Catalyst 6500 シリーズ スイッチ ソフトウェア コンフィギュレーション ガイド
AAAによるスイッチ アクセスの設定
AAAによるスイッチ アクセスの設定
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

AAAによるスイッチ アクセスの設定

認証の機能

認証の概要

ログイン認証の機能

ローカル認証の機能

ローカル ユーザ認証の機能

TACACS+認証の機能

RADIUS認証の機能

Kerberos認証の機能

Kerberos対応のログイン手順を使用する場合

Kerberos非対応のログイン手順を使用する場合

スイッチにおける認証の設定

認証のデフォルト設定

認証設定時の注意事項

ログイン認証の設定

スイッチ上でのログイン認証の試行回数の設定

イネーブル モードのログイン認証試行回数の設定

ローカル認証の設定

ローカル認証のイネーブル化

ログイン パスワードの設定

イネーブル パスワードの設定

ローカル認証のディセーブル化

パスワードを忘れた場合

ローカルユーザ認証の設定

ローカル ユーザ アカウントの作成

ローカル ユーザ認証のイネーブル化

ローカル ユーザ認証のディセーブル化

ローカル ユーザ アカウントの削除

TACACS+認証の設定

TACACS+サーバの指定

TACACS+認証のイネーブル化

TACACS+鍵の指定

TACACS+タイムアウト インターバルの指定

TACACS+ログイン試行回数の指定

TACACS+指定要求のイネーブル化

TACACS+指定要求のディセーブル化

TACACS+サーバの削除

TACACS+鍵の削除

TACACS+認証のディセーブル化

RADIUS認証の設定

RADIUSサーバの指定

RADIUS鍵の指定

RADIUS認証のイネーブル化

RADIUSタイムアウト インターバルの指定

RADIUS再送信試行回数の指定

RADIUS待機時間の指定

RADIUSサーバのオプションの属性の指定

RADIUSサーバの削除

RADIUS鍵の削除

RADIUS認証のディセーブル化

Kerberos認証の設定

Kerberosサーバの設定

Kerberosのイネーブル化

Kerberosローカル レルムの定義

Kerberosサーバの指定

Kerberosレルムとホスト名またはDNSドメインのマッピング

SRVTABファイルのコピー

SRVTABエントリの削除

証明書転送のイネーブル化

証明書転送のディセーブル化

プライベートDES鍵の定義および削除

Telnetセッションの暗号化

Kerberos設定の表示および消去

認証の例

許可の機能

許可の概要

許可イベント

TACACS+プライマリ オプションおよび代替オプション

TACACS+コマンドの許可

RADIUS許可

スイッチにおける許可の設定

TACACS+許可のデフォルト設定

TACACS+許可の設定時の注意事項

TACACS+許可の設定

TACACS+許可のイネーブル化

TACACS+許可のディセーブル化

RADIUS許可の設定

RADIUS許可のイネーブル化

RASIUS許可のディセーブル化

許可の例

アカウンティングの機能

アカウンティングの概要

アカウンティング イベント

アカウンティング レコードを作成する場合の指定

RADIUSサーバの指定

サーバのアップデート

アカウンティングの抑制

スイッチにおけるアカウンティングの設定

アカウンティングのデフォルト設定

アカウンティング設定時の注意事項

アカウンティングの設定

アカウンティングのイネーブル化

アカウンティングのディセーブル化

アカウンティングの例

AAAによるスイッチ アクセスの設定

この章では、Authentication, Authorization, Accounting(AAA;認証、許可、アカウンティング)を設定して、Catalyst 6500シリーズ スイッチのCLI(コマンドライン インターフェイス)へのアクセスをモニタおよび制御する方法について説明します。


) この章で使用しているコマンドの構文および使用方法の詳細については、『Catalyst 6500 Series Switch Command Reference』を参照してください。



) 802.1x認証の設定により、アクセスを許可されているポートから不正なデバイスがLAN接続するのを制限する手順については、「802.1x認証の設定」を参照してください。



) ホストMACアドレスに基づいてトラフィックを許可または制限するようにポートを設定する手順については、「ポート セキュリティの設定」を参照してください。


この章で説明する内容は、次のとおりです。

「認証の機能」

「スイッチにおける認証の設定」

「認証の例」

「許可の機能」

「スイッチにおける許可の設定」

「許可の例」

「アカウンティングの機能」

「スイッチにおけるアカウンティングの設定」

「アカウンティングの例」

認証の機能

ここでは、各認証方式のメカニズムについて説明します。

「認証の概要」

「ログイン認証の機能」

「ローカル認証の機能」

「ローカル ユーザ認証の機能」

「TACACS+認証の機能」

「RADIUS認証の機能」

「Kerberos認証の機能」

認証の概要

次の認証方式を任意に組み合わせて設定することにより、スイッチに対するアクセスを制御できます。

ログイン認証

ローカル認証

RADIUS認証

TACACS+認証

Kerberos認証


) 認証方式としてTACACS+を使用している場合、Kerberos認証は機能しません。


ローカル認証を1つまたは複数の他の認証方式と併用してイネーブルにすると、ローカル認証は常に最後に試行されます。ただし、コンソール接続とTelnet接続には異なる認証方式を指定することができます。たとえば、コンソール接続にローカル認証を使用して、Telnet接続にRADIUS認証を使用することができます。

ログイン認証の機能

ログイン認証は、不正ユーザにパスワードを推測させないようにすることで、セキュリティを向上させます。ユーザはスイッチに正常にログインするまでのログイン試行回数が制限されています。ユーザがパスワード認証に失敗した場合、システムはアクセスを延期し、SyslogおよびSNMP(簡易ネットワーク管理プロトコル)トラップにステーションのユーザIDおよびIPアドレスを記録します。

ログイン試行回数の最大値は、set authentication login attempt countコマンドを使用して、CLIおよびSNMPで設定できます。イネーブル モードへのアクセスに対してログイン制限を設定するには、set authentication enable attempt countコマンドを使用します。設定範囲は3(デフォルト)~10回です。ログイン認証をゼロ(0)に設定すると、この機能はディセーブルになります。

すべての認証方式(RADIUS、TACACS+、Kerberos、またはローカル)がサポートされています。

ロックアウト(遅延)時間は、set authentication login lockout timeコマンドを使用して、CLIおよびSNMPで設定できます。イネーブル モードへのアクセスに対して遅延時間を設定するには、set authentication enable lockout timeコマンドを使用します。設定範囲は30~43,200秒です。ロックアウト時間をゼロ(0)に設定すると、この機能はディセーブルになります。

ユーザがコンソールでロックアウトされると、ロックアウト時間が経過するまで、コンソールにログインすることはできません。Telnetセッションでロックアウトされた場合は、制限時間に達すると接続が終了します。スイッチは、ロックアウト時間が経過するまで、そのステーションからの以降のアクセスを無効にし、適切な通知を表示します。

ローカル認証の機能

ローカル認証では、ローカルで設定されたログイン パスワードとイネーブル パスワードを使用して、ログイン試行を認証します。ログイン パスワードおよびイネーブル パスワードは、各スイッチにローカルであり、個々のユーザ名とは対応づけられません。

デフォルトでは、ローカル認証はイネーブルに設定されています。1つまたは複数の他の認証方式をイネーブルにしたときだけ、ローカル認証をディセーブルにできます。ただし、ローカル認証がディセーブルのときに、その他すべての認証方式をディセーブルにすると、ローカル認証が自動的に再びイネーブルになります。

ローカル認証と共に、1つまたは複数の他の認証方式を同時にイネーブルにできます。ローカル認証は、他の認証方式が失敗した場合に限って、スイッチによって試行されます。

ローカル ユーザ認証の機能

ローカル ユーザ認証では、ローカル ユーザのログイン試行の確認のために作成する、ローカル ユーザ アカウントとパスワードを使用します。各スイッチで最大25のローカル ユーザ アカウントを設定できます。ローカル ユーザ認証をイネーブルにするには、先に最低限1つのローカル ユーザ アカウントを定義します。

ローカル ユーザ アカウントを設定するには、ローカル ユーザごとに一意のユーザ名およびパスワードの組み合わせを作成します。各ユーザ名は64文字以内の英数字を使用できます(最低限1文字は英字であること)。

ローカル ユーザ アカウントは権限レベル付きで設定します。有効な特権レベルは0または15です。特権レベルが0のローカル ユーザは、ユーザ モードでコマンドにアクセスできますが、特権レベルが15のローカル ユーザは、ユーザ モードとイネーブル モードの両方のコマンドにアクセスできます。

ローカル ユーザがログインすると、その特権レベルで利用できるコマンドだけが表示されます。ローカル ユーザがイネーブル モードを開始できるのは、正しいイネーブル パスワードを入力したときだけです。


) CiscoViewイメージを実行しているかHTTPログインを使用してログインしている場合は、システムの初期認証がユーザ名とパスワードの組み合わせで実行されます。ローカル ユーザに15の特権レベルが設定されていれば、特権パスワードを入力するかユーザ名とパスワードの組み合わせを使用するとイネーブル モードを開始できます。


TACACS+認証の機能

TACACS+は、ネットワーク装置と中央データベースの間でNetwork Access Server(NAS;ネットワーク アクセス サーバ)情報を交換し、ユーザまたはエンティティのアイデンティティを判別することにより、ネットワーク装置に対するアクセスを制御します。TACACS+は、RFC 1492で規定されているUser Datagram Protocol(UDP)ベースのアクセス制御プロトコル、TACACSの拡張バージョンです。TACACS+はTCPを使用して、ネットワーク装置上のTACACS+サーバとTACACS+デーモン間の全トラフィックを暗号化し、信頼性の高い配信を保証します。

TACACS+は、固定パスワード、ワンタイム パスワード、チャレンジ応答認証など、多数の認証タイプをサポートしています。TACACS+認証は、通常、次の状況で実行されます。

装置への最初のログオン時

権限付きアクセス権が必要なサービス要求の送信時

権限が必要なサービスまたは制限付きのサービスを要求すると、TACACS+により、MD5暗号化アルゴリズムに基づいてユーザのパスワード情報が暗号化され、TACACS+パケット ヘッダーが付加されます。このヘッダー情報には、送信パケットのタイプ(認証パケットなど)、パケット順序番号、使用した暗号タイプ、パケット合計長が含まれています。このパケットがTACACS+プロトコルによってTACACS+サーバに転送されます。

TACACS+サーバは、認証、許可、およびアカウンティングの機能を実行します。いずれのサービスもTACACS+の機能ですが、それぞれ独立しているので、TACACS+設定ごとに任意の組み合わせで使用できます。

パケットを受信したTACACS+サーバは、次のように動作します。

ユーザ情報を認証し、認証の成否をクライアントに通知します。

認証処理が続けられること、および追加情報が必要なことをクライアントに通知します。このチャレンジ応答プロセスは、認証の成否が確定するまで繰り返されます。

クライアントおよびサーバにTACACS+鍵を設定できます。スイッチ上でこの鍵を設定する場合、TACACS+サーバ上で設定されている鍵と一致させなければなりません。TACACS+クライアント/サーバはこの鍵を使用して、送信対象のあらゆるTACACS+パケットを暗号化します。TACACS+鍵を設定しなかった場合、パケットは暗号化されません。

スイッチ上で次のTACACS+パラメータを設定できます。

スイッチへのアクセスがユーザに許可されているかどうかを判別する、TACACS+認証のイネーブル化およびディセーブル化

イネーブル モードへのアクセスがユーザに許可されているかどうかを判別する、TACACS+認証のイネーブル化およびディセーブル化

プロトコル パケットを暗号化する鍵

TACACS+サーバ デーモンを常駐させるサーバ

ログインの最大試行回数

サーバ デーモンの応答に関するタイムアウト インターバル

directed request(指定要求)オプションのイネーブル化およびディセーブル化

TACACS+認証は、ディセーブルがデフォルトの設定です。TACACS+認証とローカル認証の両方を同時にイネーブルに設定できます。

ローカル認証がディセーブルのときに、その他すべての認証方式をディセーブルにすると、ローカル認証が自動的に再度イネーブルになります。

RADIUS認証の機能

RADIUSは、ネットワーク装置への接続を試みるユーザを認証する際に、NASが使用するクライアント/サーバ認証および許可アクセス プロトコルです。NASはクライアントとして動作するとき、1つまたは複数のRADIUSサーバにユーザ情報を引き渡します。NASは、1つまたは複数のRADIUSサーバから受信した応答に基づいて、ユーザに対してネットワーク アクセスを許可または拒否します。RADIUSでは、RADIUSクライアントとサーバ間の伝送にUDPを使用します。

クライアントおよびサーバ上でRADIUS鍵を設定できます。クライアント上で鍵を設定する場合は、RADIUSサーバ上で設定したものと同じでなければなりません。RADIUSクライアントおよびサーバは、鍵を使用して、転送されたRADIUSパケットをすべて暗号化します。RADIUS鍵を設定しないと、パケットは暗号化されません。鍵自体がネットワーク上を転送されることはありません。


) RADIUSプロトコルの詳細説明については、RFC 2138『Remote Authentication Dial In User Service(RADIUS)』を参照してください。


スイッチ上で設定できるRADIUSパラメータは次のとおりです。

ログイン アクセスを制御するためのRADIUS認証のイネーブル化およびディセーブル化

イネーブル アクセスを制御するためのRADIUS認証のイネーブル化およびディセーブル化

RADIUSサーバのIPアドレスおよびUDPポートの指定

RADIUSパケットの暗号化に使用するRADIUS鍵の指定

RADIUSサーバのタイムアウト インターバルの指定

RADIUS再送信カウントの指定

RADIUSサーバの待機時間の長さの指定

RADIUS認証のデフォルト設定は、ディセーブルです。RADIUS認証とその他の認証方式は同時にイネーブルにできます。最初に使用する方式は、 primary キーワードを使用して指定できます。

ローカル認証がディセーブルのときに、その他すべての認証方式をディセーブルにすると、ローカル認証が自動的に再度イネーブルになります。

Kerberos認証の機能

Kerberosは、クライアント/サーバ ベースの秘密鍵ネットワーク認証方式で、信頼できるKerberosサーバを使用して、サービスとユーザの両方に対するセキュア アクセスを確認します。Kerberosでは、この信頼できるサーバをKey Distribution Center(KDC;鍵発行局)といいます。KDCはユーザおよびサービスを検証するためにチケットを発行します。チケットは、特定のサービスに関してクライアントのアイデンティティを確認するための一時的な一連の電子信用情報です。

このチケットには有効期限があり、サービスがチケットの発行元であるKerberosサーバを信頼している場合、標準のパスワード ペアによる認証メカニズムの代わりにチケットを使用できます。標準のユーザ パスワード方式を使用する場合は、Kerberosがユーザのパスワードを暗号化してチケットに組み込み、パスワードがネットワーク上をクリア テキストとして流れないようにします。Kerberosを使用した場合、パスワードは、Kerberosサーバ以外の装置上で保存されるのは数秒以下です。Kerberosを使用すると、暗号化されたチケットをネットワークから盗もうとする侵入者に対しても防御できます。

表 21-1 に、Kerberosの用語を定義します。

 

表 21-1 Kerberosの用語

用語
定義

Kerberos対応

Kerberos証明書の基盤をサポートするように変更されたアプリケーションおよびサービス。

Kerberos証明書

TGT、サービス証明書など、認証チケットを表す総称。Kerberos証明書で、ユーザまたはサービスのチケットを検証します。ネットワーク サービスがチケットを発行したKerberosサーバを信頼することにした場合、ユーザ名およびパスワードを入力し直す代わりにKerberos証明書を使用できます。証明書の有効期限は、8時間がデフォルトの設定です。

Kerberosアイデンティティ

(Kerberosプリンシパルを参照)

Kerberosプリンシパル

Kerberosプリンシパルは、Kerberosサーバに基づき、ユーザが誰であるか、サービスが何であるかを表します。Kerberosアイデンティティともいいます。

Kerberosレルム

Kerberosサーバに登録されたユーザ、ホスト、およびネットワーク サービスで構成されるドメイン。Kerberosサーバを信頼して、ユーザまたはネットワーク サービスに対する別のユーザまたはネットワーク サービスのアイデンティティ検証が行われます。Kerberosレルムは、常に大文字です。

Kerberosサーバ

ネットワーク ホスト上で稼働しているデーモン。ユーザおよびネットワーク サービスは、それぞれのアイデンティティをKerberosサーバに登録します。ネットワーク サービスはKerberosサーバにクエリを出して、他のネットワーク サービスを認証します。

Key Distribution Center
(KDC;鍵発行局)

ネットワーク ホスト上で稼働しているKerberosサーバおよびデータベース プログラム。さまざまなユーザまたはネットワーク サービスにKerberos証明書を割り当てます。

サービス証明書

ネットワーク サービスに関する証明書。KDCから発行されるこの証明書は、ネットワーク サービスとKDC間で共通のパスワード、およびユーザのTGTと一緒に暗号化されます。

SRVTAB

ネットワーク サービスがKDCと共有するパスワード。ネットワーク サービスは、SRVTAB(別名KEYTAB)を使用することにより、暗号化されたサービス証明書を認証して解読します。

Ticket Granting Ticket
(TGT;身分証明書)

KDCが認証済みユーザに発行する証明書。TGTを受け取ったユーザは、KDCが表したKerberosレルム内のネットワーク サービスに関して、認証を得ることができます。

Catalyst 6500シリーズ スイッチでは、コンソール ポートおよび帯域内管理ポートの両方で、TelnetクライアントおよびサーバをKerberos対応にすることができます。


) 認証メカニズムとしてTACACS+を使用している場合、Kerberos認証は機能しません。



) モデムまたは端末サーバからコンソールにログインする場合は、Kerberos対応のログイン手順を使用できません。


Kerberos対応のログイン手順を使用する場合

帯域内管理ポートからログインする場合は、Kerberos対応のTelnetセッションを使用できます。TelnetクライアントおよびサービスがKerberos対応になっている場合、ユーザは次の手順でスイッチにTelnetでアクセスします。

1. Telnetクライアントにはユーザ名を尋ね、Kerberosサーバ上のKDCにTGT要求を出します。

2. KDCがTGTを作成します。TGTにはユーザのアイデンティティ、KDCのアイデンティティ、TGTの有効期限が指定されます。KDCはさらに、ユーザのパスワードと共にTGTを暗号化し、そのTGTをクライアントに送信します。

3. 暗号化されたTGTを受け取ったTelnetクライアントは、パスワードを要求します。Telnetクライアントが入力されたパスワードを使用してTGTを解読できた場合、KDCの認証が正常に得られます。クライアントはその後、サービス証明書要求を作成してKDCに送信します。この要求には、ユーザのアイデンティティ、およびスイッチにTelnetで接続することを伝えるメッセージが含まれます。この要求はTGTを使用して暗号化されます。

4. KDCがクライアントに発行したTGTを使用してサービス証明書要求を正しく解読できた場合、スイッチへのサービスが用意されます。サービス証明書にはクライアントのアイデンティティ、および所定のTelnetサーバのアイデンティティが指定されます。KDCはさらに、スイッチのTelnetサーバと共通のパスワードを使用して証明書を暗号化し、生成されたパケットをTelnetクライアントのTGTで暗号化して、クライアントにパケットを送信します。

5. Telnetクライアントはまず、自身のTGTを使用してパケットを解読します。暗号化に問題がなければ、クライアントからスイッチのTelnetサーバへ、生成されたパケットを送信します。この時点では、パケットはまだ、スイッチのTelnetサーバとKDCが共有するパスワードで暗号化された状態です。

6. Telnetクライアントは指示された場合、TGTをスイッチに転送します。その結果、別のTGTを取得しなくても、スイッチの別のネットワーク サービスを使用できます。

図 21-1に、Kerberos対応Telnetの接続プロセスを示します。

図 21-1 Kerberos対応のTelnet接続

 

Kerberos非対応のログイン手順を使用する場合

Kerberos非対応のログイン手順を使用してスイッチにログインする場合、スイッチがログイン クライアントの代わりに、KDCに対する認証を処理します。ただし、ユーザのパスワードはクリア テキストでログイン クライアントからスイッチに送信されます。


) Kerberos非対応のログインは、モデムまたは端末サーバから、帯域内管理ポートを使用して実行できます。Telnetは、Kerberos非対応のログインをサポートしていません。


Kerberos非対応のログインを開始した場合、手順は次のようになります。

1. ユーザ名およびパスワードを入力するように要求されます。

2. スイッチからKDCにTGTを要求します。その結果、ユーザはスイッチの認証を受けることができます。

3. KDCがスイッチに暗号化されたTGTを送信します。TGTにはユーザのアイデンティティ、KDCのアイデンティティ、TGTの有効期限が指定されます。

4. スイッチはユーザが入力したパスワードを使用して、TGTを解読します。解読が正常に完了した場合、ユーザはスイッチの認証が得られます。

5. 他のネットワーク サービスにアクセスする場合は、KDCに直接アクセスして認証を受ける必要があります。TGTを取得するには、Kerberosパッケージに付属しているクライアント ソフトウェア プログラム[kinit]を使用します。

図 21-2に、Kerberos非対応のログイン プロセスを示します。

図 21-2 Kerberos非対応のTelnet接続

 

スイッチにおける認証の設定

ここでは、さまざまな認証方式を設定する手順について説明します。

「認証のデフォルト設定」

「認証設定時の注意事項」

「ログイン認証の設定」

「ローカル認証の設定」

「ローカルユーザ認証の設定」

「TACACS+認証の設定」

「RADIUS認証の設定」

「Kerberos認証の設定」

「認証の例」

認証のデフォルト設定

表 21-2 に、認証のデフォルト設定を示します。

 

表 21-2 認証のデフォルト設定

機能
デフォルト値

ログイン認証(コンソールおよびTelnet)

イネーブル

ローカル認証(コンソールおよびTelnet)

イネーブル

ローカル ユーザ認証

ディセーブル

TACACS+ログイン認証(コンソールおよびTelnet)

ディセーブル

TACACS+イネーブル認証(コンソールおよびTelnet)

ディセーブル

TACACS+鍵

指定なし

TACACS+ログイン試行回数

3

TACACS+サーバ タイムアウト

5秒

TACACS+指定要求

ディセーブル

RADIUSログイン認証(コンソールおよびTelnet)

ディセーブル

RADIUSイネーブル認証(コンソールおよびTelnet)

ディセーブル

RADIUSサーバIPアドレス

指定なし

RADIUSサーバUDP認証ポート

ポート1812

RADIUS鍵

指定なし

RADIUSサーバ タイムアウト

5秒

RADISUサーバ待機時間

0(サーバは待機状態としてマークされていません)

RADIUS再送信試行回数

2回

Kerberosログイン認証(コンソールおよびTelnet)

ディセーブル

Kerberosイネーブル認証(コンソールおよびTelnet)

ディセーブル

KerberosサーバIPアドレス

指定なし

Kerberos DES鍵

指定なし

Kerberosサーバ認証ポート

ポート750

Kerberosローカル レルム名

ヌル ストリング

Kerberos証明書転送

ディセーブル

Kerberosクライアント必須

非必須

Kerberos事前認証

ディセーブル

認証設定時の注意事項

ここでは、スイッチでの認証設定時の注意事項について説明します。

console キーワードまたは telnet キーワードを使用して、接続タイプ別に使用する認証方式を指定しないかぎり、認証の設定はコンソール接続とTelnet接続の両方に適用されます。

スイッチ上でRADIUSまたはTACACS+鍵を設定した場合は、まったく同じ鍵をRADIUSまたはTACACS+サーバ上で設定しなければなりません。

スイッチ上でRADIUSまたはTACACS+をイネーブルにする前に、RADIUSサーバまたはTACACS+サーバを指定する必要があります。

複数のRADIUSサーバまたはTACACS+サーバを設定する場合は、最初に設定するサーバがプライマリ サーバになり、認証要求はそのサーバに最初に送信されます。特定のサーバをプライマリとして指定する場合は、 primary キーワードを使用します。

RADIUSおよびTACACS+は、1つのイネーブル モードだけをサポートします(レベル1)。

認証メカニズムとしてTACACS+も使用している場合、Kerberos認証は機能しません。

ローカル ユーザ認証をイネーブルにするには、先に最低限1つのユーザ名を定義します。

ローカル ユーザ アカウントおよびパスワードは64文字以内で、英数字を使用できます。ただし、ローカル ユーザ アカウントには最低限1文字は英字を使用します。

ログイン認証の設定

ここでは、スイッチ上でログイン認証を設定する手順について説明します。

「スイッチ上でのログイン認証の試行回数の設定」

「イネーブル モードのログイン認証試行回数の設定」

スイッチ上でのログイン認証の試行回数の設定

スイッチ上でログイン認証を設定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

スイッチ上でログイン試行回数制限をイネーブルにします。コンソール ポート接続またはTelnet接続に限ってログイン認証をイネーブルにする場合は、 console または telnet キーワードを指定します。

set authentication login attempt { count }
[
console | telnet ]

ステップ 2

スイッチ上でログイン ロックアウト時間をイネーブルにします。コンソール ポート接続またはTelnet接続に限ってログイン認証をイネーブルにする場合は、 console または telnet キーワードを指定します。

set authentication login lockout { time }
[ console | telnet ]

ステップ 3

ローカル認証の設定を確認します。

show authentication

ログイン試行回数を5回に制限し、コンソール接続とTelnet接続の両方についてロックアウト時間を50秒に設定し、その設定を確認する例を示します。

Console> (enable) set authentication login attempt 5
Login authentication attempts for console and telnet logins set to 5.
Console> (enable) set authentication login lockout 50
Login lockout time for console and telnet logins set to 50.
Console> (enable) show authentication
 
Login Authentication: Console Session Telnet Session Http Session
--------------------- ---------------- ---------------- ----------------
tacacs disabled disabled disabled
radius disabled disabled disabled
kerberos disabled disabled disabled
local enabled(primary) enabled(primary) enabled(primary)
attempt limit 5 5 -
lockout timeout (sec) 50 50 -
 
Enable Authentication: Console Session Telnet Session Http Session
---------------------- ----------------- ---------------- ----------------
tacacs disabled disabled disabled
radius disabled disabled disabled
kerberos disabled disabled disabled
local enabled(primary) enabled(primary) enabled(primary)
attempt limit 3 3 -
lockout timeout (sec) disabled disabled -
Console> (enable)
 

イネーブル モードのログイン認証試行回数の設定

イネーブル モードのログイン認証を設定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

イネーブル モードのログイン試行回数制限をイネーブルにします。コンソール ポート接続またはTelnet接続に限ってログイン認証をイネーブルにする場合は、 console または telnet キーワードを指定します。

set authentication enable attempt { count } [ console | telnet ]

ステップ 2

イネーブル モードのログイン ロックアウト時間をイネーブルにします。コンソール ポート接続またはTelnet接続に限ってログイン認証をイネーブルにする場合は、 console または telnet キーワードを指定します。

set authentication enable lockout { time }
[ console | telnet ]

ステップ 3

ローカル認証の設定を確認します。

show authentication

イネーブル モードのログイン試行回数を5回に制限し、コンソール接続とTelnet接続の両方でイネーブル モード ロックアウト時間を50秒に設定し、その設定を確認する例を示します。

Console> (enable) set authentication enable attempt 5
Enable mode authentication attempts for console and telnet logins set to 5.
Console> (enable) set authentication enable lockout 50
Enable mode lockout time for console and telnet logins set to 50.
Console> (enable) show authentication
 
Login Authentication: Console Session Telnet Session Http Session
--------------------- ---------------- ---------------- ----------------
tacacs disabled disabled disabled
radius disabled disabled disabled
kerberos disabled disabled disabled
local enabled(primary) enabled(primary) enabled(primary)
attempt limit 5 5 -
lockout timeout (sec) 50 50 -
 
Enable Authentication: Console Session Telnet Session Http Session
---------------------- ----------------- ---------------- ----------------
tacacs disabled disabled disabled
radius disabled disabled disabled
kerberos disabled disabled disabled
local enabled(primary) enabled(primary) enabled(primary)
attempt limit 5 5 -
lockout timeout (sec) 50 50 -
Console> (enable)
 

ローカル認証の設定

ここでは、スイッチ上でローカル認証を設定する手順について説明します。

「ローカル認証のイネーブル化」

「ログイン パスワードの設定」

「イネーブル パスワードの設定」

「ローカル認証のディセーブル化」

「パスワードを忘れた場合」

ローカル認証のイネーブル化


) ローカル ログイン認証およびイネーブル認証は、デフォルトの設定として、コンソール接続とTelnet接続の両方でイネーブルです。デフォルト設定を変更する場合、またはローカル認証をディセーブルにしている場合を除き、次の作業は不要です。


スイッチ上でローカル認証をイネーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

スイッチ上でローカル ログイン認証をイネーブルにします。コンソール ポート接続またはTelnet接続に限ってローカル認証をイネーブルにする場合は、 console キーワードまたは telnet キーワードを指定します。

set authentication login local enable [ all | console | http | telnet ]

ステップ 2

スイッチ上でローカル イネーブル認証をイネーブルにします。コンソール ポート接続またはTelnet接続に限ってローカル認証をイネーブルにする場合は、 console キーワードまたは telnet キーワードを指定します。

set authentication enable local enable [ all | console | http | telnet ]

ステップ 3

ローカル認証の設定を確認します。

show authentication

ローカル ログインをイネーブルに設定し、コンソール接続とTelnet接続の両方で認証をイネーブルにして、その設定を確認する例を示します。

Console> (enable) set authentication login local enable
local login authentication set to enable for console and telnet session.
Console> (enable) set authentication enable local enable
local enable authentication set to enable for console and telnet session.
Console> (enable) show authentication
 
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
tacacs disabled disabled
radius disabled disabled
kerberos disabled disabled
local enabled(primary) enabled(primary)
 
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
tacacs disabled disabled
radius disabled disabled
kerberos disabled disabled
local enabled(primary) enabled(primary)
Console> (enable)

ログイン パスワードの設定

ログイン パスワードによって、ユーザ モードのCLIへのアクセスを制御します。パスワードには大文字と小文字の区別があり、任意の印刷可能な文字をスペースも含めて30字まで使用できます。


) ソフトウェア リリース5.4以前のバージョンで設定したパスワードには、大文字と小文字の区別がありません。ソフトウェア リリース5.4のインストール後に、大文字と小文字の区別があるパスワードに設定し直す必要があります。


ローカル認証用にログイン パスワードを設定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

アクセスのためのログイン パスワードを設定します。以前のパスワードを入力し(パスワードが設定されていない場合には Return キーを押し)、新しいパスワードを入力して、さらにもう一度、新しいパスワードを入力します。

set password

スイッチ上でログイン パスワードを設定する例を示します。

Console> (enable) set password
Enter old password: <old_password>
Enter new password: <new_password>
Retype new password: <new_password>
Password changed.
Console> (enable)

イネーブル パスワードの設定

ログイン パスワードによって、ユーザ モードのCLIへのアクセスを制御します。パスワードには大文字と小文字の区別があり、任意の印刷可能な文字をスペースも含めて30字まで使用できます。


) ソフトウェア リリース5.4以前のバージョンで設定したパスワードには、大文字と小文字の区別がありません。ソフトウェア リリース5.4のインストール後に、大文字と小文字の区別があるパスワードに設定し直す必要があります。


ローカル認証用にイネーブル パスワードを設定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

イネーブル モードのパスワードを設定します。以前のパスワードを入力し(パスワードが設定されていない場合には Return キーを押し)、新しいパスワードを入力して、さらにもう一度、新しいパスワードを入力します。

set enablepass

スイッチ上でイネーブル パスワードを設定する例を示します。

Console> (enable) set enablepass
Enter old password: <old_password>
Enter new password: <new_password>
Retype new password: <new_password>
Password changed.
Console> (enable)
 

ローカル認証のディセーブル化


注意 ローカル ログインまたはイネーブル認証をディセーブルにする前に、RADIUSまたはTACACS+認証が正しく設定され、機能しているかどうかを確認します。ローカル認証をディセーブルにした際に、RADIUSやTACACS+が正しく設定されていなかった場合、またはRADIUSサーバやTACACS+サーバがオンラインでなかった場合、スイッチにログインできない可能性があります。

スイッチ上でローカル認証をディセーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

スイッチ上でローカル ログイン認証をディセーブルにします。コンソール ポート接続またはTelnet接続に限ってローカル認証をディセーブルにする場合は、 console キーワードまたは telnet キーワードを指定します。

set authentication login local disable [ all | console | http | telnet ]

ステップ 2

スイッチ上でローカル イネーブル認証をディセーブルにします。コンソール ポート接続またはTelnet接続に限ってローカル認証をディセーブルにする場合は、 console キーワードまたは telnet キーワードを指定します。

set authentication enable local disable [ all | console | http | telnet ]

ステップ 3

ローカル認証の設定を確認します。

show authentication


) RADIUSまたはTACACS+認証をイネーブルにしてから、ローカル認証をディセーブルにします。


ローカル ログイン認証をディセーブルに設定し、コンソール接続とTelnet接続の両方で認証をイネーブルにして、その設定を確認する例を示します。

Console> (enable) set authentication login local disable
local login authentication set to disable for console and telnet session.
Console> (enable) set authentication enable local disable
local enable authentication set to disable for console and telnet session.
Console> (enable) show authentication
 
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
tacacs disabled disabled
radius enabled(primary) enabled(primary)
kerberos disabled disabled
local disabled disabled
 
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
tacacs disabled disabled
radius enabled(primary) enabled(primary)
kerberos disabled disabled
local disabled disabled
Console> (enable)

パスワードを忘れた場合

ローカル認証パスワードを忘れた場合は、次の手順に従います。ステップ3~7は、電源を切断して再び入れた後、30秒以内に行う必要があります。そうでないと、パスワードの回復は失敗します。ログイン パスワードとイネーブル パスワードを両方とも忘れた場合には、パスワードごとに手順を繰り返してください。

パスワードを忘れた場合は、イネーブル モードで次の作業を行います。


ステップ 1 スーパバイザ エンジンのコンソール ポートからスイッチに接続します。Telnet接続の場合はパスワードを回復することはできません。

ステップ 2 reset system コマンドを入力してスイッチを再起動します。

ステップ 3 [Enter Password]のプロンプトで Return キーを押します(コンソール ポートに接続してから30秒間、ログイン パスワードは空白です)。

ステップ 4 enable コマンドを使用してイネーブル モードを開始します。

ステップ 5 [Enter Password]のプロンプトで Return キーを押します( コンソール ポートに接続してから30秒間、イネーブル パスワードは空白です)。

ステップ 6 set password コマンドまたは set enablepass コマンドを入力します。

ステップ 7 以前のパスワードを要求するプロンプトに対して、 Return キーを押します。

ステップ 8 新しいパスワードを入力して確認します。


 

ローカルユーザ認証の設定

ここでは、スイッチ上でローカル ユーザ認証を設定する手順について説明します。

「ローカル ユーザ アカウントの作成」

「ローカル ユーザ認証のイネーブル化」

「ローカル ユーザ認証のディセーブル化」

「ローカル ユーザ アカウントの削除」

ローカル ユーザ アカウントの作成

ローカル ユーザ アカウントおよびパスワードは64文字以内で、英数字を使用できます。ただし、ローカル ユーザ アカウントには、最低限1文字は英字を使用します。

スイッチ上にローカル ユーザ アカウントを作成するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

新規のローカル ユーザ アカウントを作成します。

set localuser user username password pwd privilege privilege_level

ステップ 2

ローカル ユーザ アカウントを確認します。

show localusers

ローカル ユーザ アカウントとパスワードを作成して特権レベルを設定し、その設定を確認する例を示します。

Console> (enable) set localuser user picard password captain privilege 15
Added local user picard.
Console> (enable) show localusers
Local User Authentication: disabled
Username Privilege Level
--------- -------------
picard 15
Console> (enable)
 

ローカル ユーザ認証のイネーブル化

スイッチ上でローカル ユーザ認証をイネーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

ローカル ユーザ認証をイネーブルにします。

set localuser authentication enable

ステップ 2

ローカル ユーザ認証の設定を確認します。

show authentication

ローカル ユーザ アカウントを作成してローカル ユーザ認証をイネーブルにし、その設定を確認する例を示します。

Console> (enable) set localuser authentication enable
Local User Authentication enabled.
Console> (enable) show authentication
Login Authentication: Console Session Telnet Session Http Session
--------------------- ---------------- ---------------- ----------------
tacacs disabled disabled disabled
radius disabled disabled disabled
kerberos disabled disabled disabled
local * enabled(primary) enabled(primary) enabled(primary)
attempt limit 3 3 -
lockout timeout (sec) disabled disabled -
 
Enable Authentication: Console Session Telnet Session Http Session
---------------------- ----------------- ---------------- ----------------
tacacs disabled disabled disabled
radius disabled disabled disabled
kerberos disabled disabled disabled
local * enabled(primary) enabled(primary) enabled(primary)
attempt limit 3 3 -
lockout timeout (sec) disabled disabled -
* Local User Authentication enabled.
Console> (enable)
 

ローカル ユーザ認証のディセーブル化

スイッチ上でローカル ユーザ認証をディセーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

ローカル ユーザ認証をディセーブルにします。

set localuser authentication disable

ステップ 2

ローカル認証の設定を確認します。

show authentication

スイッチのローカル ユーザ認証をディセーブルにし、設定を確認する例を示します。

Console> (enable) set localuser authentication disable
local user authentication set to disable.
Console> (enable) show authentication
Login Authentication: Console Session Telnet Session Http Session
--------------------- ---------------- ---------------- ----------------
tacacs disabled disabled disabled
radius disabled disabled disabled
kerberos disabled disabled disabled
local * enabled(primary) enabled(primary) enabled(primary)
attempt limit 3 3 -
lockout timeout (sec) disabled disabled -
 
Enable Authentication: Console Session Telnet Session Http Session
---------------------- ----------------- ---------------- ----------------
tacacs disabled disabled disabled
radius disabled disabled disabled
kerberos disabled disabled disabled
local * enabled(primary) enabled(primary) enabled(primary)
attempt limit 3 3 -
lockout timeout (sec) disabled disabled -
* Local User Authentication disabled.
Console> (enable)
 

ローカル ユーザ アカウントの削除

スイッチ上のローカル ユーザ アカウントを削除するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

ローカル ユーザ アカウントを削除します。

clear localuser picard

ステップ 2

ローカル ユーザ アカウントが削除されたことを確認します。

show localusers

スイッチのローカル ユーザ認証を削除し、設定を確認する例を示します。

Console> (enable) clear localuser number1
Local user cleared.
Console> (enable) show localusers
Local User Authentication: enabled
Username Privilege Level
--------- -------------
picard 15
number1 0
worf 15
troy 0
Console> (enable)
 

TACACS+サーバの指定

1つまたは複数のTACACS+サーバを指定してから、スイッチ上でTACACS+認証をイネーブルにします。 primary キーワードでプライマリにするサーバを明示的に指定しないかぎり、最初に指定したサーバがプライマリ サーバになります。

1つまたは複数のTACACS+サーバを指定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

1つまたは複数のTACACS+サーバのIPアドレスを指定します。

set tacacs server ip_addr [ primary ]

ステップ 2

TACACS+の設定を確認します。

show tacacs

TACACS+サーバを指定し、設定を確認する例を示します。

Console> (enable) set tacacs server 172.20.52.3
172.20.52.3 added to TACACS server table as primary server.
Console> (enable) set tacacs server 172.20.52.2 primary
172.20.52.2 added to TACACS server table as primary server.
Console> (enable) set tacacs server 172.20.52.10
172.20.52.10 added to TACACS server table as backup server.
Console> (enable)
Console> (enable) show tacacs
 
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
tacacs disabled disabled
radius disabled disabled
local enabled(primary) enabled(primary)
 
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
tacacs disabled disabled
radius disabled disabled
local enabled(primary) enabled(primary)
Tacacs key:
Tacacs login attempts: 3
Tacacs timeout: 5 seconds
Tacacs direct request: disabled
Tacacs-Server Status
---------------------------------------- -------
172.20.52.3
172.20.52.2 primary
172.20.52.10
Console> (enable)

TACACS+認証のイネーブル化


) 少なくとも1つのTACACS+サーバを指定してから、スイッチ上でTACACS+認証をイネーブルにします。TACACS+サーバの指定方法については、「TACACS+サーバの指定」を参照してください。


スイッチに対するログイン アクセスおよびイネーブル アクセスに関して、TACACS+認証をイネーブルに設定できます。状況に応じて、 console キーワードまたは telnet キーワードを指定すると、コンソール接続、またはTelnet接続に限ってTACACS+サーバを使用できます。RADIUSとTACACS+の両方を使用する場合は、 primary キーワードを使用して、スイッチに最初にTACACS+認証を試行させることができます。

TACACS+認証をイネーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

ユーザ ログイン モードについて、TACACS+認証をイネーブルにします。コンソール ポート接続またはTelnet接続に限ってTACACS+認証をイネーブルにする場合は、 console キーワードまたは telnet キーワードを指定します。

set authentication login tacacs enable [ all | console | http | telnet ] [ primary ]

ステップ 2

イネーブル モードについて、TACACS+認証をイネーブルにします。コンソール ポート接続またはTelnet接続に限ってTACACS+認証をイネーブルにする場合は、 console キーワードまたは telnet キーワードを指定します。

set authentication enable tacacs enable [ all | console | http | telnet ] [ primary ]

ステップ 3

TACACS+の設定を確認します。

show authentication

コンソール接続とTelnet接続の両方でTACACS+認証をイネーブルにして、設定を確認する例を示します。

Console> (enable) set authentication login tacacs enable
tacacs login authentication set to enable for console and telnet session.
Console> (enable) set authentication enable tacacs enable
tacacs enable authentication set to enable for console and telnet session.
Console> (enable) show authentication
 
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
tacacs enabled(primary) enabled(primary)
radius disabled disabled
local enabled enabled
 
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
tacacs enabled(primary) enabled(primary)
radius disabled disabled
local enabled enabled
Console> (enable)
 

TACACS+鍵の指定


) クライアント上でTACACS+鍵を設定する場合、TACACS+サーバ上で設定されている鍵と一致させなければなりません。


TACACS+鍵を指定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

パケットを暗号化する鍵を指定します。

set tacacs key key

ステップ 2

TACACS+の設定を確認します。

show tacacs

TACACS+鍵を指定し、設定を確認する例を示します。

Console> (enable) set tacacs key Secret_TACACS_key
The tacacs key has been set to Secret_TACACS_key.
Console> (enable) show tacacs
Tacacs key: Secret_TACACS_key
Tacacs login attempts: 3
Tacacs timeout: 5 seconds
Tacacs direct request: disabled
 
Tacacs-Server Status
---------------------------------------- -------
172.20.52.3
172.20.52.2 primary
172.20.52.10
Console> (enable)
 

TACACS+タイムアウト インターバルの指定

TACACS+サーバに再送信するまでのタイムアウト インターバルを指定できます。デフォルトのタイムアウト値は5秒です。

TACACS+タイムアウト インターバルを指定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

TACACS+タイムアウト インターバルを指定します。

set tacacs timeout seconds

ステップ 2

TACACS+の設定を確認します。

show tacacs

サーバ タイムアウト インターバルを設定し、その設定を確認する例を示します。

Console> (enable) set tacacs timeout 30
Tacacs timeout set to 30 seconds.
Console> (enable) show tacacs
Tacacs key: Secret_TACACS_key
Tacacs login attempts: 3
Tacacs timeout: 30 seconds
Tacacs direct request: disabled
 
Tacacs-Server Status
---------------------------------------- -------
172.20.52.3
172.20.52.2 primary
172.20.52.10
Console> (enable)
 

TACACS+ログイン試行回数の指定

ログインの最大試行回数を指定できます。

ログインの最大試行回数を指定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

ログインの最大試行回数を指定します。

set tacacs attempts number

ステップ 2

TACACS+の設定を確認します。

show tacacs

ログイン最大試行回数を指定し、設定を確認する例を示します。

Console> (enable) set tacacs attempts 5
Tacacs number of attempts set to 5.
Console> (enable) show tacacs
Tacacs key: Secret_TACACS_key
Tacacs login attempts: 5
Tacacs timeout: 30 seconds
Tacacs direct request: disabled
Tacacs-Server Status
---------------------------------------- -------
172.20.52.3
172.20.52.2 primary
172.20.52.10
Console> (enable)
 

TACACS+指定要求のイネーブル化

TACACS+指定要求がイネーブルの場合、設定されているTACACS+サーバのホスト名をオプションとして指定することにより、その特定のTACACS+サーバにTACACS+認証要求を渡すことができます。スイッチが通信するサーバに、ログインを試行しているユーザに対するアカウントがない場合、認証は失敗します。

TACACS+指定要求をイネーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

スイッチ上でTACACS+指定要求をイネーブルにします。

set tacacs directedrequest enable

ステップ 2

TACACS+の設定を確認します。

show tacacs

TACACS+指定要求をイネーブルにして、設定を確認する例を示します。

Console> (enable) set tacacs directedrequest enable
Tacacs direct request has been enabled.
Console> (enable) show tacacs
Tacacs key: Secret_TACACS_key
Tacacs login attempts: 5
Tacacs timeout: 30 seconds
Tacacs direct request: enabled
 
Tacacs-Server Status
---------------------------------------- -------
172.20.52.3
172.20.52.2 primary
172.20.52.10
Console> (enable)
 

TACACS+指定要求のディセーブル化

TACACS+指定要求をディセーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

スイッチ上でTACACS+指定要求をディセーブルにします。

set tacacs directedrequest disable

ステップ 2

TACACS+の設定を確認します。

show tacacs

TACACS+指定要求をディセーブルにする例を示します。

Console> (enable) set tacacs directedrequest disable
Tacacs direct request has been disabled.
Console> (enable)
 

TACACS+サーバの削除

1つまたは複数のTACACS+サーバを削除するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

設定から削除するTACACS+サーバのIPアドレスを指定します。設定からサーバをすべて削除するには、 all キーワードを使用します。

clear tacacs server [ ip_addr | all ]

ステップ 2

TACACS+サーバの設定を確認します。

show tacacs

設定から特定のTACACS+サーバを削除する例を示します。

Console> (enable) clear tacacs server 172.20.52.3
172.20.52.3 cleared from TACACS table
Console> (enable)
 

次に、設定からすべてのTACACS+サーバを削除する例を示します。

Console> (enable) clear tacacs server all
All TACACS servers cleared
Console> (enable)
 

TACACS+鍵の削除

TACACS+鍵を削除するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

TACACS+鍵を削除します。

clear tacacs key

ステップ 2

TACACS+の設定を確認します。

show tacacs

TACACS+鍵を削除する例を示します。

Console> (enable) clear tacacs key
TACACS server key cleared.
Console> (enable)
 

TACACS+認証のディセーブル化

ローカル認証がディセーブルで、TACACS+認証のみイネーブルのときに、TACACS+認証をディセーブルにすると、ローカル認証が再び自動的にイネーブルになります。

TACACS+認証をディセーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

ユーザ ログイン モードについて、TACACS+認証をディセーブルにします。コンソール ポート接続またはTelnet接続に限ってTACACS+認証をディセーブルにする場合は、 console キーワードまたは telnet キーワードを使用します。

set authentication login tacacs disable [ all | console | http | telnet ]

ステップ 2

イネーブル モードについて、TACACS+認証をディセーブルにします。コンソール ポート接続またはTelnet接続に限ってTACACS+認証をディセーブルにする場合は、 console キーワードまたは telnet キーワードを使用します。

set authentication enable tacacs disable [ all | console | http | telnet ]

ステップ 3

TACACS+の設定を確認します。

show authentication

コンソール接続とTelnet接続の両方でTACACS+認証をディセーブルにして、設定を確認する例を示します。

Console> (enable) set authentication login tacacs disable
tacacs login authentication set to disable for console and telnet session.
Console> (enable) set authentication enable tacacs disable
tacacs enable authentication set to disable for console and telnet session.
Console> (enable) show authentication
 
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
tacacs disabled disabled
radius disabled disabled
local enabled(primary) enabled(primary)
 
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
tacacs disabled disabled
radius disabled disabled
local enabled(primary) enabled(primary)
Console> (enable)
 

RADIUSサーバの指定

1つまたは複数のRADIUSサーバを指定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

3つまでのRADIUSサーバのIPアドレスを指定します。 primary キーワードを使用して、プライマリ サーバを指定します。さらにオプションとして、サーバ上で使用する宛先UDPポートを指定します。

set radius server ip_addr [ auth-port port ] [ primary ]

ステップ 2

RADIUSサーバの設定を確認します。

show radius

RADIUSサーバを指定し、設定を確認する例を示します。

Console> (enable) set radius server 172.20.52.3
172.20.52.3 with auth-port 1812 added to radius server table as primary server.
Console> (enable) show radius
 
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
tacacs disabled disabled
radius disabled disabled
local enabled(primary) enabled(primary)
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
tacacs disabled disabled
radius disabled disabled
local enabled(primary) enabled(primary)
 
Radius Deadtime: 0 minutes
Radius Key:
Radius Retransmit: 2
Radius Timeout: 5 seconds
 
Radius-Server Status Auth-port
----------------------------- ------- ------------
172.20.52.3 primary 1812
Console> (enable)

RADIUS鍵の指定


) クライアント上でRADIUS鍵を指定する場合、必ずRADIUSサーバ上で指定されている鍵と同じものにします。


RADIUSクライアントとサーバとの間のすべての通信を暗号化し、認証するために、RADIUS鍵が使用されます。クライアントとRADIUSサーバ上では、同じ鍵を設定しなければなりません。

鍵の長さは65文字に制限されています。タブ以外の印字可能な任意のASCII文字を使用できます。

RADIUS鍵を指定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

RADIUSサーバに送信するパケットの暗号化に使用するRADIUS鍵を指定します。

set radius key key

ステップ 2

RADIUSの設定を確認します。

show radius

RADIUS鍵を指定し、設定を確認する例を示します(ユーザ モードの場合、RADIUS鍵値は表示されません)。

Console> (enable) set radius key Secret_RADIUS_key
Radius key set to Secret_RADIUS_key
Console> (enable) show radius
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
tacacs disabled disabled
radius enabled(primary) enabled(primary)
local enabled enabled
 
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
tacacs disabled disabled
radius enabled(primary) enabled(primary)
local enabled enabled
 
Radius Deadtime: 0 minutes
Radius Key: Secret_RADIUS_key
Radius Retransmit: 2
Radius Timeout: 5 seconds
 
Radius-Server Status Auth-port
----------------------------- ------- ------------
172.20.52.3 primary 1812
Console> (enable)
 

RADIUS認証のイネーブル化


) スイッチ上でRADIUS認証をイネーブルにする前に、少なくとも1つのRADIUSサーバを指定します。RADIUSサーバの指定手順については、「RADIUSサーバの指定」を参照してください。


スイッチへのログイン アクセスおよびイネーブル アクセスについて、RADIUS認証をイネーブルにできます。必要な場合は、 console キーワードまたは telnet キーワードを使用して、RADIUS認証をコンソール接続、またはTelnet接続だけに使用するように設定できます。RADIUS とTACACS+の両方を使用する場合は、 primary キーワードを使用して、スイッチに最初にRADIUS認証を試行させることができます。

RADIUSユーザ名を設定して、RADIUS認証をイネーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

ユーザ ログイン モードについて、RADIUS認証をイネーブルにします。コンソール ポート接続またはTelnet接続による試行に限ってRADIUSをイネーブルにする場合は、 console キーワードまたは telnet キーワードを入力します。

set authentication login radius enable [ all | console | http | telnet ] [ primary ]

ステップ 2

イネーブル モードについて、RADIUS認証をイネーブルに設定します。コンソール ポート接続またはTelnet接続による試行に限ってRADIUSをイネーブルにする場合は、 console キーワードまたは telnet キーワードを入力します。

set authentication enable radius enable [ all | console | http | telnet ] [ primary ]

ステップ 3

RADIUSサーバ上でユーザ$enab15$を作成し、このユーザにパスワードを割り当てます。

詳細は、以下の(注)を参照してください。

ステップ 4

RADIUSの設定を確認します。

show authentication


) イネーブル モードのRADIUS 認証を使用するには、RADIUSサーバ上にユーザ$enab15$を作成し、そのユーザにパスワードを割り当てる必要があります。RADIUSサーバにユーザ名とパスワード(たとえばユーザ名john、パスワードhello)を指定するだけでなく、このユーザも作成する必要があります。指定したユーザ名とパスワード(john/hello)でCatalyst 6500シリーズ スイッチにログイン後、$enab15$ユーザに割り当てたパスワードを使用してイネーブル モードを開始できます。

ご使用のRADIUSサーバが$enab15$ユーザ名をサポートしていない場合は、RADUISユーザのService-Type属性(属性6)をAdministrative(値6)に設定すれば、そのユーザは個別のパスワードを要求されることなくイネーブル モードを直接開始できます。


RADIUS認証をイネーブルにして、設定を確認する例を示します。

Console> (enable) set authentication login radius enable
radius login authentication set to enable for console and telnet session.
Console> (enable) set authentication enable radius enable
radius enable authentication set to enable for console and telnet session.
Console> (enable) show authentication
 
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
tacacs disabled disabled
radius enabled(primary) enabled(primary)
local enabled enabled
 
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
tacacs disabled disabled
radius enabled(primary) enabled(primary)
local enabled enabled
Console> (enable)
 

RADIUSタイムアウト インターバルの指定

RADIUSサーバに再送信するまでのタイムアウト インターバルを指定できます。デフォルトのタイムアウト値は5秒です。

RADIUSのタイムアウト インターバルを指定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

RADIUSタイムアウト インターバルを指定します。

set radius timeout seconds

ステップ 2

RADIUSの設定を確認します。

show radius

RADIUSタイムアウト インターバルを設定し、その設定を確認する例を示します。

Console> (enable) set radius timeout 10
Radius timeout set to 10 seconds.
Console> (enable) show radius
 
