- ユーザ サービスのセキュリティ保護の概要
- AutoSecure
- 認証
- 認証の設定
- 認可の設定
- Standalone MAB Support
- アカウンティングの設定
- 認証プロキシの設定
- IEEE 802.1x-Flexible Authentication
- ネットワーク アドミッション コントロール
- RADIUS の設定
- AAA Dead-Server Detection
- AAA-SERVER-MIB Set Operation
- ACL Default Direction
- アクセス要求のアトリビュート スクリーニン グ
- 事前認証ユーザに対する RADIUS を使用した マルチリンク PPP のイネーブル化
- 拡張テスト コマンド
- RADIUS アカウンティング内の Framed-Route
- Offload Server Accounting Enhancement
- Per VRF AAA
- RFC-2867 RADIUS トンネル アカウンティン グ
- RADIUS アトリビュート スクリーニング
- RADIUS 集中型フィルタ管理
- RADIUS デバッグ拡張
- RADIUS 論理回線 ID
- RADIUS NAS-IP-Address アトリビュート 設定可能性
- RADIUS ルート ダウンロード
- RADIUS サーバ ロード バランシング
- 56 ビット アカウンティング セッション ID の RADIUS サポート
- ロード バランシングおよびフェールオーバー 用の RADIUS トンネル プリファレンス
- RADIUS サーバ障害発生時順序変更
- トンネル ターミネータでの RADIUS 経由での トンネル認証
- TACACS+ の設定
- Per VRF for TACACS+ Servers
- RADI US アトリビュート概要と RADIUS IETF アトリビュート
- RADIUS ベンダー固有アトリビュート
- RADIUS ベンダー固有アトリビュート (VSA)および RADIUS Disconnect-Cause アトリビュート値
- アクセス要求内の RADIUS アトリビュート 8 (Framed-IP-Address)
- RADIUS トンネル アトリビュート拡張
- セキュア シェルの設定
- リバース SSH 拡張
- セキュア コピー
- セキュア シェル バージョン 2 サポート
- SSH Terminal-Line アクセス
- Cisco IOS Login Enhancements(Login Block)
- Cisco IOS Resilient Configuration
- イメージ検証
- IP ソース トラッカー
- ロールベースの CLI アクセス
セキュリティ コンフィギュレーション ガイド:ユー ザ サービスのセキュリティ保護
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月6日
章のタイトル: RADIUS アトリビュート スクリーニング
RADIUS アトリビュート スクリーニング
RADIUS アトリビュート スクリーニング機能を使用すれば、認可やアカウンティングなどの目的で Network Access Server(NAS; ネットワーク アクセス サーバ)上の「許可」または「拒否」RADIUS アトリビュートのリストを設定できます。
NAS が Access-Accept パケットで受信したすべて の RADIUS アトリビュートを受け入れて処理する場合は、不必要なアトリビュートを処理する可能性があり、顧客の Authentication, Authorization, and Accounting(AAA; 認証、認可、およびアカウンティング)サーバを制御しないホールセール プロバイダーの場合に問題が発生します。たとえば、顧客が加入していないサービスを指定するアトリビュートが存在したり、他のホールセール ダイヤル ユーザ向けのサービスを低下させるアトリビュートが存在したりする場合です。そのため、特定のアトリビュートの使用を制限するように NAS を設定できることが、多くのユーザの要件になります。
RADIUS アトリビュート スクリーニング機能を実装するには、次の方法のいずれかを使用する必要があります。
•
NAS が、特定の目的で、設定された拒否リストに登録されたものを除く、すべての標準 RADIUS アトリビュートを受け入れて、処理できるようにする
• NAS が、特定の目的で、設定された許可リストに登録されたものを除く、すべての標準 RADIUS アトリビュートを拒否(除外)できるようにする
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「RADIUS アトリビュート スクリーニングの機能情報」 を参照してください。
プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。
この章の構成
• 「RADIUS アトリビュート スクリーニングの前提条件」
• 「RADIUS アトリビュート スクリーニングの制約事項」
• 「RADIUS アトリビュート スクリーニングに関する情報」
• 「RADIUS アトリビュート スクリーニングの設定例」
• 「RADIUS アトリビュート スクリーニングの機能情報」
• 「用語集」
RADIUS アトリビュート スクリーニングの前提条件
RADIUS 許可リストまたは拒否リストを設定する前に、グローバル コンフィギュレーション モードで aaa new-model コマンドを使用して AAA を有効にする必要があります。
RADIUS アトリビュート スクリーニングの制約事項
この機能を有効にするには、RADIUS グループを使用して認可するように NAS を設定する必要があります。
許可リストまたは拒否リストの設定に使用される 2 つのフィルタは相互排他的です。そのため、ユーザはサーバ グループの目的ごとに、1 つのアクセス リストか、1 つの拒否リストしか設定できません。
この機能は、Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)スクリーニングをサポートしていません。ただし、ユーザは、すべての VSA を許可または拒否する許可リストまたは拒否リスト内でアトリビュート 26(Vendor-Specific)を指定できます。
アトリビュートが必須の場合は、拒否が無視され、アトリビュートのパススルーが許可されます。
(注) 必須アトリビュートの拒否リストを設定してもエラーにはなりません。これは、リストでは目的(認可またはアカウンティング)が指定されないためです。サーバが、アトリビュートの使用目的を認識したときに、そのアトリビュートが必須かどうかを判断します。
RADIUS アトリビュート スクリーニングに関する情報
RADIUS アトリビュート スクリーニング機能は、次のようなメリットを提供します。
• ユーザは、NAS 上で特定の目的のアトリビュートを選択して許可リストまたは拒否リストを設定できるため、不必要なアトリビュートが受け入れられ、処理されることがなくなります。
• 関連するアカウンティング アトリビュートだけの許可リストを設定することによって、不必要なトラフィックを削減し、アカウンティング データのカスタマイズを可能にすることができます。
RADIUS アトリビュートのスクリーン方法
次の項で、RADIUS アトリビュートをスクリーンして、確認する方法について説明します。
RADIUS アトリビュート スクリーニングの設定
RADIUS アトリビュートの許可リストまたは拒否リストを認可またはアカウンティング用に設定するには、次のコマンドを使用します。
手順の概要
3. aaa authentication ppp default group group-name
4. aaa authorization network default group group-name
5. aaa group server radius group-name
7. authorization [ accept | reject ] listname または accounting [ accept | reject ] listname
9. radius-server host { hostname | ip-address } [ key string ]
手順の詳細
|
|
|
|
|---|---|---|
|
|
||
|
|
||
aaa authentication ppp default Router(config)# aaa authentication ppp default group radius-sg |
||
aaa authorization network default group group-name Router(config)# aaa authorization network default group radius-sg |
||
aaa group server radius |
||
|
|
||
authorization accounting |
を除く、すべてのアトリビュートが許可されることを意味します。 | |
radius-server host |
||
radius-server attribute |
attribute コマンドで定義されたアトリビュートのセットに付けるリスト名を定義し、server-group コンフィギュレーション モードに入ります。 と同じにする必要があります。 |
|
attribute |
設定した許可リストまたは拒否リストに RADIUS アトリビュートを追加します。詳細については、「 RADIUS Attributes Overview and RADIUS IETF Attributes 」フィーチャ モジュールを参照してください。 (注) このコマンドは、許可リストまたは拒否リストにアトリビュートを追加するために何回も使用できます。 (注) user-password(RADIUS アトリビュート 2)アトリビュートと nas-ip(RADIUS アトリビュート 4)アトリビュートは、フィルタ対象として設定されている場合に、アクセス要求内でまとめてフィルタすることができます。アクセス要求には、ユーザ パスワード、CHAP パスワード、状態のいずれかを含める必要があります。また、NAS IP アドレスと NAS 識別子のどちらかを RADIUS アカウンティング要求に含める必要があります。 |
RADIUS アトリビュート スクリーニングの確認
許可リストまたは拒否リストを確認するには、特権 EXEC モードで次のコマンドのいずれかを使用します。
|
|
|
|---|---|
RADIUS アトリビュート スクリーニングの設定例
• 「認可許可:例」
認可許可:例
次の例は、アトリビュート 6(Service-Type)とアトリビュート 7(Framed-Protocol)用の許可リストの設定方法を示しています。他のすべてのアトリビュート(VSA を含む)は RADIUS 認可に対して拒否されます。
アカウンティング拒否:例
