[index] CentreCOM x600シリーズ コマンドリファレンス 5.3.2

aaa authentication login

モード: グローバルコンフィグモード
カテゴリー: 運用・管理 / ユーザー認証

(config)# aaa authentication login {default|LISTNAME} METHODLIST

(config)# no aaa authentication login {default|LISTNAME}

CLIログイン用の認証順序リストを新規作成あるいは変更する。
no形式で実行した場合は認証順序リストを削除する。
初期状態では認証順序リストは未設定。

ユーザー定義の認証順序リストが設定されていない端末では、デフォルト認証順序リストの設定が適用される。デフォルト認証順序リストの初期設定では、ユーザー認証データベースだけを使用する。

パラメーター

default	デフォルト認証順序リスト。ユーザー定義の認証順序リストが設定されていない端末には、デフォルト認証順序リストで指定された認証方式が順に適用される。なお、デフォルト認証順序リストの初期設定では、ユーザー認証データベースだけを使用する
LISTNAME	ユーザー定義の認証順序リスト。任意の名前を指定できる。ユーザー定義の認証順序リストはラインモードのlogin authenticationコマンドで端末に関連付けることで初めて意味を持つ
METHODLIST :=	{local & group SERVER}
	認証順序。使用したい認証方式を使用順に列挙する
	local	ユーザー認証データベース。usernameコマンドで設定したユーザー情報を使う
	group SERVER :=	group {radius|GROUPNAME}
		RADIUSサーバー。認証要求の送信先RADIUSサーバーとしては、次のいずれかを指定する
		radius	radius-server hostコマンドで設定したすべてのRADIUSサーバーを順に試行する
		GROUPNAME	指定したサーバーグループ（aaa group server radiusコマンドで作成）に所属するRADIUSサーバーだけを順に試行する

使用例

■ デフォルト認証順序リストを編集し、原則としてすべての端末において、ログイン認証ではRADIUSサーバー、ユーザー認証データベースの順に認証を行うよう設定する。

awplus(config)# aaa authentication login default group radius local ↓

awplus(config)# aaa authentication login default local group radius ↓

awplus(config)# aaa authentication login RemoteLogin group radius local ↓ awplus(config)# line vty 0 32 ↓ awplus(config-line)# login authentication RemoteLogin ↓

注意・補足事項

■ ユーザー認証データベースだけを使って認証を行うよう設定している場合、および、認証順序をユーザー認証データベース、RADIUSサーバーの順にしている場合は、次のように認証が行われる。

1. 受け取ったユーザー名、パスワードをもとに、ユーザー認証データベースを検索する。
   
   
   • ユーザー名がユーザー認証データベースに登録されており、ユーザー名に対応するパスワードが正しい場合、ユーザー認証データベースに登録されている権限レベルで認証成功とする（処理終了）
     
     
   • ユーザー名がユーザー認証データベースに登録されており、ユーザー名に対応するパスワードが正しくない場合、認証失敗とする（処理終了）
     
     
   • ユーザー名がユーザー認証データベースに登録されていない場合、手順2に進む
     
   
   
2. 手順1と同じユーザー名、パスワードをもとに、RADIUSサーバーに認証を要求する。
   
   
   • RADIUSサーバーが登録されていない場合、または、RADIUSサーバーを使わずユーザー認証データベースだけを使って認証を行うよう設定している場合は認証失敗とする（処理終了）
     
     
   • 応答がAccess-Acceptの場合
     
     
     • Service-Type属性がAdministrative(6)なら権限レベル15で認証成功とする（処理終了）
       
     • Service-Type属性がNAS Prompt(7)なら権限レベル1で認証成功とする（処理終了）
       
     • それ以外の場合は認証失敗とする（処理終了）
       
     
     
   • 応答がAccess-Rejectの場合は認証失敗とする（処理終了）
     
     
   • 登録されているRADIUSサーバーを順にトライし、すべてのサーバーが無応答だった場合は認証失敗とする（処理終了）
     

1. 受け取ったユーザー名、パスワードをもとに、RADIUSサーバーに認証を要求する。
   
   
   • 応答がAccess-Acceptの場合
     
     
     • Service-Type属性がAdministrative(6)なら権限レベル15を割り当て、手順2のa)に進む
       
     • Service-Type属性がNAS Prompt(7)なら権限レベル1を割り当て、手順2のa)に進む
       
     • それ以外の場合は権限レベル0を割り当て、手順2のa)に進む
       
     
     
   • 応答がAccess-Rejectの場合は認証失敗とする（処理終了）
     
     
   • RADIUSサーバーが登録されていない場合、または、登録されているRADIUSサーバーを順にトライし、すべてのサーバーが無応答だった場合は権限レベル0を割り当て、手順2のb)に進む
     
   
   
2. ユーザー認証データベースを検索する。このときの動作は、手順1の結果によってa)、b)の2とおりにわかれる。
   
   a) 手順1でAccess-Acceptを受信した場合、手順1と同じユーザー名をもとに、ユーザー認証データベースを検索する。
   
   
   • ユーザー名がユーザー認証データベースに登録されている場合、手順1で割り当てられた権限レベルをユーザー認証データベースに登録されている値に書き換え、手順3に進む（パスワードはチェックしない）
     
     
   • ユーザー名がユーザー認証データベースに登録されていない場合、何もせずに手順3に進む
     
   
   b) 手順1でRADIUSサーバーから応答を得られなかった場合（RADIUSサーバー未登録のケースを含む）は、手順1と同じユーザー名、パスワードをもとに、ユーザー認証データベースを検索する。
   
   
   • ユーザー名がユーザー認証データベースに登録されており、ユーザー名に対応するパスワードが正しい場合、手順1で割り当てられた権限レベルをユーザー認証データベースに登録されている値に書き換え、手順3に進む
     
     
   • ユーザー名がユーザー認証データベースに登録されており、ユーザー名に対応するパスワードが正しくない場合、何もせずに手順3に進む
     
     
   • ユーザー名がユーザー認証データベースに登録されていない場合、何もせずに手順3に進む
     
   
   
3. ログイン可否と権限の最終判定を行う
   
   
   • 権限レベルが15または1の場合、それぞれのレベルで認証成功とする（処理終了）
     
     
   • 権限レベルが0の場合、認証失敗とする（処理終了）
     

表 1

Service-Type属性値	権限レベル
Administrative(6)	15（管理者権限。特権EXECモードに移行できる）
NAS Prompt(7)	1（一般ユーザー権限。特権EXECモードに移行できない）
上記以外の値	0（ログイン不可）
属性なし

• root
  
• httpd
  
• sshd
  
• daemon
  
• manager
  
• nobody
  

コマンドツリー

configure terminal (特権EXECモード)
    |
    +- aaa authentication login（グローバルコンフィグモード）


関連コマンド

aaa group server radius（グローバルコンフィグモード）
login authentication（ラインモード）
radius-server host（グローバルコンフィグモード）

(C) 2008 - 2009 アライドテレシスホールディングス株式会社

PN: 613-001070 Rev.C