この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章の内容は、次のとおりです。
Cisco UCS では、ユーザ ログインを認証するために、2 種類の方法がサポートされています。
システムを、サポートされているリモート認証サービスのいずれかに設定する場合は、そのサービス用のプロバイダーを作成して、Cisco UCS Manager がそのサービスと通信できるようにする必要があります。 また、ユーザ許可に影響する次のガイドラインに留意する必要があります。
ユーザ アカウントは、Cisco UCS Manager にローカルに、またはリモート認証サーバに存在することができます。
リモート認証サービスを介してログインしているユーザの一時的なセッションは、Cisco UCS Manager GUI または Cisco UCS Manager CLI で表示できます。
リモート認証サーバでユーザ アカウントを作成する場合は、ユーザが Cisco UCS Manager で作業するために必要なロールをそれらのアカウントに含めること、およびそれらのロールの名前を Cisco UCS Manager で使用される名前と一致させることが必要です。 ロール ポリシーによっては、ユーザがログインできない可能性があります。または、読み取り専用の権限だけが許可されます。
RADIUS および TACACS+ 設定の場合は、ユーザが Cisco UCS Manager にログインする各リモート認証プロバイダーの Cisco UCS にユーザ属性を設定する必要があります。 このユーザ属性は、各ユーザに割り当てられたロールとロケールを保持します。
(注) |
このステップは、ロールとロケールを割り当てるために LDAP グループ マッピングを使用する LDAP 設定には必要ありません。 |
ユーザがログインすると、Cisco UCS Manager は以下を実行します。
次に示すのは、カスタム CiscoAVPair 属性のサンプル OID です。
CN=CiscoAVPair,CN=Schema, CN=Configuration,CN=X objectClass: top objectClass: attributeSchema cn: CiscoAVPair distinguishedName: CN=CiscoAVPair,CN=Schema,CN=Configuration,CN=X instanceType: 0x4 uSNCreated: 26318654 attributeID: 1.3.6.1.4.1.9.287247.1 attributeSyntax: 2.5.5.12 isSingleValued: TRUE showInAdvancedViewOnly: TRUE adminDisplayName: CiscoAVPair adminDescription: UCS User Authorization Field oMSyntax: 64 lDAPDisplayName: CiscoAVPair name: CiscoAVPair objectCategory: CN=Attribute-Schema,CN=Schema,CN=Configuration,CN=X
LDAP グループ ルールは、ユーザ ロールとロケールをリモート ユーザに割り当てるときに Cisco UCS が LDAP グループを使用するかどうかを決定するために使用します。
このタスクで設定するプロパティは、Cisco UCS Manager で定義されているこのタイプのすべてのプロバイダー接続のデフォルト設定になります。 個々のプロバイダーにこれらのプロパティのいずれかの設定が含まれている場合、Cisco UCS はその設定を使用し、デフォルト設定を無視します。
LDAP サーバとして Active Directory を使用する場合、Cisco UCS にバインドする Active Directory サーバでユーザ アカウントを作成します。 このアカウントには、期限切れにならないパスワードを設定する必要があります。
LDAP プロバイダーを作成します。
Cisco UCS Manager は最大 16 の LDAP プロバイダーをサポートします。
LDAP サーバとして Active Directory を使用する場合、Cisco UCS にバインドする Active Directory サーバでユーザ アカウントを作成します。 このアカウントには、期限切れにならないパスワードを設定する必要があります。
LDAP グループを設定します。 LDAP グループにはユーザ ロールとロケール情報が含まれます。
Cisco UCS Manager のユーザ ロールとロケール情報を保持する属性を使用してユーザを設定します。 この属性の LDAP スキーマを拡張するかどうかを選択できます。 スキーマを拡張しない場合は、既存の LDAP 属性を使用して Cisco UCS ユーザ ロールとロケールを保持します。 スキーマを拡張する場合は、CiscoAVPair 属性など、カスタム属性を作成します。
シスコの LDAP 実装では Unicode タイプの属性が必要です。
CiscoAVPair のカスタム属性を作成する場合は、属性 ID として 1.3.6.1.4.1.9.287247.1 を使用します。
クラスタ設定では、両方のファブリック インターコネクトに対する管理ポート IP アドレスを追加します。 この設定では、1 つめのファブリック インターコネクトで障害が発生し、システムが 2 つめのファブリック インターコネクトにフェールオーバーしても、リモート ユーザは引き続きログインできることが保証されます。 ログイン要求はすべて、これらの IP アドレスから送信されます。Cisco UCS Manager によって使用されている仮想 IP アドレスではありません。
セキュアな通信を使用する場合は、Cisco UCS Manager で LDAP サーバのルート認証局(CA)証明書を含むトラスト ポイントを作成します。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [Work] ペインの [General] タブをクリックします。 |
ステップ 4 | [Actions] エリアで、[Create LDAP Provider] をクリックします。 |
ステップ 5 |
ウィザードの [Create LDAP Provider] ページで、次を実行します。
|
ステップ 6 |
ウィザードの [LDAP Group Rule] ページで、次を実行します。
|
1 つの LDAP データベースを含む実装では、認証サービスとして [LDAP] を選択します。
複数の LDAP データベースを含む実装では LDAP プロバイダーのグループを設定します。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 | ||||||||||
ステップ 2 | [Admin] タブで、 を展開します。 | ||||||||||
ステップ 3 | [LDAP Providers] を展開し、グループ ルールを変更する LDAP プロバイダーを選択します。 | ||||||||||
ステップ 4 | [Work] ペインの [General] タブをクリックします。 | ||||||||||
ステップ 5 |
[LDAP Group Rules] 領域で、次のフィールドに値を入力します。
|
||||||||||
ステップ 6 | [Save Changes] をクリックします。 |
