この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章は、次の項で構成されています。
Cisco UCS では、ユーザ ログインを認証するために、2 種類の方法がサポートされています。
システムを、サポートされているリモート認証サービスのいずれかに設定する場合は、そのサービス用のプロバイダーを作成して、Cisco UCS Manager がそのサービスと通信できるようにする必要があります。 また、ユーザ許可に影響する次のガイドラインに留意する必要があります。
ユーザ アカウントは、Cisco UCS Manager にローカルに設定したり、リモート認証サーバに設定することができます。
リモート認証サービスを介してログインしているユーザの一時的なセッションは、Cisco UCS Manager GUI または Cisco UCS Manager CLI で表示できます。
リモート認証サーバでユーザ アカウントを作成する場合は、ユーザが Cisco UCS Manager で作業するために必要なロールをそれらのアカウントに含めること、およびそれらのロールの名前を Cisco UCS Manager で使用される名前と一致させることが必要です。 ロール ポリシーによっては、ユーザがログインできないことがあり、その場合は読み取り専用権限だけが付与されます。
RADIUS および TACACS+ 構成では、ユーザが Cisco UCS Manager へのログインに使用する各リモート認証プロバイダーに Cisco UCS 用のユーザ属性を設定する必要があります。 このユーザ属性には、各ユーザに割り当てられたロールとロケールが含まれています。
(注) |
この手順は、LDAP グループ マッピングを使用してロールとロケールを割り当てる LDAP 設定では必要ありません。 |
ユーザがログインすると、Cisco UCS Manager は以下を実行します。
カスタム CiscoAVPair 属性のサンプル OID は、次のとおりです。
CN=CiscoAVPair,CN=Schema, CN=Configuration,CN=X objectClass: top objectClass: attributeSchema cn: CiscoAVPair distinguishedName: CN=CiscoAVPair,CN=Schema,CN=Configuration,CN=X instanceType: 0x4 uSNCreated: 26318654 attributeID: 1.3.6.1.4.1.9.287247.1 attributeSyntax: 2.5.5.12 isSingleValued: TRUE showInAdvancedViewOnly: TRUE adminDisplayName: CiscoAVPair adminDescription: UCS User Authorization Field oMSyntax: 64 lDAPDisplayName: CiscoAVPair name: CiscoAVPair objectCategory: CN=Attribute-Schema,CN=Schema,CN=Configuration,CN=X
Cisco UCS Manager は、ユーザ名とパスワードの組み合わせによるユーザ ログイン操作をサポートしています。 覚えやすいパスワードを設定するユーザもいますが、そのようなパスワードはマルウェア、スパイウェア、コンピュータ ウイルスに対して脆弱な恐れがあります。 保護されていないネットワークからシステムにリモート アクセスするユーザや安全ではないサービスを使用しているユーザは、パスワードがスヌーピング ソフトウェアによって侵害されている可能性があります。 フィッシング攻撃は、ユーザをだましてパスワードを暴露させるウイルス攻撃です。
ユーザ認証を強化する 1 つの方法は、ユーザ名とパスワードに加えて第 2 の要素を要求することです。 二要素認証では、3 つの認証要素のうち 2 つが必要になります。 二要素認証では、ユーザが知っているものの組み合わせ(パスワードまたは PIN と、証明書やトークンなどユーザが所有しているもの)が使用されます。 二要素認証はリモート ユーザに対してのみサポートされており、IPMI はサポートされません。
Cisco UCS Manager では、認証アプリケーションを使用して二要素認証を提供しています。このアプリケーションはトークン サーバを保持して、ログイン プロセス中にユーザ用のワンタイム トークンを生成します。 パスワードは AAA サーバに保存されるため、ログイン時、ユーザはユーザ名を入力してから、パスワード フィールドにトークンとパスワードの組み合わせを入力する必要があります。 ベンダー固有の属性を取得するために、リクエストがトークン サーバに送信されます。 Cisco UCS Manager は、トークン サーバがリクエストを AAA サーバに転送できるように、トークン サーバを AAA サーバと統合することを要求します。 パスワードとトークンは、AAA サーバによって同時に検証されます。 ユーザは、AAA サーバで設定されているのと同じ順序で、トークンとパスワードを入力する必要があります。
この機能は、RADIUS または TACACS+ プロバイダー グループを指定認証ドメインに関連付け、それらのドメインで二要素認証を有効にすることによってサポートされます。
(注) |
二要素認証は、認証レルムが LDAP、local、または none に設定されている場合はサポートされません。 |
Web セッションのタイムアウト期限は、アクティビティに関係なく、セッションの最長継続時間を制御します。 二要素認証を設定すると、Web セッションのタイムアウト期限もより大きいデフォルト値に設定されます。 Web セッションの更新期間が過ぎると、Cisco UCS Manager GUI クライアントはプロンプトを自動的に生成し、新しいトークンとパスワードの組み合わせを入力するようユーザに求めます。
Web セッションの更新期間は、ユーザの Web セッションの有効期間を制御します。 二要素認証が設定されている場合、ユーザは、Web セッションの更新期間が切れるたびに、トークンとパスワードの組み合わせを入力してログインする必要があります。 セッション タイムアウトが頻発して、ユーザに何度もトークンとパスワードの作り直しと再入力を要求することがないように、Web セッションの更新間隔は、二要素認証が有効化されると、より大きい初期デフォルト値に設定されます。 これにより、リモート ユーザは長時間アクティブ セッションを維持することができます。 無活動により Web セッションの更新が期限切れになった場合、ユーザは新しいトークンを生成して再度ログインするよう要求されます。
LDAP グループ ルールは、リモート ユーザにユーザ ロールとロケールを割り当てるときに、Cisco UCS が LDAP グループを使用するかどうかを決定するために使用されます。
(注) |
ネストされた LDAP の検索サポートは Microsoft Active Directory サーバに対してのみサポートされます。 サポート対象のバージョンは Microsoft Windows 2003 SP3、Microsoft Windows 2008 R2、および Microsoft Windows 2012 です。 |
LDAP ネスティング機能を使用して、LDAP グループを他のグループおよびネスト グループのメンバとして追加し、メンバ アカウントを統合してトラフィックの重複を減らすことができます。
デフォルトでは、ユーザ権限は他のグループ内の LDAP グループをネストするときに継承されます。 たとえば、Group_2 のメンバとして Group_1 を作成すると、Group_1 のユーザは Group_2 のメンバと同じ権限が与えられます。 その結果、Group_1 のメンバであるユーザを検索するときは、Group_1 と Group_2 を別々に検索するのではなく LDAP グループ マップの Group_2 を選択するだけで済みます。
このタスクで設定するプロパティは、Cisco UCS Manager で定義されたこのタイプのすべてのプロバイダー接続のデフォルト設定です。 個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Cisco UCS でその設定が使用され、デフォルト設定は無視されます。
Active Directory を LDAP サーバとして使用している場合は、Active Directory サーバで Cisco UCS にバインドするユーザ アカウントを作成します。 このアカウントには、期限切れにならないパスワードを設定します。
次の例は、LDAP 属性を CiscoAvPair に、ベース識別名を「DC=cisco-ucsm-aaa3,DC=qalab,DC=com」に、フィルタを「sAMAccountName=$userid」、タイムアウト間隔を 5 秒に設定し、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # scope ldap UCS-A /security/ldap # set attribute CiscoAvPair UCS-A /security/ldap* # set basedn "DC=cisco-ucsm-aaa3,DC=qalab,DC=com" UCS-A /security/ldap* # set filter sAMAccountName=$userid UCS-A /security/ldap* # set timeout 5 UCS-A /security/ldap* # commit-buffer UCS-A /security/ldap #
(注) |
ユーザ ログインは LDAP ユーザーの userdn が 255 文字を超えると失敗します。 |
LDAP プロバイダーを作成します。
Cisco UCS Manager では、最大 16 の LDAP プロバイダーがサポートされます。
Active Directory を LDAP サーバとして使用している場合は、Active Directory サーバで Cisco UCS にバインドするユーザ アカウントを作成します。 このアカウントには、期限切れにならないパスワードを設定します。
LDAP グループを設定します。 LDAP グループには、ユーザのロールとロケール情報が含まれています。
Cisco UCS Manager のユーザ ロールとロケール情報を保持する属性をユーザに対して設定します。 この属性について LDAP スキーマを拡張するかどうかを選択できます。 スキーマを拡張しない場合は、既存の LDAP 属性を使用して Cisco UCS ユーザ ロールとロケールを保持します。 スキーマを拡張する場合は、CiscoAVPair 属性などのカスタム属性を作成します。
シスコの LDAP の実装では、Unicode タイプの属性が必要です。
CiscoAVPair カスタム属性を作成する場合は、属性 ID として 1.3.6.1.4.1.9.287247.1 を使用します
クラスタ設定では、両方のファブリック インターコネクトに対する管理ポートの IPv4 または IPv6 アドレスを追加します。 この設定では、1 つめのファブリック インターコネクトで障害が発生し、システムが 2 つめのファブリック インターコネクトにフェールオーバーしても、リモート ユーザは引き続きログインできることが保証されます。 ログイン要求はすべて、これらの IP アドレスから送信されます。Cisco UCS Manager により使用されている仮想 IPv4 または IPv6 アドレスではありません。
セキュアな通信を使用する場合は、LDAP サーバのルート認証局(CA)の証明書が格納されたトラスト ポイントを Cisco UCS Manager で作成します。
次の例では、10.193.169.246 という名前の LDAP サーバ インスタンスを作成し、binddn、パスワード、順序、ポート、SSL、ベンダー属性を設定し、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # scope ldap UCS-A /security/ldap* # create server 10.193.169.246 UCS-A /security/ldap/server* # set binddn "cn=Administrator,cn=Users,DC=cisco-ucsm-aaa3,DC=qalab,DC=com" UCS-A /security/ldap/server* # set password Enter the password: Confirm the password: UCS-A /security/ldap/server* # set order 2 UCS-A /security/ldap/server* # set port 389 UCS-A /security/ldap/server* # set ssl yes UCS-A /security/ldap/server* # set timeout 30 UCS-A /security/ldap/server* # set vendor ms-ad UCS-A /security/ldap/server* # commit-buffer UCS-A /security/ldap/server #
次の例では、12:31:71:1231:45b1:0011:011:900 という名前の LDAP サーバ インスタンスを作成し、binddn、パスワード、順序、ポート、SSL、ベンダー属性を設定し、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # scope ldap UCS-A /security/ldap* # create server 12:31:71:1231:45b1:0011:011:900 UCS-A /security/ldap/server* # set binddn "cn=Administrator,cn=Users,DC=cisco-ucsm-aaa3,DC=qalab,DC=com" UCS-A /security/ldap/server* # set password Enter the password: Confirm the password: UCS-A /security/ldap/server* # set order 1 UCS-A /security/ldap/server* # set port 389 UCS-A /security/ldap/server* # set ssl yes UCS-A /security/ldap/server* # set timeout 45 UCS-A /security/ldap/server* # set vendor ms-ad UCS-A /security/ldap/server* # commit-buffer UCS-A /security/ldap/server #
単一の LDAP データベースが関係する実装の場合は、認証サービスとして LDAP を選択します。
複数の LDAP データベースが関係する実装の場合は、LDAP プロバイダー グループを設定します。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
||
ステップ 2 | UCS-A /security # scope ldap | セキュリティ LDAP モードを開始します。 |
||
ステップ 3 | UCS-A /security/ldap # scope server ldap-provider | セキュリティ LDAP プロバイダー モードを開始します。 |
||
ステップ 4 | UCS-A /security/ldap/server # scope ldap-group-rule | LDAP グループ ルール モードを開始します。 |
||
ステップ 5 | UCS-A /security/ldap/server/ldap-group-rule # set authorization {enable | disable} | ユーザ ロールとロケールをリモート ユーザに割り当てるときに、Cisco UCS が LDAP グループを検索するかどうかを指定します。
|
||
ステップ 6 | UCS-A /security/ldap/server/ldap-group-rule # set member-of-attribute attr-name | Cisco UCS が LDAP データベース内のグループ メンバーシップを判別するために使用する属性。 サポートされるストリングの長さは 63 文字です。 デフォルトの文字列は「memberOf」です。 |
||
ステップ 7 | UCS-A /security/ldap/server/ldap-group-rule # set traversal {non-recursive | recursive} | Cisco UCS がグループ メンバーの親グループの設定を引き継ぐかどうかを、必要に応じて指定します。 ここに表示される値は次のとおりです。 |
||
ステップ 8 | UCS-A /security/ldap/server/ldap-group-rule # set use-primary-group {yes | no} | プライマリ グループをメンバーシップの検証のために Cisco UCS ドメイン内の LDAP グループ マップとして設定します。 Cisco UCS Manager をイネーブルにして、ユーザのプライマリ グループ メンバーシップをダウンロードして検証することが できます。 |
||
ステップ 9 | UCS-A /security/ldap/server/ldap-group-rule # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次の例は、権限をイネーブルにする LDAP グループ ルールを設定し、属性のメンバを memberOf に設定し、traversal を non-recursive に設定し、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # scope ldap UCS-A /security/ldap # scope server ldapprovider UCS-A /security/ldap/server # scope ldap-group-rule UCS-A /security/ldap/server/ldap-group-rule # set authorization enable UCS-A /security/ldap/server/ldap-group-rule* # set member-of-attribute memberOf UCS-A /security/ldap/server/ldap-group-rule* # set traversal non-recursive UCS-A /security/ldap/server/ldap-group-rule* # set use-primary-group yes UCS-A /security/ldap/server/ldap-group-rule* # commit-buffer UCS-A /security/ldap/server/ldap-group-rule #
