中央管理配置に関する Cisco ACNS ソフトウェア コンフィギュレーション ガイド Release 5.4
ログイン認証の設定および許可とアカ ウンティングの設定
ログイン認証の設定および許可とアカウンティングの設定
発行日;2012/01/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 9MB) | フィードバック

目次

ログイン認証の設定および許可とアカウンティングの設定

認証、許可、アカウンティングの概要

ログイン認証と許可の概要

ユーザアカウントと特権プロファイルの概要

はじめてのデバイス アクセス

AAA データベース管理の概要

デフォルト ログイン認証と許可の設定

ログイン認証フェールオーバーの概要

ローカル ログイン認証と許可の概要

RADIUS 認証と許可の概要

TACACS+ 認証と許可の概要

ログイン認証と許可に対するデバイスの設定

デバイスのリモート認証サーバ設定

RADIUS サーバの設定

TACACS+ サーバの設定

デバイスのログイン認証の設定と許可スキームの設定

デバイスの admin アカウントのパスワード変更

中央管理デバイスでのユーザ アカウントの設定

中央管理デバイスでのユーザ アカウントの作成

中央管理デバイスのユーザ アカウントの変更と削除

Content Distribution Manager のユーザ アカウントと特権プロファイルの管理

Content Distribution Manager のユーザ アカウントの作成と管理

Content Distribution Manager GUI を使用した新規ユーザ アカウントの作成

ユーザ アカウントの変更と削除

CLI ユーザ パスワードの変更

ユーザ アカウントの表示

ロールの作成と管理

ロールの変更と削除

ロールの設定の表示

ユーザ アカウントへのロールの割り当て

ドメインの設定と管理

ドメインへのエンティティの追加

ドメインの変更と削除

ドメインの表示

ユーザ アカウントへのドメインの割り当て

AAA アカウンティングの設定

監査証跡ログの表示

ログイン認証の設定および許可とアカウンティングの設定

この章では、中央集中管理環境において運用される、Content Distribution Manager、Content Engine、Content Router がサポートしているログイン(ユーザ)認証と設定許可について説明します。ローカル認証、RADIUS、または TACACS+ ログイン認証方式を使用するためのデバイスの設定方法を述べています。

この章の構成は、次のとおりです。

「認証、許可、アカウンティングの概要」

「ログイン認証と許可に対するデバイスの設定」

「中央管理デバイスでのユーザ アカウントの設定」

「Content Distribution Manager のユーザ アカウントと特権プロファイルの管理」

「AAA アカウンティングの設定」

「監査証跡ログの表示」


) ログイン(ユーザ)認証と許可は、要求の認証と許可とは、関係ありません。要求の認証と許可については、第 15 章「要求の認証と許可の設定」を参照してください。


認証、許可、アカウンティングの概要

認証では、ユーザが誰であるか、およびユーザにネットワークまたは特定のデバイスへのアクセスを許可するか否かを決定します。認証によって、ネットワーク管理者は侵入者がネットワークに侵入してくるのを防ぐことができます。認証ではユーザとパスワードで構成されたシンプルなデータベースを使うことがあります。また、ワンタイム パスワードを使用することもできます。

許可では、ユーザに対してどの操作を許可するかを決定します。ネットワーク管理者は、それぞれのユーザに対して使えるネットワーク サービスを制限することができます。

アカウンティングでは、ユーザがいつ、何の操作を行ったかを追跡記録します。アカウンティングは監査証跡や接続時間や使用されたリソース(転送されたバイト数)に対する請求のために使用できます。

認証(Authentication)、許可(Authorization)、およびアカウンティング(Accounting)を合わせて AAA と呼ぶことがあります。AAA の中央管理とは、情報が単一の集中管理された、セキュアなデータベースにあって、多数のデバイスにわたって情報が分散している状態よりもはるかに簡単に管理できることを意味します。

ログイン認証と許可の概要

ACNS ネットワーク内では、ログイン認証と許可は、ユーザの Content Distribution Manager、Content Engine、および Content Router へのアクセス権を制御するのに使用します。ログイン認証とは、ACNS デバイスにログインしようとしたユーザが有効なユーザ名とパスワードを持っているかどうかを、ACNS デバイスが検証するプロセスです。ログインしようとするユーザは、該当デバイスに登録されたユーザ アカウントを持っている必要があります。ユーザ アカウント情報は、ユーザのログイン権限および設定権限を許可するために使用されます。ユーザ アカウント情報は、認証、許可、アカウンティング(AAA)データベースに格納されています。AAA データベースが保管されている特定の認証サーバにアクセスするには、ACNS デバイスは設定されている必要があります。ユーザがあるデバイスにログインしようとすると、デバイスはデータベースに格納されているユーザのアカウント情報とユーザのユーザ名、パスワード、特権レベルを照合します。

ユーザアカウントと特権プロファイルの概要

中央管理 ACNS ネットワークでは、ユーザ アカウントは Content Distribution Manager へアクセスするために作成されます。これは、Content Distribution Manager に登録されている Content Engine および Content Router へのアクセスとは無関係です。

特権プロファイルは新規ユーザごとに割り当てる必要があります。ACNS ソフトウェアでは特権プロファイルを使って、ユーザが実行できるタスクやユーザに付与するアクセスのレベルについて決定します。

事前に定義された特権プロファイルは、次の 2 種類です。

通常のユーザ ― このユーザは、読み取りアクセス権を持ち、Content Engine、Content Router、Content Distribution Manager の設定内容の一部を見ることができます。

スーパーユーザ ― このユーザは、管理権限(新規ユーザの作成、および Content Engine、Content Router、Content Distribution Manager の設定内容の変更)を持っています。

管理権限を持つユーザは、Content Distribution Manager GUI(グラフィカル ユーザ インターフェイス)またはデバイス CLI(コマンドライン インターフェイス)を使用して、ユーザ アカウントを追加、削除、あるいは変更することができます。たとえば、ある管理者が事前定義された ACNS ソフトウェアのスーパーユーザ アカウント(ルート管理者)を使って Content Engine にログインした場合、Content Engine はそのユーザに最高の特権レベル(レベル 15)を付与し、ログイン セッション中はそのユーザが Content Engine 管理タスクを実行することを許可します。

実行可能な管理タスクの例をあげると次のようになります。

Content Engine の設定

Content Engine が収集した統計情報の入手

デバイスのリロード

はじめてのデバイス アクセス

ACNS ソフトウェアを実行する Content Distribution Manager、Content Engine、または Content Router には、事前定義したスーパーユーザ アカウントが設定されていて、そのアカウントでデバイスへの初期アクセスやユーザの追加ができます。

認証および許可が設定される前に、システム管理者がデバイスにログインする場合、管理者はデフォルトのユーザ アカウントとパスワードを使用して、デバイスにアクセスできます。ACNS ソフトウェアを使用しているデバイスには、単一の事前に定義されたスーパーユーザのユーザ アカウント(ルート管理者)が設定されています。このスーパーユーザ アカウントを使用してデバイスに初めてアクセスし、デバイスの初期設定を行い、そのあとで他のユーザ アカウントを追加できます。この事前に定義されているスーパーユーザのユーザ アカウントのユーザ名は admin で、そのデフォルト パスワードは default です。別の ACNS システム管理者がこれらのデフォルト値を変更している場合は、正しいユーザ名とパスワードを入手する必要があります。

AAA データベース管理の概要

ユーザ認証データとユーザ設定権限データは、中央側で管理されている ACNS ネットワーク内にある次の 3 つのデータベースのいずれかを組み合わせて保管することができます。

Content Distribution Manager(ローカル データベース)

