RADIUS/TACACS+の機能説明

RADIUSとTACACS+は、装置とホストの通信でAAA（認証／認可／アカウンティング）を実現するためのセキュリティープロトコルです。

AAAを実現するために、以下のサービスを実行します。

認証

ユーザーアカウントとパスワードを確認し、装置へのホストのアクセスを許可してよいかどうかを決定します。

認可

ユーザーごとに装置上で使用できるコマンドを制限します。

アカウンティング

装置にログインしたユーザーが使用したコマンド、接続時間、システムイベントなどにタイムスタンプを付加してログとして記録します。

RADIUSとTACACS+を利用したAAAでは、それぞれのプロトコルに対応したRADIUSサーバー／TACACS+サーバーでAAAの情報を一元管理します。装置は、ホストからのログインやコマンドの使用の要求が発生するたびにRADIUSサーバー／TACACS+サーバーに問い合わせ、ホストが装置上で実行する動作を制限します。

RADIUSまたはTACACS+を利用するには、装置でAAAを有効にする必要があります。

AAAの各種設定

AAAの有効化、認証／認可／アカウンティングの設定、およびAAAとRADIUSサーバー／TACACS+サーバーの関連付けについて、以下に説明します。

AAAの有効化

RADIUSまたはTACACS+を利用するには、装置でAAAを有効にする必要があります。デフォルト設定では、AAAは無効です。AAAを有効にするには、aaa new-modelコマンドを使用します。

認証方式の設定

以下の2つの認証の種類があります。

ログイン認証

ホストが装置にログインするための認証です。

enableパスワード

コマンドの実行権限を決定するための認証です。

それぞれの認証では、認証方式を設定する必要があります。ログイン認証とenableパスワードの認証方式について、以下に説明します。

ログイン認証の認証方式を設定します。デフォルト設定では、usernameコマンドで作成したユーザーアカウントで認証します。

ログイン認証の認証方式を設定するにはaaa authentication loginコマンドを使用し、以下のいずれかの認証方式を定義します。

local

usernameコマンドで作成したユーザーアカウント

group radius

radius-server hostコマンドで設定したすべてのRADIUSサーバー

group tacacs+

tacacs-server hostコマンドで設定したすべてのTACACS+サーバー

group グループ名

aaa group server radiusコマンドで設定したRADIUSサーバーグループに登録されているRADIUSサーバー、またはaaa group server tacacs+コマンドで設定したTACACS+サーバーグループに登録されているTACACS+サーバー

none

認証なしで許可する

enableパスワードの認証方式を設定します。デフォルト設定では、enable passwordコマンドで設定したパスワードで認証します。

enableパスワードの認証方式を設定するにはaaa authentication enable defaultコマンドを使用し、以下のいずれかの認証方式を定義します。

enable

enable passwordコマンドで設定したパスワード

group radius

radius-server hostコマンドで設定したすべてのRADIUSサーバー

group tacacs+

tacacs-server hostコマンドで設定したすべてのTACACS+サーバー

group グループ名

aaa group server radiusコマンドで設定したRADIUSサーバーグループに登録されているRADIUSサーバー、またはaaa group server tacacs+コマンドで設定したTACACS+サーバーグループに登録されているTACACS+サーバー

none

認証なしで許可する

アカウンティングの設定

装置にログインしたホストが使用したコマンド、ホストの接続時間、発生したシステムイベントなどにタイムスタンプを付加してログとして記録するために、アカウンティングを設定します。

アカウンティングの設定では、以下のいずれかの方式を定義します。

group radius

radius-server hostコマンドで設定したすべてのRADIUSサーバー

group tacacs+

tacacs-server hostコマンドで設定したすべてのTACACS+サーバー

group グループ名

aaa group server radiusコマンドで設定したRADIUSサーバーグループに登録されているRADIUSサーバー、またはaaa group server tacacs+コマンドで設定したTACACS+サーバーグループに登録されているTACACS+サーバー

none

方式の指定なし

指定した特権レベル内のコマンドのアカウンティングを設定します。特権レベル内のコマンドは、デフォルトではアカウンティングされません。

指定した特権レベル内のコマンドのアカウンティングを設定するには、aaa accounting commandsコマンドを使用します。

ユーザーEXECターミナルセッションのアカウンティングを設定します。ユーザーEXECターミナルセッションは、デフォルト設定ではアカウンティングされません。

ユーザーEXECターミナルセッションのアカウンティングを設定するには、aaa accounting execコマンドを使用します。

システムイベントのアカウンティングを設定します。システムイベントは、デフォルト設定ではアカウンティングされません。

システムイベントのアカウンティングを設定するには、aaa accounting systemコマンドを使用します。

AccessDefenderのIEEE 802.1X認証、MAC認証、Web認証、ゲートウェイ認証などのネットワーク認証のアカウンティングを設定します。AccessDefenderは、デフォルト設定ではアカウンティングされません。

AccessDefenderのアカウンティングを設定するには、aaa accounting networkコマンドを使用します。

サーバーグループの設定

AAAの認証方式とアカウンティングの設定で、方式として定義するサーバーグループを設定します。サーバーグループはRADIUSサーバーとTACACS+サーバーで合わせて８グループまで設定できます。1つのサーバーグループには最大16のサーバーを設定できます。

