セキュリティ コンフィギュレーション ガイド:ユー ザ サービスのセキュリティ保護

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

セキュリティ コンフィギュレーション ガイド:ユー ザ サービスのセキュリティ保護

Chapter Title

認証の設定

検索結果

Updated:
2017年6月6日

章のタイトル: 認証の設定

認証の設定

認証は、ログイン/パスワード ダイアログ、チャレンジ/レスポンス、メッセージング サポート、および選択したセキュリティ プロトコルによっては暗号化などによるユーザの識別方法を提供します。認証は、ユーザに対してネットワークとネットワーク サービスへのアクセスを許可する前に、ユーザの識別を行う方法です。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「認証の設定に関する機能情報」 を参照してください。

プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。

この章の構成

「認証の設定に関する前提条件」

「認証の設定に関する制約事項」

「認証設定について」

「AAA 認証方式を設定する方法」

「非 AAA 認証方式」

「認証の例」

「その他の参考資料」

「認証の設定に関する機能情報」

認証の設定に関する前提条件

認証の Cisco IOS ソフトウェア実装は、AAA 認証方式と非認証方式に分かれています。シスコでは、可能であれば AAA セキュリティ サービスを試用して認証を実装することを推奨します。

認証の設定に関する制約事項

Cisco IOS Release 12.3 では、設定できる AAA 方式リストの数が 250 になりました。

非標準のオプションを使用して RADIUS サーバを設定し、非標準のオプションを使用せずに別の RADIUS サーバを設定すると、非標準のオプションを使用する RADIUS サーバ ホストでは事前定義されたホストが受け入れられません。 acct-port キーワードを使用してアカウンティング要求の異なる UDP 宛先ポートに同じ RADIUS サーバ ホスト IP アドレスを設定し、 auth-port キーワードを使用して認証要求の UDP 宛先ポートを設定する場合、認証要求に非標準オプションを使用したかどうかに関係なく、RADIUS サーバでは非標準オプションが受け入れられません。

認証設定について

ここでは、認証方式の名前付きリストを定義し、そのリストを多様なインターフェイスに適用して AAA 認証を定義する方法と、RADIUS Change of Authorization(CoA; 認可変更)を使用して AAA 認証を処理する方法について説明します。

「認証の名前付き方式リスト」

「RADIUS Change of Authorization」

認証の名前付き方式リスト

まず認証方式の名前付きリストを定義して AAA 認証を設定し、その名前付きリストを多様なインターフェイスに適用します。方式リストには、実行する認証の種類と、実行するシーケンスを定義します。方式リストは特定のインターフェイスに適用され、定義済みの認証方式のいずれかが実行されます。唯一の例外は、デフォルトの方式リスト(「default」という名前が指定されています)です。デフォルトの方式リストは、名前付きの方式リストが明示的に定義されているインターフェイスを除き、すべてのインターフェイスに自動的に適用されます。デフォルトの方式リストは、定義された方式リストによって上書きされます。

方式リストとは、ユーザ認証のために照会される認証方式を記載したシーケンシャル リストです。方式リストを使用すると、認証に使用するセキュリティ プロトコルを 1 つまたは複数指定できるため、最初の方式が失敗した場合に備えて認証のバックアップ システムを確保できます。Cisco IOS ソフトウェアは、ユーザを認証するため、リストに掲載されている最初の方式が使用されます。その方式で応答に失敗した場合、Cisco IOS ソフトウェアは、方式リストに掲載されている次の認証方式を選択します。このプロセスは、方式リストのいずれかの認証方式と通信に成功するか、定義されているすべての方式が試行されるまで継続されます。

Cisco IOS ソフトウェアでは、前の方式からの応答がない場合にだけ、リストの次の認証方式で認証が試行される、という点が重要です。このサイクルの任意の時点で認証が失敗した場合(つまり、セキュリティ サーバまたはローカル ユーザ名データベースからユーザ アクセスの拒否応答が返される場合)、認証プロセスは停止し、その他の認証方式は試行されません。

この項目は次のサブ項目から構成されます。

「方式リストとサーバ グループ」

「方式リストの例」

「AAA 認証の一般的な設定手順」

方式リストとサーバ グループ

サーバ グループは、方式リストに使用する既存の Lightweight Directory Access Protocol(LDAP)、RADIUS、または TACACS+ サーバ ホストをグループ化する方法の 1 つです。図 1 に、4 台のセキュリティ サーバ(R1 と R2 は RADIUS サーバ、T1 と T2 は TACACS+ サーバ)が設置された一般的な AAA ネットワーク設定を示します。R1 と R2 で RADIUS サーバのグループを構成します。T1 と T2 で TACACS+ サーバのグループを構成します。

図 1 一般的な AAA ネットワーク設定

 

サーバ グループを使用して、設定したサーバ ホストのサブセットを指定し、特定のサービスに使用します。たとえば、サーバ グループを使用すると、R1 および R2 を 1 つのサーバ グループとして定義し、T1 および T2 を別のサーバ グループとして定義できます。また、認証ログインの方式リストに R1 および T1 を指定し、PPP 認証の方式リストに R2 および T2 を指定することもできます。

サーバ グループには、1 台のサーバに対して複数のホスト エントリを含めることができます。エントリごとに固有の識別情報を設定します。固有の識別情報は、IP アドレスと UDP ポート番号の組み合わせで構成されます。これにより、RADIUS ホストとして定義されているさまざまなポートが、固有の AAA サービスを提供できるようになります。つまり、この固有識別情報を使用して、ある IP アドレスに位置する 1 台のサーバ上に複数の UDP ポートが存在する場合、それぞれの UDP ポートに対して RADIUS 要求を送信できます。1 台の RADIUS サーバ上にある異なる 2 つのホスト エントリが 1 つのサービス(認証など)に設定されている場合、設定されている 2 番めのホスト エントリは最初のホスト エントリのフェールオーバー バックアップとして動作します。この例の場合、最初のホスト エントリがアカウンティング サービスの提供に失敗すると、同じデバイスに設定されている 2 番めのホスト エントリを使用してアカウンティング サービスを提供するように、ネットワーク アクセス サーバが試行します(試行される RADIUS ホスト エントリの順番は、設定されている順序に従います)。

サーバ グループ設定の詳細、および Dialed Number Identification Service(DNIS)番号に基づくサーバ グループの設定については、「 Configuring LDAP 」、「 Configuring RADIUS 」、または「 Configuring TACACS+ 」の各フィーチャ モジュールを参照してください。

方式リストの例

たとえば、システム管理者が、すべてのインターフェイスに同じ認証方式を使用して PPP 接続を認証する、というセキュリティ ソリューションを決定したとします。RADIUS グループでは、まず認証情報のために R1 に接続し、応答がない場合、R2 に接続します。R2 が応答しない場合、TACACS+ グループの T1 に接続し、T1 が応答しない場合、T2 に接続します。すべての指定したサーバが応答しなかった場合、認証はアクセス サーバ自体のローカル ユーザ名データベースで行われます。このソリューションを実装するには、システム管理者が次のコマンドを入力してデフォルトの方式リストを作成します。

aaa authentication ppp default group radius group tacacs+ local
 

この例では、「default」が方式リストの名前です。この方式リストにプロトコルを含める場合、名前の後に、照会される順で指定します。デフォルトのリストは、すべてのインターフェイスに自動的に適用されます。

リモート ユーザがネットワークにダイヤルインしようとすると、ネットワーク アクセス サーバは、まず R1 に認証情報を照会します。ユーザが R1 から認証されると、R1 からネットワーク アクセス サーバに対して PASS 応答が発行され、ユーザはネットワークにアクセスできるようになります。R1 から FAIL 応答が返されると、ユーザはアクセスを拒否され、セッションは終了します。R1 が応答しない場合、ネットワーク アクセス サーバでは ERROR として処理され、認証情報について R2 に照会されます。このパターンは、ユーザが認証または拒否されるか、セッションが終了するまで、残りの指定した方式について続行されます。

FAIL 応答は ERROR とまったく異なる点に注意してください。FAIL とは、適用可能な認証データベースに含まれる、認証の成功に必要な基準をユーザが満たしていないことを示します。認証は FAIL 応答で終了します。ERROR とは、認証の照会に対してサーバが応答しなかったことを示します。そのため、認証は試行されません。ERROR が検出された場合にだけ、認証方式リストに定義されている次の認証方式が AAA によって選択されます。

たとえば、システム管理者が、1 つのインターフェイス、または一部のインターフェイスにだけ方式リストを適用するとします。この場合、システム管理者は名前付き方式リストを作成し、その名前付きリストを対象のインターフェイスに適用します。次に、システム管理者が、インターフェイス 3 にだけ適用する認証方式を実装する場合の例を示します。

aaa authentication ppp default group radius group tacacs+ local
aaa authentication ppp apple group radius group tacacs+ local none
interface async 3
ppp authentication chap apple
 

この例では、「apple」が方式リストの名前です。また、この方式リストに含まれるプロトコルは、名前の後に、実行する順で指定されています。方式リストを作成すると、該当するインターフェイスに適用されます。AAA および PPP 認証コマンド両方の方式リスト名(apple)は一致する必要があります。

次の例では、システム管理者がサーバ グループを使用し、PPP 認証の場合は R2 および T2 だけが有効であることを指定します。この場合、管理者は、メンバがそれぞれ R2(172.16.2.7)と T2(172.16.2.77)であるサーバ グループを定義する必要があります。この例では、RADIUS サーバ グループ「rad2only」は aaa group server コマンドを使用して次のように定義されます。

aaa group server radius rad2only
server 172.16.2.7
 

TACACS+ サーバ グループ「tac2only」は、 aaa group server コマンドを使用して次のように定義されます。

aaa group server tacacs+ tac2only
server 172.16.2.77
 

次に、管理者はサーバ グループを使用して PPP 認証を適用します。この例では、PPP 認証のデフォルト方式リストは、 group rad2only group tac2only 、および local の順です。

aaa authentication ppp default group rad2only group tac2only local

AAA 認証の一般的な設定手順

AAA 認証を設定するには、次のタスクを実行します。

1. グローバル コンフィギュレーション モードで aaa new-model コマンドを使用して AAA をイネーブルにします。

2. セキュリティ サーバを使用している場合、RADIUS、TACACS+、Kerberos など、セキュリティ プロトコル パラメータを設定します。詳細については、それぞれ「 Configuring RADIUS 」、「 Configuring TACACS+ 」、および「 Configuring Kerberos 」を参照してください。

3. 認証の方式リストを定義するには、AAA 認証コマンドを使用します。

4. 必要に応じて、方式リストを特定のインターフェイスまたは回線に適用します。

RADIUS Change of Authorization

標準 RADIUS インターフェイスは通常、ネットワークに接続しているデバイスから要求が送信され、クエリーが送信されたサーバが応答するプル モデルで使用されます。Cisco IOS スイッチは、RFC 5176 で定義された RADIUS Change of Authorization(CoA; 認可変更)拡張をサポートします。RFC 5176 は通常、プッシュ モデルで使用され、外部の Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)またはポリシー サーバからのセッションの動的な再設定を可能にします。

Cisco IOS Release 12.2(5) SXI 以降、次のセッションごとの CoA 要求がサポートされます。

セッションの再認証

セッションの終了

ポートをシャットダウンするセッションの終了

ポート バウンスを伴うセッションの終了

セキュリティとパスワード:詳細については、「 Configuring Security with Passwords, Privilege Levels, and Login Usernames for CLI Sessions on Networking Devices 」フィーチャ モジュールを参照してください。

アカウンティング:詳細については、「 Configuring Accounting 」フィーチャ モジュールを参照してください。

ここでは、RADIUS CoA メッセージングの機能について説明します。

「Change-of-Authorization 要求」

「CoA 要求の応答コード」

「CoA 要求コマンド」

「セッションの再認証」

Change-of-Authorization 要求

Change of Authorization(CoA; 認可変更)要求は、RFC 5176 で説明されているようにプッシュ モデルで使用され、セッションの識別、ホストの再認証、およびセッションの終了を可能にします。モデルは、1 つの要求(CoA-Request)および次の使用可能な 2 つの応答コードで構成されています。

CoA 確認応答(ACK)[CoA-ACK]

CoA 否定確認応答(NAK)[CoA-NAK]

要求は CoA クライアント(通常は RADIUS またはポリシー サーバ)から開始され、リスナーとして動作するルータに転送されます。

RFC 5176 準拠

Disconnect Request メッセージ(Packet of Disconnect(POD; パケット オブ ディスコネクト)とも呼ばれる)は、セッションの終了のためにルータでサポートされています。

表 1 に、この機能でサポートされる IETF アトリビュートを示します。

 

表 1 サポートされる IETF アトリビュート
アトリビュート番号
アトリビュート名

24

State

31

Calling-Station-ID

44

Acct-Session-ID

80

Message-Authenticator

101

Error-Cause

表 2 に、Error-Cause アトリビュートの値を示します。

 

表 2 Error-Cause 値

説明

201

残りのセッションのコンテキストが削除されました

202

EAP パケットが無効です(無視)

401

サポートされていないアトリビュート

402

存在しないアトリビュート

403

NAS ID の不一致

404

無効な要求

405

サポートされていないサービス

406

サポートされていない拡張子

407

無効なアトリビュート値

501

管理的に禁止されています

502

要求はルート不可能です(プロキシ)

503

セッション コンテキストが見つかりません

504

セッション コンテキストを削除できません

505

他のプロキシの処理エラー

506

使用できないリソース

507

要件が開始されました

508

複数セッションの選択はサポートされていません

CoA 要求の応答コード

CoA 要求の応答コードは、ルータへコマンドを発行するために使用されます。表 3 に、サポートされているコマンドが記載されています。

セッション ID

特定のセッションに対する接続解除および CoA 要求の場合、ルータは次の 1 つまたは複数のアトリビュートに基づいてセッションを検出します。

Calling-Station-Id(ホストの MAC アドレスを含む IETF アトリビュート 31 番)

Audit-Session-Id(Cisco VSA)

Acct-Session-Id(IETF アトリビュート 44 番)

CoA メッセージに含まれるすべてのセッション ID アトリビュートがそのセッションと一致しないかぎり、ルータは「Invalid Attribute Value」エラーコード アトリビュートを含む Disconnect-NAK または CoA-NAK を返します。

特定のセッションに対する接続解除または CoA 要求の場合、次のいずれかのセッション ID を使用できます。

Calling-Station-ID(MAC アドレスを含む IETF アトリビュート 31 番)

Audit-Session-ID(シスコのベンダー固有のアトリビュート)

Accounting-Session-ID(IETF アトリビュート 44 番)

メッセージに複数のセッション ID アトリビュートが含まれる場合、すべてのアトリビュートがセッションと一致する必要があります。一致しない場合は、ルータが「Invalid Attribute Value」エラーコードを含む Disconnect-Negative Acknowledgement(NAK; 否定確認応答)または CoA-NAK を返します。

CoA ACK 応答コード

許可ステートが正常に変更された場合、肯定確認応答(ACK)が送信されます。CoA ACK 内で返されたアトリビュートは CoA 要求によって異なります。それらについては個々の CoA コマンドで説明します。

RFC 5176 の定義に従って CoA 要求コードのパケット形式は Type:Length:Value(TLV)フォーマットで、コード、ID、長さ、オーセンティケータ、およびアトリビュートのフィールドで構成されます。

 
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| コード | ID | 長さ |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
| オーセンティケータ |
| |
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| アトリビュート ...
+-+-+-+-+-+-+-+-+-+-+-+-+-
 

アトリビュート フィールドは Cisco VSA を伝送するために使用されます。

CoA NAK 応答コード

否定確認応答(NAK)は、許可ステートの変更が失敗したことを示し、失敗の理由を示すアトリビュートが含まれます。

CoA 要求コマンド

ここでは、次の内容について説明します。

「セッションの再認証」

「セッションの終了」

「CoA 要求:Disable Host Port」

「CoA 要求:Bounce-Port」

ルータは 表 3 に示すコマンドをサポートします。

 

表 3 ルータでサポートされる CoA コマンド
コマンド 1
Cisco VSA

Reauthenticate host

Cisco:Avpair="subscriber:command=reauthenticate"

Terminate session

VSA を必要としない標準の接続解除要求です

Bounce host port

Cisco:Avpair="subscriber:command=bounce-host-port"

Disable host port

Cisco:Avpair="subscriber:command=disable-host-port"

1.すべての CoA コマンドでは、ルータと CoA クライアント間のセッション ID を指定する必要があります。

セッションの再認証

セッションの認証を開始するには、AAA サーバが次の形式でシスコ ベンダー固有のアトリビュート(VSA)を含む標準の CoA-Request メッセージを送信します。 Cisco:Avpair="subscriber:command=reauthenticate" および 1 つまたは複数のセッション ID アトリビュート

次のシナリオでは、現在のセッション状態によって、メッセージに対するルータの応答が決まります。

セッションが現在、IEEE 802.1x によって認証されている場合、ルータは EAPoL2-RequestId メッセージ(下記の脚注 1 を参照)をサーバに送信することで応答します。

セッションが現在 MAC 認証バイパス(MAB)によって認証されている場合、ルータはアクセス要求をサーバに送信し、最初に成功した認証で使用したのと同じ ID アトリビュートを渡します。

ルータがコマンドを受信する際にセッションの認証が行われている場合、ルータはプロセスを終了し、認証シーケンスを再起動して、最初に試行されるように設定された方式を開始します。

セッションの終了

CoA Disconnect-Request コマンドは、ホスト ポートをディセーブルにせずにセッションを終了します。このコマンドによって、指定したホストのオーセンティケータ ステート マシンが再初期化されますが、ホストからネットワークに対するアクセスは制限されません。セッションを検出できない場合、ルータは「Session Context Not Found」エラー コード アトリビュートを含む Disconnect-NAK メッセージを返します。セッションが検出 された 場合、ルータはセッションを終了します。セッションが完全に削除された後、ルータは Disconnect-ACK を返します。

ホストのネットワークへのアクセスを制限するには、Cisco:Avpair="subscriber:command=disable-host-port" VSA を含む CoA 要求を使用します。このコマンドは、ホストがネットワーク上で問題を起こしていることを把握し、ホストのネットワーク アクセスを即座にブロックする必要がある場合に便利です。ポート上のネットワーク アクセスを復元する場合は、RADIUS 以外のメカニズムを使用して再度イネーブルにします。

CoA 要求:Disable Host Port

RADIUS サーバの CoA disable port コマンドを実行すると、セッションをホストしている認証ポートが管理的にシャットダウンされます。その結果、セッションは終了します。このコマンドは、次の新しい VSA を含む標準の CoA-Request メッセージで伝達されます。

Cisco:Avpair="subscriber:command=disable-host-port"

このコマンドはセッションに対して実行するため、「セッション ID」 に記載されているセッション ID アトリビュートを 1 つまたは複数使用する必要があります。ルータを検出できない場合、「Session Context Not Found」エラー コード アトリビュートを含む CoA-NAK メッセージを返します。ルータがセッションを特定すると、ホスティング ポートをディセーブルにし、CoA-ACK メッセージを返します。

CoA-ACK がクライアントに返される前にルータに障害が発生した場合、クライアントからの要求が再送信されると、新しいアクティブ スイッチでプロセスが繰り返されます。CoA-ACK メッセージがクライアントに返された後、動作が完了する前にルータに障害が発生した場合、新しいアクティブ ルータで動作が繰り返されます。

RADIUS サーバの CoA disable port コマンドを無視する必要がある場合、詳細については「bounce および disable RADIUS CoA 要求を無視するためのルータの設定」を参照してください。

CoA 要求:Bounce-Port

RADIUS サーバの CoA bounce port コマンドが RADIUS サーバから送信されると、認証ポートでリンクのフラップが発生します。その結果、このポートに接続している 1 つまたは複数のホストから、DHCP の再ネゴシエーションが開始されます。この状況は、VLAN の変更があり、この認証ポートに関する変化を検出するメカニズムがないデバイス(プリンタなど)がエンドポイントの場合に発生する可能性があります。CoA bounce port コマンドは、次の新しい VSA を含む標準の CoA-Request メッセージで伝達されます。

Cisco:Avpair="subscriber:command=bounce-host-port"

このコマンドはセッションに対して実行するため、「セッション ID」 に記載されているセッション ID アトリビュートを 1 つまたは複数使用する必要があります。セッションを検出できない場合、ルータは「Session Context Not Found」エラー コード アトリビュートを含む CoA-NAK メッセージを返します。セッションが検出された場合、ルータはホスト ポートを 10 秒間ディセーブルにし、ポート バウンスを再度イネーブルにして CoA-ACK を返します。

RADIUS サーバの CoA bounce port コマンドを無視する必要がある場合、詳細については「bounce および disable RADIUS CoA 要求を無視するためのルータの設定」を参照してください。

AAA 認証方式を設定する方法

ここでは、次の AAA 認証方式について説明します。

「AAA を使用したログイン認証の設定」

「AAA を使用した ppp 認証の設定」

「PPP 要求に対する AAA スケーラビリティの設定」

「AAA を使用した ARAP 認証の設定」

「AAA を使用した NASI 認証の設定」

「ログイン入力にかける時間の指定」

「特権レベルでのパスワード保護のイネーブル化」

「パスワード プロンプトに表示するテキストの変更」

「ユーザ名が空のアクセス要求が RADIUS サーバに送信されないようにする」

「AAA 認証のメッセージ バナーの設定」

「AAA パケット オブ ディスコネクトの設定」

「二重認証のイネーブル化」

「自動二重認証のイネーブル化」

「RADIUS CoA 用の動的認可サービスの設定」

「bounce および disable RADIUS CoA 要求を無視するためのルータの設定」(任意)

aaa new-model コマンドを発行して AAA をグローバルにイネーブルにするまで、AAA 機能は使用できません。

AAA を使用したログイン認証の設定

AAA セキュリティ サービスにより、さまざまなログイン認証方式を容易に実行できるようになります。使用するように指定したサポート対象のログイン認証方式には関係なく AAA 認証をイネーブルにするには、 aaa authentication login コマンドを使用します。 aaa authentication login コマンドを使用すると、ログイン時に試行する認証方式リストを 1 つ以上作成できます。これらのリストは、 login authentication line コマンドによって適用されます。

AAA を使用してログイン認証を設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

ステップ 1

Router(config)# aaa new-model

AAA をグローバルにイネーブルにします。

ステップ 2

Router(config)# aaa authentication login { default | list-name } method1 [ method2 ...]

ローカルな認証リストを作成します。

ステップ 3

Router(config)# line [ aux | console | tty | vty ] line-number [ ending-line-number ]

認証リストを適用する回線について、ライン コンフィギュレーション モードを開始します。

ステップ 4

Router(config-line)# login authentication

{ default | list-name }

1 つの回線または複数回線に認証リストを適用します。

list-name は、作成するリストを指定するときに使用される名前で、文字列を使用できます。method 引数は、認証アルゴリズムが試行する実際の方式を指します。追加の認証方式は、直前の方式で(失敗した場合ではなく)エラーが返された場合にだけ使用されます。すべての方式でエラーが返されても引き続き認証を行うように指定するには、コマンドラインの最後の方式として none を指定します。

たとえば、(この例では)LDAP サーバでエラーが返されても引き続き認証を行うように指定するには、次のコマンドを入力します。

aaa authentication login default group ldap none

たとえば、(この例では)TACACS+ サーバでエラーが返されても引き続き認証を行うように指定するには、次のコマンドを入力します。

aaa authentication login default group tacacs+ none

none キーワードを指定すると、すべてのユーザがログイン認証に成功するため、認証のバックアップ方式としてだけ使用してください。

名前付きリストが login authentication コマンドで指定されて いない 場合に使用するデフォルト リストを作成するには、 default キーワードの後に、デフォルトの状況で使用する方式を指定します。デフォルトの方式リストは、すべてのインターフェイスに自動的に適用されます。

たとえば、ログイン時のユーザ認証のデフォルト方式として RADIUS を指定するには、次のコマンドを入力します。

aaa authentication login default group radius
 

表 4 に、サポートされるログイン認証方式を示します。

 

表 4 AAA 認証ログイン方式

キーワード
説明

enable

認証にイネーブル パスワードを使用します。

krb5

認証に Kerberos 5 を使用します。

krb5-telnet

ルータへの接続に Telnet を使用する場合、Kerberos 5 Telnet 認証プロトコルを使用します。このキーワードを選択する場合、方式リストの最初の方式としてこのキーワードを指定する必要があります。

line

認証にライン パスワードを使用します。

local

認証にローカルなユーザ名データベースを使用します。

local-case

認証に大文字と小文字が区別されるローカルなユーザ名を使用します。

none

認証を使用しません。

group ldap

認証にすべての LDAP サーバのリストを使用します。

group radius

認証にすべての RADIUS サーバのリストを使用します。

group tacacs+

認証にすべての TACACS+ サーバのリストを使用します。

group group-name

認証に aaa group server radius コマンドまたは aaa group server tacacs+ コマンドで定義された RADIUS サーバまたは TACACS+ サーバのサブセットを使用します。

login コマンドではユーザ名と特権レベルが変更されるだけで、シェルは実行されません。そのため、autocommand は実行されません。この状況で autocommand を実行するには、Telnet セッションをルータに復帰(ループバック)させる必要があります。この方法で autocommand 機能を実装する場合は、ルータがセキュアな Telnet セッションを使用するように設定されていることを確認してください。

ここでは、次の内容について説明します。

「期限切れのユーザ名が指定されたアクセス要求が RADIUS サーバに送信されないようにする」

「イネーブル パスワードによるログイン認証」

「Kerberos によるログイン認証」

「ライン パスワードによるログイン認証」

「ローカル パスワードによるログイン認証」

「group LDAP によるログイン認証」

「group RADIUS によるログイン認証」

「group tacacs+ によるログイン認証」

「group group-name によるログイン認証」

期限切れのユーザ名が指定されたアクセス要求が RADIUS サーバに送信されないようにする

次のタスクを使用して、期限切れのユーザ名が指定されたアクセス要求が RADIUS サーバに送信されないようにします。RADIUS サーバから Easy VPN クライアントに対して、パスワードが期限切れになったことが通知されます。パスワードの期限切れ機能は、ユーザがパスワードを変更する一般的な方法としても利用できます。

) パスワードの期限切れ機能を有効にするには、radius-server vsa send authentication コマンドを設定する必要があります。

手順の概要

1. enable

2. configure terminal

3. aaa new-model

4. aaa authentication login { default | list-name } passwd-expiry method1 [ method2... ]

5. radius-server vsa send authentication

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

aaa new-model

 

Router(config)# aaa new-model

AAA をイネーブルにします。

ステップ 4

aaa authentication login { default | list-name } passwd-expiry method1 [ method2... ]

 

Router(config)# aaa authentication login userauthen passwd-expiry group radius

default キーワードでは、ユーザがログインするときのデフォルトの方式リストとして、このキーワードに続くリストの認証方式が使用されます。

list-name 引数は、ユーザがログインするときにアクティブ化される認証方式リストに、名前を付けるときに使用する文字列です。

password-expiry キーワードを指定すると、ローカル認証リストでパスワードのエージング処理がイネーブルになります。

method 引数には、そのシーケンスで認証アルゴリズムが試行する方式リストを指定します。1 つ以上の方式を入力する必要があります。また最高 4 つの方式を入力できます。

この例では、クリプト クライアントで AAA を使用して、パスワードのエージングを設定しています。

ステップ 5

radius-server vsa send authentication

 

Router(config)# radius-server vsa send authentication

アクセス要求でのベンダー固有アトリビュートの送信

イネーブル パスワードによるログイン認証

ログイン認証方式としてイネーブル パスワードを指定するには、 enable キーワードを指定して aaa authentication login コマンドを使用します。たとえば、他の方式リストが定義されていない場合にログイン時のユーザ認証方式としてイネーブル パスワードを指定するには、次のコマンドを入力します。

aaa authentication login default enable
 

ログイン認証方式としてイネーブル パスワードを使用するには、イネーブル パスワードを定義しておく必要があります。イネーブル パスワードの定義の詳細については、「Configuring Passwords and Privileges」を参照してください。

Kerberos によるログイン認証

Kerberos による認証は、他のほとんどの認証方式とは異なり、ユーザのパスワードはリモート アクセス サーバに送信されません。ネットワークにログインするリモート ユーザは、ユーザ名の指定を求められます。Key Distribution Center(KDC; キー発行局)にそのユーザのエントリがある場合、そのユーザのパスワードを含む暗号化された Ticket Granting Ticket(TGT; チケット認可チケット)が作成され、ルータに返送されます。次に、ユーザにパスワードの入力が求められ、ルータではそのパスワードを含む TGT の復号化が試行されます。復号化に成功すると、ユーザは認証され、ルータ上にあるユーザのクレデンシャル キャッシュに TGT が保存されます。

krb5 は KINIT プログラムを使用しませんが、ルータに対して認証するために、ユーザが KINIT プログラムを実行して TGT を取得する必要はありません。これは、Cisco IOS の Kerberos 実装のログイン手順に KINIT が統合されているためです。

ログイン認証方式として Kerberos を指定するには、 krb5 キーワードを指定して aaa authentication login コマンドを使用します。たとえば、他の方式リストが定義されていない場合にログイン時のユーザ認証方式として Kerberos を指定するには、次のコマンドを入力します。

aaa authentication login default krb5
 

ログイン認証方式として Kerberos を使用するには、Kerberos セキュリティ サーバとの通信をイネーブルにしておく必要があります。Kerberos サーバとの通信を確立する方法の詳細については、「 Configuring Kerberos 」を参照してください。

ライン パスワードによるログイン認証

ログイン認証方式としてライン パスワードを指定するには、 line キーワードを指定して aaa authentication login コマンドを使用します。たとえば、他の方式リストが定義されていない場合にログイン時のユーザ認証方式としてライン パスワードを指定するには、次のコマンドを入力します。

aaa authentication login default line
 

ログイン認証方式としてライン パスワードを使用するには、ライン パスワードを定義しておく必要があります。ライン パスワードの定義の詳細については、「ライン パスワード保護の設定」を参照してください。

ローカル パスワードによるログイン認証

Cisco ルータまたはアクセス サーバが認証にローカル ユーザ名データベースを使用するように指定するには、 local キーワードを指定して aaa authentication login コマンドを使用します。たとえば、他の方式リストが定義されていない場合にログイン時のユーザ認証方式としてローカル ユーザ名データベースを指定するには、次のコマンドを入力します。

aaa authentication login default local
 

ユーザをローカルなユーザ名データベースに追加する方法の詳細については、「ユーザ名認証の確立」を参照してください。

group LDAP によるログイン認証

ログイン認証方式として ldap を指定するには、 group ldap 方式を指定して aaa authentication login コマンドを使用します。たとえば、他の方式リストが定義されていない場合にログイン時のユーザ認証方式として ldap を指定するには、次のコマンドを入力します。

aaa authentication login default group ldap

group RADIUS によるログイン認証

ログイン認証方式として RADIUS を指定するには、 group radius 方式を指定して aaa authentication login コマンドを使用します。たとえば、他の方式リストが定義されていない場合にログイン時のユーザ認証方式として RADIUS を指定するには、次のコマンドを入力します。

aaa authentication login default group radius
 

ログイン認証方式として RADIUS を使用するには、RADIUS セキュリティ サーバとの通信をイネーブルにしておく必要があります。RADIUS サーバとの通信を確立する方法の詳細については、「 Configuring RADIUS 」を参照してください。

アクセス要求での RADIUS アトリビュート 8 の設定

aaa authentication login コマンドを使用して RADIUS を指定し、NAS から IP アドレスを要求するようにログイン ホストを設定すると、グローバル コンフィギュレーション モードで radius-server attribute 8 include-in-access-req コマンドを使用して、access-request パケットでアトリビュート 8(Framed-IP-Address)を送信できます。このコマンドによって、ユーザ認証の前に、NAS から RADIUS サーバに対してユーザ IP アドレスのヒントを提供できます。アトリビュート 8 の詳細については、巻末の付録「RADIUS アトリビュート」を参照してください。

group tacacs+ によるログイン認証

ログイン認証方式として TACACS+ を指定するには、 group tacacs+ 方式を指定して aaa authentication login コマンドを使用します。たとえば、他の方式リストが定義されていない場合にログイン時のユーザ認証方式として TACACS+ を指定するには、次のコマンドを入力します。

aaa authentication login default group tacacs+
 

ログイン認証方式として TACACS+ を使用するには、TACACS+ セキュリティ サーバとの通信をイネーブルにしておく必要があります。TACACS+ サーバとの通信を確立する方法の詳細については、「 Configuring TACACS+ 」を参照してください。

group group-name によるログイン認証

ログイン認証方式として使用する LDAP、RADIUS、または TACACS+ サーバのサブセットを指定するには、 group group-name 方式を指定して aaa authentication login コマンドを使用します。グループ名とそのグループのメンバを指定して定義するには、 aaa group server コマンドを使用します。たとえば、 aaa group server コマンドを使用して、 loginrad というグループ( group )のメンバを最初に定義します。

aaa group server radius loginrad
server 172.16.2.3
server 172.16.2 17
server 172.16.2.32
 

このコマンドにより、172.16.2.3、172.16.2.17、172.16.2.32 の RADIUS サーバがグループ loginrad のメンバとして指定されます。

他の方式リストが定義されていない場合にログイン時のユーザ認証方式として group loginrad を指定するには、次のコマンドを入力します。

aaa authentication login default group loginrad
 

ログイン認証方式としてグループ名を使用するには、RADIUS または TACACS+ セキュリティ サーバとの通信をイネーブルにしておく必要があります。RADIUS サーバとの通信を確立する方法の詳細については、「 Configuring RADIUS 」を参照してください。TACACS+ サーバとの通信を確立する方法の詳細については、「 Configuring TACACS+ 」を参照してください。

AAA を使用した ppp 認証の設定

多くのユーザは、async または ISDN を介したダイヤルアップでネットワーク アクセス サーバにアクセスします。async または ISDN を介したダイヤルアップは、CLI を完全にバイパスします。その代わり、接続が確立するとすぐにネットワーク プロトコル(PPP や ARA など)が開始されます。

