AAA 用の TACACS+ サーバについて
ASA は、ASCII、PAP、CHAP、MS-CHAPv1 の各プロトコルで TACACS+ サーバ認証をサポートします。
TACACS+ 属性
Cisco ASA は、TACACS+ 属性をサポートします。TACACS+ 属性は、認証、許可、アカウンティングの機能を分離します。プロトコルでは、必須とオプションの 2 種類の属性をサポートします。サーバとクライアントの両方で必須属性を解釈できる必要があり、また、必須属性はユーザに適用する必要があります。オプションの属性は、解釈または使用できることも、できないこともあります。
(注) |
TACACS+ 属性を使用するには、NAS 上で AAA サービスがイネーブルになっていることを確認してください。 |
次の表に、カットスルー プロキシ接続に対してサポートされる TACACS+ 許可応答属性の一覧を示します。
属性 |
説明 |
---|---|
acl |
接続に適用する、ローカルで設定済みの ACL を識別します。 |
idletime |
認証済みユーザ セッションが終了する前に許可される非アクティブ時間(分)を示します。 |
timeout |
認証済みユーザ セッションが終了する前に認証クレデンシャルがアクティブな状態でいる絶対時間(分)を指定します。 |
次の表に、サポートされる TACACS+ アカウンティング属性の一覧を示します。
。
属性 |
説明 |
---|---|
bytes_in |
この接続中に転送される入力バイト数を指定します(ストップ レコードのみ)。 |
bytes_out |
この接続中に転送される出力バイト数を指定します(ストップ レコードのみ)。 |
cmd |
実行するコマンドを定義します(コマンド アカウンティングのみ)。 |
disc-cause |
切断理由を特定する数字コードを示します(ストップ レコードのみ)。 |
elapsed_time |
接続の経過時間(秒)を定義します(ストップ レコードのみ)。 |
foreign_ip |
トンネル接続のクライアントの IP アドレスを指定します。最下位のセキュリティ インターフェイスでカットスルー プロキシ接続のアドレスを定義します。 |
local_ip |
トンネル接続したクライアントの IP アドレスを指定します。最上位のセキュリティ インターフェイスでカットスルー プロキシ接続のアドレスを定義します。 |
NAS port |
接続のセッション ID が含まれます。 |
packs_in |
この接続中に転送される入力パケット数を指定します。 |
packs_out |
この接続中に転送される出力パケット数を指定します。 |
priv-level |
コマンド アカウンティング要求の場合はユーザの権限レベル、それ以外の場合は 1 に設定されます。 |
rem_iddr |
クライアントの IP アドレスを示します。 |
service |
使用するサービスを指定します。コマンド アカウンティングの場合にのみ、常に「shell」に設定されます。 |
task_id |
アカウンティング トランザクションに固有のタスク ID を指定します。 |
username |
ユーザの名前を示します。 |