Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

TACACS+認証

Junos OSはTACACS+をサポートしており、ネットワークデバイス上のユーザーを一元的に認証できます。デバイス上でTACACS+認証を使用するには、ネットワーク管理者が、ネットワーク上の1台以上のTACACS+サーバーの情報を構成する必要があります。また、デバイス上でTACACS+アカウンティングを構成し、LANにログインまたはログアウトするユーザーに関する統計データを収集して、TACACS+アカウンティングサーバーにデータを送信することもできます。

TACACS+ 認証の設定

TACACS+ 認証は、ネットワークデバイスへのアクセスを試みるユーザーを認証する方法です。

TACACS+ を設定するには、以下のタスクを実行します。

TACACS+ サーバーの詳細を設定する

デバイス上でTACACS+ 認証を使用するには、TACACS+ サーバーごとに[edit system]階層レベルに1つのtacplus-serverのステートメントをインクルードすることで、ネットワーク上の1つ以上のTACACS+ サーバーの情報を設定します。デバイスは、TACACS+ サーバーを設定する順序でクエリーを実行します。プライマリサーバー(設定された最初の1つのサーバー)が利用できない場合、デバイスは、応答を受信するまで、リスト内の各サーバーに接続しようとします。

ネットワークデバイスにより、TACACS+ 認証されたユーザーをローカルで定義されたユーザーアカウントまたはユーザーテンプレートアカウントにマッピングでき、これにより、認証が決定されます。デフォルトでは、以下の場合、設定されていれば、Junos OSはユーザテンプレートアカウントremoteにTACACS+ 認証されたユーザーを割り当てます。

  • 認証されたユーザーの場合、ローカルデバイスにユーザーアカウントは設定されていません。

  • TACACS+ サーバーは、ローカルユーザーテンプレートにユーザーを割り当てません。また、サーバーが割り当てるテンプレートはローカルデバイスでは設定されません。

TACACS+ サーバーは、認証済みユーザーを別のユーザーテンプレートに割り当て、そのユーザーに異なる管理権限を付与することができます。ユーザーはCLIに同じログイン名を持つことになりますが、割り当てられたテンプレートからログインクラス、アクセス権限、有効なユーザーIDを継承します。TACACS+ 認証されたユーザーがローカルで定義されたユーザーアカウントまたはユーザーテンプレートにマッピングされず、remoteのテンプレートが設定されていない場合、認証は失敗します。

注:

remoteのユーザー名はJunos OSの特別なケースで、常に小文字でなければなりません。これは、リモートサーバーで認証されていますが、デバイスにローカルで設定されたユーザーアカウントを持っていないユーザーのテンプレートとして機能します。Junos OSは、ローカルで定義されたアカウントがない認証済みのユーザーに、remoteのテンプレートの権限を適用します。remoteのテンプレートにマッピングされたすべてのユーザーは、同じログインクラスにいます。

複数のデバイスでリモート認証が設定されているため、通常は設定グループ内で設定されます。ここで示す手順は、globalと呼ばれる設定グループにあります。設定グループを使用するのは、オプションです。

TACACS+ サーバーによる認証を設定するには、以下を行います。

  1. TACACS+ 認証サーバーのIPv4アドレスまたはIPv6アドレスを設定します。

    たとえば、以下のように表示されます。

  2. (オプション)TACACS+ サーバーに送信されたリクエストのパケット送信元アドレスを設定します。

    たとえば、以下のように表示されます。

    送信元アドレスは、ルーターインターフェイスまたはスイッチインターフェイスの1つに設定された有効なIPv4アドレスまたはIPv6アドレスです。ネットワークデバイスに、TACACS+ サーバーに到達できる複数のインターフェイスがある場合、デバイスが、TACACS+ サーバーとのすべての通信に使用できるIPアドレスを割り当てます。これを行うと、ローカルで生成されるIPパケットの送信元アドレスとして固定アドレスが設定されます。

  3. ネットワークデバイスがTACACS+ サーバーの認証に使用する共有の秘密のパスワードを設定します。

    設定されたパスワードは、TACACS+ サーバーに設定されたパスワードに一致する必要があります。パスワートにスペースが含まれている場合、引用符で囲んでください。デバイスは、パスワードを暗号化された値として、設定データベースに保存します。

