The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。 あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
RADIUS 分散型クライアント/サーバ システムを使用すると、不正アクセスからネットワークを保護することができます。シスコの実装では、RADIUS クライアントは Cisco NX-OS デバイス上で稼動します。認証要求とアカウンティング要求は、すべてのユーザ認証情報とネットワーク サービス アクセス情報が格納されている中央の RADIUS サーバに送信されます。
RADIUS は、リモート ユーザのネットワーク アクセスを維持すると同時に高度なレベルのセキュリティを必要とするさまざまなネットワーク環境に実装できます。
RADIUS は、アクセスのセキュリティが必要な次のネットワーク環境で使用できます。
• 複数ベンダーのネットワーク デバイスで構成され、それぞれが RADIUS をサポートしているネットワーク。たとえば、複数ベンダーのネットワーク デバイスが 1 つの RADIUS サーバベースのセキュリティ データベースを使用できます。
• すでに RADIUS を使用しているネットワーク。RADIUS 機能を持つ Cisco NX-OS デバイスをネットワークに追加できます。これが AAA サーバへ移行する最初のステップにもなります。
• リソースのアカウンティングが必要なネットワーク。RADIUS アカウンティングは、RADIUS 認証や認可と無関係に使用できます。RADIUS アカウンティング機能を使用すると、サービスの開始と終了の時点にデータを送信し、そのセッション中に使用されたリソース(時間、パケット、バイトなど)の量を示すことができます。Internet Service Provider(ISP; インターネット サービス プロバイダー)は、特殊なセキュリティおよび課金のニーズを満たすために、RADIUS アクセス制御およびアカウンティング ソフトウェアのフリーウェア バージョンを使用する場合もあります。
• 認証プロファイルをサポートするネットワーク。ネットワークに RADIUS サーバを導入すると、AAA 認証を設定しユーザ単位のプロファイルをセットアップできます。ユーザ単位のプロファイルにより、既存の RADIUS ソリューションを使用するポートの管理性が向上し、共有リソースを効率的に管理して、各種のサービスレベル契約を提供できるようになります。
RADIUS を使用する NX-OS デバイスにユーザがログインおよび認証を試みると、次の処理が行われます。
1. プロンプトが表示され、ユーザはユーザ名とパスワードを入力します。
2. ユーザ名と暗号化されたパスワードがネットワーク経由で RADIUS サーバに送信されます。
3. ユーザは、RADIUS サーバから次のいずれかの応答を受信します。
– REJECT:ユーザは認証されず、ユーザ名とパスワードの再入力を要求されるか、またはアクセスが拒否されます。
– CHALLENGE:RADIUS サーバによりチャレンジが送信されます。チャレンジによってユーザから追加データが収集されます。
– CHANGE PASSWORD:RADIUS サーバからユーザに対して、新しいパスワードの選択を求める要求が送信されます。
ACCEPT または REJECT 応答には、EXEC またはネットワーク許可に使用される追加データが含まれています。RADIUS 許可を使用するには、まず RADIUS 認証を完了する必要があります。ACCEPT または REJECT パケットに含まれる追加データには、次のものがあります。
• Telnet、rlogin、または Local-Area Transport(LAT; ローカルエリア トランスポート)接続、および Point-to-Point Protocol(PPP; ポイントツーポイント プロトコル)、Serial Line Internet Protocol(SLIP; シリアル ライン インターネット プロトコル)、または EXEC サービスといった、ユーザがアクセスできるサービス
応答しない RADIUS サーバがあると、AAA 要求の処理が遅れることがあります。AAA 要求の処理時間を短縮するために、RADIUS サーバを定期的にモニタして RADIUS サーバが応答している(アライブ)かどうかを調べることができます。応答しない RADIUS サーバはデッド(dead)としてマークされ、AAA 要求は送信されません。デッド RADIUS サーバは定期的にモニタされ、応答があればアライブ状態に戻されます。このモニタリング プロセスにより、RADIUS サーバが稼動状態であることを確認してから、実際の AAA 要求が送信されます。RADIUS サーバがデッドまたはアライブの状態に変わると Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)トラップが生成され、障害が発生していることを示すエラー メッセージが表示されます。図 5-1 を参照してください。
(注) アライブ サーバとデッド サーバのモニタリング間隔は異なります。これらは、ユーザが設定できます。RADIUS サーバ モニタリングは、テスト認証要求を RADIUS サーバに送信して行われます。
Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)ドラフト標準には、ネットワーク アクセス サーバと RADIUS サーバの間で Vendor-Specific Attribute(VSA; ベンダー固有属性)を伝達する方法が規定されています。IETF はアトリビュート 26 を使用しています。VSA を使用すると、ベンダーは一般的な用途に適さない独自の拡張アトリビュートをサポートできます。シスコの RADIUS 実装では、IETF 仕様で推奨される形式を使用したベンダー固有オプションを 1 つサポートしています。シスコのベンダー ID は 9 で、サポートするオプションはベンダー タイプ 1、名前は cisco-av-pair です。値は、次の形式のストリングです。
protocol は、特定の許可タイプを表すシスコのアトリビュートです。separator は、必須アトリビュートの場合は =(等号)、任意のアトリビュートの場合は *
(アスタリスク)です。
認証に RADIUS サーバを使用した場合、RADIUS プロトコルでは RADIUS サーバに対して、認証結果とともに権限付与情報などのユーザ アトリビュートを返すように指示します。この権限付与情報は、VSA を通じて指定されます。
次に、サポートされる VSA プロトコル オプションを示します。
• shell:ユーザ プロファイル情報を提供する access-accept パケットで使用されるプロトコル。
• Accounting:accounting-request パケットで使用されるプロトコル。値にスペースが含まれる場合は、二重引用符で囲む必要があります。
• roles:ユーザが属しているすべてのロールをリストします。値フィールドは、ロール名をスペースで区切ったストリングです。たとえば、ユーザが属しているロールが network-operator と vdc-admin ならば、値フィールドは「network-operator vdc-admin」となります。このアトリビュートは、RADIUS サーバから送信される Access-Accept フレームの VSA 部分に格納されます。このアトリビュートはシェル プロトコル値とだけ併用できます。次に、Cisco ACS でサポートされるロール アトリビュートの例を示します。
shell:roles=“network-operator vdc-admin”
shell:roles*“network-operator vdc-admin”
次に、FreeRADIUS でサポートされるロール アトリビュートの例を示します。
Cisco-AVPair = ”shell:roles=¥“network-operator vdc-admin¥””
Cisco-AVPair = “shell:roles*¥“network-operator vdc-admin¥””
(注) VSA を shell:roles*"network-operator vdc-admin" または "shell:roles*¥
"network-operator vdc-admin¥
"" として指定した場合、この VSA はオプション アトリビュートとしてフラグ設定され、他のシスコ デバイスはこのアトリビュートを無視します。
• accountinginfo:標準の RADIUS アカウンティング プロトコルに含まれるアトリビュートとともにアカウンティング情報を格納します。このアトリビュートは、スイッチ上の RADIUS クライアントから、Account-Request フレームの VSA 部分にだけ格納されて送信されます。このアトリビュートはアカウンティングの Protocol Data Unit(PDU; プロトコル データ ユニット)とだけ併用できます。
• RADIUS サーバの IP アドレスまたはホスト名がわかっていること。
表 5-1 に、RADIUS のデフォルト設定を示します。
|
|
---|---|
• 「すべての RADIUS サーバのグローバル タイムアウトの設定」
• 「すべての RADIUS サーバのグローバル リトライ回数の設定」
• 「RADIUS サーバまたはサーバ グループの手動でのモニタリング」
(注) この機能に対応する Cisco NX-OS コマンドは、Cisco IOS で使用されているコマンドと異なる場合があるので注意してください。
|
|
|
---|---|---|
すべての RADIUS サーバが Cisco Nexus 1000V での認証に使用するキーを設定するには、次の手順を実行します。
|
|
|
---|---|---|
すべての RADIUS サーバの事前共有鍵を指定します。クリア テキスト( 0 )または暗号化( 7 )の事前共有鍵を指定します。デフォルト形式はクリア テキストです。最大長は 63 文字です。 |
||
コマンドを使用します。 | ||
2. radius-server host { ipv4-address | host-name } key key-value
|
|
|
---|---|---|
radius-server host { ipv4-address | host-name } key [ 0 | 7 ] key-value |
特定の RADIUS サーバの事前共有鍵を指定します。クリア テキスト( 0 )または暗号化( 7 )の事前共有鍵を指定します。デフォルト形式はクリア テキストです。最大長は 63 文字です。 |
