- play_arrow ログインクラスとログイン設定
- play_arrow ユーザー アカウント
- play_arrow ユーザー アクセス用のパスワード
- play_arrow トラステッドプラットフォームモジュール
- play_arrow リモート アクセス管理
- play_arrow アクセス・コントロール
- アクセス制御認証方法
- Uブートに無人モードを使用したEXシリーズスイッチへの不正アクセスの防止
- Uブートに無人モードを使用したEXシリーズスイッチへの不正アクセスの防止
- 認証用のRADIUSサーバー設定
- RADIUS over TLS(RADSEC)
- 802.1X 認証
- MAC RADIUS認証
- 802.1XとRADIUSアカウンティング
- 例:EXシリーズスイッチで、シングルサプリカント構成またはマルチサプリカント構成に対応する802.1Xを設定する
- 例:会議室に802.1Xを設定し、企業への訪問者にEXシリーズスイッチ上でインターネットアクセスを提供する
- 802.1XまたはMAC RADIUS認証に対応したインターフェイス
- 802.1Xの静的MACバイパスおよびMAC RADIUS認証
- MAC RADIUS認証のためのPEAPの設定
- キャプティブポータル認証
- EXシリーズスイッチでの柔軟な認証順序
- サーバー障害時のフォールバックおよび認証
- 認証セッション タイムアウト
- セントラル Web 認証
- カラーレスポートへのダイナミックVLAN割り当て
- EXシリーズスイッチでのVoIP
- play_arrow IEEE 802.1xポートベースネットワークアクセス制御の設定
- play_arrow 拡張LANモードでのIEEE 802.1xポートベースネットワークアクセス制御の設定
- 拡張LANモードのMXシリーズルーター向け802.1Xの概要
- 拡張LANモードのMXシリーズルーターでの802.1XとLLDPおよびLLDP-MEDについて
- 拡張LANモードにおけるMXシリーズルーターでの802.1XとRADIUSアカウンティングについて
- 拡張LANモードにおけるMXシリーズルーターでの802.1XとVoIPについて
- 拡張LANモードのMXシリーズルーター上の802.1XのゲストVLANについて
- 拡張LANモードのMXシリーズルーター上の802.1Xの動的VLANについて
- 拡張LANモードのMXシリーズルーターにおけるサーバー障害時のフォールバックおよび認証についての理解
- 拡張LANモードのMXシリーズルーターでの802.1X RADIUSアカウンティングの設定
- 拡張LANモードのMXシリーズルーターでの802.1Xインターフェイス設定の構成
- 拡張LANモードのMXシリーズルーターでのLLDP-MEDの設定
- 拡張LANモードのMXシリーズルーターでLLDPを設定する
- 拡張LANモードのMXシリーズルーターでのサーバー障害フォールバックの設定
- MXシリーズルーターでのキャプティブポータル認証について
- MXシリーズルーターの認証セッションタイムアウトについて
- 拡張LANモードにおけるMXシリーズルーターの認証プロセスフロー
- 拡張LANモードのMXシリーズルーターでのRADIUSサーバー接続の指定
- 拡張LANモードのMXシリーズルーターでのキャプティブポータル認証の設定
- MXシリーズルーターでのキャプティブポータル認証ログインページの設計
- 拡張LANモードのMXシリーズルーターでの認証の静的MACバイパスの設定
- 拡張LANモードのMXシリーズルーターでの認証セッションタイムアウトの制御
- 拡張LANモードのMXシリーズルーターでのMAC RADIUS認証の設定
- 例:MXシリーズルーターでのMAC RADIUS認証の設定
- 例:MXシリーズルーターでのキャプティブポータル認証の設定
- 例:802.1X用RADIUSサーバーをMXシリーズルーターに接続する
- 例:会議室に802.1Xを設定し、企業への訪問者にMXシリーズルーター上でインターネットアクセスを提供する
- 例:MX シリーズルーターでの認証の静的 MAC バイパスの設定
- 例:MXシリーズルーターで802.1XまたはMAC RADIUS認証が有効なインターフェイス上の複数のサプリカントへのファイアウォールフィルターの適用
- play_arrow デバイスの検出
- play_arrow ドメイン名のセキュリティ
- play_arrow パーミッション フラグ
- アクセス
- アクセス制御
- 管理者
- 管理者制御
- all
- クリア
- 構成
- コントロール
- 畑
- ファイアウォール
- ファイアウォール制御
- フロッピー
- フロータップ
- フロータップ制御
- フロータップ操作
- IDPプロファイラ操作
- インターフェイス
- インターフェイス制御
- maintenance
- ネットワーク
- pgcp-session-mirroring
- pgcp-session-mirroring-control
- リセット
- rollback
- ルーティング
- ルーティング制御
- 秘密
- シークレット制御
- セキュリティ
- セキュリティ制御
- 貝
- SNMP
- snmp制御
- 制
- システム制御
- trace
- トレース制御
- view
- ビュー構成
- play_arrow 設定ステートメントと運用コマンド
TACACS+認証
Junos OSはTACACS+をサポートしており、ネットワークデバイス上のユーザーを一元的に認証できます。デバイス上でTACACS+認証を使用するには、ネットワーク管理者が、ネットワーク上の1台以上のTACACS+サーバーの情報を構成する必要があります。また、デバイス上でTACACS+アカウンティングを構成し、LANにログインまたはログアウトするユーザーに関する統計データを収集して、TACACS+アカウンティングサーバーにデータを送信することもできます。
TACACS+ 認証の設定
TACACS+ 認証は、ネットワークデバイスへのアクセスを試みるユーザーを認証する方法です。
TACACS+ を設定するには、以下のタスクを実行します。
- TACACS+ サーバーの詳細を設定する
- TACACS+ を設定して管理インスタンスを使用する
- 複数のTACACS+ サーバーに同じ認証サービスを設定する
- ジュニパーネットワークスのベンダー固有のTACACS+ 属性を設定する
TACACS+ サーバーの詳細を設定する
デバイス上でTACACS+ 認証を使用するには、TACACS+ サーバーごとに[edit system]階層レベルに1つのtacplus-serverのステートメントをインクルードすることで、ネットワーク上の1つ以上のTACACS+ サーバーの情報を設定します。デバイスは、TACACS+ サーバーを設定する順序でクエリーを実行します。プライマリサーバー(最初に設定されたサーバー)が利用できない場合、デバイスは応答を受け取るまでリスト内の各サーバーへのコンタクトを試みます。
ネットワークデバイスにより、TACACS+ 認証されたユーザーをローカルで定義されたユーザーアカウントまたはユーザーテンプレートアカウントにマッピングでき、これにより、認証が決定されます。デフォルトでは、以下の場合、設定されていれば、Junos OSはユーザテンプレートアカウントremoteにTACACS+ 認証されたユーザーを割り当てます。
認証されたユーザーの場合、ローカルデバイスにユーザーアカウントは設定されていません。
TACACS+ サーバーは、ローカルユーザーテンプレートにユーザーを割り当てません。また、サーバーが割り当てるテンプレートはローカルデバイスでは設定されません。
TACACS+ サーバーは、認証済みユーザーを別のユーザーテンプレートに割り当て、そのユーザーに異なる管理権限を付与することができます。ユーザーはCLIに同じログイン名を持つことになりますが、割り当てられたテンプレートからログインクラス、アクセス権限、有効なユーザーIDを継承します。TACACS+ 認証されたユーザーがローカルで定義されたユーザーアカウントまたはユーザーテンプレートにマッピングされず、remoteのテンプレートが設定されていない場合、認証は失敗します。
remoteのユーザー名はJunos OSの特別なケースで、常に小文字でなければなりません。これは、リモートサーバーで認証されていますが、デバイスにローカルで設定されたユーザーアカウントを持っていないユーザーのテンプレートとして機能します。Junos OSは、ローカルで定義されたアカウントがない認証済みのユーザーに、remoteのテンプレートの権限を適用します。remoteのテンプレートにマッピングされたすべてのユーザーは、同じログインクラスにいます。
複数のデバイスでリモート認証が設定されているため、通常は設定グループ内で設定されます。ここで示す手順は、globalと呼ばれる設定グループにあります。設定グループを使用するのは、オプションです。
TACACS+ サーバーによる認証を設定するには、以下を行います。
TACACS+ を設定して管理インスタンスを使用する
デフォルトでは、Junos OSは、デフォルトのルーティングインスタンスを介して、TACACS+ の認証、許可、アカウンティングパケットをルーティングします。また、デフォルト以外のVRFインスタンスで管理インターフェイスを介してTACACS+ パケットをルーティングすることもできます。
mgmt_junosの管理インスタンスを介してTACACS+ パケットをルーティングするには、以下を行います。
mgmt_junosの管理インスタンスを有効にします。content_copy zoom_out_map[edit system] user@host# set management-instance
設定されている場合、TACACS+ 認証サーバーとTACACS+ アカウンティングサーバーに
