AAA の設定
この章では、Cisco NX-OS デバイスで認証、許可、アカウンティング(AAA)を設定する手順について説明します。
この章は、次の項で構成されています。
機能情報の確認
ご使用のソフトウェア リリースで、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の警告および機能情報については、https://tools.cisco.com/bugsearch/ の Bug Search Tool およびご使用のソフトウェア リリースのリリース ノートを参照してください。このモジュールに記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「新機能および変更された機能に関する情報」の章または以下の「機能の履歴」表を参照してください。
AAA の概要
ここでは、Cisco NX-OS デバイスでの AAA について説明します。
AAA セキュリティ サービス
AAA 機能を使用すると、Cisco NX-OS デバイスを管理するユーザの ID を確認し、ユーザにアクセスを許可し、ユーザの実行するアクションを追跡できます。Cisco NX-OS デバイスは、Remote Access Dial-In User Service(RADIUS)プロトコルまたは Terminal Access Controller Access Control System Plus(TACACS+)プロトコルをサポートします。
Cisco NX-OS は入力されたユーザ ID およびパスワードの組み合わせに基づいて、ローカル データベースによるローカル認証または許可、あるいは 1 つまたは複数の AAA サーバによるリモート認証または許可を実行します。Cisco NX-OS デバイスと AAA サーバの間の通信は、事前共有秘密キーによって保護されます。すべての AAA サーバ用または特定の AAA サーバ専用に共通秘密キーを設定できます。
AAA セキュリティは、次のサービスを実行します。
- 認証
- ログインとパスワードのダイアログ、チャレンジとレスポンス、メッセージング サポート、および選択したセキュリティ プロトコルに応じた暗号化などを使用してユーザを識別します。
認証は、デバイスにアクセスする人物またはデバイスの ID を確認するプロセスです。この ID の確認は、Cisco NX-OS デバイスにアクセスするエンティティから提供されるユーザ ID とパスワードの組み合わせに基づいて行われます。Cisco NX-OS デバイスでは、ローカル認証(ローカル ルックアップ データベースを使用)またはリモート認証(1 台または複数の RADIUS サーバまたは TACACS+ サーバを使用)を実行できます。
- 許可
- アクセス コントロールを提供します。AAA 許可は、ユーザが何を実行する権限を与えられるかを表す一連の属性を組み立てるプロセスです。Cisco NX-OS ソフトウェアでは、AAA サーバからダウンロードされる属性を使用して権限付与が行われます。RADIUS や TACACS+ などのリモート セキュリティ サーバは、適切なユーザで該当する権利を定義した属性値(AV)のペアをアソシエートすることによって、ユーザに特定の権限を付与します。
- Accounting
- 情報を収集する、情報をローカルのログに記録する、情報を AAA サーバに送信して課金、監査、レポート作成などを行う方法を提供します。
アカウンティング機能では、Cisco NX-OS デバイスへのアクセスに使用されるすべての管理セッションを追跡し、ログに記録して管理します。この情報を使用して、トラブルシューティングや監査のためのレポートを生成できます。アカウンティング ログは、ローカルに保存することもできれば、リモート AAA サーバに送信することもできます。

(注) |
Cisco NX-OS ソフトウェアでは、認証、許可、およびアカウンティングを個別にサポートしています。たとえば、アカウンティングは設定せずに、認証と許可を設定したりできます。
|
リモート AAA サービス
RADIUS プロトコルおよび TACACS+ プロトコルを介して提供されるリモート AAA サービスには、ローカル AAA サービスと比べて次のような利点があります。
-
ファブリック内の各 Cisco NX-OS デバイスのユーザ パスワード リストの管理が容易になります。
-
AAA サーバはすでに企業内に幅広く導入されており、簡単に AAA サービスに使用できます。
-
ファブリック内のすべての Cisco NX-OS デバイスのアカウンティング ログを中央で管理できます。
-
ファブリック内の各 Cisco NX-OS デバイスのユーザ属性の管理が、Cisco NX-OS デバイスのローカル データベースを使用するよりも容易になります。
AAA Server Groups
認証、許可、アカウンティングのためのリモート AAA サーバは、サーバ グループを使用して指定できます。サーバ グループとは、同じ AAA プロトコルを実装した一連のリモート AAA サーバです。サーバ グループの目的は、リモート AAA サーバが応答できなくなったときにフェールオーバー サーバを提供することです。グループ内の最初のリモート サーバが応答しなかった場合、いずれかのサーバが応答を送信するまで、グループ内の次のリモート サーバで試行が行われます。サーバ グループ内のすべての AAA サーバが応答しなかった場合、そのサーバ グループ オプションは障害が発生しているものと見なされます。必要に応じて、複数のサーバ グループを指定できます。Cisco NX-OS デバイスは、最初のサーバ グループのすべてのサーバからエラーを受信した場合に、次のサーバ グループのサーバを試行します。
AAA サービス設定オプション
Cisco NX-OS デバイスの AAA 設定は、サービス ベースです。次のサービスごとに異なった AAA 設定を作成できます。
次の表に、AAA サービス設定オプションごとに CLI(コマンドライン インターフェイス)の関連コマンドを示します。
表 1 AAA サービス コンフィギュレーション コマンド
AAA サービス コンフィギュレーション オプション
|
関連コマンド
|
Telnet または SSH ログイン
|
aaa authentication login default |
コンソール ログイン
|
aaa authentication login console |
Cisco TrustSec 認証
|
aaa authentication cts default |
802.1X 認証
|
aaa authentication dot1x default |
EAPoUDP 認証
|
aaa authentication eou default |
ユーザ セッション アカウンティング
|
aaa accounting default |
802.1X アカウンティング
|
aaa accounting dot1x default |
AAA サービスには、次の認証方式を指定できます。
- すべての RADIUS サーバ
-
RADIUS サーバのグローバル プールを使用して認証を行います。
- 指定サーバ グループ
-
設定した特定の RADIUS、TACACS+、または LDAP サーバ グループを使用して認証を行います。
- ローカル
-
ローカルのユーザ名またはパスワード データベースを使用して認証を行います。
- なし
-
AAA 認証が使用されないように指定します。

(注) |
「指定サーバ グループ」方式でなく、「すべての RADIUS サーバ」方式を指定した場合、Cisco NX-OS デバイスは、設定された RADIUS サーバのグローバル プールから設定の順に RADIUS サーバを選択します。このグローバル プールから選択されるサーバは、Cisco NX-OS デバイス上で RADIUS サーバ グループに選択的に設定できるサーバです。
|
次の表に、AAA サービスに対応して設定できる AAA 認証方式を示します。
表 2 AAA サービスの AAA 認証方式
AAA サービス
|
AAA の方式
|
コンソール ログイン認証
|
サーバ グループ、ローカル、なし
|
ユーザ ログイン認証
|
サーバ グループ、ローカル、なし
|
Cisco TrustSec 認証
|
サーバ グループのみ
|
802.1X 認証
|
サーバ グループのみ
|
EAPoUDP 認証
|
サーバ グループのみ
|
ユーザ管理セッション アカウンティング
|
サーバ グループ、ローカル
|
802.1X アカウンティング
|
サーバ グループ、ローカル
|

(注) |
コンソール ログイン認証、ユーザ ログイン認証、およびユーザ管理セッション アカウンティングの場合は、Cisco NX-OS デバイスが、指定された順序で各オプションを試行します。その他の設定済みオプションが失敗した場合、ローカル オプションがデフォルト方式です。no aaa authentication login {console | default} fallback error local コマンドを使用すると、コンソール ログインまたはデフォルト ログインの local オプションをディセーブルにできます。
|
ユーザ ログインの認証および許可プロセス
図 1. ユーザ ログインの認証および許可フロー. 次の図に、ユーザ ログインの認証および許可プロセスのフローチャートを示します。

(注) |
この図は、ユーザ名とパスワードによる SSH 認証にのみ該当します。公開キー SSH 認証には適用されません。ユーザ名とパスワードによる SSH 認証は、常に AAA を介して行われます。
|
次に、このプロセスについて順番に説明します。
-
Cisco NX-OS デバイスにログインする場合、Telnet、SSH、またはコンソール ログインのオプションが使用できます。
-
サーバ グループ認証方式を使用して AAA サーバ グループを設定した場合は、Cisco NX-OS デバイスが、次のように認証要求をグループ内の最初の AAA サーバに送信します。
-
特定の AAA サーバが応答しなかった場合は、その次の AAA サーバ、さらにその次へと、各サーバが順に試行されます。この処理は、リモート サーバが認証要求に応答するまで続けられます。
-
サーバ グループのすべての AAA サーバが応答しなかった場合、その次のサーバ グループのサーバが試行されます。
-
コンソール ログインでローカルへのフォールバックがディセーブルでないかぎり、設定されている認証方式がすべて失敗した場合、ローカル データベースを使用して認証が実行されます。
-
Cisco NX-OS デバイスがリモート AAA サーバでユーザの認証に成功した場合は、次のいずれかが適用されます。
-
AAA サーバ プロトコルが RADIUS の場合、cisco-av-pair 属性で指定されているユーザ ロールが認証応答とともにダウンロードされます。
-
AAA サーバ プロトコルが TACACS+ の場合、シェルのカスタム属性として指定されているユーザ ロールを取得するために、もう 1 つの要求が同じサーバに送信されます。
-
リモート AAA サーバからのユーザ ロールの取得に成功しない場合、ユーザに vdc-operator ロールが割り当てられます。
-
ローカルでユーザ名とパスワードの認証が成功した場合は、ログインが許可され、ローカル データベースに設定されているロールが割り当てられます。

(注) |
「残りのサーバ グループなし」とは、すべてのサーバ グループのいずれのサーバからも応答がないということです。「残りのサーバなし」とは、現在のサーバ グループ内のいずれのサーバからも応答がないということです。
|
AES パスワード暗号化およびマスター暗号キー
強力で、反転可能な 128 ビットの高度暗号化規格(AES)パスワード暗号化(タイプ 6 暗号化ともいう)をイネーブルにすることができます。タイプ 6 暗号化の使用を開始するには、AES パスワード暗号化機能をイネーブルにし、パスワード暗号化および復号化に使用されるマスター暗号キーを設定する必要があります。
AES パスワード暗号化をイネーブルにしてマスター キーを設定すると、タイプ 6 パスワード暗号化をディセーブルにしない限り、サポートされているアプリケーション(現在は RADIUS と TACACS+)の既存および新規作成されたクリア テキスト パスワードがすべて、タイプ 6 暗号化の形式で保存されます。また、既存の弱いすべての暗号化パスワードをタイプ 6 暗号化パスワードに変換するように Cisco NX-OS を設定することもできます。
AAA のバーチャライゼーション サポート
デフォルトのコンソール方式と AAA アカウンティング ログを除き、すべての AAA 設定と操作は仮想デバイス コンテキスト(VDC)に対してローカルです。コンソール ログインの AAA 認証方式の設定と操作は、デフォルト VDC に対してだけ適用されます。AAA アカウンティング ログは、デフォルト VDC だけに存在します。任意の VDC から内容を表示できますが、内容のクリアはデフォルト VDC で行う必要があります。
VDC の詳細については、『Cisco Nexus 7000 Series NX-OS Virtual Device Context Configuration Guide』を参照してください。
AAA のライセンス要件
次の表に、この機能のライセンス要件を示します。
製品
|
ライセンス要件
|
Cisco NX-OS
|
AAA にはライセンスは必要ありません。ライセンス パッケージに含まれていない機能はすべて Cisco NX-OS システム イメージにバンドルされており、追加費用は一切発生しません。
Cisco NX-OS ライセンス方式の詳細については、『Cisco NX-OS Licensing Guide』を参照してください。
|
AAA の前提条件
リモート AAA サーバには、次の前提条件があります。
-
少なくとも 1 台の RADIUS サーバ、TACACS+ サーバ、または LDAP サーバが IP を使用して到達可能であることを確認します。
-
Cisco NX-OS デバイスが AAA サーバのクライアントとして設定されていることを確認します。
-
秘密キーが Cisco NX-OS デバイスおよびリモート AAA サーバに設定されていることを確認します。
-
リモート サーバが Cisco NX-OS デバイスからの AAA 要求に応答することを確認します。
AAA の注意事項と制約事項
AAA に関する注意事項と制約事項は次のとおりです。
AAA のデフォルト設定
次の表に、AAA パラメータのデフォルト設定を示します。
表 3 AAA パラメータのデフォルト設定
パラメータ(Parameters)
|
デフォルト
|
コンソール認証方式
|
local
|
デフォルト認証方式
|
local
|
ログイン認証失敗メッセージ
|
ディセーブル
|
CHAP 認証
|
ディセーブル
|
MSCHAP 認証
|
ディセーブル
|
デフォルト アカウンティング方式
|
local
|
アカウンティング ログの表示サイズ
|
250 KB
|
AAA の設定
ここでは、Cisco NX-OS デバイスで AAA を設定する手順について説明します。

(注) |
Cisco IOS の CLI に慣れている場合、この機能に対応する Cisco NX-OS コマンドは通常使用する Cisco IOS コマンドと異なる場合があるので注意してください。
|
AAA の設定プロセス
AAA 認証およびアカウンティングを設定するには、次の作業を行います。
-
認証にリモート RADIUS、TACACS+、または LDAP サーバを使用する場合は、Cisco NX-OS デバイス上でホストを設定します。
-
コンソール ログイン認証方式を設定します。
-
ユーザ ログインのためのデフォルトのログイン認証方式を設定します。
-
デフォルト AAA アカウンティングのデフォルト方式を設定します。
コンソール ログイン認証方式の設定
ここでは、コンソール ログインの認証方式を設定する方法を説明します。
認証方式には、次のものがあります。
デフォルトの方式はローカルですが、ディセーブルにするオプションがあります。

(注) |
コンソール ログインの AAA の設定と操作は、デフォルト VDC に対してだけ適用されます。
|

(注) |
aaa authentication コマンドの group radius および groupserver-name 形式は、以前に定義された RADIUS サーバのセットを参照します。ホスト サーバを設定するには、radius server-host コマンドを使用します。サーバの名前付きグループを作成するには、aaa group server radius コマンドを使用します。
|

(注) |
リモート認証がイネーブルになっているときにパスワード回復を実行すると、パスワード回復の実行後すぐにコンソール ログインのローカル認証がイネーブルになります。そのため、新しいパスワードを使用してコンソール ポート経由で Cisco NX-OS デバイスにログインできます。ログイン後は、引き続きローカル認証を使用するか、または AAA サーバで設定された管理者パスワードのリセット後にリモート認証をイネーブルにすることができます。パスワード回復プロセスの詳細については、『Cisco NX-OS のパスワード回復手順』を参照してください。
|
はじめる前に
デフォルト VDC にいることを確認します。
必要に応じて RADIUS、TACACS+、または LDAP サーバ グループを設定します。
手順の概要
1.
configure terminal
2.
aaa authentication login console {groupgroup-list [none] | local | none}
3.
exit
4.
(任意) show aaa authentication
5.
(任意) copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 |
ステップ 1 | configure terminal
例:
switch# configure terminal
switch(config)#
|
コンフィギュレーション モードに入ります。
|
ステップ 2 | aaa authentication login console {groupgroup-list [none] | local | none}
例:
switch(config)# aaa authentication login console group radius
|
コンソールのログイン認証方式を設定します。
group-list 引数には、グループ名をスペースで区切ったリストを指定します。グループ名は、次のように指定します。
-
radius
- RADIUS サーバのグローバル プールを使用して認証を行います。
-
named-group
- RADIUS、TACACS+、または LDAP サーバの指定サブセットを使用して認証を行います。
local 方式を指定すると、認証にローカル データベースが使用されます。none 方式を指定すると、AAA 許可が使用されなくなります。
デフォルトのコンソール ログイン方式は local です。これは、方式が何も設定されていない場合、または設定された認証方式すべてについて応答が得られない場合に、コンソール ログインに対してローカルへのフォール バックがディセーブルでない限り、使用されます。
|
ステップ 3 | exit
例:
switch(config)# exit
switch#
|
設定モードを終了します。
|
ステップ 4 | show aaa authentication
例:
switch# show aaa authentication
| (任意)
コンソール ログイン認証方式の設定を表示します。
|
ステップ 5 | copy running-config startup-config
例:
switch# copy running-config startup-config
| (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
|
デフォルトのログイン認証方式の設定
認証方式には、次のものがあります。
デフォルトの方式はローカルですが、ディセーブルにするオプションがあります。
はじめる前に
必要に応じて RADIUS、TACACS+、または LDAP サーバ グループを設定します。
手順の概要
1.
configure terminal
2.
aaa authentication login default {groupgroup-list [none] | local | none}
3.
exit
4.
(任意) show aaa authentication
5.
(任意) copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 |
ステップ 1 | configure terminal
例:
switch# configure terminal
switch(config)#
|
コンフィギュレーション モードに入ります。
|
ステップ 2 | aaa authentication login default {groupgroup-list [none] | local | none}
例:
switch(config)# aaa authentication login default group radius
|
デフォルト認証方式を設定します。
group-list 引数には、グループ名をスペースで区切ったリストを指定します。グループ名は、次のように指定します。
local 方式を指定すると、認証にローカル データベースが使用されます。none 方式を指定すると、AAA 許可が使用されなくなります。デフォルトのログイン方式は local です。これは、方式が何も設定されていない場合、または設定された認証方式すべてについて応答が得られない場合に、コンソール ログインに対してローカルへのフォール バックがディセーブルでない限り、使用されます。
次のいずれかを設定できます。
-
AAA 認証グループ
-
認証なしの AAA 認証グループ
-
ローカル認証
-
認証なし
(注)
|
local キーワードは、AAA 認証グループを設定するときはサポートされません(必須ではありません)。これは、リモート サーバが到達不能の場合のデフォルトがローカル認証であるためです。たとえば、aaa authentication login default group g1 を設定した場合、AAA グループ g1 を使用して認証を行うことができなければ、ローカル認証が試行されます。これに対し、aaa authentication login default group g1 none を設定した場合は、AAA グループ g1 を使用して認証を行うことができなければ、認証は実行されません。
|
|
ステップ 3 | exit
例:
switch(config)# exit
switch#
|
設定モードを終了します。
|
ステップ 4 | show aaa authentication
例:
switch# show aaa authentication
| (任意)
デフォルトのログイン認証方式の設定を表示します。
|
ステップ 5 | copy running-config startup-config
例:
switch# copy running-config startup-config
| (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
|
ローカル認証へのフォールバックのディセーブル化
デフォルトでは、コンソール ログインまたはデフォルト ログインのリモート認証が設定されている場合、どの AAA サーバにも到達不能なときに(認証エラーになります)、ユーザが Cisco NX-OS デバイスからロックアウトされないように、ローカル認証にフォールバックされます。ただし、セキュリティを向上させるために、ローカル認証へのフォールバックをディセーブルにできます。

注意 |
ローカル認証へのフォールバックをディセーブルにすると、Cisco NX-OS デバイスがロックされ、パスワード回復を実行しないとアクセスできなくなることがあります。デバイスからロックアウトされないようにするために、ローカル認証へのフォールバックをディセーブルにする対象は、デフォルト ログインとコンソール ログインの両方ではなく、いずれかだけにすることを推奨します。
|

