TACACS に関する情報
TACACS+ は、ユーザーによるルータまたはネットワーク アクセス サーバーへのアクセス試行の集中的な確認を可能にするセキュリティアプリケーションです。TACACS+ サービスは、通常 UNIX または Windows NT ワークステーション上で動作する TACACS+ デーモンのデータベースで管理されます。ネットワーク アクセス サーバーに設定した TACACS+ 機能を使用可能にするには、TACACS+ サーバーにアクセスして TACACS+ サーバーを設定しておく必要があります。
TACACS+ では、独立したモジュラ型の認証、許可、アカウンティング機能が提供されます。TACACS+ を使用すると、単一のアクセス コントロール サーバー(TACACS+ デーモン)で、各サービス(認証、許可、アカウンティング)を個別に提供できます。各サービスを固有のデータベースに結合し、デーモンの機能に応じてそのサーバーまたはネットワークで使用できる他のサービスを提供できます。
TACACS+ の目的は、単一の管理サービスから複数のネットワーク アクセス ポイントを管理する方法を提供することです。アクセス サーバーおよびルーティングのシスコ ファミリおよび(ルータとアクセス サーバー両方の)Cisco IOS および Cisco IOS XE ユーザー インターフェイスは、ネットワーク アクセス サーバーにすることができます。
ネットワーク アクセス ポイントによって、従来の「低機能な」端末、端末エミュレータ、ワークステーション、パーソナル コンピュータ(PC)、およびルータと、適切なアダプタ(たとえば、モデムまたは ISDN アダプタ)を併用して、Point-to-Point Protocol(PPP)、Serial Line Internet Protocol(SLIP)、Compressed SLIP(CSLIP)、または AppleTalk Remote Access(ARA)プロトコルを使用する通信が可能になります。つまり、ネットワーク アクセス サーバーは、単一のユーザー、ネットワークまたはサブネットワーク、および相互接続したネットワークに対して、接続を提供できます。ネットワーク アクセス サーバーを介して接続されているエンティティは、ネットワーク アクセス クライアントと呼ばれます。たとえば、音声グレードの回路で PPP を実行する PC は、ネットワーク アクセス クライアントです。AAA セキュリティ サービスを介して管理される TACACS+ は、次のサービスを提供できます。
-
認証:ログインとパスワードのダイアログ、チャレンジ/レスポンス、メッセージングのサポートを介して、認証を詳細に制御できます。
認証機能には、ユーザーに任意のダイアログを実行する機能があります(たとえば、ログインとパスワードの指定後に、自宅住所、母親の旧姓、サービス タイプ、社会保険番号などの複数の質問をユーザーに試行する機能)。さらに、TACACS+ 認証サービスは、ユーザー画面へのメッセージ送信をサポートします。たとえば、会社のパスワード有効期間ポリシーに従い、パスワードの変更の必要があることをユーザーに通知することもできます。
-
認可:autocommand、アクセス コントロール、セッション期間、プロトコル サポートの設定といった、ユーザー セッション時のユーザー機能についてきめ細かく制御します。また、TACACS+ 認可機能を使用して、ユーザーが実行できるコマンドを制限することもできます。
-
アカウンティング:課金、監査、およびレポートに使用する情報を収集して TACACS+ デーモンに送信します。ネットワークの管理者は、アカウンティング機能を使用して、セキュリティ監査のためにユーザの活動状況をトラッキングしたり、ユーザ課金用の情報を提供したりできます。アカウンティング レコードには、ユーザ ID、開始時刻および終了時刻、実行されたコマンド(PPP など)、パケット数、およびバイト数が含まれます。
TACACS+ プロトコルは、ネットワーク アクセス サーバーと TACACS+ デーモンの間に認証機能を提供します。また、ネットワーク アクセス サーバーと TACACS+ デーモン間のすべてのプロトコル交換は暗号化されるため、機密性を確保できます。
TACACS+ デーモン ソフトウェアを実行するシステムで、ネットワーク アクセス サーバーで TACACS+ 機能を使用する必要があります。
独自の TACACS+ ソフトウェアを開発することに関心があるユーザー向けに、シスコでは、TACACS+ プロトコル仕様をドラフトの RFC として使用できるようにしています。
TACACS の動作
ユーザーが TACACS+ を使用してネットワーク アクセス サーバーに対して認証を受けることで、単純な ASCII ログインを試行すると、一般的に、次のプロセスが発生します。
-
接続が確立すると、ネットワーク アクセス サーバーは TACACS+ デーモンに接続してユーザー名のプロンプトをを取得します。また、そのプロンプトはユーザーに表示されます。ユーザーがユーザー名を入力すると、ネットワーク アクセス サーバーは TACACS+ デーモンに接続し、パスワード プロンプトを取得します。ネットワーク アクセス サーバーはユーザーに対してパスワード プロンプトを表示します。ユーザーがパスワードを入力すると、パスワードは TACACS+ デーモンに送信されます。
Note |
TACACS+ によって、デーモンとユーザーとの間で対話できるようになり、デーモンはユーザーの認証に必要な情報を取得できるようになります。通常、この処理は、ユーザー名とパスワードの組み合わせのプロンプトを表示することで完了しますが、TACACS+ デーモンの制御下で、母親の旧姓など、他のアイテムを含めることができます。 |
-
ネットワーク アクセス サーバーは、最終的に TACACS+ デーモンから次のいずれかの応答を得ます。 - ACCEPT:ユーザーは認証され、サービスを開始できます。認可を必須にするようにネットワーク アクセス サーバーが設定されている場合、この時点で認可が開始されます。
- REJECT:ユーザーは認証に失敗しました。ユーザーは以降のアクセスを拒否される可能性があります。または、TACACS+ デーモンに応じてログイン シーケンスを再試行するようにプロンプトが表示されます。
- ERROR:認証中のある時点でエラーが発生しました。エラーは、デーモン、またはデーモンとネットワーク アクセス サーバー間のネットワーク接続で発生する可能性があります。ERROR 応答を受信すると、通常、ネットワーク アクセス サーバーはユーザーを認証する代替方式を使用しようとします。
- CONTINUE:ユーザーは、さらに認証情報の入力を求められます。
-
PAP ログインは、ASCII ログインに似ていますが、ユーザーによる入力ではなく、PAP プロトコル パケットでユーザー名とパスワードがネットワーク アクセス サーバーに到達するため、ユーザーにはプロンプトが表示されません。PPP CHAP ログインは、原則もにています。
ネットワーク アクセス サーバーで認可をイネーブルにしている場合、認証の後に、ユーザーは追加の認可段階を実行する必要があります。ユーザーは TACACS+ 許可に進む前に、まず TACACS+ 認証を正常に完了する必要があります。
-
TACACS+ の認可が必要な場合も、TACACS+ デーモンに接続します。また、TACACS+ デーモンは、ACCEPT または REJECT 認可応答を返します。ACCEPT 応答が返される場合、この応答には、そのユーザーに関する EXEC または NETWORK セッションを指示するために使用される属性の形式のデータが含まれます。これによって、ユーザーがアクセスできるサービスを判断します。この場合のサービスは次のとおりです。 - Telnet、rlogin、ポイントツーポイント プロトコル(PPP)、シリアル ライン インターネット プロトコル(SLIP)、EXEC サービス
- 接続パラメータ(ホストまたはクライアントの IP アドレス、アクセス リスト、およびユーザ タイムアウトを含む)