RADIUSサーバーのグループを設定します。デフォルト設定では、RADIUSサーバーグループは設定されていません。

RADIUSサーバーグループを設定するには、aaa group server radiusコマンドを使用します。

TACACS+サーバーのグループを設定します。デフォルト設定では、TACACS+サーバーグループは設定されていません。

TACACS+サーバーグループを設定するには、aaa group server tacacs+コマンドを使用します。

ラインでのログイン認証の認証方式リストの変更

ラインでのログイン認証で使用する認証方式リストを変更します。デフォルト設定では、defaultが認証方式リストとして指定されています。

ラインでのログイン認証で使用する認証方式リストを変更するには、login authenticationコマンドを使用します。

ラインでのアカウンティングの有効化

特権レベル内のコマンドのアカウンティング、およびユーザーEXECターミナルセッションのアカウンティングをラインで有効化します。

ラインで特権レベル内のコマンドのアカウンティングを有効化します。ラインでの特権レベルのコマンドのアカウンティングは、デフォルト設定では無効です。

ラインで特権レベル内のコマンドのアカウンティングを有効化するには、accounting commandsコマンドを使用します。

ラインでユーザーEXECターミナルセッションのアカウンティングを有効化します。ラインでのユーザーEXECターミナルセッションのアカウンティングは、デフォルト設定では無効です。

ラインでユーザーEXECターミナルセッションのアカウンティングを有効化するには、accounting execコマンドを使用します。

認証とアカウンティングの統計情報のクリア

認証とアカウンティングの統計情報をクリアするには、clear aaa counters serversコマンドを使用します。

RADIUSの機能説明

RADIUSは、装置に接続するホストを認証および認可するセキュリティープロトコルです。RADIUSプロトコルに対応したRADIUSサーバーにはAAAの情報が登録されています。ホストから装置へのアクセスが発生するたび、装置はRADIUSサーバーに問い合わせを行います。RADIUSサーバーは、ホストの接続やコマンド使用の許可または拒否を決定し、装置に返信します。

RADIUSサーバーの機能

RADIUSパケットの送信元インターフェースの設定

装置がRADIUSパケットを送信するインターフェースを設定します。RADIUSパケットを送信するインターフェースは、デフォルト設定ではRADIUSサーバーに最も近いIPアドレスが設定されています。

装置がRADIUSパケットを送信するインターフェースを設定するには、IPv4の場合はip radius source-interfaceコマンド、IPv6の場合はipv6 radius source-interfaceコマンドを使用します。

RADIUSサーバーのデッドタイムの設定

問い合わせしたRADIUSサーバーからの応答がない場合に、そのRADIUSサーバーをオフラインとみなす期間（デッドタイム）を設定します。オフラインと判断されたRADIUSサーバーには、デッドタイムが満了するまで問い合わせは行われません。デッドタイムが満了すると、再び問い合わせ候補になります。

RADIUSサーバーをオフラインとみなす期間（デッドタイム）を設定するには、 radius-server deadtimeコマンドを使用します。

RADIUSサーバーのIPアドレスと共有鍵（Shared Secret）の設定

RADIUSサーバーのIPアドレスと共有鍵（Shared Secret）を設定します。デフォルト設定では、RADIUSサーバーは設定されていません。RADIUSサーバーはTACACS+サーバーと合わせて16台まで設定できます。

RADIUSサーバーのIPアドレスと共有鍵（Shared Secret）を設定するには、 radius-server hostコマンドを使用します。

RADIUSサーバーグループに登録するRADIUSサーバーの設定

任意に作成したRADIUSサーバーグループにRADIUSサーバーを登録します。デフォルト設定では、RADIUSサーバーは登録されていません。

任意のRADIUSサーバーグループを作成するには、aaa group server radiusコマンドを使用します。任意に作成したRADIUSサーバーグループにRADIUSサーバーを登録するには、serverコマンドを使用します。

TACACS+の機能説明

TACACS+は、AAAの認証、認可、およびアカウンティングのそれぞれを独立したサービスとして個別に利用できるセキュリティープロトコルです。TACACS+プロトコルに対応したTACACS+サーバーには、AAAの認証、認可、およびアカウンティングのそれぞれの情報が、個別のデータベースに記録されています。これにより、認証だけを利用したり、認可だけを利用したりできます。

TACACS+サーバーの機能

TACACS+パケットの送信元インターフェースの設定

装置がTACACS+パケットを送信するインターフェースを設定します。TACACS+パケットを送信するインターフェースは、デフォルト設定ではTACACS+サーバーに最も近いIPアドレスが設定されています。

装置がTACACS+パケットを送信するインターフェースを設定するには、ip tacacs source-interfaceコマンドを使用します。

TACACS+サーバーのIPアドレスと共有鍵（Shared Secret）の設定

TACACS+サーバーのIPアドレスと共有鍵（Shared Secret）を設定します。デフォルト設定では、TACACS+サーバーは設定されていません。TACACS+サーバーはRADIUSサーバーと合わせて16台まで設定できます。

TACACS+サーバーのIPアドレスと共有鍵（Shared Secret）を設定するには、 tacacs-server hostコマンドを使用します。

TACACS+サーバーグループに登録するTACACS+サーバーの設定

任意に作成したTACACS+サーバーグループにTACACS+サーバーを登録します。デフォルト設定では、TACACS+サーバーは登録されていません。

任意のTACACS+サーバーグループを作成するには、aaa group server tacacs+コマンドを使用します。任意に作成したTACACS+サーバーグループにTACACS+サーバーを登録するには、serverコマンドを使用します。