この章では、Catalyst 3550スイッチでスイッチベースの認証を設定する方法について説明します。この章で説明する内容は、次のとおりです。
- スイッチへの不正アクセスの防止
- イネーブルEXECコマンドへのアクセスの保護
- TACACS+によるスイッチ アクセスの制御
- RADIUSによるスイッチ アクセスの制御
- Kerberosによるスイッチ アクセスの制御
- スイッチのローカル認証および許可の設定
- SSHのためのスイッチの設定
- SSL HTTPのためのスイッチの設定
- SCPのためのスイッチの設定
スイッチへの不正アクセスの防止
不正ユーザによる、スイッチの再設定や設定情報の閲覧を防止できます。一般的には、ネットワーク管理者からスイッチへのアクセスを許可する一方、非同期ポートを用いてネットワーク外からダイヤルアップ接続するユーザや、シリアル ポートを通じてネットワーク外から接続するユーザ、またはローカル ネットワーク内の端末またはワークステーションから接続するユーザからのアクセスを制限します。
スイッチへの不正アクセスを防止するには、次のセキュリティ機能を1つまたは複数設定します。
- 最低限のセキュリティとして、各スイッチ ポートでパスワードおよび権限を設定します。このパスワードは、スイッチでローカルに保存されます。ユーザがポートまたは回線を通じてスイッチにアクセスしようとするとき、ポートまたは回線に指定されたパスワードを入力してからでなければ、スイッチにアクセスできません。詳細については、 イネーブルEXECコマンドへのアクセスの保護 を参照してください。
- 追加のセキュリティ レイヤとして、ユーザ名とパスワードをペアで設定できます。このペアはスイッチでローカルに保存されます。このペアは回線またはインターフェイスに割り当てられ、各ユーザを認証します。ユーザは認証後、スイッチにアクセスできます。イネーブル レベルを定義している場合は、ユーザ名とパスワードの各ペアに特定のイネーブル レベル(対応する権利および権限付き)を割り当てることもできます。詳細については、 ユーザ名とパスワードのペアの設定 を参照してください。
- ユーザ名とパスワードのペアを使用したいが、そのペアをローカルではなく中央のサーバに保存したい場合は、セキュリティ サーバ上のデータベースに保存できます。これにより、複数のネットワークデバイスが同じデータベースを使用してユーザ認証情報を(必要に応じて許可情報も)得ることができます。詳細については、 TACACS+によるスイッチ アクセスの制御 を参照してください。
イネーブルEXECコマンドへのアクセスの保護
ネットワークで端末のアクセス制御を行う簡単な方法は、パスワードを使用してイネーブル レベルを割り当てることです。パスワード保護によって、ネットワークまたはネットワーク デバイスへのアクセスが制限されます。イネーブル レベルによって、ネットワーク デバイスにログオンしたあと、ユーザがどのようなコマンドを入力できるかが定義されます。
ここでは、コンフィギュレーション ファイルおよびイネーブルEXECコマンドへのアクセスを制御する方法について説明します。具体的な設定情報は次のとおりです。
- デフォルトのパスワードおよびイネーブル レベル設定
- スタティック イネーブル パスワードの設定または変更
- 暗号化によるイネーブルおよびイネーブル シークレット パスワードの保護
- パスワード回復のディセーブル化
- 端末回線に対するTelnetパスワードの設定
- ユーザ名とパスワードのペアの設定
- 複数のイネーブル レベルの設定
デフォルトのパスワードおよびイネーブル レベル設定
表7-1 に、デフォルトのパスワードおよびイネーブル レベル設定を示します。
|
パスワードは定義されていません。デフォルトはレベル15です(イネーブルEXECレベル)。パスワードは、コンフィギュレーション ファイル内では暗号化されていない状態です。 |
|
|
パスワードは定義されていません。デフォルトはレベル15です(イネーブルEXECレベル)。パスワードは、暗号化されてからコンフィギュレーション ファイルに書き込まれます。 |
|
スタティック イネーブル パスワードの設定または変更
イネーブル パスワードは、イネーブルEXECモードへのアクセスを制御します。スタティック イネーブル パスワードを設定または変更するには、イネーブルEXECモードで次の手順を実行します。
パスワードを削除するには、 no enable password グローバル コンフィギュレーション コマンドを使用します。
次に、イネーブル パスワードを l1u2c3k4y5 に変更する例を示します。パスワードは暗号化されておらず、レベル15のアクセスが与えられます(従来のイネーブルEXECモード アクセス)。
Switch(config)# enable password l1u2c3k4y5
暗号化によるイネーブルおよびイネーブル シークレット パスワードの保護
追加のセキュリティ レイヤを、特にネットワークを越えるパスワードやTrivial File Transfer Protocol(TFTP;簡易ファイル転送プロトコル)サーバに保存されているパスワードに対して設定する場合には、 enable password または enable secret グローバル コンフィギュレーション コマンドを使用できます。両コマンドは同じ働きをします。このコマンドにより、暗号化されたパスワードを設定できます。イネーブルEXECモード(デフォルト設定)または特定のイネーブル レベルにアクセスするには、このパスワードを入力する必要があります。
より高度な暗号化アルゴリズムを使用しているので、 enable secret コマンドを使用することを推奨します。
enable secret コマンドは enable password コマンドに優先します。2つのコマンドが同時に有効になることはありません。
イネーブルおよびイネーブル シークレット パスワードに暗号化を設定するには、イネーブルEXECモードで次の手順を実行します。
イネーブル パスワードおよびイネーブル シークレット パスワードの両方が定義されている場合、ユーザはイネーブル シークレット パスワードを入力する必要があります。
特定のイネーブル レベルのパスワードを定義するには、 level キーワードを使用します。レベルを指定してパスワードを設定したら、そのレベルでアクセスする必要のあるユーザだけにそのパスワードを渡してください。さまざまなレベルでアクセス可能なコマンドを指定する場合は、 privilege level グローバル コンフィギュレーション コマンドを使用します。詳細については、 複数のイネーブル レベルの設定 を参照してください。
パスワードの暗号化をイネーブルにすると、ユーザ名パスワード、認証鍵パスワード、イネーブル コマンド パスワード、コンソールおよび仮想端末回線パスワードなど、すべてのパスワードに適用されます。
パスワードとレベルを削除するには、 no enable password [ level level ]または no enable secret [ level level ]グローバル コンフィギュレーション コマンドを使用します。パスワードの暗号化をディセーブルにするには、 no service password-encryption グローバル コンフィギュレーション コマンドを使用します。
イネーブル レベル2に対して暗号化パスワード $1$FaD0$Xyti5Rkls3LoyxzS8 を設定する例を示します。
Switch(config)# enable secret level 2 5 $1$FaD0$Xyti5Rkls3LoyxzS8
パスワード回復のディセーブル化
デフォルトでは、Catalyst 3550スイッチに物理アクセスするエンド ユーザは、スイッチの電源投入時にブート プロセスを中断して新しいパスワードを入力することで、失われたパスワードを回復できます。
パスワード回復ディセーブル機能は、この機能の一部をディセーブルにすることでスイッチ パスワードへのアクセスを保護します。この機能をイネーブルにした場合、エンド ユーザがシステムをデフォルト設定に戻すことに同意するだけでブート プロセスを中断できます。パスワード回復をディセーブル化しても、ブート プロセスを中断してパスワードを変更できますが、コンフィギュレーション ファイル(config.txt)およびVLAN(仮想LAN)データベース ファイル(vlan.dat)は削除されます。
パスワード回復をディセーブルにするには、イネーブルEXECモードで次の手順を実行します。
|
この設定は、フラッシュ メモリのブート ローダーがアクセスできる領域およびソフトウェア イメージに保存されます。ただし、ファイル システムの領域ではないのでユーザはアクセスできません。 |
||
パスワード回復を再びイネーブルにするには、 service password-recovery グローバル コンフィギュレーション コマンドを使用します。
端末回線に対するTelnetパスワードの設定
初めてスイッチに電源を投入すると、自動セットアップ プログラムが起動してIP情報を割り当て、引き続き使用するためのデフォルト設定を作成します。セットアップ プログラムは、パスワードによるTelnetアクセス用にスイッチを設定するよう求めてきます。このとき、セットアップ プログラムを使用してパスワードを設定しなかった場合は、CLI(コマンドライン インターフェイス)を使用して設定できます。
スイッチをTelnetアクセス用に設定するには、イネーブルEXECモードで次の手順を実行します。
パスワードを削除するには、 no password グローバル コンフィギュレーション コマンドを使用します。
Telnetパスワードを let45me67in89 に設定する例を示します。
Switch(config-line)# password let45me67in89
ユーザ名とパスワードのペアの設定
ユーザ名とパスワードのペアを設定でき、スイッチでローカルに保存します。このペアは回線またはインターフェイスに割り当てられ、各ユーザを認証します。ユーザは認証後、スイッチにアクセスできます。イネーブル レベルを定義している場合は、ユーザ名とパスワードの各ペアに特定のイネーブル レベル(対応する権利および権限付き)を割り当てることもできます。
ユーザ名ベースの認証システムを設定するには、イネーブルEXECモードで次の手順を実行します。この認証システムは、ログイン ユーザ名とパスワードを要求します。
特定ユーザのユーザ名認証をディセーブルにするには、 no username name グローバル コンフィギュレーション コマンドを使用します。パスワード チェックをディセーブルにし、パスワードなしでの接続を可能にするには、 no login ライン コンフィギュレーション コマンドを使用します。
複数のイネーブル レベルの設定
