セキュリティ : Cisco Secure Access Control Server for Windows

Cisco Secure ACS: ユーザおよびユーザ グループの AAA クライアントに関するネットワーク アクセスの制限

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、ユーザとユーザ グループの AAA クライアント(ルータ、PIX、ASA、ワイヤレス コントローラを含む)を使用した Cisco Secure Access Control Server(ACS)4.x バージョンのネットワーク アクセス制限(NAR)を設定する方法について説明します。

前提条件

要件

この資料は Cisco Secure ACS および AAA クライアントが正しく設定され、はたらくという想定のもとで作成されます。

使用するコンポーネント

この文書に記載されている情報は Cisco Secure ACS 3.0 および それ以降に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

ネットワーク アクセス制限

このセクションは NARs を記述し、共用 NARs を設定・管理するために詳細な使用説明書を提供します。

このセクションには、次の項目があります。

ネットワーク アクセス制限について

NAR はユーザがネットワークにアクセスできる前に ACS で作る満たす必要がある追加状態の定義です。 ACS は AAA クライアントが送信 する属性から情報の使用によってこれらの条件を適用します。 複数の方法で NARs を設定できるがすべては AAA クライアントが送信 する一致する属性 情報に基づいています。 従って、有効な NARs を用いたいと思う場合 AAA クライアントが送信するという属性の形式およびコンテンツを理解して下さい。

NAR を設定すると、フィルタを許可条件または拒否条件のどちらとして動作させるかを選択できます。 すなわち、NAR で NAR の保存されている情報と比較されたとき AAA クライアントから送信 される 情報に基づいてかどうか割り当てまたは拒否ネットワーク アクセスに、規定 します。 ただし、NAR が動作するために十分な情報が取得できない場合、デフォルトではアクセスが拒否されます。 この表はこれらの状態を示したものです:

IPベース 基づく非 IP 不十分な情報
Permit 認められるアクセス アクセス拒否 アクセス拒否
拒否 アクセス拒否 認められるアクセス アクセス拒否

ACS は NAR フィルターの 2 つの型をサポートします:

NAR は特定のユーザまたはユーザ グループに適用するように定義できます。 ユーザ向けに一定ネットワーク アクセス制限ユーザグループ セクションについては詳細については一定ネットワーク アクセス制限を参照して下さい。 ただし、ACS の共有プロファイル コンポーネント セクションで直接ユーザかユーザグループを引用しないで共用 NAR を作成し、指名できます。 共用 NAR に ACS Webインターフェイスの他の一部で参照することができる名前をつけます。 それからユーザかユーザグループを設定するとき、または適用されるべき倍数共用制限、1 つ『None』 を選択 する、ことができます。 ユーザかユーザグループに倍数共用 NARs のアプリケーションを規定 するとき、2 つのアクセス 基準の 1 つを選択します:

  • すべての選択したフィルターは割り当てなります。

  • どの 1 つの選択したフィルターでも割り当てなります。

NARs の異なる型と関連している先任 順を理解して下さい。 これは NAR フィルタリングの順序です:

  1. ユーザー レベルの共用 NAR

  2. グループ レベルの共用 NAR

  3. ユーザー レベルの非共有された NAR

  4. グループ レベルの非共有された NAR

またあらゆるレベルのアクセスの否定が別のレベルでアクセスを拒否しない設定に優先することを理解するはずです。 これはルールへユーザー レベル設定がグループ レベル設定を無効にすること ACS の 1 例外です。 たとえば、特定のユーザはユーザー レベルで適用する NAR 制限がないかもしれません。 ただし、共用か、または非共有された NAR によって制限 されるそのユーザがグループに属すれば、ユーザは拒否されたアクセス権です。

共用 NARs は ACS 内部データベースで保存されます。 バックアップするのに ACS バックアップおよびリストア機能を使用できそれらを復元する。 またセカンダリ ACS に、他のコンフィギュレーションと共に、共用 NARs を複製できます。

IPベース NAR フィルターについて

IPベース NAR フィルターに関しては、ACS は示されているように属性を利用します、認証要求の AAAプロトコルによって決まる:

  • TACACS+ —使用していれば TACACS+ 開始する パケット ボディからの rem_addr フィールドは使用されます。

    注: 認証要求が ACS へのプロキシによって転送されるとき、TACACS+ 要求のためのどの NARs でもフォワーディング AAAサーバの IP アドレスに、ない AAA 発生クライアントの IP アドレスに適用されます。

  • 使用していれば RADIUS IETF を呼出ステーション ID (アトリビュートは 31)利用する必要があります。

    注: IPベース NAR フィルターは ACS が Radius 呼出ステーション ID (31) アトリビュートを受け取るときだけはたらきます。 呼出ステーション ID (31) 有効 な IP アドレスが含まれていなければなりません。 場合、DNIS ルールに下ります。

十分な IP アドレス 情報を提供しない AAA クライアントは(たとえば、ある種のファイアウォール)完全な NAR 機能性をサポートしません。

IPベース制限用の他の属性は、プロトコルごとに示されているように、NAR フィールドが含まれています:

  • TACACS+ —使用していれば ACS の NAR フィールドはこれらの値を使用します:

    • AAA は ACS と TACACS+ クライアントの間でソケットの送信元アドレスから client — NAS-IP-address 奪取 されます。

    • port — Port フィールドは TACACS+ 開始する パケット ボディから奪取 されます。

非 IPベース NAR フィルターについて

非 IPベース NAR フィルタ(すなわち、DNIS/CLI ベースの NAR フィルタ)は確立された IPベース接続を持っていないとき AAA クライアントを制限するのに使用できる許可されたか、または否定された呼出すか、または Point of Access Locations のリストです。 一般に、IP ベース以外の NAR 機能は、CLI 番号と DNIS 番号を使用します。

ただし、CLI の代わりに IP アドレスを入力するとき、非 IPベース フィルタを使用できます; AAA クライアントが Cisco IOS を使用しない時でさえか。 CLI か DNIS をサポートするソフトウェア リリース。 CLI の入力への別の例外では、割り当てまたは拒否アクセスへの MAC アドレスを入力できます。 たとえば、Cisco Aironet AAA クライアントを使用している時。 同様に、DNIS の代わりに Cisco Aironet AP MAC アドレスを入力する可能性があります。 CLI ボックスで規定 するものをの形式— CLI、IP アドレス、または MAC アドレス—一致する AAA クライアントから受け取るものをの形式をなりません。 RADIUS アカウントログからのこの形式を判別できます。

DNIS/CLI ベースの制限用の属性は、プロトコルごとに示されているように、NAR フィールドが含まれています:

  • TACACS+ —使用していればリストされている NAR フィールドはこれらの値を用います:

    • AAA は ACS と TACACS+ クライアントの間でソケットの送信元アドレスから client — NAS-IP-address 奪取 されます。

    • port — TACACS+ 開始する パケット ボディの Port フィールドは使用されます。

    • CLI — TACACS+ 開始する パケット本文のレム アドレス フィールドは使用されます。

    • dnis — TACACS+ 開始する パケット本文から奪取 されるレム アドレス フィールドは使用されます。 レム アドレス データがスラッシュから始まるケースでは(/)、DNIS フィールドはスラッシュなしでレム アドレス データが含まれています(/)。

    注: 認証要求が ACS へのプロキシによって転送されるとき、TACACS+ 要求のためのどの NARs でもフォワーディング AAAサーバの IP アドレスに、ない AAA 発生クライアントの IP アドレスに適用されます。

  • radius —使用していればリストされている NAR フィールドはこれらの値を使用します:

    • AAA client:NAS-IP-address(属性 4)または、NAS-IP-address が存在しない場合は NAS-Identifier(RADIUS 属性 32)が使用されます。

    • Port:NAS-port(属性 5)または、NAS-port が存在しない場合は、NAS-port-ID(属性 87)が使用されます。

    • CLI — 呼出ステーション ID (アトリビュートは 31)利用します。

    • dnis — 呼出ステーション ID (アトリビュートは 30)利用します。

NAR を規定 するとき、あらゆる値のために、またはあらゆる値の一部としてワイルドカードとして範囲を確立するのにアスタリスク(*)を使用できます。 NAR がアクセスを制限することができるように NAR 説明のすべての値か条件は満たす必要があります。 これは値がブールおよび。が含まれていることを意味します

共用 NAR を追加して下さい

多くのアクセス制限が含まれている共用 NAR を作成できます。 ACS Webインターフェイスが共用 NAR のアクセス制限の数または各アクセス制限の長さへの制限を超えないようにしないが、これらの制限に付着して下さい:

  • 各一般 品目のためのフィールドの組み合せは 1024 文字を超過できません。

  • 共用 NAR は文字の以上 16 KB 持つ場合がありません。 サポートされる行数 項目は各一般 品目の長さによって決まります。 たとえば、AAA クライアントネームが 10 文字の CLI/DNIS ベースの NAR を作成すれば、ポート番号は 5 文字です、CLI エントリは 15 文字であり、16 KB 制限に達する前に DNIS エントリは 20 文字、450 の一般 品目を追加できますです。

注: NAR を定義する前に、その NAR で使用するように意図する要素を確立したこと確かめて下さい。 従って NAR 定義のそれらに一部をする前に、すべての NAFs および NDGs を規定 し、すべての関連した AAA クライアントを定義したにちがいありません。 詳細についてはネットワーク アクセス Restrictions セクションを約参照して下さい。

共用 NAR を追加するためにこれらのステップを完了して下さい:

  1. ナビゲーション バーで、『Shared Profile Components』 をクリック して下さい。

    Shared Profile Components ウィンドウは現われます。

    acs-nar1.gif

  2. ネットワーク アクセス制限をクリックして下さい。

    acs-nar2.gif

  3. [Add] をクリックします。

    ネットワーク アクセス 制約事項 ウィンドウは現われます。

    acs-nar3.gif

  4. ネームボックスでは、新しい共用 NAR の名前を入力して下さい。

    注: 名前は 31 文字まで含まれている場合があります。 導くことおよび後ろ の スペースは許可されません。 名前はこれらの文字が含まれている場合がありません: 左角カッコ([)、右角かっこ(])、カンマ(、)、またはスラッシュ(/)。

  5. 説明ボックスでは、新しい共用 NAR の説明を入力して下さい。 説明は 30,000 文字までである場合もあります。

  6. 割り当てにほしいか、または IP アドレッシングに基づいてアクセスを拒否すれば:

    1. 定義 IPベース アクセス説明チェックボックスをチェックして下さい。

    2. 許可されるか、または否定される、アドレスをリストしているかどうか表から規定 するためにリストを、選択します適当な値を定義します。

    3. これらのボックスのそれぞれで適当な情報を選択するか、または入力して下さい:

      • AAA は client — NDG、またはアクセスが許可されるか、または拒否される NAF、または個々の AAA クライアントの AAA クライアント、か名前を『All』 を選択 します。

      • port — アクセスを許可するか、または拒否したいと思うポートの番号を入力して下さい。 指定 AAA クライアントのすべてのポートに割り当てまたは拒否アクセスにワイルドカードとしてアスタリスク(*)を使用できます。

      • Src はでアクセス制限を行うときフィルタリングするために ip address — IP アドレスを入力します。 ワイルドカードとしてすべての IP アドレスを規定 するのにアスタリスク(*)を使用できます。

      注: AAA クライアント リストの文字の総数、およびポートおよびソース IP アドレス ボックスは、1024 を超過してはなりません。 NAR を追加するとき ACS が 1024 文字以上受け入れるが、ユーザに正確にそれを適用できません NAR および ACS を編集できません。

    4. [Enter] をクリックします。

      AAA クライアント、ポートおよびアドレス情報は表の一般 品目として現われます。

    5. 追加 IPベース 一般 品目を入力するためにステップ c および d を繰り返して下さい。

  7. 割り当てにほしいか、または IP アドレス以外位置か値を呼出すことに基づいてアクセスを拒否すれば:

    1. 定義 CLI/DNIS によって基づくアクセス制限 チェックボックスをチェックして下さい。

    2. 許可されるかまたは表から否定されてリストを定義する場所をリストしているかどうか規定 するために、適当な値を選択して下さい。

    3. この NAR が適用するクライアントを規定 するために、AAA クライアント リストからこれらの値の 1 つを選択して下さい:

      • NDG の名前

      • 特定の AAA クライアントの名前

      • すべての AAA クライアント

      ヒント: 既に設定してしまった NDGs だけリストされています。

    4. この NAR がフィルタリングする必要がある情報を規定 するために適当ようにこれらのボックスで値を、入力して下さい:

      ヒント: ワイルドカードとして値としてすべてを規定 するためにアスタリスク(*)を入力することができます。

      1. port —フィルタリングするためポートの番号を入力して下さい。

      2. CLI — フィルタリングするため CLI 数を入力して下さい。 また IP アドレスまたは MAC アドレスのような CLI 以外値に、基づいてアクセスを制限するのにこのボックスを使用できます。 詳細についてはネットワーク アクセス Restrictions セクションを約参照して下さい。

      3. dnis — フィルタリングするためにどれでにダイヤルインする数を入力して下さい。

        注: AAA クライアント リストおよびポート、CLI および DNIS ボックスの文字の総数は 1024 を超過してはなりません。 NAR を追加するとき ACS が 1024 文字以上受け入れるが、ユーザに正確にそれを適用できません NAR および ACS を編集できません。

    5. [Enter] をクリックします。

      情報は表に NAR 一般 品目を規定 する現われます。

    6. ステップ c から e を追加非 IPベース NAR 一般 品目を入力するために繰り返して下さい。

    7. 共用 NAR 定義を保存するために『SUBMIT』 をクリック して下さい。

      ACS は共用 NAR を保存し、ネットワーク アクセス制限表にリストします。

共用 NAR を編集して下さい

共用 NAR を編集するためにこれらのステップを完了して下さい:

  1. ナビゲーション バーで、『Shared Profile Components』 をクリック して下さい。

    Shared Profile Components ウィンドウは現われます。

  2. ネットワーク アクセス制限をクリックして下さい。

    ネットワーク アクセス制限表は現われます。

  3. 名前列で、編集したいと思う共用 NAR をクリックして下さい。

    ネットワーク アクセス 制約事項 ウィンドウは指定 NAR のための情報を現われ、表示する。

  4. 適当ように NAR の名前か説明を、編集して下さい。 説明は 30,000 文字までである場合もあります。

  5. IPベース アクセス制限 表の一般 品目を編集するため:

    1. 編集したいと思う一般 品目をダブルクリックして下さい。

      一般 品目のための情報は表から取除かれ、表の下のボックスに書かれています。

    2. 必要に応じて情報を、編集して下さい。

      注: AAA クライアント リストおよびポートおよびソース IP アドレス ボックスの文字の総数は 1024 を超過してはなりません。 NAR を追加するとき ACS が 1024 文字以上受け入れることができるが、ユーザに正確にそれを適用できませんそのような NAR および ACS を編集できません。

    3. [Enter] をクリックします。

      この一般 品目のための編集された情報は IPベース アクセス制限 表に書かれています。

  6. 一般 品目を IPベース アクセス制限 表から取除くため:

    1. 一般 品目を選択して下さい。

    2. 表の下で、『Remove』 をクリック して下さい。

      一般 品目は IPベース アクセス制限 表から取除かれます。

  7. CLI/DNIS アクセス制限 表の一般 品目を編集するため:

    1. 編集したいと思う一般 品目をダブルクリックして下さい。

      一般 品目のための情報は表から取除かれ、表の下のボックスに書かれています。

    2. 必要に応じて情報を、編集して下さい。

      注: AAA クライアント リストおよびポート、CLI および DNIS ボックスの文字の総数は 1024 を超過してはなりません。 NAR を追加するとき ACS が 1024 文字以上受け入れることができるが、ユーザに正確にそれを適用できませんそのような NAR および ACS を編集できません。

    3. 『Enter』 をクリック して下さい

      この一般 品目のための編集された情報は CLI/DNIS アクセス制限 表に書かれています。

  8. 一般 品目を CLI/DNIS アクセス制限 表から取除くため:

    1. 一般 品目を選択して下さい。

    2. 表の下で、『Remove』 をクリック して下さい。

      一般 品目は CLI/DNIS アクセス制限 表から取除かれます。

  9. 行なった変更を保存するために『SUBMIT』 をクリック して下さい。

    ACS は新しい情報のフィルタを再入力します、すぐに実施される。

共用 NAR を削除して下さい

注: その NAR を削除する前にあらゆるユーザに共用 NAR のアソシエーションを取除くして下さいまたはグループ化して下さいように。

共用 NAR を削除するためにこれらのステップを完了して下さい:

  1. ナビゲーション バーで、『Shared Profile Components』 をクリック して下さい。

    Shared Profile Components ウィンドウは現われます。

  2. ネットワーク アクセス制限をクリックして下さい。

  3. 削除したいと思う共用 NAR の名前をクリックして下さい。

    ネットワーク アクセス 制約事項 ウィンドウは指定 NAR のための情報を現われ、表示する。

  4. ウィンドウの下部ので、『Delete』 をクリック して下さい。

    ダイアログボックスは共用 NAR を削除することを約あること警告します。

  5. 共用 NAR を削除したいと思うことを確認するために『OK』 をクリック して下さい。

    指定共用 NAR は削除されます。

ユーザ向けのネットワーク アクセス制限を設定 して下さい

ユーザセットアップの詳細設定エリアで 3 つの方法で NARs を設定 するのにネットワーク アクセス制限表を使用します:

  • 共用 NARs を名指しで存在 することを適用して下さい。

  • IP接続が確立されたら IPベース アクセス制限を割り当てに定義するか、または規定 された AAA クライアントまたは AAA クライアントの特定のポートにユーザアクセスを拒否して下さい。

  • CLI/DNIS ベースのアクセス制限を割り当てに定義するか、または使用する CLI/DNIS に基づいてユーザアクセスを拒否して下さい。

    注: また他の値を規定 するのに CLI/DNIS ベースのアクセス制限 エリアを使用できます。 詳細についてはネットワーク アクセス Restrictions セクションを参照して下さい。

通常複数のグループかユーザに次のような制限を適用できるように、(共有コンポーネント セクション内からの共用) NARs を定義します。 詳細については追加を共用 NAR セクション参照して下さい。 このオプションセットが Webインターフェイスに現われることができるようにインターフェイスコンフィギュレーション セクションの Advanced Options ページのユーザー レベル ネットワーク アクセス制限チェックボックスを選択したにちがいありません。

ただし、また User Setup セクション内からシングル ユーザ向けの NAR を定義し、適用するのに ACS を使用できます。 Webインターフェイスに現われるシングル ユーザ IPベース フィルタオプションおよびシングル ユーザ CLI/DNIS ベースのフィルタオプションのためのインターフェイスコンフィギュレーション セクションの Advanced Options ページで設定 するユーザー レベル ネットワーク アクセス制限を有効に したにちがいありません。

注: 認証要求が ACS へのプロキシによって転送されるとき、Terminal Access Controller Access Control System (TACACS+)要求のためのどの NARs でもフォワーディング AAAサーバの IP アドレスに、ない AAA 発生クライアントの IP アドレスに適用されます。

ユーザー単位のアクセス制限を作成するとき、ACS はアクセス制限の数への制限を超えないようにしないし、各アクセス制限の長さへの制限を超えないようにしません。 ただし、厳密な制限があります:

  • 各一般 品目のためのフィールドの組み合せは長さが 1024 文字を超過できません。

  • 共用 NAR は文字の以上 16 KB 持つ場合がありません。 サポートされる行数 項目は各一般 品目の長さによって決まります。 たとえば、AAA クライアントネームが 10 文字の CLI/DNIS ベースの NAR を作成すれば、ポート番号は 5 文字です、CLI エントリは 15 文字であり、16 KB 制限に達する前に DNIS エントリは 20 文字、450 の一般 品目を追加できますです。

ユーザ向けの NARs を設定 するためにこれらのステップを完了して下さい:

  1. ステップ 1 〜基本的なユーザアカウントの追加の 3 を実行して下さい。

    ユーザセットアップ Edit ウィンドウは開きます。 追加するか、または編集するユーザ名はウィンドウの上で現われます。

    acs-nar4.gif

  2. 前もって設定された共用 NAR をこのユーザに適用するため:

    注: 共用 NAR を適用するために、共有プロファイル コンポーネント セクションのネットワーク アクセス制限の下でそれを設定したにちがいありません。 詳細については追加を共用 NAR セクション参照して下さい。

    1. 唯一の割り当てネットワーク アクセスを時チェックボックス チェックして下さい。

    2. 1 すべての共用 NARs がユーザ向けに許可されたアクセスであるために適用するかどうか規定 するために適当ように 1 を、選択して下さい:

      • すべての指定 NARS は割り当てという結果に終ります。

      • どの 1 指定 NAR でも割り当てという結果に終ります。

    3. NARs リストの共用 NAR 名前を選択し、次にクリックして下さい --> (右矢印 ボタン)名前を NARs 指定リストに移動するため。

      ヒント: 適用するために選択した共用 NARs のサーバ 詳細を表示するために IP NAR を『View』 をクリック するか、または適当ように CLID/DNIS NAR を見ることができます。

