この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
このドキュメントでは、Cisco Secure Access Control Server(ACS)5.xサーバでTACACS+を介して認証および認可するASR 9000シリーズアグリゲーションサービスルータ(ASR)の設定について説明します。
この例では、Cisco IOS XRソフトウェアシステムでユーザアクセスを制御するために使用されるタスクベースの許可の管理モデルの実装を示します。タスクベースの許可の実装に必要な主なタスクには、ユーザグループとタスクグループの設定方法が含まれます。ユーザグループとタスクグループは、認証、許可、およびアカウンティング(AAA)サービスに使用されるCisco IOS XRソフトウェアコマンドセットによって設定されます。認証コマンドは、ユーザまたはプリンシパルのIDを確認するために使用されます。認証コマンドは、認証されたユーザー(またはプリンシパル)に特定のタスクを実行する権限が付与されていることを確認するために使用されます。アカウンティングコマンドは、セッションのロギングや、ユーザまたはシステムが生成した特定のアクションを記録して監査証跡を作成するために使用されます。
次の項目に関する知識があることが推奨されます。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。稼働中のネットワークで作業を行う場合、設定の変更による潜在的な影響を十分に理解しておく必要があります。
IOS XRには、事前定義されたユーザグループとタスクグループがあります。管理者は、これらの定義済みグループを使用するか、要件に応じてカスタムグループを定義できます。
IOS XRでは、次のユーザグループが事前に定義されています。
ユーザグループ | 権限 |
---|---|
Ciscoサポート | デバッグ機能とトラブルシューティング機能(通常はシスコテクニカルサポート担当者が使用) |
netadmin | Open Shortest Path First(OSPF)などのネットワークプロトコルの設定(通常はネットワーク管理者が使用) |
会社名 | 日常的な監視アクティビティを実行し、構成権限が制限されている。 |
ルートLR | 単一のRP内ですべてのコマンドを表示して実行する。 |
ルートシステム | システム内のすべてのRPに対してすべてのコマンドを表示して実行します。 |
sysadmin | コアダンプの格納場所の維持やネットワークタイムプロトコル(NTP)クロックの設定など、ルータのシステム管理タスクを実行します。 |
serviceadmin | セッションボーダーコントローラ(SBC)などのサービス管理タスクの実行 |
ルートシステムのユーザグループには、事前に承認が定義されています。つまり、ルートシステムのユーザ管理リソースに対する完全な責任と、他のサービスにおける特定の責任があります。
事前定義されたユーザグループを確認するには、次のコマンドを使用します。
RP/0/RSP1/CPU0:ASR9k#show aaa usergroup ? | Output Modifiers root-lr Name of the usergroup netadmin Name of the usergroup operator Name of the usergroup sysadmin Name of the usergroup root-system Name of the usergroup serviceadmin Name of the usergroup cisco-support Name of the usergroup WORD Name of the usergroup <cr>
管理者は次の事前定義済みタスクグループを使用できます。通常は初期設定に使用します。
事前定義されたタスクグループを確認するには、次のコマンドを使用します。
RP/0/RSP1/CPU0:ASR9k#show aaa taskgroup ? | Output Modifiers root-lr Name of the taskgroup netadmin Name of the taskgroup operator Name of the taskgroup sysadmin Name of the taskgroup root-system Name of the taskgroup serviceadmin Name of the taskgroup cisco-support Name of the taskgroup WORD Name of the taskgroup <cr>
サポートされているタスクを確認するには、次のコマンドを使用します。
RP/0/RSP1/CPU0:ASR9k#show aaa task supported
サポートされているタスクのリストを次に示します。
[AAA] |
ACL |
[管理(Admin)] |
Ancp(推奨) |
ATM |
基本サービス |
Bcdl |
Bfd |
bgp |
Boot |
バンドル |
call-home |
CDP |
CEF |
Cgn |
Ciscoサポート |
設定管理 |
設定サービス |
暗号化 |