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
tacacs disabled disabled
radius enabled(primary) enabled(primary)
local enabled enabled
 
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
tacacs disabled disabled
radius enabled(primary) enabled(primary)
local enabled enabled
 
Radius Deadtime: 0 minutes
Radius Key: Secret_RADIUS_key
Radius Retransmit: 2
Radius Timeout: 10 seconds
 
Radius-Server Status Auth-port
----------------------------- ------- ------------
172.20.52.3 primary 1812
Console> (enable)

RADIUS再送信試行回数の指定

スイッチがRADIUSサーバとの接続を試行する最大回数を指定できます。この回数を超えると、設定済みの次のサーバとの接続が試行されます。デフォルトの設定では、各RADIUSサーバとの接続は2回試行されます。

RADIUSの再送信試行回数を指定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

RADIUSサーバ再送信試行回数を指定します。

set radius retransmit count

ステップ 2

RADIUSの設定を確認します。

show radius

RADIUS再送信試行回数を指定し、設定を確認する例を示します。

Console> (enable) set radius retransmit 4
Radius retransmit count set to 4.
Console> (enable) show radius
 
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
tacacs disabled disabled
radius enabled(primary) enabled(primary)
local enabled enabled
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
tacacs disabled disabled
radius enabled(primary) enabled(primary)
local enabled enabled
 
Radius Deadtime: 0 minutes
Radius Key: Secret_RADIUS_key
Radius Retransmit: 4
Radius Timeout: 10 seconds
 
Radius-Server Status Auth-port
----------------------------- ------- ------------
172.20.52.3 primary 1812
Console> (enable)

RADIUS待機時間の指定

RADIUSサーバが認証要求に応答しなかった場合、待機時間によって指定された期間は待機状態であるというマークをそのサーバに付けるように、スイッチを設定できます。待機時間内に受信された認証要求はいずれも(そのスイッチへのログインを試行している他のユーザなど)、待機状態とマークされたRADIUSサーバには送信されません。待機時間を設定しておけば、待機状態のRADIUSサーバへの再送信やタイムアウトを省くことができるため、認証プロセスを高速化できます。

1つのRADIUSサーバだけを設定した場合、または設定されたサーバがすべて待機状態とマークされている場合、使用可能な代替サーバがないため、待機時間は無視されます。

RADIUS待機時間を設定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

RADIUSサーバの待機時間の長さを指定します。

set radius deadtime minutes

ステップ 2

RADIUSの設定を確認します。

show radius

RADIUSの待機時間の長さを設定し、その設定を確認する例を示します。

Console> (enable) set radius deadtime 5
Radius deadtime set to 5 minute(s)
Console> (enable) show radius
 
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
tacacs disabled disabled
radius enabled(primary) enabled(primary)
local enabled enabled
 
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
tacacs disabled disabled
radius enabled(primary) enabled(primary)
local enabled enabled
 
Radius Deadtime: 5 minutes
Radius Key: Secret_RADIUS_key
Radius Retransmit: 4
Radius Timeout: 10 seconds
 
Radius-Server Status Auth-port
----------------------------- ------- ------------
172.20.52.3 primary 1812
172.20.52.2 1812
Console> (enable)
 

RADIUSサーバのオプションの属性の指定

RADIUS ACCESS_REQUESTパケットにオプションの属性を指定できます。 set radius attribute コマンドによって、Framed-IP address、NAS-Port、Called-Station-Id、Calling-Station-Idなどの特定の属性オプションの伝送を指定できます。属性の伝送の設定は、属性番号または属性名で行えます。属性の伝送は、デフォルトでディセーブルに設定されています。


) ソフトウェア リリース7.5(1)では、Framed-IP address(属性8)に限ってサポートします。


RADIUSサーバのオプション属性を指定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

RADIUSサーバのオプション属性を指定します。

set radius attribute [ number | name ] include-in-access-req [ enable | disable ]

ステップ 2

RADIUSの設定を確認します。

show radius

Framed-IP address属性を番号で指定してイネーブルにする例を示します。

Console> (enable) set radius attribute 8 include-in-access-req enable
Transmission of Framed-ip address in access-request packet is enabled.
Console> (enable) show radius
RADIUS Deadtime: 0 minutes
RADIUS Key: 123456
RADIUS Retransmit: 2
RADIUS Timeout: 5 seconds
Framed-Ip Address Transmit: Enabled
 
RADIUS-Server Status Auth-port Acct-port
----------------------------- ------- ------------ ------------
10.6.140.230 primary 1812 1813
Console> (enable)
 

次に、Framed-IP address属性を名前で指定してディセーブルにする例を示します。

Console> (enable) set radius attribute framed-ip-address include-in-access-req disable
Transmission of Framed-ip address in access-request packet is disabled.
Console> (enable)
 

RADIUSサーバの削除

1つまたは複数のRADIUSサーバを削除するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

設定から削除するRADIUSサーバのIPアドレスを指定します。設定からサーバをすべて削除するには、 all キーワードを使用します。

clear radius server [ ip_addr | all ]

ステップ 2

RADIUSサーバの設定を確認します。

show radius

設定から1つのRADIUSサーバを削除する例を示します。

Console> (enable) clear radius server 172.20.52.3
172.20.52.3 cleared from radius server table.
Console> (enable)
 

次に、設定からすべてのRADIUSサーバを削除する例を示します。

Console> (enable) clear radius server all
All radius servers cleared from radius server table.
Console> (enable)
 

RADIUS鍵の削除

RADIUS鍵を削除するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

RADIUS鍵を削除します。

clear radius key

ステップ 2

RADIUSの設定を確認します。

show radius

RADIUS鍵を削除し、設定を確認する例を示します。

Console> (enable) clear radius key
Radius key cleared.
Console> (enable) show radius
 
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
tacacs disabled disabled
radius disabled disabled
local enabled(primary) enabled(primary)
 
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
tacacs disabled disabled
radius disabled disabled
local enabled(primary) enabled(primary)
 
Radius Deadtime: 0 minutes
Radius Key:
Radius Retransmit: 2
Radius Timeout: 5 seconds
 
Radius-Server Status Auth-port
----------------------------- ------- ------------
172.20.52.3 primary 1812
Console> (enable)
 

RADIUS認証のディセーブル化

ローカル認証がディセーブルで、RADIUS認証のみイネーブルのときに、RADIUS認証をディセーブルにすると、ローカル認証が自動的に再びイネーブルになります。

RADIUS認証をディセーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

ログイン モードについて、RADIUS認証をディセーブルにします。

set authentication login radius disable [ all | console | http | telnet ]

ステップ 2

イネーブル モードについて、RADIUS認証をディセーブルにします。

set authentication enable radius disable [ all | console | http | telnet ]

ステップ 3

RADIUSの設定を確認します。

show authentication

RADIUS認証をディセーブルに設定する例を示します。

Console> (enable) set authentication login radius disable
radius login authentication set to disable for console and telnet session.
Console> (enable) set authentication enable radius disable
radius enable authentication set to disable for console and telnet session.
Console> (enable) show authentication
 
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
tacacs disabled disabled
radius disabled disabled
local enabled(primary) enabled(primary)
 
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
tacacs disabled disabled
radius disabled disabled
local enabled(primary) enabled(primary)
Console> (enable)
 

Kerberosサーバの設定

スイッチ上の認証方式としてKerberosを使用するには、先にKerberosサーバを設定する必要があります。KDC用のデータベースを作成し、そのデータベースにスイッチを追加してください。


) Kerberos認証を使用するには、NTPがイネーブルになっている必要があります。また、DNSをイネーブルにすることも推奨します。


Kerberosサーバを設定するには、次の手順を実行します。


ステップ 1 Kerberosサーバの鍵テーブルにスイッチを入力する前に、KDCが使用するためのデータベースを作成しなければなりません。次の例では、CISCO.EDUというデータベースを作成します。

/usr/local/sbin/kdb5_util create -r CISCO.EDU -s
 

ステップ 2 データベースにスイッチを追加します。次の例では、Cat6509というスイッチをCISCO.EDUデータベースに追加します。

ank host/Cat6509.cisco.edu@CISCO.EDU
 

ステップ 3 次のようにユーザ名を追加します。

ank user1@CISCO.EDU
 

ステップ 4 次のように管理プリンシパルを追加します。

ank user1/admin@CISCO.EDU
 

ステップ 5 次のようにadmin.local ktaddコマンドを使用して、データベースにスイッチ用のエントリを作成します。

ktadd host/Cat6509.cisco.edu@CISCO.EDU
 

ステップ 6 スイッチがアクセスできる場所にKEYTABファイルを移します。

ステップ 7 次のようにKDCサーバを起動します。

/usr/local/sbin/krb5kdc
/usr/local/sbin/kadmind
 


 

Kerberosのイネーブル化

Kerberos認証をイネーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

認証方式としてKerberosを指定します。

set authentication login kerberos enable [ all | console | http | telnet ] [ primary ]

ステップ 2

設定を確認します。

show authentication

Telnetログイン認証方式としてKerberosをイネーブルにし、設定を確認する例を示します。

kerberos> (enable) set authentication login kerberos enable telnet
kerberos login authentication set to enable for telnet session.
kerberos> (enable) show authentication
 
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
tacacs disabled disabled
radius disabled disabled
kerberos disabled enabled(primary)
local enabled(primary) enabled
 
Enable Authentication:Console Session Telnet Session
---------------------- ----------------- ----------------
tacacs disabled disabled
radius disabled disabled
kerberos disabled enabled(primary)
local enabled(primary) enabled
kerberos> (enable)
 

次に、コンソールのログイン認証方式としてKerberosをイネーブルにし、設定を確認する例を示します。

kerberos> (enable) set authentication login kerberos enable console
kerberos login authentication set to enable for console session.
kerberos> (enable) show authentication
 
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
tacacs disabled disabled
radius disabled disabled
kerberos enabled(primary) enabled(primary)
local enabled enabled
 
Enable Authentication:Console Session Telnet Session
---------------------- ----------------- ----------------
tacacs disabled disabled
radius disabled disabled
kerberos enabled(primary) enabled(primary)
local enabled enabled
kerberos> (enable)
 

Kerberosローカル レルムの定義

Kerberosレルムは、Kerberosサーバに登録されたユーザ、ホスト、およびネットワーク サービスで構成されるドメインです。Kerberosデータベースで定義されたユーザを認証するために、スイッチはKDCが稼働しているホストのホスト名またはIPアドレス、およびKerberosレルム名を認識している必要があります。

スイッチが特定のKerberosレルムでKDCの認証を受けるように設定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

スイッチのデフォルト レルムを定義します。

set kerberos local-realm kerberos_realm


) レルムは必ず大文字で入力してください。レルムを小文字で入力すると、Kerberosはユーザを認証しません。


ローカル レルムを定義し、設定を確認する例を示します。

kerberos> (enable) set kerberos local-realm CISCO.COM
Kerberos local realm for this switch set to CISCO.COM.
kerberos> (enable) show kerberos
Kerberos Local Realm:CISCO.COM
Kerberos server entries:
Realm:CISCO.COM, Server:187.0.2.1, Port:750
 
Kerberos Domain<->Realm entries:
Domain:cisco.com, Realm:CISCO.COM
 
Kerberos Clients NOT Mandatory
Kerberos Credentials Forwarding Enabled
Kerberos Pre Authentication Method set to None
Kerberos config key:
Kerberos SRVTAB Entries
Srvtab Entry 1:host/niners.cisco.com@CISCO.COM 0 932423923 1 1 8 01;;8>00>50;0=0=0
kerberos> (enable)
 

Kerberosサーバの指定

特定のKerberosレルムで使用するKDCをスイッチに対して指定できます。任意で、KDCにモニタさせるポート番号も指定できます。入力したKerberosサーバ情報は、1つのKerberosレルムに対して1エントリとして、テーブルで維持されます。テーブルの最大エントリ数は100です。

Kerberosサーバを指定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

特定のKerberosレルムで使用するKDCを指定します。任意で、KDCにモニタさせるポート番号を入力します(デフォルトのポート番号は750です)。

set kerberos server kerberos_realm { hostname | ip_address } [ port ]

ステップ 2

Kerberosサーバ エントリを削除します。

clear kerberos server kerberos_realm
{ hostname | ip_address } [ port ]

特定のKerberosレルムでKDCとして動作するKerberosサーバを指定し、エントリを削除する例を示します。

kerberos> (enable) set kerberos server CISCO.COM 187.0.2.1 750
Kerberos Realm-Server-Port entry set to:CISCO.COM - 187.0.2.1 - 750
kerberos> (enable)
 
Console> (enable) clear kerberos server CISCO.COM 187.0.2.1 750
Kerberos Realm-Server-Port entry CISCO.COM-187.0.2.1-750 deleted
Console> (enable)
 

Kerberosレルムとホスト名またはDNSドメインのマッピング

任意で、ホスト名またはDomain Name System(DNS;ドメイン ネーム システム)ドメインとKerberosレルムをマッピングすることができます。

Kerberosレルムをホスト名またはDNSドメインにマッピングするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

(任意)ホスト名またはDNSドメインとKerberosレルムをマッピングします。

set kerberos realm {dns_domain | host} kerberos_realm

ステップ 2

Kerberosレルムとドメインまたはホストとのマッピング エントリを削除します。

clear kerberos realm {dns_domain | host} kerberos_realm

KerberosレルムをDNSドメインにマッピングし、エントリを削除する例を示します。

Console> (enable) set kerberos realm CISCO CISCO.COM
Kerberos DnsDomain-Realm entry set to CISCO - CISCO.COM
Console> (enable)
 
