|
◇ 以下の設定前に、機器へのログイン認証のための設定(ACS5.xの設定) - 認証の設定を行って下さい。
◆ Cisco Secure ACS - 機器へのログイン認証のための設定 ( ACS5.x の設定 ) - 認可
これまでの設定でtacacs+によるログイン認証が成功しますが、ログイン時にユーザ名とパスワードを入力
しただけでいきなり特権モードに移行できるようにする設定を紹介します。以下のとおり「Policy Elements」
⇒「Autorization and Permissions」⇒「Device Administration」⇒「Shell Profiles」で設定を行います。
「Create」を選択すると以下の画面が表示されるので、Nameに適当な名前を入力します。
「Create」を選択すると以下の画面が表示されるので、Nameに適当な名前を入力します。
「Common Tasks」というタブを選択して「Default Priviledge」の項目を「Static」、Value「15」に設定。
次に、IEEE802.1X認証のユーザと、ネットワーク機器にログインできるユーザと分けて管理することが
一般的であることからネットワーク機器にログインするためのユーザのユーザグループを新たに作成します。
デフォルトでは、1つのグループ(All Groups)にしか存在しないため、このAll Groups配下に作成します。
※ このようにグループの作成は、ユーザを作成する前に作成しておくことが推奨であることが分かります。
ユーザ名(admin-user)にひもづけるのに分かりやすいグループ名(admin-grourps)にします。
最後にAccess Policiesの設定を行います。「Access Policies」⇒「Default」⇒「Authorization」の
画面上で「Create」を選択します。
下図が自動的に表示されるので、Nameに分かりやすい名前を設定して、あとは以下の通りに設定します。
「Identity Group」において先ほど作成したグループ名を指定し、「Shell Profiles」では先ほど作成した
シェルを適用します。(All Groups配下のadmin-gruops配下のユーザ全てに"Priviledge"が適用されます)
ここでの設定変更後は「 Save Changes」を選択する必要があります。
最後に、ユーザ名「admin-user」が所属するグループを「admin-groups」に変更すれば全ての設定が完了。
では、10.1.3.1のCatalystスイッチにログインしてみます。tacacs+認証によるログインが成功するはずです。
L3スイッチのように複数のIPアドレスを持っている場合、ip tacacs source-interfaceコマンドでACS側で
登録したIPアドレスのインターフェースを指定する必要があります。L3デバイスで、この設定は必須です。
|