Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

TACACS+認証

Junos OS Evolved は、ネットワークデバイス上のユーザーの一元的な認証のためにTACACS+をサポートしています。デバイス上でTACACS+認証を使用するには、ネットワーク管理者が、ネットワーク上の1台以上のTACACS+サーバーの情報を設定する必要があります。また、デバイス上でTACACS+アカウンティングを設定し、LANにログインまたはログアウトするユーザーに関する統計データを収集し、TACACS+アカウンティングサーバーにデータを送信することもできます。

TACACS+ 認証の設定

TACACS+ 認証は、ネットワークデバイスへのアクセスを試みるユーザーを認証する方法です。

TACACS+ を設定するには、以下のタスクを実行します。

TACACS+ サーバーの詳細を設定する

デバイス上でTACACS+ 認証を使用するには、各TACACS+ サーバーの[edit system]階層レベルに1つのtacplus-serverステートメントを含めて、ネットワーク上の1つ以上のTACACS+ サーバーの情報を構成します。デバイスは、設定された順序でTACACS+サーバーにクエリーを実行します。プライマリサーバー(設定された最初のサーバー)が使用できない場合、デバイスは応答を受信するまで、リスト内の各サーバーに接続しようとします。

ネットワークデバイスは、TACACS+ 認証されたユーザーをローカルで定義されたユーザーアカウントまたはユーザーテンプレートアカウントにマッピングでき、これにより認証が決定されます。デフォルトでは、 Junos OS Evolved は、以下の場合に、TACACS+ 認証されたユーザーをユーザーテンプレートアカウント remoteに割り当てます(設定されている場合)。

  • 認証されたユーザーは、ローカルデバイスにユーザーアカウントを設定していません。

  • TACACS+ サーバーは、ローカルユーザーテンプレートにユーザーを割り当てません。また、サーバーが割り当てるテンプレートはローカルデバイスでは設定されません。

TACACS+ サーバーは、認証済みユーザーを別のユーザーテンプレートに割り当て、そのユーザーに異なる管理権限を付与できます。ユーザーはCLIに同じログイン名を保持しますが、割り当てられたテンプレートからログインクラス、アクセス権限、有効なユーザーIDを継承します。TACACS+ 認証されたユーザーがローカルで定義されたユーザーアカウントまたはユーザーテンプレートにマッピングされておらず、 remote テンプレートが設定されていない場合、認証失敗します。

注:

remoteユーザー名はJunos OS Evolvedでは特別なケースで、常に小文字にする必要があります。これは、リモートサーバーで認証されているが、デバイスにローカルで設定されたユーザーアカウントを持っていないユーザーのテンプレートとして機能します。Junos OS Evolvedは、ローカルで定義されたアカウントがない認証済みユーザーにremoteテンプレートの権限を適用します。remoteテンプレートにマッピングされたすべてのユーザーは、同じログインクラスにいます。

リモート認証は複数のデバイスで設定されるため、通常は設定グループ内で設定されます。ここで示す手順は、 globalと呼ばれる設定グループにあります。設定グループの使用はオプションです。

TACACS+ サーバーによる認証を設定するには:

  1. TACACS+ 認証サーバーのIPv4アドレスまたはIPv6アドレスを設定します。

    次に例を示します。

  2. (オプション)TACACS+ サーバーに送信されたリクエストのパケット送信元アドレスを設定します。

    次に例を示します。

    送信元アドレスは、ルーターインターフェイスまたはスイッチインターフェイスのいずれかで構成された有効なIPv4アドレスまたはIPv6アドレスです。ネットワークデバイスにTACACS+サーバーに到達できる複数のインターフェイスがある場合、デバイスがTACACS+サーバーとのすべての通信に使用できるIPアドレスを割り当てます。これを行うと、ローカルで生成されるIPパケットの送信元アドレスとして固定アドレスが設定されます。

  3. ネットワークデバイスがTACACS+ サーバーとの認証に使用する共有シークレットパスワードを設定します。

    設定されたパスワードは、TACACS+ サーバーに設定されているパスワードと一致する必要があります。パスワードにスペースが含まれている場合は、引用符で囲んでください。デバイスは、パスワードを暗号化された値として設定データベースに保存します。

    次に例を示します。

  4. (オプション)デフォルトのポート(49)と異なる場合、TACACS+ サーバーに接続するポートを指定します。

    次に例を示します。

  5. (オプション)デバイスがTACACS+サーバーからの応答を受信する待機時間を設定します。

    デフォルトでは、デバイスは3秒待ちます。 timeout 値は1秒から90秒の範囲で設定できます。

    例えば、サーバーからの応答を待つ場合、15秒間待つ場合:

  6. (オプション)接続を試みるたびに個別の接続を開くのではなく、複数の要求に対してサーバーへの1つのオープンTCP接続を維持するようにデバイスを設定します。
    注:

    TACACS+ サーバーの初期バージョンは、 single-connection オプションをサポートしていません。このオプションを指定し、サーバーがサポートしていない場合、デバイスはそのTACACS+ サーバーと通信できません。
  7. (オプション)特定のルーティングインスタンスを介してTACACS+ パケットをルーティングするには、 routing-instance ステートメントを設定し、有効なルーティングインスタンスを指定します。

    デフォルトでは、 Junos OS Evolved は、デフォルトのルーティングインスタンスを介してTACACS+の認証、許可、アカウンティングパケットをルーティングします。

  8. 認証順序を指定し、 tacplus オプションを含めます。

    次の例では、ユーザーがログインを試みるたびに、 Junos OS Evolved はまずTACACS+サーバーに認証のクエリーを実行します。それが失敗した場合、RADIUSサーバーにクエリーを実行します。それが失敗すると、ローカルで設定されたユーザーアカウントで認証を試みます。

  9. ローカルで定義されたユーザーアカウントを持たないTACACS+ 認証されたユーザーにログインクラスを割り当てます。

    TACACS+ サーバーがユーザーを認証するため、ローカル認証パスワードが設定されない場合を除いて、ローカル ユーザー アカウントと同じ方法でユーザー テンプレート アカウントを設定します。

    • すべてのTACACS+ 認証されたユーザーに同じ権限を使用するには、 remote ユーザーテンプレートを設定します。

      次に例を示します。

    • TACACS+ 認証されたユーザーごとに異なるログインクラスを使用するには、異なる権限を付与します。

      1. Junos OS Evolved設定で複数のユーザーテンプレートを作成します。次に例を示します。

      2. 認証済みユーザーを適切なユーザーテンプレートにマッピングするように、TACACS+ サーバーを設定します。

        例えば、 local-user-name ジュニパーベンダー固有属性(VSA)を、デバイスに設定されたユーザーテンプレートの名前(前の例ではRO、OP、またはSU)に設定します。デバイスがローカルユーザーアカウントまたはユーザーテンプレートにユーザーを割り当てることができず、 remote ユーザーテンプレートが設定されていない場合、認証は失敗します。

TACACS+ を設定して管理インスタンスを使用する

デフォルトでは、 Junos OS Evolved は、デフォルトのルーティングインスタンスを介してTACACS+の認証、許可、アカウンティングパケットをルーティングします。また、デフォルト以外のVRFインスタンスの管理インターフェイスを介してTACACS+ パケットをルーティングすることもできます。

mgmt_junos管理インスタンスを介してTACACS+ パケットをルーティングするには:

  1. mgmt_junos管理インスタンスを有効にします。

  2. 設定されている場合、TACACS+ 認証サーバーとTACACS+ アカウンティングサーバーに routing-instance mgmt_junos ステートメントを設定します。

複数のTACACS+ サーバーに同じ認証サービスを設定する

[edit system tacplus-server]および[edit system tacplus-options]階層レベルでステートメントを含めることで、複数のTACACS+ サーバーに同じ認証サービスを設定できます。

複数のTACACS+サーバーに同じ認証サービスを割り当てるには:

  1. TACACS+ 認証の設定の説明に従って、TACACS+ サーバーを設定します。
  2. [edit system tacplus-options]階層レベルでservice-nameステートメントを設定します。
    service-nameは認証サービスの名前で、デフォルトでは junos-execです。

