Catalyst 6500 シリーズ スイッチ ソフトウェア コンフィギュレーション ガイド Software Release 8.5
AAA によるスイッチ アクセスの設定
AAA によるスイッチ アクセスの設定
発行日;2012/06/27 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 10MB) | フィードバック

目次

AAA によるスイッチ アクセスの設定

認証の機能

認証の概要

ログイン認証の機能

ローカル認証の機能

ローカル ユーザ認証の機能

TACACS+ 認証の機能

RADIUS 認証の機能

Kerberos 認証の機能

Kerberos 対応のログイン手順を使用する場合

Kerberos 非対応のログイン手順を使用する場合

スイッチ上での認証の設定

認証のデフォルト設定

認証設定時の注意事項

ログイン認証の設定

スイッチ上でのログイン認証の試行回数の設定

イネーブル モードのログイン認証試行回数の設定

ローカル認証の設定

ローカル認証のイネーブル化

ログイン パスワードの設定

イネーブル パスワードの設定

ローカル認証のディセーブル化

パスワードの回復

ローカル ユーザ認証の設定

ローカル ユーザ アカウントの作成

ローカル ユーザ認証のイネーブル化

ローカル ユーザ認証のディセーブル化

ローカル ユーザ アカウントの削除

TACACS+ 認証の設定

TACACS+ サーバの指定

TACACS+ 認証のイネーブル化

TACACS+ 鍵の指定

TACACS+ タイムアウト インターバルの指定

TACACS+ ログイン試行回数の指定

TACACS+ 指定要求のイネーブル化

TACACS+ 指定要求のディセーブル化

TACACS+ サーバの消去

TACACS+ 鍵の消去

TACACS+ 認証のディセーブル化

RADIUS 認証の設定

RADIUS サーバの指定

RADIUS 鍵の指定

RADIUS 認証のイネーブル化

RADIUS タイムアウト インターバルの指定

RADIUS 再送信試行回数の指定

RADIUS 待機時間の指定

RADIUS サーバのオプションの属性の指定

RADIUS サーバの消去

RADIUS 鍵の消去

RADIUS 認証のディセーブル化

Kerberos 認証の設定

Kerberos サーバの設定

Kerberos のイネーブル化

Kerberos ローカル レルムの定義

Kerberos サーバの指定

Kerberos レルムとホスト名または DNS ドメインのマッピング

SRVTAB ファイルのコピー

SRVTAB エントリの削除

証明書転送のイネーブル化

証明書転送のディセーブル化

プライベート DES 鍵の定義および消去

Telnet セッションの暗号化

Kerberos 設定の表示および消去

認証の例

許可の機能

許可の概要

許可イベント

TACACS+ プライマリ オプションおよび代替オプション

TACACS+ コマンドの許可

RADIUS 許可

スイッチ上での許可の設定

TACACS+ 許可のデフォルト設定

TACACS+ 許可の設定時の注意事項

TACACS+ 許可の設定

TACACS+ 許可のイネーブル化

TACACS+ 許可のディセーブル化

RADIUS 許可の設定

RADIUS 許可のイネーブル化

RADIUS 許可のディセーブル化

許可の例

アカウンティングの機能

アカウンティングの概要

アカウンティング イベント

アカウンティング レコードを作成する場合の指定

RADIUS サーバの指定

サーバのアップデート

アカウンティングの抑制

スイッチ上でのアカウンティングの設定

アカウンティングのデフォルト設定

アカウンティング設定時の注意事項

アカウンティングの設定

アカウンティングのイネーブル化

アカウンティングのディセーブル化

アカウンティングの例

AAA によるスイッチ アクセスの設定

この章では、Authentication, Authorization, Accounting(AAA; 認証、許可、アカウンティング)を設定して、Catalyst 6500 シリーズ スイッチ上で CLI(コマンドライン インターフェイス)へのアクセスをモニタおよび制御する方法について説明します。


) この章で使用しているコマンドの完全な構文および使用方法の詳細については、『Catalyst 6500 Series Switch Command Reference』を参照してください。



) 802.1X 認証の設定により、アクセスを許可されているポートから不正なデバイスが LAN 接続するのを制限する手順については、「802.1X 認証の設定」を参照してください。



) MAC(メディア アクセス制御)アドレス認証バイパスの設定については、「MAC 認証バイパスの設定」を参照してください。



) ホスト MAC アドレスに基づいてトラフィックを許可または制限するようにポートを設定する手順については、「ポート セキュリティの設定」を参照してください。



) Network Admission Control(NAC)の設定については、「NAC の設定」を参照してください。


この章で説明する内容は、次のとおりです。

「認証の機能」

「スイッチ上での認証の設定」

「許可の機能」

「スイッチ上での許可の設定」

「アカウンティングの機能」

「スイッチ上でのアカウンティングの設定」

認証の機能

ここでは、各認証方式のメカニズムについて説明します。

「認証の概要」

「ログイン認証の機能」

「ローカル認証の機能」

「ローカル ユーザ認証の機能」

「TACACS+ 認証の機能」

「RADIUS 認証の機能」

「Kerberos 認証の機能」

認証の概要

次の認証方式を任意に組み合わせて設定することにより、スイッチに対するアクセスを制御できます。

ログイン認証

ローカル認証

RADIUS 認証

TACACS+ 認証

Kerberos 認証


) 認証方式として TACACS+ を使用している場合、Kerberos 認証は機能しません。


ローカル認証を 1 つまたは複数の他の認証方式と併用してイネーブルにすると、ローカル認証は常に最後に試行されます。ただし、コンソール接続と Telnet 接続には異なる認証方式を指定することができます。たとえば、コンソール接続にローカル認証を使用して、Telnet 接続に RADIUS 認証を使用することができます。

ログイン認証の機能

ログイン認証は、不正ユーザにパスワードを推測させないようにすることで、セキュリティを向上させます。ユーザはスイッチに正常にログインするまでのログイン試行回数が制限されています。ユーザがパスワード認証に失敗した場合、システムはアクセスを延期し、Syslog および SNMP(簡易ネットワーク管理プロトコル)トラップにステーションのユーザ ID および IP アドレスを記録します。

ログイン試行回数の最大値は、set authentication login attempt count コマンドを使用して、CLI および SNMP で設定できます。イネーブル モードへのアクセスに対してログイン制限を設定するには、set authentication enable attempt count コマンドを入力します。設定範囲は 3(デフォルト)~ 10 回です。ログイン認証をゼロ(0)に設定すると、この機能はディセーブルになります。

すべての認証方式(Remote Access Dial-In User Service [RADIUS]、Terminal Access Controller Access Control System Plus [TACACS+]、Kerberos、またはローカル)がサポートされています。

ロックアウト(遅延)時間は、set authentication login lockout time コマンドを使用して、CLI および SNMP で設定できます。イネーブル モードへのアクセスに対して遅延時間を設定するには、set authentication enable lockout time コマンドを使用します。設定範囲は 30 ~ 43,200 秒です。ロックアウト時間をゼロ(0)に設定すると、この機能はディセーブルになります。

ユーザがコンソールでロックアウトされると、ロックアウト時間が経過するまで、コンソールにログインすることはできません。Telnet セッションでロックアウトされた場合は、制限時間に達すると接続が終了します。スイッチは、ロックアウト時間が経過するまで、そのステーションからの以降のアクセスを無効にし、適切な通知を表示します。

ローカル認証の機能

ローカル認証では、ローカルで設定されたログイン パスワードとイネーブル パスワードを使用して、ログイン試行を認証します。ログイン パスワードおよびイネーブル パスワードは、各スイッチにローカルであり、個々のユーザ名とは対応付けられません。

デフォルトでは、ローカル認証はイネーブルに設定されています。1 つまたは複数の他の認証方式をイネーブルにしたときだけ、ローカル認証をディセーブルにできます。ただし、ローカル認証がディセーブルのときに、その他すべての認証方式をディセーブルにすると、ローカル認証が自動的に再びイネーブルになります。

ローカル認証とともに、1 つまたは複数の他の認証方式を同時にイネーブルにできます。ローカル認証は、他の認証方式が失敗した場合に限って、スイッチによって試行されます。

ローカル ユーザ認証の機能

ローカル ユーザ認証では、ローカル ユーザのログイン試行の確認のために作成するローカル ユーザ アカウントとパスワードを使用します。各スイッチで最大 25 のローカル ユーザ アカウントを設定できます。ローカル ユーザ認証をイネーブルにするには、先に少なくとも 1 つのローカル ユーザ アカウントを定義します。

ローカル ユーザ アカウントを設定するには、ローカル ユーザごとに一意のユーザ名およびパスワードの組み合わせを作成します。各ユーザ名は 64 文字以内の英数字を使用できます(少なくとも 1 文字は英字であること)。

ローカル ユーザ アカウントごとに権限レベルを設定します。有効な権限レベルは 0 ~ 15 です。ユーザ名およびパスワードの組み合わせに割り当てられた権限レベルにより、認証成功後にユーザがユーザ モードまたはイネーブル モードのいずれでログインするかが決まります。権限レベルが 0 のユーザは、自動的にユーザ モードでログインします。権限レベルが 15 のユーザはイネーブル モードでログインします。権限レベルが 0 のユーザも、enable コマンドとパスワードの組み合わせを入力して、イネーブル モードにアクセスできます。ローカル ユーザがログインした場合、表示できるのは、その権限レベルで使用可能なコマンドのみです。


) CiscoView イメージを実行しているか、HTTP ログインを使用してログインしている場合は、システムの初期認証がユーザ名とパスワードの組み合わせで実行されます。ローカル ユーザに 15 の権限レベルが設定されていれば、権限パスワードを入力するかユーザ名とパスワードの組み合わせを使用するとイネーブル モードを開始できます。


TACACS+ 認証の機能

TACACS+ は、ネットワーク装置と中央データベースの間で Network Access Server(NAS)情報を交換し、ユーザまたはエンティティのアイデンティティを判別することにより、ネットワーク装置に対するアクセスを制御します。TACACS+ は、RFC 1492 で規定されている UDP ベースのアクセス制御プロトコル、TACACS の拡張バージョンです。TACACS+ は TCP を使用して、ネットワーク装置上の TACACS+ サーバと TACACS+ デーモン間のすべてのトラフィックを暗号化し、信頼性の高い配信を保証します。

TACACS+ は、固定パスワード、ワンタイム パスワード、チャレンジ応答認証など、多数の認証タイプをサポートしています。TACACS+ 認証は、通常、次の状況で実行されます。

装置への最初のログイン時

権限付きアクセス権が必要なサービス要求の送信時

権限が必要なサービスまたは制限付きのサービスを要求すると、TACACS+ により、MD5 暗号化アルゴリズムに基づいてユーザのパスワード情報が暗号化され、TACACS+ パケット ヘッダーが付加されます。このヘッダー情報には、送信パケットのタイプ(認証パケットなど)、パケット シーケンス番号、使用した暗号タイプ、パケット合計長が含まれています。このパケットが TACACS+ プロトコルによって TACACS+ サーバに転送されます。

TACACS+ サーバは、認証、許可、およびアカウンティングの機能を実行します。いずれのサービスも TACACS+ の機能ですが、それぞれ独立しているので、TACACS+ 設定ごとに任意の組み合わせで使用できます。

パケットを受信した TACACS+ サーバは、次のように動作します。

ユーザ情報を認証し、認証の成否をクライアントに通知します。

認証処理が続けられること、および追加情報が必要なことをクライアントに通知します。このチャレンジ応答プロセスは、認証の成否が確定するまで繰り返されます。

クライアントおよびサーバに TACACS+ 鍵を設定できます。スイッチ上でこの鍵を設定する場合、TACACS+ サーバ上で設定されている鍵と一致させなければなりません。TACACS+ クライアント/サーバはこの鍵を使用して、送信対象のすべての TACACS+ パケットを暗号化します。TACACS+ 鍵を設定しなかった場合、パケットは暗号化されません。

スイッチ上で次の TACACS+ パラメータを設定できます。

スイッチへのアクセスがユーザに許可されているかどうかを判別する TACACS+ 認証のイネーブル化およびディセーブル化

イネーブル モードへのアクセスがユーザに許可されているかどうかを判別する TACACS+ 認証のイネーブル化およびディセーブル化

プロトコル パケットを暗号化する鍵

TACACS+ サーバ デーモンを常駐させるサーバ

ログインの最大試行回数

サーバ デーモンの応答に関するタイムアウト インターバル

directed request(指定要求)オプションのイネーブル化およびディセーブル化

TACACS+ 認証は、ディセーブルがデフォルトの設定です。TACACS+ 認証とローカル認証の両方を同時にイネーブルに設定できます。

ローカル認証がディセーブルのときに、その他すべての認証方式をディセーブルにすると、ローカル認証が自動的に再度イネーブルになります。

RADIUS 認証の機能

RADIUS は、ネットワーク装置への接続を試みるユーザを認証する際に、NAS が使用するクライアント/サーバ認証および許可アクセス プロトコルです。NAS はクライアントとして動作するとき、1 つまたは複数の RADIUS サーバにユーザ情報を引き渡します。NAS は、1 つまたは複数の RADIUS サーバから受信した応答に基づいて、ユーザに対してネットワーク アクセスを許可または拒否します。RADIUS では、RADIUS クライアントとサーバ間の伝送に UDP を使用します。

クライアントおよびサーバ上で RADIUS 鍵を設定できます。クライアント上でこの鍵を設定する場合、RADIUS サーバ上で設定されている鍵と一致させなければなりません。RADIUS クライアントおよびサーバは、鍵を使用して、転送された RADIUS パケットをすべて暗号化します。RADIUS 鍵を設定しないと、パケットは暗号化されません。鍵自体がネットワーク上を転送されることはありません。


) RADIUS プロトコルの詳細説明については、RFC 2138「Remote Authentication Dial In User Service(RADIUS)」を参照してください。


