TACACS+ の設定
TACACS+ は、認証および認可プロセスについて詳細なアカウンティング情報と柔軟な管理コントロールを提供します。AAA によって TACACS+ は容易になります。
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「TACACS+ の設定に関する機能情報」 を参照してください。
プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。
TACACS+ の設定に関する前提条件
ネットワーク アクセス サーバに設定した TACACS+ 機能を使用可能にするには、TACACS+ サーバにアクセスして TACACS+ サーバを設定しておく必要があります。
TACACS+ の設定に関する制約事項
TACACS+ をイネーブルにするには、AAA コマンドを使用する必要があります。
TACACS+ の概要
TACACS+ は、ユーザによるルータまたはネットワーク アクセス サーバへのアクセス試行の集中的な確認を可能にするセキュリティ アプリケーションです。TACACS+ サービスは、通常 UNIX または Windows NT ワークステーション上で動作する TACACS+ デーモンのデータベースで管理されます。
TACACS+ は独立したモジュール型の認証、認可、およびアカウンティング機能を備えています。TACACS+ では、1 つのアクセス制御サーバ(TACACS+ デーモン)が認証、認可、およびアカウンティングの各サービスを個別に提供できます。各サービスをそれぞれ固有のデータベースに結合し、デーモンの機能に応じて、そのサーバまたはネットワーク上で使用できる他のサービスを利用できます。
TACACS+ の目標は、単一の管理サービスから、複数のネットワーク アクセス ポイントを管理する方法論を提供することです。アクセス サーバおよびルーティングのシスコ ファミリおよび(ルータとアクセス サーバ両方の)Cisco IOS ユーザ インターフェイスは、ネットワーク アクセス サーバにすることができます。
ネットワーク アクセス ポイントによって、従来の「低機能な」端末、端末エミュレータ、ワークステーション、パーソナル コンピュータ(PC)、およびルータと、適切なアダプタ(たとえば、モデムまたは ISDN アダプタ)を併用して、Point-to-Point Protocol(PPP)、Serial Line Internet Protocol(SLIP)、Compressed SLIP(CSLIP)、または AppleTalk Remote Access(ARA)プロトコルを使用する通信が可能になります。つまり、ネットワーク アクセス サーバは、単一のユーザ、ネットワークまたはサブネットワーク、および相互接続したネットワークに対して、接続を提供できます。ネットワーク アクセス サーバを介して接続されているエンティティは、 ネットワーク アクセス クライアント と呼ばれます。たとえば、音声グレードの回路で PPP を実行する PC は、ネットワーク アクセス クライアントです。AAA セキュリティ サービスを介して管理される TACACS+ は、次のサービスを提供できます。
• 認証:ログインとパスワードのダイアログ、チャレンジ/レスポンス、メッセージングのサポートを介して、認証を詳細に制御できます。
認証機能には、ユーザに任意のダイアログを実行する機能があります(たとえば、ログインとパスワードの指定後に、自宅住所、母親の旧姓、サービス タイプ、社会保険番号などの複数の質問をユーザに試行する機能)。さらに、TACACS+ 認証サービスは、ユーザ画面へのメッセージ送信をサポートします。たとえば、会社のパスワード有効期限ポリシーのために、パスワードを変更する必要があるというメッセージをユーザに通知できます。
• 認可:ユーザ セッションの期間に関するユーザ機能を詳細に制御できます。たとえば、autocommand の設定、アクセス コントロール、セッションの持続時間、プロトコルのサポートなどです。また、TACACS+ 認可機能を使用して、ユーザが実行できるコマンドを制限することもできます。
• アカウンティング:課金、監査、およびレポートに使用される情報を収集し、TACACS+ デーモンに送信します。ネットワーク マネージャは、アカウンティング機能を使用して、セキュリティ監査に関するユーザ アクティビティを追跡することや、ユーザの課金に関する情報を提供することができます。アカウンティング レコードには、ユーザ ID、開始時刻と終了時刻、実行されたコマンド(PPP など)、パケット数、およびバイト数が含まれます。
TACACS+ プロトコルは、ネットワーク アクセス サーバと TACACS+ デーモンの間に認証機能を提供します。また、ネットワーク アクセス サーバと TACACS+ デーモン間のすべてのプロトコル交換は暗号化されるため、機密性を確保できます。
TACACS+ デーモン ソフトウェアを実行するシステムで、ネットワーク アクセス サーバで TACACS+ 機能を使用する必要があります。
独自の TACACS+ ソフトウェアを開発することに関心があるユーザ向けに、シスコでは、TACACS+ プロトコル仕様をドラフトの RFC として使用できるようにしています。
TACACS+ の操作
ユーザが TACACS+ を使用してネットワーク アクセス サーバに対して認証を受けることで、単純な ASCII ログインを試行すると、一般的に、次のプロセスが発生します。
1. 接続が確立すると、ネットワーク アクセス サーバは TACACS+ デーモンに接続してユーザ名のプロンプトをを取得します。また、そのプロンプトはユーザに表示されます。ユーザがユーザ名を入力すると、ネットワーク アクセス サーバは TACACS+ デーモンに接続し、パスワード プロンプトを取得します。ネットワーク アクセス サーバはユーザに対してパスワード プロンプトを表示します。ユーザがパスワードを入力すると、パスワードは TACACS+ デーモンに送信されます。
(注) TACACS+ によって、デーモンとユーザとの間で対話できるようになり、デーモンはユーザの認証に必要な情報を取得できるようになります。通常、この処理は、ユーザ名とパスワードの組み合わせのプロンプトを表示することで完了しますが、TACACS+ デーモンの制御下で、母親の旧姓など、他のアイテムを含めることができます。
2. ネットワーク アクセス サーバは、最終的に TACACS+ デーモンから次のいずれかの応答を得ます。
a. ACCEPT:ユーザは認証され、サービスを開始できます。認可を必須にするようにネットワーク アクセス サーバが設定されている場合、この時点で認可が開始されます。
b. REJECT:ユーザは認証に失敗しました。ユーザは以降のアクセスを拒否される可能性があります。または、TACACS+ デーモンに応じてログイン シーケンスを再試行するようにプロンプトが表示されます。
c. ERROR:認証中のある時点でエラーが発生しました。エラーは、デーモン、またはデーモンとネットワーク アクセス サーバ間のネットワーク接続で発生する可能性があります。ERROR 応答を受信すると、通常、ネットワーク アクセス サーバはユーザを認証する代替方式を使用しようとします。
d. CONTINUE:追加の認証情報を入力するようにユーザにプロンプトを表示します。
3. PAP ログインは、ASCII ログインに似ていますが、ユーザによる入力ではなく、PAP プロトコル パケットでユーザ名とパスワードがネットワーク アクセス サーバに到達するため、ユーザにはプロンプトが表示されません。PPP CHAP ログインは、原則もにています。
ネットワーク アクセス サーバで認可をイネーブルにしている場合、認証の後に、ユーザは追加の認可段階を実行する必要があります。ユーザは TACACS+ 認証が正常に完了しないうちは、TACACS+ 許可に進めません。
4. TACACS+ の認可が必要な場合も、TACACS+ デーモンに接続します。また、TACACS+ デーモンは、ACCEPT または REJECT 認可応答を返します。ACCEPT 応答が返される場合、この応答には、そのユーザに関する EXEC または NETWORK セッションを指示するために使用されるアトリビュートの形式のデータが含まれます。これによって、ユーザがアクセスできるサービスを判断します。
次のようなサービスがあります。
a. Telnet、rlogin、PPP(ポイントツーポイント プロトコル)、Serial Line Internet Protocol(SLIP; シリアル ライン インターネット プロトコル)または、EXEC サービス
b. ホストまたはクライアントの IP アドレス、アクセス リスト、ユーザ タイムアウトなどの接続パラメータ
TACACS+ の AV ペア
ネットワーク アクセス サーバが TACACS+ 認可機能およびアカウンティング機能を実装するには、各ユーザ セッションで TACACS+ のアトリビュートと値(AV)ペアを送受信します。サポートされる TACACS+ の AV ペアのリストについては、付録の「TACACS+ Attribute-Value Pairs」を参照してください。
TACACS+ を設定する方法
TACACS+ をサポートするようにルータを設定するには、次のタスクを実行する必要があります。
• aaa new-model グローバル コンフィギュレーション コマンドを使用して、AAA をイネーブルにします。TACACS+ を使用する予定がある場合、AAA を設定する必要があります。
• aaa authentication グローバル コンフィギュレーション コマンドを使用して、認証に TACACS+ を使用する方式リストを定義します。詳細については、「 Configuring Authentication 」フィーチャ モジュールを参照してください。
• line および interface コマンドを使用して、定義済みの方式リストを多様なインターフェイスに適用します。詳細については、「 Configuring Authentication 」フィーチャ モジュールを参照してください。
• 必要に応じて、 aaa authorization グローバル コマンドを使用して、ネットワーク アクセス サーバの認可を設定します。回線またはインターフェイスごとに設定できる認証とは異なり、認可は、ネットワーク アクセス サーバ全体のグローバル設定です。詳細については、「 Configuring Authorization 」フィーチャ モジュールを参照してください。