ソフトウェアは、デフォルトで、ユーザEXECとイネーブルEXECという2種類のパスワード セキュリティ モードを備えています。各モードについて、コマンドの階層レベルを最大16まで設定できます。複数のパスワードを設定することにより、さまざまなユーザ グループに対して特定のコマンドへのアクセスを許可できます。
たとえば、多くのユーザに clear line コマンドへのアクセスを許可する場合、レベル2のセキュリティを割り当て、レベル2のパスワードを広範囲のユーザに配布できます。また、 configure コマンドへのアクセスをより制限されたものにしたい場合は、レベル3のセキュリティを割り当て、そのパスワードを限られたユーザ グループに配布することもできます。
コマンドのイネーブル レベルの設定
コマンド モードのイネーブル レベルを設定するには、イネーブルEXECモードで次の手順を実行します。
|
show running-configコマンドはパスワードとアクセス レベルの設定を表示します。show privilegeコマンドは、イネーブル レベルの設定を表示します。 |
||
コマンドをあるイネーブル レベルに設定すると、構文がそのコマンドのサブセットであるコマンドはすべて、そのレベルに設定されます。たとえば、 show ip traffic コマンドをレベル15に設定すると、 show コマンドおよび show ip コマンドは、それぞれ別のレベルに設定しないかぎり、自動的にレベル15に設定されます。
特定のコマンドについて、デフォルトの権限に戻すには、 no privilege mode level level command グローバル コンフィギュレーション コマンドを使用します。
configure コマンドをイネーブル レベル14に設定し、レベル14コマンドを使用する際にユーザが入力するパスワードとして SecretPswd14 を定義する例を示します。
Switch(config)# privilege exec level 14 configure
Switch(config)# enable password level 14 SecretPswd14
回線に対するデフォルトのイネーブル レベルの変更
回線に対するデフォルトのイネーブル レベルを変更するには、イネーブルEXECモードで次の手順を実行します。
|
level に指定できる範囲は0〜15です。レベル1が通常のユーザEXECモード権限です。レベル15は、 enable パスワードによって許可されるアクセス レベルです。 |
||
|
show running-configコマンドはパスワードとアクセス レベルの設定を表示します。show privilegeコマンドは、イネーブル レベルの設定を表示します。 |
||
ユーザは、回線にログインし、別のイネーブル レベルをイネーブルに設定することにより、 privilege level ライン コンフィギュレーション コマンドを使用して設定されたイネーブル レベルを上書きできます。また、 disable コマンドを使用すると、イネーブル レベルを低く設定できます。上位のイネーブル レベルのパスワードがわかっていれば、ユーザはそのパスワードを使用して上位のイネーブル レベルをイネーブルにできます。回線の使用を制限するには、コンソール回線に高いレベルまたはイネーブル レベルを指定してください。
回線のイネーブル レベルをデフォルトに戻すには、 no privilege level ライン コンフィギュレーション コマンドを使用します。
イネーブル レベルへのログインおよび終了
特定のイネーブル レベルにログインし、特定のイネーブル レベルを終了するには、イネーブルEXECモードで次の手順を実行します。
TACACS+によるスイッチ アクセスの制御
ここでは、TACACS+をイネーブルにして設定する方法について説明します。TACACS+は、詳細なアカウンティング情報を収集し、認証および許可プロセスに対して柔軟な管理を行います。TACACS+は、Authentication, Authorization, Accounting(AAA;認証、許可、アカウンティング)機能が拡張されており、TACACS+をイネーブルにするにはAAAコマンドを使用しなければなりません。
TACACS+の概要
TACACS+は、スイッチにアクセスしようとするユーザの検証を集中的に行うセキュリティ アプリケーションです。TACACS+サービスは、通常UNIXまたはWindows NTワークステーション上で稼働するTACACS+デーモンのデータベースで管理されます。スイッチにTACACS+機能を設定するには、TACACS+サーバにアクセスして設定する必要があります。
TACACS+は、個別のモジュール型認証、許可、およびアカウンティング機能を備えています。TACACS+では、単一のアクセス制御サーバ(TACACS+デーモン)が各サービス(認証、許可、およびアカウンティング)を別個に提供します。各サービスを固有のデータベースに結合し、デーモンの機能に応じてそのサーバまたはネットワークで利用可能なほかのサービスを利用できます。
TACACS+の目的は、1つの管理サービスから複数のネットワーク アクセス ポイントを管理する方式を提供することです。スイッチは、ほかのシスコ製ルータやアクセス サーバとともにネットワーク アクセス サーバにできます。ネットワーク アクセス サーバは、単一のユーザ、ネットワークまたはサブネットワーク、および相互接続されたネットワークとの接続を実現します( 図7-1 を参照)。
図7-1 一般的なTACACS+ネットワーク構成
TACACS+は、AAAセキュリティ サービスによって管理され、次のようなサービスを提供します。
認証機能は、ユーザとの対話を実行できます(たとえば、ユーザ名とパスワードが入力されたあと、自宅の住所、母親の旧姓、サービス タイプ、社会保険番号などのいくつかの質問をすることによりユーザを確認する)。TACACS+認証サービスは、ユーザ画面にメッセージを送信することもできます。たとえば、会社のパスワード有効期間ポリシーに従い、パスワードの変更の必要があることをユーザに通知することもできます。
- 許可 ― オートコマンド、アクセス制御、セッション期間、プロトコル サポートの設定といった、ユーザ セッション内でのユーザ機能についてきめ細かい制御を行います。また、TACACS+許可機能によって、ユーザが実行できるコマンドを制限することもできます。
- アカウンティング ― 課金、監査、レポートに使用する情報を収集してTACACS+デーモンに送信します。ネットワークの管理者は、アカウンティング機能を使用して、セキュリティ監査のためにユーザの活動状況を追跡したり、ユーザ課金用の情報を提供できます。アカウンティング レコードには、ユーザID、開始時刻および終了時刻、実行されたコマンド(PPPなど)、パケット数、およびバイト数が含まれます。
TACACS+プロトコルは、スイッチとTACACS+デーモンとの間の認証を行い、スイッチとTACACS+デーモンとの間のプロトコル交換をすべて暗号化することにより機密保持を実現します。
スイッチでTACACS+を使用するには、TACACS+デーモン ソフトウェアが稼働するシステムが必要です。
TACACS+の動作
ユーザが、TACACS+を使用しているスイッチに対する認証で簡易ASCIIログインを試行すると、次のプロセスが発生します。
- 1. 接続が確立すると、スイッチはTACACS+デーモンに接続してユーザ名プロンプトを取得し、ユーザに表示します。ユーザがユーザ名を入力すると、スイッチはTACACS+デーモンに接続してパスワード プロンプトを取得します。スイッチがパスワード プロンプトを表示し、ユーザがパスワードを入力すると、そのパスワードがTACACS+デーモンに送信されます。
TACACS+によって、デーモンとユーザとの間の対話が可能になり、デーモンはユーザを認証できるだけの情報を取得できるようになります。デーモンは、ユーザ名とパスワードの組み合わせを入力するよう指示しますが、ユーザの母親の旧姓など、その他の項目を含めることもできます。
- 2. スイッチは、最終的にTACACS+デーモンから次のいずれかの応答を受信します。
- − ACCEPT ― ユーザが認証され、サービスを開始できます。許可を必要とするようにスイッチが設定されている場合は、この時点で許可処理が開始されます。
- − REJECT ― ユーザは認証されません。TACACS+デーモンに応じて、ユーザはアクセスを拒否されるか、ログイン シーケンスを再試行するよう求められます。
- − ERROR ― デーモンによる認証サービスのある時点で、またはデーモンとスイッチの間のネットワーク接続においてエラーが発生しました。ERROR応答が表示された場合、スイッチは通常、別の方法でユーザを認証しようとします。
- − CONTINUE ― ユーザは、さらに認証情報の入力を求められます。
認証後、スイッチで許可がイネーブルになっている場合、ユーザは追加の許可フェーズに入ります。ユーザはまず、TACACS+認証を正常に終了しなければTACACS+許可に進めません。
- 3. TACACS+許可が必要な場合は、再度TACACS+デーモンに接続し、デーモンがACCEPTまたはREJECTの許可応答を返します。ACCEPT応答が返された場合は、その応答には、そのユーザのEXECまたはNETWORKセッション宛ての属性の形式でデータが含まれており、ユーザがアクセスできるサービスが決まります。
- − Telnet、Secure Shell(SSH;セキュア シェル)、rlogin、またはイネーブルEXECサービス
- − 接続パラメータ(ホストまたはクライアントのIPアドレス、アクセス リスト、ユーザ タイムアウトなど)
TACACS+の設定
ここでは、TACACS+をサポートするようにスイッチを設定する方法について説明します。少なくとも、TACACS+デーモンを保持するホスト(複数可)を特定し、TACACS+認証の方式リストを定義する必要があります。任意でTACACS+許可およびアカウンティングの方式リストを定義することもできます。方式リストは、ユーザの認証、許可、およびアカウントを維持するための順序と方式を定義します。方式リストを使用すると、使用するセキュリティ プロトコルを1つまたは複数指定できるので、最初の方式が失敗した場合のバックアップ システムが確保されます。ソフトウェアは、リスト内の最初の方式を使用してユーザの認証、許可、アカウントの維持を行います。その方式で応答が得られなかった場合、ソフトウェアはそのリストから次の方式を選択します。このプロセスは、リスト内の方式による通信が成功するか、方式リストを使い果たすまで続きます。
- TACACS+のデフォルト設定
- TACACS+サーバ ホストの特定と認証鍵の設定
- TACACS+ログイン認証の設定
- イネーブルEXECアクセスおよびネットワーク サービス用のTACACS+許可の設定
- TACACS+アカウンティングの開始
TACACS+のデフォルト設定
TACACS+とAAAは、デフォルトでディセーブルに設定されています。
セキュリティの失効を防止するため、ネットワーク管理アプリケーションによりTACACS+を設定することはできません。イネーブルに設定されている場合、TACACS+はCLIを使用してスイッチにアクセスするユーザを認証できます。
TACACS+サーバ ホストの特定と認証鍵の設定
認証用に1つのサーバを使用することも、また、既存のサーバ ホストをグループ化するためにAAAサーバ グループを使用するよう設定することもできます。設定済みサーバ ホストのサブセットを選択してサーバをグループ化し、特定のサービスに使用できます。サーバ グループは、グローバル サーバホスト リストとともに使用され、選択されたサーバ ホストのIPアドレスのリストを含んでいます。
IPホストまたはTACACS+サーバを保持するホストを特定し、任意で暗号鍵を設定するには、イネーブルEXECモードで次の手順を実行します。
指定されたTACACS+サーバ名またはアドレスを削除するには、 no tacacs-server host hostname グローバル コンフィギュレーション コマンドを使用します。設定リストからサーバ グループを削除するには、 no aaa group server tacacs+ group-name グローバル コンフィギュレーション コマンドを使用します。TACACS+サーバのIPアドレスを削除するには、 no server ip-address サーバ グループ サブコンフィギュレーション コマンドを使用します。
TACACS+ログイン認証の設定
AAA認証を設定するには、認証方式の名前付きリストを作成してから、さまざまなインターフェイスにそのリストを適用します。方式リストは実行される認証のタイプと実行順序を定義します。このリストを特定のインターフェイスに適用してから、定義済み認証方式を実行する必要があります。唯一の例外はデフォルトの方式リスト(偶然に default と名前が付けられている)です。デフォルトの方式リストは、名前付き方式リストが明示的に定義されたインターフェイスを除いて、自動的にすべてのインターフェイスに適用されます。定義済みの方式リストは、デフォルトの方式リストに優先します。
方式リストは、ユーザ認証のためクエリ送信を行う手順と認証方式を記述したものです。認証に使用する1つまたは複数のセキュリティ プロトコルを指定できるので、最初の方式が失敗した場合のバックアップ システムが確保されます。ソフトウェアは、リスト内の最初の方式を使用してユーザを認証します。その方式で応答が得られなかった場合、ソフトウェアはそのリストから次の方式を選択します。このプロセスは、リスト内の認証方式による通信が成功するか、定義された方式をすべて試すまで続きます。この処理のある時点で認証が失敗した場合(つまり、セキュリティ サーバまたはローカルのユーザ名データベースがユーザ アクセスを拒否すると応答した場合)、認証プロセスは停止し、それ以上認証方式が試行されることはありません。
ログイン認証を設定するには、イネーブルEXECモードで次の手順を実行します。
|
aaa authentication login { default | list-name } method1 [ method2... ] |
|
|
|
line [ console | tty | vty ] line-number [ ending-line-number ] |
||
AAAをディセーブルにするには、 no aaa new-model グローバル コンフィギュレーション コマンドを使用します。AAA認証をディセーブルにするには、 no aaa authentication login {default | list-name } method1 [ method2... ]グローバル コンフィギュレーション コマンドを使用します。ログインのTACACS+認証をディセーブルにするかデフォルト値に戻す場合は、 no login authentication { default | list-name }ライン コンフィギュレーション コマンドを使用します。
イネーブルEXECアクセスおよびネットワーク サービス用のTACACS+許可の設定
AAA許可は、ユーザが利用できるサービスを制限します。AAA許可がイネーブルに設定されていると、スイッチはユーザのプロファイルから取得した情報を使用します。このプロファイルは、ローカルのユーザ データベースまたはセキュリティ サーバ上にあり、ユーザのセッションを設定します。ユーザは、ユーザ プロファイル内の情報で認められている場合に限り、要求したサービスのアクセスが認可されます。
aaa authorization グローバル コンフィギュレーション コマンドに tacacs+ キーワードを付けて使用すると、イネーブルEXECモードへのユーザのネットワーク アクセスを制限するパラメータを設定できます。
aaa authorization exec tacacs+ localコマンドは、次の許可パラメータを設定します。
イネーブルEXECアクセスおよびネットワーク サービスに関するTACACS+許可を指定するには、イネーブルEXECモードで次の手順を実行します。
|
イネーブルEXECアクセスの有無を、ユーザTACACS+許可によって判別するようにスイッチを設定します。 exec キーワードを指定すると、ユーザ プロファイル情報( autocommand 情報など)が返されることがあります。 |
||
許可をディセーブルにするには、 no aaa authorization { network | exec } method1 グローバル コンフィギュレーション コマンドを使用します。
TACACS+アカウンティングの開始
AAAアカウンティング機能は、ユーザがアクセスするサービスと、ユーザが消費するネットワーク リソースを追跡します。AAAアカウンティングがイネーブルに設定されていると、スイッチは、アカウンティング レコードの形式でユーザの活動状況をTACACS+セキュリティ サーバに報告します。各アカウンティング レコードには、アカウンティングのAVのペアが含まれ、セキュリティ サーバ上に保存されます。このデータを分析し、ネットワーク管理、クライアントへの課金、または監査に利用できます。
各イネーブル レベルおよびネットワーク サービスに関するTACACS+アカウンティングをイネーブルにするには、イネーブルEXECモードで次の手順を実行します。
|
TACACS+アカウンティングにより、イネーブルEXECプロセスの開始時に記録開始アカウンティング通知、終了時に記録停止通知を送信するように設定します。 |
||
アカウンティングをディセーブルにするには、 no aaa accounting { network | exec } { start-stop } method1... グローバル コンフィギュレーション コマンドを使用します。
TACACS+設定の表示
TACACS+サーバ統計情報を表示するには、 show tacacs イネーブルEXECコマンドを使用します。
RADIUSによるスイッチ アクセスの制御
ここでは、RADIUSをイネーブルにして設定する方法について説明します。RADIUSは、詳細なアカウンティング情報を収集し、認証および許可プロセスに対して柔軟な管理を行います。RADIUSはAAAを介して機能します。RADIUSをイネーブルにするにはAAAコマンドを使用しなければなりません。
RADIUSの概要
RADIUSは分散型クライアント/サーバ システムで、不正なアクセスからネットワークを保護します。RADIUSクライアントはサポート対象となるシスコのルータおよびスイッチ上で稼働します。クライアントは中央RADIUSサーバに認証要求を送信します。中央RADIUSサーバには、すべてのユーザの認証およびネットワーク サービス アクセス情報が格納されています。RADIUSホストは、通常、シスコ(Cisco Secure Access Control Serverバージョン3.0)、Livingston、Merit、Microsoftなどのソフトウェア製造元のRADIUSサーバ ソフトウェアが稼働するマルチユーザ システムです。詳細については、RADIUSサーバのマニュアルを参照してください。
RADIUSは、アクセスのセキュリティが必要な、次のネットワーク環境で使用します。
- それぞれがRADIUSをサポートする、マルチベンダー アクセス サーバによるネットワーク。たとえば、複数のベンダーのアクセス サーバが、1つのRADIUSサーバベース セキュリティ データベースを使用します。複数のベンダーのアクセス サーバからなるIPベースのネットワークでは、ダイヤルイン ユーザはRADIUSサーバを通じて認証されます。RADIUSサーバは、Kerberosセキュリティ システムで動作するようにカスタマイズされています。
- アプリケーションがRADIUSプロトコルをサポートするターンキー ネットワーク セキュリティ環境。たとえば、 スマート カード アクセス制御システムを使用するアクセス環境があります。あるケースでは、RADIUSをEnigmaのセキュリティ カードと併用してユーザを確認し、ネットワーク リソースのアクセスを許可します。
- すでにRADIUSを使用中のネットワーク。RADIUSクライアントを含むシスコ製スイッチをネットワークに追加できます。これがTACACS+サーバへの移行の最初のステップとなることもあります( 図7-2RADIUSからTACACS+サービスへの移行 を参照してください)。
- ユーザが1つのサービスにしかアクセスできないネットワーク。RADIUSを使用すると、ユーザのアクセスを1つのホスト、Telnetなどの1つのユーティリティ、またはIEEE 802.1Xなどのプロトコルを使用するネットワークに制御できます。このプロトコルの詳細については、 第8章 「IEEE 802.1Xポートベースの認証の設定」 を参照してください。
- リソース アカウンティングが必要なネットワーク。RADIUS認証または許可とは別にRADIUSアカウンティングを使用できます。RADIUSアカウンティング機能によって、サービスの開始および終了時点でデータを送信し、このセッション中に使用されるリソース(時間、パケット、バイトなど)の量を表示できます。インターネット サービス プロバイダーは、RADIUSアクセス制御およびアカウンティング ソフトウェアのフリーウェア バージョンを使用して、特殊なセキュリティおよび課金のニーズを満たすこともできます。
RADIUSは、ネットワーク セキュリティが次のような状況には適していません。
- マルチプロトコル アクセス環境。RADIUSは、AppleTalk Remote Access(ARA)、NetBIOS Frame Control Protocol(NBFCP)、NetWare Asynchronous Services Interface(NASI)、またはX.25 PAD接続をサポートしません。
- スイッチ間またはルータ間。RADIUSは、双方向認証を行いません。RADIUSは、シスコ製以外のデバイスが認証を必要とする場合に、あるデバイスから他社製デバイスへの認証には使用できません。
- 各種のサービスを使用するネットワーク。RADIUSは、一般に1人のユーザを1つのサービス モデルにバインドします。
図7-2 RADIUSからTACACS+サービスへの移行
RADIUSの動作
RADIUSサーバによってアクセス制御されているスイッチに、ユーザがログインして認証を試みると、次のイベントが発生します。
- 1. ユーザ名とパスワードの入力を求めるプロンプトが表示されます。
- 2. ユーザ名と暗号化されたパスワードが、ネットワークを介してRADIUSサーバに送信されます。
- 3. ユーザは、RADIUSサーバから次のいずれかの応答を受信します。
b. REJECT ― ユーザは認証されず、ユーザ名とパスワードの再入力を求めるプロンプトが表示されるか、アクセスが拒否されます。
c. CHALLENGE ― ユーザに追加データが要求されます。
d. CHALLENGE PASSWORD ― ユーザは新しいパスワードを選択するよう要求されます。
ACCEPTまたはREJECT応答には、イネーブルEXECまたはネットワーク許可に使用される追加データがバンドルされています。RADIUS許可がイネーブルになっている場合、ユーザはまず、RADIUS認証に成功しなければRADIUS許可に進めません。ACCEPTまたはREJECTパケットの追加データには、次の項目が含まれています。
RADIUSの設定
ここでは、RADIUSをサポートするようにスイッチを設定する方法について説明します。少なくとも、RADIUSサーバ ソフトウェアが稼働するホスト(複数可)を特定し、RADIUS認証の方式リストを定義する必要があります。任意でRADIUS許可およびアカウンティングの方式リストを定義することもできます。
方式リストは、ユーザの認証、許可、およびアカウントを維持するための順序と方式を定義します。方式リストを使用すると、使用するセキュリティ プロトコル(TACACS+やローカル ユーザ名検索など)を1つまたは複数指定できるので、最初の方式が失敗した場合のバックアップ システムが確保されます。ソフトウェアは、リスト内の最初の方式を使用してユーザの認証、許可、アカウントの維持を行います。その方式で応答が得られなかった場合、ソフトウェアはそのリストから次の方式を選択します。このプロセスは、リスト内の方式による通信が成功するか、方式リストを使い果たすまで続きます。
スイッチにRADIUS機能を設定するには、RADIUSサーバにアクセスして設定する必要があります。
- RADIUSのデフォルト設定
- RADIUSサーバ ホストの特定 (必須)
- RADIUSログイン認証の設定 (必須)
- AAAサーバ グループの定義 (任意)
- ユーザ イネーブル アクセスおよびネットワーク サービス用のRADIUS許可の設定 (任意)
- RADIUSアカウンティングの開始 (任意)
- すべてのRADIUSサーバに対する設定 (任意)
- ベンダー固有のRADIUSアトリビュート用にスイッチを設定する方法 (任意)
- ベンダー独自のRADIUSサーバ通信用にスイッチを設定する方法 (任意)
RADIUSのデフォルト設定
RADIUSとAAAは、デフォルトでディセーブルに設定されています。
セキュリティの失効を防止するため、ネットワーク管理アプリケーション使用してRADIUSを設定することはできません。RADIUSをイネーブルに設定すると、CLIを使用して、スイッチにアクセスするユーザを認証します。
RADIUSサーバ ホストの特定
スイッチとRADIUSサーバ間の通信には、次の要素が関係します。
RADIUSセキュリティ サーバは、ホスト名またはIPアドレス、ホスト名と各UDPポート番号、あるいはIPアドレスと各UDPポート番号で識別されます。IPアドレスとUDPポート番号の組み合わせによって一意の識別子が作成され、特定のAAAサービスを提供するRADIUSホストとしてさまざまなポートを個別に定義できます。この一意の識別子によって、サーバ上の複数のUDPポートに同じIPアドレスでRADIUS要求を送信できるようになります。
同一のRADIUSサーバ上の2つの異なるホスト エントリが同じサービス(たとえば、アカウンティング)を設定している場合、設定された2番めのホスト エントリは、最初のエントリの代替バックアップとして機能します。この例では、最初のホスト エントリがアカウンティング サービスを提供できない場合は、スイッチは、同じデバイス上に設定された2番めのホスト エントリでアカウンティング サービスを試行します(RADIUSのホスト エントリは、設定された順序で試行されます)。
RADIUSサーバおよびスイッチは、共有シークレット テキストを使用してパスワードを暗号化し、応答を交換します。AAAセキュリティ コマンドを使用するようにRADIUSを設定するには、RADIUSサーバ デーモンが稼働するホストと、そのスイッチを共用するシークレット テキスト(キー)ストリングを指定する必要があります。
タイムアウト、再送信回数、および暗号化鍵の値は、すべてのRADIUSサーバに対してグローバルにサーバ単位で設定することも、グローバルな設定とサーバ単位の設定を組み合わせることもできます。この設定を、スイッチと通信するすべてのRADIUSサーバに対してグローバルに適用するには、3つの特別なグローバル コンフィギュレーション コマンド、 radius-server timeout 、 radius-server retransmit 、および radius-server key を使用します。特定のRADIUSサーバにこれらの値を適用するには、 radius-server host グローバル コンフィギュレーション コマンドを使用します。
認証用に既存のサーバ ホストをグループ化するために、AAAサーバ グループを使用するようスイッチを設定できます。詳細については、 AAAサーバ グループの定義 を参照してください。
サーバ単位でのRADIUSサーバ通信を設定するには、イネーブルEXECモードで次の手順を実行します。この手順は必須です。
特定のRADIUSサーバを削除するには、 no radius-server host hostname | ip-address グローバル コンフィギュレーション コマンドを使用します。
次に、あるRADIUSサーバを認証用に、別のRADIUSサーバをアカウンティング用に設定する例を示します。
Switch(config)# radius-server host 172.29.36.49 auth-port 1612 key rad1
Switch(config)# radius-server host 172.20.36.50 acct-port 1618 key rad2
次の例は、RADIUSサーバとして host1 を設定し、認証およびアカウンティングの両方にデフォルト ポートを使用する方法を示します。
Switch(config)# radius-server host host1
RADIUSログイン認証の設定
AAA認証を設定するには、認証方式の名前付きリストを作成してから、さまざまなインターフェイスにそのリストを適用します。方式リストは実行される認証のタイプと実行順序を定義します。このリストを特定のインターフェイスに適用してから、定義済み認証方式を実行する必要があります。唯一の例外はデフォルトの方式リスト(偶然に default と名前が付けられている)です。デフォルトの方式リストは、名前付き方式リストが明示的に定義されたインターフェイスを除いて、自動的にすべてのインターフェイスに適用されます。
方式リストは、ユーザ認証のためクエリ送信を行う手順と認証方式を記述したものです。認証に使用する1つまたは複数のセキュリティ プロトコルを指定できるので、最初の方式が失敗した場合のバックアップ システムが確保されます。ソフトウェアは、リスト内の最初の方式を使用してユーザを認証します。その方式で応答が得られなかった場合、ソフトウェアはそのリストから次の方式を選択します。このプロセスは、リスト内の認証方式による通信が成功するか、定義された方式をすべて試すまで続きます。この処理のある時点で認証が失敗した場合(つまり、セキュリティ サーバまたはローカルのユーザ名データベースがユーザ アクセスを拒否すると応答した場合)、認証プロセスは停止し、それ以上認証方式が試行されることはありません。
ログイン認証を設定するには、イネーブルEXECモードで次の手順を実行します。この手順は必須です。
|
aaa authentication login { default | list-name } method1 [ method2... ] |
|
|
|
line [ console | tty | vty ] line-number [ ending-line-number ] |
||
AAAをディセーブルにするには、 no aaa new-model グローバル コンフィギュレーション コマンドを使用します。AAA認証をディセーブルにするには、 no aaa authentication login {default | list-name } method1 [ method2... ]グローバル コンフィギュレーション コマンドを使用します。ログインのRADIUS認証をディセーブルにするかデフォルト値に戻す場合は、 no login authentication { default | list-name } ライン コンフィギュレーション コマンドを使用します。
AAAサーバ グループの定義
認証用に既存のサーバ ホストをグループ化するために、AAAサーバ グループを使用するようスイッチを設定できます。設定済みサーバ ホストのサブセットを選択し、特定のサービスに使用できます。サーバ グループには、グローバル サーバホスト リストを使用します。このリストは、選択したサーバ ホストのIPアドレスのリストです。
サーバ グループには、各エントリが一意の識別子(IPアドレスとUDPポート番号の組み合わせ)を持っていれば、同じサーバに対して複数のホスト エントリを組み込むことができます。また、特定のAAAサービスを提供するRADIUSホストとして、さまざまなポートを個別に定義できます。同一のRADIUSサーバ上の2つの異なるホスト エントリに同じサービス(たとえば、アカウンティング)を設定すると、設定された2番めのホスト エントリは、最初のエントリの代替バックアップとして機能します。
定義済みのグループ サーバに特定のサーバを対応付けるには、 server グループ サーバ コンフィギュレーション コマンドを使用します。IPアドレスでサーバを特定したり、任意の auth-port および acct-port キーワードを使用して複数のホスト インスタンスまたはエントリを識別することもできます。
AAAサーバ グループを定義して特定のRADIUSサーバに対応付けるには、イネーブルEXECモードで次の手順を実行します。
