Cisco NX-OS Security コンフィギュレーション ガイド Release 4.0
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年5月28日
章のタイトル: RADIUS の設定
RADIUS の設定
この章では、NX-OS デバイスで Remote Access Dial-In User Service(RADIUS)プロトコルを設定する手順について説明します。
•
「次の作業」
RADIUS の概要
RADIUS 分散型クライアント/サーバ システムを使用すると、不正アクセスからネットワークを保護することができます。シスコの実装では、RADIUS クライアントは Cisco NX-OS デバイス上で稼働します。認証要求とアカウンティング要求は、すべてのユーザ認証情報とネットワーク サービス アクセス情報が格納されている中央の RADIUS サーバに送信されます。
• 「VSA」
RADIUS のネットワーク環境
RADIUS は、リモート ユーザのネットワーク アクセスを維持すると同時に高度なレベルのセキュリティを必要とするさまざまなネットワーク環境に実装できます。
RADIUS は、アクセスのセキュリティが必要な次のネットワーク環境で使用できます。
• 複数のベンダーのネットワーク装置で構成され、それぞれが RADIUS をサポートするネットワーク。たとえば複数のベンダーのネットワーク装置が、1 つの RADIUS サーバベースのセキュリティ データベースを使用できます。
• すでに RADIUS を使用しているネットワーク。RADIUS 機能を持つ Cisco NX-OS デバイスをネットワークに追加できます。これが AAA サーバへ移行する最初のステップにもなります。
• リソースのアカウンティングが必要なネットワーク。RADIUS アカウンティングは、RADIUS 認証や認可と無関係に使用できます。RADIUS アカウンティング機能を使用すると、サービスの開始と終了の時点にデータを送信し、そのセッション中に使用されたリソース(時間、パケット、バイトなど)の量を示すことができます。Internet service provider(ISP; インターネット サービス プロバイダー)は、RADIUS アクセス制御およびアカウンティング ソフトウェアのフリーウェア バージョンを使用して、セキュリティおよび課金の独自ニーズを満たすこともできます。
• 認証プロファイルをサポートするネットワーク。ネットワークに RADIUS サーバを導入すると、AAA 認証を設定しユーザ単位のプロファイルをセットアップできます。ユーザ単位のプロファイルにより、既存の RADIUS ソリューションを使用するポートの管理性が向上し、共有リソースを効率的に管理して、各種のサービスレベル契約を提供できるようになります。
RADIUS の動作
RADIUS を使用する NX-OS デバイスに、ユーザがログインおよび認証を試みると、次の処理が行われます。
1. プロンプトが表示され、ユーザはユーザ名およびパスワードを入力します。
2. ユーザ名と暗号化されたパスワードがネットワーク経由で RADIUS サーバに送信されます。
3. ユーザは、RADIUS サーバから次のいずれかの応答を受信します。
–REJECT ― ユーザの認証が失敗し、ユーザ名およびパスワードの再入力を要求されるか、またはアクセスが拒否されます。
–CHALLENGE ― RADIUS サーバによりチャレンジが送信されます。チャレンジによってユーザから追加データが収集されます。
–CHANGE PASSWORD ― ユーザは新しいパスワードを選択するように RADIUS サーバから要求が送信されます。
ACCEPT または REJECT 応答には、EXEC またはネットワーク許可に使用される追加データが含まれています。ユーザは RADIUS 認証が完了しないうちは RADIUS 許可を使用できません。ACCEPT または REJECT パケットに含まれる追加データには、次のものがあります。
• Telnet、rlogin、または Local-Area Transport(LAT; ローカルエリア トランスポート)、および Point-to-Point Protocol(PPP)、Serial Line Internet Protocol(SLIP)、または EXEC サービスなどといった、ユーザがアクセスできるサービス
• ホストまたはクライアントの IPv4/IPv6 アドレス、アクセス リスト、ユーザ タイムアウトなどの接続パラメータ
RADIUS サーバ モニタリング
RADIUS サーバの応答が遅いと、AAA 要求の処理が遅れる原因にもなります。AAA 要求の処理時間を短縮するために、定期的に RADIUS サーバをモニタして RADIUS サーバが応答している(アライブ)かどうかを調べる設定ができます。NX-OS デバイスは、応答の遅い RADIUS サーバをデッド(dead)としてマークし、デッド RADIUS サーバには AAA 要求を送信しません。NX-OS デバイスは、デッド RADIUS サーバを定期的にモニタし、応答があればアライブ状態に戻します。このモニタリング プロセスにより、RADIUS サーバが稼働状態であることが確認されてから、実際の AAA 要求が送信されます。RADIUS サーバがデッドまたはアライブの状態に変わると SNMP トラップが生成され、NX-OS デバイスは障害が発生していることをエラー メッセージで表示します。図3-1を参照してください。
(注) アライブ サーバとデッド サーバのモニタリング間隔は異なります。これらは、ユーザが設定できます。RADIUS サーバ モニタリングは、テスト認証要求を RADIUS サーバに送信して行われます。
VSA
Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)ドラフト標準には、ネットワーク アクセス サーバと RADIUS サーバの間で VSA(vendor-specific attribute; ベンダー固有属性)を伝達する方法が規定されています。IETF はアトリビュート 26 を使用しています。VSA を使用すると、ベンダーは一般的な用途に適さない独自の拡張アトリビュートをサポートできます。シスコの RADIUS 実装では、IETF 仕様で推奨される形式を使用したベンダー固有オプションを 1 つサポートしています。シスコのベンダー ID は 9 で、サポートするオプションはベンダー タイプ 1、名前は cisco-av-pair です。値は、次の形式のストリングです。
protocol は、特定の許可タイプを表すシスコのアトリビュートです。separator は、必須アトリビュートの場合に =(等号)、オプションのアトリビュートの場合に *(アスタリスク)です。
Cisco NX-OS デバイス上の認証に RADIUS サーバを使用した場合、RADIUS プロトコルでは RADIUS サーバに対して、認証結果とともに権限付与情報などのユーザ アトリビュートを返すように指示します。この権限付与情報は、VSA を通じて指定されます。
次の VSA プロトコル オプションが Cisco NX-OS ソフトウェアでサポートされています。
• shell ― ユーザ プロファイル情報を提供する access-accept パケットで使用されるプロトコル
• Accounting ― accounting-request パケットで使用されるプロトコル。値にスペースが含まれる場合は、二重引用符で囲む必要があります。
Cisco NX-OS ソフトウェアは、次のアトリビュートをサポートしています。
• roles ― ユーザが属しているすべてのロールをリストします。値フィールドは、ロール名をスペースで区切ったストリングです。たとえば、ユーザが network-operator および vdc‐admin のロールに属している場合、値フィールドは「network-operator vdc-admin」となります。このサブアトリビュートは Access-Accept フレームの VSA 部分に格納され、RADIUSサーバから送信されます。このアトリビュートはシェル プロトコル値とだけ併用できます。次に、Cisco ACS でサポートされるロール アトリビュートの例を示します。
次に、FreeRADIUS でサポートされるロール アトリビュートの例を示します。
(注) VSA を shell:roles*"network-operator vdc-admin" または "shell:roles*\"network-operator vdc-
admin\"" として指定した場合、この VSA はオプション アトリビュートとしてフラグ設定され、他のシスコ製装置はこのアトリビュートを無視します。
• accountinginfo ― 標準の RADIUS アカウンティング プロトコルに含まれるアトリビュートとともにアカウンティング情報を格納します。このアトリビュートは、スイッチ上の RADIUS クライアントから、Account-Request フレームの VSA 部分にだけ格納されて送信されます。このアトリビュートはアカウンティングの Protocol Data Unit(PDU; プロトコル データ ユニット)とだけ併用できます。
バーチャライゼーション サポート
RADIUS の設定と操作は、Virtual Device Context(VDC)に対してローカルです。VDC の詳細については、『 Cisco NX-OS Virtual Device Context Configuration Guide, Release 4.0 』を参照してください。
NX-OS デバイスは、Virtual Routing and Forwarding instance(VRF)を使用して TACACS+ サーバをアクセスします。VRF の詳細については、『 Cisco NX-OS Unicast Routing Configuration Guide, Release 4.0 』を参照してください。
RADIUS のライセンス要件
|
|
|
|---|---|
RADIUS にライセンスは必要ありません。ライセンス パッケージに含まれない機能はすべて、Cisco NX-OS システム イメージにバンドルされており、無償で提供されます。NX-OS のライセンス方式の詳細については、『 Cisco NX-OS Licensing Guide, Release 4.0 』を参照してください。 |
RADIUS の前提条件
注意事項および制限事項
• NX-OS デバイス上には最大 64 の RADIUS サーバを設定できます。
• ローカルの Cisco NX-OS デバイス上に設定されているユーザ アカウントが、AAA サーバ上のリモート ユーザ アカウントと同じ名前の場合、Cisco NX-OS ソフトウェアは、AAA サーバ上に設定されているユーザ ロールでなく、ローカル ユーザ アカウントのユーザ ロールをリモート ユーザに適用します。