AAA セキュリティ サービスにより、PPP を実行するシリアル インターフェイスに使用できるさまざまな認証方式の実行が容易になります。使用するように指定したサポート対象の PPP 認証方式には関係なく AAA 認証をイネーブルにするには、 aaa authentication ppp コマンドを使用します。

PPP を使用してシリアル回線に AAA 認証方式を設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

ステップ 1

Router(config)# aaa new-model

AAA をグローバルにイネーブルにします。

ステップ 2

Router(config)# aaa authentication ppp { default | list-name } method1 [ method2... ]

ローカルな認証リストを作成します。

ステップ 3

Router(config)# interface interface-type interface-number

認証リストを適用するインターフェイスについて、インターフェイス コンフィギュレーション モードを開始します。

ステップ 4

Router(config-if)# ppp authentication { protocol1 [ protocol2... ]} [ if-needed ] { default | list-name } [ callin ][ one-time ][ optional ]

1 つの回線または複数回線に認証リストを適用します。このコマンドの protocol1 protocol2 は、CHAP、MS-CHAP、および PAP のプロトコルを示します。PPP 認証は、まず protocol1 に指定された最初の認証方式を使用して試行されます。認証に protocol1 を使用できない場合は、次に設定されているプロトコルを使用して認証のネゴシエーションを行います。

aaa authentication ppp コマンドを使用して、PPP を介して認証を試行するときに使用する認証方式のリストを 1 つまたは複数作成します。これらのリストは、 ppp authentication ライン コンフィギュレーション コマンドによって適用されます。

名前付きリストが ppp authentication コマンドで指定されて いない 場合に使用するデフォルト リストを作成するには、 default キーワードの後に、デフォルトの状況で使用する方式を指定します。

たとえば、ユーザ認証のデフォルト方式としてローカル ユーザ名データベースを指定するには、次のコマンドを入力します。

aaa authentication ppp default local
 

list-name は、作成するリストを指定するときに使用される名前で、任意の文字列を使用できます。method 引数は、認証アルゴリズムが試行する実際の方式を指します。追加の認証方式は、直前の方式で(失敗した場合ではなく)エラーが返された場合にだけ使用されます。すべての方式でエラーが返されても引き続き認証を行うように指定するには、コマンドラインの最後の方式として none を指定します。

たとえば、(この例では)TACACS+ サーバでエラーが返されても引き続き認証を行うように指定するには、次のコマンドを入力します。

aaa authentication ppp default group tacacs+ none

none を指定するとすべてのユーザが認証に成功してログインできるようになるため、認証のバックアップ方式として使用する必要があります。

表 5 に、サポートされるログイン認証方式を示します。

 

表 5 AAA 認証 PPP 方式

キーワード
説明

if-needed

ユーザが TTY 回線で認証済みの場合、認証しません。

krb5

認証に Kerberos 5 を使用します(PAP 認証にだけ使用できます)。

local

認証にローカルなユーザ名データベースを使用します。

local-case

認証に大文字と小文字が区別されるローカルなユーザ名を使用します。

none

認証を使用しません。

group radius

認証にすべての RADIUS サーバのリストを使用します。

group tacacs+

認証にすべての TACACS+ サーバのリストを使用します。

group group-name

認証に aaa group server radius コマンドまたは aaa group server tacacs+ コマンドで定義された RADIUS サーバまたは TACACS+ サーバのサブセットを使用します。

ここでは、次の内容について説明します。

「Kerberos による PPP 認証」

「ローカル パスワードによる PPP 認証」

「group RADIUS による PPP 認証」

「group TACACS+ による PPP 認証」

「group group-name による PPP 認証」

Kerberos による PPP 認証

PPP を実行するインターフェイスで使用する認証方式として Kerberos を指定するには、 krb5 method キーワードを指定して aaa authentication ppp コマンドを使用します。たとえば、他の方式リストが定義されていない場合にユーザ認証方式として Kerberos を指定するには、次のコマンドを入力します。

aaa authentication ppp default krb5
 

PPP 認証方式として Kerberos を使用するには、Kerberos セキュリティ サーバとの通信をイネーブルにしておく必要があります。Kerberos サーバとの通信を確立する方法の詳細については、「 Configuring Kerberos 」を参照してください。

) Kerberos ログイン認証は、PPP PAP 認証とだけ連携します。

ローカル パスワードによる PPP 認証

Cisco ルータまたはアクセス サーバが認証にローカル ユーザ名データベースを使用するように指定するには、 method キーワード local を指定して aaa authentication ppp コマンドを使用します。たとえば、他の方式リストが定義されていない場合に、PPP を実行する回線に使用するユーザ認証方式としてローカル ユーザ名データベースを指定するには、次のコマンドを入力します。

aaa authentication ppp default local
 

ユーザをローカルなユーザ名データベースに追加する方法の詳細については、「ユーザ名認証の確立」を参照してください。

group RADIUS による PPP 認証

ログイン認証方式として RADIUS を指定するには、 group radius method を指定して aaa authentication ppp コマンドを使用します。たとえば、他の方式リストが定義されていない場合にログイン時のユーザ認証方式として RADIUS を指定するには、次のコマンドを入力します。

aaa authentication ppp default group radius
 

PPP 認証方式として RADIUS を使用するには、RADIUS セキュリティ サーバとの通信をイネーブルにしておく必要があります。RADIUS サーバとの通信を確立する方法の詳細については、「 Configuring RADIUS 」を参照してください。

アクセス要求での RADIUS アトリビュート 44 の設定

group radius method を指定して aaa authentication ppp コマンドを使用し、ログイン認証方式として RADIUS を使用すると、グローバル コンフィギュレーション モードで radius-server attribute 44 include-in-access-req コマンドを使用して access-request パケットでアトリビュート 44(Acct-Session-ID)を送信するようにルータを設定できます。このコマンドによって、RADIUS デーモンはコールの開始から終了までコールを追跡できます。アトリビュート 44 の詳細については、巻末の付録「RADIUS アトリビュート」を参照してください。

group TACACS+ による PPP 認証

ログイン認証方式として TACACS+ を指定するには、 group tacacs+ method を指定して aaa authentication ppp コマンドを使用します。たとえば、他の方式リストが定義されていない場合にログイン時のユーザ認証方式として TACACS+ を指定するには、次のコマンドを入力します。

aaa authentication ppp default group tacacs+
 

PPP 認証方式として TACACS+ を使用するには、TACACS+ セキュリティ サーバとの通信をイネーブルにしておく必要があります。TACACS+ サーバとの通信を確立する方法の詳細については、「 Configuring TACACS+ 」を参照してください。

group group-name による PPP 認証

ログイン認証方式として使用する RADIUS または TACACS+ サーバのサブセットを指定するには、 group group-name 方式を指定して aaa authentication ppp コマンドを使用します。グループ名とそのグループのメンバを指定して定義するには、 aaa group server コマンドを使用します。たとえば、 aaa group server コマンドを使用して、 ppprad というグループ( group )のメンバを最初に定義します。

aaa group server radius ppprad
server 172.16.2.3
server 172.16.2 17
server 172.16.2.32
 

このコマンドにより、172.16.2.3、172.16.2.17、172.16.2.32 の RADIUS サーバがグループ ppprad のメンバとして指定されます。

他の方式リストが定義されていない場合にログイン時のユーザ認証方式として group ppprad を指定するには、次のコマンドを入力します。

aaa authentication ppp default group ppprad
 

PPP 認証方式としてグループ名を使用するには、RADIUS または TACACS+ セキュリティ サーバとの通信をイネーブルにしておく必要があります。RADIUS サーバとの通信を確立する方法の詳細については、「 Configuring RADIUS 」を参照してください。TACACS+ サーバとの通信を確立する方法の詳細については、「 Configuring TACACS+ 」を参照してください。

PPP 要求に対する AAA スケーラビリティの設定

Network Access Server(NAS; ネットワーク アクセス サーバ)の PPP マネージャによって割り当てられた複数のバックグラウンド プロセスを設定およびモニタして、AAA 認証要求と認可要求に対応できます。以前の Cisco IOS リリースでは、PPP に対するすべての AAA 要求を処理するために、1 つのバックグラウンド プロセスだけが割り当てられていました。つまり、AAA サーバの並行処理は、完全には使用できませんでした。AAA スケーラビリティ機能によって、PPP に対する AAA 要求を処理するために使用される複数のプロセスを設定できるようになります。つまり、同時に認証または認可できるユーザ数が増えます。

PPP に対する AAA 要求を処理するために、特定の数のバックグラウンド プロセスを割り当てるには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# aaa processes number

PPP に対する AAA 認証要求および認可要求を処理するために、特定の数のバックグラウンド プロセスを割り当てます。

引数 number には、PPP に対する AAA 認証要求と認可要求を処理するために確保するバックグラウンド プロセス数を定義します。また、1 ~ 2147483647 の任意の値を設定できます。PPP マネージャが PPP に対する要求を処理する方法のため、この引数には、同時に認証できる新規ユーザの数も定義します。この引数は、いつでも増減できます。

) 追加バックグラウンド プロセスの割り当ては、コストが高くなる可能性があります。PPP に対する AAA 要求を処理できるバックグラウンド プロセスの最小数を設定してください。

AAA を使用した ARAP 認証の設定

aaa authentication arap コマンドを使用して、AppleTalk Remote Access Protocol(ARAP)ユーザがルータにログインを試行するときに使用する認証方式のリストを 1 つまたは複数作成します。これらのリストは、 arap authentication ライン コンフィギュレーション コマンドで使用されます。

グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

ステップ 1

Router(config)# aaa new-model

AAA をグローバルにイネーブルにします。

ステップ 2

Router(config)# aaa authentication arap

{ default | list-name } method1 [ method2... ]

ARAP ユーザに対する認証をイネーブルにします。

ステップ 3

Router(config)# line number

(任意)ライン コンフィギュレーション モードに変更します。

ステップ 4

Router(config-line)# autoselect arap

(任意)ARAP の自動選択をイネーブルにします。

ステップ 5

Router(config-line)# autoselect during-login

(任意)ユーザ ログイン時に ARAP セッションを自動的に開始します。

ステップ 6

Router(config-line)# arap authentication list-name

(任意: default aaa authentication arap コマンドに使用されている場合は不要)回線上の ARAP に対する TACACS+ 認証をイネーブルにします。

list-name は、作成するリストを指定するときに使用される名前で、任意の文字列を使用できます。方式の引数は、認証アルゴリズムが試行する方式の実際のリストを指します。試行は入力されている順序で行われます。

名前付きリストが arap authentication コマンドで指定されて いない 場合に使用するデフォルト リストを作成するには、 default キーワードの後に、デフォルトの状況で使用する方式を指定します。

追加の認証方式は、直前の方式で(失敗した場合ではなく)エラーが返された場合にだけ使用されます。すべての方式でエラーが返されても引き続き認証を行うように指定するには、コマンドラインの最後の方式として none を指定します。

none を指定するとすべてのユーザが認証に成功してログインできるようになるため、認証のバックアップ方式として使用する必要があります。

表 6 に、サポートされるログイン認証方式を示します。

 

表 6 AAA 認証 ARAP 方式

キーワード
説明

auth-guest

ユーザが EXEC にログイン済みの場合にだけ、ゲスト ログインを許可します。

guest

ゲスト ログインを許可します。

line

認証にライン パスワードを使用します。

local

認証にローカルなユーザ名データベースを使用します。

local-case

認証に大文字と小文字が区別されるローカルなユーザ名を使用します。

group radius

認証にすべての RADIUS サーバのリストを使用します。

group tacacs+

認証にすべての TACACS+ サーバのリストを使用します。

group group-name

認証に aaa group server radius コマンドまたは aaa group server tacacs+ コマンドで定義された RADIUS サーバまたは TACACS+ サーバのサブセットを使用します。

たとえば、ARAP とともに使用するデフォルトの AAA 認証方式リストを作成するには、次のコマンドを入力します。

aaa authentication arap default if-needed none
 

ARAP に同じ認証方式リストを作成し、リストに MIS-access と名前を付けるには、 次のコマンドを入力します。

aaa authentication arap MIS-access if-needed none
 

ここでは、次の内容について説明します。

「認可済みゲスト ログインを許可する ARAP 認証」

「ゲスト ログインを許可する ARAP 認証」

「ライン パスワードによる ARAP 認証」

「ローカル パスワードによる ARAP 認証」

「group RADIUS による ARAP 認証」

「group TACACS+ による ARAP 認証」

「group group-name による ARAP 認証」

認可済みゲスト ログインを許可する ARAP 認証

ユーザが EXEC にログイン済みの場合にだけ、ゲスト ログインを許可するには、 auth-guest キーワードを指定して aaa authentication arap コマンドを使用します。この方式は ARAP 認証方式リストの先頭に指定する必要がありますが、この方式が成功しなかった場合は引き続き他の方式を試行できます。たとえば、認証のデフォルト方式として、すべての認可済みゲスト ログイン(つまり、EXEC にログイン済みのユーザによるログイン)を許可し、その方式が失敗した場合にだけ RADIUS を使用するには、次のコマンドを入力します。

aaa authentication arap default auth-guest group radius
 

ARAP の認可済みゲスト ログインの詳細については、『 Cisco IOS AppleTalk and Novell IPX Configuration Guide 』の「Configuring AppleTalk」の章を参照してください。

) AAA を初期化すると、デフォルトで ARAP によるゲスト ログインはディセーブルになります。ゲスト ログインを許可するには、guest キーワードまたは auth-guest キーワードを指定して aaa authentication arap コマンドを使用する必要があります。

ゲスト ログインを許可する ARAP 認証

ゲスト ログインを許可するには、 guest キーワードを指定して aaa authentication arap コマンドを使用します。この方式は ARAP 認証方式リストの先頭に指定する必要がありますが、この方式が成功しなかった場合は引き続き他の方式を試行できます。たとえば、認証のデフォルト方式としてすべてのゲスト ログインを許可し、その方式が失敗した場合にだけ RADIUS を使用するには、次のコマンドを入力します。

aaa authentication arap default guest group radius
 

ARAP のゲスト ログインの詳細については、『 Cisco IOS AppleTalk and Novell IPX Configuration Guide』の「Configuring AppleTalk」の章を参照してください。

ライン パスワードによる ARAP 認証

認証方式としてライン パスワードを指定するには、 method キーワード line を指定して aaa authentication arap コマンドを使用します。たとえば、他の方式リストが定義されていない場合に、ARAP ユーザ認証方式としてライン パスワードを指定するには、次のコマンドを入力します。

aaa authentication arap default line
 

ARAP 認証方式としてライン パスワードを使用するには、ライン パスワードを定義しておく必要があります。ライン パスワードの定義の詳細については、「ライン パスワード保護の設定」を参照してください。

ローカル パスワードによる ARAP 認証

Cisco ルータまたはアクセス サーバが認証にローカル ユーザ名データベースを使用するように指定するには、 method キーワード local を指定して aaa authentication arap コマンドを使用します。たとえば、他の方式リストが定義されていない場合に、ARAP ユーザ認証方式としてローカル ユーザ名データベースを指定するには、次のコマンドを入力します。

aaa authentication arap default local
 

ローカル ユーザ名データベースにユーザを追加する方法については、「ユーザ名認証の確立」を参照してください。

group RADIUS による ARAP 認証

ARAP 認証方式として RADIUS を指定するには、 group radius method を指定して aaa authentication arap コマンドを使用します。たとえば、他の方式リストが定義されていない場合にログイン時のユーザ認証方式として RADIUS を指定するには、次のコマンドを入力します。

aaa authentication arap default group radius
 

ARAP 認証方式として RADIUS を使用するには、RADIUS セキュリティ サーバとの通信をイネーブルにしておく必要があります。

group TACACS+ による ARAP 認証

ARAP 認証方式として TACACS+ を指定するには、 group tacacs+ method を指定して aaa authentication arap コマンドを使用します。たとえば、他の方式リストが定義されていない場合にログイン時のユーザ認証方式として TACACS+ を指定するには、次のコマンドを入力します。

aaa authentication arap default group tacacs+
 

ARAP 認証方式として TACACS+ を使用するには、TACACS+ セキュリティ サーバとの通信をイネーブルにしておく必要があります。TACACS+ サーバとの通信を確立する方法の詳細については、「 Configuring TACACS+ 」を参照してください。

group group-name による ARAP 認証

ARAP 認証方式として使用する RADIUS または TACACS+ サーバのサブセットを指定するには、 group group-name 方式を指定して aaa authentication arap コマンドを使用します。グループ名とそのグループのメンバを指定して定義するには、 aaa group server コマンドを使用します。たとえば、 aaa group server コマンドを使用して、 araprad というグループ( group )のメンバを最初に定義します。

aaa group server radius araprad
server 172.16.2.3
server 172.16.2 17
server 172.16.2.32
 

このコマンドにより、172.16.2.3、172.16.2.17、172.16.2.32 の RADIUS サーバがグループ araprad のメンバとして指定されます。

他の方式リストが定義されていない場合にログイン時のユーザ認証方式として group araprad を指定するには、次のコマンドを入力します。

aaa authentication arap default group araprad
 

ARAP 認証方式としてグループ名を使用するには、RADIUS または TACACS+ セキュリティ サーバとの通信をイネーブルにしておく必要があります。RADIUS サーバとの通信を確立する方法の詳細については、「 Configuring RADIUS 」を参照してください。TACACS+ サーバとの通信を確立する方法の詳細については、「 Configuring TACACS+ 」を参照してください。