• 必要に応じて、 aaa accounting コマンドを使用して TACACS+ 接続のアカウンティングをイネーブルにします。詳細については、「 Configuring Accounting 」フィーチャ モジュールを参照してください。
ここでは、TACACS+ を設定するタスクを実行します。
• 「TACACS+ サーバ ホストの指定」 (必須)
• 「TACACS+ 認証キーの設定」 (任意)
• 「AAA サーバ グループの設定」 (任意)
• 「DNIS に基づく AAA サーバ グループの選択の設定」 (任意)
• 「TACACS+ 認証の指定」 (必須)
• 「TACACS+ 認可の指定」 (任意)
• 「TACACS+ アカウンティングの指定」 (任意)
TACACS+ サーバ ホストの指定
tacacs-server host コマンドを使用すると、TACACS+ サーバを保守する 1 つまたは複数の IP ホストの名前を指定できます。TACACS+ ソフトウェアは、指定した順序でホストを検索するため、この機能は、希望のデーモン リストを設定する場合に役立ちます。
TACACS+ ホストを指定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
Router(config)# tacacs-server host hostname [ single-connection ] [ port integer ] [ timeout integer ] [ key string ] |
TACACS+ ホストを指定します。 |
tacacs-server host コマンドを使用すると、次のオプションも設定できます。
• single-connection キーワードを使用して、単一接続を指定できます(CiscoSecure Release 1.0.1 以降でのみ有効)。通信が必要になるたびに、ルータの接続を開き、TCP 接続を閉じるのではなく、single-connection オプションによって、ルータとデーモン間の単一のオープンな接続を保守します。この方法はデーモンが処理できる TACACS 操作数が多くなるため、効率的です。
(注) この処理を有効にするには、デーモンが single-connection モードをサポートする必要があります。サポートしていない場合、ネットワーク アクセス サーバとデーモン間の接続が動作しなくなるか、不要なエラーを受信します。
• port integer 引数を使用して、TACACS+ デーモンに接続するときに使用される TCP ポート番号を指定します。デフォルト ポート番号は 49 です。
• timeout integer 引数を使用して、ルータがタイムアウトしてエラー宣言するまで、デーモンからの応答を待つ期間(秒)を指定します。
(注) tacacs-server host コマンドによるタイムアウト値の指定は、このサーバに関する tacacs-server timeout コマンドで設定されたデフォルトのタイムアウト値よりも優先されます。
• key string 引数を指定して、ネットワーク アクセス サーバと TACACS+ デーモン間のすべてのトラフィックを暗号化および復号化するための暗号化キーを指定します。
(注) tacacs-server host コマンドによる暗号化キーの指定は、このサーバに関するグローバル コンフィギュレーションの tacacs-server key コマンドで設定されたデフォルト キーよりも優先されます。
tacacs-server host コマンドのパラメータの一部は、 tacacs-server timeout コマンドおよび tacacs-server key コマンドによるグローバル設定よりも優先されるため、このコマンドを使用して個別の TACACS+ 接続を一意に設定することで、ネットワークのセキュリティを強化できます。
TACACS+ 認証キーの設定
ネットワーク アクセス サーバと TACACS+ デーモンの間で交換されるすべてのデータを暗号化するために、グローバル TACACS+ 認証キーと暗号化キーを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
Router(config)# tacacs-server key key |
TACACS+ デーモンで使用する、一致する暗号化キーを設定します。 |
(注) 暗号化に成功するには、TACACS+ デーモンに同じキーを設定する必要があります。
AAA サーバ グループの設定
AAA サーバ グループを使用するようにルータを設定すると、既存のサーバ ホストをグループ化できます。これによって、設定したサーバ ホストのサブセットを選択し、それを特定のサービスに使用できます。サーバ グループは、グローバル サーバ ホスト リストと併せて使用されます。サーバ グループには、選択したサーバ ホストの IP アドレスが一覧表示されます。