|
radius-server host { hostname | ip-address } [ auth-port port-number ] [ acct-port port-number ] [ timeout seconds ] [ retransmit retries ] [ key string ] |
リモートRADIUSサーバ ホストのIPアドレスまたはホスト名を指定します。
1つのIPアドレスに関連付けられた複数のホスト エントリをスイッチが認識するように設定するには、必要な回数だけこのコマンドを入力し、それぞれのUDPポート番号が必ず異なるようにしてください。スイッチ ソフトウェアは、指定された順序でホストを検索します。特定のRADIUSホストで使用するタイムアウト、再送信回数、および暗号化鍵の値を設定します。 |
|
|
特定のRADIUSサーバを定義済みサーバ グループに対応付けます。AAAサーバ グループのRADIUSサーバごとに、このステップを繰り返します。 |
||
|
RADIUSログイン認証をイネーブルにします。 RADIUSログイン認証の設定 を参照してください。 |
特定のRADIUSサーバを削除するには、 no radius-server host hostname | ip-address グローバル コンフィギュレーション コマンドを使用します。コンフィギュレーション リストからサーバ グループを削除するには、 no aaa group server radius group-name グローバル コンフィギュレーション コマンドを使用します。RADIUSサーバのIPアドレスを削除するには、 no server ip-address サーバ グループコンフィギュレーション コマンドを使用します。
次の例では、2つの異なるRADIUSグループ サーバ( group1 と group2 )を認識するようにスイッチを設定しています。group1では、同一のRADIUSサーバ上の2つの異なるホスト エントリに同じサービスを設定しています。2番めのホスト エントリは、最初のエントリの代替バックアップとして機能します。
Switch(config)# radius-server host 172.20.0.1 auth-port 1000 acct-port 1001
Switch(config)# radius-server host 172.10.0.1 auth-port 1645 acct-port 1646
Switch(config)# aaa group server radius group1
Switch(config-sg-radius)# server 172.20.0.1 auth-port 1000 acct-port 1001
Switch(config-sg-radius)# exit
Switch(config)# aaa group server radius group2
Switch(config-sg-radius)# server 172.20.0.1 auth-port 2000 acct-port 2001
Switch(config-sg-radius)# exit
ユーザ イネーブル アクセスおよびネットワーク サービス用のRADIUS許可の設定
AAA許可は、ユーザが利用できるサービスを制限します。AAA許可がイネーブルに設定されていると、スイッチはユーザのプロファイルから取得した情報を使用します。このプロファイルは、ローカルのユーザ データベースまたはセキュリティ サーバ上にあり、ユーザのセッションを設定します。ユーザは、ユーザ プロファイル内の情報で認められている場合に限り、要求したサービスのアクセスが認可されます。
aaa authorization グローバル コンフィギュレーション コマンドに radius キーワードを付けて使用すると、イネーブルEXECモードへのユーザのネットワーク アクセスを制限するパラメータを設定できます。
aaa authorization exec radius localコマンドは、次の許可パラメータを設定します。
イネーブルEXECアクセスおよびネットワーク サービスに関するRADIUS許可を指定するには、イネーブルEXECモードで次の手順を実行します。
|
イネーブルEXECアクセスの有無を、ユーザRADIUS許可によって判別するようにスイッチを設定します。 exec キーワードを指定すると、ユーザ プロファイル情報( autocommand 情報など)が返されることがあります。 |
||
許可をディセーブルにするには、 no aaa authorization { network | exec } method1 グローバル コンフィギュレーション コマンドを使用します。
RADIUSアカウンティングの開始
AAAアカウンティング機能は、ユーザがアクセスするサービスと、ユーザが消費するネットワーク リソースを追跡します。AAAアカウンティングがイネーブルに設定されていると、スイッチは、アカウンティング レコードの形式でユーザの活動状況をRADIUSセキュリティ サーバに報告します。各アカウンティング レコードには、アカウンティングのAVのペアが含まれ、セキュリティ サーバ上に保存されます。このデータを分析し、ネットワーク管理、クライアントへの課金、または監査に利用できます。
各Cisco IOSイネーブル レベルおよびネットワーク サービスに関するRADIUSアカウンティングをイネーブルにするには、イネーブルEXECモードで次の手順を実行します。
|
RADIUSアカウンティングにより、イネーブルEXECプロセスの開始時に記録開始アカウンティング通知、イネーブルEXECプロセスの終了時に記録停止通知を送信するように設定します。 |
||
アカウンティングをディセーブルにするには、 no aaa accounting { network | exec } { start-stop } method1... グローバル コンフィギュレーション コマンドを使用します。
すべてのRADIUSサーバに対する設定
スイッチとすべてのRADIUSサーバ間のグローバル通信コンフィギュレーションを設定するには、イネーブルEXECモードで次の手順を実行します。
再送信、タイムアウト、およびデッドタイムの設定をデフォルトに戻すには、これらのコマンドの no 形式を使用します。
ベンダー固有のRADIUSアトリビュート用にスイッチを設定する方法
Internet Engineering Task Force(IETF)ドラフト規格では、ベンダー固有のアトリビュート(アトリビュート26)を使用して、スイッチとRADIUSサーバとの間のベンダー固有情報の通信方式を定めています。Vendor-Specific Attribute(VSA)を使用すると、ベンダーは、汎用に適さない独自の拡張アトリビュートをサポートできます。シスコの実装RADIUSでは、仕様で推奨されたフォーマットを使用して1つのベンダー固有オプションをサポートします。シスコのベンダーIDは9で、サポート対照のオプションにはベンダータイプ1が設定されており、 cisco-avpair と名前が付けられています。この値は次のフォーマットのストリングです。
protocol : attribute sep value *
protocol は、特定のタイプの許可に対応するシスコ プロトコル アトリビュートの値です。 attribute と value は、シスコTACACS+仕様で定義されている適正なAVのペアです。 sep は、必須アトリビュートの場合は「 = 」、オプションのアトリビュートの場合は「 * 」です。TACACS+許可で利用できるすべての機能は、RADIUSにも使用できます。
たとえば、次のAVペアは、IP許可時(PPPのIPCPアドレス割り当て時)に、シスコの 複数の名前付きIPアドレスプール 機能をアクティブにします。
cisco-avpair= "ip:addr-pool=first"
次の例は、スイッチからログインしているユーザに、イネーブルEXECコマンドへの直接アクセスを可能にする方法を示します。
cisco-avpair= "shell:priv-lvl=15"
次の例は、RADIUSサーバ データベース内の許可VLANを指定する方法を示しています。
cisco-avpair= "tunnel-type(#64)=VLAN(13)"
cisco-avpair= "tunnel-medium-type(#65)=802 media(6)"
cisco-avpair= "tunnel-private-group-ID(#81)=vlanid"
次の例は、この接続中にASCII形式の入力Access Control List(ACL;アクセス制御リスト)をインターフェイスに適用する方法を示しています。
cisco-avpair= "ip:inacl#1=deny ip 10.10.10.10 0.0.255.255 20.20.20.20 255.255.0.0"
cisco-avpair= "ip:inacl#2=deny ip 10.10.10.10 0.0.255.255 any"
cisco-avpair= "mac:inacl#3=deny any any decnet-iv"
次の例は、この接続中にASCII形式の出力ACLをインターフェイスに適用する方法を示しています。
cisco-avpair= "ip:outacl#2=deny ip 10.10.10.10 0.0.255.255 any"
その他のベンダーにも、独自に一意のベンダーID、オプション、および対応するVSAが割り当てられます。ベンダーIDとVSAの詳細については、RFC 2138「Remote Authentication Dial-In User Service(RADIUS)」を参照してください。
VSAを認識して使用するようにスイッチを設定するには、イネーブルEXECモードで次の手順を実行します。
RADIUSアトリビュートの完全リスト、またはVSA 26の詳細については、『 Cisco IOS Security Configuration Guide for Cisco IOS 』 Release 12.2 の付録「RADIUS Attributes」を参照してください。
ベンダー独自のRADIUSサーバ通信用にスイッチを設定する方法
RADIUSに関するIETFドラフト規格では、スイッチとRADIUSサーバとの間のベンダー独自情報の通信方式を規定していますが、一部のベンダーは、独自の方法でRADIUSアトリビュートを機能拡張しています。Cisco IOSソフトウェアは、ベンダー独自仕様のRADIUSアトリビュートのサブセットをサポートします。
前述したように、RADIUS(ベンダー独自またはIETFのドラフト準拠)を設定するには、RADIUSサーバ デーモンが稼働しているホスト、およびスイッチと共有するシークレット テキスト ストリングを指定する必要があります。RADIUSホストおよびシークレット テキスト ストリングを指定するには、 radius-server グローバル コンフィギュレーション コマンドを使用します。