AAA を使用した NASI 認証の設定

aaa authentication nasi コマンドを使用して、NetWare Asynchronous Services Interface(NASI)ユーザがルータにログインを試行するときに使用する認証方式のリストを 1 つまたは複数作成します。これらのリストは、 nasi authentication ライン コンフィギュレーション コマンドで使用されます。

AAA を使用して NASI 認証を設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

ステップ 1

Router(config)# aaa new-model

AAA をグローバルにイネーブルにします。

ステップ 2

Router(config)# aaa authentication nasi

{ default | list-name } method1 [ method2... ]

NASI ユーザに対する認証をイネーブルにします。

ステップ 3

Router(config)# line number

(任意: default aaa authentication nasi コマンドに使用されている場合は不要)ライン コンフィギュレーション モードを開始します。

ステップ 4

Router(config-line)# nasi authentication list-name

(任意: default aaa authentication nasi コマンドに使用されている場合は不要)回線上の NASI に対する認証をイネーブルにします。

list-name は、作成するリストを指定するときに使用される名前で、任意の文字列を使用できます。方式の引数は、認証アルゴリズムが試行する方式の実際のリストを指します。試行は入力されている順序で行われます。

名前付きリストが aaa authentication nasi コマンドで指定されて いない 場合に使用するデフォルト リストを作成するには、 default キーワードの後に、デフォルトの状況で使用する方式を指定します。

追加の認証方式は、直前の方式で(失敗した場合ではなく)エラーが返された場合にだけ使用されます。すべての方式でエラーが返されても引き続き認証を行うように指定するには、コマンドラインの最後の方式として none を指定します。

none を指定するとすべてのユーザが認証に成功してログインできるようになるため、認証のバックアップ方式として使用する必要があります。

表 7 に、サポートされる NASI 認証方式を示します。

 

表 7 AAA 認証 NASI 方式

キーワード
説明

enable

認証にイネーブル パスワードを使用します。

line

認証にライン パスワードを使用します。

local

認証にローカルなユーザ名データベースを使用します。

local-case

認証に大文字と小文字が区別されるローカルなユーザ名を使用します。

none

認証を使用しません。

group radius

認証にすべての RADIUS サーバのリストを使用します。

group tacacs+

認証にすべての TACACS+ サーバのリストを使用します。

group group-name

認証に aaa group server radius コマンドまたは aaa group server tacacs+ コマンドで定義された RADIUS サーバまたは TACACS+ サーバのサブセットを使用します。

ここでは、次の内容について説明します。

「イネーブル パスワードによる NASI 認証」

「ライン パスワードによる NASI 認証」

「ローカル パスワードによる NASI 認証」

「group RADIUS による NASI 認証」

「group TACACS+ による NASI 認証」

「group group-name による NASI 認証」

イネーブル パスワードによる NASI 認証

認証方式としてイネーブル パスワードを指定するには、 method キーワード enable を指定して aaa authentication nasi コマンドを使用します。たとえば、他の方式リストが定義されていない場合に、NASI ユーザ認証方式としてイネーブル パスワードを指定するには、次のコマンドを入力します。

aaa authentication nasi default enable
 

認証方式としてイネーブル パスワードを使用するには、イネーブル パスワードを定義しておく必要があります。イネーブル パスワードの定義の詳細については、「Configuring Passwords and Privileges」を参照してください。

ライン パスワードによる NASI 認証

認証方式としてライン パスワードを指定するには、 method キーワード line を指定して aaa authentication nasi コマンドを使用します。たとえば、他の方式リストが定義されていない場合に、NASI ユーザ認証方式としてライン パスワードを指定するには、次のコマンドを入力します。

aaa authentication nasi default line
 

NASI 認証方式としてライン パスワードを使用するには、ライン パスワードを定義しておく必要があります。ライン パスワードの定義の詳細については、「ライン パスワード保護の設定」を参照してください。

ローカル パスワードによる NASI 認証

Cisco ルータまたはアクセス サーバが認証情報にローカル ユーザ名データベースを使用するように指定するには、 method キーワード local を指定して aaa authentication nasi コマンドを使用します。たとえば、他の方式リストが定義されていない場合に、NASI ユーザ認証方式としてローカル ユーザ名データベースを指定するには、次のコマンドを入力します。

aaa authentication nasi default local
 

ローカル ユーザ名データベースにユーザを追加する方法については、「ユーザ名認証の確立」を参照してください。

group RADIUS による NASI 認証

NASI 認証方式として RADIUS を指定するには、 group radius method を指定して aaa authentication nasi コマンドを使用します。たとえば、他の方式リストが定義されていない場合に、NASI ユーザ認証方式として RADIUS を指定するには、次のコマンドを入力します。

aaa authentication nasi default group radius
 

NASI 認証方式として RADIUS を使用するには、RADIUS セキュリティ サーバとの通信をイネーブルにしておく必要があります。RADIUS サーバとの通信を確立する方法の詳細については、「 Configuring RADIUS 」を参照してください。

group TACACS+ による NASI 認証

NASI 認証方式として TACACS+ を指定するには、 group tacacs+ method キーワードを指定して aaa authentication nasi コマンドを使用します。たとえば、他の方式リストが定義されていない場合に、NASI ユーザ認証方式として TACACS+ を指定するには、次のコマンドを入力します。

aaa authentication nasi default group tacacs+
 

認証方式として TACACS+ を使用するには、TACACS+ セキュリティ サーバとの通信をイネーブルにしておく必要があります。TACACS+ サーバとの通信を確立する方法の詳細については、「 Configuring TACACS+ 」を参照してください。

group group-name による NASI 認証

NASI 認証方式として使用する RADIUS または TACACS+ サーバのサブセットを指定するには、 group group-name 方式を指定して aaa authentication nasi コマンドを使用します。グループ名とそのグループのメンバを指定して定義するには、 aaa group server コマンドを使用します。たとえば、 aaa group server コマンドを使用して、 nasirad というグループ( group )のメンバを最初に定義します。

aaa group server radius nasirad
server 172.16.2.3
server 172.16.2 17
server 172.16.2.32
 

このコマンドにより、172.16.2.3、172.16.2.17、172.16.2.32 の RADIUS サーバがグループ nasirad のメンバとして指定されます。

他の方式リストが定義されていない場合にログイン時のユーザ認証方式として group nasirad を指定するには、次のコマンドを入力します。

aaa authentication nasi default group nasirad
 

NASI 認証方式としてグループ名を使用するには、RADIUS または TACACS+ セキュリティ サーバとの通信をイネーブルにしておく必要があります。RADIUS サーバとの通信を確立する方法の詳細については、「 Configuring RADIUS 」を参照してください。TACACS+ サーバとの通信を確立する方法の詳細については、「 Configuring TACACS+ 」を参照してください。

ログイン入力にかける時間の指定

timeout login response コマンドを使用すると、ログイン入力(ユーザ名やパスワードなど)がタイムアウトするまでの待機時間を指定できます。デフォルトのログイン値は 30 秒です。 timeout login response コマンドを使用して、1 ~ 300 秒のタイムアウト値を指定します。30 秒というデフォルトのログイン タイムアウト値を変更するには、ライン コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config-line)# timeout login response seconds

タイムアウトまでログイン情報を待機する時間を指定します。

特権レベルでのパスワード保護のイネーブル化

ユーザが特権 EXEC コマンド レベルにアクセスできるかどうかを判断するときに使用する一連の認証方式を作成するには、 aaa authentication enable default コマンドを使用します。最大 4 つの認証方式を指定できます。追加の認証方式は、直前の方式で(失敗した場合ではなく)エラーが返された場合にだけ使用されます。すべての方式でエラーが返されても引き続き認証を行うように指定するには、コマンドラインの最後の方式として none を指定します。

グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# aaa authentication enable default method1 [ method2... ]

特権 EXEC レベルを要求するユーザに対して、ユーザ ID とパスワードのチェックをイネーブルにします。

要求には、「$enab15$」というユーザ名が含まれます。TACACS+ サーバに送信される要求には、ログイン認証のために入力されるユーザ名が含まれます。

方式の引数は、認証アルゴリズムが試行する方式の実際のリストを指します。試行は入力されている順序で行われます。 表 8 に、サポートされるイネーブル認証方式を示します。

 

表 8 AAA 認証イネーブル デフォルト方式

キーワード
説明

enable

認証にイネーブル パスワードを使用します。

line

認証にライン パスワードを使用します。

none

認証を使用しません。

group radius

認証にすべての RADIUS ホストのリストを使用します。

(注) RADIUS 方式は、ユーザ名別では機能しません。

group tacacs+

認証にすべての TACACS+ ホストのリストを使用します。

group group-name

認証に aaa group server radius コマンドまたは aaa group server tacacs+ コマンドで定義された RADIUS サーバまたは TACACS+ サーバのサブセットを使用します。

パスワード プロンプトに表示するテキストの変更

Cisco IOS ソフトウェアからユーザに対してパスワードの入力を求めるときに表示されるデフォルト テキストを変更するには、 aaa authentication password-prompt コマンドを使用します。このコマンドによって、イネーブル パスワードと、リモート セキュリティ サーバから提供されていないログイン パスワードのパスワード プロンプトが変更されます。このコマンドの no 形式を使用すると、パスワード プロンプトが次のデフォルト値に戻ります。

Password:
 

aaa authentication password-prompt コマンドでは、リモートの TACACS+ サーバまたは RADIUS サーバから提供されるダイアログは変更されません。

aaa authentication password-prompt コマンドは、RADIUS をログイン方式として使用するときに機能します。RADIUS サーバに到達不能の場合でも、コマンドで定義されたパスワード プロンプトが表示されます。 aaa authentication password-prompt コマンドは、TACACS+ と併用できません。TACACS+ は、NAS に対して、ユーザに表示するパスワード プロンプトを提供します。TACACS+ サーバが到達可能な場合、NAS はそのサーバからパスワード プロンプトを受け取り、 aaa authentication password-prompt コマンドで定義したプロンプトではなく、受け取ったプロンプトを使用します。TACACS+ サーバが到達不能の場合、 aaa authentication password-prompt コマンドで定義したパスワード プロンプトが使用される可能性があります。

グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# aaa authentication password-prompt text-string

ユーザにパスワードの入力を求めるときに表示するデフォルト テキストを変更します。

ユーザ名が空のアクセス要求が RADIUS サーバに送信されないようにする

次の設定手順では、ユーザ名が空のアクセス要求が RADIUS サーバに送信されないようにする方法について説明します。この機能により、RADIUS サーバとの不要なやりとりを回避でき、RADIUS ログの量を少なくすることができます。

aaa authentication suppress null-username コマンドを使用できるのは、Cisco IOS XE Release 2.4 および Cisco IOS Release 12.2(33)SRD だけです。

手順の概要

1. enable

2. configure terminal

3. aaa new-model

4. aaa authentication suppress null-username

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

aaa new-model

 

Router(config)# configure terminal

AAA をグローバルにイネーブルにします。

ステップ 4

aaa authentication suppress null-username

 

Router(config)# aaa authentication suppress null-username

ユーザ名が空のアクセス要求が RADIUS サーバに送信されないようにします。

AAA 認証のメッセージ バナーの設定

AAA は、設定可能でパーソナライズされたログインおよび失敗したログインのバナーの使用をサポートします。ユーザが AAA を使用して認証を受けるシステムにログインする場合、および何らかの理由で認証が失敗した場合に表示されるメッセージ バナーを設定できます。

ここでは、次の内容について説明します。

「ログイン バナーの設定」

「Failed-Login バナーの設定」

ログイン バナーの設定

ログイン バナーを作成するには、デリミタを設定する必要があります。デリミタはシステムに通知され、デリミタに続くテキスト ストリングはバナーとして表示され、テキスト ストリング自体が表示されます。デリミタは、バナーの末尾を示すために、テキスト ストリングの末尾で繰り返されます。デリミタには、拡張 ASCII 文字セットの任意の 1 文字を使用できます。ただし、デリミタとして定義した文字は、バナーを構成するテキスト ストリングには使用できません。

(ログインのデフォルト メッセージを置換して)ユーザがログインするたびに表示されるバナーを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

ステップ 1

Router(config)# aaa new-model

AAA をイネーブルにします。

ステップ 2

Router(config)# aaa authentication banner delimiter string delimiter

パーソナライズされたログイン バナーを作成します。

ログイン バナーに表示できる最大の文字数は、2996 文字です。

Failed-Login バナーの設定

failed-login バナーを作成するには、デリミタを設定する必要があります。デリミタはシステムに通知され、デリミタに続くテキスト ストリングはバナーとして表示され、テキスト ストリング自体が表示されます。デリミタは、failed-login バナーの末尾を示すために、テキスト ストリングの末尾で繰り返されます。デリミタには、拡張 ASCII 文字セットの任意の 1 文字を使用できます。ただし、デリミタとして定義した文字は、バナーを構成するテキスト ストリングには使用できません。

(失敗したログインのデフォルト メッセージを置換して)ユーザがログインに失敗するたびに表示されるメッセージを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

ステップ 1

Router(config)# aaa new-model

AAA をイネーブルにします。

ステップ 2

Router(config)# aaa authentication fail-message delimiter string delimiter

ユーザがログインに失敗したときに表示されるメッセージを作成します。

failed-login バナーに表示できる最大の文字数は、2996 文字です。

AAA パケット オブ ディスコネクトの設定

特定のセッション アトリビュートが指定された場合、接続解除パケット(POD)によってネットワーク アクセス サーバ(NAS)の接続が終了されます。UNIX ワークステーション上にある POD クライアントでは、AAA から取得したセッション情報を使用して、ネットワーク アクセス サーバで実行されている POD サーバに接続解除パケットを送信します。NAS では、1 つまたは複数の一致するキー アトリビュートを含む任意の着信ユーザ セッションを終了します。必要なフィールドがない場合、または完全一致が見つからない場合、要求は拒否されます。

POD を設定するには、グローバル コンフィギュレーション モードで次のタスクを使用します。

 

コマンド
目的

ステップ 1

Router(config)# aaa accounting network default

start-stop radius

AAA アカウンティング レコードをイネーブルにします。

ステップ 2

Router(config)# aaa accounting delay-start

(任意)POD パケットで使用できるように、Framed-IP-Address が割り当てられるまで、開始アカウンティング レコードの生成を遅延します。

ステップ 3

Router(config)# aaa pod server server-key string

POD の受信イネーブルにします。

ステップ 4

Router(config)# radius-server host IP address non-standard

RADIUS のベンダー固有バージョンを使用する RADIUS ホストを宣言します。

二重認証のイネーブル化

以前のバージョンで PPP セッションを認証するには、PAP または CHAP の単一の認証方法を使用する必要がありました。二重認証方式の場合、ネットワーク アクセス権を得るには、CHAP または PAP 認証後に、リモート ユーザが認証の第 2 段階に合格する必要があります。

この第 2 段階(「二重」)の認証には、ユーザがパスワードを知っている必要がありますが、ユーザのリモート ホストにパスワードは保存され ません 。そのため、第 2 段階の認証は、ホストではなくユーザに固有です。その結果、リモート ホストから情報が盗まれた場合でも有効な、追加のセキュリティ レベルが実現します。さらに、ユーザ別にネットワーク特権をカスタマイズできるため、柔軟性も高くなります。

第 2 段階の認証には、CHAP ではサポートされないトークン カードなど、ワンタイム パスワードを使用できます。ワンタイム パスワードを使用している場合、ユーザ パスワードが盗まれても盗用者の役に立ちません。

この項の内容は、次のとおりです。

「二重認証の機能」

「二重認証の設定」

「二重認証後のユーザ プロファイルへのアクセス」

二重認証の機能

二重認証を使用する場合、2 つの認証/認可段階があります。この 2 つの段階は、リモート ユーザがダイヤルインした後、および PPP セッションが開始された後に発生します。

第 1 段階では、ユーザがリモート ホスト名を使用してログインして CHAP(または PAP)がリモート ホストを認証し、次に PPP が AAA とネゴシエートしてリモート ホストを認可します。このプロセスで、リモート ホストに関連付けられたネットワーク アクセス特権は、そのユーザに関連付けられます。

) ローカル ホストに対して Telnet 接続だけを許可するように、この第 1 段階ではネットワーク管理者が認可を制限することを推奨します。

第 2 段階では、リモート ユーザが、認証を受けるネットワーク アクセス サーバに対して Telnet を送信する必要があります。リモート ユーザがログインする場合、AAA ログイン認証を使用してユーザを認証する必要があります。次に、AAA を使用して最認可を受けるために、 access-profile コマンドを入力する必要があります。この認可が完了すると、ユーザは二重に認証され、ユーザ別のネットワーク特権に従ってネットワークにアクセスできるようになります。

システム管理者は、セキュリティ サーバで適切なパラメータを設定することで、各認証段階の後にリモート ユーザが保持するネットワーク特権を決定します。二重認証を使用するには、 access-profile コマンドを発行してアクティブ化する必要があります。

