AAA - TACACS+ Client



 ◆ TACACS+クライアントの設定 - 新しいIOSの設定

 現在では「TACACS+サーバを登録」してから、それを「認証サーバグループに登録」する設定をします。

 ◆ TACACS+サーバの登録
 (config)# tacacs server config-name
 (config-server-tacacs)# address ipv4 address
 (config-server-tacacs)#
port number
 (config-server-tacacs)# key string
 (config-server-tacacs)# single-connection

 ◆ TACACS+サーバを認証サーバグループに登録( 複数のTACACS+サーバをグループに含められます )
 (config)#
aaa new-model
 (config)# aaa group server tacacs+ group-name
 (config-sg-server)# server name config-name


 認証方式リスト、認可方式リスト、アカウンティング方式リストに指定します。認証方式リストなどは
 別ページで解説。各方式リストの解説を読んでいない現時点では以下のコンフィグを理解できてなくOK。

 
◆ 認証方式リスト、認可方式リスト、アカウンティング方式リストなどに適用( 必要な方式リストに対してのみ適用 )
 (config)#
aaa authentication login default group group-name
 (config)# aaa authorization exec default group group-name

 ◆ TACACS+クライアントの設定例( 機器へ管理アクセスする際のユーザ/パスワードの集中管理 )

 Cisco(config) #
tacacs server ISE01
 Cisco(config-server-tacacs) # address ipv4 192.168.10.101
 Cisco(config-server-tacacs) # key Cisco123
 
Cisco(config-server-tacacs) # single-connection

 
Cisco(config) # aaa new-model
 Cisco(config) # aaa group server tacacs+ GROUP-ISE
 Cisco(config-sg-radius) # server name ISE01

 Cisco(config) # aaa authentication login default group GROUP-ISE
 Cisco(config) # aaa authorization console
 
Cisco(config) # aaa authorization exec default group GROUP-ISE local



 ◆ TACACS+クライアントの設定 - レガシーな設定

 AAAでTACACS+サーバをAAAクライアント(TACACS+クライアント)として使用するための設定を解説。

 
◆ TACACS+クライアントの設定
 
(config)# tacacs-server host address port number timeout seconds key string single-connection

コマンド引数 説明
address

 TACACS+サーバのIPアドレスを指定(DNSで名前解決できるならホスト名でもOK)

port

 オプション:デフォルトのTCPポート 49 から変更したい場合に指定。

timeout

 オプション:TACACS+クライアントがTACACS+サーバの応答を待つ時間を秒数で指定。

key  TACACS+クライアントとサーバ間のトラフィックを暗号化するための暗号鍵。同じ値にする。
single-connection  オプション:TACACS+クライアントとサーバ間のセッションが続いている間、単一のTCP接続を保持。


 ◆ TACACS+クライアントの設定例( 機器へ管理アクセスする際のユーザ/パスワードの集中管理 )

 Cisco(config) #
tacacs-server host 192.168.10.101 key Cisco123
 Cisco(config) # tacacs-server host 192.168.10.102 key Cisco123

 Cisco(config) # aaa new-model
 Cisco(config) # aaa authentication login default group tacacs+
 Cisco(config) # aaa authorization console
 
Cisco(config) # aaa authorization exec default group tacacs+




L2 セキュリティの技術

ネットワークエンジニアとして

Copyright (C) 2002-2019 ネットワークエンジニアとして All Rights Reserved.