Cisco IOS セキュリティ コマンド リファレンス:コマンド A ~ C、Cisco IOS XE Release 3SE(Catalyst 3850 スイッチ)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月29日
章のタイトル: aaa authentication banner ~ aaa group server tacacs+
- aaa authentication banner
- aaa authentication dot1x
- aaa authentication fail-message
- aaa authentication login
- aaa authorization
- aaa dnis map accounting network
- aaa dnis map authentication group
- aaa group server radius
- aaa group server tacacs+
aaa authentication banner
ユーザのログイン時に表示されるパーソナライズされたバナーを設定するには、グローバル コンフィギュレーション モードで aaa authentication banner コマンドを使用します。 バナーを削除するには、このコマンドの no 形式を使用します。
aaa authentication banner dstringd
no aaa authentication banner
構文の説明
| d |
文字列がバナーとして表示されるシステムに通知するための文字列の先頭と末尾のデリミタ。 デリミタには、拡張 ASCII 文字セットの任意の文字を使用できます。ただし、デリミタとして定義した文字は、バナーを構成するテキスト文字列には使用できません。 |
| string |
デリミタとして使用されるもの以外の文字グループ。 表示可能な文字の最大数は 2996 文字です。 |
コマンド デフォルト
イネーブルになっていません
コマンド モード
グローバル コンフィギュレーション
コマンド履歴
| リリース |
変更内容 |
|---|---|
| 11.3(4)T |
このコマンドが導入されました。 |
| 12.2(33)SRA |
このコマンドが、Cisco IOS Release 12.2(33)SRA に統合されました。 |
| 12.2SX |
このコマンドは、Cisco IOS Release 12.2SX トレインでサポートされます。 このトレインの特定の 12.2SX リリースにおけるサポートは、フィーチャ セット、プラットフォーム、およびプラットフォーム ハードウェアによって異なります。 |
使用上のガイドライン
ユーザのシステムへのログイン時に表示されるパーソナライズされたメッセージを作成するには、aaa authentication banner コマンドを使用します。 ユーザのログイン時のデフォルト メッセージは、このメッセージまたはバナーに置き換えられます。
ログイン バナーを作成するには、デリミタを設定する必要があります。デリミタはシステムに通知され、デリミタに続くテキスト ストリングはバナーとして表示され、テキスト ストリング自体が表示されます。 デリミタは、バナーの末尾を示すために、テキスト ストリングの末尾で繰り返されます。 デリミタには、拡張 ASCII 文字セットの任意の文字を使用できます。ただし、デリミタとして定義した文字は、バナーを構成するテキスト文字列には使用できません。
 (注) |
TACACS+ が方式リストの最初にある場合、AAA 認証バナー メッセージは表示されません。 |
例
次に、aaa authentication banner が設定されていない場合のデフォルトのログイン メッセージを示します。 (RADIUS はデフォルト ログイン認証方式として指定されます)。
aaa new-model aaa authentication login default group radius
この設定によって、次の標準出力が作成されます。
User Verification Access Username: Password:
次に、ユーザがシステムにログインしたときに表示されるログイン バナー(この場合、「Unauthorized use is prohibited.」というフレーズ)を設定する例を示します。 この場合、アスタリスク(*)記号は、デリミタとして使用されます。 (RADIUS はデフォルト ログイン認証方式として指定されます)。
aaa new-model aaa authentication banner *Unauthorized use is prohibited.* aaa authentication login default group radius
この設定によって、次のログイン バナーが生成されます。
Unauthorized use is prohibited. Username:
関連コマンド
| コマンド |
説明 |
|---|---|
| aaa authentication fail-message |
ユーザがログインに失敗したときに表示されるパーソナライズされたバナーを設定します。 |
aaa authentication dot1x
IEEE 802.1X を実行するインターフェイスで 1 つまたは複数の認証、許可、アカウンティング(AAA)方式を指定するには、グローバル コンフィギュレーション モードで aaa authentication dot1x コマンドを使用します。 認証をディセーブルにするには、このコマンドの no 形式を使用します。
aaa authentication dot1x { default | listname } method1 [ method2 . .. ]
no aaa authentication dot1x { default | listname } method1 [ method2 . .. ]
構文の説明
コマンド デフォルト
認証は実行されません。
グローバル コンフィギュレーション
コマンド履歴
| リリース |
変更内容 |
|---|---|
| 12.1(6)EA2 |
このコマンドが Cisco イーサネット スイッチ ネットワーク モジュールに追加されました。 |
| 12.2(15)ZJ |
このコマンドが、Cisco イーサネット スイッチ モジュールのプラットフォーム Cisco 2600 シリーズ、Cisco 3600 シリーズ、および Cisco 3700 シリーズに実装されました。 |
| 12.3(2)XA |
このコマンドが Cisco 806、Cisco 831、Cisco 836、Cisco 837、Cisco 1701、Cisco 1710、Cisco 1721、Cisco 1751-V、および Cisco 1760 の Cisco ルータ プラットフォームに追加されました。 |
| 12.3(4)T |
このコマンドが Cisco IOS Release 12.3(4)T に統合されました。 Cisco 1751、Cisco 2610XM - Cisco 2611XM、Cisco 2620XM - Cisco 2621XM、Cisco 2650XM - Cisco 2651XM、Cisco 2691、Cisco 3640、Cisco 3640A、および Cisco 3660 のプラットフォームにルータのサポートが追加されました。 |
| 12.2(33)SRA |
