コンフィグレーションガイド Vol.1


8.2.2 RADIUS/TACACS+の適用機能および範囲

本装置ではRADIUS/TACACS+を,運用端末からのログイン認証と装置管理者モードへの変更(enableコマンド)時の認証,コマンド承認,およびアカウンティングに使用します。RADIUS/TACACS+機能のサポート範囲を次に示します。

〈この項の構成〉

(1) RADIUS/TACACS+の適用範囲

RADIUS/TACACS+認証を適用できる操作を次に示します。

RADIUS/TACACS+コマンド承認を適用できる操作を次に示します。

RADIUS/TACACS+アカウンティングを適用できる操作を次に示します。

(2) RADIUSのサポート範囲

RADIUSサーバに対して,本装置がサポートするNAS機能を次の表に示します。

表8‒4 RADIUSのサポート範囲

分類

内容

文書全体

NASに関する記述だけを対象にします。

パケットタイプ

ログイン認証,装置管理者モードへの変更(enableコマンド)時の認証,コマンド承認で使用する次のタイプ

  • Access-Request(送信)

  • Access-Accept(受信)

  • Access-Reject(受信)

アカウンティングで使用する次のタイプ

  • Accounting-Request(送信)

  • Accounting-Response(受信)

属性

ログイン認証と装置管理者モードへの変更(enableコマンド)時の認証で使用する次の属性

  • User-Name

  • User-Password

  • Service-Type

  • NAS-IP-Address

  • NAS-IPv6-Address

  • NAS-Identifier

  • Reply-Message

コマンド承認で使用する次の属性

  • Class

  • Vendor-Specific(Vendor-ID=21839)

アカウンティングで使用する次の属性

  • User-Name

  • NAS-IP-Address

  • NAS-IPv6-Address

  • NAS-Port

  • NAS-Port-Type

  • Service-Type

  • Calling-Station-Id

  • Acct-Status-Type

  • Acct-Delay-Time

  • Acct-Session-Id

  • Acct-Authentic

  • Acct-Session-Time

(a) 使用するRADIUS属性の内容

使用するRADIUS属性の内容を次の表に示します。

RADIUSサーバを利用してコマンド承認する場合は,認証時に下の表に示すようなClassやVendor-Specificを返すようにあらかじめRADIUSサーバを設定しておく必要があります。RADIUSサーバには,ベンダー固有属性を登録(dictionaryファイルなどに設定)してください。コマンド承認の属性詳細については,「8.2.4 RADIUS/TACACS+/ローカルを使用したコマンド承認」を参照してください。

表8‒5 使用するRADIUS属性の内容

属性名

属性値

パケットタイプ

内容

User-Name

1

Access-Request

Accounting-Request

認証するユーザの名前。

ログイン認証の場合は,ログインユーザ名を送信します。

装置管理者モードへの変更(enableコマンド)時の認証の場合は,「表8‒10 設定するユーザ名属性」に従ってユーザ名を送信します。

User-Password

2

Access-Request

認証ユーザのパスワード。送信時には暗号化されます。

Service-Type

6

Access-Request

Accounting-Request

Login(値=1)。Administrative(値=6,ただしパケットタイプがAccess-Requestの場合だけ使用)。Access-AcceptおよびAccess-Rejectに添付された場合は無視します。

NAS-IP-Address

4

Access-Request

Accounting-Request

本装置のIPアドレス。

  • RADIUSサーバへの送信元IPアドレスが設定されている場合,送信元IPアドレス

  • RADIUSサーバへの送信元IPアドレスが設定されていなくて,ローカルアドレスが設定されている場合,ローカルアドレス

  • RADIUSサーバへの送信元IPアドレスおよびローカルアドレスが設定されていない場合,送信インタフェースのIPアドレス

NAS-IPv6-Address

95

Access-Request

Accounting-Request

本装置のIPv6アドレス。

  • RADIUSサーバへの送信元IPv6アドレスが設定されている場合,送信元IPv6アドレス

  • RADIUSサーバへの送信元IPv6アドレスが設定されていなくて,ローカルアドレスが設定されている場合,ローカルアドレス

  • RADIUSサーバへの送信元IPv6アドレスおよびローカルアドレスが設定されていない場合,送信インタフェースのIPv6アドレス

ただし,IPv6リンクローカルアドレスで通信する場合は,ローカルアドレス設定の有無にかかわらず送信インタフェースのIPv6リンクローカルアドレスになります。

NAS-Identifier

32

Access-Request

Accounting-Request

本装置の装置名。装置名が設定されていない場合は添付されません。

Reply-Message

18

Access-Accept

Access-Reject

Accounting-Response

サーバからのメッセージ。添付されている場合は,運用ログとして出力されます。

Class

25

Access-Accept

ログインクラス。コマンド承認で適用します。

Vendor-Specific

26

Access-Accept

ログインリスト。コマンド承認で適用します。

NAS-Port

5

Accounting-Request

ユーザが接続されているNASのポート番号を指します。本装置では,ttyポート番号を格納します。ただし,ftpの場合は100を格納します。

NAS-Port-Type

61

Accounting-Request

NASに接続した方法を指します。本装置では,telnet/ftpはVirtual(5),コンソール/AUXはAsync(0)を格納します。

Calling-Station-Id

31

Accounting-Request

利用者の識別IDを指します。本装置では,telnet/ftpはクライアントのIPv4/IPv6アドレス,コンソールは“console”,AUXは“aux”を格納します。

