1. /
  2. /
  3. /
  4. 課題008 AAA総まとめ(解説・ヒント編)

課題008 AAA総まとめ(解説・ヒント編)

  • このエントリーをはてなブックマークに追加

■課題1
以下のコマンドを4台のルータに設定します。

(config)# enable password enapass
(config)# username cisco password cisco
(config)# line con 0
(config-line)# password conpass
(config-line)# login
(config-line)# exit
(config)# line vty 0 4
(config-line)# password vtypass
(config-line)# end

■課題2
以下画像のとおりになります。

 

■課題3
以下画像のとおりになります。

 

■課題/確認4

解説はありません。それぞれPCからTelnetを行い、CLIでログアウトしてから再度ユーザモードに入るときに認証を要求されるかどうかを確認しましょう。

ログイン後にはEnableモードに移行して、想定されるパスワードでログインできることを確認してください。

 

■課題5
認証をなしにする場合は、認証をなしにしたいLineモードで「no login」を設定します。
今回はRT1で以下のコマンドを実行してください。

(config)# line vty 0 4
(config-line)# no login

この状態でTelnetログインを試みると、以下画像の通りになります。

赤枠で囲った部分は通常では「Password:」など、認証を確認されるはずですが、特にそういった確認がないまま、RT1のユーザモードでログインできていることがわかります。

 

■課題6

まずは、認証のためのユーザアカウントを登録しておきましょう。通常は以下のようなコマンドになります。

(config)# username  cisco  password  cisco

ですが、この設定だと「最初からEnableモードで」という条件を満たしません。
本文では、「cisco」というユーザ名に管理者としての権限を追加付与する必要があるため、「privilege」コマンドを使用して、以下のように設定します。

(config)# username  cisco  privilege  15  password  cisco

 

次に、VTYパスワードではなく、ローカルデータベースにある認証情報を使用する場合は、認証を設定したいLineモードで「login local」を設定します。

(config)# line vty 0 4
(config-line)# login local

 

設定が正しい場合、PCからTelnetしたときに「Password:」ではなく「Username:」を確認され、登録した「cisco」でログインした直後からプロンプトが「RT2#」になっていることが確認できます。

※ユーザモードの場合は「RT2>」

 

■課題7
AAAによる認証を設定する際、以下のように「login」と「enable」を使い分けることができます。

そこで、設定は以下のようになります。

●RADIUS/TACACSサーバの指定

(config)# radius-server host 192.168.1.11 key radi
(config)# tacacs-server host 192.168.1.12 key taca

●認証タイプの設定

(config)# aaa new-model
(config)# aaa authentication enable default group radius local
(config)# aaa authentication login default group tacacs+ local

 

画像だと分かりづらいですが、Telnet直後のログインではTACACSサーバ側に設定したユーザで認証を行い、EnableモードのときにはRADIUSサーバに登録されたユーザで認証を行っています。

※なぜかenable時のUsernameが表示されません。Packet Tracerのバグのようです。

 

■課題8
先程の課題7では、ログイン/Enableで認証を分けましたが、今回は同じログイン認証でも、VTYとConsoleで認証を分けます。

AAA認証に「Default」を使用すると、特に指定がない場合、グループで指定した認証方法を使用しますが、ここで文字列を使用することで、ログインする回線ごとに認証を別設定することができます。

具体的には、以下のようなコマンドを設定することになります。

●RADIUS/TACACSサーバの指定

(config)# radius-server host 192.168.1.11 key radi
(config)# tacacs-server host 192.168.1.12 key taca

●認証タイプの設定

(config)# aaa authentication login CON-LOGIN group radius local
(config)# aaa authentication login VTY-LOGIN group tacacs+ local

●Lineの設定

(config)# line con 0
(config-line)# login authentication CON-LOGIN

(config)# line vty 0 4
(config-line)# login authentication VTY-LOGIN

CON-LOGIN」や「VTY-LOGIN」の文字列は任意ですが、タイプ指定時とLineの設定で文字を合わせてください。

正しく設定されていれば、Telnet時はTACACSサーバに登録されたユーザ、Consoleログイン時はRADIUSに登録されたユーザで認証していることがわかります。



関連するコマンドが下記のテキストに記載されています。
・ICND1
該当箇所は「13-1 パスワードによる管理アクセスの保護」および「13-2 管理アクセスに対するセキュリティの強化」です。

(スマホ問題集付)徹底攻略 Cisco CCENT/CCNA Routing & Switching 教科書 ICND1 編[100-105J][200-125J]V3.0 対応

posted with ヨメレバ
株式会社ソキウス・ジャパン インプレス 2016-09-05
Amazon
Kindle
楽天ブックス

・ICND2
該当箇所は「11-4 RADIUSとTACACS+を使用したAAAの実装」です。

(スマホ問題集付)徹底攻略Cisco CCNA Routing & Switching教科書 ICND2編[200-105J][200-125J]V3.0対応

posted with ヨメレバ
株式会社ソキウス・ジャパン インプレス 2017-02-03
Amazon
Kindle
楽天ブックス

SNSでもご購読できます。

コメントを残す

*

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください