認証の機能
ここでは、各認証方式のメカニズムについて説明します。
• 「認証の概要」
• 「ログイン認証の機能」
• 「ローカル認証の機能」
• 「ローカル ユーザ認証の機能」
• 「TACACS+ 認証の機能」
• 「RADIUS 認証の機能」
• 「Kerberos 認証の機能」
認証の概要
次の認証方式を任意に組み合わせて設定することにより、スイッチに対するアクセスを制御できます。
• ログイン認証
• ローカル認証
• RADIUS 認証
• TACACS+ 認証
• Kerberos 認証
(注) 認証方式として TACACS+ を使用している場合、Kerberos 認証は機能しません。
ローカル認証を 1 つまたは複数の他の認証方式と併用してイネーブルにすると、ローカル認証は常に最後に試行されます。ただし、コンソール接続と Telnet 接続には異なる認証方式を指定することができます。たとえば、コンソール接続にローカル認証を使用して、Telnet 接続に RADIUS 認証を使用することができます。
ログイン認証の機能
ログイン認証は、不正ユーザにパスワードを推測させないようにすることで、セキュリティを向上させます。ユーザはスイッチに正常にログインするまでのログイン試行回数が制限されています。ユーザがパスワード認証に失敗した場合、システムはアクセスを延期し、Syslog および SNMP(簡易ネットワーク管理プロトコル)トラップにステーションのユーザ ID および IP アドレスを記録します。
ログイン試行回数の最大値は、set authentication login attempt count コマンドを使用して、CLI および SNMP で設定できます。イネーブル モードへのアクセスに対してログイン制限を設定するには、set authentication enable attempt count コマンドを入力します。設定範囲は 3(デフォルト)~ 10 回です。ログイン認証をゼロ(0)に設定すると、この機能はディセーブルになります。
すべての認証方式(Remote Access Dial-In User Service [RADIUS]、Terminal Access Controller Access Control System Plus [TACACS+]、Kerberos、またはローカル)がサポートされています。
ロックアウト(遅延)時間は、set authentication login lockout time コマンドを使用して、CLI および SNMP で設定できます。イネーブル モードへのアクセスに対して遅延時間を設定するには、set authentication enable lockout time コマンドを使用します。設定範囲は 30 ~ 43,200 秒です。ロックアウト時間をゼロ(0)に設定すると、この機能はディセーブルになります。
ユーザがコンソールでロックアウトされると、ロックアウト時間が経過するまで、コンソールにログインすることはできません。Telnet セッションでロックアウトされた場合は、制限時間に達すると接続が終了します。スイッチは、ロックアウト時間が経過するまで、そのステーションからの以降のアクセスを無効にし、適切な通知を表示します。
ローカル認証の機能
ローカル認証では、ローカルで設定されたログイン パスワードとイネーブル パスワードを使用して、ログイン試行を認証します。ログイン パスワードおよびイネーブル パスワードは、各スイッチにローカルであり、個々のユーザ名とは対応付けられません。
デフォルトでは、ローカル認証はイネーブルに設定されています。1 つまたは複数の他の認証方式をイネーブルにしたときだけ、ローカル認証をディセーブルにできます。ただし、ローカル認証がディセーブルのときに、その他すべての認証方式をディセーブルにすると、ローカル認証が自動的に再びイネーブルになります。
ローカル認証とともに、1 つまたは複数の他の認証方式を同時にイネーブルにできます。ローカル認証は、他の認証方式が失敗した場合に限って、スイッチによって試行されます。
ローカル ユーザ認証の機能
ローカル ユーザ認証では、ローカル ユーザのログイン試行の確認のために作成するローカル ユーザ アカウントとパスワードを使用します。各スイッチで最大 25 のローカル ユーザ アカウントを設定できます。ローカル ユーザ認証をイネーブルにするには、先に少なくとも 1 つのローカル ユーザ アカウントを定義します。
ローカル ユーザ アカウントを設定するには、ローカル ユーザごとに一意のユーザ名およびパスワードの組み合わせを作成します。各ユーザ名は 64 文字以内の英数字を使用できます(少なくとも 1 文字は英字であること)。
ローカル ユーザ アカウントごとに権限レベルを設定します。有効な権限レベルは 0 ~ 15 です。ユーザ名およびパスワードの組み合わせに割り当てられた権限レベルにより、認証成功後にユーザがユーザ モードまたはイネーブル モードのいずれでログインするかが決まります。権限レベルが 0 のユーザは、自動的にユーザ モードでログインします。権限レベルが 15 のユーザはイネーブル モードでログインします。権限レベルが 0 のユーザも、enable コマンドとパスワードの組み合わせを入力して、イネーブル モードにアクセスできます。ローカル ユーザがログインした場合、表示できるのは、その権限レベルで使用可能なコマンドのみです。
(注) CiscoView イメージを実行しているか、HTTP ログインを使用してログインしている場合は、システムの初期認証がユーザ名とパスワードの組み合わせで実行されます。ローカル ユーザに 15 の権限レベルが設定されていれば、権限パスワードを入力するかユーザ名とパスワードの組み合わせを使用するとイネーブル モードを開始できます。
TACACS+ 認証の機能
TACACS+ は、ネットワーク装置と中央データベースの間で Network Access Server(NAS)情報を交換し、ユーザまたはエンティティのアイデンティティを判別することにより、ネットワーク装置に対するアクセスを制御します。TACACS+ は、RFC 1492 で規定されている UDP ベースのアクセス制御プロトコル、TACACS の拡張バージョンです。TACACS+ は TCP を使用して、ネットワーク装置上の TACACS+ サーバと TACACS+ デーモン間のすべてのトラフィックを暗号化し、信頼性の高い配信を保証します。
TACACS+ は、固定パスワード、ワンタイム パスワード、チャレンジ応答認証など、多数の認証タイプをサポートしています。TACACS+ 認証は、通常、次の状況で実行されます。
• 装置への最初のログイン時
• 権限付きアクセス権が必要なサービス要求の送信時
権限が必要なサービスまたは制限付きのサービスを要求すると、TACACS+ により、MD5 暗号化アルゴリズムに基づいてユーザのパスワード情報が暗号化され、TACACS+ パケット ヘッダーが付加されます。このヘッダー情報には、送信パケットのタイプ(認証パケットなど)、パケット シーケンス番号、使用した暗号タイプ、パケット合計長が含まれています。このパケットが TACACS+ プロトコルによって TACACS+ サーバに転送されます。
TACACS+ サーバは、認証、許可、およびアカウンティングの機能を実行します。いずれのサービスも TACACS+ の機能ですが、それぞれ独立しているので、TACACS+ 設定ごとに任意の組み合わせで使用できます。
パケットを受信した TACACS+ サーバは、次のように動作します。
• ユーザ情報を認証し、認証の成否をクライアントに通知します。
• 認証処理が続けられること、および追加情報が必要なことをクライアントに通知します。このチャレンジ応答プロセスは、認証の成否が確定するまで繰り返されます。
クライアントおよびサーバに TACACS+ 鍵を設定できます。スイッチ上でこの鍵を設定する場合、TACACS+ サーバ上で設定されている鍵と一致させなければなりません。TACACS+ クライアント/サーバはこの鍵を使用して、送信対象のすべての TACACS+ パケットを暗号化します。TACACS+ 鍵を設定しなかった場合、パケットは暗号化されません。
スイッチ上で次の TACACS+ パラメータを設定できます。
• スイッチへのアクセスがユーザに許可されているかどうかを判別する TACACS+ 認証のイネーブル化およびディセーブル化
• イネーブル モードへのアクセスがユーザに許可されているかどうかを判別する TACACS+ 認証のイネーブル化およびディセーブル化
• プロトコル パケットを暗号化する鍵
• TACACS+ サーバ デーモンを常駐させるサーバ
• ログインの最大試行回数
• サーバ デーモンの応答に関するタイムアウト インターバル
• directed request(指定要求)オプションのイネーブル化およびディセーブル化
TACACS+ 認証は、ディセーブルがデフォルトの設定です。TACACS+ 認証とローカル認証の両方を同時にイネーブルに設定できます。
ローカル認証がディセーブルのときに、その他すべての認証方式をディセーブルにすると、ローカル認証が自動的に再度イネーブルになります。
RADIUS 認証の機能
RADIUS は、ネットワーク装置への接続を試みるユーザを認証する際に、NAS が使用するクライアント/サーバ認証および許可アクセス プロトコルです。NAS はクライアントとして動作するとき、1 つまたは複数の RADIUS サーバにユーザ情報を引き渡します。NAS は、1 つまたは複数の RADIUS サーバから受信した応答に基づいて、ユーザに対してネットワーク アクセスを許可または拒否します。RADIUS では、RADIUS クライアントとサーバ間の伝送に UDP を使用します。
クライアントおよびサーバ上で RADIUS 鍵を設定できます。クライアント上でこの鍵を設定する場合、RADIUS サーバ上で設定されている鍵と一致させなければなりません。RADIUS クライアントおよびサーバは、鍵を使用して、転送された RADIUS パケットをすべて暗号化します。RADIUS 鍵を設定しないと、パケットは暗号化されません。鍵自体がネットワーク上を転送されることはありません。
(注) RADIUS プロトコルの詳細説明については、RFC 2138「Remote Authentication Dial In User Service(RADIUS)」を参照してください。
スイッチ上で設定できる RADIUS パラメータは次のとおりです。
• ログイン アクセスを制御するための RADIUS 認証のイネーブル化およびディセーブル化
• イネーブル アクセスを制御するための RADIUS 認証のイネーブル化およびディセーブル化
• RADIUS サーバの IP アドレスおよび UDP ポートの指定
• RADIUS パケットの暗号化に使用する RADIUS 鍵の指定
• RADIUS サーバのタイムアウト インターバルの指定
• RADIUS 再送信カウントの指定
• RADIUS サーバの待機時間の長さの指定
RADIUS 認証のデフォルト設定は、ディセーブルです。RADIUS 認証とその他の認証方式は同時にイネーブルにできます。最初に使用する方式は、 primary キーワードを使用して指定できます。
ローカル認証がディセーブルのときに、その他すべての認証方式をディセーブルにすると、ローカル認証が自動的に再度イネーブルになります。
Kerberos 認証の機能
Kerberos は、クライアント/サーバ ベースの秘密鍵ネットワーク認証方式で、信頼できる Kerberos サーバを使用して、サービスとユーザの両方に対するセキュア アクセスを確認します。Kerberos では、この信頼できるサーバを Key Distribution Center(KDC; 鍵発行局)といいます。KDC はユーザおよびサービスを検証するためにチケットを発行します。チケットは、特定のサービスに関してクライアントのアイデンティティを確認するための一時的な一連の電子信用情報です。
このチケットには有効期限があり、サービスがチケットの発行元である Kerberos サーバを信頼している場合、標準のパスワード ペアによる認証メカニズムの代わりにチケットを使用できます。標準のユーザ パスワード方式を使用する場合は、Kerberos がユーザのパスワードを暗号化してチケットに組み込み、パスワードがネットワーク上をクリア テキストとして流れないようにします。Kerberos を使用した場合、パスワードは、Kerberos サーバ以外の装置上で保存されるのは数秒以下です。Kerberos を使用すると、暗号化されたチケットをネットワークから盗もうとする侵入者に対しても防御できます。
表38-1 に、Kerberos の用語を定義します。
表38-1 Kerberos の用語
|
|
Kerberos 対応 |
Kerberos 証明書の基盤をサポートするように変更されたアプリケーションおよびサービス。 |
Kerberos 証明書 |
Ticket Granting Ticket(TGT; 身分証明書)などの認証チケット、およびサービス証明書のこと。Kerberos 証明書で、ユーザまたはサービスのチケットを検証します。ネットワーク サービスがチケットを発行した Kerberos サーバを信頼することにした場合、ユーザ名およびパスワードを再度入力する代わりに Kerberos 証明書を使用できます。証明書の有効期限は、8 時間がデフォルトの設定です。 |
Kerberos アイデンティティ |
(Kerberos プリンシパルを参照) |
Kerberos プリンシパル |
Kerberos プリンシパルは、Kerberos サーバに基づき、ユーザが誰であるか、サービスが何であるかを表します。Kerberos アイデンティティともいいます。 |
Kerberos レルム |
Kerberos サーバに登録されたユーザ、ホスト、およびネットワーク サービスで構成されるドメイン。Kerberos サーバを信頼して、ユーザまたはネットワーク サービスに対する別のユーザまたはネットワーク サービスのアイデンティティ検証が行われます。Kerberos レルムは、常に大文字にする必要があります。 |
Kerberos サーバ |
ネットワーク ホスト上で稼働しているデーモン。ユーザおよびネットワーク サービスは、それぞれのアイデンティティを Kerberos サーバに登録します。ネットワーク サービスは Kerberos サーバにクエリを出して、他のネットワーク サービスを認証します。 |
KDC |
ネットワーク ホスト上で稼働している Kerberos サーバおよびデータベース プログラム。さまざまなユーザまたはネットワーク サービスに Kerberos 証明書を割り当てます。 |
サービス証明書 |
ネットワーク サービスに関する証明書。KDC から発行されるこの証明書は、ネットワーク サービスと KDC 間で共通のパスワード、およびユーザの TGT と一緒に暗号化されます。 |
SRVTAB |
ネットワーク サービスが KDC と共有するパスワード。ネットワーク サービスは、SRVTAB(別名 KEYTAB)を使用することにより、暗号化されたサービス証明書を認証して解読します。 |
TGT |
KDC が認証済みユーザに発行する証明書。TGT を受け取ったユーザは、KDC が表した Kerberos レルム内のネットワーク サービスに関して、認証を得ることができます。 |
Catalyst 6500 シリーズ スイッチでは、コンソール ポートおよび帯域内管理ポートの両方で、Telnet クライアントおよびサーバを Kerberos 対応にすることができます。
(注) 認証メカニズムとして TACACS+ を使用している場合、Kerberos 認証は機能しません。
(注) モデムまたは端末サーバからコンソールにログインする場合は、Kerberos 対応のログイン手順を使用できません。
Kerberos 対応のログイン手順を使用する場合
帯域内管理ポートからログインする場合は、Kerberos 対応の Telnet セッションを使用できます。Telnet クライアントおよびサービスが Kerberos 対応になっている場合、ユーザは次の手順でスイッチに Telnet でアクセスします。
1. Telnet クライアントはユーザ名を要求し、Kerberos サーバ上の KDC に TGT 要求を出します。
2. KDC が TGT を作成します。TGT にはユーザのアイデンティティ、KDC のアイデンティティ、TGT の有効期限が指定されます。KDC はさらに、ユーザのパスワードとともに TGT を暗号化し、その TGT をクライアントに送信します。
3. 暗号化された TGT を受け取った Telnet クライアントは、パスワードを要求します。Telnet クライアントが入力されたパスワードを使用して TGT を解読できた場合、KDC の認証が正常に得られます。クライアントはその後、サービス証明書要求を作成して KDC に送信します。この要求には、ユーザのアイデンティティ、およびスイッチに Telnet で接続することを伝えるメッセージが含まれます。この要求は TGT を使用して暗号化されます。
4. KDC がクライアントに発行した TGT を使用してサービス証明書要求を正しく解読できた場合、スイッチへのサービスが用意されます。サービス証明書にはクライアントのアイデンティティ、および所定の Telnet サーバのアイデンティティが指定されます。KDC はさらに、スイッチの Telnet サーバと共通のパスワードを使用して証明書を暗号化し、生成されたパケットを Telnet クライアントの TGT で暗号化して、クライアントにパケットを送信します。
5. Telnet クライアントはまず、自身の TGT を使用してパケットを解読します。暗号化に問題がなければ、クライアントからスイッチの Telnet サーバへ、生成されたパケットを送信します。この時点では、パケットはまだ、スイッチの Telnet サーバと KDC が共有するパスワードで暗号化された状態です。
6. Telnet クライアントは指示された場合、TGT をスイッチに転送します。その結果、別の TGT を取得しなくても、スイッチの別のネットワーク サービスを使用できます。
図38-1 に、Kerberos 対応 Telnet の接続プロセスを示します。
図38-1 Kerberos 対応の Telnet 接続
Kerberos 非対応のログイン手順を使用する場合
Kerberos 非対応のログイン手順を使用してスイッチにログインする場合、スイッチがログイン クライアントの代わりに、KDC に対する認証を処理します。ただし、ユーザ パスワードはクリア テキストの状態でログイン クライアントからスイッチに転送されます。
(注) Kerberos 非対応のログインは、モデムまたは端末サーバから、帯域内管理ポートを使用して実行できます。Telnet は、Kerberos 非対応のログインをサポートしていません。
Kerberos 非対応のログインを開始した場合、手順は次のようになります。
1. ユーザ名およびパスワードを入力するように要求されます。
2. スイッチから KDC に TGT を要求します。その結果、ユーザはスイッチの認証を受けることができます。
3. KDC がスイッチに暗号化された TGT を送信します。TGT にはユーザのアイデンティティ、KDC のアイデンティティ、TGT の有効期限が指定されます。
4. スイッチはユーザが入力したパスワードを使用して、TGT を解読します。解読が正常に完了した場合、ユーザはスイッチの認証が得られます。
5. 他のネットワーク サービスにアクセスする場合は、KDC に直接アクセスして認証を受ける必要があります。TGT を取得するには、Kerberos パッケージに付属しているクライアント ソフトウェア プログラム [kinit] を使用します。
図38-2 に、Kerberos 非対応のログイン プロセスを示します。
図38-2 Kerberos 非対応の Telnet 接続
スイッチ上での認証の設定
ここでは、さまざまな認証方式を設定する手順について説明します。
• 「認証のデフォルト設定」
• 「認証設定時の注意事項」
• 「ログイン認証の設定」
• 「ローカル認証の設定」
• 「ローカル ユーザ認証の設定」
• 「TACACS+ 認証の設定」
• 「RADIUS 認証の設定」
• 「Kerberos 認証の設定」
• 「認証の例」
認証のデフォルト設定
表38-2 に、認証のデフォルト設定を示します。
表38-2 認証のデフォルト設定
|
|
ログイン認証(コンソールおよび Telnet) |
イネーブル |
ローカル認証(コンソールおよび Telnet) |
イネーブル |
ローカル ユーザ認証 |
ディセーブル |
TACACS+ ログイン認証(コンソールおよび Telnet) |
ディセーブル |
TACACS+ イネーブル認証(コンソールおよび Telnet) |
ディセーブル |
TACACS+ 鍵 |
指定なし |
TACACS+ ログイン試行回数 |
3 |
TACACS+ サーバ タイムアウト |
5 秒 |
TACACS+ 指定要求 |
ディセーブル |
RADIUS ログイン認証(コンソールおよび Telnet) |
ディセーブル |
RADIUS イネーブル認証(コンソールおよび Telnet) |
ディセーブル |
RADIUS サーバ IP アドレス |
指定なし |
RADIUS サーバ UDP 認証ポート |
ポート 1812 |
RADIUS 鍵 |
指定なし |
RADIUS サーバ タイムアウト |
5 秒 |
RADIUS サーバ待機時間 |
0(サーバは待機状態としてマークされていません) |
RADIUS 再送信試行回数 |
2 回 |
Kerberos ログイン認証(コンソールおよび Telnet) |
ディセーブル |
Kerberos イネーブル認証(コンソールおよび Telnet) |
ディセーブル |
Kerberos サーバ IP アドレス |
指定なし |
Kerberos DES 鍵 |
指定なし |
Kerberos サーバ認証ポート |
ポート 750 |
Kerberos ローカル レルム名 |
ヌル ストリング |
Kerberos 証明書転送 |
ディセーブル |
Kerberos クライアント必須 |
必須ではない |
Kerberos 事前認証 |
ディセーブル |
認証設定時の注意事項
ここでは、スイッチでの認証設定時の注意事項について説明します。
• console キーワードまたは telnet キーワードを使用して、接続タイプ別に使用する認証方式を指定しないかぎり、認証の設定はコンソール接続と Telnet 接続の両方に適用されます。
• スイッチ上で RADIUS または TACACS+ 鍵を設定した場合は、同じ鍵を RADIUS または TACACS+ サーバ上で設定しなければなりません。
• スイッチ上で RADIUS または TACACS+ をイネーブルにする前に、RADIUS サーバまたは TACACS+ サーバを指定する必要があります。
• 複数の RADIUS サーバまたは TACACS+ サーバを設定する場合は、最初に設定するサーバがプライマリ サーバになり、認証要求はそのサーバに最初に送信されます。特定のサーバをプライマリとして指定する場合は、 primary キーワードを使用します。
• RADIUS および TACACS+ は、1 つのイネーブル モードだけをサポートします(レベル 1)。
• 認証メカニズムとして TACACS+ も使用している場合、Kerberos 認証は機能しません。
• ローカル ユーザ認証をイネーブルにするには、先に少なくとも 1 つのユーザ名を定義します。
• ローカル ユーザ アカウントおよびパスワードは 64 文字以内で、英数字を使用できます。ただし、ローカル ユーザ アカウントには少なくとも 1 文字は英字を使用します。
スイッチ上でのログイン認証の試行回数の設定
スイッチ上でログイン認証を設定するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
スイッチ上でログイン試行回数制限をイネーブルにします。コンソール ポート接続または Telnet 接続に限ってログイン認証をイネーブルにする場合は、 console または telnet キーワードを指定します。 |
set authentication login attempt { count } [ console | telnet ] |
ステップ 2 |
スイッチ上でログイン ロックアウト時間をイネーブルにします。コンソール ポート接続または Telnet 接続に限ってログイン認証をイネーブルにする場合は、 console または telnet キーワードを指定します。 |
set authentication login lockout { time } [ console | telnet ] |
ステップ 3 |
ローカル認証の設定を確認します。 |
show authentication |
次に、ログイン試行回数を 5 回に制限し、コンソール接続と Telnet 接続の両方についてロックアウト時間を 50 秒に設定し、その設定を確認する例を示します。
Console> (enable) set authentication login attempt 5
Login authentication attempts for console and telnet logins set to 5.
Console> (enable) set authentication login lockout 50
Login lockout time for console and telnet logins set to 50.
Console> (enable) show authentication
Login Authentication: Console Session Telnet Session Http Session
--------------------- ---------------- ---------------- ----------------
tacacs disabled disabled disabled
radius disabled disabled disabled
kerberos disabled disabled disabled
local enabled(primary) enabled(primary) enabled(primary)
lockout timeout (sec) 50 50 -
Enable Authentication: Console Session Telnet Session Http Session
---------------------- ----------------- ---------------- ----------------
tacacs disabled disabled disabled
radius disabled disabled disabled
kerberos disabled disabled disabled
local enabled(primary) enabled(primary) enabled(primary)
lockout timeout (sec) disabled disabled -
イネーブル モードのログイン認証試行回数の設定
イネーブル モードのログイン認証を設定するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
イネーブル モードのログイン試行回数制限をイネーブルにします。コンソール ポート接続または Telnet 接続に限ってログイン認証をイネーブルにする場合は、 console または telnet キーワードを指定します。 |
set authentication enable attempt { count } [ console | telnet ] |
ステップ 2 |
イネーブル モードのログイン ロックアウト時間をイネーブルにします。コンソール ポート接続または Telnet 接続に限ってログイン認証をイネーブルにする場合は、 console または telnet キーワードを指定します。 |
set authentication enable lockout { time } [ console | telnet ] |
ステップ 3 |
ローカル認証の設定を確認します。 |
show authentication |
次に、イネーブル モードのログイン試行回数を 5 回に制限し、コンソール接続と Telnet 接続の両方でイネーブル モード ロックアウト時間を 50 秒に設定し、その設定を確認する例を示します。
Console> (enable) set authentication enable attempt 5
Enable mode authentication attempts for console and telnet logins set to 5.
Console> (enable) set authentication enable lockout 50
Enable mode lockout time for console and telnet logins set to 50.
Console> (enable) show authentication
Login Authentication: Console Session Telnet Session Http Session
--------------------- ---------------- ---------------- ----------------
tacacs disabled disabled disabled
radius disabled disabled disabled
kerberos disabled disabled disabled
local enabled(primary) enabled(primary) enabled(primary)
lockout timeout (sec) 50 50 -
Enable Authentication: Console Session Telnet Session Http Session
---------------------- ----------------- ---------------- ----------------
tacacs disabled disabled disabled
radius disabled disabled disabled
kerberos disabled disabled disabled
local enabled(primary) enabled(primary) enabled(primary)
lockout timeout (sec) 50 50 -
ローカル認証のイネーブル化
(注) ローカル ログイン認証およびイネーブル認証は、デフォルトの設定として、コンソール接続と Telnet 接続の両方でイネーブルです。デフォルト設定を変更する場合、またはローカル認証をディセーブルにしている場合を除き、次の作業は不要です。
スイッチ上でローカル認証をイネーブルにするには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
スイッチ上でローカル ログイン認証をイネーブルにします。コンソール ポート接続または Telnet 接続に限ってローカル認証をイネーブルにする場合は、 console キーワードまたは telnet キーワードを指定します。 |
set authentication login local enable [ all | console | http | telnet ] |
ステップ 2 |
スイッチ上でローカル イネーブル認証をイネーブルにします。コンソール ポート接続または Telnet 接続に限ってローカル認証をイネーブルにする場合は、 console キーワードまたは telnet キーワードを指定します。 |
set authentication enable local enable [ all | console | http | telnet ] |
ステップ 3 |
ローカル認証の設定を確認します。 |
show authentication |
次に、ローカル ログインをイネーブルに設定し、コンソール接続と Telnet 接続の両方で認証をイネーブルにして、その設定を確認する例を示します。
Console> (enable) set authentication login local enable
local login authentication set to enable for console and telnet session.
Console> (enable) set authentication enable local enable
local enable authentication set to enable for console and telnet session.
Console> (enable) show authentication
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
kerberos disabled disabled
local enabled(primary) enabled(primary)
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
kerberos disabled disabled
local enabled(primary) enabled(primary)
ログイン パスワードの設定
ログイン パスワードによって、ユーザ モードの CLI へのアクセスを制御します。パスワードには大文字と小文字の区別があり、任意の印刷可能な文字をスペースも含めて 19 文字まで使用できます。
(注) Release 5.4 より前のソフトウェア リリースのバージョンで設定したパスワードには、大文字と小文字の区別がありません。Release 5.4 をインストール後に、大文字と小文字の区別があるパスワードに再度設定する必要があります。
ローカル認証用にログイン パスワードを設定するには、イネーブル モードで次の作業を行います。
|
|
アクセスのためのログイン パスワードを設定します。以前のパスワードを入力し(パスワードが設定されていない場合には Return キーを押し)、新しいパスワードを入力して、さらにもう一度、新しいパスワードを入力します。 |
set password |
次に、スイッチ上でログイン パスワードを設定する例を示します。
Console> (enable) set password
Enter old password: <old_password>
Enter new password: <new_password>
Retype new password: <new_password>
イネーブル パスワードの設定
ログイン パスワードによって、ユーザ モードの CLI へのアクセスを制御します。パスワードには大文字と小文字の区別があり、任意の印刷可能な文字をスペースも含めて 19 文字まで使用できます。
(注) Release 5.4 より前のソフトウェア リリースのバージョンで設定したパスワードには、大文字と小文字の区別がありません。Release 5.4 をインストール後に、大文字と小文字の区別があるパスワードに再度設定する必要があります。
ローカル認証用にイネーブル パスワードを設定するには、イネーブル モードで次の作業を行います。
|
|
イネーブル モードのパスワードを設定します。以前のパスワードを入力し(パスワードが設定されていない場合には Return キーを押し)、新しいパスワードを入力して、さらにもう一度、新しいパスワードを入力します。 |
set enablepass |
次に、スイッチ上でイネーブル パスワードを設定する例を示します。
Console> (enable) set enablepass
Enter old password: <old_password>
Enter new password: <new_password>
Retype new password: <new_password>
ローカル認証のディセーブル化
注意 ローカル ログインまたはイネーブル認証をディセーブルにする前に、RADIUS または TACACS+ 認証が正しく設定され、機能しているかどうかを確認します。ローカル認証をディセーブルにした際に、RADIUS や TACACS+ が正しく設定されていなかった場合、または RADIUS サーバや TACACS+ サーバがオンラインでなかった場合、スイッチにログインできない可能性があります。
スイッチ上でローカル認証をディセーブルにするには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
スイッチ上でローカル ログイン認証をディセーブルにします。コンソール ポート接続または Telnet 接続に限ってローカル認証をディセーブルにする場合は、 console キーワードまたは telnet キーワードを指定します。 |
set authentication login local disable [ all | console | http | telnet ] |
ステップ 2 |
スイッチ上でローカル イネーブル認証をディセーブルにします。コンソール ポート接続または Telnet 接続に限ってローカル認証をディセーブルにする場合は、 console キーワードまたは telnet キーワードを指定します。 |
set authentication enable local disable [ all | console | http | telnet ] |
ステップ 3 |
ローカル認証の設定を確認します。 |
show authentication |
(注) RADIUS または TACACS+ 認証をイネーブルにしてから、ローカル認証をディセーブルにします。
次に、ローカル ログイン認証をディセーブルに設定し、コンソール接続と Telnet 接続の両方で認証をイネーブルにして、その設定を確認する例を示します。
Console> (enable) set authentication login local disable
local login authentication set to disable for console and telnet session.
