AAA ( Authentication Authorization Accounting )

　◆　AAAとは

　AAAとは、Authentication（認証）Authorization（認可）、Accounting（アカウンティング）の略称の
　ことであり、これら3つの異なるセキュリティ機能を設定するためのアーキテクチャ上の枠組みのことです。

AAA	説明
Authentication	認証では、ユーザID/パスワード、デジタル証明書などの有効なクレデンシャル（信用情報）を 　確認し正当なユーザであるかを決定する。この「認証」を行う際にコマンド設定で選択された 　セキュリティプロトコルに応じて「チャレンジ/レスポンス、暗号化」等も提供される時がある。
Authorization	認可では、認証に成功したユーザに対して提供する権限（ネットワークサービス）を制限する。 　例えば、ユーザが発行可能なコマンドを制限したり、ネットワークのアクセス範囲を制限できる。 　ユーザに認可されるタスクは、ユーザまたはグループに関連づけられるアトリビュート（属性） 　により定義される。これらはローカルに設定したり、TACACS+ / RADIUSサーバで設定できる。
Accounting	アカウンティングでは、認証に成功したユーザに対して情報を収集する。具体的には、例えば 　機器にログインしたユーザ、または、ネットワークアクセスしたユーザが入力したコマンド、 　接続時間、システムイベント等の情報をタイムスタンプをつけてログに記録することができる。 　収集した情報はRADIUSサーバなどに送信して管理して課金、監査、レポート作成に利用される。

　AAAの実装は、現在の企業ネットワークではIEEE802.1X認証とセットでよく使用されます。また、AAAが
　CiscoルータやCatalystスイッチなどで実装される場合、セットでRADIUSサーバやTACACS+サーバが使用
　されます。アカウンティングについては現在の企業ネットワークでは「課金」という形で利用されることは
　ほとんどなく、接続時のログなどの情報収集の際に使用されることが多いです。


　　　　


　上図のイメージ図では、AAAサーバとして「RADIUSサーバとTACACS+サーバ」を登場させていますが、
　AAAではリモートサーバ認証だけでなく、ローカル認証も可能であることから、認証サーバを使用しない
　AAAの実装も可能です。ただしローカル認証では、AAAで実装できる範囲、拡張性、柔軟性が乏しいです。

　◆　AAAを実装する利点

AAAの利点	説明
集中管理 その1	CiscoルータやCatalystへのログイン認証用として、ローカルに line vty のパスワードや 　enable パスワードを設定せずに、その認証用のユーザID/パスワード情報を、TACACS+ 　サーバなどで一括管理することができる。※ AAAを実装してローカルで管理する設定も可。
集中管理 その2	ネットワークにアクセスする認証用のユーザ/パスワードをローカルデータベースで管理せずに 　RADIUSサーバで一括管理することができる。※ AAAを実装してローカルで管理する設定も可。
RADIUSのサポート	AAAを実装することにより、標準規格であるRADIUSプロトコルがサポートされるようになる。 　これによりCisco ISEなどのRADIUSサーバだけでなく、MSなど他メーカーのRADIUSサーバを 　使用して認証ができるようになり、マルチベンダーの認証、認可環境を構築することができる。

　◆　Cisco IOS - AAAの3つの「認証」設定

　AAAにおいて「認可」と「アカウンティング」は、「認証」が成功した後のプロセスです。つまり、先ずは
　Cisco IOSでは「認証」を実装させます。その認証では、大きく以下の3つの認証設定を検討する必要があり、
　「認証タイプ」は何であるのか「リスト」はどうするのか「認証方式」はどのように実装するのか考えます。

　認証方式は複数を選択することができます。複数を選択した場合、最初に指定した方式で認証を行って
　その認証が行えなかった場合、次の方式に移行します。別途「Authentication」のページで詳細に解説。