aaa accounting
RADIUS または TACACS+ を使用する場合に、課金やセキュリティ目的で、要求されたサービスの認証、許可、およびアカウンティング(AAA)アカウンティングをイネーブルにするには、グローバル コンフィギュレーション モードで aaa accounting コマンドを使用します。AAA アカウンティングをディセーブルにするには、このコマンドの no 形式を使用します。
aaa accouting { auth-proxy | system | network | exec | connections | commands level} { default | list-name} { start-stop | stop-only | none} [ broadcast] group group-name
no aaa accouting { auth-proxy | system | network | exec | connections | commands level} { default | list-name} { start-stop | stop-only | none} [ broadcast] group group-name
構文の説明
auth-proxy | すべての認証済みプロキシユーザイベントに関する情報を出力します。 |
system | リロードなどのユーザに関連付けられていないシステムレベルのすべてのイベントのアカウンティングを実行します。 |
network | ネットワークに関連するあらゆるサービス要求にアカウンティングを実行します。 |
exec |
EXEC シェルセッションのアカウンティングを実行します。このキーワードは、autocommand コマンドによって生成される情報などのユーザプロファイル情報を返すことができます。 |
connection |
ネットワーク アクセス サーバから確立されたすべてのアウトバウンド接続に関する情報を提供します。 |
commands level |
指定した特権レベルですべてのコマンドのアカウンティングを実行します。有効な特権レベル エントリは 0 ~ 15 の整数です。 |
default |
この引数のあとにリストされるアカウンティング方式を、アカウンティングサービスのデフォルトリストとして使用します。 |
list-name |
次に記載されているアカウンティング方式のうち、少なくとも 1 つを含むリストの名前を付けるために使用する文字列です: |
start-stop |
プロセスの開始時に "start" accounting 通知を送信し、プロセスの終了時に "stop" accounting 通知を送信します。"start" アカウンティングレコードはバックグランドで送信されます。要求されたユーザプロセスは、"start" accounting 通知がアカウンティングサーバで受信されたかどうかに関係なく開始されます。 |
stop-only |
要求されたユーザ プロセスの終了時に、"stop" アカウンティング通知を送信します。 |
none |
この回線またはインターフェイスでアカウンティングサービスをディセーブルにします。 |
broadcast |
(任意)複数の AAA サーバへのアカウンティングレコードの送信をイネーブルにします。各グループの最初のサーバに対し、アカウンティングレコードを同時に送信します。最初のサーバが使用できない場合、そのグループ内で定義されたバックアップサーバを使用してフェールオーバーが発生します。 |
group groupname |
次に記述されているキーワードの 1 つ以上を使用します: 表 1 |
コマンド デフォルト
AAA アカウンティングはディセーブルです。
コマンド モード
グローバル コンフィギュレーション
コマンド履歴
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.3SE |
このコマンドが導入されました。 |
使用上のガイドライン
アカウンティングを有効にし、回線別またはインターフェイス別に特定のアカウンティング方式を定義する名前付き方法リストを作成するには、aaa accounting コマンドを使用します。
キーワード |
Description |
---|---|
group radius |
aaa group server radius コマンドで定義されるすべての RADIUS サーバのリストを認証に使用します。 |
group tacacs+ |
aaa group server tacacs+ コマンドで定義されるすべての TACACS+ サーバのリストを認証に使用します。 |
group group-name |
group-name サーバグループで定義したように、アカウンティングのための RADIUS サーバまたは TACACS+ サーバのサブセットを使用します。 |
表 1 では、group radius 方式および group tacacs+ 方式は、以前に定義した一連の RADIUS サーバまたは TACACS+ サーバを参照します。ホストサーバを設定するには、radius server および tacacs server コマンドを使用します。特定のサーバグループを作成するには、 aaa group server radius および aaa group server tacacs+ コマンドを使用します。