Console> (enable) set authentication enable local disable
local enable authentication set to disable for console and telnet session.
Console> (enable) show authentication
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
radius enabled(primary) enabled(primary)
kerberos disabled disabled
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
radius enabled(primary) enabled(primary)
kerberos disabled disabled
パスワードの回復
ローカル認証パスワードを回復するには、次の手順に従います。ステップ 3 ~ 7 は、いったん電源を切ってから再投入したあと、30 秒以内に行う必要があります。そうでない場合は、パスワードの回復に失敗します。ログイン パスワードとイネーブル パスワードを両方とも忘れた場合には、パスワードごとに手順を繰り返してください。
パスワードを回復するには、イネーブル モードで次の作業を行います。
ステップ 1 スーパバイザ エンジンのコンソール ポートからスイッチに接続します。Telnet 接続の場合はパスワードを回復することはできません。
ステップ 2 reset system コマンドを入力してスイッチを再起動します。
ステップ 3 [Enter Password] のプロンプトで Return キーを押します(コンソール ポートに接続してから 30 秒間、ログイン パスワードは空白です)。
ステップ 4 enable コマンドを使用してイネーブル モードを開始します。
ステップ 5 [Enter Password] のプロンプトで Return キーを押します( コンソール ポートに接続してから 30 秒間、イネーブル パスワードは空白です)。
ステップ 6 set password コマンドまたは set enablepass コマンドを入力します。
ステップ 7 以前のパスワードを要求するプロンプトに対して、 Return キーを押します。
ステップ 8 新しいパスワードを入力して確認します。
ローカル ユーザ アカウントの作成
ローカル ユーザ アカウントおよびパスワードは 64 文字以内で、英数字を使用できます。ただし、ローカル ユーザ アカウントには、少なくとも 1 文字は英字を使用します。
スイッチ上でローカル ユーザ アカウントを作成するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
新規のローカル ユーザ アカウントを作成します。 |
set localuser user username password pwd privilege privilege_level |
ステップ 2 |
ローカル ユーザ アカウントを確認します。 |
show localusers |
次に、ローカル ユーザ アカウントとパスワードを作成して権限レベルを設定し、その設定を確認する例を示します。
Console> (enable) set localuser user picard password captain privilege 15
Console> (enable) show localusers
Local User Authentication: disabled
ローカル ユーザ認証のイネーブル化
スイッチ上でローカル ユーザ認証をイネーブルにするには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
ローカル ユーザ認証をイネーブルにします。 |
set localuser authentication enable |
ステップ 2 |
ローカル ユーザ認証の設定を確認します。 |
show authentication |
次に、ローカル ユーザ アカウントを作成してローカル ユーザ認証をイネーブルにし、その設定を確認する例を示します。
Console> (enable) set localuser authentication enable
Local User Authentication enabled.
Console> (enable) show authentication
Login Authentication: Console Session Telnet Session Http Session
--------------------- ---------------- ---------------- ----------------
tacacs disabled disabled disabled
radius disabled disabled disabled
kerberos disabled disabled disabled
local * enabled(primary) enabled(primary) enabled(primary)
lockout timeout (sec) disabled disabled -
Enable Authentication: Console Session Telnet Session Http Session
---------------------- ----------------- ---------------- ----------------
tacacs disabled disabled disabled
radius disabled disabled disabled
kerberos disabled disabled disabled
local * enabled(primary) enabled(primary) enabled(primary)
lockout timeout (sec) disabled disabled -
* Local User Authentication enabled.
ローカル ユーザ認証のディセーブル化
スイッチ上でローカル ユーザ認証をディセーブルにするには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
ローカル ユーザ認証をディセーブルにします。 |
set localuser authentication disable |
ステップ 2 |
ローカル認証の設定を確認します。 |
show authentication |
次に、スイッチのローカル ユーザ認証をディセーブルにし、設定を確認する例を示します。
Console> (enable) set localuser authentication disable
local user authentication set to disable.
Console> (enable) show authentication
Login Authentication: Console Session Telnet Session Http Session
--------------------- ---------------- ---------------- ----------------
tacacs disabled disabled disabled
radius disabled disabled disabled
kerberos disabled disabled disabled
local * enabled(primary) enabled(primary) enabled(primary)
lockout timeout (sec) disabled disabled -
Enable Authentication: Console Session Telnet Session Http Session
---------------------- ----------------- ---------------- ----------------
tacacs disabled disabled disabled
radius disabled disabled disabled
kerberos disabled disabled disabled
local * enabled(primary) enabled(primary) enabled(primary)
lockout timeout (sec) disabled disabled -
* Local User Authentication disabled.
ローカル ユーザ アカウントの削除
スイッチ上でローカル ユーザ アカウントを削除するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
ローカル ユーザ アカウントを削除します。 |
clear localuser picard |
ステップ 2 |
ローカル ユーザ アカウントが削除されたことを確認します。 |
show localusers |
次に、スイッチのローカル ユーザ認証を削除し、設定を確認する例を示します。
Console> (enable) clear localuser number1
Console> (enable) show localusers
Local User Authentication: enabled
TACACS+ サーバの指定
1 つまたは複数の TACACS+ サーバを指定してから、スイッチ上で TACACS+ 認証をイネーブルにします。 primary キーワードでプライマリにするサーバを明示的に指定しないかぎり、最初に指定したサーバがプライマリ サーバになります。
1 つまたは複数の TACACS+ サーバを指定するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
1 つまたは複数の TACACS+ サーバの IP アドレスを指定します。 |
set tacacs server ip_addr [ primary ] |
ステップ 2 |
TACACS+ の設定を確認します。 |
show tacacs |
次に、TACACS+ サーバを指定し、設定を確認する例を示します。
Console> (enable) set tacacs server 172.20.52.3
172.20.52.3 added to TACACS server table as primary server.
Console> (enable) set tacacs server 172.20.52.2 primary
172.20.52.2 added to TACACS server table as primary server.
Console> (enable) set tacacs server 172.20.52.10
172.20.52.10 added to TACACS server table as backup server.
Console> (enable) show tacacs
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
local enabled(primary) enabled(primary)
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
local enabled(primary) enabled(primary)
Tacacs timeout: 5 seconds
Tacacs direct request: disabled
---------------------------------------- -------
TACACS+ 認証のイネーブル化
(注) 少なくとも 1 つの TACACS+ サーバを指定してから、スイッチ上で TACACS+ 認証をイネーブルにします。TACACS+ サーバの指定方法については、「TACACS+ サーバの指定」を参照してください。
スイッチに対するログイン アクセスおよびイネーブル アクセスに関して、TACACS+ 認証をイネーブルに設定できます。状況に応じて、 console キーワードまたは telnet キーワードを指定すると、コンソール接続、または Telnet 接続に限って TACACS+ 認証を使用できます。RADIUS と TACACS+ の両方を使用する場合は、 primary キーワードを使用して、スイッチに最初に TACACS+ 認証を試行させることができます。
TACACS+ 認証をイネーブルにするには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
ユーザ ログイン モードについて、TACACS+ 認証をイネーブルにします。コンソール ポート接続または Telnet 接続に限って TACACS+ 認証をイネーブルにする場合は、 console キーワードまたは telnet キーワードを指定します。 |
set authentication login tacacs enable [ all | console | http | telnet ] [ primary ] |
ステップ 2 |
イネーブル モードについて、TACACS+ 認証をイネーブルにします。コンソール ポート接続または Telnet 接続に限って TACACS+ 認証をイネーブルにする場合は、 console キーワードまたは telnet キーワードを指定します。 |
set authentication enable tacacs enable [ all | console | http | telnet ] [ primary ] |
ステップ 3 |
TACACS+ の設定を確認します。 |
show authentication |
次に、コンソール接続と Telnet 接続の両方で TACACS+ 認証をイネーブルにして、設定を確認する例を示します。
Console> (enable) set authentication login tacacs enable
tacacs login authentication set to enable for console and telnet session.