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します |
ステップ 2 | UCS-A /security # scope ldap | セキュリティ LDAP モードを開始します |
ステップ 3 | UCS-A /security/ldap # delete server serv-name | 指定したサーバを削除します。 |
ステップ 4 | UCS-A /security/ldap # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次に、ldap1 という名前の LDAP サーバを削除し、トランザクションをコミットする例を示します。
UCS-A# scope security UCS-A /security # scope ldap UCS-A /security/ldap # delete server ldap1 UCS-A /security/ldap* # commit-buffer UCS-A /security/ldap #
LDAP データベースへのアクセスを制限するためにすでに LDAP グループを使用している組織では、UCSM でグループ メンバーシップ情報を使用して、ログイン時に LDAP ユーザにロールやロケールを割り当てることができます。 これにより、Cisco UCS Manager を導入するときに、LDAP ユーザ オブジェクトでロールやロケール情報を定義する必要がなくなります。
ユーザが Cisco UCS Manager にログインすると、ユーザのロールとロケールに関する情報が LDAP グループ マップから取り出されます。 ロールとロケールの基準がポリシー情報と一致する場合は、アクセスが許可されます。
ロールとロケールの定義は Cisco UCS Manager でローカルに設定され、LDAP ディレクトリに対する変更に基づいて自動的に更新されることはありません。 LDAP ディレクトリ内の LDAP グループの削除や名前変更を行う場合は、変更に合わせて Cisco UCS Manager も更新する必要があります。
(注) |
Cisco UCS Manager にはすぐに使用できる多数のユーザ ロールが含まれていますが、ロケールは含まれていません。 LDAP プロバイダー グループをロケールにマッピングするには、カスタム ロケールを作成する必要があります。 |
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
ステップ 2 | UCS-A /security # scope ldap | セキュリティ LDAP モードを開始します。 |
ステップ 3 | UCS-A /security/ldap # create ldap-group group-dn | 指定した DN 用の LDAP グループ マップを作成します。 グループ DN の最大文字数は 240 です。 |
ステップ 4 | UCS-A /security/ldap/ldap-group # create locale locale-name | 指定されたロケールに LDAP グループをマッピングします。 |
ステップ 5 | UCS-A /security/ldap/ldap-group # create role role-name | 指定されたロールに LDAP グループをマッピングします。 |
ステップ 6 | UCS-A /security/ldap/ldap-group # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次に、DN に LDAP グループをマッピングし、ロケールを pacific に設定し、ロールを admin に設定し、トランザクションをコミットする例を示します。
UCS-A# scope security UCS-A /security # scope ldap UCS-A /security/ldap # create ldap-group cn=security,cn=users,dc=lab,dc=com UCS-A /security/ldap/ldap-group* # create locale pacific UCS-A /security/ldap/ldap-group* # create role admin UCS-A /security/ldap/ldap-group* # commit-buffer UCS-A /security/ldap/ldap-group #
LDAP グループ ルールを設定します。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
ステップ 2 | UCS-A /security # scope ldap | セキュリティ LDAP モードを開始します。 |
ステップ 3 | UCS-A /security/ldap # delete ldap-group group-dn | 指定した DN 用の LDAP グループ マップを削除します。 |
ステップ 4 | UCS-A /security/ldap # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次に、LDAP グループ マップを削除し、トランザクションをコミットする例を示します。
UCS-A# scope security UCS-A /security # scope ldap UCS-A /security/ldap # delete ldap-group cn=security,cn=users,dc=lab,dc=com UCS-A /security/ldap* # commit-buffer UCS-A /security/ldap #
このタスクで設定するプロパティは、Cisco UCS Manager で定義されたこのタイプのすべてのプロバイダー接続のデフォルト設定です。 個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Cisco UCS でその設定が使用され、デフォルト設定は無視されます。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
ステップ 2 | UCS-A /security # scope radius | セキュリティ RADIUS モードを開始します。 |
ステップ 3 | UCS-A /security/radius # set retries retry-num | (任意) サーバをダウンとして通知する前に RADIUS サーバとの通信を再試行する回数を設定します。 |
ステップ 4 | UCS-A /security/radius # set timeout seconds | (任意) システムがサーバをダウン状態として通知する前に、RADIUS サーバからの応答を待つ時間間隔を設定します。 |
ステップ 5 | UCS-A /security/radius # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次の例は、RADIUS リトライを 4 に設定し、タイムアウト間隔を 30 秒に設定し、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # scope radius UCS-A /security/radius # set retries 4 UCS-A /security/radius* # set timeout 30 UCS-A /security/radius* # commit-buffer UCS-A /security/radius #
RADIUS プロバイダーを作成します。
Cisco UCS Manager では、最大 16 の RADIUS プロバイダーがサポートされます。
RADIUS サーバで、次の設定を行います。
Cisco UCS Manager のユーザ ロールとロケール情報を保持する属性をユーザに対して設定します。 この属性について RADIUS スキーマを拡張するかどうかを選択できます。 スキーマを拡張しない場合は、既存の RADIUS 属性を使用して Cisco UCS ユーザ ロールとロケールを保持します。 スキーマを拡張する場合は、cisco-avpair 属性などのカスタム属性を作成します。
シスコによる RADIUS の実装のベンダー ID は 009 であり、属性のベンダー ID は 001 です。
次の構文例は、cisco-avpair 属性を作成する場合に複数のユーザ ロールとロケールを指定する方法を示しています。shell:roles="admin,aaa" shell:locales="L1,abc"。 複数の値を区切るには、区切り文字としてカンマ「,」を使用します。
クラスタ設定では、両方のファブリック インターコネクトに対する管理ポートの IPv4 または IPv6 アドレスを追加します。 この設定では、1 つめのファブリック インターコネクトで障害が発生し、システムが 2 つめのファブリック インターコネクトにフェールオーバーしても、リモート ユーザは引き続きログインできることが保証されます。 ログイン要求はすべて、これらの IP アドレスから送信されます。Cisco UCS Manager により使用されている仮想 IP アドレスではありません。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
||
ステップ 2 | UCS-A /security # scope radius | セキュリティ RADIUS モードを開始します。 |
||
ステップ 3 | UCS-A /security/radius # create server server-name | RADIUS サーバ インスタンスを作成し、セキュリティ RADIUS サーバ モードを開始します |
||
ステップ 4 | UCS-A /security/radius/server # set authport authport-num | (任意) RADIUS サーバとの通信に使用するポートを指定します。 |
||
ステップ 5 | UCS-A /security/radius/server # set key | RADIUS サーバ キーを設定します。 キー値を設定するには、set key コマンドを入力してから Enter キーを押し、プロンプトでキー値を入力します。 |
||
ステップ 6 | UCS-A /security/radius/server # set order order-num | (任意) このサーバが試行される順序を指定します。 |
||
ステップ 7 | UCS-A /security/radius/server # set retries retry-num | (任意) サーバをダウンとして通知する前に RADIUS サーバとの通信を再試行する回数を設定します。 |
||
ステップ 8 | UCS-A /security/radius/server # set timeout seconds | (任意) システムがサーバをダウン状態として通知する前に、RADIUS サーバからの応答を待つ時間間隔を設定します。
|
||
ステップ 9 | UCS-A /security/radius/server # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次の例は、radiusserv7 という名前のサーバ インスタンスを作成し、認証ポートを 5858 に設定し、キーを radiuskey321 に設定し、順序を 2 に設定し、再試行回数を 4 回に設定し、タイムアウトを 30 に設定し、二要素認証をイネーブルにし、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # scope radius UCS-A /security/radius # create server radiusserv7 UCS-A /security/radius/server* # set authport 5858 UCS-A /security/radius/server* # set key Enter the key: radiuskey321 Confirm the key: radiuskey321 UCS-A /security/radius/server* # set order 2 UCS-A /security/radius/server* # set retries 4 UCS-A /security/radius/server* # set timeout 30 UCS-A /security/radius/server* # commit-buffer UCS-A /security/radius/server #
単一の RADIUS データベースが関係する実装の場合は、RADIUS をプライマリ認証サービスとして選択します。
複数の RADIUS データベースが関係する実装の場合は、RADIUS プロバイダー グループを設定します。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
ステップ 2 | UCS-A /security # scope RADIUS | セキュリティ RADIUS モードを開始します。 |
ステップ 3 | UCS-A /security/radius # delete server serv-name | 指定したサーバを削除します。 |
ステップ 4 | UCS-A /security/radius # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次の例は、radius1 という RADIUS サーバを削除し、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # scope radius UCS-A /security/radius # delete server radius1 UCS-A /security/radius* # commit-buffer UCS-A /security/radius #
このタスクで設定するプロパティは、Cisco UCS Manager で定義されたこのタイプのすべてのプロバイダー接続のデフォルト設定です。 個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Cisco UCS でその設定が使用され、デフォルト設定は無視されます。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
ステップ 2 | UCS-A /security # scope tacacs | セキュリティ TACACS+ モードを開始します。 |
ステップ 3 | UCS-A /security/tacacs # set timeout seconds | (任意) システムがサーバをダウン状態として通知する前に、TACACS+ サーバからの応答を待つ時間間隔を設定します。 |
ステップ 4 | UCS-A /security/tacacs # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次の例は、TACACS+ タイムアウト間隔を 45 秒に設定し、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # scope tacacs UCS-A /security/tacacs # set timeout 45 UCS-A /security/tacacs* # commit-buffer UCS-A /security/tacacs #
TACACS+ プロバイダーを作成します。
Cisco UCS Manager では、最大 16 の TACACS+ プロバイダーがサポートされます。
TACACS+ サーバで、次の設定を行います。
cisco-av-pair 属性を作成します。 既存の TACACS+ 属性は使用できません。
cisco-av-pair 名は、TACACS+ プロバイダーの属性 ID を提供する文字列です。
次の構文例は、cisco-av-pair 属性を作成するときに複数のユーザ ロールとロケールを指定する方法を示しています。cisco-av-pair=shell:roles="admin aaa" shell:locales*"L1 abc"。 cisco-av-pair 属性構文でアスタリスク(*)を使用すると、ロケールがオプションとして指定され、同じ認可プロファイルを使用する他のシスコ デバイスで認証の失敗を防ぐことができます。 複数の値を区切るには、区切り文字としてスペースを使用します。
クラスタ設定では、両方のファブリック インターコネクトに対する管理ポートの IPv4 または IPv6 アドレスを追加します。 この設定では、1 つめのファブリック インターコネクトで障害が発生し、システムが 2 つめのファブリック インターコネクトにフェールオーバーしても、リモート ユーザは引き続きログインできることが保証されます。 ログイン要求はすべて、これらの IP アドレスから送信されます。Cisco UCS Manager により使用されている仮想 IP アドレスではありません。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
||
ステップ 2 | UCS-A /security # scope tacacs | セキュリティ TACACS+ モードを開始します。 |
||
ステップ 3 | UCS-A /security/tacacs # create server server-name | TACACS+ サーバ インスタンスを作成し、セキュリティ TACACS+ サーバ モードを開始します |
||
ステップ 4 | UCS-A /security/tacacs/server # set key | (任意) TACACS+ サーバ キーを設定します。 キー値を設定するには、set key コマンドを入力してから Enter キーを押し、プロンプトでキー値を入力します。 |
||
ステップ 5 | UCS-A /security/tacacs/server # set order order-num | (任意) このサーバが試行される順序を指定します。 |
