TACACS+ コマンド

この章は、次の項で構成されています。

tacacs-server host

TACACS+ ホストを指定するには、tacacs-server host グローバル コンフィギュレーション モード コマンドを使用します。指定した TACACS+ ホストを削除するには、このコマンドの no 形式を使用します。

構文

tacacs-server host {ip-address | hostname} [single-connection] [port port-number] [timeout timeout] [key key-string] [priority priority]

encrypted tacacs-server host {ip-address | hostname} [single-connection] [port port-number] [timeout timeout] [key encrypted-key-string] [priority priority]

no tacacs-server host {ip-address | hostname}

パラメータ

  • host ip-address:TACACS+ サーバホストの IP アドレスを指定します。IP アドレスは、IPv4、IPv6、または IPv6z アドレスを使用できます。

  • host hostname:TACACS+ サーバホスト名を指定します。(長さ:1 ~ 158 文字、ホスト名の各部分の最大ラベル長:63 文字)。

  • single-connection:(オプション)デバイスが通信のたびにデーモンへの TCP 接続をオープンおよびクローズするのではなく、デバイスとデーモンの間で単一のオープンされた接続を維持することを指定します。

  • port port-number:(オプション)TACACS サーバの TCP ポート番号を指定します。ポート番号を 0 にすると、そのホストは認証に使用されません。(範囲:0 ~ 65535)

  • timeout timeout:(オプション)タイムアウト値を秒単位で指定します。(範囲:1 ~ 30)

  • key key-string:(オプション)デバイスと TACACS+ サーバ間のすべての TACACS+ 通信用の認証および暗号キーを指定します。キーは TACACS+ デーモンで使用する暗号に一致している必要があります。空の文字列を指定するには、"" と入力します。(長さ:0 ~ 128 文字)。このパラメータを省略した場合は、グローバルに定義されたキーが使用されます。

  • key encrypted-key-string:(オプション)key-string と同じですが、キーは暗号化形式です。

  • priority priority:(オプション)TACACS+ サーバを使用する順序を指定します。0 が最も高い優先順位になります。(範囲:0 ~ 65535)

デフォルト設定

TACACS+ ホストは指定されません。

デフォルトの port-number は 1812 です。

timeout を指定しないと、グローバル値(tacacs-server timeout コマンドで設定)が使用されます。

key-string を指定しないと、グローバル値(tacacs-server key コマンドで設定)が使用されます。

コマンド モード

グローバル コンフィギュレーション モード

使用上のガイドライン

複数の tacacs-server host コマンドを使用して、複数のホストを指定できます。

次の例では、TACACS+ ホストを指定しています。

switchxxxxxx(config)# tacacs-server host 172.16.1.1

tacacs-server host source-interface

IPv4 TACACS+ サーバとの通信に IPv4 アドレスを送信元 IPv4 アドレスとして使用する送信元インターフェイスを指定するには、tacacs-server host source-interface グローバル コンフィギュレーション モード コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

構文

tacacs-server host source-interface interface-id

no tacacs-server host source-interface

パラメータ

  • interface-id:送信元インターフェイスを指定します。

デフォルト設定

送信元 IPv4 アドレスは、発信インターフェイスで定義され、ネクスト ホップ IPv4 サブネットに属する IPv4 アドレスです。

コマンド モード

グローバル コンフィギュレーション モード

使用上のガイドライン

送信元インターフェイスが発信インターフェイスの場合は、ネクスト ホップ IPv4 サブネットに属するインターフェイス IP アドレスが適用されます。

送信元インターフェイスが発信インターフェイスでない場合は、送信元インターフェイスで定義された最小 IPv4 アドレスが適用されます。

使用可能な IPv4 送信元アドレスがない場合は、IPv4 TACACS+ サーバと通信しようとすると、SYSLOG メッセージが発行されます。

送信元インターフェイスとして OOB は定義できません。

次の例では、VLAN 10 を 送信元インターフェイスとして設定します。

switchxxxxxx(config)# tacacs-server host source-interface vlan 100

tacacs-server host source-interface-ipv6

IPv6 TACACS+ サーバとの通信に IPv6 アドレスを送信元 IPv6 アドレスとして使用する送信元インターフェイスを指定するには、tacacs-server host source-interface-ipv6 グローバル コンフィギュレーション モード コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

構文

tacacs-server host source-interface-ipv6 interface-id

no tacacs-server host source-interface-ipv6

パラメータ

  • interface-id:送信元インターフェイスを指定します。

デフォルト設定

IPv6 送信元アドレスは、発信インターフェイスで定義された IPv6 アドレスであり、RFC6724 に従って選択されます。

コマンド モード

グローバル コンフィギュレーション モード

使用上のガイドライン

送信元インターフェイスが発信インターフェイスである場合は、送信元 IPv6 アドレスはインターフェイスで定義され、RFC 6724 に従って選択された IPv6 アドレスです。

送信元インターフェイスが発信インターフェイスでない場合は、送信元 IPv6 アドレスは送信元インターフェイス上で定義され、宛先 IPv6 アドレスの範囲と一致します。

使用できる IPv6 送信元アドレスがない場合は、IPv6 TACACS+ サーバとの通信を試行する際に SYSLOG メッセージが発行されます。

次の例では、VLAN 10 を 送信元インターフェイスとして設定します。

switchxxxxxx(config)# tacacs-server host source-interface-ipv6 vlan 100

tacacs-server key

デバイスと TACACS+ デーモン間のすべての TACACS+ 通信に使用する認証暗号キーを設定するには、tacacs-server key グローバル コンフィギュレーション モード コマンドを使用します。キーを無効にするには、このコマンドの no 形式を使用します。

構文

tacacs-server key key-string

encrypted tacacs-server key encrypted-key-string

no tacacs-server key

パラメータ

  • key-string:デバイスと TACACS+ サーバ間のすべての TACACS+ 通信に認証および暗号キーを指定します。キーは TACACS+ デーモンで使用する暗号に一致している必要があります。(長さ:0 ~ 128 文字)

  • encrypted-key-string:key-string と同じですが、キーは暗号化形式です。

デフォルト設定

デフォルトのキーは空の文字列です。

コマンド モード

グローバル コンフィギュレーション モード

次の例では、すべての TACACS+ サーバの認証キーとして Enterprise を設定しています。

switchxxxxxx(config)# tacacs-server key enterprise

tacacs-server timeout

デバイスが TACACS+ サーバの応答を待機する間隔を設定するには、tacacs-server timeout グローバル コンフィギュレーション モード コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

構文

tacacs-server timeout timeout

no tacacs-server timeout

パラメータ

  • timeout:タイムアウト値を秒単位で指定します。(範囲:1 ~ 30)。

デフォルト設定

デフォルトのタイムアウト値は 5 秒です。

コマンド モード

グローバル コンフィギュレーション モード

次の例では、すべての TACACS+ サーバに対してタイムアウト値を 30 に設定しています。

switchxxxxxx(config)# tacacs-server timeout 30

show tacacs

TACACS+ サーバの設定および統計情報を表示するには、show tacacs 特権 EXEC モード コマンドを使用します。

構文

show tacacs [ip-address]

パラメータ

  • ip-address:TACACS+ サーバ名、IPv4 アドレス、または IPv6 アドレスを指定します。

デフォルト設定

ip-address を指定しない場合は、すべての TACACS+ サーバの情報が表示されます。

コマンド モード

特権 EXEC モード

次に、すべての TACACS+ サーバの設定および統計情報を表示する例を示します。

switchxxxxxx# show tacacs

IP address Status Port Single Time Priority

Connection Out

--------- --------- ---- --------- ------ --------

172.16.1.1 Connected 49 No Global 1

Global values
-------------
Time Out: 3
Source IPv4 interface: vlan 120
Source IPv6 interface: vlan 10

show tacacs key

TACACS+ サーバの設定されたキーを表示するには、show tacacs key 特権 EXEC モード コマンドを使用します。

構文

show tacacs key [ip-address]

パラメータ

  • ip-address:TACACS+ サーバの名前または IP アドレスを指定します。

デフォルト設定

ip-address を指定しない場合は、すべての TACACS+ サーバの情報が表示されます。

コマンド モード

特権 EXEC モード

次の例では、すべての TACACS+ サーバの設定と統計情報を表示します。

switchxxxxxx# show tacacs key
IP address
----------
172.16.1.1
172.16.1.2
Key (Encrypted)
---------------
1238af77aaca17568f1298cced165fec
1238af77aaca17568f12988601fcabed
Global key (Encrypted)
----------------------
1238af77aaca17568f1298bc5476ddad