認証の機能
ここでは、各認証方式のメカニズムについて説明します。
• 「認証の概要」
• 「ログイン認証の機能」
• 「ローカル認証の機能」
• 「ローカル ユーザ認証の機能」
• 「TACACS+認証の機能」
• 「RADIUS認証の機能」
• 「Kerberos認証の機能」
認証の概要
次の認証方式を任意に組み合わせて設定することにより、スイッチに対するアクセスを制御できます。
• ログイン認証
• ローカル認証
• RADIUS認証
• TACACS+認証
• Kerberos認証
(注) 認証方式としてTACACS+を使用している場合、Kerberos認証は機能しません。
ローカル認証を1つまたは複数の他の認証方式と併用してイネーブルにすると、ローカル認証は常に最後に試行されます。ただし、コンソール接続とTelnet接続には異なる認証方式を指定することができます。たとえば、コンソール接続にローカル認証を使用して、Telnet接続にRADIUS認証を使用することができます。
ログイン認証の機能
ログイン認証は、不正ユーザにパスワードを推測させないようにすることで、セキュリティを向上させます。ユーザはスイッチに正常にログインするまでのログイン試行回数が制限されています。ユーザがパスワード認証に失敗した場合、システムはアクセスを延期し、SyslogおよびSNMP(簡易ネットワーク管理プロトコル)トラップにステーションのユーザIDおよびIPアドレスを記録します。
ログイン試行回数の最大値は、set authentication login attempt countコマンドを使用して、CLIおよびSNMPで設定できます。イネーブル モードへのアクセスに対してログイン制限を設定するには、set authentication enable attempt countコマンドを入力します。設定範囲は3(デフォルト)~10回です。ログイン認証をゼロ(0)に設定すると、この機能はディセーブルになります。
すべての認証方式(Remote Access Dial-In User Service[RADIUS]、Terminal Access Controller Access Control System Plus[TACACS+]、Kerberos、またはローカル)がサポートされています。
ロックアウト(遅延)時間は、set authentication login lockout timeコマンドを使用して、CLIおよびSNMPで設定できます。イネーブル モードへのアクセスに対して遅延時間を設定するには、set authentication enable lockout timeコマンドを使用します。設定範囲は30~43,200秒です。ロックアウト時間をゼロ(0)に設定すると、この機能はディセーブルになります。
ユーザがコンソールでロックアウトされると、ロックアウト時間が経過するまで、コンソールにログインすることはできません。Telnetセッションでロックアウトされた場合は、制限時間に達すると接続が終了します。スイッチは、ロックアウト時間が経過するまで、そのステーションからの以降のアクセスを無効にし、適切な通知を表示します。
ローカル認証の機能
ローカル認証では、ローカルで設定されたログイン パスワードとイネーブル パスワードを使用して、ログイン試行を認証します。ログイン パスワードおよびイネーブル パスワードは、各スイッチにローカルであり、個々のユーザ名とは対応付けられません。
デフォルトでは、ローカル認証はイネーブルに設定されています。1つまたは複数の他の認証方式をイネーブルにしたときだけ、ローカル認証をディセーブルにできます。ただし、ローカル認証がディセーブルのときに、その他すべての認証方式をディセーブルにすると、ローカル認証が自動的に再びイネーブルになります。
ローカル認証とともに、1つまたは複数の他の認証方式を同時にイネーブルにできます。ローカル認証は、他の認証方式が失敗した場合に限って、スイッチによって試行されます。
ローカル ユーザ認証の機能
ローカル ユーザ認証では、ローカル ユーザのログイン試行の確認のために作成するローカル ユーザ アカウントとパスワードを使用します。各スイッチで最大25のローカル ユーザ アカウントを設定できます。ローカル ユーザ認証をイネーブルにするには、先に少なくとも1つのローカル ユーザ アカウントを定義します。
ローカル ユーザ アカウントを設定するには、ローカル ユーザごとに一意のユーザ名およびパスワードの組み合わせを作成します。各ユーザ名は64文字以内の英数字を使用できます(少なくとも1文字は英字であること)。
ローカル ユーザ アカウントごとに権限レベルを設定します。有効な権限レベルは0~15です。ユーザ名およびパスワードの組み合わせに割り当てられた権限レベルにより、認証成功後にユーザーがユーザ モードまたはイネーブル モードのいずれでログインするかが決まります。権限レベルが0のユーザは、自動的にユーザ モードでログインします。権限レベルが15のユーザはイネーブル モードでログインします。権限レベルが0のユーザも、enableコマンドとパスワードの組み合わせを入力して、イネーブル モードにアクセスできます。ローカル ユーザがログインした場合、表示できるのは、その権限レベルで使用可能なコマンドのみです。
(注) CiscoViewイメージを実行しているか、HTTPログインを使用してログインしている場合は、システムの初期認証がユーザ名とパスワードの組み合わせで実行されます。ローカル ユーザに15の権限レベルが設定されていれば、権限パスワードを入力するかユーザ名とパスワードの組み合わせを使用するとイネーブル モードを開始できます。
TACACS+認証の機能
TACACS+は、ネットワーク装置と中央データベースの間でNetwork Access Server(NAS)情報を交換し、ユーザまたはエンティティのアイデンティティを判別することにより、ネットワーク装置に対するアクセスを制御します。TACACS+は、RFC 1492で規定されているUDPベースのアクセス制御プロトコル、TACACSの拡張バージョンです。TACACS+はTCPを使用して、ネットワーク装置上のTACACS+サーバとTACACS+デーモン間のすべてのトラフィックを暗号化し、信頼性の高い配信を保証します。
TACACS+は、固定パスワード、ワンタイム パスワード、チャレンジ応答認証など、多数の認証タイプをサポートしています。TACACS+認証は、通常、次の状況で実行されます。
• 装置への最初のログイン時
• 権限付きアクセス権が必要なサービス要求の送信時
権限が必要なサービスまたは制限付きのサービスを要求すると、TACACS+により、MD5暗号化アルゴリズムに基づいてユーザのパスワード情報が暗号化され、TACACS+パケット ヘッダーが付加されます。このヘッダー情報には、送信パケットのタイプ(認証パケットなど)、パケット シーケンス番号、使用した暗号タイプ、パケット合計長が含まれています。このパケットがTACACS+プロトコルによってTACACS+サーバに転送されます。
TACACS+サーバは、認証、許可、およびアカウンティングの機能を実行します。いずれのサービスもTACACS+の機能ですが、それぞれ独立しているので、TACACS+設定ごとに任意の組み合わせで使用できます。
パケットを受信したTACACS+サーバは、次のように動作します。
• ユーザ情報を認証し、認証の成否をクライアントに通知します。
• 認証処理が続けられること、および追加情報が必要なことをクライアントに通知します。このチャレンジ応答プロセスは、認証の成否が確定するまで繰り返されます。
クライアントおよびサーバにTACACS+鍵を設定できます。スイッチ上でこの鍵を設定する場合、TACACS+サーバ上で設定されている鍵と一致させなければなりません。TACACS+クライアント/サーバはこの鍵を使用して、送信対象のすべてのTACACS+パケットを暗号化します。TACACS+鍵を設定しなかった場合、パケットは暗号化されません。
スイッチ上で次のTACACS+パラメータを設定できます。
• スイッチへのアクセスがユーザに許可されているかどうかを判別するTACACS+認証のイネーブル化およびディセーブル化
• イネーブル モードへのアクセスがユーザに許可されているかどうかを判別するTACACS+認証のイネーブル化およびディセーブル化
• プロトコル パケットを暗号化する鍵
• TACACS+サーバ デーモンを常駐させるサーバ
• ログインの最大試行回数
• サーバ デーモンの応答に関するタイムアウト インターバル
• directed request(指定要求)オプションのイネーブル化およびディセーブル化
TACACS+認証は、ディセーブルがデフォルトの設定です。TACACS+認証とローカル認証の両方を同時にイネーブルに設定できます。
ローカル認証がディセーブルのときに、その他すべての認証方式をディセーブルにすると、ローカル認証が自動的に再度イネーブルになります。
RADIUS認証の機能
RADIUSは、ネットワーク装置への接続を試みるユーザを認証する際に、NASが使用するクライアント/サーバ認証および許可アクセス プロトコルです。NASはクライアントとして動作するとき、1つまたは複数のRADIUSサーバにユーザ情報を引き渡します。NASは、1つまたは複数のRADIUSサーバから受信した応答に基づいて、ユーザに対してネットワーク アクセスを許可または拒否します。RADIUSでは、RADIUSクライアントとサーバ間の伝送にUDPを使用します。
クライアントおよびサーバ上でRADIUS鍵を設定できます。クライアント上でこの鍵を設定する場合、RADIUSサーバ上で設定されている鍵と一致させなければなりません。RADIUSクライアントおよびサーバは、鍵を使用して、転送されたRADIUSパケットをすべて暗号化します。RADIUS鍵を設定しないと、パケットは暗号化されません。鍵自体がネットワーク上を転送されることはありません。
(注) RADIUSプロトコルの詳細説明については、RFC 2138「Remote Authentication Dial In User Service(RADIUS)」を参照してください。
スイッチ上で設定できるRADIUSパラメータは次のとおりです。
• ログイン アクセスを制御するためのRADIUS認証のイネーブル化およびディセーブル化
• イネーブル アクセスを制御するためのRADIUS認証のイネーブル化およびディセーブル化
• RADIUSサーバのIPアドレスおよびUDPポートの指定
• RADIUSパケットの暗号化に使用するRADIUS鍵の指定
• RADIUSサーバのタイムアウト インターバルの指定
• RADIUS再送信カウントの指定
• RADIUSサーバの待機時間の長さの指定
RADIUS認証のデフォルト設定は、ディセーブルです。RADIUS認証とその他の認証方式は同時にイネーブルにできます。最初に使用する方式は、 primary キーワードを使用して指定できます。
ローカル認証がディセーブルのときに、その他すべての認証方式をディセーブルにすると、ローカル認証が自動的に再度イネーブルになります。
Kerberos認証の機能
Kerberosは、クライアント/サーバ ベースの秘密鍵ネットワーク認証方式で、信頼できるKerberosサーバを使用して、サービスとユーザの両方に対するセキュア アクセスを確認します。Kerberosでは、この信頼できるサーバをKey Distribution Center(KDC;鍵発行局)といいます。KDCはユーザおよびサービスを検証するためにチケットを発行します。チケットは、特定のサービスに関してクライアントのアイデンティティを確認するための一時的な一連の電子信用情報です。
このチケットには有効期限があり、サービスがチケットの発行元であるKerberosサーバを信頼している場合、標準のパスワード ペアによる認証メカニズムの代わりにチケットを使用できます。標準のユーザ パスワード方式を使用する場合は、Kerberosがユーザのパスワードを暗号化してチケットに組み込み、パスワードがネットワーク上をクリア テキストとして流れないようにします。Kerberosを使用した場合、パスワードは、Kerberosサーバ以外の装置上で保存されるのは数秒以下です。Kerberosを使用すると、暗号化されたチケットをネットワークから盗もうとする侵入者に対しても防御できます。
表21-1 に、Kerberosの用語を定義します。
表21-1 Kerberosの用語
|
|
Kerberos対応 |
Kerberos証明書の基盤をサポートするように変更されたアプリケーションおよびサービス。 |
Kerberos証明書 |