    次に例を示します。

以下の例は、複数のTACACS+ サーバーに同じ認証サービスを設定する方法を示しています。

ジュニパーネットワークスのベンダー固有のTACACS+ 属性を設定する

Junos OS Evolved では、TACACS+ 認証されたユーザーをローカルで定義されたユーザーアカウントまたはユーザーテンプレートアカウントにマッピングでき、これにより認証が決定されます。また、TACACS+ サーバーでジュニパーネットワークス ベンダー固有の TACACS+ 属性を定義することで、ユーザーのアクセス権限をオプションで設定することもできます。TACACS+ サーバー設定ファイルの属性をユーザーごとに定義します。ネットワークデバイスは、ユーザーを認証した後、TACACS+ サーバーの認証要求を通じてこれらの属性を取得します。

これらの属性を指定するには、TACACS+ サーバー設定ファイルに以下のフォームの service ステートメントを含めます。

serviceステートメントは、userステートメントまたはgroupステートメントで定義できます。

TACACS+認証プロファイルの定期更新の設定

認証にTACACS+サーバーを使用するように Junos OS Evolved を実行しているデバイスを設定すると、デバイスはユーザーにログイン情報を入力するよう求め、これはTACACS+サーバーによって検証されます。ユーザーの認証が正常に完了すると、ネットワークデバイスからTACACS+サーバーに認証要求が送信され、ユーザーの認証プロファイルが取得されます。認証プロファイルは、認証されたユーザーまたはデバイスのアクセス許可を指定します。

TACACS+サーバーは、認証REPLYメッセージの一部として認証プロファイルを送信します。TACACS+サーバーに設定されたリモートユーザーは、 Junos OS Evolvedを実行しているデバイスで設定されたローカルユーザーまたはユーザーテンプレートにマッピングされます。 Junos OS Evolved は、ユーザーのリモート認証プロファイルとローカルに設定された認証プロファイルを組み合わせ、認証プロファイルは[edit system login class]階層レベルで設定されます。

デフォルトでは、認証要求と応答メッセージの交換は、認証が成功した後に1回だけ行われます。 Junos OS Evolved がTACACS+サーバーからリモート認証プロファイルを定期的に取得し、ローカルに保存された認証プロファイルを更新するように、デバイスを設定できます。この定期的なリフレッシュにより、ユーザーが認証プロセスを再起動しなくても、認証パラメーターの変更がローカルデバイスに反映されます。

認証プロファイルの定期的な更新を有効にするには、ローカルデバイスがTACACS+サーバーでリモートに設定された認証プロファイルを確認する間隔を設定する必要があります。リモート認証プロファイルが変更された場合、デバイスはTACACS+サーバーおよびログインクラス階層の下で設定された認証プロファイルから認証プロファイルを取得します。デバイスは、リモートおよびローカルに設定された認証プロファイルを組み合わせて、ローカルに保存されている認証プロファイルを更新します。

更新時間の間隔は、 Junos OS Evolved を実行しているデバイス上でローカル、またはTACACS+サーバー上で直接設定できます。時間間隔は15分から1440分の範囲です。

  • ローカルデバイスで認証プロファイルの定期的な更新を構成するには、以下のように[edit system tacplus-options]階層レベルにauthorization-time-intervalステートメントを含めます。
  • TACACS+サーバーで定期的な更新を構成するには、以下の構文を使用して認証プロファイルに refresh-time-interval パラメーターを追加します。

以下のガイドラインを使用して、構成が優先される時間間隔を決定します。

  • 更新時間の間隔がTACACS+サーバーのみ、または Junos OS Evolvedを実行しているデバイスでのみ構成されている場合、設定された値が有効になります。

  • 更新時間の間隔がTACACS+サーバーと Junos OS Evolvedを実行しているデバイスの両方で構成されている場合、TACACS+サーバーに設定された値が優先されます。

  • TACACS+サーバーまたは Junos OS Evolvedを実行しているデバイスに更新時間の間隔が設定されていない場合、定期的な更新は行われません。

  • TACACS+サーバーに設定された更新時間の間隔が範囲外または無効な場合、ローカルで設定された更新時間間隔が有効になります。ローカルに更新時間の間隔が設定されていない場合、定期的な更新は行われません。

定期的な更新時間の間隔が設定された後、ユーザーがローカルデバイスから認証要求を送信する前に更新時間の間隔を変更した場合、更新された更新時間の間隔は次回の定期的な更新の後に有効になります。