ベンダー独自のRADIUSサーバ ホスト、および共有シークレット テキスト ストリングを指定するには、イネーブルEXECモードで次の手順を実行します。
ベンダー独自のRADIUSホストを削除するには、 no radius-server host {hostname | ip-address} non-standard グローバル コンフィギュレーション コマンドを使用します。 鍵を削除するには、 no radius-server key グローバル コンフィギュレーション コマンドを使用します。
次に、ベンダー独自のRADIUSホストを指定して、スイッチとサーバの間で rad124 という秘密鍵を使用する例を示します。
Switch(config)# radius-server host 172.20.30.15 nonstandard
Switch(config)# radius-server key rad124
RADIUS設定の表示
RADIUS設定情報を表示するには、 show running-config イネーブルEXECコマンドを使用します。
Kerberosによるスイッチ アクセスの制御
ここでは、Kerberosセキュリティ システムをイネーブルにして設定する方法について説明します。Kerberosセキュリティ システムは、信頼できるサードパーティを使用してネットワーク リソースに対する要求を認証します。この機能を使用するには、スイッチに暗号化マルチレイヤ ソフトウェア イメージをインストールする必要があります。この機能を使用し、Cisco.comからこの暗号化ソフトウェア ファイルをダウンロードするには、許可を得る必要があります。詳細については、このリリースのリリース ノートを参照してください。
Kerberosの設定例については、『 Cisco IOS Security Configuration Guide 』Release 12.2の「Security Server Protocols」の章にある「Kerberos Configuration Examples」を参照してください。URLは次のとおりです。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/fsecur_c/fsecsp/
http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/fsecur_c/fsecsp/index.htm
Kerberosの概要
KerberosはMassachusetts Institute of Technology(MIT)が開発した秘密鍵によるネットワーク認証プロトコルです。Data Encryption Standard(DES)という暗号化アルゴリズムを暗号化と認証に使用し、ネットワーク リソースに対する要求を認証します。Kerberosは、信頼できるサードパーティという概念を使ってユーザとサービスに対してセキュリティの検証を実行します。この信頼できるサードパーティを Key Distribution Center (KDC;鍵発行局)と呼びます。
Kerberosは、ユーザが誰であるか、そのユーザが使用しているネットワーク サービスは何であるかを検証することを主な目的としています。これを実行するために、KDC(つまり信頼できるKerberosサーバ)がユーザにチケットを発行します。これらのチケットには有効期限があり、ユーザ証明書のキャッシュに保存されます。Kerberosサーバは、ユーザ名やパスワードの代わりにチケットを使ってユーザとネットワーク サービスを認証します。
Kerberosの証明書発行スキームでは、 single logon という手順を使用します。この手順では、ユーザを1回認証すると、ユーザ証明書が有効な間は(ほかのパスワードの暗号化を行わずに)セキュア認証が可能になります。
このソフトウェア リリースはKerberos 5に対応しています。Kerberos 5では、すでにKerberos 5を使用している組織が、(UNIXサーバやPCなどの)ほかのネットワーク ホストが使用しているKDC上のKerberos認証データベースを使用できます。
このソフトウェア リリースでは、Kerberosは次のネットワーク サービスをサポートしています。
表7-2 に、一般的なKerberos関連用語とその定義を示します。
|
ユーザやサービスがほかのサービスに対して自身の身元を証明する手順。たとえば、クライアントはスイッチに対して認証を得て、スイッチはほかのスイッチに対して認証を得ます。 |
|
|
ネットワークやスイッチにおいてユーザがどのような権限を所有していて、またどのような動作を実行できるかを、スイッチが決定する手段。 |
|
|
認証チケット(TGT 1 やサービス証明書など)を表す総称。Kerberos証明書で、ユーザまたはサービスのIDを検証します。ネットワーク サービスがチケットを発行したKerberosサーバを信頼することにした場合、ユーザ名やパスワードを再入力する代わりにこれを使用できます。証明書の有効期限は、8時間がデフォルトの設定です。 |
|
|
Kerberosプリンシパルの認証レベル ラベル。ほとんどのKerberosプリンシパルは、「
user@REALM
」という形式です(たとえば、smith@EXAMPLE.COM)。KerberosインスタンスのあるKerberosプリンシパルは、
|
|
|
KDC 2 |
|
|
Kerberosサーバに登録されたユーザ、ホスト、およびネットワーク サービスで構成されるドメイン。Kerberosサーバを信頼して、ユーザまたはネットワークサービスに対する別のユーザまたはネットワーク サービスのIDを検証します。
|
|
|
ネットワーク ホストで稼働しているデーモン。ユーザおよびネットワーク サービスはそれぞれKerberosサーバにIDを登録します。ネットワーク サービスはKerberosサーバにクエリを送信して、ほかのネットワーク サービスの認証を得ます。 |
|
|
KEYTAB 3 |
ネットワーク サービスがKDCと共有するパスワード。Kerberos 5以降のバージョンでは、ネットワーク サービスはKEYTABを使用して暗号化されたサービス証明書を暗号解除して認証します。Kerberos 5以前のバージョンでは、KEYTABはSRVTAB 4 と呼びます。 |
|
Kerberos IDとも呼ばれ、Kerberosサーバに基づき、ユーザが誰であるか、サービスが何であるかを表します。
|
|
|
ネットワーク サービスの証明書。KDCから証明書が発行されると、ネットワーク サービスとKDCが共有するパスワードで暗号化されます。ユーザTGTともパスワードを共有します。 |
|
|
ネットワーク サービスがKDCと共有するパスワード。Kerberos 5以降のバージョンでは、SRVTABはKEYTABと呼びます。 |
|
|
身分証明書のことで、KDCが認証済みユーザに発行する証明書。TGTを受け取ったユーザは、KDCが表したKerberosレルム内のネットワーク サービスに対して認証を得ることができます。 |
Kerberosの動作
ここでは、ネットワーク セキュリティ サーバとして設定されたスイッチでのKerberosの動作方法について説明します。Kerberosをカスタマイズする方法はいくつかありますが、ネットワーク サービスにアクセスしようとするリモート ユーザは、3つのセキュリティ レイヤを通過しないとネットワーク サービスにアクセスできません。
Kerberosサーバとしてのスイッチを使用してネットワーク サービスに対して認証を得る手順は、次のとおりです。
境界スイッチに対する認証の取得
ここでは、リモート ユーザが通過しなければならない最初のセキュリティ レイヤについて説明します。ユーザは、まず境界スイッチに対して認証を得なければなりません。リモート ユーザが境界スイッチに対して認証を得る際、次の処理が発生します。
- 1. ユーザが境界スイッチに対して、Kerberos未対応のTelnet接続を開始します。
- 2. ユーザ名とパスワードの入力を求めるプロンプトをスイッチが表示します。
- 3. スイッチが、このユーザのKDCからのTGTを要求します。
- 4. KDCがユーザIDを含む暗号化されたTGTをスイッチに送信します。
- 5. スイッチは、ユーザが入力したパスワードを使ってTGTの暗号解除を試行します。
- − 暗号解除に成功した場合、ユーザはスイッチに対して認証を得ます。
- − 暗号解除に失敗した場合、ユーザはユーザ名およびパスワード(Caps LockまたはNum Lockのオン/オフに注意)を再入力するか、または別のユーザ名およびパスワードを入力することで、ステップ2を繰り返します。
Kerberos未対応のTelnetセッションを開始し、境界スイッチの認証を得ているリモート ユーザはファイアウォールの内側にいますが、ネットワーク サービスにアクセスする前にKDCから直接認証を得る必要があります。ユーザがKDCから認証を得なければならないのは、KDCが発行するTGTはスイッチに保存されていて、ユーザがスイッチにログオンしないと追加の認証に使用できないからです。
KDCからのTGTの取得
ここでは、リモート ユーザが通過しなければならない2番めのセキュリティ レイヤについて説明します。ユーザは、ネットワーク サービスにアクセスするために、ここでKDCの認証を得てKDCからTGTを取得しなければなりません。
KDCに対して認証を得る方法については、『 Cisco IOS Security Configuration Guide 』Release 12.2の「Security Server Protocols」の章にある「Obtaining a TGT from a KDC」を参照してください。URLは次のとおりです。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/fsecur_c/fsecsp/scfkerb.htm#1000999 .
ネットワーク サービスに対する認証の取得
ここでは、リモート ユーザが通過しなければならない3番めのセキュリティ レイヤについて説明します。TGTを持つユーザは、ここでKerberosレルム内のネットワーク サービスに対して認証を得なければなりません。
ネットワーク サービスに対して認証を得る方法については、『 Cisco IOS Security Configuration Guide 』Release 12.2の「Security Server Protocols」の章にある「Authenticating to Network Services」を参照してください。URLは次のとおりです。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/fsecur_c/fsecsp/scfkerb.htm#1001010 .
