Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

TACACS + 認証

Junos OS は、複数のルーターまたはスイッチまたはセキュリティデバイスでのユーザーの集中認証に使用する TACACS + をサポートしています。デバイスで TACACS + 認証を使用するには、ネットワーク上の1つ以上の TACACS + サーバーに関する情報を構成する必要があります。また、デバイスで TACACS + アカウンティングを構成して、LAN からのログインまたはログアウトに関するユーザーに関する統計データを収集し、TACACS + アカウンティングサーバーにデータを送信することもできます。詳細については、このトピックをお読みください。

TACACS + 認証の構成

TACACS + 認証は、ルーターまたはスイッチへのアクセスを試みるユーザーを認証する方法です。

注:

リリース13.3 以降では、Junos OS は、TACACS + サーバーを使用したユーザー認証に対する既存の IPv4 サポートとともに、IPv6 をサポートしています。

TACACS + 構成を構成するタスクは以下のとおりです。

TACACS + サーバーの詳細の構成

ルーターまたはスイッチで TACACS + 認証を使用するには、 tacplus-server[edit system]階層レベルに文を含めることによって、ネットワーク上の1つ以上の tacacs + サーバーに関する情報を構成します。

server-addressTACACS + サーバーのアドレスです。

port-numberは TACACS + サーバーのポート番号です。

routing-instance routing-instanceTACACS + パケットの送信と受信に使用されるルーティングインスタンスの名前です。デフォルトでは、Junos OS は、TACACS + からデフォルトルーティングインスタンスへの認証、許可、アカウンティングのパケットをルートします。Junos OS リリース 17.4 R1 では、mgmt_junos というデフォルト以外の VRF インスタンスの管理インターフェースを介して TACACS + パケットのルーティングをサポートするように、既存の TACACS + 動作が拡張されています。この VRF 管理インスタンスの詳細については管理インスタンスを使用するための TACACS + の構成、を参照してください。Junos OS リリース18.2 から起動すると、認証で設定した任意のルーティングインスタンスを介して TACACS + トラフィックをルーティングできます。

ローカルルーターまたはスイッチが TACACS + クライアントに渡すシークレット (パスワード) を指定するには、 secret文を含めなければなりません。パスワードにスペースが含まれている場合、パスワードを引用符で囲みます。ローカルルーターやスイッチによって使用されるシークレットは、サーバーで使用されるものと一致している必要があります。

オプションとして、ローカルルーターまたはスイッチが TACACS + サーバーからの応答を受信するまでの時間を指定することもtimeoutできます。文を含めます。デフォルトでは、ルーターまたはスイッチが 3 秒待機します。これを1~90秒の範囲の値に設定できます。

オプションで、複数の要求に対してサーバーへの1つの open 伝送制御プロトコル (TCP) 接続を維持することができます。この場合は、接続single-connectionを開くたびにステートメントを含める必要がありません。

注:

TACACS + サーバーの初期バージョンでは、このオプションsingle-connectionはサポートされていません。このオプションを指定した場合、サーバーでサポートされていなければ、Junos OS はその TACACS + サーバーと通信できなくなります。

複数の TACACS + サーバーを構成するにtacplus-serverは、複数のステートメントを含めます。

TX マトリクスルーターでは、TACACS + アカウンティングはグループre0re1の下でのみ設定する必要があります。

注:

アカウンティングは、 [edit system]階層レベルで設定しないでください。TX マトリクスルーターでは、制御はスイッチカードシャーシでのみ実行されます。

承認の目的で1つのアカウントを共有する一連のユーザーを設定するには、テンプレートユーザーを作成します。これを行うには、 例 で説明 user されているとおり、 階層レベルに [edit system login] ステートメントを含 てます。認証順序の設定 .

