この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章の内容は、次のとおりです。
Terminal Access Controller Access Control System Plus(TACACS+)セキュリティ プロトコルは、Cisco Nexus デバイスにアクセスしようとするユーザの検証を集中的に行います。 TACACS+ サービスは、通常 UNIX または Windows NT ワークステーション上で稼働する TACACS+ デーモンのデータベースで管理されます。 設定済みの TACACS+ 機能をCisco Nexus デバイス上で使用するには、TACACS+ サーバへのアクセス権を持ち、このサーバを設定する必要があります。
TACACS+ では、認証、許可、アカウンティングの各ファシリティを個別に提供します。 TACACS+を使用すると、単一のアクセス コントロール サーバ(TACACS+ デーモン)で、各サービス(認証、許可、アカウンティング)を個別に提供できます。 各サービスは固有のデータベースにアソシエートされており、デーモンの機能に応じて、そのサーバまたはネットワーク上で使用可能な他のサービスを利用できます。
TACACS+ クライアント/サーバ プロトコルでは、トランスポート要件を満たすため TCP(TCP ポート 49)を使用します。 Cisco Nexus デバイスは、TACACS+ プロトコルを使用して集中型の認証を行います。
TACACS+ には、RADIUS 認証にはない次の利点があります。
ユーザが TACACS+ を使用して、Cisco Nexus デバイスに対しパスワード認証プロトコル(PAP)によるログインを試行すると、次のプロセスが実行されます。
Cisco Nexus デバイスが接続を確立すると、TACACS+ デーモンにアクセスして、ユーザ名とパスワードを取得します。
(注) |
TACACS+ では、デーモンがユーザを認証するために十分な情報を得られるまで、デーモンとユーザとの自由な対話を許可します。 この動作では通常、ユーザ名とパスワードの入力が要求されますが、ユーザの母親の旧姓など、その他の項目の入力が要求されることもあります。 |
Cisco Nexus デバイスが、TACACS+ デーモンから次のいずれかの応答を受信します。
ACCEPT:ユーザの認証に成功したので、サービスを開始します。 Cisco Nexus デバイスがユーザの許可を要求している場合は、許可が開始されます。
REJECT:ユーザの認証に失敗しました。 TACACS+ デーモンは、ユーザに対してそれ以上のアクセスを拒否するか、ログイン シーケンスを再試行するよう要求します。
ERROR:認証中に、デーモン内、またはデーモンとCisco Nexus デバイス間のネットワーク接続でエラーが発生しました。 Cisco Nexus デバイスが ERROR 応答を受信した場合、スイッチは代わりのユーザ認証方式の使用を試します。
Cisco Nexus デバイスで許可がイネーブルになっている場合は、この後、許可フェーズの処理が実行されます。 ユーザは TACACS+ 許可に進む前に、まず TACACS+ 認証を正常に完了する必要があります。
TACACS+ 許可が必要な場合、Cisco Nexus デバイスは、再度、TACACS+ デーモンにアクセスします。デーモンは ACCEPT または REJECT 許可応答を返します。 ACCEPT 応答には、ユーザに対する EXEC または NETWORK セッションの送信に使用される属性が含まれます。また ACCEPT 応答により、ユーザがアクセス可能なサービスが決まります。
この場合のサービスは次のとおりです。
TACACS+ サーバに対してスイッチを認証するには、TACACS+ 事前共有キーを設定する必要があります。 事前共有キーとは、Cisco Nexus デバイスと TACACS+ サーバ ホスト間の共有秘密テキスト ストリングです。 キーの長さは 63 文字で、出力可能な任意の ASCII 文字を含めることができます(スペースは使用できません)。 Cisco Nexus デバイス上のすべての TACACS+ サーバ設定で使用されるグローバルな事前共有秘密キーを設定できます。
グローバルな事前共有キーの設定は、個々の TACACS+ サーバの設定時に key オプションを使用することによって無効にできます。
デフォルトでは、認証されたユーザがコマンドライン インターフェイス(CLI)でコマンドを入力したときに、Cisco NX-OS ソフトウェアのローカル データベースに対してコマンド許可が行われます。 また、TACACS+ を使用して、認証されたユーザに対して許可されたコマンドを確認することもできます。
応答を返さない TACACS+ サーバがあると、AAA 要求の処理に遅延が発生する可能性があります。 AAA 要求の処理時間を節約するため、Cisco Nexus デバイスは定期的に TACACS+ サーバをモニタリングし、TACACS+ サーバが応答を返す(アライブ)かどうかを調べることができます。 Cisco Nexus デバイスは、応答を返さない TACACS+ サーバをデッド(dead)としてマークし、デッド TACACS+ サーバには AAA 要求を送信しません。 また Cisco Nexus デバイスは、定期的にデッド TACACS+ サーバをモニタリングし、それらが応答を返したらアライブ状態に戻します。 このモニタリング プロセスでは、実際の AAA 要求がサーバに送信される前に、TACACS+ サーバが稼働状態であることを確認します。 TACACS+ サーバの状態がデッドまたはアライブに変わると、簡易ネットワーク管理プロトコル(SNMP)トラップが生成され、Cisco Nexus デバイスによって、パフォーマンスに影響が出る前に、障害が発生していることを知らせるエラー メッセージが表示されます。
次の図では、さまざまな TACACS+ サーバの状態を示します。
(注) |
アライブ サーバとデッド サーバのモニタリング間隔は異なります。これらはユーザが設定できます。 TACACS+ サーバ モニタリングを実行するには、テスト認証要求を TACACS+ サーバに送信します。 |
TACACS+ には、次の前提条件があります。
TACACS+ に関する注意事項と制約事項は次のとおりです。
次の表に、TACACS+ パラメータのデフォルト設定を示します。
パラメータ(Parameters) |
デフォルト |
---|---|
TACACS+ |
ディセーブル |
デッドタイム間隔 |
0 分 |
タイムアウト間隔 |
5 秒 |
アイドル タイマー間隔 |
0 分 |
サーバの定期的モニタリングのユーザ名 |
test |
サーバの定期的モニタリングのパスワード |
test |
ここでは、TACACS+ サーバを設定する方法について説明します。
デフォルトでは、Cisco Nexus デバイスで TACACS+ 機能はディセーブルに設定されています。 TACACS+ 機能をイネーブルにすることで、認証に関する設定コマンドと検証コマンドを使用できます。
リモートの TACACS+ サーバにアクセスするには、Cisco Nexus デバイス上に、TACACS+ サーバの IP アドレス(IPv4 または IPv6)またはホスト名を設定する必要があります。 すべての TACACS+ サーバ ホストは、デフォルトの TACACS+ サーバ グループに追加されます。最大 64 の TACACS+ サーバを設定できます。
設定済みの TACACS+ サーバに事前共有キーが設定されておらず、グローバル キーも設定されていない場合は、警告メッセージが表示されます。 TACACS+ サーバ キーが設定されていない場合は、グローバル キー(設定されている場合)が該当サーバで使用されます。
TACACS+ サーバ ホストを設定する前に、次の点を確認してください。
サーバ グループから TACACS+ サーバ ホストを削除できます。
Cisco Nexus デバイスで使用するすべてのサーバについて、グローバル レベルで事前共有キーを設定できます。 事前共有キーとは、Cisco Nexus デバイスと TACACS+ サーバ ホスト間の共有秘密テキスト ストリングです。
事前共有キーを設定する前に、次の点を確認してください。
次に、グローバルな事前共有キーを設定する例を示します。
switch# configure terminal switch(config)# tacacs-server key 0 QsEfThUkO switch(config)# exit switch# show tacacs-server switch# copy running-config startup-config
TACACS+ サーバの事前共有キーを設定できます。 事前共有キーとは、Cisco Nexus デバイスと TACACS+ サーバ ホスト間の共有秘密テキスト ストリングです。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | switch# configure terminal | グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 | switch(config)# tacacs-server host {ipv4-address | ipv6-address | host-name} key [0 | 7] key-value |
特定の TACACS+ サーバの事前共有キーを指定します。 クリア テキスト形式(0)または暗号化形式(7)の事前共有キーを指定できます。 デフォルトの形式はクリア テキストです。 最大で 63 文字です。 この事前共有キーがグローバル事前共有キーの代わりに使用されます。 |
||
ステップ 3 | switch(config)# exit |
設定モードを終了します。 |
||
ステップ 4 | switch# show tacacs-server |
(任意) TACACS+ サーバの設定を表示します。
|
||
ステップ 5 | switch# copy running-config startup-config |
(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
次に、TACACS+ 事前共有キーを設定する例を示します。
switch# configure terminal switch(config)# tacacs-server host 10.10.1.1 key 0 PlIjUhYg switch(config)# exit switch# show tacacs-server switch# copy running-config startup-config
サーバ グループを使用して、1 台または複数台のリモート AAA サーバによるユーザ認証を指定することができます。 グループのメンバーはすべて、TACACS+ プロトコルに属している必要があります。 設定した順序に従ってサーバが試行されます。
これらのサーバ グループはいつでも設定できますが、設定したグループを有効にするには、AAA サービスに適用する必要があります。
TACACS+ を設定する前に、feature tacacs+ コマンドを使用して、TACACS+ をイネーブルにする必要があります。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | switch# configure terminal | グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 | switch(config)# aaa group server tacacs+ group-name |
