- ユーザ サービスのセキュリティ保護の概要
- AutoSecure
- 認証
- 認証の設定
- 認可の設定
- Standalone MAB Support
- アカウンティングの設定
- 認証プロキシの設定
- IEEE 802.1x-Flexible Authentication
- ネットワーク アドミッション コントロール
- RADIUS の設定
- AAA Dead-Server Detection
- AAA-SERVER-MIB Set Operation
- ACL Default Direction
- アクセス要求のアトリビュート スクリーニン グ
- 事前認証ユーザに対する RADIUS を使用した マルチリンク PPP のイネーブル化
- 拡張テスト コマンド
- RADIUS アカウンティング内の Framed-Route
- Offload Server Accounting Enhancement
- Per VRF AAA
- RFC-2867 RADIUS トンネル アカウンティン グ
- RADIUS アトリビュート スクリーニング
- RADIUS 集中型フィルタ管理
- RADIUS デバッグ拡張
- RADIUS 論理回線 ID
- RADIUS NAS-IP-Address アトリビュート 設定可能性
- RADIUS ルート ダウンロード
- RADIUS サーバ ロード バランシング
- 56 ビット アカウンティング セッション ID の RADIUS サポート
- ロード バランシングおよびフェールオーバー 用の RADIUS トンネル プリファレンス
- RADIUS サーバ障害発生時順序変更
- トンネル ターミネータでの RADIUS 経由での トンネル認証
- TACACS+ の設定
- Per VRF for TACACS+ Servers
- RADI US アトリビュート概要と RADIUS IETF アトリビュート
- RADIUS ベンダー固有アトリビュート
- RADIUS ベンダー固有アトリビュート (VSA)および RADIUS Disconnect-Cause アトリビュート値
- アクセス要求内の RADIUS アトリビュート 8 (Framed-IP-Address)
- RADIUS トンネル アトリビュート拡張
- セキュア シェルの設定
- リバース SSH 拡張
- セキュア コピー
- セキュア シェル バージョン 2 サポート
- SSH Terminal-Line アクセス
- Cisco IOS Login Enhancements(Login Block)
- Cisco IOS Resilient Configuration
- イメージ検証
- IP ソース トラッカー
- ロールベースの CLI アクセス
セキュリティ コンフィギュレーション ガイド:ユー ザ サービスのセキュリティ保護
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月6日
章のタイトル: Standalone MAB Support
Standalone MAB Support
Standalone MAC Authentication Bypass(MAB; MAC 認証バイパス)は、802.1x 機能またはクレデンシャルにかかわらず、特定の MAC アドレスへのネットワーク アクセスを許可する認証方式です。このため、レジ、ファクス機、プリンタなどのデバイスをすぐに認証し、認証ポリシーに基づくネットワーク機能を使用可能にできます。
Standalone MAB Support が使用可能になるまで、MAB は、802.1x 認証のためのフェールオーバー方式として設定することしかできませんでした。Standalone MAB は、802.1x 認証とは独立しています。
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「Standalone MAB Support の機能情報」 を参照してください。
プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。
この章の構成
•
「Standalone MAB Support の前提条件」
Standalone MAB Support の前提条件
IEEE 802.1x:ポートベースのネットワーク アクセス コントロール
ポートベースのネットワーク アクセス コントロールの概念とシスコのプラットフォーム上のポートベースのネットワーク アクセス コントロールの設定方法を理解しておく必要があります。詳細については、『 Cisco IOS Security Configuration Guide: Securing User Services , Release 15.0』を参照してください。
RADIUS プロトコルの概念と Access Control List(ACL; アクセス コントロール リスト)の作成および適用方法を理解しておく必要があります。詳細については、シスコのプラットフォームのマニュアル、および『 Cisco IOS Security Configuration Guide: Securing User Services , Release 15.0』を参照してください。
スイッチが RADIUS 設定されていて、Cisco Secure Access Control Server(ACS; アクセス コントロール サーバ)に接続されている必要があります。詳細については、『 User Guide for Secure ACS Appliance 3.2 』を参照してください。
Standalone MAB Support について
Standalone MAB をセットアップするには、次の概念を理解しておく必要があります。
• 「Cisco IOS Auth Manager の概要」
Cisco IOS Auth Manager の概要
指定されたネットワークに接続するデバイスの機能は異なっている可能性があるため、ネットワークはさまざまな認証方式および認証ポリシーをサポートする必要があります。Cisco IOS Auth Manager は、認証方法に関係なく、ネットワーク認証要求を処理し、認証ポリシーを強制します。Auth Manager は、すべてのポートベースのネットワーク接続試行、認証、認可、および接続解除に対する運用データを維持することで、セッション マネージャとして機能します。
Auth Manager セッションには、次のような状態が考えられます。
• Idle:idle 状態では、認証セッションは初期化されていますが、実行されている方式はありません。これは中間の状態です。
• Running:現在、方式が実行されています。これは中間の状態です。
• Authc Success:認証方式の実行に成功しました。これは中間の状態です。
• Authc Failed:認証方式が失敗しました。これは中間の状態です。
• Authz Success:このセッションに対するすべての機能の適用に成功しました。これは最終的な状態です。
• Authz Failed:このセッションに対して、少なくとも 1 つの機能の適用に失敗しました。これは最終的な状態です。
Standalone MAB
MAB はネットワーク アクセスの許可または拒否に、接続デバイスの MAC アドレスを使用します。MAB をサポートするため、RADIUS 認証サーバは、ネットワークへのアクセスを必要とするデバイスの MAC アドレスのデータベースを維持します。MAB は、Calling-Station-Id(アトリビュート 31)で MAC アドレスを使用し、Service-Type(アトリビュート 6)で値 10 を使用して、RADIUS 要求を生成します。認証に成功すると、Auth Manager は、ACL 割り当ておよび VLAN 割り当てなど認証ポリシーによって指定されたさまざまな認証機能をイネーブルにします。
Standalone MAB の設定方法
Standalone MAB のイネーブル化
Standalone MAB 機能でイネーブルにされたポートは、ネットワーク アクセスの許可または拒否に接続デバイスの MAC アドレスを使用できます。個別ポートで、Standalone MAB をイネーブルにするには、この項で説明する手順を実行します。
前提条件
Standalone MAB を設定する前に、スイッチを Cisco Secure ACS サーバに接続し、RADIUS Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)を設定する必要があります。
制約事項
Standalone MAB は、スイッチド ポート上でのみ設定できます。ルーテッド ポートでは設定できません。
(注) MAB または MAB EAP がスイッチド ポート上でイネーブルにされているかディセーブルにされているかわからない場合は、インターフェイス コンフィギュレーション モードで、default mab または default mab eap コマンドを使用して、MAB または MAB EAP をデフォルトに設定します。
手順の概要
手順の詳細
|
|
|
|
|---|---|---|
|
|
||
|
|
||
|
|
||
|
|
||
|
|
||
authentication port-control auto |
||
|
|
||
|
|
トラブルシューティングのヒント
次のコマンドは、Standalone MAB のトラブルシューティングに役立ちます。
• show authentication registrations
ポート上の再認証のイネーブル化
手順の概要
6. authentication port-control auto
手順の詳細
|
|
|
|
|---|---|---|
|
|
||
|
|
||
|
|
||
|
|
||
|
|
||
authentication port-control auto |
||
|
|
||
|
|
||
authentication timer reauthenticate { seconds | server } |
||
|
|
セキュリティ違反モードの指定
ポート上でセキュリティ違反がある場合、ポートをシャットダウンするか、トラフィックを制限できます。デフォルトでは、ポートはシャットダウンされます。ポートをシャットダウンする一定の時間を設定できます。
手順の概要
6. authentication port-control auto
8. authentication violation { restrict | shutdown }
手順の詳細
|
|
|
|
|---|---|---|
|
|
||
|
|
||
|
|
||
|
|
||
|
|
||
authentication port-control auto |
||
|
|
||
authentication violation { restrict | shutdown } |
||
authentication timer restart seconds |
||
|
|
Standalone MAB の設定例
Standalone MAB の設定:例
次に、ポート上で Standalone MAB を設定する方法の例を示します。この例で、クライアントは 1200 秒ごとに再認証され、接続は 600 秒の非アクティビティでドロップされます。
その他の参考資料
ここでは、Standalone MAB 機能に関する関連資料について説明します。
関連資料
|
|
|
|---|---|
『 Cisco IOS Security Configuration Guide: Securing User Services , Release 15.0』 |
規格
|
|
|
|---|---|
MIB
|
|
|
|---|---|
選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。 |
RFC
|
|
|
|---|---|
「 IEEE 802.1x Remote Authentication Dial In User Service (RADIUS) 」 |
シスコのテクニカル サポート
Standalone MAB Support の機能情報
表 1 に、この機能のリリース履歴を示します。
ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。
Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートする Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。
(注) 表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。
フィードバック