認証、許可、アカウンティング（AAA）機能では、Cisco Nexus デバイスを管理するユーザーの ID 確認、アクセス権付与、およびアクション追跡を実行できます。Cisco Nexus デバイスは、Remote Access Dial-In User Service（RADIUS）プロトコルまたは Terminal Access Controller Access Control device Plus（TACACS+）プロトコルをサポートします。

ユーザーが入力したユーザー ID とパスワードに基づいて、スイッチは、ローカル データベースを使用してローカル認証/ローカル許可を実行するか、1 つまたは複数の AAA サーバーを使用してリモート認証/リモート許可を実行します。スイッチと AAA サーバー間の通信は、事前共有秘密キーによって保護されます。すべての AAA サーバ用または特定の AAA サーバ専用に共通秘密キーを設定できます。

AAA セキュリティは、次のサービスを実行します。

• 認証：ユーザーを識別します。選択したセキュリティ プロトコルに応じて、ログインとパスワードのダイアログ、チャレンジ/レスポンス、メッセージング サポート、暗号化などが行われます。

• 許可：アクセス コントロールを実行します。

  Cisco Nexus デバイスにアクセスする許可は、AAA サーバーからダウンロードされる属性によって提供されます。RADIUS や TACACS+ などのリモート セキュリティ サーバーは、適切なユーザーで該当する権利を定義した属性値（AV）のペアをアソシエートすることによって、ユーザーに特定の権限を付与します。

• アカウンティング：課金、監査、レポートのための情報収集、ローカルでの情報のロギング、および AAA サーバーへの情報の送信の方式を提供します。

Note	Cisco NX-OS ソフトウェアは、認証、許可、アカウンティングをそれぞれ個別にサポートします。たとえば、アカウンティングは設定せずに、認証と許可を設定したりできます。

AAA は、次のような利点を提供します。

• アクセス設定の柔軟性と制御性の向上

• 拡張性

• 標準化された認証方式（RADIUS、TACACS+ など）

• 複数のバックアップ デバイス

RADIUS プロトコルおよび TACACS+ プロトコルを介して提供されるリモート AAA サービスには、ローカル AAA サービスと比べて次のような利点があります。

• ファブリック内の各スイッチに関するユーザー パスワード リストを簡単に管理できます。

• AAA サーバーはすでに企業内に幅広く導入されており、簡単に AAA サービスに使用できます。

• ファブリック内のすべてのスイッチのアカウンティング ログを集中管理できます。

• スイッチ上のローカル データベースを使用する方法に比べて、ファブリック内の各スイッチのユーザー属性は管理が簡単です。

認証、許可、アカウンティングのためのリモート AAA サーバは、サーバ グループを使用して指定できます。サーバー グループとは、同じ AAA プロトコルを実装した一連のリモート AAA サーバーです。リモート AAA サーバーが応答しなかった場合、サーバー グループは、フェールオーバー サーバーを提供します。グループ内の最初のリモート サーバーが応答しなかった場合、いずれかのサーバーが応答を送信するまで、グループ内の次のリモート サーバーで試行が行われます。サーバー グループ内のすべての AAA サーバーが応答しなかった場合、そのサーバー グループ オプションには障害が発生しているものと見なされます。必要に応じて、複数のサーバー グループを指定できます。スイッチが最初のグループ内のサーバーからエラーを受信すると、次のサーバー グループのサーバーが試行されます。

Cisco Nexus デバイスでは、次のサービスに個別の AAA 設定を使用できます。

• User Telnet または Secure Shell（SSH）ログイン認証

• コンソール ログイン認証

• ユーザー管理セッション アカウンティング

次の表に、AAA サービス設定オプションの CLI コマンドを示します。

AAA サービスには、次の認証方式を指定できます。

• RADIUS サーバー グループ：RADIUS サーバーのグローバル プールを認証に使用します。

• 特定のサーバー グループ：指定した RADIUS または TACACS+ サーバー グループを認証に使用します。

• ローカル：ユーザー名またはパスワードのローカル データベースを認証に使用します。

• なし：ユーザー名だけを使用します。

Note	方式がすべて RADIUS サーバーになっており、特定のサーバー グループが指定されていない場合、Cisco Nexus デバイスは、設定されている RADIUS サーバーのグローバル プールから、設定された順序で RADIUS サーバーを選択します。このグローバル プールからのサーバーは、Cisco Nexus デバイス上の RADIUS サーバー グループ内で選択的に設定できるサーバーです。

次の表に、AAA サービスに対して設定できる AAA 認証方式を示します。

Note	コンソール ログイン認証、ユーザー ログイン認証、およびユーザー管理セッション アカウンティングでは、Cisco Nexus デバイスは、各オプションを指定された順序で試行します。その他の設定済みオプションが失敗した場合、ローカル オプションがデフォルト方式です。

ユーザー ログインの認証および許可プロセスは、次のように実行されます。

• 目的のCisco Nexus デバイスにログインする際、Telnet、SSH、Fabric Manager または Device Manager、コンソール ログインのいずれかのオプションを使用できます。

• サーバー グループ認証方式を使用して AAA サーバー グループが設定してある場合は、Cisco Nexus デバイスが、グループ内の最初の AAA サーバーに認証要求を送信し、次のように処理されます。