(注) |
コンソール ログインの AAA の設定と操作は、デフォルト VDC に対してだけ適用されます。
|
はじめる前に
コンソール ログインのリモート認証を設定する場合は、事前にデフォルト VDC にいることを確認します。デフォルト ログインのリモート認証は、VDC 単位で設定できます。
コンソール ログインまたはデフォルト ログインのリモート認証を設定します。
手順の概要
1.
configure terminal
2.
no aaa authentication login {console | default} fallback error local
3.
(任意) exit
4.
(任意) show aaa authentication
5.
(任意) copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 |
ステップ 1 | configure terminal
例:
switch# configure terminal
switch(config)#
|
コンフィギュレーション モードに入ります。
|
ステップ 2 | no aaa authentication login {console | default} fallback error local
例:
switch(config)# no aaa authentication login console fallback error local
|
コンソール ログインまたはデフォルト ログインについて、リモート認証が設定されている場合にどの AAA サーバにも到達不能なときに実行されるローカル認証へのフォールバックをディセーブルにします。
ローカル認証へのフォールバックをディセーブルにすると、次のメッセージが表示されます。
"WARNING!!! Disabling fallback can lock your switch."
|
ステップ 3 | exit
例:
switch(config)# exit
switch#
| (任意)
設定モードを終了します。
|
ステップ 4 | show aaa authentication
例:
switch# show aaa authentication
| (任意)
コンソール ログインおよびデフォルト ログイン認証方式の設定を表示します。
|
ステップ 5 | copy running-config startup-config
例:
switch# copy running-config startup-config
| (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
|
AAA 認証のデフォルト ユーザ ロールのイネーブル化
ユーザ ロールを持たないリモート ユーザに、デフォルトのユーザ ロールを使用して、RADIUS または TACACS+ リモート認証による Cisco NX-OS デバイスへのログインを許可できます。AAA のデフォルトのユーザ ロール機能をディセーブルにすると、ユーザ ロールを持たないリモート ユーザはデバイスにログインできなくなります。
この機能は必要に応じて VDC に対してイネーブルまたはディセーブルにできます。デフォルトの VDC では、デフォルトのユーザ ロールは network-operator です。デフォルト以外の VDC では、デフォルトの VDC は vdc-operator です。
はじめる前に
正しい VDC 内にいることを確認します。VDC を切り替えるには、switchto vdc コマンドを使用します。
手順の概要
1.
configure terminal
2.
aaa user default-role
3.
exit
4.
(任意) show aaa user default-role
5.
(任意) copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 |
ステップ 1 | configure terminal
例:
switch# configure terminal
switch(config)#
|
コンフィギュレーション モードに入ります。
|
ステップ 2 | aaa user default-role
例:
switch(config)# aaa user default-role
|
AAA 認証のためのデフォルト ユーザ ロールをイネーブルにします。デフォルトではイネーブルになっています。
デフォルト ユーザ ロールの機能をディセーブルにするには、このコマンドの no 形式を使用します。
|
ステップ 3 | exit
例:
switch(config)# exit
switch#
|
設定モードを終了します。
|
ステップ 4 | show aaa user default-role
例:
switch# show aaa user default-role
| (任意)
AAA デフォルト ユーザ ロールの設定を表示します。
|
ステップ 5 | copy running-config startup-config
例:
switch# copy running-config startup-config
| (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
|
ログイン認証失敗メッセージのイネーブル化
ログイン時にリモート AAA サーバが応答しない場合、そのログインは、ローカル ユーザ データベースにロール オーバーして処理されます。このような場合に、ログイン失敗メッセージがイネーブルになっていると、次のメッセージがユーザの端末に表示されます。
Remote AAA servers unreachable; local authentication done.
Remote AAA servers unreachable; local authentication failed.
はじめる前に
正しい VDC 内にいることを確認します。VDC を切り替えるには、switchto vdc コマンドを使用します。
手順の概要
1.
configure terminal
2.
aaa authentication login error-enable
3.
exit
4.
(任意)
show aaa authentication
5.
(任意)
copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 |
ステップ 1 |
configure terminal
例:
switch# configure terminal
switch(config)#
|
コンフィギュレーション モードに入ります。
|
ステップ 2 |
aaa authentication login error-enable
例:
switch(config)# aaa authentication login error-enable
|
ログイン認証失敗メッセージをイネーブルにします。デフォルトではディセーブルになっています。
|
ステップ 3 |
exit
例:
switch(config)# exit
switch#
|
設定モードを終了します。
|
ステップ 4 |
show aaa authentication
例:
switch# show aaa authentication
| (任意)
ログイン失敗メッセージの設定を表示します。
|
ステップ 5 |
copy running-config startup-config
例:
switch# copy running-config startup-config
| (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
|
CHAP 認証のイネーブル化
Cisco NX-OS ソフトウェアは、チャレンジ ハンドシェーク認証プロトコル(CHAP)をサポートしています。このプロトコルは、業界標準の Message Digest(MD5)ハッシュ方式を使用して応答を暗号化する、チャレンジ レスポンス認証方式のプロトコルです。リモート認証サーバ(RADIUS または TACACS+)を介した Cisco NX-OS デバイスへのユーザ ログインに、CHAP を使用できます。
デフォルトでは、Cisco NX-OS デバイスとリモート サーバの間でパスワード認証プロトコル(PAP)認証が使用されます。CHAP がイネーブルの場合は、CHAP ベンダー固有属性(VSA)を認識するように RADIUS サーバまたは TACACS+ サーバを設定する必要があります。
次の表に、CHAP に必要な RADIUS および TACACS+ VSA を示します。
表 4 CHAP RADIUS および TACACS+ VSA
ベンダー ID 番号
|
ベンダー タイプ番号
|
VSA
|
説明
|
311
|
11
|
CHAP-Challenge
|
AAA サーバから CHAP ユーザに送信されるチャレンジを保持します。これは、Access-Request パケットと Access-Challenge パケットの両方で使用できます。
|
211
|
11
|
CHAP-Response
|
チャレンジに対する応答として CHAP ユーザが入力した値を保持します。Access-Request パケットだけで使用します。
|
はじめる前に
ログイン用の AAA ASCII 認証をディセーブルにします。
手順の概要
1.
configure terminal
2.
no aaa authentication login ascii-authentication
3.
aaa authentication login chap enable
4.
(任意) exit
5.
(任意) show aaa authentication login chap
6.
(任意) copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 |
ステップ 1 | configure terminal
例:
switch# configure terminal
switch(config)#
|
コンフィギュレーション モードに入ります。
|
ステップ 2 | no aaa authentication login ascii-authentication
例:
switch(config)# no aaa authentication login ascii-authentication
|
ASCII 認証をディセーブルにします。
|
ステップ 3 | aaa authentication login chap enable
例:
switch(config)# aaa authentication login chap enable
|
CHAP 認証をイネーブルにします。デフォルトではディセーブルになっています。
(注)
|
Cisco NX-OS デバイスで CHAP と MSCHAP(または MSCHAP V2)の両方をイネーブルにすることはできません。
|
|
ステップ 4 | exit
例:
switch(config)# exit
switch#
| (任意)
設定モードを終了します。
|
ステップ 5 | show aaa authentication login chap
例:
switch# show aaa authentication login chap
| (任意)
CHAP の設定を表示します。
|
ステップ 6 | copy running-config startup-config
例:
switch# copy running-config startup-config
| (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
|
MSCHAP または MSCHAP V2 認証のイネーブル化
マイクロソフト チャレンジ ハンドシェーク認証プロトコル(MSCHAP)は、マイクロソフト版の CHAP です。Cisco NX-OS ソフトウェアは、MSCHAP バージョン 2(MSCHAP V2)もサポートしています。リモート認証サーバ(RADIUS または TACACS+)を介した Cisco NX-OS デバイスへのユーザ ログインに、MSCHAP を使用できます。MSCHAP V2 では、リモート認証 RADIUS サーバを介した Cisco NX-OS デバイスへのユーザ ログインだけがサポートされます。MSCHAP V2 の場合に TACACS+ グループを設定すると、デフォルトの AAA ログイン認証では、次に設定されている方式が使用されます。他のサーバ グループが設定されていない場合は、ローカル方式が使用されます。

