Cisco Nexus 9000 シリーズ NX-OS セキュリティ コンフィギュレーション ガイド リリース 6.x
RADIUS の設定
RADIUS の設定
発行日;2014/01/15   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

RADIUS の設定

この章では、Cisco NX-OS デバイスで Remote Access Dial-In User Service(RADIUS)プロトコルを設定する手順について説明します。

この章は、次の項で構成されています。

RADIUS について

RADIUS 分散クライアント/ サーバ システムを使用すると、不正アクセスからネットワークを保護できます。 シスコの実装では、RADIUS クライアントは Cisco NX-OS デバイスで稼働し、すべてのユーザ認証情報およびネットワーク サービス アクセス情報が格納された中央の RADIUS サーバに認証要求およびアカウンティング要求を送信します。

RADIUS ネットワーク環境

RADIUS は、高度なセキュリティを必要とし、同時にリモート ユーザのネットワーク アクセスを維持する必要があるさまざまなネットワーク環境に実装できます。

RADIUS は、アクセス セキュリティを必要とする次のネットワーク環境で使用します。

  • RADIUS をサポートしている複数ベンダーのネットワーク デバイスを使用したネットワーク たとえば、複数ベンダーのネットワーク デバイスで、単一の RADIUS サーバ ベースのセキュリティ データベースを使用できます。
  • すでに RADIUS を使用中のネットワーク。 RADIUS を使用した Cisco NX-OS デバイスをネットワークに追加できます。 この作業は、AAA サーバに移行するときの最初の手順になります。
  • リソース アカウンティングが必要なネットワーク。 RADIUS アカウンティングは、RADIUS 認証または RADIUS 許可とは個別に使用できます。 RADIUS アカウンティング機能を使用すると、サービスの開始および終了時に、セッション中に使用したリソース(時間、パケット、バイトなど)の量を示すデータを送信できます。 インターネット サービス プロバイダー(ISP)は、RADIUS アクセス コントロールおよびアカウンティング用ソフトウェアのフリーウェア版を使用して、特殊なセキュリティおよび課金ニーズに対応しています。
  • 認証プロファイルをサポートするネットワーク ネットワークで RADIUS サーバを使用すると、AAA 認証を設定し、ユーザごとのプロファイルをセットアップできます。 ユーザごとのプロファイルにより、Cisco NX-OS デバイスは、既存の RADIUS ソリューションを使用してポートを容易に管理できると同時に、共有リソースを効率的に管理してさまざまなサービス レベル契約(SLA)を提供できます。

RADIUS の動作

ユーザが RADIUS を使用して Cisco NX-OS デバイスへのログインおよび認証を試行すると、次のプロセスが実行されます。

  • ユーザが、ユーザ名とパスワードの入力を求められ、入力します。
  • ユーザ名および暗号化されたパスワードが、ネットワーク経由で RADIUS サーバに送信されます。
  • ユーザは、RADIUS サーバから次のいずれかの応答を受信します。
    ACCEPT
    ユーザが認証されました。
    REJECT
    ユーザは認証されず、ユーザ名とパスワードの再入力を求められるか、アクセスを拒否されます。
    CHALLENGE
    RADIUS サーバによってチャレンジが発行されます。 チャレンジは、ユーザから追加データを収集します。
    CHANGE PASSWORD
    RADIUS サーバからユーザに、新しいパスワードを選択するよう要求が発行されます。

ACCEPT または REJECT 応答には、EXEC またはネットワーク許可に使用される追加データが含まれています。 RADIUS 許可を使用するには、まず RADIUS 認証を完了する必要があります。 ACCEPT または REJECT パケットに含まれる追加データの内容は次のとおりです。

  • ユーザがアクセス可能なサービス(Telnet、rlogin、または local-area transport(LAT; ローカルエリア トランスポート)接続、PPP(ポイントツーポイント プロトコル)、シリアル ライン インターネット プロトコル(SLIP)、EXEC サービスなど)
  • 接続パラメータ(ホストまたはクライアントの IPv4 または IPv6 アドレス、アクセス リスト、ユーザ タイムアウト)

RADIUS サーバ モニタリング

応答しない RADIUS サーバがあると、AAA 要求の処理が遅れることがあります。 AAA 要求の処理時間を節約するために、定期的に RADIUS サーバをモニタリングし、RADIUS サーバが応答を返す(アライブ)かどうかを調べるよう、Cisco NX-OS デバイスを設定できます。 Cisco NX-OS デバイスは、応答を返さない RADIUS サーバをデッド(dead)としてマークし、デッド RADIUS サーバには AAA 要求を送信しません。 Cisco NX-OS デバイスは定期的にデッド RADIUS サーバをモニタリングし、それらが応答を返したら、アライブ状態に戻します。 このモニタリング プロセスでは、実際の AAA 要求が送信される前に、RADIUS サーバが稼働状態であることを確認します。 RADIUS サーバの状態がデッドまたはアライブに変わると、簡易ネットワーク管理プロトコル(SNMP)トラップが生成され、Cisco NX-OS デバイスによって、障害が発生したことを知らせるエラー メッセージが表示されます。

図 1. RADIUS サーバの状態. 次の図に、RADIUS サーバ モニタリングの状態を示します。


(注)  


アライブ サーバとデッド サーバのモニタリング間隔は異なります。これらはユーザが設定できます。 RADIUS サーバ モニタリングを実行するには、テスト認証要求を RADIUS サーバに送信します。


ベンダー固有属性

インターネット技術特別調査委員会(IETF)が、ネットワーク アクセス サーバと RADIUS サーバの間での VSA の通信のための方式を規定する標準を作成しています。 IETF は、属性 26 を使用します。 VSA を使用するとベンダーは、一般的な用途には適合しない独自の拡張属性をサポートできます。 シスコの RADIUS 実装は、この仕様で推奨される形式を使用して、1 つのベンダー固有オプションをサポートしています。 シスコのベンダー ID は 9、サポートされるオプションのベンダー タイプは 1(名前付き cisco-av-pair)です。 値は、次の形式のストリングです。

protocol : attribute separator value *

protocol は、特定の許可タイプを表すシスコの属性です。separator は、必須属性の場合は =(等号)、オプションの属性の場合は *(アスタリスク)です。