||
ステップ 6 | UCS-A /security/tacacs/server # set timeoutseconds | (任意) システムがサーバをダウン状態として通知する前に、TACACS+ サーバからの応答を待つ時間間隔を設定します。
|
||
ステップ 7 | UCS-A /security/tacacs/server # set port port-num | TACACS+ サーバとの通信に使用するポートを指定します。 |
||
ステップ 8 | UCS-A /security/tacacs/server # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次の例は、tacacsserv680 という名前のサーバ インスタンスを作成し、キーを tacacskey321 に設定してそのキーを確認し、順序を 4 に設定し、認証ポートを 5859 に設定し、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # scope tacacs UCS-A /security/tacacs # create server tacacsserv680 UCS-A /security/tacacs/server* # set key Enter the key: tacacskey321 Confirm the key: tacacskey321 UCS-A /security/tacacs/server* # set order 4 UCS-A /security/tacacs/server* # set port 5859 UCS-A /security/tacacs/server* # commit-buffer UCS-A /security/tacacs/server #
単一の TACACS+ データベースが関係する実装の場合は、TACACS+ をプライマリ認証サービスとして選択します。
複数の TACACS+ データベースが関係する実装の場合は、TACACS+ プロバイダー グループを設定します。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
ステップ 2 | UCS-A /security # scope tacacs | セキュリティ TACACS モードを開始します。 |
ステップ 3 | UCS-A /security/tacacs # delete server serv-name | 指定したサーバを削除します。 |
ステップ 4 | UCS-A /security/tacacs # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次の例は、tacacs1 という TACACS サーバを削除し、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # scope tacacs UCS-A /security/tacacs # delete server TACACS1 UCS-A /security/tacacs* # commit-buffer UCS-A /security/tacacs #
次の機能を実装して、Cisco UCS が複数の認証システムを使用するように設定することができます。
プロバイダー グループと認証ドメインが Cisco UCS Manager で設定された後、Cisco UCS Manager CLI を使用して次の構文でシステムにログインできます: ucs: auth-domain \ user-name
リモート認証サービスで複数の認証ドメインとネイティブ認証が設定されている場合は、次のいずれかの構文例を使用して SSH、Telnet または Putty でログインします。
(注) |
SSH ログインでは大文字と小文字が区別されます。 |
Linux 端末からは以下の SSH を使用します。
ssh ucs-auth-domain\\username@{UCSM-ip-address|UCMS-ipv6-address}
ssh ucs-example\\jsmith@192.0.20.11
ssh ucs-example\\jsmith@2001::1
ssh -l ucs-auth-domain\\username {UCSM-ip-address| UCSM-ipv6-address| UCSM-host-name}
ssh -l ucs-example\\jsmith 192.0.20.11
ssh -l ucs-example\\jsmith 2001::1
ssh {UCSM-ip-address | UCSM-ipv6-address | UCSM-host-name} -l ucs-auth-domain\\username
ssh 192.0.20.11 -l ucs-example\\jsmith
ssh 2001::1 -l ucs-example\\jsmith
ssh ucs-auth-domain\\username@{UCSM-ip-address|UCSM-ipv6-address}
ssh ucs-ldap23\\jsmith@192.0.20.11
ssh ucs-ldap23\\jsmith@2001::1
Linux 端末からは以下の Telnet を使用します。
telnet ucs-UCSM-host-name ucs-auth-domain\username
telnet ucs-qa-10 login: ucs-ldap23\blradmin
telnet ucs-{UCSM-ip-address|UCSM-ipv6-address}ucs-auth-domain\username
telnet 10.106.19.12 2052 ucs-qa-10-A login: ucs-ldap23\blradmin
Putty クライアントから:
プロバイダー グループは、認証プロセス中に Cisco UCS によって使用されるプロバイダーのセットです。 Cisco UCS Manager では、最大 16 のプロバイダー グループを作成でき、グループごとに最大 8 つのプロバイダーを含めることが可能です。
認証中は、プロバイダー グループ内のすべてのプロバイダーが順番に試行されます。 設定されているどのサーバも使用できない場合、またはどのサーバにも到達できない場合、Cisco UCS Manager は、ローカル ユーザ名とパスワードを使用して自動的にローカル認証方式にフォールバックします。
(注) |
単一の LDAP データベースを使用した認証では、LDAP プロバイダー グループを設定する必要はありません。 |
1 つ以上の LDAP プロバイダーを作成します。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
ステップ 2 | UCS-A /security # scope ldap | セキュリティ LDAP モードを開始します。 |
ステップ 3 | UCS-A /security/ldap # create auth-server-group auth-server-group-name | LDAP プロバイダー グループを作成し、認証サーバ グループの LDAP セキュリティ モードを開始します。 |
ステップ 4 | UCS-A /security/ldap/auth-server-group # create server-ref ldap-provider-name | 指定された LDAP プロバイダーを LDAP プロバイダー グループに追加し、サーバ参照認証サーバ グループの LDAP セキュリティ モードを開始します。 |
ステップ 5 | UCS-A /security/ldap/auth-server-group/server-ref # set order order-num | Cisco UCS がこのプロバイダーをユーザの認証に使用する順序を指定します。 有効な値には no-value と 0 ~ 16 が含まれ、値が小さいほど優先度が高いことを示します。 順序を no-value に指定することは、そのサーバ参照の優先度を最高にするのと同じです。 |
ステップ 6 | UCS-A /security/ldap/auth-server-group/server-ref # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次の例は、ldapgroup という名前の LDAP プロバイダー グループを作成し、プロバイダー グループに ldap1 および ldap2 という 2 種類の事前設定されたプロバイダーを追加し、順序を設定し、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # scope ldap UCS-A /security/ldap # create auth-server-group ldapgroup UCS-A /security/ldap/auth-server-group* # create server-ref ldap1 UCS-A /security/ldap/auth-server-group/server-ref* # set order 1 UCS-A /security/ldap/auth-server-group/server-ref* # up UCS-A /security/ldap/auth-server-group* # create server-ref ldap2 UCS-A /security/ldap/auth-server-group/server-ref* # set order 2 UCS-A /security/ldap/auth-server-group/server-ref* # commit-buffer UCS-A /security/ldap/auth-server-group/server-ref #
認証ドメインを設定するか、デフォルト認証サービスを選択します。
認証設定からプロバイダー グループを削除します。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
ステップ 2 | UCS-A /security # scope ldap | セキュリティ LDAP モードを開始します。 |
ステップ 3 | UCS-A /security/ldap # delete auth-server-group auth-server-group-name | LDAP プロバイダー グループを削除します。 |
ステップ 4 | UCS-A /security/ldap # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次に、ldapgroup という名前の LDAP プロバイダー グループを削除し、トランザクションをコミットする例を示します。
UCS-A# scope security UCS-A /security # scope ldap UCS-A /security/ldap # delete auth-server-group ldapgroup UCS-A /security/ldap* # commit-buffer UCS-A /security/ldap #
(注) |
単一の RADIUS データベースを使用した認証では、RADIUS プロバイダー グループを設定する必要はありません。 |
1 つ以上の RADIUS プロバイダーを作成します。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
ステップ 2 | UCS-A /security # scope radius | セキュリティ RADIUS モードを開始します。 |
ステップ 3 | UCS-A /security/radius # create auth-server-group auth-server-group-name | RADIUS プロバイダー グループを作成し、認証サーバ グループの RADIUS セキュリティ モードを開始します。 |
ステップ 4 | UCS-A /security/RADIUS/auth-server-group # create server-ref radius-provider-name | 指定された RADIUS プロバイダーを RADIUS プロバイダー グループに追加し、サーバ参照認証サーバ グループの RADIUS セキュリティ モードを開始します。 |
ステップ 5 | UCS-A /security/radius/auth-server-group/server-ref # set order order-num | Cisco UCS がこのプロバイダーをユーザの認証に使用する順序を指定します。 有効な値には no-value と 0 ~ 16 が含まれ、値が小さいほど優先度が高いことを示します。 順序を no-value に指定することは、そのサーバ参照の優先度を最高にするのと同じです。 |
ステップ 6 | UCS-A /security/radius/auth-server-group/server-ref # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次の例は、radiusgroup という名前の RADIUS プロバイダー グループを作成し、プロバイダー グループに radius1 と radius2 という 2 種類の事前設定されたプロバイダーを追加し、順序を設定し、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # scope radius UCS-A /security/radius # create auth-server-group radiusgroup UCS-A /security/radius/auth-server-group* # create server-ref radius1 UCS-A /security/radius/auth-server-group/server-ref* # set order 1 UCS-A /security/radius/auth-server-group/server-ref* # up UCS-A /security/radius/auth-server-group* # create server-ref radius2 UCS-A /security/radius/auth-server-group/server-ref* # set order 2 UCS-A /security/radius/auth-server-group/server-ref* # commit-buffer UCS-A /security/radius/auth-server-group/server-ref #
認証ドメインを設定するか、デフォルト認証サービスを選択します。
認証設定からプロバイダー グループを削除します。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
ステップ 2 | UCS-A /security # scope radius | セキュリティ RADIUS モードを開始します。 |
ステップ 3 | UCS-A /security/radius # delete auth-server-group auth-server-group-name | RADIUS プロバイダー グループを削除します。 |
ステップ 4 | UCS-A /security/radius # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次の例は、radiusgroup という RADIUS プロバイダー グループを削除し、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # scope radius UCS-A /security/radius # delete auth-server-group radiusgroup UCS-A /security/radius* # commit-buffer UCS-A /security/radius #
(注) |
単一の TACACS+ データベースを使用した認証では、TACACS+ プロバイダー グループを設定する必要はありません。 |
TACACS プロバイダーを作成します。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
ステップ 2 | UCS-A /security # scope tacacs | セキュリティ TACACS モードを開始します。 |
ステップ 3 | UCS-A /security/tacacs # create auth-server-group auth-server-group-name | TACACS プロバイダー グループを作成し、認証サーバ グループのセキュリティ TACACS モードを開始します。 |
ステップ 4 | UCS-A /security/tacacs/auth-server-group # create server-ref tacacs-provider-name | 指定した TACACS プロバイダーを TACACS プロバイダー グループに追加し、サーバ参照認証サーバ グループ セキュリティ TACACS モードを開始します。 |
ステップ 5 | UCS-A /security/tacacs/auth-server-group/server-ref # set order order-num | Cisco UCS がこのプロバイダーをユーザの認証に使用する順序を指定します。 有効な値には no-value と 0 ~ 16 が含まれ、値が小さいほど優先度が高いことを示します。 順序を no-value に指定することは、そのサーバ参照の優先度を最高にするのと同じです。 |
ステップ 6 | UCS-A /security/tacacs/auth-server-group/server-ref # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次の例は、tacacsgroup という名前の TACACS プロバイダー グループを作成し、プロバイダー グループに tacacs1 と tacacs2 という 2 種類の事前設定されたプロバイダーを追加し、順序を設定し、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # scope tacacs UCS-A /security/tacacs # create auth-server-group tacacsgroup UCS-A /security/tacacs/auth-server-group* # create server-ref tacacs1 UCS-A /security/tacacs/auth-server-group/server-ref* # set order 1 UCS-A /security/tacacs/auth-server-group/server-ref* # up UCS-A /security/tacacs/auth-server-group* # create server-ref tacacs2 UCS-A /security/tacacs/auth-server-group/server-ref* # set order 2 UCS-A /security/tacacs/auth-server-group/server-ref* # commit-buffer UCS-A /security/tacacs/auth-server-group/server-ref #
認証ドメインを設定するか、デフォルト認証サービスを選択します。
認証設定からプロバイダー グループを削除します。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
ステップ 2 | UCS-A /security # scope tacacs | セキュリティ TACACS モードを開始します。 |
ステップ 3 | UCS-A /security/tacacs # delete auth-server-group auth-server-group-name | TACACS プロバイダー グループを削除します。 |
ステップ 4 | UCS-A /security/tacacs # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次の例は、tacacsgroup という TACACS プロバイダー グループを削除し、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # scope tacacs UCS-A /security/tacacs # delete auth-server-group tacacsgroup UCS-A /security/tacacs* # commit-buffer UCS-A /security/tacacs #
認証ドメインは、複数の認証システムを活用するために Cisco UCS Manager によって使用されます。 各認証ドメインは、ログイン中に指定および設定されます。 認証ドメインを指定しないと、デフォルトの認証サービス設定が使用されます。
最大 8 個の認証ドメインを作成できます。 各認証ドメインは、Cisco UCS Manager 内のプロバイダー グループと領域に関連付けられています。 プロバイダー グループが指定されていない場合は、領域内のすべてのサーバが使用されます。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
||
ステップ 2 | UCS-A /security # create auth-domain domain-name | 認証ドメインを作成し、認証ドメイン モードを開始します。
|
||
ステップ 3 | UCS-A /security/auth-domain # set refresh-period seconds | (任意) Cisco UCS Manager に接続している場合、Web クライアントは、Web セッションをアクティブに保つために、Cisco UCS Manager に更新要求を送信する必要があります。 このオプションを使用して、このドメインのユーザに許可する更新要求間隔の最大時間数を指定します。 この時間制限を超えると、Cisco UCS Manager は Web セッションを非アクティブであると見なしますが、セッションの終了は行いません。 60 ~ 172800 の整数を指定します。 デフォルトは 600 秒です。
|
||
ステップ 4 | UCS-A /security/auth-domain # set session-timeout seconds | (任意) 最後の更新要求から Cisco UCS Manager が Web セッションが終了したと見なすまでの最大経過時間。 この時間制限を超えると、Cisco UCS Manager は自動的に Web セッションを終了させます。 60 ~ 172800 の整数を指定します。 デフォルトは 7200 秒です。
|
||
ステップ 5 | UCS-A /security/auth-domain # create default-auth | (任意) 認証ドメインのデフォルト認証を作成します。 |
||
ステップ 6 | UCS-A /security/auth-domain/default-auth # set auth-server-group auth-serv-group-name | (任意) 認証ドメインのプロバイダー グループを設定します。 |
||
ステップ 7 | UCS-A /security/auth-domain/default-auth # set realm {ldap | local | radius | tacacs} | 認証ドメインのレルムを設定します。 |
||
ステップ 8 | UCS-A /security/auth-domain/default-auth # set use-2-factor yes | (任意) レルムの二要素認証に認証方式を設定します。
|
||
ステップ 9 | UCS-A /security/auth-domain/default-auth # commit-buffer | トランザクションをシステムの設定にコミットします。 |
UCS-A# scope security UCS-A /security # create auth-domain domain1 UCS-A /security/auth-domain* # set refresh-period 3600 UCS-A /security/auth-domain* # set session-timeout 14400 UCS-A /security/auth-domain* # create default-auth UCS-A /security/auth-domain/auth-domain* # set auth-server-group radius1 UCS-A /security/auth-domain/auth-domain* # set realm radius UCS-A /security/auth-domain/auth-domain* # set user-2-factor yes UCS-A /security/auth-domain/auth-domain* # commit-buffer UCS-A /security/auth-domain/auth-domain #
システムでリモート認証サービスが使用されている場合は、その認証サービスに対するプロバイダーを作成します。 Cisco UCS を通じたローカル認証のみを使用する場合は、最初にプロバイダーを作成する必要はありません。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
||
ステップ 2 | UCS-A /security # scope console-auth | コンソール認証セキュリティ モードを開始します。 |
||
ステップ 3 | UCS-A /security/console-auth # set realm auth-type | コンソール認証を指定します。auth-type 引数は次のいずれかのキーワードです。 |
||
ステップ 4 | UCS-A /security/console-auth # set auth-server-group auth-serv-group-name | (任意) 関連付けられたプロバイダー グループ(存在する場合)。 |
||
ステップ 5 | UCS-A /security/default-auth # set use-2-factor yes | (任意) レルムの二要素認証に認証方式を設定します。
|
||
ステップ 6 | UCS-A /security/console-auth # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次の例では、認証レルムを TACACS+ に設定し、コンソール認証プロバイダー グループを provider1 に設定し、二要素認証を有効にし、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # scope console-auth UCS-A /security/console-auth # set realm tacacs UCS-A /security/console-auth # set auth-server-group provider1 UCS-A /security/console-auth* # set use-2-factor yes UCS-A /security/console-auth* # commit-buffer UCS-A /security/console-auth #
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
||
ステップ 2 | UCS-A /security # scope default-auth | デフォルト認証セキュリティ モードを開始します。 |
||
ステップ 3 | UCS-A /security/default-auth # set realm auth-type | デフォルト認証を指定します。auth-type は次のキーワードのいずれかです。 |
||
ステップ 4 | UCS-A /security/default-auth # set auth-server-group auth-serv-group-name | (任意) 関連付けられたプロバイダー グループ(存在する場合)。 |
||
ステップ 5 | UCS-A /security/default-auth # set refresh-period seconds | (任意) Cisco UCS Manager に接続している場合、Web クライアントは、Web セッションをアクティブに保つために、Cisco UCS Manager に更新要求を送信する必要があります。 このオプションを使用して、このドメインのユーザに許可する更新要求間隔の最大時間数を指定します。 この時間制限を超えると、Cisco UCS Manager は Web セッションを非アクティブであると見なしますが、セッションの終了は行いません。 60 ~ 172800 の整数を指定します。 デフォルトは 600 秒です。 |
||
ステップ 6 | UCS-A /security/default-auth # set session-timeout seconds | (任意) 最後の更新要求から Cisco UCS Manager が Web セッションが終了したと見なすまでの最大経過時間。 この時間制限を超えると、Cisco UCS Manager は自動的に Web セッションを終了させます。 60 ~ 172800 の整数を指定します。 デフォルトは 7200 秒です。
|
||
ステップ 7 | UCS-A /security/default-auth # set use-2-factor yes | (任意) レルムの二要素認証に認証方式を設定します。
|
||
ステップ 8 | UCS-A /security/default-auth # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次の例では、デフォルトの認証を RADIUS に設定し、デフォルトの認証プロバイダー グループを provider1 に設定し、二要素認証をイネーブルにし、更新間隔を 7200 秒(2 時間)に設定し、セッションのタイムアウト間隔を 28800 秒(8 時間)に設定し、二要素認証をイネーブルにします。 そして、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # scope default-auth UCS-A /security/default-auth # set realm radius UCS-A /security/default-auth* # set auth-server-group provider1 UCS-A /security/default-auth* # set use-2-factor yes UCS-A /security/default-auth* # set refresh-period 7200 UCS-A /security/default-auth* # set session-timeout 28800 UCS-A /security/default-auth* # commit-buffer UCS-A /security/default-auth #
デフォルトでは、Cisco UCS Manager でユーザ ロールが設定されていない場合は、LDAP、RADIUS、または TACACS プロトコルを使用してリモート サーバから Cisco UCS Manager にログインしているすべてのユーザに読み取り専用アクセス権が付与されます。 セキュリティ上の理由から、Cisco UCS Manager で確立されたユーザ ロールに一致するユーザだけにアクセスを限定するのが望ましい場合もあります。
Cisco UCS Manager へのユーザ アクセスをユーザ ロールに基づいて制限しません。 その他のユーザ ロールが Cisco UCS Manager で定義されていない限り、すべてのユーザに読み取り専用アクセス権が付与されます。
これはデフォルトの動作です。
Cisco UCS Manager へのユーザ アクセスをユーザ ロールに基づいて制限します。 リモート認証システムにユーザ ロールが割り当てられていない場合、アクセスは拒否されます。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
ステップ 2 | UCS-A /security # set remote-user default-role {assign-default-role | no-login} | ユーザ ロールに基づいて Cisco UCS Manager へのアクセスが制限されるかどうかを指定します。 |
ステップ 3 | UCS-A /security # commit-buffer | トランザクションをシステムの設定にコミットします。 |
UCS-A# scope security UCS-A /security # set remote-user default-role assign-default-role UCS-A /security* # commit-buffer UCS-A /security #
目次
- 「Configuring Authentication」
- 認証サービス
- リモート認証プロバイダーに関するガイドラインおよび推奨事項
- リモート認証プロバイダーにおけるユーザ属性
- 二要素認証
- LDAP グループ ルール
- ネストされた LDAP グループ
- LDAP プロバイダーの設定
- LDAP プロバイダーのプロパティの設定
- LDAP プロバイダーの作成
- LDAP プロバイダーの LDAP グループ ルールの変更
- LDAP プロバイダーの削除
- LDAP グループ マッピング
- LDAP グループ マップの作成
- LDAP グループ マップの削除
- RADIUS プロバイダーの設定
- RADIUS プロバイダーのプロパティの設定
- RADIUS プロバイダーの作成
- RADIUS プロバイダーの削除
- TACACS+ プロバイダーの設定
- TACACS+ プロバイダーのプロパティの設定
- TACACS+ プロバイダーの作成
- TACACS+ プロバイダーの削除
- マルチ認証システムの設定
- マルチ認証システム
- マルチ認証システムの設定
- プロバイダー グループ
- LDAP プロバイダー グループの作成
- LDAP プロバイダー グループの削除
- RADIUS プロバイダー グループの作成
- RADIUS プロバイダー グループの削除
- TACACS プロバイダー グループの作成
- TACACS プロバイダー グループの削除
- 認証ドメイン
- 認証ドメインの作成
- プライマリ認証サービスの選択
- コンソール認証サービスの選択
- デフォルト認証サービスの選択
- リモート ユーザのロール ポリシー
- リモート ユーザのロール ポリシーの設定
この章は、次の項で構成されています。
- 認証サービス
- リモート認証プロバイダーに関するガイドラインおよび推奨事項
- リモート認証プロバイダーにおけるユーザ属性
- 二要素認証
- LDAP グループ ルール
- ネストされた LDAP グループ
- LDAP プロバイダーの設定
- RADIUS プロバイダーの設定
- TACACS+ プロバイダーの設定
- マルチ認証システムの設定
- マルチ認証システムの設定
- プライマリ認証サービスの選択
リモート認証プロバイダーに関するガイドラインおよび推奨事項
システムを、サポートされているリモート認証サービスのいずれかに設定する場合は、そのサービス用のプロバイダーを作成して、Cisco UCS Manager がそのサービスと通信できるようにする必要があります。 また、ユーザ許可に影響する次のガイドラインに留意する必要があります。
リモート認証プロバイダーにおけるユーザ属性
RADIUS および TACACS+ 構成では、ユーザが Cisco UCS Manager へのログインに使用する各リモート認証プロバイダーに Cisco UCS 用のユーザ属性を設定する必要があります。 このユーザ属性には、各ユーザに割り当てられたロールとロケールが含まれています。
(注)
この手順は、LDAP グループ マッピングを使用してロールとロケールを割り当てる LDAP 設定では必要ありません。
ユーザがログインすると、Cisco UCS Manager は以下を実行します。
次の表は、Cisco UCS がサポートしているリモート認証プロバイダーのユーザ属性要件を比較して示しています。
表 1 リモート認証プロバイダー別のユーザ属性の比較認証プロバイダー カスタム属性 スキーマの拡張 属性 ID 要件 LDAP
グループ マッピング使用時は不要
グループ マッピング不使用時は任意
オプション 次のいずれかを選択して実行できます。
シスコの LDAP の実装では、Unicode タイプの属性が必要です。
CiscoAVPair カスタム属性を作成する場合は、属性 ID として 1.3.6.1.4.1.9.287247.1 を使用します
