この章では、NX-OS デバイス上で TACACS+ プロトコルを設定する手順について説明します。
• 「次の作業」
TACACS+ は、NX-OS デバイスにアクセスしようとするユーザの検証を集中的に行うセキュリティ プロトコルです。TACACS+ サービスは、通常 UNIX または Windows NT ワークステーション上で稼働する TACACS+ デーモンのデータベースで管理されます。NX-OS デバイスに設定した TACACS+ 機能を使用可能にするには、TACACS+ サーバにアクセスして TACACS+ サーバを設定しておく必要があります。
TACACS+ は、認証、許可、およびアカウンティング機能を個別に備えています。TACACS+ では、1 つのアクセス制御サーバ(TACACS+ デーモン)が認証、許可、およびアカウンティングの各サービスを個別に提供できます。各サービスをそれぞれ固有のデータベースに結合し、デーモンの機能に応じて、そのサーバまたはネットワーク上で使用できる他のサービスを利用できます。
TACACS+ クライアント/サーバ プロトコルは、TCP(TCP ポート 49)を使用して転送を行います。Cisco NX-OS デバイスは、TACACS+ プロトコルを使用して集中型の認証を行います。
• 「デフォルトの TACACS+ サーバ暗号化タイプおよび事前共有鍵」
• 「VSA」
TACACS+ には、RADIUS 認証と比較して次の利点があります。
• AAA の個別ファシリティを提供します。たとえば NX-OS デバイスは、認証を行わずにアクセスを許可できます。
• AAA クライアントとサーバの間のデータ送信に TCP トランスポート プロトコルを使用するので、コネクション型プロトコルにより確実に転送されます。
• スイッチと AAA サーバの間でプロトコル ペイロード全体を暗号化して、さらに優れたデータ保護を実現できます。RADIUS プロトコルではパスワードだけ暗号化されます。
TACACS+ を使用する NX-OS デバイスに対して、ユーザが Password Authentication Protocol(PAP; パスワード認証プロトコル)ログインを試みると、次の処理が行われます。
1. NX-OS デバイスは接続が確立されると、ユーザ名とパスワードを取得するために TACACS+ デーモンに接続します。
(注) TACACS+ によって、デーモンとユーザとの間の対話が可能になり、デーモンはユーザの認証に必要な情報を取得できるようになります。通常、デーモンはユーザ名とパスワードを入力するよう求めますが、ユーザの母親の旧姓などの追加項目を求めることもできます。
2. NX-OS デバイスは、最終的に TACACS+ デーモンから次のいずれかの応答を得ます。
a. ACCEPT ― ユーザが認証され、サービスが始まります。NX-OS デバイスがユーザ許可を必要とする場合は、許可処理が始まります。
b. REJECT ― ユーザは認証されませんでした。TACACS+ デーモンは、ユーザのアクセスを拒否するか、ログイン シーケンスを再試行するようにユーザに求めます。
c. ERROR ― デーモンによる認証サービスの途中でエラーが発生したか、またはデーモンと NX-OS デバイスの間のネットワーク接続でエラーが発生しました。NX-OS デバイスは ERROR 応答を受信した場合、別の方法でユーザの認証を試行します。
認証が終了し、NX-OS デバイスで許可がイネーブルになっていれば、続いてユーザの許可フェーズに入ります。ユーザは TACACS+ 認証が正常に完了しないうちは、TACACS+ 許可に進めません。
3. TACACS+ 許可が必要な場合、NX-OS デバイスは再び TACACS+ デーモンに接続します。デーモンから ACCEPT または REJECT 応答が返されます。ACCEPT 応答には、そのユーザに対する EXEC または NETWORK セッションに使用されるアトリビュートが含まれ、ユーザがアクセスできるサービスが確定します。
• Telnet、rlogin、PPP(ポイントツーポイント プロトコル)、Serial Line Internet Protocol(SLIP; シリアル ライン インターネット プロトコル)または、EXEC サービス
• ホストまたはクライアントの IP アドレス(IPv4/IPv6)、アクセス リスト、ユーザ タイムアウトなどの接続パラメータ
スイッチを TACACS+ サーバに対して認証するには、TACACS+ 事前共有鍵を設定する必要があります。事前共有鍵は、NX-OS デバイスと TACACS+ サーバ ホストの間で共有されるシークレット テキスト ストリングです。鍵の長さは 63 文字に制限され、任意の印字可能な ASCII 文字を含めることができます(スペースは使用できません)。NX-OS デバイス上のすべての TACACS+ サーバの設定には、グローバル事前共有鍵を使用できます。
このグローバル事前共有鍵の設定は、TACACS+ サーバを個別に設定するときに key オプションを使用して明示的に上書きすることができます。