  3. NAR を、この特定のユーザ向けに適用するために定義し、割り当ては IP アドレスにまたはこのユーザアクセスに基づいていました、か IP アドレスおよびポート否定します:

    注: 複数のグループかユーザにそれらを加えることができるように共有コンポーネント セクション内からのほとんどの NARs を定義する必要があります。 詳細については追加を共用 NAR セクション参照して下さい。

    1. ユーザが定義するネットワーク アクセス制限ごとのネットワーク アクセス制限表では、定義 IPベース アクセス制限 チェックボックスをチェックして下さい。

    2. 、それに続くリストが許可されたか、または否定された IP アドレスを規定 するかどうか表から規定 するためにリストを、選択します 1 つを定義します:

      • Permitted Calling/Point of Access Locations

      • Denied Calling/Point of Access Locations

    3. これらのボックスで情報を選択するか、または入力して下さい:

      1. AAA は client — ネットワーク デバイス グループ(NDG)の AAA クライアント、か名前、またはアクセスを拒否するため許可するか、または個々の AAA クライアントの名前を『All』 を選択 します。

      2. port — アクセスを拒否するため許可するか、またはポートの番号を入力して下さい。 指定 AAA クライアントのすべてのポートに割り当てまたは拒否アクセスにワイルドカードとしてアスタリスク(*)を使用できます。

      3. アクセス制限を行った場合 address —使用するために IP アドレスかアドレスを入力して下さい。 ワイルドカードとしてアスタリスク(*)を使用できます。

        注: AAA クライアント リストの文字の総数、およびポートおよびソース IP アドレス ボックスは 1024 を超過してはなりません。 NAR を追加するとき ACS が 1024 文字以上受け入れるが、ユーザに正確にそれを適用できません NAR および ACS を編集できません。

    4. [Enter] をクリックします。

      規定 された AAA クライアント、ポートおよびアドレス情報は AAA クライアント リスト上記の表に現われます。

  4. 割り当てはまたは確立された IP アドレス以外位置か値を呼出すことに基づいてこのユーザアクセスを拒否します:

    1. 定義 CLI/DNIS によって基づくアクセス制限 チェックボックスをチェックして下さい。

    2. 、それに続くリストが許可されたか、または否定された値を規定 するかどうか表から規定 するためにリストを、選択します 1 つを定義します:

      • Permitted Calling/Point of Access Locations

      • Denied Calling/Point of Access Locations

    3. 示されているようにボックスを完了して下さい:

      注: 各ボックスのエントリを作成して下さい。 値の全体または一部のためにワイルドカードとしてアスタリスク(*)を使用できます。 使用する形式は AAA クライアントから受け取るストリングの形式を一致する必要があります。 RADIUS アカウントログからのこの形式を判別できます。

      1. AAA は client — NDG の AAA クライアント、か名前、またはアクセスを拒否するため許可するか、または個々の AAA クライアントの名前を『All』 を選択 します。

      2. port — 割り当てか拒否にアクセスしなさいポートの数を入力して下さい。 すべてのポートに割り当てまたは拒否アクセスにワイルドカードとしてアスタリスク(*)を使用できます。

      3. CLI — 割り当てか拒否にアクセスしなさい CLI 数を入力して下さい。 数の部品に基づいて割り当てまたは拒否アクセスにワイルドカードとしてアスタリスク(*)を使用できます。

        ヒント: Cisco Aironet クライアントのMACアドレスのような他の値に基づいてアクセスを制限したいと思う場合 CLI エントリを使用して下さい。 詳細についてはネットワーク アクセス Restrictions セクションを約参照して下さい。

      4. dnis — 割り当てか拒否にアクセスしなさい DNIS番号を入力して下さい。 ユーザがダイアルインする数に基づいてアクセスを制限するのにこのエントリを使用して下さい。 数の部品に基づいて割り当てまたは拒否アクセスにワイルドカードとしてアスタリスク(*)を使用できます。

        ヒント: Cisco Aironet AP MAC アドレスのような他の値に基づいてアクセスを制限したいと思う場合 DNIS 選択を使用して下さい。 詳細についてはネットワーク アクセス Restrictions セクションを約参照して下さい。