routing-instance mgmt_junosのステートメントを設定します。content_copy zoom_out_map[edit system] user@host# set tacplus-server server-address routing-instance mgmt_junos user@host# set accounting destination tacplus server server-address routing-instance mgmt_junos
複数のTACACS+ サーバーに同じ認証サービスを設定する
[edit system tacplus-server]および[edit system tacplus-options]階層レベルでステートメントをインクルードすることで、複数のTACACS+ サーバーに同じ認証サービスを設定することができます。
複数のTACACS+ サーバーに同じ認証サービスを割り当てるには、以下を行います。
以下の例は、複数のTACACS+ サーバーに同じ認証サービスを設定する方法を示しています。
[edit system]
tacplus-server {
10.2.2.2 secret "$ABC123"; ## SECRET-DATA
10.3.3.3 secret "$ABC123"; ## SECRET-DATA
}
tacplus-options {
service-name bob;
}
ジュニパーネットワークスのベンダー固有のTACACS+ 属性を設定する
Junos OSにより、TACACS+ 認証されたユーザーをローカルで定義されたユーザーアカウントまたはユーザーテンプレートアカウントにマッピングでき、これにより、認証が決定されます。また、TACACS+ サーバーでジュニパーネットワークスのベンダー固有のTACACS+ 属性を定義することで、ユーザーのアクセス権限をオプションで設定することもできます。TACACS+ サーバー設定ファイルの属性をユーザーごとに定義します。ネットワークデバイスは、ユーザーを認証した後、TACACS+ サーバーの認証要求を通して、これらの属性を取得します。
これらの属性を指定するには、TACACS+ サーバー設定ファイルに以下のフォームのserviceのステートメントをインクルードします。
service = junos-exec {
local-user-name = <username-local-to-router>
allow-commands = "<allow-commands-regex>"
allow-configuration-regexps = "<allow-configuration-regex>"
deny-commands = "<deny-commands-regex>"
deny-configuration-regexps = "<deny-configuration-regex>"
}
userのステートメントまたはgroupのステートメントで、serviceのステートメントを定義することができます。
例:システム認証用のTACACS+サーバーの設定
この例では、TACACS+を介したシステム認証を設定します。
要件
開始する前に、以下を実行します。
デバイスの初期設定を行います。お使いのデバイスの『スタートアップガイド』をご覧ください。
ネットワーク上に少なくとも1つのTACACS+サーバーをセットアップします。
概要
この例では、IPアドレスが172.16.98.1である新しいTACACS+サーバーを追加します。TACACS+サーバーの共有秘密パスワードをTacacssecret1として指定します。デバイスはこの秘密を暗号化した値にして設定データベースに保存します。最後に、デバイスがTACACS+サーバーの要求に使用する送信元アドレスを指定します。ほとんどの場合、デバイスのループバックアドレス(この例では10.0.0.1)を使用することができます。
ネットワークデバイスでは、ローカルパスワード認証、TACACS+、RADIUSなど、複数のユーザー認証方法のサポートを設定できます。複数の認証方法を設定する際に、デバイスが試す異なる認証方法に対して優先順位を付けることができます。この例では、まずTACACS+認証サービスを使用し、それが失敗した場合はローカルパスワード認証を試みるようにデバイスを設定します。
TACACS+が認証したユーザーは、ネットワークデバイス上のローカルユーザーアカウントまたはローカルユーザーテンプレートアカウントとしてマッピングされる必要があり、これが認証を決定します。デフォルトでは、TACACS+が認証したユーザーにローカルユーザーアカウントまたは特定のユーザーテンプレートがマッピングされておらず、remoteユーザーテンプレーが設定されていれば、これが割り当てられます。この例では、remoteユーザーテンプレートを設定します。
設定
手順
CLIクイック構成
この例を手早く設定するには、以下のコマンドをコピーして、テキストファイルに貼り付けます。改行を削除し、ネットワーク設定に合わせて必要な変更を加え、コマンドを[edit]階層レベルのCLIにコピー、貼り付けしてから、設定モードでcommitを入力します。
