aaa アカウンティング) - cisco...第36 章...
TRANSCRIPT
36-1Cisco Configuration Professional 1.0 ルーティングおよびセキュリティ ユーザーズ ガイド
OL-18185-01-J
C H A P T E R 36AAA(認証、許可、およびアカウンティング)
Cisco IOS AAA(認証、許可、およびアカウンティング)は、3 つの独立したセ
キュリティ機能を一貫した方法で設定するアーキテクチャ フレームワークで
す。AAA では、認証、許可、およびアカウンティング サービスをモジュール化
した方法で実行できます。
Cisco IOS AAA には次の利点があります。
• 柔軟性と制御の向上。
• スケーラビリティ。
• 標準化された認証方式。Cisco CP では、Remote Authentication Dialin UserService(RADIUS)および Terminal Access Controller Access Control System Plus
(TACACS+)のいずれかの認証方式を設定できます。
この章の内容は、次のとおりです。
• AAA の設定
• AAA 画面のリファレンス
第 36 章 AAA(認証、許可、およびアカウンティング)
AAA の設定
36-2Cisco Configuration Professional 1.0 ルーティングおよびセキュリティ ユーザーズ ガイド
OL-18185-01-J
AAA の設定AAA を設定する手順は、次のとおりです。
ステップ 1 Cisco CP のナビゲーション ペインで、[設定]>[セキュリティ]>[AAA]>
[AAA の要約]の順にクリックします。
ステップ 2 [AAA]画面で、[AAA の有効化]をクリックします。これにより、ルータ上で
AAA が有効になります。
ステップ 3 [AAA]フォルダの隣のプラス記号(+)をクリックすると、その他の AAA ブラ
ンチが表示されます。
ステップ 4 必要な設定のタイプのブランチをクリックします。
ステップ 5 表示された[AAA]画面で、設定を作成したり、画面内の既存エントリを選択
したりする場合は[追加]を、設定を変更する場合は[編集]をクリックします。
ステップ 6 表示されたダイアログで設定を行い、[OK]をクリックして設定をルータに送信
します。[設定の編集]画面で[コマンドをルータに配信する前にプレビューす
る]を選択した場合は、送信する Cisco IOS CLI コマンドが表示されます。ルー
タに設定を送信する場合は[OK]を、この設定を破棄する場合は[キャンセル]
をクリックします
36-3Cisco Configuration Professional 1.0 ルーティングおよびセキュリティ ユーザーズ ガイド
OL-18185-01-J
第 36 章 AAA(認証、許可、およびアカウンティング)
AAA 画面のリファレンス
AAA 画面のリファレンスこの章の各トピックでは、AAA の設定画面について説明します。
• AAA 概要画面
• AAA サーバおよびサーバ グループ
• AAA サーバ
• TACACS+ サーバの追加 / 編集
• RADIUS サーバの追加 / 編集
• AAA サーバ グループ
• AAA サーバ グループの追加 / 編集
• 認証ポリシー / 許可ポリシー ウィンドウ
• 認証および許可
• 認証 NAC
• 認証 802.1x
• 認証または許可の方式リストの追加または編集
AAA 概要画面
この画面は、AAA ツリーの 上位レベルにあります。この画面には、ルータの
AAA 設定の要約ビューが表示されます。詳細情報を表示したり、AAA の設定を
編集したりするには、[AAA]ツリーで適切なノードをクリックします。
第 36 章 AAA(認証、許可、およびアカウンティング)
AAA 画面のリファレンス
36-4Cisco Configuration Professional 1.0 ルーティングおよびセキュリティ ユーザーズ ガイド
OL-18185-01-J
フィールド リファレンス
表 36-1 AAA のメイン画面のフィールド
項目 説明
AAA の有効化
AAA の無効化
AAA が有効の場合は、ボタン名が[AAA の無効化]になります。
AAA が無効の場合は、ボタン名が[AAA の有効化]になります。
AAA はデフォルトでは有効です。[AAA の無効化]をクリックする
