Cisco Secure ACS 5.xサーバでのASR9k TACACSの設定
内容
はじめに
このドキュメントでは、Cisco Secure Access Control Server(ACS)5.xサーバでTACACS+を介して認証および認可するASR 9000シリーズアグリゲーションサービスルータ(ASR)の設定について説明します。
この例では、Cisco IOS XRソフトウェアシステムでユーザアクセスを制御するために使用されるタスクベースの許可の管理モデルの実装を示します。タスクベースの許可の実装に必要な主なタスクには、ユーザグループとタスクグループの設定方法が含まれます。ユーザグループとタスクグループは、認証、許可、およびアカウンティング(AAA)サービスに使用されるCisco IOS XRソフトウェアコマンドセットによって設定されます。認証コマンドは、ユーザまたはプリンシパルのIDを確認するために使用されます。認証コマンドは、認証されたユーザー(またはプリンシパル)に特定のタスクを実行する権限が付与されていることを確認するために使用されます。アカウンティングコマンドは、セッションのロギングや、ユーザまたはシステムが生成した特定のアクションを記録して監査証跡を作成するために使用されます。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- ASR 9000の導入と基本設定
- ACS 5.xの導入と設定。
- TACACS+プロトコル
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Cisco IOS XRソフトウェアバージョン4.3.4が稼働するASR 9000
- Cisco Secure ACS 5.7
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。稼働中のネットワークで作業を行う場合、設定の変更による潜在的な影響を十分に理解しておく必要があります。
コンフィギュレーション
IOS XRの事前定義済みコンポーネント
IOS XRには、事前定義されたユーザグループとタスクグループがあります。管理者は、これらの定義済みグループを使用するか、要件に応じてカスタムグループを定義できます。
定義済みユーザグループ
IOS XRでは、次のユーザグループが事前に定義されています。
| ユーザグループ | 権限 |
|---|---|
| Ciscoサポート | デバッグ機能とトラブルシューティング機能(通常はシスコテクニカルサポート担当者が使用) |
| netadmin | Open Shortest Path First(OSPF)などのネットワークプロトコルの設定(通常はネットワーク管理者が使用) |
| 会社名 | 日常的な監視アクティビティを実行し、構成権限が制限されている。 |
| ルートLR | 単一のRP内ですべてのコマンドを表示して実行する。 |
| ルートシステム | システム内のすべてのRPに対してすべてのコマンドを表示して実行します。 |
| sysadmin | コアダンプの格納場所の維持やネットワークタイムプロトコル(NTP)クロックの設定など、ルータのシステム管理タスクを実行します。 |
| serviceadmin | セッションボーダーコントローラ(SBC)などのサービス管理タスクの実行 |
ルートシステムのユーザグループには、事前に承認が定義されています。つまり、ルートシステムのユーザ管理リソースに対する完全な責任と、他のサービスにおける特定の責任があります。
事前定義されたユーザグループを確認するには、次のコマンドを使用します。
RP/0/RSP1/CPU0:ASR9k#show aaa usergroup ? | Output Modifiers root-lr Name of the usergroup netadmin Name of the usergroup operator Name of the usergroup sysadmin Name of the usergroup root-system Name of the usergroup serviceadmin Name of the usergroup cisco-support Name of the usergroup WORD Name of the usergroup <cr>
定義済みタスクグループ
管理者は次の事前定義済みタスクグループを使用できます。通常は初期設定に使用します。
- cisco-support:シスコのサポート担当者の作業
- netadmin:ネットワーク管理者のタスク
- オペレータ:オペレータの日常業務(デモンストレーション用)
- root-lr:セキュアルータ管理者タスク
- root-system:システム全体の管理者タスク
- sysadmin:システム管理者のタスク
- serviceadmin:サービス管理タスク(SBCなど)
事前定義されたタスクグループを確認するには、次のコマンドを使用します。
RP/0/RSP1/CPU0:ASR9k#show aaa taskgroup ? | Output Modifiers root-lr Name of the taskgroup netadmin Name of the taskgroup operator Name of the taskgroup sysadmin Name of the taskgroup root-system Name of the taskgroup serviceadmin Name of the taskgroup cisco-support Name of the taskgroup WORD Name of the taskgroup <cr>
サポートされているタスクを確認するには、次のコマンドを使用します。
RP/0/RSP1/CPU0:ASR9k#show aaa task supported
サポートされているタスクのリストを次に示します。
| [AAA] |
ACL |