    たとえば、以下のように表示されます。

  4. (オプション)デフォルトのポート(49)と異なる場合、TACACS+ サーバーに接続するポートを指定します。

    たとえば、以下のように表示されます。

  5. (オプション)デバイスが、TACACS+ サーバーから応答を受信する待機時間を設定します。

    デフォルトでは、デバイスは10秒待ちます。1~90秒のtimeoutの値を設定できます。

    たとえば、サーバーからの応答を待つ場合、15秒です。

  6. (オプション)接続を試みるたびに個別の接続を開くのではなく、複数の要求に対してサーバーに1つのオープンTCP接続を維持するようデバイスを設定します。
    注:

    TACACS+ サーバーの初期バージョンはsingle-connectionのオプションをサポートしていません。このオプションを指定し、サーバーがサポートしていない場合、デバイスはそのTACACS+ サーバーと通信できません。

  7. (オプション)特定のルーティングインスタンスを介してTACACS+ パケットをルーティングするには、routing-instanceのステートメントを設定し、有効なルーティングインスタンスを指定します。

    デフォルトでは、Junos OSは、デフォルトのルーティングインスタンスを介して、TACACS+ の認証、許可、アカウンティングパケットをルーティングします。

  8. 認証順序を指定し、tacplusのオプションを含めます。

    以下の例では、ユーザーがログインしようとすると必ず、Junos OSまず、TACACS+ サーバーに認証のクエリーを実行します。それが失敗した場合、RADIUSサーバーにクエリーを実行します。それが失敗すると、ローカルで設定されたユーザーアカウントで認証を試みます。

  9. ローカルで定義されたユーザーアカウントを持たないTACACS+ 認証されたユーザーにログインクラスを割り当てます。

    TACACS+ サーバーがユーザーを認証するため、ローカル認証パスワードが設定されない場合を除いて、ローカルユーザーアカウントと同じ方法でユーザーテンプレートアカウントを設定します。

    • すべてのTACACS+ 認証されたユーザーに同じ権限を使用するには、remoteのユーザーテンプレートを設定します。

      たとえば、以下のように表示されます。

    • 別のTACACS+ 認証されたユーザーに異なるログインクラスを使用するには、別の権限を付与します。

      1. Junos OSの設定で複数のユーザーテンプレートを作成します。たとえば、以下のように表示されます。

      2. TACACS+ サーバーを設定して、認証済みユーザーを適切なユーザーテンプレートにマッピングします。

        例えば、デバイスに設定されたユーザーテンプレートの名前(前の例では RO、OP、SU)に、local-user-nameジュニパーのベンダー固有の属性(VSA)を設定します。デバイスがローカルユーザーアカウントまたはユーザーテンプレートにユーザーを割り当てることができず、remoteのユーザーテンプレートが設定されていない場合、認証は失敗します。

TACACS+ を設定して管理インスタンスを使用する

デフォルトでは、Junos OSは、デフォルトのルーティングインスタンスを介して、TACACS+ の認証、許可、アカウンティングパケットをルーティングします。また、デフォルト以外のVRFインスタンスで管理インターフェイスを介してTACACS+ パケットをルーティングすることもできます。

mgmt_junosの管理インスタンスを介してTACACS+ パケットをルーティングするには、以下を行います。

  1. mgmt_junosの管理インスタンスを有効にします。

  2. 設定されている場合、TACACS+ 認証サーバーとTACACS+ アカウンティングサーバーにrouting-instance mgmt_junosのステートメントを設定します。

複数のTACACS+ サーバーに同じ認証サービスを設定する

[edit system tacplus-server]および[edit system tacplus-options]階層レベルでステートメントをインクルードすることで、複数のTACACS+ サーバーに同じ認証サービスを設定することができます。

複数のTACACS+ サーバーに同じ認証サービスを割り当てるには、以下を行います。

  1. TACACS+ 認証の設定で説明している通りにTACACS+ サーバーを設定します。
  2. [edit system tacplus-options]階層レベルでservice-nameのステートメントを設定します。
    service-nameは、認証サービスの名前で、デフォルトではjunos-execです。

