Cisco Nexus 1000V セキュリティ コンフィギュレー ション ガイド リリース 4.0(4)SV1(3)
- Updated:
- 2017年6月20日
章のタイトル: RADIUS の設定
- RADIUS の概要
- RADIUS の前提条件
- 注意事項および制約事項
- デフォルト設定
- RADIUS サーバの設定
- RADIUS サーバ ホストの設定
- RADIUS サーバ ホストの削除
- RADIUS グローバル鍵の設定
- RADIUS サーバ鍵の設定
- RADIUS サーバ グループの設定
- RADIUS サーバの誘導要求のイネーブル化
- すべての RADIUS サーバのグローバル タイムアウトの設定
- すべての RADIUS サーバのグローバル リトライ回数の設定
- 単一 RADIUS サーバのタイムアウト間隔の設定
- 単一 RADIUS サーバのリトライ回数の設定
- RADIUS アカウンティング サーバの設定
- RADIUS 認証サーバの設定
- RADIUS サーバの定期モニタリングの設定
- グローバル デッド タイム間隔の設定
- RADIUS サーバまたはサーバ グループの手動でのモニタリング
- RADIUS サーバ ホストの削除
- RADIUS 設定の確認
- RADIUS サーバ統計情報の表示
- RADIUS 設定例
- その他の関連資料
- RADIUS 機能の履歴
RADIUS の設定
RADIUS の概要
RADIUS 分散型クライアント/サーバ システムを使用すると、不正アクセスからネットワークを保護することができます。シスコの実装では、RADIUS クライアントは Cisco NX-OS デバイス上で稼動します。認証要求とアカウンティング要求は、すべてのユーザ認証情報とネットワーク サービス アクセス情報が格納されている中央の RADIUS サーバに送信されます。
RADIUS のネットワーク環境
RADIUS は、リモート ユーザのネットワーク アクセスを維持すると同時に高度なレベルのセキュリティを必要とするさまざまなネットワーク環境に実装できます。
RADIUS は、アクセスのセキュリティが必要な次のネットワーク環境で使用できます。
•
複数ベンダーのネットワーク デバイスで構成され、それぞれが RADIUS をサポートしているネットワーク。たとえば、複数ベンダーのネットワーク デバイスが 1 つの RADIUS サーバベースのセキュリティ データベースを使用できます。
• すでに RADIUS を使用しているネットワーク。RADIUS 機能を持つ Cisco NX-OS デバイスをネットワークに追加できます。これが AAA サーバへ移行する最初のステップにもなります。
• リソースのアカウンティングが必要なネットワーク。RADIUS アカウンティングは、RADIUS 認証や認可と無関係に使用できます。RADIUS アカウンティング機能を使用すると、サービスの開始と終了の時点にデータを送信し、そのセッション中に使用されたリソース(時間、パケット、バイトなど)の量を示すことができます。Internet Service Provider(ISP; インターネット サービス プロバイダー)は、特殊なセキュリティおよび課金のニーズを満たすために、RADIUS アクセス制御およびアカウンティング ソフトウェアのフリーウェア バージョンを使用する場合もあります。
• 認証プロファイルをサポートするネットワーク。ネットワークに RADIUS サーバを導入すると、AAA 認証を設定しユーザ単位のプロファイルをセットアップできます。ユーザ単位のプロファイルにより、既存の RADIUS ソリューションを使用するポートの管理性が向上し、共有リソースを効率的に管理して、各種のサービスレベル契約を提供できるようになります。
RADIUS の動作
RADIUS を使用する NX-OS デバイスにユーザがログインおよび認証を試みると、次の処理が行われます。
1. プロンプトが表示され、ユーザはユーザ名とパスワードを入力します。
2. ユーザ名と暗号化されたパスワードがネットワーク経由で RADIUS サーバに送信されます。
3. ユーザは、RADIUS サーバから次のいずれかの応答を受信します。
– REJECT:ユーザは認証されず、ユーザ名とパスワードの再入力を要求されるか、またはアクセスが拒否されます。
– CHALLENGE:RADIUS サーバによりチャレンジが送信されます。チャレンジによってユーザから追加データが収集されます。
– CHANGE PASSWORD:RADIUS サーバからユーザに対して、新しいパスワードの選択を求める要求が送信されます。
ACCEPT または REJECT 応答には、EXEC またはネットワーク許可に使用される追加データが含まれています。RADIUS 許可を使用するには、まず RADIUS 認証を完了する必要があります。ACCEPT または REJECT パケットに含まれる追加データには、次のものがあります。
