Cisco Aironet 1200 シリーズ アクセス ポイント インストレーション コンフィギュレーション ガイド, 12.2(8)JA
RADIUS と TACACS+ サーバの設定
RADIUS と TACACS+ サーバの設定
発行日;2012/01/12 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

RADIUS と TACACS+ サーバの設定

RADIUS の設定と有効化

RADIUS の概要

RADIUS の操作

RADIUS の設定

デフォルトの RADIUS 設定

RADIUS サーバ ホストの特定

RADIUS ログイン認証の設定

AAA サーバ グループの定義

ユーザ イネーブル アクセスとネットワーク サービスの RADIUS 許可の設定

RADIUS アカウンティングの起動

すべての RADIUS サーバへの設定

ベンダー固有の RADIUS 属性を使用するアクセス ポイントの設定

アクセス ポイントのベンダー独自の RADIUS サーバ通信用の設定

RADIUS 設定の表示

TACACS+ の設定と有効化

TACACS+ の概要

TACACS+ の操作

TACACS+ の設定

デフォルトの TACACS+ 設定

TACACS+ サーバ ホストの特定と認証キーの設定

TACACS+ ログイン認証の設定

イネーブル EXEC アクセスとネットワーク サービスの TACACS+ 許可の設定

TACACS+ アカウンティングの起動

TACACS+ 設定の表示

RADIUS と TACACS+ サーバの設定

この章では、Remote Authentication Dial-In User Service(RADIUS)とTerminal Access Controller Access Control System Plus(TACACS+)の有効化と設定の方法について説明します。これらは詳細なアカウント情報を提供し、認証と許可のプロセスを柔軟に管理します。 RADIUS と TACACS+ は AAA を通じて効率化され、AAA コマンドでのみ有効に設定できます。


) この章で使用するコマンドの構文と使用方法については、『Cisco IOS セキュリティ コマンド リファレンス Release 12.2』を参照してください。


この章の内容は次のとおりです。

「RADIUS の設定と有効化」

「TACACS+ の設定と有効化」

RADIUS の設定と有効化

この項では RADIUS を設定し有効にする方法を説明します。 次の項で RADIUS の設定について説明しています。

「RADIUS の概要」

「RADIUS の操作」

「RADIUS の設定」

「RADIUS 設定の表示」

RADIUS の概要

RADIUS はネットワークを不正なアクセスから保護する分散型クライアント/サーバ システムです。 RADIUS クライアントはサポートされるシスコ デバイス上で稼動し、中央の RADIUS サーバに認証要求を送信します。このサーバにはユーザ認証とネットワーク サービス アクセス情報がすべて格納されます。 通常、RADIUS ホストは、シスコ(Cisco Secure Access Control Server バージョン 3.0)、Livingston、Merit、Microsoft、またはその他のソフトウェア プロバイダの RADIUS サーバ ソフトウェアを実行するマルチユーザ システムです。 詳細については、RADIUS サーバの資料を参照してください。

RADIUS は次のようなアクセス セキュリティを必要とするネットワーク環境で使用します。

それぞれが RADIUS をサポートするマルチベンダー アクセス サーバを含むネットワーク。 たとえば、複数のベンダーから購入したアクセス サーバは単一の RADIUS サーバベースのセキュリティ データベースを使用します。 マルチベンダーのアクセス サーバを使用する IP ベースのネットワークでは、ダイヤルイン ユーザは Kerberos セキュリティ システム下で動作するようにカスタマイズされた RADIUS サーバを通じて認証されます。

アプリケーションが RADIUS プロトコルをサポートする複雑な設定が不要なネットワーク セキュリティ環境。 スマート カード アクセス制御システムを使用するアクセス環境などがあります。 一例として、ユーザの検証とネットワーク リソースへのアクセス許可に、RADIUS は Enigma のセキュリティ カードと同時に使用されてきました。

既に RADIUS を使用しているネットワーク。 RADIUS クライアントを使用するシスコ アクセス ポイントをネットワークに追加することができます。

リソース アカウンティングを必要とするネットワーク。 RADIUS アカウンティングは RADIUS 認証または許可とは無関係に使用できます。 RADIUS アカウンティング機能により、サービスの開始および終了時に、セッションの間に使用されるリソース(時間、パケット、バイトなど)の量を示すデータを送信できます。 インターネット サービス プロバイダは、フリーウェア版の RADIUS アクセス制御およびアカウンティング ソフトウェアを使用して、特別なセキュリティや課金のニーズに応える場合があります。

RADISU はこのようなネットワーク セキュリティ状況に適していません。

マルチプロトコル アクセス環境。 RADIUS は AppleTalk Remote Access(ARA)、NetBIOS Frame Control Protocol(NBFCP)、NetWare Asynchronous Services Interface(NASI)、または X.25 PAD
接続をサポートしません。

スイッチ間またはルータ間の状況。 RADIUS は双方向の認証に対応しません。 シスコ以外のデバイスが認証を要求している場合、RADIUS はそのシスコ以外のデバイスに対して別のデバイスが認証を行う場合に使用されます。

各種のサービスを使用するネットワーク。 一般に RADIUS は 1 ユーザを 1 つのサービス モデルにバインドします。

RADIUS の操作

ワイヤレス ユーザが RADIUS サーバによってアクセスが制御されるアクセス ポイントにログインし、認証を試みる場合、ネットワークからの認証は 図 11-1 に示す手順で行われます。

図 11-1 EAP 認証のシーケンス

 

図 11-1 の 1 ~ 9 では、ワイヤード LAN 上のワイヤレス クライアント デバイスと RADIUS サーバが、802.1x および EAP を使用して、アクセス ポイント経由で相互認証を行っています。 RADIUS サーバは、認証身元証明要求をクライアントに送信します。 クライアントはユーザが入力したパスワードを一方向暗号化し、身元証明要求に対する応答を生成して、それを RADIUS サーバに送信します。 RADIUS サーバは、サーバ自体のユーザ データベースの情報から独自の応答を生成し、それをクライアントからの応答と比較します。 RADIUS サーバがクライアントを認証すると、同じ処理が逆方向から繰り返され、今度はクライアントが RADIUS サーバを認証します。

相互認証が終了すると、RADIUS サーバとクライアントは、クライアント固有の WEP キーを特定して、適切なレベルのネットワーク アクセスを提供します。これにより、ワイヤード スイッチド セグメントのセキュリティ レベルは、個々のデスクトップのレベルまで近付きます。 クライアントはこのキーをロードして、ログオン セッションでの使用に備えます。