set system tacplus-server 172.16.98.1 set system tacplus-server 172.16.98.1 secret Tacacssecret1 set system tacplus-server 172.16.98.1 source-address 10.0.0.1 set system authentication-order [tacplus password] set system login user remote class operator
ステップバイステップでの手順
システム認証用のTACACS+サーバーの設定手順
TACACS+サーバーを追加して、そのIPアドレスを設定します。
content_copy zoom_out_map[edit system] user@host# set tacplus-server 172.16.98.1
TACACS+サーバーの共有秘密(パスワード)を指定します。
content_copy zoom_out_map[edit system] user@host# set tacplus-server 172.16.98.1 secret Tacacssecret1
送信元アドレスとして、デバイスのループバックアドレスを指定します。
content_copy zoom_out_map[edit system] user@host# set tacplus-server 172.16.98.1 source-address 10.0.0.1
デバイスの認証順序を指定し、
tacplusオプションを含めます。content_copy zoom_out_map[edit system] user@host# set authentication-order [tacplus password]
remoteユーザーテンプレートとそのログインクラスを設定します。content_copy zoom_out_map[edit system] user@host# set login user remote class operator
結果
設定モードで、show systemコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
以下の出力には、この例に関連する設定階層部分だけを含んでいます。
[edit]
user@host# show system
login {
user remote {
class operator;
}
}
authentication-order [ tacplus password ];
tacplus-server {
172.16.98.1 {
secret "$9$ABC123"; ## SECRET-DATA
source-address 10.0.0.1;
}
}
デバイスの設定後、コンフィギュレーションモードでcommitを入力します。
ジュニパーネットワークスベンダー固有のTACACS+属性
Junos OSでは、TACACS+サーバーにおけるジュニパーネットワークスのTACACS+のベンダー固有属性(VSA)の設定に対応しています。表 1は、サポートされるジュジュニパーネットワークスのVSAの一覧を示します。
属性の一部では、POSIX 1003.2で定義された拡張正規表現を利用できます。正規表現にスペース、オペレーターまたはワイルドカード文字が含まれる場合は引用符で囲みます。詳細については、次を参照してください。
お名前 | 説明 | 長さ | 文字列 |
|---|---|---|---|
| デバイスにユーザーがログインする際にこのユーザーに割り当てられるユーザーテンプレート名を示します。 | ≥3 | 印刷可能なASCII文字を含む、1つまたは複数のオクテット。 |
| ユーザーのログインクラスのパーミッションビットで承認されたコマンドに加え、ユーザーがコマンドを実行できるようにする拡張正規表現を含みます。 | ≥3 | 拡張正規表現の形式で印刷可能なASCII文字を含む、1つまたは複数のオクテット。 |
allow-commands-regexps | ユーザーのログインクラスのパーミッションビットで承認されたコマンドに加え、ユーザーがコマンドを実行できるようにする拡張正規表現を含みます。 | ≥3 | 拡張正規表現の形式で印刷可能なASCII文字を含む、1つまたは複数のオクテット。 |
| ユーザーのログインクラスのパーミッションビットで承認されたステートメントに加えて、ユーザーによる設定ステートメントの表示および変更を可能にする拡張正規表現を含みます。 | ≥3 | 拡張正規表現の形式で印刷可能なASCII文字を含む、1つまたは複数のオクテット。 |
allow-configuration-regexps | ユーザーのログインクラスのパーミッションビットで承認されたステートメントに加えて、ユーザーによる設定ステートメントの表示および変更を可能にする拡張正規表現を含みます。 | ≥3 | 拡張正規表現の形式で印刷可能なASCII文字を含む、1つまたは複数のオクテット。 |
| ユーザーのログインクラスのパーミッションビットで承認されたコマンドを実行するユーザーパーミッションを拒否する拡張正規表現を含みます。 | ≥3 | 拡張正規表現の形式で印刷可能なASCII文字を含む、1つまたは複数のオクテット。 |
deny-commands-regexps | ユーザーのログインクラスのパーミッションビットで承認されたコマンドを実行するユーザーパーミッションを拒否する拡張正規表現を含みます。 | ≥3 | 拡張正規表現の形式で印刷可能なASCII文字を含む、1つまたは複数のオクテット。 |
| ユーザーのログインクラスのパーミッションビットで承認された設定ステートメントを表示または変更するユーザーパーミッションを拒否する拡張正規表現を含みます。 | ≥3 | 拡張正規表現の形式で印刷可能なASCII文字を含む、1つまたは複数のオクテット。 |
deny-configuration-regexps | ユーザーのログインクラスのパーミッションビットで承認された設定ステートメントを表示または変更するユーザーパーミッションを拒否する拡張正規表現を含みます。 | ≥3 | 拡張正規表現の形式で印刷可能なASCII文字を含む、1つまたは複数のオクテット。 |
| ユーザーパーミッションを指定するのにサーバーが使用する情報を含みます。 注: TACACS+サーバーが | ≥3 | 印刷可能なASCII文字を含む、1つまたは複数のオクテット。 「アクセス権限レベルの概要」を参照してください。 |
| ユーザーの認証に使用される認証方法(ローカルデータベースまたはTACACS+サーバー)を示します。ローカルデータベースを使用してユーザーが認証される場合、属性の値には「local」が表示されます。TACACS+サーバーを使用してユーザーが認証される場合、属性の値には「remote」が表示されます。 | ≥5 | 印刷可能なASCII文字を含む、1つまたは複数のオクテット。 |
| 確立されたセッションの送信元ポート番号を示します。 | 整数のサイズ | 整数 |
RADIUSまたはTACACS+サーバーで正規表現を使用して、コマンドを許可または拒否する
Junos OSは、RADIUS-およびTACACS+認証ユーザーを、ローカルで定義したユーザーアカウントまたはユーザーテンプレートアカウントにマッピングできます。これは、ユーザーのアクセス権限を定義します。また、ジュニパーネットワークスRADIUSおよびTACACS+ベンダー固有属性(VSA)をそれぞれの認証サーバーで定義することで、ユーザーのアクセス権限を構成することもできます。
ユーザーのログインクラスは、ユーザーが許可されている操作モードおよび構成モードコマンドと、ユーザーが構成のどのエリアを表示および変更できるかを決定するパーミッションのセットを定義します。また、ログインクラスは、パーミッションフラグの許可に加えて、ユーザー特定のコマンドを実行したり、構成の特定エリアを表示および変更する機能をユーザーに許可または拒否する正規表現を定義することもできます。ログインクラスは、以下のステートメントを含めることで、ユーザー許可を定義します。
permissionsallow-commandsallow-commands-regexpsallow-configurationallow-configuration-regexpsdeny-commandsdeny-commands-regexpsdeny-configurationdeny-configuration-regexps
同様に、RADIUSまたはTACACS+サーバー構成では、 ジュニパーネットワークスVSAを使用して、ユーザーのアクセス権限を決定する特定のパーミッションまたは正規表現を定義します。対応しているRADIUSおよびTACACS+ VSAのリストについては、以下を参照してください。
RADIUSまたはTACACS+サーバーでユーザーパーミッションを、スペース区切りの値のリストとして定義します。
RADIUSサーバーは、以下の属性と構文を使用します。
content_copy zoom_out_mapJuniper-User-Permissions += "flag1 flag2 flag3",
たとえば、以下のように表示されます。
content_copy zoom_out_mapJuniper-User-Permissions += "interface interface-control configure",
TACACS+サーバーは、以下の属性と構文を使用します。
content_copy zoom_out_mapuser-permissions = "flag1 flag2 flag3"
たとえば、以下のように表示されます。
content_copy zoom_out_mapuser-permissions = "interface interface-control configure"
RADIUSまたはTACACS+サーバーはまた、単一の拡張正規表現(POSIX 1003.2で定義)を使用するジュニパーネットワークスVSAを定義して、ユーザーに特定のコマンドを実行したり、設定エリアを表示・変更する機能を許可または拒否することもできます。複数のコマンドまたは構成階層を括弧で囲み、パイプ記号を使用して区切ります。正規表現にスペース、オペレーターまたはワイルドカード文字が含まれる場合は引用符で囲みます。ローカルとリモートの両方で認証パラメータを設定する場合、デバイスは、TACACS+RADIUS認証時に受け取った正規表現と、ローカルデバイスで定義された正規表現をマージします。