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [LDAP Providers] を展開します。 |
ステップ 4 | 削除する LDAP プロバイダーを右クリックし、[Delete] を選択します。 |
ステップ 5 | Cisco UCS Manager GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。 |
すでに LDAP グループを使用して LDAP データベースへのアクセスを制限している組織では、ログイン時に LDAP ユーザにロールまたはロケールを割り当てるために UCSM がグループ メンバーシップ情報を使用できます。 このため、Cisco UCS Manager が導入されるときに LDAP ユーザ オブジェクトにロールまたはロケール情報を定義する必要はありません。
ユーザが Cisco UCS Manager にログインすると、ユーザのロールおよびロケールに関する情報が LDAP グループ マップから取り出されます。 ロールとロケールの条件がポリシー情報と一致する場合、アクセスが許可されます。
ロールとロケールの定義は UCSCisco UCS Manager でローカルに設定され、LDAP ディレクトリに対する変更に基づいて自動的に更新されることはありません。 LDAP ディレクトリの LDAP グループを削除するか、ファイルの名前を変更する場合、その変更で Cisco UCS Manager を更新することが重要です。
(注) |
Cisco UCS Manager には、多くのアウトオブザボックスのユーザ ロールが含まれていますが、ロケールはまったく含まれません。 ロケールへ LDAP プロバイダー グループをマッピングするには、カスタム ロケールを作成する必要があります。 |
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [LDAP Group Maps] を右クリックし、[Create LDAP Group Map] を選択します。 |
ステップ 4 |
[Create LDAP Group Map] ダイアログボックスで、次を実行します。
|
LDAP グループ ルールを設定します。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [LDAP Group Maps] を展開します。 |
ステップ 4 | 削除する LDAP グループ マップを右クリックし、[Delete] を選択します。 |
ステップ 5 | Cisco UCS Manager GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。 |
このタスクで設定するプロパティは、Cisco UCS Manager で定義されているこのタイプのすべてのプロバイダー接続のデフォルト設定になります。 個々のプロバイダーにこれらのプロパティのいずれかの設定が含まれている場合、Cisco UCS はその設定を使用し、デフォルト設定を無視します。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 | ||||||
ステップ 2 | [Admin] タブで、 を展開します。 | ||||||
ステップ 3 |
[Properties] 領域の次のフィールドに値を入力します。
|
||||||
ステップ 4 | [Save Changes] をクリックします。 |
RADIUS プロバイダーを作成します。
Cisco UCS Manager は最大 16 の RADIUS プロバイダーをサポートします。
RADIUS サーバで、次の設定を行います。
Cisco UCS Manager のユーザ ロールとロケール情報を保持する属性を使用してユーザを設定します。 この属性の RADIUS スキーマを拡張するかどうかを選択できます。 スキーマを拡張しない場合は、既存の RADIUS 属性を使用して Cisco UCS ユーザ ロールとロケールを保持します。 スキーマを拡張する場合は、cisco-avpair 属性などのカスタム属性を作成します。
Cisco RADIUS 実装のベンダー ID は 009 で、属性のベンダー ID は 001 です。
次の構文は、cisco-avpair 属性を作成する場合に、複数のユーザ ロールとロケールを指定する例を示しています:shell:roles="admin,aaa" shell:locales="L1,abc"。 複数の値を区切るには、デリミタとしてカンマ(,)を使用します。
クラスタ設定では、両方のファブリック インターコネクトに対する管理ポート IP アドレスを追加します。 この設定では、1 つめのファブリック インターコネクトで障害が発生し、システムが 2 つめのファブリック インターコネクトにフェールオーバーしても、リモート ユーザは引き続きログインできることが保証されます。 ログイン要求はすべて、これらの IP アドレスから送信されます。Cisco UCS Manager によって使用されている仮想 IP アドレスではありません。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 |
[Create RADIUS Provider] ダイアログボックスで、次の手順を実行します。
|
ステップ 4 | [Save Changes] をクリックします。 |
1 つの RADIUS データベースを含む実装では、プライマリ認証サービスとして [RADIUS] を選択します。
複数の RADIUS データベースを含む実装では RADIUS プロバイダーのグループを設定します。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | 削除する RADIUS プロバイダーを右クリックし、[Delete] を選択します。 |
ステップ 4 | Cisco UCS Manager GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。 |
このタスクで設定するプロパティは、Cisco UCS Manager で定義されているこのタイプのすべてのプロバイダー接続のデフォルト設定になります。 個々のプロバイダーにこれらのプロパティのいずれかの設定が含まれている場合、Cisco UCS はその設定を使用し、デフォルト設定を無視します。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 |
[Properties] 領域で、 [Timeout] フィールドに値を入力します。 タイムアウトになるまで TACACS+ データベースとの接続が試みられる秒数。 1 ~ 60 秒の整数を入力するか、または 0(ゼロ)を入力して TACACS+ の [General] タブで指定したグローバル タイムアウト値を使用します。 デフォルトは 5 秒です。 |
ステップ 4 | [Save Changes] をクリックします。 |
TACACS+ プロバイダーを作成します。
Cisco UCS Manager は最大 16 の TACACS+ プロバイダーをサポートします。
TACACS+ サーバで、次の設定を行います。
cisco-av-pair 属性を作成します。 既存の TACACS+ 属性は使用できません。
cisco-av-pair の名前は、TACACS+ プロバイダーに属性 ID を指定する文字列です。
