Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

RADIUS TACACS+、およびローカルパスワードの認証順序

Junos OS Evolvedは、ローカルパスワード認証、RADIUS、TACACS+など、さまざまな認証方法をサポートし、ネットワークへのアクセスを制御します。

複数の認証方法をサポートするようにデバイスを設定する場合、デバイスが試す異なる方法の順序に優先順位を付けることができます。このトピックでは、認証順序の仕組みとデバイスで設定する方法について説明します。

認証順序の概要

ネットワーク管理者は、 ステートメントを authentication-order 設定して、 Junos OS Evolved が異なる認証方法を試してルーターやスイッチへのユーザーアクセスを検証する順序を優先できます。認証順序をデフォルトで設定しない場合、 Junos OS Evolved は設定されたローカルパスワードに基づいてユーザーを検証します。

認証順序にRADIUSまたはTACACS+サーバーが含まれているが、サーバーが要求に応答しない場合、 Junos OS Evolved は常に最後の手段としてローカルパスワード認証を試すというデフォルトになります。

認証順序にRADIUSまたはTACACS+サーバーが含まれているのに、サーバーがリクエストを拒否する場合、リクエストの処理はより複雑になります。

  • 認証順序の最後に(ローカルパスワード認証)が含まれ、リモート認証サーバーが認証要求を拒否した場合 password 、デバイス ローカルパスワード認証を試みます。

  • (ローカルパスワード認証)が認証順序に含まれず、リモート認証サーバーが認証要求を拒否した場合password、要求は拒否で終了します。

    メモ:

    リリース 20.4R1 以前のリリースJunos OS Evolvedで、リモート認証サーバーが要求を拒否した場合、デバイスは引き続きローカル パスワード認証を試みます。

したがって、リモート認証サーバーが要求を拒否した場合に、デバイスがローカルパスワード認証を試みるための最終認証順序オプションとしてデバイスを含める password 必要があります。

認証順序が に authentication-order password設定されている場合、デバイスはローカルパスワード認証のみを使用します。

リモート認証の使用

Junos OS Evolvedを RADIUS または TACACS+ 認証クライアント(または両方)に設定できます。

ステートメントに authentication-order 含まれる認証方法が利用できない場合、または認証方法が利用可能であるが、対応する認証サーバーが拒否応答を返す場合、 Junos OS Evolved ステートメントに含まれる次の認証方法を authentication-order 試みます。

RADIUS、またはTACACS+サーバー認証は、以下の1つ以上の理由で失敗する場合があります。

  • 認証方法は設定されていますが、対応する認証サーバーは設定されていません。例えば、 ステートメントにはRADIUSおよびTACACS+ 認証方法が含まれていますauthentication-orderが、対応するRADIUSまたはTACACS+ サーバーは、[edit system tacplus-server]それぞれの[edit system radius-server]階層レベルで設定されていません。

  • 認証サーバーは、そのサーバーに設定されたタイムアウト値の前、またはタイムアウトが設定されていない場合は、デフォルトのタイムアウトの前に応答しません。

  • ネットワークの問題により、認証サーバーに到達できません。

認証サーバーは、以下の理由のいずれかまたは両方のために拒否応答を返す場合があります。

  • ルーターまたはスイッチにアクセスするユーザーのユーザープロファイルは、認証サーバーで設定されていません。

  • ユーザーが不正なログオン資格情報を入力します。

ローカルパスワード認証を使用する方法

ステートメントでauthentication-order認証方法をpassword明示的に設定することも、リモート認証サーバーに障害が発生した場合にこの方法をフォールバックメカニズムとして使用することもできます。認証方法はpassword、 階層レベルで設定されたローカルユーザープロファイルを[edit system login]参照します。ユーザーは、次のシナリオでローカル ユーザー名とパスワードを使用してルーターまたはスイッチにログインできます。

  • パスワード認証方法(password)は、 ステートメント内の認証方法の1つとして明示的に authentication-order 設定されています。

    この場合、以前の認証方法がログオン資格情報を受け入れなければ、デバイスはローカル パスワード認証を試みます。これは、以前の認証方法が応答できない場合でも、ユーザー名やパスワードが間違っているために拒否応答が返された場合でも当てはまります。

  • パスワード認証方法は、 ステートメントの認証方法の1つとして明示的に authentication-order 設定されていません。

    この場合、オペレーティングシステムは、設定されたすべての認証方法が応答できない場合にのみローカルパスワード認証を試みます。構成された認証方法でユーザー名やパスワードが間違っているために拒否応答が返された場合、オペレーティングシステムはローカルパスワード認証を使用しません。

    メモ:

    リリース 20.4R1 以前のリリースJunos OS Evolved、他の認証方法が拒否の応答を返すのか、応答が失敗したかにかかわらず、Junos OS Evolved引き続きローカル パスワード認証を試みます。

認証試行の順序

表 1 は、 階層レベルの authentication-order [edit system] ステートメントによって、デバイスへのアクセスにユーザーを認証するために Junos OS が使用する手順を決定する方法を示しています。

表 1:認証試行の順序

構文

認証試行の順序

authentication-order radius;

  1. 設定したRADIUS認証サーバーを試してみてください。

  2. RADIUS サーバーが利用可能で、認証が受け入れられた場合は、アクセスを許可します。

  3. RADIUS サーバーが使用可能で、認証が拒否された場合は、アクセスを拒否します。

    メモ:

    リリース 20.4R1 以前のリリースJunos OS Evolvedで、RADIUS サーバーが使用可能で認証が拒否された場合は、ローカル パスワード認証を試してください。

  4. RADIUSサーバーが利用できない場合は、ローカルパスワード認証を試してください。

authentication-order [ radius password ];

  1. 設定したRADIUS認証サーバーを試してみてください。

  2. RADIUS サーバーが利用可能で、認証が受け入れられた場合は、アクセスを許可します。

  3. RADIUSサーバーの応答に失敗した場合、またはサーバーが拒否応答を返す場合は、認証順序で明示的に設定されているため、ローカルパスワード認証を試してください。

authentication-order [ radius tacplus ];

  1. 設定したRADIUS認証サーバーを試してみてください。

  2. RADIUS サーバーが利用可能で、認証が受け入れられた場合は、アクセスを許可します。

  3. RADIUSサーバーの応答に失敗した場合、またはサーバーが拒否応答を返す場合は、設定されたTACACS+サーバーを試してみてください。

  4. TACACS+サーバーが利用可能で、認証が受け入れられた場合は、アクセスを許可します。

  5. TACACS+ サーバーが利用可能であるが、認証が拒否された場合は、アクセスを拒否します。

    メモ:

    リリース20.4R1以前のリリースJunos OS Evolvedで、TACACS+サーバーが利用可能であるが認証が拒否された場合は、ローカルパスワード認証を試してください。

authentication-order [ radius tacplus password ];

  1. 設定したRADIUS認証サーバーを試してみてください。

  2. RADIUS サーバーが利用可能で、認証が受け入れられた場合は、アクセスを許可します。

  3. RADIUSサーバーの応答に失敗した場合、またはサーバーが拒否応答を返す場合は、設定されたTACACS+サーバーを試してみてください。

  4. TACACS+サーバーが利用可能で、認証が受け入れられた場合は、アクセスを許可します。

  5. TACACS+サーバーの応答に失敗した場合、またはサーバーが拒否応答を返す場合は、認証順序で明示的に設定されているため、ローカルパスワード認証を試してください。

authentication-order tacplus;

  1. 設定したTACACS+認証サーバーを試してみてください。

  2. TACACS+サーバーが利用可能で、認証が受け入れられた場合は、アクセスを許可します。

  3. TACACS+ サーバーが利用可能であるが、認証が拒否された場合は、アクセスを拒否します。

    メモ:

    リリース20.4R1以前のリリースJunos OS Evolvedで、TACACS+サーバーが利用可能であるが認証が拒否された場合は、ローカルパスワード認証を試してください。

  4. TACACS+ サーバーが利用できない場合は、ローカルパスワード認証を試してください。

authentication-order [ tacplus password ];

  1. 設定したTACACS+認証サーバーを試してみてください。

  2. TACACS+サーバーが利用可能で、認証が受け入れられた場合は、アクセスを許可します。

  3. TACACS+サーバーの応答に失敗した場合、またはサーバーが拒否応答を返す場合は、認証順序で明示的に設定されているため、ローカルパスワード認証を試してください。

authentication-order [ tacplus radius ];

