1. はじめに
本ドキュメントは NX-OS での AAA の設置例、及びよくある質問を提供します。
2. AAA の設定
最初に Radius/TACACS+ サーバーの設定を行い、次に AAA の設定を行います。
2.1. Radius サーバーの設定
最低限の設定は以下の項目です。
- RADIUS サーバーの IP と key を設定
- AAA グループを設定
- 必要に応じて vrf を設定
設定例は以下の通りです。
radius-server host 192.168.255.10 key 0 cisco123 authentication accounting
radius-server timeout 5
radius-server retransmit 1
radius-server deadtime 0
aaa group server radius RADIUS
server 192.168.255.10
deadtime 0
use-vrf management
2.2. TACACS+ サーバーの設定
最低限の設定は以下の項目です。
- TACACS+ を有効化
- TACACS+ サーバーの IP と key を設定
- AAA グループを作成
- 必要に応じて vrf を設定
設定例は以下の通りです。
feature tacacs+
tacacs-server host 192.168.255.11 key 0 cisco123
tacacs-server timeout 5
tacacs-server deadtime 0
aaa group server tacacs+ TACACS
server 192.168.255.11
use-vrf management
2.3. AAA の設定
AAA コマンドで 認証 (authentication)/承認 (authorization)/アカウンティング (accounting) を設定します。
それぞれの AAA のメソッドは複数指定する事が可能です。以下の例では Radius/TACACS+/ローカルの順に試行されます。
設定例は以下の通りです。
aaa authentication login default group RADIUS TACACS local
aaa authorization commands default group TACACS local
aaa authorization config-commands default group TACACS local
aaa accounting default group RADIUS TACACS local
aaa authentication login ascii-authentication
TACACS+ サーバーでユーザーパスワードを ascii テキストで設定した場合、“aaa authentication login ascii-authentication” の設定が必要となります。
3. よくある質問と回答
Q1. Radius と TACACS+ は併用できますか?
A1. 併用できます。上記の AAA の設定例を参照してください。
Q2. 複数のメソッドを指定した場合、どのように処理されますか?
A1. 先の例の場合、Radius サーバーからの応答がない場合に TACACS+ サーバーに問い合わせを行います。Radius サーバーから応答(Accept/Reject)があった場合はそこで処理が終了します。
4. 備考
このドキュメントの内容は予告なしに変更される場合があります。
また、設定については英語版の Configuration Guide の内容が優先され、Limitation や Guide Line も参照するようお願いします。
