この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章の内容は、次のとおりです。
RADIUS の設定
Remote Access Dial-In User Service(RADIUS)分散クライアント/ サーバ システムを使用すると、不正アクセスからネットワークを保護できます。シスコの実装では、RADIUS クライアントは Cisco Nexus デバイスで稼働し、すべてのユーザ認証情報およびネットワーク サービス アクセス情報が格納された中央の RADIUS サーバに認証要求およびアカウンティング要求を送信します。
RADIUS は、高度なセキュリティを必要とし、同時にリモート ユーザのネットワーク アクセスを維持する必要があるさまざまなネットワーク環境に実装できます。
RADIUS は、アクセス セキュリティを必要とする次のネットワーク環境で使用します。
RADIUS をサポートしている複数ベンダーのネットワーク デバイスを使用したネットワーク。
たとえば、複数ベンダーのネットワーク デバイスで、単一の RADIUS サーバ ベースのセキュリティ データベースを使用できます。
すでに RADIUS を使用中のネットワーク。
RADIUS を使用したCisco Nexus デバイスをネットワークに追加できます。この作業は、AAA サーバに移行するときの最初の手順になります。
リソース アカウンティングが必要なネットワーク。
RADIUS アカウンティングは、RADIUS 認証または RADIUS 認可とは個別に使用できます。RADIUS アカウンティング機能を使用すると、サービスの開始および終了時に、セッション中に使用したリソース(時間、パケット、バイトなど)の量を示すデータを送信できます。インターネット サービス プロバイダー(ISP)は、RADIUS アクセス コントロールおよびアカウンティング用ソフトウェアのフリーウェア版を使用して、特殊なセキュリティおよび課金ニーズに対応しています。
認証プロファイルをサポートするネットワーク。
ネットワークで RADIUS サーバを使用すると、AAA 認証を設定し、ユーザごとのプロファイルをセットアップできます。ユーザごとのプロファイルにより、Cisco Nexus デバイスは、既存の RADIUS ソリューションを使用してポートを管理できると同時に、共有リソースを効率的に管理してさまざまなサービス レベル契約を提供できます。
ユーザがログインを試行し、RADIUS を使用してCisco Nexus デバイスに対する認証を行う際には、次のプロセスが実行されます。
ユーザが、ユーザ名とパスワードの入力を求められ、入力します。
ユーザ名および暗号化されたパスワードが、ネットワーク経由で RADIUS サーバに送信されます。
ユーザは、RADIUS サーバから次のいずれかの応答を受信します。
ACCEPT 応答または REJECT 応答には、EXEC 許可またはネットワーク許可に使用される追加データが含まれています。RADIUS 認可を使用するには、まず RADIUS 認証を完了する必要があります。ACCEPT または REJECT パケットに含まれる追加データの内容は次のとおりです。
応答を返さない RADIUS サーバがあると、AAA 要求の処理に遅延が発生する可能性があります。AAA 要求の処理時間を節約するために、定期的に RADIUS サーバをモニタリングし、RADIUS サーバが応答を返す(アライブ状態である)かどうかを調べるよう、スイッチを設定できます。スイッチは、応答を返さない RADIUS サーバをデッド(dead)状態としてマークし、デッド RADIUS サーバには AAA 要求を送信しません。また、定期的にデッド RADIUS サーバをモニタリングし、それらが応答を返したらアライブ状態に戻します。このプロセスにより、RADIUS サーバが稼働状態であることを確認してから、実際の AAA 要求がサーバに送信されます。RADIUS サーバの状態がデッドまたはアライブに変わると、簡易ネットワーク管理プロトコル(SNMP)トラップが生成され、障害が発生したことを知らせるエラー メッセージがスイッチによって表示されます。
次の図に、さまざまな RADIUS サーバの状態を示します。
(注) | アライブ サーバとデッド サーバのモニタリング間隔は異なります。これらはユーザが設定できます。RADIUS サーバ モニタリングを実行するには、テスト認証要求を RADIUS サーバに送信します。 |
インターネット技術特別調査委員会(IETF)が、ネットワーク アクセス サーバと RADIUS サーバの間でのベンダー固有属性(VSA)の通信のための方式を規定する標準を作成しています。IETF は属性 26 を使用します。ベンダーは VSA を使用して、一般的な用途には適さない独自の拡張属性をサポートできます。シスコの RADIUS 実装は、この仕様で推奨される形式を使用して、1 つのベンダー固有オプションをサポートしています。シスコのベンダー ID は 9、サポートされるオプションのベンダー タイプは 1(名前付き cisco-av-pair)です。値は次の形式のストリングです。
protocol : attribute separator value *
プロトコルは、特定のタイプの許可用のシスコ属性です。必須属性の区切り文字は等号(=)で、アスタリスク(*)は任意属性を示します。
Cisco Nexus デバイスでの認証に RADIUS サーバを使用する場合は、認証結果とともに許可情報などのユーザ属性を返すよう、RADIUS プロトコルが RADIUS サーバに指示します。この許可情報は、VSA で指定されます。
次の VSA プロトコル オプションが、Cisco Nexus デバイスでサポートされています。
Shell:ユーザ プロファイル情報を提供する access-accept パケットで使用されます。
Accounting:accounting-request パケットで使用されます。値にスペースが含まれている場合は、二重引用符で囲む必要があります。
Cisco Nexus デバイスでは、次の属性がサポートされています。
RADIUS には、次の前提条件があります。
RADIUS 設定時の注意事項と制限事項は次のとおりです。
ここでは、RADIUS サーバの設定方法について説明します。
認証に使用する各 RADIUS サーバについて、IP アドレス(IPv4 または IPv6)、またはホスト名を設定する必要があります。すべての RADIUS サーバ ホストは、デフォルトの RADIUS サーバ グループに追加されます。最大 64 の RADIUS サーバを設定できます。
