この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章の内容は、次のとおりです。
TACACS+ は、デバイスにアクセスしようとするユーザの検証を集中的に行うセキュリティ プロトコルです。 TACACS+ サービスは、通常 UNIX または Windows NT ワークステーション上で動作する TACACS+ デーモンのデータベースで管理されます。 デバイスに設定した TACACS+ 機能を使用可能にするには、TACACS+ サーバにアクセスして TACACS+ サーバを設定しておく必要があります。
TACACS+ は、独立した認証、許可、アカウンティング サービスを提供します。 TACACS+ デーモンは各サービスを個別に提供します。 各サービスを固有のデータベースに結合し、デーモンの機能に応じてそのサーバまたはネットワークで使用できる他のサービスを使用できます。
TACACS+ クライアント/サーバ プロトコルでは、トランスポート要件を満たすため TCP(TCP ポート 49)を使用します。 TACACS+ プロトコルを使用して集中型の認証が提供されます。
パスワード認証プロトコル(PAP)を使用して TACACS+ サーバへのログインを試みると、次の一連のイベントが発生します。
(注) |
TACACS+ では、デーモンがユーザを認証するために十分な情報を得られるまで、デーモンとユーザとの自由な対話を許可します。 通常、デーモンはユーザ名とパスワードを入力するよう求めますが、ユーザの母親の旧姓などの追加情報を求めることもできます。 |
TACACS+ サーバに認証するには、TACACS+ 事前共有キーを設定する必要があります。 事前共有キーは、デバイスと TACACS+ サーバ ホストの間で共有される秘密テキスト ストリングです。 キーの長さは 63 文字で、出力可能な任意の ASCII 文字を含めることができます(スペースは使用できません)。 すべての TACACS+ サーバ設定で使用されるグローバルな事前共有秘密キーを設定できます。
このグローバル事前共有キーの割り当ては、個別の TACACS+ サーバの設定時に明示的に key オプションを使用することによって上書きできます。
応答しない TACACS+ サーバはデッド(dead)としてマークされ、AAA 要求が送信されません。 デッド TACACS+ サーバは定期的にモニタされ、応答があればアライブに戻されます。 このプロセスにより、TACACS+ サーバが稼働状態であることを確認してから、実際の AAA 要求が送信されます。 次の図に、TACACS+ サーバの状態変化によって、どのように簡易ネットワーク管理プロトコル(SNMP)トラップが生成され、パフォーマンスに影響が出る前に障害を示すエラー メッセージが生成されるかを示します。
(注) |
アライブ サーバとデッド サーバのモニタリング間隔は異なります。これらはユーザが設定できます。 TACACS+ サーバ モニタリングを実行するには、テスト認証要求を TACACS+ サーバに送信します。 |
インターネット技術特別調査委員会(IETF)ドラフト標準には、ネットワーク アクセス サーバと TACACS+ サーバの間でベンダー固有属性(VSA)を伝達する方法が規定されています。 IETF は、属性 26 を使用します。 VSA を使用するとベンダーは、一般的な用途には適合しない独自の拡張属性をサポートできます。
シスコの TACACS+ 実装では、IETF 仕様で推奨される形式を使用したベンダー固有のオプションを 1 つサポートしています。 シスコのベンダー ID は 9、サポートされるオプションのベンダー タイプは 1(名前付き cisco-av-pair)です。 値は、次の形式のストリングです。
protocol : attribute separator value *
protocol は、特定の許可タイプを表すシスコの属性です。separator は、必須属性の場合は =(等号)、オプションの属性の場合は *(アスタリスク)です。
認証に TACACS+ サーバを使用した場合、TACACS+ プロトコルでは TACACS+ サーバに対して、認証結果とともに権限付与情報などのユーザ属性を返すように指示します。 この許可情報は、VSA で指定されます。
次の VSA プロトコル オプションがサポートされています。
次の属性もサポートされています。
パラメータ |
デフォルト |
---|---|
TACACS+ |
Disabled |
デッド タイマー間隔 |
0 分 |
タイムアウト間隔 |
5 秒 |
アイドル タイマー間隔 |
0 分 |
サーバの定期的モニタリングのユーザ名 |
test |
サーバの定期的モニタリングのパスワード |
test |
次のフロー チャートで、TACACS+ を設定する手順を示します。
(注) |
Cisco Nexus 1000V のコマンドは Cisco IOS のコマンドと異なる場合があることに注意してください。 |
デフォルトでは、TACACS+ がディセーブルです。 TACACS+ 認証をサポートするコンフィギュレーション コマンドと検証コマンドを使用するには、TACACS+ 機能を明示的にイネーブルにする必要があります。
注意 |
TACACS+ をディセーブルにすると、関連するすべての設定が自動的に廃棄されます。 |
この手順を開始する前に、EXEC モードで CLI にログインする必要があります。
switch# configure terminal switch(config)# tacacs+ enable switch(config)# exit switch# copy running-config startup-config
デフォルトでは、グローバル キーは設定されません。
次のものを設定するには、次の手順を実行します。
switch# configure terminal switch(config)# tacacs-server key 0 QsEFtkI# switch(config)# exit switch# show tacacs-server Global TACACS+ shared secret:******** timeout value:5 deadtime value:0 total number of servers:1 following TACACS+ servers are configured: 10.10.2.2: available on port:49 switch# copy running-config startup-config
すべての TACACS+ サーバ ホストはデフォルトの TACACS+ サーバ グループに追加されます。
この手順を開始する前に、次のことを確認してください。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# configure terminal | グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | switch(config)# tacacs-server host {ipv4-address | host-name} | サーバの IP アドレスまたはホスト名を TACACS+ サーバ ホストとして設定します。 |
ステップ 3 | switch(config)# exit | グローバル コンフィギュレーション モードを終了し、EXEC モードに戻ります。 |
ステップ 4 | switch(config)# show tacacs-server | (任意) TACACS+ サーバの設定を表示します。 |
ステップ 5 | switch(confgi)# copy running-config startup-config | (任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
switch# configure terminal switch(config)# tacacs-server host 10.10.2.2 switch(config)# exit switch# show tacacs-server timeout value:5 deadtime value:0 total number of servers:1 following TACACS+ servers are configured: 10.10.2.2: available on port:49 switch# copy running-config startup-config
メンバー サーバが認証機能を共有する TACACS+ サーバ グループを設定するには、次の手順を実行します。
TACACS+ サーバ グループが設定されると、メンバーのサーバへのアクセスは、サーバを設定した順番で行われます。
TACACS+ サーバ グループでは、1 台のサーバが応答できない場合に備えて、フェールオーバーを提供できます。 グループ内の最初のサーバが応答しない場合は、同じグループ内の次のサーバが試行され、サーバが応答するまでこの処理が行われます。 複数のサーバ グループがある場合、同じ方法で、相互にフェールオーバーを提供できます。
この手順を開始する前に、次のことを確認してください。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | switch# configure terminalt | グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 | switch(config)# aaa group server tacacs+ group-name | 指定した名前で TACACS+ サーバ グループを作成し、そのグループの TACACS+ コンフィギュレーション モードを開始します。 |
||
ステップ 3 | switch(config-tacacs+)# server { ipv4-address | host-name} | TACACS+ サーバのホスト名または IP アドレスを TACACS+ サーバ グループのメンバーとして設定します。 指定した TACACS+ サーバが見つからない場合は、tacacs-server host コマンドを使用してサーバを設定し、このコマンドをもう一度実行します。
|
||
ステップ 4 | switch(config-tacacs+)# deadtime minutes | (任意) この TACACS+ グループのモニタリングのデッド タイムを設定します。 デフォルト値は 0 分です。 指定できる範囲は 0 ~ 1440 です。
|
||
ステップ 5 | switch(config-tacacs+)# use-vrf vrf-name | (任意) このサーバ グループとの接続に使用する仮想ルーティングおよび転送(VRF)インスタンスを指定します。 |
||
ステップ 6 | switch(config-tacacs+)# source-interface {interface-type} {interface-number} | (任意) TACACS+ サーバに到達するために使用される送信元インターフェイスを指定します。 |
||
ステップ 7 | switch(config-tacacs+)# show tacacs-server groups | (任意) TACACS+ サーバ グループの設定を表示します。 |
||
ステップ 8 | switch(config-tacacs+)# copy running-config startup-config | (任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
switch# config terminal switch(config)# aaa group server tacacs+ TacServer switch(config-tacacs+)# server 10.10.2.2 switch(config-tacacs+)# deadtime 30 switch(config-tacacs+)# use-vrf management switch(config-tacacs+)# source-interface mgmt0 switch(config-tacacs+)# show tacacs-server groups total number of groups:1 following TACACS+ server groups are configured: group TacServer: server 10.10.2.2 on port 49 deadtime is 30 vrf is management switch# copy running-config startup-config
この手順では、認証要求の送信先となる TACACS+ サーバを指定することができます。 これは directed-request(誘導要求)と呼ばれます。
(注) |
ユーザ指定のログインは Telnet セッションに限りサポートされます。 |
この手順を開始する前に、次のことを確認してください。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# configure terminal | グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | switch(config)# tacacs-server directed-request | ログイン時に認証要求を送信する TACACS+ サーバを指定するために、誘導要求の使用をイネーブルにします。 デフォルトではディセーブルになっています。 |
ステップ 3 | switch(config)# exit | グローバル コンフィギュレーション モードを終了し、EXEC モードに戻ります。 |
ステップ 4 | switch(config)# show tacacs-server directed-request | (任意) TACACS+ の directed request の設定を表示します。 |