サンプルの OID が次のセクションに示されています。
RADIUS
任意
オプション 次のいずれかを選択して実行できます。
シスコによる RADIUS の実装のベンダー ID は 009 であり、属性のベンダー ID は 001 です。
次の構文例は、cisco-avpair 属性を作成する場合に複数のユーザ ロールとロケールを指定する方法を示しています。shell:roles="admin,aaa" shell:locales="L1,abc"。 複数の値を区切るには、区切り文字としてカンマ「,」を使用します。
TACACS+
必須
必須です。 スキーマを拡張し、cisco-av-pair という名前のカスタム属性を作成する必要があります。
cisco-av-pair 名は、TACACS+ プロバイダーの属性 ID を提供する文字列です。
次の構文例は、cisco-av-pair 属性を作成するときに複数のユーザ ロールとロケールを指定する方法を示しています。cisco-av-pair=shell:roles="admin aaa" shell:locales*"L1 abc"。 cisco-av-pair 属性構文でアスタリスク(*)を使用すると、ロケールがオプションとして指定され、同じ認可プロファイルを使用する他のシスコ デバイスで認証の失敗を防ぐことができます。 複数の値を区切るには、区切り文字としてスペースを使用します。
LDAP ユーザ属性のサンプル OID
カスタム CiscoAVPair 属性のサンプル OID は、次のとおりです。
CN=CiscoAVPair,CN=Schema, CN=Configuration,CN=X objectClass: top objectClass: attributeSchema cn: CiscoAVPair distinguishedName: CN=CiscoAVPair,CN=Schema,CN=Configuration,CN=X instanceType: 0x4 uSNCreated: 26318654 attributeID: 1.3.6.1.4.1.9.287247.1 attributeSyntax: 2.5.5.12 isSingleValued: TRUE showInAdvancedViewOnly: TRUE adminDisplayName: CiscoAVPair adminDescription: UCS User Authorization Field oMSyntax: 64 lDAPDisplayName: CiscoAVPair name: CiscoAVPair objectCategory: CN=Attribute-Schema,CN=Schema,CN=Configuration,CN=X二要素認証
Cisco UCS Manager は、ユーザ名とパスワードの組み合わせによるユーザ ログイン操作をサポートしています。 覚えやすいパスワードを設定するユーザもいますが、そのようなパスワードはマルウェア、スパイウェア、コンピュータ ウイルスに対して脆弱な恐れがあります。 保護されていないネットワークからシステムにリモート アクセスするユーザや安全ではないサービスを使用しているユーザは、パスワードがスヌーピング ソフトウェアによって侵害されている可能性があります。 フィッシング攻撃は、ユーザをだましてパスワードを暴露させるウイルス攻撃です。
ユーザ認証を強化する 1 つの方法は、ユーザ名とパスワードに加えて第 2 の要素を要求することです。 二要素認証では、3 つの認証要素のうち 2 つが必要になります。 二要素認証では、ユーザが知っているものの組み合わせ(パスワードまたは PIN と、証明書やトークンなどユーザが所有しているもの)が使用されます。 二要素認証はリモート ユーザに対してのみサポートされており、IPMI はサポートされません。
Cisco UCS Manager では、認証アプリケーションを使用して二要素認証を提供しています。このアプリケーションはトークン サーバを保持して、ログイン プロセス中にユーザ用のワンタイム トークンを生成します。 パスワードは AAA サーバに保存されるため、ログイン時、ユーザはユーザ名を入力してから、パスワード フィールドにトークンとパスワードの組み合わせを入力する必要があります。 ベンダー固有の属性を取得するために、リクエストがトークン サーバに送信されます。 Cisco UCS Manager は、トークン サーバがリクエストを AAA サーバに転送できるように、トークン サーバを AAA サーバと統合することを要求します。 パスワードとトークンは、AAA サーバによって同時に検証されます。 ユーザは、AAA サーバで設定されているのと同じ順序で、トークンとパスワードを入力する必要があります。
この機能は、RADIUS または TACACS+ プロバイダー グループを指定認証ドメインに関連付け、それらのドメインで二要素認証を有効にすることによってサポートされます。
(注)
二要素認証は、認証レルムが LDAP、local、または none に設定されている場合はサポートされません。
Web セッションの更新および Web セッションのタイムアウト期限
Web セッションのタイムアウト期限は、アクティビティに関係なく、セッションの最長継続時間を制御します。 二要素認証を設定すると、Web セッションのタイムアウト期限もより大きいデフォルト値に設定されます。 Web セッションの更新期間が過ぎると、Cisco UCS Manager GUI クライアントはプロンプトを自動的に生成し、新しいトークンとパスワードの組み合わせを入力するようユーザに求めます。
Web セッションの更新期間は、ユーザの Web セッションの有効期間を制御します。 二要素認証が設定されている場合、ユーザは、Web セッションの更新期間が切れるたびに、トークンとパスワードの組み合わせを入力してログインする必要があります。 セッション タイムアウトが頻発して、ユーザに何度もトークンとパスワードの作り直しと再入力を要求することがないように、Web セッションの更新間隔は、二要素認証が有効化されると、より大きい初期デフォルト値に設定されます。 これにより、リモート ユーザは長時間アクティブ セッションを維持することができます。 無活動により Web セッションの更新が期限切れになった場合、ユーザは新しいトークンを生成して再度ログインするよう要求されます。
LDAP グループ ルール
LDAP グループ ルールは、リモート ユーザにユーザ ロールとロケールを割り当てるときに、Cisco UCS が LDAP グループを使用するかどうかを決定するために使用されます。
ネストされた LDAP グループ
Cisco UCS Manager のリリース 2.1(2) 以降では、LDAP グループ マップで定義された他のグループ内にネストされた LDAP グループを検索できます。 この新しい機能を使用すると、 Cisco UCS Manager のグループ マップでサブグループを常に作成する必要がなくなります。
(注)
ネストされた LDAP の検索サポートは Microsoft Active Directory サーバに対してのみサポートされます。 サポート対象のバージョンは Microsoft Windows 2003 SP3、Microsoft Windows 2008 R2、および Microsoft Windows 2012 です。
LDAP ネスティング機能を使用して、LDAP グループを他のグループおよびネスト グループのメンバとして追加し、メンバ アカウントを統合してトラフィックの重複を減らすことができます。
デフォルトでは、ユーザ権限は他のグループ内の LDAP グループをネストするときに継承されます。 たとえば、Group_2 のメンバとして Group_1 を作成すると、Group_1 のユーザは Group_2 のメンバと同じ権限が与えられます。 その結果、Group_1 のメンバであるユーザを検索するときは、Group_1 と Group_2 を別々に検索するのではなく LDAP グループ マップの Group_2 を選択するだけで済みます。
LDAP プロバイダーのプロパティの設定
手順このタスクで設定するプロパティは、Cisco UCS Manager で定義されたこのタイプのすべてのプロバイダー接続のデフォルト設定です。 個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Cisco UCS でその設定が使用され、デフォルト設定は無視されます。
Active Directory を LDAP サーバとして使用している場合は、Active Directory サーバで Cisco UCS にバインドするユーザ アカウントを作成します。 このアカウントには、期限切れにならないパスワードを設定します。
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope security セキュリティ モードを開始します。
ステップ 2 UCS-A /security # scope ldap セキュリティ LDAP モードを開始します。
ステップ 3 UCS-A /security/ldap # set attribute attribute 指定された属性を含むレコードにデータベース検索を限定します。
ステップ 4 UCS-A /security/ldap # set basedn distinguished-name 指定された識別名を含むレコードにデータベース検索を限定します。
ステップ 5 UCS-A /security/ldap # set filter filter 指定されたフィルタを含むレコードにデータベース検索を限定します。
ステップ 6 UCS-A /security/ldap # set timeout seconds (任意) システムがサーバをダウン状態として通知する前に、LDAP サーバからの応答を待つ時間間隔を設定します。
ステップ 7 UCS-A /security/ldap # commit-buffer トランザクションをシステムの設定にコミットします。
次の作業次の例は、LDAP 属性を CiscoAvPair に、ベース識別名を「DC=cisco-ucsm-aaa3,DC=qalab,DC=com」に、フィルタを「sAMAccountName=$userid」、タイムアウト間隔を 5 秒に設定し、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # scope ldap UCS-A /security/ldap # set attribute CiscoAvPair UCS-A /security/ldap* # set basedn "DC=cisco-ucsm-aaa3,DC=qalab,DC=com" UCS-A /security/ldap* # set filter sAMAccountName=$userid UCS-A /security/ldap* # set timeout 5 UCS-A /security/ldap* # commit-buffer UCS-A /security/ldap #
(注)
ユーザ ログインは LDAP ユーザーの userdn が 255 文字を超えると失敗します。
LDAP プロバイダーを作成します。
LDAP プロバイダーの作成
はじめる前に手順Active Directory を LDAP サーバとして使用している場合は、Active Directory サーバで Cisco UCS にバインドするユーザ アカウントを作成します。 このアカウントには、期限切れにならないパスワードを設定します。
LDAP グループを設定します。 LDAP グループには、ユーザのロールとロケール情報が含まれています。
Cisco UCS Manager のユーザ ロールとロケール情報を保持する属性をユーザに対して設定します。 この属性について LDAP スキーマを拡張するかどうかを選択できます。 スキーマを拡張しない場合は、既存の LDAP 属性を使用して Cisco UCS ユーザ ロールとロケールを保持します。 スキーマを拡張する場合は、CiscoAVPair 属性などのカスタム属性を作成します。
シスコの LDAP の実装では、Unicode タイプの属性が必要です。
CiscoAVPair カスタム属性を作成する場合は、属性 ID として 1.3.6.1.4.1.9.287247.1 を使用します
クラスタ設定では、両方のファブリック インターコネクトに対する管理ポートの IPv4 または IPv6 アドレスを追加します。 この設定では、1 つめのファブリック インターコネクトで障害が発生し、システムが 2 つめのファブリック インターコネクトにフェールオーバーしても、リモート ユーザは引き続きログインできることが保証されます。 ログイン要求はすべて、これらの IP アドレスから送信されます。Cisco UCS Manager により使用されている仮想 IPv4 または IPv6 アドレスではありません。
セキュアな通信を使用する場合は、LDAP サーバのルート認証局(CA)の証明書が格納されたトラスト ポイントを Cisco UCS Manager で作成します。
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope security セキュリティ モードを開始します。
ステップ 2 UCS-A /security # scope ldap セキュリティ LDAP モードを開始します。
ステップ 3 UCS-A /security/ldap # create server server-name LDAP サーバ インスタンスを作成し、セキュリティ LDAP サーバ モードを開始します。 SSL がイネーブルの場合、server-name は、通常 IP アドレスまたは FQDN となり、LDAP サーバのセキュリティ証明書内の Common Name(CN)と正確に一致している必要があります。 IP アドレスが指定されているのでない限り、DNS サーバは Cisco UCS Manager で設定する必要があります。
ステップ 4 UCS-A /security/ldap/server # set attribute attr-name (任意) ユーザ ロールとロケールの値を保管する LDAP 属性。 このプロパティは、常に、名前と値のペアで指定されます。 システムは、ユーザ レコードで、この属性名と一致する値を検索します。
LDAP スキーマを拡張しない場合は、既存の使用されていない LDAP 属性を Cisco UCS ロールとスケールに設定できます。 あるいは、属性 ID「1.3.6.1.4.1.9.287247.1」を持つ、CiscoAVPair という名前の属性をリモート認証サービスに作成できます。
デフォルトの属性が LDAP の [General] タブで設定されていない場合は、この値が必要です。
ステップ 5 UCS-A /security/ldap/server # set basedn basedn-name (任意) リモート ユーザがログインし、システムがそのユーザ名に基づいてユーザの DN の取得を試みるときに、サーバが検索を開始する LDAP 階層内の特定の識別名。 ベース DN は、最大 255 文字から CN= ユーザ名の長さを差し引いた長さに設定することができます。ユーザ名は、LDAP 認証により Cisco UCS Manager へのアクセスを試みているリモート ユーザの識別に使用されます。
デフォルトのベース DN が LDAP の [General] タブで設定されていない場合は、この値が必要です。
ステップ 6 UCS-A /security/ldap/server # set binddn binddn-name (任意) ベース DN のすべてのオブジェクトに対する読み取り権限と検索権限を持つ、LDAP データベース アカウントの識別名(DN)。
サポートされるストリングの最大長は 255 文字(ASCII)です。
ステップ 7 UCS-A /security/ldap/server # set filter filter-value (任意) LDAP 検索は、定義したフィルタと一致するユーザ名に限定されます。
デフォルトのフィルタが LDAP の [General] タブで設定されていない場合は、この値が必要です。
ステップ 8 UCS-A /security/ldap/server # set password [Bind DN] フィールドで指定した LDAP データベース アカウントのパスワード。 標準 ASCII 文字を入力できます。ただし、「§」(セクション記号)、「?」 (疑問符)、「=」(等号)は除きます。
パスワードを設定するには、set password コマンドを入力してから Enter キーを押し、プロンプトでキー値を入力します。
ステップ 9 UCS-A /security/ldap/server # set order order-num (任意) Cisco UCS でこのプロバイダーをユーザの認証に使用する順序。
ステップ 10 UCS-A /security/ldap/server # set port port-num (任意) Cisco UCS が LDAP データベースと通信するために使用するポート。 標準ポート番号は 389 です。
ステップ 11 UCS-A /security/ldap/server # set ssl {yes no} LDAP サーバと通信するときの暗号化の使用をイネーブルまたはディセーブルにします。 オプションは次のとおりです。
LDAP では STARTTLS が使用されます。 これにより、ポート 389 を使用した暗号化通信が可能になります。
ステップ 12 UCS-A /security/ldap/server # set timeout timeout-num LDAP データベースへの問い合わせがタイム アウトするまでの秒数。
1 ~ 60 秒の整数を入力するか、0(ゼロ)を入力して LDAP の [General] で指定したタイムアウト値を使用します。 デフォルトは 30 秒です。
ステップ 13 UCS-A /security/ldap/server # set vendor {ms-ad | openldap} LDAP サーバのネストされた LDAP グループ検索機能の使用をイネーブルまたはディセーブルにします。 オプションは次のとおりです。
[ms-ad]:ネストされた LDAP グループ検索は、このオプションでサポートされます。 ベンダーを [ms-ad](Microsoft Active Directory)に設定し、[ldap-group-rule] を有効にして [recursive] に設定すると、Cisco UCS Manager はネストされた LDAP グループを検索できます。
[openldap]:ネストされた LDAP グループ検索は、このオプションでサポートされません。 ベンダーを [openldap] に設定し、[ldap-group-rule] を有効にして [recursive] に設定すると、Cisco UCS Manager はネストされた LDAP グループを検索しません。 このオプションを選択すると、親グループがグループ マップにすでに設定されていても、Cisco UCS Manager で LDAP グループ マップとして各 LDAP サブグループを作成する必要があります。
(注) Cisco UCS Manager を旧バージョンからリリース 2.1(2) にアップグレードすると、LDAP プロバイダーのベンダー属性は [openldap] にデフォルトで設定され、LDAP 認証が正常に機能し続けます。
ステップ 14 UCS-A /security/ldap/server # commit-buffer トランザクションをシステムの設定にコミットします。
次の作業次の例では、10.193.169.246 という名前の LDAP サーバ インスタンスを作成し、binddn、パスワード、順序、ポート、SSL、ベンダー属性を設定し、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # scope ldap UCS-A /security/ldap* # create server 10.193.169.246 UCS-A /security/ldap/server* # set binddn "cn=Administrator,cn=Users,DC=cisco-ucsm-aaa3,DC=qalab,DC=com" UCS-A /security/ldap/server* # set password Enter the password: Confirm the password: UCS-A /security/ldap/server* # set order 2 UCS-A /security/ldap/server* # set port 389 UCS-A /security/ldap/server* # set ssl yes UCS-A /security/ldap/server* # set timeout 30 UCS-A /security/ldap/server* # set vendor ms-ad UCS-A /security/ldap/server* # commit-buffer UCS-A /security/ldap/server #次の例では、12:31:71:1231:45b1:0011:011:900 という名前の LDAP サーバ インスタンスを作成し、binddn、パスワード、順序、ポート、SSL、ベンダー属性を設定し、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # scope ldap UCS-A /security/ldap* # create server 12:31:71:1231:45b1:0011:011:900 UCS-A /security/ldap/server* # set binddn "cn=Administrator,cn=Users,DC=cisco-ucsm-aaa3,DC=qalab,DC=com" UCS-A /security/ldap/server* # set password Enter the password: Confirm the password: UCS-A /security/ldap/server* # set order 1 UCS-A /security/ldap/server* # set port 389 UCS-A /security/ldap/server* # set ssl yes UCS-A /security/ldap/server* # set timeout 45 UCS-A /security/ldap/server* # set vendor ms-ad UCS-A /security/ldap/server* # commit-buffer UCS-A /security/ldap/server #
単一の LDAP データベースが関係する実装の場合は、認証サービスとして LDAP を選択します。
複数の LDAP データベースが関係する実装の場合は、LDAP プロバイダー グループを設定します。
LDAP プロバイダーの LDAP グループ ルールの変更
手順
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope security セキュリティ モードを開始します。
ステップ 2 UCS-A /security # scope ldap セキュリティ LDAP モードを開始します。
ステップ 3 UCS-A /security/ldap # scope server ldap-provider セキュリティ LDAP プロバイダー モードを開始します。
ステップ 4 UCS-A /security/ldap/server # scope ldap-group-rule LDAP グループ ルール モードを開始します。
ステップ 5 UCS-A /security/ldap/server/ldap-group-rule # set authorization {enable | disable} ユーザ ロールとロケールをリモート ユーザに割り当てるときに、Cisco UCS が LDAP グループを検索するかどうかを指定します。
[disable]:Cisco UCS は LDAP グループにアクセスしません。
[ enable]:Cisco UCS は、この Cisco UCS ドメインにマッピングされた LDAP プロバイダー グループを検索します。 リモート ユーザが検出されると、Cisco UCS は、関連付けられた LDAP グループ マップで、その LDAP グループに定義されたユーザ ロールとロケールを割り当てます。
(注) ロールとロケールの割り当ては累積されます。 ユーザが複数のグループに含まれるか、LDAP 属性に指定されたロールまたはロケールを持つ場合、Cisco UCS はそのユーザを、それらのグループまたは属性のいずれかにマップされているすべてのロールおよびロケールに割り当てます。
ステップ 6 UCS-A /security/ldap/server/ldap-group-rule # set member-of-attribute attr-name Cisco UCS が LDAP データベース内のグループ メンバーシップを判別するために使用する属性。
サポートされるストリングの長さは 63 文字です。 デフォルトの文字列は「memberOf」です。
ステップ 7 UCS-A /security/ldap/server/ldap-group-rule # set traversal {non-recursive | recursive} Cisco UCS がグループ メンバーの親グループの設定を引き継ぐかどうかを、必要に応じて指定します。 ここに表示される値は次のとおりです。
ステップ 8 UCS-A /security/ldap/server/ldap-group-rule # set use-primary-group {yes | no} プライマリ グループをメンバーシップの検証のために Cisco UCS ドメイン内の LDAP グループ マップとして設定します。 Cisco UCS Manager をイネーブルにして、ユーザのプライマリ グループ メンバーシップをダウンロードして検証することが できます。
ステップ 9 UCS-A /security/ldap/server/ldap-group-rule # commit-buffer トランザクションをシステムの設定にコミットします。
次の例は、権限をイネーブルにする LDAP グループ ルールを設定し、属性のメンバを memberOf に設定し、traversal を non-recursive に設定し、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # scope ldap UCS-A /security/ldap # scope server ldapprovider UCS-A /security/ldap/server # scope ldap-group-rule UCS-A /security/ldap/server/ldap-group-rule # set authorization enable UCS-A /security/ldap/server/ldap-group-rule* # set member-of-attribute memberOf UCS-A /security/ldap/server/ldap-group-rule* # set traversal non-recursive UCS-A /security/ldap/server/ldap-group-rule* # set use-primary-group yes UCS-A /security/ldap/server/ldap-group-rule* # commit-buffer UCS-A /security/ldap/server/ldap-group-rule #LDAP プロバイダーの削除
LDAP グループ マッピング
LDAP データベースへのアクセスを制限するためにすでに LDAP グループを使用している組織では、UCSM でグループ メンバーシップ情報を使用して、ログイン時に LDAP ユーザにロールやロケールを割り当てることができます。 これにより、Cisco UCS Manager を導入するときに、LDAP ユーザ オブジェクトでロールやロケール情報を定義する必要がなくなります。
ユーザが Cisco UCS Manager にログインすると、ユーザのロールとロケールに関する情報が LDAP グループ マップから取り出されます。 ロールとロケールの基準がポリシー情報と一致する場合は、アクセスが許可されます。
ロールとロケールの定義は Cisco UCS Manager でローカルに設定され、LDAP ディレクトリに対する変更に基づいて自動的に更新されることはありません。 LDAP ディレクトリ内の LDAP グループの削除や名前変更を行う場合は、変更に合わせて Cisco UCS Manager も更新する必要があります。
たとえば、特定の場所のサーバ管理者グループを表す LDAP グループがあるとします。 LDAP グループ マップは、server-profile や server-equipment などのユーザ ロールを含むように設定されることもあります。 特定の場所のサーバ管理者へのアクセスを制限するために、ロケールに特定のサイト名を設定することができます。
(注)
Cisco UCS Manager にはすぐに使用できる多数のユーザ ロールが含まれていますが、ロケールは含まれていません。 LDAP プロバイダー グループをロケールにマッピングするには、カスタム ロケールを作成する必要があります。
LDAP グループ マップの作成
手順
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope security セキュリティ モードを開始します。
ステップ 2 UCS-A /security # scope ldap セキュリティ LDAP モードを開始します。
ステップ 3 UCS-A /security/ldap # create ldap-group group-dn 指定した DN 用の LDAP グループ マップを作成します。
グループ DN の最大文字数は 240 です。ステップ 4 UCS-A /security/ldap/ldap-group # create locale locale-name 指定されたロケールに LDAP グループをマッピングします。
ステップ 5 UCS-A /security/ldap/ldap-group # create role role-name 指定されたロールに LDAP グループをマッピングします。
ステップ 6 UCS-A /security/ldap/ldap-group # commit-buffer トランザクションをシステムの設定にコミットします。
次の作業次に、DN に LDAP グループをマッピングし、ロケールを pacific に設定し、ロールを admin に設定し、トランザクションをコミットする例を示します。
UCS-A# scope security UCS-A /security # scope ldap UCS-A /security/ldap # create ldap-group cn=security,cn=users,dc=lab,dc=com UCS-A /security/ldap/ldap-group* # create locale pacific UCS-A /security/ldap/ldap-group* # create role admin UCS-A /security/ldap/ldap-group* # commit-buffer UCS-A /security/ldap/ldap-group #
LDAP グループ ルールを設定します。
LDAP グループ マップの削除
RADIUS プロバイダーのプロパティの設定
手順このタスクで設定するプロパティは、Cisco UCS Manager で定義されたこのタイプのすべてのプロバイダー接続のデフォルト設定です。 個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Cisco UCS でその設定が使用され、デフォルト設定は無視されます。
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope security セキュリティ モードを開始します。
ステップ 2 UCS-A /security # scope radius セキュリティ RADIUS モードを開始します。
ステップ 3 UCS-A /security/radius # set retries retry-num (任意) サーバをダウンとして通知する前に RADIUS サーバとの通信を再試行する回数を設定します。
ステップ 4 UCS-A /security/radius # set timeout seconds (任意) システムがサーバをダウン状態として通知する前に、RADIUS サーバからの応答を待つ時間間隔を設定します。
ステップ 5 UCS-A /security/radius # commit-buffer トランザクションをシステムの設定にコミットします。
次の作業次の例は、RADIUS リトライを 4 に設定し、タイムアウト間隔を 30 秒に設定し、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # scope radius UCS-A /security/radius # set retries 4 UCS-A /security/radius* # set timeout 30 UCS-A /security/radius* # commit-buffer UCS-A /security/radius #
RADIUS プロバイダーを作成します。
RADIUS プロバイダーの作成
はじめる前に手順RADIUS サーバで、次の設定を行います。
Cisco UCS Manager のユーザ ロールとロケール情報を保持する属性をユーザに対して設定します。 この属性について RADIUS スキーマを拡張するかどうかを選択できます。 スキーマを拡張しない場合は、既存の RADIUS 属性を使用して Cisco UCS ユーザ ロールとロケールを保持します。 スキーマを拡張する場合は、cisco-avpair 属性などのカスタム属性を作成します。
シスコによる RADIUS の実装のベンダー ID は 009 であり、属性のベンダー ID は 001 です。
次の構文例は、cisco-avpair 属性を作成する場合に複数のユーザ ロールとロケールを指定する方法を示しています。shell:roles="admin,aaa" shell:locales="L1,abc"。 複数の値を区切るには、区切り文字としてカンマ「,」を使用します。
クラスタ設定では、両方のファブリック インターコネクトに対する管理ポートの IPv4 または IPv6 アドレスを追加します。 この設定では、1 つめのファブリック インターコネクトで障害が発生し、システムが 2 つめのファブリック インターコネクトにフェールオーバーしても、リモート ユーザは引き続きログインできることが保証されます。 ログイン要求はすべて、これらの IP アドレスから送信されます。Cisco UCS Manager により使用されている仮想 IP アドレスではありません。
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope security セキュリティ モードを開始します。
ステップ 2 UCS-A /security # scope radius セキュリティ RADIUS モードを開始します。
ステップ 3 UCS-A /security/radius # create server server-name RADIUS サーバ インスタンスを作成し、セキュリティ RADIUS サーバ モードを開始します
ステップ 4 UCS-A /security/radius/server # set authport authport-num (任意) RADIUS サーバとの通信に使用するポートを指定します。
ステップ 5 UCS-A /security/radius/server # set key RADIUS サーバ キーを設定します。 キー値を設定するには、set key コマンドを入力してから Enter キーを押し、プロンプトでキー値を入力します。
ステップ 6 UCS-A /security/radius/server # set order order-num (任意) このサーバが試行される順序を指定します。
ステップ 7 UCS-A /security/radius/server # set retries retry-num (任意) サーバをダウンとして通知する前に RADIUS サーバとの通信を再試行する回数を設定します。
ステップ 8 UCS-A /security/radius/server # set timeout seconds (任意) システムがサーバをダウン状態として通知する前に、RADIUS サーバからの応答を待つ時間間隔を設定します。
ヒント ステップ 9 UCS-A /security/radius/server # commit-buffer トランザクションをシステムの設定にコミットします。