TACACS+ サーバ グループを作成し、そのグループのTACACS+ サーバ グループ コンフィギュレーション モードを開始します。 |
||
ステップ 3 | switch(config-tacacs+)# server {ipv4-address | ipv6-address | host-name} |
TACACS+ サーバを、TACACS+ サーバ グループのメンバーとして設定します。 指定した TACACS+ サーバが見つからない場合は、tacacs-server host コマンドを使用してサーバを設定し、このコマンドをもう一度実行します。 |
||
ステップ 4 | switch(config-tacacs+)# deadtime minutes |
(任意) モニタリング デッド タイムを設定します。 デフォルト値は 0 分です。 指定できる範囲は 0 ~ 1440 です。
|
||
ステップ 5 | switch(config-tacacs+)# source-interface interface |
(任意) 特定の TACACS+ サーバ グループに発信元インターフェイスを割り当てます。 サポートされているインターフェイスのタイプは管理および VLAN です。
|
||
ステップ 6 | switch(config-tacacs+)# exit |
設定モードを終了します。 |
||
ステップ 7 | switch(config)# show tacacs-server groups |
(任意) TACACS+ サーバ グループの設定を表示します。 |
||
ステップ 8 | switch(config)# copy running-config startup-config |
(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
次に、TACACS+ サーバ グループを設定する例を示します。
switch# configure terminal
switch(config)# aaa group server tacacs+ TacServer
switch(config-tacacs+)# server 10.10.2.2
switch(config-tacacs+)# deadtime 30
switch(config-tacacs+)# exit
switch(config)# show tacacs-server groups
switch(config)# copy running-config startup-config
TACACS+ サーバ グループにアクセスする際に使用する、TACACS+ サーバ グループ用のグローバル発信元インターフェイスを設定できます。 また、特定の TACACS+ サーバ グループ用に異なる発信元インターフェイスを設定することもできます。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | ip tacacs source-interface interface 例: switch(config)# ip tacacs source-interface mgmt 0 |
このデバイスで設定されているすべての TACACS+ サーバ グループ用のグローバル発信元インターフェイスを設定します。 発信元インターフェイスは、管理または VLAN インターフェイスにすることができます。 |
ステップ 3 | exit 例: switch(config)# exit switch# |
設定モードを終了します。 |
ステップ 4 | show tacacs-server 例: switch# show tacacs-server |
(任意) TACACS+ サーバの設定情報を表示します。 |
ステップ 5 | copy running-config startup config 例: switch# copy running-config startup-config |
(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
認証要求の送信先 TACACS+ サーバをユーザが指定できるようにスイッチを設定するには、directed-request オプションをイネーブルにします。 デフォルトでは、Cisco Nexus デバイスは、デフォルトの AAA 認証方式に基づいて認証要求を転送します。 このオプションをイネーブルにすると、ユーザは username@hostname としてログインできます。ここで、hostname は設定済みの RADIUS サーバの名前です。
(注) |
ユーザ指定のログインは、Telnet セッションでのみサポートされます。 |
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# configure terminal | グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | switch(config)# tacacs-server directed-request |
ログイン時に、ユーザが認証要求の送信先となる TACACS+ サーバを指定できるようにします。 デフォルトではディセーブルになっています。 |
ステップ 3 | switch(config)# exit |
設定モードを終了します。 |
ステップ 4 | switch# show tacacs-server directed-request |
(任意) TACACS+ の directed request の設定を表示します。 |
ステップ 5 | switch# copy running-config startup-config |
(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
TACACS+ サーバのデフォルトの AAA 許可方式を設定できます。
TACACS+ をイネーブルにします。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | aaa authorization ssh-certificate default {group group-list [none] | local | none} 例: switch(config)# aaa authorization ssh-certificate default group TACACSServer1 TACACSServer2 |
TACACS+ サーバのデフォルトの AAA 許可方式を設定します。 ssh-certificate キーワードは、証明書認証を使用した TACACS+ 許可またはローカル許可を設定します。 デフォルトの許可は、ユーザに割り当てたロールに対して許可されたコマンドのリストであるローカル許可です。 group-list 引数には、TACACS+ サーバ グループの名前をスペースで区切ったリストを指定します。 このグループに属するサーバに対して、AAA 許可のためのアクセスが行われます。 local 方式では、ローカル データベースを認証に使用します。none 方式では、AAA 認証が使用されないように指定します。 |
ステップ 3 | exit 例: switch(config)# exit switch# |
グローバル コンフィギュレーション モードを終了します。 |
ステップ 4 | show aaa authorization [all] 例: switch# show aaa authorization |
(任意) AAA 認可設定を表示します。 all キーワードは、デフォルト値を表示します。 |
ステップ 5 | copy running-config startup-config 例: switch# copy running-config startup-config |
(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
TACACS+ サーバでコマンド許可を設定できます。 コマンド許可では、デフォルト ロールを含むユーザのロールベース許可コントロール(RBAC)がディセーブルになります。
(注) |
デフォルトでは、状況依存ヘルプおよびコマンドのタブ補完に表示されるのは、割り当てられたロールでユーザに対するサポートが定義されているコマンドだけです。 コマンド許可をイネーブルにすると、Cisco NX-OS ソフトウェアでは、ユーザに割り当てられているロールに関係なく、状況依存ヘルプおよびタブ補完にすべてのコマンドが表示されるようになります。 |
TACACS+ をイネーブルにします。
AAA コマンドの許可を設定する前に TACACS ホストおよびサーバ グループを設定します。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | aaa authorization {commands | config-commands} default [group group-list [local] | local] 例: switch(config)# aaa authorization commands default group TacGroup |
すべてのロールに対するデフォルトのコマンド許可方式を設定します。 commands キーワードは、すべての EXEC コマンドの許可ソースを設定し、config-commands キーワードは、すべてのコンフィギュレーション コマンドの許可ソースを設定します。 すべてのコマンドのデフォルトの許可は、ユーザに割り当てたロールに対して許可されたコマンドのリストであるローカル許可です。 group-list 引数には、TACACS+ サーバ グループの名前をスペースで区切ったリストを指定します。 このグループに属するサーバに対して、コマンドの許可のためのアクセスが行われます。 local 方式では、許可にローカル ロールベース データベースを使用します。 設定済みのすべてのサーバ グループで応答に失敗し、フォールバック方式として local を設定済みの場合、local 方式だけが使用されます。 デフォルトの方式は、local です。 TACACS+ サーバ グループの方式のあとにフォールバック方式を設定していないと、すべてのサーバ グループから応答が得られなかった場合は許可に失敗します。 |
ステップ 3 | exit 例: switch(config)# exit switch# |
グローバル コンフィギュレーション モードを終了します。 |
ステップ 4 | show aaa authorization [all] 例: switch(config)# show aaa authorization |
(任意) AAA 認可設定を表示します。 all キーワードは、デフォルト値を表示します。 |
ステップ 5 | copy running-config startup-config 例: switch(config)# copy running-config startup-config |
(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
TACACS+ サーバで、ユーザに対するコマンド許可をテストできます。
(注) |
許可の正しいコマンドを送信しないと、結果の信頼性が低くなります。 |
TACACS+ をイネーブルにします。