管理インスタンスを使用するための TACACS + の構成

デフォルトでは、Junos OS は、TACACS + からデフォルトルーティングインスタンスへの認証、許可、アカウンティングのパケットをルートします。Junos OS リリース 17.4 R1 から開始すると、デフォルト以外の VRF インスタンスで管理インターフェイスをサポートするように、既存の TACACS + 動作が拡張されます。

routing-instance mgmt_junosこのオプションがtacplus-server server-address and tacplus server server-ipステートメントの両方に設定されている場合は、 tacplusmanagement-instance参照すると、このステートメントが設定されている場合、TACACS + パケットは管理インスタンス mgmt_junos を介してルーティングされることになります。

注:

このrouting-instance mgmt_junosオプションは、 tacplus-serverおよびのtacplus serverステートメントの両方で設定する必要があります。このmanagement-instance文が設定されていない場合は、TACACS + パケットはデフォルトのルーティングインスタンスのみを使用します。

17.4 R1 をリリースする前 Junos OS に、TACACS + のルーティングインスタンスを設定するためのオプションはありません。そのため、がmanagement-instance設定されている場合でも、Junos OS リリース 17.4 r1 まで、TACACS + ルーティングインスタンス機能はありません。

管理インスタンス mgmt_junos の詳細については、管理インスタンスを参照してください。

外部 TACACS + サーバーにアクセスするために Junos OS の送信元アドレスを指定する

Junos OS がネットワークにアクセスするときに使用する発信元アドレスを指定して、認証用に外部 TACACS + サーバーに接続することができます。また、アカウンティング情報を送信するために、Junos OS が TACACS + サーバーに接続するときに使用する送信元アドレスを指定することもできます。

TACACS + サーバーの送信元アドレスを認証用に指定するにはsource-address 、階層レベル[edit system tacplus-server server-address]のステートメントを追加します。

source-addressルーターまたはスイッチインターフェイスのいずれかで構成されている有効な IP アドレスです。

システムアカウンティング用 TACACS + サーバーの発信元アドレスを指定するには、 source-address階層レベルの[edit system accounting destination tacplus server server-address]ステートメントを追加します。

source-addressルーターまたはスイッチインターフェイスのいずれかで構成されている有効な IP アドレスです。

複数の TACACS + サーバーに対して同じ認証サービスを構成

複数の TACACS + サーバーに対して同じ認証サービスを設定するには[edit system tacplus-server][edit system tacplus-options]および階層レベルでステートメントを指定します。TACACS + サーバーを[edit system tacplus-server]階層レベルで構成する方法の詳細については、 tacacs + 認証の構成を参照してください。

同じ認証サービスを複数の TACACS + サーバーに割り当てるには、 service-name以下のよう[edit system tacplus-options]に階層レベルのステートメントを追加します。

service-name認証サービスの名前です。デフォルトでは、サービス名はにjunos-exec設定されています。

次の例は、複数の TACACS + サーバーに対して同じ認証サービスを設定する方法を示しています。

ベンダー固有の TACACS + 属性ジュニパーネットワークスの構成

ジュニパーネットワークスベンダー固有の TACACS + 属性を使用すると、TACACS + サーバー上のユーザーのアクセス権限を設定できます。これらは、ユーザー単位で TACACS + サーバー設定ファイルに指定されます。Junos OS は、ユーザーを認証した後、TACACS + サーバーの認証要求によってこれらの属性を取得します。これらの属性は、TACACS + で Junos OS を実行するために設定する必要はありません。

これらの属性を指定するにserviceは、TACACS + サーバー設定ファイルに以下の形式のステートメントを追加します。

このserviceステートメントは、 user or groupステートメントで記述できます。

例:システム認証用の TACACS + サーバーの構成

この例では、TACACS + サーバーをシステム認証用に設定する方法を示しています。

要件

開始する前に:

  • 初期デバイス構成を実行します。デバイスの入門ガイドを参照してください。

  • 少なくとも1つの TACACS + サーバーを設定します。

概要

この例では、IP アドレスを172.16.98.24、TACACS + サーバーの共有シークレットパスワードを Tacacssecret1 に設定します。シークレットパスワードは、暗号化された値として構成データベースに格納されます。次に、ループバックソースアドレスを10.0.0.1 として設定します。