Kerberosの設定
リモート ユーザがネットワーク サービスに対して認証を得られるように、Kerberosレルム内のホストとKDCを設定して、ユーザおよびネットワーク サービスと通信を行って相互に認証するようにしなければなりません。これを実行するために、互いを識別しなければなりません。KDC上のKerberosデータベースにホストのエントリを追加し、Kerberosレルム内のすべてのホストにKDCが生成したKEYTABファイルを追加します。また、KDCデータベースにユーザ用のエントリも作成します。
ホストおよびユーザのエントリを追加または作成する際の注意事項は次のとおりです。
- Kerberosプリンシパル名はすべて小文字で なければなりません 。
- Kerberosインスタンス名はすべて小文字で なければなりません 。
- Kerberosレルム名はすべて大文字で なければなりません 。
Kerberos認証済みサーバ クライアント システムを設定する手順は、次のとおりです。
設定手順については、『 Cisco IOS Security Configuration Guide 』Release 12.2の「Security Server Protocols」の章にある「Kerberos Configuration Task List」を参照してください。URLは次のとおりです。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/fsecur_c/fsecsp/scfkerb.htm#1001027
スイッチのローカル認証および許可の設定
ローカル モードでAAAを実装するようにスイッチを設定すると、サーバがなくてもAAAが動作するように設定できます。この場合、スイッチが認証および許可の処理を行います。この設定ではアカウンティング機能は利用できません。
スイッチをローカルAAA用に設定するには、イネーブルEXECモードで次の手順を実行します。
AAAをディセーブルにするには、 no aaa new-model グローバル コンフィギュレーション コマンドを使用します。許可をディセーブルにするには、 no aaa authorization { network | exec } method1 グローバル コンフィギュレーション コマンドを使用します。
SSHのためのスイッチの設定
ここでは、SSH機能を設定する方法について説明します。SSHは、制限をエクスポートする暗号化セキュリティ機能です。この機能を使用するには、暗号化されたIPサービス イメージ(以前はEnhanced Multilayer Software Image [EMI;拡張マルチレイヤ ソフトウェア イメージ])をスイッチにインストールする必要があります。この機能を使用し、Cisco.comからこの暗号化ソフトウェア ファイルをダウンロードするには、許可を得る必要があります。詳細については、このリリースのリリース ノートを参照してください。
SSHの設定例については、『 Cisco IOS Security Configuration Guide 』Release 12.2の「Configuring Secure Shell」の章にある「SSH Configuration Examples」を参照してください。URLは次のとおりです。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/fsecur_c/fothersf/scfssh.htm
http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/index.htm
SSHの概要
SSHはデバイスに対する安全なリモート接続を可能にするプロトコルです。SSHは、デバイスの認証時に強力な暗号化を行うことで、リモート接続についてTelnet以上のセキュリティを実現します。このソフトウェア リリースでは、SSHバージョン1(SSHv1)およびSSHバージョン2(SSHv2)をサポートしています。
SSHサーバ、Integrated Client、およびサポートされるバージョン
SSH機能には、スイッチで稼働するアプリケーションであるSSHサーバおよびSSH Integrated Clientがあります。SSHクライアントを使用して、SSHサーバを稼働しているスイッチに接続できます。SSHサーバは、このリリースでサポートされているSSHクライアントおよびシスコ製以外のSSHクライアントで機能します。SSHクライアントは、このリリースでサポートされているSSHサーバおよびシスコ製以外のSSHサーバでも機能します。
スイッチは、SSHv1またはSSHv2サーバをサポートします。
SSHは、Data Encryption Standard(DES;データ暗号化規格)という暗号化アルゴリズム、Triple DES(3DES)暗号化アルゴリズム、およびパスワードベースのユーザ認証をサポートします。
- TACACS+(詳細については、 TACACS+によるスイッチ アクセスの制御 を参照)
- RADIUS(詳細については、 RADIUSによるスイッチ アクセスの制御 を参照)
- ローカル認証および許可(詳細については、 スイッチのローカル認証および許可の設定 )を参照)
制限事項
- スイッチは、Rivest, Shamir, and Adelman(RSA)認証をサポートします。
- SSHがサポートするのは、シェルで実行するアプリケーションのみです。
- SSHサーバおよびSSHクライアントは、DES(56ビット)および3DES(168ビット)データ暗号化ソフトウェアでのみサポートされます。
- スイッチは、Advanced Encryption Standard(AES)対称暗号化アルゴリズムをサポートしません。
SSHの設定
- 設定時の注意事項
- SSHを稼働させるためのスイッチの設定 (必須)
- SSHサーバの設定 (SSHサーバとしてスイッチを設定する場合のみ、必須)
設定時の注意事項
スイッチをSSHサーバまたはSSHクライアントとして設定するときは、次の注意事項に従ってください。
- SSHv1サーバにより生成されたRSA鍵ペアは、SSHv2サーバによって使用できます。また、その逆も可能です。
- crypto key generate rsa グローバル コンフィギュレーション コマンドを入力したあとにCLIエラー メッセージを受信した場合、RSA鍵ペアは生成されません。ホスト名およびドメインを再設定してから、 crypto key generate rsa コマンドを入力します。詳細については、 SSHを稼働させるためのスイッチの設定 を参照してください。
- RSA鍵ペアを生成するとき、[No host name specified]というメッセージが表示される場合があります。このメッセージが表示された場合、 hostname グローバル コンフィギュレーション コマンドを使用してホスト名を設定する必要があります。
- RSA鍵ペアを生成するとき、[No domain specified]というメッセージが表示される場合があります。メッセージが表示された場合、 ip domain-name グローバル コンフィギュレーション コマンドを使用してIPドメイン名を設定する必要があります。
- ローカル認証および許可認証方式を設定するとき、コンソール上ではAAAがディセーブルであることを確認してください。
SSHを稼働させるためのスイッチの設定
SSHを稼働するようスイッチを設定するには、次の手順を実行します。
- 1. Cisco.comから暗号化ソフトウェア イメージをダウンロードします。このステップは必須です。詳細については、このリリースのリリース ノートを参照してください。
- 2. ホスト名およびIPドメイン名をスイッチに設定します。SSHサーバとしてスイッチを設定する場合のみ、この手順を実行します。
- 3. スイッチにRSA鍵ペアを生成します。このスイッチは自動的にSSHをイネーブルにします。SSHサーバとしてスイッチを設定する場合のみ、この手順を実行します。
- 4. ローカルまたはリモート アクセスへのユーザ認証を設定します。この手順は必須です。詳細については、 スイッチのローカル認証および許可の設定 を参照してください。
ホスト名およびIPドメイン名を設定し、RSA鍵ペアを生成するには、イネーブルEXECモードで次の手順を実行します。SSHサーバとしてスイッチを設定する場合のみ、この手順は必須です。
|
スイッチでのローカルおよびリモート認証のため、SSHサーバをイネーブルにし、RSA鍵ペアを生成します。 RSA鍵を生成すると、係数長を入力するよう指示されます。係数長が長いと安全性が高くなりますが、生成および使用する時間がより長くなります。 |
||
RSA鍵ペアを削除するには、 crypto key zeroize rsa グローバル コンフィギュレーション コマンドを使用します。RSA鍵ペアを削除したあと、SSHサーバは自動的にディセーブルになります。
SSHサーバの設定
SSHサーバを設定するには、イネーブルEXECモードで次の手順を実行します。
デフォルトSSH制御パラメータに戻すには、 no ip ssh { timeout | authentication-retries }グローバル コンフィギュレーション コマンドを使用します。
SSH設定およびステータスの表示
SSHサーバ設定およびステータスを表示するには、 表7-3 に示すイネーブルEXECコマンドの1つまたは複数を使用します。
これらのコマンドについては、『 Cisco IOS Security Command Reference 』 Release12.2 の「Other Security Features」の章にある「Secure Shell Commands」を参照してください。URLは次のとおりです。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/fsecur_r/fothercr/srfssh.htm
SSL HTTPのためのスイッチの設定
ここでは、HTTP1.1サーバおよびクライアント用のSecure Socket Layer(SSL)バージョン3.0サポートの設定方法について説明します。SSLは、サーバ認証、暗号化、およびメッセージ完全性、およびHTTPクライアント認証を提供し、安全なHTTP通信が可能になります。この機能を使用するには、スイッチに暗号化ソフトウェア イメージをインストールする必要があります。この機能を使用し、Cisco.comからこの暗号化ソフトウェア ファイルをダウンロードするには、許可を得る必要があります。暗号化イメージの詳細については、このリリースのリリース ノートを参照してください。
ここで説明する設定例と、コマンドの構文および使用方法の詳細については、Cisco IOS Release 12.2(15)Tの「HTTPS - HTTP Server and Client with SSL 3.0」の機能説明を参照してください。URLは次のとおりです。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122newft/122t/122t15/ftsslsht.htm
セキュアHTTPサーバおよびクライアントの概要
安全なHTTP接続では、HTTPサーバ間でやり取りされるデータはインターネット上に送られる前に暗号化されます。SSL暗号化を使用したHTTPでは安全な接続を提供していて、Webブラウザからそのような機能をスイッチに設定できます。シスコのセキュアHTTPサーバとセキュアHTTPクライアントの実装では、アプリケーション レイヤ暗号化を使用したSSLバージョン3.0の実装を使用します。HTTP over SSLはHTTPSと略されます。安全な接続のURLはhttp://ではなくhttps://から始まります。
HTTPセキュア サーバ(スイッチ)の主な役割は、指定ポート(デフォルトのHTTPSポートは443)でHTTPS要求を待ち受けて、要求をHTTP 1.1 Web サーバに渡すことです。HTTP 1.1サーバが要求を処理し、応答(ページ)をHTTPセキュア サーバに渡して、その結果、元の要求に応答することになります。