ログオン セッションでは、RADIUS サーバがセッション キーと呼ばれる WEP キーを暗号化し、ワイヤード LAN 経由でアクセス ポイントに送信します。 アクセス ポイントはブロードキャスト キーをセッション キーを使って暗号化し、クライアントに送信します。クライアントはセッション キーを使用してキーを復号化します。 クライアントとアクセス ポイントは WEP を有効にして、セッションおよびブロードキャスト WEP キーを残りのセッションのすべての通信に使用します。

EAP 認証には複数のタイプがありますが、アクセス ポイントはどのタイプについても同じように機能します。 すなわち、ワイヤレス クライアント デバイスから RADIUS サーバに、RADIUS サーバからワイヤレス クライアント デバイスに、認証メッセージを中継します。 RADIUS サーバを使用したクライアント認証の設定手順については、「SSID への認証タイプの割り当て」を参照してください。

RADIUS の設定

この項では、RADIUS をサポートするアクセス ポイントを設定する方法について説明します。 ユーザは最低でも RADIUS サーバ ソフトウェアを実行するホストを特定し、RADIUS 認証の方式リストを定義しておく必要があります。 RADIUS 認証とアカウンティングの方式リストはオプションで定義できます。

方式リストはユーザのアカウントの認証、許可、または維持に使用される手順と方法を定義しています。 方式リストを使用して 1 つまたは複数のセキュリティ プロトコルの使用を指定できるため、最初の方式が失敗した場合にバックアップ システムが確実に機能します。 ソフトウェアはリストの最初の方式を使用してユーザ アカウントの認証、許可、または維持を行い、その方式が応答しない場合はリスト内の次の方式を選択します。 このプロセスはリスト内の方式との通信に成功するまで、または方式リストの方式をすべて試行するまで続けられます。

アクセス ポイントに RADIUS の各機能を設定する前に、RADIUS サーバにアクセスし、設定を行う必要があります。

この項では次の設定情報を扱います。

「デフォルトの RADIUS 設定」

「RADIUS サーバ ホストの特定」(必須)

「RADIUS ログイン認証の設定」(必須)

「AAA サーバ グループの定義」(オプション)

「ユーザ イネーブル アクセスとネットワーク サービスの RADIUS 許可の設定」(オプション)

「RADIUS アカウンティングの起動」(オプション)

「すべての RADIUS サーバへの設定」(オプション)

「ベンダー固有の RADIUS 属性を使用するアクセス ポイントの設定」(オプション)

「アクセス ポイントのベンダー独自の RADIUS サーバ通信用の設定」(オプション)


) RADIUS サーバの CLI コマンドは、aaa new-model コマンドを入力するまで無効になっています。


デフォルトの RADIUS 設定

RADIUS と AAA はデフォルトで無効になっています。

セキュリティの失効を防ぐために、ネットワーク管理アプリケーションを通じて RADIUS を設定することはできません。 RADIUS を有効にすると、CLI を通じてアクセス ポイントにアクセスするユーザを認証します。

RADIUS サーバ ホストの特定

アクセス ポイントと RADIUS サーバ間の通信には、いくつかのコンポーネントが使用されます。

ホスト名または IP アドレス

認証先ポート

アカウンティング宛先ポート

キー文字列

タイムアウト期間

再伝送値

RADIUS セキュリティ サーバはホスト名か IP アドレス、ホスト名と特定の UDP ポート番号、または IP アドレスと特定の UDP ポート番号の組み合わせで識別します。 IP アドレスと UDP ポート番号の組み合わせから固有の識別子が作成され、異なるポートを特定の AAA サービスを行う RADIUS ホストとして個別に定義できるます。 この固有の識別子を使用すると、RADIUS 要求を、サーバ上で同じ IP アドレスを持つ複数の UDP ポートに送信することができます。

同一の RADIUS サーバに同じサービス(アカウンティングなど)を行う 2 つのホストを設定している場合、2 番目に設定されたホストは最初のホストの故障時のバックアップとして機能します。 この例を用いると、最初に設定されたホストがアカウンティング サービスに失敗した場合、アクセス ポイントは同じデバイスで 2 番目に設定されたホストからアカウンティング サービスを受けようとします。 (RADIUS ホストは設定されたときの順序で試行されます。)

RADIUS サーバとアクセス ポイントは共有の身元証明要求テキスト文字列を使用して、パスワードを暗号化し応答を交換します。 RADIUS を AAA セキュリティ コマンドを使用するように設定するには、RADIUS サーバ デーモンを実行するホストと、アクセス ポイントと共有する身元証明要求テキスト(キー)文字列を指定する必要があります。

タイムアウト、再伝送、暗号化キーの値は、すべての RADIUS サーバに対してグローバル設定を行うことも、またはグローバル設定とサーバ単位の設定を組み合わせて設定することも可能です。 アクセス ポイントと通信するすべての RADIUS サーバに対してこれらの設定をグローバルに適用する場合は、3 つの固有のグローバル コンフィギュレーション コマンド、 radius-server timeout
radius-server retransmit radius-server key を使用します。 特定の RADIUS サーバにこれらの値を適用する場合は、 radius-server host グローバル コンフィギュレーション コマンドを使用します。


) アクセス ポイントにグローバル機能とサーバ単位の機能(タイムアウト、再伝送、キー コマンド)を同時に設定する場合、サーバ単位のタイマ、再伝送、キー値のコマンドはグローバルなタイマ、再伝送、キー値のコマンドよりも優先されます。 すべての RADIUS サーバにこれらの設定を行う手順については、「すべての RADIUS サーバへの設定」を参照してください。


認証時に AAA サーバ グループを使用して既存のサーバ ホストをグループ化するようにアクセス ポイントを設定できます。 詳細については、「AAA サーバ グループの定義」を参照してください。

イネーブル EXEC モードから、次の手順に従ってサーバ単位の RADIUS サーバ通信を設定します。 この手順は必須です。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

aaa new-model

AAA を有効にします。

ステップ 3

radius-server host { hostname |
ip-address } [ auth-port port-number ]
[ acct-port port-number ] [ timeout
seconds ] [ retransmit retries ] [ key string ]