|
コマンドを使用します。 | ||
この手順を開始する前に、次のことを確認または実行する必要があります。
2. aaa group server radius group-name
3. server { ipv4-address | server-name }
|
|
|
---|---|---|
aaa group server radius group-name |
RADIUS サーバ グループを作成し、そのグループの RADIUS サーバ グループ コンフィギュレーション サブモードを開始します。 group-name 引数は、最大 127 文字の英数字ストリングで、大文字と小文字が区別されます。 |
|
コマンドを使用してサーバを設定し、再度このコマンドを実行してください。 | ||
(任意)モニタリングのデッド タイムを設定します。デフォルト値は 0 分です。有効な範囲は 1 ~ 1440 です。 (注) デッド タイム間隔がゼロ(0)より大きい RADIUS サーバ グループの場合は、その値がグローバル デット タイム値に優先します(「グローバル デッド タイム間隔の設定」を参照)。 |
||
認証要求の送信先の RADIUS サーバをユーザが指定できるようにするには、次の手順を実行します。これは directed-request(誘導要求)と呼ばれます。
このオプションをイネーブルにした場合、ユーザは username@vrfname:hostname としてログインできます。ここで、vrfname は使用する VRF、hostname は設定された RADIUS サーバの名前です。
(注) ユーザ指定のログインは Telnet セッションに限りサポートされます。
2. radius-server directed-request
|
|
|
---|---|---|
ここでは、RADIUS サーバからの応答を待つ時間を指定するグローバル タイムアウト間隔の設定手順を説明します。この時間が経過すると、タイムアウト障害となります。
この手順を開始する前に、次のことを確認または実行する必要があります。
• 「単一 RADIUS サーバのタイムアウト間隔の設定」で指定したタイムアウトは、RADIUS のグローバル タイムアウトに優先します。
|
|
|
---|---|---|
RADIUS サーバの送信タイムアウト間隔を指定します。デフォルトのタイムアウト間隔は 5 秒です。有効な範囲は 1 ~ 60 秒です。 |
||
ローカル認証に切り換える前に RADIUS サーバへの送信を再試行する最大回数を設定するには、次の手順を実行します。この設定はすべての RADIUS サーバに適用されます。
この手順を開始する前に、次のことを確認または実行する必要があります。
• デフォルトでは、ローカル認証に切り換える前に、RADIUS サーバへの再送信を 1 回だけ試行します。
• 「単一 RADIUS サーバのリトライ回数の設定」で単一の RADIUS サーバに指定したリトライ回数は、このグローバル設定に優先します。
2. radius-server retransmission count
|
|
|
---|---|---|
ローカル認証に切り換える前に許可する再送信回数を定義します。これはすべての RADIUS サーバに適用されるグローバル設定です。デフォルトの再送信回数は 1 です。有効な範囲は 0 ~ 5 です。 |
||
ここでは、RADIUS サーバからの応答を待つ時間を設定する手順を説明します。この時間が経過すると、タイムアウト障害となります。
この手順を開始する前に、次のことを確認または実行する必要があります。
• 単一の RADIUS サーバに指定したタイムアウトは、「すべての RADIUS サーバのグローバル タイムアウトの設定」で定義したタイムアウトに優先します。
2. radius-server host { ipv4-address | host-name } timeout seconds
|
|
|
---|---|---|
radius-server host { ipv4-address | host-name } timeout seconds |
特定のサーバのタイムアウト間隔を指定します。デフォルトのタイムアウト間隔は 5 秒です。有効な範囲は 1 ~ 60 秒です。 (注) 単一の RADIUS サーバに指定したタイムアウトは、RADIUS のグローバル タイムアウトに優先します。 |
|
ローカル認証に切り換える前に RADIUS サーバへの送信を再試行する最大回数を設定するには、次の手順を実行します。この設定は単一の RADIUS サーバに適用され、グローバル リトライ回数に優先します。
この手順を開始する前に、次のことを確認または実行する必要があります。
• デフォルトでは、ローカル認証に切り換える前に、RADIUS サーバへの再送信を 1 回だけ試行します。
• 単一の RADIUS サーバに指定したリトライ回数は、すべての RADIUS サーバ用に作成されるグローバル設定に優先します。
2. radius-server host { ipv4-address | host-name } retransmit count
|
|
|
---|---|---|
radius-server host { ipv4-address | host-name } retransmit count |
