RADIUS/TACACS+の機能説明
RADIUSとTACACS+は、装置とホストの通信でAAA(認証/認可/アカウンティング)を実現するためのセキュリティープロトコルです。
AAAを実現するために、以下のサービスを実行します。
- 認証
ユーザーアカウントとパスワードを確認し、装置へのホストのアクセスを許可してよいかどうかを決定します。
- 認可
ユーザーごとに装置上で使用できるコマンドを制限します。
- アカウンティング
装置にログインしたユーザーが使用したコマンド、接続時間、システムイベントなどにタイムスタンプを付加してログとして記録します。
RADIUSとTACACS+を利用したAAAでは、それぞれのプロトコルに対応したRADIUSサーバー/TACACS+サーバーでAAAの情報を一元管理します。装置は、ホストからのログインやコマンドの使用の要求が発生するたびにRADIUSサーバー/TACACS+サーバーに問い合わせ、ホストが装置上で実行する動作を制限します。
RADIUSまたはTACACS+を利用するには、装置でAAAを有効にする必要があります。
AAAの各種設定
AAAの有効化、認証/認可/アカウンティングの設定、およびAAAとRADIUSサーバー/TACACS+サーバーの関連付けについて、以下に説明します。
AAAの有効化
RADIUSまたはTACACS+を利用するには、装置でAAAを有効にする必要があります。デフォルト設定では、AAAは無効です。AAAを有効にするには、aaa new-modelコマンドを使用します。
AAA機能を有効にすると、各ラインセッションへのログイン方法はaaa authentication loginコマンドとlogin authenticationコマンドによって決定されます。デフォルト設定の場合は、ログイン認証方式が「usernameコマンドで作成したユーザーアカウント」になります。
また、AAA機能を有効にすると、enableパスワードの認証方式はaaa authentication enableコマンドによって決定されます。デフォルト設定の場合は、認証方式が「enable passwordコマンドで設定したパスワード」になります。
AAA機能が有効、ログイン認証方式がデフォルト設定、かつusernameコマンドで作成したユーザーアカウントがまだ存在しない状態では、コンソールの場合のみ「ユーザー名/パスワードを未入力でEnter実施、または任意の文字列を入力してEnter実施」でログインできます。
AAA機能が有効、enableパスワードの認証方式がデフォルト設定、かつenable passwordコマンドが未設定の状態では、コンソールの場合のみ「enableパスワードを未入力でEnter実施、または任意の文字列を入力してEnter実施」で特権レベル15に遷移できます。
ログイン認証
装置にログインする場合、デフォルト設定ではusernameコマンドで作成したユーザーアカウントで認証します。
ログイン認証の認証方式を設定するには、aaa authentication loginコマンドで以下の認証方式を指定して認証方式リストを設定します。また、login authenticationコマンドで認証方式リストを各ラインセッションに適用します。
- local
usernameコマンドで作成したユーザーアカウント
- group radius
radius-server hostコマンドで設定したすべてのRADIUSサーバー
- group tacacs+
tacacs-server hostコマンドで設定したすべてのTACACS+サーバー
- group グループ名
aaa group server radiusコマンドで設定したRADIUSサーバーグループに登録されているRADIUSサーバー、またはaaa group server tacacs+コマンドで設定したTACACS+サーバーグループに登録されているTACACS+サーバー
- none
認証なしで許可する
enableパスワードの認証方式
enableパスワードは、デフォルト設定ではenable passwordコマンドで設定したパスワードで認証します。
enableパスワードの認証方式を設定するには、aaa authentication enable defaultコマンドで以下の認証方式を指定して認証方式リストを設定します。
- enable
enable passwordコマンドで設定したパスワード
- group radius
radius-server hostコマンドで設定したすべてのRADIUSサーバー
- group tacacs+
tacacs-server hostコマンドで設定したすべてのTACACS+サーバー
- group グループ名
aaa group server radiusコマンドで設定したRADIUSサーバーグループに登録されているRADIUSサーバー、またはaaa group server tacacs+コマンドで設定したTACACS+サーバーグループに登録されているTACACS+サーバー
- none
認証なしで許可する
アカウンティングの設定
装置にログインしたホストが使用したコマンド、ホストの接続時間、発生したシステムイベントなどにタイムスタンプを付加してログとして記録するには、アカウンティングを設定します。デフォルト設定ではアカウンティングは無効です。
アカウンティングの設定では、以下のアカウンティング方式を指定できます。
- group radius
radius-server hostコマンドで設定したすべてのRADIUSサーバー
- group tacacs+
tacacs-server hostコマンドで設定したすべてのTACACS+サーバー
- group グループ名
aaa group server radiusコマンドで設定したRADIUSサーバーグループに登録されているRADIUSサーバー、またはaaa group server tacacs+コマンドで設定したTACACS+サーバーグループに登録されているTACACS+サーバー
- none
方式の指定なし
指定した特権レベル内のコマンドのアカウンティングを設定するには、aaa accounting commandsコマンドでアカウンティング方式リストを設定します。また、accounting commandsコマンドでアカウンティング方式リストを各ラインセッションに適用します。