Console> (enable) set authentication enable tacacs enable
tacacs enable authentication set to enable for console and telnet session.
Console> (enable) show authentication
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
tacacs enabled(primary) enabled(primary)
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
tacacs enabled(primary) enabled(primary)
TACACS+ 鍵の指定
(注) クライアント上で TACACS+ 鍵を設定する場合、TACACS+ サーバ上で設定されている鍵と一致させなければなりません。
TACACS+ 鍵を指定するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
パケットを暗号化する鍵を指定します。 |
set tacacs key key |
ステップ 2 |
TACACS+ の設定を確認します。 |
show tacacs |
次に、TACACS+ 鍵を指定し、設定を確認する例を示します。
Console> (enable) set tacacs key Secret_TACACS_key
The tacacs key has been set to Secret_TACACS_key.
Console> (enable) show tacacs
Tacacs key: Secret_TACACS_key
Tacacs timeout: 5 seconds
Tacacs direct request: disabled
---------------------------------------- -------
TACACS+ タイムアウト インターバルの指定
TACACS+ サーバに再送信するまでのタイムアウト インターバルを指定できます。デフォルトのタイムアウト値は 5 秒です。
TACACS+ タイムアウト インターバルを指定するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
TACACS+ タイムアウト インターバルを指定します。 |
set tacacs timeout seconds |
ステップ 2 |
TACACS+ の設定を確認します。 |
show tacacs |
次に、サーバ タイムアウト インターバルを設定し、設定を確認する例を示します。
Console> (enable) set tacacs timeout 30
Tacacs timeout set to 30 seconds.
Console> (enable) show tacacs
Tacacs key: Secret_TACACS_key
Tacacs timeout: 30 seconds
Tacacs direct request: disabled
---------------------------------------- -------
TACACS+ ログイン試行回数の指定
ログインの最大試行回数を指定できます。
ログインの最大試行回数を指定するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
ログインの最大試行回数を指定します。 |
set tacacs attempts number |
ステップ 2 |
TACACS+ の設定を確認します。 |
show tacacs |
次に、ログイン最大試行回数を指定し、設定を確認する例を示します。
Console> (enable) set tacacs attempts 5
Tacacs number of attempts set to 5.
Console> (enable) show tacacs
Tacacs key: Secret_TACACS_key
Tacacs timeout: 30 seconds
Tacacs direct request: disabled
---------------------------------------- -------
TACACS+ 指定要求のイネーブル化
TACACS+指定要求がイネーブルの場合、設定されている TACACS+ サーバのホスト名をオプションとして指定することにより、その特定の TACACS+ サーバに TACACS+ 認証要求を渡すことができます。スイッチが通信するサーバに、ログインを試行しているユーザに対するアカウントがない場合、認証は失敗します。
TACACS+ 指定要求をイネーブルにするには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
スイッチ上で TACACS+ 指定要求をイネーブルにします。 |
set tacacs directedrequest enable |
ステップ 2 |
TACACS+ の設定を確認します。 |
show tacacs |
次に、TACACS+ 指定要求をイネーブルにして、設定を確認する例を示します。
Console> (enable) set tacacs directedrequest enable
Tacacs direct request has been enabled.
Console> (enable) show tacacs
Tacacs key: Secret_TACACS_key
Tacacs timeout: 30 seconds
Tacacs direct request: enabled
---------------------------------------- -------
TACACS+ 指定要求のディセーブル化
TACACS+ 指定要求をディセーブルにするには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
スイッチ上で TACACS+ 指定要求をディセーブルにします。 |
set tacacs directedrequest disable |
ステップ 2 |
TACACS+ の設定を確認します。 |
show tacacs |
次に、TACACS+ 指定要求をディセーブルにする例を示します。
Console> (enable) set tacacs directedrequest disable
Tacacs direct request has been disabled.
TACACS+ サーバの消去
1 つまたは複数の TACACS+ サーバを消去するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
設定から消去する TACACS+ サーバの IP アドレスを指定します。設定からサーバをすべて消去するには、 all キーワードを使用します。 |
clear tacacs server [ ip_addr | all ] |
ステップ 2 |
TACACS+ サーバの設定を確認します。 |
show tacacs |
次に、設定から特定の TACACS+ サーバを消去する例を示します。
Console> (enable) clear tacacs server 172.20.52.3
172.20.52.3 cleared from TACACS table
次に、設定からすべての TACACS+ サーバを消去する例を示します。
Console> (enable) clear tacacs server all
All TACACS servers cleared
TACACS+ 鍵の消去
TACACS+ 鍵を消去するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
TACACS+ 鍵を消去します。 |
clear tacacs key |
ステップ 2 |
TACACS+ の設定を確認します。 |
show tacacs |
次に、TACACS+鍵を消去する例を示します。
Console> (enable) clear tacacs key
TACACS server key cleared.
TACACS+ 認証のディセーブル化
ローカル認証がディセーブルで、TACACS+ 認証だけがイネーブルのときに、TACACS+ 認証をディセーブルにすると、ローカル認証が再び自動的にイネーブルになります。
TACACS+ 認証をディセーブルにするには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
ユーザ ログイン モードについて、TACACS+ 認証をディセーブルにします。コンソール ポート接続または Telnet 接続に限って TACACS+ 認証をディセーブルにする場合は、 console キーワードまたは telnet キーワードを指定します。 |
set authentication login tacacs disable [ all | console | http | telnet ] |
ステップ 2 |
イネーブル モードについて、TACACS+ 認証をディセーブルにします。コンソール ポート接続または Telnet 接続に限って TACACS+ 認証をディセーブルにする場合は、 console キーワードまたは telnet キーワードを指定します。 |
set authentication enable tacacs disable [ all | console | http | telnet ] |
ステップ 3 |
TACACS+ の設定を確認します。 |
show authentication |
次に、コンソール接続と Telnet 接続の両方で TACACS+ 認証をディセーブルにして、設定を確認する例を示します。
Console> (enable) set authentication login tacacs disable
tacacs login authentication set to disable for console and telnet session.
Console> (enable) set authentication enable tacacs disable
tacacs enable authentication set to disable for console and telnet session.
Console> (enable) show authentication
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
local enabled(primary) enabled(primary)
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
local enabled(primary) enabled(primary)
RADIUS サーバの指定
1 つまたは複数の RADIUS サーバを指定するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
3 つまでの RADIUS サーバの IP アドレスを指定します。 primary キーワードを使用して、プライマリ サーバを指定します。さらにオプションとして、サーバ上で使用する宛先 UDP ポートを指定します。 |
set radius server ip_addr [ auth-port port ] [ primary ] |
ステップ 2 |
RADIUS サーバの設定を確認します。 |
show radius |
次に、RADIUS サーバを指定し、設定を確認する例を示します。
Console> (enable) set radius server 172.20.52.3
172.20.52.3 with auth-port 1812 added to radius server table as primary server.
Console> (enable) show radius
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
local enabled(primary) enabled(primary)
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
local enabled(primary) enabled(primary)
Radius Deadtime: 0 minutes
Radius Timeout: 5 seconds
Radius-Server Status Auth-port
----------------------------- ------- ------------
RADIUS 鍵の指定
(注) クライアント上で RADIUS 鍵を指定する場合は、必ず RADIUS サーバ上で指定されている鍵と同じものにします。
RADIUS クライアントとサーバとの間のすべての通信を暗号化し、認証するために、RADIUS 鍵が使用されます。クライアントと RADIUS サーバ上では、同じ鍵を設定しなければなりません。
鍵の長さは 65 文字に制限されています。タブ以外の印字可能な任意の ASCII 文字を使用できます。
RADIUS 鍵を指定するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
RADIUS サーバに送信するパケットの暗号化に使用する RADIUS 鍵を指定します。 |
set radius key key |
ステップ 2 |
RADIUS の設定を確認します。 |
show radius |
次に、RADIUS 鍵を指定し、設定を確認する例を示します(ユーザ モードの場合、RADIUS 鍵値は表示されません)。
Console> (enable) set radius key Secret_RADIUS_key
Radius key set to Secret_RADIUS_key
Console> (enable) show radius
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
radius enabled(primary) enabled(primary)
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
radius enabled(primary) enabled(primary)
Radius Deadtime: 0 minutes
Radius Key: Secret_RADIUS_key
Radius Timeout: 5 seconds
Radius-Server Status Auth-port
----------------------------- ------- ------------
RADIUS 認証のイネーブル化
(注) スイッチ上で RADIUS 認証をイネーブルにする前に、少なくとも 1 つの RADIUS サーバを指定します。RADIUS サーバの指定手順については、「RADIUS サーバの指定」を参照してください。
スイッチへのログイン アクセスおよびイネーブル アクセスについて、RADIUS 認証をイネーブルにできます。必要な場合は、 console キーワードまたは telnet キーワードを使用して、RADIUS 認証をコンソール接続、または Telnet 接続だけに使用するように設定できます。RADIUS と TACACS+ の両方を使用する場合は、 primary キーワードを使用して、スイッチに最初に RADIUS 認証を試行させることができます。
RADIUS ユーザ名を設定して、RADIUS 認証をイネーブルにするには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
ユーザ ログイン モードについて、RADIUS 認証をイネーブルにします。コンソール ポート接続または Telnet 接続による試行に限って RADIUS をイネーブルにする場合は、 console キーワードまたは telnet キーワードを入力します。 |
set authentication login radius enable [ all | console | http | telnet ] [ primary ] |
ステップ 2 |
イネーブル モードについて、RADIUS 認証をイネーブルに設定します。コンソール ポート接続または Telnet 接続による試行に限って RADIUS をイネーブルにする場合は、 console キーワードまたは telnet キーワードを入力します。 |
set authentication enable radius enable [ all | console | http | telnet ] [ primary ] |
ステップ 3 |
RADIUS サーバ上で$enab15$ を作成し、このユーザにパスワードを割り当てます。 |
詳細については、以下の(注)を参照してください。 |
ステップ 4 |
RADIUS の設定を確認します。 |
show authentication |
(注) イネーブル モードの RADIUS 認証を使用するには、RADIUS サーバ上にユーザ$enab15$ を作成し、そのユーザにパスワードを割り当てる必要があります。RADIUS サーバにユーザ名とパスワード(たとえば、ユーザ名 john、パスワード hello)を割り当てるだけでなく、このユーザも作成する必要があります。割り当てられたユーザ名およびパスワード(john/hello)を使用して Catalyst 6500 シリーズ スイッチにログインしたら、$enab15$ ユーザに割り当てられたパスワードを使用してイネーブル モードを開始できます。
RADIUS サーバが $enab15$ ユーザ名をサポートしていない場合は、RADIUS ユーザの Service-Type 属性(属性 6)を Administrative(値 6)に設定すると、個別にイネーブル パスワードを要求されることなく、直接イネーブル モードを起動できます。
次に、RADIUS 認証をイネーブルにして、設定を確認する例を示します。
Console> (enable) set authentication login radius enable
radius login authentication set to enable for console and telnet session.