次の構文は、cisco-av-pair 属性を作成する場合に、複数のユーザ ロールとロケールを指定する方法を示しています:cisco-av-pair=shell:roles="admin aaa" shell:locales*"L1 abc"。 アスタリスク(*)を cisco-av-pair 属性構文内で使用することで、オプションとしてロケールにフラグを立て、同じ認証プロファイルを使用する他のシスコ デバイスに対する認証が失敗しないようにします。 複数の値を区切るには、デリミタとしてスペースを使用します。
クラスタ設定では、両方のファブリック インターコネクトに対する管理ポート IP アドレスを追加します。 この設定では、1 つめのファブリック インターコネクトで障害が発生し、システムが 2 つめのファブリック インターコネクトにフェールオーバーしても、リモート ユーザは引き続きログインできることが保証されます。 ログイン要求はすべて、これらの IP アドレスから送信されます。Cisco UCS Manager によって使用されている仮想 IP アドレスではありません。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [General] タブの [Actions] 領域で、[Create TACACS+ Provider] をクリックします。 |
ステップ 4 |
[Create TACACS+ Provider] ダイアログボックスで、次の手順を実行します。
|
ステップ 5 | [Save Changes] をクリックします。 |
1 つの TACACS+ データベースを含む実装では、プライマリ認証サービスとして [TACACS+] を選択します。
複数の TACACS+ データベースを含む実装では TACACS+ プロバイダーのグループを設定します。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | 削除する TACACS+ プロバイダーを右クリックし、[Delete] を選択します。 |
ステップ 4 | Cisco UCS Manager GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。 |
次の機能を設定して、複数の認証システムを使用するように Cisco UCS を設定できます。
プロバイダー グループは、認証プロセス中に Cisco UCS が使用する一連のプロバイダーです。 Cisco UCS Manager Cisco UCS Manager では、グループごとに最大 8 プロバイダーが許可されるプロバイダー グループを最大 16 作成できます。
認証中、プロバイダー グループ内のすべてのプロバイダーは順番に試行されます。 設定されたサーバがすべて使用できないか、到達不能の場合、Cisco UCS Manager はローカル ユーザ名とパスワードを使用してローカル認証方式に自動的にフォールバックします。
(注) |
単一の LDAP データベースでの認証では、LDAP プロバイダーのグループを設定する必要はありません。 |
1 つ以上の LDAP プロバイダーを作成します。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [LDAP Provider Groups] を右クリックし、[Create LDAP Provider Group] を選択します。 |
ステップ 4 |
[Create LDAP Provider Group] ダイアログボックスで、次を実行します。
|
認証ドメインを設定するか、デフォルトの認証サービスを選択します。
認証設定からプロバイダー グループを削除します。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [LDAP Provider Groups] を展開します。 |
ステップ 4 | 削除する LDAP プロバイダー グループを右クリックし、[Delete] を選択します。 |
ステップ 5 | Cisco UCS Manager GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。 |
(注) |
単一の RADIUS データベースでの認証では、RADIUS プロバイダーのグループを設定する必要はありません。 |
1 つ以上の RADIUS プロバイダーを作成します。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [RADIUS Provider Groups] を右クリックし、[Create RADIUS Provider Group] を選択します。 |
ステップ 4 |
[Create RADIUS Provider Group] ダイアログボックスで、次を実行します。
|
認証ドメインを設定するか、デフォルトの認証サービスを選択します。
認証設定によって使用されているプロバイダーのグループは削除できません。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [RADIUS Provider Groups] を展開します。 |
ステップ 4 | 削除する RADIUS プロバイダー グループを右クリックし、[Delete] を選択します。 |
ステップ 5 | Cisco UCS Manager GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。 |
(注) |
単一の TACACS+ データベースでの認証では、TACACS+ プロバイダーのグループを設定する必要はありません。 |
1 つ以上の TACACS+ プロバイダーを作成します。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [TACACS+ Provider Groups] を右クリックし、[Create TACACS+ Provider Group] を選択します。 |
ステップ 4 |
[Create TACACS+ Provider Group] ダイアログボックスで、次を実行します。
|
認証設定によって使用されているプロバイダーのグループは削除できません。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [TACACS+ Provider Groups] を展開します。 |
ステップ 4 | 削除する TACACS+ プロバイダー グループを右クリックし、[Delete] を選択します。 |
ステップ 5 | Cisco UCS Manager GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。 |
認証ドメインは、マルチ認証システムを活用するために Cisco UCS Manager によって使用されます。 各認証ドメインは、ログイン時に指定および設定されます。 認証ドメインが指定されない場合、デフォルトの認証サービス設定が使用されます。
最大 8 個の認証ドメインを作成できます。 各認証ドメインは、Cisco UCS Manager のプロバイダー グループとレルムに関連付けられます。 プロバイダー グループが指定されていない場合、レルム内のすべてのサーバが使用されます。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 | ||||||||||||||
ステップ 2 | [Admin] タブで、 を展開します。 | ||||||||||||||