例:システム認証用のTACACS+サーバーの設定

この例では、TACACS+サーバーを介したシステム認証を設定します。

要件

始める前に:

  • デバイスの初期設定を行います。お使いのデバイスの『スタートアップガイド』を参照してください。

  • ネットワーク上に少なくとも1つのTACACS+サーバーをセットアップします。

概要

この例では、IP アドレスが 172.16.98.1 の新しい TACACS+ サーバーを追加します。TACACS+サーバーの共有秘密パスワードをTacacssecret1として指定します。デバイスは、この秘密を暗号化された値として設定データベースに保存します。最後に、デバイスがTACACS+サーバーの要求で使用する送信元アドレスを指定します。ほとんどの場合、デバイスのループバックアドレス(この例では10.0.0.1)を使用することができます。

ネットワークデバイスでは、ローカルパスワード認証、TACACS+、RADIUSなど、複数のユーザー認証方法のサポートを設定できます。複数の認証方法を設定する際に、デバイスが異なる方法を試す順序に優先順位を付けることができます。この例では、まずTACACS+認証サービスを使用し、それが失敗した場合はローカルパスワード認証を試みるようにデバイスを設定します。

TACACS+が認証したユーザーは、ネットワークデバイス上のローカルユーザーアカウントまたはローカルユーザーテンプレートアカウントにマッピングする必要があり、これが認証を決定します。デフォルトでは、TACACS+ 認証されたユーザーがローカルユーザーアカウントまたは特定のユーザーテンプレートにマッピングされない場合、設定されていれば、ユーザーは remote ユーザーテンプレートに割り当てられます。この例では、 remote ユーザーテンプレートを設定します。

設定

手順

CLIクイックコンフィグレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードで commit を入力します。

ステップバイステップの手順

システム認証用にTACACS+サーバーを設定するには:

  1. TACACS+サーバーを追加し、そのIPアドレスを設定します。

  2. TACACS+ サーバーの共有シークレット(パスワード)を指定します。

  3. 送信元アドレスとしてデバイスのループバックアドレスを指定します。

  4. デバイスの認証順序を指定し、 tacplus オプションを含めます。

  5. remoteユーザーテンプレートとそのログインクラスを設定します。
結果

設定モードで、 show system コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

以下の出力には、この例に関連する設定階層の部分のみが含まれています。

デバイスの設定後、設定モードで commit を入力します。

検証

設定が正常に機能していることを確認します。

TACACS+サーバー設定の確認

目的

TACACS+ サーバーがユーザーを認証していることを確認します。

アクション

ネットワークデバイスにログインし、ログインに成功したことを確認します。デバイスが認証にTACACS+サーバーを使用していることを確認するために、設定でローカル認証パスワードを定義していないアカウントでログインを試みることができます。

ジュニパーネットワークスのベンダー固有のTACACS+属性

Junos OS Evolved は、TACACS+サーバー上のジュニパーネットワークスTACACS+のVSA(ベンダー固有属性)の設定に対応しています。 表1 は、サポートされているジュニパーネットワークスVSAの一覧です。

属性の一部は、POSIX 1003.2で定義されている拡張正規表現を受け入れます。正規表現にスペース、演算子、またはワイルドカード文字が含まれる場合は引用符で囲みます。詳細については、次を参照してください。

表1:ジュニパーネットワークスベンダー固有のTACACS+属性

名前

説明

長さ

文字列

local-user-name

デバイスにユーザーがログインする際にこのユーザーに割り当てられるユーザーテンプレート名を示します。

≥3

印刷可能なASCII文字を含む1つまたは複数のオクテット。

allow-commands

ユーザーのログインクラスのパーミッションビットで承認されたコマンドに加えて、ユーザーがコマンドを実行できるようにする拡張正規表現を含みます。

≥3

拡張正規表現の形式で印刷可能なASCII文字を含む、1つまたは複数のオクテット。
allow-commands-regexps

ユーザーのログインクラスのパーミッションビットで承認されたコマンドに加えて、ユーザーがコマンドを実行できるようにする拡張正規表現を含みます。

≥3

拡張正規表現の形式で印刷可能なASCII文字を含む、1つまたは複数のオクテット。

allow-configuration

ユーザーのログインクラスのパーミッションビットで承認されたステートメントに加えて、ユーザーが設定ステートメントを表示および変更できるようにする拡張正規表現を含みます。

