次に、ネットワーク アクセス サーバーが TACACS+ セキュリティ サーバーから認可情報を要求してから、ユーザーによるリバース Telnet セッションの確立を許可する例を示します。
aaa new-model
aaa authentication login default group tacacs+
aaa authorization reverse-access default group tacacs+
!
tacacs-server host 172.31.255.0
tacacs-server timeout 90
tacacs-server key goaway
この TACACS+ リバース Telnet 認可設定のサンプル行は、次のように定義されます。
-
aaa new-model コマンドは AAA を有効にします。
-
aaa authentication login default group tacacs+ コマンドで、ログイン時のユーザー認証のデフォルト方式として TACACS+ を指定します。
-
リバース Telnet セッションを確立しようとしているときに、aaa authorization reverse-access default group tacacs+ コマンドで、ユーザー認可の方式として TACACS+ を指定します。
-
tacacs-server host コマンドで、TACACS+ サーバーを指定します。
-
tacacs-server timeout コマンドで、ネットワークアクセスサーバーが TACACS+ サーバーの応答を待機する期間を設定します。
-
tacacs-server key コマンドで、ネットワークアクセスサーバーと TACACS+ デーモン間のすべての TACACS+ 通信に使用される暗号キーを定義します。
次に、ネットワーク アクセス サーバー「maple」上のポート tty2、およびネットワーク アクセス サーバー「oak」上のポート tty5 に対するリバース Telnet アクセス権をユーザー pat に付与する汎用の TACACS+ サーバーを設定する例を示します。
user = pat
login = cleartext lab
service = raccess {
port#1 = maple/tty2
port#2 = oak/tty5
Note
|
この例では、「maple」と「oak」には、DNS 名またはエイリアスではなく、ネットワーク アクセス サーバーのホスト名が設定されています。
|
次に、TACACS+ サーバー(CiscoSecure)を設定して、ユーザー pat にリバース Telnet アクセス権を付与する例を示します。
user = pat
profile_id = 90
profile_cycle = 1
member = Tacacs_Users
service=shell {
default cmd=permit
}
service=raccess {
allow “c2511e0” “tty1” “.*”
refuse “.*” “.*” “.*”
password = clear “goaway”
Note
|
CiscoSecure は、バージョン 2.1(x )~ バージョン 2.2(1) のコマンドライン インターフェイスを使用して、リバース Telnet だけをサポートしています。
|
空の「service=raccess {}」句は、リバース Telnet のネットワーク アクセス サーバー ポートに対して無条件のアクセス権をユーザーに許可しています。「service=raccess」句が存在しない場合、ユーザーはリバース
Telnet のすべてのポートに対してアクセスを拒否されます。
TACACS+ の設定の詳細については、「TACACS+ の設定」の章を参照してください。CiscoSecure の設定の詳細については、『CiscoSecure Access Control Server User Guide』の version 2.1(2) 以降を参照してください。
次に、ネットワーク アクセス サーバーが RADIUS セキュリティ サーバーから認可を要求してから、ユーザーによるリバース Telnet セッションの確立を許可する例を示します。
aaa new-model
aaa authentication login default group radius
aaa authorization reverse-access default group radius
!
radius-server host 172.31.255.0
radius-server key go away
auth-port 1645 acct-port 1646
この RADIUS リバース Telnet 認可設定のサンプル行は、次のように定義されます。
-
aaa new-model コマンドは AAA を有効にします。
-
aaa authentication login default group radius コマンドで、ログイン時のユーザー認証のデフォルト方式として RADIUS を指定します。
-
リバース Telnet セッションを確立しようとしているときに、aaa authorization reverse-access default group radius コマンドで、ユーザー認可の方式として RADIUS を指定します。
-
radius-server host コマンドで、RADIUS サーバーを指定します。
-
radius-server key コマンドで、ネットワークアクセスサーバーと RADIUS デーモン間のすべての RADIUS 通信に使用される暗号キーを定義します。
次に、ネットワーク アクセス サーバー「maple」上のポート tty2 で、ユーザー「pat」にリバース Telnet アクセス権を付与する RADIUS サーバーに要求を送信する例を示します。
Username = “pat”
Password = “goaway”
User-Service-Type = Shell-User
cisco-avpair = “raccess:port#1=maple/tty2”
構文「raccess:port=any/any」で、リバース Telnet のネットワーク アクセス サーバー ポートに対して無条件のアクセス権をユーザーに許可します。「raccess:port={nasname }/{tty number }」句がユーザー プロファイルにない場合、ユーザーはすべてのポートでリバース Telnet へのアクセスを拒否されます。
RADIUS の設定の詳細については、「RADIUS の設定」の章を参照してください。