と、ルータにアクセスできるようにするために設定が変更されるこ
とを通知するメッセージが、Cisco CP に表示されます。AAA を無効
にすると、ルータを Easy VPN サーバとして設定できなくなります。
また、ユーザ アカウントをコマンド ライン インターフェイス(CLI)
のビューと関連付けることができなくなります。
AAA サーバおよびグループ この読み取り専用フィールドには、AAA サーバおよびサーバ グ
ループの数が表示されます。ルータは、AAA サーバへの認証、許
可、およびアカウンティング要求をリレーします。AAA サーバはグ
ループに分けられているので、ルータが 初にアクセスしたサーバ
が利用できない場合に、AAA グループ内の代替サーバを利用できま
す。
認証ポリシー この読み取り専用フィールドには、設定されている認証ポリシーが
表示されます。認証ポリシーはユーザの識別方法を定義します。認
証ポリシーを編集するには、[AAA]ツリーの[認証ポリシー]の
[ログイン]サブノードをクリックします。
許可ポリシー この読み取り専用フィールドには、設定済みの許可ポリシーが表示
されます。許可ポリシーでは、ユーザ ログインを許可または拒否す
る方法が定義されます。許可ポリシーを編集するには、[AAA]ツ
リーの[許可ポリシー]をクリックします。
許可ポリシー(Exec 許可およびネットワーク許可)を編集するに
は、[AAA]ツリーの[許可ポリシー]ノードの[Exec]および[ネッ
トワーク]サブノードをそれぞれクリックします。
36-5Cisco Configuration Professional 1.0 ルーティングおよびセキュリティ ユーザーズ ガイド
OL-18185-01-J
第 36 章 AAA(認証、許可、およびアカウンティング)
AAA 画面のリファレンス
AAA サーバおよびサーバ グループ
このウィンドウには、AAA サーバおよび AAA サーバ グループの説明が表示さ
れます。
[AAA サーバ]ウィンドウを表示するには、AAA サーバのブランチをクリック
します。
[AAA サーバ グループ]ウィンドウを表示するには、AAA サーバ グループのブ
ランチをクリックします。
AAA サーバ
このウィンドウには、ルータで使用するように設定されている AAA サーバに関
する情報のスナップショットが表示されます。IP アドレス、サーバ タイプ、お
よびその他のパラメータがサーバごとに表示されます。
フィールド リファレンス
表 36-2 AAA サーバのフィールド
項目 説明
グローバル設定 TACACS+ サーバおよび RADIUS サーバのグローバル設定を行う場合は、
[グローバル設定]をクリックします。[グローバル設定の編集]ウィンド
ウでは、この AAA サーバへのアクセスが試行される期間(この期間の経
過後は、次のサーバへのアクセスが試行されます)、TACACS+ サーバまた
は RADIUS サーバにアクセスする際に使用するキー、および TACACS+ パ
ケットまたは RADIUS パケットを受信するインターフェイスを指定でき
ます。これらの設定は、サーバ固有の設定が行われていないすべてのサー
バに適用されます。
追加 TACACS+ サーバまたは RADIUS サーバをリストに追加するには、[追加]
をクリックします。
編集 選択した AAA サーバの情報を編集するには、[編集]をクリックします。
削除 選択した AAA サーバの情報を削除するには、[削除]をクリックします。
サーバ IP AAA サーバの IP アドレスです。
第 36 章 AAA(認証、許可、およびアカウンティング)
AAA 画面のリファレンス
36-6Cisco Configuration Professional 1.0 ルーティングおよびセキュリティ ユーザーズ ガイド
OL-18185-01-J
TACACS+ サーバの追加 / 編集
このウィンドウでは、TACACS+ サーバの情報の追加や編集を行います。
フィールド リファレンス
パラメータ このカラムには、タイムアウト、キー、およびその他のパラメータがサー
バごとに表示されます。
表 36-2 AAA サーバのフィールド(続き)
項目 説明
表 36-3 TACACS+ サーバ フィールドの追加 / 編集
項目 説明
サーバ IP またはホスト名 サーバの IP アドレスまたはホスト名を入力します。ルータがドメイ
