解説書 Vol.2
本装置では,RADIUS/TACACS+をリモート運用端末からのログイン時のユーザ認証,コマンド承認,アカウンティングに使用します。また,RADIUSをIEEE802.1Xの端末認証に使用します(IEEE802.1XでのRADIUS認証の適用機能および範囲については「3. IEEE 802.1X」を参照してください)。RADIUS/TACACS+機能のサポート範囲を次に示します。ログインについては,「14.3 ログイン制御」も参照してください。
- <この節の構成>
- (1) RADIUS/TACACS+の適用範囲
- (2) RADIUSのサポート範囲
- (3) 使用するRADIUS属性の内容
- (4) TACACS+のサポート範囲
- (5) 使用するTACACS+属性の内容
(1) RADIUS/TACACS+の適用範囲
RADIUS/TACACS+認証を適用できる操作を次に示します。
- 本装置へのtelnet(IPv4/IPv6)
- 本装置へのrlogin(IPv4/IPv6)
- 本装置へのftp(IPv4/IPv6)
次に示す操作はRADIUS/TACACS+認証を適用できません。
- RS232Cからのログイン
RADIUS/TACACS+コマンド承認を適用できる操作を次に示します。
- 本装置へのtelnet(IPv4/IPv6)
- 本装置へのrlogin(IPv4/IPv6)
RADIUS/TACACS+アカウンティングを適用できる操作を次に示します。
- 本装置へのtelnet(IPv4/IPv6)によるログイン・ログアウト
- 本装置へのrlogin(IPv4/IPv6)によるログイン・ログアウト
- 本装置へのftp(IPv4/IPv6)によるログイン・ログアウト
- RS232Cからのログイン・ログアウト
- CLIでのコマンド入力 (TACACS+だけサポート)
- システム操作パネルでのコマンド入力 (TACACS+だけサポート)
(2) RADIUSのサポート範囲
RADIUSのサポート範囲を次の表に示します。
分類 内容 文書全体 NASに関する記述だけを対象にします。 パケットタイプ ログイン認証/コマンド承認で使用する次のタイプ
- Access-Request (送信)
- Access-Accept (受信)
- Access-Reject (受信)
- アカウンティングで使用する次のタイプ
- Accounting-Request (送信)
- Accounting-Response (受信)
属性 ログイン認証で使用する次の属性
コマンド承認で使用する次の属性
- User-Name
- User-Password
- Service-Type
- NAS-IP-Address
- NAS-Identifier
- Reply-Message
アカウンティングで使用する次の属性
- Class
- Vendor-Specific(Vender-ID=21839)
- User-Name
- NAS-IP-Address
- NAS-Port
- NAS-Port-Type
- Service-Type
- Calling-Station-Id
- Acct-Status-Type
- Acct-Delay-Time
- Acct-Session-Id
- Acct-Authentic
- Acct-Session-Time
(3) 使用するRADIUS属性の内容
使用するRADIUS属性の内容を次の表に示します。
属性名 パケットタイプ 内容 User-Name
(属性値=1)Access-Request
Accounting-Request認証するユーザの名前。 User-Password
(属性値=2)Access-Request 認証ユーザのパスワード。
送信時には暗号化されます。Service-Type
(属性値=6)Access-Request
Accounting-RequestLogin(値=1)。
Access-AcceptおよびAccess-Rejectに添付された場合は無視します。NAS-IP-Address
(属性値=4)Access-Request
Accounting-Request本装置のIPアドレス。
ローカルアドレスが設定されている場合はローカルアドレス,ローカルアドレスが設定されていない場合は,送信インタフェースのIPアドレスになります。NAS-Identifier
(属性値=32)Access-Request
Accounting-Request本装置の装置名。
装置名が設定されていない場合は添付されません。Reply-Message
(属性値=18)Access-Accept
Access-Reject
Accounting-Responseサーバからのメッセージ。
添付されている場合は,運用ログとして出力されます(アカウンティングの場合はトレース情報として格納します。)。Class
(属性値=25)Access-Accept ログインクラス。
コマンド承認で適用します。
詳細は注3を参照してください。Vendor-Specific
(属性値=26)Access-Accept ログインリスト。
コマンド承認で適用します。
詳細は注3を参照してください。NAS-Port
(属性値=5)Accounting-Request ユーザが接続されているNASのポート番号を指します。
本装置では,ttyポート番号を格納します。ただし,ftpの場合は100を格納します。NAS-Port-Type
(属性値=61)Accounting-Request NASに接続した方法を指します。
本装置では,telnet/rlogin/ftpはVirtual(5),コンソール/AUX時にはAsync(0)を格納します。Calling-Station-Id
(属性値=31)Accounting-Request 利用者の識別IDを指します。
本装置では,telnet/rlogin/ftpはクライアントのIPv4/IPv6アドレス,コンソールは「console」,AUXポートは「aux」を格納します。Acct-Status-Type
(属性値=40)Accounting-Request Accounting-Requestがどのタイミングで送信されたかを指します。
本装置では,ユーザのログイン時にStart(1),ログアウト時にStop(2)を格納します。Acct-Delay-Time
(属性値=41)Accounting-Request 送信すべきイベント発生からAccountig-Requestを送信するまでに要した時間(秒)を格納します。 Acct-Session-Id
(属性値=44)Accounting-Request セッションを識別するための文字列を指します。
本装置では,セッションのプロセスIDを格納します。Acct-Authentic
(属性値=45)Accounting-Request ユーザがどのように認証されたかを指します。
本装置では,RADIUS(1),Local(2),Remote(3)の3種類を格納します。Acct-Session-Time
(属性値=46)Accounting-Request
(Acct-Status-Type がStopの場合だけ)ユーザがサービスを利用した時間(秒)を指します。
本装置では,ユーザがログイン後,ログアウトするまでの時間(秒)を格納します。
- 注1
- この表で示す以外の属性については,本装置が送信するAccess-Requestタイプパケットには添付しません。
- 注2
- RADIUSサーバから送信されるAccess-Accept,Access-Reject,およびAccounting-Responseタイプパケットにこの表で示す以外の属性が添付されている場合,本装置ではそれらを無視します。
- 注3
- RADIUSサーバを利用してコマンド制限する場合は,認証時に次の表に示すような属性値を返すようにRADIUSサーバ側で設定します。RADIUSサーバでは,下記のベンダー固有属性をサポートしていない場合があります。その場合は,サーバにベンダー固有属性を登録(dictionaryファイルなどに設定)してください。
表13-3 コマンド承認で使用するRADIUS属性の内容
属性名 内容 Class ログインクラス
次のどれかの文字列を指定します。
root, allcommand, noconfig, nomanage, noenableVendor-Specific
(Vendor-Id=21839)Vendor type 101
ALAXALA-Allow-Commands許可コマンドリスト
許可するコマンドの前方一致文字列を”,”で区切って指定します。空白も区別します。
例:ALAXALA-Allow-Commands=”show, ping, telnet”Vendor type 102
ALAXALA-Deny-Commands制限コマンドリスト
制限するコマンドの前方一致文字列を”,”で区切って指定します。空白も区別します。
例:ALAXALA-Deny-Commands=”enable, reload, close”
(4) TACACS+のサポート範囲
TACACS+のサポート範囲を次の表に示します。
表13-4 TACACS+のサポート範囲
分類 内容 文書全体 NASに関する記述だけを対象にします。 パケットタイプ ログイン認証で使用する次のタイプ
コマンド承認で使用する次のタイプ
- Authentication Start (送信)
- Authentication Reply(受信)
- Authentication Continue (送信)
アカウンティングで使用する次のタイプ
- Authorization Request (送信)
- Authorization Response (受信)
- Accounting Request (送信)
- Accounting Reply (受信)
ログイン認証
- User
- Password
コマンド承認 Service
- grlogin
属性
- class
- allow-commands
- deny-commands
アカウンティング flag
- TAC_PLUS_ACCT_FLAG_START
- TAC_PLUS_ACCT_FLAG_STOP
属性
- task_id
- start_time
- stop_time
- elapsed_time
- timezone
- service
- priv-lvl
- cmd
(5) 使用するTACACS+属性の内容
コマンド承認時に使用するTACACS+属性(Attribute-Value)の内容を次の表に示します。
表13-5 TACACS+設定Attribute-Value一覧
Service Attribute Value grlogin class ログインクラス
次のどれかの文字列を指定
root, allcommand, noconfig, nomanage, noenable
例:class=”noenable”allow-commands 許可コマンドリスト
許可するコマンドの前方一致文字列を”,”で区切って指定します。空白も区別します。
例:allow-commands=”show ,ping ,telnet”deny-commands 制限コマンドリスト
制限するコマンドの前方一致文字列を”,”で区切って指定します。空白も区別します。
例:deny-commands=”enable,reload,close”アカウンティング時に使用するTACACS+ flagを次の表に示します。
表13-6 TACACS+アカウンティングflag一覧
flag 内容 TAC_PLUS_ACCT_FLAG_START アカウンティングSTARTパケットを示します。
ただし,コンフィグレーションで送信契機にstop-onlyを指定している場合は,アカウンティングSTARTパケットは送信しません。TAC_PLUS_ACCT_FLAG_STOP アカウンティングSTOPパケットを示します。
ただし,コンフィグレーションで送信契機にstop-onlyを指定している場合は,このアカウンティングSTOPパケットだけを送信します。アカウンティング時に使用するTACACS+属性(Attribute-Value)の内容を次の表に示します。
表13-7 TACACS+アカウンティングAttribute-Value一覧
Attribute Value task_id イベントごとに割り当てられるIDです。
本装置ではアカウンティングイベントのプロセスIDを格納します。start_time イベントを開始した時刻です。
本装置ではアカウンティングイベントが開始された時刻を格納します。この属性は以下のイベントで格納されます。
- 送信契機start-stop指定時のログイン時,コマンド実行前
- 送信契機stop-only指定時のコマンド実行前
stop_time イベントを終了した時刻です。
本装置ではアカウンティングイベントが終了した時刻を格納します。この属性は以下のイベントで格納されます。
- 送信契機start-stop指定時のログアウト時,コマンド実行後
- 送信契機stop-only指定時のログアウト時
elapsed_time イベント開始からの経過時間(秒)です。
本装置ではアカウンティングイベントの開始から終了までの時間(秒)を格納します。この属性は以下のイベントで格納されます。
- 送信契機start-stop指定時のログアウト時,コマンド実行後
- 送信契機stop-only指定時のログアウト時
timezone タイムゾーン文字列を格納します。 service 文字列「shell」を格納します。 priv-lvl コマンドアカウンティング設定時に指定されたコマンドが運用コマンドの場合は1,コンフィグレーションコマンドの場合は15を格納します。 cmd コマンドアカウンティング設定時に指定されたコマンド文字列(最大250文字)を格納します。
Copyright (c)2005, 2011, ALAXALA Networks Corporation. All rights reserved.