switch# configure terminal switch(config)# radius-server host 10.10.1.1 switch(config)# exit switch# copy running-config startup-config
Cisco Nexus デバイスで使用するすべてのサーバについて、グローバル レベルで事前共有キーを設定できます。事前共有キーとは、スイッチと RADIUS サーバ ホスト間の共有秘密テキスト ストリングです。
リモートの RADIUS サーバの事前共有キー値を取得していること。
次に、デバイスで使用するすべてのサーバについて、グローバル レベルで事前共有キーを設定する例を示します。
switch# configure terminal switch(config)# radius-server key 0 QsEfThUkO switch(config)# exit switch# copy running-config startup-config
事前共有キーとは、Cisco Nexus デバイスと RADIUS サーバ ホスト間の共有秘密テキスト ストリングです。
リモートの RADIUS サーバの事前共有キー値を取得していること。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | switch# configure terminal |
グローバル コンフィギュレーション モードを開始します。 | ||
ステップ 2 | switch(config)# radius-server host {ipv4-address | ipv6-address| host-name} key [0 | 7] key-value |
特定の RADIUS サーバの事前共有キーを指定します。クリア テキスト形式(0 )または暗号化形式(7 )事前共有キーを指定できます。デフォルトの形式はクリア テキストです。 最大で 63 文字です。 この事前共有キーがグローバル事前共有キーの代わりに使用されます。 | ||
ステップ 3 | switch(config)# exit |
設定モードを終了します。 | ||
ステップ 4 | switch# show radius-server | (任意)
RADIUS サーバの設定を表示します。
| ||
ステップ 5 | switch# copy running-config startup-config | (任意)
リブートおよびリスタート時に実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーして、変更を継続的に保存します。 |
switch# configure terminal switch(config)# radius-server host 10.10.1.1 key 0 PlIjUhYg switch(config)# exit switch# show radius-server switch# copy running-config startup-config
サーバ グループを使用して、1 台または複数台のリモート AAA サーバによる認証を指定できます。グループのメンバーはすべて、RADIUS プロトコルに属している必要があります。設定した順序に従ってサーバが試行されます。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | switch# configure terminal |
グローバル コンフィギュレーション モードを開始します。 | ||
ステップ 2 | switch (config)# aaa group server radius group-name |
RADIUS サーバ グループを作成し、そのグループの RADIUS サーバ グループ コンフィギュレーション サブモードを開始します。 group-name 引数は、最大 127 文字の英数字のストリングで、大文字小文字が区別されます。 | ||
ステップ 3 | switch (config-radius)# server {ipv4-address | ipv6-address | server-name} |
RADIUS サーバを、RADIUS サーバ グループのメンバーとして設定します。 指定した RADIUS サーバが見つからない場合は、radius-server host コマンドを使用してサーバを設定し、このコマンドをもう一度実行します。 | ||
ステップ 4 | switch (config-radius)# deadtime minutes | (任意)
モニタリング デッド タイムを設定します。デフォルト値は 0 分です。指定できる範囲は 1 ~ 1440 です。
| ||
ステップ 5 | switch(config-radius)# source-interface interface | (任意)
特定の RADIUS サーバ グループに発信元インターフェイスを割り当てます。 サポートされているインターフェイスのタイプは管理および VLAN です。
| ||
ステップ 6 | switch(config-radius)# exit |
設定モードを終了します。 | ||
ステップ 7 | switch(config)# show radius-server group [group-name] | (任意)
RADIUS サーバ グループの設定を表示します。 | ||
ステップ 8 | switch(config)# copy running-config startup-config | (任意)
リブートおよびリスタート時に実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーして、変更を継続的に保存します。 |
次に、RADIUS サーバ グループを設定する例を示します。
switch# configure terminal switch (config)# aaa group server radius RadServer switch (config-radius)# server 10.10.1.1 switch (config-radius)# deadtime 30 switch (config-radius)# use-vrf management switch (config-radius)# exit switch (config)# show radius-server group switch (config)# copy running-config startup-config