ステップ 3 | [Authentication Domains] を右クリックし、[Create a Domain] を選択します。 | ||||||||||||||
ステップ 4 |
[Create a Domain] ダイアログボックスで、次のフィールドに値を入力します。
|
||||||||||||||
ステップ 5 | [OK] をクリックします。 |
システムでリモート認証サービスが使用されている場合は、その認証サービスに対するプロバイダーを作成します。 システムが Cisco UCS を介してローカル認証のみを使用する場合は、最初にプロバイダーを作成する必要はありません。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 | ||||||
ステップ 2 | [Admin] タブで、 を展開します。 | ||||||
ステップ 3 | [Native Authentication] をクリックします。 | ||||||
ステップ 4 | [Work] ペインの [General] タブをクリックします。 | ||||||
ステップ 5 |
[Console Authentication] タブ領域で、次のフィールドに値を入力します。
|
||||||
ステップ 6 | [Save Changes] をクリックします。 |
システムでリモート認証サービスが使用されている場合は、その認証サービスに対するプロバイダーを作成します。 システムが Cisco UCS を介してローカル認証のみを使用する場合は、最初にプロバイダーを作成する必要はありません。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 | ||||||
ステップ 2 | [Admin] タブで、 を展開します。 | ||||||
ステップ 3 | [Native Authentication] をクリックします。 | ||||||
ステップ 4 | [Work] ペインの [General] タブをクリックします。 | ||||||
ステップ 5 |
[Default Authentication] タブ領域で、次のフィールドに値を入力します。
|
||||||
ステップ 6 | [Save Changes] をクリックします。 |
デフォルトでは、Cisco UCS Manager でユーザ ロールが設定されていない場合、読み取り専用アクセスが LDAP、RADIUS、または TACACS プロトコルを使用してリモート サーバから Cisco UCS Manager にログインしているすべてのユーザに許可されます。 セキュリティ上の理由から、Cisco UCS Manager で確立されたユーザ ロールに一致しているユーザへアクセスを制限するのが望ましい場合があります。
ユーザ ロールに基づいて Cisco UCS Manager へのユーザ アクセスを制限しません。 Cisco UCS Manager でその他のユーザ ロールが定義されていない場合、すべてのユーザに読み取り専用アクセスが許可されます。
これはデフォルトの動作です。
ユーザ ロールに基づいて Cisco UCS Manager へのユーザ アクセスを制限します。 ユーザ ロールがリモート認証システムに割り当てられていない場合、アクセスは拒否されます。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [Native Authentication] をクリックします。 |
ステップ 4 | [Work] ペインの [General] タブをクリックします。 |
ステップ 5 |
[Role Policy for Remote Users] フィールドでは、ユーザがログインしようとして、リモート認証プロバイダーでユーザ ロールに認証情報が提供されていないときに何が発生するかを決定するには次のいずれかのオプション ボタンをクリックします。 |
ステップ 6 | [Save Changes] をクリックします。 |
目次
- 認証の設定
- 認証サービス
- リモート認証プロバイダーに関する注意事項および推奨事項
- リモート認証プロバイダーのユーザ属性
- LDAP グループ ルール
- LDAP プロバイダーの設定
- LDAP プロバイダーのプロパティの設定
- LDAP プロバイダーの作成
- LDAP プロバイダーの LDAP グループ ルールの変更
- LDAP プロバイダーの削除
- LDAP グループ マッピング
- LDAP グループ マップの作成
- LDAP グループ マップの削除
- RADIUS プロバイダーの設定
- RADIUS プロバイダーのプロパティの設定
- RADIUS プロバイダーの作成
- RADIUS プロバイダーの削除
- TACACS+ プロバイダーの設定
- TACACS+ プロバイダーのプロパティの設定
- TACACS+ プロバイダーの作成
- TACACS+ プロバイダーの削除
- マルチ認証システムの設定
- マルチ認証システム
- プロバイダー グループ
- LDAP プロバイダー グループの作成
- LDAP プロバイダー グループの削除
- RADIUS プロバイダー グループの作成
- RADIUS プロバイダー グループの削除
- TACACS+ プロバイダー グループの作成
- TACACS+ プロバイダー グループの削除
- 認証ドメイン
- 認証ドメインの作成
- プライマリ認証サービスの選択
- コンソール認証サービスの選択
- デフォルトの認証サービスの選択
- リモート ユーザのロール ポリシー
- リモート ユーザのロール ポリシーの設定
この章の内容は、次のとおりです。
- 認証サービス
- リモート認証プロバイダーに関する注意事項および推奨事項
- リモート認証プロバイダーのユーザ属性
- LDAP グループ ルール
- LDAP プロバイダーの設定
- RADIUS プロバイダーの設定
- TACACS+ プロバイダーの設定
- マルチ認証システムの設定
- プライマリ認証サービスの選択
リモート認証プロバイダーに関する注意事項および推奨事項
システムを、サポートされているリモート認証サービスのいずれかに設定する場合は、そのサービス用のプロバイダーを作成して、Cisco UCS Manager がそのサービスと通信できるようにする必要があります。 また、ユーザ許可に影響する次のガイドラインに留意する必要があります。
リモート認証プロバイダーのユーザ属性
RADIUS および TACACS+ 設定の場合は、ユーザが Cisco UCS Manager にログインする各リモート認証プロバイダーの Cisco UCS にユーザ属性を設定する必要があります。 このユーザ属性は、各ユーザに割り当てられたロールとロケールを保持します。
(注)
このステップは、ロールとロケールを割り当てるために LDAP グループ マッピングを使用する LDAP 設定には必要ありません。
ユーザがログインすると、Cisco UCS Manager は以下を実行します。
次の表に、Cisco UCS によってサポートされるリモート認証プロバイダーのユーザ属性要件の比較を示します。
表 1 リモート認証プロバイダー別のユーザ属性の比較認証プロバイダー カスタム属性 スキーマ拡張 属性 ID の要件 LDAP
グループ マッピングを使用する場合は不要
グループ マッピングを使用しない場合はオプション
オプション 次のいずれかを実行するように選択できます。
シスコの LDAP 実装では Unicode タイプの属性が必要です。