RADIUS サーバの設定
• 「ログイン時の RADIUS サーバの指定をユーザに許可する」
• 「RADIUS のグローバル送信リトライ回数およびタイムアウト間隔の設定」
• 「個別サーバの RADIUS 送信リトライ回数およびタイムアウト間隔の設定」
• 「RADIUS サーバのアカウンティングおよび認証アトリビュートの設定」
• 「RADIUS サーバまたはサーバ グループの手動でのモニタリング」
(注) Cisco IOS CLI の知識があるユーザは、この機能に関する Cisco NX-OS のコマンドが Cisco IOS のコマンドで使用されるものと異なる場合があることに注意してください。
RADIUS サーバの設定プロセス
ステップ 1 RADIUS サーバと NX-OS デバイスの接続を確立します(RADIUS サーバ ホストの設定を参照)。
ステップ 2 RADIUS サーバの事前共有秘密鍵を設定します(グローバル事前共有鍵の設定を参照)。
ステップ 3 必要な場合は、AAA 認証方式に、RADIUS サーバのサブセットを使用して RADIUS サーバ グループを設定します(ログイン時の RADIUS サーバの指定をユーザに許可するおよび AAA の設定を参照)。
ステップ 4 必要な場合は、次のオプション パラメータを設定します。
• デッド タイム間隔(デッド タイム間隔の設定を参照)
• ログイン時の RADIUS サーバの指定の許可(ログイン時の RADIUS サーバの指定をユーザに許可するを参照)
• 送信リトライ回数およびタイムアウト間隔(RADIUS のグローバル送信リトライ回数およびタイムアウト間隔の設定を参照)
• アカウンティングおよび認証のアトリビュート(RADIUS サーバのアカウンティングおよび認証アトリビュートの設定を参照)
ステップ 5 必要な場合、RADIUS サーバの定期モニタリングの設定(RADIUS サーバの定期モニタリングの設定を参照)
RADIUS サーバ ホストの設定
認証に使用する各 RADIUS サーバの IPv4 または IPv6 アドレスまたはホスト名を設定する必要があります。すべての RADIUS サーバ ホストをデフォルトの RADIUS サーバ グループに追加します。最大 64 の RADIUS サーバを設定できます。
作業を開始する前に
手順の概要
2. radius-server host { ipv4-address | ipv6-address | host-name }
詳細な手順
|
|
|
|
|---|---|---|
radius-server host { ipv4-address | ipv6-address | host-name } |
||
グローバル事前共有鍵の設定
NX-OS デバイスで使用されるすべてのサーバの事前共有鍵をグローバル レベルで設定できます。事前共有鍵は、NX-OS デバイスと RADIUS サーバ ホストの間の共有秘密テキスト ストリングです。
作業を開始する前に
手順の概要
詳細な手順
|
|
|
|
|---|---|---|
すべての RADIUS サーバの事前共有鍵を指定します。クリア テキスト( 0 )または暗号化( 7 )の事前共有鍵を指定します。デフォルト形式はクリア テキストです。最大長は 63 文字です。 |
||
|
(注) 事前共有鍵は実行コンフィギュレーションに暗号化形式で保存されます。暗号化事前共有鍵を表示するには、show running-config コマンドを使用します。 |
||
RADIUS サーバの事前共有鍵の設定
RADIUS サーバの事前共有鍵を設定できます。事前共有鍵は、NX-OS デバイスと RADIUS サーバ ホストの間の共有秘密テキスト ストリングです。
作業を開始する前に
手順の概要
2. radius-server host { ipv4-address | ipv6-address | host-name } key key-value
詳細な手順
RADIUS サーバ グループの設定
認証にサーバ グループを使用して 1 つまたは複数のリモート AAA サーバを指定できます。グループ内のすべてのメンバーは同じ RADIUS プロトコルに属する必要があります。サーバへのアクセスは、サーバを設定した順番で行われます。VDC には最大 100 のサーバ グループを設定できます。
サーバ グループはいつでも設定できますが、AAA サービスに適用したときにしか有効になりません。AAA サービスについては、「リモート AAA サービス」を参照してください。
作業を開始する前に
手順の概要
2. aaa group server radius group-name
3. server { ipv4-address | ipv6-address | server-name }
詳細な手順
|
|
|
|
|---|---|---|
aaa group server radius group-name |
RADIUS サーバ グループを作成し、そのグループの RADIUS サーバ グループ コンフィギュレーション サブモードを開始します。 group-name 引数は、最大 127 文字の英数字ストリングで、大文字と小文字は区別されます。 |
|
RADIUS サーバを RADIUS サーバ グループのメンバーとして設定します。 