ン ネーム サービス(DNS)サーバを使用するように設定されてい
ない場合は、IP アドレスを入力します。
サーバとの単一接続 このチェック ボックスは、サーバとの通信のたびに TCP 接続を開
始および終了するのではなく、ルータで TACACS+ サーバとの単一
接続をオープンして維持する場合に選択します。単一接続をオープ
ンしておくと、TACACS+ サーバでより多くの TACACS+ 処理を実
行できるので効率が向上します。
(注) このオプションは、TACACS+ サーバで CiscoSecure バー
ジョン 1.0.1 以降が実行されている場合にだけサポートされ
ます。
サーバ固有のセットアップ AAA サーバのグローバル設定を無効にして、サーバ固有のタイムア
ウト値および暗号キーを指定する場合は、[サーバ固有のセット
アップ]を選択します。次のような設定が可能です。
• タイムアウト(秒) ― ルータがこのサーバへのアクセスを試行
する秒数を入力します。指定した秒数が経過すると、グループ
リスト内の次のサーバへのアクセスを試行します。ここで値を
入力しない場合、ルータでは AAA サーバの[グローバル設定]
ウィンドウで設定された値が使用されます。
36-7Cisco Configuration Professional 1.0 ルーティングおよびセキュリティ ユーザーズ ガイド
OL-18185-01-J
第 36 章 AAA(認証、許可、およびアカウンティング)
AAA 画面のリファレンス
RADIUS サーバの追加 / 編集
このウィンドウでは、RADIUS サーバの情報の追加や編集を行います。
フィールド リファレンス
• キーの設定 ― オプション。ルータとこのサーバ間のトラフィッ
クを暗号化するために使用するキーを入力します。ここで値を
入力しない場合、ルータでは AAA サーバの[グローバル設定]
ウィンドウで設定された値が使用されます。
• 新しいキー / キーの確認 ― キーを入力し、確認のためにその
キーを再入力します。
表 36-3 TACACS+ サーバ フィールドの追加 / 編集(続き)
項目 説明
表 36-4 RADIUS サーバ フィールドの追加 / 編集
項目 説明
サーバ IP またはホスト名 サーバの IP アドレスまたはホスト名を入力します。ルータがドメイ
ン ネーム サービス(DNS)サーバを使用するように設定されてい
ない場合は、IP アドレスを入力します。
許可ポート 許可要求に使用するサーバ ポートを指定します。デフォルトは 1645
です。
アカウンティング ポート アカウンティング要求に使用するサーバ ポートを指定します。デ
フォルトは 1646 です。
タイムアウト(秒) オプション。ルータがこのサーバへのアクセスを試行する秒数を入
力します。指定した秒数が経過すると、グループ リスト内の次の
サーバへのアクセスを試行します。ここで値を入力しない場合、
ルータでは AAA サーバの[グローバル設定]ウィンドウで設定さ
れた値が使用されます。
第 36 章 AAA(認証、許可、およびアカウンティング)
AAA 画面のリファレンス
36-8Cisco Configuration Professional 1.0 ルーティングおよびセキュリティ ユーザーズ ガイド
OL-18185-01-J
グローバル設定の編集
このウィンドウでは、ルータと AAA サーバ間のすべての通信に適用される通信
設定を指定します。個別のルータに対する通信設定は、このウィンドウの設定よ
りも優先されます。
フィールド リファレンス
キーの設定 オプション。ルータとこのサーバ間のトラフィックを暗号化するた
めに使用するキーを入力します。ここで値を入力しない場合、ルー
タでは AAA サーバの[グローバル設定]ウィンドウで設定された
値が使用されます。
• 新しいキー / キーの確認 ― キーを入力し、確認のためにその
キーを再入力します。
表 36-4 RADIUS サーバ フィールドの追加 / 編集(続き)
項目 説明
表 36-5 グローバル設定のフィールド
項目 説明
TACACS+ サーバ
RADIUS サーバ
適切なボタンをクリックして、グローバル パラメータを設定する
サーバのタイプを指定します。[TACACS+ サーバ]を選択すると、
固有のパラメータが設定されていない TACACS+ サーバとのすべて
の通信にこのパラメータが適用されます。[RADIUS サーバ]を選択
すると、固有のパラメータが設定されていない RADIUS サーバとの
