次に、ネットワーク アクセス サーバーが TACACS+ セキュリティ サーバーから認可情報を要求してから、ユーザーによるリバース Telnet セッションの確立を許可する例を示します。
Device> enable
Device# configure terminal
Device(config)# aaa new-model
Device(config)# aaa authentication login default group tacacs+
Device(config)# aaa authorization reverse-access default group tacacs+
Device(config)# tacacs server server1
Device(config-server-tacacs)# address ipv4 172.31.255.0
Device(config-server-tacacs)# timeout 90
Device(config-server-tacacs)# key sharedkey
Device(config-server-tacacs)# end
この TACACS+ リバース Telnet 認可設定のサンプル行は、次のように定義されます。
-
aaa new-model コマンドは AAA を有効にします。
-
aaa authentication login default group tacacs+ コマンドで、ログイン時のユーザー認証のデフォルト方式として TACACS+ を指定します。
-
リバース Telnet セッションを確立しようとしているときに、aaa authorization reverse-access default group tacacs+ コマンドで、ユーザー認可の方式として TACACS+ を指定します。
-
tacacs server コマンドで、TACACS+ サーバーを識別します。
-
timeout コマンドで、ネットワーク アクセス サーバーが TACACS+ サーバーの応答を待機する期間を設定します。
-
key コマンドで、ネットワーク アクセス サーバーと TACACS+ デーモン間のすべての TACACS+ 通信に使用される暗号キーを定義します。
次に、ネットワーク アクセス サーバー「maple」上のポート tty2、およびネットワーク アクセス サーバー「oak」上のポート tty5 に対するリバース Telnet アクセス権をユーザー pat に付与する汎用の TACACS+ サーバーを設定する例を示します。
user = pat
login = cleartext lab
service = raccess {
port#1 = maple/tty2
port#2 = oak/tty5
(注)
|
この例では、「maple」と「oak」には、DNS 名またはエイリアスではなく、ネットワーク アクセス サーバーのホスト名が設定されています。
|
次に、TACACS+ サーバー(CiscoSecure)を設定して、ユーザー pat にリバース Telnet アクセス権を付与する例を示します。
user = pat
profile_id = 90
profile_cycle = 1
member = Tacacs_Users
service=shell {
default cmd=permit
}
service=raccess {
allow “c2511e0” “tty1” “.*”
refuse “.*” “.*” “.*”
password = clear “goaway”
(注)
|
CiscoSecure は、バージョン 2.1(x )~ バージョン 2.2(1) のコマンドライン インターフェイスを使用して、リバース Telnet だけをサポートしています。
|
空の「service=raccess {}」句は、リバース Telnet のネットワーク アクセス サーバー ポートに対して無条件のアクセス権をユーザーに許可しています。「service=raccess」句が存在しない場合、ユーザーはリバース
Telnet のすべてのポートに対してアクセスを拒否されます。
TACACS+ の設定の詳細については、「TACACS+ の設定」の章を参照してください。CiscoSecure の設定の詳細については、『CiscoSecure Access Control Server User Guide』の version 2.1(2) 以降を参照してください。
次に、ネットワーク アクセス サーバーが RADIUS セキュリティ サーバーから認可を要求してから、ユーザーによるリバース Telnet セッションの確立を許可する例を示します。
Device> enable
Device# configure terminal
Device(config)# aaa new-model
Device(config)# aaa authentication login default group radius
Device(config)# aaa authorization reverse-access default group radius
Device(config)# radius server ip
Device(config-radius-server)# key sharedkey
Device(config-radius-server)# address ipv4 172.31.255.0 auth-port 1645 acct-port 1646
Device(config-radius-server)# end
この RADIUS リバース Telnet 認可設定のサンプル行は、次のように定義されます。
-
aaa new-model コマンドは AAA を有効にします。
-
aaa authentication login default group radius コマンドで、ログイン時のユーザー認証のデフォルト方式として RADIUS を指定します。
-
リバース Telnet セッションを確立しようとしているときに、aaa authorization reverse-access default group radius コマンドで、ユーザー認可の方式として RADIUS を指定します。
-
radius コマンドで、RADIUS サーバーを指定します。
-
key コマンドで、ネットワークアクセスサーバーと RADIUS デーモン間のすべての RADIUS 通信に使用される暗号キーを定義します。
次に、ネットワーク アクセス サーバー「maple」上のポート tty2 で、ユーザー「pat」にリバース Telnet アクセス権を付与する RADIUS サーバーに要求を送信する例を示します。
Username = “pat”
Password = “goaway”
User-Service-Type = Shell-User
cisco-avpair = “raccess:port#1=maple/tty2”
構文「raccess:port=any/any」で、リバース Telnet のネットワーク アクセス サーバー ポートに対して無条件のアクセス権をユーザーに許可します。「raccess:port={nasname }/{tty number }」句がユーザー プロファイルにない場合、ユーザーはすべてのポートでリバース Telnet へのアクセスを拒否されます。
RADIUS の設定の詳細については、「RADIUS の設定」の章を参照してください。