スイッチ上で設定できる RADIUS パラメータは次のとおりです。

ログイン アクセスを制御するための RADIUS 認証のイネーブル化およびディセーブル化

イネーブル アクセスを制御するための RADIUS 認証のイネーブル化およびディセーブル化

RADIUS サーバの IP アドレスおよび UDP ポートの指定

RADIUS パケットの暗号化に使用する RADIUS 鍵の指定

RADIUS サーバのタイムアウト インターバルの指定

RADIUS 再送信カウントの指定

RADIUS サーバの待機時間の長さの指定

RADIUS 認証のデフォルト設定は、ディセーブルです。RADIUS 認証とその他の認証方式は同時にイネーブルにできます。最初に使用する方式は、 primary キーワードを使用して指定できます。

ローカル認証がディセーブルのときに、その他すべての認証方式をディセーブルにすると、ローカル認証が自動的に再度イネーブルになります。

Kerberos 認証の機能

Kerberos は、クライアント/サーバ ベースの秘密鍵ネットワーク認証方式で、信頼できる Kerberos サーバを使用して、サービスとユーザの両方に対するセキュア アクセスを確認します。Kerberos では、この信頼できるサーバを Key Distribution Center(KDC; 鍵発行局)といいます。KDC はユーザおよびサービスを検証するためにチケットを発行します。チケットは、特定のサービスに関してクライアントのアイデンティティを確認するための一時的な一連の電子信用情報です。

このチケットには有効期限があり、サービスがチケットの発行元である Kerberos サーバを信頼している場合、標準のパスワード ペアによる認証メカニズムの代わりにチケットを使用できます。標準のユーザ パスワード方式を使用する場合は、Kerberos がユーザのパスワードを暗号化してチケットに組み込み、パスワードがネットワーク上をクリア テキストとして流れないようにします。Kerberos を使用した場合、パスワードは、Kerberos サーバ以外の装置上で保存されるのは数秒以下です。Kerberos を使用すると、暗号化されたチケットをネットワークから盗もうとする侵入者に対しても防御できます。

表38-1 に、Kerberos の用語を定義します。

 

表38-1 Kerberos の用語

用語
定義

Kerberos 対応

Kerberos 証明書の基盤をサポートするように変更されたアプリケーションおよびサービス。

Kerberos 証明書

Ticket Granting Ticket(TGT; 身分証明書)などの認証チケット、およびサービス証明書のこと。Kerberos 証明書で、ユーザまたはサービスのチケットを検証します。ネットワーク サービスがチケットを発行した Kerberos サーバを信頼することにした場合、ユーザ名およびパスワードを再度入力する代わりに Kerberos 証明書を使用できます。証明書の有効期限は、8 時間がデフォルトの設定です。

Kerberos アイデンティティ

(Kerberos プリンシパルを参照)

Kerberos プリンシパル

Kerberos プリンシパルは、Kerberos サーバに基づき、ユーザが誰であるか、サービスが何であるかを表します。Kerberos アイデンティティともいいます。

Kerberos レルム

Kerberos サーバに登録されたユーザ、ホスト、およびネットワーク サービスで構成されるドメイン。Kerberos サーバを信頼して、ユーザまたはネットワーク サービスに対する別のユーザまたはネットワーク サービスのアイデンティティ検証が行われます。Kerberos レルムは、常に大文字にする必要があります。

Kerberos サーバ

ネットワーク ホスト上で稼働しているデーモン。ユーザおよびネットワーク サービスは、それぞれのアイデンティティを Kerberos サーバに登録します。ネットワーク サービスは Kerberos サーバにクエリを出して、他のネットワーク サービスを認証します。

KDC

ネットワーク ホスト上で稼働している Kerberos サーバおよびデータベース プログラム。さまざまなユーザまたはネットワーク サービスに Kerberos 証明書を割り当てます。

サービス証明書

ネットワーク サービスに関する証明書。KDC から発行されるこの証明書は、ネットワーク サービスと KDC 間で共通のパスワード、およびユーザの TGT と一緒に暗号化されます。

SRVTAB

ネットワーク サービスが KDC と共有するパスワード。ネットワーク サービスは、SRVTAB(別名 KEYTAB)を使用することにより、暗号化されたサービス証明書を認証して解読します。

TGT

KDC が認証済みユーザに発行する証明書。TGT を受け取ったユーザは、KDC が表した Kerberos レルム内のネットワーク サービスに関して、認証を得ることができます。

Catalyst 6500 シリーズ スイッチでは、コンソール ポートおよび帯域内管理ポートの両方で、Telnet クライアントおよびサーバを Kerberos 対応にすることができます。


) 認証メカニズムとして TACACS+ を使用している場合、Kerberos 認証は機能しません。



) モデムまたは端末サーバからコンソールにログインする場合は、Kerberos 対応のログイン手順を使用できません。


Kerberos 対応のログイン手順を使用する場合

帯域内管理ポートからログインする場合は、Kerberos 対応の Telnet セッションを使用できます。Telnet クライアントおよびサービスが Kerberos 対応になっている場合、ユーザは次の手順でスイッチに Telnet でアクセスします。

1. Telnet クライアントはユーザ名を要求し、Kerberos サーバ上の KDC に TGT 要求を出します。

2. KDC が TGT を作成します。TGT にはユーザのアイデンティティ、KDC のアイデンティティ、TGT の有効期限が指定されます。KDC はさらに、ユーザのパスワードとともに TGT を暗号化し、その TGT をクライアントに送信します。

3. 暗号化された TGT を受け取った Telnet クライアントは、パスワードを要求します。Telnet クライアントが入力されたパスワードを使用して TGT を解読できた場合、KDC の認証が正常に得られます。クライアントはその後、サービス証明書要求を作成して KDC に送信します。この要求には、ユーザのアイデンティティ、およびスイッチに Telnet で接続することを伝えるメッセージが含まれます。この要求は TGT を使用して暗号化されます。

4. KDC がクライアントに発行した TGT を使用してサービス証明書要求を正しく解読できた場合、スイッチへのサービスが用意されます。サービス証明書にはクライアントのアイデンティティ、および所定の Telnet サーバのアイデンティティが指定されます。KDC はさらに、スイッチの Telnet サーバと共通のパスワードを使用して証明書を暗号化し、生成されたパケットを Telnet クライアントの TGT で暗号化して、クライアントにパケットを送信します。

5. Telnet クライアントはまず、自身の TGT を使用してパケットを解読します。暗号化に問題がなければ、クライアントからスイッチの Telnet サーバへ、生成されたパケットを送信します。この時点では、パケットはまだ、スイッチの Telnet サーバと KDC が共有するパスワードで暗号化された状態です。

6. Telnet クライアントは指示された場合、TGT をスイッチに転送します。その結果、別の TGT を取得しなくても、スイッチの別のネットワーク サービスを使用できます。

図38-1 に、Kerberos 対応 Telnet の接続プロセスを示します。

図38-1 Kerberos 対応の Telnet 接続

 

Kerberos 非対応のログイン手順を使用する場合

Kerberos 非対応のログイン手順を使用してスイッチにログインする場合、スイッチがログイン クライアントの代わりに、KDC に対する認証を処理します。ただし、ユーザ パスワードはクリア テキストの状態でログイン クライアントからスイッチに転送されます。


) Kerberos 非対応のログインは、モデムまたは端末サーバから、帯域内管理ポートを使用して実行できます。Telnet は、Kerberos 非対応のログインをサポートしていません。


Kerberos 非対応のログインを開始した場合、手順は次のようになります。

1. ユーザ名およびパスワードを入力するように要求されます。

2. スイッチから KDC に TGT を要求します。その結果、ユーザはスイッチの認証を受けることができます。

3. KDC がスイッチに暗号化された TGT を送信します。TGT にはユーザのアイデンティティ、KDC のアイデンティティ、TGT の有効期限が指定されます。

4. スイッチはユーザが入力したパスワードを使用して、TGT を解読します。解読が正常に完了した場合、ユーザはスイッチの認証が得られます。

5. 他のネットワーク サービスにアクセスする場合は、KDC に直接アクセスして認証を受ける必要があります。TGT を取得するには、Kerberos パッケージに付属しているクライアント ソフトウェア プログラム [kinit] を使用します。

図38-2 に、Kerberos 非対応のログイン プロセスを示します。

図38-2 Kerberos 非対応の Telnet 接続

 

スイッチ上での認証の設定

ここでは、さまざまな認証方式を設定する手順について説明します。

「認証のデフォルト設定」

「認証設定時の注意事項」

「ログイン認証の設定」

「ローカル認証の設定」

「ローカル ユーザ認証の設定」

「TACACS+ 認証の設定」

「RADIUS 認証の設定」

「Kerberos 認証の設定」

「認証の例」

認証のデフォルト設定

表38-2 に、認証のデフォルト設定を示します。

 

表38-2 認証のデフォルト設定

機能
デフォルト値

ログイン認証(コンソールおよび Telnet)

イネーブル

ローカル認証(コンソールおよび Telnet)

イネーブル

ローカル ユーザ認証

ディセーブル

TACACS+ ログイン認証(コンソールおよび Telnet)

ディセーブル

TACACS+ イネーブル認証(コンソールおよび Telnet)

ディセーブル

TACACS+ 鍵

指定なし

TACACS+ ログイン試行回数

3

TACACS+ サーバ タイムアウト

5 秒

TACACS+ 指定要求

ディセーブル

RADIUS ログイン認証(コンソールおよび Telnet)

ディセーブル

RADIUS イネーブル認証(コンソールおよび Telnet)

ディセーブル

RADIUS サーバ IP アドレス

指定なし

RADIUS サーバ UDP 認証ポート

ポート 1812

RADIUS 鍵

指定なし

RADIUS サーバ タイムアウト

5 秒

RADIUS サーバ待機時間

0(サーバは待機状態としてマークされていません)

RADIUS 再送信試行回数

2 回

Kerberos ログイン認証(コンソールおよび Telnet)

ディセーブル

Kerberos イネーブル認証(コンソールおよび Telnet)

ディセーブル

Kerberos サーバ IP アドレス

指定なし

Kerberos DES 鍵

指定なし

Kerberos サーバ認証ポート

ポート 750

Kerberos ローカル レルム名

ヌル ストリング

Kerberos 証明書転送

ディセーブル

Kerberos クライアント必須

必須ではない

Kerberos 事前認証

ディセーブル

認証設定時の注意事項

ここでは、スイッチでの認証設定時の注意事項について説明します。

console キーワードまたは telnet キーワードを使用して、接続タイプ別に使用する認証方式を指定しないかぎり、認証の設定はコンソール接続と Telnet 接続の両方に適用されます。

スイッチ上で RADIUS または TACACS+ 鍵を設定した場合は、同じ鍵を RADIUS または TACACS+ サーバ上で設定しなければなりません。

スイッチ上で RADIUS または TACACS+ をイネーブルにする前に、RADIUS サーバまたは TACACS+ サーバを指定する必要があります。

複数の RADIUS サーバまたは TACACS+ サーバを設定する場合は、最初に設定するサーバがプライマリ サーバになり、認証要求はそのサーバに最初に送信されます。特定のサーバをプライマリとして指定する場合は、 primary キーワードを使用します。

RADIUS および TACACS+ は、1 つのイネーブル モードだけをサポートします(レベル 1)。

認証メカニズムとして TACACS+ も使用している場合、Kerberos 認証は機能しません。

ローカル ユーザ認証をイネーブルにするには、先に少なくとも 1 つのユーザ名を定義します。

ローカル ユーザ アカウントおよびパスワードは 64 文字以内で、英数字を使用できます。ただし、ローカル ユーザ アカウントには少なくとも 1 文字は英字を使用します。

ログイン認証の設定

ここでは、スイッチ上でログイン認証を設定する手順について説明します。

「スイッチ上でのログイン認証の試行回数の設定」

「イネーブル モードのログイン認証試行回数の設定」

スイッチ上でのログイン認証の試行回数の設定

スイッチ上でログイン認証を設定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

スイッチ上でログイン試行回数制限をイネーブルにします。コンソール ポート接続または Telnet 接続に限ってログイン認証をイネーブルにする場合は、 console または telnet キーワードを指定します。

set authentication login attempt { count } [ console | telnet ]

ステップ 2

スイッチ上でログイン ロックアウト時間をイネーブルにします。コンソール ポート接続または Telnet 接続に限ってログイン認証をイネーブルにする場合は、 console または telnet キーワードを指定します。

set authentication login lockout { time } [ console | telnet ]

ステップ 3

ローカル認証の設定を確認します。

show authentication

次に、ログイン試行回数を 5 回に制限し、コンソール接続と Telnet 接続の両方についてロックアウト時間を 50 秒に設定し、その設定を確認する例を示します。

Console> (enable) set authentication login attempt 5
Login authentication attempts for console and telnet logins set to 5.
Console> (enable) set authentication login lockout 50
Login lockout time for console and telnet logins set to 50.
Console> (enable) show authentication
 
Login Authentication: Console Session Telnet Session Http Session
--------------------- ---------------- ---------------- ----------------
tacacs disabled disabled disabled
radius disabled disabled disabled
kerberos disabled disabled disabled
local enabled(primary) enabled(primary) enabled(primary)
attempt limit 5 5 -
lockout timeout (sec) 50 50 -
 
Enable Authentication: Console Session Telnet Session Http Session
---------------------- ----------------- ---------------- ----------------
tacacs disabled disabled disabled
radius disabled disabled disabled
kerberos disabled disabled disabled
local enabled(primary) enabled(primary) enabled(primary)
attempt limit 3 3 -
lockout timeout (sec) disabled disabled -
Console> (enable)
 

イネーブル モードのログイン認証試行回数の設定

イネーブル モードのログイン認証を設定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

イネーブル モードのログイン試行回数制限をイネーブルにします。コンソール ポート接続または Telnet 接続に限ってログイン認証をイネーブルにする場合は、 console または telnet キーワードを指定します。

set authentication enable attempt { count } [ console | telnet ]

ステップ 2

イネーブル モードのログイン ロックアウト時間をイネーブルにします。コンソール ポート接続または Telnet 接続に限ってログイン認証をイネーブルにする場合は、 console または telnet キーワードを指定します。

set authentication enable lockout { time } [ console | telnet ]

ステップ 3

ローカル認証の設定を確認します。

show authentication

次に、イネーブル モードのログイン試行回数を 5 回に制限し、コンソール接続と Telnet 接続の両方でイネーブル モード ロックアウト時間を 50 秒に設定し、その設定を確認する例を示します。

Console> (enable) set authentication enable attempt 5
Enable mode authentication attempts for console and telnet logins set to 5.
Console> (enable) set authentication enable lockout 50
Enable mode lockout time for console and telnet logins set to 50.
Console> (enable) show authentication
 
Login Authentication: Console Session Telnet Session Http Session
--------------------- ---------------- ---------------- ----------------
tacacs disabled disabled disabled
radius disabled disabled disabled
kerberos disabled disabled disabled
local enabled(primary) enabled(primary) enabled(primary)
attempt limit 5 5 -
lockout timeout (sec) 50 50 -
 
Enable Authentication: Console Session Telnet Session Http Session
---------------------- ----------------- ---------------- ----------------
tacacs disabled disabled disabled
radius disabled disabled disabled
kerberos disabled disabled disabled
local enabled(primary) enabled(primary) enabled(primary)
attempt limit 5 5 -
lockout timeout (sec) 50 50 -
Console> (enable)
 

ローカル認証の設定

ここでは、スイッチ上でローカル認証を設定する手順について説明します。

「ローカル認証のイネーブル化」

「ログイン パスワードの設定」

「イネーブル パスワードの設定」

「ローカル認証のディセーブル化」

「パスワードの回復」

ローカル認証のイネーブル化


) ローカル ログイン認証およびイネーブル認証は、デフォルトの設定として、コンソール接続と Telnet 接続の両方でイネーブルです。デフォルト設定を変更する場合、またはローカル認証をディセーブルにしている場合を除き、次の作業は不要です。


スイッチ上でローカル認証をイネーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

スイッチ上でローカル ログイン認証をイネーブルにします。コンソール ポート接続または Telnet 接続に限ってローカル認証をイネーブルにする場合は、 console キーワードまたは telnet キーワードを指定します。

set authentication login local enable [ all | console | http | telnet ]

ステップ 2

スイッチ上でローカル イネーブル認証をイネーブルにします。コンソール ポート接続または Telnet 接続に限ってローカル認証をイネーブルにする場合は、 console キーワードまたは telnet キーワードを指定します。

set authentication enable local enable [ all | console | http | telnet ]

ステップ 3

ローカル認証の設定を確認します。

show authentication

次に、ローカル ログインをイネーブルに設定し、コンソール接続と Telnet 接続の両方で認証をイネーブルにして、その設定を確認する例を示します。

Console> (enable) set authentication login local enable
local login authentication set to enable for console and telnet session.
Console> (enable) set authentication enable local enable
local enable authentication set to enable for console and telnet session.
Console> (enable) show authentication
 
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
tacacs disabled disabled
radius disabled disabled
kerberos disabled disabled
local enabled(primary) enabled(primary)
 
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
tacacs disabled disabled
radius disabled disabled
kerberos disabled disabled
local enabled(primary) enabled(primary)
Console> (enable)
 

ログイン パスワードの設定

ログイン パスワードによって、ユーザ モードの CLI へのアクセスを制御します。パスワードには大文字と小文字の区別があり、任意の印刷可能な文字をスペースも含めて 19 文字まで使用できます。


) Release 5.4 より前のソフトウェア リリースのバージョンで設定したパスワードには、大文字と小文字の区別がありません。Release 5.4 をインストール後に、大文字と小文字の区別があるパスワードに再度設定する必要があります。


ローカル認証用にログイン パスワードを設定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

アクセスのためのログイン パスワードを設定します。以前のパスワードを入力し(パスワードが設定されていない場合には Return キーを押し)、新しいパスワードを入力して、さらにもう一度、新しいパスワードを入力します。

set password

次に、スイッチ上でログイン パスワードを設定する例を示します。

Console> (enable) set password
Enter old password: <old_password>
Enter new password: <new_password>
Retype new password: <new_password>
Password changed.
Console> (enable)
 

イネーブル パスワードの設定

ログイン パスワードによって、ユーザ モードの CLI へのアクセスを制御します。パスワードには大文字と小文字の区別があり、任意の印刷可能な文字をスペースも含めて 19 文字まで使用できます。


) Release 5.4 より前のソフトウェア リリースのバージョンで設定したパスワードには、大文字と小文字の区別がありません。Release 5.4 をインストール後に、大文字と小文字の区別があるパスワードに再度設定する必要があります。


ローカル認証用にイネーブル パスワードを設定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

イネーブル モードのパスワードを設定します。以前のパスワードを入力し(パスワードが設定されていない場合には Return キーを押し)、新しいパスワードを入力して、さらにもう一度、新しいパスワードを入力します。

set enablepass

次に、スイッチ上でイネーブル パスワードを設定する例を示します。

Console> (enable) set enablepass
Enter old password: <old_password>
Enter new password: <new_password>
Retype new password: <new_password>
Password changed.
Console> (enable)
 

ローカル認証のディセーブル化


注意 ローカル ログインまたはイネーブル認証をディセーブルにする前に、RADIUS または TACACS+ 認証が正しく設定され、機能しているかどうかを確認します。ローカル認証をディセーブルにした際に、RADIUS や TACACS+ が正しく設定されていなかった場合、または RADIUS サーバや TACACS+ サーバがオンラインでなかった場合、スイッチにログインできない可能性があります。

スイッチ上でローカル認証をディセーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

スイッチ上でローカル ログイン認証をディセーブルにします。コンソール ポート接続または Telnet 接続に限ってローカル認証をディセーブルにする場合は、 console キーワードまたは telnet キーワードを指定します。

set authentication login local disable [ all | console | http | telnet ]

ステップ 2

スイッチ上でローカル イネーブル認証をディセーブルにします。コンソール ポート接続または Telnet 接続に限ってローカル認証をディセーブルにする場合は、 console キーワードまたは telnet キーワードを指定します。

set authentication enable local disable [ all | console | http | telnet ]

ステップ 3

ローカル認証の設定を確認します。

show authentication


) RADIUS または TACACS+ 認証をイネーブルにしてから、ローカル認証をディセーブルにします。


次に、ローカル ログイン認証をディセーブルに設定し、コンソール接続と Telnet 接続の両方で認証をイネーブルにして、その設定を確認する例を示します。

Console> (enable) set authentication login local disable
local login authentication set to disable for console and telnet session.
Console> (enable) set authentication enable local disable
local enable authentication set to disable for console and telnet session.
Console> (enable) show authentication
 
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
tacacs disabled disabled
radius enabled(primary) enabled(primary)
kerberos disabled disabled
local disabled disabled
 
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
tacacs disabled disabled
radius enabled(primary) enabled(primary)
kerberos disabled disabled
local disabled disabled
Console> (enable)

パスワードの回復

ローカル認証パスワードを回復するには、次の手順に従います。ステップ 3 ~ 7 は、いったん電源を切ってから再投入したあと、30 秒以内に行う必要があります。そうでない場合は、パスワードの回復に失敗します。ログイン パスワードとイネーブル パスワードを両方とも忘れた場合には、パスワードごとに手順を繰り返してください。

パスワードを回復するには、イネーブル モードで次の作業を行います。


ステップ 1 スーパバイザ エンジンのコンソール ポートからスイッチに接続します。Telnet 接続の場合はパスワードを回復することはできません。

ステップ 2 reset system コマンドを入力してスイッチを再起動します。

ステップ 3 [Enter Password] のプロンプトで Return キーを押します(コンソール ポートに接続してから 30 秒間、ログイン パスワードは空白です)。

ステップ 4 enable コマンドを使用してイネーブル モードを開始します。

ステップ 5 [Enter Password] のプロンプトで Return キーを押します( コンソール ポートに接続してから 30 秒間、イネーブル パスワードは空白です)。

ステップ 6 set password コマンドまたは set enablepass コマンドを入力します。

ステップ 7 以前のパスワードを要求するプロンプトに対して、 Return キーを押します。

ステップ 8 新しいパスワードを入力して確認します。


 

ローカル ユーザ認証の設定

ここでは、スイッチ上でローカル ユーザ認証を設定する手順について説明します。

「ローカル ユーザ アカウントの作成」

「ローカル ユーザ認証のイネーブル化」

「ローカル ユーザ認証のディセーブル化」

「ローカル ユーザ アカウントの削除」

ローカル ユーザ アカウントの作成

ローカル ユーザ アカウントおよびパスワードは 64 文字以内で、英数字を使用できます。ただし、ローカル ユーザ アカウントには、少なくとも 1 文字は英字を使用します。

スイッチ上でローカル ユーザ アカウントを作成するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

新規のローカル ユーザ アカウントを作成します。

set localuser user username password pwd privilege privilege_level

ステップ 2

ローカル ユーザ アカウントを確認します。

show localusers

次に、ローカル ユーザ アカウントとパスワードを作成して権限レベルを設定し、その設定を確認する例を示します。

Console> (enable) set localuser user picard password captain privilege 15
Added local user picard.
Console> (enable) show localusers
Local User Authentication: disabled
Username Privilege Level
--------- -------------
picard 15
Console> (enable)
 

ローカル ユーザ認証のイネーブル化

スイッチ上でローカル ユーザ認証をイネーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

ローカル ユーザ認証をイネーブルにします。

set localuser authentication enable

ステップ 2

ローカル ユーザ認証の設定を確認します。

show authentication

次に、ローカル ユーザ アカウントを作成してローカル ユーザ認証をイネーブルにし、その設定を確認する例を示します。

Console> (enable) set localuser authentication enable
Local User Authentication enabled.
Console> (enable) show authentication
Login Authentication: Console Session Telnet Session Http Session
--------------------- ---------------- ---------------- ----------------
tacacs disabled disabled disabled
radius disabled disabled disabled
kerberos disabled disabled disabled
local * enabled(primary) enabled(primary) enabled(primary)
attempt limit 3 3 -
lockout timeout (sec) disabled disabled -
 
Enable Authentication: Console Session Telnet Session Http Session
---------------------- ----------------- ---------------- ----------------
tacacs disabled disabled disabled
radius disabled disabled disabled
kerberos disabled disabled disabled
local * enabled(primary) enabled(primary) enabled(primary)
attempt limit 3 3 -
lockout timeout (sec) disabled disabled -
* Local User Authentication enabled.
Console> (enable)
 

ローカル ユーザ認証のディセーブル化

スイッチ上でローカル ユーザ認証をディセーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

ローカル ユーザ認証をディセーブルにします。

set localuser authentication disable

ステップ 2

ローカル認証の設定を確認します。

show authentication

次に、スイッチのローカル ユーザ認証をディセーブルにし、設定を確認する例を示します。

Console> (enable) set localuser authentication disable
local user authentication set to disable.
Console> (enable) show authentication
Login Authentication: Console Session Telnet Session Http Session
--------------------- ---------------- ---------------- ----------------
tacacs disabled disabled disabled
radius disabled disabled disabled
kerberos disabled disabled disabled
local * enabled(primary) enabled(primary) enabled(primary)
attempt limit 3 3 -
lockout timeout (sec) disabled disabled -
 
Enable Authentication: Console Session Telnet Session Http Session
---------------------- ----------------- ---------------- ----------------
tacacs disabled disabled disabled
radius disabled disabled disabled
kerberos disabled disabled disabled
local * enabled(primary) enabled(primary) enabled(primary)
attempt limit 3 3 -
lockout timeout (sec) disabled disabled -
* Local User Authentication disabled.
Console> (enable)
 

ローカル ユーザ アカウントの削除

スイッチ上でローカル ユーザ アカウントを削除するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

ローカル ユーザ アカウントを削除します。

clear localuser picard

ステップ 2

ローカル ユーザ アカウントが削除されたことを確認します。

show localusers

次に、スイッチのローカル ユーザ認証を削除し、設定を確認する例を示します。

Console> (enable) clear localuser number1
Local user cleared.
Console> (enable) show localusers
Local User Authentication: enabled
Username Privilege Level
--------- -------------
picard 15
number1 0
worf 15
troy 0
Console> (enable)
 

TACACS+ サーバの指定

1 つまたは複数の TACACS+ サーバを指定してから、スイッチ上で TACACS+ 認証をイネーブルにします。 primary キーワードでプライマリにするサーバを明示的に指定しないかぎり、最初に指定したサーバがプライマリ サーバになります。

1 つまたは複数の TACACS+ サーバを指定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

1 つまたは複数の TACACS+ サーバの IP アドレスを指定します。

set tacacs server ip_addr [ primary ]

ステップ 2

TACACS+ の設定を確認します。

show tacacs

次に、TACACS+ サーバを指定し、設定を確認する例を示します。

Console> (enable) set tacacs server 172.20.52.3
172.20.52.3 added to TACACS server table as primary server.
Console> (enable) set tacacs server 172.20.52.2 primary
172.20.52.2 added to TACACS server table as primary server.
Console> (enable) set tacacs server 172.20.52.10
172.20.52.10 added to TACACS server table as backup server.
Console> (enable)
Console> (enable) show tacacs
 
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
tacacs disabled disabled
radius disabled disabled
local enabled(primary) enabled(primary)
 
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
tacacs disabled disabled
radius disabled disabled
local enabled(primary) enabled(primary)
Tacacs key:
Tacacs login attempts: 3
Tacacs timeout: 5 seconds
Tacacs direct request: disabled
Tacacs-Server Status
---------------------------------------- -------
172.20.52.3
172.20.52.2 primary
172.20.52.10
Console> (enable)