Cisco NX-OS デバイスでの認証に RADIUS サーバを使用する場合は、許可情報などのユーザ属性を認証結果とともに返すように、RADIUS サーバに RADIUS プロトコルで指示します。 この許可情報は、VSA で指定されます。

次の VSA プロトコル オプションが、Cisco NX-OS ソフトウェアでサポートされています。

Shell
ユーザ プロファイル情報を提供する access-accept パケットで使用されるプロトコル。
Accounting
accounting-request パケットで使用されるプロトコル。 値にスペースが含まれている場合は、二重引用符で囲む必要があります。

Cisco NX-OS ソフトウェアでは、次の属性がサポートされています。

roles
ユーザが属するすべてのロールの一覧です。 値フィールドは、スペースで区切られたロール名を一覧表示したストリングです。 たとえば、ユーザが network-operator および network-admin のロールに属している場合、値フィールドは network-operator network-admin となります。 このサブ属性は Access-Accept フレームの VSA 部分に格納され、RADIUS サーバから送信されます。この属性はシェル プロトコル値とだけ併用できます。 次に、Cisco Access Control Server(ACS)でサポートされるロール属性の例を示します。
shell:roles=network-operator network-admin 

shell:roles*“network-operator network-admin

次に、FreeRADIUS でサポートされるロール属性の例を示します。

Cisco-AVPair = shell:roles=\network-operator network-admin\

Cisco-AVPair = shell:roles*\network-operator network-admin\


(注)  


VSA を、shell:roles*"network-operator network-admin" または "shell:roles*\"network-operator network-admin\"" として指定した場合、この VSA はオプション属性としてフラグ設定され、他のシスコ デバイスはこの属性を無視します。


accountinginfo
標準の RADIUS アカウンティング プロトコルに含まれる属性とともにアカウンティング情報を格納します。 この属性は、スイッチ上の RADIUS クライアントからの Account-Request フレームの VSA 部分だけに送信されます。 この属性と共に使用できるのは、アカウンティングの Protocol Data Unit(PDU; プロトコル データ ユニット)だけです。

RADIUS のライセンス要件

次の表に、この機能のライセンス要件を示します。

製品

ライセンス要件

Cisco NX-OS

RADIUS にはライセンスは必要ありません。 ライセンス パッケージに含まれていない機能は nx-os イメージにバンドルされており、無料で提供されます。 Cisco NX-OS ライセンス方式の詳細については、『Cisco NX-OS Licensing Guide』を参照してください。

RADIUS の前提条件

RADIUS には、次の前提条件があります。

  • RADIUS サーバの IPv4 または IPv6IP アドレスまたはホスト名を取得していること。
  • RADIUS サーバからキーを取得すること。
  • Cisco NX-OS デバイスが、AAA サーバの RADIUS クライアントとして設定されていること。

RADIUS の注意事項と制約事項

RADIUS に関する注意事項と制約事項は次のとおりです。

  • Cisco NX-OS デバイスに設定できる RADIUS サーバの最大数は 64 です。
  • ローカルの Cisco NX-OS デバイス上に設定されているユーザ アカウントが、AAA サーバ上のリモート ユーザ アカウントと同じ名前の場合、Cisco NX-OS ソフトウェアは、AAA サーバ上に設定されているユーザ ロールではなく、ローカル ユーザ アカウントのユーザ ロールをリモート ユーザに適用します。
  • ワンタイム パスワードをサポートするのは RADIUS プロトコルだけです。

RADIUS のデフォルト設定

次の表に、RADIUS パラメータのデフォルト設定を示します。

表 1  RADIUS パラメータのデフォルト設定

パラメータ

デフォルト

サーバの役割

認証とアカウンティング

デッド タイマー間隔

0 分

再送信回数

1

再送信タイマー間隔

5 秒

認証ポート

1812

アカウンティング ポート

1813

アイドル タイマー間隔

0 分

サーバの定期的モニタリングのユーザ名

test

サーバの定期的モニタリングのパスワード

test

RADIUS サーバの設定

ここでは、Cisco NX-OS デバイスで RADIUS サーバを設定する手順を説明します。


(注)  


Cisco IOS の CLI に慣れている場合、この機能の Cisco NX-OS コマンドは従来の Cisco IOS コマンドと異なる点があるため注意が必要です。


RADIUS サーバの設定プロセス

  1. Cisco NX-OS デバイスと RADIUS サーバとの接続を確立します。
  2. RADIUS サーバの RADIUS 秘密キーを設定します。
  3. 必要に応じて、AAA 認証方式用に、RADIUS サーバのサブセットを使用して RADIUS サーバ グループを設定します。
  4. 必要に応じて、次のオプションのパラメータを設定します。
    • デッドタイム間隔
    • ユーザ ログイン時の RADIUS サーバの指定の許可
    • タイムアウト間隔
    • TCP ポート
  5. (任意)RADIUS 設定の配布がイネーブルになっている場合は、ファブリックに対して RADIUS 設定をコミットします。

RADIUS サーバ ホストの設定

リモートの RADIUS サーバにアクセスするには、RADIUS サーバの IP アドレスまたはホスト名を設定する必要があります。 最大 64 の RADIUS サーバを設定できます。


(注)  


RADIUS サーバの IP アドレスまたはホスト名を Cisco NX-OS デバイスに設定するとき、デフォルトでは RADIUS サーバはデフォルトの RADIUS サーバ グループに追加されます。 RADIUS サーバを別の RADIUS サーバ グループに追加することもできます。


はじめる前に

サーバがすでにサーバ グループのメンバーとして設定されていることを確認します。

サーバが RADIUS トラフィックを認証するよう設定されていることを確認します。

Cisco NX-OS デバイスが、AAA サーバの RADIUS クライアントとして設定されていること。

手順の概要

    1.    configure terminal

    2.    radius-server host {ipv4-address | ipv6-address | hostname}

    3.    (任意) show radius {pending | pending-diff}

    4.    (任意) radius commit

    5.    exit

    6.    (任意) show radius-server

    7.    (任意) copy running-config startup-config


手順の詳細
     コマンドまたはアクション目的
    ステップ 1 configure terminal


    例:
    switch# configure terminal
    switch(config)#
     

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 2 radius-server host {ipv4-address | ipv6-address | hostname}