        注: AAA クライアント リストおよびポートCLI および DNIS ボックスの文字の総数は 1024 を超過してはなりません。 NAR を追加するとき ACS が 1024 文字以上受け入れるが、ユーザに正確にそれを適用できません NAR および ACS を編集できません。

    4. [Enter] をクリックします。

      情報 AAA クライアントを規定 する、ポート、CLI および DNIS は AAA クライアント リスト上記の表に現われます。

  5. 終了する場合ユーザアカウント オプションを設定します、オプションを記録するために『SUBMIT』 をクリック して下さい。

ユーザグループのためのネットワーク アクセス制限を設定 して下さい

グループセットアップで 3 つの個別の方法で NARs を適用するのにネットワーク アクセス制限表を使用します:

  • 共用 NARs を名指しで存在 することを適用して下さい。

  • IP接続が確立されたら IPベース グループ アクセス制限を割り当てに定義するか、または規定 された AAA クライアントまたは AAA クライアントの特定のポートにアクセスを拒否して下さい。

  • CLI/DNIS ベースのグループ NARs を割り当てに定義するか、またはアクセスに、または両方、使用される CLI 数または DNIS番号拒否して下さい。

    注: また他の値を規定 するのに CLI/DNIS ベースのアクセス制限 エリアを使用できます。 詳細についてはネットワーク アクセス Restrictions セクションを約参照して下さい。

通常次のような制限が複数のグループかユーザに適用されることができるように、(共有コンポーネント セクション内からの共用) NARs を定義します。 詳細については追加を共用 NAR セクション参照して下さい。 ACS Webインターフェイスに現われるこれらのオプションがあるようにインターフェイスコンフィギュレーション セクションの Advanced Options ページグループ レベル 共用回線網 アクセス制限 チェックボックスを確認して下さい。

ただし、また Group Setup セクション内から一つのグループのための NAR を定義し、適用するのに ACS を使用できます。 単一 グループ IPベース フィルタオプションおよび単一 グループ CLI/DNIS ベースのフィルタオプションがあるように ACS Webインターフェイスに現われるインターフェイスコンフィギュレーション セクションの Advanced Options ページの下で設定 する グループ レベル ネットワーク アクセス 制約事項を確認して下さい。

注: 認証要求が ACS サーバへのプロキシによって転送されるとき、RADIUS要求のためのどの NARs でもフォワーディング AAAサーバの IP アドレスに、ない AAA 発生クライアントの IP アドレスに適用されます。

ユーザグループのための NARs を設定 するためにこれらのステップを完了して下さい:

  1. ナビゲーション バーで、『Group Setup』 をクリック して下さい。

    グループセットアップ SELECT ウィンドウは開きます。

  2. グループ リストから、グループを選択し、次に『Edit Settings』 をクリック して下さい。

    グループの名前はグループ設定 ウィンドウの上で現われます。

    acs-nar5.gif

  3. 前もって設定された共用 NAR をこのグループに適用するため:

    注: 共用 NAR を適用するために、共有プロファイル コンポーネント セクションのネットワーク アクセス制限の下でそれを設定したにちがいありません。 詳細については追加を共用 NAR セクション参照して下さい。

    1. 唯一の割り当てネットワーク アクセスを時チェックボックス チェックして下さい。

    2. 1 すべての共用 NARs がグループのメンバーに許可されたアクセスであるために適用するかどうか規定 するためにこれらのオプションの 1 をチェックして下さい:

      • すべては割り当てという結果に指定共用 NARS 終ります。

      • どの 1 指定共用 NAR でも割り当てという結果に終ります。

    3. 共用 NAR リストの共用 NAR 名前を選択し、次にクリックして下さい --> (右矢印 ボタン)名前を NARs 指定共用リストに移動するため。

      ヒント: 適用した共用 NARs のサーバ 詳細を表示するために、IP NAR を『View』 をクリック するか、または適当ように CLID/DNIS NAR を見ることができます。

  4. そのこの特定のユーザ グループのための NAR を適用するために定義し、割り当てか拒否は IP アドレスに基づいてこのグループにか IP アドレスおよびポート アクセスします:

    注: 制限が複数のグループかユーザに適用されることができるように共有コンポーネント セクション内からのほとんどの NARs を定義する必要があります。 詳細については追加を共用 NAR セクション参照して下さい。