サーバ グループには複数のホスト エントリを含めることができます。ただし、各エントリの IP アドレスが一意である必要があります。そのサーバ グループにある異なる 2 つのホスト エントリが 1 つのサービス(アカウンティングなど)に設定されている場合、設定されている 2 番めのホスト エントリは最初のホスト エントリのフェールオーバー バックアップとして動作します。この例の場合、最初のホスト エントリがアカウンティング サービスの提供に失敗すると、2 番めのホスト エントリを使用してアカウンティング サービスを提供するように、ネットワーク アクセス サーバが試行します(試行される TACACS+ ホスト エントリの順番は、設定されている順序に従います)。
サーバ グループ名を使用してサーバ ホストを定義するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。一覧のサーバは、グローバル コンフィギュレーション モードに存在します。
|
|
ステップ 1 |
Router(config)# tacacs-server host name [ single-connection ] [ port integer ] [ timeout integer ] [ key string ] |
サーバ ホストの IP アドレスを指定および定義してから、AAA サーバ グループを設定します。 tacacs-server host コマンドの詳細については、「TACACS+ サーバ ホストの指定」を参照してください。 |
ステップ 2 |
Router(config-if)# aaa group server { radius | tacacs+ } group-name |
グループ名を指定して AAA サーバ グループを定義します。グループのすべてのメンバは、タイプを同じにする必要があります。つまり、RADIUS または TACACS+ です。このコマンドでは、サーバ グループのサブコンフィギュレーション モードにルータを配置します。 |
ステップ 3 |
Router(config-sg)# server ip-address [ auth-port port-number ] [ acct-port port-number ] |
特定の TACACS+ サーバを定義済みのサーバ グループと関連付けます。 auth-port port-number オプションを使用して、認証専用の UDP ポートを設定します。 acct-port port-number オプションを使用して、アカウンティング専用の UDP ポートを設定します。 AAA サーバ グループの各 TACACS+ サーバについて、この手順を繰り返します。 コマンドを使用して事前に定義する必要があります。 |
DNIS に基づく AAA サーバ グループの選択の設定
Cisco IOS ソフトウェアを使用すると、セッションの Dialed Number Identification Service(DNIS)番号に基づき、特定の AAA サーバ グループに対してユーザを認証できます。すべての電話回線(通常の自宅電話または商用の T1/PRI 回線)を、複数の電話番号と関連付けることができます。DNIS 番号は、ユーザ宛てに発信された番号を示します。
たとえば、複数の顧客で同じ電話番号を共有する場合に、電話を受ける前に発信元を知りたいことがあります。DNIS を使用すると、応答するときに発信元の顧客がわかるため、電話に応答する方法をカスタマイズできます。
ISDN または内部モデムと接続する Cisco ルータは、DNIS 番号を受信できます。この機能を使用すると、顧客ごとに異なる TACACS+ サーバ グループを割り当て可能です(つまり、DNIS 番号ごとに異なる TACACS+ サーバ)。さらに、サーバ グループを使用して、複数の AAA サービスに同じサーバ グループを指定できます。また、各 AAA サービスに個別のサーバ グループを指定できます。
Cisco IOS ソフトウェアには、認証サービスとアカウンティング サービスを複数の方法で実装できる柔軟性があります。
• グローバル:AAA サービスは、グローバル コンフィギュレーション アクセス リスト コマンドを使用して定義され、特定のネットワーク アクセス サーバ上のすべてのインターフェイスに、全般的に適用されます。
• インターフェイス別:AAA サービスは、インターフェイス コンフィギュレーション コマンドを使用して定義され、特定のネットワーク アクセス サーバに設定されているインターフェイスにだけ適用されます。
• DNIS マッピング:DNIS を使用して、AAA サーバが AAA サービスを提供するように指定します。
複数の AAA コンフィギュレーション方式を同時に設定できるため、シスコでは、AAA サービスを提供するサーバまたはサーバ グループを決定するために、優先順位を設定しました。優先順位は次のとおりです。
• DNIS 別:DNIS を使用し、AAA サービスを提供するサーバ グループを指定するようにネットワーク アクセス サーバを設定している場合、この方式の方がその他の AAA 選択方式よりも優先されます。
• インターフェイス別:サーバから AAA サービスを提供する方法を決定するために、インターフェイス別にネットワーク アクセス サーバを設定してアクセス リストを使用する場合、この方式は、他のグローバル コンフィギュレーション AAA アクセス リストよりも優先されます。