TACACS+ サーバの応答が遅いと、AAA 要求の処理が遅れることがあります。AAA 要求の処理時間を短縮するために、TACACS+ サーバを定期的にモニタして TACACS+ サーバが応答している(アライブ)かどうかを調べることができます。NX-OS デバイスは、応答の遅い TACACS+ サーバをデッド(dead)としてマークし、デッド TACACS+ サーバには AAA 要求を送信しません。NX-OS デバイスはデッド TACACS+ サーバを定期的にモニタし、応答があればアライブ状態に戻します。このプロセスにより、TACACS+ サーバが稼働状態であることを確認してから、実際の AAA 要求が送信されます。TACACS+ サーバがデッドまたはアライブの状態に変わると SNMP トラップが生成され、NX-OS デバイスはパフォーマンスに影響が出る前に、障害が発生していることをエラー メッセージで表示します。図4-1を参照してください。
(注) アライブ サーバとデッド サーバのモニタリング間隔は異なります。これらは、ユーザが設定できます。TACACS+ サーバ モニタリングは、テスト認証要求を TACACS+ サーバに送信して行われます。
Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)ドラフト標準には、ネットワーク アクセス サーバと TACACS+ サーバの間で VSA(vendor-specific attribute; ベンダー固有属性)を伝達する方法が規定されています。IETF はアトリビュート 26 を使用しています。VSA を使用すると、ベンダーは一般的な用途に適さない独自の拡張アトリビュートをサポートできます。
シスコの TACACS+ 実装では、IETF 仕様で推奨される形式を使用したベンダー固有オプションを 1 つサポートしています。シスコのベンダー ID は 9 で、サポートするオプションはベンダー タイプ 1、名前は cisco-av-pair です。値は、次の形式のストリングです。
protocol は、特定の許可タイプを表すシスコのアトリビュートです。separator は、必須アトリビュートの場合に =(等号)、オプションのアトリビュートの場合に *(アスタリスク)です。
Cisco NX-OS デバイスでの認証に TACACS+ サーバを使用した場合、TACACS+ プロトコルは TACACS+ サーバに対し、認証結果とともに権限付与情報などのユーザ アトリビュートを返すように指示します。この権限付与情報は、VSA を通じて指定されます。
次の VSA プロトコル オプションが Cisco NX-OS ソフトウェアでサポートされています。
• shell ― ユーザ プロファイル情報を提供する access-accept パケットで使用されるプロトコル
• Accounting ― accounting-request パケットで使用されるプロトコル。値にスペースが含まれる場合は、二重引用符で囲む必要があります。
Cisco NX-OS ソフトウェアは、次のアトリビュートをサポートしています。
• roles ― ユーザが属しているすべてのロールをリストします。値フィールドは、ロール名をスペースで区切ったストリングです。たとえば、ユーザが network-operator および vdc‐admin のロールに属している場合、値フィールドは「network-operator vdc-admin」となります。このサブアトリビュートは Access-Accept フレームの VSA 部分に格納され、TACACS+ サーバから送信されます。このアトリビュートはシェル プロトコル値とだけ併用できます。次に、Cisco ACS でサポートされるロール アトリビュートの例を示します。
(注) VSA を shell:roles*"network-operator vdc-admin" として指定した場合、この VSA はオプション アトリビュートとしてフラグ設定され、他のシスコ製装置はこのアトリビュートを無視します。
• accountinginfo ― 標準の TACACS+ アカウンティング プロトコルに含まれるアトリビュートとともにアカウンティング情報を格納します。このアトリビュートは、スイッチ上の TACACS+ クライアントから、Account-Request フレームの VSA 部分にだけ格納されて送信されます。このアトリビュートはアカウンティングの Protocol Data Unit(PDU; プロトコル データ ユニット)とだけ併用できます。
TACACS+ サーバは、NX-OS デバイスにログインするときにユーザが所有するアクセス権を指定するための特権レベルをサポートしています。最大の特権レベル 15 の場合、Cisco NX-OS ソフトウェアは、デフォルトの VDC に network-admin ロールを適用し、デフォルト以外の VDC に vdc-admin ロールを適用します。他のすべての特権レベルは vdc-operator ロールに変換されます。ユーザ ロールの詳細については、 第 6 章「ユーザ アカウントおよび RBAC の設定」 を参照してください。
(注) cisco-av-pair にユーザ ロールを指定した場合は、指定したロールが特権レベルに優先します。
TACACS+ の設定と操作は、Virtual Device Context(VDC)に対してローカルです。VDC の詳細については、『 Cisco NX-OS Virtual Device Context Configuration Guide, Release 4.0 』を参照してください。
NX-OS デバイスは、Virtual Routing and Forwarding instance(VRF)を使用して TACACS+ サーバをアクセスします。VRF の詳細については、『 Cisco NX-OS Unicast Routing Configuration Guide, Release 4.0 』を参照してください。
• TACACS+ サーバの IPv4 または IPv6 アドレスまたはホスト名を取得すること
• NX-OS デバイス上には最大 64 の TACACS+ サーバを設定できます。
• ローカルの Cisco NX-OS デバイス上に設定されているユーザ アカウントが、AAA サーバ上のリモート ユーザ アカウントと同じ名前の場合、Cisco NX-OS ソフトウェアは、AAA サーバ上に設定されているユーザ ロールでなく、ローカル ユーザ アカウントのユーザ ロールをリモート ユーザに適用します。
• 「TACACS+ サーバまたはサーバ グループの手動でのモニタリング」
(注) Cisco IOS CLI の知識があるユーザは、この機能に関する Cisco NX-OS のコマンドが Cisco IOS のコマンドで使用されるものと異なる場合があることに注意してください。
ステップ 1 TACACS+ をイネーブルにします(TACACS+ のイネーブル化を参照)。
ステップ 2 TACACS+ サーバと NX-OS デバイスの接続を確立します(TACACS+ サーバ ホストの設定を参照)。
ステップ 3 TACACS+ サーバの事前共有秘密鍵を設定します(グローバル事前共有鍵の設定およびTACACS+ サーバの事前共有鍵の設定を参照)。
ステップ 4 必要な場合は、AAA 認証方式に、TACACS+ サーバのサブセットを使用して TACACS+ サーバ グループを設定します(TACACS+ サーバ グループの設定および AAA の設定を参照)。
ステップ 5 必要な場合は、次のオプション パラメータを設定します。
• デッド タイム間隔(デッド タイム間隔の設定を参照)
• ユーザ ログイン時の TACACS+ サーバの指定の許可(ログイン時の TACACS+ サーバの指定を参照)
• タイムアウト間隔(グローバル TACACS+ タイムアウト間隔の設定を参照)
• TCP ポート(TCP ポートの設定を参照)。
ステップ 6 必要な場合、TACACS+ サーバの定期モニタリングの設定(TACACS+ サーバの定期モニタリングの設定を参照)
デフォルトでは、Cisco NX-OS デバイスの TACACS+ 機能はディセーブルになっています。認証に関する設定コマンドと検証コマンドを使用するには、TACACS+ 機能を明示的にイネーブルにする必要があります。
リモートの TACACS+ サーバにアクセスするには、Cisco NX-OS デバイス上でその TACACS+ サーバの IPv4 または IPv6 アドレスを設定する必要があります。すべての TACACS+ サーバ ホストをデフォルトの TACACS+ サーバ グループに追加します。最大 64 の TACACS+ サーバを設定できます。
設定した TACACS+ サーバの事前共有鍵を設定しなかった場合、グローバル事前共有鍵が設定されていなければ警告メッセージが表示されます。TACACS+ サーバ鍵が設定されない場合は、グローバル鍵(設定されている場合)がそのサーバに使用されます(グローバル事前共有鍵の設定およびTACACS+ サーバの事前共有鍵の設定を参照)。
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
TACACS+ をイネーブルにします(TACACS+ のイネーブル化を参照)。
2. tacacs-server host { ipv4-address | ipv6-address | host-name }
5. copy running-config startup-config
Cisco NX-OS デバイスで使用されるすべてのサーバの事前共有鍵をグローバル レベルで設定できます。事前共有鍵は、NX-OS デバイスと TACACS+ サーバ ホストの間の共有秘密テキスト ストリングです。
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
TACACS+ をイネーブルにします(TACACS+ のイネーブル化を参照)。
TACACS+ サーバの事前共有鍵を設定できます。事前共有鍵は、NX-OS デバイスと TACACS+ サーバ ホストの間の共有秘密テキスト ストリングです。
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
TACACS+ をイネーブルにします(TACACS+ のイネーブル化を参照)。
2. tacacs-server host { ipv4-address | ipv6-address | host-name } key key-value
ユーザの認証にサーバ グループを使用して、1 つまたは複数のリモート AAA サーバを指定できます。グループ内のすべてのメンバーは同じ TACACS+ プロトコルに属する必要があります。サーバへのアクセスは、サーバを設定した順番で行われます。
サーバ グループはいつでも設定できますが、AAA サービスに適用した場合のみ有効となります。AAA サービスについては、「リモート AAA サービス」を参照してください。
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
TACACS+ をイネーブルにします(TACACS+ のイネーブル化を参照)。
2. aaa group server tacacs+ group-name
|
|
|
---|---|---|
aaa group server tacacs+ group-name |
TACACS+ サーバ グループを作成し、そのグループの TACACS+ サーバ グループ コンフィギュレーションモードを開始します。 |
|
TACACS+ サーバを TACACS+ サーバ グループのメンバーとして設定します。 |
||
(任意)モニタリングのデッド タイムを設定します。デフォルト値は 0 分です。有効値の範囲は 0 ~ 1440 です。 (注) デッド タイム間隔がゼロ(0)より大きい TACACS+ サーバ グループの場合は、その値がグローバル デット タイム値に優先します(デッド タイム間隔の設定を参照)。 |
||
(任意)このサーバ グループとの接続に使用する Virtual Routing and Forwarding instance(VRF)を指定します。 |
||
スイッチ上で directed-request 誘導要求オプションをイネーブルにすることにより、認証要求の送信先の TACACS+ サーバをユーザが指定できるようになります。デフォルトでは、Cisco NX-OS デバイスは認証要求を、デフォルト AAA 認証方式に基づいて転送します。このオプションをイネーブルにした場合、ユーザは username@vrfname:hostname としてログインできます。ここで、vrfname は使用する VRF、hostname は設定された RADIUS サーバの名前です。
(注) ユーザ指定のログインは Telnet セッションでのみサポートされます。
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
TACACS+ をイネーブルにします(TACACS+ のイネーブル化を参照)。
2. tacacs-server directed-request
Cisco NX-OS デバイスがすべての TACACS+ サーバからの応答を待つグローバル タイムアウト間隔を設定できます。これを過ぎるとタイムアウト障害が宣言されます。タイムアウト間隔には、Cisco NX-OS デバイスが TACACS+ サーバからの応答を待つ時間を指定します。これを過ぎるとタイムアウト障害が宣言されます。
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
TACACS+ をイネーブルにします(TACACS+ のイネーブル化を参照)。
Cisco NX-OS デバイスが TACACS+ サーバからの応答を待つタイムアウト間隔を設定できます。これを過ぎるとタイムアウト障害が宣言されます。タイムアウト間隔には、Cisco NX-OS デバイスが TACACS+ サーバからの応答を待つ時間を指定します。これを過ぎるとタイムアウト障害が宣言されます。
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
TACACS+ をイネーブルにします(TACACS+ のイネーブル化を参照)。
2. tacacs-server host { ipv4-address | ipv6-address | host-name } timeout seconds
他のアプリケーションと競合する場合は、TACACS+ サーバ用に別の TCP ポートを設定できます。デフォルトでは、Cisco NX-OS デバイスはすべての TACACS+ 要求に対してポート 49 を使用します。
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
TACACS+ をイネーブルにします(TACACS+ のイネーブル化を参照)。
2. tacacs-server host { ipv4-address | ipv6-address | host-name } port tcp-port
TACACS+ サーバが使用可能かどうかをモニタできます。パラメータには、サーバとアイドル タイマーに使用されるユーザ名とパスワードがあります。アイドル タイマーには、TACACS+ サーバで何の要求も受信されない状態の時間を指定します。これを過ぎると Cisco NX-OS デバイスはテスト パケットを送信します。このオプションを設定して定期的にサーバをテストしたり、1 回だけテストを実行することができます。
(注) ネットワークのセキュリティを保護するために、TACACS+ データベースの既存のユーザ名と同じものを使用しないことを推奨します。
テスト アイドル タイマーには、TACACS+ サーバで何の要求も受信されない状態の時間を指定します。これを過ぎると Cisco NX-OS デバイスはテスト パケットを送信します。
(注) デフォルトのアイドル タイマー値は 0 分です。アイドル時間間隔が 0 分の場合、TACACS+ サーバの定期モニタリングは実行されません。
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
TACACS+ をイネーブルにします(TACACS+ のイネーブル化を参照)。
2. tacacs-server host { ipv4-address | ipv6-address | host-name } test { idle-time minutes | password password [ idle-time minutes ] | username name [ password password [ idle-time minutes ]]}
すべての TACACS+ サーバのデッド タイム間隔を設定できます。デッド タイム間隔では、Cisco NX-OS デバイスが TACACS+ サーバをデッドであると宣言したあと、そのサーバがアライブになったかどうかを確認するためにテスト パケットを送信するまでの時間を指定します。
(注) デッド タイマー間隔が 0 分の場合、TACACS+ サーバの応答がなくても、そのサーバをデッドとしません。デッド タイマーはグループ単位で設定できます(TACACS+ サーバ グループの設定を参照)。
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
TACACS+ をイネーブルにします(TACACS+ のイネーブル化を参照)。
2. tacacs-server deadtime minutes
5. copy running-config startup-config
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
TACACS+ をイネーブルにします(TACACS+ のイネーブル化を参照)。
1. test aaa server tacacs+ { ipv4-address | ipv6-address | host-name } [ vrf vrf-name ] username password
Cisco NX-OS デバイスが保持している TACACS+ サーバのアクティビティに関する統計情報を表示します。
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
TACACS+ をイネーブルにします(TACACS+ のイネーブル化を参照)。
1. show tacacs-server statistics { hostname | ipv4-address | ipv6-address }
このコマンドの出力に表示されるフィールドの詳細については、『 Cisco NX-OS Security Command Reference, Release 4.0 』を参照してください。
TACACS+ の設定情報を表示するには、次の作業のいずれかを行います。
このコマンドの出力に表示されるフィールドの詳細については、『 Cisco NX-OS Security Command Reference, Release 4.0 』を参照してください。
これで、TACACS+ サーバ グループも含めて AAA 認証方式を設定できるようになります( 第 2 章「AAA の設定」 を参照)。
表4-1 に、TACACS+ パラメータのデフォルト設定を示します。
TACACS+ の実装に関連する詳細情報については、次を参照してください。
• 「関連資料」
• 「規格」
• 「MIB」
|
|
---|---|
MIB の確認とダウンロードを行うには、次の URL にアクセスします。 http://www.cisco.com/public/sw-center/enigmatic/cant/mibs.shtml |