Cisco Nexus 1000V セキュリティ コンフィギュレーション ガイド リリース 4.2(1)SV1(5.1)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月2日
章のタイトル: RADIUS の設定
- RADIUS の概要
- RADIUS の前提条件
- 注意事項および制約事項
- デフォルト設定
- RADIUS サーバの設定
- RADIUS サーバ ホストの設定
- RADIUS グローバル キーの設定
- RADIUS サーバ キーの設定
- RADIUS サーバ グループの設定
- RADIUS サーバの誘導要求のイネーブル化
- すべての RADIUS サーバのグローバル タイムアウトの設定
- すべての RADIUS サーバのグローバル リトライ回数の設定
- 単一 RADIUS サーバのタイムアウト間隔の設定
- 単一 RADIUS サーバのリトライ回数の設定
- RADIUS アカウンティング サーバの設定
- RADIUS 認証サーバの設定
- RADIUS サーバの定期モニタリングの設定
- グローバル デッド タイム間隔の設定
- RADIUS サーバまたはサーバ グループの手動でのモニタリング
- RADIUS 設定の確認
- RADIUS サーバの統計情報の表示
- RADIUS 設定例
- その他の関連資料
- RADIUS 機能の履歴
RADIUS の設定
RADIUS の概要
RADIUS 分散クライアント/ サーバ システムを使用すると、不正アクセスからネットワークを保護できます。シスコの実装では、RADIUS クライアントは Cisco NX-OS デバイス上で稼動します。認証要求とアカウンティング要求は、すべてのユーザ認証情報とネットワーク サービス アクセス情報が格納されている中央の RADIUS サーバに送信されます。
RADIUS のネットワーク環境
RADIUS は、高度なセキュリティを必要とし、同時にリモート ユーザのネットワーク アクセスを維持する必要があるさまざまなネットワーク環境に実装できます。
RADIUS は、アクセス セキュリティを必要とする次のネットワーク環境で使用します。
•
RADIUS をサポートしている複数ベンダーのネットワーク デバイスを使用したネットワーク たとえば、複数ベンダーのネットワーク デバイスで、単一の RADIUS サーバ ベースのセキュリティ データベースを使用できます。
• すでに RADIUS を使用中のネットワーク。RADIUS 機能を持つ Cisco NX-OS デバイスをネットワークに追加できます。この作業は、AAA サーバに移行するときの最初の手順になります。
• リソース アカウンティングが必要なネットワーク。RADIUS アカウンティングは、RADIUS 認証または RADIUS 許可とは個別に使用できます。RADIUS アカウンティング機能を使用すると、サービスの開始および終了時に、セッション中に使用したリソース(時間、パケット、バイトなど)の量を示すデータを送信できます。インターネット サービス プロバイダー(ISP)は、RADIUS アクセス コントロールおよびアカウンティング用ソフトウェアのフリーウェア版を使用して、特殊なセキュリティおよび課金ニーズに対応しています。
• 認証プロファイルをサポートするネットワーク ネットワークで RADIUS サーバを使用すると、AAA 認証を設定し、ユーザごとのプロファイルをセットアップできます。ユーザ単位のプロファイルにより、既存の RADIUS ソリューションを使用するポートの管理性が向上し、共有リソースを効率的に管理して、各種のサービスレベル契約を提供できるようになります。
RADIUS の動作
RADIUS を使用する NX-OS デバイスにユーザがログインおよび認証を試みると、次の処理が行われます。
1. ユーザが、ユーザ名とパスワードの入力を求められ、入力します。
2. ユーザ名および暗号化されたパスワードが、ネットワーク経由で RADIUS サーバに送信されます。
3. ユーザは、RADIUS サーバから次のいずれかの応答を受信します。
– REJECT:ユーザは認証されず、ユーザ名とパスワードの再入力を求められるか、アクセスを拒否されます。
– CHALLENGE:RADIUS サーバによってチャレンジが発行されます。チャレンジは、ユーザから追加データを収集します。
– CHANGE PASSWORD:RADIUS サーバからユーザに対して新しいパスワードの選択を求める要求が発行されます。
ACCEPT または REJECT 応答には、EXEC またはネットワーク認可に使用される追加データが含まれています。RADIUS 許可を使用するには、まず RADIUS 認証を完了する必要があります。ACCEPT または REJECT パケットに含まれる追加データの内容は次のとおりです。
• ユーザがアクセス可能なサービス(Telnet、rlogin、または local-area transport(LAT; ローカルエリア トランスポート)接続、PPP(ポイントツーポイント プロトコル)、Serial Line Internet Protocol(SLIP; シリアル ライン インターネット プロトコル)、EXEC サービスなど)
RADIUS サーバ モニタリング
応答しない RADIUS サーバがあると、AAA 要求の処理が遅れることがあります。AAA 要求の処理時間を短縮するために、RADIUS サーバを定期的にモニタして RADIUS サーバが応答している(アライブ)かどうかを調べることができます。応答しない RADIUS サーバはデッド(dead)としてマークされ、AAA 要求は送信されません。デッド RADIUS サーバは定期的にモニタされ、応答があればアライブ状態に戻されます。このモニタリング プロセスにより、RADIUS サーバが稼動状態であることを確認してから、実際の AAA 要求が送信されます。RADIUS サーバがデッドまたはアライブの状態に変わると Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)トラップが生成され、障害が発生していることを示すエラー メッセージが表示されます。図 5-1 を参照してください。