AAA サービスに RADIUS サーバ グループを適用します。
RADIUS サーバ グループにアクセスする際に使用する、RADIUS サーバ グループ用のグローバル発信元インターフェイスを設定できます。また、特定の RADIUS サーバ グループ用に異なる発信元インターフェイスを設定することもできます。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | switch(config)# ip radius source-interface interface | このデバイスで設定されているすべての RADIUS サーバ グループ用のグローバル発信元インターフェイスを設定します。発信元インターフェイスは、管理または VLAN インターフェイスにすることができます。 |
ステップ 3 | switch(config)# exit | 設定モードを終了します。 |
ステップ 4 | switch# show radius-server | (任意) RADIUS サーバの設定情報を表示します。 |
ステップ 5 | switch# copy running-config startup config | (任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
次に、RADIUS サーバ グループのグローバル発信元インターフェイスとして、mgmt 0 インターフェイスを設定する例を示します。
switch# configure terminal switch(config)# ip radius source-interface mgmt 0 switch(config)# exit switch# copy running-config startup-config
ログイン時に RADIUS サーバを指定することをユーザに許可できます。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | switch(config)# radius-server directed-request |
ログイン時にユーザが認証要求の送信先となる RADIUS サーバを指定できるようにします。デフォルトでは無効になっています。 |
ステップ 3 | switch(config)# exit |
設定モードを終了します。 |
ステップ 4 | switch# show
radius-server directed-request | (任意)
directed request の設定を表示します。 |
ステップ 5 | switch# copy
running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
次に、ネットワークにログインしたときに、ユーザが RADIUS サーバを選択できるようにする例を示します。
switch# configure terminal switch(config)# radius-server directed-request switch# exit switch# copy running-config startup-config
すべての RADIUS サーバに対するグローバルな再送信リトライ回数とタイムアウト間隔を設定できます。デフォルトでは、スイッチはローカル認証に戻す前に、RADIUS サーバへの送信を 1 回だけ再試行します。このリトライの回数は、サーバごとに最大 5 回まで増やすことができます。タイムアウト間隔は、Cisco Nexus デバイスがタイムアウト エラーを宣言する前に、RADIUS サーバからの応答を待機する時間を決定します。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | switch(config)# radius-server retransmit count |
すべての RADIUS サーバの再送信回数を指定します。デフォルトの再送信回数は 1 で、範囲は 0 ~ 5 です。 |
ステップ 3 | switch(config)# radius-server timeout seconds |
RADIUS サーバの送信タイムアウト間隔を指定します。デフォルトのタイムアウト間隔は 5 秒で、範囲は 1 ~ 60 秒です。 |
ステップ 4 | switch(config)# exit |
グローバル コンフィギュレーション モードを終了します。 |
ステップ 5 | switch# show
radius-server | (任意)
RADIUS サーバの設定を表示します。 |
ステップ 6 | switch# copy
running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
次に、RADIUS サーバで、リトライ回数を 3、伝送タイムアウト間隔を 5 秒に設定する例を示します。
switch# configure terminal switch(config)# radius-server retransmit 3 switch(config)# radius-server timeout 5 switch(config)# exit switch# copy running-config startup-config
デフォルトでは、Cisco Nexus スイッチはローカル認証に戻す前に、RADIUS サーバへの送信を 1 回だけ再試行します。このリトライの回数は、サーバごとに最大 5 回まで増やすことができます。また、スイッチがタイムアウト エラーを宣言する前に RADIUS サーバからの応答を待機するタイムアウト間隔を設定することもできます。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | switch# configure terminal |
グローバル コンフィギュレーション モードを開始します。 | ||
ステップ 2 | switch(config)# radius-server host {ipv4-address | ipv6-address| host-name} retransmit count |
特定のサーバに対する再送信回数を指定します。デフォルトはグローバル値です。
| ||