    たとえば、以下のように表示されます。

以下の例は、複数のTACACS+ サーバーに同じ認証サービスを設定する方法を示しています。

ジュニパーネットワークスのベンダー固有のTACACS+ 属性を設定する

Junos OSにより、TACACS+ 認証されたユーザーをローカルで定義されたユーザーアカウントまたはユーザーテンプレートアカウントにマッピングでき、これにより、認証が決定されます。また、TACACS+ サーバーでジュニパーネットワークスのベンダー固有のTACACS+ 属性を定義することで、ユーザーのアクセス権限をオプションで設定することもできます。TACACS+ サーバー設定ファイルの属性をユーザーごとに定義します。ネットワークデバイスは、ユーザーを認証した後、TACACS+ サーバーの認証要求を通して、これらの属性を取得します。

これらの属性を指定するには、TACACS+ サーバー設定ファイルに以下のフォームのserviceのステートメントをインクルードします。

userのステートメントまたはgroupのステートメントで、serviceのステートメントを定義することができます。

TACACS+認証プロファイルの定期更新の構成

実行中のデバイスに、Junos OS認証をTACACS+サーバーに使用するように構成すると、ユーザーにログイン情報を入力するよう求めるプロンプトが表示されます。これはTACACS+サーバーによって検証されます。ユーザーの認証が正常に完了すると、ネットワークデバイスからTACACS+サーバーに認証要求が送信され、ユーザーの認証プロファイルが取得されます。認証プロファイルは、認証されたユーザーまたはデバイスのアクセス許可を指定します。

TACACS+サーバーは、認証REPLYメッセージの一部として認証プロファイルを送信します。TACACS+サーバーに構成されたリモートユーザーは、Junos OS を実行中のデバイスで設定されたローカルユーザーまたはユーザーテンプレートにマッピングされます。Junos OS が、ユーザーのリモート認証プロファイルとローカル設定済みの認証プロファイルを組み合わせ、認証プロファイルは、[edit system login class]階層レベルで設定されます。

デフォルトでは、認証が成功すると認証要求と応答メッセージの交換は1回だけ行われます。デバイスを構成して、Junos OSがTACACS+サーバーからリモート認証プロファイルを定期的に取得し、ローカルに保存された認証プロファイルを更新するようにすることができます。この定期的なリフレッシュにより、認証パラメーターの変更がローカルデバイスに反映され、ユーザーが認証プロセスを再起動する必要がなくなります。

認証プロファイルの定期的な更新を有効にするには、ローカルデバイスがTACACS+サーバーでリモートに設定された認証プロファイルを確認する間隔を設定する必要があります。リモート認証プロファイルが変更された場合、デバイスは、TACACS+サーバーおよびログインクラス階層の下で構成された認証プロファイルから認証プロファイルを取得します。デバイスは、リモートおよびローカルに設定された認証プロファイルを組み合わせて、ローカルに保存されている認証プロファイルを更新します。

更新時間の間隔は、実行中のデバイス上でローカル、Junos OSまたはTACACS+サーバー上で直接構成することができます。時間間隔は15分から1440分までの範囲で設定できます。

  • ローカルデバイスで認証プロファイルの定期的な更新を構成するには、以下のように authorization-time-interval ステートメントを [edit system tacplus-options] 階層レベルに含めます。
  • TACACS+サーバーで定期的な更新を構成するには、以下の構文を使用して認証プロファイルに refresh-time-interval パラメーターを追加します。

以下のガイドラインを使用して、構成が優先される時間間隔を決定します。

  • 更新時間の間隔がTACACS+サーバーのみ、またはJunos OSを実行中のデバイスでのみ構成されている場合、設定された値が優先されます。
  • 更新時間の間隔がTACACS+サーバーと実行中のデバイスの両方で構成されている場合Junos OS、TACACS+サーバーに設定された値が優先されます。

  • TACACS+サーバーまたは実行中のデバイスに更新時間の間隔が構成されていない場合Junos OS、定期的な更新は行われません。

  • TACACS+サーバーに設定された更新時間の間隔が範囲外または無効な場合、ローカルで設定された更新間隔が有効になります。ローカルに更新時間の間隔が設定されていない場合、定期的な更新は行われません。

定期的な更新時間の間隔が設定された後、ユーザーがローカルデバイスから認証要求を送信する前に更新時間の間隔を変更した場合、更新された更新時間の間隔は次回の定期的な更新の後に有効になります。