構成

手順

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

GUIのクイック設定
順を追った手順

TACACS + サーバーをシステム認証用に設定するには、次のようにします。

  1. J-Web ユーザーインターフェイスで、[] Configure>System Properties>User Managementを選択します。

  2. クリックEditします。[ユーザー管理の編集] ダイアログボックスが表示されます。

  3. Authentication Method and Order タブを選択します。

  4. TACACS セクションで、をクリックAddします。[TACACS サーバーの追加] ダイアログボックスが表示されます。

  5. [IP アドレス] ボックスに、サーバーの 32 ビット IP アドレスを入力します。

  6. [パスワードおよびパスワードの確認] ボックスにサーバーのシークレットパスワードを入力し、入力内容を確認します。

  7. [サーバーポート] ボックスに、適切なポートを入力します。

  8. [発信元アドレス] ボックスに、ローカルに構成されたインターフェイスアドレスを入力します。これは、TACACS + パケットの送信元アドレスとして使用されます。

    注:

    送信元アドレスボックスには、ホスト名または IP アドレスを使用できます。

  9. [試みる回数] ボックスで、サーバーがユーザーの認証情報を検証しようとする回数を指定します。

  10. [タイムアウト] ボックスで、サーバーからの応答をデバイスが待機する時間 (秒単位) を指定します。

  11. 設定OKを確認し、候補の設定として保存するときにクリックします。

  12. デバイスの設定が完了したら、[ Commit Options>Commit] をクリックします。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

TACACS + サーバーをシステム認証用に設定するには、次のようにします。

  1. 新しい TACACS + サーバーを追加し、IP アドレスを設定します。

  2. TACACS + サーバーの共有シークレット (パスワード) を指定します。

  3. デバイスのループバック アドレスを送信元アドレスとして指定します。

結果

設定モードから、 show system tacplus-serverコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

注:

TACACS + 認証を完全に設定するには、ユーザーテンプレートアカウントを作成し、システム認証順を指定する必要があります。以下のいずれかの作業を実行します。

検証

構成が正常に機能していることを確認します。

TACACS + サーバーシステム認証の構成を確認する

目的

TACACS + サーバーがシステム認証を使用するように設定されていることを確認します。

アクション

設定モードからshow system tacplus-serverコマンドを入力します。

TACACS + 承認プロファイルの定期的な更新の構成

認証に TACACS + サーバーを使用するように Junos OS デバイスを設定すると、デバイスは、TACACS + サーバーによって確認されたログイン情報の入力をユーザーに求めます。ユーザーが正常に認証された後、Junos OS デバイスは認証要求を TACACS + サーバーに送信して、ユーザーの認証プロファイルを取得します。承認プロファイルは、認証されたユーザーまたはデバイスのアクセス許可を指定します。

TACACS + サーバーは、認証応答メッセージの一部として承認プロファイルを送信します。TACACS + サーバー上で構成されたリモートユーザーは、Junos OS デバイスに設定されたローカルユーザーにマップされます。Junos OS デバイスは、ユーザーに対してローカルに設定された承認プロファイルとリモート承認プロファイルを組み合わせたものですedit system login class。これは、[] 階層レベルで構成されています。

承認要求と応答メッセージの交換は、デフォルトでは、認証が成功した後に1回だけ行われます。Junos OS デバイスを設定して、TACACS + サーバーから定期的にリモート承認プロファイルを取得し、ローカルに保存されている承認プロファイルを更新することができます。これにより、ユーザーが認証プロセスを再起動しなくても、承認パラメーターの変更がローカルデバイスに反映されます。