ステップ 5 | switch(config)# copy running-config startup-config | 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
switch# config terminal switch(config)# tacacs-server directed-request switch(config)# exit switch# show tacacs-server directed-request enabled switch# copy running-config startup-config
Cisco Nexus 1000V が任意の TACACS+ サーバからの応答を待つ時間を秒単位で設定するには、次の手順を実行します。これを過ぎるとタイムアウトが宣言されます。
個別の TACACS+ サーバに指定したタイムアウトは、グローバル タイムアウト間隔に優先します。
この手順を開始する前に、次の作業を実行したことを確認してください。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# configure terminal | グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | switch(config)# tacacs-server timeout seconds | Cisco Nexus 1000V がサーバからの応答を待つ時間を秒単位で指定します。 デフォルトのタイムアウト間隔は 5 秒です。 有効な範囲は 1 ~ 60 秒です。 |
ステップ 3 | switch(confi)# exit | グローバル コンフィギュレーション モードを終了し、EXEC モードに戻ります。 |
ステップ 4 | switch(config)# show tacacs-server | (任意) TACACS+ サーバの設定を表示します。 |
ステップ 5 | switch(confi)# copy running-config startup-config | (任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
switch# configure terminal switch(config)# tacacs-server timeout 10 switch(config)# exit switch# n1000v# show tacacs-server Global TACACS+ shared secret:******** timeout value:10 deadtime value:0 total number of servers:1 following TACACS+ servers are configured: 10.10.2.2: available on port:49 switch# copy running-config startup-config
Cisco Nexus 1000V が特定の TACACS+ サーバからの応答を待つ時間を秒単位で設定するには、次の手順を実行します。これを過ぎるとタイムアウトが宣言されます。 この設定は TACACS+ ホスト単位で設定します。
個別の TACACS+ サーバのタイムアウト設定は、グローバル タイムアウト間隔に優先します。
この手順を開始する前に、次の作業を実行したことを確認してください。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# configure terminal | グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | switch(config)# tacacs-server host {ipv4-address | host-name} timeout seconds | 特定のサーバのタイムアウト間隔を指定します。 デフォルトはグローバル タイムアウト間隔です。 |
ステップ 3 | switch(config)# exit | グローバル コンフィギュレーション モードを終了し、EXEC モードに戻ります。 |
ステップ 4 | switch(config)# show tacacs-server | (任意) TACACS+ サーバの設定を表示します。 |
ステップ 5 | switch(config)# copy running-config startup-config | (任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
switch# config terminal switch(config)# tacacs-server host 10.10.2.2 timeout 10 switch(config)# exit switch# n1000v# show tacacs-server Global TACACS+ shared secret:******** timeout value:10 deadtime value:0 total number of servers:1 following TACACS+ servers are configured: 10.10.2.2: available on port:49 timeout:10 switch# copy running-config startup-config
ポート 49(TACACS+ 要求のデフォルト)以外の TCP ポートを設定するには、次の手順を実行します。
この手順を開始する前に、次の作業を実行したことを確認してください。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# configure terminal | グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | switch(config)# tacacs-server host {ipv4-address | host-name} port tcp-port | 使用する TCP ポートを指定します。 指定できるポート範囲:1 ~ 65535 デフォルトは 49 です。 |
ステップ 3 | switch(config)# exit | グローバル コンフィギュレーション モードを終了し、EXEC モードに戻ります。 |
ステップ 4 | switch(config)# show tacacs-server | (任意) TACACS+ サーバの設定を表示します。 |
ステップ 5 | switch(config)# copy running-config startup-config | (任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