このコマンドが、Cisco IOS Release 12.2(33)SRA に統合されました。 |
| 12.2SX |
このコマンドは、Cisco IOS Release 12.2SX トレインでサポートされます。 このトレインの特定の 12.2SX リリースにおけるサポートは、フィーチャ セット、プラットフォーム、およびプラットフォーム ハードウェアによって異なります。 |
使用上のガイドライン
method 引数には、認証アルゴリズムがクライアントからのパスワードを確認するために一定の順序で試みる方式のリストを指定します。 実際に 802.1x に準拠している唯一の方式は、クライアント データが RADIUS 認証サーバに対して確認される group radius 方式です。 その他の方式は、ローカルで設定されているデータを使用して、AAA をイネーブルにしてクライアントを認証します。 たとえば local および local-case 方式では、Cisco IOS コンフィギュレーション ファイルに保存されているユーザ名とパスワードを使用します。 enable 方式および line 方式は、認証に enable パスワードと line パスワードを使用します。
group radius を指定する場合、radius-server host グローバル コンフィギュレーション コマンドを入力して、RADIUS サーバを設定する必要があります。 RADIUS サーバを使用していない場合、local 方式または local-case 方式を使用できます。これらは、ローカル ユーザ名データベースにアクセスして、認証を実行します。 enable 方式または line 方式を指定すると、クライアントにパスワードを提供してスイッチにアクセスできます。
設定された認証方式のリストを表示するには、show running-config 特権 EXEC コマンドを使用します。
例
次に、AAA をイネーブルにして 802.1X の認証リストを作成する例を示します。 この認証は、最初に RADIUS サーバとの交信を試みます。 この操作でエラーが返された場合、ユーザは認証なしで、アクセスが許可されます。
Router(config)# aaa new model Router(config)# aaa authentication dot1x default group radius none
関連コマンド
| コマンド |
説明 |
|---|---|
| debug dot1x |
802.1X デバッグ情報を表示します。 |
| identity profile default |
アイデンティティ プロファイルを作成し、dot1x プロファイル コンフィギュレーション モードを開始します。 |
| show dot1x |
アイデンティティ プロファイルの詳細を表示します。 |
| show dot1x (EtherSwitch) |
スイッチまたは指定したインターフェイスの 802.1X 統計情報、管理ステータス、動作状態を表示します。 |
aaa authentication fail-message
ユーザがログインに失敗したときに表示されるパーソナライズされたバナーを設定するには、グローバル コンフィギュレーション モードで aaa authentication fail-message コマンドを使用します。 ログイン失敗メッセージを削除するには、このコマンドの no 形式を使用します。
aaa authentication fail-message dstringd
no aaa authentication fail-message
構文の説明
| d |
文字列がバナーとして表示されるシステムに通知するための文字列の先頭と末尾のデリミタ。 デリミタには、拡張 ASCII 文字セットの任意の文字を使用できます。ただし、デリミタとして定義した文字は、バナーを構成するテキスト文字列には使用できません。 |
| string |
デリミタとして使用されるもの以外の文字グループ。 表示可能な文字の最大数は 2996 文字です。 |
コマンド デフォルト
イネーブルになっていません
コマンド モード
グローバル コンフィギュレーション
コマンド履歴
| リリース |
変更内容 |
|---|---|
| 11.3(4)T |
このコマンドが導入されました。 |
| 12.2(33)SRA |
このコマンドが、Cisco IOS Release 12.2(33)SRA に統合されました。 |
| 12.2SX |
このコマンドは、Cisco IOS Release 12.2SX トレインでサポートされます。 このトレインの特定の 12.2SX リリースにおけるサポートは、フィーチャ セット、プラットフォーム、およびプラットフォーム ハードウェアによって異なります。 |
使用上のガイドライン
ユーザがログインに失敗したときに表示されるパーソナライズされたメッセージを作成するには、aaa authentication fail-message コマンドを使用します。 デフォルトのログイン失敗メッセージは、このメッセージに置き換えられます。
failed-login バナーを作成するには、デリミタを設定する必要があります。デリミタはシステムに通知され、デリミタに続くテキスト ストリングはバナーとして表示され、テキスト ストリング自体が表示されます。 デリミタは、バナーの末尾を示すために、テキスト ストリングの末尾で繰り返されます。 デリミタには、拡張 ASCII 文字セットの任意の文字を使用できます。ただし、デリミタとして定義した文字は、バナーを構成するテキスト文字列には使用できません。
例
次に、aaa authentication banner および aaa authentication fail-message が設定されていない場合のデフォルトのログイン メッセージおよびログイン失敗メッセージを示します。 (RADIUS はデフォルト ログイン認証方式として指定されます)。
aaa new-model aaa authentication login default group radius
この設定によって、次の標準出力が作成されます。
User Verification Access Username: Password: % Authentication failed.
次に、ログイン バナー(「Unauthorized use is prohibited.」)およびログイン失敗メッセージ(「Failed login. Try again.」)の両方を設定する例を示します。 ログイン メッセージは、ユーザがシステムにログインしたときに表示されます。 ログイン失敗メッセージは、ユーザがシステムへのログインを試みて失敗したときに表示されます (デフォルトのログイン認証方式として RADIUS が指定されています)。この例では、アスタリスク(*)記号がデリミタとして使用されています。
aaa new-model aaa authentication banner *Unauthorized use is prohibited.* aaa authentication fail-message *Failed login. Try again.* aaa authentication login default group radius
この設定で、次のログイン バナーと失敗ログイン バナーが生成されます。
Unauthorized use is prohibited. Username: Password: Failed login. Try again.
