購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
投稿メッセージを作成する
1254
閲覧回数
0
いいね!
2
返信

ASA5500シリーズのAAA機能について

hid nag
Level 1
Level 1

‎2013-02-25 10:50 AM

お世話になります。

基本的な内容で恐縮ですが、ASAのAAA機能について質問させてください。

・要件

ASA5500シリーズにて、特権モードにログインするユーザを個別に管理したい。

※コンソール、Telnetでログインするユーザを想定。

※TACACS、RADIUSサーバ構築済み。

・質問

ユーザ毎にenableパスワードを設け、TACACSもしくはRADIUSで認証する事は

可能でしょうか。

もし、可能な場合はコマンドもしくは参照ドキュメントをお教え頂けると幸いです。

また、ASAで可能な場合はCatalyst3750や2960、Cisco892J等のスイッチ・ルータ製品でも

同様に設定可能でしょうか。

以上、よろしくお願い致します。

ラベル:
0 いいね!
2件の返信2

miarai
Cisco Employee
Cisco Employee

‎2013-03-11 04:56 PM

既に解決されているかもしれませんが、ASA にて、

aaa authentication enable console <メソッド>

コマンドを設定いただくと、enable コマンドにて、特権モードに移行するときに username/password の

プロンプトが返り、認証が求められるように設定可能です。こちらのメソッドに、RADIUS、TACACS の設定を

入れていただければ、要件が見たせられるかと考えます。

http://www.cisco.com/en/US/customer/docs/security/asa/asa84/configuration/guide/access_management.html#wp1504880

また、IOS ルータ、スイッチではまた少し操作感は異なりますが、

aaa authentication enable group

の設定により、特権モードへの移行時の認証を、外部の AAA サーバで実施できます。

この場合、ASA と異なる点は、ユーザに返ってくるプロンプトは、パスワードのみになり、ユーザ名は求められない

という点となります。

http://www.cisco.com/en/US/tech/tk59/technologies_tech_note09186a0080093c81.shtml#login_auth

0 いいね!

hid nag
Level 1
Level 1
miaraiに対する応答

‎2013-05-10 09:44 AM

miarai様

回答頂きありがとうございました。
また返信遅くなり申し訳ありません。

早速、ご教授頂いたコマンドを投入してみたのですが、
特権モード移行時、パスワードのみ求められます。
特権モード移行時、ユーザ名も求められるものと想定しているのですが、
ユーザ名が求められない原因について、もしお分かりになればご教授下さい。

参考までにASAに投入している認証関連コンフィグ(一部抜粋)を記載させて頂きます。
※サーバはフリーのtacacs+サーバーを使用して検証しています。

----以下コンフィグ-----
hostname test
enable password test
passwd test

aaa-server auth-tacacs protocol tacacs+
aaa-server auth-tacacs (mgmt) host xxx,xxx,xxx,xxx
key *****

aaa authentication ssh console auth-tacacs LOCAL
aaa authentication telnet console auth-tacacs LOCAL
aaa authentication enable console auth-tacacs LOCAL
aaa authentication serial console auth-tacacs LOCAL

username abc password abc
----以上コンフィグ-----

以上、ご教授の程よろしくお願い致します。

0 いいね!
Customers Also Viewed These Support Documents