管理メニュー

DynagenでCCIEを目指す

20100904 Authorization

最終更新:

it_certification

- view
管理者のみ編集可

1. 目的

  • 認可(Authorization)を設定する方法を確認します。

2. 構成

2.1. 設定概要


2.2. 構成図

2.3. netファイル

model = 3660
[localhost]
	
	[[3660]]
		image = C:\Program Files\Dynamips\images\c3660-ik9o3s-mz.124-6.T.bin
		ram = 128
	
	[[ROUTER R1]]
		f0/0 = NIO_gen_eth:\Device\NPF_{Host OS Loopback}
		f0/1 = NIO_gen_eth:\Device\NPF_{Guest OS eth1}

2.4. 初期設定

  • R1
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
memory-size iomem 5
!
!
ip cef
no ip domain lookup
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
! 
!
!
!
!
!
interface FastEthernet0/0
 ip address 192.168.200.1 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 192.168.201.1 255.255.255.0
 duplex auto
 speed auto
!
ip http server
no ip http secure-server
!
!
!
no cdp run
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
!
!
end

2.5. tac_plus.conf

* 一部のみの抜粋です

user=tac15 {
        login = cleartext tac15
}
user=tac07 {
        login = cleartext tac07
}
user=tac01 {
        login = cleartext tac01
}

3. [設定] 検証環境構築

3.1. ローカルユーザの作成

以下のローカルユーザを作成します。 
R1(config)#username local01 privilege 1 secret local01
R1(config)#username local07 privilege 7 secret local07
R1(config)#username local15 privilege 15 secret local15

3.2. AAAの有効化

VTYではTACACS+による認証、CONSOLEではローカルユーザによる認証を行うよう設定します。 
R1(config)#aaa new-model
R1(config)#
R1(config)#
R1(config)#tacacs-server host 192.168.201.101
R1(config)#
R1(config)#
R1(config)#aaa authentication login LOGIN_VTY group tacacs+
R1(config)#aaa authentication login LOGIN_CONSOLE local
R1(config)#
R1(config)#
R1(config)#line vty 0 4
R1(config-line)#login authentication LOGIN_VTY
R1(config-line)#exit
R1(config)#
R1(config)#line console 0
R1(config-line)#login authentication LOGIN_CONSOLE
TACACS+のユーザでログインできる事を確認します。 
C:\>telnet 192.168.200.1
接続中: 192.168.200.1...

User Access Verification

Username: tac15
Password:

R1>
ローカルユーザでログインできる事を確認します。 
User Access Verification

Username: local15
Password:

R1>

4. [検証] 認可の基本設定

4.1. 認可の設定

TACACS+とローカルユーザによる認可を行います。 
R1(config)#aaa authorization exec default group tacacs+ local

4.2. 認可の確認

VTY接続による動作確認を行います。R1にtelnet接続しようとしてもエラーが発生してしまいます。 
[root@localhost ~]# telnet 192.168.201.1
Trying 192.168.201.1...
Connected to 192.168.201.1.
Escape character is '^]'.


User Access Verification

Username: tac07
Password:
% Authorization failed.
Connection closed by foreign host.
[root@localhost ~]#
この時、ルータで表示されてるデバッグメッセージは以下の通りです。どうやら認可(Authorization)で失敗しているようです。 
R1#debug aaa authentication
AAA Authentication debugging is on
R1#
R1#debug aaa authorization
AAA Authorization debugging is on
R1#
*Mar  1 00:22:16.115: AAA/BIND(0000000F): Bind i/f
*Mar  1 00:22:16.123: AAA/AUTHEN/LOGIN (0000000F): Pick method list 'LOGIN_VTY'
*Mar  1 00:22:23.699: AAA/AUTHOR (0xF): Pick method list 'default'
*Mar  1 00:22:23.767: AAA/AUTHOR/EXEC(0000000F): Authorization FAILED
R1#

4.3. tac_plus.confの設定

上記telnet接続に失敗したのは、TACACS+でprivilegeが定義されていないためです。/etc/tac_plus.confを以下の通り編集します。 
user=tac15 {
        login = cleartext tac15
        service = exec {
                priv-lvl = 15
        }
}
user=tac07 {
        login = cleartext tac07
        service = exec {
                priv-lvl = 7
        }
}
user=tac01 {
        login = cleartext tac01
        service = exec {
                priv-lvl = 1
        }
}

設定を反映させるために再起動します。 
[root@localhost ~]# /etc/init.d/tac_plus restart
Shutting down tacacs+:                                     [  OK  ]
Starting tacacs+:                                          [  OK  ]
[root@localhost ~]#

4.4. VTY認可の確認

telnet接続を試みます。tac_plusにprivilegeの設定を追加した事によって、telnet接続に成功しました。また、ログイン時のprivilegeはデフォルトでは1ですが、execに対する認可を設定する事によって各ユーザ毎に定義されたprivilegeが設定されるようになりました。 
[root@localhost ~]# telnet 192.168.201.1
Trying 192.168.201.1...
Connected to 192.168.201.1.
Escape character is '^]'.