リモート RADIUS サーバ ホストの IP アドレスまたはホスト名を指定します。

(オプション) auth-port port-number には認証要求の UDP 宛先ポートを指定します。

(オプション) acct-port port-number にはアカウンティング要求の UDP 宛先ポートを指定します。

(オプション) timeout seconds には、アクセス ポイントが
RADIUS サーバの返答を待機し、再度伝送するまでの時間を指定します。 範囲は 1 ~ 1000 です。この設定は radius-server timeout グローバル コンフィギュレーション コマンドの設定よりも優先されます。 radius-server host コマンドにタイムアウトが設定されていない場合、 radius-server timeout コマンドの設定が使用されます。

(オプション) retransmit retries には、サーバが返答しない場合、または返答が遅い場合に、RADIUS 要求をサーバに再送する回数を指定します。 範囲は 1 ~ 1000 です。 radius-server host コマンドに再伝送値が設定されていない場合、 radius-server retransmit グローバル コンフィギュレーション コマンドの設定が使用されます。

(オプション) key string には、RADIUS サーバ上の RADIUS デーモンとアクセス ポイントの間で使用される認証と暗号化キーを指定します。


) このキーはテキスト文字列で、RADIUS サーバで使用される暗号化キーと一致する必要があります。 キーは常に radius-server host コマンドで最後に設定してください。 先頭の空白は無視されますが、キー内およびキーの最後の空白は有効です。 キーに空白を使用する場合、引用符がキーの一部を構成する場合を除き、キーを引用符で囲まないでください。


単一の IP アドレスに対応する複数のホスト エントリをアクセス ポイントで認識するように設定するには、このコマンドを必要な数だけ入力し、各 UDP ポート番号が異なることを確認してください。 アクセス ポイントのソフトウェアは、指定した順序でホストを検索します。 個々の RADIUS ホストで使用するタイムアウト、再伝送、暗号化キーの値を設定します。

ステップ 4

end

イネーブル EXEC モードに戻ります。

ステップ 5

show running-config

入力内容を確認します。

ステップ 6

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

特定の RADIUS サーバを削除するには、 no radius-server host hostname | ip-address グローバル コンフィギュレーション コマンドを使用します。

次の例は、認証に使用される RADIUS サーバと、アカウンティングに使用される RADIUS サーバの設定手順を示しています。

AP(config)# radius-server host 172.29.36.49 auth-port 1612 key rad1
AP(config)# radius-server host 172.20.36.50 acct-port 1618 key rad2
 

次の例は、RADIUS サーバとして host1 を設定し、認証とアカウンティングの両方にデフォルト ポートを使用する方法を示しています。

AP(config)# radius-server host host1
 

) また RADIUS サーバにはいくつかの設定が必要です。 この設定にはアクセス ポイントの IP アドレスや、サーバとアクセス ポイントで共有されるキー文字列が含まれます。 詳細については、RADIUS サーバの資料を参照してください。


RADIUS ログイン認証の設定

AAA 認証を設定するには、認証方式のリストを名前を付けて定義し、そのリストを各種のインターフェイスに適用します。 方式リストには、実行される認証のタイプと実行される順序が定義されます。特定のインターフェイスで定義済みの認証方式のいずれかが実行される前に、そのインターフェイスにリストを適用する必要があります。 唯一の例外はデフォルト方式リスト(偶然にも default という名前)です。 デフォルトの方式リストは、明示的に定義された名前付きの方式リストを持つインターフェイスを除き、すべてのインターフェイスに自動的に適用されます。

方式リストは、ユーザの認証で照会されるシーケンスと認証方式を詳細に表します。 1 つまたは複数のセキュリティ プロトコルを認証用に指定できるため、最初の方法が失敗した場合に認証のバックアップシステムが確実に機能します。 ソフトウェアはリストの最初の方式を使用してユーザを認証します。その方式が応答しない場合、ソフトウェアは方式リストで次の認証方式を選択します。 このプロセスは、リスト内の認証方式との通信が成功するまで、または定義されたすべての方式が試行されるまで続きます。 このサイクルでいずれの認証にも成功しない場合、すなわちセキュリティ サーバまたはローカル ユーザ名データベースがユーザ アクセスの拒否を返した場合、認証プロセスは停止し、他の認証方式は試行されません。

イネーブル EXEC モードから、次の手順に従ってログイン認証を設定します。 この手順は必須です。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

aaa new-model

AAA を有効にします。

ステップ 3

aaa authentication login { default |
list-name } method1 [ method2... ]

ログイン認証方式リストを作成します。

login authentication コマンドで名前付きのリストが指定されて いない 場合に使用するデフォルトのリストを作成する場合は、 default キーワードの後に、デフォルト状況で使用する方式を指定します。 デフォルトの方式リストは自動的にすべてのインターフェイスに適用されます。 リスト名についての詳細は、次のリンクをクリックしてください。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/fsecur_c/fsaaa/scfathen.htm#xtocid2

method1... には、認証アルゴリズムが試行する実際の方式を指定します。 補足的な認証方式が使用されるのは、それまでの方式が失敗した場合ではなく、エラーを返した場合のみです。

次の方式のいずれかを選択します。

line :認証にライン パスワードを使用します。 この認証方式を使用する前に、ライン パスワードを定義する必要があります。
username password ライン コンフィギュレーション コマンドを使用します。

local :認証にローカル ユーザ名データベースを使用します。
データベースにユーザ名情報を入力します。 username
password グローバル コンフィギュレーション コマンドを使用します。

radius :RADIUS 認証を使用します。 この認証方式を使用する前に、RADIUS サーバを設定する必要があります。 詳細については、「RADIUS サーバ ホストの特定」を参照してください。

ステップ 4

line [ console | tty | vty ] line-number [ ending-line-number ]

ライン コンフィギュレーション モードを開始し、認証リストを適用する行を設定します。

ステップ 5

login authentication
{
default | list-name }

認証リストを 1 行または複数行に適用します。

default を指定した場合、 aaa authentication login コマンドで作成したデフォルト リストを使用します。

list-name には、 aaa authentication login コマンドで作成したリストを指定します。

ステップ 6

radius-server attribute 32
include-in-access-req format %h

認証時に NAS_ID 属性でシステム名を送信するようにアクセス ポイントを設定します。

ステップ 7

end

イネーブル EXEC モードに戻ります。

ステップ 8

show running-config

入力内容を確認します。

ステップ 9

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

AAA を無効にするには、 no aaa new-model グローバル コンフィギュレーション コマンドを使用します。 AAA 認証を無効にするには、 no aaa authentication login {default | list-name } method1 [ method2... ] グローバル コンフィギュレーション コマンドを使用します。 ログインの RADIUS 認証を無効にするか、デフォルト値に戻すには、 no login authentication { default | list-name } line コンフィギュレーション コマンドを使用します。

AAA サーバ グループの定義

AAA サーバ グループを使用して認証用に既存のサーバ ホストをグループ化するようにアクセス ポイントを設定できます。 設定されたサーバ ホストのサブセットを選択し、特定のサービスに使用します。 このサーバ グループは、グローバル サーバ-ホスト リストで使用されます。このリストには、特定のサーバ-ホストの IP アドレスが示されています。

サーバ グループには同じサーバに対して複数のホストがエントリされている場合がありますが、これは各エントリに一意の識別子があり(IP アドレスと UDP ポート番号の組み合わせ)、これを使ってそれぞれのポートを特定の AAA サービスを提供する RADIUS ホストとして個別に定義できる場合です。 同一の RADIUS サーバに同じサービス(アカウンティングなど)を行う 2 つのホストを設定している場合、2 番目に設定されたホストは最初のホストの故障時のバックアップとして機能します。

特定のサーバを定義済みグループ サーバに結合する場合は、 server グループ サーバ コンフィギュレーション コマンドを使用します。 IP アドレスでサーバを特定するか、オプションの auth-port acct-port キーワードを使用して複数のホスト インスタンスまたはエントリを特定できます。

イネーブル EXEC モードから、次の手順に従って、AAA サーバ グループを定義し、特定の RADIUS サーバをそのグループに結合します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

aaa new-model

AAA を有効にします。

ステップ 3

radius-server host { hostname | ip-address } [ auth-port port-number ] [ acct-port port-number ] [ timeout seconds ] [ retransmit retries ] [ key string ]

リモート RADIUS サーバ ホストの IP アドレスまたはホスト名を指定します。

(オプション) auth-port port-number には認証要求の UDP 宛先ポートを指定します。

(オプション) acct-port port-number にはアカウンティング要求の UDP 宛先ポートを指定します。

(オプション) timeout seconds には、アクセス ポイントが RADIUS サーバの返答を待機し、再度伝送するまでの時間を指定します。 範囲は 1 ~ 1000 です。この設定は radius-server timeout グローバル コンフィギュレーション コマンドの設定よりも優先されます。 radius-server host コマンドにタイムアウトが設定されていない場合、 radius-server timeout コマンドの設定が使用されます。

(オプション) retransmit retries には、サーバが返答しない場合、または返答が遅い場合に、RADIUS 要求をサーバに再送する回数を指定します。 範囲は 1 ~ 1000 です。 radius-server host コマンドに再伝送値が設定されていない場合、 radius-server retransmit グローバル コンフィギュレーション コマンドの設定が使用されます。

(オプション) key string には、RADIUS サーバ上の RADIUS デーモンとアクセス ポイントの間で使用される認証と暗号化キーを指定します。


) このキーはテキスト文字列で、RADIUS サーバで使用される暗号化キーと一致する必要があります。 キーは常に radius-server host コマンドで最後に設定してください。 先頭の空白は無視されますが、キー内およびキーの最後の空白は有効です。 キーに空白を使用する場合、引用符がキーの一部を構成する場合を除き、キーを引用符で囲まないでください。


単一の IP アドレスに対応する複数のホスト エントリをアクセス ポイントで認識するように設定するには、このコマンドを必要な数だけ入力し、各 UDP ポート番号が異なることを確認してください。 アクセス ポイントのソフトウェアは、指定した順序でホストを検索します。 個々の RADIUS ホストで使用するタイムアウト、再伝送、暗号化キーの値を設定します。

ステップ 4

aaa group server radius group-name

AAA サーバ-グループをグループ名で定義します。

このコマンドを指定すると、アクセス ポイントはサーバ グループ コンフィギュレーション モードに移行します。

ステップ 5

server ip-address

特定の RADIUS サーバを定義されたサーバ グループに結合します。 この手順を、AAA サーバ グループの各 RADIUS サーバについて繰り返します。

グループ内の各サーバは、手順 2 であらかじめ定義されていなければなりません。

ステップ 6

end

イネーブル EXEC モードに戻ります。

ステップ 7

show running-config

入力内容を確認します。

ステップ 8

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

ステップ 9

RADIUS ログイン認証を有効にします。 「RADIUS ログイン認証の設定」を参照してください。

特定の RADIUS サーバを削除するには、 no radius-server host hostname | ip-address グローバル コンフィギュレーション コマンドを使用します。 設定リストからサーバ グループを削除する場合は、 no aaa group server radius group-name グローバル コンフィギュレーション コマンドを使用します。 RADIUS サーバの IP アドレスを削除するには、 no server ip-address サーバ グループ コンフィギュレーション コマンドを使用します。

この例では、アクセス ポイントは異なる 2 つの RADIUS グループ サーバ( group1 group2 )を認識するように設定されます。 group1 には同じ RADIUS サーバに同じサービスが設定された 2 つのホストが入力されています。 2 番目のホスト エントリは最初のエントリの故障時のバックアップとして機能します。

AP(config)# aaa new-model
AP(config)# radius-server host 172.20.0.1 auth-port 1000 acct-port 1001
AP(config)# radius-server host 172.10.0.1 auth-port 1645 acct-port 1646
AP(config)# aaa group server radius group1
AP(config-sg-radius)# server 172.20.0.1 auth-port 1000 acct-port 1001
AP(config-sg-radius)# exit
AP(config)# aaa group server radius group2
AP(config-sg-radius)# server 172.20.0.1 auth-port 2000 acct-port 2001
AP(config-sg-radius)# exit

ユーザ イネーブル アクセスとネットワーク サービスの RADIUS 許可の設定

AAA 許可はユーザが使用できるサービスを制限します。 AAA 許可が有効になっている場合、アクセス ポイントはユーザのプロファイルから取り出した情報を使用してユーザのセッションを設定します。このプロファイルはローカル ユーザ データベースかセキュリティ サーバにあります。 ユーザが要求したサービスへのアクセスが許可されるのは、ユーザ プロファイル内の情報によってアクセスが許可される場合のみです。


) この項では、ワイヤレス クライアント デバイスではなく、アクセス ポイントの管理者の許可の設定について説明します。


aaa authorization グローバル コンフィギュレーション コマンドと radius キーワードを使用すると、ユーザのネットワークへのアクセスをイネーブル EXEC モードに制限するパラメータを設定できます。

これらの許可パラメータは、aaa authorization exec radius local コマンドで設定されます。

認証に RADIUS が使用された場合、イネーブル EXEC アクセス許可に RADIUS を使用します。

認証に RADIUS を使用していない場合は、ローカル データベースを使用します。


) 許可が設定されている場合でも、CLI からログインする認証ユーザに対しては、許可が省略されます。


イネーブル EXEX モードから、次の手順に従ってイネーブル EXEC アクセスとネットワーク サービスに RADIUS 許可を指定します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

aaa authorization network radius

ネットワーク関連のすべてのサービス要求に対して、ユーザが RADIUS 許可を受けるようにアクセス ポイントを設定します。

ステップ 3

aaa authorization exec radius

ユーザ RADIUS 許可でユーザのイネーブル EXEC アクセス権所有を判断するように、アクセス ポイントを設定します。

exec キーワードを指定すると、ユーザ プロファイル情報
autocommand 情報など)が返される場合があります。

ステップ 4

end

イネーブル EXEC モードに戻ります。

ステップ 5

show running-config

入力内容を確認します。

ステップ 6

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

許可を無効にするには、 no aaa authorization { network | exec } method1 グローバル コンフィギュレーション コマンドを使用します。

RADIUS アカウンティングの起動

AAA アカウンティング機能は、ユーザがアクセスしているサービスと、それらのサービスが消費しているネットワーク リソース量を追跡します。 AAA アカウンティングが有効になっている場合、アクセス ポイントはアカウンティング レコードの形でユーザ アクティビティを RADIUS セキュリティ サーバに報告します。 各アカウンティング レコードには、アカウンティング属性と値のペア(AV)が含まれ、セキュリティ サーバに保存されます。 その後このデータはネットワーク管理、クライアントへの課金、または監査用に分析されます。

イネーブル EXEX モードから、次の手順に従って Cisco IOS の各イネーブル レベルとネットワーク サービスについて RADIUS アカウンティングを有効にします。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

aaa accounting network start-stop radius

ネットワーク関連のすべてのサービス要求に RADIUS アカウンティングを有効にします。

ステップ 3

ip radius source-interface bvi1

アカウンティングのレコードとして BVI IP アドレスを
NAS_IP_ADDRESS 属性で送信するようにアクセス ポイントを設定します。

ステップ 4

aaa accounting update periodic minutes

アカウンティング更新間隔を分で入力します。

ステップ 5

end

イネーブル EXEC モードに戻ります。

ステップ 6

show running-config

入力内容を確認します。

ステップ 7

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

アカウンティングを無効にするには、 no aaa accounting { network | exec } { start-stop } method1... グローバル コンフィギュレーション コマンドを使用します。

すべての RADIUS サーバへの設定

イネーブル EXEC モードから、次の手順に従って、アクセス ポイントとすべての RADIUS サーバ間にグローバル通信設定を行います。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

radius-server key string

ステップ 3

radius-server retransmit retries

アクセス ポイントが RADIUS 要求をサーバに送信し、送信を中止するまでの回数を指定します。 デフォルトは 3、範囲は 1 ~ 1000 です。

ステップ 4

radius-server timeout seconds

アクセス ポイントが RADIUS 要求への返答を待機し、要求を再送するまでの時間を秒数で指定します。 デフォルトは 5 秒です。範囲は 1 ~ 1000 です。

ステップ 5

radius-server deadtime minutes

ステップ 6

radius-server attribute 32 include-in-access-req format %h

認証時に NAS_ID 属性でシステム名を送信するようにアクセス ポイントを設定します。

ステップ 7

end

イネーブル EXEC モードに戻ります。

ステップ 8

show running-config

設定内容を確認します。

ステップ 9

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

再伝送、タイムアウト、デッドタイムをデフォルトの設定に戻す場合は、コマンドの no フォームを使用します。

ベンダー固有の RADIUS 属性を使用するアクセス ポイントの設定

Internet Engineering Task Force(IETF)のドラフト規格は、アクセス ポイントと RADISU サーバ間で、ベンダー固有の属性(属性 26)を使用したベンダー固有の情報を伝送する方法を指定しています。 vendor-specific attributes(VSA)を使用することで、ベンダーは汎用には適していない各社固有の拡張属性に対応できます。 シスコの RADIUS 実装では、仕様内で推奨される形式を使用することでベンダー固有のオプションを 1 つサポートします。 シスコのベンダー ID は 9 です。サポートされるオプションはベンダータイプ 1 で、 cisco-avpair と名前が付けられています。 この値は次の形式の文字列です。

protocol : attribute sep value *
 

Protocol は特定のタイプの許可を受けるためのシスコ プロトコル属性の値です。 Attribute value は、Cisco TACACS+ 仕様で定義される該当する AV ペア、 sep は必須属性では = 、オプション属性ではアスタリスク( *) です。 このコマンドにより、TACACS+ 許可で使用できるすべての機能を RADIUS にも使用できます。

たとえば、次の AV ペアは IP 許可の際(PPP の IPCP アドレスの割り当ての際)に、シスコの multiple named ip address pools 機能を起動します。

cisco-avpair= ”ip:addr-pool=first“
 

次の例はイネーブル EXEC コマンドへの即時アクセスを使って、ユーザにアクセス ポイントからのログインを指定する方法を示しています。

cisco-avpair= ”shell:priv-lvl=15“
 

他のベンダーは各ベンダーごとに固有の ID、オプション、関連 VSA を保有しています。 ベンダーの ID と VSA についての詳細は、RFC 2138「Remote Authentication Dian-In User Service(RADIUS)」を参照してください。

イネーブル EXEC モードから、次の手順に従って VSA を認識し使用するようにアクセス ポイントを設定します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

radius-server vsa send [ accounting | authentication ]

アクセス ポイントは RADIUS IETF 属性 26 で定義された VSA を認識し、使用します。

(オプション)認識されるベンダー固有の属性セットをアカウンティング属性にのみ制限する場合は accounting キーワードを使用します。

(オプション)認識されるベンダー固有の属性セットを認証属性にのみ制限する場合は authentication キーワードを使用します。

キーワードを指定せずにこのコマンドを入力すると、アカウントと認証の両方のベンダー固有属性が使用されます。

ステップ 3

end

イネーブル EXEC モードに戻ります。

ステップ 4

show running-config

設定内容を確認します。

ステップ 5

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

RADIUS 属性のリスト、または VSA 26 に関する詳細については、『 Cisco IOS Security Configuration Guide for Release 12.2 』の付録「RADIUS Attributes」を参照してください。

アクセス ポイントのベンダー独自の RADIUS サーバ通信用の設定

RADIUS の IETF ドラフト規格はベンダー独自の情報をアクセス ポイントと RADIUS サーバで通信するための方法を指定していますが、独自の方法で RADIUS 属性設置を拡張しているベンダーがあります。 Cisco IOS ソフトウェアは、ベンダー独自の RADIUS 属性の一部をサポートします。

上記に従って(ベンダー独自の、または IETF ドラフト準拠の)RADIUS を設定する場合、RADIUS サーバ デーモンを実行するホストと、アクセス ポイントと共有する身元証明要求テキストを指定する必要があります。 RADIUS ホストと身元証明要求テキストは、 radius-server グローバル コンフィギュレーション コマンドを使用して指定します。

イネーブル EXEC モードから、次の手順に従ってベンダー独自の RADIUS サーバ ホストと共有する身元証明要求テキストを指定します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

radius-server host
{hostname | ip-address} non-standard

リモート RADIUS サーバ ホストの IP アドレスまたはホスト名を指定し、ベンダー独自の RADIUS 実装を用いていることを指定します。

ステップ 3

radius-server key string

ステップ 4

end

イネーブル EXEC モードに戻ります。

ステップ 5

show running-config

設定内容を確認します。

ステップ 6

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

ベンダー独自の RADIUS ホストを削除する場合は、 no radius-server host {hostname | ip-address} non-standard グローバル コンフィギュレーション コマンドを使用します。 キーを無効にするには、 no radius-server key グローバル コンフィギュレーション コマンドを使用します。

次の例は、ベンダー独自の RADIUS ホストを指定し、 アクセス ポイントとサーバ間 で秘密キー rad124 を使用する方法を示しています。

AP(config)# radius-server host 172.20.30.15 nonstandard
AP(config)# radius-server key rad124

RADIUS 設定の表示

RADIUS 設定を表示する場合は、 show running-config イネーブル EXEC コマンドを使用します。

TACACS+ の設定と有効化

この項では次の設定情報を扱います。

「TACACS+ の概要」

「TACACS+ の操作」

「TACACS+ の設定」

「TACACS+ 設定の表示」

TACACS+ の概要

TACACS+ はアクセス ポイントにアクセスしようとするユーザを集中的に確認するセキュリティ アプリケーションです。 RADIUS とは異なり、TACACS+ はアクセス ポイントに結合したクライアント デバイスを認証しません。

TACACS+ サービスはデータベース内の通常は UNIX または Windows NT ワークステーションで実行される TACACS+ デーモンで維持されます。 アクセス ポイントに TACACS+ の各機能を設定する前に、TACACS+ サーバにアクセスし、設定を行う必要があります。

TACACS+ は独立したモジュラー式の認証、許可、およびアカウンティング ファシリティを使用します。 TACACS+ では単一のアクセス制御サーバ(TACACS+ デーモン)が、認証、許可、アカウンティングの各サービスを個別に行うことができます。 各サービスを独自のデータベースに連携させて、デーモンの機能に応じて、サーバまたはネットワークで使用できる他のサービスを活用することができます。

AAA セキュリティ サービスを通じて管理される TACACS+ は、次のようなサービスを行います。

認証:ログインとパスワード ダイアログ、身元証明要求と応答、メッセージのサポートを通じて管理者の認証を完全に管理します。

認証ファシリティは、管理者と対話を行うことができます(たとえば、ユーザ名とパスワードを指定した後で、自宅住所、母親の旧姓、サービス タイプ、社会保険番号など、いくつかの質問でユーザの身元を確認します)。 TACACS+ 認証サービスは管理者の画面にもメッセージを送信できます。 たとえば、会社のパスワード エージング方針により、パスワードを変更する必要があることをメッセージで管理者に通知することができます。

許可:管理者のセッション期間の機能を詳細に管理します。これには自動コマンドの設定、アクセス制御、セッション期間、またはプロトコル サポートなどが含まれます。 また管理者が TACACS+ 許可機能で実行できるコマンドを強制的に制限できます。

アカウンティング:課金、監査、報告に使用される情報を収集し、TACACS+ デーモンに送信します。 ネットワーク マネージャは、セキュリティ監査時の管理者アクティビティの追跡、またはユーザ課金時の情報の提供にアカウンティング ファシリティを使用できます。 アカウンティング レコードには、管理者の ID、開始および終了時間、実行されたコマンド(PPP など)、パケット数、バイト数が含まれます。

TACACS+ プロトコルは、アクセス ポイントと TACACS+ デーモンの間で認証を行います。また、アクセス ポイントと TACACS+ デーモンの間で行われるすべてのプロトコル交換が暗号化されるため、信頼できる認証を保証します。

アクセス ポイントで TACACS+ を使用する場合、TACACS+ デーモン ソフトウェアを実行するシステムが必要です。

TACACS+ の操作

管理者が TACACS+ を使用してアクセス ポイントから認証を受け、簡単な ASCII ログインを試みる場合、次のプロセスが起こります。

1. 接続が確立すると、アクセス ポイントは TACACS+ デーモンにアクセスしてユーザ名プロンプトを取得し、このプロンプトが管理者に表示されます。 管理者がユーザ名を入力すると、アクセス ポイントは TACACS+ デーモンからパスワード プロンプトを取得します。 アクセス ポイントは管理者にパスワード プロンプトを表示し、管理者がパスワードを入力すると、パスワードは TACACS+ デーモンに送信されます。

デーモンが管理者の認証に必要な情報を取得するまで、TACACS+ を使用してデーモンと管理者との間で会話が続けられます。 デーモンはユーザ名とパスワードの組み合わせの入力を要求しますが、ユーザの母親の旧姓などの他の項目を要求する場合があります。