次の例は、アトリビュート 66(Tunnel-Client-Endpoint)とアトリビュート 67(Tunnel-Server-Endpoint)用の拒否リストの設定方法を示しています。他のすべてのアトリビュート(VSA を含む)は RADIUS アカウンティングに対して受け入れられます。
認可拒否とアカウンティング許可:例
次の例は、RADIUS 認可用の拒否リストと RADIUS アカウンティング用の許可リストの設定方法を示しています。認可またはアカウンティングのサーバ グループごとに複数の許可リストまたは拒否リストを設定できませんが、サーバ グループごとに認可用のリストとアカウンティング用のリストを 1 つずつ設定できます。
必須アトリビュートの拒否:例
次の例は、debug aaa accounting コマンドのデバッグ出力を示しています。この例では、必須アトリビュートの 44、40、および 41 が拒否リストの「standard」に追加されています。
その他の参考資料
次の項で、RADIUS アトリビュート スクリーニング機能に関する参考資料を紹介します。
関連資料
|
|
|
|---|---|
『 Cisco IOS Security Configuration Guide: Securing User Services , Release 12.4T 』 |
|
「 Configuring RADIUS 」モジュール |
規格
|
|
|
|---|---|
MIB
|
|
|
|---|---|
選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。 |
RFC
|
|
|
|---|---|
シスコのテクニカル サポート
RADIUS アトリビュート スクリーニングの機能情報
表 1 に、この機能のリリース履歴を示します。
ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。
Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートする Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
(注) 表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。
用語集
AAA:Authentication, Authorization, and Accounting(認証、認可、およびアカウンティング)。Cisco ルータまたはアクセス サーバにアクセス コントロールを設定できる主要なフレームワークを提供する一連のネットワーク セキュリティ サービスです。
NAS:Network Access Server(NAS; ネットワーク アクセス サーバ)パケットの世界(インターネットなど)と回線の世界(公衆電話交換網など)をインターフェイスするシスコ プラットフォーム(または AccessPath システムなどのプラットフォームの集合)。
RADIUS :Remote Authentication Dial-In User Service(リモート認証ダイヤルイン ユーザ サービス)。RADIUS は、不正アクセスからネットワークを保護する分散型クライアント/サーバ システムです。シスコの実装では RADIUS クライアントは Cisco ルータ上で稼動します。認証要求は、すべてのユーザ認証情報とネットワーク サービス アクセス情報が格納されている中央の RADIUS サーバに送信されます。
VSA:Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)。VSA は、1 つの IETF アトリビュート(Vendor-Specific(アトリビュート 26))から抽出されます。アトリビュート 26 を使用すれば、ベンダーは、追加の 255 個のアトリビュートを作成して実装できます。つまり、ベンダーは、どの IETF アトリビュートとも一致しないアトリビュートを作成して、それをアトリビュート 26 の背後にカプセル化することができます。具体的には、Vendor-Specific ="protocol:attribute=value" と指定します。
アトリビュート:RADIUS Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)アトリビュートは、255 の標準アトリビュートで構成されるオリジナルのセットで、クライアントとサーバ間での AAA 情報の伝達に使用されます。IETF アトリビュートは標準であるため、アトリビュート データは事前定義されてその内容も認識されています。このため、IETF アトリビュートを介して AAA 情報を交換するすべてのクライアントとサーバは、アトリビュートの厳密な意味や各アトリビュート値の一般的な限界など、アトリビュート データに一致させる必要があります。
Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at www.cisco.com/go/trademarks . Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R)
このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワーク トポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。
© 2001-2002, 2009 Cisco Systems, Inc.
All rights reserved.
フィードバック