  1. 設定したTACACS+認証サーバーを試してみてください。

  2. TACACS+サーバーが利用可能で、認証が受け入れられた場合は、アクセスを許可します。

  3. TACACS+サーバーの応答に失敗した場合、またはサーバーが拒否応答を返す場合は、設定されたRADIUSサーバーを試してください。

  4. RADIUS サーバーが利用可能で、認証が受け入れられた場合は、アクセスを許可します。

  5. RADIUS サーバーが使用可能で、認証が拒否された場合は、アクセスを拒否します。

    メモ:

    リリース 20.4R1 以前のリリースJunos OS Evolvedで、RADIUS サーバーが使用可能で認証が拒否された場合は、ローカル パスワード認証を試してください。

  6. TACACS+またはRADIUSサーバーが利用できない場合は、ローカルパスワード認証を試してみてください。

authentication-order password;

  1. 階層レベルで設定されたパスワードを使用して、ユーザーの認証を [edit system login] 試みます。

  2. 認証が受け入れられた場合は、アクセスを許可します。

  3. 認証が拒否された場合、アクセスを拒否します。

メモ:

SSHパブリックキーが設定されている場合、SSHユーザー認証は、 ステートメントで設定された認証方法を使用する前に、まずパブリックキー認証を authentication-order 実行しようとします。SSHログインで、 ステートメントで authentication-order 設定された認証方法を使用する場合、最初に公開キー認証を試みずに、SSHパブリックキーを設定しないでください。

RADIUS、TACACS+、ローカルパスワード認証の認証順序を設定する

ステートメントを authentication-order 使用して、ルーターまたはスイッチへのユーザーアクセスを検証する際 に、Junos OS Evolved がさまざまな認証方法を試す順序を優先できます。認証順序を設定しない場合、デフォルトでは、ローカルで設定されたパスワードに基づいてユーザーが検証されます。

プレーンテキストを使用してパスワードを設定し、 Junos OS Evolved に依存して暗号化する場合、インターネット経由でプレーンテキストでパスワードを送信します。事前に暗号化されたパスワードを使用すると、パスワードのプレーンテキストをインターネット経由で送信する必要がないため、より安全です。また、パスワードでは、一度に1人のユーザーに割り当てることができます。

一方、RADIUSとTACACS+はパスワードを暗号化します。これらの認証方法では、ユーザーを 1 つずつ割り当てるのではなく、一度に一連のユーザーを割り当てることができます。しかし、これらの認証システムの違いは次のとおりです。

  • RADIUS は UDP を使用します。TACACS+ は TCP を使用します。

  • RADIUSは送信中にパスワードのみを暗号化し、TACACS+はセッション全体を暗号化します。

  • RADIUSは認証(デバイス)と認証(ユーザー)を組み合わせますが、TACACS+は認証、許可、説明責任を分離します。

つまり、TACACS+ は RADIUS よりもセキュアです。ただし、RADIUS の方がパフォーマンスが高く、相互運用が可能です。RADIUSは広くサポートされています。TACACS+はCisco独自の製品であり、Cisco以外では広くサポートされていません。

認証順序は、システム、その制限、ITポリシーと運用設定に基づいて設定できます。

認証順序を設定するには、 階層レベルで authentication-order ステートメントを [edit system] 含めます。

このステートメントを含めることができる階層レベルの一覧は、このステートメントのステートメント概要セクションを参照してください。

次に、可能な認証順序入力オプションを示します。

  • radiusRADIUS認証サーバーを使用してユーザーを確認します。

  • tacplus-TACACS+ 認証サーバーを使用してユーザーを確認します。

  • password階層レベルの認証ステートメントでローカルに設定されたユーザー名とパスワードを使用してユーザーを [edit system login user] 確認します。

Challenge Chap(ハンドシェイク認証プロトコル)認証シーケンスは、30 秒を超えることはできません。クライアントの認証に 30 秒以上かかる場合、認証は放棄され、新しいシーケンスが開始されます。

例えば、ルーターまたはスイッチが各サーバーへの接続を 3 回試みるように、3 つの RADIUS サーバーを設定するとします。さらに、再試行するたびに、サーバーは 3 秒後にタイムアウトすると仮定します。このシナリオでは、CHAP が障害と見なす前に RADIUS 認証方法に与えられる最大時間は 27 秒です。この設定に RADIUS サーバーを追加すると、これらのサーバーを試す前に認証プロセスが放棄される可能性があるため、これらのサーバーに接続されない可能性があります。