RADIUS認証サーバーは、以下の属性と構文を使用します。
content_copy zoom_out_mapJuniper-Allow-Commands += "(cmd1)|(cmd2)|(cmdn)", Juniper-Deny-Commands += "(cmd1)|(cmd2)|(cmdn)", Juniper-Allow-Configuration += "(config1)|(config2)|(confign)", Juniper-Deny-Configuration += "(config1)|(config2)|(confign)",
たとえば、以下のように表示されます。
content_copy zoom_out_mapJuniper-Allow-Commands += "(test)|(ping)|(quit)", Juniper-Deny-Commands += "(request)|(restart)", Juniper-Allow-Configuration += "(groups re0)|(system radius-server)", Juniper-Deny-Configuration += "(system radius-options)|(system accounting)",
TACACS+ 認証サーバーは、以下の属性と構文を使用します。
content_copy zoom_out_mapallow-commands = "(cmd1)|(cmd2)|(cmdn)" deny-commands = "(cmd1)|(cmd2)|(cmdn)" allow-configuration = "(config1)|(config2)|(confign)" deny-configuration = "(config1)|(config2)|(confign)"
たとえば、以下のように表示されます。
content_copy zoom_out_mapallow-commands = "(test)|(ping)|(quit)" deny-commands = "(request)|(restart)" allow-configuration = "(groups re0)|(system tacplus-server)" deny-configuration = "(system tacplus-options)|(system accounting)"
RADIUSおよびTACACS+サーバーは、ローカルデバイスで構成できる同じ*-regexpsステートメントに対応する属性を設定します。*-regexpsTACACS+属性と*-RegexpsRADIUS 属性は、以前の属性と同じ正規表現構文を使用しますが、変数で正規表現を構成することができます。
RADIUS認証サーバーは、以下の属性と構文を使用します。
content_copy zoom_out_mapJuniper-Allow-Configuration-Regexps += "(config1)|(config2)|(confign)", Juniper-Deny-Configuration-Regexps += "(config1)|(config2)|(confign)",
TACACS+ 認証サーバーは、以下の属性と構文を使用します。
content_copy zoom_out_mapallow-commands-regexps = "(cmd1)|(cmd2)|(cmdn)" deny-commands-regexps = "(cmd1)|(cmd2)|(cmdn)" allow-configuration-regexps = "(config1)|(config2)|(confign)" deny-configuration-regexps = "(config1)|(config2)|(confign)"
例えば、TACACS+サーバー構成は、以下の属性を定義する場合があります。
content_copy zoom_out_mapallow-commands-regexps = "(show cli .*)|(ping 10.1.1..*)" deny-commands-regexps = "(configure .*)|(edit)|(commit)|(rollback .*)"
RADIUSまたはTACACS+サーバーでは、単一行で個別の表現を指定する簡略化された構文で属性を定義できます。
RADIUSサーバーでは、以下の構文を使用して個別の正規表現を指定します。
