NSX Advanced Load Balancer は、TACACS+ (Terminal Access Controller Access Control System) を使用する NSX Advanced Load Balancer ユーザーの認証と認可をサポートします。TACACS+ は、認証とアカウンティングを処理するオープン標準プロトコルです。

TACACS+ プロファイルの作成

NSX Advanced Load Balancer では、TACACS+ の設定は認証プロファイルで指定されます。TACACS+ 認証プロファイルを作成するには、次の手順を実行します。

  1. [テンプレート] > [セキュリティ] > [認証プロファイル] の順に移動します。

  2. [作成] をクリックして、[認証プロファイルの作成] 画面を表示します。

  3. [タイプ] で [TACACS_PLUS] を選択します。

  4. [TACACS+] タブで [追加] をクリックし、TACACS+ サーバの IP アドレスを入力します。

    注:

    複数のサーバを追加できます。最初のサーバが応答しない場合、NSX Advanced Load Balancer は次のサーバを試行します。このサーバからの応答もがない場合、NSX Advanced Load Balancer は次のサーバへの接続を試みます。各サーバへの試行は 1 回行われます。すべてのサーバへの接続が失敗またはタイムアウトした場合、要求は失敗します。

  5. TACACS+ サーバの [ポート] を入力します。デフォルトでは、この値は 49 です。

  6. TACACS+ サーバ共有シークレット キーに [パスワード] を入力します。

  7. すべての認証および認可クエリで使用される [TACACS+ サービス] のタイプを選択します。



  8. [認可属性][追加] をクリックし、[名前][値] で、ホストを識別するための属性値ペアのセットを入力します。TACACS+ サーバは、これらの属性に基づいてユーザー レベルの認可を構成します。Cisco Access Control Server (ACS) では通常、NSX Advanced Load Balancer ユーザーを識別して認可するために、「サービス」と「プロトコル」の認可属性値が入力されることを想定しています。TACACS+ サーバからの認可属性を使用して、ユーザーをさまざまなロールやテナントにマッピングできます。

  9. 属性が必要な場合は、[必須] をオンにします。



  10. [保存] をクリックします。

認証と認可

TACACS+ を使用する NSX Advanced Load Balancer ユーザーの認証と認可は、次のように行われます。

  1. NSX Advanced Load Balancer から TACACS+ サーバへの AUTHEN START パケット。次を含みます。

    • action=login

    • authen_type=ascii

    • service=

    • user=

    • remote_addr=

  2. TACACS+ サーバから NSX Advanced Load Balancer への AUTHEN REPLY パケット。GETPASS タイプの状態が含まれ、「パスワード」というテキストでユーザー メッセージ フィールドにパスワードを指定する必要があることを示します。

  3. NSX Advanced Load Balancer から TACACS+ サーバへの AUTHEN CONTINUE パケット。ユーザーからの実際のパスワードを含むユーザー メッセージ フィールドが含まれます。

  4. TACACS+ サーバから NSX Advanced Load Balancer への AUTHEN REPLY パケット。次を含みます。

    • パスワードが有効でユーザーが許可されている場合の SUCCESS 状態

    • FAILED 状態

  5. NSX Advanced Load Balancer から TACACS+ サーバへの AUTHOR START パケット。次を含みます。

    • ユーザーの名前

    • ユーザーのリモート アドレス

    • 認可属性の名前、値、必須かどうか

    • 「abc」という名前の属性が必要で、値は「xyz」であることを示す認可属性文字列「abc=xyz」

    • 「abc」という名前の属性がオプションで、値は「xyz」であることを示す認可属性文字列「abc*xyz」

  6. TACACS+ サーバから NSX Advanced Load Balancer への AUTHOR REPLY パケット。次のいずれかが含まれます。

    • PASS_ADD または PASS_REPL 状態。これにより、正常に認証されたユーザーが属性値ペアを追加または置き換えることを許可します。

    • FAIL 状態。ユーザーが認可されていないことを示します。

暗号化

TACACS+ パケットはすべて暗号化され、12 バイトのヘッダーは暗号化されずに渡されます。暗号化は TACACS+ 標準の一部であり、すべての TACACS+ サーバと互換性があります。

エラー処理

このプロセス中に応答パケットの [状態] フィールドにエラーが示された場合、ユーザー ログインは拒否され、失敗します。