VDS-TC では、以下の3つのユーザグループが定義されています。
- VDSTC-standard
- VDSTC-director
- VDSTC-privileged
管理者権限を持つユーザは VDSTC-privileged グループに属しています。
本稿ではそれぞれのグループの詳細に関しては割愛いたしますので、
詳細はコンフィギュレーションガイドを参照してください。
TACACS+ によるユーザ認証を行うためには、cluster_conf.xml の <mgmt-config> の下に以下の設定を追加します。
<TACACS_configuration> <tacacs_server_ip>{TACACS+ server IP}</tacacs_server_ip> <tacacs_secret>{TACACS+ key}</tacacs_secret> </TACACS_configuration> |
使用する TACACS+ サーバには特に指定はありませんが、以下に オープンソースの TACACS+ サーバである tac_plus における設定を示します。
group = VDSTC-standard { default service = deny cmd = show { permit .* } } group = VDSTC-director { default service = permit cmd = director { permit .* } } group = VDSTC-privileged { default service = permit cmd = enable { permit .* } } user = user01 { member = VDSTC-standard pap = cleartext "user01" login = cleartext "user01" } user = user02 { member = VDSTC-director pap = cleartext "user02" login = cleartext "user02" } user = user03 { member = VDSTC-privileged pap = cleartext "user03" login = cleartext "user03" } |
tac_plus に関しましては以下のドキュメントも参考にしてください。
- TACACS+ 認証を使用したシスコのルータの設定方法
http://www.cisco.com/cisco/web/support/JP/100/1007/1007014_tacplus-j.html
上記コンフィグファイルを引数に指定して root 権限で tac_plus を実行すると、49/tcp で LISTEN を開始します。
# ./tac_plus -C vdstc.conf # netstat -anp | grep tac_plus tcp 0 0 0.0.0.0:49 0.0.0.0:* LISTEN 12032/./tac_plus |
以上で、上記ファイルで定義したユーザで VDS-TC Manager (Web GUI) にログインすることが可能となります。