    例:
    switch(config)# radius-server host 10.10.1.1
     

    認証に使用する RADIUS サーバの IPv4 または IPv6 アドレスまたはホスト名を指定します。

     
    ステップ 3 show radius {pending | pending-diff}


    例:
    switch(config)# show radius pending
     
    (任意)

    配布するために保留状態になっている RADIUS 設定を表示します。

     
    ステップ 4 radius commit


    例:
    switch(config)# radius commit
     
    (任意)

    一時データベース内にある RADIUS の設定変更を実行コンフィギュレーションに適用します。

     
    ステップ 5 exit


    例:
    switch(config)# exit
    switch#
     

    コンフィギュレーション モードを終了します。

     
    ステップ 6 show radius-server


    例:
    switch# show radius-server
     
    (任意)

    RADIUS サーバの設定を表示します。

     
    ステップ 7 copy running-config startup-config


    例:
    switch# copy running-config startup-config
     
    (任意)

    実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

     

    グローバル RADIUS キーの設定

    Cisco NX-OS デバイスで使用するすべてのサーバの RADIUS キーを設定できます。 RADIUS キーとは、Cisco NX-OS デバイスと TACACS+ サーバ ホスト間の共有秘密テキスト ストリングです。

    はじめる前に

    リモート RADIUS サーバの RADIUS キーの値を取得します。

    リモート RADIUS サーバに RADIUS キーを設定します。

    手順の概要

      1.    configure terminal

      2.    radius-server key [0 | 6 | 7] key-value

      3.    exit

      4.    (任意) show radius-server

      5.    (任意) copy running-config startup-config


    手順の詳細
       コマンドまたはアクション目的
      ステップ 1 configure terminal


      例:
      switch# configure terminal
      switch(config)#
       

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 2 radius-server key [0 | 6 | 7] key-value


      例:
      switch(config)# radius-server key 0 QsEfThUkO
       

      すべての RADIUS サーバ用の RADIUS キーを指定します。 key-value がクリアテキスト(0の形式か、タイプ 6 暗号化(6形式か、タイプ 7 暗号化(7)形式かを指定できます。 Cisco NX-OS ソフトウェアでは、実行コンフィギュレーションに保存する前にクリア テキストのキーを暗号化します。 デフォルトの形式はクリア テキストです。 最大で 63 文字の長さまで指定可能です。

      デフォルトでは、RADIUS キーは設定されません。

       
      ステップ 3 exit


      例:
      switch(config)# exit
      switch#
       

      コンフィギュレーション モードを終了します。

       
      ステップ 4 show radius-server


      例:
      switch# show radius-server
       
      (任意)

      RADIUS サーバの設定を表示します。

      (注)     

      RADIUS キーは実行コンフィギュレーションに暗号化された形式で保存されます。 暗号化された RADIUS キーを表示するには、show running-config コマンドを使用します。

       
      ステップ 5 copy running-config startup-config


      例:
      switch# copy running-config startup-config
       
      (任意)

      実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

       

      特定の RADIUS サーバ用のキーの設定

      Cisco NX-OS デバイスで、特定の RADIUS サーバ用のキーを設定できます。 RADIUS キーは、Cisco NX-OS デバイスと特定の RADIUS サーバとの間で共有する秘密テキスト ストリングです。

      はじめる前に

      1 つまたは複数の RADIUS サーバ ホストを設定します。

      リモート RADIUS サーバのキーの値を取得します。

      RADIUS サーバにキーを設定します。

      手順の概要

        1.    configure terminal

        2.    radius-server host {ipv4-address | ipv6-address | hostname} key [0 | 6 | 7] key-value

        3.    exit

        4.    (任意) show radius-server

        5.    (任意) copy running-config startup-config


      手順の詳細
         コマンドまたはアクション目的
        ステップ 1 configure terminal


        例:
        switch# configure terminal
        switch(config)#
         

        グローバル コンフィギュレーション モードを開始します。

         
        ステップ 2 radius-server host {ipv4-address | ipv6-address | hostname} key [0 | 6 | 7] key-value


        例:
        switch(config)# radius-server host 10.10.1.1 key 0 PlIjUhYg
         

        特定の RADIUS サーバ用の RADIUS キーを指定します。 key-value がクリアテキスト(0の形式か、タイプ 6 暗号化(6形式か、タイプ 7 暗号化(7)形式かを指定できます。 Cisco NX-OS ソフトウェアでは、実行コンフィギュレーションに保存する前にクリア テキストのキーを暗号化します。 デフォルトの形式はクリア テキストです。 最大で 63 文字です。

        この RADIUS キーが グローバル RADIUS キーの代わりに使用されます。

         
        ステップ 3 exit


        例:
        switch(config)# exit
        switch#
         

        設定モードを終了します。

         
        ステップ 4 show radius-server


        例:
        switch# show radius-server
         
        (任意)

        RADIUS サーバの設定を表示します。

        (注)     

        RADIUS キーは実行コンフィギュレーションに暗号化された形式で保存されます。 暗号化された RADIUS キーを表示するには、show running-config コマンドを使用します。

         
        ステップ 5 copy running-config startup-config


        例:
        switch# copy running-config startup-config
         
        (任意)

        実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

         

        RADIUS サーバ グループの設定

        サーバ グループを使用して、1 台または複数台のリモート AAA サーバによる認証を指定できます。 グループのメンバーはすべて、RADIUS プロトコルに属している必要があります。 設定した順序に従ってサーバが試行されます。

        これらのサーバ グループはいつでも設定できますが、設定したグループを有効にするには、AAA サービスに適用する必要があります。

        はじめる前に

        グループ内のすべてのサーバが RADIUS サーバであることを確認します。

        手順の概要

          1.    configure terminal

          2.    aaa group server radius group-name

          3.    server {ipv4-address | ipv6-address | hostname}

          4.    (任意) deadtime minutes

          5.    (任意) server {ipv4-address | ipv6-address | hostname}

          6.    (任意) use-vrf vrf-name

          7.    exit

          8.    (任意) show radius-server groups [group-name]