• Telnet、rlogin、または Local-Area Transport(LAT; ローカルエリア トランスポート)接続、および Point-to-Point Protocol(PPP; ポイントツーポイント プロトコル)、Serial Line Internet Protocol(SLIP; シリアル ライン インターネット プロトコル)、または EXEC サービスといった、ユーザがアクセスできるサービス
RADIUS サーバ モニタリング
応答しない RADIUS サーバがあると、AAA 要求の処理が遅れることがあります。AAA 要求の処理時間を短縮するために、RADIUS サーバを定期的にモニタして RADIUS サーバが応答している(アライブ)かどうかを調べることができます。応答しない RADIUS サーバはデッド(dead)としてマークされ、AAA 要求は送信されません。デッド RADIUS サーバは定期的にモニタされ、応答があればアライブ状態に戻されます。このモニタリング プロセスにより、RADIUS サーバが稼動状態であることを確認してから、実際の AAA 要求が送信されます。RADIUS サーバがデッドまたはアライブの状態に変わると Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)トラップが生成され、障害が発生していることを示すエラー メッセージが表示されます。図 5-1 を参照してください。
(注) アライブ サーバとデッド サーバのモニタリング間隔は異なります。これらは、ユーザが設定できます。RADIUS サーバ モニタリングは、テスト認証要求を RADIUS サーバに送信して行われます。
ベンダー固有属性
Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)ドラフト標準には、ネットワーク アクセス サーバと RADIUS サーバの間で Vendor-Specific Attribute(VSA; ベンダー固有属性)を伝達する方法が規定されています。IETF はアトリビュート 26 を使用しています。VSA を使用すると、ベンダーは一般的な用途に適さない独自の拡張アトリビュートをサポートできます。シスコの RADIUS 実装では、IETF 仕様で推奨される形式を使用したベンダー固有オプションを 1 つサポートしています。シスコのベンダー ID は 9 で、サポートするオプションはベンダー タイプ 1、名前は cisco-av-pair です。値は、次の形式のストリングです。
protocol は、特定の許可タイプを表すシスコのアトリビュートです。separator は、必須アトリビュートの場合は =(等号)、任意のアトリビュートの場合は * (アスタリスク)です。
認証に RADIUS サーバを使用した場合、RADIUS プロトコルでは RADIUS サーバに対して、認証結果とともに権限付与情報などのユーザ アトリビュートを返すように指示します。この権限付与情報は、VSA を通じて指定されます。
次に、サポートされる VSA プロトコル オプションを示します。
• shell:ユーザ プロファイル情報を提供する access-accept パケットで使用されるプロトコル。
• Accounting:accounting-request パケットで使用されるプロトコル。値にスペースが含まれる場合は、二重引用符で囲む必要があります。
• roles:ユーザが属しているすべてのロールをリストします。値フィールドは、ロール名をスペースで区切ったストリングです。たとえば、ユーザが属しているロールが network-operator と vdc-admin ならば、値フィールドは「network-operator vdc-admin」となります。このアトリビュートは、RADIUS サーバから送信される Access-Accept フレームの VSA 部分に格納されます。このアトリビュートはシェル プロトコル値とだけ併用できます。次に、Cisco ACS でサポートされるロール アトリビュートの例を示します。
shell:roles=“network-operator vdc-admin”
shell:roles*“network-operator vdc-admin”
次に、FreeRADIUS でサポートされるロール アトリビュートの例を示します。
Cisco-AVPair = ”shell:roles=¥“network-operator vdc-admin¥””
Cisco-AVPair = “shell:roles*¥“network-operator vdc-admin¥””
(注) VSA を shell:roles*"network-operator vdc-admin" または "shell:roles*¥"network-operator vdc-admin¥"" として指定した場合、この VSA はオプション アトリビュートとしてフラグ設定され、他のシスコ デバイスはこのアトリビュートを無視します。
• accountinginfo:標準の RADIUS アカウンティング プロトコルに含まれるアトリビュートとともにアカウンティング情報を格納します。このアトリビュートは、スイッチ上の RADIUS クライアントから、Account-Request フレームの VSA 部分にだけ格納されて送信されます。このアトリビュートはアカウンティングの Protocol Data Unit(PDU; プロトコル データ ユニット)とだけ併用できます。
RADIUS の前提条件
• RADIUS サーバの IP アドレスまたはホスト名がわかっていること。
注意事項および制約事項
デフォルト設定
表 5-1 に、RADIUS のデフォルト設定を示します。
|
|
|
|---|---|
RADIUS サーバの設定
• 「すべての RADIUS サーバのグローバル タイムアウトの設定」
• 「すべての RADIUS サーバのグローバル リトライ回数の設定」
• 「RADIUS サーバまたはサーバ グループの手動でのモニタリング」
(注) この機能に対応する Cisco NX-OS コマンドは、Cisco IOS で使用されているコマンドと異なる場合があるので注意してください。
RADIUS サーバ ホストの設定
始める前に
手順の概要
手順の詳細
|
|
|
|
|---|---|---|
RADIUS サーバ ホストの削除
RADIUS グローバル鍵の設定
すべての RADIUS サーバが Cisco Nexus 1000V での認証に使用するキーを設定するには、次の手順を実行します。
始める前に
手順の概要
手順の詳細
|
|
|
|
|---|---|---|
すべての RADIUS サーバの事前共有鍵を指定します。クリア テキスト( 0 )または暗号化( 7 )の事前共有鍵を指定します。デフォルト形式はクリア テキストです。最大長は 63 文字です。 |
||
| コマンドを使用します。 | ||
RADIUS サーバ鍵の設定
始める前に
手順の概要
2. radius-server host { ipv4-address | host-name } key key-value
手順の詳細
|
|
|
|
|---|---|---|
radius-server host { ipv4-address | host-name } key [ 0 | 7 ] key-value |
特定の RADIUS サーバの事前共有鍵を指定します。クリア テキスト( 0 )または暗号化( 7 )の事前共有鍵を指定します。デフォルト形式はクリア テキストです。最大長は 63 文字です。 |
|
| コマンドを使用します。 | ||
RADIUS サーバ グループの設定
始める前に
この手順を開始する前に、次のことを確認または実行する必要があります。
手順の概要
2. aaa group server radius group-name
3. server { ipv4-address | server-name }
手順の詳細
|
|
|
|
|---|---|---|
aaa group server radius group-name |
RADIUS サーバ グループを作成し、そのグループの RADIUS サーバ グループ コンフィギュレーション サブモードを開始します。 group-name 引数は、最大 127 文字の英数字ストリングで、大文字と小文字が区別されます。 |
|
| コマンドを使用してサーバを設定し、再度このコマンドを実行してください。 | ||
(任意)モニタリングのデッド タイムを設定します。デフォルト値は 0 分です。有効な範囲は 1 ~ 1440 です。 (注) デッド タイム間隔がゼロ(0)より大きい RADIUS サーバ グループの場合は、その値がグローバル デット タイム値に優先します(「グローバル デッド タイム間隔の設定」を参照)。 |
||
RADIUS サーバの誘導要求のイネーブル化
認証要求の送信先の RADIUS サーバをユーザが指定できるようにするには、次の手順を実行します。これは directed-request(誘導要求)と呼ばれます。
このオプションをイネーブルにした場合、ユーザは username@vrfname:hostname としてログインできます。ここで、vrfname は使用する VRF、hostname は設定された RADIUS サーバの名前です。
(注) ユーザ指定のログインは Telnet セッションに限りサポートされます。
始める前に
手順の概要
2. radius-server directed-request
手順の詳細
|
|
|
|
|---|---|---|
すべての RADIUS サーバのグローバル タイムアウトの設定
ここでは、RADIUS サーバからの応答を待つ時間を指定するグローバル タイムアウト間隔の設定手順を説明します。この時間が経過すると、タイムアウト障害となります。
始める前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• 「単一 RADIUS サーバのタイムアウト間隔の設定」で指定したタイムアウトは、RADIUS のグローバル タイムアウトに優先します。
手順の概要
手順の詳細
|
|
|
|
|---|---|---|
RADIUS サーバの送信タイムアウト間隔を指定します。デフォルトのタイムアウト間隔は 5 秒です。有効な範囲は 1 ~ 60 秒です。 |
||
すべての RADIUS サーバのグローバル リトライ回数の設定
ローカル認証に切り換える前に RADIUS サーバへの送信を再試行する最大回数を設定するには、次の手順を実行します。この設定はすべての RADIUS サーバに適用されます。
始める前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• デフォルトでは、ローカル認証に切り換える前に、RADIUS サーバへの再送信を 1 回だけ試行します。
• 「単一 RADIUS サーバのリトライ回数の設定」で単一の RADIUS サーバに指定したリトライ回数は、このグローバル設定に優先します。
手順の概要
2. radius-server retransmission count
手順の詳細
|
|
|
|
|---|---|---|
ローカル認証に切り換える前に許可する再送信回数を定義します。これはすべての RADIUS サーバに適用されるグローバル設定です。デフォルトの再送信回数は 1 です。有効な範囲は 0 ~ 5 です。 |
||
単一 RADIUS サーバのタイムアウト間隔の設定
ここでは、RADIUS サーバからの応答を待つ時間を設定する手順を説明します。この時間が経過すると、タイムアウト障害となります。
始める前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• 単一の RADIUS サーバに指定したタイムアウトは、「すべての RADIUS サーバのグローバル タイムアウトの設定」で定義したタイムアウトに優先します。
手順の概要
2. radius-server host { ipv4-address | host-name } timeout seconds
手順の詳細
|
|
|
|
|---|---|---|
radius-server host { ipv4-address | host-name } timeout seconds |
特定のサーバのタイムアウト間隔を指定します。デフォルトのタイムアウト間隔は 5 秒です。有効な範囲は 1 ~ 60 秒です。 (注) 単一の RADIUS サーバに指定したタイムアウトは、RADIUS のグローバル タイムアウトに優先します。 |
|
単一 RADIUS サーバのリトライ回数の設定
ローカル認証に切り換える前に RADIUS サーバへの送信を再試行する最大回数を設定するには、次の手順を実行します。この設定は単一の RADIUS サーバに適用され、グローバル リトライ回数に優先します。
始める前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• デフォルトでは、ローカル認証に切り換える前に、RADIUS サーバへの再送信を 1 回だけ試行します。
• 単一の RADIUS サーバに指定したリトライ回数は、すべての RADIUS サーバ用に作成されるグローバル設定に優先します。
手順の概要
2. radius-server host { ipv4-address | host-name } retransmit count
手順の詳細
|
|
|
|
|---|---|---|
radius-server host { ipv4-address | host-name } retransmit count |
特定の RADIUS サーバの再送信回数を指定します。デフォルトはグローバル値です。 (注) この単一 RADIUS サーバの再送信回数は、すべての RADIUS サーバ用のグローバル設定に優先します。 |
|
RADIUS アカウンティング サーバの設定
始める前に
この手順を開始する前に、次のことを確認または実行する必要があります。
手順の概要
2. radius-server host { ipv4-address | host-name } acct-port udp-port
3. radius-server host { ipv4-address | host-name } accounting
手順の詳細
RADIUS サーバの認証およびアカウンティング アトリビュートを設定するには、次の手順を実行します。
RADIUS 認証サーバの設定
始める前に
この手順を開始する前に、次のことを確認または実行する必要があります。
手順の概要
2. radius-server host { ipv4-address | host-name } auth-port udp-port
3. radius-server host { ipv4-address | host-name } authentication
