8.2.1　RADIUS/TACACS+の概要

RADIUS （Remote Authentication Dial In User Service），TACACS+（Terminal Access Controller Access Control System Plus）とは，NAS（Network Access Server）に対して認証，承認，およびアカウンティングを提供するプロトコルです。NASはRADIUS/TACACS+のクライアントとして動作するリモートアクセスサーバ，ルータなどの装置のことです。NASは構築されているRADIUS/TACACS+サーバに対してユーザ認証，コマンド承認，およびアカウンティングなどのサービスを要求します。RADIUS/TACACS+サーバはその要求に対して，サーバ上に構築された管理情報データベースに基づいて要求に対する応答を返します。本装置はNASの機能をサポートします。

RADIUS/TACACS+を使用すると一つのRADIUS/TACACS+サーバだけで，複数NASでのユーザパスワードなどの認証情報や，コマンド承認情報やアカウンティング情報を一元管理できるようになります。本装置では，RADIUS/TACACS+サーバに対してユーザ認証，コマンド承認，およびアカウンティングを要求できます。

RADIUS/TACACS+認証の流れを次に示します。

図8‒17　RADIUS/TACACS+認証の流れ

1. リモート運用端末からユーザXが本装置にtelnetを実行します。

2. 本装置はコンフィグレーションで指定したRADIUS/TACACS+サーバに対して認証を要求します。

3. RADIUS/TACACS+サーバはユーザデータベースに基づいてユーザXを認証して，本装置にユーザXを認証したことを通知します。

4. 本装置はRADIUS/TACACS+認証に基づいて，ユーザXのリモート運用端末からのtelnetを許可します。

本装置はコンフィグレーションでコマンド承認を設定した場合，RADIUS/TACACS+サーバに設定されているコマンドリストに従って，ユーザが実行するコマンドを許可または制限します。