Cisco DCNM Installation and Upgrade Guide for LAN Fabric Deployment, Release 11.5(4)

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Cisco DCNM Installation and Upgrade Guide for LAN Fabric Deployment, Release 11.5(4)

Chapter Title

TACACS+ サーバ経由で認証をセットアップ

検索結果

Updated:
2022年7月27日

章のタイトル: TACACS+ サーバ経由で認証をセットアップ

TACACS+ サーバ経由で認証をセットアップ

TACACS+ Server 経由のリモート認証

リリース 11.5(1) 以降、Cisco DCNM には、TACACS+ サーバ経由で認証を設定するための appmgr コマンドが用意されています。DCNM は TACACS+ サーバに接続して、アクセスが許可されているかどうかを判断します。成功すると、アクセスが許可されます。TACACS+ サーバに到達できない場合、システムはローカル認証に戻ります。

この機能によって認証されるユーザは、root ユーザ、sysadmin ユーザ、および poap ユーザです。すべてのユーザをリモート サーバで設定する必要があります。

リモート認証は、SSH セッションでのみサポートされます。su コマンドは常にローカル認証を使用します。アプライアンス コンソールからのログインでは、ユーザがシステムからロックアウトされないように、常にローカル認証が使用されます。

リモート認証の削除

リモート認証を削除するには、次のコマンドを使用します。

appmgr remote-auth set none

(注)  
appmgr remote-auth set コマンドは、常に古い設定を新しい設定に置き換えます。

TACACS+ を使用したリモート認証の設定

TACACS+ を使用してリモート認証を設定するには、次のコマンドを使用します。

appmgr remote-auth set tacacs [ auth {pap | chap | ascii } ] {server <addr> <secret> }

値は次のとおりです。

  • auth は、認証タイプを定義します。指定しない場合、デフォルトは PAP です。ASCII および MSCHAP もサポートされます。

  • addr はサーバのアドレスです。サーバ アドレスは、ホスト名、IPv4 アドレス、または IPv6 アドレス形式にすることができます。ポート番号を指定することもできます。例:my.tac.server.com:2049.

    IPv6 アドレスは、RFC2732 に準拠した完全修飾 IPv6 形式でなければなりません。IPv6 アドレスは [ ] で囲む必要があります。そうしないと、機能が正しく機能しません。

    次に例を示します。

    • [2001:420:1201:2::a] – 正解

    • 2001:420:1201:2::a – 不正解

  • secret は、DCNM と TACACS+ サーバ間で共有される秘密です。スペースを含むシークレットは許可されません/サポートされません。

リモート認証の有効化または無効化

リモート認証を有効または無効にするには、次のコマンドを使用します。

appmgr remote-auth { enable | disable }

リモート認証パスワードの表示

リモート認証パスワードを表示するには、次のコマンドを使用します。

appmgr remote-auth show

サンプル出力:

dcnm# appmgr remote-auth show
Remote Authentication is DISABLED

dcnm# appmgr remote-auth show
Remote Authentication is ENABLED
Protocol: tacacs+
Server: 172.28.11.77, secret: ********
Authentication type: ascii

dcnm#

デフォルトでは、[-S or --show-secret] キーワードを使用しない限り、共有秘密はクリア テキストで表示されません。

  1. 172.28.11.77 をリモート認証サーバとして設定し、cisco123 を共有秘密として使用します。

    dcnm# appmgr remote‐auth set tacacs server 172.28.11.77 cisco123
dcnm# appmgr remote‐auth enable

  2. 認証タイプとして MSCHAP を使用し、172.28.11.77 をリモート認証サーバとして設定し、Cisco 123 を共有秘密として設定します。

    dcnm# appmgr remote‐auth set tacacs auth mschap 172.28.11.77 cisco123
dcnm# appmgr remote‐auth enable

  3. 異なる共有秘密を持つ 3 つのサーバを設定します。

    dcnm# appmgr remote‐auth set tacacs server tac1.cisco.com:2049 cisco123 server
                  tac2.cisco.com Cisco_123 server tac3.cisco.com C1sco_123
dcnm# appmgr remote‐auth enable

  4. 認証設定を無効にするか、削除します。

    dcnm# appmgr remote‐auth set tacacs none

  5. 設定を削除せずにリモート認証を無効にします。

    dcnm# appmgr remote‐auth disable

  6. 現在のリモート認証設定を有効にします。

    dcnm# appmgr remote‐auth enable

リモート認証と POAP

リモート認証がイネーブルの場合、POAP ユーザのローカル パスワードは TACACS サーバのパスワードと同じである必要があります。それ以外の場合、POAP は失敗します。

ローカルの POAP パスワードを同期するには、TACACS サーバでパスワードを設定または変更した後、次のコマンドを使用します。

appmgr change_pwd ssh poap

Cisco DCNM ネイティブ HA セットアップでは、このコマンドはアクティブ ノードでのみ実行します。

DCNM ネイティブ HA セットアップでのリモート認証

既存のスタンドアロン セットアップにセカンダリ HA ノードを追加する前、および appmgr update ssh-peer-trust コマンドを実行する前に、リモート認証を無効にする必要があります。

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