• グローバル:セキュリティ サーバが AAA サービスを提供する方法を決定するために、グローバル AAA アクセス リストを使用してネットワーク アクセス サーバを設定する場合、この方式には最も低い優先度が使用されます。
(注) DNIS に基づいて AAA サーバ グループの選択を設定する前に、各 AAA サーバ グループに関連付けられたリモート セキュリティ サーバを設定する必要があります。詳細については、「TACACS+ サーバ ホストの指定」および「AAA サーバ グループの設定」を参照してください。
サーバ グループの DNIS に基づいて、特定の AAA サーバ グループを選択するようにルータを設定するには、DNIS マッピングを設定します。DNIS 番号を使用して、サーバ グループをグループ名とマッピングするには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
ステップ 1 |
Router(config) # aaa dnis map enable |
DNIS マッピングをイネーブルにします。 |
ステップ 2 |
Router(config)# aaa dnis map dnis-number authentication ppp group server-group-name |
DNIS 番号を定義済みの AAA サーバ グループにマッピングします。このサーバ グループのサーバは、認証に使用されます。 |
ステップ 3 |
Router(config)# aaa dnis map dnis-number accounting network [ none | start-stop | stop-only ] group server-group-name |
DNIS 番号を定義済みの AAA サーバ グループにマッピングします。このサーバ グループのサーバは、アカウンティングに使用されます。 |
TACACS+ 認証の指定
TACACS+ デーモンを指定し、関連する TACACS+ 暗号化キーを定義したら、TACACS+ 認証の方式リストを定義する必要があります。TACACS+ 認証は AAA を介して実行されるため、認証方式として TACACS+ を指定して、 aaa authentication コマンドを発行する必要があります。詳細については、「 Configuring Authentication 」フィーチャ モジュールを参照してください。
TACACS+ 認可の指定
AAA 認可を使用すると、ユーザのアクセスをそのネットワークに制限するパラメータを設定できます。TACACS+ を介する認可は、コマンド、ネットワーク接続、および EXEC セッションに適用できます。AAA によって TACACS+ 認可は容易になるため、認証方式として TACACS+ を指定して、 aaa authorization コマンドを発行する必要があります。詳細については、「 Configuring Authorization 」フィーチャ モジュールを参照してください。
TACACS+ アカウンティングの指定
AAA アカウンティングを使用すると、ユーザがアクセスしているサービスや、ユーザが消費しているネットワーク リソース量を追跡できます。AAA によって TACACS+ アカウンティングは容易になるため、アカウンティング方式として TACACS+ を指定して、 aaa accounting コマンドを発行する必要があります。詳細については、「 Configuring Accounting 」フィーチャ モジュールを参照してください。
TACACS+ の設定例
ここでは、TACACS+ 設定の例を紹介します。
• 「TACACS+ 認証の例」
• 「TACACS+ 認可の例」
• 「TACACS+ アカウンティングの例」
• 「TACACS+ サーバ グループの例」
• 「DNIS に基づく AAA サーバ グループの選択の設定例」
• 「TACACS+ デーモンの設定例」
TACACS+ 認証の例
次に、PPP 認証に使用するセキュリティ プロトコルとして TACACS+ を設定する例を示します。
aaa authentication ppp test group tacacs+ local
tacacs-server host 10.1.2.3
ppp authentication chap pap test
前述の設定例の回線は、次のように定義されます。
• aaa new-model コマンドは、AAA セキュリティ サービスをイネーブルにします。
• aaa authentication コマンドにより、PPP を実行するシリアル インターフェイスに使用する方式リスト「test」を定義します。キーワード group tacacs+ は、TACACS+ を介して認証を実行することを示します。認証中に TACACS+ から何らかのエラーが返される場合、キーワード local は、ネットワーク アクセス サーバ上のローカル データベースを使用して認証が試行されることを示します。
• tacacs-server host コマンドにより、TACACS+ デーモンが 10.1.2.3 という IP アドレスを持っていると指定します。 tacacs-server key コマンドにより、共有暗号化キーを「goaway」に定義します。