Cisco IOS ソフトウェアは次の 2 つのアカウンティング方式をサポートします。
-
RADIUS:ネットワーク アクセス サーバは、アカウンティングレコードの形式で RADIUS セキュリティサーバに対してユーザアクティビティを報告します。各アカウンティングレコードにはアカウンティングの Attribute-Value(AV)ペアが含まれ、レコードはセキュリティサーバに格納されます。
-
TACACS+:ネットワーク アクセス サーバは、アカウンティングレコードの形式で TACACS+ セキュリティサーバに対してユーザアクティビティを報告します。各アカウンティングレコードにはアカウンティングの Attribute-Value(AV)ペアが含まれ、レコードはセキュリティサーバに格納されます。
アカウンティングの方式リストは、アカウンティングの実行方法を定義します。名前付きアカウンティング方式リストにより、特定の回線またはインターフェイスで、特定の種類のアカウンティングサービスに使用する特定のセキュリティプロトコルを指定できます。list-name および method を入力してリストを作成します。list-name にはこのリストの名前として使用する任意の文字列(radius や tacacs+ などの方式名を除く)を指定し、method には指定されたシーケンスで試行する方式を指定します。
特定のアカウンティングの種類の aaa accounting コマンドを、名前付き方式リストを指定しないで発行した場合、名前付き方式リストが明示的に定義されているものを除いて、すべてのインターフェイスまたは回線(このアカウンティングの種類が適用される)にデフォルトの方式リストが自動的に適用されます(定義済みの方式リストは、デフォルトの方式リストに優先します)。デフォルトの方式リストが定義されていない場合、アカウンティングは実行されません。
(注) |
システムアカウンティングでは名前付きアカウンティングリストは使用されず、システムアカウンティングのためのデフォルトのリストだけを定義できます。 |
最小のアカウンティングの場合、stop-only キーワードを指定して、要求されたユーザプロセスの終了時に stop レコードアカウンティング通知を送信します。詳細なアカウンティングの場合、start-stop キーワードを指定することで、RADIUS または TACACS+ が要求されたプロセスの開始時に start アカウンティング通知を送信し、プロセスの終了時に stop アカウンティング通知を送信するようにできます。アカウンティングは RADIUS または TACACS+ サーバにだけ保存されます。none キーワードは、指定した回線またはインターフェイスのアカウンティングサービスをディセーブルにします。
AAA アカウンティングがアクティブにされると、ネットワークアクセスサーバは、ユーザが実装したセキュリティ方式に応じて、接続に関係する RADIUS アカウンティング属性または TACACS+ AV ペアをモニタします。ネットワークアクセスサーバはこれらの属性をアカウンティングレコードとしてレポートし、アカウンティングレコードはその後セキュリティサーバのアカウンティングログに保存されます。サポートされる RADIUS アカウンティング属性の一覧については、『Cisco IOS Security Configuration Guide』の付録「RADIUS Attributes」を参照してください。サポートされる TACACS+ アカウンティングの AV ペアの一覧については、『Cisco IOS Security Configuration Guide』の付録「TACACS+ Attributes-Value Pairs」を参照してください。
(注) |
このコマンドは、TACACS または拡張 TACACS には使用できません。 |
次の例では、デフォルトのコマンド アカウンティング方式リストを定義しています。この例のアカウンティング サービスは TACACS+ セキュリティ サーバによって提供され、stop-only 制限で特権レベル 15 コマンドに設定されています。
デバイス(config)# aaa accounting commands 15 default stop-only group TACACS+
次の例では、アカウンティング サービスが TACACS+ セキュリティ サーバで提供され、stop-only 制限があるデフォルトの auth-proxy アカウンティング方式リストの定義を示します。aaa accounting コマンドは認証プロキシ アカウンティングをアクティブにします。
デバイス(config)# aaa new model
デバイス(config)# aaa authentication login default group TACACS+
デバイス(config)# aaa authorization auth-proxy default group TACACS+
デバイス(config)# aaa accounting auth-proxy default start-stop group TACACS+