コンフィグレーションガイド Vol.1
本装置ではRADIUS/TACACS+を,運用端末からのログイン認証と装置管理者モードへの変更(enableコマンド)時の認証,コマンド承認,およびアカウンティングに使用します。また,RADIUSはIEEE802.1XおよびWeb認証の端末認証にも使用します。RADIUS/TACACS+機能のサポート範囲を次に示します。
- <この項の構成>
- (1) RADIUS/TACACS+の適用範囲
- (2) RADIUSのサポート範囲
- (3) TACACS+のサポート範囲
(1) RADIUS/TACACS+の適用範囲
RADIUS/TACACS+認証を適用できる操作を次に示します。
- 本装置へのtelnet(IPv4/IPv6)
- 本装置へのftp(IPv4/IPv6)
- コンソール(RS232C)からのログイン
- 装置管理者モードへの変更(enableコマンド)
RADIUS/TACACS+コマンド承認を適用できる操作を次に示します。
- 本装置へのtelnet(IPv4/IPv6)
- コンソール(RS232C)からのログイン
RADIUS/TACACS+アカウンティングを適用できる操作を次に示します。
- 本装置へのtelnet(IPv4/IPv6)によるログイン・ログアウト
- 本装置へのftp(IPv4/IPv6)によるログイン・ログアウト
- コンソール(RS232C)からのログイン・ログアウト
- CLIでのコマンド入力(TACACS+だけサポート)
(2) RADIUSのサポート範囲
RADIUSサーバに対して,本装置がサポートするNAS機能を次の表に示します。
分類 内容 文書全体 NASに関する記述だけを対象にします。 パケットタイプ ログイン認証,装置管理者モードへの変更(enableコマンド)時の認証,コマンド承認で使用する次のタイプ
アカウンティングで使用する次のタイプ
- Access-Request (送信)
- Access-Accept (受信)
- Access-Reject (受信)
- Accounting-Request (送信)
- Accounting-Response (受信)
属性 ログイン認証と装置管理者モードへの変更(enableコマンド)時の認証で使用する次の属性
コマンド承認で使用する次の属性
- User-Name
- User-Password
- Service-Type
- NAS-IP-Address
- NAS-IPv6-Address
- NAS-Identifier
- Reply-Message
アカウンティングで使用する次の属性
- Class
- Vendor-Specific(Vendor-ID=21839)
- User-Name
- NAS-IP-Address
- NAS-IPv6-Address
- NAS-Port
- NAS-Port-Type
- Service-Type
- Calling-Station-Id
- Acct-Status-Type
- Acct-Delay-Time
- Acct-Session-Id
- Acct-Authentic
- Acct-Session-Time
(a) 使用するRADIUS属性の内容
使用するRADIUS属性の内容を次の表に示します。
RADIUSサーバを利用してコマンド承認する場合は,認証時に下の表に示すようなClassやVendor-Specificを返すようにあらかじめRADIUSサーバを設定しておく必要があります。RADIUSサーバには,ベンダー固有属性を登録(dictionaryファイルなどに設定)してください。コマンド承認の属性詳細については「8.2.4 RADIUS/TACACS+/ローカルを使用したコマンド承認」を参照してください。
表8-4 使用するRADIUS属性の内容
属性名 属性値 パケットタイプ 内容 User-Name 1 Access-Request
Accounting-Request認証するユーザの名前。
ログイン認証の場合は,ログインユーザ名を送信します。
装置管理者モードへの変更(enableコマンド)時の認証の場合は,「表8-9 設定するユーザ名属性」に従ってユーザ名を送信します。User-Password 2 Access-Request 認証ユーザのパスワード。送信時には暗号化されます。 Service-Type 6 Access-Request
Accounting-RequestLogin(値=1)。Administrative(値=6,ただしパケットタイプがAccess-Requestの場合だけ使用)。Access-AcceptおよびAccess-Rejectに添付された場合は無視します。 NAS-IP-Address 4 Access-Request
Accounting-Request本装置のIPアドレス。ローカルアドレスが設定されている場合はローカルアドレス,ローカルアドレスが設定されていない場合は送信インタフェースのIPアドレスになります。 NAS-IPv6-Address 95 Access-Request
Accounting-Request本装置のIPv6アドレス。ローカルアドレスが設定されている場合はローカルアドレス,ローカルアドレスが設定されていない場合は送信インタフェースのIPv6アドレスになります。ただし,IPv6リンクローカルアドレスで通信する場合は,ローカルアドレス設定の有無にかかわらず送信インタフェースのIPv6リンクローカルアドレスになります。 NAS-Identifier 32 Access-Request
Accounting-Request本装置の装置名。装置名が設定されていない場合は添付されません。 Reply-Message 18 Access-Accept
Access-Reject
Accounting-Responseサーバからのメッセージ。添付されている場合は,運用ログとして出力されます。 Class 25 Access-Accept ログインクラス。コマンド承認で適用します。 Vendor-Specific 26 Access-Accept ログインリスト。コマンド承認で適用します。 NAS-Port 5 Accounting-Request ユーザが接続されているNASのポート番号を指します。本装置では,ttyポート番号を格納します。ただし,ftpの場合は100を格納します。 NAS-Port-Type 61 Accounting-Request NASに接続した方法を指します。本装置では,telnet/ftpはVirtual(5),コンソールはAsync(0)を格納します。 Calling-Station-Id 31 Accounting-Request 利用者の識別IDを指します。本装置では,telnet/ftpはクライアントのIPv4/IPv6アドレス,コンソールは“console”を格納します。 Acct-Status-Type 40 Accounting-Request Accounting-Requestがどのタイミングで送信されたかを指します。本装置では,ユーザのログイン時にStart(1),ログアウト時にStop(2)を格納します。 Acct-Delay-Time 41 Accounting-Request 送信する必要のあるイベント発生からAccounting-Requestを送信するまでにかかった時間(秒)を格納します。 Acct-Session-Id 44 Accounting-Request セッションを識別するための文字列を指します。本装置では,セッションのプロセスIDを格納します。 Acct-Authentic 45 Accounting-Request ユーザがどのように認証されたかを指します。本装置では,RADIUS(1),Local(2),Remote(3)の3種類を格納します。 Acct-Session-Time 46 Accounting-Request(Acct-Status-TypeがStopの場合だけ) ユーザがサービスを利用した時間(秒)を指します。本装置では,ユーザがログイン後ログアウトするまでの時間(秒)を格納します。
- Access-Requestパケット
本装置が送信するパケットには,この表で示す以外の属性は添付しません。
- Access-Accept,Access-Reject,Accounting-Responseパケット
この表で示す以外の属性が添付されていた場合,本装置ではそれらの属性を無視します。
(3) TACACS+のサポート範囲
TACACS+サーバに対して,本装置がサポートするNAS機能を次の表に示します。
表8-5 TACACS+のサポート範囲
分類 内容 パケットタイプ ログイン認証と装置管理者モードへの変更(enableコマンド)時の認証で使用する次のタイプ
コマンド承認で使用する次のタイプ
- Authentication Start (送信)
- Authentication Reply(受信)
- Authentication Continue (送信)
アカウンティングで使用する次のタイプ
- Authorization Request (送信)
- Authorization Response (受信)
- Accounting Request (送信)
- Accounting Reply (受信)
ログイン認証 属性
- User
- Password
- priv-lvl
装置管理者モードへの変更(enableコマンド)時の認証 コマンド承認 service
- taclogin
属性
- class
- allow-commands
- deny-commands
アカウンティング flag
- TAC_PLUS_ACCT_FLAG_START
- TAC_PLUS_ACCT_FLAG_STOP
属性
- task_id
- start_time
- stop_time
- elapsed_time
- timezone
- service
- priv-lvl
- cmd
(a) 使用するTACACS+属性の内容
使用するTACACS+属性の内容を次の表に示します。
TACACS+サーバを利用してコマンド承認する場合は,認証時にclassまたはallow-commandsやdeny-commands属性とサービスを返すようにTACACS+サーバ側で設定します。コマンド承認の属性詳細については「8.2.4 RADIUS/TACACS+/ローカルを使用したコマンド承認」に示します。
表8-6 使用するTACACS+属性の内容
service 属性 説明 - User 認証するユーザの名前。
ログイン認証の場合は,ログインユーザ名を送信します。
装置管理者モードへの変更(enableコマンド)時の認証の場合は,「表8-9 設定するユーザ名属性」に従ってユーザ名を送信します。Password 認証ユーザのパスワード。送信時には暗号化されます。 priv-lvl 認証するユーザの特権レベル。
ログイン認証の場合,1を使用します。装置管理者モードへの変更(enableコマンド)時の認証の場合,15を使用します。taclogin class コマンドクラス allow-commands 許可コマンドリスト deny-commands 制限コマンドリスト (凡例)−:該当なし
アカウンティング時に使用するTACACS+ flagを次の表に示します。
表8-7 TACACS+アカウンティングflag一覧
flag 内容 TAC_PLUS_ACCT_FLAG_START アカウンティングSTARTパケットを示します。ただし,aaaコンフィグレーションで送信契機にstop-onlyを指定している場合は,アカウンティングSTARTパケットは送信しません。 TAC_PLUS_ACCT_FLAG_STOP アカウンティングSTOPパケットを示します。ただし,aaaコンフィグレーションで送信契機にstop-onlyを指定している場合は,このアカウンティングSTOPパケットだけを送信します。 アカウンティング時に使用するTACACS+属性(Attribute-Value)の内容を次の表に示します。
表8-8 TACACS+アカウンティングAttribute-Value一覧
Attribute Value task_id イベントごとに割り当てられるIDです。本装置ではアカウンティングイベントのプロセスIDを格納します。 start_time イベントを開始した時刻です。本装置ではアカウンティングイベントが開始された時刻を格納します。この属性は次のイベントで格納されます。
- 送信契機start-stop指定時のログイン時,コマンド実行前
- 送信契機stop-only指定時のコマンド実行前
stop_time イベントを終了した時刻です。本装置ではアカウンティングイベントが終了した時刻を格納します。この属性は次のイベントで格納されます。
- 送信契機start-stop指定時のログアウト時,コマンド実行後
- 送信契機stop-only指定時のログアウト時
elapsed_time イベント開始からの経過時間(秒)です。本装置ではアカウンティングイベントの開始から終了までの時間(秒)を格納します。この属性は次のイベントで格納されます。
- 送信契機start-stop指定時のログアウト時,コマンド実行後
- 送信契機stop-only指定時のログアウト時
timezone タイムゾーン文字列を格納します。 service 文字列“shell”を格納します。 priv-lvl コマンドアカウンティング設定時に,入力されたコマンドが運用コマンドの場合は1,コンフィグレーションコマンドの場合は15を格納します。 cmd コマンドアカウンティング設定時に,入力されたコマンド文字列(最大250文字)を格納します。
All Rights Reserved, Copyright(C), 2005, 2012, ALAXALA Networks, Corp.