TACACS+ サーバにコマンド許可が設定されていることを確認します。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | test aaa authorization command-type {commands | config-commands} user username command command-string 例: switch# test aaa authorization command-type commands user TestUser command reload |
TACACS+ サーバで、コマンドに対するユーザの許可をテストします。 commands キーワードは、EXEC コマンドだけを指定し、config-commands キーワードはコンフィギュレーション コマンドだけを指定します。
|
デフォルトのユーザ セッションまたは別のユーザ名に対して、コマンドライン インターフェイス(CLI)でコマンド許可検証をイネーブルにしたり、ディセーブルにしたりできます。
(注) |
許可検証をイネーブルにした場合は、コマンドは実行されません。 |
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | terminal verify-only [username username] 例: switch# terminal verify-only |
コマンド許可検証をイネーブルにします。 このコマンドを入力すると、入力したコマンドが許可されているかどうかが Cisco NX-OS ソフトウェアによって示されます。 |
ステップ 2 | terminal no verify-only [username username] 例: switch# terminal no verify-only |
コマンド許可検証をディセーブルにします。 |
TACACS+ サーバでの許可に使用する特権レベルのサポートを設定できます。
許可の決定に特権レベルを使用する Cisco IOS デバイスとは異なり、Cisco NX-OS デバイスでは、ロールベース アクセス コントロール(RBAC)を使用します。 両方のタイプのデバイスを同じ TACACS+ サーバで管理できるようにするには、TACACS+ サーバで設定した特権レベルを、Cisco NX-OS デバイスで設定したユーザ ロールにマッピングします。
TACACS+ サーバでのユーザの認証時には、特権レベルが取得され、それを使用して「priv-n」という形式(n が特権レベル)のローカル ユーザ ロール名が生成されます。 このローカル ロールの権限がユーザに割り当てられます。 特権レベルは 16 あり、対応するユーザ ロールに直接マッピングされます。 次の表に、各特権レベルに対応するユーザ ロール権限を示します。
Privilege Level | ユーザ ロール権限 |
---|---|
15 | network-admin 権限 |
14 | vdc-admin 権限 |
13 ~ 1 | |
0 | show コマンドや exec コマンド(ping、trace、ssh など)を実行するための権限。 |
(注) |
feature privilege コマンドをイネーブルにすると、権限ロールは低いレベルの権限ロールの権限を継承します。 |
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 | [no] feature privilege 例: switch(config)# feature privilege |
ロールの累積権限をイネーブルまたはディセーブルにします。 enable コマンドは、この機能をイネーブルにした場合しか表示されません。 デフォルトではディセーブルになっています。 |
||
ステップ 3 | [no] enable secret [0 | 5] password [priv-lvl priv-lvl | all] 例: switch(config)# enable secret 5 def456 priv-lvl 15 |
特定の特権レベルのシークレット パスワードをイネーブルまたはディセーブルにします。 特権レベルが上がるたびに、正しいパスワードを入力するようにユーザに要求します。 デフォルトではディセーブルになっています。 パスワードの形式としてクリア テキストを指定する場合は 0 を入力し、暗号化された形式を指定する場合は 5 を入力します。 password 引数に指定できる文字数は、最大 64 文字です。 priv-lvl 引数は、1 ~ 15 です。
|
||
ステップ 4 | [no] username username priv-lvl n 例: switch(config)# username user2 priv-lvl 15 |
ユーザの許可に対する特権レベルの使用をイネーブルまたはディセーブルにします。 デフォルトではディセーブルになっています。 priv-lvl キーワードはユーザに割り当てる権限レベルを指定します。 デフォルトの特権レベルはありません。 特権レベル 0 ~ 15(priv-lvl 0 ~ priv-lvl 15)は、ユーザ ロール priv-0 ~ priv-15 にマッピングされます。 |
||
ステップ 5 | show privilege 例: switch(config)# show privilege |
(任意) ユーザ名、現在の特権レベル、および累積権限のサポートのステータスを表示します。 |
||
ステップ 6 | copy running-config startup-config 例: switch(config)# copy running-config startup-config |
(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
||
ステップ 7 | exit 例: switch(config)# exit switch# |
グローバル コンフィギュレーション モードを終了します。 |
||
ステップ 8 | enable level 例: switch# enable 15 |
上位の特権レベルへのユーザの昇格をイネーブルにします。 このコマンドの実行時にはシークレット パスワードが要求されます。 level 引数はユーザのアクセスを許可する特権レベルを指定します。 指定できるレベルは 15 だけです。 |
ネットワーク管理者は、権限ロールを変更して、ユーザが特定のコマンドを実行できるようにしたり実行できなくしたりすることができます。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 | [no] role name priv-n 例: switch(config)# role name priv-5 switch(config-role)# |
権限ロールをイネーブルまたはディセーブルにして、ロール コンフィギュレーション モードを開始します。 n 引数には、特権レベルを 0 ~ 13 の数値で指定します。 |
||
ステップ 3 | rule number {deny | permit} command command-string 例: switch(config-role)# rule 2 permit command pwd |
権限ロールのユーザ コマンド ルールを設定します。 これらのルールで、ユーザによる特定のコマンドの実行を許可または拒否します。 ロールごとに最大 256 のルールを設定できます。 ルール番号によって、ルールが適用される順序が決まります。 ルールは降順で適用されます。 たとえば、1 つのロールが 3 つのルールを持っている場合、ルール 3 がルール 2 よりも前に適用され、ルール 2 はルール 1 よりも前に適用されます。 command-string 引数には、空白スペースを含めることができます。
|
||
ステップ 4 | exit 例: switch(config-role)# exit switch(config)# |
ロール コンフィギュレーション モードを終了します。 |
||
ステップ 5 | copy running-config startup-config 例: switch(config)# copy running-config startup-config |
(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
Cisco Nexus デバイスが、タイムアウト エラーを宣言する前に、すべての TACACS+ サーバからの応答を待機するグローバルなタイムアウト間隔も設定できます。 タイムアウト間隔には、スイッチが TACACS+ サーバからの応答を待つ時間を指定します。これを過ぎるとタイムアウト エラーになります。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# configure terminal | グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | switch(config)# tacacs-server timeout seconds |
TACACS+ サーバのタイムアウト間隔を指定します。 デフォルトのタイムアウト間隔は 5 秒で、範囲は 1 ~ 60 秒です。 |
ステップ 3 | switch(config)# exit |
設定モードを終了します。 |
ステップ 4 | switch# show tacacs-server |
(任意) TACACS+ サーバの設定を表示します。 |
ステップ 5 | switch# copy running-config startup-config |
(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
Cisco Nexus デバイスが、タイムアウト エラーを宣言する前に、TACACS+ サーバからの応答を待機するタイムアウト間隔を設定できます。 タイムアウト間隔は、スイッチがタイムアウト エラーを宣言する前に、TACACS+ サーバからの応答を待機する時間を決定します。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | switch# configure terminal | グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 | switch(config)# switch(config)# tacacs-server host {ipv4-address | ipv6-address | host-name} timeout seconds |
特定のサーバのタイムアウト間隔を指定します。 デフォルトはグローバル値です。
|
||
ステップ 3 | switch(config)# exit |
設定モードを終了します。 |
||
ステップ 4 | switch# show tacacs-server |
(任意) TACACS+ サーバの設定を表示します。 |
||
ステップ 5 | switch# copy running-config startup-config |
(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
別のアプリケーションとポート番号が競合している場合は、TACACS+ サーバ用に別の TCP ポートを設定できます。 デフォルトでは、Cisco Nexus デバイスは、すべての TACACS+ 要求にポート 49 を使用します。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# configure terminal | グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | switch(config)# tacacs-server host {ipv4-address | ipv6-address | host-name} port tcp-port |