RADIUS サーバ(外部データベース)

TACACS+ サーバ(外部データベース)

Content Distribution Manager のセットアップ時に、ユーザ アクセス管理に外部アクセス サーバを使用するか、内部(ローカル)の Content Distribution Manager ベースの認証、許可およびアカウンティング(AAA)システムを使用するかを選択できます。いずれかの方式のうちの 1 つ、または 3 つの方式の任意組み合わせを選択することができます。

3 つのデータベースがすべて有効になっている場合、すべてのデータベースが照会されます。ユーザ データが照会された最初のデータベースで見つからない場合、第 2、第 3 のデータベースが照会されます。デフォルトでは、Content Distribution Manager、Content Engine、Content Router はログイン処理にローカル データベースを使用し、TACACS+ および RADIUS はいずれもログインや設定に対して使用できません。

管理者が Content Distribution Manager、Content Engine、あるいは Content Router にログインした場合、デバイスは指定の認証データベースでユーザのユーザ アカウントとパスワードを照会し、この特定のユーザにログイン セッション中アクセス権限を与えるかどうかを決定します。


) TACACS+ には「イネーブル パスワード」機能があり、管理者はユーザごとに異なったイネーブル パスワードを定義することができます。ACNS ユーザが、admin あるいは admin と同等のユーザ アカウント(特権レベル 15)ではなく、一般のユーザ アカウント(特権レベル 0)で Content Engine にログインした場合、ユーザは admin パスワードを入力して、特権レベル EXEC モードでアクセスする必要があります。これは、ACNS ユーザがログインの認証に TACACS+ を使用している場合でも適応されます。


デフォルト ログイン認証と許可の設定

表12-1 では、ログイン認証と許可のデフォルト設定を示します。

 

表12-1 ログイン認証と許可のデフォルト設定

機能
デフォルト値

ログイン認証

有効

設定許可

有効

認証サーバ通信不能による認証サーバのフェールオーバー

無効

TACACS+ ログイン認証(コンソールおよび Telnet)

無効

TACACS+ 許可(コンソールおよび Telnet)

無効

TACACS+ キー

指定なし

TACACS+ サーバ タイムアウト

5 秒

TACACS+ 再送信回数

2 回

RADIUS ログイン認証(コンソールおよび Telnet)

無効

RADIUS 許可(コンソールおよび Telnet)

無効

RADIUS サーバ IP アドレス

指定なし

RADIUS サーバ UDP 許可ポート

ポート 1645

RADIUS キー

指定なし

RADIUS サーバ タイムアウト

5 秒

RADIUS 再送信回数

2 回

これらのデフォルトは、Content Distribution Manager GUI またはデバイス CLI により変更することができます。詳細については「ログイン認証と許可に対するデバイスの設定」に記述されています。

ログイン認証フェールオーバーの概要

デフォルトでは、第1 のログイン認証方式が失敗した場合、ACNS デバイスは第2 のログイン認証方式へとフェールオーバーします。ACNS ソフトウェア Release 5.0.5 以降では、このデフォルト ログイン認証のフェールオーバー方式を変更することができます。中央管理配置を目的として、Content Distribution Manager GUI(たとえば、 Devices > Devices > General Settings > Authentication > Login Authentication を選択して、 Enable Failover Server Unreachable ボックスをチェック)を使用し、あるいはCLI( authentication fail-over server unreachable グローバル コンフィギュレーション コマンドを使用)により、通信不能サーバ オプションでフェールオーバーを有効にします。

フェールオーバーは指定された認証サーバが通信不能の場合のみ発生します。認証サーバが通信不能の場合、ログイン認証フェールオーバーが発生する設定例を次に示します。この場合、ログイン認証サーバが通信不能であれば、Content Engine は次の認証方式の照会のみ行います。

ContentEngine(config)#authentication fail-over server-unreachable
ContentEngine(config)#
 

このログイン認証フェールオーバー機能を使用するには、TACACS+ または RADIUS をプライマリ ログイン認証方式として、ローカルをセカンダリ ログイン認証方式として設定する必要があります。

通信不能サーバ オプションによってフェールオーバーが有効になる場合には、次のことを注意してください。

ログイン認証スキームは、デバイスでは 2 つ(プライマリ および セカンダリ スキーム)のみ設定できます。

プライマリ認証スキームの指定認証サーバがすべて通信不能の場合にのみ、デバイスはプライマリ認証スキームからセカンダリ認証スキームへフェールオーバーを行います。

たとえば、サーバ通信不能オプションによってフェールオーバーが有効になり、RADUIS がプライマリ ログイン認証スキームとして、またローカルがセカンダリ ログイン認証スキームとして設定された場合、次のことが発生します。

1. デバイスがログイン要求を受信すると、設定されたすべてのRADIUS 認証サーバをデバイスが照会します。

2. 設定済みのRADIUS サーバのうちの1 つが通信不能の場合、デバイスはRADIUS データベースを使ってユーザの認証を行います。

3. 設定済みのRADIUS サーバのすべてが通信不能の場合、デバイスはセカンダリ認証スキームを使用して(つまり、デバイスはローカル認証データベースを照会して)ユーザの認証を行います。


) 認証のためにローカル データベースにアクセスするのは、この RADIUS サーバが通信不能の場合のみです。それ以外の場合(たとえば、RADIUS サーバでの認証に失敗した場合)、その後認証のためにローカル データベースにアクセスすることはありません。


反対に、通信不能サーバオプションによるフェールオーバーが無効になっている場合には、プライマリ認証データベースによる認証失敗の理由にかかわらず、デバイスはセカンダリ認証データベースへアクセスします。

すべての認証データベースが有効になっている場合、選択した優先順位とフェールオーバーの理由に基づいてすべてのデータベースを順に照会します。フェールオーバーの理由が特定できない場合、すべてのデータベースを優先度順に照会します。たとえば、まず最初にプライマリ認証データベースを照会し、次にセカンダリ認証データベースを照会、最後に 3 次データベースを照会します。

ローカルおよびリモート データベース(TACACS+ と RADIUS)は、Content Distribution Manager GUI またはデバイス CLI を介して有効にも無効にも設定できます。デバイスはすべてのデータベースが無効になっているかどうかを検証し、無効になっている場合、システムをデフォルト状態に設定します(つまり、ローカル データベースを認証のために照会します)。デフォルト状態の詳細については、「デフォルト ログイン認証と許可の設定」を参照してください。

各種ログイン認証と許可スキームの詳細については、次の項を参照してください。

「ローカル ログイン認証と許可の概要」

「RADIUS 認証と許可の概要」

「TACACS+ 認証と許可の概要」

Content Distribution Manager、Content Engine、および Content Router 上でログイン認証と許可を設定する方法については、「ログイン認証と許可に対するデバイスの設定」を参照してください。

ローカル ログイン認証と許可の概要

ACNS 5.x ソフトウェアでは、認証、許可、およびアカウンティング(AAA)機能を使用したローカル アクセス データベースを必要とするユーザに対して、AAA をサポートします。ローカル ログイン認証は、Content Engine GUI または CLI を使用して、個々の Content Engine 上で設定できます。また、デバイスが中央で集中管理されている場合、Content Distribution Manager GUI を使用して設定が可能です。

プライマリ ログイン サーバとプライマリ設定サーバがローカルに設定されている場合、ユーザ名とパスワードは各デバイスに対してローカルで、個別のユーザ名にマップされていません。ローカル認証と許可は、ローカル側で設定したログインとパスワードを使ってログインを認証します。

