ネットワークデバイスの管理用パスワードを集中管理しよう(後編):Windows Server 2012 ×「ちょっとだけ連携」でネットワーク管理を便利に(4)(1/3 ページ)
今回はネットワークデバイス側の設定を行います。ネットワークデバイスでは、管理者がTelnetやSSHで管理接続をしたときの認証をRADIUSサーバで行うように構成する必要があります。
前回はWindows Server側の設定を行ったので、今回は、ネットワークデバイス側の設定を行います。ネットワークデバイスでは、管理者がTelnetやSSHで管理接続をしたときの認証を、RADIUSサーバで行うように構成する必要があります。
図1各ネットワークデバイスのホスト名やIPアドレスなどの基本設定は次のように構成されているものとします。設定方法については、1回目の「ネットワークデバイスの設定」をご覧ください。
図2ネットワークデバイスの設定(シスコ)
シスコISRルータやCatalystスイッチ(L2/L3両方)のコマンドは共通なので、まとめて紹介します。以下の例では、レイヤ3スイッチ(ホスト名L3SW1)を使用しています。
L3SW1(config)#aaa new-model AAAを有効化します。AAA(トリプルA)とは、Authentication(認証)、Authorization(承認、認可)、Accounting(アカウンティング)のことで、デフォルトでは無効化されているため、本コマンドで有効にする必要があります。 L3SW1(config)#aaa authentication login vty-radius group radius RADIUSで認証を行う、「vty-radius」という名前の認証リストを作成します(認証リスト名には任意の文字列を指定できます)。 L3SW1(config)#radius-server host 10.1.2.101 RADIUSサーバのIPアドレスを指定します。 L3SW1(config)#radius-server key password RADIUSサーバと共通のパスワード文字列である、共有シークレットを指定します。共有シークレットは、前回の記事でRADIUSサーバに設定した共有シークレットの値と大小文字も含めて完全に一致させる必要があります。 L3SW1(config)#line vty 0 4 0〜4の5セッションを設定対象にします。この場合、TelnetおよびSSHを合わせた同時接続数が5セッションまで可能になります。シスコデバイス自体は0〜15まで(16セッション)設定できるため、管理者数に合わせて適切な同時接続数を見積もった上で範囲を指定します。 L3SW1(config-line)#login authentication vty-radius 前の行で選択した0〜4のvtyセッションに対して、aaa authentication loginコマンドで作成した認証リスト「vty-radius」で指定された方法を使用して認証を行うように設定します。 L3SW1(config-line)#end 特権モードに戻ります。
上記の設定で、Telnet接続をRADIUSサーバで認証できるようになりました。Telnetでは、Telnetクライアントと接続先のネットワークデバイス(RADIUSクライアント)間は、ユーザー名とパスワードを含むすべての情報が暗号化されない状態で送受信されるため、パケット盗聴によってパスワードが漏えいする可能性が高くなります。このため、実環境ではなるべくTelnetは使わない方がよいでしょう。そこで、SSH(Secure SHell)(注1)で接続できるように、上記の設定に加えて、各シスコデバイスに次の手順を追加で実行します。
注1:SSHでは、すべてのパケットが暗号化された状態で送受信されるため、パケットが盗聴されても、パスワードが漏えいする可能性が低くなります。とはいえ、パスワードクラッキング攻撃を完全に防ぐことはできないので、複雑で長いパスワードの使用や定期的なパスワード変更、アカウントロックアウト機能、RADIUSサーバのアカウンティングログの確認など、複数の手段で保護する必要があります。
L3SW1(config)#hostname ホスト名 すでにデフォルト以外のホスト名が設定されていれば、本コマンドは実行する必要はありません。 この後実行するcrypt key generateコマンドで、SSHで使用する暗号鍵の生成のためにホスト名とドメイン名が必要なため、RouterやSwitchなどのデフォルトのホスト名が設定されている場合は必ず変更してください。 L3SW1(config)#ip domain-name edifist.co.jp crypt key generateコマンドを実行するために、何らかのドメイン名の設定が必要です。ここではActive Directoryドメイン名と同じドメイン名を設定しています。 L3SW1(config)#crypt key generate rsa SSHで使用する、RSA鍵(公開鍵と秘密鍵のキーペア)を生成します。 The name for the keys will be: L3SW1.edifist.co.jp Choose the size of the key modulus in the range of 360 to 4096 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: 1024 SSHで使用するRSAキーの長さを指定します。 % Generating 1024 bit RSA keys, keys will be non-exportable... [OK] (elapsed time was 3 seconds) L3SW1(config)#ip ssh version 2 SSHのバージョンを指定します。バージョン1よりも安全な、バージョン2を指定します。 L3SW1(config)#line vty 0 4 L3SW1(config-line)#transport input telnet ssh 接続を受け入れるプロトコルを指定します。Telnetはパケットが暗号化されない状態で送受信されるため、セキュリティ上禁止する場合はtelnetは指定せずに、sshだけを指定してください。また、デフォルトではTelnetとsshの両方が許可されています。
上記の設定で使用したコマンドの書式は次の通りです。
(config)#aaa new-model
vty、コンソール、AUXなどに対してAAAを有効化します。無効化する場合は、no aaa new-modelコマンドを実行します。デフォルトではAAAは無効化されています。
(config)# aaa authentication login { default | リスト名 } 方法1 [方法2……]
AAAの認証方法を定義した、認証方法リストを作成します。
例)(config)#aaa authentication login vty-radius group radius
default
デフォルトの方式リストを作成する場合に指定します。デフォルトの方式リストは、login authenticationコマンドで名前付きリストが指定されていないすべての管理接続用のポート(コンソールやvtyなど)に自動的に適用されます。
リスト名
作成する認証方式リストの名前を指定します。例ではvty-radiusという名前のリストを作成し、認証方法にRADIUSを指定しています。
方法1、2……
方法1で指定した方法を実行し、エラーが返された場合は次の方法が試されます。方法には以下の種類があります。
- enable
イネーブルパスワードを認証に使用します。enable passwordコマンドでイネーブルパスワードを設定しておく必要があります。
- group radius
RADIUS認証を使用します。例ではこの認証方式を選択しています。
- line
ラインパスワードを認証に使用します。line vtyやline consoleコマンドでラインコンフィギュレーションモードに移行し、passwordコマンドでラインパスワードを設定しておく必要があります。
- local
ローカルユーザーを認証に使用します。usernameコマンドで、ユーザーを作成する必要があります。
- local-case
ローカルユーザーを認証に使用します。usernameコマンドで、ユーザーを作成する必要があります(大小文字が区別されます)。
- none
認証をしません。
(config)# radius-server host { ホスト名 | IPアドレス } [auth-port ポート番号] [acct-port ポート番号] [timeout 秒 ] [retransmit 再送回数] [key 共有シークレット]
RADIUSサーバを指定します。
例)(config)#radius-server host 10.1.2.101
例)(config)#radius-server key password
ホスト名またはIPアドレス
RADIUSサーバのホスト名かIPアドレスを指定します。例ではIPアドレスを指定しています。
auth-port
認証要求の宛先ポート番号を指定します。
acct-port
アカウンティング要求の宛先ポート番号を指定します。
timeout
RADIUS要求を送信したときに、RADIUSサーバーからの応答を待つ時間を秒単位で指定します。タイムアウトした場合は要求が再送信されます。
retransmit
RADIUS要求がタイムアウトした場合に、要求を再送信する回数を指定します。
key
RADIUSサーバと共通のパスワード文字列(共有シークレット)を設定します。
(config-line)# login authentication { default | リスト名 }
ライン(line)(注2)に認証リストを割り当てます。line vtyやline consoleコマンドでラインコンフィギュレーションモードに移行し、aaa authentication loginコマンドで作成したリストを指定します。
例)
(config)#line vty 0 4
(config-line)#login authentication vty-radius
default
デフォルトのリストを定義します。
リスト名
作成した任意のリスト名を指定します。例では、aaa authentication loginコマンドで作成した、vty-radiusというリストを指定しています。
注2:シスコでは、vtyやconsoleなどのデバイスの管理を行うためのポートをライン(line)、パケットの送受信を行うためのネットワーク接続を提供するためのポートをインターフェイス(interfacce)としています。
以上でシスコのネットワークデバイスの設定は終了です。他にもシスコのネットワークデバイスがある場合は、これまでに実行したコマンドを、各デバイスで実行してください。
次は、アライドテレシスのレイヤ3スイッチの設定を確認します。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。