS の実装に関する追加情報について説明します。

                                        関連資料

                                        関連項目

                                        参照先

                                        Cisco NX-OS のライセンス

                                        Cisco NX-OS ライセンス ガイド

                                        コマンド リファレンス

                                        『Cisco Nexus 7000 Series NX-OS Security Command Reference』

                                        VRF コンフィギュレーション

                                        『Cisco Nexus 7000 Series NX-OS Unicast Routing Configuration Guide』

                                        標準

                                        標準

                                        タイトル

                                        この機能では、新規の標準がサポートされることも、一部変更された標準がサポートされることもありません。また、既存の標準に対するサポートが変更されることもありません。

                                        MIB

                                        MIB

                                        MIB のリンク

                                        • CISCO-AAA-SERVER-MIB

                                        • CISCO-AAA-SERVER-EXT-MIB

                                        MIB を検索およびダウンロードするには、次の URL にアクセスしてください。

                                        http:/​/​www.cisco.com/​public/​sw-center/​netmgmt/​cmtk/​mibs.shtml

                                        RADIUS の機能の履歴

                                        次の表に、この機能のリリースの履歴を示します。

                                        表 2 RADIUS の機能の履歴

                                        機能名

                                        リリース

                                        機能情報

                                        RADIUS

                                        6.0(1)

                                        Release 5.2 以降、変更はありません。

                                        RADIUS

                                        5.2(1)

                                        RADIUS サーバ キーのタイプ 6 暗号化が追加されました。

                                        RADIUS

                                        5.1(1)

                                        Release 5.0 以降、変更はありません。

                                        定期サーバ モニタリング

                                        5.0(2)

                                        RADIUS サーバのグローバルな定期モニタリングのサポートが追加されました。

                                        OTP

                                        5.0(2)

                                        ワンタイム パスワードのサポートが追加されました。