Ticket Granting Ticket(TGT;身分証明書)などの認証チケット、およびサービス証明書のこと。Kerberos証明書で、ユーザまたはサービスのチケットを検証します。ネットワーク サービスがチケットを発行したKerberosサーバを信頼することにした場合、ユーザ名およびパスワードを再度入力する代わりにKerberos証明書を使用できます。証明書の有効期限は、8時間がデフォルトの設定です。 |
Kerberosアイデンティティ |
(Kerberosプリンシパルを参照) |
Kerberosプリンシパル |
Kerberosプリンシパルは、Kerberosサーバに基づき、ユーザが誰であるか、サービスが何であるかを表します。Kerberosアイデンティティともいいます。 |
Kerberosレルム |
Kerberosサーバに登録されたユーザ、ホスト、およびネットワーク サービスで構成されるドメイン。Kerberosサーバを信頼して、ユーザまたはネットワーク サービスに対する別のユーザまたはネットワーク サービスのアイデンティティ検証が行われます。Kerberosレルムは、常に大文字にする必要があります。 |
Kerberosサーバ |
ネットワーク ホスト上で稼働しているデーモン。ユーザおよびネットワーク サービスは、それぞれのアイデンティティをKerberosサーバに登録します。ネットワーク サービスはKerberosサーバにクエリを出して、他のネットワーク サービスを認証します。 |
KDC |
ネットワーク ホスト上で稼働しているKerberosサーバおよびデータベース プログラム。さまざまなユーザまたはネットワーク サービスにKerberos証明書を割り当てます。 |
サービス証明書 |
ネットワーク サービスに関する証明書。KDCから発行されるこの証明書は、ネットワーク サービスとKDC間で共通のパスワード、およびユーザのTGTと一緒に暗号化されます。 |
SRVTAB |
ネットワーク サービスがKDCと共有するパスワード。ネットワーク サービスは、SRVTAB(別名KEYTAB)を使用することにより、暗号化されたサービス証明書を認証して解読します。 |
TGT |
KDCが認証済みユーザに発行する証明書。TGTを受け取ったユーザは、KDCが表したKerberosレルム内のネットワーク サービスに関して、認証を得ることができます。 |
Catalyst 6500シリーズ スイッチでは、コンソール ポートおよび帯域内管理ポートの両方で、TelnetクライアントおよびサーバをKerberos対応にすることができます。
(注) 認証メカニズムとしてTACACS+を使用している場合、Kerberos認証は機能しません。
(注) モデムまたは端末サーバからコンソールにログインする場合は、Kerberos対応のログイン手順を使用できません。
Kerberos対応のログイン手順を使用する場合
帯域内管理ポートからログインする場合は、Kerberos対応のTelnetセッションを使用できます。TelnetクライアントおよびサービスがKerberos対応になっている場合、ユーザは次の手順でスイッチにTelnetでアクセスします。
1. Telnetクライアントはユーザ名を要求し、Kerberosサーバ上のKDCにTGT要求を出します。
2. KDCがTGTを作成します。TGTにはユーザのアイデンティティ、KDCのアイデンティティ、TGTの有効期限が指定されます。KDCはさらに、ユーザのパスワードとともにTGTを暗号化し、そのTGTをクライアントに送信します。
3. 暗号化されたTGTを受け取ったTelnetクライアントは、パスワードを要求します。Telnetクライアントが入力されたパスワードを使用してTGTを解読できた場合、KDCの認証が正常に得られます。クライアントはその後、サービス証明書要求を作成してKDCに送信します。この要求には、ユーザのアイデンティティ、およびスイッチにTelnetで接続することを伝えるメッセージが含まれます。この要求はTGTを使用して暗号化されます。
4. KDCがクライアントに発行したTGTを使用してサービス証明書要求を正しく解読できた場合、スイッチへのサービスが用意されます。サービス証明書にはクライアントのアイデンティティ、および所定のTelnetサーバのアイデンティティが指定されます。KDCはさらに、スイッチのTelnetサーバと共通のパスワードを使用して証明書を暗号化し、生成されたパケットをTelnetクライアントのTGTで暗号化して、クライアントにパケットを送信します。
5. Telnetクライアントはまず、自身のTGTを使用してパケットを解読します。暗号化に問題がなければ、クライアントからスイッチのTelnetサーバへ、生成されたパケットを送信します。この時点では、パケットはまだ、スイッチのTelnetサーバとKDCが共有するパスワードで暗号化された状態です。
6. Telnetクライアントは指示された場合、TGTをスイッチに転送します。その結果、別のTGTを取得しなくても、スイッチの別のネットワーク サービスを使用できます。
図21-1に、Kerberos対応Telnetの接続プロセスを示します。
図21-1 Kerberos対応のTelnet接続
Kerberos非対応のログイン手順を使用する場合
Kerberos非対応のログイン手順を使用してスイッチにログインする場合、スイッチがログイン クライアントの代わりに、KDCに対する認証を処理します。ただし、ユーザ パスワードはクリア テキストの状態でログイン クライアントからスイッチに転送されます。
(注) Kerberos非対応のログインは、モデムまたは端末サーバから、帯域内管理ポートを使用して実行できます。Telnetは、Kerberos非対応のログインをサポートしていません。
Kerberos非対応のログインを開始した場合、手順は次のようになります。
1. ユーザ名およびパスワードを入力するように要求されます。
2. スイッチからKDCにTGTを要求します。その結果、ユーザはスイッチの認証を受けることができます。
3. KDCがスイッチに暗号化されたTGTを送信します。TGTにはユーザのアイデンティティ、KDCのアイデンティティ、TGTの有効期限が指定されます。
4. スイッチはユーザが入力したパスワードを使用して、TGTを解読します。解読が正常に完了した場合、ユーザはスイッチの認証が得られます。
5. 他のネットワーク サービスにアクセスする場合は、KDCに直接アクセスして認証を受ける必要があります。TGTを取得するには、Kerberosパッケージに付属しているクライアント ソフトウェア プログラム[kinit]を使用します。
図21-2に、Kerberos非対応のログイン プロセスを示します。
図21-2 Kerberos非対応のTelnet接続
スイッチ上での認証の設定
ここでは、さまざまな認証方式を設定する手順について説明します。
• 「認証のデフォルト設定」
• 「認証設定時の注意事項」
• 「ログイン認証の設定」
• 「ローカル認証の設定」
• 「ローカル ユーザ認証の設定」
• 「TACACS+認証の設定」
• 「RADIUS認証の設定」
• 「Kerberos認証の設定」
• 「認証の例」
認証のデフォルト設定
表21-2 に、認証のデフォルト設定を示します。
表21-2 認証のデフォルト設定
|
|
ログイン認証(コンソールおよびTelnet) |
イネーブル |
ローカル認証(コンソールおよびTelnet) |
イネーブル |
ローカル ユーザ認証 |
ディセーブル |
TACACS+ログイン認証(コンソールおよびTelnet) |
ディセーブル |
TACACS+イネーブル認証(コンソールおよびTelnet) |
ディセーブル |
TACACS+鍵 |
指定なし |
TACACS+ログイン試行回数 |
3 |
TACACS+サーバ タイムアウト |
5秒 |
TACACS+指定要求 |
ディセーブル |
RADIUSログイン認証(コンソールおよびTelnet) |
ディセーブル |
RADIUSイネーブル認証(コンソールおよびTelnet) |
ディセーブル |
RADIUSサーバIPアドレス |
指定なし |
RADIUSサーバUDP認証ポート |
ポート1812 |
RADIUS鍵 |
指定なし |
RADIUSサーバ タイムアウト |
5秒 |
RADIUSサーバ待機時間 |
0(サーバは待機状態としてマークされていません) |
RADIUS再送信試行回数 |
2回 |
Kerberosログイン認証(コンソールおよびTelnet) |
ディセーブル |
Kerberosイネーブル認証(コンソールおよびTelnet) |
ディセーブル |
KerberosサーバIPアドレス |
指定なし |
Kerberos DES鍵 |
指定なし |
Kerberosサーバ認証ポート |
ポート750 |
Kerberosローカル レルム名 |
ヌル ストリング |
Kerberos証明書転送 |
ディセーブル |
Kerberosクライアント必須 |
必須ではない |
Kerberos事前認証 |
ディセーブル |
認証設定時の注意事項
ここでは、スイッチでの認証設定時の注意事項について説明します。
• console キーワードまたは telnet キーワードを使用して、接続タイプ別に使用する認証方式を指定しないかぎり、認証の設定はコンソール接続とTelnet接続の両方に適用されます。
• スイッチ上でRADIUSまたはTACACS+鍵を設定した場合は、同じ鍵をRADIUSまたはTACACS+サーバ上で設定しなければなりません。
• スイッチ上でRADIUSまたはTACACS+をイネーブルにする前に、RADIUSサーバまたはTACACS+サーバを指定する必要があります。
• 複数のRADIUSサーバまたはTACACS+サーバを設定する場合は、最初に設定するサーバがプライマリ サーバになり、認証要求はそのサーバに最初に送信されます。特定のサーバをプライマリとして指定する場合は、 primary キーワードを使用します。
• RADIUSおよびTACACS+は、1つのイネーブル モードだけをサポートします(レベル1)。
• 認証メカニズムとしてTACACS+も使用している場合、Kerberos認証は機能しません。
• ローカル ユーザ認証をイネーブルにするには、先に少なくとも1つのユーザ名を定義します。
• ローカル ユーザ アカウントおよびパスワードは64文字以内で、英数字を使用できます。ただし、ローカル ユーザ アカウントには少なくとも1文字は英字を使用します。
スイッチ上でのログイン認証の試行回数の設定
スイッチ上でログイン認証を設定するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
スイッチ上でログイン試行回数制限をイネーブルにします。コンソール ポート接続またはTelnet接続に限ってログイン認証をイネーブルにする場合は、 console または telnet キーワードを指定します。 |
set authentication login attempt { count } [ console | telnet ] |
ステップ 2 |
スイッチ上でログイン ロックアウト時間をイネーブルにします。コンソール ポート接続またはTelnet接続に限ってログイン認証をイネーブルにする場合は、 console または telnet キーワードを指定します。 |
set authentication login lockout { time } [ console | telnet ] |
ステップ 3 |
ローカル認証の設定を確認します。 |
show authentication |
次に、ログイン試行回数を5回に制限し、コンソール接続とTelnet接続の両方についてロックアウト時間を50秒に設定し、その設定を確認する例を示します。
Console> (enable) set authentication login attempt 5
Login authentication attempts for console and telnet logins set to 5.
Console> (enable) set authentication login lockout 50
Login lockout time for console and telnet logins set to 50.
Console> (enable) show authentication
Login Authentication: Console Session Telnet Session Http Session
--------------------- ---------------- ---------------- ----------------
tacacs disabled disabled disabled
radius disabled disabled disabled
kerberos disabled disabled disabled
local enabled(primary) enabled(primary) enabled(primary)
lockout timeout (sec) 50 50 -
Enable Authentication: Console Session Telnet Session Http Session
---------------------- ----------------- ---------------- ----------------
tacacs disabled disabled disabled
radius disabled disabled disabled
kerberos disabled disabled disabled
local enabled(primary) enabled(primary) enabled(primary)
lockout timeout (sec) disabled disabled -
イネーブル モードのログイン認証試行回数の設定
イネーブル モードのログイン認証を設定するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
イネーブル モードのログイン試行回数制限をイネーブルにします。コンソール ポート接続またはTelnet接続に限ってログイン認証をイネーブルにする場合は、 console または telnet キーワードを指定します。 |
set authentication enable attempt { count } [ console | telnet ] |
ステップ 2 |
イネーブル モードのログイン ロックアウト時間をイネーブルにします。コンソール ポート接続またはTelnet接続に限ってログイン認証をイネーブルにする場合は、 console または telnet キーワードを指定します。 |
set authentication enable lockout { time } [ console | telnet ] |
ステップ 3 |
ローカル認証の設定を確認します。 |
show authentication |
次に、イネーブル モードのログイン試行回数を5回に制限し、コンソール接続とTelnet接続の両方でイネーブル モード ロックアウト時間を50秒に設定し、その設定を確認する例を示します。
Console> (enable) set authentication enable attempt 5
Enable mode authentication attempts for console and telnet logins set to 5.
Console> (enable) set authentication enable lockout 50
Enable mode lockout time for console and telnet logins set to 50.
Console> (enable) show authentication
Login Authentication: Console Session Telnet Session Http Session
--------------------- ---------------- ---------------- ----------------
tacacs disabled disabled disabled
radius disabled disabled disabled
kerberos disabled disabled disabled
local enabled(primary) enabled(primary) enabled(primary)
lockout timeout (sec) 50 50 -
Enable Authentication: Console Session Telnet Session Http Session
---------------------- ----------------- ---------------- ----------------
tacacs disabled disabled disabled
radius disabled disabled disabled
kerberos disabled disabled disabled
local enabled(primary) enabled(primary) enabled(primary)
lockout timeout (sec) 50 50 -
ローカル認証のイネーブル化
(注) ローカル ログイン認証およびイネーブル認証は、デフォルトの設定として、コンソール接続とTelnet接続の両方でイネーブルです。デフォルト設定を変更する場合、またはローカル認証をディセーブルにしている場合を除き、次の作業は不要です。
スイッチ上でローカル認証をイネーブルにするには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
スイッチ上でローカル ログイン認証をイネーブルにします。コンソール ポート接続またはTelnet接続に限ってローカル認証をイネーブルにする場合は、 console キーワードまたは telnet キーワードを指定します。 |
set authentication login local enable [ all | console | http | telnet ] |
ステップ 2 |
スイッチ上でローカル イネーブル認証をイネーブルにします。コンソール ポート接続またはTelnet接続に限ってローカル認証をイネーブルにする場合は、 console キーワードまたは telnet キーワードを指定します。 |
set authentication enable local enable [ all | console | http | telnet ] |
ステップ 3 |
ローカル認証の設定を確認します。 |
show authentication |
次に、ローカル ログインをイネーブルに設定し、コンソール接続とTelnet接続の両方で認証をイネーブルにして、その設定を確認する例を示します。
Console> (enable) set authentication login local enable
local login authentication set to enable for console and telnet session.
Console> (enable) set authentication enable local enable
local enable authentication set to enable for console and telnet session.
Console> (enable) show authentication
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
kerberos disabled disabled
local enabled(primary) enabled(primary)
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
kerberos disabled disabled
local enabled(primary) enabled(primary)
ログイン パスワードの設定
ログイン パスワードによって、ユーザ モードのCLIへのアクセスを制御します。パスワードには大文字と小文字の区別があり、任意の印刷可能な文字をスペースも含めて19文字まで使用できます。
(注) Release 5.4より前のソフトウェア リリースのバージョンで設定したパスワードには、大文字と小文字の区別がありません。Release 5.4のソフトウェア リリースをインストール後に、大文字と小文字の区別があるパスワードに再度設定する必要があります。
ローカル認証用にログイン パスワードを設定するには、イネーブル モードで次の作業を行います。
|
|
アクセスのためのログイン パスワードを設定します。以前のパスワードを入力し(パスワードが設定されていない場合には Return キーを押し)、新しいパスワードを入力して、さらにもう一度、新しいパスワードを入力します。 |
set password |
次に、スイッチ上でログイン パスワードを設定する例を示します。
Console> (enable) set password
Enter old password: <old_password>
Enter new password: <new_password>
Retype new password: <new_password>
イネーブル パスワードの設定
ログイン パスワードによって、ユーザ モードのCLIへのアクセスを制御します。パスワードには大文字と小文字の区別があり、任意の印刷可能な文字をスペースも含めて19文字まで使用できます。
(注) Release 5.4より前のソフトウェア リリースのバージョンで設定したパスワードには、大文字と小文字の区別がありません。Release 5.4のソフトウェア リリースをインストール後に、大文字と小文字の区別があるパスワードに再度設定する必要があります。
ローカル認証用にイネーブル パスワードを設定するには、イネーブル モードで次の作業を行います。
|
|
イネーブル モードのパスワードを設定します。以前のパスワードを入力し(パスワードが設定されていない場合には Return キーを押し)、新しいパスワードを入力して、さらにもう一度、新しいパスワードを入力します。 |
set enablepass |
次に、スイッチ上でイネーブル パスワードを設定する例を示します。
Console> (enable) set enablepass
Enter old password: <old_password>
Enter new password: <new_password>
Retype new password: <new_password>
ローカル認証のディセーブル化
注意 ローカル ログインまたはイネーブル認証をディセーブルにする前に、RADIUSまたはTACACS+認証が正しく設定され、機能しているかどうかを確認します。ローカル認証をディセーブルにした際に、RADIUSやTACACS+が正しく設定されていなかった場合、またはRADIUSサーバやTACACS+サーバがオンラインでなかった場合、スイッチにログインできない可能性があります。
スイッチ上でローカル認証をディセーブルにするには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
スイッチ上でローカル ログイン認証をディセーブルにします。コンソール ポート接続またはTelnet接続に限ってローカル認証をディセーブルにする場合は、 console キーワードまたは telnet キーワードを指定します。 |
set authentication login local disable [ all | console | http | telnet ] |
ステップ 2 |
スイッチ上でローカル イネーブル認証をディセーブルにします。コンソール ポート接続またはTelnet接続に限ってローカル認証をディセーブルにする場合は、 console キーワードまたは telnet キーワードを指定します。 |
set authentication enable local disable [ all | console | http | telnet ] |
ステップ 3 |
ローカル認証の設定を確認します。 |
show authentication |
(注) RADIUSまたはTACACS+認証をイネーブルにしてから、ローカル認証をディセーブルにします。
次に、ローカル ログイン認証をディセーブルに設定し、コンソール接続とTelnet接続の両方で認証をイネーブルにして、その設定を確認する例を示します。
Console> (enable) set authentication login local disable
local login authentication set to disable for console and telnet session.