特定の RADIUS サーバの再送信回数を指定します。デフォルトはグローバル値です。 (注) この単一 RADIUS サーバの再送信回数は、すべての RADIUS サーバ用のグローバル設定に優先します。 |
|
この手順を開始する前に、次のことを確認または実行する必要があります。
2. radius-server host { ipv4-address | host-name } acct-port udp-port
3. radius-server host { ipv4-address | host-name } accounting
RADIUS サーバの認証およびアカウンティング アトリビュートを設定するには、次の手順を実行します。
この手順を開始する前に、次のことを確認または実行する必要があります。
2. radius-server host { ipv4-address | host-name } auth-port udp-port
3. radius-server host { ipv4-address | host-name } authentication
RADIUS サーバの認証およびアカウンティング アトリビュートを設定するには、次の手順を実行します。
この手順を開始する前に、次のことを確認または実行する必要があります。
• テスト アイドル タイマーには、応答しない RADIUS サーバにテスト パケットが送信されるまでの経過時間を指定します。
(注) セキュリティ上の理由から、RADIUS データベースに存在するユーザ名をテスト ユーザ名として設定しないでください。
(注) デフォルトのアイドル タイマー値は 0 分です。アイドル時間の間隔が 0 分の場合、NX-OS デバイスは RADIUS サーバの定期モニタリングを実行しません。
2. radius-server host { ipv4-address | host-name } test { idle-time minutes | password password [ idle-time minutes ] | username name [ password password [ idle-time minutes ]]}
すべての RADIUS サーバのデッド タイム間隔を設定するには、次の手順を実行します。デッド タイム間隔には、RADIUS サーバをデッドであると宣言したあと、そのサーバがアライブになったかどうかを確認するためにテスト パケットを送信するまで待機する時間を指定します。デフォルト値は 0 分です。
(注) デッド タイム間隔が 0 分の場合、RADIUS サーバの応答がなくても、そのサーバをデッドとしません。RADIUS サーバ グループに対するデッド タイム間隔を設定できます(「RADIUS サーバ グループの設定」を参照)。
RADIUS のデッド タイム間隔を設定するには、次の手順を実行します。
|
|
|
---|---|---|
1. test aaa server radius { ipv4-address | host-name } [ vrf vrf-name ] username password
|
|
|
---|---|---|
test aaa server radius { ipv4-address | server-name } [ vrf vrf-name ] username password |
||
この手順を開始する前に、次のことを確認または実行する必要があります。
• 「RADIUS サーバ ホストの設定」で 1 つまたは複数の RADIUS サーバ ホストを追加しています。
RADIUS の設定情報を表示するには、次のコマンドを使用します。
|
|
---|---|
show radius-server [ server-name | ipv4-address ] [ directed-request | groups | sorted | statistics ] |
このコマンドの出力フィールドの詳細については、『 Cisco Nexus 1000V Command Reference, Release 4.0(4)SV1(3) 』を参照してください。
NX-OS デバイスが保持している RADIUS サーバのアクティビティに関する統計情報を表示するには、次の手順を実行します。
1. show radius-server statistics { hostname | ipv4-address }
|
|
|
---|---|---|
n1000v# show radius-server statistics { hostname | ipv4-address } |
このコマンドの出力フィールドの詳細については、『 Cisco Nexus 1000V Command Reference, Release 4.0(4)SV1(3) 』を参照してください。
RADIUS の実装に関する詳細情報については、次を参照してください。
• 「関連資料」
• 「標準規格」
|
|
---|---|
『 Cisco Nexus 1000V Command Reference, Release 4.0(4)SV1(3) 』 |
|
|
---|---|
この機能でサポートされる新規または改訂された標準規格はありません。また、この機能による既存の標準規格サポートの変更はありません。 |
|
|
|
---|---|---|