TACACS+ シェル認証の構成 - BlueCat Integrity - 9.5.0

管理ガイド
Locale
日本語
Product name
BlueCat Integrity
Version
9.5.0

以下のセクションでは、SSH を使用して Address Manager にログインするために使用される TACACS+ 認証サービスをセットアップする方法について説明します。

重要:
  • 新しいバージョンの Address Manager へのアップグレードを実行しても、TACACS+ 構成ファイル (tacacs_config.sh) は削除されませんが、シェル アクセス用 TACACS+ 認証の構成は削除されるため、アップグレードの実行後に構成する必要があります。
  • 開始する前に、誤った構成の場合に Address Manager に確実にアクセスできるようにするため、「Break Glass (緊急用グローバル管理者)」アカウントを作成することを強く推奨します。
  • このセクションで説明した手順に進むためには、動作中の TACACS+ サーバが必要です。
  • 制限シェル環境での TACACS+ を使用した SSH ユーザ認証は実行されなくなります。TACACS+ ユーザがサポートされるコマンドを実行する必要がある場合、TACACS+ ユーザはコマンドの前に sudo を使用する必要があります。

初期 TACACS+ セットアップの構成

TACACS+ セットアップ スクリプトを実行し、TACACS+ サーバ情報を構成します。

TACACS+ セットアップ スクリプトを実行するには:
  1. SSH および root アカウントを使用して Address Manager にログインします。
  2. 次のコマンドを実行します。
    tacacs_config.sh -h <TACACS server IP address/hostname> \
-s <TACACS shared secret> \
-a <TACACS auth service, pap, chap, or login>
    例:
    tacacs_config.sh -h 192.168.0.1 -s bcnSharedSecret -a chap

TACACS+ グループおよびユーザの構成

TACACS+ サーバ情報を構成したら、Address Manager にログインすることを許可するよう TACACS+ グループおよびユーザを構成する必要があります。

TACACS+ グループおよびユーザを構成するには:
  1. 次の形式で user.csv ファイルを作成します:
    username, groupname, sudo commands, paths accessible to the user
    user.csv ファイルのコンテンツと形式の例は次のとおりです:
    user01,group01,"/usr/bin/tail, /usr/local/sbin/rndc, /bin/cat","/var"
user02,group01,"/usr/bin/ls, /sbin/reboot","/var"
user03,group02,"/usr/bin/ls, /sbin/reboot"
user04,group03,"","/var"
  2. 次の形式で group.csv ファイルを作成します:
    groupname, sudo commands, path where commands are run
    group.csv ファイルのコンテンツと形式の例は次のとおりです:
    group01,"/sbin/ifup, /sbin/ifdown","/tmp"
group02,/sbin/ifup
group03,/sbin/ifdown
    注: TACACS+ グループおよびユーザに付与するために使用されるコマンドは、示した例に制限されません。必要に応じてコマンドを構成できます。
    重要: TACACS+ グループおよびユーザに付与されるアクセス可能なパスとコマンドは、ルート ユーザに相当するアクセス権を提供できるため、確認することを強く推奨します。
  3. SSH および root アカウントを使用して Address Manager にログインします。
  4. 次のコマンドを実行します。
    tacacs_config.sh user.csv
    または、
    tacacs_config.sh user.csv group.csv
    重要: ユーザがグループに属する場合でも、コマンドがグループによって使用中の場合、同じ sudo コマンドをユーザに対して使用できません。例えば、user01group01 に族し、group01 がグループ構成ファイル内の sudo run /bin/cat を使用する場合、user01sudo run /bin/cat を使用できません。

tacacs_config.sh コマンドを実行してユーザおよびグループを構成したら、認証されたユーザおよびグループは TACACS+ 認証を使用して SSH にアクセスできるようになります。

TACACS+ 構成の削除

TACACS+ 構成を削除するには:
  1. 次の内容で delete.csv ファイルを作成します:
    CONFIRM_TO_DELETE_ALL_TACACS_USERS
  2. SSH および root アカウントを使用して Address Manager にログインします。
  3. 次のコマンドを実行します。
    tacacs_config.sh delete.csv
  4. TACACS+ サービスを無効にするには、次のコマンドを実行します:
    tacacs_setup.sh -r

tacacs_setup.sh コマンドを実行したら、SSH 接続の TACACS+ 認証は無効になります。