AAA ( Authentication Authorization Accounting )



 ◆ AAAとは

 AAAとは、Authentication(認証)Authorization(認可)、Accounting(アカウンティング)の略称の
 ことであり、これら3つの異なるセキュリティ機能を設定するためのアーキテクチャ上の枠組みのことです。

AAA 説明
Authentication


 認証では、ユーザID/パスワード、デジタル証明書などの有効なクレデンシャル(信用情報)を
 確認し正当なユーザであるかを決定する。この「認証」を行う際にコマンド設定で選択された
 セキュリティプロトコルに応じて「チャレンジ/レスポンス、暗号化」等も提供される時がある。

Authorization


 認可では、
認証に成功したユーザに対して提供する権限(ネットワークサービス)を制限する。
 例えば、ユーザが発行可能なコマンドを制限したり、ネットワークのアクセス範囲を制限できる。
 ユーザに認可されるタスクは、ユーザまたはグループに関連づけられる
アトリビュート(属性)
 により定義される。これらはローカルに設定したり、TACACS+ / RADIUSサーバで設定できる。

Accounting


 アカウンティングでは、
認証に成功したユーザに対して情報を収集する。具体的には、例えば
 機器にログインしたユーザ、または、ネットワークアクセスしたユーザが入力したコマンド、
 接続時間、システムイベント等の情報をタイムスタンプをつけてログに記録することができる。
 収集した情報はRADIUSサーバなどに送信して管理して課金、監査、レポート作成に利用される。


 AAAの実装は、現在の企業ネットワークではIEEE802.1X認証とセットでよく使用されます。また、AAAが
 CiscoルータやCatalystスイッチなどで実装される場合、セットでRADIUSサーバやTACACS+サーバが使用
 されます。アカウンティングについては現在の企業ネットワークでは「課金」という形で利用されることは
 ほとんどなく、接続時のログなどの情報収集の際に使用されることが多いです。


    


 上図のイメージ図では、AAAサーバとして「RADIUSサーバとTACACS+サーバ」を登場させていますが、
 AAAではリモートサーバ認証だけでなく、ローカル認証も可能であることから、認証サーバを使用しない
 AAAの実装も可能です。ただしローカル認証では、AAAで実装できる範囲、拡張性、柔軟性が乏しいです。


 ◆ AAAを実装する利点

AAAの利点 説明
集中管理 その1


 CiscoルータやCatalystへのログイン認証用として、ローカルに line vty のパスワードや
 enable パスワードを設定せずに、その認証用のユーザID/パスワード情報を、TACACS+
 サーバなどで一括管理することができる。※ AAAを実装してローカルで管理する設定も可。

集中管理 その2


 ネットワークにアクセスする認証用のユーザ/パスワードをローカルデータベースで管理せずに
 RADIUSサーバで一括管理することができる。※ AAAを実装してローカルで管理する設定も可。

RADIUSのサポート


 AAAを実装することにより、標準規格であるRADIUSプロトコルがサポートされるようになる。

 これによりCisco ISEなどのRADIUSサーバだけでなく、MSなど他メーカーのRADIUSサーバを
 使用して認証ができるようになり、マルチベンダーの認証、認可環境を構築することができる。




 ◆ Cisco IOS - AAAの3つの「認証」設定

 AAAにおいて「認可」と「アカウンティング」は、「認証」が成功した後のプロセスです。つまり、先ずは
 Cisco IOSでは「認証」を実装させます。その認証では、大きく以下の3つの認証設定を検討する必要があり、
 「認証タイプ」は何であるのか「リスト」はどうするのか「認証方式」はどのように実装するのか考えます。
 ※ ネットワークエンジニアが実際の仕事で認証タイプを定義する場合、◎

認証設定 説明
認証タイプ


 @ 
login : NW機器へのコンソール接続や、telnet、SSHによるline vty接続のための認証設定
 A 
dot1x : IEEE802.1X認証のための認証設定
 B enable : enableコマンドで特権モードに移行するための認証
 C 
ppp : ダイヤルアップなどによるPPP接続のための認証設定
 ※ 実際のNWエンジニアの仕事として主に使用するのは「@login、Adot1x」の2つだけとなる。

リスト


 @ 
default : VTY、TTY、Console、Auxなど、全ての回線に自動的に適用される認証方式
 A 
任意の名前 : 上記の回線ごとに個別に認証方式を適用したい場合に適用される認証方式

認証方式


 @ 
group server-group
 A 
group radius
 B 
group tacacs+
 C 
enable
 D 
line
 E 
local
 F 
local-case
 G 
none



 認証方式は複数を選択することができます。複数を選択した場合、最初に指定した方式で認証を行って
 その認証が行えなかった場合、次の方式に移行します。別途「Authentication」のページで詳細に解説。



L2 セキュリティの技術

ネットワークエンジニアとして

Copyright (C) 2002-2019 ネットワークエンジニアとして All Rights Reserved.