リモート認証されたユーザ アカウントとは、LDAP、RADIUS、または TACACS+ を通じて認証されたユーザ アカウントのことです。リモート認証では、最大 16 の TACACS+ サーバー、16 の RADIUS サーバー、および 16
の LDAP プロバイダー(合計 48 のプロバイダー)が許可されます。
AAA は、コンピュータ リソースへのアクセスを制御し、ポリシーを使用し、使用率を評価することでサービス課金に必要な情報を提供する、一連のサービスです。これらの処理は、効果的なネットワーク管理およびセキュリティにとって重要です。
ユーザーがローカルユーザーアカウントとリモートユーザーアカウントを同時に保持する場合、ローカルユーザーアカウントで定義されたロールはリモートユーザーアカウントに保持された値を上書きします。
TACACS+ は、FXOS シャーシがリモート AAA サーバーに対して管理ユーザーを認証するために使用できる認証プロトコルです。これらの管理ユーザーは、SSH、HTTPS、Telnet、または HTTP を介して FXOS シャーシにアクセスできます。FXOS
シャーシにアクセスするときは、最大限のセキュリティのために SSH をお勧めします。多数の認証方法により、セキュリティが強化されています。
TACACS+ 認証(より一般的には AAA 認証)では、ネットワーク管理者ごとに個別のユーザーアカウントを使用できます。単一の共有パスワードに依存しない場合、ネットワークのセキュリティが向上し、責任が強化されます。
RADIUS は、TACACS+ と似た目的のプロトコルですが、ネットワーク経由で送信されるパスワードのみを暗号化します。一方、TACACS+ は、ユーザー名とパスワードの両方を含む TCP ペイロード全体を暗号化します。このため、AAA サーバーで
TACACS+ がサポートされている場合は、RADIUS ではなく TACACS+ を使用することをお勧めします。
LDAP は、Microsoft Active Directory などのディレクトリサービスにアクセスするためのクライアント サーバー プロトコルです。LDAP では、クライアントとサーバー間のセキュリティは必要ありません。ただし、SSL を使用することにより、LDAP
はクライアントとサーバー間のユーザーセッションを暗号化できます。これにより、ネットワーク経由で LDAP トランザクションにより転送されるすべての情報が安全に保たれます。このため、TLS よりも LDAP を使用することを強くお勧めします。
FXOS シャーシで RADIUS、TACAS+、および LDAP を設定する方法の詳細と詳細な手順については、『Cisco Firepower 4100/9300 FXOS CLI Configuration Guide』の「Platform
Settings」の章の「Configuring AAA」セクションを参照してください。