≥3

拡張正規表現の形式で印刷可能なASCII文字を含む、1つまたは複数のオクテット。

allow-configuration-regexps

ユーザーのログインクラスのパーミッションビットで承認されたステートメントに加えて、ユーザーが設定ステートメントを表示および変更できるようにする拡張正規表現を含みます。

≥3

拡張正規表現の形式で印刷可能なASCII文字を含む、1つまたは複数のオクテット。

deny-commands

ユーザーのログインクラスのパーミッションビットで承認されたコマンドを実行するユーザーパーミッションを拒否する拡張正規表現を含みます。

≥3

拡張正規表現の形式で印刷可能なASCII文字を含む、1つまたは複数のオクテット。
deny-commands-regexps

ユーザーのログインクラスのパーミッションビットで承認されたコマンドを実行するユーザーパーミッションを拒否する拡張正規表現を含みます。

≥3

拡張正規表現の形式で印刷可能なASCII文字を含む、1つまたは複数のオクテット。

deny-configuration

ユーザーのログインクラスのパーミッションビットで承認された設定ステートメントを表示または変更するユーザーパーミッションを拒否する拡張正規表現を含みます。

≥3

拡張正規表現の形式で印刷可能なASCII文字を含む、1つまたは複数のオクテット。

deny-configuration-regexps

ユーザーのログインクラスのパーミッションビットで承認された設定ステートメントを表示または変更するユーザーパーミッションを拒否する拡張正規表現を含みます。

≥3

拡張正規表現の形式で印刷可能なASCII文字を含む、1つまたは複数のオクテット。

user-permissions

ユーザーパーミッションを指定するためにサーバーが使用する情報を含みます。

注:

TACACS+サーバーがmaintenanceパーミッションまたはallパーミッションをユーザーに付与するuser-permissions属性を定義する際、ユーザーのグループメンバーシップのリストにUNIXホイールグループは自動的に含まれません。ローカルシェルからのsu rootコマンドの実行など、一部の操作にはホイールグループメンバーシップのパーミッションが必要です。ただし、ネットワークデバイスがmaintenanceまたはallのパーミッションでローカルユーザーアカウントを定義すると、UNIXホイールグループへのメンバーシップが自動的にユーザーに付与されます。そのため、必要なパーミッションを持つユーザーテンプレートアカウントを作成し、個々のユーザーアカウントをユーザーテンプレートアカウントに関連付けることをお勧めします。

≥3

印刷可能なASCII文字を含む1つまたは複数のオクテット。

アクセス権限レベルの概要を参照してください。

authentication-type

ユーザーの認証に使用される認証方法(ローカルデータベースまたはTACACS+サーバー)を示します。ローカルデータベースを使用してユーザーが認証される場合、属性の値には「local」が表示されます。TACACS+サーバーを使用してユーザーが認証される場合、属性の値には「remote」が表示されます。

≥5

印刷可能なASCII文字を含む1つまたは複数のオクテット。

session-port

確立されたセッションの送信元ポート番号を示します。

整数のサイズ

整数

RADIUSまたはTACACS+サーバーで正規表現を使用してコマンドを許可または拒否する

Junos OS Evolved は、RADIUSおよびTACACS+認証ユーザーを、ローカルで定義されたユーザーアカウントまたはユーザーテンプレートアカウントにマッピングできます。これは、ユーザーのアクセス権限を定義します。また、オプションで、ジュニパーネットワークスのRADIUSおよびTACACS+ベンダー固有属性(VSA)をそれぞれの認証サーバーで定義することで、ユーザーの認証権限を設定することもできます。

ユーザーのログインクラスは、ユーザーが許可されている操作モードおよび設定モードコマンドと、ユーザーが設定のどのエリアを表示および変更できるかを決定する一連のパーミッションを定義します。また、ログインクラスは、パーミッションフラグが許可する機能に加えて、ユーザーに特定のコマンドを実行したり、設定の特定の領域を表示および変更する機能を許可または拒否する正規表現を定義することもできます。ログインクラスには、以下のステートメントを含めることで、ユーザー許可を定義できます。