User Access Verification

Username: tac07
Password:

R1#show privilege
Current privilege level is 7 <- authorization設定前は 1 になっていました。
R1#

5. [検証] CONSOLEに対する認可の有効化

5.1. デフォルトの挙動確認

CONSOLE接続を試みます。接続そのものは成功しますが、privilegeは1です。これはCONSOLEに対する認可はデフォルトで無効にされているためです。 
User Access Verification

Username: local15
Password:
*Mar  1 00:35:17.587: AAA/BIND(00000012): Bind i/f
*Mar  1 00:35:17.591: AAA/AUTHEN/LOGIN (00000012): Pick method list 'LOGIN_CONSOLE'

R1>show privilege
Current privilege level is 1
R1>

5.2. CONSOLEに対する認可の有効化

CONSOLEに対する認可を有効にします。(以下のコマンドはIOSの種類によっては、隠しコマンドになっています。) 
R1(config)#aaa authorization console

5.3. CONSOLEに対する認可の確認

ユーザ「local15」で、CONSOLE接続します。接続は拒否されましたが、CONSOLEに対する認可を行うようになった可能性が高い事が、この時点で推測できます。 
User Access Verification

Username: local15
Password:
% Authorization failed.

5.4. 接続拒否の挙動について

接続が拒否されてしまったは、ユーザ「local15」がTACACS+サーバで定義されていないからです。以下に現在の設定を再掲します。CONSOLE接続の場合は、まずローカルユーザによる認証が行われます。次にTACACS+, localの順で認可が行われますが、localで認可が行われるのはTACACS+への接続エラーの場合のみです。TACACS+はエラーを返したわけではなく、「local15なんてユーザはいない」と返答したため、接続が拒否されてしまいました。
このように、「aaa authorization console」の設定は認可プロセスに混乱を招く可能性が高いため、ciscoは非推奨としています。また、私個人の意見になりますが、認証サーバに障害が発生した際にCONSOLE経由でさえログインできなくなってしまうのは、障害復旧が大幅に遅れてしまうので、あまり投入したくない設定であると考えています。 
aaa new-model
!
tacacs-server host 192.168.201.101
tacacs-server directed-request
!
aaa authentication login LOGIN_VTY group tacacs+
aaa authentication login LOGIN_CONSOLE local
aaa authorization console
aaa authorization exec default group tacacs+ local
!
line con 0
 login authentication LOGIN_CONSOLE
line aux 0
line vty 0 4
 login authentication LOGIN_VTY

6. [検証] 回線毎の認可設定

6.1. 回線毎の認可設定

CONSOLE接続の際は、ローカルユーザによる認可を行うよう設定します。なお、現在の設定では、CONSOLE経由で接続する事ができないため、telnet経由で接続して設定して下さい。 
[root@localhost ~]# telnet 192.168.201.1
Trying 192.168.201.1...
Connected to 192.168.201.1.
Escape character is '^]'.


User Access Verification

Username: tac15
Password:

R1#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#aaa authorization exec AUTH_CONSOLE local
R1(config)#
R1(config)#line console 0
R1(config-line)#authorization exec AUTH_CONSOLE

6.2. 認可の確認

CONSOLE経由で接続し、認可が機能している事を確認します。 
User Access Verification

Username: local07
Password:

R1#show privilege
Current privilege level is 7 <- privilegeが7になっている事を確認
R1#

6.3. 順序の確認

認証でも認可でも同じ事ですが、明示的に指定した回線とdefaultでは明示的に指定した回線の方が優先されます。現在の認証認可の設定を以下に再掲します。CONSOLEに対してはAUTH_CONSOLE, defaultの2種類の認可が定義されていますが、AUTH_CONSOLEの設定の方が優先されます。 
aaa new-model
!
aaa authentication login LOGIN_VTY group tacacs+
aaa authentication login LOGIN_CONSOLE local
aaa authorization console
aaa authorization exec default group tacacs+ local
aaa authorization exec AUTH_CONSOLE local
!
tacacs-server host 192.168.201.101
tacacs-server directed-request
!
line con 0
 authorization exec AUTH_CONSOLE
 login authentication LOGIN_CONSOLE
line aux 0
line vty 0 4
 login authentication LOGIN_VTY

7. [検証] コマンドに対する認可

7.1. コマンドに対する認可の有効化

コマンドに対する認可を設定します。以下の設定により、level 15とlevel 1のコマンドに対する認可があるかどうかをTACACS+サーバに問い合わせるようになります。 
R1(config)#aaa authorization commands 15 default group tacacs+
R1(config)#aaa authorization commands 1 default group tacacs+

7.2. コマンドに対する認可の確認

ユーザ「tac15」でログインします。privilege 15であるのにも関わらず、「conf t」すら実行できなくなっています。これは、TACACS+側でコマンドに対する認可が全く設定されていないからです。 
[root@localhost ~]# telnet 192.168.201.1
Trying 192.168.201.1...
Connected to 192.168.201.1.
Escape character is '^]'.


User Access Verification

Username: tac15
Password:

R1#conf t
Command authorization failed.
    ^
% Invalid input detected at '^' marker.

R1#

7.3. tac_plus.confの設定

ユーザ「tac15」, ユーザ「tac07」に対して、「conf t」と「show run」を実行する権限を与えます。/etc/tac_plus.confを以下の通り編集します。
user=tac15 { 
       #name = "Test User"
       login = cleartext tac15
       service = exec {
               priv-lvl = 15
               #default service = permit
       }
       cmd = configure {
               permit terminal
       }
       cmd = show {
               permit running-config
       }
}
user=tac07 { 
       #name = "TAC_07"
       login = cleartext tac07
       service = exec {
               priv-lvl = 7
               #default service = permit
       }
       cmd = configure {
               permit terminal
       }
       cmd = show {
               permit running-config
       }
}
user=tac01 { 
       login = cleartext tac01
       service = exec {
               priv-lvl = 1
               #default service = permit
       }
}
設定を反映させるために、tac_plusを再起動します。 
root@localhost ~]# /etc/init.d/tac_plus restart
Shutting down tacacs+:                                     [  OK  ]
Starting tacacs+:                                          [  OK  ]
[root@localhost ~]#

7.4. コマンドに対する認可の確認

ユーザ「tac15」で「conf t」が実行できる事を確認します。 
[root@localhost ~]# telnet 192.168.201.1
Trying 192.168.201.1...
Connected to 192.168.201.1.
Escape character is '^]'.


User Access Verification

Username: tac15
Password:

R1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#
一方、ユーザ「tac07」は「conf t」を実行できません。コマンドが実行できるかは、まず「充分なprivilegeが与えられているか」を判断し、次に「コマンドに対する認可がサーバで定義されているか」で判断します。ユーザ「tac07」の場合は、conf tがlevel 15であるのに対し、tac07はlevel 7なので実行できません。 
[root@localhost ~]# telnet 192.168.201.1
Trying 192.168.201.1...
Connected to 192.168.201.1.
Escape character is '^]'.


User Access Verification

Username: tac07
Password:

R1#conf t
      ^
% Invalid input detected at '^' marker.

R1#show run
         ^
% Invalid input detected at '^' marker.

R1#

8. [検証] privilege levelの変更

8.1. privilege levelの変更

コマンド毎に定義されたprivilege levelを変更する事もできます。以下の設定を投入し、「conf t」「show run」のprivilege levelを15から7に下げ、level 7で定義されたコマンドに対する認可をTACACS+サーバに問い合わせるようにします。 
R1(config)#privilege exec level 7 conf t
R1(config)#privilege exec level 7 show run
R1(config)#
R1(config)#
R1(config)#aaa authorization commands 7 default group tacacs+

8.2. privilege levelの確認

level 7 のユーザ「tac07」で「conf t」「show run」が実行できるようになった事を確認します。 
[root@localhost ~]# telnet 192.168.201.1
Trying 192.168.201.1...
Connected to 192.168.201.1.
Escape character is '^]'.


User Access Verification

Username: tac07
Password:

R1#show run
Building configuration...

Current configuration : 55 bytes
!
boot-start-marker
boot-end-marker
!
!
!
!
!
!
!
end

R1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#

9. [検証] デフォルトのprivilegeの変更

9.1. デフォルトのprivilegeの変更

デフォルトのprivilegeは設定により変更する事ができます。SONSOLE接続, VTY接続時のデフォルトのprivilegeを15に変更します。 
R1(config)#line console 0
R1(config-line)#privilege level 15
R1(config-line)#exit
R1(config)#
R1(config)#
R1(config)#line vty 0 4
R1(config-line)#privilege level 15

9.2. tac_plus.confの設定

ユーザ「tac07」がprivilegeを確認できるよう、全てのshowコマンドに対する認可を与えます。/etc/tac_plus.confを以下の通り編集します。 
user=tac15 {
        #name = "Test User"
        login = cleartext tac15
        service = exec {
                priv-lvl = 15
                #default service = permit
        }
        cmd = configure {
                permit terminal
        }
        cmd = show {
                permit running-config
        }
}
user=tac07 {
        #name = "TAC_07"
        login = cleartext tac07
        service = exec {
                priv-lvl = 7
                #default service = permit
        }
        cmd = configure {
                permit .*
        }
        cmd = show {
                permit .*
        }
}
user=tac01 {
        login = cleartext tac01
        service = exec {
                priv-lvl = 1
                #default service = permit
        }
}
設定を反映させるために再起動します。 
[root@localhost ~]# /etc/init.d/tac_plus restart
Shutting down tacacs+:                                     [  OK  ]
Starting tacacs+:                                          [  OK  ]
[root@localhost ~]#