例:システム認証用のTACACS+サーバーの設定

この例では、TACACS+を介したシステム認証を設定します。

要件

開始する前に、以下を実行します。

  • デバイスの初期設定を行います。お使いのデバイスの『スタートアップガイド』をご覧ください。

  • ネットワーク上に少なくとも1つのTACACS+サーバーをセットアップします。

概要

この例では、IPアドレスが172.16.98.1である新しいTACACS+サーバーを追加します。TACACS+サーバーの共有秘密パスワードをTacacssecret1として指定します。デバイスはこの秘密を暗号化した値にして設定データベースに保存します。最後に、デバイスがTACACS+サーバーの要求に使用する送信元アドレスを指定します。ほとんどの場合、デバイスのループバックアドレス(この例では10.0.0.1)を使用することができます。

ネットワークデバイスでは、ローカルパスワード認証、TACACS+、RADIUSなど、複数のユーザー認証方法のサポートを設定できます。複数の認証方法を設定する際に、デバイスが試す異なる認証方法に対して優先順位を付けることができます。この例では、まずTACACS+認証サービスを使用し、それが失敗した場合はローカルパスワード認証を試みるようにデバイスを設定します。

TACACS+が認証したユーザーは、ネットワークデバイス上のローカルユーザーアカウントまたはローカルユーザーテンプレートアカウントとしてマッピングされる必要があり、これが認証を決定します。デフォルトでは、TACACS+が認証したユーザーにローカルユーザーアカウントまたは特定のユーザーテンプレートがマッピングされておらず、remoteユーザーテンプレーが設定されていれば、これが割り当てられます。この例では、remoteユーザーテンプレートを設定します。

設定

手順

CLIクイックコンフィギュレーション

この例を手早く設定するには、以下のコマンドをコピーして、テキストファイルに貼り付けます。改行を削除し、ネットワーク設定に合わせて必要な変更を加え、コマンドを[edit]階層レベルのCLIにコピー、貼り付けしてから、設定モードでcommitを入力します。

ステップ・バイ・ステップの手順

システム認証用のTACACS+サーバーの設定手順

  1. TACACS+サーバーを追加して、そのIPアドレスを設定します。

  2. TACACS+サーバーの共有秘密(パスワード)を指定します。

  3. 送信元アドレスとして、デバイスのループバックアドレスを指定します。

  4. デバイスの認証順序を指定し、tacplusオプションを含めます。

  5. remoteユーザーテンプレートとそのログインクラスを設定します。
結果

設定モードで、show systemコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

以下の出力には、この例に関連する設定階層部分だけを含んでいます。

デバイスの設定後、コンフィギュレーションモードでcommitを入力します。

検証

設定が正常に機能していることを確認します。

TACACS+サーバーの設定の確認

目的

TACACS+サーバーがユーザーを認証していることを確認します。

対処

ネットワークデバイスにログインし、ログインに成功したことを確認します。設定で、ローカル認証パスワードが定義されていないアカウントを使用してログインを試すことで、デバイスの認証にTACACS+サーバーが使われていることを確認できます。

ジュニパーネットワークスベンダー固有のTACACS+属性

Junos OSでは、TACACS+サーバーにおけるジュニパーネットワークスのTACACS+のベンダー固有属性(VSA)の設定に対応しています。表 1は、サポートされるジュジュニパーネットワークスのVSAの一覧を示します。

属性の一部では、POSIX 1003.2で定義された拡張正規表現を利用できます。正規表現にスペース、オペレーターまたはワイルドカード文字が含まれる場合は引用符で囲みます。詳細については、次を参照してください。

表 1: ジュニパーネットワークスベンダー固有のTACACS+属性

お名前

説明

長さ

文字列

local-user-name

デバイスにユーザーがログインする際にこのユーザーに割り当てられるユーザーテンプレート名を示します。

≥3

印刷可能なASCII文字を含む、1つまたは複数のオクテット。

allow-commands

ユーザーのログインクラスのパーミッションビットで承認されたコマンドに加え、ユーザーがコマンドを実行できるようにする拡張正規表現を含みます。

≥3

拡張正規表現の形式で印刷可能なASCII文字を含む、1つまたは複数のオクテット。

allow-commands-regexps

ユーザーのログインクラスのパーミッションビットで承認されたコマンドに加え、ユーザーがコマンドを実行できるようにする拡張正規表現を含みます。

≥3

拡張正規表現の形式で印刷可能なASCII文字を含む、1つまたは複数のオクテット。

allow-configuration

ユーザーのログインクラスのパーミッションビットで承認されたステートメントに加えて、ユーザーが設定ステートメントを表示および変更できるようにする拡張正規表現を含みます。