注意 複数のホストがネットワーク アクセス サーバに対して PPP 接続を共有する場合、二重認証によって望ましくない状況が発生することがあります( 図 2 を参照)。

まず、ユーザ Bob が PPP セッションを開始し、ネットワーク アクセス サーバで二重認証をアクティブにした場合( 図 2 を参照)、Bob の PPP セッションが期限切れになるまで、他のすべてのユーザは Bob と同じネットワーク特権を持つことになります。この問題が発生するのは、PPP セッション時に Bob の認可プロファイルがネットワーク アクセス サーバのインターフェイスに適用され、他のユーザからの PPP トラフィックに Bob が確立した PPP セッションが使用されるためです。
第 2 に、Bob が PPP セッションを開始して二重認証をアクティブにし、(Bob の PPP セッションが期限切れになる前に)別のユーザ Jane が access-profile コマンドを実行する場合(または、Jane がネットワーク アクセス サーバに Telnet を送信し、 autocommand access-profile が実行された場合)、再認可が発生し、Jane の認可プロファイルがインターフェイスに適用され、Bob のプロファイルは置換されます。その結果、Bob の PPP トラフィックの不通や中止が発生することや、Bob が本来は持っていないレベルの特権が Bob に付与されることがあります。

図 2 危険性を伴うトポロジ:複数のホストがネットワーク アクセス サーバに対する PPP 接続を共有

 

二重認証の設定

二重認証を設定するには、次の手順を実行します。

1. aaa-new model グローバル コンフィギュレーション コマンドを使用して、AAA をイネーブルにします。AAA をイネーブルにする方法の詳細については、「AAA Overview」を参照してください。

2. aaa authentication コマンドを使用して、ログインおよび ppp 認証方式リストを使用するようにネットワーク アクセス サーバを設定します。次に、これらの方式リストを適切な回線やインターフェイスに適用します。

3. aaa authorization コマンドを使用して、ログイン時の AAA ネットワーク認可を設定します。ネットワーク認可の設定の詳細については、「認可の設定」の章を参照してください。

4. セキュリティ プロトコル パラメータ(たとえば、RADIUS または TACACS+)を設定します。RADIUS の詳細については、「 Configuring RADIUS 」を参照してください。TACACS+ の詳細については、「 Configuring TACACS+ 」を参照してください。

5. セキュリティ サーバで、ユーザがローカル ホストに接続できるアクセス コントロール リストの AV ペアを使用するには、Telnet 接続を確立する必要があります。

6. (任意)autocommand として access-profile コマンドを設定します。autocommand を設定すると、リモート ユーザは、個人のユーザ プロファイルに関連付けられた権限にアクセスするために、手動で access-profile コマンドを入力する必要はなくなります。autocommand の設定方法については、『 Cisco IOS Dial Technologies Command Reference: Network Services 』の autocommand コマンドを参照してください。

access-profile コマンドが autocommand として設定されている場合でも、二重認証を完了するには、ユーザがローカル ホストに Telnet を送信し、ログインする必要があります。

ユーザ固有の認可ステートメントを作成する場合、次の規則に従います(これらの規則は、 access-profile コマンドのデフォルトの動作に関連します)。

セキュリティ サーバでアクセス コントロール リストの AV ペアを設定する場合、有効な AV ペアを使用します。有効な AV ペアのリストについては、『 Cisco IOS Security Command Reference 』の「Authentication Commands」の章を参照してください。

リモート ユーザがインターフェイスの既存の認可(第 2 段階の認証/認可の前に存在する認可)を使用し、異なるアクセス コントロール リスト(ACL)を持つようにするには、ユーザ固有の認可定義で ACL AV ペア だけ を指定します。この方法は、デフォルトの認可プロファイルを設定してリモート ホストに適用し、ACL はユーザ別に適用する場合などに有効です。

これらのユーザ固有の認可ステートメントを後でインターフェイスに適用すると、ユーザの認可に使用する access-profile コマンドの実行方法によって、既存のインターフェイス設定に 追加 することや、既存のインターフェイス設定を 置き換える ことができます。認可ステートメントを設定する前に、 access-profile コマンドの機能について理解する必要があります。

ISDN または Multilink PPP を使用する予定がある場合、ローカル ホストで仮想テンプレートも設定する必要があります。

二重認証に関する問題を解決するには、 debug aaa per-user デバッグ コマンドを使用します。このコマンドの詳細については、『 Cisco IOS Debug Command Reference 』を参照してください。

二重認証後のユーザ プロファイルへのアクセス

二重認証で、リモート ユーザがローカル ホスト名を使用してローカル ホストに対する PPP リンクを確立すると、リモート ホストは CHAP(または PAP)認証されます。CHAP(または PAP)認証後、PPP は AAA とネゴシエートして、リモート ホストに関連付けられたネットワーク アクセス特権をユーザに割り当てます(この段階の特権では、ユーザがローカル ホストに接続するには Telnet 接続を必須にするという制限を付けることを推奨します)。

ユーザが二重認証の第 2 段階を開始する必要があり、ローカル ホストに対して Telnet 接続を確立する場合、ユーザは個人のユーザ名とパスワード(CHAP または PAP のユーザ名とパスワードとは異なります)を入力します。この処理の結果、個人のユーザ名/パスワードに従って AAA 認証が発生します。ただし、ローカル ホストに関連付けられた初期の権限が有効です。ローカル ホストに関連付けられた権限は、 access-profile コマンドを使用して、ユーザ プロファイルのユーザ用に定義されている権限で置き換えられるか、結合されます。

二重認証後にユーザ プロファイルにアクセスするには、EXEC コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router> access-profile [ merge | replace ] [ ignore-sanity-checks ]

二重認証後に、ユーザに関連付けられた権限にアクセスします。

autocommand として実行するように access-profile コマンドを設定した場合、リモート ユーザのログイン後に自動的に実行されます。

自動二重認証のイネーブル化

自動二重認証を実装することで、ユーザにとって二重認証プロセスが容易になります。自動二重認証は、二重認証が持つセキュリティ上の利点をすべて備えていますが、リモート ユーザにとってよりシンプルでユーザフレンドリなインターフェイスです。二重認証の場合、ユーザ認証の第 2 レベルは、ユーザがネットワーク アクセス サーバまたはルータに Telnet に送信し、ユーザ名とパスワードを入力したときに完了します。自動二重認証の場合、ユーザがネットワーク アクセス サーバに Telnet を送信する必要はありません。その代わり、ユーザ名とパスワードまたは Personal Identification Number(PIN)の入力を求めるダイアログ ボックスが表示されます。自動二重認証機能を使用するには、リモート ユーザ ホストでコンパニオン クライアント アプリケーションが実行されている必要があります。Cisco IOS Release 12.0 以降、唯一の使用できるクライアント アプリケーション ソリューションは、PC 用の Glacier Bay アプリケーション サーバ ソフトウェアです。

) 自動二重認証は、既存の二重認証機能と同様に、Multilink PPP ISDN 接続専用です。自動二重認証は、X.25 や SLIP など他のプロトコルとは併用できません。

自動二重認証は、既存の二重認証機能の強化です。自動二重認証を設定するには、まず次の手順を実行して二重認証を設定する必要があります。

1. aaa-new model グローバル コンフィギュレーション コマンドを使用して、AAA をイネーブルにします。AAA をイネーブルにする方法の詳細については、「AAA Overview」を参照してください。

2. aaa authentication コマンドを使用して、ログインおよび ppp 認証方式リストを使用するようにネットワーク アクセス サーバを設定します。次に、これらの方式リストを適切な回線やインターフェイスに適用します。

3. aaa authorization コマンドを使用して、ログイン時の AAA ネットワーク認可を設定します。ネットワーク認可の設定の詳細については、「認可の設定」の章を参照してください。

4. セキュリティ プロトコル パラメータ(たとえば、RADIUS または TACACS+)を設定します。RADIUS の詳細については、「 Configuring RADIUS 」を参照してください。TACACS+ の詳細については、「 Configuring TACACS+ 」を参照してください。

5. セキュリティ サーバで、ユーザがローカル ホストに接続できるアクセス コントロール リストの AV ペアを使用するには、Telnet 接続を確立する必要があります。

6. autocommand として access-profile コマンドを設定します。autocommand を設定すると、リモート ユーザは、個人のユーザ プロファイルに関連付けられた権限にアクセスするために、手動で access-profile コマンドを入力する必要はなくなります。autocommand の設定方法については、『 Cisco IOS Dial Technologies Command Reference 』の autocommand コマンドを参照してください。

access-profile コマンドが autocommand として設定されている場合でも、二重認証を完了するには、ユーザがローカル ホストに Telnet を送信し、ログインする必要があります。

ユーザ固有の認可ステートメントを作成する場合、次の規則に従います(これらの規則は、 access-profile コマンドのデフォルトの動作に関連します)。

セキュリティ サーバでアクセス コントロール リストの AV ペアを設定する場合、有効な AV ペアを使用します。有効な AV ペアのリストについては、『 Cisco IOS Security Command Reference 』の「 Authentication, Authorization, and Accounting (AAA) 」を参照してください。

リモート ユーザがインターフェイスの既存の認可(第 2 段階の認証/認可の前に存在する認可)を使用し、異なるアクセス コントロール リスト(ACL)を持つようにするには、ユーザ固有の認可定義で ACL AV ペア だけ を指定します。この方法は、デフォルトの認可プロファイルを設定してリモート ホストに適用し、ACL はユーザ別に適用する場合などに有効です。

これらのユーザ固有の認可ステートメントを後でインターフェイスに適用すると、ユーザの認可に使用する access-profile コマンドの実行方法によって、既存のインターフェイス設定に 追加 することや、既存のインターフェイス設定を 置き換える ことができます。認可ステートメントを設定する前に、 access-profile コマンドの機能について理解する必要があります。

ISDN または Multilink PPP を使用する予定がある場合、ローカル ホストで仮想テンプレートも設定する必要があります。

二重認証に関する問題を解決するには、 debug aaa per-user デバッグ コマンドを使用します。このコマンドの詳細については、『 Cisco IOS Debug Command Reference 』を参照してください。

二重認証を設定したら、自動機能を追加できます。

自動二重認証を設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

コマンド
目的

ステップ 1

Router(config)# ip trigger-authentication

[ timeout seconds ] [ port number ]

二重認証の自動化をイネーブルにします。

ステップ 2
Router(config)# interface bri number
 

または

Router(config)# interface serial number :23

ISDN BRI または ISDN PRI インターフェイスを選択し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

Router(config-if)# ip trigger-authentication

自動二重認証をインターフェイスに適用します。

自動二重認証の問題を解決するには、特権 EXEC モードで次のコマンドを使用します。

 

コマンド
目的

ステップ 1

Router# show ip trigger-authentication

自動二重認証が試行され、成功または失敗したリモート ホストのリストが表示されます。

ステップ 2

Router# clear ip trigger-authentication

自動二重認証が試行されたリモート ホストのリストをクリアします この操作で、 show ip trigger-authentication コマンドで表示された表がクリアされます。

ステップ 3

Router# debug ip trigger-authentication

自動二重認証に関する debug の出力が表示されます。

RADIUS CoA 用の動的認可サービスの設定

次の手順を使用して、動的認可サービスの Authentication, Authorization, and Accounting(AAA; 認証、認可、およびアカウンティング)サーバとしてのルータが、入力方向と出力方向でポリシー マップをプッシュする CoA 機能をサポートできるようにします。

手順の概要

1. enable

2. configure terminal

3. aaa new-model

4. aaa server radius dynamic-author

5. client {ip_addr | hostname} [ server-key [ 0 | 7 ] string]

6. domain { delimiter character | stripping [right-to-left] }

7. port {port-num}

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

aaa new-model

 

Router(config)# aaa new-model

AAA をイネーブルにします。

ステップ 4

aaa server radius dynamic-author

 

Router(config)# aaa server radius dynamic-author

ローカル AAA サーバを動的認可サービス用にセットアップして、動的認可ローカル サーバ コンフィギュレーション モードに入ります。このサービスは、ポリシー マップを入力方向と出力方向にプッシュする CoA 機能をサポートするように有効にする必要があります。このモードでは、RADIUS アプリケーション コマンドが設定されます。

ステップ 5

client {ip_addr | hostname} [ server-key [ 0 | 7 ] string]


AAA サーバ上の設定例を次に示します。

 

Router(config-locsvr-da-radius)#client 192.168.0.5 server-key cisco1

AAA サーバ クライアントの IP アドレスまたはホスト名を設定します。オプションの server-key キーワードと string 引数を使用して、「クライアント」レベルでサーバ キーを設定します。

(注) クライアント レベルでサーバ キーを設定すると、グローバル レベルで設定されたサーバ キーが上書きされます。

ステップ 6

domain { delimiter character | stripping [right-to-left] }

 
Router(config-locsvr-da-radius)# domain stripping right-to-left
Router(config-locsvr-da-radius)# domain delimiter @

(任意)RADIUS アプリケーションについてユーザ名のドメイン オプションを設定します。

delimiter キーワードで、ドメイン デリミタを指定します。 character 引数には、 @ / $ % \ # 、または - のオプションを指定できます。

stripping キーワードは、着信のユーザ名と、 @ ドメイン デリミタの左側にある名前を比較します。

right-to-left キーワードは、右から左方向に見て最初のデリミタで文字列を終了します。

ステップ 7

port {port-num}

 

Router(config-locsvr-da-radius)# port 3799

CoA 要求に UDP ポート 3799 を設定します。

bounce および disable RADIUS CoA 要求を無視するためのルータの設定

次の手順を使用して、bounce port コマンドまたは disable port コマンドの形式で RADIUS サーバ CoA 要求を無視するようにルータを設定します。

複数のホストを使用して認証ポートを認証していて、このポートで 1 つのホストに対してフラップする CoA 要求があるか、このポートで終了するホスト セッションがある場合、このポート上のその他のホストにも影響があります。その結果、フラップの場合には 1 つまたは複数のホストから DHCP の再ネゴシエーションがトリガーされます。または、1 つまたは複数のホストについて、セッションをホストする認証ポートが管理的にシャットダウンされます。これは望ましくない問題になる可能性があります。

手順の概要

1. enable

2. configure terminal

3. aaa new-model

4. authentication command bounce-port ignore

5. authentication command disable-port ignore

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

aaa new-model

 

Router(config)# aaa new-model

AAA をイネーブルにします。

ステップ 4

authentication command bounce-port ignore

 

Router(config)# authentication command bounce-port ignore

(任意)RADIUS サーバの bounce port コマンドを無視するようにルータを設定します。無視しない場合、認証ポート上でホストがフラップをリンクし、結果として、そのポートに接続する 1 つまたは複数のホストから DHCP 再ネゴシエーションが発生します。

ステップ 5

authentication command disable-port ignore

 

Router(config)# authentication command disable-port ignore

(任意)RADIUS サーバの CoA disable port コマンドを無視するようにルータを設定します。無視しない場合、1 または複数のホスト セッションをホストする認証ポートが管理的にシャットダウンされます。ポートがシャットダウンされると、セッションも終了します。

非 AAA 認証方式

ここでは、次の非 AAA 認証タスクについて説明します。

「ライン パスワード保護の設定」

「ユーザ名認証の確立」

「CHAP 認証または PAP 認証のイネーブル化」

「MS-CHAP の使用」

ライン パスワード保護の設定

このタスクは、パスワードを入力し、パスワード チェック処理を確立することで、端末回線にアクセス コントロールを提供するために使用します。

) ライン パスワード保護を設定し、TACACS または拡張 TACACS を設定する場合、TACACS のユーザ名とパスワードの方が、ライン パスワードよりも優先されます。まだセキュリティ ポリシーを実装していない場合、AAA を使用することを推奨します。

手順の概要

1. enable

2. configure terminal

3. line [ aux | console | tty | vty ] line-number [ ending-line-number ]

4. password password

5. login

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

line [ aux | console | tty | vty ] line-number [ ending-line-number ]

 

Router(config)# line console 0

ライン コンフィギュレーション モードを開始します。

ステップ 4

password password

 

Router(config-line)# secret word

回線上の端末または他のデバイスにパスワードを割り当てます。パスワードは大文字と小文字が区別されます。またスペースを含めることができます。たとえば、「Secret」というパスワードは「secret」というパスワードとは異なり、「two words」も使用できるパスワードです。

ステップ 5

login

 

Router(config-line)# login

ログイン時のパスワード チェックをイネーブルにします。

回線パスワードの確認をディセーブルにするには、このコマンドの no バージョンを使用します。

コマンドを実行すると、ユーザ名と特権レベルのみが変更されます。シェルは実行されません。そのため、autocommand は実行されません。この状況で autocommand を実行するには、ルータに対して Telnet セッションを確立する必要があります。autocommand をこの方法で実装する場合、セキュア Telnet セッションのためにルータを設定します。

ユーザ名認証の確立

ユーザ名ベースの認証システムを作成できます。これは、次のような場合に役立ちます。

TACACS をサポートしないネットワークに、TACACS のようなユーザ名と暗号化されたパスワード認証システムを提供する場合

特殊なケース(たとえば、アクセス リストの確認、パスワードの確認なし、ログイン時の autocommand の実行、「エスケープなし」の状況など)に備えたログインを提供する場合