Console> (enable) clear kerberos realm CISCO CISCO.COM
Kerberos DnsDomain-Realm entry CISCO - CISCO.COM deleted
Console> (enable)
 

SRVTABファイルのコピー

リモート ユーザがKerberosの証明書を使用して、スイッチの認証を受けることができるようにするには、スイッチとKDC間で秘密鍵を共有しなければなりません。そのためには、KDCに保管されているファイル(秘密鍵を含む)のコピーをスイッチに与える必要があります。このファイルをスイッチではSRVTABファイル、サーバではKEYTABファイルといいます。

Kerberosレルム内のホストにSRVTABファイルをコピーする方法としては、ファイルを物理メディアにコピーして、各ホストを順に回り、手動でシステムにファイルをコピーするのが最も安全です。物理メディア ドライブを備えていないスイッチにSRVTABファイルをコピーするには、Trivial File Transfer Protocol(TFTP;簡易ファイル転送プロトコル)を使用し、ネットワークを介してファイルを転送する必要があります。

スイッチからKDCにSRVTABファイルをコピーする場合、スイッチがファイル内の情報を解析し、Kerberos SRVTABエントリ フォーマットで実行コンフィギュレーションに保存します。スイッチにSRVTABを直接入力する場合は、スイッチ上のKerberosプリンシパル(サービス)ごとに1つずつエントリを作成します。エントリはSRVTABテーブルで維持されます。テーブルの最大サイズは20エントリです。

KDCからスイッチにSRVTABファイルを取得するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

KDCから特定のSRVTABファイルを取得します。

set kerberos srvtab remote { hostname | ip_address } filename

ステップ 2

(任意)スイッチにSRVTABを直接入力します。

set kerberos srvtab entry kerberos_principal principal_type timestamp key_version number key_type key_length encrypted_keytab

KDCからSRVTABファイルを取得し、スイッチにSRVTABを直接入力し、設定を確認する例を示します。

kerberos> (enable) set kerberos srvtab remote 187.20.32.10 /users/jdoe/krb5/ninerskeytab
kerberos> (enable)
 
kerberos> (enable) set kerberos srvtab entry host/niners.cisco.com@CISCO.COM 0 932423923 1 1 8 03;;5>00>50;0=0=0
Kerberos SRVTAB entry set to
Principal:host/niners.cisco.com@CISCO.COM
Principal Type:0
Timestamp:932423923
Key version number:1
Key type:1
Key length:8
Encrypted key tab:03;;5>00>50;0=0=0
 
kerberos> (enable) show kerberos
Kerberos Local Realm:CISCO.COM
Kerberos server entries:
Realm:CISCO.COM, Server:187.0.2.1, Port:750
Realm:CISCO.COM, Server:187.20.2.1, Port:750
 
Kerberos Domain<->Realm entries:
Domain:cisco.com, Realm:CISCO.COM
 
Kerberos Clients NOT Mandatory
Kerberos Credentials Forwarding Enabled
Kerberos Pre Authentication Method set to None
Kerberos config key:
Kerberos SRVTAB Entries
Srvtab Entry 1:host/niners.cisco.com@CISCO.COM 0 932423923 1 1 8 03;;5>00>50;0=0=0
Srvtab Entry 2:host/niners.cisco.edu@CISCO.EDU 0 933974942 1 1 8 00?58:127:223=:;9
Console> (enable)
 

SRVTABエントリの削除

SRVTABエントリを削除にするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

特定のKerberosプリンシパルに対するSRVTABエントリを削除します。

clear kerberos srvtab entry kerberos_principal principal_type

SRVTABエントリを削除する例を示します。

kerberos> (enable) clear kerberos srvtab entry host/niners.cisco.com@CISCO.COM 0
kerberos> (enable)
 

証明書転送のイネーブル化

Kerberos対応スイッチの認証を受けたユーザは、TGTが与えられ、そのTGTを使用してネットワーク上のホストの認証を受けることができます。ただし、転送が禁止されている場合、ユーザがホストの認証を受けたあとで証明書を表示しようとすると、Kerberosの証明書が存在しないことを示す出力になります。

証明書を転送できるようにするには、ユーザがスイッチの認証を受けたあとで、Kerberos対応Telnetを使用して、スイッチからKerberos対応リモート ホストへ、ユーザのTGTを転送するようにスイッチを設定します。

セキュリティを強化する手段として、ユーザがスイッチの認証を受けたあとで、Kerberos対応のクライアントを使用しなければ、そのユーザがネットワーク上の他のサービスに対して認証を得られないようにスイッチを設定できます。Kerberos認証を必須にしなかった場合、Kerberos認証が得られないと、アプリケーションはそのネットワーク サービスでデフォルトの認証方式を使用して、ユーザを認証しようとします。たとえば、Telnetの場合はパスワードを要求します。

クライアントがKerberosレルム内の他のホストに接続するときに、ユーザの証明書を転送するように設定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

Kerberos認証に成功した場合に、すべてのクライアントがユーザ証明書を転送できるようにします。

set kerberos credentials forward

ステップ 2

(任意)リモート サーバに対してクライアントが認証を受けられなかった場合に、Telnetが失敗するように設定します。

set kerberos clients mandatory

ユーザの証明書を転送するようにクライアントを設定し、その設定を確認する例を示します。

kerberos> (enable) set kerberos credentials forward
Kerberos credentials forwarding enabled
kerberos> (enable) show kerberos
Kerberos Local Realm:CISCO.COM
Kerberos server entries:
Realm:CISCO.COM, Server:187.0.2.1, Port:750
Realm:CISCO.COM, Server:187.20.2.1, Port:750
 
Kerberos Domain<->Realm entries:
Domain:cisco.com, Realm:CISCO.COM
 
Kerberos Clients NOT Mandatory
Kerberos Credentials Forwarding Enabled
Kerberos Pre Authentication Method set to None
Kerberos config key:
Kerberos SRVTAB Entries
Srvtab Entry 1:host/aspen-niners.cisco.edu@CISCO.EDU 0 933974942 1 1 8 00?91:107:423=:;9
kerberos> (enable)
 

次に、他のネットワーク サービスの認証を受けるユーザにKerberosクライアントが必須となるように、スイッチを設定する例を示します。

Console> (enable) set kerberos clients mandatory
Kerberos clients set to mandatory
Console> (enable)
 

証明書転送のディセーブル化

証明書転送をディセーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

証明書転送の設定をディセーブルにします。

clear kerberos credentials forward

証明書転送の設定をディセーブルにし、その設定を確認する例を示します。

Console> (enable) clear kerberos credentials forward
Kerberos credentials forwarding disabled
Console> (enable) show kerberos
Kerberos Local Realm not configured
Kerberos server entries:
 
Kerberos Domain<->Realm entries:
 
Kerberos Clients NOT Mandatory
Kerberos Credentials Forwarding Disabled
Kerberos Pre Authentication Method set to None
Kerberos config key:
Kerberos SRVTAB Entries
Console> (enable)
 

Kerberosクライアント必須の設定を削除するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

Kerberosクライアント必須の設定を削除します。

clear kerberos clients mandatory

クライアント必須の設定を削除し、設定変更を確認する例を示します。

Console> (enable) clear kerberos clients mandatory
Kerberos clients mandatory cleared
Console> (enable) show kerberos
Kerberos Local Realm not configured
Kerberos server entries:
 
Kerberos Domain<->Realm entries:
 
Kerberos Clients NOT Mandatory
Kerberos Credentials Forwarding Disabled
Kerberos Pre Authentication Method set to None
Kerberos config key:
Kerberos SRVTAB Entries
Console> (enable)
Kerberos server entries:
 
Kerberos Domain<->Realm entries:
 
Kerberos Clients Mandatory
Kerberos Credentials Forwarding Disabled
Kerberos Pre Authentication Method set to Encrypted Unix Time Stamp
Kerberos config key:
Kerberos SRVTAB Entries
Console> (enable)
 

プライベートDES鍵の定義および削除

スイッチ用のプライベートDES鍵を定義できます。プライベートDES鍵を使用すると、スイッチがKDCと共有する秘密鍵が暗号化され、show kerberosコマンドの実行時に、秘密鍵がクリア テキストで表示されなくなります。鍵の長さは8文字以下にしなければなりません。

DES鍵を定義するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

スイッチ用のDES鍵を定義します。

set key config-key string

DES鍵を定義し、設定を確認する例を示します。

kerberos> (enable) set key config-key abcd
Kerberos config key set to abcd
kerberos> (enable) show kerberos
Kerberos Local Realm:CISCO.COM
Kerberos server entries:
Realm:CISCO.COM, Server:170.20.2.1, Port:750
Realm:CISCO.COM, Server:172.20.2.1, Port:750
 
Kerberos Domain<->Realm entries:
Domain:cisco.com, Realm:CISCO.COM
 
Kerberos Clients Mandatory
Kerberos Credentials Forwarding Disabled
Kerberos Pre Authentication Method set to Encrypted Unix Time Stamp
Kerberos config key:abcd
Kerberos SRVTAB Entries
Srvtab Entry 1:host/aspen-niners.cisco.edu@CISCO.EDU 0 933974942 1 1 8 12151><88?=>>3>11
kerberos> (enable)
 

DES鍵を削除するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

スイッチからDES鍵を削除します。

clear key config-key string

DES鍵を削除する例を示します。

Console> (enable) clear key config-key
Kerberos config key cleared
Console> (enable)
 

Telnetセッションの暗号化

Kerberosを使用してスイッチの認証を受けたユーザが、別のスイッチまたはホストにTelnetで接続する場合に、それがKerberos対応のTelnetになるかどうかは、Telnetサーバで使用している認証方式によって決まります。Telnetサーバが認証にKerberosを使用している場合は、Telnetセッションが続いている間、あらゆるアプリケーション データ パケットを暗号化することを選択できます。Telnetセッションを暗号化するには、telnetコマンドで encrypt kerberos オプションを選択します。

Telnetセッションを暗号化するには、次の作業を行います。

 

作業
コマンド

Telnetセッションを暗号化します。

telnet encrypt kerberos host

Kerberos認証および暗号化対応としてTelnetセッションを設定する例を示します。

Console> (enable) telnet encrypt kerberos

Kerberos設定の表示および消去

次のコマンドを使用すると、スイッチのKerberos設定を表示または消去することができます。

show kerberos

show kerberos creds

clear kerberos creds

Kerberos設定を表示するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

Kerberos設定を表示します。

show kerberos

Kerberos設定を表示する例を示します。

kerberos> (enable) show kerberos
Kerberos Local Realm:CISCO.COM
Kerberos server entries:
Realm:CISCO.COM, Server:187.0.2.1, Port:750
Realm:CISCO.COM, Server:187.20.2.1, Port:750
 
Kerberos Domain<->Realm entries:
Domain:cisco.com, Realm:CISCO.COM
Kerberos Clients NOT Mandatory
Kerberos Credentials Forwarding Enabled
Kerberos Pre Authentication Method set to None
Kerberos config key:
Kerberos SRVTAB Entries
Srvtab Entry 1:host/niners.cisco.com@CISCO.COM 0 932423923 1 1 8 03;;5>00>50;0=0=0
Srvtab Entry 2:host/niners.cisco.edu@CISCO.EDU 0 933974942 1 1 8 00?58:127:223=:;9
kerberos> (enable)
 

Kerberos証明書を表示するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

Kerberos証明書を表示します。

show kerberos creds

Kerberos証明書を表示する例を示します。

Console> (enable) show kerberos creds
No Kerberos credentials.
Console> (enable)
 

すべてのKerberos証明書を消去するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

すべての証明書を削除します。

clear kerberos creds

スイッチからすべてのKerberos証明書を削除する例を示します。

Console> (enable) clear kerberos creds
Console> (enable)
 

認証の例

図 21-3に、TACACS+を使用した簡単なネットワーク トポロジーを示します。

この例では、すべてのTelnet接続において、スイッチへのログイン アクセスとイネーブル アクセスの両方について、TACACS+認証がイネーブルに設定され、ローカル認証がディセーブルに設定されています。ワークステーションAがスイッチに接続する場合、ユーザはTACACS+ユーザ名およびパスワードを入力するように要求されます。

ただし、コンソール ポート上では、ログイン アクセスとイネーブル アクセスの両方について、ローカル認証だけがイネーブルに設定されます。直接接続されているターミナルにアクセスできるユーザは、ログインおよびイネーブル パスワードを使用してスイッチにアクセスできます。

図 21-3 TACACS+ネットワーク トポロジー例

 

Telnet接続についてTACACS+認証がイネーブルにされ、コンソール接続についてローカル認証がイネーブルにされ、TACACS+暗号化鍵が指定されるように、スイッチを設定する例を示します。

Console> (enable) show tacacs
Tacacs key:
Tacacs login attempts: 3
Tacacs timeout: 5 seconds
Tacacs direct request: disabled
 
Tacacs-Server Status
---------------------------------------- -------
Console> (enable) set tacacs server 172.20.52.10
172.20.52.10 added to TACACS server table as primary server.
Console> (enable) set tacacs key tintin_et_milou
The tacacs key has been set to tintin_et_milou.
Console> (enable) set authentication login tacacs enable telnet
tacacs login authentication set to enable for telnet session.
Console> (enable) set authentication enable tacacs enable telnet
tacacs enable authentication set to enable for telnet session.
Console> (enable) set authentication login local disable telnet
local login authentication set to disable for telnet session.
Console> (enable) set authentication enable local disable telnet
local enable authentication set to disable for telnet session.
Console> (enable) show tacacs
Tacacs key: tintin_et_milou
Tacacs login attempts: 3
Tacacs timeout: 5 seconds
Tacacs direct request: disabled
 
Tacacs-Server Status
---------------------------------------- -------
172.20.52.10 primary
Console> (enable)
 

許可の機能

ここでは、許可の機能について説明します。

「許可の概要」

「許可イベント」

「TACACS+プライマリ オプションおよび代替オプション」

「TACACS+コマンドの許可」

「RADIUS許可」

許可の概要

Catalyst 6500シリーズ スイッチは、TACACS+およびRADIUS許可をサポートしています。許可機能では、ユーザ名/パスワードのペアに基づくアクセス リスト(またはユーザ プロファイル)を動的に適用することにより、アクセスを特定のユーザに制限します。アクセス リストは、TACACS+サーバまたはRADIUSサーバが稼働するホスト上に存在します。サーバは、アクセス リスト番号でユーザ パスワード情報に応答し、それによって特定のリストが適用されます。

許可イベント

次の内容について、許可をイネーブルにすることができます。

コマンド ― コマンドに対する許可機能をイネーブルに設定した場合、ユーザは特定のコマンドを実行するために有効なユーザ名/パスワードのペアを入力しなければなりません。すべてのコマンドに許可を設定することも、コンフィギュレーション(イネーブル モード)コマンドだけに許可を設定することもできます。ユーザがコマンドを発行すると、許可サーバはそのコマンドとユーザ情報を受信し、アクセス リストを照合します。ユーザがそのコマンドを発行する権限があれば、コマンドが実行されます。そうでない場合、コマンドは実行されません。

EXECモード(ユーザ ログイン) ― EXECモードに対する許可機能をイネーブルに設定した場合、ユーザはEXECモードにアクセスするために有効なユーザ名/パスワードのペアを入力しなければなりません。許可機能をイネーブルに設定した場合に限り、許可が必須になります。

イネーブル モード(イネーブル ログイン) ― イネーブル モードに対する許可機能をイネーブルに設定した場合、ユーザはイネーブル モードにアクセスするために有効なユーザ名/パスワードのペアを入力しなければなりません。イネーブル モードに対する許可機能をイネーブルに設定した場合に限り、許可が必須になります。

TACACS+プライマリ オプションおよび代替オプション

許可プロセスで使用するプライマリ オプションと代替オプションを指定できます。使用できるオプションおよび代替オプションは、次のとおりです。

tacacs+ ユーザがすでに認証されており、TACACS+サーバから応答がない場合、許可はただちに成功します。

deny ― denyは常に代替オプションです。TACACS+サーバが応答しない場合、許可は失敗します。これがデフォルトの動作です。

if-authenticated ― ユーザがすでに認証されており、TACACS+サーバから応答がない場合、許可は ただちに 成功します。

none ― TACACS+サーバが応答しない場合、許可は成功します。

TACACS+コマンドの許可

すべてのコマンドに許可を設定することも、コンフィギュレーション(イネーブル モード)コマンドだけに許可を設定することもできます。コンフィギュレーション コマンドは、次のとおりです。

copy

clear

commit

configure

delete

download

format

reload

rollback

session

set

squeeze

switch

undelete

入力するすべてのコマンドについて、次に示すTACACS+許可プロセスが行われます。

コマンド許可機能をディセーブルに設定すると、TACACS+サーバはスイッチ上でのすべてのコマンド実行を許可します。

コンフィギュレーション コマンドだけについて許可機能をイネーブルにすると、スイッチは引数として入力された文字列がここに記載したいずれかのコマンドに一致するかどうかを確認します。一致するコマンドがない場合、スイッチはそのコマンドを実行します。一致するコマンドがある場合、スイッチはそのコマンドをNASに転送して許可を求めます。

すべてのコマンドについて許可機能をイネーブルに設定した場合、スイッチはコマンドをNASに転送して許可を求めます。

RADIUS許可

RADIUSの許可機能は限られています。この認証プロトコルには、許可情報を提供するService-Typeという属性があります。この属性は、ユーザ プロファイルの一部分です。

Administrative/Shell (6) Service-Typeアクセス権のないユーザがRADIUS認証を使用してログインすると、NAS(ネットワーク アクセス サーバ)がそのユーザの認証を行い、認証が成功すればEXECモードにログインさせます。Administrative/Shell (6) Service-Typeアクセス権のあるユーザの場合は、NASはそのユーザの認証を行い、イネーブル モードにログインさせます。

スイッチにおける許可の設定

ここでは、許可を設定する手順について説明します。

「TACACS+許可のデフォルト設定」

「TACACS+許可の設定時の注意事項」

「TACACS+許可の設定」

「RADIUS許可の設定」

TACACS+許可のデフォルト設定

表 21-3 に、TACACS+許可のデフォルト設定を示します。

 

表 21-3 許可のデフォルト設定

機能
デフォルト値

TACACS+ログイン許可(コンソールおよびTelnet)

ディセーブル

TACACS+ EXEC許可(コンソールおよびTelnet)

ディセーブル

TACACS+イネーブル許可(コンソールおよびTelnet)

ディセーブル

TACACS+コマンド許可(コンソールおよびTelnet)

ディセーブル

TACACS+許可の設定時の注意事項

ここでは、スイッチでのTACACS+許可の設定時の注意事項について説明します。

TACACS+許可は、ディセーブルがデフォルトの設定です。

許可の設定は、コンソール接続、Telnet接続、または両方のタイプの接続に適用されます。

許可をイネーブルにするときは、モード、オプション、代替オプション、および接続タイプを指定する必要があります。

許可をイネーブルにする前に、RADIUSサーバおよびTACACS+サーバの設定を行います。サーバの設定についての詳細は、「TACACS+サーバの指定」または「RADIUSサーバの指定」を参照してください。

許可をイネーブルにする前に、プロトコル パケット暗号化のためのRADIUS鍵およびTACACS+鍵を設定します。鍵設定の詳細は、「TACACS+鍵の指定」または「RADIUS鍵の指定」を参照してください。

TACACS+許可の設定

ここでは、スイッチ上でTACACS+許可を設定する手順について説明します。

「TACACS+許可のイネーブル化」

「TACACS+許可のディセーブル化」

TACACS+許可のイネーブル化

スイッチ上でTACACS+許可をイネーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

ユーザ モードの許可をイネーブルにします。コンソール ポート接続またはTelnet接続に限って許可をイネーブルにする場合は、 console キーワードまたは telnet キーワードを指定します。コンソール ポート接続およびTelnet接続の両方について許可をイネーブルにする場合は、 both キーワードを指定します。

set authorization exec enable { option }{ fallbackoption } [ console | telnet | both ]

ステップ 2

イネーブル モードの許可をイネーブルにします。コンソール ポート接続またはTelnet接続に限って許可をイネーブルにする場合は、 console キーワードまたは telnet キーワードを指定します。コンソール ポート接続およびTelnet接続の両方について許可をイネーブルにする場合は、 both キーワードを指定します。

set authorization enable enable { option } { fallbackoption } [ console | telnet | both ]

ステップ 3

コンフィギュレーション コマンドの許可をイネーブルにします。コンソール ポート接続またはTelnet接続に限って許可をイネーブルにする場合は、 console キーワードまたは telnet キーワードを指定します。コンソール ポート接続およびTelnet接続の両方について許可をイネーブルにする場合は、 both キーワードを指定します。

set authorization commands enable { config |
all } { option }{ fallbackoption } [ console | telnet |
both ]

ステップ 4

TACACS+許可の設定を確認します。

show authorization

コンソール ポート接続およびTelnet接続の両方で、TACACS+によるEXECモードの許可をイネーブルにする例を示します。 tacacs+ オプションを使用して許可を設定します。代替オプションは deny です。

Console> (enable) set authorization exec enable tacacs+ deny both
Successfully enabled enable authorization.
Console>
 

コンソール ポート接続およびTelnet接続の両方で、TACACS+によるイネーブル モードの許可をイネーブルにする例を示します。 tacacs+ オプションを使用して許可を設定します。代替オプションは deny です。

Console> (enable) set authorization enable enable tacacs+ deny both
Successfully enabled enable authorization.
Console>
 

コンソール ポート接続およびTelnet接続の両方で、TACACS+コマンドの許可をイネーブルにする例を示します。 tacacs+ オプションを使用して許可を設定します。代替オプションは deny です。

Console> (enable) set authorization commands enable config tacacs+ deny both
Successfully enabled commands authorization.
Console> (enable)
 

設定を確認する例を示します。

Console> (enable) show authorization
Telnet:
-------
Primary Fallback
------- --------
exec: tacacs+ deny
enable: tacacs+ deny
commands:
config: tacacs+ deny
all: - -
 
Console:
--------
Primary Fallback
------- --------
exec: tacacs+ deny
enable: tacacs+ deny
commands:
config: tacacs+ deny
all: - -
Console> (enable)
 

TACACS+許可のディセーブル化

スイッチ上でTACACS+許可をディセーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

ユーザ モードの許可をディセーブルにします。コンソール ポート接続またはTelnet接続に限って許可をディセーブルにする場合は、 console キーワードまたは telnet キーワードを指定します。コンソール ポート接続およびTelnet接続の両方について許可をディセーブルにする場合は、 both キーワードを指定します。

set authorization exec disable [ console | telnet | both ]

ステップ 2

イネーブル モードの許可をディセーブルにします。コンソール ポート接続またはTelnet接続に限って許可をディセーブルにする場合は、 console キーワードまたは telnet キーワードを指定します。コンソール ポート接続およびTelnet接続の両方について許可をディセーブルにする場合は、 both キーワードを指定します。

set authorization enable disable [ console | telnet | both ]

ステップ 3

コンフィギュレーション コマンドの許可をディセーブルにします。コンソール ポート接続またはTelnet接続に限って許可をディセーブルにする場合は、 console キーワードまたは telnet キーワードを指定します。コンソール ポート接続およびTelnet接続の両方について許可をディセーブルにする場合は、 both キーワードを指定します。

set authorization commands disable [ console | telnet | both ]

ステップ 4

TACACS+許可の設定を確認します。

show authorization

コンソール ポート接続およびTelnet接続の両方で、TACACS+によるEXECモードの許可をディセーブルにして、設定を確認する例を示します。

Console> (enable) set authorization exec disable both
Successfully disabled enable authorization.
Console> (enable)
 

次に、コンソール ポート接続およびTelnet接続の両方で、TACACS+によるイネーブル モードの許可をディセーブルにして、設定を確認する例を示します。

Console> (enable) set authorization enable disable both
Successfully disabled enable authorization.
Console> (enable)
 

次に、コンソール ポート接続およびTelnet接続の両方で、TACACS+コマンドの許可をディセーブルにして、設定を確認する例を示します。

Console> (enable) set authorization commands disable both
Successfully disabled commands authorization.
Console> (enable)
 

設定を確認する例を示します。

Console> (enable) show authorization
 
Telnet:
-------
Primary Fallback
------- --------
exec: tacacs+ deny
enable: tacacs+ deny
commands:
config: tacacs+ deny
all: - -
 
Console:
--------
Primary Fallback
------- --------
exec: tacacs+ deny
enable: tacacs+ deny
commands:
config: tacacs+ deny
all: - -
Console> (enable)
 

RADIUS許可の設定

ここでは、スイッチ上でRADIUS許可を設定する手順について説明します。

「RADIUS許可のイネーブル化」

「RASIUS許可のディセーブル化」

RADIUS許可のイネーブル化

スイッチ上でRADIUSの許可と認証をイネーブルにするには、イネーブル モードで次の作業を行います。


ステップ 1 イネーブル モードで set authentication login radius enable コマンドを入力します。このコマンドによって、RADIUSの認証と許可が両方イネーブルになります。

ステップ 2 ユーザがRADIUSサーバでイネーブル モードを開始できるようにするため、RADIUSサーバのそのユーザのService-Type(RADIUS属性6)をAdmistrative(値6)に設定します。Service-Typeを6のAdministrative以外に設定した場合(たとえば、1のlogin、7のshell、または2のframed)は、イネーブル プロンプトではなく、そのスイッチのEXECプロンプトが与えられます。


 

RASIUS許可のディセーブル化

RADIUS許可をディセーブルにするには、イネーブル モードで set authentication login radius disable コマンドを開始します。

許可の例

図 21-4に、TACACS+を使用した簡単なネットワーク トポロジーを示します。

ワークステーションAがスイッチ上でコマンドの実行を試みると、スイッチはその要求をTACACS+デーモンに登録します。TACACS+デーモンは、そのユーザがその機能の使用を許可されているかどうかを判別し、コマンドを実行するか、またはアクセス拒否の応答を送信します。

図 21-4 TACACS+ネットワーク トポロジー例

 

この例では、Telnet接続およびコンソール ポート接続で、スイッチへのイネーブル モード アクセスと、コンフィギュレーション コマンドの入力についてTACACS+許可をイネーブルにします。

Console> (enable) set authorization enable enable tacacs+ deny both
Successfully enabled enable authorization.
Console> (enable) set authorization commands enable config tacacs+ deny both
Successfully enabled commands authorization.
Console> (enable) show authorization
Telnet:
-------
Primary Fallback
------- --------
exec: tacacs+ deny
enable: tacacs+ deny
commands:
config: tacacs+ deny
all: - -
 
Console:
--------
Primary Fallback
------- --------
exec: tacacs+ deny
enable: tacacs+ deny
commands:
config: tacacs+ deny
all: - -
Console> (enable)
 

アカウンティングの機能

ここでは、各アカウンティング方式の機能について説明します。

「アカウンティングの概要」

「アカウンティング イベント」

「アカウンティング レコードを作成する場合の指定」

「RADIUSサーバの指定」

「サーバのアップデート」

「アカウンティングの抑制」

アカウンティングの概要

スイッチへのアクセスをモニタするために、次のアカウンティング方式を設定できます。

TACACS+アカウンティング

RADIUSアカウンティング

アカウンティング機能を利用して、特定のホストに対するユーザ アクティビティ、ネットワーク上での不審な接続の試み、およびNASの設定自体の不当な変更を追跡することができます。アカウンティング情報はアカウンティング サーバに送られ、レコードとして保存されます。アカウンティング情報には一般に、ユーザのアクション、およびアクションの継続時間が含まれます。アカウンティング機能は、セキュリティ、課金、およびリソース配分の目的で使用できます。

アカウンティング プロトコルは、転送プロトコルとしてTCPを使用し、クライアント/サーバ モデルで動作します。NASがクライアント、アカウンティング サーバがデーモンとして動作します。NASはサーバにアカウンティング情報を送信します。サーバはその情報を正常に処理すると、NASに要求の確認応答を送信します。NASとサーバ間で行われるすべてのトランザクションは、鍵による認証が行われます。

アカウンティングをイネーブルに設定した場合、システムでアカウンティングの対象となるイベントが発生すると、アカウンティング情報がメモリに動的に収集されます。イベントが終了すると、アカウンティング レコードが作成され、NASに送信されます。その後、メモリからレコードが削除されます。NASがアカウンティングのために使用するメモリの量は、並行して発生するアカウンティング対象イベントの数によって異なります。

アカウンティング イベント

次のイベント タイプのアカウンティングを設定できます。

EXECモード アカウンティング ― NASでのユーザのEXECセッション(ユーザ ログイン セッション)に関する情報を提供します(EXECセッションの接続時間は含まれますが、トラフィック統計情報は含まれません)。

接続アカウンティング ― NASからのすべての発信コネクション(Telnet、rloginなど)についての情報を提供します。


) ログインしてすぐに接続が確立し、接続が打ち切られた場合は、EXECイベントとconnectイベントがオーバーラップするため、イベントの開始時刻と終了時刻がほぼ同じになります。


システム アカウンティング ― ユーザには無関係のシステム イベントに関する情報(システム リセット、システム ブート、アカウンティングのユーザ設定など)を提供します。

コマンド アカウンティング ― ユーザが発行するコマンドごとに1つのレコードを送信します。この機能によって監査情報を収集できます。

アカウンティング レコードを作成する場合の指定

アカウンティング情報を収集してレコードを作成するようにスイッチを設定できます。
set accounting コマンドを使用して)アカウンティングを設定すると、スイッチは次の2種類のレコードを生成できるようになります。

startレコード ― イベントについての部分的な情報(イベントの開始時刻、サービス タイプ、およびトラフィック統計)が含まれます。

stopレコード ― イベントについての完全な情報(イベントの開始時刻、継続時間、サービス タイプ、およびトラフィック統計)が含まれます。

次の2つのイベントで、アカウンティング レコードが作成されサーバに送信されます。

start-stop ― アクションに継続時間がある場合、その開始時および終了時の両方でレコードが送信されます。NASがアクションの開始時にアカウンティング レコードを送信できなかった場合にも、ユーザはアクションを続行できます。

stop-only ― イベントの終了時にだけ、レコードが送信されます。コマンド アカウンティングの場合、各コマンドの継続時間はゼロとみなされるので、stopレコードだけが作成されます。システム イベントにはユーザは対応づけられません。したがって、 set accounting system コマンドの start-stop オプションは、システム イベントについては無視されます。


) stopレコードには、イベントについての完全な情報(イベントの開始時刻、継続時間、およびトラフィック統計)が含まれます。ただし、冗長性のある設定を行う場合は、NAS上で発生するイベントのstartおよびstopレコードの両方をモニタすることもできます。


RADIUSサーバの指定

1つまたは複数のRADIUSサーバを指定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

3つまでのRADIUSサーバのIPアドレスを指定します。 primary キーワードを使用して、プライマリ サーバを指定します。さらにオプションとして、サーバ上で使用する宛先UDPポートを指定します。

set radius server ip_addr [ acct-port port ] [ primary ]

ステップ 2

RADIUSサーバの設定を確認します。

show radius

RADIUSサーバを指定し、設定を確認する例を示します。

Console> (enable) set radius server 172.20.52.3
172.20.52.3 with auth-port 1812 added to radius server table as primary server.
Console> (enable) show radius
 
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
tacacs disabled disabled
radius disabled disabled
local enabled(primary) enabled(primary)
 
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
tacacs disabled disabled
radius disabled disabled
local enabled(primary) enabled(primary)
 
Radius Deadtime: 0 minutes
Radius Key:
Radius Retransmit: 2
Radius Timeout: 5 seconds
 
Radius-Server Status Auth-port
----------------------------- ------- ------------
172.20.52.3 primary 1812
Console> (enable)
 

サーバのアップデート

スイッチがTACACS+サーバにアカウンティング情報を送信するように設定することができます。次の2つのオプションがあります。

newinfo ― 新しいアカウンティング情報が発生したときにだけ、アカウンティング情報をサーバに送信します。

periodic ― アカウンティングのアップデート レコードを定期的にサーバに送信します。このオプションを使用すれば、NASが再起動され、最初のstart時刻のデータが消失した場合にも、接続およびセッションについての情報が常に最新の状態に保たれます。定期的アップデートの間隔を指定する必要があります。有効な間隔は、1~71,582分です。

アカウンティングの抑制

set accounting suppress null-username enable コマンドを使用して、ユーザ名を持たない未知のユーザがスイッチにアクセスした場合にアカウンティングを抑制するように設定することができます。


) RADIUSアカウンティングとTACACS+アカウンティングはほぼ同じです。ただし、RADIUSではコマンド アカウンティング、定期アップデート、またはnull-username抑制は実行できません。


スイッチにおけるアカウンティングの設定

ここでは、TACACS+およびRADIUSでアカウンティングを設定する手順を説明します。

「アカウンティングのデフォルト設定」

「アカウンティング設定時の注意事項」

「アカウンティングの設定」

アカウンティングのデフォルト設定

表 21-4 に、アカウンティングのデフォルト設定を示します。

 

表 21-4 アカウンティングのデフォルト設定

機能
デフォルト値

アカウンティング

ディセーブル

イベントのアカウンティング(EXEC、system、commands、およびconnect)

ディセーブル

アカウンティング レコード

stop-only

アカウンティング設定時の注意事項

ここでは、スイッチでのアカウンティング設定時の注意事項について説明します。

アカウンティングをイネーブルにする前に、RADIUSサーバおよびTACACS+サーバの設定を行います。サーバの設定についての詳細は、「TACACS+サーバの指定」または「RADIUSサーバの指定」を参照してください。

アカウンティングをイネーブルにする前に、プロトコル パケット暗号化のためのRADIUS鍵およびTACACS+鍵を設定します。鍵設定の詳細は、「TACACS+鍵の指定」または「RADIUS鍵の指定」を参照してください。


) 1つのアカウンティング イベントに割り当てられるDRAMスペースは、約500バイトです。アカウンティングが使用するDRAMの総スペースは、システムで並行して発生するアカウンティング対象イベントの数によって異なります。


アカウンティングの設定

ここでは、スイッチ上でRADIUSおよびTACACS+アカウンティングを設定する手順を説明します。

「アカウンティングのイネーブル化」

「アカウンティングのディセーブル化」

アカウンティングのイネーブル化

スイッチ上でアカウンティングをイネーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

接続イベントについてのアカウンティングをイネーブルにします。

set accounting connect enable { start-stop | stop-only } { tacacs+ | radius }

ステップ 2

EXECモードについてのアカウンティングをディセーブルにします。

set accounting exec enable { start-stop | stop-only } { tacacs+ | radius }

ステップ 3

システム イベントについてのアカウンティングをイネーブルにします。

set accounting system enable { start-stop | stop-only } { tacacs+ | radius }

ステップ 4

コンフィギュレーション コマンドのアカウンティングをイネーブルにします。

set accounting commands enable { config | all } { stop-only } tacacs+

ステップ 5

未知のユーザについての情報の抑制をイネーブルにします。

set accounting suppress null-username enable

ステップ 6

新しい情報が発生するたびにアカウンティングをアップデートするように設定します。

set accounting update { new-info | { periodic [ interval ]}}

ステップ 7

アカウンティングの設定を確認します。

show accounting

stop-onlyのTACACS+アカウンティングをイネーブルにする例を示します。

Console> (enable) set accounting connect enable stop-only tacacs+
Accounting set to enable for connect events in stop-only mode.
Console> (enable)
 
Console> (enable) set accounting exec enable stop-only tacacs+
Accounting set to enable for exec events in stop-only mode.
Console> (enable)
 
Console> (enable) set accounting system enable stop-only tacacs+
Accounting set to enable for system events in stop-only mode.
Console> (enable)
 
Console> (enable) set accounting commands enable all stop-only tacacs+
Accounting set to enable for commands-all events in stop-only mode.
Console> (enable)
 

次に、未知のユーザのアカウンティングを抑制する例を示します。

Console> (enable) set accounting suppress null-username enable
Accounting will be suppressed for user with no username.
Console> (enable)
 

次に、サーバを定期的にアップデートする例を示します。

Console> (enable) set accounting update periodic 120
Accounting updates will be periodic at 120 minute intervals.
Console> (enable)
 

設定を確認する例を示します。

Console> (enable) show accounting
Event Method Mode
----- ------- ----
exec: tacacs+ stop-only
connect: tacacs+ stop-only
system: tacacs+ stop-only
commands:
config: - -
all: tacacs+ stop-only
TACACS+ Suppress for no username: enabled
Update Frequency: periodic, Interval = 120
 
Accounting information:
-----------------------
Active Accounted actions on tty0, User (null) Priv 0
Active Accounted actions on tty288091924, User (null) Priv 0
Overall Accounting Traffic:
Starts Stops Active
----- ----- ------
Exec 0 0 0
Connect 0 0 0
Command 0 0 0
System 1 0 0
Console> (enable)
 

アカウンティングのディセーブル化

スイッチ上でRADIUSアカウンティングをディセーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

接続イベントについてのアカウンティングをディセーブルにします。

set accounting connect disable

ステップ 2

execモードについてのアカウンティングをディセーブルにします。

set accounting exec disable

ステップ 3

システム イベントについてのアカウンティングをディセーブルにします。

set accounting system disable

ステップ 4

コンフィギュレーション コマンドのアカウンティングをディセーブルにします。

set accounting commands disable

ステップ 5

未知のユーザについての情報の抑制をディセーブルにします。

set accounting suppress null-username disable

ステップ 6

アカウンティングの設定を確認します。

show accounting

stop-onlyのアカウンティングをディセーブルにする例を示します。

Console> (enable) set accounting connect disable
Accounting set to disable for connect events.
Console> (enable)
 
Console> (enable) set accounting exec disable
Accounting set to disable for exec events.
Console> (enable)
 
Console> (enable) set accounting system disable
Accounting set to disable for system events.
Console> (enable)
 
Console> (enable) set accounting commands disable
Accounting set to disable for commands-all events.
Console> (enable)
 

次に、未知のユーザのアカウンティングの抑制をディセーブルにする例を示します。

Console> (enable) set accounting suppress null-username disable
Accounting will be not be suppressed for user with no username.
Console> (enable)
 

設定を確認する例を示します。

Console> (enable) show accounting
Event Method Mode
----- ------- ----
exec: - -
connect: - -
system: - -
commands:
config: - -
all: - -
 
TACACS+ Suppress for no username: disabled
Update Frequency: new-info
 
Accounting information:
-----------------------
Active Accounted actions on tty0, User (null) Priv 0
Active Accounted actions on tty288091924, User (null) Priv 0
Overall Accounting Traffic:
Starts Stops Active
----- ----- ------
Exec 0 0 0
Connect 0 0 0
Command 0 0 0
System 1 2 0
Console> (enable)
 

アカウンティングの例

図 21-5に、TACACS+を使用した簡単なネットワーク トポロジーを示します。

ワークステーションAがスイッチ上でアカウンティング対象のイベントを開始すると、スイッチはイベント情報を収集し、イベントの終了時にその情報をサーバに転送します。イベントの終了時にアカウンティング情報が収集されます。未知のユーザについてはアカウンティングを抑制し、120分おきにシステムをアップデートします。

図 21-5 TACACS+ネットワーク トポロジー例

 

この例では、接続アカウンティング、EXECモード アカウンティング、システム アカウンティング、およびすべてのコマンド アカウンティングについて、TACACS+アカウンティングをイネーブルに設定しています。

Console> (enable) set accounting connect enable stop-only tacacs+
Accounting set to enable for connect events in stop-only mode.
Console> (enable) set accounting exec enable stop-only tacacs+
Accounting set to enable for exec events in stop-only mode.
Console> (enable) set accounting commands enable all stop-only tacacs+
Accounting set to enable for commands-all events in stop-only mode.
Console> (enable) set accounting update periodic 120
Accounting updates will be periodic at 120 minute intervals.
Console> (enable) show accounting
Event Method Mode
----- ------- ----
exec: tacacs+ stop-only
connect: tacacs+ stop-only
system: tacacs+ stop-only
commands:
config: - -
all: tacacs+ stop-only
 
TACACS+ Suppress for no username: enabled
Update Frequency: periodic, Interval = 120
 
Accounting information:
-----------------------
Active Accounted actions on tty0, User (null) Priv 0
Active Accounted actions on tty288091924, User (null) Priv 0
Overall Accounting Traffic:
Starts Stops Active
----- ----- ------
Exec 0 0 0
Connect 0 0 0
Command 0 0 0
System 1 0 0
Console> (enable)