≥3

拡張正規表現の形式で印刷可能なASCII文字を含む、1つまたは複数のオクテット。

allow-configuration-regexps

ユーザーのログインクラスのパーミッションビットで承認されたステートメントに加えて、ユーザーが設定ステートメントを表示および変更できるようにする拡張正規表現を含みます。

≥3

拡張正規表現の形式で印刷可能なASCII文字を含む、1つまたは複数のオクテット。

deny-commands

ユーザーのログインクラスのパーミッションビットで承認されたコマンドを実行するユーザーパーミッションを拒否する拡張正規表現を含みます。

≥3

拡張正規表現の形式で印刷可能なASCII文字を含む、1つまたは複数のオクテット。

deny-commands-regexps

ユーザーのログインクラスのパーミッションビットで承認されたコマンドを実行するユーザーパーミッションを拒否する拡張正規表現を含みます。

≥3

拡張正規表現の形式で印刷可能なASCII文字を含む、1つまたは複数のオクテット。

deny-configuration

ユーザーのログインクラスのパーミッションビットで承認された設定ステートメントを表示または変更するユーザーパーミッションを拒否する拡張正規表現を含みます。

≥3

拡張正規表現の形式で印刷可能なASCII文字を含む、1つまたは複数のオクテット。

deny-configuration-regexps

ユーザーのログインクラスのパーミッションビットで承認された設定ステートメントを表示または変更するユーザーパーミッションを拒否する拡張正規表現を含みます。

≥3

拡張正規表現の形式で印刷可能なASCII文字を含む、1つまたは複数のオクテット。

user-permissions

ユーザーパーミッションを指定するのにサーバーが使用する情報を含みます。

注:

TACACS+サーバーがmaintenanceパーミッションまたはallパーミッションをユーザーに許可するuser-permissions属性を定義する際、Unixホイールグループはユーザーのグループメンバーシップのリストに自動的には含まれません。su rootコマンドの実行などローカルシェルからの一部の操作にはホイールグループメンバーシップのパーミッションが必要です。ただし、ネットワークデバイスがmaintenanceまたはallのパーミッションでローカルユーザーアカウントを定義する際は、UNIXホイールグループへのメンバーシップが自動的にユーザーに付与されます。このため、必要なパーミッションを持つユーザーテンプレートアカウントを作成し、このユーザーテンプレートアカウントを各ユーザーアカウントに関連付けることをお勧めします。

≥3

印刷可能なASCII文字を含む、1つまたは複数のオクテット。

アクセス権限レベルの概要」 を参照してください。

authentication-type

ユーザーの認証に使用される認証方法(ローカルデータベースまたはTACACS+サーバー)を示します。ローカルデータベースを使用してユーザーが認証される場合、属性の値には「local」が表示されます。TACACS+サーバーを使用してユーザーが認証される場合、属性の値には「remote」が表示されます。

≥5

印刷可能なASCII文字を含む、1つまたは複数のオクテット。

session-port

確立されたセッションの送信元ポート番号を示します。

整数のサイズ

整数

RADIUSまたはTACACS+サーバーで正規表現を使用して、コマンドを許可または拒否する

Junos OSは、RADIUS-およびTACACS+認証ユーザーを、ローカルで定義したユーザーアカウントまたはユーザーテンプレートアカウントにマッピングできます。これは、ユーザーのアクセス権限を定義します。また、Juniper Networks RADIUSおよびTACACS+ベンダー固有属性(VSA)をそれぞれの認証サーバーで定義することで、ユーザーのアクセス権限を構成することもできます。

ユーザーのログインクラスは、ユーザーが許可されている操作モードおよび構成モードコマンドと、ユーザーが構成のどのエリアを表示および変更できるかを決定するパーミッションのセットを定義します。また、ログインクラスは、パーミッションフラグの許可に加えて、ユーザー特定のコマンドを実行したり、構成の特定エリアを表示および変更する機能をユーザーに許可または拒否する正規表現を定義することもできます。ログインクラスは、以下のステートメントを含めることで、ユーザー許可を定義します。

