はじめに
このドキュメントでは、Cisco IOS®デバイスでのaaa authentication login default local group tacacs+コマンドの動作について説明します。
前提条件
要件
シスコは次のことを推奨します。
- aaa new-model がデバイスで有効になっている。
使用するコンポーネント
このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
設定
注:この項で使用されているコマンドの詳細を取得するには、CiscoツールカタログにあるCisco CLI Analyzerを使用してください。シスコの内部ツールおよび情報にアクセスできるのは、登録ユーザのみです。
グローバルコンフィギュレーションモードでデバイスに次のコマンドを設定します。
aaa new-model
aaa authentication login default local group tacacs+
aaa new model を設定しただけで、ローカル認証がすべての回線とインターフェイスに適用されます(コンソール回線line con 0を除く)。
AAA方式リストは、デバイスのすべての回線でログインが試行されるたびに適用されます。最初にローカルデータベースがチェックされ、必要に応じてTerminal Access Controller Access Control System(TACACS)サーバが試行されます。
username cisco privilege 15 password 0 cisco
ローカルユーザーデータベース:
tacacs-server host 10.20.220.141
tacacs-server key cisco
これで、TACACSサーバが設定されました。
確認
このセクションでは、設定が正常に動作していることを確認します。
- テスト対象のデバイスでDebug TACACSおよびDebug AAA Authenticationをイネーブルにします。
RUT#show debug
General OS:
TACACS access control debugging is on
AAA Authentication debugging is on
2. デバイスでtelnetを実行します。
RUT#show ip interface brief | exclude unassigned
Interface IP-Address OK? Method Status Protocol
FastEthernet0/1 10.197.235.96 YES DHCP up up
Loopback0 192.168.1.2 YES manual up up
RUT#telnet 192.168.1.2
Trying 192.168.1.2 ... Open
User Access Verification
Username: cisco
*Jul 23 09:34:37.023: AAA/BIND(0000001E): Bind i/f
*Jul 23 09:34:37.023: AAA/AUTHEN/LOGIN (0000001E): Pick method list 'default'
Password:
RUT>
ユーザ名「cisco」がローカルで見つかったため、TACACSサーバに到達しようとしなかったことがわかります。
ここで、ボックスでローカルに設定されていないクレデンシャルを使用しようとすると、次のようになります。
RUT#telnet 192.168.1.2
Trying 192.168.1.2 ... Open
User Access Verification
Username:
*Jul 23 09:36:01.099: AAA/BIND(0000001F): Bind i/f
*Jul 23 09:36:01.099: AAA/AUTHEN/LOGIN (0000001F): Pick method list 'default'
Username: cisco1
*Jul 23 09:36:11.095: TPLUS: Queuing AAA Authentication request 31 for processing
*Jul 23 09:36:11.095: TPLUS: processing authentication start request id 31
*Jul 23 09:36:11.095: TPLUS: Authentication start packet created for 31(cisco1)
*Jul 23 09:36:11.095: TPLUS: Using server 10.20.220.141
*Jul 23 09:36:11.095: TPLUS(0000001F)/0/NB_WAIT/47A14C34: Started 5 sec timeout
*Jul 23 09:36:16.095: TPLUS(0000001F)/0/NB_WAIT/47A14C34: timed out
*Jul 23 09:36:16.095: TPLUS(0000001F)/0/NB_WAIT/47A14C34: timed out, clean up
*Jul 23 09:36:16.095: TPLUS(0000001F)/0/47A14C34: Processing the reply packet
% Authentication failed
TACACSサーバ10.20.220.141に到達しようとしていることがわかります。これは予期されたデフォルトの動作です。TACACSサーバでユーザ名「cisco1」が設定されていないため、結果は「Authentication failed」になります。
設定にaaa authentication login default group tacacs+ localが含まれているデバイスの場合、最初の設定はTACACSです。TACACSが到達可能であっても、ユーザが設定されていない場合、フォールバックは行われず、ローカルデータベースで検索が試行されます。その代わりに、「Authentication failed」というメッセージが表示されます。
トラブルシュート
現在のところ、この設定に関する特定のトラブルシューティング情報はありません。
関連情報
フィードバック