TACACS+ アカウンティング メッセージ用の UDP ポートを指定します。デフォルトの TCP ポートは 49 です。 有効な範囲は 1 ~ 65535 です。 |
ステップ 3 | switch(config)# exit |
設定モードを終了します。 |
ステップ 4 | switch# show tacacs-server |
(任意) TACACS+ サーバの設定を表示します。 |
ステップ 5 | switch# copy running-config startup-config |
(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
次に、TCP ポートを設定する例を示します。
switch# configure terminal switch(config)# tacacs-server host 10.10.1.1 port 2 switch(config)# exit switch# show tacacs-server switch# copy running-config startup-config
TACACS+ サーバの可用性をモニタリングできます。 パラメータとして、サーバに使用するユーザ名とパスワード、およびアイドル タイマーがあります。 アイドル タイマーには、TACACS+ サーバがどのくらいの期間要求を受信しなかった場合に、Cisco Nexus デバイスがテスト パケットを送信するかを指定します。このオプションを設定して、サーバを定期的にテストしたり、1 回だけテストを実行できます。
(注) |
ネットワークのセキュリティ保護のため、TACACS+ データベース内の既存のユーザ名と同じユーザ名を使用しないことを推奨します。 |
テスト アイドル タイマーには、TACACS+ サーバがどのくらいの期間要求を受信しなかった場合に、Cisco Nexus デバイスがテスト パケットを送信するかを指定します。
(注) |
デフォルトのアイドル タイマー値は 0 分です。 アイドル時間間隔が 0 分の場合、TACACS+ サーバの定期モニタリングは実行されません。 |
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | switch# configure terminal | グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 | switch(config)# tacacs-server host {ipv4-address | ipv6-address | host-name} test {idle-time minutes | password password [idle-time minutes] | username name [password password [idle-time minutes]]} |
サーバ モニタリング用のパラメータを指定します。 デフォルトのユーザ名は test、デフォルトのパスワードは test です。 アイドル タイマーのデフォルト値は 0 分です。有効な範囲は 0 ~ 1440 分です。
|
||
ステップ 3 | switch(config)# tacacs-server dead-time minutes |
Cisco Nexus デバイスが、前回応答しなかった TACACS+ サーバをチェックするまでの時間(分)を指定します。 デフォルト値は 0 分、指定できる範囲は 0 ~ 1440 分です。 |
||
ステップ 4 | switch(config)# exit |
設定モードを終了します。 |
||
ステップ 5 | switch# show tacacs-server |
(任意) TACACS+ サーバの設定を表示します。 |
||
ステップ 6 | switch# copy running-config startup-config |
(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
次に、TACACS+ サーバの定期的モニタリングを設定する例を示します。
switch# configure terminal switch(config)# tacacs-server host 10.10.1.1 test username user1 password Ur2Gd2BH idle-time 3 switch(config)# tacacs-server dead-time 5 switch(config)# exit switch# show tacacs-server switch# copy running-config startup-config
すべての TACACS+ サーバのデッド タイム間隔を設定できます。 デッド タイム間隔には、Cisco Nexus デバイスが TACACS+ サーバをデッド状態であると宣言した後、そのサーバがアライブ状態に戻ったかどうかを判断するためにテスト パケットを送信するまでの間隔を指定します。
(注) |
デッド タイム間隔が 0 分の場合、TACACS+ サーバは、応答を返さない場合でも、デットとしてマークされません。 デッド タイム間隔はグループ単位で設定できます。 |
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# configure terminal | グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | switch(config)# tacacs-server deadtime minutes |
グローバルなデッド タイム間隔を設定します。 デフォルト値は 0 分です。 有効な範囲は 1 ~ 1440 分です。 |
ステップ 3 | switch(config)# exit |
設定モードを終了します。 |
ステップ 4 | switch# show tacacs-server |
(任意) TACACS+ サーバの設定を表示します。 |
ステップ 5 | switch# copy running-config startup-config |
(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# test aaa server tacacs+ {ipv4-address | ipv6-address | host-name} [vrf vrf-name] username password |
TACACS+ サーバにテスト メッセージを送信して可用性を確認します。 |
ステップ 2 | switch# test aaa group group-name username password |
TACACS+ サーバ グループにテスト メッセージを送信して可用性を確認します。 |
次に、手動でテスト メッセージを送信する例を示します。
switch# test aaa server tacacs+ 10.10.1.1 user1 Ur2Gd2BH switch# test aaa group TacGroup user2 As3He3CI
TACACS+ をディセーブルにできます。
注意 |
TACACS+ をディセーブルにすると、関連するすべての設定が自動的に廃棄されます。 |
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# configure terminal | グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | switch(config)# no feature tacacs+ |
TACACS+ をディセーブルにします。 |
ステップ 3 | switch(config)# exit |
設定モードを終了します。 |
ステップ 4 | switch# copy running-config startup-config |
(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
スイッチが TACACS+ のアクティビティについて保持している統計情報を表示するには、次の作業を行います。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# show tacacs-server statistics {hostname | ipv4-address | ipv6-address} |
TACACS+ 統計情報を表示します。 |
このコマンドの出力フィールドの詳細については、Nexus スイッチの『Command Reference』を参照してください。
TACACS+ の情報を表示するには、次のいずれかの作業を行います。
コマンド | 目的 |
---|---|
show tacacs+ {status | pending | pending-diff} |
Cisco Fabric Services の TACACS+ 設定の配布状況と他の詳細事項を表示します。 |
show running-config tacacs [all] |
実行コンフィギュレーションの TACACS+ 設定を表示します。 |
show startup-config tacacs |
スタートアップ コンフィギュレーションの TACACS+ 設定を表示します。 |
show tacacs-serve [host-name | ipv4-address | ipv6-address] [directed-request | groups | sorted | statistics] |
設定済みのすべての TACACS+ サーバのパラメータを表示します。 |
次の例は、TACACS+ を設定する方法を示しています。
switch# configure terminal switch(config)# feature tacacs+ switch(config)# tacacs-server key 7 "ToIkLhPpG" switch(config)# tacacs-server host 10.10.2.2 key 7 "ShMoMhTl" switch(config)# aaa group server tacacs+ TacServer switch(config-tacacs+)# server 10.10.2.2 switch(config-tacacs+)# use-vrf management
次に、TACACS+ をイネーブルにし、TACACS+ サーバの事前共有キーを設定して、サーバ グループ TacServer1 を認証するためにリモート AAA サーバを指定する例を示します。
switch# configure terminal switch(config)# feature tacacs+ switch(config)# tacacs-server key 7 "ikvhw10" switch(config)# tacacs-server host 1.1.1.1 switch(config)# tacacs-server host 1.1.1.2 switch(config)# aaa group server tacacs+ TacServer1 switch(config-tacacs+)# server 1.1.1.1 switch(config-tacacs+)# server 1.1.1.2
目次
- 「Configuring TACACS+」
- TACACS+ の設定に関する情報
- TACACS+ の利点
- TACACS+ を使用したユーザ ログイン