TACACS+ 認証のイネーブル化


) 少なくとも 1 つの TACACS+ サーバを指定してから、スイッチ上で TACACS+ 認証をイネーブルにします。TACACS+ サーバの指定方法については、「TACACS+ サーバの指定」を参照してください。


スイッチに対するログイン アクセスおよびイネーブル アクセスに関して、TACACS+ 認証をイネーブルに設定できます。状況に応じて、 console キーワードまたは telnet キーワードを指定すると、コンソール接続、または Telnet 接続に限って TACACS+ 認証を使用できます。RADIUS と TACACS+ の両方を使用する場合は、 primary キーワードを使用して、スイッチに最初に TACACS+ 認証を試行させることができます。

TACACS+ 認証をイネーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

ユーザ ログイン モードについて、TACACS+ 認証をイネーブルにします。コンソール ポート接続または Telnet 接続に限って TACACS+ 認証をイネーブルにする場合は、 console キーワードまたは telnet キーワードを指定します。

set authentication login tacacs enable [ all | console | http | telnet ] [ primary ]

ステップ 2

イネーブル モードについて、TACACS+ 認証をイネーブルにします。コンソール ポート接続または Telnet 接続に限って TACACS+ 認証をイネーブルにする場合は、 console キーワードまたは telnet キーワードを指定します。

set authentication enable tacacs enable [ all | console | http | telnet ] [ primary ]

ステップ 3

TACACS+ の設定を確認します。

show authentication

次に、コンソール接続と Telnet 接続の両方で TACACS+ 認証をイネーブルにして、設定を確認する例を示します。

Console> (enable) set authentication login tacacs enable
tacacs login authentication set to enable for console and telnet session.
Console> (enable) set authentication enable tacacs enable
tacacs enable authentication set to enable for console and telnet session.
Console> (enable) show authentication
 
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
tacacs enabled(primary) enabled(primary)
radius disabled disabled
local enabled enabled
 
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
tacacs enabled(primary) enabled(primary)
radius disabled disabled
local enabled enabled
Console> (enable)

TACACS+ 鍵の指定


) クライアント上で TACACS+ 鍵を設定する場合、TACACS+ サーバ上で設定されている鍵と一致させなければなりません。


TACACS+ 鍵を指定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

パケットを暗号化する鍵を指定します。

set tacacs key key

ステップ 2

TACACS+ の設定を確認します。

show tacacs

次に、TACACS+ 鍵を指定し、設定を確認する例を示します。

Console> (enable) set tacacs key Secret_TACACS_key
The tacacs key has been set to Secret_TACACS_key.
Console> (enable) show tacacs
Tacacs key: Secret_TACACS_key
Tacacs login attempts: 3
Tacacs timeout: 5 seconds
Tacacs direct request: disabled
 
Tacacs-Server Status
---------------------------------------- -------
172.20.52.3
172.20.52.2 primary
172.20.52.10
Console> (enable)

TACACS+ タイムアウト インターバルの指定

TACACS+ サーバに再送信するまでのタイムアウト インターバルを指定できます。デフォルトのタイムアウト値は 5 秒です。

TACACS+ タイムアウト インターバルを指定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

TACACS+ タイムアウト インターバルを指定します。

set tacacs timeout seconds

ステップ 2

TACACS+ の設定を確認します。

show tacacs

次に、サーバ タイムアウト インターバルを設定し、設定を確認する例を示します。

Console> (enable) set tacacs timeout 30
Tacacs timeout set to 30 seconds.
Console> (enable) show tacacs
Tacacs key: Secret_TACACS_key
Tacacs login attempts: 3
Tacacs timeout: 30 seconds
Tacacs direct request: disabled
 
Tacacs-Server Status
---------------------------------------- -------
172.20.52.3
172.20.52.2 primary
172.20.52.10
Console> (enable)

TACACS+ ログイン試行回数の指定

ログインの最大試行回数を指定できます。

ログインの最大試行回数を指定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

ログインの最大試行回数を指定します。

set tacacs attempts number

ステップ 2

TACACS+ の設定を確認します。

show tacacs

次に、ログイン最大試行回数を指定し、設定を確認する例を示します。

Console> (enable) set tacacs attempts 5
Tacacs number of attempts set to 5.
Console> (enable) show tacacs
Tacacs key: Secret_TACACS_key
Tacacs login attempts: 5
Tacacs timeout: 30 seconds
Tacacs direct request: disabled
Tacacs-Server Status
---------------------------------------- -------
172.20.52.3
172.20.52.2 primary
172.20.52.10
Console> (enable)

TACACS+ 指定要求のイネーブル化

TACACS+指定要求がイネーブルの場合、設定されている TACACS+ サーバのホスト名をオプションとして指定することにより、その特定の TACACS+ サーバに TACACS+ 認証要求を渡すことができます。スイッチが通信するサーバに、ログインを試行しているユーザに対するアカウントがない場合、認証は失敗します。

TACACS+ 指定要求をイネーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

スイッチ上で TACACS+ 指定要求をイネーブルにします。

set tacacs directedrequest enable

ステップ 2

TACACS+ の設定を確認します。

show tacacs

次に、TACACS+ 指定要求をイネーブルにして、設定を確認する例を示します。

Console> (enable) set tacacs directedrequest enable
Tacacs direct request has been enabled.
Console> (enable) show tacacs
Tacacs key: Secret_TACACS_key
Tacacs login attempts: 5
Tacacs timeout: 30 seconds
Tacacs direct request: enabled
 
Tacacs-Server Status
---------------------------------------- -------
172.20.52.3
172.20.52.2 primary
172.20.52.10
Console> (enable)

TACACS+ 指定要求のディセーブル化

TACACS+ 指定要求をディセーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

スイッチ上で TACACS+ 指定要求をディセーブルにします。

set tacacs directedrequest disable

ステップ 2

TACACS+ の設定を確認します。

show tacacs

次に、TACACS+ 指定要求をディセーブルにする例を示します。

Console> (enable) set tacacs directedrequest disable
Tacacs direct request has been disabled.
Console> (enable)

TACACS+ サーバの消去

1 つまたは複数の TACACS+ サーバを消去するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

設定から消去する TACACS+ サーバの IP アドレスを指定します。設定からサーバをすべて消去するには、 all キーワードを使用します。

clear tacacs server [ ip_addr | all ]

ステップ 2

TACACS+ サーバの設定を確認します。

show tacacs

次に、設定から特定の TACACS+ サーバを消去する例を示します。

Console> (enable) clear tacacs server 172.20.52.3
172.20.52.3 cleared from TACACS table
Console> (enable)
 

次に、設定からすべての TACACS+ サーバを消去する例を示します。

Console> (enable) clear tacacs server all
All TACACS servers cleared
Console> (enable)

TACACS+ 鍵の消去

TACACS+ 鍵を消去するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

TACACS+ 鍵を消去します。

clear tacacs key

ステップ 2

TACACS+ の設定を確認します。

show tacacs

次に、TACACS+鍵を消去する例を示します。

Console> (enable) clear tacacs key
TACACS server key cleared.
Console> (enable)

TACACS+ 認証のディセーブル化

ローカル認証がディセーブルで、TACACS+ 認証だけがイネーブルのときに、TACACS+ 認証をディセーブルにすると、ローカル認証が再び自動的にイネーブルになります。

TACACS+ 認証をディセーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

ユーザ ログイン モードについて、TACACS+ 認証をディセーブルにします。コンソール ポート接続または Telnet 接続に限って TACACS+ 認証をディセーブルにする場合は、 console キーワードまたは telnet キーワードを指定します。

set authentication login tacacs disable [ all | console | http | telnet ]

ステップ 2

イネーブル モードについて、TACACS+ 認証をディセーブルにします。コンソール ポート接続または Telnet 接続に限って TACACS+ 認証をディセーブルにする場合は、 console キーワードまたは telnet キーワードを指定します。

set authentication enable tacacs disable [ all | console | http | telnet ]

ステップ 3

TACACS+ の設定を確認します。

show authentication

次に、コンソール接続と Telnet 接続の両方で TACACS+ 認証をディセーブルにして、設定を確認する例を示します。

Console> (enable) set authentication login tacacs disable
tacacs login authentication set to disable for console and telnet session.
Console> (enable) set authentication enable tacacs disable
tacacs enable authentication set to disable for console and telnet session.
Console> (enable) show authentication
 
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
tacacs disabled disabled
radius disabled disabled
local enabled(primary) enabled(primary)
 
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
tacacs disabled disabled
radius disabled disabled
local enabled(primary) enabled(primary)
Console> (enable)

RADIUS サーバの指定

1 つまたは複数の RADIUS サーバを指定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

3 つまでの RADIUS サーバの IP アドレスを指定します。 primary キーワードを使用して、プライマリ サーバを指定します。さらにオプションとして、サーバ上で使用する宛先 UDP ポートを指定します。

set radius server ip_addr [ auth-port port ] [ primary ]

ステップ 2

RADIUS サーバの設定を確認します。

show radius

次に、RADIUS サーバを指定し、設定を確認する例を示します。

Console> (enable) set radius server 172.20.52.3
172.20.52.3 with auth-port 1812 added to radius server table as primary server.
Console> (enable) show radius
 
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
tacacs disabled disabled
radius disabled disabled
local enabled(primary) enabled(primary)
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
tacacs disabled disabled
radius disabled disabled
local enabled(primary) enabled(primary)
 
Radius Deadtime: 0 minutes
Radius Key:
Radius Retransmit: 2
Radius Timeout: 5 seconds
 
Radius-Server Status Auth-port
----------------------------- ------- ------------
172.20.52.3 primary 1812
Console> (enable)

RADIUS 鍵の指定


) クライアント上で RADIUS 鍵を指定する場合は、必ず RADIUS サーバ上で指定されている鍵と同じものにします。


RADIUS クライアントとサーバとの間のすべての通信を暗号化し、認証するために、RADIUS 鍵が使用されます。クライアントと RADIUS サーバ上では、同じ鍵を設定しなければなりません。

鍵の長さは 65 文字に制限されています。タブ以外の印字可能な任意の ASCII 文字を使用できます。

RADIUS 鍵を指定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

RADIUS サーバに送信するパケットの暗号化に使用する RADIUS 鍵を指定します。

set radius key key

ステップ 2

RADIUS の設定を確認します。

show radius

次に、RADIUS 鍵を指定し、設定を確認する例を示します(ユーザ モードの場合、RADIUS 鍵値は表示されません)。

Console> (enable) set radius key Secret_RADIUS_key
Radius key set to Secret_RADIUS_key
Console> (enable) show radius
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
tacacs disabled disabled
radius enabled(primary) enabled(primary)
local enabled enabled
 
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
tacacs disabled disabled
radius enabled(primary) enabled(primary)
local enabled enabled
 
Radius Deadtime: 0 minutes
Radius Key: Secret_RADIUS_key
Radius Retransmit: 2
Radius Timeout: 5 seconds
 
Radius-Server Status Auth-port
----------------------------- ------- ------------
172.20.52.3 primary 1812
Console> (enable)
 

RADIUS 認証のイネーブル化


) スイッチ上で RADIUS 認証をイネーブルにする前に、少なくとも 1 つの RADIUS サーバを指定します。RADIUS サーバの指定手順については、「RADIUS サーバの指定」を参照してください。


スイッチへのログイン アクセスおよびイネーブル アクセスについて、RADIUS 認証をイネーブルにできます。必要な場合は、 console キーワードまたは telnet キーワードを使用して、RADIUS 認証をコンソール接続、または Telnet 接続だけに使用するように設定できます。RADIUS と TACACS+ の両方を使用する場合は、 primary キーワードを使用して、スイッチに最初に RADIUS 認証を試行させることができます。

RADIUS ユーザ名を設定して、RADIUS 認証をイネーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

ユーザ ログイン モードについて、RADIUS 認証をイネーブルにします。コンソール ポート接続または Telnet 接続による試行に限って RADIUS をイネーブルにする場合は、 console キーワードまたは telnet キーワードを入力します。

set authentication login radius enable [ all | console | http | telnet ] [ primary ]

ステップ 2

イネーブル モードについて、RADIUS 認証をイネーブルに設定します。コンソール ポート接続または Telnet 接続による試行に限って RADIUS をイネーブルにする場合は、 console キーワードまたは telnet キーワードを入力します。

set authentication enable radius enable [ all | console | http | telnet ] [ primary ]

ステップ 3

RADIUS サーバ上で$enab15$ を作成し、このユーザにパスワードを割り当てます。

詳細については、以下の(注)を参照してください。

ステップ 4

RADIUS の設定を確認します。

show authentication


) イネーブル モードの RADIUS 認証を使用するには、RADIUS サーバ上にユーザ$enab15$ を作成し、そのユーザにパスワードを割り当てる必要があります。RADIUS サーバにユーザ名とパスワード(たとえば、ユーザ名 john、パスワード hello)を割り当てるだけでなく、このユーザも作成する必要があります。割り当てられたユーザ名およびパスワード(john/hello)を使用して Catalyst 6500 シリーズ スイッチにログインしたら、$enab15$ ユーザに割り当てられたパスワードを使用してイネーブル モードを開始できます。

RADIUS サーバが $enab15$ ユーザ名をサポートしていない場合は、RADIUS ユーザの Service-Type 属性(属性 6)を Administrative(値 6)に設定すると、個別にイネーブル パスワードを要求されることなく、直接イネーブル モードを起動できます。


次に、RADIUS 認証をイネーブルにして、設定を確認する例を示します。

Console> (enable) set authentication login radius enable
radius login authentication set to enable for console and telnet session.
Console> (enable) set authentication enable radius enable
radius enable authentication set to enable for console and telnet session.
Console> (enable) show authentication
 
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
tacacs disabled disabled
radius enabled(primary) enabled(primary)
local enabled enabled
 
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
tacacs disabled disabled
radius enabled(primary) enabled(primary)
local enabled enabled
Console> (enable)