Diag |
不許可 |
推進要因 |
Dwdm |
EEM |
eigrp |
イーサネットサービス |
拡張アクセス |
ファブリック |
障害マネージャ |
ファイルシステム |
ファイアウォール |
FR |
Hdlc |
ホストサービス |
hsrp |
interface |
インベントリ |
IPサービス |
Ipv4 |
Ipv6 |
isis |
L2VPN(トンネルエンドポイント) |
LI |
Lisp |
ロギング |
LPTS |
モニタ |
MPLS-LDP |
MPLSスタティック |
mpls-te |
マルチキャスト |
NetFlow |
Network |
nps |
ospf |
オニ |
Pbr |
pkg-mgmt |
pos-dpt |
Ppp |
QoS |
Rcmd |
rib |
rip |
ルートLR |
ルートシステム |
ルート マップ |
ルートポリシー |
SBC |
snmp |
SONET-SDH |
static |
sysmgr |
システム |
トランスポート |
TTYアクセス |
Tunnel(トンネル) |
ユニバーサル |
VLAN |
VPDN |
vrrp |
上記の各タスクは、上記のいずれか、または4つのすべての権限を使用して実行できます。
read |
読み取り操作のみを許可する指定を指定します。 |
write |
変更操作を許可し、読み取り操作を暗黙的に許可する指定を指定します。 |
実行 |
pingやTelnetなどのアクセス操作を許可する指定を指定します。 |
デバッグ |
デバッグ操作を許可する指定を指定します。 |
管理者は、特定のニーズに合わせて独自のユーザグループを設定できます。 次に設定の例を示します。
RP/0/RSP1/CPU0:ASR9k(config)#usergroup TAC-Defined RP/0/RSP1/CPU0:ASR9k(config-ug)#taskgroup operator RP/0/RSP1/CPU0:ASR9k(config-ug)#commit
管理者は、特定のニーズに合わせて独自のタスクグループを設定できます。 次に設定の例を示します。
RP/0/RSP1/CPU0:ASR9k(config)#taskgroup TAC-Defined-TASK RP/0/RSP1/CPU0:ASR9k(config-tg)#task ? debug Specify a debug-type task ID execute Specify a execute-type task ID read Specify a read-type task ID write Specify a read-write-type task ID RP/0/RSP1/CPU0:ASR9k(config-tg)#task read aaa RP/0/RSP1/CPU0:ASR9k(config-tg)#task write aaa RP/0/RSP1/CPU0:ASR9k(config-tg)#task execute aaa RP/0/RSP1/CPU0:ASR9k(config-tg)#task debug aaa RP/0/RSP1/CPU0:ASR9k(config-tg)#task read acl RP/0/RSP1/CPU0:ASR9k(config-tg)#task write acl RP/0/RSP1/CPU0:ASR9k(config-tg)#task execute acl RP/0/RSP1/CPU0:ASR9k(config-tg)#commit RP/0/RSP1/CPU0:ASR9k#show aaa taskgroup TAC-Defined-TASK Task group 'TAC-Defined-TASK' Task IDs included directly by this group: Task: aaa : READ WRITE EXECUTE DEBUG Task: acl : READ WRITE EXECUTE Task group 'TAC-Defined-TASK' has the following combined set of task IDs (including all inherited groups): Task: aaa : READ WRITE EXECUTE DEBUG Task: acl : READ WRITE EXECUTE
特定のコマンドに必要なタスクグループと権限を見つける方法がわからない場合は、describeコマンドを使用して見つけることができます。 ランダム データの例は次のとおりです。
例 1:
RP/0/RSP1/CPU0:ASR9k#describe show aaa usergroup Package: ..... User needs ALL of the following taskids: aaa (READ) RP/0/RSP1/CPU0:ASR9k#
ユーザがコマンドshow aaa usergroupを実行できるようにするには、タスクグループで次の行を許可する必要があります。
aaa読み取りタスク
例 2:
RP/0/RSP1/CPU0:ASR9k(config)#describe aaa authentication login default group tacacs+ Package: ..... User needs ALL of the following taskids: aaa (READ WRITE) RP/0/RSP1/CPU0:ASR9k(config)#
ユーザが設定モードからコマンドaaa authentication login default group tacacs+を実行できるようにするには、タスクグループで次の行を許可する必要があります。
タスク読み取り/書き込みaaa
複数のタスクグループをインポートできるユーザグループを定義できます。次に設定の例を示します。
RP/0/RSP1/CPU0:ASR9k#show aaa usergroup TAC-Defined Tue Feb 16 00:50:56.799 UTC User group 'TAC-Defined' Inherits from task group 'operator' User group 'TAC-Defined' has the following combined set of task IDs (including all inherited groups): Task: basic-services : READ WRITE EXECUTE DEBUG Task: cdp : READ Task: diag : READ Task: ext-access : READ EXECUTE Task: logging : READ RP/0/RSP1/CPU0:ASR9k#conf t RP/0/RSP1/CPU0:ASR9k(config)#usergroup TAC-Defined RP/0/RSP1/CPU0:ASR9k(config-ug)#taskgroup TAC-Defined-TASK RP/0/RSP1/CPU0:ASR9k(config-ug)#commit RP/0/RSP1/CPU0:ASR9k#show aaa usergroup TAC-Defined Tue Feb 16 00:51:31.494 UTC User group 'TAC-Defined' Inherits from task group 'operator' Inherits from task group 'TAC-Defined-TASK' User group 'TAC-Defined' has the following combined set of task IDs (including all inherited groups): Task: aaa : READ WRITE EXECUTE DEBUG Task: acl : READ WRITE EXECUTE Task: basic-services : READ WRITE EXECUTE DEBUG Task: cdp : READ Task: diag : READ Task: ext-access : READ EXECUTE Task: logging : READ
ルータでTACACSサーバを定義します。
ここでは、ACSサーバのIPアドレスをキーciscoのtacacs-serverとして定義します
RP/0/RSP1/CPU0:ASR9k(config)#tacacs-server host 10.106.73.233 port 49 RP/0/RSP1/CPU0:ASR9k(config-tacacs-host)#key 0 cisco RP/0/RSP1/CPU0:ASR9k(config-tacacs-host)#commit ! tacacs-server host 10.106.73.233 port 49 key 7 14141B180F0B !
認証と認可を外部TACACSサーバにポイントさせます。
#aaa authentication login default group tacacs+ local #aaa authorization exec default group tacacs+ local
コマンド許可(オプション):
#aaa authorization commands default group tacacs+
アカウンティングを外部サーバにポイントします(オプション)。
#aaa accounting commands default start-stop group tacacs+ #aaa accounting update newinfo
ステップ 1:ACSサーバのAAAクライアントリストでルータIPを定義するには、図に示すように、Network Resources > Network Devices and AAA Clientsの順に移動します。この例では、ASRで設定されているようにciscoを共有秘密として定義します。
ステップ 2:要件に従ってユーザグループを定義します。この例では、次の図に示すように4つのグループを使用します。
ステップ 3:図に示すように、ユーザを作成し、上で作成したそれぞれのユーザグループにマッピングします。
注:この例では、認証用のACS内部ユーザが使用されています。外部IDストアで作成されたユーザを使用する場合は、これらのユーザも使用できます。この例では、外部アイデンティティ・ソース・ユーザーは対象となっていません。.