Console> (enable) set authentication enable local disable
local enable authentication set to disable for console and telnet session.
Console> (enable) show authentication
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
radius enabled(primary) enabled(primary)
kerberos disabled disabled
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
radius enabled(primary) enabled(primary)
kerberos disabled disabled
パスワードの回復
ローカル認証パスワードを回復するには、次の手順に従います。ステップ3~7は、いったん電源を切ってから再投入したあと、30秒以内に行う必要があります。そうでない場合は、パスワードの回復に失敗します。ログイン パスワードとイネーブル パスワードを両方とも忘れた場合には、パスワードごとに手順を繰り返してください。
パスワードを回復するには、イネーブル モードで次の作業を行います。
ステップ 1 スーパバイザ エンジンのコンソール ポートからスイッチに接続します。Telnet接続の場合はパスワードを回復することはできません。
ステップ 2 reset system コマンドを入力してスイッチを再起動します。
ステップ 3 [Enter Password]のプロンプトで Return キーを押します(コンソール ポートに接続してから30秒間、ログイン パスワードは空白です)。
ステップ 4 enable コマンドを使用してイネーブル モードを開始します。
ステップ 5 [Enter Password]のプロンプトで Return キーを押します( コンソール ポートに接続してから30秒間、イネーブル パスワードは空白です)。
ステップ 6 set password コマンドまたは set enablepass コマンドを入力します。
ステップ 7 以前のパスワードを要求するプロンプトに対して、 Return キーを押します。
ステップ 8 新しいパスワードを入力して確認します。
ローカル ユーザ アカウントの作成
ローカル ユーザ アカウントおよびパスワードは64文字以内で、英数字を使用できます。ただし、ローカル ユーザ アカウントには、少なくとも1文字は英字を使用します。
スイッチ上でローカル ユーザ アカウントを作成するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
新規のローカル ユーザ アカウントを作成します。 |
set localuser user username password pwd privilege privilege_level |
ステップ 2 |
ローカル ユーザ アカウントを確認します。 |
show localusers |
次に、ローカル ユーザ アカウントとパスワードを作成して権限レベルを設定し、その設定を確認する例を示します。
Console> (enable) set localuser user picard password captain privilege 15
Console> (enable) show localusers
Local User Authentication: disabled
ローカル ユーザ認証のイネーブル化
スイッチ上でローカル ユーザ認証をイネーブルにするには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
ローカル ユーザ認証をイネーブルにします。 |
set localuser authentication enable |
ステップ 2 |
ローカル ユーザ認証の設定を確認します。 |
show authentication |
次に、ローカル ユーザ アカウントを作成してローカル ユーザ認証をイネーブルにし、その設定を確認する例を示します。
Console> (enable) set localuser authentication enable
Local User Authentication enabled.
Console> (enable) show authentication
Login Authentication: Console Session Telnet Session Http Session
--------------------- ---------------- ---------------- ----------------
tacacs disabled disabled disabled
radius disabled disabled disabled
kerberos disabled disabled disabled
local * enabled(primary) enabled(primary) enabled(primary)
lockout timeout (sec) disabled disabled -
Enable Authentication: Console Session Telnet Session Http Session
---------------------- ----------------- ---------------- ----------------
tacacs disabled disabled disabled
radius disabled disabled disabled
kerberos disabled disabled disabled
local * enabled(primary) enabled(primary) enabled(primary)
lockout timeout (sec) disabled disabled -
* Local User Authentication enabled.
ローカル ユーザ認証のディセーブル化
スイッチ上でローカル ユーザ認証をディセーブルにするには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
ローカル ユーザ認証をディセーブルにします。 |
set localuser authentication disable |
ステップ 2 |
ローカル認証の設定を確認します。 |
show authentication |
次に、スイッチのローカル ユーザ認証をディセーブルにし、設定を確認する例を示します。
Console> (enable) set localuser authentication disable
local user authentication set to disable.
Console> (enable) show authentication
Login Authentication: Console Session Telnet Session Http Session
--------------------- ---------------- ---------------- ----------------
tacacs disabled disabled disabled
radius disabled disabled disabled
kerberos disabled disabled disabled
local * enabled(primary) enabled(primary) enabled(primary)
lockout timeout (sec) disabled disabled -
Enable Authentication: Console Session Telnet Session Http Session
---------------------- ----------------- ---------------- ----------------
tacacs disabled disabled disabled
radius disabled disabled disabled
kerberos disabled disabled disabled
local * enabled(primary) enabled(primary) enabled(primary)
lockout timeout (sec) disabled disabled -
* Local User Authentication disabled.
ローカル ユーザ アカウントの削除
スイッチ上でローカル ユーザ アカウントを削除するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
ローカル ユーザ アカウントを削除します。 |
clear localuser picard |
ステップ 2 |
ローカル ユーザ アカウントが削除されたことを確認します。 |
show localusers |
次に、スイッチのローカル ユーザ認証を削除し、設定を確認する例を示します。
Console> (enable) clear localuser number1
Console> (enable) show localusers
Local User Authentication: enabled
TACACS+サーバの指定
1つまたは複数のTACACS+サーバを指定してから、スイッチ上でTACACS+認証をイネーブルにします。 primary キーワードでプライマリにするサーバを明示的に指定しないかぎり、最初に指定したサーバがプライマリ サーバになります。
1つまたは複数のTACACS+サーバを指定するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
1つまたは複数のTACACS+サーバのIPアドレスを指定します。 |
set tacacs server ip_addr [ primary ] |
ステップ 2 |
TACACS+の設定を確認します。 |
show tacacs |
次に、TACACS+サーバを指定し、設定を確認する例を示します。
Console> (enable) set tacacs server 172.20.52.3
172.20.52.3 added to TACACS server table as primary server.
Console> (enable) set tacacs server 172.20.52.2 primary
172.20.52.2 added to TACACS server table as primary server.
Console> (enable) set tacacs server 172.20.52.10
172.20.52.10 added to TACACS server table as backup server.
Console> (enable) show tacacs
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
local enabled(primary) enabled(primary)
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
local enabled(primary) enabled(primary)
Tacacs timeout: 5 seconds
Tacacs direct request: disabled
---------------------------------------- -------
TACACS+認証のイネーブル化
(注) 少なくとも1つのTACACS+サーバを指定してから、スイッチ上でTACACS+認証をイネーブルにします。TACACS+サーバの指定方法については、「TACACS+サーバの指定」を参照してください。
スイッチに対するログイン アクセスおよびイネーブル アクセスに関して、TACACS+認証をイネーブルに設定できます。状況に応じて、 console キーワードまたは telnet キーワードを指定すると、コンソール接続、またはTelnet接続に限ってTACACS+認証を使用できます。RADIUSとTACACS+の両方を使用する場合は、 primary キーワードを使用して、スイッチに最初にTACACS+認証を試行させることができます。
TACACS+認証をイネーブルにするには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
ユーザ ログイン モードについて、TACACS+認証をイネーブルにします。コンソール ポート接続またはTelnet接続に限ってTACACS+認証をイネーブルにする場合は、 console キーワードまたは telnet キーワードを指定します。 |
set authentication login tacacs enable [ all | console | http | telnet ] [ primary ] |
ステップ 2 |
イネーブル モードについて、TACACS+認証をイネーブルにします。コンソール ポート接続またはTelnet接続に限ってTACACS+認証をイネーブルにする場合は、 console キーワードまたは telnet キーワードを指定します。 |
set authentication enable tacacs enable [ all | console | http | telnet ] [ primary ] |
ステップ 3 |
TACACS+の設定を確認します。 |
show authentication |
次に、コンソール接続とTelnet接続の両方でTACACS+認証をイネーブルにして、設定を確認する例を示します。
Console> (enable) set authentication login tacacs enable
tacacs login authentication set to enable for console and telnet session.
Console> (enable) set authentication enable tacacs enable
tacacs enable authentication set to enable for console and telnet session.
Console> (enable) show authentication
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
tacacs enabled(primary) enabled(primary)
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
tacacs enabled(primary) enabled(primary)
TACACS+鍵の指定
(注) クライアント上でTACACS+鍵を設定する場合、TACACS+サーバ上で設定されている鍵と一致させなければなりません。
TACACS+鍵を指定するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
パケットを暗号化する鍵を指定します。 |
set tacacs key key |
ステップ 2 |
TACACS+の設定を確認します。 |
show tacacs |
次に、TACACS+鍵を指定し、設定を確認する例を示します。
Console> (enable) set tacacs key Secret_TACACS_key
The tacacs key has been set to Secret_TACACS_key.
Console> (enable) show tacacs
Tacacs key: Secret_TACACS_key
Tacacs timeout: 5 seconds
Tacacs direct request: disabled
---------------------------------------- -------
TACACS+タイムアウト インターバルの指定
TACACS+サーバに再送信するまでのタイムアウト インターバルを指定できます。デフォルトのタイムアウト値は5秒です。
TACACS+タイムアウト インターバルを指定するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
TACACS+タイムアウト インターバルを指定します。 |
set tacacs timeout seconds |
ステップ 2 |
TACACS+の設定を確認します。 |
show tacacs |
次に、サーバ タイムアウト インターバルを設定し、設定を確認する例を示します。
Console> (enable) set tacacs timeout 30
Tacacs timeout set to 30 seconds.
Console> (enable) show tacacs
Tacacs key: Secret_TACACS_key
Tacacs timeout: 30 seconds
Tacacs direct request: disabled
---------------------------------------- -------
TACACS+ログイン試行回数の指定
ログインの最大試行回数を指定できます。
ログインの最大試行回数を指定するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
ログインの最大試行回数を指定します。 |
set tacacs attempts number |
ステップ 2 |
TACACS+の設定を確認します。 |
show tacacs |
次に、ログイン最大試行回数を指定し、設定を確認する例を示します。
Console> (enable) set tacacs attempts 5
Tacacs number of attempts set to 5.
Console> (enable) show tacacs
Tacacs key: Secret_TACACS_key
Tacacs timeout: 30 seconds
Tacacs direct request: disabled
---------------------------------------- -------
TACACS+指定要求のイネーブル化
TACACS+指定要求がイネーブルの場合、設定されているTACACS+サーバのホスト名をオプションとして指定することにより、その特定のTACACS+サーバにTACACS+認証要求を渡すことができます。スイッチが通信するサーバに、ログインを試行しているユーザに対するアカウントがない場合、認証は失敗します。
TACACS+指定要求をイネーブルにするには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
スイッチ上でTACACS+指定要求をイネーブルにします。 |
set tacacs directedrequest enable |
ステップ 2 |
TACACS+の設定を確認します。 |
show tacacs |
次に、TACACS+指定要求をイネーブルにして、設定を確認する例を示します。
Console> (enable) set tacacs directedrequest enable
Tacacs direct request has been enabled.
Console> (enable) show tacacs
Tacacs key: Secret_TACACS_key
Tacacs timeout: 30 seconds
Tacacs direct request: enabled
---------------------------------------- -------
TACACS+指定要求のディセーブル化
TACACS+指定要求をディセーブルにするには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
スイッチ上でTACACS+指定要求をディセーブルにします。 |
set tacacs directedrequest disable |
ステップ 2 |
TACACS+の設定を確認します。 |
show tacacs |
次に、TACACS+指定要求をディセーブルにする例を示します。
Console> (enable) set tacacs directedrequest disable
Tacacs direct request has been disabled.
TACACS+サーバの消去
1つまたは複数のTACACS+サーバを消去するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
設定から消去するTACACS+サーバのIPアドレスを指定します。設定からサーバをすべて消去するには、 all キーワードを使用します。 |
clear tacacs server [ ip_addr | all ] |
ステップ 2 |
TACACS+サーバの設定を確認します。 |
show tacacs |
次に、設定から特定のTACACS+サーバを消去する例を示します。
Console> (enable) clear tacacs server 172.20.52.3
172.20.52.3 cleared from TACACS table
次に、設定からすべてのTACACS+サーバを消去する例を示します。
Console> (enable) clear tacacs server all
All TACACS servers cleared
TACACS+鍵の消去
TACACS+鍵を消去するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
TACACS+鍵を消去します。 |
clear tacacs key |
ステップ 2 |
TACACS+の設定を確認します。 |
show tacacs |
次に、TACACS+鍵を消去する例を示します。
Console> (enable) clear tacacs key
TACACS server key cleared.
TACACS+認証のディセーブル化
ローカル認証がディセーブルで、TACACS+認証だけがイネーブルのときに、TACACS+認証をディセーブルにすると、ローカル認証が再び自動的にイネーブルになります。
TACACS+認証をディセーブルにするには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
ユーザ ログイン モードについて、TACACS+認証をディセーブルにします。コンソール ポート接続またはTelnet接続に限ってTACACS+認証をディセーブルにする場合は、 console キーワードまたは telnet キーワードを指定します。 |
set authentication login tacacs disable [ all | console | http | telnet ] |
ステップ 2 |
イネーブル モードについて、TACACS+認証をディセーブルにします。コンソール ポート接続またはTelnet接続に限ってTACACS+認証をディセーブルにする場合は、 console キーワードまたは telnet キーワードを指定します。 |
set authentication enable tacacs disable [ all | console | http | telnet ] |
ステップ 3 |
TACACS+の設定を確認します。 |
show authentication |
次に、コンソール接続とTelnet接続の両方でTACACS+認証をディセーブルにして、設定を確認する例を示します。
Console> (enable) set authentication login tacacs disable
tacacs login authentication set to disable for console and telnet session.
Console> (enable) set authentication enable tacacs disable
tacacs enable authentication set to disable for console and telnet session.
Console> (enable) show authentication
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
local enabled(primary) enabled(primary)
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
local enabled(primary) enabled(primary)
RADIUSサーバの指定
1つまたは複数のRADIUSサーバを指定するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
3つまでのRADIUSサーバのIPアドレスを指定します。 primary キーワードを使用して、プライマリ サーバを指定します。さらにオプションとして、サーバ上で使用する宛先UDPポートを指定します。 |
set radius server ip_addr [ auth-port port ] [ primary ] |
ステップ 2 |
RADIUSサーバの設定を確認します。 |
show radius |
次に、RADIUSサーバを指定し、設定を確認する例を示します。
Console> (enable) set radius server 172.20.52.3
172.20.52.3 with auth-port 1812 added to radius server table as primary server.
Console> (enable) show radius
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
local enabled(primary) enabled(primary)
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
local enabled(primary) enabled(primary)
Radius Deadtime: 0 minutes
Radius Timeout: 5 seconds
Radius-Server Status Auth-port
----------------------------- ------- ------------
RADIUS鍵の指定
(注) クライアント上でRADIUS鍵を指定する場合は、必ずRADIUSサーバ上で指定されている鍵と同じものにします。
RADIUSクライアントとサーバとの間のすべての通信を暗号化し、認証するために、RADIUS鍵が使用されます。クライアントとRADIUSサーバ上では、同じ鍵を設定しなければなりません。
鍵の長さは65文字に制限されています。タブ以外の印字可能な任意のASCII文字を使用できます。
RADIUS鍵を指定するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
RADIUSサーバに送信するパケットの暗号化に使用するRADIUS鍵を指定します。 |
set radius key key |
ステップ 2 |
RADIUSの設定を確認します。 |
show radius |
次に、RADIUS鍵を指定し、設定を確認する例を示します(ユーザ モードの場合、RADIUS鍵値は表示されません)。
Console> (enable) set radius key Secret_RADIUS_key
Radius key set to Secret_RADIUS_key
Console> (enable) show radius
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
radius enabled(primary) enabled(primary)
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
radius enabled(primary) enabled(primary)
Radius Deadtime: 0 minutes
Radius Key: Secret_RADIUS_key
Radius Timeout: 5 seconds
Radius-Server Status Auth-port
----------------------------- ------- ------------
RADIUS認証のイネーブル化
(注) スイッチ上でRADIUS認証をイネーブルにする前に、少なくとも1つのRADIUSサーバを指定します。RADIUSサーバの指定手順については、「RADIUSサーバの指定」を参照してください。
スイッチへのログイン アクセスおよびイネーブル アクセスについて、RADIUS認証をイネーブルにできます。必要な場合は、 console キーワードまたは telnet キーワードを使用して、RADIUS認証をコンソール接続、またはTelnet接続だけに使用するように設定できます。RADIUS とTACACS+の両方を使用する場合は、 primary キーワードを使用して、スイッチに最初にRADIUS認証を試行させることができます。
RADIUSユーザ名を設定して、RADIUS認証をイネーブルにするには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
ユーザ ログイン モードについて、RADIUS認証をイネーブルにします。コンソール ポート接続またはTelnet接続による試行に限ってRADIUSをイネーブルにする場合は、 console キーワードまたは telnet キーワードを入力します。 |
set authentication login radius enable [ all | console | http | telnet ] [ primary ] |
ステップ 2 |
イネーブル モードについて、RADIUS認証をイネーブルに設定します。コンソール ポート接続またはTelnet接続による試行に限ってRADIUSをイネーブルにする場合は、 console キーワードまたは telnet キーワードを入力します。 |
set authentication enable radius enable [ all | console | http | telnet ] [ primary ] |
ステップ 3 |
RADIUSサーバ上で$enab15$を作成し、このユーザにパスワードを割り当てます。 |
詳細については、以下の(注)を参照してください。 |
ステップ 4 |
RADIUSの設定を確認します。 |
show authentication |
(注) イネーブル モードのRADIUS 認証を使用するには、RADIUSサーバ上にユーザ$enab15$を作成し、そのユーザにパスワードを割り当てる必要があります。RADIUSサーバにユーザ名とパスワード(たとえば、ユーザ名john、パスワードhello)を割り当てるだけでなく、このユーザも作成する必要があります。割り当てられたユーザ名およびパスワード(john/hello)を使用してCatalyst 6500シリーズ スイッチにログインしたら、$enab15$ユーザに割り当てられたパスワードを使用してイネーブル モードを開始できます。
RADIUSサーバが$enab15$ユーザ名をサポートしていない場合は、RADUISユーザのService-Type属性(属性6)をAdministrative(値6)に設定すると、個別にイネーブル パスワードを要求されることなく、直接イネーブル モードを起動できます。
次に、RADIUS認証をイネーブルにして、設定を確認する例を示します。
Console> (enable) set authentication login radius enable
radius login authentication set to enable for console and telnet session.