RADIUS タイムアウト インターバルの指定

RADIUS サーバに再送信するまでのタイムアウト インターバルを指定できます。デフォルトのタイムアウト値は 5 秒です。

RADIUS のタイムアウト インターバルを指定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

RADIUS タイムアウト インターバルを指定します。

set radius timeout seconds

ステップ 2

RADIUS の設定を確認します。

show radius

次に、RADIUS タイムアウト インターバルを設定し、設定を確認する例を示します。

Console> (enable) set radius timeout 10
Radius timeout set to 10 seconds.
Console> (enable) show radius
 
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
tacacs disabled disabled
radius enabled(primary) enabled(primary)
local enabled enabled
 
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
tacacs disabled disabled
radius enabled(primary) enabled(primary)
local enabled enabled
 
Radius Deadtime: 0 minutes
Radius Key: Secret_RADIUS_key
Radius Retransmit: 2
Radius Timeout: 10 seconds
 
Radius-Server Status Auth-port
----------------------------- ------- ------------
172.20.52.3 primary 1812
Console> (enable)
 

RADIUS 再送信試行回数の指定

スイッチが RADIUS サーバとの接続を試行する最大回数を指定できます。この回数を超えると、設定済みの次のサーバとの接続が試行されます。デフォルトの設定では、各 RADIUS サーバとの接続は 2 回試行されます。

RADIUS の再送信試行回数を指定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

RADIUS サーバ再送信試行回数を指定します。

set radius retransmit count

ステップ 2

RADIUS の設定を確認します。

show radius

次に、RADIUS 再送信試行回数を指定し、設定を確認する例を示します。

Console> (enable) set radius retransmit 4
Radius retransmit count set to 4.
Console> (enable) show radius
 
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
tacacs disabled disabled
radius enabled(primary) enabled(primary)
local enabled enabled
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
tacacs disabled disabled
radius enabled(primary) enabled(primary)
local enabled enabled
 
Radius Deadtime: 0 minutes
Radius Key: Secret_RADIUS_key
Radius Retransmit: 4
Radius Timeout: 10 seconds
 
Radius-Server Status Auth-port
----------------------------- ------- ------------
172.20.52.3 primary 1812
Console> (enable)
 

RADIUS 待機時間の指定

RADIUS サーバが認証要求に応答しなかった場合、待機時間によって指定された期間は待機状態であるというマークをそのサーバに付けるように、スイッチを設定できます。待機時間内に受信された認証要求はいずれも(そのスイッチへのログインを試行している他のユーザなど)、待機状態とマークされた RADIUS サーバには送信されません。待機時間を設定しておけば、待機状態の RADIUS サーバへの再送信やタイムアウトを省くことができるため、認証プロセスを高速化できます。

1 つの RADIUS サーバだけを設定した場合、または設定されたサーバがすべて待機状態とマークされている場合、使用可能な代替サーバがないため、待機時間は無視されます。

RADIUS 待機時間を設定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

RADIUS サーバの待機時間を指定します。

set radius deadtime minutes

ステップ 2

RADIUS の設定を確認します。

show radius

次に、RADIUS 待機時間を設定し、設定を確認する例を示します。

Console> (enable) set radius deadtime 5
Radius deadtime set to 5 minute(s)
Console> (enable) show radius
 
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
tacacs disabled disabled
radius enabled(primary) enabled(primary)
local enabled enabled
 
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
tacacs disabled disabled
radius enabled(primary) enabled(primary)
local enabled enabled
 
Radius Deadtime: 5 minutes
Radius Key: Secret_RADIUS_key
Radius Retransmit: 4
Radius Timeout: 10 seconds
 
Radius-Server Status Auth-port
----------------------------- ------- ------------
172.20.52.3 primary 1812
172.20.52.2 1812
Console> (enable)
 

RADIUS サーバのオプションの属性の指定

RADIUS ACCESS_REQUEST パケットにオプションの属性を指定できます。 set radius attribute コマンドによって、Framed-IP address、NAS-Port、Called-Station-Id、Calling-Station-Id などの特定の属性オプションの伝送を指定できます。属性の伝送の設定は、属性番号または属性名で行えます。属性の伝送は、デフォルトでディセーブルに設定されています。


) Release 7.5(1) では、Framed-IP address(属性 8)だけをサポートしています。


RADIUS サーバのオプション属性を指定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

RADIUS サーバのオプション属性を指定します。

set radius attribute [ number | name ] include-in-access-req [ enable | disable ]

ステップ 2

RADIUS の設定を確認します。

show radius

次に、Framed-IP address 属性を番号で指定してイネーブルにし、設定を確認する例を示します。

Console> (enable) set radius attribute 8 include-in-access-req enable
Transmission of Framed-ip address in access-request packet is enabled.
Console> (enable) show radius
RADIUS Deadtime: 0 minutes
RADIUS Key: 123456
RADIUS Retransmit: 2
RADIUS Timeout: 5 seconds
Framed-Ip Address Transmit: Enabled
 
RADIUS-Server Status Auth-port Acct-port
----------------------------- ------- ------------ ------------
10.6.140.230 primary 1812 1813
Console> (enable)
 

次に、Framed-IP address 属性を名前で指定してディセーブルにする例を示します。

Console> (enable) set radius attribute framed-ip-address include-in-access-req disable
Transmission of Framed-ip address in access-request packet is disabled.
Console> (enable)

RADIUS サーバの消去

1 つまたは複数の RADIUS サーバを消去するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

設定から消去する RADIUS サーバの IP アドレスを指定します。設定からサーバをすべて消去するには、 all キーワードを使用します。

clear radius server [ ip_addr | all ]

ステップ 2

RADIUS サーバの設定を確認します。

show radius

次に、設定から単一の RADIUS サーバを消去する例を示します。

Console> (enable) clear radius server 172.20.52.3
172.20.52.3 cleared from radius server table.
Console> (enable)
 

次に、設定からすべての RADIUS サーバを消去する例を示します。

Console> (enable) clear radius server all
All radius servers cleared from radius server table.
Console> (enable)

RADIUS 鍵の消去

RADIUS 鍵を消去するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

RADIUS 鍵を消去します。

clear radius key

ステップ 2

RADIUS の設定を確認します。

show radius

次に、RADIUS 鍵を消去し、設定を確認する例を示します。

Console> (enable) clear radius key
Radius key cleared.
Console> (enable) show radius
 
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
tacacs disabled disabled
radius disabled disabled
local enabled(primary) enabled(primary)
 
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
tacacs disabled disabled
radius disabled disabled
local enabled(primary) enabled(primary)
 
Radius Deadtime: 0 minutes
Radius Key:
Radius Retransmit: 2
Radius Timeout: 5 seconds
 
Radius-Server Status Auth-port
----------------------------- ------- ------------
172.20.52.3 primary 1812
Console> (enable)
 

RADIUS 認証のディセーブル化

ローカル認証がディセーブルで、RADIUS 認証だけがイネーブルのときに、RADIUS 認証をディセーブルにすると、ローカル認証が自動的に再びイネーブルになります。

RADIUS 認証をディセーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

ログイン モードについて、RADIUS 認証をディセーブルにします。

set authentication login radius disable [ all | console | http | telnet ]

ステップ 2

イネーブル モードについて、RADIUS 認証をディセーブルにします。

set authentication enable radius disable [ all | console | http | telnet ]

ステップ 3

RADIUS の設定を確認します。

show authentication

次に、RADIUS 認証をディセーブルにして、設定を確認する例を示します。

Console> (enable) set authentication login radius disable
radius login authentication set to disable for console and telnet session.
Console> (enable) set authentication enable radius disable
radius enable authentication set to disable for console and telnet session.
Console> (enable) show authentication
 
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
tacacs disabled disabled
radius disabled disabled
local enabled(primary) enabled(primary)
 
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
tacacs disabled disabled
radius disabled disabled
local enabled(primary) enabled(primary)
Console> (enable)

Kerberos サーバの設定

スイッチ上の認証方式として Kerberos を使用するには、先に Kerberos サーバを設定する必要があります。KDC 用のデータベースを作成し、そのデータベースにスイッチを追加してください。


) Kerberos 認証を使用するには、Network Time Protocol(NTP)がイネーブルになっている必要があります。また、Domain Name System(DNS; ドメイン ネーム システム)をイネーブルにすることも推奨します。


Kerberos サーバを設定するには、次の手順を実行します。


ステップ 1 Kerberos サーバの鍵テーブルにスイッチを入力する前に、KDC が使用するためのデータベースを作成しなければなりません。次の例では、CISCO.EDU というデータベースを作成します。

/usr/local/sbin/kdb5_util create -r CISCO.EDU -s
 

ステップ 2 データベースにスイッチを追加します。次の例では、Cat6509 というスイッチを CISCO.EDU データベースに追加します。

ank host/Cat6509.cisco.edu@CISCO.EDU
 

ステップ 3 次のようにユーザ名を追加します。

ank user1@CISCO.EDU
 

ステップ 4 次のように管理プリンシパルを追加します。

ank user1/admin@CISCO.EDU
 

ステップ 5 次のように admin.local ktadd コマンドを使用して、データベースにスイッチ用のエントリを作成します。

ktadd host/Cat6509.cisco.edu@CISCO.EDU
 

ステップ 6 スイッチがアクセスできる場所に KEYTAB ファイルを移します。

ステップ 7 次のように KDC サーバを起動します。

/usr/local/sbin/krb5kdc
/usr/local/sbin/kadmind
 


 

Kerberos のイネーブル化

Kerberos 認証をイネーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

認証方式として Kerberos を指定します。

set authentication login kerberos enable [ all | console | http | telnet ] [ primary ]

ステップ 2

設定を確認します。

show authentication

次に、Telnet ログイン認証方式として Kerberos をイネーブルにし、設定を確認する例を示します。

kerberos> (enable) set authentication login kerberos enable telnet
kerberos login authentication set to enable for telnet session.
kerberos> (enable) show authentication
 
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
tacacs disabled disabled
radius disabled disabled
kerberos disabled enabled(primary)
local enabled(primary) enabled
 
Enable Authentication:Console Session Telnet Session
---------------------- ----------------- ----------------
tacacs disabled disabled
radius disabled disabled
kerberos disabled enabled(primary)
local enabled(primary) enabled
kerberos> (enable)
 

次に、コンソールのログイン認証方式として Kerberos をイネーブルにし、設定を確認する例を示します。

kerberos> (enable) set authentication login kerberos enable console
kerberos login authentication set to enable for console session.
kerberos> (enable) show authentication
 
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
tacacs disabled disabled
radius disabled disabled
kerberos enabled(primary) enabled(primary)
local enabled enabled
 
Enable Authentication:Console Session Telnet Session
---------------------- ----------------- ----------------
tacacs disabled disabled
radius disabled disabled
kerberos enabled(primary) enabled(primary)
local enabled enabled
kerberos> (enable)

Kerberos ローカル レルムの定義

Kerberos レルムは、Kerberos サーバに登録されたユーザ、ホスト、およびネットワーク サービスで構成されるドメインです。Kerberos データベースで定義されたユーザを認証するために、スイッチは KDC が稼働しているホストのホスト名または IP アドレス、および Kerberos レルム名を認識している必要があります。

スイッチが特定の Kerberos レルムで KDC の認証を受けるように設定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

スイッチのデフォルト レルムを定義します。

set kerberos local-realm kerberos_realm


) レルムは必ず大文字で入力してください。レルムを小文字で入力すると、Kerberos はユーザを認証しません。


次に、ローカル レルムを定義し、設定を確認する例を示します。

kerberos> (enable) set kerberos local-realm CISCO.COM
Kerberos local realm for this switch set to CISCO.COM.
kerberos> (enable) show kerberos
Kerberos Local Realm:CISCO.COM
Kerberos server entries:
Realm:CISCO.COM, Server:187.0.2.1, Port:750
 
Kerberos Domain<->Realm entries:
Domain:cisco.com, Realm:CISCO.COM
 
Kerberos Clients NOT Mandatory
Kerberos Credentials Forwarding Enabled
Kerberos Pre Authentication Method set to None
Kerberos config key:
Kerberos SRVTAB Entries
Srvtab Entry 1:host/niners.cisco.com@CISCO.COM 0 932423923 1 1 8 01;;8>00>50;0=0=0
kerberos> (enable)

Kerberos サーバの指定

特定の Kerberos レルムで使用する KDC をスイッチに対して指定できます。任意で、KDC にモニタさせるポート番号も指定できます。入力した Kerberos サーバ情報は、1 つの Kerberos レルムに対して 1 エントリとして、テーブルで維持されます。テーブルの最大エントリ数は 100 です。

Kerberos サーバを指定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

特定の Kerberos レルムで使用する KDC を指定します。任意で、KDC にモニタさせるポート番号を入力します(デフォルトのポート番号は 750 です)。

set kerberos server kerberos_realm { hostname | ip_address } [ port ]

ステップ 2

Kerberos サーバ エントリを消去します。

clear kerberos server kerberos_realm { hostname | ip_address } [ port ]

次に、特定の Kerberos レルムで KDC として動作する Kerberos サーバを指定し、エントリを消去する例を示します。

kerberos> (enable) set kerberos server CISCO.COM 187.0.2.1 750
Kerberos Realm-Server-Port entry set to:CISCO.COM - 187.0.2.1 - 750
kerberos> (enable)
 
Console> (enable) clear kerberos server CISCO.COM 187.0.2.1 750
Kerberos Realm-Server-Port entry CISCO.COM-187.0.2.1-750 deleted
Console> (enable)

Kerberos レルムとホスト名または DNS ドメインのマッピング

任意で、ホスト名または DNS ドメインと Kerberos レルムをマッピングすることができます。

Kerberos レルムをホスト名または DNS ドメインにマッピングするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

(任意)ホスト名または DNS ドメインと Kerberos レルムをマッピングします。

set kerberos realm {dns_domain | host} kerberos_realm

ステップ 2

Kerberos レルムとドメインまたはホストとのマッピング エントリを消去します。

clear kerberos realm {dns_domain | host} kerberos_realm

次に、Kerberos レルムを DNS ドメインにマッピングし、エントリを消去する例を示します。

Console> (enable) set kerberos realm CISCO CISCO.COM
Kerberos DnsDomain-Realm entry set to CISCO - CISCO.COM
Console> (enable)
 