- デフォルトの TACACS+ サーバ暗号化タイプと事前共有キー
- TACACS+ サーバのコマンド許可サポート
- TACACS+ サーバのモニタリング
- TACACS+ の前提条件
- TACACS+ の注意事項と制約事項
- TACACS+ のデフォルト設定
- 「Configuring TACACS+」
- TACACS+ サーバの設定プロセス
- TACACS+ のイネーブル化
- TACACS+ サーバ ホストの設定
- TACACS+ のグローバルな事前共有キーの設定
- TACACS+ サーバの事前共有キーの設定
- TACACS+ サーバ グループの設定
- TACACS+ サーバ グループのためのグローバル発信元インターフェイスの設定
- ログイン時の TACACS+ サーバの指定
- TACACS+ サーバでの AAA 許可の設定
- TACACS+ サーバでのコマンド許可の設定
- TACACS+ サーバでのコマンド許可のテスト
- コマンド許可検証のイネーブル化とディセーブル化
- TACACS+ サーバでの許可に使用する特権レベルのサポートの設定
- 権限ロールのユーザ コマンドの許可または拒否
- グローバルな TACACS+ タイムアウト間隔の設定
- サーバのタイムアウト間隔の設定
- TCP ポートの設定
- TACACS+ サーバの定期的モニタリングの設定
- デッド タイム間隔の設定
- TACACS+ サーバまたはサーバ グループの手動モニタリング
- TACACS+ のディセーブル化
- TACACS+ 統計情報の表示
- TACACS+ の設定の確認
- TACACS+ の設定例
この章の内容は、次のとおりです。
- TACACS+ の設定に関する情報
- TACACS+ の前提条件
- TACACS+ の注意事項と制約事項
- TACACS+ のデフォルト設定
- 「Configuring TACACS+」
- TACACS+ 統計情報の表示
- TACACS+ の設定の確認
- TACACS+ の設定例
TACACS+ の設定に関する情報
Terminal Access Controller Access Control System Plus(TACACS+)セキュリティ プロトコルは、Cisco Nexus デバイスにアクセスしようとするユーザの検証を集中的に行います。 TACACS+ サービスは、通常 UNIX または Windows NT ワークステーション上で稼働する TACACS+ デーモンのデータベースで管理されます。 設定済みの TACACS+ 機能をCisco Nexus デバイス上で使用するには、TACACS+ サーバへのアクセス権を持ち、このサーバを設定する必要があります。
TACACS+ では、認証、許可、アカウンティングの各ファシリティを個別に提供します。 TACACS+を使用すると、単一のアクセス コントロール サーバ(TACACS+ デーモン)で、各サービス(認証、許可、アカウンティング)を個別に提供できます。 各サービスは固有のデータベースにアソシエートされており、デーモンの機能に応じて、そのサーバまたはネットワーク上で使用可能な他のサービスを利用できます。
TACACS+ クライアント/サーバ プロトコルでは、トランスポート要件を満たすため TCP(TCP ポート 49)を使用します。 Cisco Nexus デバイスは、TACACS+ プロトコルを使用して集中型の認証を行います。
- TACACS+ の利点
- TACACS+ を使用したユーザ ログイン
- デフォルトの TACACS+ サーバ暗号化タイプと事前共有キー
- TACACS+ サーバのコマンド許可サポート
- TACACS+ サーバのモニタリング
TACACS+ を使用したユーザ ログイン
ユーザが TACACS+ を使用して、Cisco Nexus デバイスに対しパスワード認証プロトコル(PAP)によるログインを試行すると、次のプロセスが実行されます。
Cisco Nexus デバイスが接続を確立すると、TACACS+ デーモンにアクセスして、ユーザ名とパスワードを取得します。
(注)
TACACS+ では、デーモンがユーザを認証するために十分な情報を得られるまで、デーモンとユーザとの自由な対話を許可します。 この動作では通常、ユーザ名とパスワードの入力が要求されますが、ユーザの母親の旧姓など、その他の項目の入力が要求されることもあります。
Cisco Nexus デバイスが、TACACS+ デーモンから次のいずれかの応答を受信します。
ACCEPT:ユーザの認証に成功したので、サービスを開始します。 Cisco Nexus デバイスがユーザの許可を要求している場合は、許可が開始されます。
REJECT:ユーザの認証に失敗しました。 TACACS+ デーモンは、ユーザに対してそれ以上のアクセスを拒否するか、ログイン シーケンスを再試行するよう要求します。
ERROR:認証中に、デーモン内、またはデーモンとCisco Nexus デバイス間のネットワーク接続でエラーが発生しました。 Cisco Nexus デバイスが ERROR 応答を受信した場合、スイッチは代わりのユーザ認証方式の使用を試します。
Cisco Nexus デバイスで許可がイネーブルになっている場合は、この後、許可フェーズの処理が実行されます。 ユーザは TACACS+ 許可に進む前に、まず TACACS+ 認証を正常に完了する必要があります。
TACACS+ 許可が必要な場合、Cisco Nexus デバイスは、再度、TACACS+ デーモンにアクセスします。デーモンは ACCEPT または REJECT 許可応答を返します。 ACCEPT 応答には、ユーザに対する EXEC または NETWORK セッションの送信に使用される属性が含まれます。また ACCEPT 応答により、ユーザがアクセス可能なサービスが決まります。
この場合のサービスは次のとおりです。
デフォルトの TACACS+ サーバ暗号化タイプと事前共有キー
TACACS+ サーバに対してスイッチを認証するには、TACACS+ 事前共有キーを設定する必要があります。 事前共有キーとは、Cisco Nexus デバイスと TACACS+ サーバ ホスト間の共有秘密テキスト ストリングです。 キーの長さは 63 文字で、出力可能な任意の ASCII 文字を含めることができます(スペースは使用できません)。 Cisco Nexus デバイス上のすべての TACACS+ サーバ設定で使用されるグローバルな事前共有秘密キーを設定できます。
グローバルな事前共有キーの設定は、個々の TACACS+ サーバの設定時に key オプションを使用することによって無効にできます。
TACACS+ サーバのコマンド許可サポート
デフォルトでは、認証されたユーザがコマンドライン インターフェイス(CLI)でコマンドを入力したときに、Cisco NX-OS ソフトウェアのローカル データベースに対してコマンド許可が行われます。 また、TACACS+ を使用して、認証されたユーザに対して許可されたコマンドを確認することもできます。
TACACS+ サーバのモニタリング
応答を返さない TACACS+ サーバがあると、AAA 要求の処理に遅延が発生する可能性があります。 AAA 要求の処理時間を節約するため、Cisco Nexus デバイスは定期的に TACACS+ サーバをモニタリングし、TACACS+ サーバが応答を返す(アライブ)かどうかを調べることができます。 Cisco Nexus デバイスは、応答を返さない TACACS+ サーバをデッド(dead)としてマークし、デッド TACACS+ サーバには AAA 要求を送信しません。 また Cisco Nexus デバイスは、定期的にデッド TACACS+ サーバをモニタリングし、それらが応答を返したらアライブ状態に戻します。 このモニタリング プロセスでは、実際の AAA 要求がサーバに送信される前に、TACACS+ サーバが稼働状態であることを確認します。 TACACS+ サーバの状態がデッドまたはアライブに変わると、簡易ネットワーク管理プロトコル(SNMP)トラップが生成され、Cisco Nexus デバイスによって、パフォーマンスに影響が出る前に、障害が発生していることを知らせるエラー メッセージが表示されます。
次の図では、さまざまな TACACS+ サーバの状態を示します。
(注)
アライブ サーバとデッド サーバのモニタリング間隔は異なります。これらはユーザが設定できます。 TACACS+ サーバ モニタリングを実行するには、テスト認証要求を TACACS+ サーバに送信します。
TACACS+ サーバの設定プロセス
手順
ステップ 1 TACACS+ をイネーブルにします。 ステップ 2 TACACS+ サーバとCisco Nexus デバイスとの接続を確立します。 ステップ 3 TACACS+ サーバの事前共有秘密キーを設定します。 ステップ 4 必要に応じて、AAA 認証方式用に、TACACS+ サーバのサブセットを使用して TACACS+ サーバ グループを設定します。 ステップ 5 必要に応じて、次のオプションのパラメータを設定します。 ステップ 6 必要に応じて、定期的に TACACS+ サーバをモニタリングするよう設定します。
TACACS+ のイネーブル化
手順デフォルトでは、Cisco Nexus デバイスで TACACS+ 機能はディセーブルに設定されています。 TACACS+ 機能をイネーブルにすることで、認証に関する設定コマンドと検証コマンドを使用できます。
コマンドまたはアクション 目的 ステップ 1 switch# configure terminal グローバル コンフィギュレーション モードを開始します。
ステップ 2 switch(config)# feature tacacs+
TACACS+ をイネーブルにします。
ステップ 3 switch(config)# exit
設定モードを終了します。
ステップ 4 switch# copy running-config startup-config
(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
TACACS+ サーバ ホストの設定
手順リモートの TACACS+ サーバにアクセスするには、Cisco Nexus デバイス上に、TACACS+ サーバの IP アドレス(IPv4 または IPv6)またはホスト名を設定する必要があります。 すべての TACACS+ サーバ ホストは、デフォルトの TACACS+ サーバ グループに追加されます。最大 64 の TACACS+ サーバを設定できます。
設定済みの TACACS+ サーバに事前共有キーが設定されておらず、グローバル キーも設定されていない場合は、警告メッセージが表示されます。 TACACS+ サーバ キーが設定されていない場合は、グローバル キー(設定されている場合)が該当サーバで使用されます。
TACACS+ サーバ ホストを設定する前に、次の点を確認してください。
コマンドまたはアクション 目的 ステップ 1 switch# configure terminal グローバル コンフィギュレーション モードを開始します。
ステップ 2 switch(config)# tacacs-server host {ipv4-address | ipv6-address | host-name}
TACACS+ サーバの IP アドレス(IPv4 または IPv6)、またはホスト名を指定します。
ステップ 3 switch(config)# exit
設定モードを終了します。
ステップ 4 switch# show tacacs-server
(任意) TACACS+ サーバの設定を表示します。
ステップ 5 switch# copy running-config startup-config