  その AAA サーバーが応答しなかった場合、リモートのいずれかの AAA サーバーが認証要求に応答するまで、試行が継続されます。

  サーバー グループのすべての AAA サーバーが応答しなかった場合、その次のサーバー グループのサーバーが試行されます。

  設定されているすべての認証方式が失敗した場合、ローカル データベースを使用して認証が実行されます。

• Cisco Nexus デバイスがリモート AAA サーバーで正常に認証できた場合は、次の条件が適用されます。

  AAA サーバー プロトコルが RADIUS の場合、cisco-av-pair 属性で指定されているユーザー ロールが認証応答とともにダウンロードされます。

  AAA サーバー プロトコルが TACACS+ の場合、シェルのカスタム属性として指定されているユーザー ロールを取得するために、もう 1 つの要求が同じサーバーに送信されます。

• ユーザー名とパスワードがローカルで正常に認証された場合は、Cisco Nexus デバイスにログインでき、ローカル データベース内で設定されているロールが割り当てられます。

次の図に、認証および許可プロセスのフロー チャートを示します。

この図に示されている「残りのサーバーなし」とは、現在のサーバー グループ内のいずれのサーバーからも応答がないということです。

リモート AAA サーバには、次の前提条件があります。

• 少なくとも 1 台の RADIUS サーバーまたは TACACS+ サーバーが、IP で到達可能であること。

• Cisco Nexus デバイスが AAA サーバーのクライアントとして設定されている。

• 事前に共有された秘密キーがCisco Nexus デバイス上およびリモート AAA サーバー上で設定されている。

• リモート サーバーが Cisco Nexus デバイスからの AAA 要求に応答する。

そのユーザー名が TACACS+ または RADIUS で作成されたのか、ローカルで作成されたのかに関係なく、Cisco Nexus デバイスでは、すべて数値のユーザー名はサポートされません。AAA サーバーに数字だけのユーザー名が存在し、ログイン時にその名前を入力した場合でも、ユーザーは Cisco Nexus デバイスにログインを許可されます。

注意	すべて数字のユーザー名でユーザー アカウントを作成しないでください。

Cisco NX-OS リリース 10.4(3)F 以降、TACACS+ サーバーを使用した X.509 証明書の SSH ベースの認証が、Cisco Nexus 3548 シリーズ プラットフォーム スイッチでサポートされます。この機能は、 aaa authorization ssh-certificate default group tac-group-name コマンドを使用して有効にできます。詳細については、「TACACS サーバでの AAA SSH 証明書認証の構成」を参照してください。

ベンダー固有属性（VSA）を使用して、AAA サーバー上でのCisco Nexus デバイスのユーザー ロールおよび SNMPv3 パラメータを指定できます。

インターネット技術特別調査委員会（IETF）が、ネットワーク アクセス サーバと RADIUS サーバの間での VSA の通信のための方式を規定する標準を作成しています。IETF は属性 26 を使用します。ベンダーは VSA を使用して、一般的な用途には適さない独自の拡張属性をサポートできます。シスコの RADIUS 実装は、この仕様で推奨される形式を使用して、1 つのベンダー固有オプションをサポートしています。シスコのベンダー ID は 9、サポートされるオプションのベンダー タイプは 1（名前付き cisco-av-pair）です。値は次の形式のストリングです。

protocol : attribute seperator value *

プロトコルは、特定のタイプの許可用のシスコ属性です。必須属性の区切り文字は等号（=）で、アスタリスク（*）は任意属性を示します。

Cisco Nexus デバイスでの認証に RADIUS サーバーを使用する場合は、認証結果とともに許可情報などのユーザー属性を返すよう、RADIUS プロトコルが RADIUS サーバーに指示します。この許可情報は、VSA で指定されます。

次の VSA プロトコル オプションが、Cisco Nexus デバイスでサポートされています。

• Shell：ユーザー プロファイル情報を提供する access-accept パケットで使用されます。

• Accounting：accounting-request パケットで使用されます。値にスペースが含まれている場合は、二重引用符で囲んでください。

次の属性がCisco Nexus デバイスでサポートされています。

• roles：ユーザーに割り当てるすべてのロールをリストします。値フィールドは、グループ名を空白で区切ったリストの入ったストリングです。

• accountinginfo：標準の RADIUS アカウンティング プロトコルで処理される属性に加えて、追加のアカウンティング情報が格納されます。この属性が送信されるのは、スイッチ上の RADIUS クライアントからの Account-Request フレームの VSA 部分内だけです。この属性は、アカウンティング プロトコル関連の PDU でしか使用できません。

AAA サーバーで VSA cisco-av-pair を使用して、次の形式で、Cisco Nexus デバイスのユーザー ロール マッピングを指定できます。

shell:roles="roleA roleB …"

cisco-av-pair 属性にロール オプションを指定しなかった場合のデフォルトのユーザー ロールは、network-operator です。

Note	Cisco Unified Wireless Network TACACS+ 設定と、ユーザー ロールの変更については、『Cisco Unified Wireless Network TACACS+ Configuration』を参照してください。

次のように SNMPv3 認証とプライバシー プロトコル属性を指定することもできます。

shell:roles="roleA roleB..." snmpv3:auth=SHA priv=AES-128 

SNMPv3 認証プロトコルに指定できるオプションは、SHA と MD5 です。プライバシー プロトコルに指定できるオプションは、AES-128 と DES です。cisco-av-pair 属性にこれらのオプションを指定しなかった場合のデフォルトの認証プロトコルは、MD5 と DES です。

追加情報については、Cisco Nexus デバイスの『System Management Configuration Guide』の「Configuring User Accounts and RBAC」の章を参照してください。

次に、AAA を設定する例を示します。

 switch(config)# aaa authentication login default group radius

 switch(config)# aaa authentication login console group radius

 switch(config)# aaa accounting default group radius

次の表に、AAA パラメータのデフォルト設定を示します。