Cisco IOS ルータへの SSH ログインを Radius 認証させる
以前に Cisco IOS ルータへの Radius ログイン時、自動的に特権モードにするにはというメモを書きましたが、これでは設定として不十分な為、新たに「Cisco IOS ルータへ Radius 認証でログインする」方法に関して、メモを書き直します。
設定方針¶
- コンソールログイン
- Radius 認証はさせず、ローカル認証させる
- 特権モードへの移行にはパスワード (
enable secret) が必要
- SSH ログイン (Radius サーバ正常時)
- Radius 認証する
- Radius 認証に成功した場合はログイン直後から特権モードとする
- SSH ログイン (Radius サーバ障害時)
- Radius サーバがダウンしている場合はローカル認証に切り替える
- 特権モードに昇格する場合はコンソールログイン同様、パスワード (
enable secret) が必要
- それ以外のログイン
- Telnet 等、他のログイン方法は無効とする
パラメータ¶
事前に決定しておく必要がある代表的なパラメータを表にまとめます。
| 項目 | 意味 | 設定例 |
|---|---|---|
[HOSTNAME] |
ホスト名 | iosv-1 |
[ENABLE-SECRET] |
特権モードのパスワード | enable-secret |
[DOMAIN] |
ドメイン名 | example.com |
[RADIUS-ADDRESS] |
Radius サーバのアドレス | 10.0.0.100 |
[SECRET] |
Radius シークレット | radius-secret |
[LOCAL-ADMIN] |
ローカルユーザ | admin |
[LOCAL-PASS] |
ローカルユーザ用のパスワード | password |
[ADDRESS] |
インターフェイスのアドレス | 10.0.0.1 |
[NETMASK] |
インターフェイスのネットマスク | 255.255.255.0 |
[GATEWAY] |
デフォルトゲートウェイ | 10.0.0.254 |
IOS ルータ用のコンフィグ¶
クラシックな IOS 用のコンフィグは以下のようです。 正確な情報を調べることは出来なかったのですが、(IOS-XE 以前の) クラシックな IOS では RadSec (RFC-6614 Transport Layer Security (TLS) Encryption for RADIUS には対応していないようなので、通常の Radius プロトコルを用いています。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 | |