8.2.2 RADIUS/TACACS+の適用機能および範囲
本装置ではRADIUS/TACACS+を,運用端末からのログイン認証と装置管理者モードへの変更(enableコマンド)時の認証,コマンド承認,およびアカウンティングに使用します。また,RADIUSはIEEE802.1XおよびWeb認証の端末認証にも使用します。RADIUS/TACACS+機能のサポート範囲を次に示します。
(1) RADIUS/TACACS+の適用範囲
RADIUS/TACACS+認証を適用できる操作を次に示します。
-
本装置へのtelnet(IPv4/IPv6)
-
本装置へのssh(IPv4/IPv6)
-
本装置へのftp(IPv4/IPv6)
-
本装置へのsftp(IPv4/IPv6)
-
本装置へのscp(IPv4/IPv6)
-
コンソール(RS232C)からのログイン
-
装置管理者モードへの変更(enableコマンド)
RADIUS/TACACS+コマンド承認を適用できる操作を次に示します。
-
本装置へのtelnet(IPv4/IPv6)
-
本装置へのssh(IPv4/IPv6)
-
コンソール(RS232C)からのログイン
RADIUS/TACACS+アカウンティングを適用できる操作を次に示します。
-
本装置へのtelnet(IPv4/IPv6)によるログイン・ログアウト
-
本装置へのssh(IPv4/IPv6)によるログイン・ログアウト
-
本装置へのftp(IPv4/IPv6)によるログイン・ログアウト
-
本装置へのsftp(IPv4/IPv6)によるログイン・ログアウト
-
本装置へのscp(IPv4/IPv6)によるログイン・ログアウト
-
コンソール(RS232C)からのログイン・ログアウト
-
CLIでのコマンド入力(TACACS+だけサポート)
(2) RADIUSのサポート範囲
RADIUSサーバに対して,本装置がサポートするNAS機能を次の表に示します。
(a) 使用するRADIUS属性の内容
使用するRADIUS属性の内容を次の表に示します。
RADIUSサーバを利用してコマンド承認する場合は,認証時に下の表に示すようなClassやVendor-Specificを返すようにあらかじめRADIUSサーバを設定しておく必要があります。RADIUSサーバには,ベンダー固有属性を登録(dictionaryファイルなどに設定)してください。コマンド承認の属性詳細については「8.2.4 RADIUS/TACACS+/ローカルを使用したコマンド承認」を参照してください。
|
属性名 |
属性値 |
パケットタイプ |
内容 |
|---|---|---|---|
|
User-Name |
1 |
Access-Request Accounting-Request |
認証するユーザの名前。 ログイン認証の場合は,ログインユーザ名を送信します。 装置管理者モードへの変更(enableコマンド)時の認証の場合は,「表8‒9 設定するユーザ名属性」に従ってユーザ名を送信します。 |
|
User-Password |
2 |
Access-Request |
認証ユーザのパスワード。送信時には暗号化されます。 |
|
Service-Type |
6 |
Access-Request Accounting-Request |
Login(値=1)。Administrative(値=6,ただしパケットタイプがAccess-Requestの場合だけ使用)。Access-AcceptおよびAccess-Rejectに添付された場合は無視します。 |
|
NAS-IP-Address |
4 |
Access-Request Accounting-Request |
本装置のIPアドレス。ローカルアドレスが設定されている場合はローカルアドレス,ローカルアドレスが設定されていない場合は送信インタフェースのIPアドレスになります。 |
|
NAS-IPv6-Address |
95 |
Access-Request Accounting-Request |
本装置のIPv6アドレス。ローカルアドレスが設定されている場合はローカルアドレス,ローカルアドレスが設定されていない場合は送信インタフェースのIPv6アドレスになります。ただし,IPv6リンクローカルアドレスで通信する場合は,ローカルアドレス設定の有無にかかわらず送信インタフェースのIPv6リンクローカルアドレスになります。 |
|
NAS-Identifier |
32 |
Access-Request Accounting-Request |
本装置の装置名。装置名が設定されていない場合は添付されません。 |
|
Reply-Message |
18 |
Access-Accept Access-Reject Accounting-Response |
サーバからのメッセージ。添付されている場合は,運用ログとして出力されます。 |
|
Class |
25 |
Access-Accept |
ログインクラス。コマンド承認で適用します。 |
|
Vendor-Specific |
26 |
Access-Accept |
ログインリスト。コマンド承認で適用します。 |
|
NAS-Port |
5 |
Accounting-Request |
ユーザが接続されているNASのポート番号を指します。本装置では,ttyポート番号を格納します。ただし,ftpの場合は100を格納します。 |
|
NAS-Port-Type |
61 |
Accounting-Request |
NASに接続した方法を指します。本装置では,telnet/ftpはVirtual(5),コンソールはAsync(0)を格納します。 |
|
Calling-Station-Id |
31 |
Accounting-Request |
利用者の識別IDを指します。本装置では,telnet/ftpはクライアントのIPv4/IPv6アドレス,コンソールは“console”を格納します。 |