• interface コマンドで回線を選択します。 ppp authentication コマンドは、テスト方式リストをこの回線に適用します。
次に、PPP 認証のセキュリティ プロトコルとして TACACS+ を設定する例を示します。ただし、「test」方式リストの代わりに、「default」方式リストが使用されます。
aaa authentication ppp default if-needed group tacacs+ local
tacacs-server host 10.1.2.3
ppp authentication chap default
前述の設定例の回線は、次のように定義されます。
• aaa new-model コマンドは、AAA セキュリティ サービスをイネーブルにします。
• aaa authentication コマンドにより、PPP を実行するシリアル インターフェイスに使用する方式リスト「default」を定義します。キーワード default は、デフォルトですべてのインターフェイスに PPP 認証が適用されることを示します。 if-needed キーワードは、ユーザが ASCII ログイン手順を介してすでに認証済みの場合、PPP 認証は不要なので、スキップできることを示します。認証が必要な場合、キーワード group tacacs+ は、認証が TACACS+ を介して実行されることを示します。認証中に TACACS+ から何らかのエラーが返される場合、キーワード local は、ネットワーク アクセス サーバ上のローカル データベースを使用して認証が試行されることを示します。
• tacacs-server host コマンドにより、TACACS+ デーモンが 10.1.2.3 という IP アドレスを持っていると指定します。 tacacs-server key コマンドにより、共有暗号化キーを「goaway」に定義します。
• interface コマンドで回線を選択します。 ppp authentication コマンドは、デフォルト方式リストをこの回線に適用します。
次に、PAP に同じ認証アルゴリズムを作成し、「default」ではなく「MIS-access」の方式リストを呼び出す例を示します。
aaa authentication pap MIS-access if-needed group tacacs+ local
tacacs-server host 10.1.2.3
ppp authentication pap MIS-access
前述の設定例の回線は、次のように定義されます。
• aaa new-model コマンドは、AAA セキュリティ サービスをイネーブルにします。
• aaa authentication コマンドにより、PPP を実行するシリアル インターフェイスに使用する方式リスト「MIS-access」を定義します。方式リストの「MIS-access」は、PPP 認証がすべての委付に適用されることを示します。 if-needed キーワードは、ユーザが ASCII ログイン手順を介してすでに認証済みの場合、PPP 認証は不要なので、スキップできることを示します。認証が必要な場合、キーワード group tacacs+ は、認証が TACACS+ を介して実行されることを示します。認証中に TACACS+ から何らかのエラーが返される場合、キーワード local は、ネットワーク アクセス サーバ上のローカル データベースを使用して認証が試行されることを示します。
• tacacs-server host コマンドにより、TACACS+ デーモンが 10.1.2.3 という IP アドレスを持っていると指定します。 tacacs-server key コマンドにより、共有暗号化キーを「goaway」に定義します。
• interface コマンドで回線を選択します。 ppp authentication コマンドは、デフォルト方式リストをこの回線に適用します。
次に、IP アドレスが 10.2.3.4 の TACACS+ デーモンと「apple」の暗号化キーの設定を表示する例を示します。
aaa authentication login default group tacacs+ local
tacacs-server host 10.2.3.4
前述の設定例の回線は、次のように定義されます。
• aaa new-model コマンドは、AAA セキュリティ サービスをイネーブルにします。
• aaa authentication コマンドで、デフォルトの方式リストを定義します。すべてのインターフェイスでの着信 ASCII ログイン(デフォルト)では、認証に TACACS+ を使用します。応答する TACACS+ サーバがない場合、ネットワーク アクセス サーバは、認証用のローカル ユーザ名データベースに含まれる情報を使用します。
• tacacs-server host コマンドにより、TACACS+ デーモンが 10.2.3.4 という IP アドレスを持っていると指定します。 tacacs-server key コマンドにより、共有暗号化キーを「apple」に定義します。
TACACS+ 認可の例