Junos OS Evolvedは、CHAP 認証が一度に持つ認証サーバー要求の数に制限を適用します。したがって、認証サーバーの方法(RADIUS など)は、この制限を超えた場合、クライアントの認証に失敗することがあります。認証に失敗した場合、認証に成功し、リンクが確立されるまで、認証シーケンスがルーターまたはスイッチによって再度設定されます。ただし、RADIUSサーバーが利用できず、または password などのtacplus追加の認証方法も設定されている場合、次の認証方法が試されます。

以下の例は、設定 radiuspassword 認証の方法を示しています。

以下の例では、 ステートメントの後に ステートメントを tacplus 挿入する方法を radius 示しています。

次の例は、認証順序から ステートメントを radius 削除する方法を示しています。

例:認証順序の設定

この例では、ユーザーログインの認証順序を設定する方法を示しています。

要件

開始する前に、デバイスの初期設定を実行します。お使いのデバイスの『はじめにガイド』を参照してください。

概要

デバイスがデバイスへのユーザーアクセスを検証するために使用する認証方法の順序を設定できます。ログインを試みるたびに、デバイスはパスワードが一致するか、すべての認証方法が試されるまで、設定された順序で認証方法を試みます。リモート認証を設定しない場合、設定されたローカルパスワードに基づいてユーザーが検証されます。

この例では、最初にRADIUS認証サービス、次にTACACS+認証サービス、最後にローカルパスワード認証でユーザー認証を試みるためにデバイスを設定します。

ローカルパスワード認証を使用する場合、システムにアクセスするすべてのユーザーに対してローカルユーザーアカウントを作成する必要があります。ただし、リモート認証サーバーを使用する場合は、一連のユーザーが共有するテンプレート アカウント(認証目的)を作成できます。ユーザーがテンプレート アカウントに割り当てられると、CLI(コマンドライン インターフェイス)ユーザー名がログイン名になります。ただし、ユーザーはテンプレート アカウントから権限、ファイルの所有権、有効なユーザー ID を継承します。

構成

手順

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードで を入力 commit します。

手順

認証順序を設定するには:

  1. 既存 authentication-order のステートメントを削除します。

  2. RADIUS認証を認証順序に追加します。

  3. 認証順序にTACACS+認証を追加します。

  4. ローカルパスワード認証を認証順序に追加します。

結果

設定モードで、 コマンドを入力して設定を show system authentication-order 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスを設定した後、設定モードで を入力します commit

メモ:

RADIUSまたはTACACS+認証を完全に設定するには、少なくとも1つのRADIUSまたはTACACS+サーバーを設定し、ユーザーアカウントまたはユーザーテンプレートアカウントを作成する必要があります。

検証

設定が正しく機能していることを確認します。

認証順序設定の確認

目的

デバイスが設定された順序で認証方法を使用していることを確認します。

アクション

認証方法ごとに異なるパスワードを持つテスト ユーザーを作成します。別のパスワードを使用してデバイスにログインします。以前の方法がパスワードを拒否するか、応答に失敗した場合、デバイスが後続の認証方法をクエリーすることを確認します。

または、テスト環境では、認証サーバーの構成またはローカル ユーザー アカウントの構成(またはその両方)を無効にして、各認証方法をテストできます。例えば、TACACS+サーバーをテストするために、RADIUSサーバーの設定とユーザーのローカルアカウントを無効にすることができます。ただし、ユーザーのローカルアカウントを無効化する場合は、ユーザーがまだユーザーテンプレートなどのローカルユーザーテンプレートアカウントにマッピングされていることを確認する remote 必要があります。

リリース履歴テーブル
リリース
説明
20.4R1
Junos OS Evolvedリリース20.4R2および21.1R1以降、パスワード認証動作はJunos OSのパスワード認証動作に一致するように更新されます。認証順序にRADIUS、またはTACACS+サーバーが含まれているが、サーバーが要求に応答しない場合、Junos OS Evolvedは常に最後のリゾートとしてローカルパスワード認証を試すデフォルトになります。