|
||
(任意)モニタリングのデッド タイムを設定します。デフォルト値は 0 分です。有効値の範囲は 1 ~ 1440 です。
(注) デッド タイム間隔がゼロ(0)より大きい |
||
ログイン時の RADIUS サーバの指定をユーザに許可する
(注) デフォルトでは、NX-OS デバイスは認証要求を デフォルト AAA 認証方式に基づいて転送します。NX-OS デバイス上で directed-request(誘導要求)オプションをイネーブルにすることにより、認証要求の送信先の VRF および RADIUS サーバをユーザが指定できるようになります。このオプションをイネーブルにした場合、ユーザは username@vrfname:hostname としてログインできます。ここで、vrfname は使用する VRF、hostname は設定された RADIUS サーバの名前です。ユーザ指定のログインは Telnet セッションでのみサポートされます。
作業を開始する前に
手順の概要
2. radius-server directed-request
詳細な手順
|
|
|
|
|---|---|---|
RADIUS のグローバル送信リトライ回数およびタイムアウト間隔の設定
すべての RADIUS サーバのグローバル再送信リトライ回数およびタイムアウト間隔を設定できます。デフォルトでは、スイッチは RADIUS サーバに 1 回だけ送信を再試行してから、ローカル認証に切り換えます。この回数は各サーバにつき、最大 5 回まで再試行を増やすことができます。タイムアウト間隔には、NX-OS デバイスが RADIUS サーバからの応答を待つ時間を指定します。これを過ぎるとタイムアウト障害が宣言されます。
作業を開始する前に
手順の概要
2. radius-server retransmission count
詳細な手順
|
|
|
|
|---|---|---|
すべての RADIUS サーバの再送信回数を指定します。デフォルトの再送信回数は 1 です。有効範囲は 0 ~ 5 です。 |
||
RADIUS サーバの送信タイムアウト間隔を指定します。デフォルトのタイムアウト間隔は 5 秒です。有効範囲は 1 ~ 60 秒です。 |
||
個別サーバの RADIUS 送信リトライ回数およびタイムアウト間隔の設定
デフォルトでは、NX-OS デバイスは RADIUS サーバに 1 回だけ送信を再試行してから、ローカル認証に切り換えます。この回数は各サーバにつき、最大 5 回まで再試行を増やすことができます。NX-OS デバイスが RADIUS サーバからの応答を待つタイムアウト間隔も設定できます。これを過ぎるとタイムアウト障害が宣言されます。
作業を開始する前に
手順の概要
2. radius-server host { ipv4-address | ipv6-address | host-name } retransmit count
3. radius-server host { ipv4-address | ipv6-address | host-name } timeout seconds
詳細な手順
|
|
|
|
|---|---|---|
switch(config)# radius-server host { ipv4-address | ipv6-address | host-name } retransmit count |
特定の RADIUS サーバの再送信回数を指定します。デフォルトはグローバル値です。
(注) RADIUS サーバに個別に指定された再送信カウント値は、ステップ 2 ですべての RADIUS サーバに指定されたカウント値に優先します。 |
|
switch(config)# radius-server host { ipv4-address | ipv6-address | host-name } timeout seconds |
特定のサーバの送信タイムアウト間隔を指定します。デフォルトはグローバル値です。
(注) RADIUS サーバに個別に指定されたタイムアウト間隔値は、ステップ 3 ですべての RADIUS サーバに指定されたタイムアウト間隔値に優先します。 |
|
RADIUS サーバのアカウンティングおよび認証アトリビュートの設定
RADIUS サーバをアカウンティングにのみ使用するのか、認証にのみ使用するのかを指定できます。デフォルトでは、RADIUS サーバはアカウンティングと認証の両方に使用されます。また、RADIUS アカウンティング メッセージと認証メッセージの送信先である宛先 UDP ポート番号を指定することもできます。
作業を開始する前に
手順の概要
2. radius-server host { ipv4-address | ipv6-address | host-name } acct-port udp-port
3. radius-server host { ipv4-address | ipv6-address | host-name } accounting
4. radius-server host { ipv4-address | ipv6-address | host-name } auth-port udp-port
5. radius-server host { ipv4-address | ipv6-address | host-name } authentication
詳細な手順
RADIUS サーバの定期モニタリングの設定
RADIUS サーバが使用可能かどうかをモニタできます。パラメータには、サーバとアイドル タイマーに使用されるユーザ名とパスワードなどがあります。アイドル タイマーには、RADIUS サーバで何の要求も受信されない状態の時間を指定します。これを過ぎると NX-OS デバイスはテスト パケットを送信します。このオプションを設定して、サーバを定期的にテストすることができます。
(注) セキュリティ上の理由から、テストのユーザ名には、RADIUS データベースの既存のユーザ名と同じものを設定しないことを推奨します。
テスト アイドル タイマーには、RADIUS サーバで何の要求も受信されない状態の時間を指定します。これを過ぎると NX-OS デバイスはテスト パケットを送信します。
(注) デフォルトのアイドル タイマー値は 0 分です。アイドル時間の間隔が 0 分の場合、NX-OS デバイスは RADIUS サーバの定期モニタリングを実行しません。
作業を開始する前に
手順の概要
2. radius-server host { ipv4-address | ipv6-address | host-name } test { idle-time minutes | password password [ idle-time minutes ] | username name [ password password [ idle-time minutes ]]}
詳細な手順
デッド タイム間隔の設定
すべての RADIUS サーバのデッド タイム間隔を設定できます。デッド タイム間隔では、NX-OS デバイスが RADIUS サーバをデッドであると宣言したあと、そのサーバがアライブになったかどうかを確認するためにテスト パケットを送信するまでの時間を指定します。デフォルト値は 0 分です。
(注) デッド タイム間隔が 0 分の場合、RADIUS サーバの応答がなくても、そのサーバをデッドとしません。RADIUS サーバのデッド タイム間隔を個別に設定できます(RADIUS サーバ グループの設定を参照)。
作業を開始する前に
手順の概要
詳細な手順
|
|
|
|
|---|---|---|
RADIUS サーバまたはサーバ グループの手動でのモニタリング
作業を開始する前に
手順の概要
1. test aaa server radius { ipv4-address | ipv6-address | host-name } [ vrf vrf-name ] username password
詳細な手順
|
|
|
|
|---|---|---|
test aaa server radius { ipv4-address | ipv6-address | server-name } [ vrf vrf-name ] username password |
||
RADIUS 設定の確認
RADIUS の設定情報を表示するには、次の作業のいずれかを行います。
|
|
|
|---|---|
show radius-server [ server-name | ipv4-address | ipv6-address ] [ directed-request | groups | sorted | statistics ] |
このコマンドの出力に表示されるフィールドの詳細については、『 Cisco NX-OS Security Command Reference, Release 4.0 』を参照してください。
RADIUS サーバ統計情報の表示
NX-OS デバイスが保持している RADIUS サーバのアクティビティに関する統計情報を表示します。
作業を開始する前に
手順の概要
1. show radius-server statistics { hostname | ipv4-address | ipv6-address }
詳細な手順
|
|
|
|
|---|---|---|
switch# show radius-server statistics { hostname | ipv4-address | ipv6-address } |
このコマンドの出力に表示されるフィールドの詳細については、『 Cisco NX-OS Security Command Reference, Release 4.0 』を参照してください。
RADIUS 設定例
次の作業
これで、RADIUS サーバ グループも含めて AAA 認証方式を設定できるようになります( 第 2 章「AAA の設定」 を参照)。
デフォルト設定
表3-1 に、RADIUS パラメータのデフォルト設定を示します。
|
|
|
|---|---|
その他の参考資料
RADIUS の実装に関連する詳細情報については、次を参照してください。
• 「関連資料」
• 「規格」
• 「MIB」
関連資料
|
|
|
|---|---|
『 Cisco NX-OS Unicast Routing Configuration Guide, Release 4.0 』 |
規格
|
|
|
|---|---|
この機能によりサポートされた新規規格または改訂規格はありません。またこの機能による既存規格のサポートに変更はありません。 |
MIB
|
|
|
|---|---|
MIB の確認とダウンロードを行うには、次の URL にアクセスします。 http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml |
フィードバック