デフォルトでは、ローカル ログイン認証は最初有効です。ローカル ログイン認証を無効にできるのは、他のログイン認証方式を 1 つ以上有効にした場合のみです。ただし、ローカル ログイン認証が無効になっている場合に他のすべてのログイン認証方式を無効にすると、ローカル ログイン認証は自動的に再度有効になります。

RADIUS 認証と許可の概要

RADIUS はクライアント/サーバ認証および許可アクセス プロトコルで、ネットワーク アクセス サーバがネットワーク デバイスに接続しようとするユーザを認証するために使用します。ネットワーク アクセス サーバはクライアントとして機能し、1 つ以上の RADIUS サーバにユーザ情報を渡します。ネットワーク アクセス サーバは 1 つ以上の RADIUS サーバから受信した応答に基づき、ユーザに対してネットワーク アクセスを許可または拒否します。RADIUS は RADIUS クライアントとサーバ間のトランスポートのために User Datagram Protocol(UDP)を使用します。

RADIUS キーはクライアントとサーバ上で設定できます。クライアント上で鍵を設定する場合は、RADIUS サーバ上で設定したものと同じである必要があります。RADIUS クライアントとサーバは、送信されるRADIUS パケットすべての暗号化に鍵を使用します。RADIUS キーを設定しない場合は、パケットは暗号化されません。鍵自体はネットワークで送信されることはありません。


) RADIUS プロトコルの動作については、RFC 2138『Remote Authentication Dial In User Service (RADIUS)』を参照してください。


RADIUS 認証はデフォルトでは無効です。RADIUS 認証とその他の認証方式は、同時に有効にできます。また、どの方式で最初に認証するかを指定することも可能です。RADIUS 認証設定の詳細については、「ログイン認証と許可に対するデバイスの設定」を参照してください。

TACACS+ 認証と許可の概要

TACACS+ は、ネットワーク デバイスと中央集中型のデータベース間でネットワークアクセス サーバ情報を交換することによりネットワーク デバイスへのアクセスを制御し、ユーザまたはエンティティの ID を決定します。TACACS+ は TACACS の機能強化バージョンで、RFC 1492 で規定された UDP に基づくアクセス コントロール プロトコルです。TACACS+ は TCP を使用して信頼性の高い配信を確保し、TACACS+ サーバと ネットワーク デバイス上の TACACS+ デーモン間のすべてのトラフィックを暗号化します。

TACACS+ は、固定パスワード、ワンタイム パスワード、およびチャレンジ/レスポンス認証を含めたさまざまな認証タイプに対応しています。TACACS+ ログイン認証は、ユーザがローカル側に配置された Content Engine へ初めてログインする際に行われます。

ユーザが制限付きのサービスを要求した場合、TACACS+ は MD5 暗号化アルゴリズムを使用してユーザのパスワード情報を暗号化し、TACACS+ パケット ヘッダーに追加します。このヘッダー情報で送信されたパケットのタイプ(たとえば、認証パケット)、パケット シーケンス番号、使われている暗号化のタイプ、および、パケットの全長を識別します。その後、TACACS+ プロトコルがパケットを TACACS+ サーバへ 転送します。

TACACS+ サーバでは、認証、許可、およびアカウンティングの機能を使用できます。これらのサービスは、TACACS+ のすべてのパートで互いに独立しており、指定されたTACACS+ 設定はこれら3つのサービスのいずれにも使用できます。7-7

TACACS+ サーバがパケットを受信したあとの流れは次のようになります。

ユーザ情報を認証し、クライアントに対してログイン認証が成功、あるいは失敗であったことを通知します。

認証が完了していないこと、および追加情報を入力する必要があることを、クライアントに対して通知します。このチャレンジ/レスポンス プロセスは、ログイン認証が成功、あるいは失敗するまで何度も繰り返されます。

TACACS+ キーはクライアントとサーバ上で設定できます。Content Engine 上で鍵を設定する場合は、TACACS+ サーバ上で設定したものと同じである必要があります。TACACS+ クライアントとサーバは、送信されるTACACS+ パケットすべての暗号化に鍵を使用します。TACACS+ キーを設定しない場合は、パケットは暗号化されません。

TACACS+ 認証はデフォルトでは無効です。TACACS+ 認証とローカル認証は、同時に有効にできます。ログイン認証方式としての TACACS+ の設定の詳細については、次の項を参照してください。

ログイン認証と許可に対するデバイスの設定

Content Distribution Manager、Content Engine、または Content Router 用ログイン認証および許可の設定をするには、次のタスクをすべて完了してください。

1. ログイン要求の認証時に使用するデバイスを設定して、ログイン認証方式を決定する(たとえば、プライマリ ログイン データベースとしてローカル データベースを使用し、セカンダリ認証データベースとして RADIUS サーバを使用します)。

2. ログイン認証サーバ設定をデバイス上で行う(リモート認証データベースを使用する場合)。(デバイスのリモート認証サーバ設定を参照)。

たとえば、デバイスがログイン要求を認証するのに使用するリモート RADIUS サーバあるいは TACACS+ サーバのIP アドレスを指定します。

3. ログイン認証の処理にデバイスがどの認証データベースを確認するかを指定する(デバイスのログイン認証の設定と許可スキームの設定を参照)。

ログイン認証サーバ フェールオーバー方式を指定する。

ログイン サーバ方式を指定する。

Config サーバ方式を指定する。


注意 RADIUS あるいは TACACS+ 認証が設定され正しく動作していることを、ローカル認証と許可を無効にする前に必ず確認してください。RADIUS または TACACS+ が正しく設定されていない場合、あるいはRADIUS または TACACS+ サーバがオン ラインではない場合にローカル認証を無効にすると、デバイスにログインできない場合があります。

ローカル認証が無効になっている場合に他のすべてのログイン認証方式を無効にすると、再度ローカル認証は自動的に有効になります。

デバイスのリモート認証サーバ設定

決定したログイン認証方式に 1 つまたは両方の外部認証サーバが含まれている場合、それらのサーバ設定は Content Distribution Manager GUI の認証方式を設定する前に行う必要があります。Content Distribution Manager GUI を使用した RADIUS と TACACS+ サーバの設定手順を次に示します。

RADIUS サーバの設定

RADIUS 認証クライアントは、ACNS 5.x ソフトウェアを実行しているデバイス上に常駐しています。RADIUS 認証クライアントが有効になっていると、ユーザ認証情報とネットワーク サービス アクセス情報が中央の RADIUS サーバに認証要求を送信します。


ヒント Content Distribution Manager は、ユーザ認証情報をキャッシュしません。したがって、要求が発生するごとに RADIUS サーバに対してユーザは再認証されることになります。多数の認証要求によるパフォーマンスの低下を防止するために、Content Distribution Manager は、RADIUS サーバと同一ロケーションにインストールしておくか、できるだけ RADIUS サーバの近くにインストールして、認証要求ができるだけ迅速に行われるようにしてください。


Content Distribution Manager GUI を使用して RADIUS サーバの設定を行う手順は、次のとおりです。


ステップ 1 Content Distribution Manager GUI から、 Devices > Devices の順に選択します。Devices ウィンドウが表示されます。

ステップ 2 設定するデバイス名の横にある Edit アイコンをクリックします。Contents ペインが左側に表示されます。

ステップ 3 Contents ペインから、 General Settings > Authentication > RADIUS Server の順に選択します。RADIUS Server Settings ウィンドウが表示されます(図12-1 を参照)。 表12-2 では、このウィンドウ内のフィールドについて説明します。

図12-1 RADIUS Server Settings ウィンドウ

 

ステップ 4 RADIUS 認証を有効にするには、 Enable RADIUS Servers チェックボックスにチェックマークを付けます。

ステップ 5 Time to wait フィールドに、タイムアウトになるまで Content Engine が待機する時間を指定します。デフォルト値は 5 秒です。

ステップ 6 Number of Retransmits フィールドに、RADIUS サーバへの接続に成功するまでの試行を許可する回数を指定します。

ステップ 7 RADIUS リダイレクションを有効にするには、 Enable Redirect チェックボックスにチェックマークを付けます。

ステップ 8 Redirect Message フィールドに、ユーザへのリダイレクト メッセージを入力します。3 つのリダイレクト メッセージを指定できます。

ステップ 9 Location フィールドに、リダイレクト メッセージの送信先を入力します。3 つの異なる送信先を指定できます。

ステップ 10 Shared Encryption Key フィールドに、RADIUS サーバとの通信に使用する秘密鍵を入力します。

ステップ 11 Server Name フィールドに、IP アドレスまたはホスト名を入力します。5 つの異なるホストを指定できます。

ステップ 12 Server Port フィールドに、RADIUS サーバが受信する UDP ポート番号を入力します。ポートは1 つ以上指定する必要があります。5 つの異なるポートを指定できます。

ステップ 13 この設定値を保存するには、 Submit をクリックします。

 

表12-2 RADIUS サーバの設定

主要パラメータ
説明
CLI コマンド

Enable RADIUS Servers

RADIUS サーバを使用して HTTP 認証を有効にします。

radius-server enable

Time to wait

特定の RADIUS サーバに接続するときに、タイムアウトするまで応答を待つ秒数。範囲は 1~20 秒です。デフォルト値は 5 秒です。

radius-server timeout

Number of retransmits

RADIUS サーバへの接続を許可する回数。デフォルト値は 2 回です。

radius-server retransmit

Enable redirect

RADIUS サーバを使用した認証要求が失敗した場合に、認証応答を別の認証サーバにリダイレクトします。

radius-server redirect enable

Redirect Message

リダイレクトが行われたときにユーザに送られるメッセージ。

radius-server redirect message

Location

HTML ページのロケーションを設定します。これは認証が失敗した場合に送るリダイレクト メッセージの送信先の URL です。

radius-server redirect message reply location url

Shared Encryption Key

RADIUS サーバと共有する暗号鍵。

radius-server key keyword

Server Name

RADIUS サーバの IP アドレスまたはホスト名。

radius-server host hostname または ip-address

Server Port

RADIUS サーバが受信するポート番号。

radius-server host auth-port port

 


 

TACACS+ サーバの設定

TACACS+ データベースは、ユーザのアクセスが Content Engine に届く前にユーザを確認します。TACACS+ は、米国の国防総省策定の RFC 1492 を起源とし、非特権モードおよび特権モードのアクセスに対する追加制御方式としてシスコシステムズが使用しています。ACNS 5.x ソフトウェアは、TACACS+ のみをサポートし、TACACS および Extended TACACS をサポートしていません。


ヒント Content Distribution Manager は、ユーザ認証情報をキャッシュしません。したがって、ユーザは TACACS+ サーバに毎回要求を送って、再度認証を受けます。多数の認証要求によるパフォーマンスの低下を防止するために、Content Distribution Manager は、TACACS+ サーバと同一ロケーションにインストールしておくか、できるだけ TACACS+ サーバの近くにインストールして、認証要求ができるだけ迅速に行われるようにしてください。


Content Distribution Manager GUI を使用して TACACS+ サーバの設定を行う手順は、次のとおりです。


ステップ 1 Content Distribution Manager GUI から、 Devices > Devices の順に選択します。Devices ウィンドウが表示されます。

ステップ 2 設定するデバイス名の横にある Edit アイコンをクリックします。Contents ペインが左側に表示されます。

ステップ 3 Contents ペインから、 General Settings > Authentication > TACACS+ Server の順に選択します。TACACS+ Server Settings ウィンドウが表示されます(図12-2 を参照)。 表12-3 では、このウィンドウ内のフィールドについて説明します。

図12-2 TACACS+ Server Settings ウィンドウ

 

ステップ 4 TACACS+ 認証を有効にするには、 Enable TACACS+ Servers チェックボックスにチェックマークを付けます。

ステップ 5 認証に ASCII パスワード タイプを使用するには、 Use ASCII Password Authentication チェックボックスにチェックマークを付けます。デフォルトのパスワード タイプは、パスワード認証プロトコル(PAP)です。ただし、認証パケットが ASCII クリアテキスト形式で送信される場合は、パスワード タイプを ASCII に変更できます。

ステップ 6 Time to wait フィールドに、タイムアウトになるまで Content Engine が待機する時間を指定します。デフォルト値は 5 秒です。

ステップ 7 Number of Retransmits フィールドに TACACS+ サーバへの接続に成功するまでの試行を許可する回数を指定します。デフォルト値は 2 です。

ステップ 8 Security Word フィールドに、TACACS+ サーバとの通信に使用する秘密鍵を入力します。

ステップ 9 Primary Server フィールドに、プライマリ TACACS+ サーバの IP アドレスまたはホスト名を入力します。

ステップ 10 Secondary Server フィールドに、セカンダリ TACACS+ サーバの IP アドレスまたはホスト名を入力します。

ステップ 11 Tertiary Server フィールドに、3 次の TACACS+ サーバの IP アドレスまたはホスト名を入力します。

ステップ 12 この設定値を保存するには、 Submit をクリックします。

 

表12-3 TACACS+ サーバの主要パラメータ

主要パラメータ
説明
CLI コマンド

Enable TACACS+ Servers

TACACS+ 認証を有効にします。

tacacs enable

Use ASCII Password Authentication

デフォルトのパスワード タイプをパスワード認証プロトコルから ASCII クリアテキスト形式に変更します。

tacacs password ascii

Time to wait

特定の TACACS+ サーバに接続するときにタイムアウトが発生するまで応答を待つ秒数。範囲は 1~20 秒です。デフォルト値は 5 秒です。

tacacs timeout

Number of retransmits

ある TACACS+ サーバへの接続に成功するまでの試行回数。デフォルト値は 2 回です。範囲は 1~3 回です。

tacacs retransmit

Security Word

TACACS+ サーバと共有する暗号鍵。

tacacs key

Primary Server

プライマリ TACACS+ サーバの IP アドレスまたはホスト名。

tacacs host ip-address
または
hostname [ primary ]

Secondary Server

Tertiary Server

バックアップ TACACS+ サーバの IP アドレスまたはホスト名。2 台のバックアップ サーバを使用できます。

tacacs host ip-address または hostname

 


 

デバイスのログイン認証の設定と許可スキームの設定

デバイスのログイン認証と設定許可スキームを設定する手順は、次のとおりです。次の例では、ローカルをプライマリ データベースとして設定し、TACACS+ をセカンダリ データベース、RADIUS を 3 次データベースとして設定します。


) 次の設定を行って送信する前に、TACACS+ サーバと RADIUS サーバの設定を行う必要があります。これらのサーバの設定方法については、「TACACS+ サーバの設定」、および 「RADIUS サーバの設定」を参照してください。



ステップ 1 Content Distribution Manager GUI から、 Devices Devices の順に選択します。Devices ウィンドウが表示されます。

ステップ 2 設定するデバイス名の横にある Edit アイコンをクリックします。Contents ペインが左側に表示されます。

ステップ 3 Contents ペインから、 General Settings > Login Access Control > Login Authentication の順に選択します。Login Authentication Settings ウィンドウが表示されます(図12-3 を参照)。

図12-3 Login Authentication Settings ウィンドウ

 