(注) |
Cisco NX-OS ソフトウェアで、次のメッセージが表示される場合があります。
「Warning: MSCHAP V2 is supported only with Radius.」
この警告メッセージは単なる情報メッセージであり、RADIUS での MSCHAP V2 の動作には影響しません。
|
デフォルトでは、Cisco NX-OS デバイスとリモート サーバの間でパスワード認証プロトコル(PAP)認証が使用されます。MSCHAP または MSCHAP V2 をイネーブルにする場合は、MSCHAP および MSCHAP V2 ベンダー固有属性(VSA)を認識するように RADIUS サーバを設定する必要があります。
次の表に、MSCHAP に必要な RADIUS VSA を示します。
表 5 MSCHAP および MSCHAP V2 RADIUS VSA
ベンダー ID 番号
|
ベンダー タイプ番号
|
VSA
|
説明
|
311
|
11
|
MSCHAP-Challenge
|
AAA サーバから MSCHAP または MSCHAP V2 ユーザに送信されるチャレンジを保持します。これは、Access-Request パケットと Access-Challenge パケットの両方で使用できます。
|
211
|
11
|
MSCHAP-Response
|
チャレンジに対する応答として MSCHAP または MSCHAP V2 ユーザが入力した値を保持します。Access-Request パケットでしか使用されません。
|
はじめる前に
ログイン用の AAA ASCII 認証をディセーブルにします。
手順の概要
1.
configure terminal
2.
no aaa authentication login ascii-authentication
3.
aaa authentication login {mschap | mschapv2} enable
4.
exit
5.
(任意) show aaa authentication login {mschap | mschapv2}
6.
(任意) copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 |
ステップ 1 | configure terminal
例:
switch# configure terminal
switch(config)#
|
コンフィギュレーション モードに入ります。
|
ステップ 2 | no aaa authentication login ascii-authentication
例:
switch(config)# no aaa authentication login ascii-authentication
|
ASCII 認証をディセーブルにします。
|
ステップ 3 | aaa authentication login {mschap | mschapv2} enable
例:
switch(config)# aaa authentication login mschap enable
|
MSCHAP または MSCHAP V2 認証をイネーブルにします。デフォルトではディセーブルになっています。
(注)
|
Cisco NX-OS デバイスで MSCHAP と MSCHAP V2 の両方をイネーブルにすることはできません。
|
|
ステップ 4 | exit
例:
switch(config)# exit
switch#
|
設定モードを終了します。
|
ステップ 5 | show aaa authentication login {mschap | mschapv2}
例:
switch# show aaa authentication login mschap
| (任意)
MSCHAP または MSCHAP V2 の設定を表示します。
|
ステップ 6 | copy running-config startup-config
例:
switch# copy running-config startup-config
| (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
|
マスター キーの設定および AES パスワード暗号化機能のイネーブル化
タイプ 6 暗号化用のマスター キーを設定し、高度暗号化規格(AES)パスワード暗号化機能をイネーブルにすることができます。
手順の概要
1.
[no] key config-key ascii
2.
configure terminal
3.
[no] feature password encryption aes
4.
(任意) show encryption service stat
5.
copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 |
ステップ 1 | [no] key config-key ascii
例:
switch# key config-key ascii
New Master Key:
Retype Master Key:
|
マスター キーを、AES パスワード暗号化機能で使用するように設定します。マスター キーは、16 ~ 32 文字の英数字を使用できます。このコマンドの no 形式を使用すると、いつでもマスター キーを削除できます。
マスター キーを設定する前に AES パスワード暗号化機能をイネーブルにすると、マスター キーが設定されていない限りパスワード暗号化が実行されないことを示すメッセージが表示されます。マスター キーがすでに設定されている場合、新しいマスター キーを入力する前に現在のマスター キーを入力するように求められます。
|
ステップ 2 | configure terminal
例:
switch# configure terminal
switch(config)#
|
グローバル コンフィギュレーション モードを開始します。
|
ステップ 3 | [no] feature password encryption aes
例:
switch(config)# feature password encryption aes
|
AES パスワード暗号化機能をイネーブルまたはディセーブルにします。
|
ステップ 4 | show encryption service stat
例:
switch(config)# show encryption service stat
| (任意)
AES パスワード暗号化機能とマスター キーの設定ステータスを表示します。
|
ステップ 5 | copy running-config startup-config
例:
switch(config)# copy running-config startup-config
|
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
(注)
|
このコマンドは、実行コンフィギュレーションとスタートアップ コンフィギュレーションのマスター キーを同期するために必要です。
|
|
既存のパスワードのタイプ 6 暗号化パスワードへの変換
既存の単純で脆弱な暗号化パスワードをタイプ 6 暗号化パスワードに変換できます。
はじめる前に
AES パスワード暗号化機能をイネーブルにし、マスター キーを設定したことを確認します。
手順の概要
1.
encryption re-encrypt obfuscated
手順の詳細
| コマンドまたはアクション | 目的 |
ステップ 1 | encryption re-encrypt obfuscated
例:
switch# encryption re-encrypt obfuscated
|
既存の単純で脆弱な暗号化パスワードをタイプ 6 暗号化パスワードに変換します。
|
タイプ 6 暗号化パスワードの元の状態への変換
タイプ 6 暗号化パスワードを元の状態に変換できます。
はじめる前に
マスター キーを設定したことを確認します。
手順の概要
1.
encryption decrypt type6
手順の詳細
| コマンドまたはアクション | 目的 |
ステップ 1 | encryption decrypt type6
例:
switch# encryption decrypt type6
Please enter current Master Key:
|
タイプ 6 暗号化パスワードを元の状態に変換します。
|
タイプ 6 暗号化パスワードの削除
Cisco NX-OS デバイスからすべてのタイプ 6 暗号化パスワードを削除できます。
手順の概要
1.
encryption delete type6
手順の詳細
| コマンドまたはアクション | 目的 |
ステップ 1 | encryption delete type6
例:
switch# encryption delete type6
|
すべてのタイプ 6 暗号化パスワードを削除します。
|
デフォルトの AAA アカウンティング方式の設定
Cisco NX-OS ソフトウェアは、アカウンティングに TACACS+ および RADIUS 方式をサポートします。Cisco NX-OS デバイスは、ユーザのアクティビティを、アカウンティング レコードの形式で TACACS+ または RADIUS セキュリティ サーバにレポートします。各アカウンティング レコードに、アカウンティング属性値(AV)のペアが入っており、それが AAA サーバに格納されます。
AAA アカウンティングをアクティブにすると、Cisco NX-OS デバイスは、これらの属性をアカウンティング レコードとしてレポートします。アカウンティング レコードはその後セキュリティ サーバのアカウンティング ログに保存されます。
特定のアカウンティング方式を定義するデフォルト方式リストを作成できます。次の方式を含めることができます。
- RADIUS サーバ グループ
- RADIUS サーバのグローバル プールを使用してアカウンティングを行います。
- 指定されたサーバ グループ
- 指定された RADIUS または TACACS+ サーバ グループを使用してアカウンティングを行います。
- ローカル
- ローカルのユーザ名またはパスワード データベースを使用してアカウンティングを行います。

