|
◆ AAA - ログインアカウンティングのための設定
今までに解説した「AAA-認証」と「AAA-認可」の設定で、ネットワーク管理者がネットワーク機器に
アクセスするとログイン「認証」が行われ、認証が成功するとそのユーザセッションに関連付けられた
属性が「認可」され、ログイン時に適切なモードに自動的に移行してCLI操作ができるようになりました。
以上の設定で実装を完了させても問題ありませんが「アカウンティング」を設定することで、認証ユーザ
が機器にログインしたユーザ、または、ネットワークアクセスしたユーザが入力したコマンド、接続時間、
システムイベントなどの情報を、タイムスタンプをつけてログに記録することができます。
◆ AAA - Accounting 設定( ログインアカウンティングのための設定 )
AAAはデフォルトでディセーブルにされているため、先ずグローバルでAAAを有効化する設定が必要です。
◆ AAAの有効化
(config)# aaa new-model
次に、ログインアカウンティング方式リストの設定を行います。
◆ ログインアカウンティング認可方式リストの設定
(config)# aaa accounting exec [ default | list-name ] [ start-stop | stop-only | none ] method
| コマンド引数 |
説明 |
| default |
VTY、TTY、Console、Auxなど全回線に自動的に適用されるアカウンティング方式のデフォルトリスト。
|
| list-name |
VTY、TTY、Console、Auxなど回線個別にアカウンティング方式を適用したい場合に任意の名前で使用。
|
| method |
アカウンティング方法を「 group、group radius、group tacacs+ 」から選択。
|
| アカウンティング記録 |
説明 |
| start-stop |
プロセス開始時のアカウンティング「開始通知」とイベント終了後の「終了通知」を送信。
|
| stop-only |
要求されているユーザプロセスの終了時にアカウンティング「終了通知のみ」を送信。
|
| none |
特定の line または interface でアカウンティングのアクティビティ(活動)をストップさせる。
|
| methodの種類 |
説明 |
| group |
アカウンティングに任意のRADIUSのグループ名、または任意のTACACS+のグループ名を使用。
|
| group radius |
アカウンティングにRADIUSサーバを使用。
|
| group tacacs+ |
アカウンティングにTACACS+サーバを使用。
|
最後に、アカウンティングリストを適用したい回線(console、vty、tty、aux)を指定して適用します。
アカウンティングリストに「default」を選択した場合、つまり「accounting exec default」と設定した
場合はデフォルトのコンフィグ状態であることから、IOSバージョンによりshow runでは表示されません。
◆ アカウンティング方式リストの適用
(config)# line [ console | vty | tty | aux ] number number
(config-line)# accounting exec [ default | list-name ]
以下は、今まで解説してきた「認証」「認可」の設定に加え「アカウンティング」の設定を追加しています。
追加した設定は最後の1行だけです。これにより、ログイン認証後のEXECプロセスの開始時に、記録開始の
アカウンティング通知、終了時に記録停止の通知をRADIUSサーバに送信するようにしています
◆ AAA - ログインアカウンティングのための設定例
Cisco(config) # radius-server ISE01
Cisco(config-radius-server) # address ipv4 192.168.10.101 auth-port 1812 acct-port 1813
Cisco(config-radius-server) # key Cisco123
Cisco(config) # aaa new-model
Cisco(config) # aaa group server radius GROUP-ISE
Cisco(config-sg-radius) # server name ISE01
Cisco(config) # username admin privilege 15 secret Cisco123
Cisco(config) # aaa authentication login default group GROUP-ISE local
Cisco(config) # aaa authorization exec default group GROUP-ISE local
Cisco(config) # aaa authorization console
Cisco(config) # aaa accounting exec default start-stop group GROUP-ISE
|
本ページではアカウンティングタイプに「exec」を指定して解説しましたが、その他のタイプもあります。
| 認証設定 |
説明 |
アカウンティング
タイプ |
@ exec : ユーザ名、日付、開始時刻、終了時刻のユーザEXECターミナルセッションの監査。
A dot1x : IEEE802.1X認証に対するアカウンティング。
B network : ネットワーク関連のサービス要求に対するアカウンティング。
C system : 機器のreloadなど、すべてのシステムレベルのイベント監査( default-list のみ)
D connections : 機器から開始される全ての発信接続の監査。
|
|