ステップ 4 プライマリ認証サーバが通信不能の場合にセカンダリ認証データベースに照会するには、 Enable Failover Server Unreachable チェックボックスにチェックマークを付けます。

この機能を使用するには、TACACS+ または RADIUS をプライマリ認証サーバとして指定し、ローカルをセカンダリ認証サーバとして設定する必要があります。

ステップ 5 ローカル、TACACS+、または RADIUS データベースを使用して認証権限を有効にするには、 Authentication Login Servers チェックボックスにチェックマークを付けます。

ステップ 6 Primary Login Server ドロップダウン リストから、 local を選択します。

ステップ 7 Secondary Login Server ドロップダウン リストから、 TACACS+ を選択します。

ステップ 8 Tertiary Login Server ドロップダウン リストから、 RADIUS を選択します。

ステップ 9 ローカル、TACACS+、または RADIUS データベースを使用して許可権限を有効にするには、 Authentication Config Servers チェックボックスにチェックマークを付けます。

ステップ 10 Primary Config Server ドロップダウン リストから、 local を選択します。

ステップ 11 Secondary Config Server ドロップダウン リストから、 TACACS+ を選択します。

ステップ 12 Tertiary Config Server ドロップダウン リストから、 RADIUS を選択します。

ステップ 13 Content Engine に認証と許可の設定を追加するには、 Submit をクリックします。


 

デバイスの admin アカウントのパスワード変更

デフォルトのユーザ アカウント admin は、ACNS ソフトウェアで最初から設定されていて、そのパスワード default も事前に割り当てられています。 このアカウントを使用すると、システム内のすべてのサービスとエンティティにアクセスできます。 Cisco ACNS ソフトウェアを使用すると、Content Distribution Manager GUI 内の Admin Password Setting ウィンドウへアクセスできる権限を持つユーザは誰でも、個々の Content Engine および Content Router 上で admin ユーザ アカウントに対して新規にパスワードを設定できます。


) 各 Content Engine または Content Router には、ユーザ名 admin というユーザ アカウントが 1 つだけ必要です。したがって、admin アカウントのパスワード設定は、システム レベルではなく、デバイスごとに行われます。


Content Engine または Content Router の admin のパスワードを設定する手順は、次のとおりです。


ステップ 1 Content Manager GUI から、 Devices > Devices (または Devices > Device Groups )の順に選択します。Devices ウィンドウまたは Device Group ウィンドウが表示されます。

ステップ 2 admin アカウントのパスワードを設定するデバイスまたはデバイス グループの横にある Edit アイコンをクリックします。

ステップ 3 Contents ペインから、 General Settings > Login Access Control > Users > Admin Password の順に選択します。Admin Password Setting ウィンドウが表示されます。

ステップ 4 Password フィールドに、パスワードを入力します。

ステップ 5 Confirm Password フィールドに、パスワードを再度入力します。

ステップ 6 Submit をクリックして、新しいパスワードを保存します。


 

中央管理デバイスでのユーザ アカウントの設定

Cisco ACNS ソフトウェアを使用すると、Content Distribution Manager に登録されている個々のデバイス(Content Engine および Content Router)またはデバイス グループへのログイン アクセスに使用するユーザ アカウントの作成、変更、および削除を行うことができます。

中央管理デバイスでのユーザ アカウントの作成

Content Distribution Manager GUI から新規にユーザ アカウントを作成する手順は、次のとおりです。


ステップ 1 Content Distribution Manager GUI から、 Devices > Devices (または Devices > Device Groups )の順に選択します。

ステップ 2 新規にユーザ アカウントを設定するデバイスまたはデバイス グループの横にある Edit アイコンをクリックします。選択したデバイスの Device Home ウィンドウが表示されます。

ステップ 3 Contents ペインから、 General Settings > Login Access Control > Users > Usernames の順に選択します。デバイスまたはデバイス グループの Usernames ウィンドウが表示されます。

Aggregate Settings の Yes オプション ボタンがデフォルトで選択されていて、関連付けられているデバイス グループだけでなく、該当する Content Engine のユーザ名が表示されます。デバイス グループに対する Usernames の設定は、変更または削除できません。この設定は読み取り専用です。ただし、Content Engine に対する Usernames は変更できます。Aggregate Settings の No オプション ボタンをクリックすると、Content Engine に対する Usernames だけを表示および変更できます。関連デバイス グループに対する Usernames は表示されません。

ステップ 4 タスクバーから Create New Username アイコンをクリックします。Creating New Local User for the device ウィンドウが表示されます。

ステップ 5 Username フィールドに、ユーザ名を入力します。

ステップ 6 Password フィールドに、ユーザ アカウントのパスワードを入力します。

ステップ 7 Confirm Password フィールドに、パスワードを再度入力します。

ステップ 8 Cifs Password フィールドに、Windows ユーザ パスワードを入力します。

ステップ 9 Confirm Cifs Password フィールドに、Windows ユーザ パスワードを再度入力します。

ステップ 10 Privilege ドロップダウン リストから、 Super User を選択して、admin 権限を持つユーザ アカウントを作成します。あるいは、admin 権限を持たないユーザ アカウントを作成するには、 Normal User を選択します。

ステップ 11 この設定値を保存するには、 Submit をクリックします。


 

この GUI の手順は、次のグローバル コンフィギュレーション CLI コマンドに対応しています。

username name { cifs-password | password | privilege }

中央管理デバイスのユーザ アカウントの変更と削除

既存のユーザ アカウントを変更する手順は、次のとおりです。


ステップ 1 Content Distribution Manager GUI から、 Devices > Devices (または Devices > Device Groups )の順に選択します。

ステップ 2 ユーザ アカウント情報を変更するデバイスまたはデバイス グループの横にある Edit アイコンをクリックします。

ステップ 3 Contents ペインから、 General Settings > Login Access Control > Users > Usernames の順に選択します。デバイスまたはデバイス グループの Usernames ウィンドウが表示されます。

ステップ 4 必要に応じて、Username フィールドでユーザの名前を編集します。

ステップ 5 必要に応じて、その他の情報または設定を編集します。

ステップ 6 この設定値を保存するには、Submit をクリックします。


 


) CLI からユーザ アカウントを削除しても、Centralized Management System(CMS)データベース内の対応するユーザ アカウントは無効になりません。したがって、ユーザ アカウントは、CMS データベース内でアクティブのままです。Content Distribution Manager GUI で作成されたユーザ アカウントは、必ず、Content Distribution Manager GUI から削除する必要があります。


Content Distribution Manager GUI からユーザ アカウントを削除する手順は、次のとおりです。


ステップ 1 Content Distribution Manager GUI から、 Devices > Devices (または Devices > Device Groups )の順に選択します。

ステップ 2 ユーザ アカウントを削除するデバイスまたはデバイス グループの横にある Edit アイコンをクリックします。

ステップ 3 Contents ペインから、 General Settings > Login Access Control > Users > Usernames の順に選択します。デバイスまたはデバイス グループの Usernames ウィンドウが表示されます。

ステップ 4 タスクバーから Trash アイコンをクリックします。

ステップ 5 このアクションを確認するには、 OK をクリックします。


 

Content Distribution Manager のユーザ アカウントと特権プロファイルの管理

サービス プロバイダー環境では、サービスに対するユーザ許可と、ドメイン(Content Engine、デバイス グループ、コンテンツ プロバイダーの集合)へのアクセスを管理する必要があります。一般に、サービス プロバイダーは、admin レベルの権限を持つユーザ アカウントを自分用に作成し、その後、カスタマー用のユーザ アカウントを作成します。サービス プロバイダーのカスタマーは、独自にユーザ アカウントをセットアップし、管理することができます。カスタマーがユーザ アカウント権限をさらに制限する場合を除いて、このユーザ アカウントは、メイン カスタマー アカウントと同じレベルの権限を継承します。

