8.2.3 RADIUS/TACACS+を使用した認証
RADIUS/TACACS+を使用した認証方法について説明します。
(1) 認証サービスの選択
ログイン認証および装置管理者モードへの変更(enableコマンド)時の認証に使用するサービスは複数指定できます。指定できるサービスはRADIUS,TACACS+,ならびにコンフィグレーションコマンドusernameおよびenable passwordによる本装置単体でのログインセキュリティ機能です。
これらの認証方式は単独でも同時でも指定できます。同時に指定された場合に先に指定された方式で認証に失敗したときの認証サービスの選択動作を,次に示すend-by-rejectを設定するコンフィグレーションコマンドで変更できます。
- ログイン認証の場合
-
aaa authentication login end-by-reject
- 装置管理者モードへの変更(enableコマンド)時の認証の場合
-
aaa authentication enable end-by-reject
(a) end-by-reject未設定時
end-by-reject未設定時の認証サービスの選択について説明します。end-by-reject未設定時は,先に指定された方式で認証に失敗した場合に,その失敗の理由に関係なく,次に指定された方式で認証できます。
例として,コンフィグレーションで認証方式にRADIUS,TACACS+,単体でのログインセキュリティの順番で指定し,それぞれの認証結果がRADIUSサーバ通信不可,TACACS+サーバ認証否認,ログインセキュリティ機能認証成功となる場合の認証方式シーケンスを次の図に示します。
この図で端末からユーザが本装置にtelnetを実行すると,RADIUSサーバに対し本装置からRADIUS認証を要求します。RADIUSサーバとの通信不可によってRADIUSサーバでの認証に失敗すると,次にTACACS+サーバに対し本装置からTACACS+認証を要求します。TACACS+認証否認によってTACACS+サーバでの認証に失敗すると,次に本装置のログインセキュリティ機能での認証を実行します。ここで認証に成功し,ユーザは本装置へのログインに成功します。
(b) end-by-reject設定時
end-by-reject設定時の認証サービスの選択について説明します。end-by-reject設定時は,先に指定された方式で認証否認された場合に,次に指定された方式で認証を行いません。否認された時点で認証を終了し,一連の認証が失敗となります。通信不可などの異常によって認証が失敗した場合だけ,次に指定された方式で認証できます。
例として,コンフィグレーションで認証方式にRADIUS,TACACS+,単体でのログインセキュリティの順番で指定し,それぞれの認証結果がRADIUSサーバ通信不可,TACACS+サーバ認証否認となる場合の認証方式シーケンスを次の図に示します。
この図で端末からユーザが本装置にtelnetを実行すると,RADIUSサーバに対し本装置からRADIUS認証を要求します。RADIUSサーバとの通信不可によってRADIUSサーバでの認証に失敗すると,次にTACACS+サーバに対し本装置からTACACS+認証を要求します。TACACS+認証否認によってTACACS+サーバでの認証に失敗すると,この時点で一連の認証が失敗となり,認証を終了します。次に指定されている本装置のログインセキュリティ機能での認証を実行しません。その結果,ユーザは本装置へのログインに失敗します。
(2) RADIUS/TACACS+サーバの選択
RADIUSサーバ,TACACS+サーバはそれぞれ最大四つ指定できます。一つのサーバと通信できなくて認証サービスが受けられない場合は,順次これらのサーバへの接続を試行します。
また,RADIUSサーバ,TACACS+サーバをホスト名で指定したときに,複数のアドレスが解決できた場合は,優先順序に従ってアドレスを一つだけ決定して,RADIUSサーバ,TACACS+サーバと通信します。
優先順序についての詳細は,「11.1 解説」を参照してください。
- 注意
-
DNSサーバを使用してホスト名を解決する場合,DNSサーバとの通信に時間が掛かることがあります。このため,RADIUSサーバ,TACACS+サーバはIPアドレスで指定することをお勧めします。
RADIUS/TACACS+サーバと通信不可を判断するタイムアウト時間を設定できます。デフォルト値は5秒です。また,各RADIUSサーバでタイムアウトした場合は,再接続を試行します。この再試行回数も設定でき,デフォルト値は3回です。このため,ログイン方式としてRADIUSが使用できないと判断するまでの最大時間は,タイムアウト時間×リトライ回数×RADIUSサーバ設定数になります。なお,各TACACS+サーバでタイムアウトした場合は,再接続を試行しません。このため,ログイン方式としてTACACS+が使用できないと判断するまでの最大時間は,タイムアウト時間×TACACS+サーバ設定数になります。RADIUSサーバ選択のシーケンスを次の図に示します。
この図でリモート運用端末からユーザが本装置にtelnetを実行すると,RADIUSサーバ1に対して本装置からRADIUS認証を要求します。RADIUSサーバ1と通信できなかった場合は,続いてRADIUSサーバ2に対してRADIUS認証を実行します。ここで認証に成功し,ユーザは本装置へのログインに成功します。
TACACS+サーバ選択のシーケンスを次の図に示します。
この図でリモート運用端末からユーザが本装置にtelnetを実行すると,TACACS+サーバ1に対して本装置からTACACS+認証を要求します。TACACS+サーバ1と通信できなかった場合は,続いてTACACS+サーバ2に対してTACACS+認証を実行します。ここで認証に成功し,ユーザは本装置へのログインに成功します。
(3) RADIUS/TACACS+サーバへの登録情報
(a) ログイン認証を使用する場合
RADIUS/TACACS+サーバにユーザ名およびパスワードを登録します。RADIUS/TACACS+サーバへ登録するユーザ名には次に示す2種類があります。
-
本装置にコンフィグレーションコマンドusernameを使用して登録済みのユーザ名
本装置に登録されたユーザ情報を使用してログイン処理を行います。
-
本装置に未登録のユーザ名
次に示す共通のユーザ情報でログイン処理を行います。
-
ユーザ名:remote_user
-
ホームディレクトリ:/usr/home/share
-
本装置に未登録のユーザ名でログインした場合の注意点を示します。
-
ファイルの管理
ファイルを作成した場合,すべてremote_user管理となって,別のユーザでも作成したファイルの読み込みおよび書き込みができます。重要なファイルはftpなどで外部に保管するなど,ファイルの管理に注意してください。
(b) 装置管理者モードへの変更(enableコマンド)時の認証を使用する場合
装置管理者モードへの変更(enableコマンド)用に,次のユーザ情報を登録してください。
-
ユーザ名
本装置ではユーザ名属性として,次の表に示すユーザ名をサーバに送信します。送信するユーザ名はコンフィグレーションコマンドで変更できます。対応するユーザ名をサーバに登録してください。
表8‒10 設定するユーザ名属性 コマンド名
ユーザ名
RADIUS認証
TACACS+認証
設定なし
admin
admin
aaa authentication enable attribute-user-per-method
$enab15$
ログインユーザ名
-
特権レベル
特権レベルは15で固定です。
ただし,使用するサーバによっては,送信したユーザ名属性に関係なく特定のユーザ名(例えば,$enab15$)を使用する場合や,特権レベルの登録が不要な場合などがあります。詳細は,使用するサーバのマニュアルを確認してください。