すべての通信にこのパラメータが適用されます。
タイムアウト(秒) RADIUS または TACACS+ サーバからの応答を待つ秒数を入力しま
す。
キー ルータと TACACS+ サーバまたは RADIUS サーバ間のすべての通信
で使用する暗号キーを入力します。
36-9Cisco Configuration Professional 1.0 ルーティングおよびセキュリティ ユーザーズ ガイド
OL-18185-01-J
第 36 章 AAA(認証、許可、およびアカウンティング)
AAA 画面のリファレンス
AAA サーバ グループ
このウィンドウには、このルータに設定されている AAA サーバ グループが表示
されます。AAA サーバが設定されていない場合、このウィンドウは空になりま
す。
フィールド リファレンス
送信元インターフェイスの選択 ルータで TACACS+ または RADIUS パケットの受信に使用される単
一のインターフェイスを指定する場合には、このボックスを選択し
ます。
インターフェイス ― ルータで TACACS+ または RADIUS のパケッ
トを受信するためのインターフェイスを選択します。[送信元イン
ターフェイスの選択]チェック ボックスの選択が解除されている場
合、このフィールドは無効になります。
表 36-5 グローバル設定のフィールド(続き)
項目 説明
表 36-6 AAA サーバ グループのフィールド
項目 説明
追加 [追加]ボタンをクリックすると、RADIUS サーバ グループを作成できま
す。RADIUS サーバ グループを作成すると、このウィンドウにグループの
名前とメンバが表示されます。
編集 [編集]をクリックすると、強調表示されているサーバ グループに関する
情報を変更できます。
削除 [削除]をクリックすると、強調表示されているサーバ グループを削除で
きます。
グループ名 サーバ グループの名前です。サーバ グループ名を使用すると、1 つの名前
で複数のサーバを参照できます。
タイプ 選択されたグループ内のサーバのタイプです。TACACS+ または RADIUS
です。
グループ メンバ このグループ内の AAA サーバの IP アドレスまたはホスト名です。
第 36 章 AAA(認証、許可、およびアカウンティング)
AAA 画面のリファレンス
36-10Cisco Configuration Professional 1.0 ルーティングおよびセキュリティ ユーザーズ ガイド
OL-18185-01-J
AAA サーバ グループの追加 / 編集
このウィンドウでは、AAA サーバ グループの作成や変更を行います。
フィールド リファレンス
認証ポリシー / 許可ポリシー ウィンドウ
[認証ポリシー]および[許可ポリシー]ウィンドウには、ルータの認証ポリシー
に関する情報の概要が表示されます。
フィールド リファレンス
表 36-7 AAA サーバ グループの追加 / 編集のフィールド
項目 説明
グループ名 グループの名前を入力します。
サーバ タイプ RADIUS と TACACS+ のいずれかのサーバのタイプを選択します。
(注) 現在の設定内容によっては、このフィールドが保護されて
いて、特定のタイプに設定される場合があります。
この AAA サーバ グループに追
加するサーバを選択してくださ
い
このエリアには、選択したタイプのルータに設定されているすべて
の AAA サーバの IP アドレスが、使用されている認証ポートとアカ
ウンティング ポートとともに一覧表示されます。追加するサーバの
横の[選択]チェック ボックスを選択します。
表 36-8 認証ポリシー / 許可ポリシーのフィールド
項目 説明
認証タイプ 認証ポリシーのタイプです。
ポリシー数 このタイプのポリシーの数です。
使用目的 これらのポリシーの使用目的についての説明です。
36-11Cisco Configuration Professional 1.0 ルーティングおよびセキュリティ ユーザーズ ガイド
OL-18185-01-J
第 36 章 AAA(認証、許可、およびアカウンティング)
AAA 画面のリファレンス
認証および許可
[ログイン]および[Exec 許可およびネットワーク許可]ウィンドウには、ログ
インと NAC 要求の認証、および Exec コマンド レベル要求とネットワーク要求
の許可に使用される方式リストが表示されます。これらのウィンドウでは、各方
