コンフィグレーションガイド Vol.1


8.3.4 RADIUS/TACACS+/ローカルによるコマンド承認の設定

〈この項の構成〉

(1) RADIUSサーバによるコマンド承認の設定例

[設定のポイント]

RADIUSサーバによるコマンド承認を行う設定例を示します。

あらかじめ,RADIUS認証を使用する設定を行ってください。

[コマンドによる設定]

  1. (config)# aaa authentication login default group radius local

    (config)# radius-server host 192.168.10.1 key "RaD#001"

    あらかじめ,RADIUSサーバによる認証の設定を行います。

  2. (config)# aaa authorization commands default group radius

    RADIUSサーバを使用して,コマンド承認を行います。

[注意事項]

本設定後にユーザがRADIUS認証されてログインしたとき,RADIUSサーバ側でコマンド承認の設定がされていなかった場合は,コマンドがすべて制限されて実行できなくなります。設定ミスなどでコマンドの実行ができない場合は,コンソールからログインして修正してください。なお,コンフィグレーションコマンドaaa authorization commands consoleによってコンソールもコマンド承認の対象となっている場合は,デフォルトリスタート後,ログインして修正してください。

(2) TACACS+サーバによるコマンド承認の設定例

[設定のポイント]

TACACS+サーバによるコマンド承認を行う設定例を示します。

あらかじめ,TACACS+認証を使用する設定を行ってください。

[コマンドによる設定]

  1. (config)# aaa authentication login default group tacacs+ local

    (config)# tacacs-server host 192.168.10.1 key "TaC#001"

    あらかじめ,TACACS+サーバによる認証の設定を行います。

  2. (config)# aaa authorization commands default group tacacs+

    TACACS+サーバを使用して,コマンド承認を行います。

[注意事項]

本設定後にユーザがTACACS+認証されてログインしたとき,TACACS+サーバ側でコマンド承認の設定がされていなかった場合は,コマンドがすべて制限されて実行できなくなります。設定ミスなどでコマンドの実行ができない場合は,コンソールからログインして修正してください。なお,コンフィグレーションコマンドaaa authorization commands consoleによってコンソールもコマンド承認の対象となっている場合は,デフォルトリスタート後,ログインして修正してください。

(3) ローカルコマンド承認の設定例

[設定のポイント]

ローカルコマンド承認を行う設定例を示します。

あらかじめ,ユーザ名とそれに対応したコマンドクラス(username view-class)またはコマンドリスト(username view・parser view・commands exec)の設定を行ってください。

また,ローカルパスワード認証を使用する設定を行ってください。

[コマンドによる設定]

  1. (config)# parser view Local_001

    (config-view)# commands exec include all "show"

    (config-view)# commands exec exclude all "reload"

    コマンドリストを使用する場合は,あらかじめコマンドリストの設定を行います。

    なお,コマンドクラスだけを使用する場合は,コマンドリストの設定は必要ありません。

  2. (config)# username user001 view Local_001

    (config)# username user001 view-class noenable

    指定ユーザにコマンドクラスまたはコマンドリストの設定を行います。

    なお,コマンドクラスとコマンドリストを同時に設定することもできます。

  3. (config)# aaa authentication login default local

    ローカルパスワードによる認証の設定を行います。

  4. (config)# aaa authorization commands default local

    ローカル認証を使用して,コマンド承認を行います。

[注意事項]

ローカルコマンド承認を設定すると,ローカル認証でログインしたすべてのユーザに適用されますので,設定に漏れがないようご注意ください。

コマンドクラスまたはコマンドリストの設定がされていないユーザは,コマンドがすべて制限されて実行できなくなります。

設定ミスなどでコマンドの実行ができない場合は,コンソールからログインして修正してください。なお,コンフィグレーションコマンドaaa authorization commands consoleによってコンソールもコマンド承認の対象となっている場合は,デフォルトリスタート後,ログインして修正してください。