(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
TACACS+ のグローバルな事前共有キーの設定
手順Cisco Nexus デバイスで使用するすべてのサーバについて、グローバル レベルで事前共有キーを設定できます。 事前共有キーとは、Cisco Nexus デバイスと TACACS+ サーバ ホスト間の共有秘密テキスト ストリングです。
事前共有キーを設定する前に、次の点を確認してください。
コマンドまたはアクション 目的 ステップ 1 switch# configure terminal グローバル コンフィギュレーション モードを開始します。
ステップ 2 switch(config)# tacacs-server key [0 | 7] key-value
すべての TACACS+ サーバで使用する事前共有キーを指定します。 クリア テキスト形式(0)または暗号化形式(7)の事前共有キーを指定できます。 デフォルトの形式はクリア テキストです。 最大で 63 文字です。
デフォルトでは、事前共有キーは設定されません。
ステップ 3 switch(config)# exit
設定モードを終了します。
ステップ 4 switch# show tacacs-server
(任意) TACACS+ サーバの設定を表示します。
(注) 事前共有キーは、実行コンフィギュレーション内に暗号化形式で保存されます。 暗号化された事前共有キーを表示するには、show running-config コマンドを使用します。
ステップ 5 switch# copy running-config startup-config
(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
TACACS+ サーバの事前共有キーの設定
手順
コマンドまたはアクション 目的 ステップ 1 switch# configure terminal グローバル コンフィギュレーション モードを開始します。
ステップ 2 switch(config)# tacacs-server host {ipv4-address | ipv6-address | host-name} key [0 | 7] key-value
特定の TACACS+ サーバの事前共有キーを指定します。 クリア テキスト形式(0)または暗号化形式(7)の事前共有キーを指定できます。 デフォルトの形式はクリア テキストです。 最大で 63 文字です。
この事前共有キーがグローバル事前共有キーの代わりに使用されます。
ステップ 3 switch(config)# exit
設定モードを終了します。
ステップ 4 switch# show tacacs-server
(任意) TACACS+ サーバの設定を表示します。
(注) 事前共有キーは、実行コンフィギュレーション内に暗号化形式で保存されます。 暗号化された事前共有キーを表示するには、show running-config コマンドを使用します。
ステップ 5 switch# copy running-config startup-config
(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
TACACS+ サーバ グループの設定
手順サーバ グループを使用して、1 台または複数台のリモート AAA サーバによるユーザ認証を指定することができます。 グループのメンバーはすべて、TACACS+ プロトコルに属している必要があります。 設定した順序に従ってサーバが試行されます。
これらのサーバ グループはいつでも設定できますが、設定したグループを有効にするには、AAA サービスに適用する必要があります。
コマンドまたはアクション 目的 ステップ 1 switch# configure terminal グローバル コンフィギュレーション モードを開始します。
ステップ 2 switch(config)# aaa group server tacacs+ group-name
TACACS+ サーバ グループを作成し、そのグループのTACACS+ サーバ グループ コンフィギュレーション モードを開始します。
ステップ 3 switch(config-tacacs+)# server {ipv4-address | ipv6-address | host-name}
TACACS+ サーバを、TACACS+ サーバ グループのメンバーとして設定します。
指定した TACACS+ サーバが見つからない場合は、tacacs-server host コマンドを使用してサーバを設定し、このコマンドをもう一度実行します。
ステップ 4 switch(config-tacacs+)# deadtime minutes
(任意) モニタリング デッド タイムを設定します。 デフォルト値は 0 分です。 指定できる範囲は 0 ~ 1440 です。
(注) TACACS+ サーバ グループのデッド タイム間隔が 0 より大きい場合は、その値がグローバルなデッド タイム値より優先されます。
ステップ 5 switch(config-tacacs+)# source-interface interface
(任意) 特定の TACACS+ サーバ グループに発信元インターフェイスを割り当てます。
サポートされているインターフェイスのタイプは管理および VLAN です。
(注) source-interface コマンドを使用して、ip tacacs source-interface コマンドによって割り当てられたグローバル ソース インターフェイスを上書きします。
ステップ 6 switch(config-tacacs+)# exit
設定モードを終了します。
ステップ 7 switch(config)# show tacacs-server groups
(任意) TACACS+ サーバ グループの設定を表示します。
ステップ 8 switch(config)# copy running-config startup-config
(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
次に、TACACS+ サーバ グループを設定する例を示します。
switch# configure terminalswitch(config)# aaa group server tacacs+ TacServerswitch(config-tacacs+)# server 10.10.2.2switch(config-tacacs+)# deadtime 30switch(config-tacacs+)# exitswitch(config)# show tacacs-server groupsswitch(config)# copy running-config startup-configTACACS+ サーバ グループのためのグローバル発信元インターフェイスの設定
手順TACACS+ サーバ グループにアクセスする際に使用する、TACACS+ サーバ グループ用のグローバル発信元インターフェイスを設定できます。 また、特定の TACACS+ サーバ グループ用に異なる発信元インターフェイスを設定することもできます。
コマンドまたはアクション 目的 ステップ 1 configure terminal
グローバル コンフィギュレーション モードを開始します。
ステップ 2 ip tacacs source-interface interface
例:switch(config)# ip tacacs source-interface mgmt 0このデバイスで設定されているすべての TACACS+ サーバ グループ用のグローバル発信元インターフェイスを設定します。 発信元インターフェイスは、管理または VLAN インターフェイスにすることができます。
ステップ 3 exit
例:switch(config)# exit switch#設定モードを終了します。
ステップ 4 show tacacs-server
例:switch# show tacacs-server(任意) TACACS+ サーバの設定情報を表示します。
ステップ 5 copy running-config startup config
例:switch# copy running-config startup-config(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
ログイン時の TACACS+ サーバの指定
手順認証要求の送信先 TACACS+ サーバをユーザが指定できるようにスイッチを設定するには、directed-request オプションをイネーブルにします。 デフォルトでは、Cisco Nexus デバイスは、デフォルトの AAA 認証方式に基づいて認証要求を転送します。 このオプションをイネーブルにすると、ユーザは username@hostname としてログインできます。ここで、hostname は設定済みの RADIUS サーバの名前です。
(注)
ユーザ指定のログインは、Telnet セッションでのみサポートされます。
コマンドまたはアクション 目的 ステップ 1 switch# configure terminal グローバル コンフィギュレーション モードを開始します。
ステップ 2 switch(config)# tacacs-server directed-request
ログイン時に、ユーザが認証要求の送信先となる TACACS+ サーバを指定できるようにします。 デフォルトではディセーブルになっています。
ステップ 3 switch(config)# exit
設定モードを終了します。
ステップ 4 switch# show tacacs-server directed-request
(任意) TACACS+ の directed request の設定を表示します。
ステップ 5 switch# copy running-config startup-config
(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
TACACS+ サーバでの AAA 許可の設定
手順
コマンドまたはアクション 目的 ステップ 1 configure terminal
例:switch# configure terminal switch(config)#グローバル コンフィギュレーション モードを開始します。
ステップ 2 aaa authorization ssh-certificate default {group group-list [none] | local | none}
例:switch(config)# aaa authorization ssh-certificate default group TACACSServer1 TACACSServer2TACACS+ サーバのデフォルトの AAA 許可方式を設定します。
ssh-certificate キーワードは、証明書認証を使用した TACACS+ 許可またはローカル許可を設定します。 デフォルトの許可は、ユーザに割り当てたロールに対して許可されたコマンドのリストであるローカル許可です。
group-list 引数には、TACACS+ サーバ グループの名前をスペースで区切ったリストを指定します。 このグループに属するサーバに対して、AAA 許可のためのアクセスが行われます。 local 方式では、ローカル データベースを認証に使用します。none 方式では、AAA 認証が使用されないように指定します。
ステップ 3 exit
例:switch(config)# exit switch#グローバル コンフィギュレーション モードを終了します。