|
Acct-Status-Type |
40 |
Accounting-Request |
Accounting-Requestがどのタイミングで送信されたかを指します。本装置では,ユーザのログイン時にStart(1),ログアウト時にStop(2)を格納します。 |
|
Acct-Delay-Time |
41 |
Accounting-Request |
送信する必要のあるイベント発生からAccounting-Requestを送信するまでにかかった時間(秒)を格納します。 |
|
Acct-Session-Id |
44 |
Accounting-Request |
セッションを識別するための文字列を指します。本装置では,セッションのプロセスIDを格納します。 |
|
Acct-Authentic |
45 |
Accounting-Request |
ユーザがどのように認証されたかを指します。本装置では,RADIUS(1),Local(2),Remote(3)の3種類を格納します。 |
|
Acct-Session-Time |
46 |
Accounting-Request(Acct-Status-TypeがStopの場合だけ) |
ユーザがサービスを利用した時間(秒)を指します。本装置では,ユーザがログイン後ログアウトするまでの時間(秒)を格納します。 |
-
Access-Requestパケット
本装置が送信するパケットには,この表で示す以外の属性は添付しません。
-
Access-Accept,Access-Reject,Accounting-Responseパケット
この表で示す以外の属性が添付されていた場合,本装置ではそれらの属性を無視します。
(3) TACACS+のサポート範囲
TACACS+サーバに対して,本装置がサポートするNAS機能を次の表に示します。
|
分類 |
内容 |
|
|---|---|---|
|
パケットタイプ |
ログイン認証と装置管理者モードへの変更(enableコマンド)時の認証で使用する次のタイプ
コマンド承認で使用する次のタイプ
アカウンティングで使用する次のタイプ
|
|
|
ログイン認証 |
属性 |
|
|
装置管理者モードへの変更(enableコマンド)時の認証 |
||
|
コマンド承認 |
service |
|
|
属性 |
|
|
|
アカウンティング |
flag |
|
|
属性 |
|
|
(a) 使用するTACACS+属性の内容
使用するTACACS+属性の内容を次の表に示します。
TACACS+サーバを利用してコマンド承認する場合は,認証時にclassまたはallow-commandsやdeny-commands属性とサービスを返すようにTACACS+サーバ側で設定します。コマンド承認の属性詳細については「8.2.4 RADIUS/TACACS+/ローカルを使用したコマンド承認」に示します。
|
service |
属性 |
説明 |
|---|---|---|
|
- |
User |
認証するユーザの名前。 ログイン認証の場合は,ログインユーザ名を送信します。 装置管理者モードへの変更(enableコマンド)時の認証の場合は,「表8‒9 設定するユーザ名属性」に従ってユーザ名を送信します。 |
|
Password |
認証ユーザのパスワード。送信時には暗号化されます。 |
|
|
priv-lvl |
認証するユーザの特権レベル。 ログイン認証の場合,1を使用します。装置管理者モードへの変更(enableコマンド)時の認証の場合,15を使用します。 |
|
|
taclogin |
class |
コマンドクラス |
|
allow-commands |
許可コマンドリスト |
|
|
deny-commands |
制限コマンドリスト |
(凡例)−:該当なし
アカウンティング時に使用するTACACS+ flagを次の表に示します。
|
flag |
内容 |
|---|---|
|
TAC_PLUS_ACCT_FLAG_START |
アカウンティングSTARTパケットを示します。ただし,aaaコンフィグレーションで送信契機にstop-onlyを指定している場合は,アカウンティングSTARTパケットは送信しません。 |
|
TAC_PLUS_ACCT_FLAG_STOP |
アカウンティングSTOPパケットを示します。ただし,aaaコンフィグレーションで送信契機にstop-onlyを指定している場合は,このアカウンティングSTOPパケットだけを送信します。 |
アカウンティング時に使用するTACACS+属性(Attribute-Value)の内容を次の表に示します。
|
Attribute |
Value |
|---|---|
|
task_id |
イベントごとに割り当てられるIDです。本装置ではアカウンティングイベントのプロセスIDを格納します。 |
|
start_time |
イベントを開始した時刻です。本装置ではアカウンティングイベントが開始された時刻を格納します。この属性は次のイベントで格納されます。
|
|
stop_time |
イベントを終了した時刻です。本装置ではアカウンティングイベントが終了した時刻を格納します。この属性は次のイベントで格納されます。
|
|
elapsed_time |
イベント開始からの経過時間(秒)です。本装置ではアカウンティングイベントの開始から終了までの時間(秒)を格納します。この属性は次のイベントで格納されます。
|
|
timezone |
タイムゾーン文字列を格納します。 |
|
service |
文字列“shell”を格納します。 |
|
priv-lvl |
コマンドアカウンティング設定時に,入力されたコマンドが運用コマンドの場合は1,コンフィグレーションコマンドの場合は15を格納します。 |
|
cmd |
コマンドアカウンティング設定時に,入力されたコマンド文字列(最大250文字)を格納します。 |