AAA サーバとローカルデータベース

この章では、認証、認可、アカウンティング（AAA は「トリプル A」と読む）について説明します。AAA は、コンピュータリソースへのアクセスを制御するための一連のサービスで、サービスの課金に必要な情報を提供します。これらの処理は、効果的なネットワーク管理およびセキュリティにとって重要です。

この章では、AAA 機能用にローカルデータベースを設定する方法について説明します。外部 AAA サーバについては、ご使用のサーバタイプに関する章を参照してください。

AAA とローカルデータベースについて

ここでは、AAA とローカルデータベースについて説明します。

認証

認証はユーザを特定する方法です。アクセスが許可されるには、ユーザは通常、有効なユーザ名と有効なパスワードが必要です。AAA サーバは、データベースに保存されている他のユーザクレデンシャルとユーザの認証資格情報を比較します。クレデンシャルが一致する場合、ユーザはネットワークへのアクセスが許可されます。クレデンシャルが一致しない場合は、認証は失敗し、ネットワークアクセスは拒否されます。

次の項目を認証するように、Cisco ASA を設定できます。

ASA へのすべての管理接続（この接続には、次のセッションが含まれます）
- Telnet
- SSH
- シリアルコンソール
- ASDM（HTTPS を使用）
- VPN 管理アクセス
enable コマンド
ネットワークアクセス層
VPN アクセス

認証

許可はポリシーを適用するプロセスです。どのようなアクティビティ、リソース、サービスに対するアクセス許可をユーザが持っているのかを判断します。ユーザが認証されると、そのユーザはさまざまなタイプのアクセスやアクティビティを認可される可能性があります。

次の項目を認可するように、ASA を設定できます。

管理コマンド
ネットワークアクセス層
VPN アクセス

アカウンティング

アカウンティングは、アクセス時にユーザが消費したリソースを測定します。これには、システム時間またはセッション中にユーザが送受信したデータ量などが含まれます。アカウンティングは、許可制御、課金、トレンド分析、リソース使用率、キャパシティプランニングのアクティビティに使用されるセッションの統計情報と使用状況情報のログを通じて行われます。

認証、認可、アカウンティング間の相互作用

認証だけで使用することも、認可およびアカウンティングとともに使用することもできます。認可では必ず、ユーザの認証が最初に済んでいる必要があります。アカウンティングだけで使用することも、認証および認可とともに使用することもできます。

AAA サーバ

AAA サーバは、アクセス制御に使用されるネットワークサーバです。認証は、ユーザを識別します。認可は、認証されたユーザがアクセスする可能性があるリソースとサービスを決定するポリシーを実行します。アカウンティングは、課金と分析に使用される時間とデータのリソースを追跡します。

AAA サーバグループ

認証、許可、またはアカウンティングに外部 AAA サーバを使用する場合は、まず AAA プロトコルあたり少なくとも 1 つの AAA サーバグループを作成して、各グループに 1 つ以上のサーバを追加する必要があります。AAA サーバグループは名前で識別されます。各サーバグループは、あるサーバまたはサービスに固有です。

次の項を参照してください。

Kerberos、SDI および HTTP フォーム用のサーバグループも設定できます。これらのグループは VPN 設定で使用されます。これらのグループのタイプについては、『VPN 構成ガイド』を参照してください。

ローカルデータベースについて

ASA は、ユーザプロファイルを取り込むことができるローカルデータベースを管理します。AAA サーバの代わりにローカルデータベースを使用して、ユーザ認証、認可、アカウンティングを提供することもできます。

次の機能にローカルデータベースを使用できます。

ASDM ユーザごとのアクセス
コンソール認証
Telnet 認証および SSH 認証
enable コマンド認証

この設定は、CLI アクセスにだけ使用され、Cisco ASDM ログインには影響しません。
コマンド許可

ローカルデータベースを使用するコマンド許可を有効にすると、Cisco ASA では、ユーザ特権レベルを参照して、どのコマンドが使用できるかが特定されます。コマンド許可がディセーブルの場合は通常、特権レベルは参照されません。デフォルトでは、コマンドの特権レベルはすべて、0 または 15 のどちらかです。
ネットワークアクセス認証
VPN クライアント認証

マルチコンテキストモードの場合、システム実行スペースでユーザ名を設定し、login コマンドを使用して CLI で個々にログインできます。ただし、システム実行スペースではローカルデータベースを参照する AAA ルールは設定できません。

（注）

ローカルデータベースはネットワークアクセス認可には使用できません。

フォールバックサポート

ローカルデータベースは、複数の機能のフォールバック方式として動作できます。この動作は、ASA から誤ってロックアウトされないように設計されています。

ログインすると、コンフィギュレーション内で指定されている最初のサーバから、応答があるまでグループ内のサーバが順に 1 つずつアクセスされます。グループ内のすべてのサーバが使用できない場合、ローカルデータベースがフォールバック方式（管理認証および許可限定）として設定されていると、ASA はローカルデータベースに接続しようとします。フォールバック方式として設定されていない場合、ASA は引き続き AAA サーバにアクセスしようとします。

フォールバックサポートを必要とするユーザについては、ローカルデータベース内のユーザ名およびパスワードと、AAA サーバ上のユーザ名およびパスワードとを一致させることを推奨します。これにより、透過フォールバックがサポートされます。ユーザは、AAA サーバとローカルデータベースのどちらがサービスを提供しているかが判別できないので、ローカルデータベースのユーザ名およびパスワードとは異なるユーザ名およびパスワードを AAA サーバで使用することは、指定するべきユーザ名とパスワードをユーザが確信できないことを意味します。

ローカルデータベースでサポートされているフォールバック機能は次のとおりです。

コンソールおよびイネーブルパスワード認証：グループ内のサーバがすべて使用できない場合、ASA ではローカルデータベースを使用して管理アクセスを認証します。これには、イネーブルパスワード認証が含まれる場合があります。
コマンド許可：グループ内の TACACS+ サーバがすべて使用できない場合、特権レベルに基づいてコマンドを認可するためにローカルデータベースが使用されます。
VPN 認証および認可：VPN 認証および認可は、通常この VPN サービスをサポートしている AAA サーバが使用できない場合、ASA へのリモートアクセスをイネーブルにするためにサポートされます。管理者である VPN クライアントが、ローカルデータベースへのフォールバックを設定されたトンネルグループを指定する場合、AAA サーバグループが使用できない場合でも、ローカルデータベースが必要な属性で設定されていれば、VPN トンネルが確立できます。

グループ内の複数のサーバを使用したフォールバックの仕組み

サーバグループ内に複数のサーバを設定し、サーバグループのローカルデータベースへのフォールバックをイネーブルにしている場合、ASA からの認証要求に対してグループ内のどのサーバからも応答がないと、フォールバックが発生します。次のシナリオで例証します。

サーバ 1、サーバ 2 の順で、LDAP サーバグループに 2 台の Active Directory サーバを設定します。リモートユーザがログインすると、ASA によってサーバ 1 に対する認証が試みられます。

サーバ 1 から認証エラー（「user not found」など）が返されると、ASA によるサーバ 2 に対する認証は試みられません。

タイムアウト期間内にサーバ 1 から応答がないと（または認証回数が、設定されている最大数を超えている場合）、ASA によってサーバ 2 に対する認証が試みられます。

グループ内のどちらのサーバからも応答がなく、ASA にローカルデータベースへのフォールバックが設定されている場合、ASA によってローカルデータベースに対する認証が試みられます。

ローカルデータベースのガイドライン

ローカルデータベースを認証または認可に使用する場合、ASA からのロックアウトを必ず防止してください。

ローカルデータベースへのユーザアカウントの追加

ユーザをローカルデータベースに追加するには、次の手順を実行します。

手順

ステップ 1

ユーザアカウントを作成します。

username username [password password] [privilege priv_level]

例:


ciscoasa(config)# username exampleuser1 password madmaxfuryroadrules privilege 1

username username キーワードは、3 ～ 64 文字の文字列で、スペースと疑問符を除く任意の ASCII 印刷可能文字（文字コード 32 ～ 126）で構成されます。password password キーワードは、3 ～ 127 文字の文字列で、スペースと疑問符を除く任意の ASCII 印刷可能文字（文字コード 32 ～ 126）で構成できます。 SSH 公開キー認証を使用している場合など、パスワードを指定せずにユーザ名を作成することもできます。privilege priv_level キーワードでは、0 ～ 15 の範囲で特権レベルを設定します。デフォルトは 2 です。この特権レベルは、コマンド認可で使用されます。

注意	コマンド認可（aaa authorization console LOCAL コマンド）を使用していない場合、デフォルトのレベル 2 を使用して特権 EXEC モードにアクセスできます。特権 EXEC モードへのアクセスを制限する場合、特権レベルを 0 または 1 に設定するか、service-type コマンドを使用します。

使用頻度の低いこれらのオプションは上記の構文には示されていません。nopassword キーワードを使用すると、任意のパスワードを受け入れるユーザアカウントが作成されます。このオプションは安全ではないため推奨されません。

encrypted キーワード（9.6 以前の場合は 32 文字以内のパスワード用）または pbkdf2 キーワード（9.6 以降では 32 文字を超えるパスワード用、9.7 以降では長さを問わずすべてのパスワード用）は、（MD5 ベースのハッシュまたは PBKDF2（Password-Based Key Derivation Function 2）ハッシュを使用して）パスワードが暗号化されていることを示します。新しいパスワードを入力しない限り、既存のパスワードは MD5 ベースのハッシュを使用し続けることに注意してください。username コマンドのパスワードを定義すると、ASA はセキュリティを維持するために、そのパスワードを設定に保存するときに暗号化します。show running-config コマンドを入力すると、username コマンドでは実際のパスワードは示されません。暗号化されたパスワードとそれに続けて encrypted または pbkdf2 キーワードが示されます。たとえば、パスワードに「test」と入力すると、show running-config コマンドの出力には次のように表示されます。


username user1 password DLaUiAX3l78qgoB5c7iVNw== encrypted

実際に CLI で encrypted または pbkdf2 キーワードを入力するのは、同じパスワードを使用して、ある設定ファイルを他の ASA で使用するためにカットアンドペーストする場合だけです。

ステップ 2

（オプション）ユーザ名属性を設定します。

username username attributes

例:


ciscoasa(config)# username exampleuser1 attributes

username 引数は、最初の手順で作成したユーザ名です。

デフォルトでは、このコマンドで追加した VPN ユーザには属性またはグループポリシーが関連付けられません。username attributes コマンドを使用して、すべての値を明示的に設定する必要があります。詳細については、VPN 構成ガイドを参照してください。

ステップ 3

（オプション）管理認可を設定している場合は、aaa authorization exec コマンドを使用して、ユーザレベルを設定します。

service-type {admin | nas-prompt | remote-access}

例:


ciscoasa(config-username)# service-type admin

admin キーワードは、aaa authentication console LOCAL コマンドによって指定されたサービスへのフルアクセスを許可します。デフォルトは admin キーワードです。

nas-prompt キーワードは、aaa authentication {telnet | ssh | serial} console コマンドを設定している場合は CLI へのアクセスを許可しますが、aaa authentication http console コマンドを設定している場合は ASDM へのコンフィギュレーションアクセスを拒否します。ASDM モニタリングアクセスは許可します。aaa authentication enable console コマンドを使用して認証を有効にしている場合、ユーザは、 enable コマンド（または login コマンド）を使用して特権 EXEC モードにアクセスできません。

remote-access キーワードは管理アクセスを拒否します。aaa authentication console コマンドで指定されたサービスは使用できません（serial キーワードを除きます。シリアルアクセスは許可されます）。

ステップ 4

（任意）ユーザ単位の ASA への SSH 接続の公開キー認証については、SSH アクセスの設定を参照してください。

ステップ 5

（任意） VPN 認証にこのユーザ名を使用している場合、そのユーザに多くの VPN 属性を設定できます。詳細については、VPN 構成ガイドを参照してください。

例

次の例では、admin ユーザアカウントに対して特権レベル 15 を割り当てます。


ciscoasa(config)# username admin password farscape1 privilege 15

次の例では、管理認可を有効にし、パスワードを指定してユーザアカウントを作成し、ユーザ名コンフィギュレーションモードを開始して、nas-prompt の service-type を指定します。


ciscoasa(config)# aaa authorization exec authentication-server
ciscoasa(config)# username user1 password gOrgeOus
ciscoasa(config)# username user1 attributes
ciscoasa(config-username)# service-type nas-prompt

ローカルデータベースのモニタリング

ローカルデータベースのモニタリングについては、次のコマンドを参照してください。

show aaa-server

このコマンドは、設定されたデータベースの統計情報を表示します。AAA サーバコンフィギュレーションをクリアするには、clear aaa-server statistics コマンドを入力します。
show running-config aaa-server

