この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章の内容は、次のとおりです。
AAA は、ユーザ ID とパスワードの組み合わせに基づいて、ユーザを認証および許可するために使用されます。 キーは、AAA サーバとの通信を保護します。
多くの場合、AAA は RADIUS または TACACS+ などのプロトコルを使用してセキュリティ機能を管理します。 ルータまたはアクセス サーバがネットワーク アクセス サーバとして動作している場合は、ネットワーク アクセス サーバと RADIUS または TACACS+ セキュリティ サーバとの間の通信を確立する手段に、AAA が使用されます。
AAA は主要な(推奨される)アクセス コントロール方式ですが、さらに、ローカル ユーザ名認証、回線パスワード認証、イネーブル パスワード認証など、AAA の範囲外で簡単なアクセス コントロールを行う機能も用意されています。 ただし、これらの機能では、AAA を使用した場合と同レベルのアクセス コントロールは実現できません。
次のサービスごとに別個の AAA 設定が作成されます。
AAA サービス コンフィギュレーション オプション |
関連コマンド |
---|---|
Telnet または SSH ログイン |
aaa authentication login default |
コンソール ログイン |
aaa authentication login console |
認証は、ログイン/パスワード ダイアログ、チャレンジ/レスポンス、メッセージング サポート、および選択したセキュリティ プロトコルによっては暗号化など、ユーザを識別する手段を提供します。 認証は、ユーザに対してネットワークとネットワーク サービスへのアクセスを許可する前に、ユーザの識別を行う方法です。 AAA 認証を設定するには、まず認証方式の名前付きリストを定義し、そのリストを各種インターフェイスに適用します。
認証は次のように実行されます。
認証方式 |
説明 |
---|---|
ローカル データベース |
ユーザ名またはパスワードのローカル ルックアップ データベースによって次の認証を行います。 |
リモート RADIUS または TACACS+ サーバ |
ユーザ名またはパスワードのローカル ルックアップ データベースによって次の認証を行います。 |
なし |
ユーザ名だけで次の認証を行います。 |
許可では、ユーザが実行を許可される操作を制限します。 ワンタイム許可またはサービスごとの許可、ユーザ単位のアカウント リストとプロファイル、ユーザ グループ サポート、および IP、IPX、ARA、Telnet のサポートなど、リモート アクセスの制御方法を提供します。
RADIUS や TACACS+ などのリモート セキュリティ サーバは、適切なユーザで該当する権利を定義した属性値(AV)のペアをアソシエートすることによって、ユーザに特定の権限を付与します。 AAA 許可は、ユーザが何を実行する権限を与えられるかを表す一連の属性を組み立てることで機能します。 これらの属性とデータベースに格納されているユーザの情報とが比較され、その結果が AAA に返されてユーザの実際の権限と制限事項が決定されます。
アカウンティングで、ユーザ識別、開始時刻と終了時刻、実行コマンド(PPP など)、パケット数、バイト数などといったセキュリティ サーバ情報の収集と送信を行い、課金、監査、およびレポートに使用する手段を提供します。 アカウンティングを使用することで、ユーザがアクセスしているサービスや、ユーザが消費しているネットワーク リソース量を追跡できます。
アカウンティングでは、すべての SVS 管理セッションを追跡し、ログに記録して管理します。 この情報を使用して、トラブルシューティングや監査のためのレポートを生成できます。 アカウンティング ログは、ローカルに保存することもできれば、リモート AAA サーバに送信することもできます。
リモート AAA サーバ グループは、1 台のリモート AAA サーバが応答しない場合にフェールオーバーを提供できます。すなわち、グループの最初のサーバが応答しない場合に、サーバが応答するまでグループ内の次のサーバで試行します。 複数のサーバ グループがある場合、同じ方法で、相互にフェールオーバーを提供できます。
すべてのリモート サーバ グループが応答しない場合は、ローカル データベースが認証に使用されます。
Cisco Nexus 1000V では、すべてが数字のユーザ名はサポートされず、すべてが数字のローカル ユーザ名は作成されません。 すべてが数字のユーザ名が AAA サーバにすでに存在し、ログインの際に入力された場合、Cisco Nexus 1000V はそのユーザを認証します。
パラメータ |
デフォルト |
---|---|
コンソール認証方式 |
local |
デフォルト認証方式 |
local |
ログイン認証失敗メッセージ |
Disabled |
TACACS+ サーバ グループを使用して認証が行われる場合は、グループが追加済みです。
この手順を開始する前に、EXEC モードで CLI にログインする必要があります。
switch# configure terminal switch(config)# aaa authentication login console group tacgroup switch(config)# exit switch# show aaa authentication default: group tacgroup console: group tacgroup switch# copy running-config startup-config switch#
switch# configure terminal switch(config)# aaa authentication login default group tacacs switch(config)# aaa authentication login console group tacacs
リモート AAA サーバが応答しない場合のログイン認証失敗メッセージの表示をイネーブルにするには、次の手順を実行します。
次に、ログイン認証エラー メッセージを示します。
Remote AAA servers unreachable; local authentication done. Remote AAA servers unreachable; local authentication failed.
この手順を開始する前に、EXEC モードで CLI にログインする必要があります。
switch# configure terminal switch(config)# aaa authentication login error-enable switch(config)# exit switch# show aaa authentication login error-enable enabled
次のいずれかのコマンドを使用して、設定を確認します。
コマンド |
目的 |
---|---|
show aaa authentication [login {error-enable | mschap}] |
AAA 認証情報を表示します。 |
show aaa groups |
AAA サーバ グループの設定を表示します。 |
show running-config aaa [all] |
実行コンフィギュレーションの AAA 設定を表示します。 |
show startup-config aaa |
スタートアップ コンフィギュレーションの AAA 設定を表示します。 |
switch# show aaa authentication login error-enable disabled switch#
switch# show running-config aaa all version 4.0(1) aaa authentication login default local aaa accounting default local no aaa authentication login error-enable no aaa authentication login mschap enable no radius-server directed-request no snmp-server enable traps aaa server-state-change no tacacs-server directed-request switch#
switch# show startup-config aaa version 4.0(1)
次に、AAA の設定例を示します。
aaa authentication login default group tacacs aaa authentication login console group tacacs
この表には、機能への追加または変更が行われたリリースの更新のみが含まれています。
機能名 |
リリース |
機能情報 |
---|---|---|
AAA |
4.0(4)SV1(1) |
この機能が導入されました。 |