TACACS+ over IPv6

IPv6 サーバは、TACACS+ と共に使用するよう設定できます。

TACACS+ over IPv6 に関する情報

Terminal Access Controller Access Control System(TACACS+)セキュリティ プロトコルはユーザの検証を集中的に行います。TACACS+ サービスは、通常 UNIX または Windows NT ワークステーション上で稼働する TACACS+ デーモンのデータベースで管理されます。デバイスに設定した TACACS+ 機能を有効にするには、その前に、TACACS+ サーバにアクセスして TACACS+ サーバを設定する必要があります。

TACACS+ では、認証、許可、アカウンティングの各ファシリティを個別に提供します。TACACS+を使用すると、単一のアクセス コントロール サーバー(TACACS+ デーモン)で、各サービス(認証、許可、アカウンティング)を個別に提供できます。各サービスは固有のデータベースにアソシエートされており、デーモンの機能に応じて、そのサーバーまたはネットワーク上で使用可能な他のサービスを利用できます。

AAA over IPv6

ベンダー固有属性(VSA)を使用して、IPv6 を介して認証、許可、アカウンティング(AAA)をサポートします。Cisco VSA は、inacl、outacl、prefix、および route です。

AAA プロトコルを使用して、プレフィックス プールおよびプール名を設定できます。お客様は、シスコ デバイスと通信するために IPv6 RADIUS サーバまたは TACACS+ サーバを導入できます。

IPv6 トランスポートを介した TACACS+

IPv6 サーバは、TACACS+ を使用するよう設定できます。IPv4 または IPv6 アドレスの代わりに名前を使用して、TACACS+ を使用するよう IPv6 と IPv4 の両方のサーバを設定できます。

TACACS+ over IPv6 の設定方法

IPv6 を介した TACACS+ サーバの設定

SUMMARY STEPS

  1. enable
  2. configure terminal
  3. tacacs server name
  4. address ipv6 ipv6-address
  5. key [0 | 7 ] key-string
  6. port [number
  7. send-nat-address
  8. single-connection
  9. timeout seconds

DETAILED STEPS

  Command or Action Purpose

Step 1

enable

Example:


Device> enable 

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

Step 2

configure terminal

Example:


Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

Step 3

tacacs server name

Example:


Device(config)# tacacs server server1 

IPv6 に対して TACACS+ サーバを設定して、TACACS+ サーバ コンフィギュレーション モードを開始します。

Step 4

address ipv6 ipv6-address

Example:


Device(config-server-tacacs)# address ipv6 2001:DB8:3333:4::5 

TACACS+ サーバの IPv6 アドレスを設定します。

Step 5

key [0 | 7 ] key-string

Example:


Device(config-server-tacacs)# key 0 key1 

TACACS+ サーバでサーバ単位の暗号キーを設定します。

Step 6

port [number

Example:


Device(config-server-tacacs)# port 12 

TACACS+ 接続に使用する TCP ポートを指定します。

Step 7

send-nat-address

Example:


Device(config-server-tacacs)# send-nat-address 

クライアントの NAT 後のアドレスを TACACS+ サーバに送信します。

Step 8

single-connection

Example:


Device(config-server-tacacs)# single-connection 

単一の TCP 接続を使用してすべての TACACS パケットを同じサーバに送信できるようにします。

Step 9

timeout seconds

Example:


Device(config-server-tacacs)# timeout 10 

指定された TACACS サーバからの応答を待機する時間を設定します。

TACACS+ パケットでの送信元アドレスの指定

SUMMARY STEPS

  1. enable
  2. configure terminal
  3. ipv6 tacacs source-interface type number

DETAILED STEPS

  Command or Action Purpose

Step 1

enable

Example:


Router> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

Step 2

configure terminal

Example:


Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

Step 3

ipv6 tacacs source-interface type number

Example:


Router(config)# ipv6 tacacs source-interface GigabitEthernet 0/0/0

TACACS+ パケットで送信元アドレスに使用するインターフェイスを指定します。

TACACS+ サーバ グループ オプションの設定

SUMMARY STEPS

  1. enable
  2. configure terminal
  3. aaa group server tacacs+ group-name
  4. server name server-name
  5. server-private {ip-address | name | ipv6-address } [nat ] [single-connection ] [port port-number ] [timeout seconds ] [key [0 | 7 ] string ]

DETAILED STEPS

  Command or Action Purpose

Step 1

enable

Example:


Device> enable 

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

Step 2

configure terminal

Example:


Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

Step 3

aaa group server tacacs+ group-name

Example:


Device(config)# aaa group server tacacs+ group1 

各種の TACACS+ サーバ ホストを別個のリストと別個の方式にグループ化します。

Step 4

server name server-name

Example:


Device(config-sg-tacacs+)# server name server1 

IPv6 TACACS+ サーバを指定します。

Step 5

server-private {ip-address | name | ipv6-address } [nat ] [single-connection ] [port port-number ] [timeout seconds ] [key [0 | 7 ] string ]

Example:


Device(config-sg-tacacs+)# server-private 2001:DB8:3333:4::5 port 19 key key1 

グループ サーバに対するプライベート TACACS+ サーバの IPv6 アドレスを設定します。

TACACS+ over IPv6 の設定例

例:IPv6 を介した TACACS+ サーバの設定

Device# show tacacs 

            Tacacs+ Server:          server1
            Server Address:          FE80::200:F8FF:FE21:67CF
              Socket opens:          0
             Socket closes:          0
             Socket aborts:          0
             Socket errors:          0
           Socket Timeouts:          0
   Failed Connect Attempts:          0
        Total Packets Sent:          0
        Total Packets Recv:          0

その他の参考資料

ここでは、MSCHAP バージョン 2 の機能に関する関連資料について説明します。

関連資料

関連項目

マニュアル タイトル

PPP インターフェイスの設定

Cisco IOS Dial Technologies Configuration Guide , Release 12.4T』の「PPP Configuration」

シスコのネットワーキング装置の設定および管理に必要なタスクとコマンドの説明

『Cisco IOS Dial Technologies Command Reference』

IOS セキュリティ コマンドの一覧

『Cisco IOS Security Command Reference』

AAA を使用した PPP 認証の設定

Cisco IOS Security Configuration Guide: Securing User Services , Release 12.4T』の「Configuring Authentication」モジュールの「Configuring PPP Authentication Using AAA」

RADIUS 認証の設定

Cisco IOS Security Configuration Guide: Securing User Services, Release 12.4T』の「Configuring RADIUS」モジュール

標準

標準

タイトル

この機能がサポートする新しい規格または変更された規格はありません。

--

MIB

MIB

MIB のリンク

この機能によってサポートされる新しい MIB または変更された MIB はありません。

選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB を探してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC

タイトル

RFC 1661

ポイントツーポイント プロトコル(PPP)

RFC 2548

『Microsoft Vendor-specific RADIUS Attributes』

RFC 2759

「Microsoft PPP CHAP Extensions, Version 2」

シスコのテクニカル サポート

説明

リンク

シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。

お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。

シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。

http://www.cisco.com/en/US/support/index.html

TACACS+ over IPv6 の機能情報

次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。

プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。
Table 1. TACACS+ over IPv6 の機能情報

機能名

リリース

機能情報

TACACS+ over IPv6

Cisco IOS XE Release 3.2S

TACACS+ over IPv6 がサポートされます。

次のコマンドが導入または変更されました。aaa group server tacacs+ address ipv6 (TACACS+) ipv6 tacacs source-interface key (TACACS+) port (TACACS+) send-nat-address server name (IPv6 TACACS+) server-private (TACACS+) single-connection tacacs server timeout (TACACS+)