TACACS+ の基本
概要
このドキュメントでは、Network Access Server(NAS;ネットワークアクセスサーバ)に対するユーザダイヤルアップ認証用のTerminal Access Controller Access Control System+(TACACS+)の基本的な設定例を紹介します。
前提条件
要件
このドキュメントに特有の要件はありません。
使用するコンポーネント
この設定の開発およびテストには、次のソフトウェアおよびハードウェアのバージョンを使用しました。
-
NAS
-
TACACS+ 構成ファイル(フリーウェア バージョン)
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
注:TACACS+はシスコ独自のバージョンのTACACSであるため、Cisco ACSでのみサポートされます。
表記法
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
設定
このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供しています。
注:この文書で使用されているコマンドの詳細を調べるには、「Command Lookup ツール」を使用してください(登録ユーザのみ)。 
ネットワーク図
このドキュメントでは次の図に示すネットワーク構成を使用しています。
設定
このドキュメントでは、次に示す設定を使用しています。
注:ダイヤルインが機能していることを確認してください。モデムの接続とローカルな認証が終わったら、TACACS+(Terminal Access Controller Access Control System)を起動します。
| NAS |
|---|
version 11.2 ! service timestamps debug datetime msec service timestamps log uptime service password-encryption no service udp-small-servers no service tcp-small-servers ! hostname Cisco3640 ! aaa new-model aaa authentication login default tacacs local aaa authentication login consoleport none aaa authentication ppp default if-needed tacacs aaa authorization network tacacs !--- This is needed for static IP address assignment. ! enable password cisco ! username cisco password letmein ! interface Ethernet0 ip address 10.29.1.3 255.255.255.0 ! Interface Group-Async1 ip unnumbered Ethernet0 encapsulation ppp async mode interactive peer default ip address pool async no cdp enable ppp authentication chap group-range 1 16 ! ip local pool async 10.6.100.101 10.6.100.103 tacacs-server host 10.6.101.101 tacacs-server key cisco ! line con 0 login authentication consoleport !--- This always allows console port access. ! line 1 16 autoselect ppp autoselect during-login modem Dialin transport input all stopbits 1 rxspeed 115200 txspeed 115200 flowcontrol hardware ! line aux 0 ! line vty 0 4 ! end |
| TACACS+ 構成ファイル(フリーウェア バージョン) |
|---|
!--- This creates a superuser (such as one with administrator permissions) !--- who is granted all privileges by "default service = permit", and has a password !--- that allows for connections in any mode.
user = Russ
{
global = cleartext 'bar'
default service = permit
}
!--- This creates a normal PPP user who gets an IP address from the router.
user = Jason
{
chap = cleartext 'letmein'
service = ppp protocol = ip {}
}
!--- This creates a user whose IP address is statically assigned.
user = Laura
{
chap = cleartext 'letmein'
service = ppp protocol = ip
{
addr = 10.1.1.104
}
} |
確認
現在、この設定に使用できる確認手順はありません。
トラブルシュート
ここでは、設定のトラブルシューティングに使用できる情報を示します。
トラブルシューティングのためのコマンド
一部の show コマンドはアウトプット インタープリタ ツールによってサポートされています(登録ユーザ専用)。このツールを使用することによって、show コマンド出力の分析結果を表示できます。
注:debug コマンドを使用する前に、「debug コマンドに関する重要な情報」を参照してください。
-
debug ppp negotiation:クライアントがPPPネゴシエーションを渡しているかどうかを表示します。アドレス ネゴシエーションをチェックする場合に必要です。
-
debug ppp authentication:クライアントが認証を渡しているかどうかを表示します。Cisco IOS(TM) リリース 11.2 以前のバージョンを使用している場合は、代わりに debug ppp chap コマンドを使用します。
-
debug ppp error :PPP 接続のネゴシエーションと操作に関するプロトコル エラーとエラー統計情報を表示します。
-
debug aaa authentication:認証に使用されている方式(TACACS+サーバがダウンしていない場合はTACACS+である必要がある)と、ユーザが認証を渡しているかどうかが表示されます。
-
debug aaa authorization:認可に使用されている方式と、ユーザが許可しているかどうかを表示します。
-
debug tacacs:サーバに送信されたメッセージを表示します。
関連情報
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
15-Nov-2007 |
初版 |
フィードバック