    1. ネットワーク アクセス制限表のグループ 定義されたネットワーク アクセス制限 セクションごとのでは、定義 IPベース アクセス制限 チェックボックスをチェックして下さい。

    2. 、それに続くリストが許可されたか、または否定された IP アドレスを規定 するかどうか表から規定 するためにリストを定義しましたり、Permitted Calling/Point of Access LocationsDenied Calling/Point of Access Locations を選択します。

    3. これらのボックスで情報を選択するか、または入力して下さい:

      1. AAA は client — NDG の AAA クライアントか名前またはアクセスを許可するか、または拒否したいと思う個々の AAA クライアントの名前を『All』 を選択 します。

      2. port — アクセスを拒否するため許可するか、またはポートの番号を入力して下さい。 指定 AAA クライアントのすべてのポートに割り当てまたは拒否アクセスにワイルドカードとしてアスタリスク(*)を使用できます。

      3. アクセス制限を行った場合 address —でフィルタリングするために IP アドレスかアドレスを入力して下さい。 ワイルドカードとしてアスタリスク(*)を使用できます。

        注: AAA クライアント リストおよびポートおよびソース IP アドレス ボックスの文字の総数は 1024 を超過してはなりません。 NAR を追加するとき ACS が 1024 文字以上受け入れるが、ユーザに正確にそれを適用できません NAR および ACS を編集できません。

    4. [Enter] をクリックします。

      AAA クライアント、ポートおよびアドレス情報 規定 される NAR アクセス制御リストに現われます。

  5. 確立された IP アドレス以外位置か値を呼出すことに基づくこのユーザグループへの割り当てまたは拒否アクセス:

    1. 定義 CLI/DNIS ベースのアクセス制限 チェックボックスをチェックして下さい。

    2. 、それに続くリストが許可されたか、または否定された値を規定 するかどうか表から規定 するためにリストを、選択します 1 つを定義します:

      • Permitted Calling/Point of Access Locations

      • Denied Calling/Point of Access Locations

    3. AAA クライアント リストから、NDG の AAA クライアント、か名前または割り当てか拒否にアクセスしなさい特定の AAA クライアントの名前を『All』 を選択 して下さい。

    4. これらのボックスを完了して下さい:

      注: 各ボックスでエントリを入力して下さい。 値の全体または一部のためにワイルドカードとしてアスタリスク(*)を使用できます。 使用する形式は AAA クライアントから受け取るストリングの形式を一致する必要があります。 RADIUS アカウントログからのこの形式を判別できます。

      1. port — 割り当てか拒否にアクセスしなさいポートの数を入力して下さい。 すべてのポートに割り当てまたは拒否アクセスにワイルドカードとしてアスタリスク(*)を使用できます。

      2. CLI — 割り当てか拒否にアクセスしなさい CLI 数を入力して下さい。 すべての数の部品に基づいて割り当てまたは拒否アクセスにワイルドカードとしてアスタリスク(*)を使用できます。

        ヒント: CLI はまた他の値に基づいてアクセスを制限したいと思えば Cisco Aironet クライアントのMACアドレスのような使用するべき選択です。 詳細についてはネットワーク アクセス Restrictions セクションを約参照して下さい。

      3. dnis — ユーザがダイアルインする数に基づいてアクセスを制限するために DNIS番号を入力して下さい。 すべての数の部品に基づいて割り当てまたは拒否アクセスにワイルドカードとしてアスタリスク(*)を使用できます。

        ヒント: DNIS はまた他の値に基づいてアクセスを制限したいと思えば Cisco Aironet AP MAC アドレスのような選択です。 詳細についてはネットワーク アクセス Restrictions セクションを約参照して下さい。

        注: AAA クライアント リストの文字の総数、およびポート、CLI および DNIS ボックスは 1024 を超過してはなりません。 NAR を追加するとき ACS が 1024 文字以上受け入れるが、ユーザに正確にそれを適用できません NAR および ACS を編集できません。

    5. [Enter] をクリックします。

      情報 AAA クライアントを規定 する、ポート、CLI および DNIS はリストに現われます。

  6. ちょうど作ったグループ設定を保存するために『SUBMIT』 をクリック して下さい。

    詳細についてはユーザグループ設定への変更の保存を参照して下さい。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 91905