switch# configure terminal switch(config)# tacacs-server host 10.10.2.2 port 2 switch(config)# exit switch# show tacacs-server Global TACACS+ shared secret:******** timeout value:10 deadtime value:0 total number of servers:1 following TACACS+ servers are configured: 10.10.2.2: available on port:2 timeout:10 switch# copy running-config startup-config
次の情報を知っている必要があります。
この手順を開始する前に、次の作業を実行したことを確認してください。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# configure terminal | グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | switch(config)# tacacs-server host {ipv4-address | host-name } test { idle-time minutes | password password [ idle-time minutes] | username name [password password [idle-time minutes]]} | サーバ モニタリングを設定します。 次のキーワードと引数があります。 |
ステップ 3 | switch(config)# tacacs-server dead-time minutes | 以前に応答しなかった TACACS+ サーバのチェックを始めるまでの時間を分単位で指定します。 デフォルト値は 0 分です。有効な範囲は 0 ~ 1440 分です。 |
ステップ 4 | switch(config)# exit | グローバル コンフィギュレーション モードを終了し、EXEC モードに戻ります。 |
ステップ 5 | switch(config)# show tacacs-server | (任意) TACACS+ サーバの設定を表示します。 |
ステップ 6 | switch(config)# copy running-config startup-config | (任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
switch# configure terminal switch(config)# tacacs-server host 10.10.2.2 test username pvk2 password a3z9yjqz7 idle-time 3 switch(config)# tacacs-server dead-time 5 switch(config)# exit switch# show tacacs-server Global TACACS+ shared secret:******** timeout value:10 deadtime value:5 total number of servers:1 following TACACS+ servers are configured: 10.10.2.2: available on port:2 timeout:10 switch# copy running-config startup-config
以前に応答しなかったサーバにテスト パケットを送信するまで待機する時間を設定するには、次の手順を実行します。
デッド タイム間隔が 0 分の場合、TACACS+ サーバは、応答を返さない場合でも、デットとしてマークされません。 デッド タイムはグループ単位で設定できます。
この手順を開始する前に、次の作業を実行したことを確認してください。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# configure terminal | グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | switch(config)# tacacs-server deadtime minutes | グローバルなデッド タイム間隔を設定します。 デフォルト値は 0 分です。 有効な範囲は、1 ~ 1440 分です。 |
ステップ 3 | switch(config)# exit | グローバル コンフィギュレーション モードを終了し、EXEC モードに戻ります。 |
ステップ 4 | switch(config)# show tacacs-server | (任意) TACACS+ サーバの設定を表示します。 |
ステップ 5 | switch(config)# copy running-config startup-config | (任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
switch# configure terminal switch(config)# tacacs-server deadtime 5 switch(config)# exit switch# show tacacs-server Global TACACS+ shared secret:******** timeout value:10 deadtime value:5 total number of servers:1 following TACACS+ servers are configured: 10.10.2.2: available on port:2 timeout:10 switch# copy running-config startup-config
TACACS+ ホストの統計情報を表示するには、次のコマンドを使用します。
show tacacs-server statistics {hostname | ipv4-address}
次に、TACACS+ 設定の例を示します。
switch# configure terminal switch(config)# feature tacacs+ switch(config-tacacs+)# tacacs-server key 7 "ToIkLhPpG" switch# (config-tacacs+)# tacacs-server host 10.10.2.2 key 7 "ShMoMhTl" switch# (config-tacacs+)# aaa group server tacacs+ TacServer server 10.10.2.2
この表には、機能の追加によるリリースの更新内容のみが記載されています。
機能名 |
リリース |
機能情報 |
---|---|---|
TACACS+ |
4.0(4)SV1(1) |
この機能が導入されました。 |