Console> (enable) set authentication enable radius enable
radius enable authentication set to enable for console and telnet session.
Console> (enable) show authentication
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
radius enabled(primary) enabled(primary)
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
radius enabled(primary) enabled(primary)
RADIUS タイムアウト インターバルの指定
RADIUS サーバに再送信するまでのタイムアウト インターバルを指定できます。デフォルトのタイムアウト値は 5 秒です。
RADIUS のタイムアウト インターバルを指定するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
RADIUS タイムアウト インターバルを指定します。 |
set radius timeout seconds |
ステップ 2 |
RADIUS の設定を確認します。 |
show radius |
次に、RADIUS タイムアウト インターバルを設定し、設定を確認する例を示します。
Console> (enable) set radius timeout 10
Radius timeout set to 10 seconds.
Console> (enable) show radius
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
radius enabled(primary) enabled(primary)
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
radius enabled(primary) enabled(primary)
Radius Deadtime: 0 minutes
Radius Key: Secret_RADIUS_key
Radius Timeout: 10 seconds
Radius-Server Status Auth-port
----------------------------- ------- ------------
RADIUS 再送信試行回数の指定
スイッチが RADIUS サーバとの接続を試行する最大回数を指定できます。この回数を超えると、設定済みの次のサーバとの接続が試行されます。デフォルトの設定では、各 RADIUS サーバとの接続は 2 回試行されます。
RADIUS の再送信試行回数を指定するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
RADIUS サーバ再送信試行回数を指定します。 |
set radius retransmit count |
ステップ 2 |
RADIUS の設定を確認します。 |
show radius |
次に、RADIUS 再送信試行回数を指定し、設定を確認する例を示します。
Console> (enable) set radius retransmit 4
Radius retransmit count set to 4.
Console> (enable) show radius
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
radius enabled(primary) enabled(primary)
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
radius enabled(primary) enabled(primary)
Radius Deadtime: 0 minutes
Radius Key: Secret_RADIUS_key
Radius Timeout: 10 seconds
Radius-Server Status Auth-port
----------------------------- ------- ------------
RADIUS 待機時間の指定
RADIUS サーバが認証要求に応答しなかった場合、待機時間によって指定された期間は待機状態であるというマークをそのサーバに付けるように、スイッチを設定できます。待機時間内に受信された認証要求はいずれも(そのスイッチへのログインを試行している他のユーザなど)、待機状態とマークされた RADIUS サーバには送信されません。待機時間を設定しておけば、待機状態の RADIUS サーバへの再送信やタイムアウトを省くことができるため、認証プロセスを高速化できます。
1 つの RADIUS サーバだけを設定した場合、または設定されたサーバがすべて待機状態とマークされている場合、使用可能な代替サーバがないため、待機時間は無視されます。
RADIUS 待機時間を設定するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
RADIUS サーバの待機時間を指定します。 |
set radius deadtime minutes |
ステップ 2 |
RADIUS の設定を確認します。 |
show radius |
次に、RADIUS 待機時間を設定し、設定を確認する例を示します。
Console> (enable) set radius deadtime 5
Radius deadtime set to 5 minute(s)
Console> (enable) show radius
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
radius enabled(primary) enabled(primary)
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
radius enabled(primary) enabled(primary)
Radius Deadtime: 5 minutes
Radius Key: Secret_RADIUS_key
Radius Timeout: 10 seconds
Radius-Server Status Auth-port
----------------------------- ------- ------------
RADIUS サーバのオプションの属性の指定
RADIUS ACCESS_REQUEST パケットにオプションの属性を指定できます。 set radius attribute コマンドによって、Framed-IP address、NAS-Port、Called-Station-Id、Calling-Station-Id などの特定の属性オプションの伝送を指定できます。属性の伝送の設定は、属性番号または属性名で行えます。属性の伝送は、デフォルトでディセーブルに設定されています。
(注) Release 7.5(1) では、Framed-IP address(属性 8)だけをサポートしています。
RADIUS サーバのオプション属性を指定するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
RADIUS サーバのオプション属性を指定します。 |
set radius attribute [ number | name ] include-in-access-req [ enable | disable ] |
ステップ 2 |
RADIUS の設定を確認します。 |
show radius |
次に、Framed-IP address 属性を番号で指定してイネーブルにし、設定を確認する例を示します。
Console> (enable) set radius attribute 8 include-in-access-req enable
Transmission of Framed-ip address in access-request packet is enabled.
Console> (enable) show radius
RADIUS Deadtime: 0 minutes
RADIUS Timeout: 5 seconds
Framed-Ip Address Transmit: Enabled
RADIUS-Server Status Auth-port Acct-port
----------------------------- ------- ------------ ------------
10.6.140.230 primary 1812 1813
次に、Framed-IP address 属性を名前で指定してディセーブルにする例を示します。
Console> (enable) set radius attribute framed-ip-address include-in-access-req disable
Transmission of Framed-ip address in access-request packet is disabled.
RADIUS サーバの消去
1 つまたは複数の RADIUS サーバを消去するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
設定から消去する RADIUS サーバの IP アドレスを指定します。設定からサーバをすべて消去するには、 all キーワードを使用します。 |
clear radius server [ ip_addr | all ] |
ステップ 2 |
RADIUS サーバの設定を確認します。 |
show radius |
次に、設定から単一の RADIUS サーバを消去する例を示します。
Console> (enable) clear radius server 172.20.52.3
172.20.52.3 cleared from radius server table.
次に、設定からすべての RADIUS サーバを消去する例を示します。
Console> (enable) clear radius server all
All radius servers cleared from radius server table.
RADIUS 鍵の消去
RADIUS 鍵を消去するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
RADIUS 鍵を消去します。 |
clear radius key |
ステップ 2 |
RADIUS の設定を確認します。 |
show radius |
次に、RADIUS 鍵を消去し、設定を確認する例を示します。
Console> (enable) clear radius key
Console> (enable) show radius
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
local enabled(primary) enabled(primary)
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
local enabled(primary) enabled(primary)
Radius Deadtime: 0 minutes
Radius Timeout: 5 seconds
Radius-Server Status Auth-port
----------------------------- ------- ------------
RADIUS 認証のディセーブル化
ローカル認証がディセーブルで、RADIUS 認証だけがイネーブルのときに、RADIUS 認証をディセーブルにすると、ローカル認証が自動的に再びイネーブルになります。
RADIUS 認証をディセーブルにするには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
ログイン モードについて、RADIUS 認証をディセーブルにします。 |
set authentication login radius disable [ all | console | http | telnet ] |
ステップ 2 |
イネーブル モードについて、RADIUS 認証をディセーブルにします。 |
set authentication enable radius disable [ all | console | http | telnet ] |
ステップ 3 |
RADIUS の設定を確認します。 |
show authentication |
次に、RADIUS 認証をディセーブルにして、設定を確認する例を示します。
Console> (enable) set authentication login radius disable
radius login authentication set to disable for console and telnet session.
Console> (enable) set authentication enable radius disable
radius enable authentication set to disable for console and telnet session.
Console> (enable) show authentication
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
local enabled(primary) enabled(primary)
Enable Authentication: Console Session Telnet Session
---------------------- ----------------- ----------------
local enabled(primary) enabled(primary)
Kerberos サーバの設定
スイッチ上の認証方式として Kerberos を使用するには、先に Kerberos サーバを設定する必要があります。KDC 用のデータベースを作成し、そのデータベースにスイッチを追加してください。
(注) Kerberos 認証を使用するには、Network Time Protocol(NTP)がイネーブルになっている必要があります。また、Domain Name System(DNS; ドメイン ネーム システム)をイネーブルにすることも推奨します。
Kerberos サーバを設定するには、次の手順を実行します。
ステップ 1 Kerberos サーバの鍵テーブルにスイッチを入力する前に、KDC が使用するためのデータベースを作成しなければなりません。次の例では、CISCO.EDU というデータベースを作成します。
/usr/local/sbin/kdb5_util create -r CISCO.EDU -s
ステップ 2 データベースにスイッチを追加します。次の例では、Cat6509 というスイッチを CISCO.EDU データベースに追加します。
ank host/Cat6509.cisco.edu@CISCO.EDU
ステップ 3 次のようにユーザ名を追加します。
ステップ 4 次のように管理プリンシパルを追加します。
ank user1/admin@CISCO.EDU
ステップ 5 次のように admin.local ktadd コマンドを使用して、データベースにスイッチ用のエントリを作成します。
ktadd host/Cat6509.cisco.edu@CISCO.EDU
ステップ 6 スイッチがアクセスできる場所に KEYTAB ファイルを移します。
ステップ 7 次のように KDC サーバを起動します。
Kerberos のイネーブル化
Kerberos 認証をイネーブルにするには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
認証方式として Kerberos を指定します。 |
set authentication login kerberos enable [ all | console | http | telnet ] [ primary ] |
ステップ 2 |
設定を確認します。 |
show authentication |
次に、Telnet ログイン認証方式として Kerberos をイネーブルにし、設定を確認する例を示します。
kerberos> (enable) set authentication login kerberos enable telnet
kerberos login authentication set to enable for telnet session.
kerberos> (enable) show authentication
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
kerberos disabled enabled(primary)
local enabled(primary) enabled
Enable Authentication:Console Session Telnet Session
---------------------- ----------------- ----------------
kerberos disabled enabled(primary)
local enabled(primary) enabled
次に、コンソールのログイン認証方式として Kerberos をイネーブルにし、設定を確認する例を示します。
kerberos> (enable) set authentication login kerberos enable console
kerberos login authentication set to enable for console session.
kerberos> (enable) show authentication
Login Authentication: Console Session Telnet Session
--------------------- ---------------- ----------------
kerberos enabled(primary) enabled(primary)
Enable Authentication:Console Session Telnet Session
---------------------- ----------------- ----------------
kerberos enabled(primary) enabled(primary)
Kerberos ローカル レルムの定義
Kerberos レルムは、Kerberos サーバに登録されたユーザ、ホスト、およびネットワーク サービスで構成されるドメインです。Kerberos データベースで定義されたユーザを認証するために、スイッチは KDC が稼働しているホストのホスト名または IP アドレス、および Kerberos レルム名を認識している必要があります。
スイッチが特定の Kerberos レルムで KDC の認証を受けるように設定するには、イネーブル モードで次の作業を行います。
|
|
スイッチのデフォルト レルムを定義します。 |
set kerberos local-realm kerberos_realm |
(注) レルムは必ず大文字で入力してください。レルムを小文字で入力すると、Kerberos はユーザを認証しません。
次に、ローカル レルムを定義し、設定を確認する例を示します。
kerberos> (enable) set kerberos local-realm CISCO.COM
Kerberos local realm for this switch set to CISCO.COM.
kerberos> (enable) show kerberos
Kerberos Local Realm:CISCO.COM
Realm:CISCO.COM, Server:187.0.2.1, Port:750
Kerberos Domain<->Realm entries:
Domain:cisco.com, Realm:CISCO.COM
Kerberos Clients NOT Mandatory
Kerberos Credentials Forwarding Enabled
Kerberos Pre Authentication Method set to None
Srvtab Entry 1:host/niners.cisco.com@CISCO.COM 0 932423923 1 1 8 01;;8>00>50;0=0=0
Kerberos サーバの指定
特定の Kerberos レルムで使用する KDC をスイッチに対して指定できます。任意で、KDC にモニタさせるポート番号も指定できます。入力した Kerberos サーバ情報は、1 つの Kerberos レルムに対して 1 エントリとして、テーブルで維持されます。テーブルの最大エントリ数は 100 です。
Kerberos サーバを指定するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
特定の Kerberos レルムで使用する KDC を指定します。任意で、KDC にモニタさせるポート番号を入力します(デフォルトのポート番号は 750 です)。 |
set kerberos server kerberos_realm { hostname | ip_address } [ port ] |
ステップ 2 |
Kerberos サーバ エントリを消去します。 |
clear kerberos server kerberos_realm { hostname | ip_address } [ port ] |
次に、特定の Kerberos レルムで KDC として動作する Kerberos サーバを指定し、エントリを消去する例を示します。
kerberos> (enable) set kerberos server CISCO.COM 187.0.2.1 750
Kerberos Realm-Server-Port entry set to:CISCO.COM - 187.0.2.1 - 750
Console> (enable) clear kerberos server CISCO.COM 187.0.2.1 750
Kerberos Realm-Server-Port entry CISCO.COM-187.0.2.1-750 deleted
Kerberos レルムとホスト名または DNS ドメインのマッピング
任意で、ホスト名または DNS ドメインと Kerberos レルムをマッピングすることができます。
Kerberos レルムをホスト名または DNS ドメインにマッピングするには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
(任意)ホスト名または DNS ドメインと Kerberos レルムをマッピングします。 |
set kerberos realm {dns_domain | host} kerberos_realm |
ステップ 2 |
Kerberos レルムとドメインまたはホストとのマッピング エントリを消去します。 |
clear kerberos realm {dns_domain | host} kerberos_realm |
次に、Kerberos レルムを DNS ドメインにマッピングし、エントリを消去する例を示します。
Console> (enable) set kerberos realm CISCO CISCO.COM
Kerberos DnsDomain-Realm entry set to CISCO - CISCO.COM
Console> (enable) clear kerberos realm CISCO CISCO.COM
Kerberos DnsDomain-Realm entry CISCO - CISCO.COM deleted
SRVTAB ファイルのコピー
リモート ユーザが Kerberos の証明書を使用して、スイッチの認証を受けることができるようにするには、スイッチと KDC 間で秘密鍵を共有しなければなりません。そのためには、KDC に保存されているファイルの鍵のコピーをスイッチに与える必要があります。このファイルをスイッチでは SRVTAB ファイル、サーバでは KEYTAB ファイルといいます。
Kerberos レルム内のホストに SRVTAB ファイルをコピーする方法としては、ファイルを物理メディアにコピーして、各ホストを回り、手動でシステムにファイルをコピーするのが最も安全です。物理メディア ドライブを備えていないスイッチに SRVTAB ファイルをコピーするには、Trivial File Transfer Protocol(TFTP; 簡易ファイル転送プロトコル)を使用し、ネットワークを介してファイルを転送する必要があります。
スイッチから KDC に SRVTAB ファイルをコピーする場合、スイッチがファイル内の情報を解析し、Kerberos SRVTAB エントリ フォーマットで実行コンフィギュレーションに保存します。スイッチに SRVTAB を直接入力する場合は、スイッチ上の Kerberos プリンシパル(サービス)ごとに 1 つずつエントリを作成します。エントリは SRVTAB テーブルで維持されます。テーブルの最大サイズは 20 エントリです。
KDC からスイッチが SRVTAB ファイルを取得するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
KDC から特定の SRVTAB ファイルを取得します。 |
set kerberos srvtab remote { hostname | ip_address } filename |
ステップ 2 |
(任意)スイッチに SRVTAB を直接入力します。 |
set kerberos srvtab entry kerberos_principal principal_type timestamp key_version number key_type key_length encrypted_keytab |
次に、KDC から SRVTAB ファイルを取得し、スイッチに SRVTAB を直接入力し、設定を確認する例を示します。
kerberos> (enable) set kerberos srvtab remote 187.20.32.10 /users/jdoe/krb5/ninerskeytab
kerberos> (enable)
kerberos> (enable) set kerberos srvtab entry host/niners.cisco.com@CISCO.COM 0 932423923 1 1 8 03;;5>00>50;0=0=0
Kerberos SRVTAB entry set to
Principal:host/niners.cisco.com@CISCO.COM
Encrypted key tab:03;;5>00>50;0=0=0
kerberos> (enable) show kerberos
Kerberos Local Realm:CISCO.COM
Realm:CISCO.COM, Server:187.0.2.1, Port:750
Realm:CISCO.COM, Server:187.20.2.1, Port:750
Kerberos Domain<->Realm entries:
Domain:cisco.com, Realm:CISCO.COM
Kerberos Clients NOT Mandatory
Kerberos Credentials Forwarding Enabled
Kerberos Pre Authentication Method set to None
Srvtab Entry 1:host/niners.cisco.com@CISCO.COM 0 932423923 1 1 8 03;;5>00>50;0=0=0
Srvtab Entry 2:host/niners.cisco.edu@CISCO.EDU 0 933974942 1 1 8 00?58:127:223=:;9
SRVTAB エントリの削除
SRVTAB エントリを削除にするには、イネーブル モードで次の作業を行います。
|
|
特定の Kerberos プリンシパルに対する SRVTAB エントリを削除します。 |
clear kerberos srvtab entry kerberos_principal principal_type |