(注) アライブ サーバとデッド サーバのモニタリング間隔は異なります。これらはユーザが設定できます。RADIUS サーバ モニタリングを実行するには、テスト認証要求を RADIUS サーバに送信します。
ベンダー固有属性(VSA)
Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)が、ネットワーク アクセス サーバと RADIUS サーバの間での VSA の通信のための方式を規定する標準を作成しています。IETF は、属性 26 を使用します。VSA を使用するとベンダーは、一般的な用途には適合しない独自の拡張属性をサポートできます。シスコの RADIUS 実装は、この仕様で推奨される形式を使用して、1 つのベンダー固有オプションをサポートしています。シスコのベンダー ID は 9 で、サポートするオプションはベンダー タイプ 1、名前は cisco-av-pair です。値は、次の形式のストリングです。
protocol は、特定の許可タイプを表すシスコの属性です。separator は、必須属性の場合は =(等号)、任意の属性の場合は * (アスタリスク)です。
認証に RADIUS サーバを使用した場合、RADIUS プロトコルでは RADIUS サーバに対して、認証結果とともに権限付与情報などのユーザ属性を返すように指示します。この許可情報は、VSA で指定されます。
次に、サポートされる VSA プロトコル オプションを示します。
• shell:ユーザ プロファイル情報を提供する access-accept パケットで使用されるプロトコル。
• Accounting:accounting-request パケットで使用されるプロトコル。値にスペースが含まれている場合は、二重引用符で囲む必要があります。
• roles:ユーザが属するすべてのロールの一覧です。値フィールドは、スペースで区切られたロール名を一覧表示したストリングです。たとえば、ユーザが属しているロールが network-operator と vdc-admin ならば、値フィールドは「network-operator vdc-admin」となります。この属性は、RADIUS サーバから送信される Access-Accept フレームの VSA 部分に格納されます。この属性はシェル プロトコル値とだけ併用できます。次に、Cisco ACS でサポートされるロール属性の例を示します。
shell:roles=“network-operator vdc-admin”
shell:roles*“network-operator vdc-admin”
次に、FreeRADIUS でサポートされるロール属性の例を示します。
Cisco-AVPair = ”shell:roles=\“network-operator vdc-admin\””
Cisco-AVPair = “shell:roles*\“network-operator vdc-admin\””
Cisco ACS を使用していて、Cisco Nexus 1000V と Cisco UCS 認証の両方に同じ ACS グループを使用する場合は、次のロール属性を使用します。
cisco-av-pair*shell:roles="network-admin admin"
(注) VSA を shell:roles*"network-operator vdc-admin" または "shell:roles*\"network-operator vdc-admin\"" として指定した場合、この VSA はオプション属性としてフラグ設定され、他のシスコ デバイスはこの属性を無視します。
• accountinginfo:標準の RADIUS アカウンティング プロトコルで処理される属性に加えて、アカウンティング情報が格納されます。この属性は、スイッチ上の RADIUS クライアントからの Account-Request フレームの VSA 部分だけに送信されます。この属性と共に使用できるのは、アカウンティングの Protocol Data Unit(PDU; プロトコル データ ユニット)だけです。
RADIUS の前提条件
• RADIUS サーバの IP アドレスまたはホスト名がわかっていること。
注意事項および制約事項
デフォルト設定
表 5-1 に、RADIUS のデフォルト設定を示します。
|
|
|
|---|---|
RADIUS サーバの設定
• 「すべての RADIUS サーバのグローバル タイムアウトの設定」
• 「すべての RADIUS サーバのグローバル リトライ回数の設定」
• 「RADIUS サーバまたはサーバ グループの手動でのモニタリング」
(注) この機能に対応する Cisco NX-OS コマンドは、Cisco IOS で使用されているコマンドと異なる場合があるので注意してください。
RADIUS サーバ ホストの設定
はじめる前に
手順の概要
手順の詳細
|
|
|
|
|---|---|---|
RADIUS グローバル キーの設定
すべての RADIUS サーバが Cisco Nexus 1000V での認証に使用するキーを設定するには、次の手順を実行します。
はじめる前に
手順の概要
手順の詳細
グローバル事前共有キーを設定するには、次の手順を実行します。
|
|
|
|
|---|---|---|
すべての RADIUS サーバで使用する事前共有キーを指定します。クリア テキスト形式( 0 )または暗号化形式( 7 )の事前共有キーを指定できます。デフォルトの形式はクリア テキストです。最大で 63 文字の長さまで指定可能です。 |
||
| コマンドを使用します。 | ||
RADIUS サーバ キーの設定
はじめる前に
手順の概要
2. radius-server host { ipv4-address | host-name } key key-value
手順の詳細
RADIUS サーバ グループの設定
はじめる前に
この手順を開始する前に、次のことを確認または実行する必要があります。
手順の概要
2. aaa group server radius group-name
3. server { ipv4-address | server-name }
6. (任意)source-interface { interface-type} { interface-number}
手順の詳細
|
|
|
|
|---|---|---|
aaa group server radius group-name |
RADIUS サーバ グループを作成し、そのグループの RADIUS サーバ グループ コンフィギュレーション モードを開始します。 group-name 引数は、最大 127 文字の長さの英数字のストリングで、大文字小文字が区別されます。 |
|
| コマンドを使用してサーバを設定し、このコマンドをもう一度実行します。 | ||
(任意)モニタリング デッド タイムを設定します。デフォルト値は 0 分です。指定できる範囲は 1 ~ 1440 です。 (注) デッド タイム間隔がゼロ(0)より大きい RADIUS サーバ グループの場合は、その値がグローバル デット タイム値に優先します(「グローバル デッド タイム間隔の設定」を参照)。 |
||
source-interface { interface-type } { interface-number } |
(任意)RADIUS サーバに到達するために使用される送信元インターフェイスを指定します。 |
|
| n1000v(config-radius)# show radius-server group |
||
RADIUS サーバの誘導要求のイネーブル化
認証要求の送信先の RADIUS サーバをユーザが指定できるようにするには、次の手順を実行します。これは directed-request(誘導要求)と呼ばれます。
このオプションをイネーブルにした場合、ユーザは username@vrfname:hostname としてログインできます。ここで、vrfname は使用する VRF、hostname は設定された RADIUS サーバの名前です。
(注) ユーザ指定のログインは Telnet セッションに限りサポートされます。
はじめる前に
手順の概要
2. radius-server directed-request
手順の詳細
|
|
|
|
|---|---|---|
すべての RADIUS サーバのグローバル タイムアウトの設定
ここでは、RADIUS サーバからの応答を待つ時間を指定するグローバル タイムアウト間隔の設定手順を説明します。この時間が経過すると、タイムアウト障害となります。
はじめる前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• 「単一 RADIUS サーバのタイムアウト間隔の設定」で指定したタイムアウトは、RADIUS のグローバル タイムアウトに優先します。
手順の概要
手順の詳細
|
|
|
|
|---|---|---|
RADIUS サーバの送信タイムアウト間隔を指定します。デフォルトのタイムアウト間隔は 5 秒です。有効な範囲は 1 ~ 60 秒です。 |
||
すべての RADIUS サーバのグローバル リトライ回数の設定
ローカル認証に切り換える前に RADIUS サーバへの送信を再試行する最大回数を設定するには、次の手順を実行します。この設定はすべての RADIUS サーバに適用されます。
はじめる前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• デフォルトでは、ローカル認証に切り換える前に、RADIUS サーバへの再送信を 1 回だけ試行します。
• 「単一 RADIUS サーバのリトライ回数の設定」で単一の RADIUS サーバに指定したリトライ回数は、このグローバル設定に優先します。
手順の概要
2. radius-server retransmission count
手順の詳細
|
|
|
|
|---|---|---|
ローカル認証に切り換える前に許可する再送信回数を定義します。これはすべての RADIUS サーバに適用されるグローバル設定です。デフォルトの再送信回数は 1 です。有効な範囲は 0 ~ 5 です。 |
||
単一 RADIUS サーバのタイムアウト間隔の設定
ここでは、RADIUS サーバからの応答を待つ時間を設定する手順を説明します。この時間が経過すると、タイムアウト障害となります。
はじめる前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• 単一の RADIUS サーバに指定したタイムアウトは、「すべての RADIUS サーバのグローバル タイムアウトの設定」で定義したタイムアウトに優先します。
手順の概要
2. radius-server host { ipv4-address | host-name } timeout seconds
手順の詳細
|
|
|
|
|---|---|---|
radius-server host { ipv4-address | host-name } timeout seconds |
特定のサーバのタイムアウト間隔を指定します。デフォルトのタイムアウト間隔は 5 秒です。有効な範囲は 1 ~ 60 秒です。 (注) 単一の RADIUS サーバに指定したタイムアウトは、RADIUS のグローバル タイムアウトに優先します。 |
|
単一 RADIUS サーバのリトライ回数の設定