承認プロファイルの定期的な更新を有効にするには、Junos OS デバイスが TACACS + サーバー上でリモートで設定された承認プロファイルを確認する時間間隔を設定する必要があります。リモート承認プロファイルに変更があった場合、デバイスは、TACACS + サーバーから承認プロファイルをフェッチし、ログインクラス階層で設定された承認プロファイルを取得します。デバイスは、リモートからローカルに設定された承認プロファイルを結合して、ローカルに格納されている承認プロファイルを更新します。

この時間間隔は、TACACS + サーバー上で直接設定することも、CLI を使用して Junos OS デバイスでローカルに構成することができます。時間間隔は、15 ~ 1440 分の範囲で構成されています。

  • CLI を使用してローカルデバイスの承認プロファイルを定期的に更新するには、 authorization-time-interval[edit system tacplus-options]階層レベルに以下のステートメントを追加します。
  • TACACS + サーバーで定期的な更新の間隔を構成するには、次の構文を使用して、承認プロファイル内のパラメーターとして時間間隔を追加します。

以下のガイドラインを使用して、設定が優先される時間間隔を決定します。

  • 定期的な更新のために TACACS + サーバー上で更新間隔が設定されていない場合、Junos OS デバイスは、認証応答の時間間隔値を受信しません。この場合、Junos OS デバイス上でローカルに設定された値が有効になります。

  • 更新間隔が TACACS + サーバーに設定されており、更新間隔がローカルで Junos OS デバイスに設定されていない場合は、TACACS + サーバー上で設定された値が有効になります。

  • TACACS + サーバー上および Junos OS デバイス上でも更新間隔が設定されている場合は、TACACS + サーバー上で設定した値が優先します。

  • TACACS + サーバーに更新間隔が設定されておらず、Junos OS デバイスに更新間隔が設定されていない場合は、定期的な更新は行われません。

  • TACACS + サーバーに設定されている更新間隔が範囲外である場合は、ローカルに設定された更新時刻間隔値が有効になります。

  • TACACS + サーバーに設定されている更新間隔が範囲外の場合、または有効期限がありません。ローカルに設定されている更新間隔がない場合は、定期的な更新は行われません。

定期的な更新間隔を設定した後、ユーザーが Junos OS デバイスから承認要求が送信される前に更新間隔を変更した場合、更新された更新間隔は、次回の定期更新が行われた後に有効になります。

RADIUS または TACACS + サーバーで正規表現を使用して、コマンドへのアクセスを許可または拒否します。

正規表現を使用して、RADIUS または TACACS + サーバーを使用してユーザー認証を行う場合に許可または拒否される操作または設定モードのコマンドを指定します。正規表現を指定するには、お客様の認証サーバーの設定で、ベンダー固有の適切なジュニパーネットワークス RADIUS または TACACS + 属性を使用します。

RADIUS および TACACS + サーバー上で承認を設定するために、以下の属性がサポートされています。

  • user-permissions

  • allow-configuration

  • deny-configuration

  • allow-commands

  • deny-commands

  • allow-configuration-regexp

  • deny-configuration-regexp

  • (TACACS + のみ)allow-commands-regexp

  • (TACACS + のみ)deny-commands-regexp

単一の拡張allow-configuration正規deny-configuration表現allow-commandsで、 deny-commands 、、またはを指定して、複数のコマンドをかっこで囲み、パイプ記号を使用して区切ることができます。たとえば、以下を使用してallow-commands複数のパラメーターを指定できます。allow-commands= (cmd1 | cmd2 | cmdn)。コンマ区切り値user-permissionsのリストとして指定できます。正規表現として使用するわけではありません。

allow/deny-configuration-regexps Or 属性を使用してallow/deny-commands-regexps承認を設定するには、各文字列が正規表現として二重引用符で囲まれ、space 演算子で区切られた文字列のセットを設定します。たとえば、次の構文を使用してallow-commands-regexp複数のパラメーターを指定できます。allow-commands-regexps = (“regexp1” “regexp2”...)