このコマンドは、AAA サーバの実行コンフィギュレーションを表示します。AAA サーバの統計情報をクリアするには、clear configure aaa-server コマンドを入力します。

ローカルデータベースの履歴

表 1. ローカルデータベースの履歴
機能名	プラットフォームリリース	説明
AAA のローカルデータベース設定	7.0(1)	AAA 用にローカルデータベースを設定する方法について説明します。次のコマンドを導入しました。 username、aaa authorization exec authentication-server、aaa authentication console LOCAL、aaa authorization exec LOCAL、service-type、aaa authentication{telnet \| ssh \| serial} console LOCAL、aaa authentication http console LOCAL、aaa authentication enable console LOCAL、show running-config aaa-server、show aaa-server、clear configure aaa-server、clear aaa-server statistics。
SSH 公開キー認証のサポート	9.1(2)	ASA への SSH 接続の公開キー認証は、ユーザ単位で有効にできるようになりました。公開キーファイル（PKF）でフォーマットされたキーまたは Base64 キーを指定できます。PKF キーは、4096 ビットまで使用できます。ASA がサポートする Base64 形式（最大 2048 ビット）では大きすぎるキーについては、PKF 形式を使用します。次のコマンドが導入されました。ssh authenticaion。 8.4(4.1) でも使用可能。PKF キー形式は 9.1(2) でのみサポートされます。
ローカルの username および enable パスワードでより長いパスワード（127 文字まで）がサポートされます。	9.6(1)	127 文字までのローカル username および enable パスワードを作成できます（以前の制限は 32 文字でした）。32 文字以上のパスワードを作成すると、PBKDF2（パスワードベースキー派生関数 2）のハッシュを使用して設定に保存されます。これよりも短いパスワードは引き続き MD5 ベースのハッシュを使用します。次のコマンドを変更しました。enable、username
SSH 公開キー認証の改善	9.6(2)	以前のリリースでは、ローカルユーザデータベース（ (aaa authentication ssh console LOCAL )）を使用して AAA SSH 認証を有効にしなくても、SSH 公開キー認証（(ssh authentication )）を有効にすることができました。この設定は修正されたため、AAA SSH 認証を明示的に有効にする必要があります。ユーザが秘密キーの代わりにパスワードを使用できないよう、パスワード未定義のユーザ名を作成できるようになりました。次のコマンドが変更されました。ssh authentication、username
すべてのローカル username および enable パスワードに対する PBKDF2 ハッシュ	9.7(1)	長さ制限内のすべてのローカル username および enable パスワードは、PBKDF2（パスワードベースキー派生関数 2）のハッシュを使用して設定に保存されます。以前は、32 文字以下のパスワードが MD5 ベースのハッシュメソッドを使用していました。既存のパスワードでは、ユーザが新しいパスワードを入力しない限り、MD5 ベースのハッシュが引き続き使用されます。ダウングレードのガイドラインについては、『一般操作構成ガイド』の「ソフトウェアおよびコンフィギュレーション」の章を参照してください。次のコマンドを変更しました。enable、username
SSH 公開キー認証を使用するユーザの認証とパスワードを使用するユーザの認証を区別します。	9.6(3)/9.8(1)	9.6(2) より前のリリースでは、ローカルユーザデータベース（ssh authentication ）を使用して AAA SSH 認証を明示的に有効にしなくても、SSH 公開キー認証（aaa authentication ssh console LOCAL ）を有効にすることができました。9.6(2) では、ASA で AAA SSH 認証を明示的に有効にする必要がありました。このリリースでは、AAA SSH 認証を明示的に有効にする必要はありません。ユーザに対して ssh authentication コマンドを設定すると、このタイプの認証を使用するユーザのローカル認証がデフォルトで有効になります。さらに、明示的に AAA SSH 認証を設定すると、この設定はパスワード付きのユーザ名にのみ適用されます。また、任意の AAA サーバタイプ（aaa authentication ssh console radius_1 など）を使用できます。たとえば、一部のユーザはローカルデータベースを使用して公開キー認証を使用し、他のユーザは RADIUS でパスワードを使用できます。変更されたコマンドはありません。

CLI ブック 1：Cisco ASA シリーズ 9.8 CLI コンフィギュレーションガイド（一般的な操作）

偏向のない言語

翻訳について

Book Title

CLI ブック 1：Cisco ASA シリーズ 9.8 CLI コンフィギュレーションガイド（一般的な操作）

Chapter Title