特権レベル内のコマンドのアカウンティングは、TACACS+で実行できます。RADIUSでは実行できません。方式には、group tacacs+、TACACS+サーバーのグループ名、またはnoneのいずれかを指定できます。
ユーザーEXECターミナルセッションのアカウンティングを設定するには、aaa accounting execコマンドでアカウンティング方式リストを設定します。また、accounting execコマンドでアカウンティング方式リストを各ラインセッションに適用します。
システムイベントのアカウンティングを設定するには、aaa accounting systemコマンドでアカウンティング方式リストを設定します。
AccessDefenderのアカウンティングを設定するには、aaa accounting networkコマンドでアカウンティング方式リストを設定します。
サーバーグループの設定
認証方式リストとアカウンティング方式リストで使用するサーバーグループを設定するには、RADIUSサーバーグループの場合はaaa group server radiusコマンドを、TACACS+サーバーグループの場合はaaa group server tacacs+コマンドを使用します。
サーバーグループは、RADIUSサーバーグループとTACACS+サーバーグループを合わせて最大8グループまで設定できます。なお、8グループには2つのデフォルトのサーバーグループ「radius」「tacacs+」も含まれます。
1つのRADIUSサーバーグループには、最大16個のRADIUSサーバーを登録できます。また、1つのTACACS+サーバーグループには、最大16個のTACACS+サーバーを登録できます。
サーバーの統計情報の消去
認証とアカウンティングで使用するサーバーの統計情報を消去するには、clear aaa counters serversコマンドを使用します。
RADIUSの機能説明
RADIUSは、装置に接続するホストを認証および認可するセキュリティープロトコルです。RADIUSプロトコルに対応したRADIUSサーバーにはAAAの情報が登録されています。ホストから装置へのアクセスが発生するたび、装置はRADIUSサーバーに問い合わせを行います。RADIUSサーバーは、ホストの接続やコマンド使用の許可または拒否を決定し、装置に返信します。
RADIUSサーバーの機能

RADIUSパケットの送信元インターフェースの設定
装置がRADIUSパケットを送信するインターフェースを設定します。RADIUSパケットを送信するインターフェースは、デフォルト設定ではRADIUSサーバーに最も近いIPアドレスが設定されています。
装置がRADIUSパケットを送信するインターフェースを設定するには、IPv4の場合はip radius source-interfaceコマンド、IPv6の場合はipv6 radius source-interfaceコマンドを使用します。
RADIUSサーバーのデッドタイムの設定
問い合わせしたRADIUSサーバーからの応答がない場合に、そのRADIUSサーバーをオフラインとみなす期間(デッドタイム)を設定します。オフラインと判断されたRADIUSサーバーには、デッドタイムが満了するまで問い合わせは行われません。デッドタイムが満了すると、再び問い合わせ候補になります。
RADIUSサーバーをオフラインとみなす期間(デッドタイム)を設定するには、 radius-server deadtimeコマンドを使用します。
RADIUSサーバーのIPアドレスと共有鍵(Shared Secret)の設定
RADIUSサーバーのIPアドレスと共有鍵(Shared Secret)を設定します。デフォルト設定では、RADIUSサーバーは設定されていません。RADIUSサーバーはTACACS+サーバーと合わせて16台まで設定できます。
RADIUSサーバーのIPアドレスと共有鍵(Shared Secret)を設定するには、 radius-server hostコマンドを使用します。
RADIUSサーバーグループに登録するRADIUSサーバーの設定
任意に作成したRADIUSサーバーグループにRADIUSサーバーを登録します。デフォルト設定では、RADIUSサーバーは登録されていません。
任意のRADIUSサーバーグループを作成するには、aaa group server radiusコマンドを使用します。任意に作成したRADIUSサーバーグループにRADIUSサーバーを登録するには、serverコマンドを使用します。
TACACS+の機能説明
TACACS+は、AAAの認証、認可、およびアカウンティングのそれぞれを独立したサービスとして個別に利用できるセキュリティープロトコルです。TACACS+プロトコルに対応したTACACS+サーバーには、AAAの認証、認可、およびアカウンティングのそれぞれの情報が、個別のデータベースに記録されています。これにより、認証だけを利用したり、認可だけを利用したりできます。
TACACS+サーバーの機能

TACACS+パケットの送信元インターフェースの設定
装置がTACACS+パケットを送信するインターフェースを設定します。TACACS+パケットを送信するインターフェースは、デフォルト設定ではTACACS+サーバーに最も近いIPアドレスが設定されています。
装置がTACACS+パケットを送信するインターフェースを設定するには、ip tacacs source-interfaceコマンドを使用します。
TACACS+サーバーのIPアドレスと共有鍵(Shared Secret)の設定
TACACS+サーバーのIPアドレスと共有鍵(Shared Secret)を設定します。デフォルト設定では、TACACS+サーバーは設定されていません。TACACS+サーバーはRADIUSサーバーと合わせて16台まで設定できます。
TACACS+サーバーのIPアドレスと共有鍵(Shared Secret)を設定するには、 tacacs-server hostコマンドを使用します。
IPv6アドレスは設定できません。
TACACS+サーバーグループに登録するTACACS+サーバーの設定
任意に作成したTACACS+サーバーグループにTACACS+サーバーを登録します。デフォルト設定では、TACACS+サーバーは登録されていません。
任意のTACACS+サーバーグループを作成するには、aaa group server tacacs+コマンドを使用します。任意に作成したTACACS+サーバーグループにTACACS+サーバーを登録するには、serverコマンドを使用します。