9.3. privilegeの確認

CONSOLE接続の場合は、privilegeが15になっていません。認可に対する設定の方が優先されている事を確認します。 
User Access Verification

Username: local07
*Mar  1 01:27:15.575: AAA/BIND(00000026): Bind i/f
*Mar  1 01:27:15.579: AAA/AUTHEN/LOGIN (00000026): Pick method list 'LOGIN_CONSOLE
Password:

R1#
R1#show privilege
Current privilege level is 7
R1#
VTY接続の場合も、privilegeが15になっていません。認可に対する設定の方が優先されている事を確認します。 
[root@localhost ~]# telnet 192.168.201.1
Trying 192.168.201.1...
Connected to 192.168.201.1.
Escape character is '^]'.


User Access Verification

Username: tac07
Password:

R1#show privilege
Current privilege level is 7
R1#

9.4. 認可設定の無効化

認可設定の無効化 
R1(config)#no aaa authorization console
R1(config)#no aaa authorization exec default group tacacs+ local
R1(config)#no aaa authorization exec AUTH_CONSOLE local

9.5. privilegeの確認

認可設定を無効化する事で、CONSOLE接続に対するprivilegeが15になった事を確認します。 
User Access Verification

Username: local07
Password:

R1#show privilege
Current privilege level is 15
R1#
認可設定を無効化する事で、VTY接続に対するprivilegeが15になった事を確認します。 
[root@localhost ~]# telnet 192.168.201.1
Trying 192.168.201.1...
Connected to 192.168.201.1.
Escape character is '^]'.


User Access Verification

Username: tac07
Password:

R1#show privilege
Current privilege level is 15
R1#

10. [補足] デフォルトでCONSOLEに対する認可が無効になっている確認

10.1 CONSOLEに対する認可設定

「aaa authorization console」を入力する前に、CONSOLEに対して認可を設定しようとすると、以下の通り警告のメッセージが表示されます。 
R1(config)#aaa authorization exec AUTH_CONSOLE local
R1(config)#
R1(config)#
R1(config)#line console 0
R1(config-line)#authorization exec AUTH_CONSOLE
%Authorization without the global command 'aaa authorization console' is useless

R1(config-line)#

10.2. デバッグメッセージの確認

上記設定の状態で、configurationモードでコマンドを発行すると、「authorization not enabled」とのデバッグメッセージが出力されます。 
R1#debug aaa authentication
AAA Authentication debugging is on
R1#debug aaa authorization
AAA Authorization debugging is on
R1#
R1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#
*Mar  1 01:35:03.795: AAA/AUTHOR: console user is permitted
R1(config)#int f0/0
R1(config-if)#
*Mar  1 01:35:14.819: AAA/AUTHOR: config command authorization not enabled
R1(config-if)#
「20100904 Authorization」をウィキ内検索
添付ファイル
DynagenでCCIEを目指す
人気記事ランキング
  1. トップページ/動作検証 ネットワーク系/20100804 NTP
  2. トップページ/手順書 ネットワーク系/VLC media player (Windows版) 操作手順
  3. トップページ/動作検証 ネットワーク系/CBAC 基本設定
  4. トップページ/動作検証 ネットワーク系/20100428 OSPFv3 基本設定
  5. トップページ/動作検証 ネットワーク系/Frame Relay Dynagenを使用した設定例
  6. トップページ/動作検証 ネットワーク系/20100621 BGP タイマーの調節
  7. トップページ/動作検証 ネットワーク系/20100818 EEM applet
  8. トップページ/動作検証 ネットワーク系/ミラーポートの設定
もっと見る
最近更新されたページ
もっと見る
人気記事ランキング
  1. トップページ/動作検証 ネットワーク系/20100804 NTP
  2. トップページ/手順書 ネットワーク系/VLC media player (Windows版) 操作手順
  3. トップページ/動作検証 ネットワーク系/CBAC 基本設定
  4. トップページ/動作検証 ネットワーク系/20100428 OSPFv3 基本設定
  5. トップページ/動作検証 ネットワーク系/Frame Relay Dynagenを使用した設定例
  6. トップページ/動作検証 ネットワーク系/20100621 BGP タイマーの調節
  7. トップページ/動作検証 ネットワーク系/20100818 EEM applet
  8. トップページ/動作検証 ネットワーク系/ミラーポートの設定
もっと見る
最近更新されたページ
もっと見る
ウィキ募集バナー