次に、SRVTAB エントリを削除する例を示します。
kerberos> (enable) clear kerberos srvtab entry host/niners.cisco.com@CISCO.COM 0
証明書転送のイネーブル化
Kerberos 対応スイッチの認証を受けたユーザは、TGT が与えられ、その TGT を使用してネットワーク上のホストの認証を受けることができます。ただし、転送が禁止されている場合、ユーザがホストの認証を受けたあとで証明書を表示しようとすると、Kerberos の証明書が存在しないことを示す出力になります。
証明書を転送できるようにするには、ユーザがスイッチの認証を受けたあとで、Kerberos 対応 Telnet を使用して、スイッチから Kerberos 対応リモート ホストへ、ユーザの TGT を転送するようにスイッチを設定します。
セキュリティを強化する手段として、ユーザがスイッチの認証を受けたあとで、Kerberos 対応のクライアントを使用しなければ、そのユーザがネットワーク上の他のサービスに対して認証を得られないようにスイッチを設定できます。Kerberos 認証を必須にしなかった場合、Kerberos 認証が得られないと、アプリケーションはそのネットワーク サービスでデフォルトの認証方式を使用して、ユーザを認証しようとします。たとえば、Telnet の場合はパスワードを要求します。
クライアントが Kerberos レルム内の他のホストに接続するときに、ユーザの証明書を転送するように設定するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
Kerberos 認証に成功した場合に、すべてのクライアントがユーザ証明書を転送できるようにします。 |
set kerberos credentials forward |
ステップ 2 |
(任意)リモート サーバに対してクライアントが認証を受けられなかった場合に、Telnet が失敗するように設定します。 |
set kerberos clients mandatory |
次に、ユーザの証明書を転送するようにクライアントを設定し、その設定を確認する例を示します。
kerberos> (enable) set kerberos credentials forward
Kerberos credentials forwarding enabled
kerberos> (enable) show kerberos
Kerberos Local Realm:CISCO.COM
Realm:CISCO.COM, Server:187.0.2.1, Port:750
Realm:CISCO.COM, Server:187.20.2.1, Port:750
Kerberos Domain<->Realm entries:
Domain:cisco.com, Realm:CISCO.COM
Kerberos Clients NOT Mandatory
Kerberos Credentials Forwarding Enabled
Kerberos Pre Authentication Method set to None
Srvtab Entry 1:host/aspen-niners.cisco.edu@CISCO.EDU 0 933974942 1 1 8 00?91:107:423=:;9
次に、他のネットワーク サービスの認証を受けるユーザに Kerberos クライアントが必須となるように、スイッチを設定する例を示します。
Console> (enable) set kerberos clients mandatory
Kerberos clients set to mandatory
証明書転送のディセーブル化
証明書転送をディセーブルにするには、イネーブル モードで次の作業を行います。
|
|
証明書転送の設定をディセーブルにします。 |
clear kerberos credentials forward |
次に、証明書転送の設定をディセーブルにし、設定を確認する例を示します。
Console> (enable) clear kerberos credentials forward
Kerberos credentials forwarding disabled
Console> (enable) show kerberos
Kerberos Local Realm not configured
Kerberos Domain<->Realm entries:
Kerberos Clients NOT Mandatory
Kerberos Credentials Forwarding Disabled
Kerberos Pre Authentication Method set to None
Kerberos クライアント必須の設定を消去するには、イネーブル モードで次の作業を行います。
|
|
Kerberos クライアント必須の設定を消去します。 |
clear kerberos clients mandatory |
次に、クライアント必須の設定を消去し、設定を確認する例を示します。
Console> (enable) clear kerberos clients mandatory
Kerberos clients mandatory cleared
Console> (enable) show kerberos
Kerberos Local Realm not configured
Kerberos Domain<->Realm entries:
Kerberos Clients NOT Mandatory
Kerberos Credentials Forwarding Disabled
Kerberos Pre Authentication Method set to None
Kerberos Domain<->Realm entries:
Kerberos Clients Mandatory
Kerberos Credentials Forwarding Disabled
Kerberos Pre Authentication Method set to Encrypted Unix Time Stamp
プライベート DES 鍵の定義および消去
スイッチ用のプライベート DES 鍵を定義できます。プライベート DES 鍵を使用すると、スイッチが KDC と共有する秘密鍵が暗号化され、show kerberos コマンドの実行時に、秘密鍵がクリア テキストで表示されなくなります。鍵の長さは 8 文字以下にしなければなりません。
DES 鍵を定義するには、イネーブル モードで次の作業を行います。
|
|
スイッチ用の DES 鍵を定義します。 |
set key config-key string |
次に、DES 鍵を定義し、設定を確認する例を示します。
kerberos> (enable) set key config-key abcd
Kerberos config key set to abcd
kerberos> (enable) show kerberos
Kerberos Local Realm:CISCO.COM
Realm:CISCO.COM, Server:170.20.2.1, Port:750
Realm:CISCO.COM, Server:172.20.2.1, Port:750
Kerberos Domain<->Realm entries:
Domain:cisco.com, Realm:CISCO.COM
Kerberos Clients Mandatory
Kerberos Credentials Forwarding Disabled
Kerberos Pre Authentication Method set to Encrypted Unix Time Stamp
Srvtab Entry 1:host/aspen-niners.cisco.edu@CISCO.EDU 0 933974942 1 1 8 12151><88?=>>3>11
DES 鍵を消去するには、イネーブル モードで次の作業を行います。
|
|
スイッチから DES 鍵を消去します。 |
clear key config-key string |
次に、DES 鍵を消去する例を示します。
Console> (enable) clear key config-key
Kerberos config key cleared
Telnet セッションの暗号化
Kerberos を使用してスイッチの認証を受けたユーザが、別のスイッチまたはホストに Telnet でアクセスする場合に、それが Kerberos 対応の Telnet になるかどうかは、Telnet サーバで使用している認証方式によって決まります。Telnet サーバが認証に Kerberos を使用している場合は、Telnet セッションが続いている間、あらゆるアプリケーション データ パケットを暗号化することを選択できます。Telnet セッションを暗号化するには、telnet コマンドで encrypt kerberos オプションを選択します。
Telnet セッションを暗号化するには、次の作業を行います。
|
|
Telnet セッションを暗号化します。 |
telnet encrypt kerberos host |
次に、Kerberos 認証および暗号化対応として Telnet セッションを設定する例を示します。
Console> (enable) telnet encrypt kerberos
Kerberos 設定の表示および消去
次のコマンドを使用すると、スイッチの Kerberos 設定を表示または消去することができます。
• show kerberos
• show kerberos creds
• clear kerberos creds
Kerberos 設定を表示するには、イネーブル モードで次の作業を行います。
|
|
Kerberos 設定を表示します。 |
show kerberos |
次に、Kerberos 設定を表示する例を示します。
kerberos> (enable) show kerberos
Kerberos Local Realm:CISCO.COM
Realm:CISCO.COM, Server:187.0.2.1, Port:750
Realm:CISCO.COM, Server:187.20.2.1, Port:750
Kerberos Domain<->Realm entries:
Domain:cisco.com, Realm:CISCO.COM
Kerberos Clients NOT Mandatory
Kerberos Credentials Forwarding Enabled
Kerberos Pre Authentication Method set to None
Srvtab Entry 1:host/niners.cisco.com@CISCO.COM 0 932423923 1 1 8 03;;5>00>50;0=0=0
Srvtab Entry 2:host/niners.cisco.edu@CISCO.EDU 0 933974942 1 1 8 00?58:127:223=:;9
Kerberos 証明書を表示するには、イネーブル モードで次の作業を行います。
|
|
Kerberos 証明書を表示します。 |
show kerberos creds |
次に、Kerberos 証明書を表示する例を示します。
Console> (enable) show kerberos creds
すべての Kerberos 証明書を消去するには、イネーブル モードで次の作業を行います。
|
|
すべての証明書を消去します。 |
clear kerberos creds |
次に、スイッチからすべての Kerberos 証明書を消去する例を示します。
Console> (enable) clear kerberos creds
認証の例
図38-3 に、TACACS+ を使用した単純なネットワーク トポロジーを示します。
この例では、すべての Telnet 接続において、スイッチへのログイン アクセスとイネーブル アクセスの両方について、TACACS+ 認証がイネーブルに設定され、ローカル認証がディセーブルに設定されています。ワークステーション A がスイッチに接続する場合、ユーザは TACACS+ ユーザ名およびパスワードを入力するように要求されます。
ただし、コンソール ポート上では、ログイン アクセスとイネーブル アクセスの両方について、ローカル認証だけがイネーブルに設定されます。直接接続されているターミナルにアクセスできるユーザは、ログインおよびイネーブル パスワードを使用してスイッチにアクセスできます。
図38-3 TACACS+ ネットワーク トポロジー例
次に、Telnet 接続について TACACS+ 認証がイネーブルにされ、コンソール接続についてローカル認証がイネーブルにされ、TACACS+ 暗号化鍵が指定されるように、スイッチを設定する例を示します。
Console> (enable) show tacacs
Tacacs timeout: 5 seconds
Tacacs direct request: disabled
---------------------------------------- -------
Console> (enable) set tacacs server 172.20.52.10
172.20.52.10 added to TACACS server table as primary server.
Console> (enable) set tacacs key tintin_et_milou
The tacacs key has been set to tintin_et_milou.
Console> (enable) set authentication login tacacs enable telnet
tacacs login authentication set to enable for telnet session.
Console> (enable) set authentication enable tacacs enable telnet
tacacs enable authentication set to enable for telnet session.
Console> (enable) set authentication login local disable telnet
local login authentication set to disable for telnet session.
Console> (enable) set authentication enable local disable telnet
local enable authentication set to disable for telnet session.
Console> (enable) show tacacs
Tacacs key: tintin_et_milou
Tacacs timeout: 5 seconds
Tacacs direct request: disabled
---------------------------------------- -------