  • permissions

  • allow-commands

  • allow-commands-regexps

  • allow-configuration

  • allow-configuration-regexps

  • deny-commands

  • deny-commands-regexps

  • deny-configuration

  • deny-configuration-regexps

同様に、RADIUSまたはTACACS+サーバー構成では、ジュニパーネットワークスVSAを使用して、ユーザーのアクセス権限を決定する特定のパーミッションまたは正規表現を定義できます。サポートされているRADIUSおよびTACACS+ VSAのリストについては、以下を参照してください。

RADIUSまたはTACACS+サーバーのユーザーパーミッションを、スペース区切りの値のリストとして定義できます。

  • RADIUSサーバーは、以下の属性と構文を使用します。

    次に例を示します。

  • TACACS+ サーバーは、以下の属性と構文を使用します。

    次に例を示します。

RADIUSまたはTACACS+サーバーは、単一の拡張正規表現(POSIX 1003.2で定義)を使用するジュニパーネットワークスVSAを定義して、ユーザーに特定のコマンドを実行したり、設定エリアを表示および変更する機能を許可または拒否することもできます。複数のコマンドまたは設定階層を括弧で囲み、パイプ記号を使用して区切ります。正規表現にスペース、演算子、またはワイルドカード文字が含まれる場合は引用符で囲みます。ローカルとリモートの両方で認証パラメータを設定する場合、デバイスは、TACACS+またはRADIUS認証時に受け取った正規表現を、ローカルデバイスで定義された正規表現とマージします。

  • RADIUSサーバーは、以下の属性と構文を使用します。

    次に例を示します。

  • TACACS+ サーバーは、以下の属性と構文を使用します。

    次に例を示します。

RADIUSおよびTACACS+サーバーは、ローカルデバイスで設定できる同じ *-regexps ステートメントに対応する属性の設定もサポートしています。 *-regexps TACACS+ 属性と *-Regexps RADIUS 属性は、以前の属性と同じ正規表現構文を使用しますが、変数で正規表現を設定できます。

  • RADIUSサーバーは、以下の属性と構文を使用します。

  • TACACS+ サーバーは、以下の属性と構文を使用します。

    例えば、TACACS+サーバー構成では、以下の属性が定義されている場合があります。

RADIUS または TACACS+ サーバーでは、個々の式を別の行で指定する簡略化された構文を使用して属性を定義することもできます。

RADIUSサーバーでは、以下の構文を使用して個々の正規表現を指定します。

TACACS+ サーバーの場合、以下の構文を使用して個々の正規表現を指定します。

注:

  • TACACS+ サーバー構文では、数値 1 から n は一意である必要がありますが、連続している必要はありません。例えば、以下の構文が有効です。

  • RADIUSまたはTACACS+サーバーは、個々の正規表現ラインの数に制限を課します。

  • show cli authorizationコマンドを発行すると、コマンド出力は、個別の行で個別表現を指定した場合でも、1行で正規表現を表示します。

ユーザーは、 show cli authorization 動作モードコマンドを発行することで、クラス、パーミッション、コマンドおよび構成認証を確認できます。

注:

認証パラメーターをネットワークデバイス上でローカルに設定し、RADIUSまたはTACACS+サーバー上でリモートで設定すると、デバイスは、TACACS+またはRADIUS認証時に受信した正規表現とローカルに設定された正規表現をマージします。最終表現に構文エラーが含まれている場合、全体的な結果は無効な正規表現になります。

TACACS+ システム アカウンティングの設定

デバイス上でTACACS+アカウンティングを設定し、LANにログインまたはログアウトするユーザーの統計データを収集し、そのデータをTACACS+アカウンティングサーバーに送信することができます。統計データは、一般的なネットワーク監視、使用パターンの分析と追跡、またはセッションの期間やアクセスしたサービスの種類に基づくユーザーへの課金に使用できます。

