aaa authentication login

モード: グローバルコンフィグモード
カテゴリー: 運用・管理 / ユーザー認証


(config)# aaa authentication login {default|LISTNAME} METHODLIST

(config)# no aaa authentication login {default|LISTNAME}


CLIログイン用の認証順序リストを新規作成あるいは変更する。
no形式で実行した場合は認証順序リストを削除する。
初期状態では認証順序リストはユーザー認証データベースのみ使用する設定(aaa authentication login default local)が適用される。


パラメーター

default デフォルト認証順序リスト。ユーザー定義の認証順序リストが設定されていない端末には、デフォルト認証順序リストで指定された認証方式が順に適用される。なお、デフォルト認証順序リストの初期設定では、ユーザー認証データベースだけを使用する
LISTNAME ユーザー定義の認証順序リスト。任意の名前を指定できる。ユーザー定義の認証順序リストはラインモードのlogin authenticationコマンドで端末に関連付けることで初めて意味を持つ
METHODLIST := {local | group SERVER | group SERVER local}
認証順序。使用したい認証方式を使用順に列挙する。なお、RADIUSサーバーとユーザー認証データベースを併用する場合は、RADIUSサーバー、ユーザー認証データベースの順(group SERVER local)のみ設定可能
local ユーザー認証データベース。usernameコマンドで設定したユーザー情報を使う
group SERVER := group {radius|tacacs+|GROUPNAME}
  認証要求の送信先サーバー。次のいずれかを指定する
  radius radius-server hostコマンドで設定したすべてのRADIUSサーバーを順に試行する
  tacacs+ tacacs-server hostコマンドで設定したすべてのTACACS+サーバーを順に試行する
  GROUPNAME 指定したサーバーグループ(aaa group server radiusコマンドで作成)に所属するRADIUSサーバーだけを順に試行する


使用例

■ デフォルト認証順序リストを編集し、原則としてすべての端末において、ログイン認証ではRADIUSサーバー、ユーザー認証データベースの順に認証を行うよう設定する。

awplus(config)# aaa authentication login default group radius local

■ 独自の認証順序リスト「RemoteLogin」を作成し、すべての仮想端末(vty 0~32)に適用する。これにより、TelnetやSSHによるリモートログインには該当認証順序リストが適用され、コンソールターミナルからのログインにはデフォルトの認証順序リストが適用されるようになる。
ここではデフォルトの認証順序リストは初期設定のままなので、結果的にコンソールターミナルからのログイン時は内蔵のユーザー認証データベースだけが使用され、リモートログイン時はRADIUSサーバー、ユーザー認証データベースの順で認証処理が行われることとなる。
awplus(config)# aaa authentication login RemoteLogin group radius local
awplus(config)# line vty 0 32
awplus(config-line)# login authentication RemoteLogin


注意・補足事項

■ ユーザー認証データベースだけを使って認証を行うよう設定している場合、次のように認証が行われる。

  1. 受け取ったユーザー名、パスワードをもとに、ユーザー認証データベースを検索する。


■ RADIUSサーバーとユーザー認証データベースを併用する場合、認証順序はRADIUSサーバー、ユーザー認証データベースの順のみ設定可能。この場合、ユーザー認証データベースは、RADIUSサーバーへの通信ができないときのバックアップ用となる。

■ RADIUSサーバーだけを使って認証を行うよう設定している場合、および、認証順序をRADIUSサーバー、ユーザー認証データベースの順にしている場合は、次のように認証が行われる。
  1. 受け取ったユーザー名、パスワードをもとに、RADIUSサーバーに認証を要求する。


  2. ユーザー認証データベースを検索する。このときの動作は、手順1の結果によってa)、b)の2とおりにわかれる。

    a) 手順1でAccess-Acceptを受信した場合、手順1と同じユーザー名をもとに、ユーザー認証データベースを検索する。


    b) 手順1でRADIUSサーバーから応答を得られなかった場合(RADIUSサーバー未登録のケースを含む)は、手順1と同じユーザー名、パスワードをもとに、ユーザー認証データベースを検索する。


  3. ログイン可否と権限の最終判定を行う


■ RADIUSのService-Type属性とユーザーの権限レベルの関係は次のとおり
表 1
Service-Type属性値
権限レベル
Administrative(6) 15(管理者権限。特権EXECモードにパスワードなしで移行できる)
NAS Prompt(7) 1(一般ユーザー権限。特権EXECモードの移行には、enable passwordコマンドで事前に設定された正しいパスワードの入力が必要)
上記以外の値 0(ログイン不可)
属性なし

■ CLIログインの認証にRADIUSサーバーを使う場合、CLIログイン用のユーザーとして以下の名前をRADIUSサーバーに登録しないこと。


コマンドツリー

configure terminal (特権EXECモード)
    |
    +- aaa authentication login(グローバルコンフィグモード)

関連コマンド

aaa group server radius(グローバルコンフィグモード)
aaa login fail-delay(グローバルコンフィグモード)
login authentication(ラインモード)
radius-server host(グローバルコンフィグモード)
tacacs-server host(グローバルコンフィグモード)



(C) 2015 - 2017 アライドテレシスホールディングス株式会社

PN: 613-002105 Rev.L