ステップ 4 show aaa authorization [all]
例:switch# show aaa authorization(任意) AAA 認可設定を表示します。 all キーワードは、デフォルト値を表示します。
ステップ 5 copy running-config startup-config
例:switch# copy running-config startup-config(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
TACACS+ サーバでのコマンド許可の設定
手順TACACS+ サーバでコマンド許可を設定できます。 コマンド許可では、デフォルト ロールを含むユーザのロールベース許可コントロール(RBAC)がディセーブルになります。
(注)
デフォルトでは、状況依存ヘルプおよびコマンドのタブ補完に表示されるのは、割り当てられたロールでユーザに対するサポートが定義されているコマンドだけです。 コマンド許可をイネーブルにすると、Cisco NX-OS ソフトウェアでは、ユーザに割り当てられているロールに関係なく、状況依存ヘルプおよびタブ補完にすべてのコマンドが表示されるようになります。
コマンドまたはアクション 目的 ステップ 1 configure terminal
例:switch# configure terminal switch(config)#グローバル コンフィギュレーション モードを開始します。
ステップ 2 aaa authorization {commands | config-commands} default [group group-list [local] | local]
例:switch(config)# aaa authorization commands default group TacGroupすべてのロールに対するデフォルトのコマンド許可方式を設定します。
commands キーワードは、すべての EXEC コマンドの許可ソースを設定し、config-commands キーワードは、すべてのコンフィギュレーション コマンドの許可ソースを設定します。 すべてのコマンドのデフォルトの許可は、ユーザに割り当てたロールに対して許可されたコマンドのリストであるローカル許可です。
group-list 引数には、TACACS+ サーバ グループの名前をスペースで区切ったリストを指定します。 このグループに属するサーバに対して、コマンドの許可のためのアクセスが行われます。 local 方式では、許可にローカル ロールベース データベースを使用します。
設定済みのすべてのサーバ グループで応答に失敗し、フォールバック方式として local を設定済みの場合、local 方式だけが使用されます。
デフォルトの方式は、local です。
TACACS+ サーバ グループの方式のあとにフォールバック方式を設定していないと、すべてのサーバ グループから応答が得られなかった場合は許可に失敗します。
ステップ 3 exit
例:switch(config)# exit switch#グローバル コンフィギュレーション モードを終了します。
ステップ 4 show aaa authorization [all]
例:switch(config)# show aaa authorization(任意) AAA 認可設定を表示します。 all キーワードは、デフォルト値を表示します。
ステップ 5 copy running-config startup-config
例:switch(config)# copy running-config startup-config(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
TACACS+ サーバでのコマンド許可のテスト
手順
コマンドまたはアクション 目的 ステップ 1 test aaa authorization command-type {commands | config-commands} user username command command-string
例:switch# test aaa authorization command-type commands user TestUser command reloadTACACS+ サーバで、コマンドに対するユーザの許可をテストします。
commands キーワードは、EXEC コマンドだけを指定し、config-commands キーワードはコンフィギュレーション コマンドだけを指定します。
(注) command-string 引数にスペースが含まれる場合は、二重引用符(")で囲みます。
コマンド許可検証のイネーブル化とディセーブル化
手順デフォルトのユーザ セッションまたは別のユーザ名に対して、コマンドライン インターフェイス(CLI)でコマンド許可検証をイネーブルにしたり、ディセーブルにしたりできます。
(注)
許可検証をイネーブルにした場合は、コマンドは実行されません。
コマンドまたはアクション 目的 ステップ 1 terminal verify-only [username username]
例:switch# terminal verify-onlyコマンド許可検証をイネーブルにします。 このコマンドを入力すると、入力したコマンドが許可されているかどうかが Cisco NX-OS ソフトウェアによって示されます。
ステップ 2 terminal no verify-only [username username]
例:switch# terminal no verify-onlyコマンド許可検証をディセーブルにします。
TACACS+ サーバでの許可に使用する特権レベルのサポートの設定
手順TACACS+ サーバでの許可に使用する特権レベルのサポートを設定できます。
許可の決定に特権レベルを使用する Cisco IOS デバイスとは異なり、Cisco NX-OS デバイスでは、ロールベース アクセス コントロール(RBAC)を使用します。 両方のタイプのデバイスを同じ TACACS+ サーバで管理できるようにするには、TACACS+ サーバで設定した特権レベルを、Cisco NX-OS デバイスで設定したユーザ ロールにマッピングします。
TACACS+ サーバでのユーザの認証時には、特権レベルが取得され、それを使用して「priv-n」という形式(n が特権レベル)のローカル ユーザ ロール名が生成されます。 このローカル ロールの権限がユーザに割り当てられます。 特権レベルは 16 あり、対応するユーザ ロールに直接マッピングされます。 次の表に、各特権レベルに対応するユーザ ロール権限を示します。
(注)
feature privilege コマンドをイネーブルにすると、権限ロールは低いレベルの権限ロールの権限を継承します。
コマンドまたはアクション 目的 ステップ 1 configure terminal
例:switch# configure terminal switch(config)#グローバル コンフィギュレーション モードを開始します。
ステップ 2 [no] feature privilege
例:switch(config)# feature privilegeロールの累積権限をイネーブルまたはディセーブルにします。 enable コマンドは、この機能をイネーブルにした場合しか表示されません。 デフォルトではディセーブルになっています。
ステップ 3 [no] enable secret [0 | 5] password [priv-lvl priv-lvl | all]
例:switch(config)# enable secret 5 def456 priv-lvl 15特定の特権レベルのシークレット パスワードをイネーブルまたはディセーブルにします。 特権レベルが上がるたびに、正しいパスワードを入力するようにユーザに要求します。 デフォルトではディセーブルになっています。
パスワードの形式としてクリア テキストを指定する場合は 0 を入力し、暗号化された形式を指定する場合は 5 を入力します。 password 引数に指定できる文字数は、最大 64 文字です。 priv-lvl 引数は、1 ~ 15 です。
(注) シークレット パスワードをイネーブルにするには、feature privilege コマンドを入力してロールの累積権限をイネーブルにする必要があります。 ステップ 4 [no] username username priv-lvl n
例:switch(config)# username user2 priv-lvl 15ユーザの許可に対する特権レベルの使用をイネーブルまたはディセーブルにします。 デフォルトではディセーブルになっています。
priv-lvl キーワードはユーザに割り当てる権限レベルを指定します。 デフォルトの特権レベルはありません。 特権レベル 0 ~ 15(priv-lvl 0 ~ priv-lvl 15)は、ユーザ ロール priv-0 ~ priv-15 にマッピングされます。
ステップ 5 show privilege
例:switch(config)# show privilege(任意) ユーザ名、現在の特権レベル、および累積権限のサポートのステータスを表示します。
ステップ 6 copy running-config startup-config
例:switch(config)# copy running-config startup-config(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
ステップ 7 exit
例:switch(config)# exit switch#グローバル コンフィギュレーション モードを終了します。
ステップ 8 enable level
例:switch# enable 15上位の特権レベルへのユーザの昇格をイネーブルにします。 このコマンドの実行時にはシークレット パスワードが要求されます。 level 引数はユーザのアクセスを許可する特権レベルを指定します。 指定できるレベルは 15 だけです。
権限ロールのユーザ コマンドの許可または拒否
手順
コマンドまたはアクション 目的 ステップ 1 configure terminal
例:switch# configure terminal switch(config)#グローバル コンフィギュレーション モードを開始します。
ステップ 2 [no] role name priv-n
例:switch(config)# role name priv-5 switch(config-role)#権限ロールをイネーブルまたはディセーブルにして、ロール コンフィギュレーション モードを開始します。 n 引数には、特権レベルを 0 ~ 13 の数値で指定します。
ステップ 3 rule number {deny | permit} command command-string
例:switch(config-role)# rule 2 permit command pwd権限ロールのユーザ コマンド ルールを設定します。 これらのルールで、ユーザによる特定のコマンドの実行を許可または拒否します。 ロールごとに最大 256 のルールを設定できます。 ルール番号によって、ルールが適用される順序が決まります。 ルールは降順で適用されます。 たとえば、1 つのロールが 3 つのルールを持っている場合、ルール 3 がルール 2 よりも前に適用され、ルール 2 はルール 1 よりも前に適用されます。
command-string 引数には、空白スペースを含めることができます。
(注) 256 の規則に対してこのコマンドを繰り返します。 ステップ 4 exit
例:switch(config-role)# exit switch(config)#ロール コンフィギュレーション モードを終了します。