ローカル認証に切り換える前に RADIUS サーバへの送信を再試行する最大回数を設定するには、次の手順を実行します。この設定は単一の RADIUS サーバに適用され、グローバル リトライ回数に優先します。
はじめる前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• デフォルトでは、ローカル認証に切り換える前に、RADIUS サーバへの再送信を 1 回だけ試行します。
• 単一の RADIUS サーバに指定したリトライ回数は、すべての RADIUS サーバ用に作成されるグローバル設定に優先します。
手順の概要
2. radius-server host { ipv4-address | host-name } retransmit count
手順の詳細
|
|
|
|
|---|---|---|
radius-server host { ipv4-address | host-name } retransmit count |
特定のサーバに対する再送信回数を指定します。デフォルトはグローバル値です。 (注) この単一 RADIUS サーバの再送信回数は、すべての RADIUS サーバ用のグローバル設定に優先します。 |
|
RADIUS アカウンティング サーバの設定
はじめる前に
この手順を開始する前に、次のことを確認または実行する必要があります。
手順の概要
2. radius-server host { ipv4-address | host-name } acct-port udp-port
3. radius-server host { ipv4-address | host-name } accounting
手順の詳細
RADIUS サーバの認証およびアカウンティング属性を設定するには、次の手順を実行します。
RADIUS 認証サーバの設定
はじめる前に
この手順を開始する前に、次のことを確認または実行する必要があります。
手順の概要
2. radius-server host { ipv4-address | host-name } auth-port udp-port
3. radius-server host { ipv4-address | host-name } authentication
手順の詳細
RADIUS サーバの認証およびアカウンティング属性を設定するには、次の手順を実行します。
RADIUS サーバの定期モニタリングの設定
はじめる前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• テスト アイドル タイマーには、応答しない RADIUS サーバにテスト パケットが送信されるまでの経過時間を指定します。
(注) セキュリティ上の理由から、RADIUS データベースに存在するユーザ名をテスト ユーザ名として設定しないでください。
(注) デフォルトのアイドル タイマー値は 0 分です。アイドル時間の間隔が 0 分の場合、NX-OS デバイスは RADIUS サーバの定期モニタリングを実行しません。
手順の概要
2. radius-server host { ipv4-address | host-name } test { idle-time minutes | password password [ idle-time minutes ] | username name [ password password [ idle-time minutes ]]}
手順の詳細
グローバル デッド タイム間隔の設定
すべての RADIUS サーバのデッド タイム間隔を設定するには、次の手順を実行します。デッド タイム間隔には、RADIUS サーバをデッドであると宣言したあと、そのサーバがアライブになったかどうかを確認するためにテスト パケットを送信するまで待機する時間を指定します。デフォルト値は 0 分です。
(注) デッド タイム間隔が 0 分の場合、RADIUS サーバは、応答を返さない場合でも、デットとしてマークされません。RADIUS サーバ グループのデッド タイム間隔を設定することもできます(「RADIUS サーバ グループの設定」を参照)。
はじめる前に
手順の概要
手順の詳細
RADIUS のデッド タイム間隔を設定するには、次の手順を実行します。
|
|
|
|
|---|---|---|
RADIUS サーバまたはサーバ グループの手動でのモニタリング
はじめる前に
手順の概要
1. test aaa server radius { ipv4-address | host-name } [ vrf vrf-name ] username password
手順の詳細
|
|
|
|
|---|---|---|
test aaa server radius { ipv4-address | server-name } [ vrf vrf-name ] username password |
||
RADIUS 設定の確認
この項のコマンドを使用して、RADIUS 設定を確認します。show コマンド出力の詳細については、『 Cisco Nexus 1000V Command Reference, Release 4.2(1)SV1(5.1) 』を参照してください。
|
|
|
|---|---|
show radius-server [ server-name | ipv4-address ] [ directed-request | groups | sorted | statistics ] |
RADIUS サーバの統計情報の表示
RADIUS 設定例
その他の関連資料
RADIUS の実装に関する詳細情報については、次を参照してください。
• 「関連資料」
• 「標準」
関連資料
|
|
|
|---|---|
『 Cisco Nexus 1000V Command Reference, Release 4.2(1)SV1(5.1) 』 |
標準
|
|
|
|---|---|
RADIUS 機能の履歴
|
|
|
|
|---|---|---|
フィードバック