[管理(Admin)] |
Ancp(推奨) |
ATM |
基本サービス |
Bcdl |
Bfd |
bgp |
| Boot |
バンドル |
call-home |
CDP |
CEF |
Cgn |
Ciscoサポート |
設定管理 |
設定サービス |
| 暗号化 |
Diag |
不許可 |
推進要因 |
Dwdm |
EEM |
eigrp |
イーサネットサービス |
拡張アクセス |
| ファブリック |
障害マネージャ |
ファイルシステム |
ファイアウォール |
FR |
Hdlc |
ホストサービス |
hsrp |
interface |
| インベントリ |
IPサービス |
Ipv4 |
Ipv6 |
isis |
L2VPN(トンネルエンドポイント) |
LI |
Lisp |
ロギング |
| LPTS |
モニタ |
MPLS-LDP |
MPLSスタティック |
mpls-te |
マルチキャスト |
NetFlow |
Network |
nps |
| ospf |
オニ |
Pbr |
pkg-mgmt |
pos-dpt |
Ppp |
QoS |
Rcmd |
rib |
| rip |
ルートLR |
ルートシステム |
ルート マップ |
ルートポリシー |
SBC |
snmp |
SONET-SDH |
static |
| sysmgr |
システム |
トランスポート |
TTYアクセス |
Tunnel(トンネル) |
ユニバーサル |
VLAN |
VPDN |
vrrp |
上記の各タスクは、上記のいずれか、または4つのすべての権限を使用して実行できます。
| read |
読み取り操作のみを許可する指定を指定します。 |
| write |
変更操作を許可し、読み取り操作を暗黙的に許可する指定を指定します。 |
| 実行 |
pingやTelnetなどのアクセス操作を許可する指定を指定します。 |
| デバッグ |
デバッグ操作を許可する指定を指定します。 |
IOS XRのユーザ定義コンポーネント
ユーザー定義ユーザー・グループ
管理者は、特定のニーズに合わせて独自のユーザグループを設定できます。 次に設定の例を示します。
RP/0/RSP1/CPU0:ASR9k(config)#usergroup TAC-Defined RP/0/RSP1/CPU0:ASR9k(config-ug)#taskgroup operator RP/0/RSP1/CPU0:ASR9k(config-ug)#commit
ユーザー定義のタスク・グループ
管理者は、特定のニーズに合わせて独自のタスクグループを設定できます。 次に設定の例を示します。
RP/0/RSP1/CPU0:ASR9k(config)#taskgroup TAC-Defined-TASK RP/0/RSP1/CPU0:ASR9k(config-tg)#task ? debug Specify a debug-type task ID execute Specify a execute-type task ID read Specify a read-type task ID write Specify a read-write-type task ID RP/0/RSP1/CPU0:ASR9k(config-tg)#task read aaa RP/0/RSP1/CPU0:ASR9k(config-tg)#task write aaa RP/0/RSP1/CPU0:ASR9k(config-tg)#task execute aaa RP/0/RSP1/CPU0:ASR9k(config-tg)#task debug aaa RP/0/RSP1/CPU0:ASR9k(config-tg)#task read acl RP/0/RSP1/CPU0:ASR9k(config-tg)#task write acl RP/0/RSP1/CPU0:ASR9k(config-tg)#task execute acl RP/0/RSP1/CPU0:ASR9k(config-tg)#commit RP/0/RSP1/CPU0:ASR9k#show aaa taskgroup TAC-Defined-TASK Task group 'TAC-Defined-TASK' Task IDs included directly by this group: Task: aaa : READ WRITE EXECUTE DEBUG Task: acl : READ WRITE EXECUTE Task group 'TAC-Defined-TASK' has the following combined set of task IDs (including all inherited groups): Task: aaa : READ WRITE EXECUTE DEBUG Task: acl : READ WRITE EXECUTE
特定のコマンドに必要なタスクグループと権限を見つける方法がわからない場合は、describeコマンドを使用して見つけることができます。 ランダム データの例は次のとおりです。
例 1:
RP/0/RSP1/CPU0:ASR9k#describe show aaa usergroup Package: ..... User needs ALL of the following taskids: aaa (READ) RP/0/RSP1/CPU0:ASR9k#
ユーザがコマンドshow aaa usergroupを実行できるようにするには、タスクグループで次の行を許可する必要があります。
aaa読み取りタスク
例 2:
RP/0/RSP1/CPU0:ASR9k(config)#describe aaa authentication login default group tacacs+ Package: ..... User needs ALL of the following taskids: aaa (READ WRITE) RP/0/RSP1/CPU0:ASR9k(config)#