関連コマンド
| コマンド |
説明 |
|---|---|
| aaa authentication banner |
ユーザがログインしたときに表示されるパーソナライズされたバナーを設定します。 |
aaa authentication login
ログイン時に認証、許可、アカウンティング(AAA)認証を設定するには、グローバル コンフィギュレーション モードで aaa authentication login コマンドを使用します。 AAA 認証をディセーブルにするには、このコマンドの no 形式を使用します。
aaa authentication login { default | list-name } [passwd-expiry] method1 [ method2 . .. ]
no aaa authentication login { default | list-name } [passwd-expiry] method1 [ method2 . .. ]
構文の説明
コマンド デフォルト
ログイン時の AAA 認証はディセーブルです。
コマンド モード
グローバル コンフィギュレーション(config)
コマンド履歴
| リリース |
変更内容 |
|---|---|
| 10.3 |
このコマンドが導入されました。 |
| 12.0(5)T |
このコマンドが変更されました。 認証の方式として group radius、group tacacs+、および local-case キーワードが追加されました。 |
| 12.4(6)T |
このコマンドが変更されました。 password-expiry キーワードが追加されました。 |
| 12.2(28)SB |
このコマンドが、Cisco IOS Release 12.2(28)SB に統合されました。 認証の方式として cache group-name キーワードおよび引数が追加されました。 |
| 12.2(33)SRA |
このコマンドが、Cisco IOS Release 12.2(33)SRA に統合されました。 |
| 12.2SX |
このコマンドは、Cisco IOS Release 12.2SX トレインでサポートされます。 このトレインの特定の 12.2SX リリースにおけるサポートは、フィーチャ セット、プラットフォーム、およびプラットフォーム ハードウェアによって異なります。 |
| 15.0(1)M |
このコマンドが、Cisco IOS Release 15.0(1)M に統合されました。 |
| 15.1(1)T |
このコマンドが変更されました。 group ldap キーワードが追加されました。 |
| Cisco IOS XE Release 3.1S |
このコマンドが Cisco IOS XE Release 3.1S に統合され、Cisco ASR 1000 シリーズ アグリゲーション サービス ルータに実装されました。 |
| 15.0(1)S |
このコマンドが Cisco IOS Release 15.0(1)S に統合されました。 |
使用上のガイドライン
default キーワードが設定されていない場合、ローカル ユーザ データベースだけがチェックされます。 これは、次のコマンドと同じ結果になります。
aaa authentication login default local
(注) |
コンソール上では、default キーワードが設定されていない場合、認証チェックなしでログインが成功します。 |
aaa authentication login コマンドで作成したデフォルトおよびオプション リストの名前は、login authentication コマンドで使用されます。
特定のプロトコルに対し、aaa authentication login list-name method コマンドを入力してリストを作成します。 list-name 引数は、ユーザがログインするときにアクティブ化される認証方式のリストに名前を指定するのに使用する文字列です。 method 引数には、認証アルゴリズムが一定の順序で試みる方式のリストを指定します。 aaa authentication loginセクションでは、list-name 引数に使用できない認証方式のリストを示します。また、次の表に方式のキーワードを示します。
回線にリストが割り当てられていない場合に使用するデフォルト リストを作成するには、login authentication コマンドをデフォルト引数で使用します。その後、デフォルトの状況で使用する方式を使用します。
追加の認証方式は、その前の方式でエラーが返された場合に限り使用されます。前の方式が失敗した場合は使用されません。 すべての方法でエラーが返されても、認証が成功するようにするには、コマンド ラインの最後の方式として none を指定します。
回線に対して認証が明示的に設定されていない場合、デフォルトではアクセスが拒否され、認証は実行されません。 現在設定されている認証方式のリストを表示するには、more system:running-config コマンドを使用します。
list-name 引数に使用できない認証方式
list-name 引数に使用できない認証方式は次のとおりです。
- auth-guest
- enable
- guest
- if-authenticated
- if-needed
- krb5
- krb-instance
- krb-telnet
- line
- local
- none
- radius
- rcmd
- tacacs
- tacacsplus
(注) |
次の表に、以前に定義された一連の RADIUS サーバまたは TACACS+ サーバを参照する group radius、group tacacs +、group ldap、および groupgroup-name 方式を示します。 ホスト サーバを設定するには、radius-server host コマンドおよび tacacs-server host コマンドを使用します。 サーバの名前付きグループを作成するには、aaa group server radius コマンド、aaa group server ldap コマンド、および aaa group server tacacs+ コマンドを使用します。 |
次の表に、方式のキーワードを示します。
| キーワード |
説明 |
|---|---|
| cache group-name |
キャッシュ サーバ グループを認証に使用します。 |
| enable |
認証にイネーブル パスワードを使用します。 このキーワードは使用できません。 |
| group group-name |
認証に aaa group server radius コマンドまたは aaa group server tacacs+ コマンドで定義された RADIUS サーバまたは TACACS+ サーバのサブセットを使用します。 |
| group ldap |
認証にすべての Lightweight Directory Access Protocol(LDAP)サーバのリストを使用します。 |
| group radius |
認証にすべての RADIUS サーバのリストを使用します。 |
| group tacacs+ |
認証にすべての TACACS+ サーバのリストを使用します。 |
| krb5 |
Kerberos 5 を認証に使用します。 |
| krb5-telnet |