Console> (enable) set authentication enable radius enable
radius enable authentication set to enable for console and telnet session.
Console> (enable) show authentication
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
radius enabled(primary) enabled(primary)
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
radius enabled(primary) enabled(primary)
RADIUSタイムアウト インターバルの指定
RADIUSサーバに再送信するまでのタイムアウト インターバルを指定できます。デフォルトのタイムアウト値は5秒です。
RADIUSのタイムアウト インターバルを指定するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
RADIUSタイムアウト インターバルを指定します。 |
set radius timeout seconds |
ステップ 2 |
RADIUSの設定を確認します。 |
show radius |
次に、RADIUSタイムアウト インターバルを設定し、設定を確認する例を示します。
Console> (enable) set radius timeout 10
Radius timeout set to 10 seconds.
Console> (enable) show radius
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
radius enabled(primary) enabled(primary)
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
radius enabled(primary) enabled(primary)
Radius Deadtime: 0 minutes
Radius Key: Secret_RADIUS_key
Radius Timeout: 10 seconds
Radius-Server Status Auth-port
----------------------------- ------- ------------
RADIUS再送信試行回数の指定
スイッチがRADIUSサーバとの接続を試行する最大回数を指定できます。この回数を超えると、設定済みの次のサーバとの接続が試行されます。デフォルトの設定では、各RADIUSサーバとの接続は2回試行されます。
RADIUSの再送信試行回数を指定するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
RADIUSサーバ再送信試行回数を指定します。 |
set radius retransmit count |
ステップ 2 |
RADIUSの設定を確認します。 |
show radius |
次に、RADIUS再送信試行回数を指定し、設定を確認する例を示します。
Console> (enable) set radius retransmit 4
Radius retransmit count set to 4.
Console> (enable) show radius
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
radius enabled(primary) enabled(primary)
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
radius enabled(primary) enabled(primary)
Radius Deadtime: 0 minutes
Radius Key: Secret_RADIUS_key
Radius Timeout: 10 seconds
Radius-Server Status Auth-port
----------------------------- ------- ------------
RADIUS待機時間の指定
RADIUSサーバが認証要求に応答しなかった場合、待機時間によって指定された期間は待機状態であるというマークをそのサーバに付けるように、スイッチを設定できます。待機時間内に受信された認証要求はいずれも(そのスイッチへのログインを試行している他のユーザなど)、待機状態とマークされたRADIUSサーバには送信されません。待機時間を設定しておけば、待機状態のRADIUSサーバへの再送信やタイムアウトを省くことができるため、認証プロセスを高速化できます。
1つのRADIUSサーバだけを設定した場合、または設定されたサーバがすべて待機状態とマークされている場合、使用可能な代替サーバがないため、待機時間は無視されます。
RADIUS待機時間を設定するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
RADIUSサーバの待機時間を指定します。 |
set radius deadtime minutes |
ステップ 2 |
RADIUSの設定を確認します。 |
show radius |
次に、RADIUS待機時間を設定し、設定を確認する例を示します。
Console> (enable) set radius deadtime 5
Radius deadtime set to 5 minute(s)
Console> (enable) show radius
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
radius enabled(primary) enabled(primary)
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
radius enabled(primary) enabled(primary)
Radius Deadtime: 5 minutes
Radius Key: Secret_RADIUS_key
Radius Timeout: 10 seconds
Radius-Server Status Auth-port
----------------------------- ------- ------------
RADIUSサーバのオプションの属性の指定
RADIUS ACCESS_REQUESTパケットにオプションの属性を指定できます。 set radius attribute コマンドによって、Framed-IP address、NAS-Port、Called-Station-Id、Calling-Station-Idなどの特定の属性オプションの伝送を指定できます。属性の伝送の設定は、属性番号または属性名で行えます。属性の伝送は、デフォルトでディセーブルに設定されています。
(注) Release 7.5(1)のソフトウェア リリースでは、Framed-IP address(属性8)だけをサポートしています。
RADIUSサーバのオプション属性を指定するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
RADIUSサーバのオプション属性を指定します。 |
set radius attribute [ number | name ] include-in-access-req [ enable | disable ] |
ステップ 2 |
RADIUSの設定を確認します。 |
show radius |
次に、Framed-IP address属性を番号で指定してイネーブルにし、設定を確認する例を示します。
Console> (enable) set radius attribute 8 include-in-access-req enable
Transmission of Framed-ip address in access-request packet is enabled.
Console> (enable) show radius
RADIUS Deadtime: 0 minutes
RADIUS Timeout: 5 seconds
Framed-Ip Address Transmit: Enabled
RADIUS-Server Status Auth-port Acct-port
----------------------------- ------- ------------ ------------
10.6.140.230 primary 1812 1813
次に、Framed-IP address属性を名前で指定してディセーブルにする例を示します。
Console> (enable) set radius attribute framed-ip-address include-in-access-req disable
Transmission of Framed-ip address in access-request packet is disabled.
RADIUSサーバの消去
1つまたは複数のRADIUSサーバを消去するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
設定から消去するRADIUSサーバのIPアドレスを指定します。設定からサーバをすべて消去するには、 all キーワードを使用します。 |
clear radius server [ ip_addr | all ] |
ステップ 2 |
RADIUSサーバの設定を確認します。 |
show radius |
次に、設定から単一のRADIUSサーバを消去する例を示します。
Console> (enable) clear radius server 172.20.52.3
172.20.52.3 cleared from radius server table.
次に、設定からすべてのRADIUSサーバを消去する例を示します。
Console> (enable) clear radius server all
All radius servers cleared from radius server table.
RADIUS鍵の消去
RADIUS鍵を消去するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
RADIUS鍵を消去します。 |
clear radius key |
ステップ 2 |
RADIUSの設定を確認します。 |
show radius |
次に、RADIUS鍵を消去し、設定を確認する例を示します。
Console> (enable) clear radius key
Console> (enable) show radius
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
local enabled(primary) enabled(primary)
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
local enabled(primary) enabled(primary)
Radius Deadtime: 0 minutes
Radius Timeout: 5 seconds
Radius-Server Status Auth-port
----------------------------- ------- ------------
RADIUS認証のディセーブル化
ローカル認証がディセーブルで、RADIUS認証だけがイネーブルのときに、RADIUS認証をディセーブルにすると、ローカル認証が自動的に再びイネーブルになります。
RADIUS認証をディセーブルにするには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
ログイン モードについて、RADIUS認証をディセーブルにします。 |
set authentication login radius disable [ all | console | http | telnet ] |
ステップ 2 |
イネーブル モードについて、RADIUS認証をディセーブルにします。 |
set authentication enable radius disable [ all | console | http | telnet ] |
ステップ 3 |
RADIUSの設定を確認します。 |
show authentication |
次に、RADIUS認証をディセーブルにして、設定を確認する例を示します。
Console> (enable) set authentication login radius disable
radius login authentication set to disable for console and telnet session.
Console> (enable) set authentication enable radius disable
radius enable authentication set to disable for console and telnet session.
