Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

RADIUS TACACS+ の認証順序とローカルパスワード

Junos OS Evolvedは、ローカルパスワード認証、RADIUS、TACACS+などのさまざまな認証方法をサポートし、ネットワークへのアクセスを制御します。

複数の認証方法をサポートするようにデバイスを構成する場合、デバイスが異なる認証方法を試す順序に優先順位を付けることができます。このトピックでは、認証順序のしくみと、デバイスでの認証順序の構成方法について説明します。

認証順序の概要

ネットワーク管理者は、Junos OS Evolvedがルーターまたはスイッチへのユーザーアクセスを検証するためにさまざまな認証方法を試みる順序を優先するように、authentication-orderステートメントを設定できます。認証順序を設定しない場合、デフォルトでは、Junos OS Evolvedは設定されたローカルパスワードに基づいてユーザーを検証します。

認証順序にRADIUSまたはTACACS+サーバーが含まれているにもかかわらず、サーバーが要求に応答しない場合、 Junos OS Evolved は常に最後の手段としてローカルパスワード認証を試行することをデフォルトにします。

認証順序にRADIUSまたはTACACS+サーバーが含まれているにもかかわらず、サーバーが要求を拒否する場合、要求の処理はより複雑になります。

  • 認証順序の最後に password (ローカルパスワード 認証)が含まれ 、リモート認証サーバーが認証要求を拒否した場合、デバイスはローカルパスワード認証を試みます。

  • password(ローカルパスワード認証)が認証順序に含まれておらず、リモート認証サーバーが認証要求を拒否した場合、要求は拒否されて終了します。

    手記:

    Junos OS Evolvedリリース20.4R1以前のリリースでは、リモート認証サーバーが要求を拒否した場合でも、デバイスはローカルパスワード認証を試みます。

したがって、デバイスは、リモート認証サーバーが要求を拒否した場合にデバイスがローカルパスワード認証を試みるための最終的な認証順序オプションとして password を含める必要があります。

認証順序が authentication-order password に設定されている場合、デバイスはローカルパスワード認証のみを使用します。

リモート認証の使用

Junos OS EvolvedをRADIUS認証クライアントまたはTACACS+認証クライアント(あるいはその両方)として設定することができます。

authentication-order ステートメントに含まれる認証方法が利用できない場合、または認証方法は使用可能であるが、対応する認証サーバーが拒否応答を返す場合、Junos OS Evolvedauthentication-orderステートメントに含まれる次の認証方法を試みます。

RADIUS、またはTACACS+サーバー認証は、以下の1つ以上の理由で失敗する可能性があります。

  • 認証方法は構成されていますが、対応する認証サーバーが構成されていません。例えば、RADIUS および TACACS+ の認証方法は authentication-order ステートメントに含まれていますが、対応する RADIUS または TACACS+ サーバーは、それぞれの [edit system radius-server] および [edit system tacplus-server] 階層レベルでは設定されません。

  • 認証サーバーは、そのサーバーに構成されたタイムアウト値より前、またはタイムアウトが設定されていない場合はデフォルトのタイムアウト前に応答しません。

  • ネットワークの問題のため、認証サーバーに到達できません。

認証サーバーは、以下の理由の 1 つまたは両方で拒否応答を返す場合があります。

  • ルーターまたはスイッチにアクセスするユーザーのユーザープロファイルが、認証サーバー上で設定されていません。

  • ユーザーが誤ったログオン資格情報を入力します。

ローカルパスワード認証の使用方法

authentication-order ステートメントでpassword認証方法を明示的に設定するか、リモート認証サーバーに障害が発生した場合のフォールバックメカニズムとしてこのメソッドを使用できます。password認証方法は、[edit system login]階層レベルで設定されたローカルユーザープロファイルを参照します。以下のシナリオでは、ユーザーはローカルのユーザー名とパスワードを使用してルーターまたはスイッチにログインできます。

  • パスワード認証方法(password)は、 authentication-order ステートメントの認証方法の 1 つとして明示的に設定されます。

    この場合、以前の認証方法がログオン資格情報を受け入れない場合、デバイスはローカルパスワード認証を試みます。これは、以前の認証方法が応答に失敗した場合や、ユーザー名またはパスワードが正しくないために拒否応答を返した場合にも当てはまります。

  • パスワード認証方法は、 authentication-order ステートメントの認証方法の 1 つとして明示的に設定されていません。

    この場合、オペレーティングシステムは、構成されたすべての認証方法が応答に失敗した場合にのみ、ローカルパスワード認証を試みます。設定された認証方法がユーザー名またはパスワードが正しくないために拒否応答を返す場合、オペレーティングシステムはローカルパスワード認証を使用しません。

    手記:

    Junos OS Evolvedリリース20.4R1以前のリリースでは、他の認証方法が拒否応答を返すか、応答失敗するかにかかわらず、Junos OS Evolvedはローカルパスワード認証を試みます。

認証試行の順序

表1は、[edit system]階層レベルのauthentication-orderステートメントが、Junos OSがデバイスへのアクセスユーザーを認証するために使用する手順をどのように決定するかを説明しています。

表 1: 認証試行の順序

構文

認証試行の順序

authentication-order radius;

  1. 構成されたRADIUS認証サーバーを試します。

  2. RADIUS サーバーが使用可能で、認証が受け入れられている場合は、アクセスを許可します。

  3. RADIUS サーバーが使用可能であるが、認証が拒否された場合は、アクセスを拒否します。

    手記:

    Junos OS Evolvedリリース20.4R1以前のリリースでは、RADIUSサーバーが使用可能であるのに認証が拒否される場合は、ローカルパスワード認証を試してください。

  4. RADIUSサーバーが利用できない場合は、ローカルパスワード認証を試してください。

authentication-order [ radius password ];

  1. 構成されたRADIUS認証サーバーを試します。

  2. RADIUS サーバーが使用可能で、認証が受け入れられている場合は、アクセスを許可します。

  3. RADIUS サーバーが応答に失敗した場合、またはサーバーが拒否応答を返す場合は、認証順序で明示的に構成されているローカル パスワード認証を試してください。

authentication-order [ radius tacplus ];

  1. 構成されたRADIUS認証サーバーを試します。

  2. RADIUS サーバーが使用可能で、認証が受け入れられている場合は、アクセスを許可します。

  3. RADIUSサーバーが応答に失敗した場合、またはサーバーが拒否応答を返す場合は、設定されたTACACS+サーバーを試してください。

  4. TACACS+サーバーが使用可能で、認証が受け入れられた場合、アクセス権を付与します。

  5. TACACS+サーバーが使用可能であるが、認証が拒否された場合は、アクセスを拒否します。

    手記:

    Junos OS Evolvedリリース20.4R1以前のリリースでは、TACACS+サーバーが使用可能であるが、認証が拒否される場合は、ローカルパスワード認証を試してください。

authentication-order [ radius tacplus password ];

  1. 構成されたRADIUS認証サーバーを試します。

  2. RADIUS サーバーが使用可能で、認証が受け入れられている場合は、アクセスを許可します。

  3. RADIUSサーバーが応答に失敗した場合、またはサーバーが拒否応答を返す場合は、設定されたTACACS+サーバーを試してください。

  4. TACACS+サーバーが使用可能で、認証が受け入れられた場合、アクセス権を付与します。

  5. TACACS+ サーバーが応答に失敗した場合、またはサーバーが拒否応答を返す場合は、認証順序で明示的に設定されているローカルパスワード認証を試してください。

authentication-order tacplus;

  1. 設定されたTACACS+認証サーバーを試します。

  2. TACACS+サーバーが使用可能で、認証が受け入れられた場合、アクセス権を付与します。

  3. TACACS+サーバーが使用可能であるが、認証が拒否された場合は、アクセスを拒否します。

    手記:

    Junos OS Evolvedリリース20.4R1以前のリリースでは、TACACS+サーバーが使用可能であるが、認証が拒否される場合は、ローカルパスワード認証を試してください。

  4. 利用可能なTACACS+サーバーがない場合は、ローカルパスワード認証を試してください。

authentication-order [ tacplus password ];

  1. 設定されたTACACS+認証サーバーを試します。

  2. TACACS+サーバーが使用可能で、認証が受け入れられた場合、アクセス権を付与します。

  3. TACACS+ サーバーが応答に失敗した場合、またはサーバーが拒否応答を返す場合は、認証順序で明示的に設定されているローカルパスワード認証を試してください。

authentication-order [ tacplus radius ];

  1. 設定されたTACACS+認証サーバーを試します。

  2. TACACS+サーバーが使用可能で、認証が受け入れられた場合、アクセス権を付与します。

  3. TACACS+サーバーが応答に失敗した場合、またはサーバーが拒否応答を返す場合は、設定されたRADIUSサーバーを試してください。

  4. RADIUS サーバーが使用可能で、認証が受け入れられている場合は、アクセスを許可します。

  5. RADIUS サーバーが使用可能であるが、認証が拒否された場合は、アクセスを拒否します。

    手記:

    Junos OS Evolvedリリース20.4R1以前のリリースでは、RADIUSサーバーが使用可能であるのに認証が拒否される場合は、ローカルパスワード認証を試してください。

  6. TACACS+またはRADIUSサーバーが利用できない場合は、ローカルパスワード認証を試してください。

authentication-order password;

  1. [edit system login] 階層レベルで設定されたパスワードを使用して、ユーザの認証を試みます。

  2. 認証が受け入れられたら、アクセス権を付与します。

  3. 認証が拒否された場合は、アクセスを拒否します。
手記:

SSHパブリックキーが設定されている場合、SSHユーザー認証は、 authentication-order ステートメントで設定された認証方法を使用する前に、まず公開キー認証を実行しようとします。最初に公開鍵認証を行わずに、SSH ログインで authentication-order ステートメントで設定された認証方法を使用させる場合は、SSH 公開鍵を設定しないでください。

RADIUS、TACACS+、およびローカルパスワード認証の認証順序の設定

authentication-orderステートメントを使用すると、ルーターまたはスイッチへのユーザーアクセスを検証する際に、Junos OS Evolvedがさまざまな認証方法を試す順序に優先順位を付けることができます。認証順序を設定しない場合、デフォルトでは、ユーザーはローカルで設定されたパスワードに基づいて検証されます。

プレーンテキストを使用してパスワードを設定し、 Junos OS Evolved に依存して暗号化する場合、パスワードはインターネット経由でプレーンテキストで送信されたことになります。事前に暗号化されたパスワードを使用すると、パスワードのプレーンテキストをインターネット経由で送信する必要がないため、より安全です。また、パスワードでは、一度に 1 人のユーザーしかパスワードに割り当てることができません。

一方、RADIUSとTACACS+はパスワードを暗号化します。これらの認証方法では、ユーザーを 1 人ずつ割り当てる代わりに、一度に一連のユーザーを割り当てることができます。ただし、これらの認証システムの違いは次のとおりです。

  • RADIUS は UDP を使用します。TACACS+ は TCP を使用します。

  • RADIUSが暗号化するのはパスワードのみですが、TACACS+はセッション全体を暗号化します。

  • RADIUS が認証(デバイス)と許可(ユーザー)を組み合わせ、TACACS+ が認証、許可、説明責任を分離します。

つまり、TACACS+ は RADIUS よりも高い安全性を備えています。ただし、RADIUS の方がパフォーマンスが高く、相互運用性も優れています。RADIUS は広くサポートされていますが、TACACS+ はシスコ独自の製品であり、シスコ以外では広くサポートされていません。

認証順序は、システム、その制限、および IT ポリシーと運用設定に基づいて設定できます。

認証順序を設定するには、[edit system]階層レベルで authentication-order ステートメントを含めます。

このステートメントを含めることができる階層レベルの一覧は、このステートメントのステートメント概要のセクションを参照してください。

可能な認証順序入力オプションは次のとおりです。

  • radius- RADIUS 認証サーバを使用してユーザを確認します。

  • tacplus- TACACS+ 認証サーバを使用してユーザを検証します。

  • password- [edit system login user] 階層レベルの認証ステートメントでローカルに設定されたユーザ名とパスワードを使用して、ユーザを検証します。

チャレンジ ハンドシェイク認証プロトコル (CHAP) 認証シーケンスは、30 秒を超えることはできません。クライアントの認証に 30 秒以上かかる場合、認証は破棄され、新しいシーケンスが開始されます。

例えば、ルーターまたはスイッチが各サーバーへのコンタクトを 3 回試行するように、3 つの RADIUS サーバーを構成するとします。さらに、再試行するたびに、サーバーが 3 秒後にタイムアウトすると仮定します。このシナリオでは、CHAP がエラーと見なす前に RADIUS 認証方法に与えられる最大時間は 27 秒です。この構成に RADIUS サーバーを追加すると、これらのサーバーが試行される前に認証プロセスが中止される可能性があるため、それらのサーバーに接続されない可能性があります。

Junos OS Evolved では、CHAP認証が一度に持つことができる永続的な認証サーバーリクエストの数に制限が適用されます。そのため、認証サーバー方式(RADIUS など)は、この制限を超えるとクライアントの認証に失敗する可能性があります。認証に失敗した場合、認証に成功してリンクが確立されるまで、ルーターまたはスイッチによって認証シーケンスが再開されます。ただし、RADIUSサーバーが利用できず、 tacpluspassword などの追加の認証方法も構成されている場合は、次の認証方法が試されます。

次に、 radius 認証と password 認証を設定する例を示します。

以下の例は、radius ステートメントの後に tacplus ステートメントを挿入する方法を示しています。

以下の例は、認証順序から radius ステートメントを削除する方法を示しています。

例:認証順序の設定

この例では、ユーザー ログインの認証順序を設定する方法を示します。

必要条件

開始する前に、デバイスの初期設定を行います。お使いのデバイスの『スタートアップガイド』をご覧ください。

概要

デバイスへのユーザー アクセスを検証するためにデバイスが使用する認証方法の順序を構成できます。パスワードが一致するか、すべての認証方法が試行されるまで、デバイスはログインを試みるたびに、設定された順序で認証方法を試みます。リモート認証を設定しない場合、ユーザは設定されたローカルパスワードに基づいて検証されます。

この例では、最初にRADIUS認証サービス、次にTACACS+認証サービス、最後にローカルパスワード認証を使用してユーザー認証を試みるようにデバイスを設定します。

ローカルパスワード認証を使用する場合は、システムにアクセスするすべてのユーザーのローカルユーザーアカウントを作成する必要があります。ただし、リモート認証サーバーを使用する場合は、一連のユーザーが共有するテンプレートアカウントを(承認目的で)作成できます。ユーザーがテンプレートアカウントに割り当てられると、コマンドラインインターフェイス(CLI)ユーザー名がログイン名になります。ただし、ユーザーはテンプレートアカウントから権限、ファイル所有権、および有効なユーザーIDを継承します。

構成

プロシージャ

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストしてから、設定モードで commit を入力します。

手順

認証順序を設定するには:

  1. 既存の authentication-order ステートメントを削除します。

  2. 認証順序にRADIUS認証を追加します。

  3. TACACS+ 認証を認証オーダーに追加します。

  4. ローカルパスワード認証を認証順序に追加します。

業績

設定モードで、 show system authentication-order コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定後、コンフィギュレーション モードで commit を入力します。

手記:

RADIUSまたはTACACS+認証を完全に設定するには、少なくとも1つのRADIUSまたはTACACS+サーバーを設定し、ユーザーアカウントまたはユーザーテンプレートアカウントを作成する必要があります。

検証

設定が正常に機能していることを確認します。

認証順序の設定の確認

目的

デバイスが設定された順序で認証方法を使用していることを確認します。

アクション

認証方法ごとに異なるパスワードを持つテスト ユーザーを作成します。別のパスワードを使用してデバイスにログインします。前の認証方法がパスワードを拒否するか、応答に失敗した場合に、デバイスが後続の認証方法を照会することを確認します。

または、テスト環境では、認証サーバー構成またはローカルユーザーアカウント構成(あるいはその両方)を非アクティブ化して、各認証方法をテストできます。例えば、TACACS+ サーバーをテストするには、RADIUS サーバー設定とユーザーのローカルアカウントを非アクティブ化します。ただし、ユーザーのローカルアカウントを非アクティブ化する場合は、ユーザーが remote ユーザーテンプレートなどのローカルユーザーテンプレートアカウントに引き続きマップされていることを確認する必要があります。

変更履歴テーブル

機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。

解放
形容
20.4R1
Junos OS Evolvedリリース20.4R2および21.1R1以降、パスワード認証動作がJunos OSのパスワード認証動作と一致するように更新されています。 認証順序にRADIUSまたはTACACS+サーバーが含まれているにもかかわらず、サーバーが要求に応答しない場合、Junos OS Evolvedは常に最後の手段としてローカルパスワード認証を試行することをデフォルトにします。