Acct-Status-Type

40

Accounting-Request

Accounting-Requestがどのタイミングで送信されたかを指します。本装置では,ユーザのログイン時にStart(1),ログアウト時にStop(2)を格納します。

Acct-Delay-Time

41

Accounting-Request

送信する必要のあるイベント発生からAccounting-Requestを送信するまでにかかった時間(秒)を格納します。

Acct-Session-Id

44

Accounting-Request

セッションを識別するための文字列を指します。本装置では,セッションのプロセスIDを格納します。

Acct-Authentic

45

Accounting-Request

ユーザがどのように認証されたかを指します。本装置では,RADIUS(1),Local(2),Remote(3)の3種類を格納します。

Acct-Session-Time

46

Accounting-Request(Acct-Status-TypeがStopの場合だけ)

ユーザがサービスを利用した時間(秒)を指します。本装置では,ユーザがログイン後ログアウトするまでの時間(秒)を格納します。

  • Access-Requestパケット

    本装置が送信するパケットには,この表で示す以外の属性は添付しません。

  • Access-Accept,Access-Reject,Accounting-Responseパケット

    この表で示す以外の属性が添付されていた場合,本装置ではそれらの属性を無視します。

(3) TACACS+のサポート範囲

TACACS+サーバに対して,本装置がサポートするNAS機能を次の表に示します。

表8‒6 TACACS+のサポート範囲

分類

内容

パケットタイプ

ログイン認証と装置管理者モードへの変更(enableコマンド)時の認証で使用する次のタイプ

  • Authentication Start(送信)

  • Authentication Reply(受信)

  • Authentication Continue(送信)

コマンド承認で使用する次のタイプ

  • Authorization Request(送信)

  • Authorization Response(受信)

アカウンティングで使用する次のタイプ

  • Accounting Request(送信)

  • Accounting Reply(受信)

ログイン認証

属性

  • User

  • Password

  • priv-lvl

装置管理者モードへの変更(enableコマンド)時の認証

コマンド承認

service

  • taclogin

属性

  • class

  • allow-commands

  • deny-commands

アカウンティング

flag

  • TAC_PLUS_ACCT_FLAG_START

  • TAC_PLUS_ACCT_FLAG_STOP

属性

  • task_id

  • start_time

  • stop_time

  • elapsed_time

  • timezone

  • service

  • priv-lvl

  • cmd

(a) 使用するTACACS+属性の内容

使用するTACACS+属性の内容を次の表に示します。

TACACS+サーバを利用してコマンド承認する場合は,認証時にclassまたはallow-commandsやdeny-commands属性とサービスを返すようにTACACS+サーバ側で設定します。コマンド承認の属性詳細については,「8.2.4 RADIUS/TACACS+/ローカルを使用したコマンド承認」に示します。

表8‒7 使用するTACACS+属性の内容

service

属性

説明

-

User

認証するユーザの名前。

ログイン認証の場合は,ログインユーザ名を送信します。

装置管理者モードへの変更(enableコマンド)時の認証の場合は,「表8‒10 設定するユーザ名属性」に従ってユーザ名を送信します。

Password

認証ユーザのパスワード。送信時には暗号化されます。

priv-lvl

認証するユーザの特権レベル。

ログイン認証の場合,1を使用します。装置管理者モードへの変更(enableコマンド)時の認証の場合,15を使用します。

taclogin

class

コマンドクラス

allow-commands

許可コマンドリスト

deny-commands

制限コマンドリスト

(凡例)−:該当なし

アカウンティング時に使用するTACACS+ flagを次の表に示します。

表8‒8 TACACS+アカウンティングflag一覧

flag

内容

TAC_PLUS_ACCT_FLAG_START

アカウンティングSTARTパケットを示します。ただし,aaaコンフィグレーションで送信契機にstop-onlyを指定している場合は,アカウンティングSTARTパケットは送信しません。

TAC_PLUS_ACCT_FLAG_STOP

アカウンティングSTOPパケットを示します。ただし,aaaコンフィグレーションで送信契機にstop-onlyを指定している場合は,このアカウンティングSTOPパケットだけを送信します。

アカウンティング時に使用するTACACS+属性(Attribute-Value)の内容を次の表に示します。

表8‒9 TACACS+アカウンティングAttribute-Value一覧

Attribute

Value

task_id

イベントごとに割り当てられるIDです。本装置ではアカウンティングイベントのプロセスIDを格納します。

start_time

イベントを開始した時刻です。本装置ではアカウンティングイベントが開始された時刻を格納します。この属性は次のイベントで格納されます。

  • 送信契機start-stop指定時のログイン時,コマンド実行前

  • 送信契機stop-only指定時のコマンド実行前

stop_time

イベントを終了した時刻です。本装置ではアカウンティングイベントが終了した時刻を格納します。この属性は次のイベントで格納されます。

  • 送信契機start-stop指定時のログアウト時,コマンド実行後

  • 送信契機stop-only指定時のログアウト時

elapsed_time

イベント開始からの経過時間(秒)です。本装置ではアカウンティングイベントの開始から終了までの時間(秒)を格納します。この属性は次のイベントで格納されます。

  • 送信契機start-stop指定時のログアウト時,コマンド実行後

  • 送信契機stop-only指定時のログアウト時

timezone

タイムゾーン文字列を格納します。

service

文字列“shell”を格納します。

priv-lvl

コマンドアカウンティング設定時に,入力されたコマンドが運用コマンドの場合は1,コンフィグレーションコマンドの場合は15を格納します。

cmd

コマンドアカウンティング設定時に,入力されたコマンド文字列(最大250文字)を格納します。