ステップ 4:各ユーザにプッシュするシェルプロファイルを定義します。
すでに作成されたシェルプロファイルでは、図に示すように、それぞれのタスクグループをプッシュするように設定します。
ステップ 5:アクセスポリシーを定義します。認証は内部ユーザに対して行われます。
手順 6:図に示すように、前に作成したユーザIDグループを使用して要件に基づいて認可を設定し、それぞれのシェルプロファイルをマッピングします。
ログインするには、ユーザ名asrreadを使用します。 次に、検証コマンドを示します。
username: ASRread password: RP/0/RSP1/CPU0:ASR9k#show user ASRread RP/0/RSP1/CPU0:ASR9k#show user group operator RP/0/RSP1/CPU0:ASR9k#show user tasks Task: basic-services : READ WRITE EXECUTE DEBUG Task: cdp : READ Task: diag : READ Task: ext-access : READ EXECUTE Task: logging : READ
ログインするには、ユーザ名asraaaを使用します。次に、検証コマンドを示します。
注:asraaaは、aaaタスクの読み取り/書き込み権限および実行権限とともにTACACSサーバからプッシュされるオペレータタスクです。
username: asraaa password: RP/0/RSP1/CPU0:ASR9k#sh user asraaa RP/0/RSP1/CPU0:ASR9k#sh user group operator RP/0/RSP1/CPU0:ASR9k#sh user tasks Task: aaa : READ WRITE EXECUTE Task: basic-services : READ WRITE EXECUTE DEBUG Task: cdp : READ Task: diag : READ Task: ext-access : READ EXECUTE Task: logging : READ
ログインするには、ユーザ名asrwrite を使用します。 次に、検証コマンドを示します。
username: asrwrite password: RP/0/RSP1/CPU0:ASR9k#sh user asrwrite RP/0/RSP1/CPU0:ASR9k#sh user group sysadmin RP/0/RSP1/CPU0:ASR9k#sh user tasks Task: aaa : READ Task: acl : READ WRITE EXECUTE DEBUG Task: admin : READ Task: ancp : READ Task: atm : READ Task: basic-services : READ WRITE EXECUTE DEBUG Task: bcdl : READ Task: bfd : READ Task: bgp : READ Task: boot : READ WRITE EXECUTE DEBUG Task: bundle : READ Task: call-home : READ Task: cdp : READ WRITE EXECUTE DEBUG Task: cef : READ Task: cgn : READ Task: config-mgmt : READ WRITE EXECUTE DEBUG Task: config-services : READ WRITE EXECUTE DEBUG Task: crypto : READ WRITE EXECUTE DEBUG Task: diag : READ WRITE EXECUTE DEBUG Task: drivers : READ Task: dwdm : READ Task: eem : READ WRITE EXECUTE DEBUG Task: eigrp : READ Task: ethernet-services : READ --More-- (output omitted )
ログインするには、ユーザ名asrrootを使用します。次に、検証コマンドを示します。
username: asrroot password: RP/0/RSP1/CPU0:ASR9k#show user asrroot RP/0/RSP1/CPU0:ASR9k#show user group root-system RP/0/RSP1/CPU0:ios#show user tasks Task: aaa : READ WRITE EXECUTE DEBUG Task: acl : READ WRITE EXECUTE DEBUG Task: admin : READ WRITE EXECUTE DEBUG Task: ancp : READ WRITE EXECUTE DEBUG Task: atm : READ WRITE EXECUTE DEBUG Task: basic-services : READ WRITE EXECUTE DEBUG Task: bcdl : READ WRITE EXECUTE DEBUG Task: bfd : READ WRITE EXECUTE DEBUG Task: bgp : READ WRITE EXECUTE DEBUG Task: boot : READ WRITE EXECUTE DEBUG Task: bundle : READ WRITE EXECUTE DEBUG Task: call-home : READ WRITE EXECUTE DEBUG Task: cdp : READ WRITE EXECUTE DEBUG Task: cef : READ WRITE EXECUTE DEBUG Task: cgn : READ WRITE EXECUTE DEBUG Task: config-mgmt : READ WRITE EXECUTE DEBUG Task: config-services : READ WRITE EXECUTE DEBUG Task: crypto : READ WRITE EXECUTE DEBUG Task: diag : READ WRITE EXECUTE DEBUG Task: drivers : READ WRITE EXECUTE DEBUG Task: dwdm : READ WRITE EXECUTE DEBUG Task: eem : READ WRITE EXECUTE DEBUG Task: eigrp : READ WRITE EXECUTE DEBUG --More-- (output omitted )
ACSレポートは、モニタリングおよびレポートページで確認できます。 図に示すように、虫眼鏡のアイコンをクリックすると、詳細なレポートが表示されます。
ASRでトラブルシューティングを行う際に役立つコマンドを次に示します。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
07-Nov-2017 |
初版 |