CiscoAVPair のカスタム属性を作成する場合は、属性 ID として 1.3.6.1.4.1.9.287247.1 を使用します。
サンプル OID は、次の項で説明します。
RADIUS
オプション
オプション 次のいずれかを実行するように選択できます。
Cisco RADIUS 実装のベンダー ID は 009 で、属性のベンダー ID は 001 です。
次の構文は、cisco-avpair 属性を作成する場合に、複数のユーザ ロールとロケールを指定する例を示しています:shell:roles="admin,aaa" shell:locales="L1,abc"。 複数の値を区切るには、デリミタとしてカンマ(,)を使用します。
TACACS+
Required
必須です。 スキーマを拡張して、cisco-av-pair という名前でカスタム属性を作成する必要があります。
cisco-av-pair の名前は、TACACS+ プロバイダーに属性 ID を指定する文字列です。
次の構文は、cisco-av-pair 属性を作成する場合に、複数のユーザ ロールとロケールを指定する方法を示しています:cisco-av-pair=shell:roles="admin aaa" shell:locales*"L1 abc"。 アスタリスク(*)を cisco-av-pair 属性構文内で使用することで、オプションとしてロケールにフラグを立て、同じ認証プロファイルを使用する他のシスコ デバイスに対する認証が失敗しないようにします。 複数の値を区切るには、デリミタとしてスペースを使用します。
LDAP ユーザ属性のサンプル OID
次に示すのは、カスタム CiscoAVPair 属性のサンプル OID です。
CN=CiscoAVPair,CN=Schema, CN=Configuration,CN=X objectClass: top objectClass: attributeSchema cn: CiscoAVPair distinguishedName: CN=CiscoAVPair,CN=Schema,CN=Configuration,CN=X instanceType: 0x4 uSNCreated: 26318654 attributeID: 1.3.6.1.4.1.9.287247.1 attributeSyntax: 2.5.5.12 isSingleValued: TRUE showInAdvancedViewOnly: TRUE adminDisplayName: CiscoAVPair adminDescription: UCS User Authorization Field oMSyntax: 64 lDAPDisplayName: CiscoAVPair name: CiscoAVPair objectCategory: CN=Attribute-Schema,CN=Schema,CN=Configuration,CN=XLDAP グループ ルール
LDAP グループ ルールは、ユーザ ロールとロケールをリモート ユーザに割り当てるときに Cisco UCS が LDAP グループを使用するかどうかを決定するために使用します。
LDAP プロバイダーのプロパティの設定
このタスクで設定するプロパティは、Cisco UCS Manager で定義されているこのタイプのすべてのプロバイダー接続のデフォルト設定になります。 個々のプロバイダーにこれらのプロパティのいずれかの設定が含まれている場合、Cisco UCS はその設定を使用し、デフォルト設定を無視します。
はじめる前に手順LDAP サーバとして Active Directory を使用する場合、Cisco UCS にバインドする Active Directory サーバでユーザ アカウントを作成します。 このアカウントには、期限切れにならないパスワードを設定する必要があります。
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [Properties] 領域の次のフィールドに値を入力します。
名前 説明 [Timeout] フィールド
LDAP データベースへの問い合わせがタイム アウトするまでの秒数。
1 ~ 60 秒の整数を入力します。 デフォルト値は 30 秒です。
このプロパティは必須です。
[Attribute] フィールド
ユーザ ロールとロケールの値を保管する LDAP 属性。 このプロパティは、常に、名前と値のペアで指定されます。 システムは、ユーザ レコードで、この属性名と一致する値を検索します。
LDAP スキーマを拡張しない場合、既存の、使用されていない LDAP 属性を Cisco UCS ロールとロケールで設定できます。 あるいは、CiscoAVPair という名前の属性を、属性 ID 1.3.6.1.4.1.9.287247.1 を使用してリモート認証サービスに作成できます。
[Base DN] フィールド
リモート ユーザがログインし、システムがユーザ名に基づいてユーザの DN を取得しようとするときに、サーバが検索を開始する必要のある LDAP 階層内の特定の識別名。 サポートされるストリングの最大長は 127 文字です。
このプロパティは必須です。 このタブで Base DN を指定しない場合、この UCS ドメインに定義されている LDAP プロバイダーごとに、[General]Cisco UCS ドメインタブに任意の値を指定する必要があります。
[Filter] フィールド
LDAP 検索は、定義したフィルタと一致するユーザ名に制限されます。
このプロパティは必須です。 このタブでフィルタを指定しない場合、この UCS ドメインに定義されている LDAP プロバイダーごとに、[General]Cisco UCS ドメインタブに任意のフィルタを指定する必要があります。
ステップ 4 [Save Changes] をクリックします。
次の作業
LDAP プロバイダーを作成します。
LDAP プロバイダーの作成
はじめる前に手順LDAP サーバとして Active Directory を使用する場合、Cisco UCS にバインドする Active Directory サーバでユーザ アカウントを作成します。 このアカウントには、期限切れにならないパスワードを設定する必要があります。
LDAP グループを設定します。 LDAP グループにはユーザ ロールとロケール情報が含まれます。
Cisco UCS Manager のユーザ ロールとロケール情報を保持する属性を使用してユーザを設定します。 この属性の LDAP スキーマを拡張するかどうかを選択できます。 スキーマを拡張しない場合は、既存の LDAP 属性を使用して Cisco UCS ユーザ ロールとロケールを保持します。 スキーマを拡張する場合は、CiscoAVPair 属性など、カスタム属性を作成します。
シスコの LDAP 実装では Unicode タイプの属性が必要です。
CiscoAVPair のカスタム属性を作成する場合は、属性 ID として 1.3.6.1.4.1.9.287247.1 を使用します。
クラスタ設定では、両方のファブリック インターコネクトに対する管理ポート IP アドレスを追加します。 この設定では、1 つめのファブリック インターコネクトで障害が発生し、システムが 2 つめのファブリック インターコネクトにフェールオーバーしても、リモート ユーザは引き続きログインできることが保証されます。 ログイン要求はすべて、これらの IP アドレスから送信されます。Cisco UCS Manager によって使用されている仮想 IP アドレスではありません。
