VDS-TC では、以下の3つのユーザグループが定義されています。
- VDSTC-standard
- VDSTC-director
- VDSTC-privileged
管理者権限を持つユーザは VDSTC-privileged グループに属しています。
本稿ではそれぞれのグループの詳細に関しては割愛いたしますので、
詳細はコンフィギュレーションガイドを参照してください。
TACACS+ によるユーザ認証を行うためには、cluster_conf.xml の <mgmt-config> の下に以下の設定を追加します。
<TACACS_configuration>
<tacacs_server_ip>{TACACS+ server IP}</tacacs_server_ip>
<tacacs_secret>{TACACS+ key}</tacacs_secret>
</TACACS_configuration> |
使用する TACACS+ サーバには特に指定はありませんが、以下に オープンソースの TACACS+ サーバである tac_plus における設定を示します。
group = VDSTC-standard {
default service = deny
cmd = show {
permit .*
}
} group = VDSTC-director {
default service = permit
cmd = director {
permit .*
}
} group = VDSTC-privileged {
default service = permit
cmd = enable {
permit .*
}
} user = user01 {
member = VDSTC-standard
pap = cleartext "user01"
login = cleartext "user01"
} user = user02 {
member = VDSTC-director
pap = cleartext "user02"
login = cleartext "user02"
} user = user03 {
member = VDSTC-privileged
pap = cleartext "user03"
login = cleartext "user03"
} |
tac_plus に関しましては以下のドキュメントも参考にしてください。
- TACACS+ 認証を使用したシスコのルータの設定方法
http://www.cisco.com/cisco/web/support/JP/100/1007/1007014_tacplus-j.html
上記コンフィグファイルを引数に指定して root 権限で tac_plus を実行すると、49/tcp で LISTEN を開始します。
# ./tac_plus -C vdstc.conf # netstat -anp | grep tac_plus
tcp 0 0 0.0.0.0:49 0.0.0.0:* LISTEN 12032/./tac_plus |
以上で、上記ファイルで定義したユーザで VDS-TC Manager (Web GUI) にログインすることが可能となります。