ユーザ名の認証を確立するには、システム設定の必要に応じて、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

ステップ 1

Router(config)# username name [ nopassword | password password | password encryption-type encrypted password ]

 

または

Router(config)# username name [ access-class number ]

暗号化されたパスワードを使用してユーザ名認証を確立します。

または

(任意)アクセス リストによるユーザ名認証を確立します。

ステップ 2

Router(config)# username name [ privilege level ]

(任意)ユーザの特権レベルを設定します。

ステップ 3

Router(config)# username name [ autocommand command ]

(任意)自動実行されるコマンドを指定します。

ステップ 4

Router(config)# username name [ noescape ] [ nohangup ]

(任意)「エスケープなし」のログイン環境を設定します。

キーワード noescape を指定すると、ユーザは接続先のホストでエスケープ文字を使用できなくなります。 nohangup 機能を使用すると、autocommand の使用後に接続が解除されません。

注意 service password-encryption コマンドをイネーブルにしない限り、設定のパスワードはクリア テキストで表示されます。 service password-encryption コマンドの詳細については、『 Cisco IOS Security Command Reference』の「Passwords and Privileges Commands」の章を参照してください。

CHAP 認証または PAP 認証のイネーブル化

Internet Service Provider(ISP; インターネット サービス プロバイダー)のダイヤル ソリューションに使用されている最も一般的なトランスポート プロトコルの 1 つは、Point-to-Point Protocol(PPP; ポイントツーポイント プロトコル)です。従来、リモート ユーザはアクセス サーバにダイヤルインして、PPP セッションを開始していました。PPP のネゴシエート後は、リモート ユーザは ISP ネットワークに接続され、そしてインターネットに接続されます。

ISP はアクセス サーバへの接続を顧客に限定したいため、リモート ユーザはアクセス サーバに対して認証を受けてから、PPP セッションを開始する必要があります。通常、リモート ユーザは、アクセス サーバからのプロンプトに応じてユーザ名とパスワードを入力して、認証を受けます。これは実行可能なソリューションですが、管理が困難で、リモート ユーザにとっても面倒です。

よりよいソリューションは、PPP に組み込まれた認証プロトコルを使用することです。この場合、リモート ユーザはアクセス サーバにダイヤルインし、アクセス サーバと PPP の最小サブセットを開始します。この操作で、ISP のネットワークに対するアクセス権はリモート ユーザに付与されません。単に、アクセス サーバがリモート デバイスと通話できるだけです。

現在、PPP は 2 つの認証プロトコルをサポートします。Password Authentication Protocol(PAP; パスワード認証プロトコル)および Challenge Handshake Authentication Protocol(CHAP; チャレンジ ハンドシェーク認証プロトコル)の 2 つです。いずれも RFC 1334 で規定され、同期インターフェイスと非同期インターフェイスでサポートされます。PAP または CHAP を介する認証は、サーバからのプロンプトを受けてユーザ名とパスワードを入力する方法と同等です。CHAP の場合、接続の間にリモート ユーザのパスワードは送信されないため、より安全性が高いと考えられます。

(PAP 認証または CHAP 認証の有無に関係なく)PPP はダイヤルアウト ソリューションでもサポートされます。アクセス サーバがダイヤルアウト機能を使用するのは、アクセス サーバからリモート デバイスに対してコールを開始し、PPP などのトランスポート プロトコルを起動しようとするときです。

CHAP および PAP の詳細については、『 Cisco IOS Configuration Fundamentals Configuration Guide 』の「Configuring Interfaces」を参照してください。

) CHAP または PAP を使用するには、PPP カプセル化を実行する必要があります。

インターフェイスで CHAP をイネーブルにし、リモート デバイスがそのインターフェイスに接続しようとすると、アクセス サーバからリモート デバイスに CHAP パケットが送信されます。CHAP パケットは、リモート デバイスに応答するように要求または「チャレンジ」します。チャレンジ パケットは、ローカル ルータの ID、ランダム番号、およびホスト名から構成されます。

リモート デバイスは、チャレンジ パケットを受信すると、ID、リモート デバイスのパスワード、およびランダム番号を連結し、リモート デバイスのパスワードを使用してすべてを暗号化します。リモート デバイスは、その結果を、暗号化プロセスで使用されたパスワードに関連付けられた名前とともにアクセス サーバに返信します。

アクセス サーバがその応答を受信すると、受信した名前を使用して、ユーザ データベースに保存されているパスワードを取得します。取得したパスワードは、暗号化プロセスで使用されたリモート デバイスと同じパスワードです。アクセス サーバは、新しく取得したパスワードを使用して、連結された情報を暗号化します。その結果が応答パケットで送信された結果と一致する場合、認証は成功です。

CHAP 認証を使用する利点は、リモート デバイスのパスワードがクリア テキストで送信されないことです。結果として、他のデバイスによるパスワード盗用や、ISP ネットワークに対する不正アクセスの取得を回避できます。

CHAP トランザクションが発生するのは、リンクが確立したときだけです。アクセス サーバは、以降のコール中にパスワードを要求しません(ただし、ローカル デバイスは、コール中に他のデバイスからこのような要求があった場合、応答する可能性があります)。

PAP をイネーブルにすると、アクセス サーバに接続しようとするリモート ルータは、認証要求を送信する必要があります。認証要求に指定されているユーザ名とパスワードが受け入れられた場合、Cisco IOS ソフトウェアから認証の確認応答が送信されます。

CHAP または PAP をイネーブルにすると、アクセス サーバは、ダイヤルインするリモート デバイスからの認証を必須にするようになります。イネーブルにしたプロトコルをリモート デバイスがサポートしていない場合、コールはドロップされます。

CHAP または PAP を使用するには、次のタスクを実行する必要があります。

1. PPP カプセル化をイネーブルにします。

2. インターフェイスで CHAP または PAP をイネーブルにします。

3. CHAP の場合、認証が必須の各リモート システムについて、ホスト名の認証および秘密(パスワード)を設定します。

ここでは、次の内容について説明します。

「PPP カプセル化のイネーブル化」

「PAP または CHAP のイネーブル化」

「着信認証と発信認証」

「発信 PAP 認証のイネーブル化」

「PAP 認証要求の拒否」

「共通 CHAP パスワードの作成」

「CHAP 認証要求の拒否」

「ピアが認証されるまで CHAP 認証を遅延する」

PPP カプセル化のイネーブル化

PPP カプセル化をイネーブルにするには、インターフェイス コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config-if)# encapsulation ppp

インターフェイスで PPP をイネーブルにします。

PAP または CHAP のイネーブル化

PPP カプセル化として設定されているインターフェイスで、CHAP 認証または PAP 認証をイネーブルにするには、インターフェイス コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config-if)# ppp authentication { protocol1 [ protocol2... ]} [ if-needed ] { default | list-name } [ callin ] [ one-time ]

サポートされる認証プロトコルと、使用順序を定義します。このコマンドの protocol1 と protocol2 は、CHAP、MS-CHAP、および PAP のプロトコルを示します。PPP 認証は、まず protocol1 に指定された最初の認証方式を使用して試行されます。認証に protocol1 を使用できない場合は、次に設定されているプロトコルを使用して認証のネゴシエーションを行います。

インターフェイスで ppp authentication chap を設定する場合、そのインターフェイスで PPP 接続を開始するすべての受信コールは、CHAP を使用して認証される必要があります。同様に、 ppp authentication pap を設定する場合、PPP 接続を開始するすべての受信コールは、PAP を使用して認証される必要があります。 ppp authentication chap pap を設定する場合、アクセス サーバは、CHAP を使用して PPP セッションを開始するすべての受信を認証しようとします。リモート デバイスが CHAP をサポートしない場合、アクセス サーバは PAP を使用してコールを認証しようとします。リモート デバイスが CHAP も PAP もサポートしない場合、認証は失敗し、コールはドロップされます。 ppp authentication pap chap を設定する場合、アクセス サーバは、PAP を使用して PPP セッションを開始するすべての受信を認証しようとします。リモート デバイスが PAP をサポートしない場合、アクセス サーバは CHAP を使用してコールを認証しようとします。リモート デバイスがいずれのプロトコルもサポートしない場合、認証は失敗し、コールはドロップされます。 callin キーワードを指定して ppp authentication コマンドを設定すると、アクセス サーバは、リモート デバイスがコールを開始した場合にだけ、リモート デバイスの認証を行います。

認証方式リストと one-time キーワードを使用できるのは、AAA をイネーブルにした場合だけです。TACACS または拡張 TACACS をイネーブルにしている場合は、使用できません。 ppp authentication コマンドを使用して認証方式リストの名前を指定すると、PPP は、指定した方式リストに定義されている方式を使用して、接続を認証しようとします。AAA をイネーブルにし、名前で定義されている方式リストがない場合、PPP は、デフォルトに定義されている方式を使用して接続を認証しようとします。 one-time キーワードを指定して ppp authentication コマンドを使用すると、認証中にワンタイム パスワードをサポートできます。

if-needed キーワードを使用できるのは、TACACS または拡張 TACACS を使用している場合だけです。 if-needed キーワードを指定して ppp authentication コマンドを使用することは、現在のコール期間中にリモート デバイスがまだ認証されていない場合にだけ、PPP が PAP または CHAP を介してリモート デバイスを認証することを示します。リモート デバイスが、標準のログイン手順で認証を受け、EXEC プロンプトから PPP を開始した場合、 ppp authentication chap if-needed がインターフェイスで設定されていれば、PPP は CHAP を介して認証しません。

注意 aaa authentication ppp コマンドを使用して設定されていない list-name を使用する場合、その回線で PPP はディセーブルです。

ローカル ルータまたはアクセス サーバが認証を必須とする各リモート システムについて、 username エントリを追加する方法については、「ユーザ名認証の確立」を参照してください。

着信認証と発信認証

PPP は双方向の認証をサポートしています。通常、リモート デバイスがアクセス サーバにダイヤルインするときは、それが許可されているアクセスであることをリモート デバイスが証明するように、アクセス サーバから要求されます。これは着信認証と呼ばれます。同時に、リモート デバイスは、身元を証明するようにアクセス サーバに要求することもできます。これは発信認証と呼ばれます。また、アクセス サーバは、リモート デバイスに対してコールを開始するときにも、発信認証を実行します。

発信 PAP 認証のイネーブル化

発信 PAP 認証をイネーブルにするには、インターフェイス コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config-if)# ppp pap sent-username username password password

発信 PAP 認証をイネーブルにします。

アクセス サーバからリモート デバイスに対してコールを開始する場合は常に、または発信認証のためにリモート デバイスの要求に応答する必要がある場合は、 ppp pap sent-username コマンドをで指定されたユーザ名とパスワードを使用して自身を認証します。

PAP 認証要求の拒否

ピアからの PAP 認証要求を拒否するには(つまり、すべてのコールで PAP 認証をディセーブルにするには)、インターフェイス コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config-if)# ppp pap refuse

PAP 認証を要求するピアからの PAP 認証を拒否します。

refuse キーワードが使用されない場合、ルータはピアから受信した PAP 認証チャレンジを拒否しません。

共通 CHAP パスワードの作成

リモート CHAP 認証だけの場合、不明なピアからのチャレンジに対して使用する共通 CHAP シークレット パスワードを作成するように、ルータを設定できます。たとえば、ルータが、新しい(つまり不明な)ルータが追加された、ルータのロータリー(別ベンダー製のルータ、または古いバージョンの Cisco IOS ソフトウェアを実行するルータ)に発信する場合などです。 ppp chap password コマンドを使用すると、任意のダイヤラ インターフェイスまたは非同期グループ インターフェイスで、複数のユーザ名およびパスワード コンフィギュレーション コマンドをこのコマンドの単一のコピーで置換できます。

ルータのコレクションに発信するルータが、共通の CHAP シークレット パスワードを設定できるようにするには、インターフェイス コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config-if)# ppp chap password secret

ルータのコレクションに発信するルータが、共通の CHAP シークレット パスワードを設定できるようにします。

CHAP 認証要求の拒否

ピアからの CHAP 認証要求を拒否するには(つまり、すべてのコールで CHAP 認証をディセーブルにするには)、インターフェイス コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config-if)# ppp chap refuse [ callin ]

CHAP 認証を要求するピアからの CHAP 認証を拒否します。

callin キーワードが使用されると、ルータは、ピアから受信した CHAP 認証チャレンジへの応答を拒否します。ただし、ルータが送信する CHAP チャレンジに対しては、ピアが応答することを必須とします。

ppp pap sent-username コマンドを使用して)発信 PAP がイネーブルの場合、拒否パケットの認証方式として、PAP が提案されます。

ピアが認証されるまで CHAP 認証を遅延する

ピアがルータから認証を受けるまで、CHAP 認証を要求するピアに対してルータを認証しないように指定するには、インターフェイス コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config-if)# ppp chap wait secret

ピアがルータから認証を受けるまで、CHAP 認証を遅延するようにルータを設定します。

このコマンド(デフォルト)により、CHAP 認証を要求するピアがルータの認証を受けてから、ルータがピアの認証を受けるように指定します。 no ppp chap wait コマンドにより、ルータが認証チャレンジに対して即時に応答するように指定します。

MS-CHAP の使用

Microsoft Challenge Handshake Authentication Protocol(MS-CHAP; マイクロソフト チャレンジ ハンドシェーク認証プロトコル)は、Microsoft バージョンの CHAP であり、RFC 1994 の拡張です。標準バージョンの CHAP と同様に、MS-CHAP は PPP 認証に使用されます。この場合、Microsoft Windows NT または Microsoft Windows 95 を使用する PC と、ネットワーク アクセス サーバとして動作する Cisco ルータまたはアクセス サーバとの間に認証が発生します。

MS-CHAP と標準の CHAP の違いは次のとおりです。

MS-CHAP をイネーブルにするには、LCP オプション 3 の Authentication Protocol で、CHAP Algorithm 0x80 をネゴシエートします。

MS-CHAP 応答パケットは、Microsoft Windows NT 3.5 および 3.51、Microsoft Windows 95、および Microsoft LAN Manager 2. x と互換性を持つように設計されたフォーマットです。このフォーマットを使用する場合、オーセンティケータは、クリア パスワードまたは可逆的に暗号化されたパスワードを保存する必要はありません。

MS-CHAP には、オーセンティケータが制御する認証リトライ メカニズムがあります。

MS-CHAP には、オーセンティケータが制御するチャレンジ パスワード メカニズムがあります。

MS-CHAP には、Failure パケット メッセージ フィールドで返される「reason-for failure」コード セットが定義されています。

実装したセキュリティ プロトコルに応じて、AAA セキュリティ サービスの有無にかかわらず、MS-CHAP による PPP 認証を使用できます。AAA をイネーブルにしている場合、MS-CHAP を使用する PPP 認証は、TACACS+ および RADIUS の両方と併用できます。 表 9 に、RADIUS が MS-CHAP をサポートできるベンダー固有 RADIUS アトリビュート(IETF Attribute 26)を示します。

 

表 9 MS-CHAP 用のベンダー固有 RADIUS アトリビュート

ベンダー ID
番号
ベンダー タイプ
番号
ベンダー固有アトリビュート
説明

311

11

MSCHAP-Challenge

ネットワーク アクセス サーバが MS-CHAP ユーザに送信するチャレンジが含まれます。Access-Request パケットと Access-Challenge パケットの両方に使用できます。

211

11

MSCHAP-Response

PPP MS-CHAP ユーザがチャレンジに対する応答で提供するレスポンス値が含まれます。Access-Request パケットでのみ使用されます。このアトリビュートは、PPP CHAP ID と同じです。

MS-CHAP を使用して PPP 認証を定義するには、インターフェイス コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

ステップ 1

Router(config-if)# encapsulation ppp

PPP カプセル化をイネーブルにします。

ステップ 2

Router(config-if)# ppp authentication ms-chap [ if-needed ] [ list-name | default ] [ callin ] [ one-time ]

MS-CHAP を使用して PPP 認証を定義します。

あるインターフェイスで ppp authentication ms-chap を設定する場合、PPP 接続を開始するそのインターフェイスに着信するすべてのコールは、MS-CHAP を使用して認証する必要があります。 callin キーワードを指定して ppp authentication コマンドを設定すると、アクセス サーバは、リモート デバイスがコールを開始した場合にだけ、リモート デバイスの認証を行います。

認証方式リストと one-time キーワードを使用できるのは、AAA をイネーブルにした場合だけです。TACACS または拡張 TACACS をイネーブルにしている場合は、使用できません。 ppp authentication コマンドを使用して認証方式リストの名前を指定すると、PPP は、指定した方式リストに定義されている方式を使用して、接続を認証しようとします。AAA をイネーブルにし、名前で定義されている方式リストがない場合、PPP は、デフォルトに定義されている方式を使用して接続を認証しようとします。 one-time キーワードを指定して ppp authentication コマンドを使用すると、認証中にワンタイム パスワードをサポートできます。

if-needed キーワードを使用できるのは、TACACS または拡張 TACACS を使用している場合だけです。 if-needed キーワードを指定して ppp authentication コマンドを使用することは、現在のコール期間中にリモート デバイスがまだ認証されていない場合にだけ、PPP が MS-CHAP を介してリモート デバイスを認証することを示します。リモート デバイスが、標準のログイン手順で認証を受け、EXEC プロンプトから PPP を開始した場合、 ppp authentication chap if-needed が設定されていれば、PPP は MS-CHAP を介して認証しません。

) MS-CHAP を使用する PPP 認証と、ユーザ名認証を併用する場合、ローカル ユーザ名/パスワード データベースに MS-CHAP シークレットを含める必要があります。ユーザ名認証の詳細については、「ユーザ名認証の確立」の項を参照してください。

認証の例

ここでは、認証設定の例を紹介します。

「RADIUS 認証の例」

「TACACS+ 認証の例」

「Kerberos 認証の例」

「AAA スケーラビリティの例」

「ログイン バナーと失敗バナーの例」

「AAA パケット オブ ディスコネクト サーバ キーの例」

「二重認証の例」

「自動二重認証の例」

「MS-CHAP の例」

RADIUS 認証の例

ここでは、RADIUS を使用する 2 つの設定例を紹介します。

次に、RADIUS を使用して認証および認可を行うようにルータを設定する例を示します。

aaa authentication login radius-login group radius local
aaa authentication ppp radius-ppp if-needed group radius
aaa authorization exec default group radius if-authenticated
aaa authorization network default group radius
line 3
login authentication radius-login
interface serial 0
ppp authentication radius-ppp
 

この RADIUS 認証および認可設定のサンプル行は、次のように定義されます。

aaa authentication login radius-login group radius local コマンドを実行すると、ルータは、ログイン プロンプトで認証に RADIUS を使用するように設定されます。RADIUS がエラーを返すと、ユーザはローカル データベースを使用して認証されます。

aaa authentication ppp radius-ppp if-needed group radius コマンドを実行すると、ユーザがまだログインしていない場合、Cisco IOS ソフトウェアは CHAP または PAP による PPP 認証を使用するように設定されます。EXEC ファシリティによってユーザが認証済みの場合、PPP 認証は実行されません。

aaa authorization exec default group radius if-authenticated コマンドを実行すると、autocommand や特権レベルなど、EXEC 認可時に使用される情報について、RADIUS データベースに照会されます。ただし、ユーザの認証が成功した場合にだけ、権限が付与されます。

aaa authorization network default group radius コマンドを実行すると、ネットワーク認可、アドレス割り当て、および他のアクセス リストについて RADIUS に照会されます。

login authentication radius-login コマンドを使用すると、ライン 3 について radius-login 方式リストがイネーブルになります。

ppp authentication radius-ppp コマンドを使用すると、シリアル インターフェイス 0 について radius-ppp 方式リストがイネーブルになります。

次に、ユーザ名とパスワードの入力を求め、その内容を確認し、ユーザの EXEC レベルを認可し、特権レベル 2 の認可方式として指定するように、ルータを設定する例を示します。この例では、ユーザ名プロンプトにローカル ユーザ名を入力すると、そのユーザ名が認証に使用されます。

ローカル データベースを使用してユーザが認証されると、RADIUS 認証からのデータは保存されないため、RADIUS を使用する EXEC 認可は失敗します。また、この方式リストではローカル データベースを使用して autocommand を検索します。autocommand がない場合、ユーザは EXEC ユーザになります。次に、ユーザが特権レベル 2 に設定されているコマンドを発行しようとすると、TACACS+ を使用してコマンドの認可が試行されます。

aaa authentication login default group radius local
aaa authorization exec default group radius local
aaa authorization command 2 default group tacacs+ if-authenticated
radius-server host 172.16.71.146 auth-port 1645 acct-port 1646
radius-server attribute 44 include-in-access-req
radius-server attribute 8 include-in-access-req
 

この RADIUS 認証および認可設定のサンプル行は、次のように定義されます。

aaa authentication login default group radius local コマンドにより、RADIUS(RADIUS が応答しない場合はルータのローカル ユーザ データベース)がユーザ名およびパスワードを確認するように指定します。

aaa authorization exec default group radius local コマンドにより、RADIUS を使用してユーザが認証される場合、ユーザの EXEC レベルの設定に RADIUS 認証情報を使用するように指定します。RADIUS 情報が使用されない場合、このコマンドにより、EXEC 認可にローカル ユーザ データベースが使用されるように指定します。

aaa authorization command 2 default group tacacs+ if-authenticated コマンドにより、すでにユーザの認証が成功している場合、特権レベル 2 に設定されているコマンドに TACACS+ 認可を指定します。

radius-server host 172.16.71.146 auth-port 1645 acct-port 1646 コマンドにより、RADIUS サーバ ホストの IP アドレス、認証要求の UDP 宛先ポート、およびアカウンティング要求の UDP 宛先ポートを指定します。

radius-server attribute 44 include-in-access-req コマンドにより、access-request パケットで RADIUS アトリビュート 44(Acct-Session-ID)を送信します。

radius-server attribute 8 include-in-access-req コマンドにより、access-request パケットで RADIUS アトリビュート 8(Framed-IP-Address)を送信します。

TACACS+ 認証の例

次に、PPP 認証に使用するセキュリティ プロトコルとして TACACS+ を設定する例を示します。

aaa new-model
aaa authentication ppp test group tacacs+ local
interface serial 0
ppp authentication chap pap test
tacacs-server host 10.1.2.3
tacacs-server key goaway
 

この TACACS+ 認証設定のサンプル行は、次のように定義されます。

aaa new-model コマンドは、AAA セキュリティ サービスをイネーブルにします。

aaa authentication コマンドにより、PPP を実行するシリアル インターフェイスに使用する方式リスト「test」を定義します。キーワード group tacacs+ は、TACACS+ を介して認証を実行することを示します。認証中に TACACS+ から何らかのエラーが返される場合、キーワード local は、ネットワーク アクセス サーバ上のローカル データベースを使用して認証が試行されることを示します。

interface コマンドにより、回線を選択します。

ppp authentication コマンドにより、この回線に test 方式リストを適用します。

tacacs-server host コマンドにより、TACACS+ デーモンが 10.1.2.3 という IP アドレスを持っていると指定します。

tacacs-server key コマンドにより、共有暗号化キーを「goaway」に定義します。

次に、PPP に AAA 認証を設定する例を示します。

aaa authentication ppp default if-needed group tacacs+ local
 

この例のキーワード default は、デフォルトですべてのインターフェイスに PPP 認証が適用されることを示します。 if-needed キーワードは、ユーザが ASCII ログイン手順を介してすでに認証済みの場合、PPP は不要なので、スキップできることを示します。認証が必要な場合、キーワード group tacacs+ は、認証が TACACS+ を介して実行されることを示します。認証中に TACACS+ から何らかのエラーが返される場合、キーワード local は、ネットワーク アクセス サーバ上のローカル データベースを使用して認証が試行されることを示します。

次に、PAP に同じ認証アルゴリズムを作成し、「default」ではなく「MIS-access」の方式リストを呼び出す例を示します。

aaa authentication ppp MIS-access if-needed group tacacs+ local
interface serial 0
ppp authentication pap MIS-access
 

この例では、リストはどのインターフェイスにも適用されないため(自動的にすべてのインターフェイスに適用されるデフォルト リストとは異なります)、管理者は interface コマンドを使用して、この認証スキームを適用するインターフェイスを選択する必要があります。次に、管理者は ppp authentication コマンドを使用して、選択したインターフェイスにこの方式リストを適用する必要があります。

Kerberos 認証の例

ログイン認証方式として Kerberos を指定するには、次のコマンドを使用します。

aaa authentication login default krb5
 

PPP に Kerberos 認証を指定するには、次のコマンドを使用します。

aaa authentication ppp default krb5

AAA スケーラビリティの例

次に、セキュリティ プロトコルとして RADIUS による AAA を使用する一般的なセキュリティ設定例を示します。この例では、ネットワーク アクセス サーバは、16 バックアップ プロセスを割り当てて PPP に対する AAA 要求を処理するように設定されています。

aaa new-model
radius-server host alcatraz
radius-server key myRaDiUSpassWoRd
radius-server configure-nas
username root password ALongPassword
aaa authentication ppp dialins group radius local
aaa authentication login admins local
aaa authorization network default group radius local
aaa accounting network default start-stop group radius
aaa processes 16
line 1 16
autoselect ppp
autoselect during-login
login authentication admins
modem dialin
interface group-async 1
group-range 1 16
encapsulation ppp
ppp authentication pap dialins
 

この RADIUS AAA 設定のサンプル行は、次のように定義されます。

aaa new-model コマンドは、AAA ネットワーク セキュリティ サービスをイネーブルにします。

radius-server host コマンドは RADIUS サーバ ホストの名前を定義します。

radius-server key コマンドはネットワーク アクセス サーバと RADIUS サーバ ホスト間の共有秘密テキスト ストリングを定義します。

radius-server configure-nas コマンドは、デバイスが最初に起動したときに、Cisco ルータまたはアクセス サーバがスタティック ルートと IP プール定義について RADIUS サーバに照会するように定義します。

username コマンドはユーザ名とパスワードを定義します。これらの情報は、PPP Password Authentication Protocol(PAP; パスワード認証プロトコル)認証での発信元の身元確認に使用されます。

aaa authentication ppp dialins group radius local コマンドで、RADIUS 認証を示す認証方式リスト「dialins」を定義します。次に、(RADIUS サーバが応答しない場合)PPP を使用するシリアル回線にはローカル認証が使用されます。

aaa authentication login admins local コマンドは、ログイン認証の別の方式リスト「admins」を定義します。

aaa authorization network default group radius local コマンドは、アドレスと他のネットワーク パラメータを RADIUS ユーザに割り当てるために使用されます。

aaa accounting network default start-stop group radius コマンドで、PPP の使用状況を追跡します。

aaa processes コマンドにより、PPP に対する AAA 要求を処理するために 16 バックグラウンド プロセスを割り当てます。

line コマンドはコンフィギュレーション モードをグローバル コンフィギュレーションからライン コンフィギュレーションに切り替え、設定対象の回線を指定します。

autoselect ppp コマンドは、選択した回線上で PPP セッションを自動的に開始できるように Cisco IOS ソフトウェアを設定します。

autoselect during-login コマンドを使用して、Return キー押さずにユーザ名およびパスワードのプロンプトを表示します。ユーザがログインすると、autoselect 機能(この場合は PPP)が開始します。

login authentication admins コマンドは、ログイン認証の「admins」方式リストを適用します。

modem dialin コマンドは選択した回線に接続されているモデムを設定し、着信コールだけを受け入れるようにします。

interface group-async コマンドは非同期インターフェイス グループを選択して定義します。

group-range コマンドはインターフェイス グループのメンバの非同期インターフェイスを定義します。

encapsulation ppp コマンドは指定のインターフェイスに使用される PPP をカプセル化方式として設定します。

ppp authentication pap dialins コマンドは「dialins」方式リストを指定したインターフェイスに適用します。

ログイン バナーと失敗バナーの例

次に、ユーザがシステムにログインするときに表示されるログイン バナー(この場合、「Unauthorized Access Prohibited」というフレーズ)を設定する例を示します。アスタリスク(*)はデリミタとして使用されます(RADIUS はデフォルト ログイン認証方式として指定されます)。

aaa new-model
aaa authentication banner *Unauthorized Access Prohibited*
aaa authentication login default group radius
 

この設定によって、次のログイン バナーが生成されます。

Unauthorized Access Prohibited
Username:
 

次に、ユーザかシステムにログイン使用として失敗したときに表示される、失敗ログイン バナー(この場合、「Failed login.Try again.」というフレーズ)を追加で設定する例を示します。アスタリスク(*)はデリミタとして使用されます(RADIUS はデフォルト ログイン認証方式として指定されます)。

aaa new-model
aaa authentication banner *Unauthorized Access Prohibited*
aaa authentication fail-message *Failed login. Try again.*
aaa authentication login default group radius
 

この設定で、次のログイン バナーと失敗ログイン バナーが生成されます。

Unauthorized Access Prohibited
Username:
Password:
Failed login. Try again.

AAA パケット オブ ディスコネクト サーバ キーの例

次に、Packet of Disconnect(POD; パケット オブ ディスコネクト)を設定する例を示します。その結果、特定のセッション アトリビュートが指定されると、ネットワーク アクセス サーバ(NAS)の接続が終了します。

aaa new-model
aaa authentication ppp default radius
aaa accounting network default start-stop radius
aaa accounting delay-start
aaa pod server server-key xyz123
radius-server host 172.16.0.0 non-standard
radius-server key rad123

二重認証の例

ここでは、二重認証に使用できる設定例を示します。実際のネットワークおよびセキュリティ要件によっては、この例とは大幅に異なる可能性があります。

ここでは、次の設定例について説明します。

「二重認証による AAA のローカル ホストの設定例」

「第 1 段階の(PPP)認証と認可に関する AAA サーバの設定例」

「第 2 段階の(Per-User)認証と認可に関する AAA サーバの設定例」

「TACACS+ による設定完了の例」

) 設定例には、特定の IP アドレスと他の特定の情報が含まれます。この情報は説明のための例であり、実際の設定には異なる IP アドレス、異なるユーザ名とパスワード、異なる認可ステートメントを使用します。

二重認証による AAA のローカル ホストの設定例

次の 2 つの例では、PPP とログイン認証、およびネットワークと EXEC 認可に AAA を使用するようにローカル ホストを設定する方法を示します。一方の例は RADIUS、もう一方は TACACS+ の例です。

いずれの例でも、先頭の 3 行で AAA を設定し、特定のサーバを AAA サーバとして設定しています。続く 2 行で PPP およびログイン認証に AAA を設定し、最後の 2 行でネットワークおよび EXEC 認可を設定します。最後の行が必要なのは、 access-profile コマンドを autocommand として実行する場合だけです。

次に、RADIUS AAA サーバを使用するルータ設定の例を示します。

aaa new-model
radius-server host secureserver
radius-server key myradiuskey
aaa authentication ppp default group radius
aaa authentication login default group radius
aaa authorization network default group radius
aaa authorization exec default group radius
 

次に、TACACS+ サーバを使用するルータ設定の例を示します。

aaa new-model
tacacs-server host security
tacacs-server key mytacacskey
aaa authentication ppp default group tacacs+
aaa authentication login default group tacacs+
aaa authorization network default group tacacs+
aaa authorization exec default group tacacs+

第 1 段階の(PPP)認証と認可に関する AAA サーバの設定例

次に、AAA サーバでの設定例を示します。また、RADIUS 用の AAA 設定例の一部を示します。

TACACS+ サーバも同様に設定できます。詳細については、「TACACS+ による設定完了の例」を参照してください。

この例では、二重認証の第 1 段階で CHAP によって認証される「host」というリモート ホストに関する認証/認可を定義します。ACL AV ペアは、リモート ホストによる Telnet 接続をローカル ホストに制限しています。ローカル ホストの IP アドレスは 10.0.0.2 です。

次に、RADIUS 用の AAA サーバの設定例を一部示します。

hostx Password = ”welcome”
User-Service-Type = Framed-User,
Framed-Protocol = PPP,
cisco-avpair = ”lcp:interface-config=ip unnumbered ethernet 0”,
cisco-avpair = ”ip:inacl#3=permit tcp any 172.21.114.0 0.0.0.255 eq telnet”,
cisco-avpair = ”ip:inacl#4=deny icmp any any”,
cisco-avpair = ”ip:route#5=10.0.0.0 255.0.0.0”,
cisco-avpair = ”ip:route#6=10.10.0.0 255.0.0.0”,
cisco-avpair = ”ipx:inacl#3=deny any”

第 2 段階の(Per-User)認証と認可に関する AAA サーバの設定例

ここでは、RADIUS サーバでの AAA 設定例の一部を示します。これらの設定では、ユーザ名が「patuser」のユーザ(Pat)の認証と認可を定義します。このユーザは、二重認証の第 2 段階でユーザ認証されます。

TACACS+ サーバも同様に設定できます。詳細については、「TACACS+ による設定完了の例」を参照してください。

3 つの例は、 access-profile コマンドの 3 つの各形式で使用できる RADIUS AAA 設定の例を示します。

最初の例は、 access-profile コマンドのデフォルト フォーム(キーワードなし)で機能する AAA 設定例の一部を示します。1 つの ACL AV ペアのみが定義されます。また、この例では autocommand として access-profile コマンドも設定します。

patuser Password = ”welcome”
User-Service-Type = Shell-User,
cisco-avpair = ”shell:autocmd=access-profile”
User-Service-Type = Framed-User,
Framed-Protocol = PPP,
cisco-avpair = ”ip:inacl#3=permit tcp any host 10.0.0.2 eq telnet”,
cisco-avpair = ”ip:inacl#4=deny icmp any any”
 

2 番めの例は、 access-profile コマンドの access-profile merge 形式で機能する AAA 設定例の一部を示します。また、この例では autocommand として access-profile merge コマンドも設定します。

patuser Password = ”welcome”
User-Service-Type = Shell-User,
cisco-avpair = ”shell:autocmd=access-profile merge”
User-Service-Type = Framed-User,
Framed-Protocol = PPP,
cisco-avpair = ”ip:inacl#3=permit tcp any any”
cisco-avpair = ”ip:route=10.0.0.0 255.255.0.0”,
cisco-avpair = ”ip:route=10.1.0.0 255.255.0.0”,
cisco-avpair = ”ip:route=10.2.0.0 255.255.0.0”
 

