スイッチでTACACS+サーバによるAAA認証を使用する場合

T1600G-18TS , TL-SG2008P , TL-SG2210P , T2500G-10TS , SG2210MP , TL-SX3008F , TL-SL2428P , TL-SX3016F , S4500-8G , SG2218 , SG3428 , TL-SG3452P , TL-SG3428X , SL2428P , S4500-8GHP2F , T3700G-52TQ , S4500-16G2F , T2600G-18TS , TL-SG2210MP , SG3210 , SG3452 , TL-SG3210XHP-M2 , S5500-24GP4XF , T1600G-52PS , TL-SG2428P , T1600G-52TS , T3700G-28TQ , T1500G-8T , SG2428LP , Festa FS308GP , SX3008F , SG3428MP , SG3428X , T2600G-52TS , SG3452P , SX3016F , SG2428P , SG2008P , TL-SG3428 , TL-SG2218 , SG2210P , T1700X-16TS , S5500-8MHP2XF , TL-SG3428MP , TL-SG2008 , T1700G-28TQ , T1500-28PCT , T2600G-28SQ , TL-SG3210 , TL-SG3452 , Festa FS310GP , SG3428XMP , TL-SG3428XMP
Recent updates may have expanded access to feature(s) discussed in this FAQ. Visit your product's support page, select the correct hardware version for your device, and check either the Datasheet or the firmware section for the latest improvements added to your product. Please note that product availability varies by region, and certain models may not be available in your region.
TACACS +は、メッセージ全体を暗号化し、認証と認可を分離することができます。ユーザー名とパスワードをそれぞれ確認することができ、一般的にradiusのセキュリティよりも優れていることから、高いセキュリティを必要とする場面に適しています。
注:現時点では、スイッチの802.1X認証は、radiusサーバーとの併用のみをサポートしています。TACACS+サーバの機能構成は、認証と承認のみで、課金機能は使用できません。
Part 1. Linuxシステム上にシンプルなTACACS +サーバを構築する
Step 1. TACACS+のインストール
TACACS+のパッケージはUbuntuのリポジトリにありますので、rootモードで以下のコマンドを入力してインストールします。
apt-get install tacacs+
ステップ2. TACACS+の設定
インストールが完了したら、必要に応じてTACACS+サーバーの設定を進めます。デフォルトのインストールでは、設定ファイルは次の場所にあります。 /etc/tacacs+/tac_plus.conf このファイルをお好みのエディタで開き、以下のように変更します。
vi /etc/tacacs+/tac_plus.conf
#Make this a strong key
キー = tplink2021
#ローカルのPAMを使用することで、ローカルのLinuxユーザを使用することができます
default authentication = file /etc/passwd
#あとでユーザーを追加するグループを定義する
#この例では、3つのグループを定義し、それぞれの権限を割り当てています。test1は管理者権限、test2とtest3はユーザー権限ですが、test3は追加パスワードを設定することで管理者権限を取得できます。パスワードは以下のようにtac_pwdというコマンドで自動的に生成されます。
group = test1 {
default service = permit
service = exec {
priv-lvl = 15
}
}
group = test2 {
default service = deny
service = exec {
priv-lvl = 1
}
}
group = test3 {
default service = permit
login = file/etc/passwd
enable = Gbptgx46GpgrA
service = exec {
priv-lvl = 2
}
}
#ユーザーの定義と上記のグループへの割り当て
user = manager {
member = test1
}
user = user1 {
member = test2
}
user = user2 {
member = test3
}
Priv-LVLには15のレベルがあり、スイッチの管理権限が4種類あります。
1~4:ユーザー権限、閲覧・設定のみ可能で、編集・変更はできず、L3機能も閲覧できない。
5~9:スーパーユーザー権限。VLAN、HTTPS config、Pingなど、一部の機能の閲覧、編集、変更が可能。
10~14:オペレーター権限。スーパーユーザー権限に基づいて、ラグ、MACアドレス、アクセスコントロール、SSHコンフィグなどの機能も実行できる
15: 管理者(admin)権限、すべての機能を表示、編集、変更することができます。
#編集したtac_plus.confのファイルを保存して終了し、Linuxシステム上で関連するユーザーを作成し、パスワードを設定します。
adduser manager
adduser user1
adduser user2
Step 3. TACACS+スタート
# 49番ポートのlisteningを開始した場合、起動が成功したことを示しています。
/etc/init.d/tacacs_plus start
注意:設定ファイルを変更するたびに、TACACS+サーバーを再起動してください。
Part 2. スイッチ上の設定
下図のトポロジーを例にとると、ネットワークのセキュリティを確保するために、ログインスイッチの管理インターフェースをTACACS +サーバで認証する必要があります。