セキュアな通信を使用する場合は、Cisco UCS Manager で LDAP サーバのルート認証局(CA)証明書を含むトラスト ポイントを作成します。
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [Work] ペインの [General] タブをクリックします。 ステップ 4 [Actions] エリアで、[Create LDAP Provider] をクリックします。 ステップ 5 ウィザードの [Create LDAP Provider] ページで、次を実行します。
ステップ 6 ウィザードの [LDAP Group Rule] ページで、次を実行します。
次の作業
1 つの LDAP データベースを含む実装では、認証サービスとして [LDAP] を選択します。
複数の LDAP データベースを含む実装では LDAP プロバイダーのグループを設定します。
LDAP プロバイダーの LDAP グループ ルールの変更
手順
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [LDAP Providers] を展開し、グループ ルールを変更する LDAP プロバイダーを選択します。 ステップ 4 [Work] ペインの [General] タブをクリックします。 ステップ 5 [LDAP Group Rules] 領域で、次のフィールドに値を入力します。
名前 説明 [Group Authorization] フィールド
ユーザ ロールとロケールを認証して、それらをリモート ユーザに割り当てるときに、Cisco UCS が LDAP グループも検索するかどうか。 次のいずれかになります。
[Disable]:Cisco UCSCisco UCSは LDAP グループにアクセスしません。
[Enable]:Cisco UCS はこの Cisco UCS ドメイン内にマッピングされたすべての LDAP グループを検索します。 リモート ユーザが検出されると、Cisco UCS は関連付けられた LDAP グループ マップの LDAP グループに定義されたユーザ ロールとロケールを割り当てます。
(注) ロールとロケールの割り当ては累積されます。 ユーザが複数のグループに含まれているか、LDAP 属性に指定されているロールまたはロケールを持っている場合、Cisco UCS はそのユーザに、それらのグループまたは属性のいずれかにマップされているすべてのロールおよびロケールを割り当てます。
[Group Recursion] フィールド
Cisco UCS がマップされたグループとそれらの親グループの両方を検索するかどうか。 次のいずれかになります。
[Non Recursive]:Cisco UCS は、この Cisco UCS ドメインにマップされたグループのみを検索します。 ユーザが含まれているグループのいずれも明示的にユーザ認可プロパティを設定していない場合、Cisco UCS はデフォルト設定を使用します。
[Recursive]:Cisco UCS はマップされている各グループとそのすべての親グループに対して、ユーザの許可プロパティを検索します。 これらのプロパティは累積的であるため、各グループに対して、Cisco UCS は明示的な許可プロパティ設定を使用して検索し、それらの設定を現在のユーザに適用します。 それ以外の場合は、デフォルト設定を使用します。
[Target Attribute] フィールド
ステップ 6 [Save Changes] をクリックします。
LDAP グループ マッピング
すでに LDAP グループを使用して LDAP データベースへのアクセスを制限している組織では、ログイン時に LDAP ユーザにロールまたはロケールを割り当てるために UCSM がグループ メンバーシップ情報を使用できます。 このため、Cisco UCS Manager が導入されるときに LDAP ユーザ オブジェクトにロールまたはロケール情報を定義する必要はありません。
ユーザが Cisco UCS Manager にログインすると、ユーザのロールおよびロケールに関する情報が LDAP グループ マップから取り出されます。 ロールとロケールの条件がポリシー情報と一致する場合、アクセスが許可されます。
ロールとロケールの定義は UCSCisco UCS Manager でローカルに設定され、LDAP ディレクトリに対する変更に基づいて自動的に更新されることはありません。 LDAP ディレクトリの LDAP グループを削除するか、ファイルの名前を変更する場合、その変更で Cisco UCS Manager を更新することが重要です。
たとえば、特定の場所でサーバ管理者グループを表す LDAP グループを考慮します。 LDAP グループ マップは server-profile および server-equipment などのユーザ ロールを含むように設定されている場合があります。 特定の場所でサーバ管理者へのアクセスを制限するには、ロケールを特定のサイト名に設定できます。
(注)
Cisco UCS Manager には、多くのアウトオブザボックスのユーザ ロールが含まれていますが、ロケールはまったく含まれません。 ロケールへ LDAP プロバイダー グループをマッピングするには、カスタム ロケールを作成する必要があります。
LDAP グループ マップの作成
RADIUS プロバイダーのプロパティの設定
手順このタスクで設定するプロパティは、Cisco UCS Manager で定義されているこのタイプのすべてのプロバイダー接続のデフォルト設定になります。 個々のプロバイダーにこれらのプロパティのいずれかの設定が含まれている場合、Cisco UCS はその設定を使用し、デフォルト設定を無視します。
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [Properties] 領域の次のフィールドに値を入力します。 ステップ 4 [Save Changes] をクリックします。
次の作業
RADIUS プロバイダーを作成します。
RADIUS プロバイダーの作成
はじめる前に手順RADIUS サーバで、次の設定を行います。
Cisco UCS Manager のユーザ ロールとロケール情報を保持する属性を使用してユーザを設定します。 この属性の RADIUS スキーマを拡張するかどうかを選択できます。 スキーマを拡張しない場合は、既存の RADIUS 属性を使用して Cisco UCS ユーザ ロールとロケールを保持します。 スキーマを拡張する場合は、cisco-avpair 属性などのカスタム属性を作成します。
Cisco RADIUS 実装のベンダー ID は 009 で、属性のベンダー ID は 001 です。
次の構文は、cisco-avpair 属性を作成する場合に、複数のユーザ ロールとロケールを指定する例を示しています:shell:roles="admin,aaa" shell:locales="L1,abc"。 複数の値を区切るには、デリミタとしてカンマ(,)を使用します。
クラスタ設定では、両方のファブリック インターコネクトに対する管理ポート IP アドレスを追加します。 この設定では、1 つめのファブリック インターコネクトで障害が発生し、システムが 2 つめのファブリック インターコネクトにフェールオーバーしても、リモート ユーザは引き続きログインできることが保証されます。 ログイン要求はすべて、これらの IP アドレスから送信されます。Cisco UCS Manager によって使用されている仮想 IP アドレスではありません。