次に、デフォルトの方式リストを使用して、PPP 認証用のセキュリティ プロトコルとして、TACACS+ を設定する例を示します。また、TACACS+ を介してネットワークの認可を設定する方法も示します。
aaa authentication ppp default if-needed group tacacs+ local
aaa authorization network default group tacacs+
tacacs-server host 10.1.2.3
ppp authentication chap default
前述の設定例の回線は、次のように定義されます。
• aaa new-model コマンドは、AAA セキュリティ サービスをイネーブルにします。
• aaa authentication コマンドにより、PPP を実行するシリアル インターフェイスに使用する方式リスト「default」を定義します。キーワード default は、デフォルトですべてのインターフェイスに PPP 認証が適用されることを示します。 if-needed キーワードは、ユーザが ASCII ログイン手順を介してすでに認証済みの場合、PPP 認証は不要なので、スキップできることを示します。認証が必要な場合、キーワード group tacacs+ は、認証が TACACS+ を介して実行されることを示します。認証中に TACACS+ から何らかのエラーが返される場合、キーワード local は、ネットワーク アクセス サーバ上のローカル データベースを使用して認証が試行されることを示します。
• aaa authorization コマンドにより、TACACS+ を介するネットワーク認可を設定します。認証リストとは異なり、この認可リストは、ネットワーク アクセス サーバに対するすべての着信ネットワーク接続に常に適用されます。
• tacacs-server host コマンドにより、TACACS+ デーモンが 10.1.2.3 という IP アドレスを持っていると指定します。 tacacs-server key コマンドにより、共有暗号化キーを「goaway」に定義します。
• interface コマンドで回線を選択します。 ppp authentication コマンドは、デフォルト方式リストをこの回線に適用します。
TACACS+ アカウンティングの例
次に、デフォルトの方式リストを使用して、PPP 認証用のセキュリティ プロトコルとして、TACACS+ を設定する例を示します。また、TACACS+ を介してアカウンティングを設定する方法も示します。
aaa authentication ppp default if-needed group tacacs+ local
aaa accounting network default stop-only group tacacs+
tacacs-server host 10.1.2.3
ppp authentication chap default
前述の設定例の回線は、次のように定義されます。
• aaa new-model コマンドは、AAA セキュリティ サービスをイネーブルにします。
• aaa authentication コマンドにより、PPP を実行するシリアル インターフェイスに使用する方式リスト「default」を定義します。キーワード default は、デフォルトですべてのインターフェイスに PPP 認証が適用されることを示します。 if-needed キーワードは、ユーザが ASCII ログイン手順を介してすでに認証済みの場合、PPP 認証は不要なので、スキップできることを示します。認証が必要な場合、キーワード group tacacs+ は、認証が TACACS+ を介して実行されることを示します。認証中に TACACS+ から何らかのエラーが返される場合、キーワード local は、ネットワーク アクセス サーバ上のローカル データベースを使用して認証が試行されることを示します。
• aaa accounting コマンドにより、TACACS+ を介するネットワーク アカウンティングを設定します。この例では、ネットワーク接続が終了するたびに、終了したセッションについて説明するアカウンティング レコードが、TACACS+ デーモンに送信されます。
• tacacs-server host コマンドにより、TACACS+ デーモンが 10.1.2.3 という IP アドレスを持っていると指定します。 tacacs-server key コマンドにより、共有暗号化キーを「goaway」に定義します。
• interface コマンドで回線を選択します。 ppp authentication コマンドは、デフォルト方式リストをこの回線に適用します。
TACACS+ サーバ グループの例
次に、3 つの異なる TACACS+ サーバ メンバを使用してサーバ グループを作成する例を示します。
aaa group server tacacs tacgroup1
DNIS に基づく AAA サーバ グループの選択の設定例
次に、特定の AAA サービスを提供するために、DNIS に基づいて TACACS+ サーバ グループを選択する例を示します。
! This command enables AAA.