Step 1.「 SECURITY」→「AAA」→「TACACS+ Config」の順に選択し、「Add」をクリックして次のページを表示します。サーバーIPを192.168.0.100、共有キーをtplink2021、サーバーポートを49に設定します。
Step 2. 「SECURITY」→「AAA」→「Method Config」の順に選択し、「Authentication Login Method Config」をクリックします。Method List Nameをdefaultとし、Pri1をTACACSとします。
ステップ3. 同じページで、「Authentication Enable Method Config」をクリックします。Method List Nameをデフォルトで指定し、Pri1をtacacsとして選択します。Createをクリックすると、Enable password authenticationのメソッドリストが設定されます。
ケース 1. すべてのログインスイッチ管理方法をTACACS+サーバーで認証する必要がある場合
メニュー「SECURITY」→「AAA」→「Global Config」を選択し、次のページを読み込みます。AAA Application Configセクションで、「all Modules the Login Method」と「Enable Method」をデフォルトで選択します。
この時点で、スイッチの設定が完了します。HTTPもTELNETも、クライアントを介してデフォルトのadminアカウントで管理インターフェイスにログインすることはできません。
ケース2.Telnet以外のログインスイッチ管理方法は、TACACS+サーバーによる認証が必要です。
メニュー「SECURITY」→「AAA」→「Method Config」を選択し、「Authentication Login Method Config」セクションと「Authentication Enable Method Config」セクションの両方をクリックします。Method List Nameをtelnetに、Pri1をlocalに設定します。
SECURITY>AAA>Global Configの順に選択すると、次のページが表示されます。AAA Application Configで、Module of telnetをLogin Methodに、Enable Methodにtelnetを選択します。
この時点で、デフォルトのadminアカウントを使ってtelnetでスイッチにログインすることができます。
ケース 3. ユーザー権限でログインする場合は、TACACS+サーバーに管理者パスワードを追加設定し、設定したパスワードを以下のインターフェースに入力することで、ユーザー権限から管理者権限にアップグレードすることができます。
関連トピック
このFAQは役に立ちましたか?
サイトの利便性向上にご協力ください。
どのような点がご満足いただけませんでしたか?
- 製品自体が不満
- 複雑すぎる
- タイトルが分かりづらい
- 探している内容がなかった
- 曖昧すぎる
- その他
お役に立てて何よりです。
ご意見をお寄せいただきありがとうございます。
TP-Linkカスタマーサポートにはこちらからお問い合わせいただけます。
Basic Cookies
These cookies are necessary for the website to function and cannot be deactivated in your systems.
TP-Link
accepted_local_switcher, tp_privacy_base, tp_privacy_marketing, tp_smb-select-product_scence, tp_smb-select-product_scenceSimple, tp_smb-select-product_userChoice, tp_smb-select-product_userChoiceSimple, tp_smb-select-product_userInfo, tp_smb-select-product_userInfoSimple, tp_top-banner, tp_popup-bottom, tp_popup-center, tp_popup-right-middle, tp_popup-right-bottom, tp_productCategoryType
Livechat
__livechat, __lc2_cid, __lc2_cst, __lc_cid, __lc_cst, CASID
YouTube
id, VISITOR_INFO1_LIVE, LOGIN_INFO, SIDCC, SAPISID, APISID, SSID, SID, YSC, __Secure-1PSID, __Secure-1PAPISID, __Secure-1PSIDCC, __Secure-3PSID, __Secure-3PAPISID, __Secure-3PSIDCC, 1P_JAR, AEC, NID, OTZ
Analysis and Marketing Cookies
Analysis cookies enable us to analyze your activities on our website in order to improve and adapt the functionality of our website.
The marketing cookies can be set through our website by our advertising partners in order to create a profile of your interests and to show you relevant advertisements on other websites.
Google Analytics & Google Tag Manager
_gid, _ga_<container-id>, _ga, _gat_gtag_<container-id>
Google Ads & DoubleClick
test_cookie, _gcl_au
Meta Pixel
_fbp
Crazy Egg
cebsp_, _ce.s, _ce.clock_data, _ce.clock_event, cebs
lidc, AnalyticsSyncHistory, UserMatchHistory, bcookie, li_sugr, ln_or