          9.    (任意) copy running-config startup-config


        手順の詳細
           コマンドまたはアクション目的
          ステップ 1 configure terminal


          例:
          switch# configure terminal
          switch(config)#
           

          グローバル コンフィギュレーション モードを開始します。

           
          ステップ 2 aaa group server radius group-name


          例:
          switch(config)# aaa group server radius RadServer
          switch(config-radius)#
           

          RADIUS サーバ グループを作成し、そのグループの RADIUS サーバ グループ コンフィギュレーション サブモードを開始します。 group-name 引数は、最大 127 文字の長さの英数字のストリングで、大文字小文字が区別されます。

           
          ステップ 3 server {ipv4-address | ipv6-address | hostname}


          例:
          switch(config-radius)# server 10.10.1.1
           

          RADIUS サーバを、RADIUS サーバ グループのメンバーとして設定します。

          指定した RADIUS サーバが見つからない場合は、radius-server host コマンドを使用してサーバを設定し、このコマンドをもう一度実行します。

           
          ステップ 4 deadtime minutes


          例:
          switch(config-radius)# deadtime 30
           
          (任意)

          モニタリング デッド タイムを設定します。 デフォルト値は 0 分です。 指定できる範囲は 1 ~ 1440 です。

          (注)     

          RADIUS サーバ グループのデッド タイム間隔が 0 より大きい場合は、この値がグローバルなデッド タイム値より優先されます。

           
          ステップ 5 server {ipv4-address | ipv6-address | hostname}


          例:
          switch(config-radius)# server 10.10.1.1
           
          (任意)

          RADIUS サーバを、RADIUS サーバ グループのメンバーとして設定します。

          ヒント   

          指定した RADIUS サーバが見つからない場合は、radius-server host コマンドを使用してサーバを設定し、このコマンドをもう一度実行します。

           
          ステップ 6 use-vrf vrf-name


          例:
          switch(config-radius)# use-vrf vrf1
           
          (任意)

          サーバ グループ内のサーバとの接続に使用する VRF を指定します。

           
          ステップ 7 exit


          例:
          switch(config-radius)# exit
          switch(config)#
           

          コンフィギュレーション モードを終了します。

           
          ステップ 8 show radius-server groups [group-name]


          例:
          switch(config)# show radius-server groups
           
          (任意)

          RADIUS サーバ グループの設定を表示します。

           
          ステップ 9 copy running-config startup-config


          例:
          switch(config)# copy running-config startup-config
           
          (任意)

          実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

           

          RADIUS サーバ グループのためのグローバル発信元インターフェイスの設定

          RADIUS サーバ グループにアクセスする際に使用する、RADIUS サーバ グループ用のグローバル発信元インターフェイスを設定できます。 また、特定の RADIUS サーバ グループ用に異なる発信元インターフェイスを設定することもできます。 デフォルトでは、Cisco NX-OS ソフトウェアは、使用可能なあらゆるインターフェイスを使用します。

          手順の概要

            1.    configure terminal

            2.    ip radius source-interface interface

            3.    exit

            4.    (任意) show radius-server

            5.    (任意) copy running-config startup config


          手順の詳細
             コマンドまたはアクション目的
            ステップ 1 configure terminal


            例:
            switch# configure terminal
            switch(config)
             

            グローバル コンフィギュレーション モードを開始します。

             
            ステップ 2 ip radius source-interface interface


            例:
            switch(config)# ip radius source-interface mgmt 0
             

            このデバイスで設定されているすべての RADIUS サーバ グループ用のグローバル発信元インターフェイスを設定します。

             
            ステップ 3exit


            例:
            switch(config)# exit
            switch#
             

            コンフィギュレーション モードを終了します。

             
            ステップ 4show radius-server


            例:
            switch# show radius-server
             
            (任意)

            RADIUS サーバの設定情報を表示します。

             
            ステップ 5copy running-config startup config


            例:
            switch# copy running-config startup-config
             
            (任意)

            実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

             

            ログイン時にユーザによる RADIUS サーバの指定を許可

            デフォルトでは、Cisco NX-OS デバイスはデフォルトの AAA 認証方式に基づいて認証要求を転送します。 VRF と認証要求送信先 RADIUS サーバをユーザが指定できるように Cisco NX-OS デバイスを設定するには、directed-request オプションをイネーブルにします。 このオプションをイネーブルにした場合、ユーザは username@vrfname:hostname としてログインできます。ここで、vrfname は使用する VRF、hostname は設定された RADIUS サーバの名前です。


            (注)  


            directed-request オプションをイネーブルにすると、Cisco NX-OS デバイスでは認証に RADIUS 方式だけを使用し、デフォルトのローカル方式は使用しないようになります。



            (注)  


            ユーザ指定のログインは Telnet セッションに限りサポートされます。


            手順の概要

              1.    configure terminal

              2.    radius-server directed-request

              3.    (任意) show radius {pending | pending-diff}

              4.    (任意) radius commit

              5.    exit

              6.    (任意) show radius-server directed-request

              7.    (任意) copy running-config startup-config


            手順の詳細
               コマンドまたはアクション目的
              ステップ 1 configure terminal


              例:
              switch# configure terminal
              switch(config)#
               

              グローバル コンフィギュレーション モードを開始します。

               
              ステップ 2 radius-server directed-request


              例:
              switch(config)# radius-server directed-request
               

              ログイン時にユーザが認証要求の送信先となる RADIUS サーバを指定できるようにします。 デフォルトはディセーブルです。

               
              ステップ 3 show radius {pending | pending-diff}


              例:
              switch(config)# show radius pending
               
              (任意)

              配布するために保留状態になっている RADIUS 設定を表示します。

               
              ステップ 4 radius commit


              例:
              switch(config)# radius commit
               
              (任意)