  • permissions

  • allow-commands

  • allow-commands-regexps

  • allow-configuration

  • allow-configuration-regexps

  • deny-commands

  • deny-commands-regexps

  • deny-configuration

  • deny-configuration-regexps

同様に、RADIUSまたはTACACS+サーバー構成では、 Juniper Networks VSAを使用して、ユーザーのアクセス権限を決定する特定のパーミッションまたは正規表現を定義します。対応しているRADIUSおよびTACACS+ VSAのリストについては、以下を参照してください。

RADIUSまたはTACACS+サーバーでユーザーパーミッションを、スペース区切りの値のリストとして定義します。

  • RADIUSサーバーは、以下の属性と構文を使用します。

    たとえば、以下のように表示されます。

  • TACACS+サーバーは、以下の属性と構文を使用します。

    たとえば、以下のように表示されます。

RADIUSまたはTACACS+サーバーはまた、単一の拡張正規表現(POSIX 1003.2で定義)を使用するJuniper Networks VSAを定義して、ユーザーに特定のコマンドを実行したり、設定エリアを表示・変更する機能を許可または拒否することもできます。複数のコマンドまたは構成階層を括弧で囲み、パイプ記号を使用して区切ります。正規表現にスペース、オペレーターまたはワイルドカード文字が含まれる場合は引用符で囲みます。ローカルとリモートの両方で認証パラメータを設定する場合、デバイスは、TACACS+RADIUS認証時に受け取った正規表現と、ローカルデバイスで定義された正規表現をマージします。

  • RADIUS認証サーバーは、以下の属性と構文を使用します。

    たとえば、以下のように表示されます。

  • TACACS+ 認証サーバーは、以下の属性と構文を使用します。

    たとえば、以下のように表示されます。

RADIUSおよびTACACS+サーバーは、ローカルデバイスで構成できる同じ*-regexpsステートメントに対応する属性を設定します。*-regexpsTACACS+属性と*-RegexpsRADIUS 属性は、以前の属性と同じ正規表現構文を使用しますが、変数で正規表現を構成することができます。

  • RADIUS認証サーバーは、以下の属性と構文を使用します。

  • TACACS+ 認証サーバーは、以下の属性と構文を使用します。

    例えば、TACACS+サーバー構成は、以下の属性を定義する場合があります。

RADIUSまたはTACACS+サーバーでは、単一行で個別の表現を指定する簡素化された構文で属性を定義できます。

RADIUSサーバーでは、以下の構文を使用して個別の正規表現を指定します。

TACACSサーバーでは、以下の構文を使用して個別の正規表現を指定します。

注:
  • TACACS+サーバー構文では、数値1~nは固有でなければなりませんが、順番である必要はありません。例えば、以下の構文が有効です。

  • RADIUSまたはTACACS+サーバーは、個別の正規表現ラインの数に制限を付けます。

  • show cli authorizationコマンドを発行すると、コマンドの出力は、個別の行で個別表現を指定した場合でも、1行で正規表現を表示します。

ユーザーは、 show cli authorization操作モードコマンドを発行することで、クラス、パーミッション、コマンドおよび構成認証を確認できます。

注:

認証パラメーターをネットワークデバイス上でローカルに設定し、RADIUSまたはTACACS+サーバー上でもリモートで設定すると、デバイスは、TACACS+RADIUS認証時に受け取った正規表現とローカルで構成された正規表現をマージします。最終表現に構文エラーが含まれる場合、全体的な結果は無効な正規表現となります。

TACACS+ システム アカウンティングの設定

デバイスにTACACS+アカウンティングを設定し、LANにログインまたはログアウトするユーザーの統計データを収集し、TACACS+アカウンティングサーバーにデータを送信することができます。統計データは、一般的なネットワーク監視、使用パターンの分析および追跡、またはセッションの期間やアクセスしたサービスの種類に基づくユーザーへの課金に使用することができます。

TACACACS +アカウンティングを設定するには、以下のようにします。

  • デバイスから統計データを受信するための1つ以上のTACACS+アカウンティングサーバー

  • 収集するアカウンティング データの種類

TACACS+ アカウンティングと認証の両方に同じサーバーを使用したり、個別のサーバーを使用することができます。TACACS+ アカウンティング サーバーのリストを指定できます。デバイスは、設定された順序でサーバーにを検索をします。プライマリサーバー(設定された1つの最初の1つのもの)が利用できない場合、デバイスは、応答を受信するまで、リスト内の各サーバーにコンタクトします。