3 番めの例は、 access-profile コマンドの access-profile replace 形式で機能する AAA 設定例の一部を示します。また、この例では autocommand として access-profile replace コマンドも設定します。

patuser Password = ”welcome”
User-Service-Type = Shell-User,
cisco-avpair = ”shell:autocmd=access-profile replace”
User-Service-Type = Framed-User,
Framed-Protocol = PPP,
cisco-avpair = ”ip:inacl#3=permit tcp any any”,
cisco-avpair = ”ip:inacl#4=permit icmp any any”,
cisco-avpair = ”ip:route=10.10.0.0 255.255.0.0”,
cisco-avpair = ”ip:route=10.11.0.0 255.255.0.0”,
cisco-avpair = ”ip:route=10.12.0.0 255.255.0.0”

TACACS+ による設定完了の例

この例では、リモート ホスト(二重認証の第 1 段階で使用)および特定のユーザ(二重認証の第 2 段階でしよう)の両方向けの、TACACS+ 認可プロファイルの設定を示します。この TACACS+ の例には、前の RADIUS の例とほぼ同じ設定情報が使用されます。

この設定例は、リモート ホスト「host」および 3 ユーザ(ユーザ名が「pat_default」、「pat_merge」、および「pat_replace」)の TACACS+ サーバ上にある認証/認可プロファイルを示します。これら 3 つのユーザ名の設定は、 access-profile コマンドの 3 種類のフォームに対応する異なる設定を示しています。また、3 つのユーザ設定は、 access-profile コマンドの各形式について autocommand の設定方法も示しています。

図 3 にトポロジを示します。図の後に、TACACS+ 設定ファイルの例を示します。

図 3 二重認証のトポロジ例

 

この設定例は、リモート ホスト「host」および 3 ユーザ(ユーザ名が「pat_default」、「pat_merge」、および「pat_replace」)の TACACS+ サーバ上にある認証/認可プロファイルを示します。

key = ”mytacacskey”
 
default authorization = permit
 
 
#-----------------------------Remote Host (BRI)-------------------------
#
# This allows the remote host to be authenticated by the local host
# during fist-stage authentication, and provides the remote host
# authorization profile.
#
#-----------------------------------------------------------------------
 
user = hostx
{
login = cleartext ”welcome”
chap = cleartext ”welcome”
 
 
service = ppp protocol = lcp {
interface-config=”ip unnumbered ethernet 0”
}
 
service = ppp protocol = ip {
# It is important to have the hash sign and some string after
# it. This indicates to the NAS that you have a per-user
# config.
 
inacl#3=”permit tcp any 172.21.114.0 0.0.0.255 eq telnet”
inacl#4=”deny icmp any any”
 
route#5=”10.0.0.0 255.0.0.0”
route#6=”10.10.0.0 255.0.0.0”
}
 
service = ppp protocol = ipx {
# see previous comment about the hash sign and string, in protocol = ip
inacl#3=”deny any”
}
 
 
}
 
 
#------------------- ”access-profile” default user ”only acls” ------------------
#
# Without arguments, access-profile removes any access-lists it can find
# in the old configuration (both per-user and per-interface), and makes sure
# that the new profile contains ONLY access-list definitions.
#
#--------------------------------------------------------------------------------
 
user = pat_default
{
login = cleartext ”welcome”
chap = cleartext ”welcome”
 
service = exec
 
{
# This is the autocommand that executes when pat_default logs in.
autocmd = ”access-profile”
}
 
service = ppp protocol = ip {
# Put whatever access-lists, static routes, whatever
# here.
# If you leave this blank, the user will have NO IP
# access-lists (not even the ones installed prior to
# this)!
 
inacl#3=”permit tcp any host 10.0.0.2 eq telnet”
inacl#4=”deny icmp any any”
}
 
 
service = ppp protocol = ipx {
# Put whatever access-lists, static routes, whatever
# here.
# If you leave this blank, the user will have NO IPX
# access-lists (not even the ones installed prior to
# this)!
}
 
 
}
 
 
#--------------------- ”access-profile merge” user ---------------------------
#
# With the 'merge' option, first all old access-lists are removed (as before),
# but then (almost) all AV pairs are uploaded and installed. This will allow
# for uploading any custom static routes, sap-filters, and so on, that the user
# may need in his or her profile. This needs to be used with care, as it leaves
# open the possibility of conflicting configurations.
#
#-----------------------------------------------------------------------------
 
user = pat_merge
{
login = cleartext ”welcome”
chap = cleartext ”welcome”
 
 
service = exec
{
# This is the autocommand that executes when pat_merge logs in.
autocmd = “access-profile merge”
}
 
service = ppp protocol = ip
{
# Put whatever access-lists, static routes, whatever
# here.
# If you leave this blank, the user will have NO IP
# access-lists (not even the ones installed prior to
# this)!
 
inacl#3=”permit tcp any any”
route#2=”10.0.0.0 255.255.0.0”
route#3=”10.1.0.0 255.255.0.0”
route#4=”10.2.0.0 255.255.0.0”
 
}
 
service = ppp protocol = ipx
{
# Put whatever access-lists, static routes, whatever
# here.
# If you leave this blank, the user will have NO IPX
# access-lists (not even the ones installed prior to
# this)!
 
}
 
}
 
 
#--------------------- ”access-profile replace” user ----------------------------
#
# With the 'replace' option, ALL old configuration is removed and ALL new
# configuration is installed.
#
# One caveat: access-profile checks the new configuration for address-pool and
# address AV pairs. As addresses cannot be renegotiated at this point, the
# command will fail (and complain) when it encounters such an AV pair.
# Such AV pairs are considered to be “invalid” for this context.
#-------------------------------------------------------------------------------
 
 
user = pat_replace
{
login = cleartext welcome
chap = cleartext “welcome”
 
 
service = exec
{
# This is the autocommand that executes when pat_replace logs in.
autocmd = ”access-profile replace”
}
 
service = ppp protocol = ip
{
# Put whatever access-lists, static routes, whatever
# here.
# If you leave this blank, the user will have NO IP
# access-lists (not even the ones installed prior to
# this)!
 
inacl#3=”permit tcp any any”
inacl#4=”permit icmp any any”
 
 
route#2=”10.10.0.0 255.255.0.0”
route#3=”10.11.0.0 255.255.0.0”
route#4=”10.12.0.0 255.255.0.0”
}
 
service = ppp protocol = ipx
{
# put whatever access-lists, static routes, whatever
# here.
# If you leave this blank, the user will have NO IPX
# access-lists (not even the ones installed prior to
# this)!
}
 
}

自動二重認証の例

次に、自動二重認証が設定された Cisco 2509 ルータの設定ファイル全体の例を示します。自動二重認証に適用されるコンフィギュレーション コマンドは、2 つのアスタリスク(**)を使用した記述よりも優先されます。

Current configuration:
!
version 11.3
no service password-encryption
!
hostname myrouter
!
!
! **The following AAA commands are used to configure double authentication:
!
! **The following command enables AAA:
aaa new-model
! **The following command enables user authentication via the TACACS+ AAA server:
aaa authentication login default group tacacs+
aaa authentication login console none
! **The following command enables device authentication via the TACACS+ AAA server:
aaa authentication ppp default group tacacs+
! **The following command causes the remote user’s authorization profile to be
! downloaded from the AAA server to the Cisco 2509 router when required:
aaa authorization exec default group tacacs+
! **The following command causes the remote device’s authorization profile to be
! downloaded from the AAA server to the Cisco 2509 router when required:
aaa authorization network default group tacacs+
enable password mypassword
!
ip host blue 172.21.127.226
ip host green 172.21.127.218
ip host red 172.21.127.114
ip domain-name example.com
ip name-server 172.16.2.75
! **The following command globally enables automated double authentication:
ip trigger-authentication timeout 60 port 7500
isdn switch-type basic-5ess
!
!
interface Ethernet0
ip address 172.21.127.186 255.255.255.248
no ip route-cache
no ip mroute-cache
no keepalive
ntp disable
no cdp enable
!
interface Virtual-Template1
ip unnumbered Ethernet0
no ip route-cache
no ip mroute-cache
!
interface Serial0
ip address 172.21.127.105 255.255.255.248
encapsulation ppp
no ip mroute-cache
no keepalive
shutdown
clockrate 2000000
no cdp enable
!
interface Serial1
no ip address
no ip route-cache
no ip mroute-cache
shutdown
no cdp enable
!
! **Automated double authentication occurs via the ISDN BRI interface BRI0:
interface BRI0
ip unnumbered Ethernet0
! **The following command turns on automated double authentication at this interface:
ip trigger-authentication
! **PPP encapsulation is required:
encapsulation ppp
no ip route-cache
no ip mroute-cache
dialer idle-timeout 500
dialer map ip 172.21.127.113 name myrouter 60074
dialer-group 1
no cdp enable
! **The following command specifies that device authentication occurs via PPP CHAP:
ppp authentication chap
!
router eigrp 109
network 172.21.0.0
no auto-summary
!
ip default-gateway 172.21.127.185
no ip classless
ip route 172.21.127.114 255.255.255.255 172.21.127.113
! **Virtual profiles are required for double authentication to work:
virtual-profile virtual-template 1
dialer-list 1 protocol ip permit
no cdp run
! **The following command defines where the TACACS+ AAA server is:
tacacs-server host 171.69.57.35 port 1049
tacacs-server timeout 90
! **The following command defines the key to use with TACACS+ traffic (required):
tacacs-server key mytacacskey
snmp-server community public RO
!
line con 0
exec-timeout 0 0
login authentication console
line aux 0
transport input all
line vty 0 4
exec-timeout 0 0
password lab
!
end
 

MS-CHAP の例

次に、MS-CHAP を使用する PPP 認証に Cisco AS5200 Universal Access Server(AAA および RADIUS セキュリティ サーバとの通信で有効)を設定する例を示します。

aaa new-model
aaa authentication login admins local
aaa authentication ppp dialins group radius local
aaa authorization network default group radius local
aaa accounting network default start-stop group radius
 
username root password ALongPassword
 
radius-server host alcatraz
radius-server key myRaDiUSpassWoRd
 
interface group-async 1
group-range 1 16
encapsulation ppp
ppp authentication ms-chap dialins
 
line 1 16
autoselect ppp
autoselect during-login
login authentication admins
modem dialin
 

この RADIUS AAA 設定のサンプル行は、次のように定義されます。

aaa new-model コマンドは、AAA ネットワーク セキュリティ サービスをイネーブルにします。

aaa authentication login admins local コマンドは、ログイン認証の別の方式リスト「admins」を定義します。

aaa authentication ppp dialins group radius local コマンドで、RADIUS 認証を示す認証方式リスト「dialins」を定義します。次に、(RADIUS サーバが応答しない場合)PPP を使用するシリアル回線にはローカル認証が使用されます。

aaa authorization network default group radius local コマンドは、アドレスと他のネットワーク パラメータを RADIUS ユーザに割り当てるために使用されます。

aaa accounting network default start-stop group radius コマンドで、PPP の使用状況を追跡します。

username コマンドはユーザ名とパスワードを定義します。これらの情報は、PPP Password Authentication Protocol(PAP; パスワード認証プロトコル)認証での発信元の身元確認に使用されます。

radius-server host コマンドは RADIUS サーバ ホストの名前を定義します。

radius-server key コマンドはネットワーク アクセス サーバと RADIUS サーバ ホスト間の共有秘密テキスト ストリングを定義します。

interface group-async コマンドは非同期インターフェイス グループを選択して定義します。

group-range コマンドはインターフェイス グループのメンバの非同期インターフェイスを定義します。

encapsulation ppp コマンドは指定のインターフェイスに使用される PPP をカプセル化方式として設定します。

ppp authentication ms-chap dialins コマンドは ppp 認証方式として MS-CHAP を選択し、特定のインターフェイスに「ダイヤルイン」方式リストを適用します。

line コマンドはコンフィギュレーション モードをグローバル コンフィギュレーションからライン コンフィギュレーションに切り替え、設定対象の回線を指定します。

autoselect ppp コマンドは、選択した回線上で PPP セッションを自動的に開始できるように Cisco IOS ソフトウェアを設定します。

autoselect during-login コマンドを使用して、Return キー押さずにユーザ名およびパスワードのプロンプトを表示します。ユーザがログインすると、autoselect 機能(この場合は PPP)が開始します。

login authentication admins コマンドは、ログイン認証の「admins」方式リストを適用します。

modem dialin コマンドは選択した回線に接続されているモデムを設定し、着信コールだけを受け入れるようにします。

その他の参考資料

ここでは、認証の設定機能に関する関連資料について説明します。

関連資料

内容
参照先

認可

Configuring Authorization 」モジュール

アカウンティング

Configuring Accounting 」モジュール

RADIUS サーバ

Configuring RADIUS 」モジュール

TACACS+ サーバ

Configuring TACACS+ 」モジュール

Kerberos

Configuring Kerberos 」モジュール

規格

規格
タイトル

この機能がサポートする新しい規格または変更された規格はありません。また、この機能による既存規格のサポートに変更はありません。

--

MIB

MIB
MIB リンク

この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

RFC 2903

「Generic AAA Architecture」

RFC 2904

「AAA Authorization Framework」

RFC 2906

「AAA Authorization Requirements」

RFC 2989

「Criteria for Evaluating AAA Protocols for Network Access」

RFC 5176

「Dynamic Authorization Extensions to Remote Authentication Dial In User Service (RADIUS)」

シスコのテクニカル サポート

説明
リンク

右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。

以下を含むさまざまな作業にこの Web サイトが役立ちます。
・テクニカル サポートを受ける
・ソフトウェアをダウンロードする
・セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける
・ツールおよびリソースへアクセスする
- Product Alert の受信登録
- Field Notice の受信登録
- Bug Toolkit を使用した既知の問題の検索
・Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する
・トレーニング リソースへアクセスする
・TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

http://www.cisco.com/cisco/web/support/index.html

認証の設定に関する機能情報

表 10 に、この章に記載されている機能および具体的な設定情報へのリンクを示します。この表には、Cisco IOS Release 12.2(1) または 12.0(3) 以降のリリースで導入または変更された機能のみを示しています。

ここに記載されていないこのテクノロジーの機能情報については、「 Select Your Product 」ページを参照し、お使いの Cisco IOS リリースの製品マニュアルに関するサポート ページを検索してください。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートする Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。

表 10 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。

 

表 10 認証の設定に関する機能情報

機能名
リリース
機能情報

認証

12.0
XE 2.1

この機能は、Cisco IOS Release 12.0 ソフトウェアで導入されました。

この機能は、Cisco IOS Release XE 2.1 ソフトウェアで導入されました。

AAA のユーザ別スケーラビリティ

12.2(27)SB
12.2(33)SR
15.0(1)M

この機能は、Cisco IOS Release 12.2(27)SB で導入されました。

この機能は、Cisco IOS Release 12.2(33)SR に統合されました。

この機能は、Cisco IOS Release 15.0(1)M に統合されました。

RADIUS:ユーザ名が空のアクセス要求を送信しないようにする CLI

12.2(33)SRD
Cisco IOS XE Release 2.4

この認証機能によって、ユーザ名が空のアクセス要求が RADIUS サーバに送信されないようにします。この機能により、RADIUS サーバとの不要なやりとりを回避でき、RADIUS ログの量を少なくすることができます。

この機能に関する詳細については、次の項を参照してください。

「ユーザ名が空のアクセス要求が RADIUS サーバに送信されないようにする」

次のコマンドが導入されました: aaa authentication suppress null-username

LDAP の Active Directory との統合

15.1(1)T

この機能は、AAA の認証および認可のサポートを提供します。LDAP はディレクトリへのアクセスに使用される標準ベースのプロトコルです。RADIUS に類似したクライアント サーバ モデルをベースとしています。LDAP はシスコ デバイス上で稼動し、ユーザ認証およびネットワーク サービス アクセスに関するすべての情報を保持する中央の LDAP サーバへ認証要求を送信します。

コマンド aaa authentication login default group ldap が導入されました。

Change of Authorization(COA; 認可変更)

12.2(33)SXI4

Cisco IOS Release 12.2(33)SXI4 以降、Cisco IOS は RFC 5176 に定義されている RADIUS Change of Authorization(CoA; 認可変更)拡張機能をサポートします。COA 拡張機能は、一般的にプッシュ モデルに使用され、外部の Authentication, Authorization, and Accounting(AAA; 認証、認可、およびアカウンティング)サーバまたはポリシー サーバからのセッションの動的再設定を考慮しています。

導入されたコマンド: aaa server radius dynamic author authentication command bounce-port ignore authentication command disable-port ignore

 

Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at www.cisco.com/go/trademarks . Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R)


このマニュアルで使用している IP アドレスは、実際のアドレスを示すものではありません。マニュアル内の例、コマンド出力、および図は、説明のみを目的として使用されています。説明の中に実際のアドレスが使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。

© 1998-2010 Cisco Systems, Inc.
All rights reserved.

Copyright © 1998-2011, シスコシステムズ合同会社.
All rights reserved.

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