ステップ 5 copy running-config startup-config
例:switch(config)# copy running-config startup-config(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
グローバルな TACACS+ タイムアウト間隔の設定
手順Cisco Nexus デバイスが、タイムアウト エラーを宣言する前に、すべての TACACS+ サーバからの応答を待機するグローバルなタイムアウト間隔も設定できます。 タイムアウト間隔には、スイッチが TACACS+ サーバからの応答を待つ時間を指定します。これを過ぎるとタイムアウト エラーになります。
コマンドまたはアクション 目的 ステップ 1 switch# configure terminal グローバル コンフィギュレーション モードを開始します。
ステップ 2 switch(config)# tacacs-server timeout seconds
TACACS+ サーバのタイムアウト間隔を指定します。 デフォルトのタイムアウト間隔は 5 秒で、範囲は 1 ~ 60 秒です。
ステップ 3 switch(config)# exit
設定モードを終了します。
ステップ 4 switch# show tacacs-server
(任意) TACACS+ サーバの設定を表示します。
ステップ 5 switch# copy running-config startup-config
(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
サーバのタイムアウト間隔の設定
手順Cisco Nexus デバイスが、タイムアウト エラーを宣言する前に、TACACS+ サーバからの応答を待機するタイムアウト間隔を設定できます。 タイムアウト間隔は、スイッチがタイムアウト エラーを宣言する前に、TACACS+ サーバからの応答を待機する時間を決定します。
コマンドまたはアクション 目的 ステップ 1 switch# configure terminal グローバル コンフィギュレーション モードを開始します。
ステップ 2 switch(config)# switch(config)# tacacs-server host {ipv4-address | ipv6-address | host-name} timeout seconds
特定のサーバのタイムアウト間隔を指定します。 デフォルトはグローバル値です。
(注) 特定の TACACS+ サーバに指定したタイムアウト間隔は、すべての TACACS+ サーバに指定したタイムアウト間隔より優先されます。
ステップ 3 switch(config)# exit
設定モードを終了します。
ステップ 4 switch# show tacacs-server
(任意) TACACS+ サーバの設定を表示します。
ステップ 5 switch# copy running-config startup-config
(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
TCP ポートの設定
手順別のアプリケーションとポート番号が競合している場合は、TACACS+ サーバ用に別の TCP ポートを設定できます。 デフォルトでは、Cisco Nexus デバイスは、すべての TACACS+ 要求にポート 49 を使用します。
コマンドまたはアクション 目的 ステップ 1 switch# configure terminal グローバル コンフィギュレーション モードを開始します。
ステップ 2 switch(config)# tacacs-server host {ipv4-address | ipv6-address | host-name} port tcp-port
TACACS+ アカウンティング メッセージ用の UDP ポートを指定します。デフォルトの TCP ポートは 49 です。 有効な範囲は 1 ~ 65535 です。
ステップ 3 switch(config)# exit
設定モードを終了します。
ステップ 4 switch# show tacacs-server
(任意) TACACS+ サーバの設定を表示します。
ステップ 5 switch# copy running-config startup-config
(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
TACACS+ サーバの定期的モニタリングの設定
手順TACACS+ サーバの可用性をモニタリングできます。 パラメータとして、サーバに使用するユーザ名とパスワード、およびアイドル タイマーがあります。 アイドル タイマーには、TACACS+ サーバがどのくらいの期間要求を受信しなかった場合に、Cisco Nexus デバイスがテスト パケットを送信するかを指定します。このオプションを設定して、サーバを定期的にテストしたり、1 回だけテストを実行できます。
(注)
ネットワークのセキュリティ保護のため、TACACS+ データベース内の既存のユーザ名と同じユーザ名を使用しないことを推奨します。
テスト アイドル タイマーには、TACACS+ サーバがどのくらいの期間要求を受信しなかった場合に、Cisco Nexus デバイスがテスト パケットを送信するかを指定します。
(注)
デフォルトのアイドル タイマー値は 0 分です。 アイドル時間間隔が 0 分の場合、TACACS+ サーバの定期モニタリングは実行されません。
コマンドまたはアクション 目的 ステップ 1 switch# configure terminal グローバル コンフィギュレーション モードを開始します。
ステップ 2 switch(config)# tacacs-server host {ipv4-address | ipv6-address | host-name} test {idle-time minutes | password password [idle-time minutes] | username name [password password [idle-time minutes]]}
サーバ モニタリング用のパラメータを指定します。 デフォルトのユーザ名は test、デフォルトのパスワードは test です。 アイドル タイマーのデフォルト値は 0 分です。有効な範囲は 0 ~ 1440 分です。
(注) TACACS+ サーバの定期的なモニタリングを行うには、アイドル タイマーに 0 より大きな値を設定する必要があります。
ステップ 3 switch(config)# tacacs-server dead-time minutes
Cisco Nexus デバイスが、前回応答しなかった TACACS+ サーバをチェックするまでの時間(分)を指定します。 デフォルト値は 0 分、指定できる範囲は 0 ~ 1440 分です。
ステップ 4 switch(config)# exit
設定モードを終了します。
ステップ 5 switch# show tacacs-server
(任意) TACACS+ サーバの設定を表示します。
ステップ 6 switch# copy running-config startup-config
(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
デッド タイム間隔の設定
手順すべての TACACS+ サーバのデッド タイム間隔を設定できます。 デッド タイム間隔には、Cisco Nexus デバイスが TACACS+ サーバをデッド状態であると宣言した後、そのサーバがアライブ状態に戻ったかどうかを判断するためにテスト パケットを送信するまでの間隔を指定します。
(注)
デッド タイム間隔が 0 分の場合、TACACS+ サーバは、応答を返さない場合でも、デットとしてマークされません。 デッド タイム間隔はグループ単位で設定できます。
コマンドまたはアクション 目的 ステップ 1 switch# configure terminal グローバル コンフィギュレーション モードを開始します。
ステップ 2 switch(config)# tacacs-server deadtime minutes
グローバルなデッド タイム間隔を設定します。 デフォルト値は 0 分です。 有効な範囲は 1 ~ 1440 分です。
ステップ 3 switch(config)# exit
設定モードを終了します。
ステップ 4 switch# show tacacs-server
(任意) TACACS+ サーバの設定を表示します。
ステップ 5 switch# copy running-config startup-config
(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
TACACS+ サーバまたはサーバ グループの手動モニタリング
TACACS+ のディセーブル化
TACACS+ の設定の確認
TACACS+ の情報を表示するには、次のいずれかの作業を行います。
コマンド 目的 show tacacs+ {status | pending | pending-diff}
Cisco Fabric Services の TACACS+ 設定の配布状況と他の詳細事項を表示します。
show running-config tacacs [all]
実行コンフィギュレーションの TACACS+ 設定を表示します。
show startup-config tacacs
スタートアップ コンフィギュレーションの TACACS+ 設定を表示します。
show tacacs-serve [host-name | ipv4-address | ipv6-address] [directed-request | groups | sorted | statistics]
設定済みのすべての TACACS+ サーバのパラメータを表示します。
TACACS+ の設定例
次の例は、TACACS+ を設定する方法を示しています。
switch# configure terminal switch(config)# feature tacacs+ switch(config)# tacacs-server key 7 "ToIkLhPpG" switch(config)# tacacs-server host 10.10.2.2 key 7 "ShMoMhTl" switch(config)# aaa group server tacacs+ TacServer switch(config-tacacs+)# server 10.10.2.2 switch(config-tacacs+)# use-vrf management次に、TACACS+ をイネーブルにし、TACACS+ サーバの事前共有キーを設定して、サーバ グループ TacServer1 を認証するためにリモート AAA サーバを指定する例を示します。
switch# configure terminal switch(config)# feature tacacs+ switch(config)# tacacs-server key 7 "ikvhw10" switch(config)# tacacs-server host 1.1.1.1 switch(config)# tacacs-server host 1.1.1.2 switch(config)# aaa group server tacacs+ TacServer1 switch(config-tacacs+)# server 1.1.1.1 switch(config-tacacs+)# server 1.1.1.2