(注) |
サーバ グループが設定されていて、そのサーバ グループが応答しない場合、デフォルトではローカル データベースが認証に使用されます。
|
はじめる前に
必要に応じて RADIUS または TACACS+ サーバ グループを設定します。
手順の概要
1.
configure terminal
2.
aaa accounting default {groupgroup-list | local}
3.
exit
4.
(任意) show aaa accounting
5.
(任意) copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 |
ステップ 1 | configure terminal
例:
switch# configure terminal
switch(config)#
|
コンフィギュレーション モードに入ります。
|
ステップ 2 | aaa accounting default {groupgroup-list | local}
例:
switch(config)# aaa accounting default group radius
|
デフォルトのアカウンティング方式を設定します。
group-list 引数には、グループ名をスペースで区切ったリストを指定します。グループ名は、次のように指定します。
local 方式では、アカウンティングにローカル データベースが使用されます。
デフォルトのアカウンティング方式は、local です。これはサーバ グループが何も設定されていない場合、または設定されたすべてのサーバ グループから応答が得られなかった場合に使用されます。
|
ステップ 3 | exit
例:
switch(config)# exit
switch#
|
設定モードを終了します。
|
ステップ 4 | show aaa accounting
例:
switch# show aaa accounting
| (任意)
デフォルトの AAA アカウンティング方式の設定を表示します。
|
ステップ 5 | copy running-config startup-config
例:
switch# copy running-config startup-config
| (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
|
Cisco NX-OS デバイスによる AAA サーバの VSA の使用
ベンダー固有属性(VSA)を使用して、AAA サーバ上で Cisco NX-OS のユーザ ロールおよび SNMPv3 パラメータを指定できます。
VSA の概要
インターネット技術特別調査委員会(IETF)が、ネットワーク アクセス サーバと RADIUS サーバの間での VSA の通信のための方式を規定する標準を作成しています。IETF は属性 26 を使用します。ベンダーは VSA を使用して、一般的な用途には適さない独自の拡張属性をサポートできます。シスコの RADIUS 実装は、この仕様で推奨される形式を使用して、1 つのベンダー固有オプションをサポートしています。シスコのベンダー ID は 9、サポートされるオプションのベンダー タイプは 1(名前付き cisco-av-pair)です。値は次の形式のストリングです。
protocol : attribute separator value *
protocol は、特定の許可タイプを表すシスコの属性です。separator は、必須属性の場合は =(等号)、オプションの属性の場合は *(アスタリスク)です。
Cisco NX-OS デバイス上の認証に RADIUS サーバを使用した場合、RADIUS プロトコルでは RADIUS サーバに対して、認証結果とともに権限付与情報などのユーザ属性を返すように指示します。この許可情報は、VSA で指定されます。
VSA の形式
Cisco NX-OS ソフトウェアでは次の VSA プロトコル オプションをサポートしています。
- Shell
- ユーザ プロファイル情報を提供する access-accept パケットで使用されるプロトコル。
- Accounting
- accounting-request パケットで使用されるプロトコル。値にスペースが含まれている場合は、二重引用符で囲んでください。
次の属性が Cisco NX-OS ソフトウェアでサポートされています。
- ロール
-
ユーザに割り当てられたすべてのロールの一覧です。値フィールドは、グループ名を空白で区切ったリストの入ったストリングです。たとえば、ユーザが network-operator および vdc-admin のロールに属している場合、値フィールドは network-operator vdc-admin となります。このサブ属性は Access-Accept フレームの VSA 部分に格納され、RADIUS サーバから送信されます。この属性は shell プロトコル値とだけ併用できます。次に、ロール属性を使用する例を示します。
shell:roles=network-operator vdc-admin
shell:roles*network-operator vdc-admin
次に、FreeRADIUS でサポートされるロール属性の例を示します。
Cisco-AVPair = shell:roles=\network-operator vdc-admin\
Cisco-AVPair = shell:roles*\network-operator vdc-admin\