              一時データベース内にある RADIUS の設定変更を実行コンフィギュレーションに適用します。

               
              ステップ 5 exit


              例:
              switch(config)# exit
              switch#
               

              コンフィギュレーション モードを終了します。

               
              ステップ 6 show radius-server directed-request


              例:
              switch# show radius-server directed-request
               
              (任意)

              directed request の設定を表示します。

               
              ステップ 7 copy running-config startup-config


              例:
              switch# copy running-config startup-config
               
              (任意)

              実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

               

              グローバルな RADIUS 送信リトライ回数とタイムアウト間隔の設定

              すべての RADIUS サーバに対するグローバルな再送信リトライ回数とタイムアウト間隔を設定できます。 デフォルトでは、Cisco NX-OS デバイスはローカル認証に戻す前に、RADIUS サーバへの送信を 1 回だけ再試行します。 このリトライの回数は、サーバごとに最大 5 回まで増やすことができます。 タイムアウト間隔には、Cisco NX-OS デバイスが RADIUS サーバからの応答を待つ時間を指定します。これを過ぎるとタイムアウト エラーになります。

              手順の概要

                1.    configure terminal

                2.    radius-server retransmit count

                3.    radius-server timeout seconds

                4.    (任意) show radius {pending | pending-diff}

                5.    (任意) radius commit

                6.    exit

                7.    (任意) show radius-server

                8.    (任意) copy running-config startup-config


              手順の詳細
                 コマンドまたはアクション目的
                ステップ 1 configure terminal


                例:
                switch# configure terminal
                switch(config)#
                 

                グローバル コンフィギュレーション モードを開始します。

                 
                ステップ 2 radius-server retransmit count


                例:
                switch(config)# radius-server retransmit 3
                 

                すべての RADIUS サーバの再送信回数を指定します。 デフォルトの再送信回数は 1 で、範囲は 0 ~ 5 です。

                 
                ステップ 3 radius-server timeout seconds


                例:
                switch(config)# radius-server timeout 10 
                 

                RADIUS サーバの送信タイムアウト間隔を指定します。 デフォルトのタイムアウト間隔は 5 秒で、範囲は 1 ~ 60 秒です。

                 
                ステップ 4 show radius {pending | pending-diff}


                例:
                switch(config)# show radius pending
                 
                (任意)

                配布するために保留状態になっている RADIUS 設定を表示します。

                 
                ステップ 5 radius commit


                例:
                switch(config)# radius commit
                 
                (任意)

                一時データベース内にある RADIUS の設定変更を実行コンフィギュレーションに適用します。

                 
                ステップ 6 exit


                例:
                switch(config)# exit
                switch#
                 

                コンフィギュレーション モードを終了します。

                 
                ステップ 7 show radius-server


                例:
                switch# show radius-server
                 
                (任意)

                RADIUS サーバの設定を表示します。

                 
                ステップ 8 copy running-config startup-config


                例:
                switch# copy running-config startup-config
                 
                (任意)

                実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                 

                サーバに対する RADIUS 送信リトライ回数とタイムアウト間隔の設定

                デフォルトでは、Cisco NX-OS デバイスはローカル認証に戻す前に、RADIUS サーバへの送信を 1 回だけ再試行します。 このリトライの回数は、サーバごとに最大 5 回まで増やすことができます。 Cisco NX-OS デバイスが、タイムアウト エラーを宣言する前に、RADIUS サーバからの応答を待機するタイムアウト間隔も設定できます。

                はじめる前に

                1 つまたは複数の RADIUS サーバ ホストを設定します。

                手順の概要

                  1.    configure terminal

                  2.    radius-server host {ipv4-address | ipv6-address | hostname} retransmit count

                  3.    radius-server host {ipv4-address | ipv6-address | hostname} timeout seconds

                  4.    (任意) show radius {pending | pending-diff}

                  5.    (任意) radius commit

                  6.    exit

                  7.    (任意) show radius-server

                  8.    (任意) copy running-config startup-config


                手順の詳細
                   コマンドまたはアクション目的
                  ステップ 1 configure terminal


                  例:
                  switch# configure terminal
                  switch(config)#
                   

                  グローバル コンフィギュレーション モードを開始します。

                   
                  ステップ 2 radius-server host {ipv4-address | ipv6-address | hostname} retransmit count


                  例:
                  switch(config)# radius-server host server1 retransmit 3
                   

                  特定のサーバに対する再送信回数を指定します。 デフォルトはグローバル値です。

                  (注)     

                  特定の RADIUS サーバに指定した再送信回数は、すべての RADIUS サーバに指定した再送信回数より優先されます。

                   
                  ステップ 3 radius-server host {ipv4-address | ipv6-address | hostname} timeout seconds


                  例:
                  switch(config)# radius-server host server1 timeout 10
                   

                  特定のサーバの送信タイムアウト間隔を指定します。 デフォルトはグローバル値です。

                  (注)     

                  特定の RADIUS サーバに指定したタイムアウト間隔は、すべての RADIUS サーバに指定したタイムアウト間隔より優先されます。

                   
                  ステップ 4 show radius {pending | pending-diff}


                  例:
                  switch(config)# show radius pending
                   
                  (任意)

                  配布するために保留状態になっている RADIUS 設定を表示します。

                   
                  ステップ 5 radius commit


                  例:
                  switch(config)# radius commit
                   
                  (任意)

                  一時データベース内にある RADIUS の設定変更を実行コンフィギュレーションに適用し、CFS によるユーザ ロール設定の配布機能をイネーブルにしている場合は、RADIUS 設定を他の Cisco NX-OS デバイスに配布します。

                   
                  ステップ 6 exit


                  例:
                  switch(config)# exit
                  switch#
                   

                  コンフィギュレーション モードを終了します。

                   
                  ステップ 7 show radius-server


                  例:
                  switch# show radius-server
                   
                  (任意)

                  RADIUS サーバの設定を表示します。

                   
                  ステップ 8 copy running-config startup-config


                  例:
                  switch# copy running-config startup-config
                   
                  (任意)

                  実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                   

                  RADIUS サーバのアカウンティングおよび認証属性の設定

                  RADIUS サーバをアカウンティング専用、または認証専用に使用するかを指定できます。 デフォルトでは、RADIUS サーバはアカウンティングと認証の両方に使用されます。 また、デフォルトのポートとの競合が発生する場合は、RADIUS アカウンティング メッセージと認証メッセージの送信先である宛先 UDP ポート番号を指定することもできます。