手順の詳細
RADIUS サーバの認証およびアカウンティング アトリビュートを設定するには、次の手順を実行します。
RADIUS サーバの定期モニタリングの設定
始める前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• テスト アイドル タイマーには、応答しない RADIUS サーバにテスト パケットが送信されるまでの経過時間を指定します。
(注) セキュリティ上の理由から、RADIUS データベースに存在するユーザ名をテスト ユーザ名として設定しないでください。
(注) デフォルトのアイドル タイマー値は 0 分です。アイドル時間の間隔が 0 分の場合、NX-OS デバイスは RADIUS サーバの定期モニタリングを実行しません。
手順の概要
2. radius-server host { ipv4-address | host-name } test { idle-time minutes | password password [ idle-time minutes ] | username name [ password password [ idle-time minutes ]]}
手順の詳細
グローバル デッド タイム間隔の設定
すべての RADIUS サーバのデッド タイム間隔を設定するには、次の手順を実行します。デッド タイム間隔には、RADIUS サーバをデッドであると宣言したあと、そのサーバがアライブになったかどうかを確認するためにテスト パケットを送信するまで待機する時間を指定します。デフォルト値は 0 分です。
(注) デッド タイム間隔が 0 分の場合、RADIUS サーバの応答がなくても、そのサーバをデッドとしません。RADIUS サーバ グループに対するデッド タイム間隔を設定できます(「RADIUS サーバ グループの設定」を参照)。
始める前に
手順の概要
手順の詳細
RADIUS のデッド タイム間隔を設定するには、次の手順を実行します。
|
|
|
|
|---|---|---|
RADIUS サーバまたはサーバ グループの手動でのモニタリング
始める前に
手順の概要
1. test aaa server radius { ipv4-address | host-name } [ vrf vrf-name ] username password
手順の詳細
|
|
|
|
|---|---|---|
test aaa server radius { ipv4-address | server-name } [ vrf vrf-name ] username password |
||
RADIUS サーバ ホストの削除
始める前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• 「RADIUS サーバ ホストの設定」で 1 つまたは複数の RADIUS サーバ ホストを追加しています。
RADIUS 設定の確認
RADIUS の設定情報を表示するには、次のコマンドを使用します。
|
|
|
|---|---|
show radius-server [ server-name | ipv4-address ] [ directed-request | groups | sorted | statistics ] |
このコマンドの出力フィールドの詳細については、『 Cisco Nexus 1000V Command Reference, Release 4.0(4)SV1(3) 』を参照してください。
RADIUS サーバ統計情報の表示
NX-OS デバイスが保持している RADIUS サーバのアクティビティに関する統計情報を表示するには、次の手順を実行します。
始める前に
手順の概要
1. show radius-server statistics { hostname | ipv4-address }
手順の詳細
|
|
|
|
|---|---|---|
n1000v# show radius-server statistics { hostname | ipv4-address } |
このコマンドの出力フィールドの詳細については、『 Cisco Nexus 1000V Command Reference, Release 4.0(4)SV1(3) 』を参照してください。
RADIUS 設定例
その他の関連資料
RADIUS の実装に関する詳細情報については、次を参照してください。
• 「関連資料」
• 「標準規格」
関連資料
|
|
|
|---|---|
『 Cisco Nexus 1000V Command Reference, Release 4.0(4)SV1(3) 』 |
標準規格
|
|
|
|---|---|
この機能でサポートされる新規または改訂された標準規格はありません。また、この機能による既存の標準規格サポートの変更はありません。 |
RADIUS 機能の履歴
|
|
|
|
|---|---|---|
フィードバック