ステップ 3 | switch(config)#radius-server host {ipv4-address | ipv6-address | host-name} timeout seconds |
特定のサーバの送信タイムアウト間隔を指定します。デフォルトはグローバル値です。
| ||
ステップ 4 | switch(config)# exit |
グローバル コンフィギュレーション モードを終了します。 | ||
ステップ 5 | switch# show radius-server | (任意)
RADIUS サーバの設定を表示します。 | ||
ステップ 6 | switch# copy running-config startup-config | (任意)
リブートおよびリスタート時に実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーして、変更を継続的に保存します。 |
次に、RADIUS ホスト サーバ server1 で、RADIUS 送信リトライ回数を 3、タイムアウト間隔を 10 秒に設定する例を示します。
switch# configure terminal switch(config)# radius-server host server1 retransmit 3 switch(config)# radius-server host server1 timeout 10 switch(config)# exit switch# copy running-config startup-config
RADIUS サーバをアカウンティング専用、または認証専用に使用するかを指定できます。デフォルトでは、RADIUS サーバはアカウンティングと認証の両方に使用されます。RADIUS のアカウンティングおよび認証メッセージの宛先 UDP ポート番号も指定できます。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | switch(config)# radius-server host {ipv4-address | ipv6-address | host-name} acct-port udp-port | (任意)
RADIUS アカウンティングのメッセージに使用する UDP ポートを指定します。デフォルトの UDP ポートは 1812 です。 範囲は 0 ~ 65535 です。 |
ステップ 3 | switch(config)# radius-server host {ipv4-address | ipv6-address | host-name} accounting | (任意)
特定の RADIUS サーバをアカウンティング用にのみ使用することを指定します。デフォルトでは、アカウンティングと認証の両方に使用されます。 |
ステップ 4 | switch(config)# radius-server host {ipv4-address | ipv6-address | host-name} auth-port udp-port | (任意)
RADIUS 認証メッセージ用の UDP ポートを指定します。デフォルトの UDP ポートは 1812 です。 範囲は 0 ~ 65535 です。 |
ステップ 5 | switch(config)# radius-server host {ipv4-address | ipv6-address | host-name} authentication | (任意)
特定の RADIUS サーバを認証用にのみ使用することを指定します。デフォルトでは、アカウンティングと認証の両方に使用されます。 |
ステップ 6 | switch(config)# exit |
設定モードを終了します。 |
ステップ 7 | switch(config)# show radius-server | (任意)
RADIUS サーバの設定を表示します。 |
ステップ 8 | switch(config)# copy running-config startup-config | リブートおよびリスタート時に実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーして、変更を継続的に保存します。 |
次に、RADIUS サーバのアカウンティング属性と認証属性を設定する例を示します。
switch# configure terminal switch(config)# radius-server host 10.10.1.1 acct-port 2004 switch(config)# radius-server host 10.10.1.1 accounting switch(config)# radius-server host 10.10.2.2 auth-port 2005 switch(config)# radius-server host 10.10.2.2 authentication switch # exit switch # copy running-config startup-config switch #
RADIUS サーバの可用性をモニタリングできます。パラメータとして、サーバに使用するユーザ名とパスワード、およびアイドル タイマーがあります。アイドル タイマーには、RADIUS サーバがどのくらいの期間要求を受信しなかった場合にスイッチがテスト パケットを送信するかを指定します。このオプションを設定することで、サーバを定期的にテストできます。
(注) | セキュリティ上の理由から、RADIUS データベース内の既存のユーザ名と同じテスト ユーザ名を設定しないことを推奨します。 |
テスト アイドル タイマーには、RADIUS サーバがどのくらいの期間要求を受信しなかった場合にスイッチがテスト パケットを送信するかを指定します。
デフォルトのアイドル タイマー値は 0 分です。アイドル時間間隔が 0 分の場合、スイッチは RADIUS サーバの定期的なモニタリングを実行しません。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | switch# configure terminal |
グローバル コンフィギュレーション モードを開始します。 | ||
ステップ 2 | switch(config)# radius-server host {ipv4-address | ipv6-address | host-name} test {idle-time minutes | password password [idle-time minutes] | username name [password password [idle-time minutes]]} |