Console> (enable) show authentication
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
local enabled(primary) enabled(primary)
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
local enabled(primary) enabled(primary)
Kerberosサーバの設定
スイッチ上の認証方式としてKerberosを使用するには、先にKerberosサーバを設定する必要があります。KDC用のデータベースを作成し、そのデータベースにスイッチを追加してください。
(注) Kerberos認証を使用するには、Network Time Protocol(NTP)がイネーブルになっている必要があります。また、DNSをイネーブルにすることも推奨します。
Kerberosサーバを設定するには、次の手順を実行します。
ステップ 1 Kerberosサーバの鍵テーブルにスイッチを入力する前に、KDCが使用するためのデータベースを作成しなければなりません。次の例では、CISCO.EDUというデータベースを作成します。
/usr/local/sbin/kdb5_util create -r CISCO.EDU -s
ステップ 2 データベースにスイッチを追加します。次の例では、Cat6509というスイッチをCISCO.EDUデータベースに追加します。
ank host/Cat6509.cisco.edu@CISCO.EDU
ステップ 3 次のようにユーザ名を追加します。
ステップ 4 次のように管理プリンシパルを追加します。
ank user1/admin@CISCO.EDU
ステップ 5 次のようにadmin.local ktaddコマンドを使用して、データベースにスイッチ用のエントリを作成します。
ktadd host/Cat6509.cisco.edu@CISCO.EDU
ステップ 6 スイッチがアクセスできる場所にKEYTABファイルを移します。
ステップ 7 次のようにKDCサーバを起動します。
Kerberosのイネーブル化
Kerberos認証をイネーブルにするには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
認証方式としてKerberosを指定します。 |
set authentication login kerberos enable [ all | console | http | telnet ] [ primary ] |
ステップ 2 |
設定を確認します。 |
show authentication |
次に、Telnetログイン認証方式としてKerberosをイネーブルにし、設定を確認する例を示します。
kerberos> (enable) set authentication login kerberos enable telnet
kerberos login authentication set to enable for telnet session.
kerberos> (enable) show authentication
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
kerberos disabled enabled(primary)
local enabled(primary) enabled
Enable Authentication:Console Session Telnet Session
---------------------- ----------------- ----------------
kerberos disabled enabled(primary)
local enabled(primary) enabled
次に、コンソールのログイン認証方式としてKerberosをイネーブルにし、設定を確認する例を示します。
kerberos> (enable) set authentication login kerberos enable console
kerberos login authentication set to enable for console session.
kerberos> (enable) show authentication
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
kerberos enabled(primary) enabled(primary)
Enable Authentication:Console Session Telnet Session
---------------------- ----------------- ----------------
kerberos enabled(primary) enabled(primary)
Kerberosローカル レルムの定義
Kerberosレルムは、Kerberosサーバに登録されたユーザ、ホスト、およびネットワーク サービスで構成されるドメインです。Kerberosデータベースで定義されたユーザを認証するために、スイッチはKDCが稼働しているホストのホスト名またはIPアドレス、およびKerberosレルム名を認識している必要があります。
スイッチが特定のKerberosレルムでKDCの認証を受けるように設定するには、イネーブル モードで次の作業を行います。
|
|
スイッチのデフォルト レルムを定義します。 |
set kerberos local-realm kerberos_realm |
(注) レルムは必ず大文字で入力してください。レルムを小文字で入力すると、Kerberosはユーザを認証しません。
次に、ローカル レルムを定義し、設定を確認する例を示します。
kerberos> (enable) set kerberos local-realm CISCO.COM
Kerberos local realm for this switch set to CISCO.COM.
kerberos> (enable) show kerberos
Kerberos Local Realm:CISCO.COM
Realm:CISCO.COM, Server:187.0.2.1, Port:750
Kerberos Domain<->Realm entries:
Domain:cisco.com, Realm:CISCO.COM
Kerberos Clients NOT Mandatory
Kerberos Credentials Forwarding Enabled
Kerberos Pre Authentication Method set to None
Srvtab Entry 1:host/niners.cisco.com@CISCO.COM 0 932423923 1 1 8 01;;8>00>50;0=0=0
Kerberosサーバの指定
特定のKerberosレルムで使用するKDCをスイッチに対して指定できます。任意で、KDCにモニタさせるポート番号も指定できます。入力したKerberosサーバ情報は、1つのKerberosレルムに対して1エントリとして、テーブルで維持されます。テーブルの最大エントリ数は100です。
Kerberosサーバを指定するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
特定のKerberosレルムで使用するKDCを指定します。任意で、KDCにモニタさせるポート番号を入力します(デフォルトのポート番号は750です)。 |
set kerberos server kerberos_realm { hostname | ip_address } [ port ] |
ステップ 2 |
Kerberosサーバ エントリを消去します。 |
clear kerberos server kerberos_realm { hostname | ip_address } [ port ] |
次に、特定のKerberosレルムでKDCとして動作するKerberosサーバを指定し、エントリを消去する例を示します。
kerberos> (enable) set kerberos server CISCO.COM 187.0.2.1 750
Kerberos Realm-Server-Port entry set to:CISCO.COM - 187.0.2.1 - 750
Console> (enable) clear kerberos server CISCO.COM 187.0.2.1 750
Kerberos Realm-Server-Port entry CISCO.COM-187.0.2.1-750 deleted
Kerberosレルムとホスト名またはDNSドメインのマッピング
任意で、ホスト名またはDomain Name System(DNS;ドメイン ネーム システム)ドメインとKerberosレルムをマッピングすることができます。
Kerberosレルムをホスト名またはDNSドメインにマッピングするには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
(任意)ホスト名またはDNSドメインとKerberosレルムをマッピングします。 |
set kerberos realm {dns_domain | host} kerberos_realm |
ステップ 2 |
Kerberosレルムとドメインまたはホストとのマッピング エントリを消去します。 |
clear kerberos realm {dns_domain | host} kerberos_realm |
次に、KerberosレルムをDNSドメインにマッピングし、エントリを消去する例を示します。
Console> (enable) set kerberos realm CISCO CISCO.COM
Kerberos DnsDomain-Realm entry set to CISCO - CISCO.COM
Console> (enable) clear kerberos realm CISCO CISCO.COM
Kerberos DnsDomain-Realm entry CISCO - CISCO.COM deleted
SRVTABファイルのコピー
リモート ユーザがKerberosの証明書を使用して、スイッチの認証を受けることができるようにするには、スイッチとKDC間で秘密鍵を共有しなければなりません。そのためには、KDCに保存されているファイルの鍵のコピーをスイッチに与える必要があります。このファイルをスイッチではSRVTABファイル、サーバではKEYTABファイルといいます。
Kerberosレルム内のホストにSRVTABファイルをコピーする方法としては、ファイルを物理メディアにコピーして、各ホストを回り、手動でシステムにファイルをコピーするのが最も安全です。物理メディア ドライブを備えていないスイッチにSRVTABファイルをコピーするには、Trivial File Transfer Protocol(TFTP;簡易ファイル転送プロトコル)を使用し、ネットワークを介してファイルを転送する必要があります。
スイッチからKDCにSRVTABファイルをコピーする場合、スイッチがファイル内の情報を解析し、Kerberos SRVTABエントリ フォーマットで実行コンフィギュレーションに保存します。スイッチにSRVTABを直接入力する場合は、スイッチ上のKerberosプリンシパル(サービス)ごとに1つずつエントリを作成します。エントリはSRVTABテーブルで維持されます。テーブルの最大サイズは20エントリです。
KDCからスイッチがSRVTABファイルを取得するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
KDCから特定のSRVTABファイルを取得します。 |
set kerberos srvtab remote { hostname | ip_address } filename |
ステップ 2 |
(任意)スイッチにSRVTABを直接入力します。 |
set kerberos srvtab entry kerberos_principal principal_type timestamp key_version number key_type key_length encrypted_keytab |
次に、KDCからSRVTABファイルを取得し、スイッチにSRVTABを直接入力し、設定を確認する例を示します。
kerberos> (enable) set kerberos srvtab remote 187.20.32.10 /users/jdoe/krb5/ninerskeytab
kerberos> (enable)
kerberos> (enable) set kerberos srvtab entry host/niners.cisco.com@CISCO.COM 0 932423923 1 1 8 03;;5>00>50;0=0=0
Kerberos SRVTAB entry set to
Principal:host/niners.cisco.com@CISCO.COM
Encrypted key tab:03;;5>00>50;0=0=0
kerberos> (enable) show kerberos
Kerberos Local Realm:CISCO.COM
Realm:CISCO.COM, Server:187.0.2.1, Port:750
Realm:CISCO.COM, Server:187.20.2.1, Port:750
Kerberos Domain<->Realm entries:
Domain:cisco.com, Realm:CISCO.COM
Kerberos Clients NOT Mandatory
Kerberos Credentials Forwarding Enabled
Kerberos Pre Authentication Method set to None
Srvtab Entry 1:host/niners.cisco.com@CISCO.COM 0 932423923 1 1 8 03;;5>00>50;0=0=0
Srvtab Entry 2:host/niners.cisco.edu@CISCO.EDU 0 933974942 1 1 8 00?58:127:223=:;9
SRVTABエントリの削除
SRVTABエントリを削除にするには、イネーブル モードで次の作業を行います。
|
|
特定のKerberosプリンシパルに対するSRVTABエントリを削除します。 |
clear kerberos srvtab entry kerberos_principal principal_type |
次に、SRVTABエントリを削除する例を示します。
