AAA

セキュリティ機能で求められる3つのAをまとめたもの

• Authentication（認証）：ユーザの権限など
• Authorization（認可）：権限を割り当てる対象
• Accounting（アカウンティング）：ユーザーの履歴を記録

RADIUSとTACACS+の主な相違点

RADIUS

• UDP1812・1813
• 認証と認可が統合されている
• アカウテインングは独立している
• パスワードのみ暗号化

TACACS+

• TCP49
• AAAがすべて独立している
• パケット全体を暗号化

AAAの有効化

(config)#aaa new-model

認証サーバグループの設定

# RADIUS
(config)#aaa group server radius {グループ名}
(config-sg-radius)#server name {サーバ名}

# TACACS+
(config)#aaa group server tacacs+ {グループ名}
(config-sg-tacacs+)#server name {サーバ名}

AAAによる認証の設定

(config)#aaa authentication {タイプ} {default | リスト名} {method1} {method2}...

• タイプ
  • login：ログイン認証
  • enable：特権モードに移行するための認証
  • dot1x：IEEE 802.1xの認証
• リスト
  • default：すべての回線にデフォルトで適用されるリスト
  • リスト名：個別のリスト
• method

  • group {グループ名}：指定したグループ名でAAAサーバで認証を行う

  • group radius：RADIUSサーバによる認証を行う

  • group tacacs+：TACACS+サーバによる認証を行う

  • local：ローカルデータベースで指定した「ユーザ名」・「パスワード」で認証を行う

  • local-case：ローカルデータベースで指定した「ユーザ名」・「パスワード」で認証を行う

    （localオプションと違い大文字・小文字を区別する）

  • line：lineパスワードで指定したパスワードで認証を行う

  • enable：enableパスワードで指定したパスワードで認証を行う

  • none：認証なし

AAAによるサービスの認可（許可）

(config)#aaa authorization {タイプ} {default | リスト名} {アカウティング} {method1} {method2}...

• タイプ
  • network：すべてのネットワークサービス要求の許可
  • exec：ユーザEXECターミナルセッションに関連付けられた属性の許可
  • commands：指定された権限レベル（0～15）の許可
• リスト
  • default：すべての回線にデフォルトで適用されるリスト
  • リスト名：個別のリスト
• アカウティング
  • start-stop：開始時と終了時に通知する
  • stop-only：終了時のみ通知する
  • none：アカウティングしない
• method
  • group radius：RADIUSサーバによる認証を行う
  • group tacacs+：TACACS+サーバによる認証を行う

リスト名を使用した認証の適用

(config)#line {aux | console | vty} {番号} {終了番号}
(config-line)#login authentication {default | リスト名}

#コンソールポートに対する認可の有効化

(config)#aaa authorization console

• コンソールポートに対する認可はデフォルトで無効化