サーバ モニタリング用のパラメータを指定します。デフォルトのユーザ名は test、デフォルトのパスワードは test です。 デフォルトのアイドル タイマー値は 0 分です。 有効な範囲は、0 ~ 1440 分です。
| ||
ステップ 3 | switch(config)# radius-server deadtime minutes |
スイッチが、前回応答しなかった RADIUS サーバをチェックするまでの時間(分)を指定します。 デフォルト値は 0 分です。 有効な範囲は 1 ~ 1440 分です。 | ||
ステップ 4 | switch(config)# exit |
設定モードを終了します。 | ||
ステップ 5 | switch# show radius-server | (任意)
RADIUS サーバの設定を表示します。 | ||
ステップ 6 | switch# copy running-config startup-config | (任意)
リブートおよびリスタート時に実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーして、変更を継続的に保存します。 |
次に、ユーザ名(user1)およびパスワード(Ur2Gd2BH)と、3 分のアイドル タイマーおよび 5 分のデッドタイムで、RADIUS サーバ ホスト 10.10.1.1 を設定する例を示します。
switch# configure terminal switch(config)# radius-server host 10.10.1.1 test username user1 password Ur2Gd2BH idle-time 3 switch(config)# radius-server deadtime 5 switch(config)# exit switch# copy running-config startup-config
すべての RADIUS サーバのデッド タイム間隔を設定できます。デッド タイム間隔には、Cisco Nexus デバイスが RADIUS サーバをデッド状態であると宣言した後、そのサーバがアライブ状態に戻ったかどうかを判断するためにテスト パケットを送信するまでの間隔を指定します。デフォルト値は 0 分です。
(注) | デッド タイム間隔が 0 分の場合、RADIUS サーバは、応答を返さない場合でも、デットとしてマークされません。RADIUS サーバ グループに対するデッド タイム間隔を設定できます。 |
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | switch(config)# radius-server deadtime |
デッド タイム間隔を設定します。デフォルト値は 0 分です。有効な範囲は 1 ~ 1440 分です。 |
ステップ 3 | switch(config)# exit |
設定モードを終了します。 |
ステップ 4 | switch# show
radius-server | (任意)
RADIUS サーバの設定を表示します。 |
ステップ 5 | switch# copy
running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
次に、RADIUS サーバに 5 分間のデッドタイムを設定する例を示します。
switch# configure terminal switch(config)# radius-server deadtime 5 switch(config# exit switch# copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# test aaa server radius {ipv4-address| ipv6-address | server-name} [vrf vrf-name] username password test aaa server radius {ipv4-address | ipv6-address | server-name} [vrf vrf-name] username password |
RADIUS サーバにテスト メッセージを送信して可用性を確認します。 |
ステップ 2 | switch# test aaa group group-name username password |
RADIUS サーバ グループにテスト メッセージを送信して可用性を確認します。 |
次に、可用性を確認するために、RADIUS サーバとサーバ グループにテスト メッセージを送信する例を示します。
switch# test aaa server radius 10.10.1.1 user 1 Ur2Gd2BH switch# test aaa group RadGroup user2 As3He3CI
コマンドまたはアクション | 目的 |
---|
Cisco NX-OS デバイスが保持している RADIUS サーバのアクティビティに関する統計情報を表示します。
Cisco NX-OS デバイスに RADIUS サーバを設定します。
コマンドまたはアクション | 目的 |
---|
次に、RADIUS を設定する例を示します。
switch# configure terminal
switch(config)# radius-server key 7 "ToIkLhPpG"
switch(config)# radius-server host 10.10.1.1 key 7 "ShMoMhTl" authentication accounting
switch(config)# aaa group server radius RadServer
switch(config-radius)# server 10.10.1.1
switch(config-radius)# exit
switch(config-radius)# use-vrf management
次の表に、RADIUS パラメータのデフォルト設定を示します。
パラメータ |
デフォルト |
---|---|
サーバの役割 |
認証とアカウンティング |
デッド タイマー間隔 |
0 分 |
再送信回数 |
1 |
再送信タイマー間隔 |
5 秒 |
アイドル タイマー間隔 |
0 分 |
サーバの定期的モニタリングのユーザ名 |
test |
サーバの定期的モニタリングのパスワード |
test |