                  はじめる前に

                  1 つまたは複数の RADIUS サーバ ホストを設定します。

                  手順の概要

                    1.    configure terminal

                    2.    (任意) radius-server host {ipv4-address | ipv6-address | hostname} acct-port udp-port

                    3.    (任意) radius-server host {ipv4-address | ipv6-address | hostname} accounting

                    4.    (任意) radius-server host {ipv4-address | ipv6-address | hostname} auth-port udp-port

                    5.    (任意) radius-server host {ipv4-address | ipv6-address | hostname} authentication

                    6.    (任意) show radius {pending | pending-diff}

                    7.    (任意) radius commit

                    8.    exit

                    9.    (任意) show radius-server

                    10.    (任意) copy running-config startup-config


                  手順の詳細
                     コマンドまたはアクション目的
                    ステップ 1 configure terminal


                    例:
                    switch# configure terminal
                    switch(config)#
                     

                    グローバル コンフィギュレーション モードを開始します。

                     
                    ステップ 2 radius-server host {ipv4-address | ipv6-address | hostname} acct-port udp-port


                    例:
                    switch(config)# radius-server host 10.10.1.1 acct-port 2004
                     
                    (任意)

                    RADIUS アカウンティングのメッセージに使用する UDP ポートを指定します。 デフォルトの UDP ポートは 1813 です。 指定できる範囲は 0 ~ 65535 です。

                     
                    ステップ 3 radius-server host {ipv4-address | ipv6-address | hostname} accounting


                    例:
                    switch(config)# radius-server host 10.10.1.1 accounting
                     
                    (任意)

                    RADIUS サーバをアカウンティングだけに使用することを指定します。 デフォルトでは、アカウンティングと認証の両方に使用されます。

                     
                    ステップ 4 radius-server host {ipv4-address | ipv6-address | hostname} auth-port udp-port


                    例:
                    switch(config)# radius-server host 10.10.2.2 auth-port 2005
                     
                    (任意)

                    RADIUS 認証メッセージ用の UDP ポートを指定します。 デフォルトの UDP ポートは 1812 です。 指定できる範囲は 0 ~ 65535 です。

                     
                    ステップ 5 radius-server host {ipv4-address | ipv6-address | hostname} authentication


                    例:
                    switch(config)# radius-server host 10.10.2.2 authentication
                     
                    (任意)

                    RADIUS サーバを認証だけに使用することを指定します。 デフォルトでは、アカウンティングと認証の両方に使用されます。

                     
                    ステップ 6 show radius {pending | pending-diff}


                    例:
                    switch(config)# show radius pending
                     
                    (任意)

                    配布するために保留状態になっている RADIUS 設定を表示します。

                     
                    ステップ 7 radius commit


                    例:
                    switch(config)# radius commit
                     
                    (任意)

                    一時データベース内にある RADIUS の設定変更を実行コンフィギュレーションに適用します。

                     
                    ステップ 8 exit


                    例:
                    switch(config)# exit
                    switch#
                     

                    コンフィギュレーション モードを終了します。

                     
                    ステップ 9 show radius-server


                    例:
                    switch(config)# show radius-server
                     
                    (任意)

                    RADIUS サーバの設定を表示します。

                     
                    ステップ 10 copy running-config startup-config


                    例:
                    switch# copy running-config startup-config
                     
                    (任意)

                    実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                     

                    RADIUS サーバのグローバルな定期モニタリングの設定

                    各サーバに個別にテスト パラメータを設定しなくても、すべての RADIUS サーバの可用性をモニタリングできます。 テスト パラメータが設定されていないサーバは、グローバル レベルのパラメータを使用してモニタリングされます。


                    (注)  


                    各サーバ用に設定されたテスト パラメータは、グローバルのテスト パラメータより優先されます。


                    グローバル コンフィギュレーション パラメータには、サーバで使用するユーザ名とパスワード、およびアイドル タイマーなどがあります。 アイドル タイマーには、RADIUS サーバがどのくらいの期間要求を受信しなかった場合に、Cisco NX-OS デバイスがテスト パケットを送信するかを指定します。 このオプションを設定して定期的にサーバをテストしたり、1 回だけテストを実行したりできます。


                    (注)  


                    ネットワークのセキュリティを保護するために、RADIUS データベースの既存のユーザ名と同じものを使用しないことを推奨します。



                    (注)  


                    デフォルトのアイドル タイマー値は 0 分です。 アイドル タイム インターバルが 0 分の場合、RADIUS サーバの定期的なモニタリングは実行されません。


                    はじめる前に

                    RADIUS をイネーブルにします。

                    手順の概要

                      1.    configure terminal

                      2.    radius-server test {idle-time minutes | password password [idle-time minutes] | username name [password password [idle-time minutes]]}

                      3.    radius-server deadtime minutes

                      4.    exit

                      5.    (任意) show radius-server

                      6.    (任意) copy running-config startup-config


                    手順の詳細
                       コマンドまたはアクション目的
                      ステップ 1 configure terminal


                      例:
                      switch# configure terminal
                      switch(config)#
                       

                      グローバル コンフィギュレーション モードを開始します。

                       
                      ステップ 2 radius-server test {idle-time minutes | password password [idle-time minutes] | username name [password password [idle-time minutes]]}


                      例:
                      switch(config)# radius-server test username user1 password Ur2Gd2BH idle-time 3
                       

                      グローバルなサーバ モニタリング用のパラメータを指定します。 デフォルトのユーザ名は test、デフォルトのパスワードは test です。 アイドル タイマーのデフォルト値は 0 分です。有効な範囲は 0 ~ 1440 分です。

                      (注)     

                      RADIUS サーバの定期的なモニタリングを行うには、アイドル タイマーに 0 より大きな値を設定する必要があります。

                       
                      ステップ 3 radius-server deadtime minutes


                      例:
                      switch(config)# radius-server deadtime 5
                       

                      Cisco NX-OS デバイスが、前回応答しなかった RADIUS サーバをチェックするまでの時間(分)を指定します。 デフォルト値は 0 分です。有効な範囲は 0 ~ 1440 分です。