Console> (enable) clear kerberos realm CISCO CISCO.COM
Kerberos DnsDomain-Realm entry CISCO - CISCO.COM deleted
Console> (enable)

SRVTAB ファイルのコピー

リモート ユーザが Kerberos の証明書を使用して、スイッチの認証を受けることができるようにするには、スイッチと KDC 間で秘密鍵を共有しなければなりません。そのためには、KDC に保存されているファイルの鍵のコピーをスイッチに与える必要があります。このファイルをスイッチでは SRVTAB ファイル、サーバでは KEYTAB ファイルといいます。

Kerberos レルム内のホストに SRVTAB ファイルをコピーする方法としては、ファイルを物理メディアにコピーして、各ホストを回り、手動でシステムにファイルをコピーするのが最も安全です。物理メディア ドライブを備えていないスイッチに SRVTAB ファイルをコピーするには、Trivial File Transfer Protocol(TFTP; 簡易ファイル転送プロトコル)を使用し、ネットワークを介してファイルを転送する必要があります。

スイッチから KDC に SRVTAB ファイルをコピーする場合、スイッチがファイル内の情報を解析し、Kerberos SRVTAB エントリ フォーマットで実行コンフィギュレーションに保存します。スイッチに SRVTAB を直接入力する場合は、スイッチ上の Kerberos プリンシパル(サービス)ごとに 1 つずつエントリを作成します。エントリは SRVTAB テーブルで維持されます。テーブルの最大サイズは 20 エントリです。

KDC からスイッチが SRVTAB ファイルを取得するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

KDC から特定の SRVTAB ファイルを取得します。

set kerberos srvtab remote { hostname | ip_address } filename

ステップ 2

(任意)スイッチに SRVTAB を直接入力します。

set kerberos srvtab entry kerberos_principal principal_type timestamp key_version number key_type key_length encrypted_keytab

次に、KDC から SRVTAB ファイルを取得し、スイッチに SRVTAB を直接入力し、設定を確認する例を示します。

kerberos> (enable) set kerberos srvtab remote 187.20.32.10 /users/jdoe/krb5/ninerskeytab
kerberos> (enable)
 
kerberos> (enable) set kerberos srvtab entry host/niners.cisco.com@CISCO.COM 0 932423923 1 1 8 03;;5>00>50;0=0=0
Kerberos SRVTAB entry set to
Principal:host/niners.cisco.com@CISCO.COM
Principal Type:0
Timestamp:932423923
Key version number:1
Key type:1
Key length:8
Encrypted key tab:03;;5>00>50;0=0=0
 
kerberos> (enable) show kerberos
Kerberos Local Realm:CISCO.COM
Kerberos server entries:
Realm:CISCO.COM, Server:187.0.2.1, Port:750
Realm:CISCO.COM, Server:187.20.2.1, Port:750
 
Kerberos Domain<->Realm entries:
Domain:cisco.com, Realm:CISCO.COM
 
Kerberos Clients NOT Mandatory
Kerberos Credentials Forwarding Enabled
Kerberos Pre Authentication Method set to None
Kerberos config key:
Kerberos SRVTAB Entries
Srvtab Entry 1:host/niners.cisco.com@CISCO.COM 0 932423923 1 1 8 03;;5>00>50;0=0=0
Srvtab Entry 2:host/niners.cisco.edu@CISCO.EDU 0 933974942 1 1 8 00?58:127:223=:;9
Console> (enable)

SRVTAB エントリの削除

SRVTAB エントリを削除にするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

特定の Kerberos プリンシパルに対する SRVTAB エントリを削除します。

clear kerberos srvtab entry kerberos_principal principal_type

次に、SRVTAB エントリを削除する例を示します。

kerberos> (enable) clear kerberos srvtab entry host/niners.cisco.com@CISCO.COM 0
kerberos> (enable)

証明書転送のイネーブル化

Kerberos 対応スイッチの認証を受けたユーザは、TGT が与えられ、その TGT を使用してネットワーク上のホストの認証を受けることができます。ただし、転送が禁止されている場合、ユーザがホストの認証を受けたあとで証明書を表示しようとすると、Kerberos の証明書が存在しないことを示す出力になります。

証明書を転送できるようにするには、ユーザがスイッチの認証を受けたあとで、Kerberos 対応 Telnet を使用して、スイッチから Kerberos 対応リモート ホストへ、ユーザの TGT を転送するようにスイッチを設定します。

セキュリティを強化する手段として、ユーザがスイッチの認証を受けたあとで、Kerberos 対応のクライアントを使用しなければ、そのユーザがネットワーク上の他のサービスに対して認証を得られないようにスイッチを設定できます。Kerberos 認証を必須にしなかった場合、Kerberos 認証が得られないと、アプリケーションはそのネットワーク サービスでデフォルトの認証方式を使用して、ユーザを認証しようとします。たとえば、Telnet の場合はパスワードを要求します。

クライアントが Kerberos レルム内の他のホストに接続するときに、ユーザの証明書を転送するように設定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

Kerberos 認証に成功した場合に、すべてのクライアントがユーザ証明書を転送できるようにします。

set kerberos credentials forward

ステップ 2

(任意)リモート サーバに対してクライアントが認証を受けられなかった場合に、Telnet が失敗するように設定します。

set kerberos clients mandatory

次に、ユーザの証明書を転送するようにクライアントを設定し、その設定を確認する例を示します。

kerberos> (enable) set kerberos credentials forward
Kerberos credentials forwarding enabled
kerberos> (enable) show kerberos
Kerberos Local Realm:CISCO.COM
Kerberos server entries:
Realm:CISCO.COM, Server:187.0.2.1, Port:750
Realm:CISCO.COM, Server:187.20.2.1, Port:750
 
Kerberos Domain<->Realm entries:
Domain:cisco.com, Realm:CISCO.COM
 
Kerberos Clients NOT Mandatory
Kerberos Credentials Forwarding Enabled
Kerberos Pre Authentication Method set to None
Kerberos config key:
Kerberos SRVTAB Entries
Srvtab Entry 1:host/aspen-niners.cisco.edu@CISCO.EDU 0 933974942 1 1 8 00?91:107:423=:;9
kerberos> (enable)
 

次に、他のネットワーク サービスの認証を受けるユーザに Kerberos クライアントが必須となるように、スイッチを設定する例を示します。

Console> (enable) set kerberos clients mandatory
Kerberos clients set to mandatory
Console> (enable)

証明書転送のディセーブル化

証明書転送をディセーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

証明書転送の設定をディセーブルにします。

clear kerberos credentials forward

次に、証明書転送の設定をディセーブルにし、設定を確認する例を示します。

Console> (enable) clear kerberos credentials forward
Kerberos credentials forwarding disabled
Console> (enable) show kerberos
Kerberos Local Realm not configured
Kerberos server entries:
 
Kerberos Domain<->Realm entries:
 
Kerberos Clients NOT Mandatory
Kerberos Credentials Forwarding Disabled
Kerberos Pre Authentication Method set to None
Kerberos config key:
Kerberos SRVTAB Entries
Console> (enable)
 

Kerberos クライアント必須の設定を消去するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

Kerberos クライアント必須の設定を消去します。

clear kerberos clients mandatory

次に、クライアント必須の設定を消去し、設定を確認する例を示します。

Console> (enable) clear kerberos clients mandatory
Kerberos clients mandatory cleared
Console> (enable) show kerberos
Kerberos Local Realm not configured
Kerberos server entries:
 
Kerberos Domain<->Realm entries:
 
Kerberos Clients NOT Mandatory
Kerberos Credentials Forwarding Disabled
Kerberos Pre Authentication Method set to None
Kerberos config key:
Kerberos SRVTAB Entries
Console> (enable)
Kerberos server entries:
 
Kerberos Domain<->Realm entries:
 
Kerberos Clients Mandatory
Kerberos Credentials Forwarding Disabled
Kerberos Pre Authentication Method set to Encrypted Unix Time Stamp
Kerberos config key:
Kerberos SRVTAB Entries
Console> (enable)
 

プライベート DES 鍵の定義および消去

スイッチ用のプライベート DES 鍵を定義できます。プライベート DES 鍵を使用すると、スイッチが KDC と共有する秘密鍵が暗号化され、show kerberos コマンドの実行時に、秘密鍵がクリア テキストで表示されなくなります。鍵の長さは 8 文字以下にしなければなりません。

DES 鍵を定義するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

スイッチ用の DES 鍵を定義します。

set key config-key string

次に、DES 鍵を定義し、設定を確認する例を示します。

kerberos> (enable) set key config-key abcd
Kerberos config key set to abcd
kerberos> (enable) show kerberos
Kerberos Local Realm:CISCO.COM
Kerberos server entries:
Realm:CISCO.COM, Server:170.20.2.1, Port:750
Realm:CISCO.COM, Server:172.20.2.1, Port:750
 
Kerberos Domain<->Realm entries:
Domain:cisco.com, Realm:CISCO.COM
 
Kerberos Clients Mandatory
Kerberos Credentials Forwarding Disabled
Kerberos Pre Authentication Method set to Encrypted Unix Time Stamp
Kerberos config key:abcd
Kerberos SRVTAB Entries
Srvtab Entry 1:host/aspen-niners.cisco.edu@CISCO.EDU 0 933974942 1 1 8 12151><88?=>>3>11
kerberos> (enable)
 

DES 鍵を消去するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

スイッチから DES 鍵を消去します。

clear key config-key string

次に、DES 鍵を消去する例を示します。

Console> (enable) clear key config-key
Kerberos config key cleared
Console> (enable)

Telnet セッションの暗号化

Kerberos を使用してスイッチの認証を受けたユーザが、別のスイッチまたはホストに Telnet でアクセスする場合に、それが Kerberos 対応の Telnet になるかどうかは、Telnet サーバで使用している認証方式によって決まります。Telnet サーバが認証に Kerberos を使用している場合は、Telnet セッションが続いている間、あらゆるアプリケーション データ パケットを暗号化することを選択できます。Telnet セッションを暗号化するには、telnet コマンドで encrypt kerberos オプションを選択します。

Telnet セッションを暗号化するには、次の作業を行います。

 

作業
コマンド

Telnet セッションを暗号化します。

telnet encrypt kerberos host

次に、Kerberos 認証および暗号化対応として Telnet セッションを設定する例を示します。

Console> (enable) telnet encrypt kerberos

Kerberos 設定の表示および消去

次のコマンドを使用すると、スイッチの Kerberos 設定を表示または消去することができます。

show kerberos

show kerberos creds

clear kerberos creds

Kerberos 設定を表示するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

Kerberos 設定を表示します。

show kerberos

次に、Kerberos 設定を表示する例を示します。

kerberos> (enable) show kerberos
Kerberos Local Realm:CISCO.COM
Kerberos server entries:
Realm:CISCO.COM, Server:187.0.2.1, Port:750
Realm:CISCO.COM, Server:187.20.2.1, Port:750
 
Kerberos Domain<->Realm entries:
Domain:cisco.com, Realm:CISCO.COM
Kerberos Clients NOT Mandatory
Kerberos Credentials Forwarding Enabled
Kerberos Pre Authentication Method set to None
Kerberos config key:
Kerberos SRVTAB Entries
Srvtab Entry 1:host/niners.cisco.com@CISCO.COM 0 932423923 1 1 8 03;;5>00>50;0=0=0
Srvtab Entry 2:host/niners.cisco.edu@CISCO.EDU 0 933974942 1 1 8 00?58:127:223=:;9
kerberos> (enable)
 

Kerberos 証明書を表示するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

Kerberos 証明書を表示します。

show kerberos creds

次に、Kerberos 証明書を表示する例を示します。

Console> (enable) show kerberos creds
No Kerberos credentials.
Console> (enable)
 

すべての Kerberos 証明書を消去するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

すべての証明書を消去します。

clear kerberos creds

次に、スイッチからすべての Kerberos 証明書を消去する例を示します。

Console> (enable) clear kerberos creds
Console> (enable)

認証の例

図38-3 に、TACACS+ を使用した単純なネットワーク トポロジーを示します。

この例では、すべての Telnet 接続において、スイッチへのログイン アクセスとイネーブル アクセスの両方について、TACACS+ 認証がイネーブルに設定され、ローカル認証がディセーブルに設定されています。ワークステーション A がスイッチに接続する場合、ユーザは TACACS+ ユーザ名およびパスワードを入力するように要求されます。

ただし、コンソール ポート上では、ログイン アクセスとイネーブル アクセスの両方について、ローカル認証だけがイネーブルに設定されます。直接接続されているターミナルにアクセスできるユーザは、ログインおよびイネーブル パスワードを使用してスイッチにアクセスできます。

図38-3 TACACS+ ネットワーク トポロジー例

 

次に、Telnet 接続について TACACS+ 認証がイネーブルにされ、コンソール接続についてローカル認証がイネーブルにされ、TACACS+ 暗号化鍵が指定されるように、スイッチを設定する例を示します。

Console> (enable) show tacacs
Tacacs key:
Tacacs login attempts: 3
Tacacs timeout: 5 seconds
Tacacs direct request: disabled
 
Tacacs-Server Status
---------------------------------------- -------
Console> (enable) set tacacs server 172.20.52.10
172.20.52.10 added to TACACS server table as primary server.
Console> (enable) set tacacs key tintin_et_milou
The tacacs key has been set to tintin_et_milou.
Console> (enable) set authentication login tacacs enable telnet
tacacs login authentication set to enable for telnet session.
Console> (enable) set authentication enable tacacs enable telnet
tacacs enable authentication set to enable for telnet session.
Console> (enable) set authentication login local disable telnet
local login authentication set to disable for telnet session.
Console> (enable) set authentication enable local disable telnet
local enable authentication set to disable for telnet session.
Console> (enable) show tacacs
Tacacs key: tintin_et_milou
Tacacs login attempts: 3
Tacacs timeout: 5 seconds
Tacacs direct request: disabled
 