次の作業次の例は、radiusserv7 という名前のサーバ インスタンスを作成し、認証ポートを 5858 に設定し、キーを radiuskey321 に設定し、順序を 2 に設定し、再試行回数を 4 回に設定し、タイムアウトを 30 に設定し、二要素認証をイネーブルにし、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # scope radius UCS-A /security/radius # create server radiusserv7 UCS-A /security/radius/server* # set authport 5858 UCS-A /security/radius/server* # set key Enter the key: radiuskey321 Confirm the key: radiuskey321 UCS-A /security/radius/server* # set order 2 UCS-A /security/radius/server* # set retries 4 UCS-A /security/radius/server* # set timeout 30 UCS-A /security/radius/server* # commit-buffer UCS-A /security/radius/server #
単一の RADIUS データベースが関係する実装の場合は、RADIUS をプライマリ認証サービスとして選択します。
複数の RADIUS データベースが関係する実装の場合は、RADIUS プロバイダー グループを設定します。
RADIUS プロバイダーの削除
TACACS+ プロバイダーのプロパティの設定
手順このタスクで設定するプロパティは、Cisco UCS Manager で定義されたこのタイプのすべてのプロバイダー接続のデフォルト設定です。 個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Cisco UCS でその設定が使用され、デフォルト設定は無視されます。
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope security セキュリティ モードを開始します。
ステップ 2 UCS-A /security # scope tacacs セキュリティ TACACS+ モードを開始します。
ステップ 3 UCS-A /security/tacacs # set timeout seconds (任意) システムがサーバをダウン状態として通知する前に、TACACS+ サーバからの応答を待つ時間間隔を設定します。
ステップ 4 UCS-A /security/tacacs # commit-buffer トランザクションをシステムの設定にコミットします。
次の作業次の例は、TACACS+ タイムアウト間隔を 45 秒に設定し、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # scope tacacs UCS-A /security/tacacs # set timeout 45 UCS-A /security/tacacs* # commit-buffer UCS-A /security/tacacs #
TACACS+ プロバイダーを作成します。
TACACS+ プロバイダーの作成
はじめる前に手順TACACS+ サーバで、次の設定を行います。
cisco-av-pair 属性を作成します。 既存の TACACS+ 属性は使用できません。
cisco-av-pair 名は、TACACS+ プロバイダーの属性 ID を提供する文字列です。
次の構文例は、cisco-av-pair 属性を作成するときに複数のユーザ ロールとロケールを指定する方法を示しています。cisco-av-pair=shell:roles="admin aaa" shell:locales*"L1 abc"。 cisco-av-pair 属性構文でアスタリスク(*)を使用すると、ロケールがオプションとして指定され、同じ認可プロファイルを使用する他のシスコ デバイスで認証の失敗を防ぐことができます。 複数の値を区切るには、区切り文字としてスペースを使用します。
クラスタ設定では、両方のファブリック インターコネクトに対する管理ポートの IPv4 または IPv6 アドレスを追加します。 この設定では、1 つめのファブリック インターコネクトで障害が発生し、システムが 2 つめのファブリック インターコネクトにフェールオーバーしても、リモート ユーザは引き続きログインできることが保証されます。 ログイン要求はすべて、これらの IP アドレスから送信されます。Cisco UCS Manager により使用されている仮想 IP アドレスではありません。
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope security セキュリティ モードを開始します。
ステップ 2 UCS-A /security # scope tacacs セキュリティ TACACS+ モードを開始します。
ステップ 3 UCS-A /security/tacacs # create server server-name TACACS+ サーバ インスタンスを作成し、セキュリティ TACACS+ サーバ モードを開始します
ステップ 4 UCS-A /security/tacacs/server # set key (任意) TACACS+ サーバ キーを設定します。 キー値を設定するには、set key コマンドを入力してから Enter キーを押し、プロンプトでキー値を入力します。
ステップ 5 UCS-A /security/tacacs/server # set order order-num (任意) このサーバが試行される順序を指定します。
ステップ 6 UCS-A /security/tacacs/server # set timeoutseconds (任意) システムがサーバをダウン状態として通知する前に、TACACS+ サーバからの応答を待つ時間間隔を設定します。
ヒント TACACS+ プロバイダーに二要素認証を選択する場合は、より高いタイムアウト値を設定することを推奨します。
ステップ 7 UCS-A /security/tacacs/server # set port port-num TACACS+ サーバとの通信に使用するポートを指定します。
ステップ 8 UCS-A /security/tacacs/server # commit-buffer トランザクションをシステムの設定にコミットします。
次の作業次の例は、tacacsserv680 という名前のサーバ インスタンスを作成し、キーを tacacskey321 に設定してそのキーを確認し、順序を 4 に設定し、認証ポートを 5859 に設定し、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # scope tacacs UCS-A /security/tacacs # create server tacacsserv680 UCS-A /security/tacacs/server* # set key Enter the key: tacacskey321 Confirm the key: tacacskey321 UCS-A /security/tacacs/server* # set order 4 UCS-A /security/tacacs/server* # set port 5859 UCS-A /security/tacacs/server* # commit-buffer UCS-A /security/tacacs/server #
単一の TACACS+ データベースが関係する実装の場合は、TACACS+ をプライマリ認証サービスとして選択します。
複数の TACACS+ データベースが関係する実装の場合は、TACACS+ プロバイダー グループを設定します。
TACACS+ プロバイダーの削除
マルチ認証システム
次の機能を実装して、Cisco UCS が複数の認証システムを使用するように設定することができます。
プロバイダー グループと認証ドメインが Cisco UCS Manager で設定された後、Cisco UCS Manager CLI を使用して次の構文でシステムにログインできます: ucs: auth-domain \ user-name
リモート認証サービスで複数の認証ドメインとネイティブ認証が設定されている場合は、次のいずれかの構文例を使用して SSH、Telnet または Putty でログインします。
(注)
SSH ログインでは大文字と小文字が区別されます。
Linux 端末からは以下の SSH を使用します。
ssh ucs-auth-domain\\username@{UCSM-ip-address|UCMS-ipv6-address}
ssh ucs-example\\jsmith@192.0.20.11ssh ucs-example\\jsmith@2001::1ssh -l ucs-auth-domain\\username {UCSM-ip-address| UCSM-ipv6-address| UCSM-host-name}
ssh -l ucs-example\\jsmith 192.0.20.11ssh -l ucs-example\\jsmith 2001::1ssh {UCSM-ip-address | UCSM-ipv6-address | UCSM-host-name} -l ucs-auth-domain\\username
ssh 192.0.20.11 -l ucs-example\\jsmithssh 2001::1 -l ucs-example\\jsmithssh ucs-auth-domain\\username@{UCSM-ip-address|UCSM-ipv6-address}
ssh ucs-ldap23\\jsmith@192.0.20.11ssh ucs-ldap23\\jsmith@2001::1Linux 端末からは以下の Telnet を使用します。
telnet ucs-UCSM-host-name ucs-auth-domain\username
telnet ucs-qa-10 login: ucs-ldap23\blradmintelnet ucs-{UCSM-ip-address|UCSM-ipv6-address}ucs-auth-domain\username
telnet 10.106.19.12 2052 ucs-qa-10-A login: ucs-ldap23\blradminPutty クライアントから:
プロバイダー グループ
プロバイダー グループは、認証プロセス中に Cisco UCS によって使用されるプロバイダーのセットです。 Cisco UCS Manager では、最大 16 のプロバイダー グループを作成でき、グループごとに最大 8 つのプロバイダーを含めることが可能です。
認証中は、プロバイダー グループ内のすべてのプロバイダーが順番に試行されます。 設定されているどのサーバも使用できない場合、またはどのサーバにも到達できない場合、Cisco UCS Manager は、ローカル ユーザ名とパスワードを使用して自動的にローカル認証方式にフォールバックします。
LDAP プロバイダー グループの作成
手順LDAP プロバイダー グループを作成すると、複数の LDAP データベースを使用して認証できます。
(注)
単一の LDAP データベースを使用した認証では、LDAP プロバイダー グループを設定する必要はありません。
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope security セキュリティ モードを開始します。
ステップ 2 UCS-A /security # scope ldap セキュリティ LDAP モードを開始します。
ステップ 3 UCS-A /security/ldap # create auth-server-group auth-server-group-name LDAP プロバイダー グループを作成し、認証サーバ グループの LDAP セキュリティ モードを開始します。
ステップ 4 UCS-A /security/ldap/auth-server-group # create server-ref ldap-provider-name 指定された LDAP プロバイダーを LDAP プロバイダー グループに追加し、サーバ参照認証サーバ グループの LDAP セキュリティ モードを開始します。
ステップ 5 UCS-A /security/ldap/auth-server-group/server-ref # set order order-num Cisco UCS がこのプロバイダーをユーザの認証に使用する順序を指定します。
有効な値には no-value と 0 ~ 16 が含まれ、値が小さいほど優先度が高いことを示します。 順序を no-value に指定することは、そのサーバ参照の優先度を最高にするのと同じです。
ステップ 6 UCS-A /security/ldap/auth-server-group/server-ref # commit-buffer トランザクションをシステムの設定にコミットします。
次の作業次の例は、ldapgroup という名前の LDAP プロバイダー グループを作成し、プロバイダー グループに ldap1 および ldap2 という 2 種類の事前設定されたプロバイダーを追加し、順序を設定し、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # scope ldap UCS-A /security/ldap # create auth-server-group ldapgroup UCS-A /security/ldap/auth-server-group* # create server-ref ldap1 UCS-A /security/ldap/auth-server-group/server-ref* # set order 1 UCS-A /security/ldap/auth-server-group/server-ref* # up UCS-A /security/ldap/auth-server-group* # create server-ref ldap2 UCS-A /security/ldap/auth-server-group/server-ref* # set order 2 UCS-A /security/ldap/auth-server-group/server-ref* # commit-buffer UCS-A /security/ldap/auth-server-group/server-ref #
認証ドメインを設定するか、デフォルト認証サービスを選択します。
LDAP プロバイダー グループの削除
RADIUS プロバイダー グループの作成
手順RADIUS プロバイダー グループを作成すると、複数の RADIUS データベースを使用して認証できます。
(注)
単一の RADIUS データベースを使用した認証では、RADIUS プロバイダー グループを設定する必要はありません。
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope security セキュリティ モードを開始します。
ステップ 2 UCS-A /security # scope radius セキュリティ RADIUS モードを開始します。
ステップ 3 UCS-A /security/radius # create auth-server-group auth-server-group-name RADIUS プロバイダー グループを作成し、認証サーバ グループの RADIUS セキュリティ モードを開始します。
ステップ 4 UCS-A /security/RADIUS/auth-server-group # create server-ref radius-provider-name 指定された RADIUS プロバイダーを RADIUS プロバイダー グループに追加し、サーバ参照認証サーバ グループの RADIUS セキュリティ モードを開始します。
ステップ 5 UCS-A /security/radius/auth-server-group/server-ref # set order order-num Cisco UCS がこのプロバイダーをユーザの認証に使用する順序を指定します。
有効な値には no-value と 0 ~ 16 が含まれ、値が小さいほど優先度が高いことを示します。 順序を no-value に指定することは、そのサーバ参照の優先度を最高にするのと同じです。
ステップ 6 UCS-A /security/radius/auth-server-group/server-ref # commit-buffer トランザクションをシステムの設定にコミットします。
次の作業次の例は、radiusgroup という名前の RADIUS プロバイダー グループを作成し、プロバイダー グループに radius1 と radius2 という 2 種類の事前設定されたプロバイダーを追加し、順序を設定し、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # scope radius UCS-A /security/radius # create auth-server-group radiusgroup UCS-A /security/radius/auth-server-group* # create server-ref radius1 UCS-A /security/radius/auth-server-group/server-ref* # set order 1 UCS-A /security/radius/auth-server-group/server-ref* # up UCS-A /security/radius/auth-server-group* # create server-ref radius2 UCS-A /security/radius/auth-server-group/server-ref* # set order 2 UCS-A /security/radius/auth-server-group/server-ref* # commit-buffer UCS-A /security/radius/auth-server-group/server-ref #
認証ドメインを設定するか、デフォルト認証サービスを選択します。
RADIUS プロバイダー グループの削除
手順
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope security セキュリティ モードを開始します。