2. アクセス ポイントは最終的に TACACS+ デーモンから次の応答のいずれかを受け取ります。

ACCEPT:管理者が認証され、サービスが開始します。 許可を要求するようにアクセス ポイントが設定されている場合、この時点で許可が開始します。

REJECT:管理者は認証されません。 管理者は TACACS+ デーモンに従って、アクセスが拒否されるか、ログイン シーケンスを再試行するように要求されます。

ERROR:デーモンの認証のある時点で、またはデーモンとアクセス ポイントのネットワーク接続のある時点で、エラーが発生しています。 ERROR 応答が返された場合、通常、アクセス ポイントは別の方法を使用して管理者を認証を試みます。

CONTINUE:管理者はその他の認証情報を指定するように要求されます。

認証の後、アクセス ポイントで許可が有効になっている場合は、管理者はさらに許可フェーズに進みます。 管理者は TACACS+ 許可に進む前に、TACACS+ 認証を完全に成功させる必要があります。

3. TACACS+ 許可が要求される場合、再び TACACS+ デーモンにアクセスします。TACACS+ デーモンは許可応答 ACCEPT か REJECT を返します。 ACCEPT 応答が返された場合、この応答には属性の形でその管理者に EXEC または NETWORK セッションを指示するデータが含まれ、管理者がアクセスできるサービスを決定します。

Telnet、rlogin、またはイネーブル EXEC サービス

接続パラメータ。ホストまたはクライアントの IP アドレス、アクセス リスト、管理者のタイムアウトが含まれます。

TACACS+ の設定

この項では、TACACS+ をサポートするアクセス ポイントを設定する方法について説明します。 ユーザは最低でも TACACS+ デーモンを実行するホストを特定し、TACACS+ 認証の方式リストを定義しておく必要があります。 TACACS+ 認証とアカウンティングの方式リストはオプションで定義できます。 方式リストは管理者のアカウントの認証、許可、または維持に使用される手順と方法を定義しています。 方式リストを使用して 1 つまたは複数のセキュリティ プロトコルの使用を指定できるため、最初の方式が失敗した場合にバックアップ システムが確実に機能します。 ソフトウェアはリストの最初の方式を使用して管理者のアカウントの認証、許可、または維持を行い、その方式が応答しない場合はリスト内の次の方式を選択します。 このプロセスはリスト内の方式との通信に成功するまで、または方式リストの方式をすべて試行するまで続けられます。

この項では次の設定情報を扱います。

「デフォルトの TACACS+ 設定」

「TACACS+ サーバ ホストの特定と認証キーの設定」

「TACACS+ ログイン認証の設定」

「イネーブル EXEC アクセスとネットワーク サービスの TACACS+ 許可の設定」

「TACACS+ アカウンティングの起動」

デフォルトの TACACS+ 設定

TACACS+ と AAA はデフォルトで無効になっています。

セキュリティの失効を防ぐために、ネットワーク管理アプリケーションを通じて TACACS+ を設定することはできません。 TACACS+ を有効にすると、CLI を通じてアクセス ポイントにアクセスする管理者を認証します。

TACACS+ サーバ ホストの特定と認証キーの設定

認証時に単一のサーバまたは AAA サーバ グループを使用して既存のサーバ ホストをグループ化するようにアクセス ポイントを設定できます。 設定されたサーバ ホストのサブセットを選択し、特定のサービスに使用する場合に、サーバをグループ化できます。 このサーバ グループは、グローバル サーバ-ホスト リストで使用されます。このリストには、特定のサーバ-ホストの IP アドレスのリストが収められています。

イネーブル EXEC モードから、次の手順に従って TACACS+ サーバを実行する IP ホストを特定し、オプションで暗号化キーを設定します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

tacacs-server host hostname [ port integer ] [ timeout integer ] [ key string ]

TACACS+ サーバを実行する IP ホストを特定します。 このコマンドを数回入力して、優先されるホストのリストを作成します。 ソフトウェアは指定した順序でホストを検索します。

hostname には、ホストの名前または IP アドレスを指定します。

(オプション) port integer には、サーバのポート番号を指定します。 デフォルトはポート 49 です。範囲は 1 ~ 65535 です。

(オプション) timeout integer には、アクセス ポイントがタイムアウトになり、エラーを宣言するまでにデーモンからの応答を待機する時間を秒数で指定します。 デフォルトは 5 秒です。 指定範囲は 1 ~ 1000 秒です。

(オプション) key string には、アクセス ポイントと TACACS+ デーモンの間のすべてのトラフィックを暗号化および解読するための暗号化キーを指定します。 正しく暗号化するために、TACACS+ デーモンに同じキーを設定する必要があります。

ステップ 3

aaa new-model

AAA を有効にします。

ステップ 4

aaa group server tacacs+ group-name

(オプション)AAA サーバ-グループをグループ名で定義します。

このコマンドを指定すると、アクセス ポイントはサーバ グループ サブコンフィギュレーション モードに移行します。

ステップ 5

server ip-address

(オプション)特定の TACACS+ サーバを定義されたサーバ グループに結合します。 この手順を、AAA サーバ グループの各 TACACS+ サーバについて繰り返します。

グループ内の各サーバは、手順 2 であらかじめ定義されていなければなりません。

ステップ 6

end

イネーブル EXEC モードに戻ります。

ステップ 7

show tacacs

入力内容を確認します。

ステップ 8

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

特定の TACACS+ サーバ名またはアドレスを削除するには、 no tacacs-server host hostname グローバル コンフィギュレーション コマンドを使用します。 設定リストからサーバ グループを削除する場合は、 no aaa group server tacacs+ group-name グローバル コンフィギュレーション コマンドを使用します。 TACACS+ サーバの IP アドレスを削除するには、 no server ip-address サーバ グループ サブコンフィギュレーション コマンドを使用します。

TACACS+ ログイン認証の設定

AAA 認証を設定するには、認証方式のリストを名前を付けて定義し、そのリストを各種のインターフェイスに適用します。 方式リストには、実行される認証のタイプと実行される順序が定義されます。特定のインターフェイスで定義済みの認証方式のいずれかが実行される前に、そのインターフェイスにリストを適用する必要があります。 唯一の例外はデフォルト方式リスト(偶然にも default という名前)です。 デフォルトの方式リストは、明示的に定義された名前付きの方式リストを持つインターフェイスを除き、すべてのインターフェイスに自動的に適用されます。 定義された方式リストは、デフォルトの方式リストよりも優先されます。

