この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、User Change Password(UCP)Web サービスを使用するために設定する必要がある環境と、この Web サービスの使用方法について説明します。
UCP Web サービスを使用すると、内部ユーザの認証と、内部ユーザのパスワードの変更が可能です。この Web サービス インターフェイスを使用して、ACS と社内ポータルを統合し、組織内のユーザが自分のパスワードを変更できるようにします。
UCP Web サービスを使用すると、組織内のユーザは自分のパスワードだけを変更できます。パスワードは、プライマリまたはセカンダリ ACS サーバ上で変更できます。
UCP Web サービスによって、入力した新しいパスワードと ACS でユーザに設定されているパスワード ポリシーが比較されます。新しいパスワードが定義されている基準に準拠している場合、新しいパスワードが有効になります。プライマリ ACS サーバでパスワードを変更すると、そのパスワードは ACS によってすべてのセカンダリ ACS サーバに複製されます。
Monitoring and Report Viewer は、ACS Instance カタログの下で使用できる User_Change_Password_Audit レポートを提供します。このレポートを生成すると、内部データベースのユーザ パスワードに加えられたすべての変更を、UCP Web サービスを通じて加えられた変更を含めて追跡できます。このレポートを使用して、使用状況および失敗した認証を監視できます。
これで、ACS 5.5 から UCP.war ファイルをダウンロードし、jdk6 とともに JBoss 5.1.0.GA アプリケーションで使用できます。
ACS CLI での Web インターフェイスのイネーブル化
UCP Web サービスを使用する前に、ACS で Web インターフェイスをイネーブルにする必要があります。ACS で Web インターフェイスをイネーブルにするには、ACS CLI から次のように入力します。
acs config-web-interface コマンドの詳細については、次の URL を参照してください。
http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_system/5.5/command/
reference/cli_app_a.html#wp1887278
ACS CLI からの Web インターフェイスのステータス表示
Web インターフェイスのステータスを表示するには、ACS CLI から次のように入力します。
show acs-config-web-interface コマンドの詳細については、次の URL を参照してください。
http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_system/5.5/command/
reference/cli_app_a.html#wp1890877
UCP Web サービスは、次のメソッドで構成されています。
User Authentication メソッドは、内部データベースによってユーザの認証を行います。
ユーザ パスワードの変更を 2 段階の手順で行う必要のあるアプリケーションでは、 authenticateUser メソッドを使用します。たとえば、プロンプトを表示してユーザにパスワードの変更を要求する ACS ユーザ インターフェイス アプリケーションは、次の 2 つの手順でこの処理を実行しています。
ステップ 1 UCP Web アプリケーションに接続します。
authenticateUser Web サービス機能が呼び出されます。クレデンシャルが ACS 内部ストアのデータと一致すると、認証に成功します。
(注) このメソッドは、何も変更せず、タスクの実行も許可しません。このメソッドは、パスワードが正しいかどうかを確認するだけの目的で使用します。ただし、認証が成功した後、 User Change Password メソッドを使用して、パスワード変更ページに移動できます。
User Authentication メソッドからの応答は、次のいずれかです。
• ユーザ名またはパスワードが正しくないために認証が失敗した。
User Change Password メソッドは、内部データベースによってユーザの認証を行い、ユーザ パスワードを変更します。
ユーザ パスワードの変更を 1 段階の手順で行う必要のあるアプリケーションでは、 changeUserPassword メソッドを使用します。通常、ユーザ パスワードの変更は、2 段階の手順で実行されます。最初の手順でユーザを認証し、2 番目の手順でユーザ パスワードを変更します。
changeUserPassword メソッドを使用すると、2 段階の手順を 1 つに組み合わせることができます。ユーザ パスワードの変更に 1 段階の手順を必要とするアプリケーションの例として、スクリプトまたは単一ページの Web アプリケーションがあります。
ステップ 1 UCP Web アプリケーションに接続します。
authenticateUser Web サービス機能が呼び出されます。
認証に成功すると、Web サービスは新しいパスワードと ACS で構成されているパスワード ポリシーを比較します。
新しいパスワードが定義されている基準を満たしている場合、 changeUserPassword Web サービス機能が呼び出され、パスワードが変更されます。
User Change Password メソッドからの応答は、次のいずれかです。
• ユーザ名またはパスワードが正しくないために認証が失敗した。
• ACS で定義されているパスワードの複雑さに関する規則にパスワードが準拠していないため、パスワード変更操作が失敗した。
ここでは、WSDL ファイルについて説明し、User Authentication および User Change Password メソッドの要求および応答スキーマについて説明します。この項の構成は、次のとおりです。
ACS 5.5 Web インターフェイスから WSDL ファイルをダウンロードするには、次の手順に従います。
ステップ 1 ACS 5.5 Web インターフェイスにログインします。
ステップ 2 [System Administration] > [Downloads] > [User Change Password] を選択します。
ステップ 3 [UCP WSDL] をクリックして UCP WSDL ファイルを表示します。
ステップ 4 WSDL ファイルをローカル ハード ドライブにコピーします。
ステップ 5 [UCP web application example] をクリックして、サンプル Web アプリケーションをダウンロードし、ローカル ハード ドライブに保存します。
WSDL ファイルは、Web サービスと、Web サービスが公開する操作を記述する XML ドキュメントです。UCP WSDL を次に示します。
ここでは、User Authentication および User Change Password メソッドの要求および応答スキーマのリストを示します。ここでは、次のスキーマについて説明します。
ユーザが社内用の自分のパスワードを変更できるようにする、カスタム Web ベース アプリケーションを作成できます。ここでは、Python を使用して開発されたサンプル アプリケーションの実行方法について説明し、クライアント コードの例を示します。
ACS Web インターフェイスが提供するダウンロード可能なパッケージは、次のもので構成されます。
• Linux および Windows 用 Python SOAP ライブラリ
ステップ 1 ACS 5.5 Web インターフェイスにログインします。
ステップ 2 [System Administration] > [Downloads] > [Sample Python Scripts] を選択します。
[Sample Python Scripts] ページが表示されます。
ステップ 3 [Python Script for Using the User Change Password Web Service] をクリックします。
ステップ 4 ローカル ハード ドライブに .zip ファイルを保存します。
クライアント コードの例に .zip ファイルの例を示します。このファイルには .war ファイルが含まれています。この .war ファイルを Web サーバ(Tomcat など)に展開する必要があります。この例を使用すると、アプリケーションが UCP Web サービスを通じて ACS と通信できます。
(注) シスコのテクニカル サポートでは、デフォルトの Python スクリプトだけがサポートされています。変更されたスクリプトはサポートされていません。
(注) このスクリプトを実行するには、Python ソフトウェアが必要です。
JBoss サーバで UCP.war を展開するには、次の手順を実行します。
ステップ 1 JAVA_HOME が正しく設定されていることを確認します。JAVA_HOME は、JDK がインストールされている場所です。
ステップ 2 リンク http://www.jboss.org/jbossas/downloads/ から 5.1.0.GA JBoss をダウンロードし、展開します。
ステップ 3 JBoss サーバを起動します。<JBOSS_HOME>\bin\ に移動し、この場所から run.bat (Windows の場合)または run.sh (Linux の場合)コマンドを実行して JBoss サーバを起動する必要があります。JBoss サーバが正常に起動したことをコマンド プロンプトでチェックします。 JBoss サーバが正常に起動しない場合は、JBoss サポート チームに問い合わせてください。
ステップ 4 ブラウザで http://<JBOSS_Installed_Server_IP/HOSTNAME>:<PORT_CONFIGURED> と入力して JBoss サーバを起動します。JBoss サーバが正常に起動しない場合は、JBoss サポート チームに問い合わせる必要があります。
ステップ 5 <JBOSS_HOME>/bin/shutdown.bat または shutdown.sh コマンドを使用して JBoss サーバを停止します。
ステップ 6 Cisco Secure ACS にログインし、[System Administration] > [Downloads] > [User Change Password] を選択して UCP.war をダウンロードします。
ステップ 7 JBoss サーバの場所 <JBOSS_HOME>\server\default\deploy に UCP.war ファイルを配置します。
ステップ 8 JBoss サーバを起動します。<JBOSS_HOME>\bin\ に移動し、この場所から run.bat (Windows の場合)または run.sh (Linux の場合)コマンドを実行して JBoss サーバを起動する必要があります。JBoss サーバが正常に起動したことを確認する必要があります。
ステップ 9 場所 <JBOSS_HOME>\server\default\work\jboss.web\localhost\ に UCP ディレクトリが存在することを確認します。UCP ディレクトリが見つからない場合は、UCP.war を再度ダウンロードし、ステップ 7~10 を繰り返す必要があります。
ステップ 10 UCP.war を再度展開した後も、エラーまたは例外が見つかった場合は、場所 <JBOSS_HOME>\server\default\log\ にあるログを収集して、更に分析する必要があります。