AAA(Authentication / Authorization / Accounting)とは
AAA(トリプルエー)は、ネットワーク機器へのアクセス制御と操作記録を一元管理するための仕組みです。主にCiscoルータ/スイッチで利用され、**誰が(認証)・何をしてよいか(認可)・何をしたか(アカウンティング)**を管理します。
CCNA〜CCNP、ネットワークスペシャリスト試験でも頻出の重要概念です。
AAAの3要素
| 要素 | 英語 | 概要 | 具体例 |
|---|
| 認証 | Authentication | 利用者が誰かを確認 | ユーザー名/パスワード |
| 認可 | Authorization | 実行可能な操作を制御 | 特権モード可否、showのみ |
| 課金 | Accounting | 操作履歴を記録 | ログイン履歴、実行コマンド |
AAAを使う理由
- 機器ごとのローカルユーザー管理が不要
- アクセス権限を集中管理できる
- 操作ログを取得でき、監査・トラブル対応に有効
- 大規模ネットワークで必須
AAAで利用される代表的なプロトコル
| プロトコル | 特徴 | 主な用途 |
|---|
| RADIUS | 認証+認可+課金、UDP | ユーザー認証(NW機器/無線LAN) |
| TACACS+ | 認証・認可・課金を分離、TCP | Cisco機器管理(推奨) |
RADIUSとTACACS+の違い
| 項目 | RADIUS | TACACS+ |
|---|
| 通信 | UDP | TCP |
| 暗号化範囲 | パスワードのみ | パケット全体 |
| 認可制御 | 粗い | コマンド単位 |
| 主用途 | 利用者認証 | 機器管理者認証 |
AAAの基本構成
- AAAクライアント:ルータ/スイッチ
- AAAサーバ:RADIUS / TACACS+ サーバ
[User] → [Router/Switch] → [AAA Server]
AAA設定の基本的な流れ(Cisco IOS)
ローカル認証における設定の一連の流れ
| 手順 | 設定内容 | 目的 |
|---|
| ① | aaa new-model | AAA機能の有効化 |
| ② | ローカルユーザー作成 | 認証に使用するユーザー定義 |
| ③ | 認証方式リスト作成 | AAAで使用する認証ルール定義 |
| ④ | lineへ適用 | console / vty へAAA適用 |
AAA設定例(ローカル認証)
① AAA機能の有効化
Router(config)# aaa new-model
② ローカルユーザーの作成(暗号化)
Router(config)# username user1 algorithm-type ssha256 secret Pass1
③ 認証方式リストの作成
Router(config)# aaa authentication login LIST1 local
④ line console への適用
Router(config)# line console 0
Router(config-line)# login authentication LIST1
⑤ line vty への適用(リモート接続)
Router(config)# line vty 0 4
Router(config-line)# login authentication LIST1
AAAコマンド一覧表
| コマンド | モード | 説明 |
|---|
| aaa new-model | global | AAA機能を有効化 |
| username ~ secret | global | ローカルユーザー作成(暗号化) |
| aaa authentication login | global | 認証方式リスト作成 |
| line console 0 | global | コンソールライン設定 |
| line vty 0 4 | global | リモートアクセス設定 |
| login authentication | line | AAA認証をlineに適用 |
line console と line vty の比較
| 項目 | line console | line vty |
|---|
| 接続方法 | 物理コンソール | Telnet / SSH |
| 主な用途 | 初期設定・現地作業 | リモート管理 |
| セキュリティ | 低 | 高(SSH推奨) |
| AAA適用 | 可能 | 必須 |
showコマンドでの確認
| コマンド | 内容 | |
|---|
| show running-config | section aaa | AAA設定確認 |
| show tacacs | TACACS+状態 | |
| show aaa servers | AAAサーバ状態 | |
CCNA・試験対策ポイント
- AAA=認証・認可・課金の3点セット
aaa new-model を忘れるとAAAは動かない- TACACS+は機器管理向け
- fallback(local)の指定が重要
まとめ
AAAはネットワーク機器のセキュリティと運用管理の要です。小規模ではローカル認証でも対応できますが、実務・試験ではAAAの理解が必須です。
CCNA学習では、
- 用語理解
- 設定の流れ
- RADIUS/TACACS+の違い
この3点を押さえておきましょう。
コメント