kerberos> (enable) clear kerberos srvtab entry host/niners.cisco.com@CISCO.COM 0
証明書転送のイネーブル化
Kerberos対応スイッチの認証を受けたユーザは、TGTが与えられ、そのTGTを使用してネットワーク上のホストの認証を受けることができます。ただし、転送が禁止されている場合、ユーザがホストの認証を受けたあとで証明書を表示しようとすると、Kerberosの証明書が存在しないことを示す出力になります。
証明書を転送できるようにするには、ユーザがスイッチの認証を受けたあとで、Kerberos対応Telnetを使用して、スイッチからKerberos対応リモート ホストへ、ユーザのTGTを転送するようにスイッチを設定します。
セキュリティを強化する手段として、ユーザがスイッチの認証を受けたあとで、Kerberos対応のクライアントを使用しなければ、そのユーザがネットワーク上の他のサービスに対して認証を得られないようにスイッチを設定できます。Kerberos認証を必須にしなかった場合、Kerberos認証が得られないと、アプリケーションはそのネットワーク サービスでデフォルトの認証方式を使用して、ユーザを認証しようとします。たとえば、Telnetの場合はパスワードを要求します。
クライアントがKerberosレルム内の他のホストに接続するときに、ユーザの証明書を転送するように設定するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
Kerberos認証に成功した場合に、すべてのクライアントがユーザ証明書を転送できるようにします。 |
set kerberos credentials forward |
ステップ 2 |
(任意)リモート サーバに対してクライアントが認証を受けられなかった場合に、Telnetが失敗するように設定します。 |
set kerberos clients mandatory |
次に、ユーザの証明書を転送するようにクライアントを設定し、その設定を確認する例を示します。
kerberos> (enable) set kerberos credentials forward
Kerberos credentials forwarding enabled
kerberos> (enable) show kerberos
Kerberos Local Realm:CISCO.COM
Realm:CISCO.COM, Server:187.0.2.1, Port:750
Realm:CISCO.COM, Server:187.20.2.1, Port:750
Kerberos Domain<->Realm entries:
Domain:cisco.com, Realm:CISCO.COM
Kerberos Clients NOT Mandatory
Kerberos Credentials Forwarding Enabled
Kerberos Pre Authentication Method set to None
Srvtab Entry 1:host/aspen-niners.cisco.edu@CISCO.EDU 0 933974942 1 1 8 00?91:107:423=:;9
次に、他のネットワーク サービスの認証を受けるユーザにKerberosクライアントが必須となるように、スイッチを設定する例を示します。
Console> (enable) set kerberos clients mandatory
Kerberos clients set to mandatory
証明書転送のディセーブル化
証明書転送をディセーブルにするには、イネーブル モードで次の作業を行います。
|
|
証明書転送の設定をディセーブルにします。 |
clear kerberos credentials forward |
次に、証明書転送の設定をディセーブルにし、設定を確認する例を示します。
Console> (enable) clear kerberos credentials forward
Kerberos credentials forwarding disabled
Console> (enable) show kerberos
Kerberos Local Realm not configured
Kerberos Domain<->Realm entries:
Kerberos Clients NOT Mandatory
Kerberos Credentials Forwarding Disabled
Kerberos Pre Authentication Method set to None
Kerberosクライアント必須の設定を消去するには、イネーブル モードで次の作業を行います。
|
|
Kerberosクライアント必須の設定を消去します。 |
clear kerberos clients mandatory |
次に、クライアント必須の設定を消去し、設定を確認する例を示します。
Console> (enable) clear kerberos clients mandatory
Kerberos clients mandatory cleared
Console> (enable) show kerberos
Kerberos Local Realm not configured
Kerberos Domain<->Realm entries:
Kerberos Clients NOT Mandatory
Kerberos Credentials Forwarding Disabled
Kerberos Pre Authentication Method set to None
Kerberos Domain<->Realm entries:
Kerberos Clients Mandatory
Kerberos Credentials Forwarding Disabled
Kerberos Pre Authentication Method set to Encrypted Unix Time Stamp
プライベートDES鍵の定義および消去
スイッチ用のプライベートDES鍵を定義できます。プライベートDES鍵を使用すると、スイッチがKDCと共有する秘密鍵が暗号化され、show kerberosコマンドの実行時に、秘密鍵がクリア テキストで表示されなくなります。鍵の長さは8文字以下にしなければなりません。
DES鍵を定義するには、イネーブル モードで次の作業を行います。
|
|
スイッチ用のDES鍵を定義します。 |
set key config-key string |
次に、DES鍵を定義し、設定を確認する例を示します。
kerberos> (enable) set key config-key abcd
Kerberos config key set to abcd
kerberos> (enable) show kerberos
Kerberos Local Realm:CISCO.COM
Realm:CISCO.COM, Server:170.20.2.1, Port:750
Realm:CISCO.COM, Server:172.20.2.1, Port:750
Kerberos Domain<->Realm entries:
Domain:cisco.com, Realm:CISCO.COM
Kerberos Clients Mandatory
Kerberos Credentials Forwarding Disabled
Kerberos Pre Authentication Method set to Encrypted Unix Time Stamp
Srvtab Entry 1:host/aspen-niners.cisco.edu@CISCO.EDU 0 933974942 1 1 8 12151><88?=>>3>11
DES鍵を消去するには、イネーブル モードで次の作業を行います。
|
|
スイッチからDES鍵を消去します。 |
clear key config-key string |
次に、DES鍵を消去する例を示します。
Console> (enable) clear key config-key
Kerberos config key cleared
Telnetセッションの暗号化
Kerberosを使用してスイッチの認証を受けたユーザが、別のスイッチまたはホストにTelnetでアクセスする場合に、それがKerberos対応のTelnetになるかどうかは、Telnetサーバで使用している認証方式によって決まります。Telnetサーバが認証にKerberosを使用している場合は、Telnetセッションが続いている間、あらゆるアプリケーション データ パケットを暗号化することを選択できます。Telnetセッションを暗号化するには、telnetコマンドで encrypt kerberos オプションを選択します。
Telnetセッションを暗号化するには、次の作業を行います。
|
|
Telnetセッションを暗号化します。 |
telnet encrypt kerberos host |
次に、Kerberos認証および暗号化対応としてTelnetセッションを設定する例を示します。
Console> (enable) telnet encrypt kerberos
Kerberos設定の表示および消去
次のコマンドを使用すると、スイッチのKerberos設定を表示または消去することができます。
• show kerberos
• show kerberos creds
• clear kerberos creds
Kerberos設定を表示するには、イネーブル モードで次の作業を行います。
|
|
Kerberos設定を表示します。 |
show kerberos |
次に、Kerberos設定を表示する例を示します。
kerberos> (enable) show kerberos
Kerberos Local Realm:CISCO.COM
Realm:CISCO.COM, Server:187.0.2.1, Port:750
Realm:CISCO.COM, Server:187.20.2.1, Port:750
Kerberos Domain<->Realm entries:
Domain:cisco.com, Realm:CISCO.COM
Kerberos Clients NOT Mandatory
Kerberos Credentials Forwarding Enabled
Kerberos Pre Authentication Method set to None
Srvtab Entry 1:host/niners.cisco.com@CISCO.COM 0 932423923 1 1 8 03;;5>00>50;0=0=0
Srvtab Entry 2:host/niners.cisco.edu@CISCO.EDU 0 933974942 1 1 8 00?58:127:223=:;9
Kerberos証明書を表示するには、イネーブル モードで次の作業を行います。
|
|
Kerberos証明書を表示します。 |
show kerberos creds |
次に、Kerberos証明書を表示する例を示します。
Console> (enable) show kerberos creds
すべてのKerberos証明書を消去するには、イネーブル モードで次の作業を行います。
|
|
すべての証明書を消去します。 |
clear kerberos creds |
次に、スイッチからすべてのKerberos証明書を消去する例を示します。
Console> (enable) clear kerberos creds
認証の例
図21-3に、TACACS+を使用した単純なネットワーク トポロジーを示します。
この例では、すべてのTelnet接続において、スイッチへのログイン アクセスとイネーブル アクセスの両方について、TACACS+認証がイネーブルに設定され、ローカル認証がディセーブルに設定されています。ワークステーションAがスイッチに接続する場合、ユーザはTACACS+ユーザ名およびパスワードを入力するように要求されます。
ただし、コンソール ポート上では、ログイン アクセスとイネーブル アクセスの両方について、ローカル認証だけがイネーブルに設定されます。直接接続されているターミナルにアクセスできるユーザは、ログインおよびイネーブル パスワードを使用してスイッチにアクセスできます。
図21-3 TACACS+ネットワーク トポロジー例
次に、Telnet接続についてTACACS+認証がイネーブルにされ、コンソール接続についてローカル認証がイネーブルにされ、TACACS+暗号化鍵が指定されるように、スイッチを設定する例を示します。
Console> (enable) show tacacs
Tacacs timeout: 5 seconds
Tacacs direct request: disabled
---------------------------------------- -------
Console> (enable) set tacacs server 172.20.52.10
172.20.52.10 added to TACACS server table as primary server.
Console> (enable) set tacacs key tintin_et_milou
The tacacs key has been set to tintin_et_milou.
Console> (enable) set authentication login tacacs enable telnet
tacacs login authentication set to enable for telnet session.
Console> (enable) set authentication enable tacacs enable telnet
tacacs enable authentication set to enable for telnet session.
Console> (enable) set authentication login local disable telnet
local login authentication set to disable for telnet session.
Console> (enable) set authentication enable local disable telnet
local enable authentication set to disable for telnet session.
Console> (enable) show tacacs
Tacacs key: tintin_et_milou
Tacacs timeout: 5 seconds
Tacacs direct request: disabled
---------------------------------------- -------