TACACS+ アカウンティングを設定するには、以下を指定します。

  • デバイスから統計データを受信するための1つ以上のTACACS+アカウンティングサーバー

  • 収集するアカウンティング データの種類

TACACS+ アカウンティングと認証の両方に同じサーバーを使用することも、別々のサーバーを使用することも可能です。TACACS+ アカウンティング サーバーのリストを指定できます。デバイスは、設定された順序でサーバーにクエリーを実行します。プライマリサーバー(設定された最初のサーバー)が使用できない場合、デバイスは応答を受信するまで、リスト内の各サーバーに接続しようとします。

TACACS+ アカウンティングを有効にすると、TACACS+ クライアントとして機能するジュニパーネットワークスデバイスは、ソフトウェアログイン、設定変更、対話型コマンドなどのユーザーアクティビティについて TACACS+ サーバーに通知できるようになります。

TACACS+サーバーアカウンティングの設定

TACACS+ サーバー アカウンティングを設定するには:

  1. 監査するイベントを設定します。

    次に例を示します。

    events 以下の 1 つ以上を含めることができます。

    • login—監査ログイン

    • change-log- 構成の変更を監査する

    • interactive-commands—監査インタラクティブコマンド(任意のコマンドライン入力)

  2. TACACS+ アカウンティングを有効にします。
  3. 1つ以上のTACACS+アカウンティングサーバーのアドレスを設定します。

    次に例を示します。

    注:

    [edit system accounting destination tacplus]階層レベルでTACACS+サーバーを設定していない場合、デバイスは[edit system tacplus-server]階層レベルで設定されたTACACS+サーバーを使用します。
  4. (オプション)TACACS+ アカウンティング要求の送信元アドレスを設定します。

    次に例を示します。

    送信元アドレスは、ルーターインターフェイスまたはスイッチインターフェイスのいずれかで構成された有効なIPv4アドレスまたはIPv6アドレスです。ネットワークデバイスにTACACS+サーバーに到達できる複数のインターフェイスがある場合、デバイスがTACACS+サーバーとのすべての通信に使用できるIPアドレスを割り当てます。これを行うと、ローカルで生成されるIPパケットの送信元アドレスとして固定アドレスが設定されます。

  5. ネットワークデバイスがTACACS+ アカウンティングサーバーとの認証に使用する共有シークレットパスワードを設定します。

    設定されたパスワードは、TACACS+ サーバーに設定されているパスワードと一致する必要があります。パスワードにスペースが含まれている場合は、引用符で囲んでください。デバイスは、パスワードを暗号化された値として設定データベースに保存します。

    次に例を示します。

  6. (オプション)必要に応じて、アカウンティングパケットを送信するTACACS+アカウンティングサーバーポートを、デフォルト(49)と異なる場合に指定します。
  7. (オプション)デバイスがTACACS+ アカウンティングサーバーからの応答を受信するまで待機する時間を設定します。

    デフォルトでは、デバイスは3秒待ちます。 timeout 値は1秒から90秒の範囲で設定できます。

    例えば、サーバーからの応答を待つ場合、15秒間待つ場合:

  8. (オプション)接続を試みるたびに個別の接続を開くのではなく、複数の要求に対してサーバーへの1つのオープンTCP接続を維持するようにデバイスを設定します。
    注:

    TACACS+ サーバーの初期バージョンは、 single-connection オプションをサポートしていません。このオプションを指定し、サーバーがサポートしていない場合、デバイスはそのTACACS+ サーバーと通信できません。
  9. (オプション)TACACS+アカウンティングパケットをデフォルトのルーティングインスタンスではなく、デフォルト以外の管理インスタンスまたは別のルーティングインスタンスでルーティングするには、 routing-instance ステートメントを設定し、ルーティングインスタンスを指定します。
    例:
  10. ログインイベントの開始および停止要求が、管理ログ ファイルの代わりに TACACS+ サーバー アカウンティング ログ ファイルに正しく記録されるようにするには、[edit system tacplus-options] 階層レベルで no-cmd-attribute-value ステートメントまたは exclude-cmd-attribute ステートメントを含めます。
    注:

    どちらの記述も、アカウンティング要求を管理ファイルではなくアカウンティングファイルに正しく記録することをサポートしています。 no-cmd-attribute-value ステートメントを設定した場合、 cmd 属性の値が開始および停止要求でNULL文字列に設定されます。 exclude-cmd-attribute ステートメントを設定すると、 cmd 属性は開始および停止要求から完全に除外されます。