RADIUS または TACACS + サーバーでは、正規表現に簡素化されたバージョンを使用して、個別の行で個々の式を指定することもできます。簡素化されたバージョンはallow-commandsdeny-commandsallow-configuration、、 deny-configuration、、 permissionsベンダー固有の属性に対して有効です。

RADIUS サーバーの場合は、次の構文を使用して個々の正規表現を指定します。

TACACS + サーバーの場合は、次の構文を使用して個々の正規表現を指定します。

注:
  • 構文内の 1~n の数値(TACACS+ サーバーの場合)は一意である必要がありますが、連続する必要はしません。たとえば、次の構文は有効です。

  • 個々の正規表現の行数の制限は、TACACS + または RADIUS サーバーによって規制されます。

  • show cli authorizationコマンドを発行すると、個々の式を別々の行に指定した場合でも、コマンド出力によって正規表現が1行で表示されます。

ジュニパーネットワークス ベンダー固有の RADIUS および TACACS+ 属性の詳細については、 ジュニパーネットワークス ベンダー固有 の RADIUS および LDAP 属性 および ジュニパーネットワークス ベンダー固有の TACACS+属性 を参照してください。

注:

ルーターに RADIUS または tacacs + 認証が設定されている場合、RADIUS または tacacs + サーバー上に設定された正規表現は、、、 [edit system login class]allow-configurationdeny-configuration、またはpermissionsステートメントdeny-commandsを使用してallow-commands、階層レベルでローカルルーター上に設定された正規表現とのマージを行います。最後の式に構文エラーがある場合、結果全体が無効な正規表現になります。

ベンダー固有の TACACS + 属性をジュニパーネットワークス

Junos OS はジュニパーネットワークス TACACS + ベンダー固有の属性 (Vsa) の構成をサポートしています。これらの Vsa は TACACS + ベンダー固有の属性でカプセル化されており、ベンダー ID はジュニパーネットワークス ID 番号 (2636) を設定しています。表 1構成可能な vsa ジュニパーネットワークスリストします。

表 1: ベンダー固有の TACACS + 属性をジュニパーネットワークス

名前

説明

期間

文字列

local-user-name

デバイスへのログイン時にこのユーザーによって使用されるユーザーテンプレートの名前を示します。

≥3

印刷可能な ASCII 文字を含む1つまたは複数のオクテット。

allow-commands

拡張正規表現を含み、ユーザーのログイン クラス許可ビットによって承認されたコマンドに加えて、ユーザーが動作モード コマンドを実行できます。

≥3

拡張正規表現の形式で印刷可能な ASCII 文字を含む1つまたは複数のオクテット。Junos OS の運用モードコマンド、構成ステートメント、階層を許可して拒否するための正規表現を参照してください。

allow-configuration

ユーザーのログイン クラス許可ビットによって承認されたコマンドに加えて、ユーザーが設定モード コマンドを実行できる拡張正規表現も含まれています。

≥3

拡張正規表現の形式で印刷可能な ASCII 文字を含む1つまたは複数のオクテット。Junos OS の運用モードコマンド、構成ステートメント、階層を許可して拒否するための正規表現を参照してください。

deny-commands

ユーザーのログイン クラス許可ビットによって承認された動作モード コマンドを実行するためのユーザー許可を拒否する拡張正規表現が含まれています。

≥3

拡張正規表現の形式で印刷可能な ASCII 文字を含む1つまたは複数のオクテット。Junos OS の運用モードコマンド、構成ステートメント、階層を許可して拒否するための正規表現を参照してください。

deny-configuration

ユーザーのログイン クラス許可ビットによって承認された設定モード コマンドを実行するためのユーザー許可を拒否する拡張正規表現が含まれています。

≥3

拡張正規表現の形式で印刷可能な ASCII 文字を含む1つまたは複数のオクテット。Junos OS の運用モードコマンド、構成ステートメント、階層を許可して拒否するための正規表現を参照してください。

user-permissions

ユーザーの権限を指定するためにサーバーが使用する情報を格納します。

注:

属性が user-permissionsmaintenanceall IPv4またはIPv6 TACACS+サーバーに対するJunos OSまたは権限を付与するように設定されている場合、UNIXのハンドルグループ メンバーシップは、ユーザーのグループ メンバーシップのリストに自動的に追加されません。ローカルシェルからのコマンド実行su rootなどの一部の操作には、wheel group membership 権限が必要です。ただし、ユーザーが権限maintenanceallを使用してローカルに設定されている場合は、そのユーザーは自動的に UNIX wheel グループにメンバーシップが付与されます。そのため、必要なアクセス許可を持つテンプレートユーザーアカウントを作成し、個々のユーザーアカウントをテンプレートユーザーアカウントに関連付けることをお勧めします。

≥3

印刷可能な ASCII 文字を含む1つまたは複数のオクテット。「 Junos OS アクセス権限レベルについて」を参照してください。

authentication-type

ユーザーの認証に使用される認証方法 (ローカルデータベースまたは TACACS + サーバー) を示します。ユーザーがローカル データベースを使用して認証されている場合、属性値には「ローカル」と表示されます。ユーザーが TACACS+ サーバーを使用して認証されている場合、属性値には「リモート」が表示されます。

≥5

印刷可能な ASCII 文字を含む1つまたは複数のオクテット。

session-port

確立されたセッションの発信元ポート番号を示します。

整数のサイズ

数値

TACACS + システムアカウンティングの構成

TACACS + を使用して、ソフトウェアのログイン、設定の変更、対話型コマンドの追跡とログ記録を実行できます。これらのイベントを監査するには、以下の[edit system accounting]ステートメントを階層レベルで含めます。

TACACS + システムアカウンティングを構成するための作業は以下のとおりです。

TACACS + 監査およびアカウンティングイベントを指定する

TACACS + サーバーを使用して認証を行う際に監査するイベントを指定するにeventsは、階層[edit system accounting]レベルのステートメントを追加します。

eventsは、以下のいずれか、または複数の場合があります。

  • login— ログインの監査

  • change-log—設定変更の監査

  • interactive-commands—対話型コマンドの監査(コマンドライン入力)

TACACS + サーバーアカウンティングの構成

TACACS + サーバーアカウンティングを構成するにはserver 、次の[edit system accounting destination tacplus]ように階層レベルのステートメントを追加します。

server-addressTACACS + サーバーのアドレスを指定します。複数の TACACS + サーバーを構成するにserverは、複数のステートメントを含めます。

注:

この場合、TACACS + サーバーが[edit system accounting destination tacplus]ステートメント階層レベルで設定されていないと、Junos OS は、 [edit system tacplus-server]階層レベルで構成された tacacs + サーバーを使用します。

[edit system accounting destination tacplus]ステートメント階層レベルで次の設定を追加して宛先を識別し、エラー状態が生成されないようにすることをお勧めします。

port-numberTACACS + サーバーポート番号を指定します。

routing-instance routing-instanceTACACS + パケットの送信と受信に使用されるルーティングインスタンスの名前です。デフォルトでは、Junos OS は、TACACS + からデフォルトルーティングインスタンスへの認証、許可、アカウンティングのパケットをルートします。Junos OS リリース 17.4 R1 では、mgmt_junos というデフォルト以外の VRF インスタンスの管理インターフェースを介して TACACS + パケットのルーティングをサポートするように、既存の TACACS + 動作が拡張されています。この VRF 管理インスタンスの詳細については管理インスタンスを使用するための TACACS + の構成、を参照してください。Junos OS リリース18.2 から起動すると、アカウンティングで設定した任意のルーティングインスタンスを介して TACACS + トラフィックをルーティングできます。