ルータへの接続に Telnet を使用する場合、Kerberos 5 Telnet 認証プロトコルを使用します。 |
| line |
認証にライン パスワードを使用します。 |
| local |
認証にローカルなユーザ名データベースを使用します。 |
| local-case |
認証に大文字と小文字が区別されるローカルなユーザ名を使用します。 |
| none |
認証を使用しません。 |
| passwd-expiry |
ログイン リストを使用してパスワード エージングをサポートします。 |
例
次に、MIS-access と呼ばれる AAA 認証リストを作成する例を示します。 この認証は、まず TACACS+ サーバに接続を試みます。 サーバが見つからない場合は、TACACS+ がエラーを返し、AAA はイネーブル パスワードの使用を試みます。 (サーバにイネーブル パスワードが設定されていないため)この試みがエラーを返す場合、ユーザは認証なしでのアクセスが許可されます。
aaa authentication login MIS-access group tacacs+ enable none
次に、同じリストを作成する例を示します。ただし、他のリストが指定されていない場合、すべてのログイン認証に使用されるデフォルトのリストが設定されます。
aaa authentication login default group tacacs+ enable none
次に、Telnet を使用してルータに接続する場合、ログイン時の認証に Kerberos 5 Telnet 認証プロトコルを使用するように設定する例を示します。
aaa authentication login default krb5
次に、crypto クライアントに AAA を使用することによってパスワード エージングを設定する例を示します。
aaa authentication login userauthen passwd-expiry group radius
関連コマンド
| コマンド |
説明 |
|---|---|
| aaa new-model |
AAA アクセス コントロール モデルをイネーブルにします。 |
| login authentication |
ログインに対する AAA 認証をイネーブルにします。 |
aaa authorization
ネットワークへのユーザ アクセスを制限するパラメータを設定するには、グローバル コンフィギュレーション モードで aaa authorization コマンドを使用します。 パラメータを削除するには、このコマンドの no 形式を使用します。
aaa authorization { auth-proxy | cache | commands level | config-commands | configuration | console | exec | ipmobile | multicast | network | policy-if | prepaid | radius-proxy | reverse-access | subscriber-service | template } { default | list-name } [ method1 [ method2 . .. ] ]
no aaa authorization { auth-proxy | cache | commands level | config-commands | configuration | console | exec | ipmobile | multicast | network | policy-if | prepaid | radius-proxy | reverse-access | subscriber-service | template } { default | list-name } [ method1 [ method2 . .. ] ]
構文の説明
| auth-proxy |
認証プロキシ サービスの許可を実行します。 |
| cache |
認証、許可、アカウンティング(AAA)サーバを設定します。 |
| commands |
指定した特権レベルですべてのコマンドの許可を実行します。 |
| level |
許可が必要な特定のコマンド レベル。 有効な値は 0 ~ 15 です。 |
| config-commands |
許可を実行して、コンフィギュレーション モードで入力されるコマンドが許可されるかどうかを確認します。 |
| configuration |
AAA サーバからコンフィギュレーションをダウンロードします。 |
| console |
AAA サーバのコンソール許可をイネーブルにします。 |
| exec |
許可を実行して、EXEC シェルを実行することがユーザに許可されているかどうかを確認します。 この機能では、autocommand の情報など、ユーザ プロファイルの情報が返されます。 |
| ipmobile |
モバイル IP サービスの許可を実行します。 |
| multicast |
AAA サーバからマルチキャスト コンフィギュレーションをダウンロードします。 |
| network |
シリアル ライン インターネット プロトコル(SLIP)、PPP(ポイントツーポイント プロトコル)、PPP ネットワーク コントロール プログラム(NCP)、AppleTalk Remote Access(ARA)など、すべてのネットワーク関連サービス要求について許可を実行します。 |
| policy-if |
diameter ポリシー インターフェイス アプリケーションの許可を実行します。 |
| prepaid |
diameter プリペイド サービスの許可を実行します。 |
| radius-proxy |
プロキシ サービスの許可を実行します。 |
| reverse-access |
リバース Telnet などのリバース アクセス接続の許可を実行します。 |
| subscriber-service |
Virtual Private Dialup Network(VPDN)などの iEdge 加入者サービスの許可を実行します。 |
| template |
AAA サーバのテンプレート許可をイネーブルにします。 |
| default |
このキーワードに続く許可方式のリストを許可のデフォルト方式リストとして使用します。 |
| list-name |
許可方式リストの名前の指定に使用する文字列です。 |
| method1 [method2...] |
(任意)許可に使用する 1 つまたは複数の許可方式を指定します。 方式は、次の表に示すキーワードのいずれかである可能性があります。 |
コマンド デフォルト
すべてのアクションに対する許可がディセーブルになります(キーワード none と同等)。
コマンド モード
グローバル コンフィギュレーション(config)
コマンド履歴
| リリース |
変更内容 |
|---|---|
| 10.0 |
このコマンドが導入されました。 |
| 12.0(5)T |
このコマンドが変更されました。 許可の方式として group radius および group tacacs+ キーワードが追加されました。 |
| 12.2(28)SB |
このコマンドが変更されました。 許可の方式として cache group-name キーワードおよび引数が追加されました。 |
| 12.2(33)SRA |
このコマンドが、Cisco IOS Release 12.2(33)SRA に統合されました。 |
| 12.2SX |
このコマンドは、Cisco IOS Release 12.2SX トレインでサポートされます。 このトレインの特定の 12.2SX リリースにおけるサポートは、フィーチャ セット、プラットフォーム、およびプラットフォーム ハードウェアによって異なります。 |
| 15.0(1)M |
このコマンドが、Cisco IOS Release 15.0(1)M に統合されました。 |
| 15.1(1)T |
このコマンドが変更されました。 group ldap キーワードが追加されました。 |
使用上のガイドライン
許可をイネーブルにし、ユーザが特定の機能にアクセスしたときに使用できる許可方式を定義する名前付き方式リストを作成するには、aaa authorization コマンドを使用します。 許可の方式リストによって、許可の実行方法とこれらの方式の実行順序が定義されます。 方式リストは、順番に使用される許可方式(RADIUS、TACACS+ など)を説明する名前付きリストです。 方式リストを使用すると、許可に使用するセキュリティ プロトコルを 1 つ以上指定できるため、最初の方式が失敗した場合のバックアップ システムを確保できます。 Cisco IOS ソフトウェアでは、特定のネットワーク サービスについてユーザを許可するために最初の方式が使用されます。その方式が応答しない場合、方式リストの次の方式が選択されます。 このプロセスは、リスト内の許可方式による通信が成功するか、定義された方式をすべて試し終わるまで繰り返されます。
(注) |
Cisco IOS ソフトウェアでは、前の方式からの応答がない場合にのみ、リストの次の許可方式が試行されます。 このサイクルの任意の時点で許可が失敗した場合(つまり、セキュリティ サーバまたはローカル ユーザ名データベースからユーザ サービスの拒否応答が返される場合)、許可プロセスは停止し、その他の許可方式は試行されません。 |
特定の許可タイプの aaa authorization コマンドを、名前付き方式リストを指定しないで発行した場合、名前付き方式リストが明示的に定義されているものを除いて、すべてのインターフェイスまたは回線(この許可タイプが適用される)にデフォルトの方式リストが自動的に適用されます (定義された方式リストによって、デフォルトの方式リストが上書きされます)。デフォルトの方式リストが定義されていない場合は許可が実行されません。 RADIUS サーバからの IP プールのダウンロードの許可など、アウトバウンド許可を実行するには、デフォルトの許可方式リストを使用する必要があります。
list-name および method 引数の値を入力してリストを作成するには、aaa authorization コマンドを使用します。ここで、list-name はこのリストの名前(すべての方式名を除く)の指定に使用する文字列で、method には、一定の順序で試みる許可方式のリストを指定します。
(注) |
次の表に、以前に定義された一連の RADIUS サーバまたは TACACS+ サーバを参照する group group-name、group ldap、group radius、および group tacacs + 方式を示します。 ホスト サーバを設定するには、radius-server host コマンドおよび tacacs-server host コマンドを使用します。 サーバの名前付きグループを作成するには、aaa group server radius コマンド、aaa group server ldap コマンド、および aaa group server tacacs+ コマンドを使用します。 |
次の表に、方式のキーワードを示します。
| キーワード |
説明 |
||
|---|---|---|---|
| cache group-name |
許可にキャッシュ サーバ グループを使用します。 |
||
| group group-name |
アカウンティングに server group group-name コマンドで定義される RADIUS または TACACS+ サーバのサブセットを使用します。 |
||
| group ldap |
認証にすべての Lightweight Directory Access Protocol(LDAP)サーバのリストを使用します。 |
||
| group radius |
認証に aaa group server radius コマンドで定義されるすべての RADIUS サーバのリストを使用します。 |
||
| group tacacs+ |
認証に aaa group server tacacs+ コマンドで定義されるすべての TACACS+ サーバのリストを使用します。 |
||
| if-authenticated |
ユーザが認証されると、ユーザが要求した機能にアクセスすることを許可します。
|
||
| local |
許可にローカル データベースを使用します。 |
||
| none |
許可が実行されないことを示します。 |
Cisco IOS ソフトウェアは、次の許可の方式をサポートしています。
- Cache Server Groups:ルータがユーザに固有の権限を許可するキャッシュ サーバ グループを照会します。
- If-Authenticated:ユーザが認証に成功した場合、ユーザは要求した機能にアクセスできます。
- Local:ルータまたはアクセス サーバは、username コマンドの定義に従って、ローカル データベースに問い合わせて、ユーザに固有の権限を許可します。 ローカル データベースでは制御できるのは、一部の機能だけです。
- None:ネットワーク アクセス サーバは、許可情報を要求しません。許可は、この回線またはインターフェイスで実行されません。
- RADIUS:ネットワーク アクセス サーバは RADIUS セキュリティ サーバ グループからの許可情報を要求します。 RADIUS 許可では、属性を関連付けることでユーザに固有の権限を定義します。属性は適切なユーザとともに RADIUS サーバ上のデータベースに保存されます。
- TACACS+:ネットワーク アクセス サーバは、TACACS+ セキュリティ デーモンと許可情報を交換します。 TACACS+ 許可は、属性値(AV)ペアを関連付けることでユーザに固有の権限を定義します。属性ペアは適切なユーザとともに TACACS+ セキュリティ サーバのデータベースに保存されます。
方式リストは、要求されている許可のタイプによって異なります。 AAA は 5 種類の許可をサポートしています。
- コマンド:ユーザが実行する EXEC モード コマンドに適用されます。 コマンドの許可は、特定の特権レベルに関連付けられた、グローバル コンフィギュレーション コマンドなどのすべての EXEC モード コマンドについて、許可を試行します。
- EXEC:ユーザ EXEC ターミナル セッションに関連付けられた属性に適用します。
- ネットワーク:ネットワーク接続に適用します。 ネットワーク接続には、PPP、SLIP、または ARA 接続を含めることができます。
(注) |
先頭に do コマンドを追加した EXEC コマンドを含むグローバル コンフィギュレーション コマンドを許可するには、aaa authorization config-commands コマンドを設定する必要があります。 |
名前付き方式リストを作成すると、指定した許可タイプに対して特定の許可方式リストが定義されます。
定義されると、方式リストを特定の回線またはインターフェイスに適用してから、定義済み方式のいずれかを実行する必要があります。
許可コマンドにより、許可プロセスの一部として RADIUS または TACACS デーモンに送信される一連の AV ペアを含む要求パケットが発生します。 デーモンは、次のいずれかのアクションを実行できます。
サポートされる RADIUS 属性のリストについては、「RADIUS 属性」モジュールを参照してください。 サポートされる TACACS+ AV ペアのリストについては、「TACACS+ 属性値ペア」モジュールを参照してください。
(注) |
disable、enable、exit、help、および logout の 5 つのコマンドは、特権レベル 0 に関連付けられています。 特権レベルの AAA 許可を 1 以上に設定した場合、これらの 5 つのコマンドは特権レベル コマンドのセットに含まれません。 |
例
次に、PPP を使用するシリアル回線に RADIUS 許可が使用されるように指定する mygroup という名前のネットワーク許可方式リストを定義する例を示します。 RADIUS サーバが応答しない場合、ローカル ネットワーク許可が実行されます。
aaa authorization network mygroup group radius local
関連コマンド
| コマンド |
説明 |
|---|---|
| aaa accounting |
課金またはセキュリティ目的のために、要求されたサービスの AAA アカウンティングをイネーブルにします。 |
| aaa group server radius |
各種の RADIUS サーバ ホストを別個のリストと別個の方式にグループ化します。 |
| aaa group server tacacs+ |
各種の TACACS+ サーバ ホストを別個のリストと別個の方式にグループ化します。 |
| aaa new-model |
AAA アクセス コントロール モデルをイネーブルにします。 |
| radius-server host |
RADIUS サーバ ホストを指定します。 |
| tacacs-server host |
TACACS+ ホストを指定します。 |
| username |
ユーザ名をベースとした認証システムを構築します。 |
aaa dnis map accounting network
AAA アカウンティングに使用される特定の認証、許可、アカウンティング(AAA)サーバ グループに着信番号情報サービス(DNIS)番号をマッピングするには、グローバル コンフィギュレーション モードで aaa dnis map accounting network コマンドを使用します。 名前付きサーバ グループから DNIS マッピングを削除するには、このコマンドの no 形式を使用します。
aaa dnis map dnis-number accounting network [ start-stop | stop-only | none ] [broadcast] group groupname
no aaa dnis map dnis-number accounting network
構文の説明
| dnis-number |
DNIS の番号。 |
| start-stop |
(任意)定義されたセキュリティ サーバ グループがプロセスの開始時に「アカウンティング開始」通知を送信し、プロセスの終了時に「アカウンティング停止」通知を送信することを示します。 「アカウンティング開始」レコードはバックグラウンドで送信されます (要求されたユーザ プロセスは、「アカウンティング開始」通知をアカウンティング サーバから受信したかどうかにかかわらず開始されます)。 |
| stop-only |
(任意)定義されたセキュリティ サーバ グループが要求されたユーザ プロセスの終了時に「アカウンティング停止」通知を送信することを示します。 |
| none |
(任意)定義されたセキュリティ サーバ グループがアカウンティング通知を送信しないことを示します。 |
| broadcast |
(任意)複数の AAA サーバへのアカウンティング レコードの送信をイネーブルにします。 各グループの最初のサーバに対し、アカウンティング レコードを同時に送信します。 最初のサーバが使用できない場合はフェールオーバーが発生し、そのグループ内に定義されているバックアップ サーバが使用されます。 |
| group groupname |
下の表で説明されているキーワードの少なくとも 1 個。 |
コマンド デフォルト
このコマンドは、デフォルトでディセーブルになっています。
コマンド モード
グローバル コンフィギュレーション
コマンド履歴
| リリース |
変更内容 |
|---|---|
| 12.0(7)T |
このコマンドが導入されました。 |
| 12.1(1)T |
|
| 12.2(33)SRA |
このコマンドが、Cisco IOS Release 12.2(33)SRA に統合されました。 |
| 12.2SX |
このコマンドは、Cisco IOS Release 12.2SX トレインでサポートされます。 このトレインの特定の 12.2SX リリースにおけるサポートは、フィーチャ セット、プラットフォーム、およびプラットフォーム ハードウェアによって異なります。 |
使用上のガイドライン
このコマンドは、特定の DNIS を使用してネットワークに電話をかけているユーザのアカウンティング要求をサーバ グループが処理できるように、特定の AAA サーバ グループに DNIS 番号を割り当てることができます。 このコマンドを使用するには、まず AAA をイネーブルにし、AAA サーバ グループを定義して、DNIS マッピングをイネーブルにする必要があります。
次の表に、アカウンティング方式のキーワードについての説明を示します。
| キーワード |
説明 |
|---|---|
| group radius |
認証に aaa group server radius コマンドで定義されるすべての RADIUS サーバのリストを使用します。 |
| group tacacs+ |
認証に aaa group server tacacs+ コマンドで定義されるすべての TACACS+ サーバのリストを使用します。 |
| group group-name |
group-name サーバ グループで定義したように、アカウンティングのための RADIUS サーバまたは TACACS+ サーバのサブセットを使用します。 |
上の表に、以前に定義された一連の RADIUS サーバまたは TACACS+ サーバを参照する group radius および group tacacs + 方式を示します。 ホスト サーバを設定するには、radius-server host コマンドおよび tacacs-server host コマンドを使用します。 サーバの名前付きグループを作成するには、aaa group server radius コマンドおよび aaa group server tacacs+ コマンドを使用します。
例
次に、group1 と呼ばれる RADIUS サーバ グループに DNIS 番号 7777 をマッピングする例を示します。 サーバ グループ group1 は、DNIS 7777 で電話をかけるユーザのアカウンティング要求に対して RADIUS サーバ 172.30.0.0 を使用します。