                       
                      ステップ 4 exit


                      例:
                      switch(config)# exit
                      switch#
                       

                      コンフィギュレーション モードを終了します。

                       
                      ステップ 5 show radius-server


                      例:
                      switch# show radius-server
                       
                      (任意)

                      RADIUS サーバの設定を表示します。

                       
                      ステップ 6 copy running-config startup-config


                      例:
                      switch# copy running-config startup-config
                       
                      (任意)

                      実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                       

                      各 RADIUS サーバの定期モニタリングの設定

                      各 RADIUS サーバの可用性をモニタリングできます。 コンフィギュレーション パラメータには、サーバで使用するユーザ名とパスワード、およびアイドル タイマーなどがあります。 アイドル タイマーには、RADIUS サーバがどのくらいの期間要求を受信しなかった場合に Cisco NX-OS スイッチがテスト パケットを送信するかを指定します。 このオプションを設定して定期的にサーバをテストしたり、1 回だけテストを実行したりできます。


                      (注)  


                      各サーバ用に設定されたテスト パラメータは、グローバルのテスト パラメータより優先されます。



                      (注)  


                      セキュリティ上の理由から、RADIUS データベース内の既存のユーザ名と同じテスト ユーザ名を設定しないことを推奨します。



                      (注)  


                      デフォルトのアイドル タイマー値は 0 分です。 アイドル時間間隔が 0 分の場合、Cisco NX-OS デバイスは、RADIUS サーバの定期的なモニタリングを実行しません。


                      はじめる前に

                      RADIUS をイネーブルにします。

                      1 つまたは複数の RADIUS サーバ ホストを追加します。

                      手順の概要

                        1.    configure terminal

                        2.    radius-server host {ipv4-address | ipv6-address | hostname} test {idle-time minutes | password password [idle-time minutes] | username name [password password [idle-time minutes]]}

                        3.    radius-server deadtime minutes

                        4.    exit

                        5.    (任意) show radius-server

                        6.    (任意) copy running-config startup-config


                      手順の詳細
                         コマンドまたはアクション目的
                        ステップ 1 configure terminal


                        例:
                        switch# configure terminal
                        switch(config)#
                         

                        グローバル コンフィギュレーション モードを開始します。

                         
                        ステップ 2 radius-server host {ipv4-address | ipv6-address | hostname} test {idle-time minutes | password password [idle-time minutes] | username name [password password [idle-time minutes]]}


                        例:
                        switch(config)# radius-server host 10.10.1.1 test username user1 password Ur2Gd2BH idle-time 3
                         

                        サーバ モニタリング用のパラメータを個別に指定します。 デフォルトのユーザ名は test、デフォルトのパスワードは test です。 アイドル タイマーのデフォルト値は 0 分です。有効な範囲は 0 ~ 1440 分です。

                        (注)     

                        RADIUS サーバの定期的なモニタリングを行うには、アイドル タイマーに 0 より大きな値を設定する必要があります。

                         
                        ステップ 3 radius-server deadtime minutes


                        例:
                        switch(config)# radius-server deadtime 5
                         

                        Cisco NX-OS デバイスが、前回応答しなかった RADIUS サーバをチェックするまでの時間(分)を指定します。 デフォルト値は 0 分です。有効な範囲は 1 ~ 1440 分です。

                         
                        ステップ 4 exit


                        例:
                        switch(config)# exit
                        switch#
                         

                        コンフィギュレーション モードを終了します。

                         
                        ステップ 5 show radius-server


                        例:
                        switch# show radius-server
                         
                        (任意)

                        RADIUS サーバの設定を表示します。

                         
                        ステップ 6 copy running-config startup-config


                        例:
                        switch# copy running-config startup-config
                         
                        (任意)

                        実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                         

                        RADIUS デッド タイム間隔の設定

                        すべての RADIUS サーバのデッド タイム間隔を設定できます。 デッド タイム間隔には、Cisco NX-OS デバイスが、RADIUS サーバをデッド状態であると宣言した後、そのサーバがアライブ状態に戻ったかどうかを確認するためにテスト パケットを送信するまでの間隔を指定します。 デフォルト値は 0 分です。


                        (注)  


                        デッド タイム間隔が 0 分の場合、RADIUS サーバは、応答を返さない場合でも、デットとしてマークされません。 RADIUS サーバ グループに対するデッド タイム間隔を設定できます。


                        手順の概要

                          1.    configure terminal

                          2.    radius-server deadtime minutes

                          3.    (任意) show radius {pending | pending-diff}

                          4.    (任意) radius commit

                          5.    exit

                          6.    (任意) show radius-server

                          7.    (任意) copy running-config startup-config


                        手順の詳細
                           コマンドまたはアクション目的
                          ステップ 1 configure terminal


                          例:
                          switch# configure terminal
                          switch(config)#
                           

                          グローバル コンフィギュレーション モードを開始します。

                           
                          ステップ 2 radius-server deadtime minutes


                          例:
                          switch(config)# radius-server deadtime 5
                           

                          デッド タイム間隔を設定します。 デフォルト値は 0 分です。 有効な範囲は 1 ~ 1440 分です。

                           
                          ステップ 3 show radius {pending | pending-diff}


                          例:
                          switch(config)# show radius pending
                           
                          (任意)

                          配布するために保留状態になっている RADIUS 設定を表示します。

                           
                          ステップ 4 radius commit


                          例:
                          switch(config)# radius commit
                           
                          (任意)

                          一時データベース内にある RADIUS の設定変更を実行コンフィギュレーションに適用します。

                           
                          ステップ 5 exit


                          例:
                          switch(config)# exit
                          switch#
                           

                          設定モードを終了します。

                           
                          ステップ 6 show radius-server


                          例:
                          switch# show radius-server
                           
                          (任意)

                          RADIUS サーバの設定を表示します。

                           
                          ステップ 7 copy running-config startup-config


                          例:
                          switch# copy running-config startup-config
                           
                          (任意)