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [Create RADIUS Provider] ダイアログボックスで、次の手順を実行します。
ステップ 4 [Save Changes] をクリックします。
次の作業
1 つの RADIUS データベースを含む実装では、プライマリ認証サービスとして [RADIUS] を選択します。
複数の RADIUS データベースを含む実装では RADIUS プロバイダーのグループを設定します。
TACACS+ プロバイダーのプロパティの設定
手順このタスクで設定するプロパティは、Cisco UCS Manager で定義されているこのタイプのすべてのプロバイダー接続のデフォルト設定になります。 個々のプロバイダーにこれらのプロパティのいずれかの設定が含まれている場合、Cisco UCS はその設定を使用し、デフォルト設定を無視します。
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [Properties] 領域で、 [Timeout] フィールドに値を入力します。 タイムアウトになるまで TACACS+ データベースとの接続が試みられる秒数。
1 ~ 60 秒の整数を入力するか、または 0(ゼロ)を入力して TACACS+ の [General] タブで指定したグローバル タイムアウト値を使用します。 デフォルトは 5 秒です。
ステップ 4 [Save Changes] をクリックします。
次の作業
TACACS+ プロバイダーを作成します。
TACACS+ プロバイダーの作成
はじめる前に手順TACACS+ サーバで、次の設定を行います。
cisco-av-pair 属性を作成します。 既存の TACACS+ 属性は使用できません。
cisco-av-pair の名前は、TACACS+ プロバイダーに属性 ID を指定する文字列です。
次の構文は、cisco-av-pair 属性を作成する場合に、複数のユーザ ロールとロケールを指定する方法を示しています:cisco-av-pair=shell:roles="admin aaa" shell:locales*"L1 abc"。 アスタリスク(*)を cisco-av-pair 属性構文内で使用することで、オプションとしてロケールにフラグを立て、同じ認証プロファイルを使用する他のシスコ デバイスに対する認証が失敗しないようにします。 複数の値を区切るには、デリミタとしてスペースを使用します。
クラスタ設定では、両方のファブリック インターコネクトに対する管理ポート IP アドレスを追加します。 この設定では、1 つめのファブリック インターコネクトで障害が発生し、システムが 2 つめのファブリック インターコネクトにフェールオーバーしても、リモート ユーザは引き続きログインできることが保証されます。 ログイン要求はすべて、これらの IP アドレスから送信されます。Cisco UCS Manager によって使用されている仮想 IP アドレスではありません。
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [General] タブの [Actions] 領域で、[Create TACACS+ Provider] をクリックします。 ステップ 4 [Create TACACS+ Provider] ダイアログボックスで、次の手順を実行します。
ステップ 5 [Save Changes] をクリックします。
次の作業
1 つの TACACS+ データベースを含む実装では、プライマリ認証サービスとして [TACACS+] を選択します。
複数の TACACS+ データベースを含む実装では TACACS+ プロバイダーのグループを設定します。
プロバイダー グループ
プロバイダー グループは、認証プロセス中に Cisco UCS が使用する一連のプロバイダーです。 Cisco UCS Manager Cisco UCS Manager では、グループごとに最大 8 プロバイダーが許可されるプロバイダー グループを最大 16 作成できます。
認証中、プロバイダー グループ内のすべてのプロバイダーは順番に試行されます。 設定されたサーバがすべて使用できないか、到達不能の場合、Cisco UCS Manager はローカル ユーザ名とパスワードを使用してローカル認証方式に自動的にフォールバックします。
LDAP プロバイダー グループの作成
手順LDAP プロバイダーのグループを作成すると、複数の LDAP データベースを使用して認証を行うことができます。
(注)
単一の LDAP データベースでの認証では、LDAP プロバイダーのグループを設定する必要はありません。
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [LDAP Provider Groups] を右クリックし、[Create LDAP Provider Group] を選択します。 ステップ 4 [Create LDAP Provider Group] ダイアログボックスで、次を実行します。
次の作業
認証ドメインを設定するか、デフォルトの認証サービスを選択します。
RADIUS プロバイダー グループの作成
手順RADIUS プロバイダーのグループを作成すると、複数の RADIUS データベースを使用して認証を行うことができます。
(注)
単一の RADIUS データベースでの認証では、RADIUS プロバイダーのグループを設定する必要はありません。
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [RADIUS Provider Groups] を右クリックし、[Create RADIUS Provider Group] を選択します。 ステップ 4 [Create RADIUS Provider Group] ダイアログボックスで、次を実行します。
次の作業
認証ドメインを設定するか、デフォルトの認証サービスを選択します。
TACACS+ プロバイダー グループの作成
手順TACACS+ プロバイダーのグループを作成すると、複数の TACACS+ データベースを使用して認証を行うことができます。
(注)
単一の TACACS+ データベースでの認証では、TACACS+ プロバイダーのグループを設定する必要はありません。
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [TACACS+ Provider Groups] を右クリックし、[Create TACACS+ Provider Group] を選択します。 ステップ 4 [Create TACACS+ Provider Group] ダイアログボックスで、次を実行します。
認証ドメイン
認証ドメインは、マルチ認証システムを活用するために Cisco UCS Manager によって使用されます。 各認証ドメインは、ログイン時に指定および設定されます。 認証ドメインが指定されない場合、デフォルトの認証サービス設定が使用されます。
最大 8 個の認証ドメインを作成できます。 各認証ドメインは、Cisco UCS Manager のプロバイダー グループとレルムに関連付けられます。 プロバイダー グループが指定されていない場合、レルム内のすべてのサーバが使用されます。
認証ドメインの作成
手順
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [Authentication Domains] を右クリックし、[Create a Domain] を選択します。 ステップ 4 [Create a Domain] ダイアログボックスで、次のフィールドに値を入力します。
名前 説明 この名前には、1 ~ 16 文字の英数字を使用できます。 -(ハイフン)、_(アンダースコア)、:(コロン)、および .(ピリオド)以外の特殊文字またはスペースは使用できません。また、オブジェクトを保存した後、この名前を変更することはできません。
(注) 優先する認証プロトコルとして RADIUS を使用するシステムの場合、認証ドメイン名はローカルに作成されたユーザ名に最大 32 文字のユーザ名および番号の一部と見なされます。 Cisco UCS はフォーマット用に 5 文字を挿入するため、ドメイン名とユーザ名を組み合わせた総数が 27 文字を超えると認証が失敗します。
Web クライアントが Cisco UCS Manager に接続する場合、クライアントはリフレッシュ要求を Cisco UCS Manager に送信して Web セッションをアクティブに保つ必要があります。 このオプションによって、このドメイン内のユーザに対するリフレッシュ要求の間に許容される最大時間が指定されます。
この時間制限を超えると、Cisco UCS Manager は Web セッションが非アクティブであると見なしますが、セッションは終了されません。
Cisco UCS Manager が、Web セッションが終了したと見なす前提となる最終リフレッシュ要求後の最大経過時間。 この時間制限を超えると、Cisco UCS Manager は自動的に Web セッションを終了します。
このドメインのユーザに適用される認証プロトコル。 次のいずれかになります。
[Realm] が [Local] 以外に設定されている場合、このフィールドを使用して、関連するプロバイダー グループ(ある場合)を選択できます。
ステップ 5 [OK] をクリックします。
コンソール認証サービスの選択
はじめる前に手順システムでリモート認証サービスが使用されている場合は、その認証サービスに対するプロバイダーを作成します。 システムが Cisco UCS を介してローカル認証のみを使用する場合は、最初にプロバイダーを作成する必要はありません。
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [Native Authentication] をクリックします。 ステップ 4 [Work] ペインの [General] タブをクリックします。 ステップ 5 [Console Authentication] タブ領域で、次のフィールドに値を入力します。
名前 説明 [Realm] フィールド
コンソールにログインするユーザが認証される方法。 次のいずれかになります。
[Local]:ユーザ アカウントはこの Cisco UCS ドメインでローカルで定義する必要があります。
[Radius]:ユーザは、この Cisco UCS ドメインに指定された RADIUS サーバで定義する必要があります。
[Tacacs]:ユーザは、この Cisco UCS ドメインに定義された TACACS+ サーバで定義する必要があります。
[Ldap]:ユーザは、この Cisco UCS ドメインに指定された LDAP サーバで定義する必要があります。
[None]:ユーザ アカウントがこの Cisco UCS ドメインに対してローカルである場合、ユーザがコンソールにログインするときにパスワードは必要ありません。
[Provider Group] ドロップダウン リスト コンソールにログインするユーザの認証に使用するプロバイダーのグループ。
ステップ 6 [Save Changes] をクリックします。
デフォルトの認証サービスの選択
はじめる前に手順システムでリモート認証サービスが使用されている場合は、その認証サービスに対するプロバイダーを作成します。 システムが Cisco UCS を介してローカル認証のみを使用する場合は、最初にプロバイダーを作成する必要はありません。
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [Native Authentication] をクリックします。 ステップ 4 [Work] ペインの [General] タブをクリックします。 ステップ 5 [Default Authentication] タブ領域で、次のフィールドに値を入力します。
名前 説明 [Realm] ドロップダウン リスト
リモート ログイン中にユーザが認証されるデフォルトの方法。 次のいずれかになります。
[Local]:ユーザ アカウントはこの Cisco UCS ドメインでローカルで定義する必要があります。
[Radius]:ユーザは、この Cisco UCS ドメインに指定された RADIUS サーバで定義する必要があります。
[Tacacs]:ユーザは、この Cisco UCS ドメインに定義された TACACS+ サーバで定義する必要があります。
[Ldap]:ユーザは、この Cisco UCS ドメインに指定された LDAP サーバで定義する必要があります。
[None]:ユーザ アカウントがこの Cisco UCS ドメインインスタンスに対してローカルである場合、ユーザがリモートでログインするときにパスワードは必要ありません。
[Provider Group] ドロップダウン リスト リモート ログイン中にユーザを認証するために使用するデフォルト プロバイダーのグループ。
ステップ 6 [Save Changes] をクリックします。
リモート ユーザのロール ポリシー
デフォルトでは、Cisco UCS Manager でユーザ ロールが設定されていない場合、読み取り専用アクセスが LDAP、RADIUS、または TACACS プロトコルを使用してリモート サーバから Cisco UCS Manager にログインしているすべてのユーザに許可されます。 セキュリティ上の理由から、Cisco UCS Manager で確立されたユーザ ロールに一致しているユーザへアクセスを制限するのが望ましい場合があります。
リモート ユーザのロール ポリシーは次の方法で設定可能です。
- assign-default-role
ユーザ ロールに基づいて Cisco UCS Manager へのユーザ アクセスを制限しません。 Cisco UCS Manager でその他のユーザ ロールが定義されていない場合、すべてのユーザに読み取り専用アクセスが許可されます。
これはデフォルトの動作です。
- no-login
ユーザ ロールに基づいて Cisco UCS Manager へのユーザ アクセスを制限します。 ユーザ ロールがリモート認証システムに割り当てられていない場合、アクセスは拒否されます。
リモート ユーザのロール ポリシーの設定
手順
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [Native Authentication] をクリックします。 ステップ 4 [Work] ペインの [General] タブをクリックします。 ステップ 5 [Role Policy for Remote Users] フィールドでは、ユーザがログインしようとして、リモート認証プロバイダーでユーザ ロールに認証情報が提供されていないときに何が発生するかを決定するには次のいずれかのオプション ボタンをクリックします。
ステップ 6 [Save Changes] をクリックします。