キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

CDS-IS: TACACS+ の基本設定

CDE(CDSM/SE/SR) で、リリース2.4以降に導入された TACACS+ の設定方法について説明します。

設定例では CDSM の GUI で設定を行い、CDSM を TACACS+ クライアント、Cisco ACS を TACACS+ サーバーとしています

tacacs_topo.JPG

ステップ 1

Choose Devices > Devices > General Settings > Login Access Control > Login Authentication よりログイン時の認証方法の設定をします。

tacacs1.jpg

(各項目の詳細は以下です。)

-Enable Failover Server Unreachable

  • プライマリの認証サーバーが応答しない時、バックアップの認証サーバーを使用する場合に有効にします。

-Authentication Login Servers

  • ログイン時のユーザー認証を有効にします。

-Primary Login Server (必須)

-Secondary Login Server

-Tertiary Login Server

  • プライマリとバックアップの認証サーバーを合計3台まで設定可能です。
  • ロックアウトを防ぐため、プライマリにTACACS+を使用する際は、バックアップにlocalを指定するようにします。

-Authentication Config Servers

  • ログイン後のprivilege レベル(superuser:15/ normal user:0)を決定する際のユーザー認証を有効にします。
  • 有効にしない場合は、デフォルトでローカルにて認証が行われます。

-Primary Config Server (必須)

-Secondary Config Server

-Tertiary Config Server

  • プライマリとバックアップの認証サーバーを合計3台まで設定可能です。
  • ロックアウトを防ぐため、プライマリにTACACS+を使用する際は、バックアップにlocalを指定するようにします。

上記を入力後にSubmitをクリックします。

ステップ 2

Choose Devices > Devices > General Settings > Authentication > TACACS+ Server よりTACACS+ Serverの設定をします。

tacacs2.jpg

(各項目の詳細は以下です。)

-Enable TACACS+ Servers (必須)

  • TACACS+認証を有効にします。

-Use ASCII Password Authentication

  • ASCIIパスワードを使用する場合に有効にします。
  • デフォルトではPAPが使用されます。

-Time to Wait (必須)

  • TACACS+ サーバーからの応答がくるまでコネクションを保持する時間(秒)を設定します。
  • デフォルトは5秒です。

-Number of retransmits (必須)

  • TACACS+サーバーから応答がこない場合にリクエストを再送する回数を設定します。
  • デフォルトは2回です。

-Security Word

  • TACACS+サーバーに設定されているものと同一のものを設定します。
  • 必須の項目ではないので、TACACS+サーバーで設定していない場合は特に設定する必要はありません。

-Primary Server (必須)

-Secondary Server

-Tertiary Server

  • TACACS+サーバーのホスト名、またはIPアドレスを入力します。
  • プライマリとバックアップの認証サーバーを合計3台まで設定可能です。

上記を入力後にSubmitをクリックします。

CLIでの設定確認方法

CLIでは、show running-configで以下のように設定が反映されていることが確認できます。

tacacs key **** tacacs password ascii tacacs host 192.168.10.202 tacacs host 192.168.88.253 primary !

authentication login local enable secondary authentication login tacacs enable primary authentication configuration local enable secondary authentication configuration tacacs enable primary authentication fail-over server-unreachable

また、下記の show コマンドで設定が正常に反映されているかを確認できます。

CDSM#show authentication user

Authentication scheme fail-over reason: server unreachable


Login Authentication:         Console/Telnet/Ftp/SSH Session

----------------------------- ------------------------------

local                         enabled (secondary)

Radius                        disabled

Tacacs+                       enabled (primary)

Configuration Authentication: Console/Telnet/Ftp/SSH Session

----------------------------- ------------------------------

local                         enabled (secondary)

Radius                        disabled

Tacacs+                       enabled (primary)

CDSM#show tacacs

    Login Authentication for Console/Telnet/Ftp/SSH Session: enabled (primary)

    Configuration Authentication for Console/Telnet/Ftp/SSH Session: enabled (primary)

    Authentication scheme fail-over reason: server unreachable

    TACACS+ Configuration:

    ---------------------

    Key        = *****

    Timeout    = 5

    Retransmit = 2

    Password type: ascii

    Server                         Status

    ----------------------------   ------

    192.168.10.202

    192.168.88.253                 primary

バージョン履歴
改訂番号
1/1
最終更新:
‎01-25-2012 12:15 PM
更新者: