Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

TACACS+認証

Junos OS Evolved はTACACS+をサポートしており、ネットワークデバイス上のユーザーを一元的に認証できます。デバイス上でTACACS+認証を使用するには、ネットワーク管理者が、ネットワーク上の1台以上のTACACS+サーバーの情報を構成する必要があります。また、デバイス上でTACACS+アカウンティングを構成し、LANにログインまたはログアウトするユーザーに関する統計データを収集して、TACACS+アカウンティングサーバーにデータを送信することもできます。

TACACS+ 認証の設定

TACACS+ 認証は、ネットワークデバイスへのアクセスを試みるユーザーを認証する方法です。

TACACS+ を設定するには、以下のタスクを実行します。

TACACS+ サーバーの詳細を設定する

デバイスでTACACS+認証を使用するには、各TACACS+サーバーの[edit system]階層レベルに1つのtacplus-serverステートメントを記述し、ネットワーク上の1つ以上のTACACS+サーバーの情報を設定します。デバイスは、TACACS+ サーバーを設定する順序でクエリーを実行します。プライマリサーバー(最初に設定されたサーバー)が利用できない場合、デバイスは応答を受け取るまでリスト内の各サーバーへのコンタクトを試みます。

ネットワークデバイスにより、TACACS+ 認証されたユーザーをローカルで定義されたユーザーアカウントまたはユーザーテンプレートアカウントにマッピングでき、これにより認証が決定されます。デフォルトでは、以下の場合、 Junos OS Evolved はTACACS+ 認証されたユーザーをユーザーテンプレートアカウント remote割り当てます(設定されている場合)。

  • 認証されたユーザーの場合、ローカルデバイスにユーザーアカウントは設定されていません。

  • TACACS+ サーバーは、ローカル ユーザー テンプレートにユーザーを割り当てません。また、サーバーが割り当てるテンプレートは、ローカル デバイスでは設定されません。

TACACS+ サーバーは、認証済みユーザーを別のユーザーテンプレートに割り当て、そのユーザーに異なる管理権限を付与することができます。ユーザーはCLIに同じログイン名を持つことになりますが、割り当てられたテンプレートからログインクラス、アクセス権限、有効なユーザーIDを継承します。TACACS+ 認証されたユーザーがローカルで定義されたユーザーアカウントまたはユーザーテンプレートにマッピングされず、 remote テンプレートが設定されていない場合、認証は失敗します。

手記:

remoteユーザー名はJunos OS Evolvedの特別なケースで、常に小文字でなければなりません。これは、リモートサーバーによって認証されていますが、デバイスにローカルで設定されたユーザーアカウントを持っていないユーザーのテンプレートとして機能します。Junos OS Evolvedは、ローカルで定義されたアカウントがない認証済みユーザーに、remoteテンプレートの権限を適用します。remoteテンプレートにマッピングされたすべてのユーザーは、同じログインクラスにいます。

リモート認証は複数のデバイスで設定されるため、通常は設定グループ内で設定されます。ここで示す手順は、 global という設定グループにあります。設定グループを使用するのはオプションです。

TACACS+ サーバーによる認証を設定するには、以下を行います。

  1. TACACS+ 認証サーバーのIPv4アドレスまたはIPv6アドレスを設定します。

    例えば:

  2. (オプション)TACACS+ サーバーに送信されたリクエストのパケット送信元アドレスを設定します。

    例えば:

    送信元アドレスは、ルーターインターフェイスまたはスイッチインターフェイスの1つに設定された有効なIPv4アドレスまたはIPv6アドレスです。ネットワークデバイスにTACACS+サーバーに到達できる複数のインターフェイスがある場合、デバイスがTACACS+サーバーとのすべての通信に使用できるIPアドレスを割り当てます。これを行うと、ローカルで生成されるIPパケットの送信元アドレスとして固定アドレスが設定されます。

  3. ネットワークデバイスがTACACS+ サーバーの認証に使用する共有の秘密のパスワードを設定します。

    設定されたパスワードは、TACACS+ サーバーに設定されたパスワードと一致する必要があります。パスワードにスペースが含まれている場合は、引用符で囲んでください。デバイスは、パスワードを暗号化された値として、設定データベースに保存します。

    例えば:

  4. (オプション)デフォルトのポート(49)と異なる場合、TACACS+ サーバーに接続するポートを指定します。

    例えば:

  5. (オプション)デバイスがTACACS+ サーバーから応答を受信する待機時間を設定します。

    デフォルトでは、デバイスは 3 秒間待機します。 timeout の値は 1 〜 90 秒の範囲で設定できます。

    たとえば、サーバーからの応答を待つ場合、15秒です。

  6. (オプション)接続を試みるたびに個別の接続を開くのではなく、複数の要求に対してサーバーへの1つのオープンTCP接続を維持するようにデバイスを設定します。
    手記:

    TACACS+ サーバーの初期バージョンは、 single-connection オプションをサポートしていません。このオプションを指定し、サーバーがサポートしていない場合、デバイスはそのTACACS+ サーバーと通信できません。
  7. (オプション)特定のルーティングインスタンスを介してTACACS+ パケットをルーティングするには、 routing-instance ステートメントを設定し、有効なルーティングインスタンスを指定します。

    デフォルトでは、 Junos OS Evolved は、デフォルトのルーティングインスタンスを介して、TACACS+の認証、許可、アカウンティングパケットをルーティングします。

  8. 認証順序を指定し、 tacplus オプションを含めます。

    以下の例では、ユーザーがログインを試みると、 Junos OS Evolved はまずTACACS+サーバーに認証のクエリーを実行します。それが失敗すると、RADIUSサーバーにクエリーを実行します。それが失敗すると、ローカルで設定されたユーザーアカウントで認証を試みます。

  9. ローカルで定義されたユーザーアカウントを持たないTACACS+ 認証されたユーザーにログインクラスを割り当てます。

    TACACS+ サーバーがユーザーを認証するため、ローカル認証パスワードが設定されない場合を除いて、ローカルユーザーアカウントと同じ方法でユーザーテンプレートアカウントを設定します。

    • すべてのTACACS+ 認証されたユーザーに同じ権限を使用するには、 remote ユーザーテンプレートを設定します。

      例えば:

    • 別のTACACS+ 認証されたユーザーに異なるログインクラスを使用するには、別の権限を付与します。

      1. Junos OS Evolved構成で複数のユーザーテンプレートを作成します。例えば:

      2. TACACS+ サーバーを設定して、認証済みユーザーを適切なユーザーテンプレートにマッピングします。

        たとえば、 local-user-name ジュニパーベンダー固有属性(VSA)を、デバイスに構成されているユーザーテンプレートの名前(前の例ではRO、OP、またはSU)に設定します。デバイスがローカル ユーザー アカウントまたはユーザー テンプレートにユーザーを割り当てることができず、 remote ユーザー テンプレートが設定されていない場合、認証は失敗します。

TACACS+ を設定して管理インスタンスを使用する

デフォルトでは、 Junos OS Evolved は、デフォルトのルーティングインスタンスを介して、TACACS+の認証、許可、アカウンティングパケットをルーティングします。また、デフォルト以外のVRFインスタンスで管理インターフェイスを介してTACACS+ パケットをルーティングすることもできます。

mgmt_junos管理インスタンスを介してTACACS+ パケットをルーティングするには、以下を行います。

  1. mgmt_junos管理インスタンスを有効にします。

  2. 設定されている場合、TACACS+ 認証サーバーとTACACS+ アカウンティングサーバーに routing-instance mgmt_junos ステートメントを設定します。

複数のTACACS+ サーバーに同じ認証サービスを設定する

[edit system tacplus-server]階層レベルと[edit system tacplus-options]階層レベルでステートメントを含めることで、複数のTACACS+ サーバーに同じ認証サービスを設定することができます。

複数のTACACS+ サーバーに同じ認証サービスを割り当てるには、以下を行います。

  1. TACACS+ 認証の設定の説明に従って、TACACS+ サーバーを設定します。
  2. [edit system tacplus-options]階層レベルで service-name ステートメントを設定します。
    service-nameは認証サービスの名前で、デフォルトでは junos-exec です。

    例えば:

以下の例は、複数のTACACS+ サーバーに同じ認証サービスを設定する方法を示しています。

ジュニパーネットワークスのベンダー固有のTACACS+ 属性を設定する

Junos OS Evolved では、TACACS+ 認証されたユーザーをローカルで定義されたユーザーアカウントまたはユーザーテンプレートアカウントにマッピングすることができ、これにより認証が決定されます。また、TACACS+ サーバーでジュニパーネットワークスのベンダー固有のTACACS+ 属性を定義することで、ユーザーのアクセス権限をオプションで設定することもできます。TACACS+ サーバー設定ファイルの属性をユーザーごとに定義します。ネットワークデバイスは、ユーザーを認証した後、TACACS+ サーバーの認証要求を通して、これらの属性を取得します。

これらの属性を指定するには、TACACS+ サーバー設定ファイルに以下のフォームの service ステートメントをインクルードします。

service ステートメントは、user ステートメントまたは group ステートメントで定義することができます。

TACACS+認証プロファイルの定期更新の設定

Junos OS Evolvedを実行しているデバイスで、認証にTACACS+サーバーを使用するように設定すると、ユーザーにログイン情報を入力するよう求めるプロンプトが表示されます。これはTACACS+サーバーによって検証されます。ユーザーの認証が正常に完了すると、ネットワークデバイスからTACACS+サーバーに認証要求が送信され、ユーザーの認証プロファイルが取得されます。認証プロファイルは、認証されたユーザーまたはデバイスのアクセス許可を指定します。

TACACS+サーバーは、認証REPLYメッセージの一部として認証プロファイルを送信します。TACACS+サーバーに設定されたリモートユーザーは、 Junos OS Evolvedを実行しているデバイスで設定されたローカルユーザーまたはユーザーテンプレートにマッピングされます。 Junos OS Evolved は、ユーザーのリモート認証プロファイルとローカルで設定された認証プロファイルを組み合わせ、認証プロファイルは、[edit system login class]階層レベルで設定されます。

デフォルトでは、認証が成功すると認証要求と応答メッセージの交換は1回だけ行われます。 Junos OS Evolved がTACACS+サーバーからリモート認証プロファイルを定期的に取得し、ローカルに保存された認証プロファイルを更新するようにデバイスを設定できます。この定期的なリフレッシュにより、認証パラメーターの変更がローカルデバイスに反映され、ユーザーが認証プロセスを再起動する必要がなくなります。

認証プロファイルの定期的な更新を有効にするには、ローカルデバイスがTACACS+サーバーでリモートに設定された認証プロファイルを確認する間隔を設定する必要があります。リモート認証プロファイルが変更された場合、デバイスは、TACACS+サーバーおよびログインクラス階層の下で構成された認証プロファイルから認証プロファイルを取得します。デバイスは、リモートおよびローカルに設定された認証プロファイルを組み合わせて、ローカルに保存されている認証プロファイルを更新します。

更新時間の間隔は、 Junos OS Evolved を実行しているデバイス上でローカル、またはTACACS+サーバー上で直接構成することができます。時間間隔は15分から1440分までの範囲で設定できます。

  • ローカルデバイスで認証プロファイルの定期的な更新を構成するには、以下のように、[edit system tacplus-options]階層レベルに authorization-time-intervalステートメントを含めます。
  • TACACS+サーバーで定期的な更新を構成するには、以下の構文を使用して認証プロファイルに refresh-time-interval パラメーターを追加します。

以下のガイドラインを使用して、構成が優先される時間間隔を決定します。

  • 更新時間の間隔がTACACS+サーバーのみ、または Junos OS Evolvedを実行しているデバイスでのみ構成されている場合、設定された値が優先されます。

  • 更新時間の間隔がTACACS+サーバーと Junos OS Evolvedを実行しているデバイスの両方で構成されている場合、TACACS+サーバーに設定された値が優先されます。

  • TACACS+サーバーまたは Junos OS Evolvedを実行しているデバイスのいずれかに更新時間の間隔が構成されていない場合、定期的な更新は行われません。

  • TACACS+サーバーに設定された更新時間の間隔が範囲外または無効な場合、ローカルで設定された更新間隔が有効になります。ローカルに更新時間の間隔が設定されていない場合、定期的な更新は行われません。

定期的な更新時間の間隔が設定された後、ユーザーがローカルデバイスから認証要求を送信する前に更新時間の間隔を変更した場合、更新された更新時間の間隔は次回の定期的な更新の後に有効になります。

例:システム認証用のTACACS+サーバーの設定

この例では、TACACS+を介したシステム認証を設定します。

必要条件

始める前に:

  • デバイスの初期設定を行います。お使いのデバイスの『スタートアップガイド』をご覧ください。

  • ネットワーク上に少なくとも1つのTACACS+サーバーをセットアップします。

概要

この例では、IPアドレスが172.16.98.1である新しいTACACS+サーバーを追加します。TACACS+ サーバーの共有秘密パスワードを Tacacssecret1 として指定します。デバイスはこの秘密を暗号化した値にして設定データベースに保存します。最後に、デバイスがTACACS+サーバーの要求に使用する送信元アドレスを指定します。ほとんどの場合、デバイスのループバックアドレス(この例では10.0.0.1)を使用することができます。

ネットワークデバイスでは、ローカルパスワード認証、TACACS+、RADIUSなど、複数のユーザー認証方法のサポートを設定できます。複数の認証方法を設定する場合、デバイスが異なる方法を試す順序に優先順位を付けることができます。この例では、まずTACACS+認証サービスを使用し、それが失敗した場合はローカルパスワード認証を試みるようにデバイスを設定します。

TACACS+が認証したユーザーは、ネットワークデバイス上のローカルユーザーアカウントまたはローカルユーザーテンプレートアカウントとしてマッピングされる必要があり、これが認証を決定します。デフォルトでは、TACACS+が認証したユーザーにローカルユーザーアカウントまたは特定のユーザーテンプレートがマッピングされておらず、設定されていれば、ユーザーは remote ユーザーテンプレートに割り当てられます。この例では、 remote ユーザー テンプレートを設定します。

構成

プロシージャ

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストしてから、設定モードで commit を入力します。

手順

システム認証用のTACACS+サーバーの設定手順

  1. TACACS+サーバーを追加して、そのIPアドレスを設定します。

  2. TACACS+サーバーの共有秘密(パスワード)を指定します。

  3. 送信元アドレスとして、デバイスのループバックアドレスを指定します。

  4. デバイスの認証順序を指定し、 tacplus オプションを含めます。

  5. remoteユーザーテンプレートとそのログインクラスを設定します。
業績

設定モードで、 show system コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

以下の出力には、この例に関連する設定階層部分だけを含んでいます。

デバイスの設定後、コンフィギュレーション モードで commit を入力します。

検証

設定が正常に機能していることを確認します。

TACACS+サーバーの設定の確認

目的

TACACS+サーバーがユーザーを認証していることを確認します。

アクション

ネットワーク デバイスにログインし、ログインに成功したことを確認します。設定でローカル認証パスワードが定義されていないアカウントを使用してログインを試すことで、デバイスの認証にTACACS+サーバーが使われていることを確認できます。

ジュニパーネットワークスベンダー固有のTACACS+属性

Junos OS Evolved は、TACACS+サーバー上のジュニパーネットワークスのTACACS+のベンダー固有属性(VSA)の設定に対応します。 表1 は、サポートされるジュニパーネットワークスのVSAの一覧です。

一部の属性では、POSIX 1003.2 で定義された拡張正規表現を利用できます。正規表現にスペース、オペレーターまたはワイルドカード文字が含まれる場合は引用符で囲みます。詳細については、次を参照してください。

表1:ジュニパーネットワークスベンダー固有のTACACS+属性

名前

形容

長さ

local-user-name

デバイスにユーザーがログインする際にこのユーザーに割り当てられるユーザーテンプレート名を示します。

≥3

印刷可能なASCII文字を含む、1つまたは複数のオクテット。

allow-commands

ユーザーのログインクラスのパーミッションビットで承認されたコマンドに加え、ユーザーがコマンドを実行できるようにする拡張正規表現を含みます。

≥3

拡張正規表現の形式で印刷可能なASCII文字を含む、1つまたは複数のオクテット。
allow-commands-regexps

ユーザーのログインクラスのパーミッションビットで承認されたコマンドに加え、ユーザーがコマンドを実行できるようにする拡張正規表現を含みます。

≥3

拡張正規表現の形式で印刷可能なASCII文字を含む、1つまたは複数のオクテット。

allow-configuration

ユーザーのログインクラスのパーミッションビットで承認されたステートメントに加えて、ユーザーによる設定ステートメントの表示および変更を可能にする拡張正規表現を含みます。

≥3

拡張正規表現の形式で印刷可能なASCII文字を含む、1つまたは複数のオクテット。

allow-configuration-regexps

ユーザーのログインクラスのパーミッションビットで承認されたステートメントに加えて、ユーザーによる設定ステートメントの表示および変更を可能にする拡張正規表現を含みます。

≥3

拡張正規表現の形式で印刷可能なASCII文字を含む、1つまたは複数のオクテット。

deny-commands

ユーザーのログインクラスのパーミッションビットで承認されたコマンドを実行するユーザーパーミッションを拒否する拡張正規表現を含みます。

≥3

拡張正規表現の形式で印刷可能なASCII文字を含む、1つまたは複数のオクテット。
deny-commands-regexps

ユーザーのログインクラスのパーミッションビットで承認されたコマンドを実行するユーザーパーミッションを拒否する拡張正規表現を含みます。

≥3

拡張正規表現の形式で印刷可能なASCII文字を含む、1つまたは複数のオクテット。

deny-configuration

ユーザーのログインクラスのパーミッションビットで承認された設定ステートメントを表示または変更するユーザーパーミッションを拒否する拡張正規表現を含みます。

≥3

拡張正規表現の形式で印刷可能なASCII文字を含む、1つまたは複数のオクテット。

deny-configuration-regexps

ユーザーのログインクラスのパーミッションビットで承認された設定ステートメントを表示または変更するユーザーパーミッションを拒否する拡張正規表現を含みます。

≥3

拡張正規表現の形式で印刷可能なASCII文字を含む、1つまたは複数のオクテット。

user-permissions

ユーザーパーミッションを指定するのにサーバーが使用する情報を含みます。

手記:

TACACS+サーバーが user-permissions 属性を定義して、ユーザーに maintenance パーミッションまたは all パーミッションを付与する場合、ユーザーのグループメンバーシップのリストはUnixホイールグループに自動的には含まれません。ローカルシェルからの su root コマンドの実行など、一部の操作にはホイールグループメンバーシップのパーミッションが必要です。ただし、ネットワークデバイスがパーミッション maintenance または all を持つローカルユーザーアカウントを定義すると、UNIXホイールグループへのメンバーシップが自動的にユーザーに付与されます。このため、必要なパーミッションを持つユーザーテンプレートアカウントを作成し、このユーザーテンプレートアカウントを各ユーザーアカウントに関連付けることをお勧めします。

≥3

印刷可能なASCII文字を含む、1つまたは複数のオクテット。

「アクセス権限レベルの概要」を参照してください。

authentication-type

ユーザーの認証に使用される認証方法(ローカルデータベースまたはTACACS+サーバー)を示します。ローカルデータベースを使用してユーザーが認証される場合、属性の値には「local」が表示されます。TACACS+サーバーを使用してユーザーが認証される場合、属性の値には「remote」が表示されます。

≥5

印刷可能なASCII文字を含む、1つまたは複数のオクテット。

session-port

確立されたセッションの送信元ポート番号を示します。

整数のサイズ

整数

RADIUSまたはTACACS+サーバーで正規表現を使用して、コマンドを許可または拒否する

Junos OS Evolved では、RADIUS-およびTACACS+認証ユーザーを、ローカルで定義したユーザーアカウントまたはユーザーテンプレートアカウントにマッピングできます。これは、ユーザーのアクセス権限を定義します。また、ジュニパーネットワークスのRADIUSおよびTACACS+ベンダー固有属性(VSA)をそれぞれの認証サーバーで定義することで、ユーザーのアクセス権限を構成することもできます。

ユーザーのログインクラスは、ユーザーが許可されている操作モードおよび構成モードコマンドと、ユーザーが構成のどのエリアを表示および変更できるかを決定するパーミッションのセットを定義します。また、ログインクラスは、パーミッションフラグの許可に加えて、ユーザー特定のコマンドを実行したり、構成の特定エリアを表示および変更する機能をユーザーに許可または拒否する正規表現を定義することもできます。ログインクラスは、以下のステートメントを含めることで、ユーザー許可を定義します。

  • permissions

  • allow-commands

  • allow-commands-regexps

  • allow-configuration

  • allow-configuration-regexps

  • deny-commands

  • deny-commands-regexps

  • deny-configuration

  • deny-configuration-regexps

同様に、RADIUSまたはTACACS+サーバー構成では、 ジュニパーネットワークスVSAを使用して、ユーザーのアクセス権限を決定する特定のパーミッションまたは正規表現を定義します。対応しているRADIUSおよびTACACS+ VSAのリストについては、以下を参照してください。

RADIUSまたはTACACS+サーバーでユーザーパーミッションを、スペース区切りの値のリストとして定義できます。

  • RADIUSサーバーは、以下の属性と構文を使用します。

    例えば:

  • TACACS+サーバーは、以下の属性と構文を使用します。

    例えば:

RADIUSまたはTACACS+サーバーはまた、単一の拡張正規表現(POSIX 1003.2で定義)を使用するジュニパーネットワークスVSAを定義して、ユーザーに特定のコマンドを実行したり、設定エリアを表示・変更する機能を許可または拒否することもできます。複数のコマンドまたは構成階層を括弧で囲み、パイプ記号を使用して区切ります。正規表現にスペース、オペレーターまたはワイルドカード文字が含まれる場合は引用符で囲みます。ローカルとリモートの両方で認証パラメータを設定する場合、デバイスは、TACACS+RADIUS認証時に受け取った正規表現と、ローカルデバイスで定義された正規表現をマージします。

  • RADIUSサーバーは、以下の属性と構文を使用します。

    例えば:

  • TACACS+ サーバーは、以下の属性と構文を使用します。

    例えば:

RADIUSおよびTACACS+サーバーは、ローカルデバイスで構成できる同じ *-regexps ステートメントに対応する属性の設定もサポートしています。 *-regexps TACACS+属性と *-Regexps RADIUS属性は、以前の属性と同じ正規表現構文を使用しますが、変数で正規表現を構成することができます。

  • RADIUSサーバーは、以下の属性と構文を使用します。

  • TACACS+ サーバーは、以下の属性と構文を使用します。

    例えば、TACACS+サーバー構成は、以下の属性を定義する場合があります。

RADIUSまたはTACACS+サーバーでは、個々の表現を別の行で指定する簡略化された構文で属性を定義できます。

RADIUSサーバーでは、以下の構文を使用して個別の正規表現を指定します。

TACACS+ サーバーでは、以下の構文を使用して個別の正規表現を指定します。

手記:

  • TACACS+ サーバー構文では、数値 1 から n は一意である必要がありますが、連続している必要はありません。例えば、以下の構文が有効です。

  • RADIUSまたはTACACS+サーバーは、個別の正規表現ラインの数に制限を付けます。

  • show cli authorization コマンドを発行すると、コマンドの出力では、個別の行で個別表現を指定した場合でも、正規表現が 1 行で表示されます。

ユーザーは、 show cli authorization operational mode コマンドを発行することで、クラス、パーミッション、コマンドおよび構成認証を確認できます。

手記:

認証パラメーターをネットワークデバイス上でローカルに設定し、RADIUSまたはTACACS+サーバー上でもリモートで設定すると、デバイスは、TACACS+RADIUS認証時に受け取った正規表現とローカルで構成された正規表現をマージします。最終表現に構文エラーが含まれる場合、全体的な結果は無効な正規表現となります。

TACACS+ システム アカウンティングの設定

デバイスにTACACS+アカウンティングを設定し、LANにログインまたはログアウトするユーザーの統計データを収集し、TACACS+アカウンティングサーバーにデータを送信することができます。統計データは、一般的なネットワーク監視、使用パターンの分析および追跡、またはセッションの期間やアクセスしたサービスの種類に基づくユーザーへの課金に使用することができます。

TACACS+アカウンティングを設定するには、以下のようにします。

  • デバイスから統計データを受信するための1つ以上のTACACS+アカウンティングサーバー

  • 収集するアカウンティング・データのタイプ

TACACS+ アカウンティングと認証の両方に同じサーバーを使用したり、個別のサーバーを使用することができます。TACACS+ アカウンティング サーバーのリストを指定できます。デバイスは、設定された順序でサーバーにを検索をします。プライマリサーバー(最初に設定されたサーバー)が利用できない場合、デバイスは応答を受け取るまでリスト内の各サーバーへのコンタクトを試みます。

