コンフィグレーションガイド Vol.1

[目次][索引][前へ][次へ]


8.2.3 RADIUS/TACACS+を使用した認証

RADIUS/TACACS+を使用した認証方法について説明します。

<この項の構成>
(1) 認証サービスの選択
(2) RADIUS/TACACS+サーバの選択
(3) RADIUS/TACACS+サーバへの登録情報

(1) 認証サービスの選択

ログイン認証および装置管理者モードへの変更(enableコマンド)時の認証に使用するサービスは複数指定できます。指定できるサービスはRADIUS,TACACS+およびadduser/passwordコマンドによる本装置単体でのログインセキュリティ機能です。

これらの認証方式は単独でも同時でも指定できます。同時に指定された場合に先に指定された方式で認証に失敗したときの認証サービスの選択動作を,次に示すend-by-rejectを設定するコンフィグレーションコマンドで変更できます。

ログイン認証の場合
aaa authentication login end-by-reject

装置管理者モードへの変更(enableコマンド)時の認証の場合
aaa authentication enable end-by-reject

(a) end-by-reject未設定時

end-by-reject未設定時の認証サービスの選択について説明します。end-by-reject未設定時は,先に指定された方式で認証に失敗した場合に,その失敗の理由に関係なく,次に指定された方式で認証できます。

例として,コンフィグレーション認証方式にRADIUS,TACACS+,単体でのログインセキュリティの順番で指定し,それぞれの認証結果がRADIUSサーバ通信不可,TACACS+サーバ認証否認,ログインセキュリティ機能認証成功となる場合の認証方式シーケンスを次の図に示します。

図8-8 認証方式シーケンス(end-by-reject未設定時)

[図データ]

この図で端末からユーザが本装置にtelnetを実行すると,RADIUSサーバに対し本装置からRADIUS認証を要求します。RADIUSサーバとの通信不可によってRADIUSサーバでの認証に失敗すると,次にTACACS+サーバに対し本装置からTACACS+認証を要求します。TACACS+認証否認によってTACACS+サーバでの認証に失敗すると,次に本装置のログインセキュリティ機能での認証を実行します。ここで認証に成功し,ユーザは本装置へのログインに成功します。

(b) end-by-reject設定時

end-by-reject設定時の認証サービスの選択について説明します。end-by-reject設定時は,先に指定された方式で認証否認された場合に,次に指定された方式で認証を行いません。否認された時点で認証を終了し,一連の認証が失敗となります。通信不可などの異常によって認証が失敗した場合だけ,次に指定された方式で認証できます。

例として,認証方式にRADIUS,TACACS+,単体でのログインセキュリティの順番で指定し,それぞれの認証結果がRADIUSサーバ通信不可,TACACS+サーバ認証否認となる場合の認証方式シーケンスを次の図に示します。

図8-9 認証方式シーケンス(end-by-reject設定時)

[図データ]

この図で端末からユーザが本装置にtelnetを実行すると,RADIUSサーバに対し本装置からRADIUS認証を要求します。RADIUSサーバとの通信不可によってRADIUSサーバでの認証に失敗すると,次にTACACS+サーバに対し本装置からTACACS+認証を要求します。TACACS+認証否認によってTACACS+サーバでの認証に失敗すると,この時点で一連の認証が失敗となり,認証を終了します。次に指定されている本装置のログインセキュリティ機能での認証は行いません。その結果,ユーザは本装置へのログインに失敗します。

(2) RADIUS/TACACS+サーバの選択

RADIUSサーバ,TACACS+サーバはそれぞれ最大四つまで指定できます。一つのサーバと通信できず,認証サービスが受けられない場合は,順次これらのサーバへの接続を試行します。

また,RADIUSサーバ,TACACS+サーバをホスト名で指定したときに,複数のアドレスが解決できた場合は,優先順序に従い,アドレスを一つだけ決定し,RADIUSサーバ,TACACS+サーバと通信します。

優先順序についての詳細は,「10. ホスト名とDNS 10.1 解説」を参照してください。

注意
DNSサーバを使用してホスト名を解決する場合,DNSサーバとの通信に時間が掛かることがあります。このため,RADIUSサーバ,TACACS+サーバはIPアドレスで指定することをお勧めします。

RADIUS/TACACS+サーバと通信不可を判断するタイムアウト時間を設定できます。デフォルト値は5秒です。また,各RADIUSサーバでタイムアウトした場合は,再接続を試行します。この再試行回数も設定でき,デフォルト値は3回です。このため,ログイン方式としてRADIUSが使用できないと判断するまでの最大時間は,タイムアウト時間×リトライ回数×RADIUSサーバ設定数になります。なお,各TACACS+サーバでタイムアウトした場合は,再接続を試行しません。このため,ログイン方式としてTACACS+が使用できないと判断するまでの最大時間は,タイムアウト時間×TACACS+サーバ設定数になります。RADIUSサーバ選択のシーケンスを次の図に示します。

図8-10 RADIUSサーバ選択のシーケンス

[図データ]

この図でリモート運用端末からユーザが本装置にtelnetを実行すると,RADIUSサーバ1に対し本装置からRADIUS認証を要求します。RADIUSサーバ1と通信できなかった場合は,続いてRADIUSサーバ2に対してRADIUS認証を実行します。ここで認証に成功し,ユーザは本装置へのログインに成功します。

TACACS+サーバ選択のシーケンスを次の図に示します。

図8-11 TACACS+サーバ選択のシーケンス

[図データ]

この図でリモート運用端末からユーザが本装置にtelnetを実行すると,TACACS+サーバ1に対し本装置からTACACS+認証を要求します。TACACS+サーバ1と通信できなかった場合は,続いてTACACS+サーバ2に対してTACACS+認証を実行します。ここで認証に成功し,ユーザは本装置へのログインに成功します。

(3) RADIUS/TACACS+サーバへの登録情報

(a) ログイン認証を使用する場合

RADIUS/TACACS+サーバにユーザ名およびパスワードを登録します。RADIUS/TACACS+サーバへ登録するユーザ名には次に示す2種類があります。

本装置に未登録のユーザでログインした場合の注意点を示します。

(b) 装置管理者モードへの変更(enableコマンド)時の認証を使用する場合

装置管理者モードへの変更(enableコマンド)用に,次のユーザ情報を登録してください。

ただし,サーバによっては,送信したユーザ名属性に関係なく特定のユーザ名(例えば$enab15$)を使用する場合や,特権レベルの登録が不要な場合などがあります。詳細は,使用するサーバのマニュアルを確認してください。

[目次][前へ][次へ]


[他社商品名称に関する表示]

Copyright (c)2005, 2011, ALAXALA Networks Corporation. All rights reserved.