HTTPセキュア クライアント(Webブラウザ)の主な役割は、HTTPSユーザ エージェント サービスのCisco IOSアプリケーション要求に応答し、アプリケーションのHTTPSユーザ エージェント サービスを実行し、アプリケーションに応答を返すことです。
認証局トラストポイント
Certificate Authorities(CA;認証局)は、認証要求を管理し、参加しているネットワーク デバイスに証明書を発行します。これらのサービスは、参加するデバイスに中央集中型のセキュリティ鍵と証明書管理を提供します。特定のCAサーバを トラストポイント と呼びます。
接続試行が実行されると、HTTPSサーバが指定されたCAトラストポイントから取得した認証済みのX.509v3証明書をクライアントに発行することで、安全な接続が可能になります。その結果、クライアント(通常はWebブラウザ)が証明書を認証できる公開鍵を持つことができます。
安全なHTTP接続のために、CAトラストポイントを設定することを推奨します。CAトラストポイントがHTTPSサーバを稼働しているデバイスに設定されていない場合、サーバは自ら認証し必要なRSA鍵ペアを生成します。自己認証(自己署名)証明書ではセキュリティが十分ではないので、接続クライアントは、証明書が自己認証されたものであり、ユーザは接続を許可することも拒否することもできる旨の通知を生成します。このオプションは、内部ネットワーク トポロジー(テスト等)で便利です。
CAトラストポイントを設定しない場合、安全なHTTP接続をイネーブルにすると、セキュアHTTPサーバ(またはクライアント)に対して一時または持続自己署名証明書が自動的に生成されます。
- スイッチにホスト名やドメイン名が設定されていない場合、一時自己署名証明書が生成されます。スイッチを再起動すると、一時自己署名証明書は消失し、新しい一時自己署名証明書が割り当てられます。
- スイッチにホスト名やドメイン名が設定されている場合、持続自己署名証明書が生成されます。この証明書は、スイッチを再起動したりセキュアHTTPサーバをディセーブルにしてもアクティブのままなので、次のセキュアHTTP接続をイネーブルにした場合にも使用できます。
自己署名証明書が生成されたら、この情報は show running-config イネーブルEXECコマンドの出力に含まれます。これは、自己署名証明書を表示するコマンドからの出力例の一部です。
crypto pki trustpoint TP-self-signed-3080755072
subject-name cn=IOS-Self-Signed-Certificate-3080755072
rsakeypair TP-self-signed-3080755072
crypto ca certificate chain TP-self-signed-3080755072
3082029F 30820208 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
59312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 33303830 37353530 37323126 30240609 2A864886 F70D0109
02161743 45322D33 3535302D 31332E73 756D6D30 342D3335 3530301E 170D3933
30333031 30303030 35395A17 0D323030 31303130 30303030 305A3059 312F302D
この自己署名証明書は、セキュアHTTPサーバをディセーブルにして no crypto pki trustpoint TP-self-signed-30890755072 グローバル コンフィギュレーション コマンドを入力することで削除できます。その後セキュアHTTPサーバを再びイネーブルにする場合、新しい自己署名証明書が生成されます。
オプションのコマンド( ip http secure-client-auth )を使用して、HTTPSサーバがX.509v3証明書をクライアントから要求できます。クライアントの認証には、サーバ自身によるサーバ認証よりもセキュリティが確保されています。
認証局の詳細については、『 Cisco IOS Security Configuration Guide 』Release 12.2の「Configuring Certification Authority Interoperability」の章を参照してください。
CipherSuite
CipherSuiteは、SSL接続で使用するための暗号化アルゴリズムおよびダイジェスト アルゴリズムを指定します。HTTPSサーバに接続するときに、クライアントWebブラウザはサポート済みのCipherSuiteリストを提供し、クライアントとサーバはこのリストの中から両方でサポートされている最良の暗号化アルゴリズムをネゴシエーションし、使用します。たとえば、Netscape Communicator 4.76では、U.S. security with RSA Public Key Cryptography、MD2、MD5、RC2-CBC、RC4、DES-CBC、およびDES-EDE3-CBCをサポートしています。
可能なかぎり最善の暗号化方式を使用できるようにするためには、Microsoft Internet Explorerバージョン5.5以降またはNetscape Communicator version 4.76以降などの、128ビット暗号化方式を使用できるクライアント ブラウザを使用する必要があります。SSL_RSA_WITH_DES_CBC_SHA CipherSuiteは128ビット暗号化方式を使用しないため、他のCipherSuiteよりもセキュリティの点で劣ります。
CipherSuiteがより安全で複雑になるほど、処理時間が多少必要になります。このリストは、スイッチでサポートされるCipherSuiteを定義するもので、ルータ処理負荷(速度)の面で早さの順にランク分けされています。
- 1. メッセージ暗号化用にDES-CBCと、メッセージ ダイジェスト用にSHAを使用した、SSL_RSA_WITH_DES_CBC_SHA ― RSA鍵交換(RSA公開鍵暗号化方式)
- 2. RC4 128ビット暗号化方式を使用しメッセージ ダイジェスト用にMD5を使用したSSL_RSA_WITH_RC4_128_MD5 ― RSA鍵交換
- 3. RC4 128ビット暗号化方式を使用しメッセージ ダイジェスト用にSHAを使用したSSL_RSA_WITH_RC4_128_SHA ― RSA鍵交換
- 4. メッセージ暗号化用に3DESとDES-EDE3-CBC、メッセージ ダイジェスト用にSHAを使用した、SSL_RSA_WITH_DES_CBC_SHA ― RSA鍵交換(RSA公開鍵暗号化方式)
(指定された暗号化方式とダイジェスト アルゴリズムの組み合わせとともに)RSAは、双方のSSL接続の鍵生成および認証に使用されます。このRSAの使用状況は、CAトラストポイントが設定されているかどうかには関係ありません。
セキュアHTTPサーバおよびクライアントの設定
ここでは、HTTPサーバおよびクライアント上にSSLを設定する手順について説明します。その手順は次のとおりです。
SSLのデフォルト設定
SSL設定時の注意事項
SSLがスイッチ クラスタで使用される場合、SSLセッションがクラスタ コマンダで終了します。クラスタ メンバー スイッチで標準HTTPを実行する必要があります。
CAトラストポイントを設定する前に、システム クロックが設定されていることを確認します。クロックが設定されていない場合、日付が間違っているために証明書が拒否されます。
CAトラストポイントの設定
安全なHTTP接続のために、正式なCAトラストポイントを設定することを推奨します。CAトラストポイントは自己署名証明書より安全です。
CAトラストポイントを設定するには、イネーブルEXECモードで次の手順を行います。
CAに関連したすべてのID情報と証明書を削除するには、 no crypto ca trustpoint name グローバル コンフィギュレーション コマンドを使用します。
セキュアHTTPサーバの設定
認証用に認証局を使用している場合、HTTPサーバをイネーブルにする前に前述の手順を使用してスイッチにCAトラストポイントを設定します。CAトラストポイントを設定していない場合、セキュアHTTPサーバを最初にイネーブルにするときに自己署名証明書が生成されます。サーバの設定後、標準およびセキュアHTTPサーバの両方に適用されるオプション(パス、適用するアクセス リスト、最大接続数、タイムアウト ポリシー)を任意で設定できます。
セキュアHTTPサーバを設定するには、イネーブルEXECモードで次の手順を実行します。
標準HTTPサーバをディセーブルにするには、 no ip http server グローバル コンフィギュレーション コマンドを使用します。セキュアHTTPサーバをディセーブルにするには、 no ip http secure-server グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻るには、 no ip http secure-port および no ip http secure-ciphersuite グローバル コンフィギュレーション コマンドを使用します。クライアント認証の要件を削除するには、 no ip http secure-client-auth グローバル コンフィギュレーション コマンドを使用します。
Webブラウザを使用してセキュアHTTP接続を確認するには、https:// URL を入力します。ここでURLはサーバ スイッチのIPアドレスまたはホスト名です。デフォルト ポート以外のポートを設定している場合、URLの後ろにポート番号も入力する必要があります。次に例を示します。
セキュアHTTPクライアントの設定
標準HTTPクライアントおよびセキュアHTTPクライアントは常にイネーブルです。認証局はセキュアHTTPクライアントの証明書が必要です。この手順では、すでにCAトラストポイントをスイッチに設定しているものとみなしています。CAトラストポイントが未設定でリモートHTTPSサーバがクライアント認証を必要とする場合、セキュアHTTPクライアントへの接続が失敗します。
セキュアHTTPクライアントを設定するには、イネーブルEXECモードで次の手順を実行します。
クライアント トラストポイント設定を削除するには、 no ip http client secure-trustpoint name を使用します。すでに設定されているクライアントのCipherSuite仕様を削除するには、 no ip http client secure-ciphersuite を使用します。
セキュアHTTPサーバおよびクライアント ステータスの表示
SSLセキュア サーバおよびクライアントのステータスを表示するには、 表7-4 のイネーブルEXECコマンドを使用します。
SCPのためのスイッチの設定
Secure Copy Protocol(SCP)機能は、スイッチ コンフィギュレーション ファイルまたはスイッチ イメージ ファイルをコピーする安全な認証方法です。SCPはSSH(Berkeley r-toolの代わりにセキュリティの高い代替品を提供するアプリケーションおよびプロトコル)を利用します。
SSHを動作させるには、スイッチはRSA公開鍵と秘密鍵のペアが必要です。これはSCPも同様で、安全な転送のためにSSHを使用します。
SSHもAAA認証を利用し、さらにSCPもAAA認証を利用しているので、正しく設定する必要があります。
- SCPをイネーブルにする前に、スイッチにSSH、認証、許可を正しく設定する必要があります。
- SCPは安全な転送のためにSSHを使用するので、スイッチはRivest, Shamir, Adelman(RSA)鍵ペアを持つ必要があります。
SCPの設定および確認方法については、Cisco IOS Release 12.2の「Secure Copy Protocol」の章を参照してください。URLは次のとおりです。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122newft/122t/122t2/ftscp.htm