ユーザが設定モードからコマンドaaa authentication login default group tacacs+を実行できるようにするには、タスクグループで次の行を許可する必要があります。
タスク読み取り/書き込みaaa
複数のタスクグループをインポートできるユーザグループを定義できます。次に設定の例を示します。
RP/0/RSP1/CPU0:ASR9k#show aaa usergroup TAC-Defined Tue Feb 16 00:50:56.799 UTC User group 'TAC-Defined' Inherits from task group 'operator' User group 'TAC-Defined' has the following combined set of task IDs (including all inherited groups): Task: basic-services : READ WRITE EXECUTE DEBUG Task: cdp : READ Task: diag : READ Task: ext-access : READ EXECUTE Task: logging : READ RP/0/RSP1/CPU0:ASR9k#conf t RP/0/RSP1/CPU0:ASR9k(config)#usergroup TAC-Defined RP/0/RSP1/CPU0:ASR9k(config-ug)#taskgroup TAC-Defined-TASK RP/0/RSP1/CPU0:ASR9k(config-ug)#commit RP/0/RSP1/CPU0:ASR9k#show aaa usergroup TAC-Defined Tue Feb 16 00:51:31.494 UTC User group 'TAC-Defined' Inherits from task group 'operator' Inherits from task group 'TAC-Defined-TASK' User group 'TAC-Defined' has the following combined set of task IDs (including all inherited groups): Task: aaa : READ WRITE EXECUTE DEBUG Task: acl : READ WRITE EXECUTE Task: basic-services : READ WRITE EXECUTE DEBUG Task: cdp : READ Task: diag : READ Task: ext-access : READ EXECUTE Task: logging : READ
ルータでのAAAの設定
ルータでTACACSサーバを定義します。
ここでは、ACSサーバのIPアドレスをキーciscoのtacacs-serverとして定義します
RP/0/RSP1/CPU0:ASR9k(config)#tacacs-server host 10.106.73.233 port 49 RP/0/RSP1/CPU0:ASR9k(config-tacacs-host)#key 0 cisco RP/0/RSP1/CPU0:ASR9k(config-tacacs-host)#commit ! tacacs-server host 10.106.73.233 port 49 key 7 14141B180F0B !
認証と認可を外部TACACSサーバにポイントさせます。
#aaa authentication login default group tacacs+ local #aaa authorization exec default group tacacs+ local
コマンド許可(オプション):
#aaa authorization commands default group tacacs+
アカウンティングを外部サーバにポイントします(オプション)。
#aaa accounting commands default start-stop group tacacs+ #aaa accounting update newinfo
ACSサーバの設定
ステップ 1:ACSサーバのAAAクライアントリストでルータIPを定義するには、図に示すように、Network Resources > Network Devices and AAA Clientsの順に移動します。この例では、ASRで設定されているようにciscoを共有秘密として定義します。
ステップ 2:要件に従ってユーザグループを定義します。この例では、次の図に示すように4つのグループを使用します。
ステップ 3:図に示すように、ユーザを作成し、上で作成したそれぞれのユーザグループにマッピングします。
ステップ 4:各ユーザにプッシュするシェルプロファイルを定義します。
すでに作成されたシェルプロファイルでは、図に示すように、それぞれのタスクグループをプッシュするように設定します。
ステップ 5:アクセスポリシーを定義します。認証は内部ユーザに対して行われます。
手順 6:図に示すように、前に作成したユーザIDグループを使用して要件に基づいて認可を設定し、それぞれのシェルプロファイルをマッピングします。
確認
Operator
ログインするには、ユーザ名asrreadを使用します。 次に、検証コマンドを示します。
username: ASRread password: RP/0/RSP1/CPU0:ASR9k#show user ASRread RP/0/RSP1/CPU0:ASR9k#show user group operator RP/0/RSP1/CPU0:ASR9k#show user tasks Task: basic-services : READ WRITE EXECUTE DEBUG Task: cdp : READ Task: diag : READ Task: ext-access : READ EXECUTE Task: logging : READ
AAAを使用する演算子
ログインするには、ユーザ名asraaaを使用します。次に、検証コマンドを示します。
username: asraaa
password:
RP/0/RSP1/CPU0:ASR9k#sh user
asraaa
RP/0/RSP1/CPU0:ASR9k#sh user group
operator
RP/0/RSP1/CPU0:ASR9k#sh user tasks
Task: aaa : READ WRITE EXECUTE
Task: basic-services : READ WRITE EXECUTE DEBUG
Task: cdp : READ
Task: diag : READ
Task: ext-access : READ EXECUTE
Task: logging : READ
Sysadmin
ログインするには、ユーザ名asrwrite を使用します。 次に、検証コマンドを示します。
username: asrwrite password: RP/0/RSP1/CPU0:ASR9k#sh user asrwrite RP/0/RSP1/CPU0:ASR9k#sh user group sysadmin RP/0/RSP1/CPU0:ASR9k#sh user tasks Task: aaa : READ Task: acl : READ WRITE EXECUTE DEBUG Task: admin : READ Task: ancp : READ Task: atm : READ Task: basic-services : READ WRITE EXECUTE DEBUG Task: bcdl : READ Task: bfd : READ Task: bgp : READ Task: boot : READ WRITE EXECUTE DEBUG Task: bundle : READ Task: call-home : READ Task: cdp : READ WRITE EXECUTE DEBUG Task: cef : READ Task: cgn : READ Task: config-mgmt : READ WRITE EXECUTE DEBUG Task: config-services : READ WRITE EXECUTE DEBUG Task: crypto : READ WRITE EXECUTE DEBUG Task: diag : READ WRITE EXECUTE DEBUG Task: drivers : READ Task: dwdm : READ Task: eem : READ WRITE EXECUTE DEBUG Task: eigrp : READ Task: ethernet-services : READ --More-- (output omitted )
ルートシステム
ログインするには、ユーザ名asrrootを使用します。次に、検証コマンドを示します。
username: asrroot password: RP/0/RSP1/CPU0:ASR9k#show user asrroot RP/0/RSP1/CPU0:ASR9k#show user group root-system RP/0/RSP1/CPU0:ios#show user tasks Task: aaa : READ WRITE EXECUTE DEBUG Task: acl : READ WRITE EXECUTE DEBUG Task: admin : READ WRITE EXECUTE DEBUG Task: ancp : READ WRITE EXECUTE DEBUG Task: atm : READ WRITE EXECUTE DEBUG Task: basic-services : READ WRITE EXECUTE DEBUG Task: bcdl : READ WRITE EXECUTE DEBUG Task: bfd : READ WRITE EXECUTE DEBUG Task: bgp : READ WRITE EXECUTE DEBUG Task: boot : READ WRITE EXECUTE DEBUG Task: bundle : READ WRITE EXECUTE DEBUG Task: call-home : READ WRITE EXECUTE DEBUG Task: cdp : READ WRITE EXECUTE DEBUG Task: cef : READ WRITE EXECUTE DEBUG Task: cgn : READ WRITE EXECUTE DEBUG Task: config-mgmt : READ WRITE EXECUTE DEBUG Task: config-services : READ WRITE EXECUTE DEBUG Task: crypto : READ WRITE EXECUTE DEBUG Task: diag : READ WRITE EXECUTE DEBUG Task: drivers : READ WRITE EXECUTE DEBUG Task: dwdm : READ WRITE EXECUTE DEBUG Task: eem : READ WRITE EXECUTE DEBUG Task: eigrp : READ WRITE EXECUTE DEBUG --More-- (output omitted )
トラブルシュート
ACSレポートは、モニタリングおよびレポートページで確認できます。 図に示すように、虫眼鏡のアイコンをクリックすると、詳細なレポートが表示されます。
ASRでトラブルシューティングを行う際に役立つコマンドを次に示します。
- ユーザの表示
- ユーザグループの表示
- ユーザータスクの表示
- ユーザすべてを表示
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
07-Nov-2017 |
初版 |
フィードバック