式リストを確認および管理できます。
フィールド リファレンス
表 36-9 認証 / 許可のフィールド
項目 説明
追加
編集
削除
これらのボタンを使用すると、方式リストを作成、編集、および削除でき
ます。
リスト名 方式リストの名前。方式リストとは、ユーザを認証するために照会される
認証方式を、優先順位に従って記載したリストのことです。
方式 1 ルータで 初に使用される方式です。この方式で、いずれか 1 つのサーバ
によってユーザが認証された(PASS 応答が送信された)場合は、認証が
成功したことになります。サーバから FAIL 応答が返された場合は、認証
が失敗したことになります。 初の方式で応答するサーバがなかった場
合、ルータはリスト内の次の方式を使用します。方式は、リストの作成ま
たは編集時に、順番に並べることができます。
方式 2
方式 3
方式 4
方式 1 で参照されるサーバが応答しない場合にルータで使用される方式
を、使用される順序に従って示しています。方式が 3 つ以下の場合、リス
トが設定されていない場所は空のままです。
第 36 章 AAA(認証、許可、およびアカウンティング)
AAA 画面のリファレンス
36-12Cisco Configuration Professional 1.0 ルーティングおよびセキュリティ ユーザーズ ガイド
OL-18185-01-J
認証 NAC
[認証 NAC]ウィンドウには、ルータに設定されている EAPoUDP 方式リストが
表示されます。このウィンドウで追加の方式リストを指定すると、ルータでは、
デフォルトの方式リストが使用される前に、指定した方式リストが使用されま
す。
フィールド リファレンス
表 36-10 NAC 認証のフィールド
項目 説明
追加
編集
削除
これらのボタンを使用すると、方式リストを作成、編集、および削除でき
ます。
リスト名 方式リストの名前。方式リストとは、ユーザを認証するために照会される
認証方式を、優先順位に従って記載したリストのことです。NAC の設定に
NAC ウィザードが使用された場合は、このカラムにリスト名「default」が
表示されます。
方式 1 ルータで 初に使用される方式です。NAC の設定に NAC ウィザードが使
用された場合は、このカラムに方式名「group SDM_NAC_Group」が表示さ
れます。
この方式で、いずれか 1 つのサーバによってユーザが認証された(PASS
応答が送信された)場合は、認証が成功したことになります。サーバから
FAIL 応答が返された場合は、認証が失敗したことになります。 初の方式
で応答するサーバがなかった場合、ルータはリスト内の次の方式を使用し
ます。方式は、リストの作成または編集時に、順番に並べることができま
す。
方式 2
方式 3
方式 4
方式 1 で参照されるサーバが応答しない場合にルータで使用される方式
を、使用される順序に従って示しています。方式が 3 つ以下の場合、リス
トが設定されていない場所は空のままです。
36-13Cisco Configuration Professional 1.0 ルーティングおよびセキュリティ ユーザーズ ガイド
OL-18185-01-J
第 36 章 AAA(認証、許可、およびアカウンティング)
AAA 画面のリファレンス
認証 802.1x
[認証 802.1x]ウィンドウには、802.1x 認証に適合するように設定されている方
式リストが表示されます。
(注) 802.1x の設定に追加の方式リストを指定することはできません。
フィールド リファレンス
表 36-11 802.1x 認証のフィールド
項目 説明
追加
編集
削除
これらのボタンを使用すると、方式リストを作成、編集、および削除でき
ます。
リスト名 方式リストの名前。方式リストとは、ユーザを認証するために照会される
認証方式を、優先順位に従って記載したリストのことです。
802.1x の設定に LAN ウィザードが使用された場合は、このカラムにリス
ト名「default」が表示されます。
方式 1 ルータで 初に使用される方式です。この方式で、いずれか 1 つのサーバ
によってユーザが認証された(PASS 応答が送信された)場合は、認証が
成功したことになります。サーバから FAIL 応答が返された場合は、認証
が失敗したことになります。 初の方式で応答するサーバがなかった場
合、ルータはリスト内の次の方式を使用します。方式は、リストの作成ま
たは編集時に、順番に並べることができます。
802.1x の設定に LAN ウィザードが使用された場合は、このカラムに方式
名「group SDM_802.1x」が表示されます。
方式 2
方式 3
方式 4
方式 1 で参照されるサーバが応答しない場合にルータで使用される方式で
す。方式が 3 つ以下の場合、リストが設定されていない場所は空のままで
す。
第 36 章 AAA(認証、許可、およびアカウンティング)
AAA 画面のリファレンス
36-14Cisco Configuration Professional 1.0 ルーティングおよびセキュリティ ユーザーズ ガイド
OL-18185-01-J
認証または許可の方式リストの追加または編集
方式リストとは、ユーザを認証するために照会される認証方式を、優先順位に
従って記載したリストのことです。方式リストを使用すると、認証に使用するセ
キュリティ プロトコルを 1 つ以上指定できます。これによって、 初の方式が
失敗した場合のための、認証のバックアップ システムを確保できます。
Cisco IOS ソフトウェアは、リストの 初に記載されている方式を使用してユー
ザを認証します。その方式で応答がなかった場合、Cisco IOS ソフトウェアは、
方式リストに記載されている次の認証方式を選択します。リストされた認証方式
との通信に成功するか、方式リストに定義されているすべての方式を試し終わる
までこれが繰り返されます。
Cisco IOS ソフトウェアが、次にリストされている認証方式での認証を試行する
のは、その前の方式で応答がなかったときだけであることに注意してください。
このサイクルのいずれかの時点で認証に失敗した場合(つまり、セキュリティ
サーバまたはローカル ユーザ名データベースがユーザ アクセスを拒否すること
によって応答した場合)、認証プロセスは停止し、他の認証方式は試行されませ
ん。
フィールド リファレンス
表 36-12 認証または許可の方式リストの追加のフィールド
項目 説明
名前
指定する
[名前]リストで名前[デフォルト]または[ユーザ定義]を選択して、
[指定する]フィールドに方式リストの名前を入力します。
方式 方式は、設定済みのサーバ グループです。方式は 4 つまで指定して、ルー
タで使用される順にリストに配置できます。ルータでは、 初にリスト内
の 1 つめの方式が試行されます。認証要求に対して PASS または FAIL 応
答を受け取った場合は、それ以上の照会は行われません。 初の方式を使
用して応答が得られなかった場合は、リスト内の次の方式が使用されま
す。PASS または FAIL 応答を受け取らない限り、リスト内の方式が 後ま
で順番に使用されます。
36-15Cisco Configuration Professional 1.0 ルーティングおよびセキュリティ ユーザーズ ガイド
OL-18185-01-J
第 36 章 AAA(認証、許可、およびアカウンティング)
AAA 画面のリファレンス
追加 リストに方式を追加するには、[追加]をクリックします。追加する設定
済みのサーバ グループがない場合は、表示されたウィンドウでサーバ グ
ループを設定できます。
削除 リストから方式を削除する場合に、このボタンをクリックします。
上へ移動
下へ移動
ルータでは、このウィンドウに表示されている順に方式が使用されます。
方式をリスト内の上に移動する場合は、[上へ移動]をクリックします。方
式をリスト内の下に移動する場合は、[下へ移動]をクリックします。
方式 "none" は常にリストの 後に表示されます。リスト内で、この下に他
の方式を移動することはできません。これは、IOS の制限です。IOS では、
方式名 "none" が方式リストに追加されると、それ以降他の方式名が受け付
けられなくなります。
パスワード エージングの
有効化
ユーザのパスワードの期限が切れたときに、Easy VPN サーバから通知が送
られ、新たなパスワードの登録が要求されるようにするには、[パスワー
ド エージングの有効化]を選択します。
表 36-12 認証または許可の方式リストの追加のフィールド(続き)
項目 説明
第 36 章 AAA(認証、許可、およびアカウンティング)
AAA 画面のリファレンス
36-16Cisco Configuration Professional 1.0 ルーティングおよびセキュリティ ユーザーズ ガイド
OL-18185-01-J