TACACS+ アカウンティングを有効にすると、TACACS+ クライアントとして機能する Juniper Networks デバイスは、ソフトウェアのログイン、設定変更、対話型コマンドなどのユーザーアクティビティを TACACS+ サーバーに通知することができるようになります。

TACACS+サーバーアカウンティングを設定します。

TACACS+ サーバーアカウントを設定するには、

  1. を監査するイベントを設定します。

    たとえば、以下のように表示されます。

    events は一つ以上に以下のものを含むことができます:

    • login監査ログイン

    • change-log構成の変更

    • interactive-commandsインタラクティブ・コマンドを検査する(任意のコマンドラインを入力する)

  2. TACACS+ アカウンティングを有効化します。
  3. 1 つかそれ以上の以上の TACACS+ アカウンティング サーバーのアドレスを設定します。

    たとえば、以下のように表示されます。

    注:

    [edit system accounting destination tacplus]階層レベルで TACACS+ サーバーを に設定しない場合、デバイスは[edit system tacplus-server]階層レベルでに設定されたTACACS+サーバーを使用します。

  4. (オプション)TACACS+ アカウンティングの求めに応じて、送信元アドレスを設定します。

    たとえば、以下のように表示されます。

    送信元アドレスは、ルーターインターフェイスまたはスイッチインターフェイスの1つに設定された有効なIPv4アドレスまたはIPv6アドレスです。ネットワークデバイスに、TACACS+ サーバーに到達できる複数のインターフェイスがある場合、デバイスが、TACACS+ サーバーとのすべての通信に使用できるIPアドレスを割り当てます。これをすると、ローカルで生成されるIPパケットの送信元アドレスとして固定アドレスが設定されます。

  5. ネットワークデバイスがTACACS+ アカウンティングサーバーの認証に使用する共有の秘密のパスワードを設定します。

    設定されたパスワードは、TACACS+ サーバーに設定されたパスワードに一致する必要があります。パスワートにスペースが含まれている場合、引用符で囲んでください。デバイスは、パスワードを暗号化された値として、設定データベースに保存します。

    たとえば、以下のように表示されます。

  6. (オプション) 必要に応じて、アカウンティングパケットを送信するTACACS+アカウンティングサーバーポートを、デフォルト(49)と異なる場合に指定します。
  7. (オプション)デバイスが、TACACS+ アカウンティングサーバーから応答を受信する時間を設定します。

    デフォルトでは、デバイスは 3 秒待ちます。timeoutの値は1~90秒で設定できます。

    たとえば、サーバーからの応答を待つ場合、15秒です。

  8. (オプション)接続を試みるたびに個別の接続を開くのではなく、複数の要求に対してサーバーに1つのオープンTCP接続を維持するようデバイスを設定します。
    注:

    TACACS+ サーバーの初期バージョンはsingle-connectionのオプションをサポートしていません。このオプションを指定し、サーバーがサポートされていない場合、デバイスはそのTACACS+サーバーと通信できません。

  9. (オプション) TACACS+のアカウンティング・パケットをデフォルトのルーティングインスタンスではなく,デフォルト以外の管理インスタンスまたは別のルーティング・インスタンスでルーティングするには,routing-instance状態を構成してルーティング・インスタンスを指定します。
    たとえば、以下のように表示されます。
  10. ログインイベントの開始および停止要求は、管理ログ ファイルの代わりに TACACS+ サーバー アカウンティング ログ ファイルに正しくログインされるようにするには、[edit system tacplus-options]階層レベルでステートメントno-cmd-attribute-valueまたはexclude-cmd-attributeステートメントを含めます。
    注:

    どちらの記述も、アカウンティング要求を管理ファイルではなく、アカウンティング・ファイルに正しく記録することをサポートしています。no-cmd-attribute-valueステートメントを設定した場合、cmd属性の値が開始およびリクエストの NULL 文字列に設定されます。exclude-cmd-attributeステートメントを設定した場合、cmd属性は、開始と停止の要求から完全に除外されます。

リリース履歴テーブル
リリース
説明
18.2R1
Junos OSリリース18.2R1以降、認証で設定するルーティングインスタンスを介してTACACS+ トラフィックをルーティングできます。
17.4R1
Junos OSリリース17.4R1以降、既存のTACACS+ の動作は、mgmt_junosという名前が付いたデフォルト以外のVRFインスタンスで、管理インターフェイスを介してTACACACS+ パケットのルーティングをサポートするように強化されています。