ローカルルーターまたはスイッチが TACACS + クライアントに渡すシークレット (パスワード) を指定するには、 secret文を含めなければなりません。パスワードにスペースが含まれている場合は、パスワード全体を引用符(" ")で囲みます。ローカルルーターまたはスイッチが使用するパスワードは、サーバーによって使用されているものと一致している必要があります。

オプションとして、ローカルルーターまたはスイッチが TACACS + サーバーからの応答を受信するまでの時間を指定することもtimeoutできます。文を含めます。デフォルトでは、ルーターまたはスイッチが 3 秒待機します。これを1~90秒の範囲の値に設定できます。

必要に応じて、各接続の試行ごとに接続を開くのではなく、 single-connection文を含めることで、サーバーへの1つのオープン TCP 接続を維持することができます。

ログインイベントのアカウンティングに対する開始および停止要求が、TACACS + サーバー上の管理ログファイルではなくアカウンティングファイルに正しく記録されるようにするにno-cmd-attribute-valueは、ステートメントexclude-cmd-attributeまたは[edit system tacplus-options]階層レベルのどちらかを含めます。

no-cmd-attribute-valueステートメントを使用すると、開始および停止のcmd要求で属性の値が null 文字列に設定されます。exclude-cmd-attributeステートメントを使用すると、そのcmd属性は、開始および停止要求から完全に除外されます。どちらのステートメントも、管理ファイルではなくアカウンティングの要求の正しいロギングをサポートしています。

管理インスタンスを使用するための TACACS + の構成

デフォルトでは、Junos OS は、TACACS + からデフォルトルーティングインスタンスへの認証、許可、アカウンティングのパケットをルートします。Junos OS リリース 17.4 R1 から開始すると、デフォルト以外の VRF インスタンスで管理インターフェイスをサポートするように、既存の TACACS + 動作が拡張されます。

このrouting-instance mgmt_junosオプションがtacplus-server server-address and tacplus server server-ipステートメントの両方で設定されている場合management-instance 、そのステートメントも設定されるため、TACACS + パケットは管理インスタンス mgmt_junos を通じてルーティングされます。

注:

このrouting-instance mgmt_junosオプションは、 tacplus-serverおよびのtacplus serverステートメントの両方で設定する必要があります。このmanagement-instance文が設定されていない場合でも、TACACS + パケットはデフォルトルーティングインスタンスのみを使用して送信されます。

この管理インスタンスの詳細については、管理のインスタンスを参照してください。

TX マトリクスルーターでの TACACS + アカウンティングの構成

TX マトリクスルーターでは、TACACS + アカウンティングはグループre0re1の下でのみ設定する必要があります。

注:

この[edit system]階層ではアカウンティングを構成するべきではありません。TX マトリクスルーターでは、制御はスイッチカードシャーシでのみ実行されます。

リリース履歴テーブル
リリース
説明
18.2R1
Junos OS リリース18.2 から起動すると、認証で設定した任意のルーティングインスタンスを介して TACACS + トラフィックをルーティングできます。
18.2R1
Junos OS リリース18.2 から起動すると、アカウンティングで設定した任意のルーティングインスタンスを介して TACACS + トラフィックをルーティングできます。
17.4R1
Junos OS リリース 17.4 R1 では、mgmt_junos というデフォルト以外の VRF インスタンスの管理インターフェースを介して TACACS + パケットのルーティングをサポートするように、既存の TACACS + 動作が拡張されています。
17.4R1
Junos OS リリース 17.4 R1 から開始すると、デフォルト以外の VRF インスタンスで管理インターフェイスをサポートするように、既存の TACACS + 動作が拡張されます。
17.4R1
Junos OS リリース 17.4 R1 では、mgmt_junos というデフォルト以外の VRF インスタンスの管理インターフェースを介して TACACS + パケットのルーティングをサポートするように、既存の TACACS + 動作が拡張されています。
17.4R1
Junos OS リリース 17.4 R1 から開始すると、デフォルト以外の VRF インスタンスで管理インターフェイスをサポートするように、既存の TACACS + 動作が拡張されます。