Tacacs-Server Status
---------------------------------------- -------
172.20.52.10 primary
Console> (enable)

許可の機能

ここでは、許可の機能について説明します。

「許可の概要」

「許可イベント」

「TACACS+ プライマリ オプションおよび代替オプション」

「TACACS+ コマンドの許可」

「RADIUS 許可」

許可の概要

Catalyst 6500 シリーズ スイッチは、TACACS+ および RADIUS 許可をサポートしています。許可機能では、ユーザ名/パスワードのペアに基づくアクセス リスト(またはユーザ プロファイル)を動的に適用することにより、アクセスを特定のユーザに制限します。アクセス リストは、TACACS+ サーバまたは RADIUS サーバが稼働するホスト上に存在します。サーバは、アクセス リスト番号でユーザ パスワード情報に応答し、それによって特定のリストが適用されます。

許可イベント

次の内容について、許可をイネーブルにすることができます。

コマンド ― コマンドに対する許可をイネーブルに設定した場合、ユーザは特定のコマンドを実行するために有効なユーザ名/パスワードのペアを入力しなければなりません。すべてのコマンドに許可を設定することも、コンフィギュレーション(イネーブル モード)コマンドだけに許可を設定することもできます。ユーザがコマンドを発行すると、許可サーバはそのコマンドとユーザ情報を受信し、アクセス リストと照合します。ユーザにそのコマンドを発行する権限があれば、コマンドが実行されます。そうでない場合、コマンドは実行されません。

EXEC モード(ユーザ ログイン) ― EXEC モードに対する許可をイネーブルに設定した場合、ユーザは EXEC モードにアクセスするために有効なユーザ名/パスワードのペアを入力しなければなりません。許可機能をイネーブルに設定した場合に限り、許可が必須になります。

イネーブル モード(イネーブル ログイン) ― イネーブル モードに対する許可をイネーブルに設定した場合、ユーザはイネーブル モードにアクセスするために有効なユーザ名/パスワードのペアを入力しなければなりません。イネーブル モードに対する許可をイネーブルに設定した場合に限り、許可が必須になります。

TACACS+ プライマリ オプションおよび代替オプション

許可プロセスで使用するプライマリ オプションと代替オプションを指定できます。使用できるオプションおよび代替オプションは、次のとおりです。

tacacs+ ユーザがすでに認証されており、TACACS+ サーバから応答がない場合、許可はただちに成功します。

deny ― deny は常に代替オプションです。TACACS+サーバが応答しない場合、許可は失敗します。これがデフォルトの動作です。

if-authenticated ― ユーザがすでに認証されており、TACACS+ サーバから応答がない場合、許可は ただちに 成功します。

none ― TACACS+ サーバが応答しない場合、許可は成功します。

TACACS+ コマンドの許可

すべてのコマンドに許可を設定することも、コンフィギュレーション(イネーブル モード)コマンドだけに許可を設定することもできます。コンフィギュレーション コマンドは、次のとおりです。

copy

clear

commit

configure

delete

download

format

reload

rollback

session

set

squeeze

switch

undelete

入力するすべてのコマンドについて、次に示す TACACS+ 許可プロセスが行われます。

コマンド許可機能をディセーブルに設定すると、TACACS+ サーバはスイッチ上でのすべてのコマンド実行を許可します。

コンフィギュレーション コマンドだけについて許可機能をイネーブルにすると、スイッチは引数として入力された文字列がここに記載したいずれかのコマンドに一致するかどうかを確認します。一致するコマンドがない場合、スイッチはそのコマンドを実行します。一致するコマンドがある場合、スイッチはそのコマンドを NAS に転送して許可を求めます。

すべてのコマンドについて許可機能をイネーブルに設定した場合、スイッチはコマンドを NAS に転送して許可を求めます。

RADIUS 許可

RADIUS の許可機能は限られています。この認証プロトコルには、許可情報を提供する Service-Type という属性があります。この属性は、ユーザ プロファイルの一部分です。

Administrative/Shell (6) Service-Type アクセス権のないユーザが RADIUS 認証を使用してログインすると、NAS がそのユーザの認証を行い、認証が成功すれば EXEC モードにログインさせます。Administrative/Shell (6) Service-Type アクセス権のあるユーザの場合は、NAS はそのユーザの認証を行い、イネーブル モードにログインさせます。

スイッチ上での許可の設定

ここでは、許可を設定する手順について説明します。

「TACACS+ 許可のデフォルト設定」

「TACACS+ 許可の設定時の注意事項」

「TACACS+ 許可の設定」

「RADIUS 許可の設定」

TACACS+ 許可のデフォルト設定

表38-3 に、TACACS+ 許可のデフォルト設定を示します。

 

表38-3 許可のデフォルト設定

機能
デフォルト値

TACACS+ ログイン許可(コンソールおよび Telnet)

ディセーブル

TACACS+ EXEC 許可(コンソールおよび Telnet)

ディセーブル

TACACS+ イネーブル許可(コンソールおよび Telnet)

ディセーブル

TACACS+ コマンド許可(コンソールおよび Telnet)

ディセーブル

TACACS+ 許可の設定時の注意事項

ここでは、スイッチ上での TACACS+ 許可の設定時の注意事項について説明します。

TACACS+ 許可は、ディセーブルがデフォルトの設定です。

許可の設定は、コンソール接続、Telnet 接続、または両方のタイプの接続に適用されます。

許可をイネーブルにするときは、モード、オプション、代替オプション、および接続タイプを指定する必要があります。

許可をイネーブルにする前に、RADIUS サーバおよび TACACS+ サーバの設定を行います。サーバの設定の詳細については、「TACACS+ サーバの指定」または「RADIUS サーバの指定」を参照してください。

許可をイネーブルにする前に、プロトコル パケット暗号化のための RADIUS 鍵および TACACS+ 鍵を設定します。鍵設定の詳細については、「TACACS+ 鍵の指定」または「RADIUS 鍵の指定」を参照してください。

TACACS+ 許可の設定

ここでは、スイッチ上で TACACS+ 許可を設定する手順について説明します。

「TACACS+ 許可のイネーブル化」

「TACACS+ 許可のディセーブル化」

TACACS+ 許可のイネーブル化

スイッチ上で TACACS+ 許可をイネーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

ユーザ モードの許可をイネーブルにします。コンソール ポート接続または Telnet 接続に限って許可をイネーブルにする場合は、 console キーワードまたは telnet キーワードを指定します。コンソール ポート接続および Telnet 接続の両方について許可をイネーブルにする場合は、 both キーワードを指定します。

set authorization exec enable { option }{ fallbackoption } [ console | telnet | both ]

ステップ 2

イネーブル モードの許可をイネーブルにします。コンソール ポート接続または Telnet 接続に限って許可をイネーブルにする場合は、 console キーワードまたは telnet キーワードを指定します。コンソール ポート接続および Telnet 接続の両方について許可をイネーブルにする場合は、 both キーワードを指定します。

set authorization enable enable { option } { fallbackoption } [ console | telnet | both ]

ステップ 3

コンフィギュレーション コマンドの許可をイネーブルにします。コンソール ポート接続または Telnet 接続に限って許可をイネーブルにする場合は、 console キーワードまたは telnet キーワードを指定します。コンソール ポート接続および Telnet 接続の両方について許可をイネーブルにする場合は、 both キーワードを指定します。

set authorization commands enable { config | all } { option }{ fallbackoption } [ console | telnet | both ]

ステップ 4

TACACS+ 許可の設定を確認します。

show authorization

次に、コンソール ポート接続および Telnet 接続の両方で、TACACS+ による EXEC モードの許可をイネーブルにする例を示します。 tacacs+ オプションを使用して許可を設定します。代替オプションは deny です。

Console> (enable) set authorization exec enable tacacs+ deny both
Successfully enabled enable authorization.
Console>
 

次に、コンソール ポート接続および Telnet 接続の両方で、TACACS+ によるイネーブル モードの許可をイネーブルにする例を示します。 tacacs+ オプションを使用して許可を設定します。代替オプションは deny です。

Console> (enable) set authorization enable enable tacacs+ deny both
Successfully enabled enable authorization.
Console>
 

次に、コンソール ポート接続および Telnet 接続の両方で、TACACS+ コマンドの許可をイネーブルにする例を示します。 tacacs+ オプションを使用して許可を設定します。代替オプションは deny です。

Console> (enable) set authorization commands enable config tacacs+ deny both
Successfully enabled commands authorization.
Console> (enable)
 

次に、設定を確認する例を示します。

Console> (enable) show authorization
Telnet:
-------
Primary Fallback
------- --------
exec: tacacs+ deny
enable: tacacs+ deny
commands:
config: tacacs+ deny
all: - -
 
Console:
--------
Primary Fallback
------- --------
exec: tacacs+ deny
enable: tacacs+ deny
commands:
config: tacacs+ deny
all: - -
Console> (enable)

TACACS+ 許可のディセーブル化

スイッチ上で TACACS+ 許可をディセーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

ユーザ モードの許可をディセーブルにします。コンソール ポート接続または Telnet 接続に限って許可をディセーブルにする場合は、 console キーワードまたは telnet キーワードを指定します。コンソール ポート接続および Telnet 接続の両方について許可をディセーブルにする場合は、 both キーワードを指定します。

set authorization exec disable [ console | telnet | both ]

ステップ 2

イネーブル モードの許可をディセーブルにします。コンソール ポート接続または Telnet 接続に限って許可をディセーブルにする場合は、 console キーワードまたは telnet キーワードを指定します。コンソール ポート接続および Telnet 接続の両方について許可をディセーブルにする場合は、 both キーワードを指定します。

set authorization enable disable [ console | telnet | both ]

ステップ 3

コンフィギュレーション コマンドの許可をディセーブルにします。コンソール ポート接続または Telnet 接続に限って許可をディセーブルにする場合は、 console キーワードまたは telnet キーワードを指定します。コンソール ポート接続および Telnet 接続の両方について許可をディセーブルにする場合は、 both キーワードを指定します。

set authorization commands disable [ console | telnet | both ]

ステップ 4

TACACS+ 許可の設定を確認します。

show authorization

次に、コンソール ポート接続および Telnet 接続の両方で、TACACS+ による EXEC モードの許可をディセーブルにして、設定を確認する例を示します。

Console> (enable) set authorization exec disable both
Successfully disabled enable authorization.
Console> (enable)
 

次に、コンソール ポート接続および Telnet 接続の両方で、TACACS+ によるイネーブル モードの許可をディセーブルにして、設定を確認する例を示します。

Console> (enable) set authorization enable disable both
Successfully disabled enable authorization.
Console> (enable)
 

次に、コンソール ポート接続および Telnet 接続の両方で、TACACS+ によるコマンドの許可をディセーブルにして、設定を確認する例を示します。

Console> (enable) set authorization commands disable both
Successfully disabled commands authorization.
Console> (enable)
 

次に、設定を確認する例を示します。

Console> (enable) show authorization
 
Telnet:
-------
Primary Fallback
------- --------
exec: tacacs+ deny
enable: tacacs+ deny
commands:
config: tacacs+ deny
all: - -
 
Console:
--------
Primary Fallback
------- --------
exec: tacacs+ deny
enable: tacacs+ deny
commands:
config: tacacs+ deny
all: - -
Console> (enable)
 

RADIUS 許可の設定

ここでは、スイッチ上で RADIUS 許可を設定する手順について説明します。

「RADIUS 許可のイネーブル化」

「RADIUS 許可のディセーブル化」

RADIUS 許可のイネーブル化

スイッチ上で RADIUS の許可と認証をイネーブルにするには、イネーブル モードで次の作業を行います。


ステップ 1 イネーブル モードで set authentication login radius enable コマンドを入力します。このコマンドによって、RADIUS の認証と許可が両方イネーブルになります。

ステップ 2 ユーザが RADIUS サーバでイネーブル モードを開始できるようにするため、RADIUS サーバのそのユーザの Service-Type(RADIUS 属性 6)を Administrative(値 6)に設定します。Service-Type を 6 の Administrative 以外に設定した場合(たとえば、1 の login、7 の shell、または 2 の framed)は、イネーブル プロンプトではなく、そのスイッチの EXEC プロンプトが与えられます。


 

RADIUS 許可のディセーブル化

RADIUS 許可をディセーブルにするには、イネーブル モードで set authentication login radius disable コマンドを入力します。

許可の例

図38-4 に、TACACS+ を使用した単純なネットワーク トポロジーを示します。

ワークステーション A がスイッチ上でコマンドの実行を試みると、スイッチはその要求を TACACS+ デーモンに登録します。TACACS+ デーモンは、そのユーザがその機能の使用を許可されているかどうかを判別し、コマンドを実行するか、またはアクセス拒否の応答を送信します。

図38-4 TACACS+ ネットワーク トポロジー例

 

この例では、Telnet 接続およびコンソール ポート接続で、スイッチへのイネーブル モード アクセスと、コンフィギュレーション コマンドの入力について TACACS+ 許可をイネーブルにします。

Console> (enable) set authorization enable enable tacacs+ deny both
Successfully enabled enable authorization.
Console> (enable) set authorization commands enable config tacacs+ deny both
Successfully enabled commands authorization.
Console> (enable) show authorization
Telnet:
-------
Primary Fallback
------- --------
exec: tacacs+ deny
enable: tacacs+ deny
commands:
config: tacacs+ deny
all: - -
 
Console:
--------
Primary Fallback
------- --------
exec: tacacs+ deny
enable: tacacs+ deny
commands:
config: tacacs+ deny
all: - -
Console> (enable)

