AAAとは

AAAとは、Authentication(認証)、Authorization(認可)、Accounting(アカウンティング)の略称のことであり これら3つの異なるセキュリティ機能を設定するためのアーキテクチャ上の枠組みのことです。この枠組み を利用することにより、Authentication, Authorization, Accountingの3機能を一貫性を持って実装できます。

Authentication(認証)、Authorization(認可)、Accounting(アカウンティング)

 

AAAの定義

Authentication
(認証)
認証では、ユーザアカウント/パスワードを確認してそのユーザがネットワークに アクセスできるかどうかを決定します。管理者は [ 認証 ] を利用して侵入を防ぎます。
Authorization
(認可)
認可では、個々のユーザが利用できるネットワークサービスを制限できます。 [ 認可 ] を利用することによりユーザごとに発行できるコマンド制限を行えます。
Accounting
(アカウンティング)
アカウンティングでは、機器にログインしたユーザが入力したコマンド、接続時間、システムイベントなどをタイムスタンプをつけてログに記録することができます。
 

AAAの利点

AAAを実装させる利点として、ネットワーク機器に設定するユーザアカウント/パスワードの情報を各機器に 設定する必要がなく、ユーザアカウント/パスワードのデータベースを集中管理することにより1カ所で情報の 入力と更新を行えることが挙げられます。ネットワーク機器にログインを試みるた場合、AAAがサポートする TACACS+、RADIUS、Kerberosなどのセキュリティプロトコルを使用して問い合わせを行い、そのサーバ上で 認証が行われます。また、認可による管理者権限の制御やアカウンティングによるログ追跡もとても有用です。

 

セキュリティプロトコル

AAAを実装させたネットワーク機器は認証、認可、アカウンティングを行うために、セキュリティプロトコルを 使用してサーバと通信させるように設定するのが一般的。Cisco IOSではTACACS+、RADIUS、Kerberos 3つををサポートしており、AAAは、これらのいずれかを使用するようにデバイスを設定する手段と言えます。

プロトコル 標準化 説明
TACACS+ Cisco独自 AAAアーキテクチャが使用される認証プロトコルであり、AAAが分離されます。特権レベルを割当てる替わりに、「コマンドの認可」を行えます。
RADIUS IETF標準 クライアントサーバモデルに基づいた認証プロトコル。AAAモデルが確立される前に開発されたプロトコルであり、「認証」「認可」を切り離せません。

Cisco Secure ACS

AAAを実装させたネットワーク機器は認証、認可、アカウンティングを行うために、セキュリティプロトコルを Cisco製品であるACS ( Access Control Server ) は、ルータ、スイッチ、アクセスサーバ、PIX Firewall など AAAクライアントとして機能するネットワーク機器にAAAサービスを提供します。また、ACSではTACACS+と Radiusの両方のAAAプロトコルを使用することができます。以下はTACACS+とRADIUSの詳細な比較表です。

プロトコル TCP/UDP ポート番号 暗号化 AAAアーキテクチャ
TACACS+ TCP 49 ペイロード全体 認証、認可、アカウンティングを別々に制御
RADIUS UDP 認証:1645 or 1812
アカウンティング: 1646 or 1813
パスワードのみ 認証と認可を1つのサービスとして統合
 

AAAモデルを実装しないローカルユーザ認証

Ciscoルータでは、AAAモデルを実装させずにルータ上で定義しているユーザ名/パスワード情報をもとに 認証を行うように設定することができます。また、登録したユーザに権限レベルを定義している場合には ユーザ名/パスワードに対応する権利と権限を割当てられます。これはルータでのローカル認証となります。

 Cisco(config)# username cisco priviledge 15 secret cisco
 Cisco(config)# username test priviledge 10 secret test
 Cisco(config)# username catalyst priviledge 5 secret catalyst

 Cisco(config)# line console 0
 Cisco(config-line)# login local

 Cisco(config)# line vty 0 15
 Cisco(config-line)# login local

pageTopへ