(注) |
VSA を shell:roles*"network-operator vdc-admin" または "shell:roles*\"network-operator vdc-admin\"" として指定した場合、この VSA はオプション属性としてフラグ設定され、他のシスコ デバイスはこの属性を無視します。
|
- accountinginfo
- 標準の RADIUS アカウンティング プロトコルに含まれる属性とともにアカウンティング情報を格納します。この属性が送信されるのは、スイッチ上の RADIUS クライアントからの Account-Request フレームの VSA 部分内だけです。この属性は、アカウンティング プロトコル関連の PDU でしか使用できません。
AAA サーバ上での Cisco NX-OS のユーザ ロールおよび SNMPv3 パラメータの指定
AAA サーバ上で VSA に cisco-av-pair を使用して、次の形式で Cisco NX-OS デバイスのユーザ ロールのマッピングを指定できます。
shell:roles="roleA roleB …"
cisco-av-pair 属性にロール オプションを指定しなかった場合のデフォルトのユーザ ロールは、network-operator です。
次のように SNMPv3 認証とプライバシー プロトコル属性を指定することもできます。
shell:roles="roleA roleB..." snmpv3:auth=SHA priv=AES-128
SNMPv3 認証プロトコルに指定できるオプションは、SHA と MD5 です。プライバシー プロトコルに指定できるオプションは、AES-128 と DES です。cisco-av-pair 属性にこれらのオプションを指定しなかった場合のデフォルトの認証プロトコルは、MD5 と DES です。
セキュア ログインの機能拡張
次のセキュア ログインの機能拡張は、Cisco NX-OS でサポートされています。
ログイン パラメータの設定
Cisco NX-OS デバイスへの DoS 攻撃と思われる攻撃の検出と辞書攻撃の低減に役立つログイン パラメータを設定するには、次の作業を実行します。
すべてのログイン パラメータは、デフォルトではディセーブルです。他のログイン コマンドを使用する前に、デフォルトのログイン機能をイネーブルにする loginblock-for コマンドを入力する必要があります。loginblock-for コマンドをイネーブルにすると、次のデフォルトが強制されます。
手順の概要
1.
configureterminal
2.
[no] loginblock-forsecondsattemptstrieswithinseconds
3.
[no] loginquiet-modeaccess-class {acl-name | acl-number}
4.
exit
5.
showloginfailures
手順の詳細
| コマンドまたはアクション | 目的 |
ステップ 1 | configureterminal
例:
Switch# configure terminal
|
グローバル コンフィギュレーション モードを開始します。
|
ステップ 2 | [no] loginblock-forsecondsattemptstrieswithinseconds
例:
Switch(config)# login block-for 100 attempts 2 within 100
|
Cisco NX-OS デバイスで DoS 検出の提供に役立つログイン パラメータを設定します。
(注)
|
このコマンドは、その他のログイン コマンドを使用する前に発行する必要があります。
|
|
ステップ 3 | [no] loginquiet-modeaccess-class {acl-name | acl-number}
例:
Switch(config)# login quiet-mode access-class myacl
|
(オプション)このコマンドはオプションですが、デバイスが静音モードに切り替わるときにデバイスに適用される ACL を指定するように設定することを推奨します。デバイスが静音モードのときは、すべてのログイン要求は拒否され、利用可能な接続のみコンソールで使用できます。
|
ステップ 4 | exit
例:
|
特権 EXEC モードに戻ります。
|
ステップ 5 | showloginfailures
例:
|
ログイン パラメータを表示します。
|
ログイン パラメータの設定例
ログイン パラメータの設定:例
次に、100 秒以内に 15 回ログイン要求が失敗した場合に 100 秒の待機モードに入るようにスイッチを設定する例を示します。待機時間中、ACL「myacl」からのホスト以外、すべてのログイン要求が拒否されます。
Switch(config)# login block-for 100 attempts 15 within 100
Switch(config)# login quiet-mode access-class myacl
show login コマンドからの次のサンプル出力は、ログイン パラメータが指定されていないことを確認します。
Switch# show login
No Quiet-Mode access list has been configured, default ACL will be applied.
Switch is enabled to watch for login Attacks.
If more than 2 login failures occur in 45 seconds or less, logins will be disabled for 70 seconds.
Switch presently in Normal-Mode.
Current Watch Window remaining time 10 seconds.
Present login failure count 0.
show login failures コマンドからの次のサンプル出力は、スイッチ上で失敗したすべてのログイン試行を表示します。
Switch# show login failures
Information about last 20 login failures with the device.
--------------------------------------------------------------------------------
Username Line Source Appname
TimeStamp
--------------------------------------------------------------------------------
admin pts/0 bgl-ads-728.cisco.com login
Wed Jun 10 04:56:16 2015
admin pts/0 bgl-ads-728.cisco.com login
Wed Jun 10 04:56:19 2015
--------------------------------------------------------------------------------
show login failures コマンドからの次のサンプル出力は、現在記録されている情報がないことを確認します。
Switch# show login failures
*** No logged failed login attempts with the device.***
ユーザごとのログイン ブロックの設定
ユーザごとのログイン ブロックは、サービス拒否(DoS)と思われる攻撃を検出して辞書攻撃を低減します。この機能はロカール ユーザにのみ適用されます。このタスクを使用して、ログイン パラメータを設定しログイン失敗時にユーザをブロックします。
手順の概要
1.
configureterminal
2.
aaa authenticationrejectedattemptsinsecondsbanseconds
3.
exit
4.
showrunningconfig
5.
showaaalocal userblocked
6.
clearaaalocal userblocked{usernameuser | all}
手順の詳細
| コマンドまたはアクション | 目的 |
ステップ 1 | configureterminal
例:
switch# configure terminal
|
グローバル コンフィギュレーション モードを開始します。
|
ステップ 2 | aaa authenticationrejectedattemptsinsecondsbanseconds
例:
switch(config)# aaa authentication rejected 3 in 20 ban 300
|
ユーザをブロックするようにログイン パラメータを設定します。
(注)
| no aaa authenticationrejected コマンドを使用して、デフォルトのログイン パラメータに復元します。 |
|
ステップ 3 | exit
例:
|
特権 EXEC モードに戻ります。
|
ステップ 4 | showrunningconfig
例:
switch# show running config
|
(オプション)ログイン パラメータを表示します。
|
ステップ 5 | showaaalocal userblocked
例:
switch# show aaa local user blocked
|
(オプション)ブロックされたローカル ユーザを表示します。
|
ステップ 6 | clearaaalocal userblocked{usernameuser | all}
例:
switch# clear aaa local user blocked username testuser
|
(オプション)ブロックされたローカル ユーザをクリアします。
|
ユーザごとのログイン ブロックの設定例
ユーザごとのログイン ブロックのパラメータの設定
次の例では、60 秒の期間内で 5 回のログイン試行に失敗した場合にユーザを 300 秒間ブロックするようにログイン パラメータを設定する方法を示しています。
switch(config)# aaa authentication rejected 5 in 60 ban 300
次の例では、スイッチに設定されるログイン パラメータを示しています。
switch# show run | i rejected
aaa authentication rejected 5 in 60 ban 300
次の例では、ブロックされたローカル ユーザを示しています。
switch# show aaa local user blocked
Local-user State
testuser Watched (till 11:34:42 IST Feb 5 2015)
次の例では、ブロックされたローカル ユーザの testuser をクリアする方法を示しています。
switch# clear aaa local user blocked username testuser
ユーザごとのセッション制限:ユーザごとのログインごと
ユーザごとの最大セッション数を制限するにはこのタスクを使用します。
手順の概要
1.
configureterminal
2.
[no] user max-loginsmax-logins
3.
exit
手順の詳細
| コマンドまたはアクション | 目的 |
ステップ 1 | configureterminal
例:
Switch# configure terminal
|
グローバル コンフィギュレーション モードを開始します。
|
ステップ 2 | [no] user max-loginsmax-logins
例:
Switch(config)# user max-logins 1
|
ユーザごとの最大セッション数を制限します。指定できる範囲は 1 ~ 7 です。最大ログイン数の制限を 1 に設定すると、ユーザごとに 1 つのセッションのみ(telnet/SSH)が許可されます。
|
ステップ 3 | exit
例:
|
特権 EXEC モードに戻ります。
|
パスフレーズの設定とユーザ アカウントのロック
パスフレーズの長さ、有効期間、およびユーザ アカウント ロック機能を設定するには、ここに示す手順を実行します。
手順の概要
1.
userpassphrase { min-length | max-length }
2.
userpassphrase { min-length & max-length }
3.
show userpassphrase {min-length| max-length|length}
4.
no userpassphrase {min-length | max-length | length }
5.
show userpassphrase all
6.
userpassphrase { default-lifetime | default-warntime | default-gracetime }
7.
username<username> passphrase { lifetime| warntime | gracetime}
8.
no username <username> passphrase { lifetime | warntime | gracetime | timevalues }
9.
show username<username> passphrase timevalues
10.
username <username> lock-user-account
11.
username <username> expire-userpassphrase
12.
show locked-users
手順の詳細
| コマンドまたはアクション | 目的 |
ステップ 1 | userpassphrase { min-length | max-length }
例:
Switch(config)# userpassphrase { min-length <8 ? 127> | max-length <80 ? 127> }
|
(管理者のみ)パスフレーズの最小長または最大長のいずれかを設定できます
|
ステップ 2 | userpassphrase { min-length & max-length }
例:
Switch(config)# userpassphrase { min-length <8 ? 127> & max-length <80 ? 127> }
|
(管理者のみ)パスフレーズの最小長と最大長の両方を設定できます
|
ステップ 3 | show userpassphrase {min-length| max-length|length}
例:
Switch(config)# show userpassphrase {min-length | max-length | length }
|
min-length または max-length オプションを使用すると、パスフレーズの最小長または最大長を表示できます。length オプションを使用すると、パスフレーズの長さの設定をすべて表示できます。
|
ステップ 4 | no userpassphrase {min-length | max-length | length }
例:
Switch(config)# userpassphrase {min-length | max-length | length }
|
パスフレーズの長さの設定がデフォルト値にリセットされます
|
ステップ 5 | show userpassphrase all
例:
Switch(config)# show userpassphrase all
|
userpassphrase で設定されたすべてのパラメータ値が一覧表示されます
|
ステップ 6 | userpassphrase { default-lifetime | default-warntime | default-gracetime }
例:
Switch(config)# userpassphrase { default-lifetime | default-warntime | default-gracetime }
|
(管理者のみ)デフォルト設定を更新できます
|
ステップ 7 | username<username> passphrase { lifetime| warntime | gracetime}
例:
Switch(config)# username <user1> passphrase { lifetime | warntime | gracetime }
|
(管理者のみ)任意のユーザに対してパスフレーズの有効期間を設定できます
|
ステップ 8 | no username <username> passphrase { lifetime | warntime | gracetime | timevalues }
例:
Switch(config)# username <user1> passphrase { lifetime | warntime | gracetime | timevalues }
|
(管理者のみ)任意のユーザのパスフレーズ有効期間をデフォルト値にリセットできます
|
ステップ 9 | show username<username> passphrase timevalues
例:
Switch(config)# show username <user1> passphrase timevalues
|
ユーザは自身のパスフレーズ有効期間を表示でき、管理者は任意のユーザのパスフレーズ有効期間を表示できます
|
ステップ 10 | username <username> lock-user-account
例:
Switch(config)# username <user1> lock-user-account
|
(管理者のみ)任意のユーザ アカウントをロックできます
|
ステップ 11 | username <username> expire-userpassphrase
例:
Switch(config)# username <user1> expire-userpassphrase
|
(管理者のみ)任意のユーザ パスフレーズをただちに有効期限切れにすることができます
|
ステップ 12 | show locked-users
例:
Switch(config)# show locked-users
|
(管理者のみ)ロックされたすべてのユーザを表示し、ロックを解除することができます
|
ユーザ名のパスワード プロンプトの有効化
手順の概要
1.
configureterminal
2.
[no] password prompt username
3.
exit
手順の詳細
| コマンドまたはアクション | 目的 |
ステップ 1 | configureterminal
例:
Switch# configure terminal
|
グローバル コンフィギュレーション モードを開始します。
|
ステップ 2 | [no] password prompt username
例:
Switch(config)# password prompt username
|
ログイン ノブをイネーブルにします。このコマンドをイネーブルにして、ユーザがパスワード オプションなしで username コマンドを入力すると、パスワードが求められます。パスワードは隠し文字を受け入れます。ログイン ノブをディセーブルにするには、このコマンドの no 形式を使用します。
|
ステップ 3 | exit
例:
|
特権 EXEC モードに戻ります。
|
OS の整合性を確認するための SHA-256 アルゴリズムをサポート
show file bootflash:/ sha256sum コマンドを使用してファイルの sha256sum を表示します。このコマンドのサンプル出力を次に示します。
Switch# show file bootflash:/ sha256sum
abd9d40020538acc363df3d1bae7d1df16841e4903fca2c07c7898bf4f549ef5
RADIUS/TACACS+ を使用するための共有キー値の設定
ユーザがリモート認証およびアカウンティング用に設定した共有秘密は隠す必要があります。radius-server key および tacacs-server key コマンドについては、暗号化された共有秘密鍵を生成するために別のコマンドを使用できます。
手順の概要
1.
configureterminal
2.
generate type7_encrypted_secret
3.
exit
手順の詳細
| コマンドまたはアクション | 目的 |
ステップ 1 | configureterminal
例:
Switch# configure terminal
|
グローバル コンフィギュレーション モードを開始します。
|
ステップ 2 | generate type7_encrypted_secret
例:
Switch(config)# generate type7_encrypted_secret
|
RADIUS および TACACS 共有秘密をキー タイプ 7 で設定します。暗号化された共有秘密の生成中、ユーザの入力は非表示になります。
(注)
|
プレーン テキストに相当する暗号化を別に生成し、暗号化された共有秘密を後で設定できます。
|
|
ステップ 3 | exit
例:
|
特権 EXEC モードに戻ります。
|
ローカル AAA アカウンティング ログのモニタリングとクリア
Cisco NX-OS デバイスは、AAA アカウンティングのアクティビティに関するローカル ログを維持しています。このログはモニタリングしたりクリアしたりできます。

(注) |
AAA アカウンティング ログは、デフォルト VDC に対してローカルです。任意の VDC から内容をモニタリングできますが、内容のクリアはデフォルト VDC で行う必要があります。
|
手順の概要
1.
show accounting log [size | last-index | start-seqnum number | start-timeyear month day hh:mm:ss]
2.
(任意) clear accounting log[logflash]
手順の詳細
| コマンドまたはアクション | 目的 |
ステップ 1 | show accounting log [size | last-index | start-seqnum number | start-timeyear month day hh:mm:ss]
例:
switch# show accounting log
|
アカウンティング ログを表示します。このコマンド出力には、デフォルトで最大 250,000 バイトのアカウンティング ログが表示されます。コマンドの出力を制限する場合は、size 引数を使用します。指定できる範囲は 0 ~ 250000 バイトです。また、ログ出力の開始シーケンス番号または開始時間を指定できます。開始インデックスの範囲は、1 ~ 1000000 です。アカウンティング ログ ファイルにある最後のインデックス番号の値を表示するには、last-index キーワードを使用します。
|
ステップ 2 | clear accounting log[logflash]
例:
switch# clear aaa accounting log
| (任意)
アカウンティング ログの内容をクリアします。logflash キーワードは現在の VDC のログ フラッシュに保存されているアカウンティング ログをクリアします。
|
AAA 設定の確認
AAA の設定情報を表示するには、次のいずれかの作業を行います。
コマンド
|
目的
|
show aaa accounting
|
AAA アカウンティングの設定を表示します。
|
show aaa authentication [login {ascii-authentication | chap | error-enable | mschap | mschapv2}]
|
AAA 認証ログイン設定情報を表示します。
|
show aaa groups
|
AAA サーバ グループの設定を表示します。
|
show running-config aaa [all]
|
実行コンフィギュレーションの AAA 設定を表示します。
|
show startup-config aaa
|
スタートアップ コンフィギュレーションの AAA 設定を表示します。
|
これらのコマンド出力のフィールドの詳細については、『Cisco Nexus 7000 Series NX-OS Security Command Reference』を参照してください。
AAA の設定例
次に、AAA を設定する例を示します。
aaa authentication login default group radius
aaa authentication login console group radius
aaa accounting default group radius
AAA に関する追加情報
ここでは、AAA の実装に関する追加情報について説明します。
関連資料
関連項目
|
マニュアル タイトル
|
Cisco NX-OS ライセンス設定
|
『Cisco NX-OS Licensing Guide』
|
コマンド リファレンス
|
『Cisco Nexus 7000 Series NX-OS Security Command Reference』
|
SNMP
|
『Cisco Nexus 7000 Series NX-OS System Management Configuration Guide』
|
標準
標準
|
Title
|
この機能でサポートされる新規の標準または変更された標準はありません。また、既存の標準のサポートは変更されていません。
|
—
|
AAA の機能の履歴
次の表に、この機能のリリースの履歴を示します。
表 6 AAA の機能の履歴
機能名
|
リリース
|
機能情報
|
ユーザごとのログイン ブロック
|
7.3(0)D1(1)
|
ユーザごとのログイン ブロックのサポートが追加されました。「セキュア ログインの拡張機能」の項を参照してください。
|
セキュア ログインの機能拡張
|
7.2(0)D1(1)
|
セキュア ログインの拡張機能が追加されました。「セキュア ログインの拡張機能」の項を参照してください。
|
AAA
|
6.0(1)
|
Release 5.2 以降、変更はありません。
|
AAA
|
5.2(1)
|
Cisco Nexus 3000 シリーズ スイッチのサポートが追加されました。
|
AAA
|
5.2(1)
|
Release 5.1 以降、変更はありません。
|
AAA
|
5.1(1)
|
Release 5.0 以降、変更はありません。
|
AAA 認証
|
5.0(2)
|
ユーザ ログインに対する AAA 認証のイネーブル化またはディセーブル化のサポートが追加されました。
|
AAA 認証
|
5.0(2)
|
ユーザ ロールを持たないリモート ユーザに、デフォルトのユーザ ロールを使用して、RADIUS または TACACS+ リモート認証によって Cisco NX-OS デバイスにログインすることがサポートされるようになりました。
|
ログイン認証
|
5.0(2)
|
ログイン認証失敗メッセージのイネーブル化またはディセーブル化のサポートが追加されました。
|
CHAP 認証
|
5.0(2)
|
CHAP 認証のイネーブル化またはディセーブル化のサポートが追加されました。
|
ローカル認証
|
5.0(2)
|
リモート認証が失敗したときに、ローカル認証へのフォールバックをイネーブルにすることがサポートされるようになりました。
|
ローカル認証
|
5.0(2)
|
ローカル認証へのフォールバックをディセーブルにすることがサポートされるようになりました。
|
MSCHAP V2 認証
|
4.2(1)
|
MSCHAP V2 認証のイネーブル化またはディセーブル化のサポートが追加されました。
|
AAA
|
4.2(1)
|
リリース 4.1 からの変更はありません。
|