TACACS+ アカウンティングを有効にすると、TACACS+ クライアントとして機能する Juniper Networks デバイスは、ソフトウェアのログイン、設定変更、対話型コマンドなどのユーザーアクティビティを TACACS+ サーバーに通知することができるようになります。

TACACS+サーバーアカウンティングを設定します。

TACACS+ サーバーアカウントを設定するには、

  1. を監査するイベントを設定します。

    例えば:

    events は一つ以上に以下のものを含むことができます:

    • login- 監査ログイン

    • change-log- 構成の変更を監査します

    • interactive-commands- インタラクティブコマンド(任意のコマンドライン入力)を監査します。

  2. TACACS+ アカウンティングを有効化します。
  3. 1 つかそれ以上の以上の TACACS+ アカウンティング サーバーのアドレスを設定します。

    例えば:

    手記:

    [edit system accounting destination tacplus]階層レベルでTACACS+サーバーをまったく設定しない場合、デバイスは[edit system tacplus-server]階層レベルでに設定されたTACACS+サーバーを使用します。
  4. (オプション)TACACS+ アカウンティングの求めに応じて、送信元アドレスを設定します。

    例えば:

    送信元アドレスは、ルーターインターフェイスまたはスイッチインターフェイスの1つに設定された有効なIPv4アドレスまたはIPv6アドレスです。ネットワークデバイスにTACACS+サーバーに到達できる複数のインターフェイスがある場合、デバイスがTACACS+サーバーとのすべての通信に使用できるIPアドレスを割り当てます。これを行うと、ローカルで生成されるIPパケットの送信元アドレスとして固定アドレスが設定されます。

  5. ネットワークデバイスがTACACS+ アカウンティングサーバーの認証に使用する共有の秘密のパスワードを設定します。

    設定されたパスワードは、TACACS+ サーバーに設定されたパスワードと一致する必要があります。パスワードにスペースが含まれている場合は、引用符で囲んでください。デバイスは、パスワードを暗号化された値として、設定データベースに保存します。

    例えば:

  6. (オプション)必要に応じて、アカウンティングパケットを送信するTACACS+アカウンティングサーバーポートを、デフォルト(49)と異なる場合に指定します。
  7. (オプション)デバイスが、TACACS+ アカウンティングサーバーから応答を受信する時間を設定します。

    デフォルトでは、デバイスは 3 秒間待機します。 timeout の値は 1 〜 90 秒の範囲で設定できます。

    たとえば、サーバーからの応答を待つ場合、15秒です。

  8. (オプション)接続を試みるたびに個別の接続を開くのではなく、複数の要求に対してサーバーへの1つのオープンTCP接続を維持するようにデバイスを設定します。
    手記:

    TACACS+ サーバーの初期バージョンは、 single-connection オプションをサポートしていません。このオプションを指定し、サーバーがサポートしていない場合、デバイスはそのTACACS+ サーバーと通信できません。
  9. (オプション) TACACS+のアカウンティング・パケットをデフォルトのルーティングインスタンスではなく,デフォルト以外の管理インスタンスまたは別のルーティング・インスタンスでルーティングするには, routing-instance ステートメントを構成してルーティング・インスタンスを指定します。
    例:
  10. ログインイベントの開始および停止要求は、管理ログ ファイルの代わりに TACACS+ サーバー アカウンティング ログ ファイルに正しくログインされるようにするには、[edit system tacplus-options]階層レベルで no-cmd-attribute-value ステートメントまたは exclude-cmd-attribute ステートメントを含めます。
    手記:

    どちらの記述も、アカウンティング要求を管理ファイルではなく、アカウンティング・ファイルに正しく記録することをサポートしています。 no-cmd-attribute-value ステートメントを設定した場合、 cmd 属性の値が開始および停止リクエストの NULL 文字列に設定されます。 exclude-cmd-attribute ステートメントを設定すると、 cmd 属性は開始および停止要求から完全に除外されます。