アカウンティングの機能

ここでは、各アカウンティング方式の機能について説明します。

「アカウンティングの概要」

「アカウンティング イベント」

「アカウンティング レコードを作成する場合の指定」

「RADIUS サーバの指定」

「サーバのアップデート」

「アカウンティングの抑制」

アカウンティングの概要

スイッチへのアクセスをモニタするために、次のアカウンティング方式を設定できます。

TACACS+ アカウンティング

RADIUS アカウンティング

アカウンティング機能を利用して、特定のホストに対するユーザ アクティビティ、ネットワーク上での不審な接続の試み、および NAS の設定の不当な変更を追跡することができます。アカウンティング情報はアカウンティング サーバに送られ、レコードとして保存されます。アカウンティング情報には一般に、ユーザのアクション、およびアクションの継続時間が含まれます。アカウンティングは、セキュリティ、課金、およびリソース配分の目的で使用できます。

アカウンティング プロトコルは、転送プロトコルとして TCP を使用し、クライアント/サーバ モデルで動作します。NAS がクライアント、アカウンティング サーバがデーモンとして動作します。NAS はサーバにアカウンティング情報を送信します。サーバはその情報を正常に処理すると、NAS に要求の確認応答を送信します。NAS とサーバ間で行われるすべてのトランザクションは、鍵による認証が行われます。

アカウンティングをイネーブルに設定した場合、システム上でアカウンティングの対象となるイベントが発生すると、アカウンティング情報がメモリに動的に収集されます。イベントが終了すると、アカウンティング レコードが作成され、NAS に送信されます。その後、メモリからレコードが削除されます。NAS がアカウンティングのために使用するメモリの量は、並行して発生するアカウンティング対象イベントの数によって異なります。

アカウンティング イベント

次のイベント タイプのアカウンティングを設定できます。

EXEC モード アカウンティング ― NAS 上でのユーザの EXEC セッション(ユーザ ログイン セッション)に関する情報を提供します(EXEC セッションの接続時間は含まれますが、トラフィック統計情報は含まれません)。

接続アカウンティング ― NAS からのすべての発信コネクション(Telnet、rlogin など)についての情報を提供します。


) ログインしてただちに接続が確立し、接続が打ち切られた場合は、EXEC イベントと connect イベントがオーバーラップするため、イベントの開始時刻と終了時刻がほぼ同じになります。


システム アカウンティング ― ユーザには無関係のシステム イベントに関する情報(システム リセット、システム ブート、アカウンティングのユーザ設定など)を提供します。

コマンド アカウンティング ― ユーザが発行するコマンドごとに 1 つのレコードを送信します。この機能によって監査情報を収集できます。

アカウンティング レコードを作成する場合の指定

アカウンティング情報を収集してレコードを作成するようにスイッチを設定できます。( set accounting コマンドを使用して)アカウンティングを設定すると、スイッチは次の 2 種類のレコードを生成できるようになります。

start レコード ― イベントについての部分的な情報(イベントの開始時刻、サービス タイプ、およびトラフィック統計情報)が含まれます。

stop レコード ― イベントについての完全な情報(イベントの開始時刻、継続時間、サービス タイプ、およびトラフィック統計情報)が含まれます。

次の 2 つのイベントで、アカウンティング レコードが作成されてサーバに送信されます。

start-stop ― アクションに継続時間がある場合、その開始時および終了時の両方でレコードが送信されます。NAS がアクションの開始時にアカウンティング レコードを送信できなかった場合にも、ユーザはアクションを続行できます。

stop-only ― イベントの終了時にだけ、レコードが送信されます。コマンド アカウンティングの場合、各コマンドの継続時間はゼロとみなされるので、stop レコードだけが作成されます。システム イベントにはユーザは対応付けられません。したがって、 set accounting system コマンドの start-stop オプションは、システム イベントについては無視されます。


) stop レコードには、イベントについての完全な情報(イベントの開始時刻、継続時間、およびトラフィック統計情報)が含まれます。ただし、冗長性のある設定を行う場合は、NAS 上で発生するイベントの start および stop レコードの両方をモニタすることもできます。


RADIUS サーバの指定

1 つまたは複数の RADIUS サーバを指定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

3 つまでの RADIUS サーバの IP アドレスを指定します。 primary キーワードを使用して、プライマリ サーバを指定します。さらにオプションとして、サーバ上で使用する宛先 UDP ポートを指定します。

set radius server ip_addr [ acct-port port ] [ primary ]

ステップ 2

RADIUS サーバの設定を確認します。

show radius

次に、RADIUS サーバを指定し、設定を確認する例を示します。

Console> (enable) set radius server 172.20.52.3
172.20.52.3 with auth-port 1812 added to radius server table as primary server.
Console> (enable) show radius
 
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
tacacs disabled disabled
radius disabled disabled
local enabled(primary) enabled(primary)
 
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
tacacs disabled disabled
radius disabled disabled
local enabled(primary) enabled(primary)
 
Radius Deadtime: 0 minutes
Radius Key:
Radius Retransmit: 2
Radius Timeout: 5 seconds
 
Radius-Server Status Auth-port
----------------------------- ------- ------------
172.20.52.3 primary 1812
Console> (enable)

サーバのアップデート

スイッチが TACACS+ サーバにアカウンティング情報を送信するように設定することができます。次の 2 つのオプションがあります。

newinfo ― 新しいアカウンティング情報が発生したときにだけ、アカウンティング情報をサーバに送信します。

periodic ― アカウンティングのアップデート レコードを定期的にサーバに送信します。このオプションを使用すれば、NAS が再起動され、最初の start 時刻のデータが消失した場合にも、接続およびセッションについての情報が常に最新の状態に保たれます。定期的アップデートの間隔を指定する必要があります。有効な間隔は、1 ~ 71,582 分です。

アカウンティングの抑制

set accounting suppress null-username enable コマンドを使用して、ユーザ名を持たない未知のユーザがスイッチにアクセスした場合にアカウンティングを抑制するように設定することができます。


) RADIUS アカウンティングと TACACS+ アカウンティングはほぼ同じです。ただし、RADIUS ではコマンド アカウンティング、定期アップデート、または null-username 抑制は実行できません。


スイッチ上でのアカウンティングの設定

ここでは、TACACS+ および RADIUS でアカウンティングを設定する手順を説明します。

「アカウンティングのデフォルト設定」

「アカウンティング設定時の注意事項」

「アカウンティングの設定」

アカウンティングのデフォルト設定

表38-4 に、アカウンティングのデフォルト設定を示します。

 

表38-4 アカウンティングのデフォルト設定

機能
デフォルト値

アカウンティング

ディセーブル

アカウンティング イベント
(EXEC、system、commands、および connect)

ディセーブル

アカウンティング レコード

stop-only

アカウンティング設定時の注意事項

ここでは、スイッチ上でのアカウンティング設定時の注意事項について説明します。

アカウンティングをイネーブルにする前に、RADIUS サーバおよび TACACS+ サーバの設定を行います。サーバの設定の詳細については、「TACACS+ サーバの指定」または「RADIUS サーバの指定」を参照してください。

アカウンティングをイネーブルにする前に、プロトコル パケット暗号化のための RADIUS 鍵および TACACS+ 鍵を設定します。鍵設定の詳細については、「TACACS+ 鍵の指定」または「RADIUS 鍵の指定」を参照してください。


) 1 つのアカウンティング イベントに割り当てられる DRAM スペースは、約 500 バイトです。アカウンティングが使用する DRAM の総スペースは、システムで並行して発生するアカウンティング対象イベントの数によって異なります。


アカウンティングの設定

ここでは、スイッチ上で RADIUS および TACACS+ アカウンティングを設定する手順を説明します。

「アカウンティングのイネーブル化」

「アカウンティングのディセーブル化」

アカウンティングのイネーブル化

スイッチ上でアカウンティングをイネーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

接続イベントについてのアカウンティングをイネーブルにします。

set accounting connect enable { start-stop | stop-only } { tacacs+ | radius }

ステップ 2

EXEC モードについてのアカウンティングをディセーブルにします。

set accounting exec enable { start-stop | stop-only } { tacacs+ | radius }

ステップ 3

システム イベントについてのアカウンティングをイネーブルにします。

set accounting system enable { start-stop | stop-only } { tacacs+ | radius }

ステップ 4

コンフィギュレーション コマンドのアカウンティングをイネーブルにします。

set accounting commands enable { config | all } { stop-only } tacacs+

ステップ 5

未知のユーザについての情報の抑制をイネーブルにします。

set accounting suppress null-username enable

ステップ 6

新しい情報が発生するたびにアカウンティングをアップデートするように設定します。

set accounting update { new-info | { periodic [ interval ]}}

ステップ 7

アカウンティングの設定を確認します。

show accounting

次に、stop-only の TACACS+ アカウンティングをイネーブルにする例を示します。

Console> (enable) set accounting connect enable stop-only tacacs+
Accounting set to enable for connect events in stop-only mode.
Console> (enable)
 
Console> (enable) set accounting exec enable stop-only tacacs+
Accounting set to enable for exec events in stop-only mode.
Console> (enable)
 
Console> (enable) set accounting system enable stop-only tacacs+
Accounting set to enable for system events in stop-only mode.
Console> (enable)
 
Console> (enable) set accounting commands enable all stop-only tacacs+
Accounting set to enable for commands-all events in stop-only mode.
Console> (enable)
 

次に、未知のユーザのアカウンティングを抑制する例を示します。

Console> (enable) set accounting suppress null-username enable
Accounting will be suppressed for user with no username.
Console> (enable)
 

次に、サーバを定期的にアップデートする例を示します。

Console> (enable) set accounting update periodic 120
Accounting updates will be periodic at 120 minute intervals.
Console> (enable)
 

次に、設定を確認する例を示します。

Console> (enable) show accounting
Event Method Mode
----- ------- ----
exec: tacacs+ stop-only
connect: tacacs+ stop-only
system: tacacs+ stop-only
commands:
config: - -
all: tacacs+ stop-only
TACACS+ Suppress for no username: enabled
Update Frequency: periodic, Interval = 120
 
Accounting information:
-----------------------
Active Accounted actions on tty0, User (null) Priv 0
Active Accounted actions on tty288091924, User (null) Priv 0
Overall Accounting Traffic:
Starts Stops Active
----- ----- ------
Exec 0 0 0
Connect 0 0 0
Command 0 0 0
System 1 0 0
Console> (enable)
 

アカウンティングのディセーブル化

スイッチ上で RADIUS アカウンティングをディセーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

接続イベントについてのアカウンティングをディセーブルにします。

set accounting connect disable

ステップ 2

EXEC モードについてのアカウンティングをディセーブルにします。

set accounting exec disable

ステップ 3

システム イベントについてのアカウンティングをディセーブルにします。

set accounting system disable

ステップ 4

コンフィギュレーション コマンドのアカウンティングをディセーブルにします。

set accounting commands disable

ステップ 5

未知のユーザについての情報の抑制をディセーブルにします。

set accounting suppress null-username disable

ステップ 6

アカウンティングの設定を確認します。

show accounting

次に、stop-only のアカウンティングをディセーブルにする例を示します。

Console> (enable) set accounting connect disable
Accounting set to disable for connect events.
Console> (enable)
 
Console> (enable) set accounting exec disable
Accounting set to disable for exec events.
Console> (enable)
 
Console> (enable) set accounting system disable
Accounting set to disable for system events.
Console> (enable)
 
Console> (enable) set accounting commands disable
Accounting set to disable for commands-all events.
Console> (enable)
 

次に、未知のユーザのアカウンティングの抑制をディセーブルにする例を示します。

Console> (enable) set accounting suppress null-username disable
Accounting will be not be suppressed for user with no username.
Console> (enable)
 

次に、設定を確認する例を示します。

Console> (enable) show accounting
Event Method Mode
----- ------- ----
exec: - -
connect: - -
system: - -
commands:
config: - -
all: - -
 
TACACS+ Suppress for no username: disabled
Update Frequency: new-info
 
Accounting information:
-----------------------
Active Accounted actions on tty0, User (null) Priv 0
Active Accounted actions on tty288091924, User (null) Priv 0
Overall Accounting Traffic:
Starts Stops Active
----- ----- ------
Exec 0 0 0
Connect 0 0 0
Command 0 0 0
System 1 2 0
Console> (enable)
 

アカウンティングの例

図38-5 に、TACACS+ を使用した単純なネットワーク トポロジーを示します。

ワークステーション A がスイッチ上でアカウンティング対象のイベントを開始すると、スイッチはイベント情報を収集し、イベントの終了時にその情報をサーバに転送します。イベントの終了時にアカウンティング情報が収集されます。未知のユーザについてはアカウンティングを抑制し、120 分ごとにシステムをアップデートします。

図38-5 TACACS+ ネットワーク トポロジー例

 

この例では、接続アカウンティング、EXEC モード アカウンティング、システム アカウンティング、およびすべてのコマンド アカウンティングについて、TACACS+ アカウンティングをイネーブルに設定しています。

Console> (enable) set accounting connect enable stop-only tacacs+
Accounting set to enable for connect events in stop-only mode.
Console> (enable) set accounting exec enable stop-only tacacs+
Accounting set to enable for exec events in stop-only mode.
Console> (enable) set accounting commands enable all stop-only tacacs+
Accounting set to enable for commands-all events in stop-only mode.
Console> (enable) set accounting update periodic 120
Accounting updates will be periodic at 120 minute intervals.
Console> (enable) show accounting
Event Method Mode
----- ------- ----
exec: tacacs+ stop-only
connect: tacacs+ stop-only
system: tacacs+ stop-only
commands:
config: - -
all: tacacs+ stop-only
 
TACACS+ Suppress for no username: enabled
Update Frequency: periodic, Interval = 120
 
Accounting information:
-----------------------
Active Accounted actions on tty0, User (null) Priv 0
Active Accounted actions on tty288091924, User (null) Priv 0
Overall Accounting Traffic:
Starts Stops Active
----- ----- ------
Exec 0 0 0
Connect 0 0 0
Command 0 0 0
System 1 0 0
Console> (enable)