ACNS 5.x ソフトウェアは、Content Distribution Manager でのユーザ管理、ロール管理、ドメイン管理、およびアカウンティング用のサービスを提供します。これらのサービスは、Content Distribution Manager の GUI で設定できます。

この作業には、次の項目が含まれています。

「Content Distribution Manager のユーザ アカウントの作成と管理」

「ロールの作成と管理」

「ドメインの設定と管理」

「CLI ユーザ パスワードの変更」

ACNS 5.4 ソフトウェアでは、Content Distribution Manager のユーザ アカウントの作成、管理を行う、ユーザ マネージャ アカウントをサポートしています。ユーザ マネージャは、Content Distribution Manager 内での他のユーザ アカウントの変更に加え、ユーザ アカウントのグループ作成、ロールとドメインの管理を担当します。ユーザ マネージャーには、すべてのサービスと、すべてのドメインへのアクセスを許可する admin ロールを割り当てる必要があります。admin レベルの許可権限を持つ Content Distribution Manager ユーザだけが、Content Distribution Manager ユーザ アカウントの作成と管理ができます。

ACNS 5.4 ソフトウェアへのアップグレード以降、上記の要件に合わないユーザ アカウントはいずれも、ユーザ マネージャー サービスが実行できないようになっています。つまり、これらのユーザは、Content Distribution Manager GUI にログインできますが、User Management ページにアクセスできません(System > Users)。権限付与を admin ロールに上げれば、これらのアカウントは User Management ページにアクセスできます。これを実行できるのは、administrator ロールを持つ Content Distribution Manager ユーザだけです。

Content Distribution Manager のユーザ アカウントの作成と管理


) ここでは、admin レベルの権限を持つユーザ(admin ユーザ)についてのみ説明します。


ユーザ アカウントを作成する際に、そのユーザについての情報を入力します。ユーザ アカウントには、ユーザ名、そのアカウントを所有する人の名前、連絡先、役職、および所属部署が含まれます。ユーザ アカウント情報はすべて、Content Distribution Manager 上の内部データベースに保存されます。

各ユーザ アカウントには、ロールとドメインを割り当てることができます。ロールは、ユーザがどの Content Distribution Manager GUI コンフィギュレーション ページにアクセスできるか、およびどのサービスを設定または変更する権限があるかを定義します。ドメインは、ユーザがネットワーク内のどのエンティティにアクセスし、設定または変更できるかを定義します。ゼロまたは 1 つ以上のロール、およびゼロまたは 1 つ以上のドメインに、ユーザ アカウントを割り当てることができます。

2 つのデフォルト ユーザ アカウントが、Content Distribution Manager で事前に設定され、ACNS ソフトウェアに組み込まれています。 admin と呼ばれる最初のアカウントは、すべてのサービスへのアクセス、およびシステム内のすべてのエンティティへのアクセスを許可する管理者ロールに割り当てられます。このアカウントは、システムから削除することはできませんが、変更は可能です。変更できないのは、このアカウントのユーザ名とロールだけです。

事前設定されている 2 番めのユーザ アカウントは、 default と呼ばれます。認証されているにもかかわらず、Content Distribution Manager に登録されていないすべてのユーザ アカウントは、default アカウントに割り当てられるアクセス権(ロールとドメイン)を取得します。このアカウントは設定可能ですが、削除も、ユーザ名の変更もできません。

Content Manager Distribution GUI を使用すると、次のタスクを実行できます。

新しいユーザ アカウントを作成する

既存のユーザ アカウントの変更と削除を行う

システム内のすべてのユーザ アカウントを表示する

Content Distribution Manager GUI を使用した新規ユーザ アカウントの作成

Content Distribution Manager GUI で新しいユーザ アカウントを作成する場合、同時に CLI でそのユーザ アカウントを作成できます。この GUI オプションを使用して、CLI 内にアカウントを新規に作成すると、次のような利点があります。

ユーザ アカウントの作成は、中央の 1 箇所からプライマリ Content Distribution Manager の管理データベースと CLI で行われる。

ユーザ アカウントの作成は、中央の 1 箇所からスタンバイ Content Distribution Manager の管理データベースと CLI で行われる。

ユーザはパスワードを変更でき、パスワードの変更はスタンバイ Content Distribution Manager に伝搬される。

GUI からユーザ アカウントを作成する場合、同時に GUI から CLI 内にユーザ アカウントの作成を行わないと、結果は次のようになります。

ユーザ アカウントは、プライマリとスタンバイの Content Distribution Manager 管理データベース内に作成される。

CLI 内にユーザ アカウントは作成されず、アカウントが CLI から作成されるまで、ユーザは Content Distribution Manager GUI にログインできない。

ローカル ユーザは、GUI を使用してパスワードを変更できない。

ローカル ユーザは、CLI を使用してパスワードを変更できるが、GUI 内で CLI ユーザ オプションが有効になっている場合、パスワード変更は CLI から CMS へと伝播されない。

ユーザ アカウントを CLI からのみ作成している場合、最初に Content Distribution Manager へログインした時点で CMS がデフォルト権限付与とアクセス コントロールをもつユーザ アカウント(CLI で設定したものと同じユーザ名)を自動的に作成します。ただし、同じ状況でパスワードを変更した場合には、CLI ユーザ オプションを有効にした上で GUI から明示的にユーザ アカウントを設定する必要があります。

新規にユーザ アカウントを作成する手順は、次のとおりです。


ステップ 1 System > AAA > Users の順に選択します。 Create New User Accounts アイコンをクリックします。Creating New User Account ウィンドウが表示されます(図12-4 を参照)。


) このウィンドウにアクセスできるのは、admin レベルの権限を持つユーザのみです。


図12-4 Creating New User Account ウィンドウ

 

ステップ 2 Username フィールドに、ユーザ アカウント名を入力します。

ステップ 3 パスワードと特権レベル付きローカル ユーザ アカウントを Content Distribution Manager GUI から作成する場合、 Create CLI User チェックボックスにチェックマークを付けます。ユーザ アカウントは自動的に CLI 内に作成されます。ユーザ アカウントの GUI から作成することを拒否する場合は、チェックボックスのチェックを外したままにします。

ステップ 4 Password フィールドに、CLI ユーザ アカウントのパスワードを入力します。Confirm Password フィールドに、同じパスワードをもう一度入力します。

ステップ 5 ドロップダウン リストから、CLI ユーザ アカウントの特権レベルを選択します。選択項目は 0(ゼロ)(一般ユーザ)または 15(スーパーユーザ)です。デフォルト値は 0 です。


) スーパーユーザは、特権 EXEC レベルのコマンドを使用できます。一般ユーザは、ユーザ レベルの EXEC コマンドしか使用できません。


ステップ 6 Username フィールドに、ユーザに関する次の情報を入力します。First Name(名)、Last Name(姓)、Phone Number(電話番号)、Email Address(電子メールアドレス)、Job Title(役職)、および Department(所属部署)。

ステップ 7 Comments フィールドに、このアカウントに関するその他の情報を入力します。

ステップ 8 この設定値を保存するには、 Submit をクリックします。


 

ユーザ アカウントの変更と削除


) CLI からユーザ アカウントを変更しても、CMS データベースには反映されません。


既存のユーザ アカウントを変更する手順は、次のとおりです。


ステップ 1 Content Distribution Manager GUI から、 System > AAA > Users の順に選択します。User Accounts ウィンドウが表示されます。