Juniper-User-Permissions += "permission-flag1", Juniper-User-Permissions += "permission-flag2", Juniper-User-Permissions += "permission-flagn", Juniper-Allow-Commands += "cmd1", Juniper-Allow-Commands += "cmd2", Juniper-Allow-Commands += "cmdn", Juniper-Deny-Commands += "cmd1", Juniper-Deny-Commands += "cmd2", Juniper-Deny-Commands += "cmdn", Juniper-Allow-Configuration += "config1", Juniper-Allow-Configuration += "config2", Juniper-Allow-Configuration += "confign", Juniper-Deny-Configuration += "config1", Juniper-Deny-Configuration += "config2", Juniper-Deny-Configuration += "confign",
TACACSサーバーでは、以下の構文を使用して個別の正規表現を指定します。
user-permissions1 = "permission-flag1" user-permissions2 = "permission-flag2" user-permissionsn = "permission-flagn" allow-commands1 = "cmd1" allow-commands2 = "cmd2" allow-commandsn = "cmdn" deny-commands1 = "cmd1" deny-commands2 = "cmd2" deny-commandsn = "cmdn" allow-configuration1 = "config1" allow-configuration2 = "config2" allow-configurationn = "confign" deny-configuration1 = "config1" deny-configuration2 = "config2" deny-configurationn = "confign"
TACACS+サーバー構文では、数値1~nは固有でなければなりませんが、順番になっている必要はありません。例えば、以下の構文が有効です。
content_copy zoom_out_mapallow-commands1="cmd1" allow-commands3="cmd3" allow-commands2="cmd2" deny-commands3="cmd3" deny-commands2="cmd2" deny-commands1="cmd1"
RADIUSまたはTACACS+サーバーは、個別の正規表現ラインの数に制限を付けます。
show cli authorizationコマンドを発行すると、コマンドの出力は、個別の行で個別表現を指定した場合でも、1行で正規表現を表示します。
ユーザーは、 show cli authorization操作モードコマンドを発行することで、クラス、パーミッション、コマンドおよび構成認証を確認できます。
user@host> show cli authorization
認証パラメーターをネットワークデバイス上でローカルに設定し、RADIUSまたはTACACS+サーバー上でもリモートで設定すると、デバイスは、TACACS+RADIUS認証時に受け取った正規表現とローカルで構成された正規表現をマージします。最終表現に構文エラーが含まれる場合、全体的な結果は無効な正規表現となります。
TACACS+ システム アカウンティングの設定
デバイスにTACACS+アカウンティングを設定し、LANにログインまたはログアウトするユーザーの統計データを収集し、TACACS+アカウンティングサーバーにデータを送信することができます。統計データは、一般的なネットワーク監視、使用パターンの分析および追跡、またはセッションの期間やアクセスしたサービスの種類に基づくユーザーへの課金に使用することができます。
TACACACS +アカウンティングを設定するには、以下のようにします。
デバイスから統計データを受信するための1つ以上のTACACS+アカウンティングサーバー
収集するアカウンティング データの種類
TACACS+ アカウンティングと認証の両方に同じサーバーを使用したり、個別のサーバーを使用することができます。TACACS+ アカウンティング サーバーのリストを指定できます。デバイスは、設定された順序でサーバーにを検索をします。プライマリサーバー(最初に設定されたサーバー)が利用できない場合、デバイスは応答を受け取るまでリスト内の各サーバーへのコンタクトを試みます。
TACACS+ アカウンティングを有効にすると、TACACS+ クライアントとして機能する Juniper Networks デバイスは、ソフトウェアのログイン、設定変更、対話型コマンドなどのユーザーアクティビティを TACACS+ サーバーに通知することができるようになります。
TACACS+サーバーアカウンティングを設定します。
TACACS+ サーバーアカウントを設定するには、
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。