aaa new-model radius-server host 172.30.0.0 acct-port 1646 key cisco1 aaa group server radius group1 server 172.30.0.0 aaa dnis map enable aaa dnis map 7777 accounting network group group1
関連コマンド
| コマンド |
説明 |
|---|---|
| aaa dnis map authentication ppp group |
特定の認証サーバ グループに DNIS 番号をマッピングします。 |
| aaa dnis map enable |
DNIS に基づいて、AAA サーバの選択をイネーブルにします。 |
| aaa group server |
複数のサーバ ホストを別々のリストと別々の方式にグループ分けします。 |
| aaa new-model |
AAA アクセス コントロール モデルをイネーブルにします。 |
| radius-server host |
RADIUS サーバ ホストを指定します。 |
aaa dnis map authentication group
AAA アカウンティングに使用される特定の認証サーバ グループ(認証、許可、アカウンティング(AAA)認証に使用されるサーバ グループ)に着信番号識別サービス(DNIS)番号をマッピングするには、AAA サーバ グループ コンフィギュレーション モードで aaa dnis map authentication group コマンドを使用します。 定義済みのサーバ グループから DNIS 番号を削除するには、このコマンドの no 形式を使用します。
aaa dnis map dnis-number authentication { ppp | login } group server-group-name
no aaa dnis map dnis-number authentication { ppp | login } group server-group-name
構文の説明
| dnis-number |
DNIS の番号。 |
| ppp |
PPP 認証方式をイネーブルにします。 |
| login |
文字モード認証をイネーブルにします。 |
| server-group-name |
サーバ グループに関連付けられているセキュリティ サーバのグループの名前を指定するのに使用する文字列。 |
コマンド デフォルト
DNIS 番号はサーバ グループにマッピングされません。
コマンド モード
AAA-server-group の設定
コマンド履歴
| リリース |
変更内容 |
|---|---|
| 12.0(7)T |
このコマンドが導入されました。 |
| 12.1(3)XL1 |
このコマンドは login キーワードが追加され、文字モード認証を含むように変更されました。 |
| 12.2(2)T |
login キーワードのサポートが Cisco IOS Release 12.2(2)T に追加され、このコマンドが Cisco 2600 シリーズ、Cisco 3600 シリーズ、および Cisco 7200 プラットフォームに実装されました。 |
| 12.2(8)T |
このコマンドが、IGX8400 プラットフォーム用の Cisco 806、Cisco 828、Cisco 1710、Cisco SOHO 78、Cisco 3631、Cisco 3725、Cisco 3745、および Cisco URM に実装されました。 |
| 12.2(11)T |
このコマンドが Cisco AS5300 および Cisco AS5800 プラットフォームに実装されました。 |
| 12.2(28)SB |
このコマンドが、Cisco IOS Release 12.2(28)SB に統合されました。 |
| 12.2(33)SRA |
このコマンドが、Cisco IOS Release 12.2(33)SRA に統合されました。 |
| 12.2SX |
このコマンドは、Cisco IOS Release 12.2SX トレインでサポートされます。 このトレインの特定の 12.2SX リリースにおけるサポートは、フィーチャ セット、プラットフォーム、およびプラットフォーム ハードウェアによって異なります。 |
使用上のガイドライン
特定の DNIS を使用してネットワークに電話をかけているユーザのアカウンティング要求をサーバ グループが処理できるように、特定の AAA サーバ グループに DNIS 番号を割り当てるには、aaa dnis map authentication group コマンドを使用します。 aaa dnis map authentication group コマンドを使用するには、まず AAA をイネーブルにし、AAA サーバ グループを定義して、DNIS マッピングをイネーブルにする必要があります。
例
次に、group1 と呼ばれる RADIUS サーバ グループに DNIS 番号 7777 をマッピングする例を示します。 サーバ グループ group1 は、DNIS 7777 で電話をかけるユーザの認証要求に対して RADIUS サーバ 172.30.0.0 を使用します。
aaa new-model radius-server host 172.30.0.0 auth-port 1645 key cisco1 aaa group server radius group1 server 172.30.0.0 aaa dnis map enable aaa dnis map 7777 authentication ppp group group1 aaa dnis map 7777 authentication login group group1
関連コマンド
| コマンド |
説明 |
|---|---|
| aaa dnis map accounting network group |
特定のアカウンティング サーバ グループに DNIS 番号をマッピングします。 |
| aaa dnis map enable |
DNIS に基づいて、AAA サーバの選択をイネーブルにします。 |
| aaa group server |
各種のサーバ ホストを別個のリストと別個の方式にグループ化します。 |
| aaa new-model |
AAA アクセス コントロール モデルをイネーブルにします。 |
| radius-server host |
RADIUS サーバ ホストを指定します。 |
aaa group server radius
各種の RADIUS サーバ ホストを別個のリストと別個の方式にグループ化するには、グローバル コンフィギュレーション モードで aaa group server radius コマンドを入力します。 コンフィギュレーション リストからグループ サーバを削除するには、このコマンドの no 形式を入力します。
aaa group server radius group-name
no aaa group server radius group-name
構文の説明
| group-name |
サーバ グループの名前の指定に使用する文字列です。 group-name 引数として使用できない語句のリストについては、次の表を参照してください。 |
コマンド デフォルト
デフォルトの動作や値はありません。
コマンド モード