! The following set of commands configures the TACACS+ servers that will be associated
! with one of the defined server groups.
tacacs-server host 172.16.0.1
tacacs-server host 172.17.0.1
tacacs-server host 172.18.0.1
tacacs-server host 172.19.0.1
tacacs-server host 172.20.0.1
tacacs-server key abcdefg
! The following commands define the sg1 TACACS+ server group and associate servers
aaa group server tacacs sg1
! The following commands define the sg2 TACACS+ server group and associate a server
aaa group server tacacs sg2
! The following commands define the sg3 TACACS+ server group and associate a server
aaa group server tacacs sg3
! The following commands define the default-group TACACS+ server group and associate
aaa group server tacacs default-group
! The next set of commands configures default-group tacacs server group parameters.
aaa authentication ppp default group default-group
aaa accounting network default start-stop group default-group
! The next set of commands enables DNIS mapping and maps DNIS numbers to the defined
! RADIUS server groups. In this configuration, all PPP connection requests using DNIS
! 7777 are sent to the sg1 server group. The accounting records for these connections
! (specifically, start-stop records) are handled by the sg2 server group. Calls with a
! DNIS of 8888 use server group sg3 for authentication and server group default-group
! for accounting. Calls with a DNIS of 9999 use server group default-group for
! authentication and server group sg3 for accounting records (stop records only). All
! other calls with DNIS other than the ones defined use the server group default-group
! for both authentication and stop-start accounting records.
aaa dnis map 7777 authentication ppp group sg1
aaa dnis map 7777 accounting network start-stop group sg2
aaa dnis map 8888 authentication ppp group sg3
aaa dnis map 9999 accounting network stop-only group sg3
TACACS+ デーモンの設定例
次に、TACACS+ デーモンの設定例を示します。実際に TACACS+ デーモンで使用する正確な構文は、この例の構文と異なる可能性があります。
chap = cleartext ”some chap password”
service = ppp protocol = ip {
inacl#1=”permit ip any any precedence immediate”
inacl#2=”deny igrp 0.0.1.2 255.255.0.0 any”
その他の参考資料
ここでは、TACACS+ の設定機能に関する関連資料について説明します。
規格
|
|
この機能がサポートする新しい規格または変更された規格はありません。また、この機能による既存規格のサポートに変更はありません。 |
-- |
MIB
|
|
この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。 |
選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。 http://www.cisco.com/go/mibs |
RFC
|
|
この機能によってサポートされる新しい RFC や変更された RFC はありません。 |
-- |
シスコのテクニカル サポート
|
|
右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。 以下を含むさまざまな作業にこの Web サイトが役立ちます。 ・テクニカル サポートを受ける ・ソフトウェアをダウンロードする ・セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける ・ツールおよびリソースへアクセスする - Product Alert の受信登録 - Field Notice の受信登録 - Bug Toolkit を使用した既知の問題の検索 ・Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する ・トレーニング リソースへアクセスする ・TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。 |
http://www.cisco.com/techsupport |
TACACS+ の設定に関する機能情報
表 1 に、この機能のリリース履歴を示します。
ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。
Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートする Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。
(注) 表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。
表 1 TACACS+ の設定に関する機能情報
|
|
|
TACACS+ の設定 |
10.0 |
Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at www.cisco.com/go/trademarks . Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R)
このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワーク トポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。
© 1996-2009 Cisco Systems, Inc.
All rights reserved.
Copyright © 1996-2011, シスコシステムズ合同会社.
All rights reserved.