                          実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                           

                          ワンタイム パスワードの設定

                          RSA SecurID トークン サーバを使用することで、Cisco NX-OS デバイスでワンタイム パスワード(OTP)をサポートできます。 この機能を使用すると、ユーザは、暗証番号(ワンタイム パスワード)とその時点で RSA SecurID トークンに表示されるトークン コードの両方を入力することで、Cisco NX-OS デバイスに対する認証を実行できます。


                          (注)  


                          Cisco NX-OS デバイスにログインするために使用されるトークン コードは、60 秒ごとに変更されます。 デバイス検出に関する問題を防ぐために、Cisco Secure ACS 内部データベースに存在する異なるユーザ名を使用することを推奨します。


                          はじめる前に

                          Cisco NX-OS デバイスで、RADIUS サーバ ホストとデフォルトのリモート ログイン認証を設定します。

                          次のものがインストールされていることを確認します。
                          • Cisco Secure Access Control Server(ACS)Version 4.2
                          • RSA Authentication Manager Version 7.1(RSA SecurID トークン サーバ)
                          • RSA ACE Agent/Client

                          ワンタイム パスワードをサポートするために、Cisco NX-OS デバイスで(RADIUS サーバ ホストとリモート認証以外の)設定を行う必要はありません。 ただし、Cisco Secure ACS を次のように設定する必要があります。

                          1. RSA SecurID トークン サーバ認証をイネーブルにします。
                          2. RSA SecurID トークン サーバを不明ユーザ ポリシー データベースに追加します。

                          RADIUS サーバまたはサーバ グループの手動モニタリング

                          RADIUS サーバまたはサーバ グループに対し手動でテスト メッセージを送信できます。

                          手順の概要

                            1.    test aaa server radius {ipv4-address | ipv6-address | hostname} [vrf vrf-name] username password

                            2.    test aaa group group-name username password


                          手順の詳細
                             コマンドまたはアクション目的
                            ステップ 1 test aaa server radius {ipv4-address | ipv6-address | hostname} [vrf vrf-name] username password


                            例:
                            switch# test aaa server radius 10.10.1.1 user1 Ur2Gd2BH
                             

                            RADIUS サーバにテスト メッセージを送信して可用性を確認します。

                             
                            ステップ 2 test aaa group group-name username password


                            例:
                            switch# test aaa group RadGroup user2 As3He3CI
                             

                            RADIUS サーバ グループにテスト メッセージを送信して可用性を確認します。

                             

                            RADIUS 設定の確認

                            RADIUS の設定情報を表示するには、次のいずれかの作業を行います。

                            コマンド

                            目的

                            show radius {status | pending | pending-diff}

                            Cisco Fabric Services の RADIUS 設定の配布状況と他の詳細事項を表示します。

                            show running-config radius [all]

                            実行コンフィギュレーションの RADIUS 設定を表示します。

                            show startup-config radius

                            スタートアップ コンフィギュレーションの RADIUS 設定を表示します。

                            show radius-server [hostname | ipv4-address | ipv6-address] [directed-request | groups | sorted | statistics]

                            設定済みのすべての RADIUS サーバのパラメータを表示します。

                            RADIUS サーバのモニタリング

                            Cisco NX-OS デバイスが保持している RADIUS サーバのアクティビティに関する統計情報をモニタします。

                            はじめる前に

                            1 つまたは複数の RADIUS サーバ ホストを設定します。

                            手順の概要

                              1.    show radius-server statistics {hostname | ipv4-address | ipv6-address}


                            手順の詳細
                               コマンドまたはアクション目的
                              ステップ 1 show radius-server statistics {hostname | ipv4-address | ipv6-address}


                              例:
                              switch# show radius-server statistics 10.10.1.1
                               

                              RADIUS 統計情報を表示します。

                               

                              RADIUS サーバ統計情報のクリア

                              Cisco NX-OS デバイスが保持している RADIUS サーバのアクティビティに関する統計情報を表示します。

                              はじめる前に

                              Cisco NX-OS デバイスの RADIUS サーバを設定します。

                              手順の概要

                                1.    (任意) show radius-server statistics {hostname | ipv4-address | ipv6-address}

                                2.    clear radius-server statistics {hostname | ipv4-address | ipv6-address}


                              手順の詳細
                                 コマンドまたはアクション目的
                                ステップ 1 show radius-server statistics {hostname | ipv4-address | ipv6-address}


                                例:
                                switch# show radius-server statistics 10.10.1.1
                                 
                                (任意)

                                Cisco NX-OS デバイスの RADIUS サーバ統計情報を表示します。

                                 
                                ステップ 2 clear radius-server statistics {hostname | ipv4-address | ipv6-address}


                                例:
                                switch# clear radius-server statistics 10.10.1.1
                                 

                                RADIUS サーバ統計情報をクリアします。

                                 

                                RADIUS の設定例

                                次に、RADIUS を設定する例を示します。

                                radius-server key 7 "ToIkLhPpG" 
                                radius-server host 10.10.1.1 key 7 "ShMoMhTl" authentication accounting 
                                aaa group server radius RadServer
                                    server 10.10.1.1

                                次の作業

                                これで、サーバ グループも含めて AAA 認証方式を設定できるようになります。

                                RADIUS に関する追加情報

                                ここでは、RADIUS の実装に関する追加情報について説明します。

                                関連資料

                                関連項目

                                参照先

                                Cisco NX-OS のライセンス

                                Cisco NX-OS ライセンス ガイド

                                VRF コンフィギュレーション

                                『Cisco Nexus 9000 Series NX-OS Unicast Routing Configuration Guide』

                                標準

                                標準

                                タイトル

                                この機能では、新規の標準がサポートされることも、一部変更された標準がサポートされることもありません。また、既存の標準に対するサポートが変更されることもありません。

                                MIB

                                MIB

                                MIB のリンク

                                RADIUS に関連する MIB

                                サポートされている MIB を検索およびダウンロードするには、次の URL にアクセスしてください。

                                ftp:/​/​ftp.cisco.com/​pub/​mibs/​supportlists/​nexus9000/​Nexus9000MIBSupportList.html