概要
このドキュメントでは、認証、認可アカウンティング(AAA)がルータで有効または無効になっている場合の「login local」コマンドの動作について説明します。
前提条件
要件
次の項目に関する基本的な知識があることが推奨されます。
- CiscoルータでのAAA設定
- Radius/TACACS
使用するコンポーネント
このドキュメントの情報は、さまざまなCisco IOSバージョン12.2(22)、12.4T、15.1M、15.3Mで実行されたテストに基づいています。ただし、このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
設定
この動作を確認するために最低限必要な設定を次に示します。
- テスト対象のルータから、少なくとも1台のリモート認証ダイヤルインユーザサービス(RADIUS)またはターミナルアクセスコントローラアクセスコントロールシステム(TACACS+)サーバに到達できます。
- テスト中のルータは、AAAサーバのクライアントとして認識されます。
- Ciscoルータ/スイッチとリモートAAAサーバで同じ事前共有秘密キーが設定されている。
- テスト対象のルータに設定されたRADIUSサーバまたはRADIUSサーバまたはTACACS+サーバの名前付きサブセットのグローバルプール。
- テスト対象のルータに設定されたローカルユーザデータベース。
確認
「line vty x」に「login local」が設定されていると、ユーザはルータに設定されているローカルユーザ名とパスワードを使用してログインできます。しかし、'aaa new-model'が設定されていると、'line vty x'の下に設定は存在しません。
設定を保存し、「no aaa-new model」を使用してAAAを削除すると、ログイン方式が回線認証に切り替わります。回線認証は、ルータが回線パスワードだけをチェックし、設定されているグローバルユーザ名パスワードをチェックしない場合です。AAAを有効にする前に設定されたline vty xの下に「login local」が表示されなく、「login」が表示されます。
注:「no aaa new-model」でAAAを無効にすることは推奨されません。
次の手順では、この動作を詳細に示します。
Login local configured on router:
Router#show run | begin line vty
line vty 0 4
login local
Enable AAA on router:
Router(config)#aaa new-model
Router#show run | begin line vty
line vty 0 4
Save the configuration
Router#wr
Building configuration...
[OK]
Disable AAA
Router#conf t
Router(config)#no aaa new-model
Changing configuration back to no aaa new-model is not supported.
Continue?[confirm]
Check login method
Router#show run | begin line vty
line vty 0 4
login
結論
「AAA new-model」を削除すると、デフォルトの方法は「login local」ではなく、行の下の「login」になります。この動作は、すべてのCisco IOSバージョンで発生します。
フィードバック