|
◆ Cisco Secure ACS - 機器へのログイン認証
ネットワーク機器にログインするためには、そのネットワーク機器に設定されたパスワード情報をもとに
ログインする方法と、ネットワーク機器がRadiusかTacacs+プロトコルを使用し外部のデータベースを
参照してログインするRadis認証またはTacacs+認証によるログイン方法があります。機器のローカルに
パスワードを設定する場合、機器の台数だけ設定変更が必要になるのに対して、Radius認証やTacacs+
認証の場合は、一括で設定変更することが可能であることから運用者にとって利便性が高いです。ACSを
ネットワークシステムに導入することでこのRadius認証/Tacacs+認証によるログインが可能になります。
◆ Cisco Secure ACS - 機器へのログイン認証のための設定 ( ネットワーク機器 )
Cisco Secure ACSを使用して、ネットワーク機器へのログイン認証を行う場合、一般的にTacacs+認証を
使用します。ここでは、Tacacs+認証の設定方法を紹介します。先ずはネットワーク機器側の設定を紹介。
aaa new-model
aaa authentication login default group tacacs+ local
aaa authorization console
aaa authorization exec default group tacacs+ local
username admin privilege 15 secret Cisco
tacacs-server host 10.1.1.1 key cisco
Tacacs+認証が行えない場合のセカンドセレクションとして local を指定します。この local はローカル
のユーザ名とパスワードを使用するという意味です。TACACSサーバ(ACS)と通信できない場合に使用する
ログイン用のアカウント(障害発生時や交換時など)。結局は、ローカルにユーザ名やパスワードを設定
するならTacacs+認証が無意味では?ということはありません。なぜなら、ACSと機器がIP到達性がある
場合は、そのユーザ名とパスワードは必ずACSにあるユーザまたは外部ADのユーザ使用するため、それを
定期的に一括で変更管理して、不正なネットワークアクセスをより確実に防止することができるからです。
◆ Cisco Secure ACS - 機器へのログイン認証のための設定 ( ACS5.xの設定 ) - デバイス登録
先ず、Cisco Secure ACSがをネットワーク機器をtacacs+クライアントとして認識できるように登録します。
「Network Resources」 ⇒ 「Network Devices and AAA Client」の画面で「Create」を選択しましょう。
Nameは適当に名前をつけて問題ありませんが、一般的にはネットワーク機器のホスト名を割り当てます。
IPアドレスはネットワーク機器のIPアドレスを設定します。ここで設定するIPアドレスとACSとが通信できる
必要があります(IP到達性が必要です)。次にAuthentication Optionsには「TACACS+」をチェックして
Shared Secret にネットワーク機器で設定した値と同じShared Secretを設定します。今回の設定例では、
ネットワーク機器で「cisco」と設定しているので、ACSでも同じ値を設定する。最後にSubmitを選択します。
Submit を選択すると画面が自動的に以下に切り替わります。
◆ Cisco Secure ACS - 機器へのログイン認証のための設定 ( ACS5.xの設定 ) - 認証
次に、ネットワーク機器にログインする際に使用するユーザアカウントを作成します。下図の赤枠どおり
「Users and Identity Stores」⇒「Internal Identity Stores」⇒「Users」を選択して「Create」を選択。
適当なユーザ名とパスワードを設定します。今回はユーザ名に admin-user として、パスワードに cisco と
設定するので、ネットワーク機器にログインする際にはこのユーザ名とパスワードを入力します。この設定が
完了するとtacacs+認証でNW機器へログインができるようになります。次に、Authorizationsを設定します。
|