方式リストは、管理者の認証で照会されるシーケンスと認証方式を詳細に表します。 1 つまたは複数のセキュリティ プロトコルを認証用に指定できるため、最初の方法が失敗した場合に認証のバックアップシステムが確実に機能します。 ソフトウェアはリストの最初の方式を使用してユーザを認証します。その方式が応答しない場合、ソフトウェアは方式リストで次の認証方式を選択します。 このプロセスは、リスト内の認証方式との通信が成功するまで、または定義されたすべての方式が試行されるまで続きます。 このサイクルのある時点で認証が失敗した場合、すなわちセキュリティ サーバまたはローカル ユーザ名データベースが管理者アクセスの拒否を返した場合、認証プロセスは停止し、他の認証方式は試行されません。

イネーブル EXEC モードから、次の手順に従ってログイン認証を設定します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

aaa new-model

AAA を有効にします。

ステップ 3

aaa authentication login { default | list-name } method1 [ method2... ]

ログイン認証方式リストを作成します。

login authentication コマンドで名前付きのリストが指定されて いない 場合に使用するデフォルトのリストを作成する場合は、 default キーワードの後に、デフォルト状況で使用する方式を指定します。 デフォルトの方式リストは自動的にすべてのインターフェイスに適用されます。

list-name には、作成するリストに付ける名前の文字列を指定します。

method1... には、認証アルゴリズムが試行する実際の方式を指定します。 補足的な認証方式が使用されるのは、それまでの方式が失敗した場合ではなく、エラーを返した場合のみです。

次の方式のいずれかを選択します。

line :認証にライン パスワードを使用します。 この認証方式を使用する前に、ライン パスワードを定義する必要があります。 username password ライン コンフィギュレーション コマンドを使用します。

local :認証にローカル ユーザ名データベースを使用します。 データベースにユーザ名情報を入力します。 username
password グローバル コンフィギュレーション コマンドを使用します。

tacacs+ :TACACS+ 認証を使用します。 この認証方式を使用する前に、TACACS+ サーバを設定する必要があります。

ステップ 4

line [ console | tty | vty ] line-number [ ending-line-number ]

ライン コンフィギュレーション モードを開始し、認証リストを適用する行を設定します。

ステップ 5

login authentication { default | list-name }

認証リストを 1 行または複数行に適用します。

default を指定した場合、 aaa authentication login コマンドで作成したデフォルト リストを使用します。

list-name には、 aaa authentication login コマンドで作成したリストを指定します。

ステップ 6

end

イネーブル EXEC モードに戻ります。

ステップ 7

show running-config

入力内容を確認します。

ステップ 8

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

AAA を無効にするには、 no aaa new-model グローバル コンフィギュレーション コマンドを使用します。 AAA 認証を無効にするには、 no aaa authentication login {default | list-name } method1 [ method2... ] グローバル コンフィギュレーション コマンドを使用します。 ログインの TACACS+ 認証を無効にするか、デフォルト値に戻すには、 no login authentication { default | list-name } ライン コンフィギュレーション コマンドを使用します。

イネーブル EXEC アクセスとネットワーク サービスの TACACS+ 許可の設定

AAA 許可は管理者が使用できるサービスを制限します。 AAA 許可が有効になっている場合、アクセス ポイントは管理者のプロファイルから取り出した情報を使用して管理者のセッションを設定します。このプロファイルはローカル ユーザ データベースかセキュリティ サーバにあります。 管理者が要求したサービスへのアクセスが許可されるのは、管理者プロファイル内の情報によってアクセスが許可される場合のみです。

aaa authorization グローバル コンフィギュレーション コマンドと tacacs+ キーワードを使用すると、管理者のネットワークへのアクセスをイネーブル EXEC モードに制限するパラメータを設定できます。

これらの許可パラメータは、aaa authorization exec tacacs+ local コマンドで設定されます。

認証に TACACS+ が使用された場合、イネーブル EXEC アクセス許可に TACACS+ を使用します。

認証に TACACS+ を使用していない場合は、ローカル データベースを使用します。


) 許可が設定されている場合でも、CLI からログインする認証済み管理者に対しては、許可が省略されます。


イネーブル EXEX モードから、次の手順に従ってイネーブル EXEC アクセスとネットワーク サービスに TACACS+ 許可を指定します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

aaa authorization network tacacs+

ネットワーク関連のすべてのサービス要求に対して、管理者が TACACS+ 許可を受けるようにアクセス ポイントを設定します。

ステップ 3

aaa authorization exec tacacs+

管理者の TACACS+ 許可で管理者のイネーブル EXEC アクセス権所有を判断するように、アクセス ポイントを設定します。

exec キーワードを指定すると、ユーザ プロファイル情報
autocommand 情報など)が返される場合があります。

ステップ 4

end

イネーブル EXEC モードに戻ります。

ステップ 5

show running-config

入力内容を確認します。

ステップ 6

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

許可を無効にするには、 no aaa authorization { network | exec } method1 グローバル コンフィギュレーション コマンドを使用します。

TACACS+ アカウンティングの起動

AAA アカウンティング機能は、管理者がアクセスしているサービスと、それらのサービスが消費しているネットワーク リソース量を追跡します。 AAA アカウンティングが有効になっている場合、アクセス ポイントはアカウンティング レコードの形で管理者のアクティビティを TACACS+ セキュリティ サーバに報告します。 各アカウンティング レコードには、アカウンティング属性と値のペア(AV)が含まれ、セキュリティ サーバに保存されます。 その後このデータはネットワーク管理、クライアントへの課金、または監査用に分析されます。

イネーブル EXEX モードから、次の手順に従って Cisco IOS の各イネーブル レベルとネットワーク サービスについて TACACS+ アカウンティングを有効にします。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

aaa accounting network start-stop tacacs+

ネットワーク関連のすべてのサービス要求に TACACS+ アカウンティングを有効にします。

ステップ 3

aaa accounting exec start-stop tacacs+

イネーブル EXEC プロセスの開始時に start-record アカウンティング通知を、終了時に stop-record アカウンティング通知を送信する TACACS+ アカウンティング機能を有効にします。

ステップ 4

end

イネーブル EXEC モードに戻ります。

ステップ 5

show running-config

入力内容を確認します。

ステップ 6

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

アカウンティングを無効にするには、 no aaa accounting { network | exec } { start-stop } method1... グローバル コンフィギュレーション コマンドを使用します。

TACACS+ 設定の表示

TACACS+ サーバ統計を表示するには、 show tacacs イネーブル EXEC コマンドを使用します。