ステップ 2 UCS-A /security # scope radius セキュリティ RADIUS モードを開始します。
ステップ 3 UCS-A /security/radius # delete auth-server-group auth-server-group-name RADIUS プロバイダー グループを削除します。
ステップ 4 UCS-A /security/radius # commit-buffer トランザクションをシステムの設定にコミットします。
TACACS プロバイダー グループの作成
手順TACACS+ プロバイダー グループを作成すると、複数の TACACS+ データベースを使用して認証できます。
(注)
単一の TACACS+ データベースを使用した認証では、TACACS+ プロバイダー グループを設定する必要はありません。
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope security セキュリティ モードを開始します。
ステップ 2 UCS-A /security # scope tacacs セキュリティ TACACS モードを開始します。
ステップ 3 UCS-A /security/tacacs # create auth-server-group auth-server-group-name TACACS プロバイダー グループを作成し、認証サーバ グループのセキュリティ TACACS モードを開始します。
ステップ 4 UCS-A /security/tacacs/auth-server-group # create server-ref tacacs-provider-name 指定した TACACS プロバイダーを TACACS プロバイダー グループに追加し、サーバ参照認証サーバ グループ セキュリティ TACACS モードを開始します。
ステップ 5 UCS-A /security/tacacs/auth-server-group/server-ref # set order order-num Cisco UCS がこのプロバイダーをユーザの認証に使用する順序を指定します。
有効な値には no-value と 0 ~ 16 が含まれ、値が小さいほど優先度が高いことを示します。 順序を no-value に指定することは、そのサーバ参照の優先度を最高にするのと同じです。
ステップ 6 UCS-A /security/tacacs/auth-server-group/server-ref # commit-buffer トランザクションをシステムの設定にコミットします。
次の作業次の例は、tacacsgroup という名前の TACACS プロバイダー グループを作成し、プロバイダー グループに tacacs1 と tacacs2 という 2 種類の事前設定されたプロバイダーを追加し、順序を設定し、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # scope tacacs UCS-A /security/tacacs # create auth-server-group tacacsgroup UCS-A /security/tacacs/auth-server-group* # create server-ref tacacs1 UCS-A /security/tacacs/auth-server-group/server-ref* # set order 1 UCS-A /security/tacacs/auth-server-group/server-ref* # up UCS-A /security/tacacs/auth-server-group* # create server-ref tacacs2 UCS-A /security/tacacs/auth-server-group/server-ref* # set order 2 UCS-A /security/tacacs/auth-server-group/server-ref* # commit-buffer UCS-A /security/tacacs/auth-server-group/server-ref #
認証ドメインを設定するか、デフォルト認証サービスを選択します。
TACACS プロバイダー グループの削除
手順
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope security セキュリティ モードを開始します。
ステップ 2 UCS-A /security # scope tacacs セキュリティ TACACS モードを開始します。
ステップ 3 UCS-A /security/tacacs # delete auth-server-group auth-server-group-name TACACS プロバイダー グループを削除します。
ステップ 4 UCS-A /security/tacacs # commit-buffer トランザクションをシステムの設定にコミットします。
認証ドメイン
認証ドメインは、複数の認証システムを活用するために Cisco UCS Manager によって使用されます。 各認証ドメインは、ログイン中に指定および設定されます。 認証ドメインを指定しないと、デフォルトの認証サービス設定が使用されます。
最大 8 個の認証ドメインを作成できます。 各認証ドメインは、Cisco UCS Manager 内のプロバイダー グループと領域に関連付けられています。 プロバイダー グループが指定されていない場合は、領域内のすべてのサーバが使用されます。
認証ドメインの作成
手順
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope security セキュリティ モードを開始します。
ステップ 2 UCS-A /security # create auth-domain domain-name 認証ドメインを作成し、認証ドメイン モードを開始します。
(注) リモート認証プロトコルを使用するシステムの場合、認証ドメイン名はユーザ名の一部と見なされ、ローカルに作成されたユーザ名に対して 32 文字の制限が適用されます。 Cisco UCS ではフォーマットに 5 文字が挿入されるため、ドメイン名とユーザ名の合計が 27 文字を超えると、認証に失敗します。
ステップ 3 UCS-A /security/auth-domain # set refresh-period seconds (任意) Cisco UCS Manager に接続している場合、Web クライアントは、Web セッションをアクティブに保つために、Cisco UCS Manager に更新要求を送信する必要があります。 このオプションを使用して、このドメインのユーザに許可する更新要求間隔の最大時間数を指定します。
この時間制限を超えると、Cisco UCS Manager は Web セッションを非アクティブであると見なしますが、セッションの終了は行いません。
60 ~ 172800 の整数を指定します。 デフォルトは 600 秒です。
(注) [Web Session Refresh Period] に設定する秒数は、[Web Session Timeout] に設定する秒数未満である必要があります。 [Web Session Refresh Period] に [Web Session Timeout] と同じ値を設定しないでください。
ステップ 4 UCS-A /security/auth-domain # set session-timeout seconds (任意) 最後の更新要求から Cisco UCS Manager が Web セッションが終了したと見なすまでの最大経過時間。 この時間制限を超えると、Cisco UCS Manager は自動的に Web セッションを終了させます。
60 ~ 172800 の整数を指定します。 デフォルトは 7200 秒です。
(注) RADIUS または TACACS+ レルムに対して二要素認証を設定する場合は、リモート ユーザが頻繁に再認証する必要がないよう、 [セッションの更新] 時間および [セッションのタイムアウト] 時間を増やすことを検討してください。
ステップ 5 UCS-A /security/auth-domain # create default-auth (任意) 認証ドメインのデフォルト認証を作成します。
ステップ 6 UCS-A /security/auth-domain/default-auth # set auth-server-group auth-serv-group-name (任意) 認証ドメインのプロバイダー グループを設定します。
ステップ 7 UCS-A /security/auth-domain/default-auth # set realm {ldap | local | radius | tacacs} 認証ドメインのレルムを設定します。
ステップ 8 UCS-A /security/auth-domain/default-auth # set use-2-factor yes (任意) レルムの二要素認証に認証方式を設定します。
(注) 二要素認証は、RADIUS および TACACS+ レルムにのみ適用されます。
ステップ 9 UCS-A /security/auth-domain/default-auth # commit-buffer トランザクションをシステムの設定にコミットします。
次の例では、Web の更新時間が 3600 秒(1 時間)およびセッションのタイムアウト時間が 14400 秒(4 時間)の domain1 と呼ばれる認証ドメインを作成します。 次に、radius1 でプロバイダーを使用するように domain1 を設定し、レルム タイプを radius に設定し、二要素認証を有効にし、トランザクションをコミットします。UCS-A# scope security UCS-A /security # create auth-domain domain1 UCS-A /security/auth-domain* # set refresh-period 3600 UCS-A /security/auth-domain* # set session-timeout 14400 UCS-A /security/auth-domain* # create default-auth UCS-A /security/auth-domain/auth-domain* # set auth-server-group radius1 UCS-A /security/auth-domain/auth-domain* # set realm radius UCS-A /security/auth-domain/auth-domain* # set user-2-factor yes UCS-A /security/auth-domain/auth-domain* # commit-buffer UCS-A /security/auth-domain/auth-domain #コンソール認証サービスの選択
はじめる前に手順システムでリモート認証サービスが使用されている場合は、その認証サービスに対するプロバイダーを作成します。 Cisco UCS を通じたローカル認証のみを使用する場合は、最初にプロバイダーを作成する必要はありません。
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope security セキュリティ モードを開始します。
ステップ 2 UCS-A /security # scope console-auth コンソール認証セキュリティ モードを開始します。
ステップ 3 UCS-A /security/console-auth # set realm auth-type コンソール認証を指定します。auth-type 引数は次のいずれかのキーワードです。
ステップ 4 UCS-A /security/console-auth # set auth-server-group auth-serv-group-name (任意) 関連付けられたプロバイダー グループ(存在する場合)。
ステップ 5 UCS-A /security/default-auth # set use-2-factor yes (任意) レルムの二要素認証に認証方式を設定します。
(注) 二要素認証は、RADIUS および TACACS+ レルムにのみ適用されます。
ステップ 6 UCS-A /security/console-auth # commit-buffer トランザクションをシステムの設定にコミットします。
次の例では、認証レルムを TACACS+ に設定し、コンソール認証プロバイダー グループを provider1 に設定し、二要素認証を有効にし、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # scope console-auth UCS-A /security/console-auth # set realm tacacs UCS-A /security/console-auth # set auth-server-group provider1 UCS-A /security/console-auth* # set use-2-factor yes UCS-A /security/console-auth* # commit-buffer UCS-A /security/console-auth #デフォルト認証サービスの選択
手順
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope security セキュリティ モードを開始します。
ステップ 2 UCS-A /security # scope default-auth デフォルト認証セキュリティ モードを開始します。
ステップ 3 UCS-A /security/default-auth # set realm auth-type デフォルト認証を指定します。auth-type は次のキーワードのいずれかです。
ステップ 4 UCS-A /security/default-auth # set auth-server-group auth-serv-group-name (任意) 関連付けられたプロバイダー グループ(存在する場合)。
ステップ 5 UCS-A /security/default-auth # set refresh-period seconds (任意) Cisco UCS Manager に接続している場合、Web クライアントは、Web セッションをアクティブに保つために、Cisco UCS Manager に更新要求を送信する必要があります。 このオプションを使用して、このドメインのユーザに許可する更新要求間隔の最大時間数を指定します。
この時間制限を超えると、Cisco UCS Manager は Web セッションを非アクティブであると見なしますが、セッションの終了は行いません。
60 ~ 172800 の整数を指定します。 デフォルトは 600 秒です。
ステップ 6 UCS-A /security/default-auth # set session-timeout seconds (任意) 最後の更新要求から Cisco UCS Manager が Web セッションが終了したと見なすまでの最大経過時間。 この時間制限を超えると、Cisco UCS Manager は自動的に Web セッションを終了させます。
60 ~ 172800 の整数を指定します。 デフォルトは 7200 秒です。
(注) RADIUS または TACACS+ レルムに対して二要素認証を設定する場合は、リモート ユーザが頻繁に再認証する必要がないよう、セッションの更新時間およびセッションのタイムアウト時間を増やすことを検討してください。
ステップ 7 UCS-A /security/default-auth # set use-2-factor yes (任意) レルムの二要素認証に認証方式を設定します。
(注) 二要素認証は、RADIUS および TACACS+ レルムにのみ適用されます。
ステップ 8 UCS-A /security/default-auth # commit-buffer トランザクションをシステムの設定にコミットします。
次の例では、デフォルトの認証を RADIUS に設定し、デフォルトの認証プロバイダー グループを provider1 に設定し、二要素認証をイネーブルにし、更新間隔を 7200 秒(2 時間)に設定し、セッションのタイムアウト間隔を 28800 秒(8 時間)に設定し、二要素認証をイネーブルにします。 そして、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # scope default-auth UCS-A /security/default-auth # set realm radius UCS-A /security/default-auth* # set auth-server-group provider1 UCS-A /security/default-auth* # set use-2-factor yes UCS-A /security/default-auth* # set refresh-period 7200 UCS-A /security/default-auth* # set session-timeout 28800 UCS-A /security/default-auth* # commit-buffer UCS-A /security/default-auth #リモート ユーザのロール ポリシー
デフォルトでは、Cisco UCS Manager でユーザ ロールが設定されていない場合は、LDAP、RADIUS、または TACACS プロトコルを使用してリモート サーバから Cisco UCS Manager にログインしているすべてのユーザに読み取り専用アクセス権が付与されます。 セキュリティ上の理由から、Cisco UCS Manager で確立されたユーザ ロールに一致するユーザだけにアクセスを限定するのが望ましい場合もあります。
リモート ユーザのロール ポリシーは、次の方法で設定できます。
- assign-default-role
Cisco UCS Manager へのユーザ アクセスをユーザ ロールに基づいて制限しません。 その他のユーザ ロールが Cisco UCS Manager で定義されていない限り、すべてのユーザに読み取り専用アクセス権が付与されます。
これはデフォルトの動作です。
- no-login
Cisco UCS Manager へのユーザ アクセスをユーザ ロールに基づいて制限します。 リモート認証システムにユーザ ロールが割り当てられていない場合、アクセスは拒否されます。