グローバル コンフィギュレーション
コマンド履歴
| リリース |
変更内容 |
|---|---|
| 12.0(5)T |
このコマンドが導入されました。 |
| 12.2(33)SRA |
このコマンドが、Cisco IOS Release 12.2(33)SRA に統合されました。 |
| 12.2SX |
このコマンドは、Cisco IOS Release 12.2SX トレインでサポートされます。 このトレインの特定の 12.2SX リリースにおけるサポートは、フィーチャ セット、プラットフォーム、およびプラットフォーム ハードウェアによって異なります。 |
使用上のガイドライン
認証、許可、アカウンティング(AAA)サーバグループ機能は、既存のサーバ ホストをグループ化する手段を導入します。 この機能を使用して、設定されているサーバ ホストのサブセットを選択し、それらのホストを特定のサービスに使用できます。
グループ サーバは、特定のタイプのサーバ ホストのリストです。 現在サポートされているサーバ ホストのタイプは RADIUS サーバ ホストと TACACS+ サーバ ホストです。 グループ サーバは、グローバル サーバ ホスト リストと併せて使用されます。 グループ サーバには、選択したサーバ ホストの IP アドレスが一覧表示されます。
次の表に、group-name 引数として使用できない語句を示します。
| 語句 |
|---|
| auth-guest |
| enable |
| guest |
| if-authenticated |
| if-needed |
| krb5 |
| krb-instance |
| krb-telnet |
| line |
| local |
| none |
| radius |
| rcmd |
| tacacs |
| tacacsplus |
例
次に、3 つのメンバ サーバからなる radgroup1 という AAA グループ サーバを設定する例を示します。
aaa group server radius radgroup1 server 10.1.1.1 auth-port 1700 acct-port 1701 server 10.2.2.2 auth-port 1702 acct-port 1703 server 10.3.3.3 auth-port 1705 acct-port 1706
(注) |
auth-port と acct-port が指定されていない場合、auth-port のデフォルト値は 1645、acct-port のデフォルト値は 1646 です。 |
関連コマンド
| コマンド |
説明 |
|---|---|
| aaa accounting |
課金またはセキュリティ目的のために、要求されたサービスの AAA アカウンティングをイネーブルにします。 |
| aaa authentication login |
ログイン時の AAA 認証を設定します。 |
| aaa authorization |
ネットワークへのユーザ アクセスを制限するパラメータを設定します。 |
| aaa new-model |
AAA アクセス コントロール モデルをイネーブルにします。 |
| radius-server host |
RADIUS サーバ ホストを指定します。 |
aaa group server tacacs+
各種の TACACS+ サーバ ホストを別個のリストと別個の方式にグループ化するには、グローバル コンフィギュレーション モードで aaa group server tacacs+ コマンドを使用します。 コンフィギュレーション リストからサーバ グループを削除するには、このコマンドの no 形式を使用します。
aaa group server tacacs+ group-name
no aaa group server tacacs+ group-name
構文の説明
| group-name |
サーバ グループの名前の指定に使用する文字列です。 group-name 引数として使用できない語句のリストについては、次の表を参照してください。 |
コマンド デフォルト
デフォルトの動作や値はありません。
コマンド モード
グローバル コンフィギュレーション(config)
コマンド履歴
| リリース |
変更内容 |
|---|---|
| 12.0(5)T |
このコマンドが導入されました。 |
| 12.2(33)SRA |
このコマンドが、Cisco IOS Release 12.2(33)SRA に統合されました。 |
| 12.2SX |
このコマンドは、Cisco IOS Release 12.2SX トレインでサポートされます。 このトレインの特定の 12.2SX リリースにおけるサポートは、フィーチャ セット、プラットフォーム、およびプラットフォーム ハードウェアによって異なります。 |
| 12.2(54)SG |
このコマンドが、Cisco IOS Release 12.2(54)SG に統合されました。 |
| Cisco IOS XE Release 3.2S |
このコマンドが変更されました。 IPv6 のサポートが追加されました。 |
使用上のガイドライン
認証、許可、アカウンティング(AAA)サーバグループ機能は、既存のサーバ ホストをグループ化する手段を導入します。 この機能を使用して、設定されているサーバ ホストのサブセットを選択し、それらのホストを特定のサービスに使用できます。
サーバ グループは、特定のタイプのサーバ ホストのリストです。 現在サポートされているサーバ ホストのタイプは RADIUS サーバ ホストと TACACS+ サーバ ホストです。 サーバ グループは、グローバル サーバ ホスト リストと併せて使用されます。 サーバ グループには、選択したサーバ ホストの IP アドレスが一覧表示されます。
次の表に、group-name 引数値に使用できないキーワードを示します。
| 語句 |
|---|
| auth-guest |
| enable |
| guest |
| if-authenticated |
| if-needed |
| krb5 |
| krb-instance |
| krb-telnet |
| line |
| local |
| none |
| radius |
| rcmd |
| tacacs |
| tacacsplus |
例
次に、3 つのメンバ サーバからなる tacgroup1 という AAA グループ サーバを設定する例を示します。
aaa group server tacacs+ tacgroup1 server 10.1.1.1 server 10.2.2.2 server 10.3.3.3
関連コマンド
| コマンド |
説明 |
|---|---|
| aaa accounting |
課金またはセキュリティのために、要求されたサービスの AAA アカウンティングをイネーブルにします。 |
| aaa authentication login |
課金またはセキュリティ目的のために、要求されたサービスの AAA アカウンティングをイネーブルにします。 |
| aaa authorization |
ネットワークへのユーザ アクセスを制限するパラメータを設定します。 |
| aaa new-model |
AAA アクセス コントロール モデルをイネーブルにします。 |
| tacacs-server host |
TACACS+ ホストを指定します。 |
フィードバック