RADIUS または TACACS+ を認証用に設定する方法

管理者は、RADIUS および TACACS+ サーバでユーザを認証できます。
capam32
HID_ConfigRadius
管理者は、RADIUS および TACACS+ サーバでユーザを認証できます。
RADIUS および TACACS+ のユーザは、ユーザ グループとしてインポートされます。 ユーザ グループのユーザを識別するために RADIUS サーバが使用されている場合、アプライアンスは最初に、ユーザ グループ: Groupname を指定の属性 25 に合わせようとします。
ユーザは、[ユーザ グループ]ページに表示されているリンクから手動でリフレッシュできます。
以下のタスクを実行します。
2
前提条件
TACACS+ サーバのサポート
アプライアンスは、以下のソフトウェアと連携して動作することができます。
  • tac_plus
  • Cisco Secure Access Control Server (ACS)バージョン 4 または 5
Cisco にアクセスするデバイスの設定時に、TACACS では、各 Cisco デバイス ユーザに一意の有効なパスワードを設定できません。
RADIUS サーバのサポート
アプライアンスでは、RADIUS に対する PAP および CHAP 認証がサポートされます。
RADIUS 認証時に、RADIUS ログイン名が同じである複数のユーザ レコードが検出された場合、ログイン プロセスはブロックされ、それらのすべてのユーザは非アクティブになります。 管理者は、これらのユーザの 1 人を明示的に有効にします。
RADIUS 認証で LDAP ユーザをインポートするときに、以下の条件のいずれかが存在する場合は、これらのすべての LDAP RADIUS ユーザが非アクティブになります。
  • 複数の LDAP ユーザの RADIUS ログイン名が同じである場合
  • いずれかの LDAP ユーザ ログイン名がアプライアンスの既存の RADIUS ユーザと一致する場合
デバイスおよびターゲット情報の設定
RADIUS または TACACS+ による認証を設定する前に、サーバを追加し、ターゲット アプリケーションを作成し、ターゲット アカウントをセットアップします。
以下の手順に従います。
  1. デバイス
    ]-[
    デバイスの管理
    ]に移動し、[
    追加
    ]を選択します。
    1. 名前
      ]に名前を入力します。 アクセス権が設定されている場合は、この名前が[アクセス]ページに表示されます。
    2. RADIUS または TACACS+ のサーバの IP
      アドレス
      または FQDN を入力します。 FQDN を使用するためには、[ネットワーク設定]ページで DNS が設定されている必要があります。
    3. 少なくとも、パスワード管理の[
      デバイス タイプ
      ]を選択します。
    4. 他のデバイス設定(オプション)の詳細については、「デバイスの設定」を参照してください。
  2. [ターゲット アプリケーションの保存と追加]
    を選択します。
    [ターゲット アプリケーションを追加する]ウィンドウが表示されます。 [
    ホスト名
    ]と[
    デバイス名
    ]には、使用しているデバイスのデータによって自動的に入力されます。
  3. アプリケーション名
    ]を指定します。
  4. [アプリケーション タイプ]
    で[RADIUS/TACACS+ Secret]を選択します。
    [ターゲット アプリケーションを追加する]ウィンドウに、[RADIUS/TACACS+ 秘密キー]という名前の 2 番目のタブが表示されます。
    1. [タイプ]
      で、[RADIUS]または[TACACS+]のいずれかのタイプを選択します。
    2. 必要であれば、
      [ポート]
      の値を変更します。
    3. オプションのアプリケーション設定の詳細については、「ターゲット アプリケーションの追加」を参照してください。
    4. OK
      ]を選択します。
  5. [認証情報]
    -
    [ターゲットの管理]-[アカウント]
    に移動し、
    [追加]
    を選択します。
    1. 選択の虫めがねアイコンを使用して、RADIUS または TACACS+ 用に作成した
      アプリケーション名
      を選択します。
      ホスト名
      ]と[
      デバイス名
      ]は自動的に入力されます。
    2. アカウント名
      ]を指定します。
    3. このアカウントの秘密キーを[
      秘密キー
      ]に入力します。
    4. オプションのアカウント設定の詳細については、「ターゲット アカウントおよびターゲット エイリアスの追加」を参照してください。
    5. OK
      ]を選択してアカウントを保存します。
RADIUS および TACACS+ をサードパーティ サーバとして追加
RADIUS および TACACS+ のターゲット アプリケーションおよびターゲット アカウントを設定した後は、これらのサーバをサードパーティ サーバとして追加してセットアップを完了します。
以下の手順
に従います。
  1. [設定]-[サードパーティ]
    -[
    RADIUS および TACACS+
    ]に移動します。
  2. [RADIUS および TACACS+ サーバ]
    タブで
    [追加]
    を選択し、以下の手順に従います。
    1. アカウント
      ]の選択の虫めがねアイコンを使用して、RADIUS または TACACS+ のアカウントを検索して選択します。
      サーバ
      ]と[
      アプリケーション
      ]は自動的に入力されます。
    2. 最初に[
      サーバ]
      を選択してから、[
      アプリケーション
      ]および[
      アカウント
      ]を選択することもできます。
  3. 必要に応じて、
    [タイムアウト]
    タブを選択し、以下の設定を調整して RADIUS タイムアウト パラメータを変更します。
    • ログイン タイムアウト(秒):
      すべての RADIUS サーバのログイン試行についてログイン タイムアウトを指定します。
    • RADIUS タイムアウト
      : RADIUS サーバからの応答を待機する最大時間を指定します。
    • RADIUS 再試行回数
      : 次のサーバを試行する前にリクエストが送信される回数を指定します。
  4. OK
    ]を選択して保存します。
    RADIUS および TACACS+ アカウント
    ]リストに、RADIUS または TACACS+ のドメインが表示されます。
  5. RADIUS または TACACS+ 用のユーザ グループを作成できるようにするには、アプライアンスからログアウトして再度ログインします。
  6. [ユーザ]-[ユーザ グループ管理]
    に移動して、RADIUS または TACACS+ からユーザをインポートします。
    1. RADIUS グループの作成
      ]または[
      TACACS+ グループの作成
      ]を選択します。
      RADIUS グループまたは TACACS+ グループ内のユーザを検索するには、
      指定する各グループ名が、RADIUS サーバまたは TACACS+ サーバの対応するグループ名または ID に一致している必要があります。 アプライアンスでは、設定済みのグループ化を使用してユーザを管理します。
    2. 対応する RADIUS または TACACS+ のグループの名前または ID を[
      グループ名
      ]に入力します。
      • ユーザが保持しているすべての権限は、そのユーザのグループから派生します。 ローカル アカウントを持つユーザ、または所属グループが UI 内のグループ名に一致するユーザのみに、アクセスが許可されます。 グループ名については、RADIUS サーバまたは TACACS+ サーバの管理者にお問い合わせください。
      • RADIUS グループがプロビジョニングされているが、ユーザが存在しない場合は、シャドウ RADIUS ユーザが作成されます。 シャドウ ユーザは、ユーザ管理画面またはユーザ リストに表示されません。
      ユーザ グループの詳細については、「ユーザ グループの設定」を参照してください。
  7. [OK]
    を選択してグループを保存します。