ステップ 2 変更するユーザ アカウントの横にある Edit アイコンをクリックします。Modifying User Account ウィンドウが表示されます。


) このウィンドウにアクセスできるのは、admin レベルの権限を持つユーザのみです。


ステップ 3 必要に応じて、Username フィールドでユーザの名前を編集します。

ステップ 4 パスワード フィールドおよび特権レベルのドロップダウン リストを変更できるようにするには、Change CLI User Password にチェックマークを付けます。

ステップ 5 必要に応じて、その他の情報または設定を編集します。

ステップ 6 この設定値を保存するには、Submit をクリックします。


 


) CLI からユーザ アカウントを削除しても、CMS データベース内の対応するユーザ アカウントは無効になりません。したがって、ユーザ アカウントは、CMS データベース内でアクティブのままです。Content Distribution Manager GUI で作成されたユーザ アカウントは、Content Distribution Manager GUI から削除する必要があります。


Content Distribution Manager GUI からユーザ アカウントを削除する手順は、次のとおりです。


ステップ 1 Content Distribution Manager GUI から、 System > AAA > Users の順に選択します。User Accounts ウィンドウが表示されます。

ステップ 2 削除するユーザ アカウントの横にある Edit アイコンをクリックします。Modifying User Account ウィンドウが表示されます。


) このウィンドウにアクセスできるのは、admin レベルの権限を持つユーザのみです。


ステップ 3 タスクバーから Trash アイコンをクリックします。


) GUI を使用して CLI ユーザ アカウントを作成した場合、対応する CLI ユーザ アカウントは CLI から削除され、すべてのスタンバイ Content Distribution Manager からも削除されます。


ステップ 4 このアクションを確認するには、 OK をクリックします。


 

CLI ユーザ パスワードの変更

admin 権限のないユーザとして Content Distribution Manager GUI にログインしている場合、次の要件を満たすと CLI ユーザ パスワードを変更できます。

CLI ユーザ アカウントとパスワードが、CLI 内ではなく、Content Distribution Manager GUI 内に作成された。

パスワード ウィンドウにアクセスする権限が与えられている。


) CLI ユーザ パスワードを CLI から変更しないことを推奨します。CLI から CLI ユーザ パスワードに加えた変更は、管理データベースに反映されず、スタンバイ Content Distribution Manager にも伝搬されません。したがって、管理データベース内のパスワードは、CLI 内で設定された新しいパスワードと一致しなくなります。



) Content Distribution Manager GUI を使用して初期段階でパスワードを設定する利点は、プライマリとスタンバイの Content Distribution Manager の同期をとることができることと、GUI ユーザがパスワードを変更する場合に CLI にアクセスする必要がないことです。


CLI ユーザ パスワードを変更する手順は、次のとおりです。


ステップ 1 Content Distribution Manager GUI から、 System > Password の順に選択します。Changing Password for User Account ウィンドウが表示されます。

ステップ 2 New Password フィールドに、変更するパスワードを入力します。

ステップ 3 確認のために、Confirm New Password フィールドにパスワードを再度入力します。

ステップ 4 この設定を保存するには、 Submit をクリックします。


 

ユーザ アカウントの表示

すべてのユーザ アカウントを表示するには、Content Distribution Manager GUI から System > AAA> Users の順に選択します。User Accounts ウィンドウに、管理データベース内のすべてのユーザ アカウントが表示されます。

ロールの作成と管理

Content Distribution Manager は、複数のタイプのサービスを提供しますが、すべてのユーザがすべてのサービスにアクセスできるわけではありません。ユーザにはロールが割り当てられ、ロールによって、ユーザがアクセスできるサービスが示されています。ロールは、ユーザが使用できる一連のサービスです。

各ユーザ アカウントには、ゼロまたは 1 つ以上のロールを割り当てることができます。ロールは継承されることも、組み込まれることもありません。Content Distribution Manager GUI を使用すると、次のタスクを実行できます。

新しいロールを作成する

既存のロールの変更と削除を行う

ロールをユーザ アカウントに割り当てる

システム内のすべてのロールを表示する

Content Distribution Manager は、admin ロールと呼ばれる、事前定義済みの 1 つのロールを提供します。admin ロールは、すべてのサービスおよびすべての ACNS ネットワーク エンティティにアクセスできます。ロールを作成する手順は、次のとおりです。


ステップ 1 System > AAA > Roles の順に選択します。Roles 表示ウィンドウが表示されます。

ステップ 2 タスクバーから、 Create New Role アイコンをクリックします。Creating New Role ウィンドウが表示されます(図12-5 を参照)。

図12-5 Creating New Role ウィンドウ

 

ステップ 3 Name フィールドに、ロールの名前を入力します。

ステップ 4 フォルダをクリックしてカテゴリ内のサービス リストを開き、このロールで有効にするサービスの横にあるチェックボックスにチェックマークを付けます。1 つのカテゴリ内のすべてのサービスを同時に選択する場合には、そのサービスのトップ レベルのフォルダ横にあるチェックボックスにチェックマークを付けてください。

ステップ 5 Comments フィールドに、このロールについて任意のコメントを入力します。

ステップ 6 この設定を保存するには、 Submit をクリックします。


 

ロールの変更と削除


) デフォルトで、admin ユーザ アカウントはすべてのサービスにアクセスできますが、admin ユーザ アカウントを変更することはできません。


ロールを変更する手順は、次のとおりです。


ステップ 1 System > AAA > Roles の順に選択します。Roles ウィンドウが表示されます。

ステップ 2 既存のロールを変更するには、変更するロールの名前の横にある Edit アイコンをクリックします。Modifying Role ウィンドウが表示されます。

ステップ 3 Name フィールドに、ロールの新規の名前を入力するか、または既存の名前を変更します。

ステップ 4 このロールでサービスを有効にするには、必要なサービスの横にあるチェックボックスにチェックマークを付けます。以前に選択されたサービスを無効にするには、無効にするサービスの隣にあるチェックボックスのチェックマークを外します。1 つのカテゴリ内のすべてのサービスを同時に選択する場合には、トップ レベルのサービスの横にあるチェックボックスにチェックマークを付けてください。

ステップ 5 Comments フィールドに、このロールに関する任意のコメントを入力します。

ステップ 6 この設定を保存するには、Submit をクリックします。


 

ロールの設定の表示

ロールを特定のユーザ アカウントに割り当てる前に、ロールの設定を表示できます。

ロールの設定を表示する手順は、次のとおりです。


ステップ 1 System > AAA > Users の順に選択します。User Accounts ウィンドウが表示され、設定されているすべてのユーザ アカウントがリストされます。

ステップ 2 ロールを割り当てるユーザ アカウントの横にある Edit アイコンをクリックします。Modifying User Account ウィンドウが表示されます。

ステップ 3 Contents ペインから、Role Management を選択します。Role Management for User Account User ウィンドウが表示されます。

ステップ 4 Role Management for User Account User ウィンドウで、ロール名の横にある View(メガネ)アイコンをクリックして、別のポップアップ ウィンドウ(Viewing Role ウィンドウ)を表示します。

ロール名、このロールについてのコメント、およびこのロールに対して有効なサービスが表示されます。

ステップ 5 設定内容の確認が終了した後、Close をクリックします。


 

ユーザ アカウントへのロールの割り当て


) デフォルトで、admin ユーザ アカウントには、すべてのドメインおよびシステム内のすべてのエンティティへのアクセスを許可するロールが割り当てられます。このユーザ アカウントのロールを変更することはできません。


ロールをユーザ アカウントに割り当てる手順は、次のとおりです。


ステップ 1 System > AAA > Users の順に選択します。User Accounts ウィンドウが表示され、設定されているすべてのユーザ アカウントがリストされます。

ステップ 2 ロールを割り当てるユーザ アカウントの横にある Edit アイコンをクリックします。Modifying User Account ウィンドウが表示されます。

ステップ 3 Contents ペインから、Role Management を選択します。Role Management for User Account User ウィンドウが表示され、設定されているすべてのロール名がリストされます。

ステップ 4 選択されたユーザ アカウントに割り当てるロール名の横にある Assign アイコン(青い十字マーク)をクリックします。

ステップ 5 以前に割り当てられたユーザ アカウントのロールの割り当てを解除するには、ロール名の横にある Unassign (緑のチェックマーク)をクリックします。


) タスクバー内にある Assign all Roles アイコンをクリックすると、現在のウィンドウ内のすべてのロールをユーザ アカウントに割り当てることができます。また、Remove all Roles アイコンをクリックすると、ユーザ アカウントに関連したすべてのロールの割り当てを解除することができます。


ステップ 6 この設定を保存するには、 Submit をクリックします。割り当てられたロールの横に、緑のチェックマークが表示され、割り当てが解除されたロールの横に、青い十字マークが表示されます。このユーザ アカウントに割り当てられたロールは、Modifying User Account ウィンドウの Roles セクションにリストされます。


 

ドメインの設定と管理

ドメインとは、一連の ACNS ネットワーク エンティティまたはオブジェクトのことで、ACNS ネットワークを構成するものです。ロールは、ユーザが ACNS ネットワーク内で実行できるサービスを定義しますが、ドメインは、ユーザがアクセスできるエンティティを定義します。Content Distribution Manager GUI は、事前定義済みの 3 つのエンティティを提供します。エンティティは、Content Engine、コンテンツ プロバイダー、またはデバイス グループのいずれかにすることができます。事前定義済みのこれらのエンティティは、サービスと同じように扱われ、ユーザのロールを設定する際に有効または無効にしておくことができます。

ドメインを設定する際に、そのドメインに Content Engine、コンテンツ プロバイダー、またはデバイス グループを含めるように選択できます。Content Distribution Manager GUI を使用すると、次のタスクを実行できます。

新しいドメインを作成する

既存のドメインの変更と削除を行う

システム内のすべてのドメインを表示する

新しいドメインを作成する手順は、次のとおりです。


ステップ 1 System > AAA > Domains の順に選択します。Domains 表示ウィンドウが表示されます。

ステップ 2 タスクバーから、 Create New Domain アイコンをクリックします。Creating New Domain ウィンドウが表示されます(図12-6 を参照)。

図12-6 Creating New Domain ウィンドウ

 

ステップ 3 Name フィールドに、ドメインの名前を入力します。

ステップ 4 Entity Type ドロップダウン リストから、ドメインに割り当てるエンティティ タイプを選択します。エンティティの選択項目には、Content Engine、コンテンツ プロバイダー、またはデバイス グループがあります。

ステップ 5 Comments フィールドに、このドメインに関するコメントを入力します。

ステップ 6 この設定を保存するには、 Submit をクリックします。選択したエンティティ タイプがドメインに割り当てられなかった場合、そのエンティティ タイプが割り当てられていないことを知らせるメッセージが表示されます。


 

ドメインへのエンティティの追加

ドメインにエンティティを追加する手順は、次のとおりです。


ステップ 1 System > AAA > Domains の順に選択し、変更するドメインの名前の横にある Edit アイコンをクリックします。

ステップ 2 Contents ペインで、 Entity Management を選択します。現在のドメインの Entity_name Assignments for Domain ウィンドウが表示されます(図12-7 を参照)。図12-7 では、エンティティはコンテンツ プロバイダーです。

図12-7 Entity Assignment to Domain ウィンドウ ― エンティティがコンテンツ プロバイダーの場合

 

ステップ 3 現在のドメインにエンティティを追加するには、追加するエンティティの名前の横にある Assign アイコン(青い十字マーク)をクリックします。設定を送信する際に、選択されたエンティティの横に、緑のチェックマークが表示されます。

別の方法として、選択されたドメインにすべてのエンティティを追加するには、タスクバーから Assign all アイコンをクリックします。

ステップ 4 現在のドメインからエンティティを削除するには、ドメインから削除するエンティティの名前の横にある Unassign アイコン(緑のチェックマーク)をクリックします。設定を送信し終わると、割り当てが解除されたエンティティの横に、青い十字マークが表示されます。

別の方法として、ドメインからすべてのエンティティを削除するには、タスクバーから Remove all アイコンをクリックします。

ステップ 5 この設定を保存するには、 Submit をクリックします。


 

ドメインの変更と削除

既存のドメインを変更または削除する手順は、次のとおりです。


ステップ 1 System > AAA > Domains の順に選択します。Domains ウィンドウが表示されます。

ステップ 2 変更するドメインの横にある Edit アイコンをクリックします。Modifying Domain ウィンドウが表示されます。

ステップ 3 必要に応じて設定を変更します。

ステップ 4 この設定を保存するには、Submit をクリックします。

ステップ 5 ドメインを削除するには、タスクバーから Trash アイコンをクリックします。

ステップ 6 このアクションを確認するには、 OK をクリックします。


 

ドメインの表示

特定のユーザ アカウントのドメイン設定を表示する手順は、次のとおりです。


ステップ 1 System > AAA > Users の順に選択します。User Accounts ウィンドウが表示され、設定されているすべてのユーザ アカウントがリストされます。

ステップ 2 ドメイン設定を表示するユーザ アカウントの横にある Edit アイコンをクリックします。Modifying User Account ウィンドウが表示されます。

ステップ 3 Contents ペインから、 Domain Management を選択します。Domain Management for User Account User ウィンドウが表示されます。

ステップ 4 別のポップアップ ウィンドウ(Viewing Domain ウィンドウ)を表示するには、ドメイン名の横にある View (メガネ)アイコンをクリックします。

ドメイン名、エンティティ タイプ、このドメインについてのコメント、およびこのドメインに割り当てられているエンティティが表示されます。

ステップ 5 設定内容を確認し、Close をクリックします。


 

ユーザ アカウントへのドメインの割り当て

ドメインをユーザ アカウントに割り当てる手順は、次のとおりです。


ステップ 1 System > Users の順に選択します。User Accounts ウィンドウが表示され、設定されているすべてのユーザ アカウントがリストされます。

ステップ 2 ドメインを割り当てるユーザ アカウントの横にある Edit アイコンをクリックします。Modifying User Account ウィンドウが表示されます。

ステップ 3 Contents ペインから、Domain Management を選択します。Domain Management for User Account User ウィンドウが表示され、設定されているすべてのドメインと、そのエンティティ タイプがリストされます。

ステップ 4 選択されたユーザ アカウントに割り当てるドメイン名の横にある Assign アイコン(青い十字マーク)をクリックします。

ステップ 5 すでに関連付けられているドメインの関連付けをユーザ アカウントから解除するには、ドメイン名の横にある Unassign (緑のチェックマーク)をクリックします。


) 現在のウィンドウ内のすべてのドメインをユーザ アカウントに割り当てるには、タスクバーから Assign all Domains アイコンをクリックします。別の方法として、ユーザ アカウントに関連したすべてのドメインの割り当てを解除するには、Remove all Domains アイコンをクリックします。


ステップ 6 この設定を保存するには、Submit をクリックします。割り当てられたドメインの横に緑のチェックマークが表示され、割り当てが解除されたドメインの横に青い十字マークが表示されます。ユーザ アカウントに割り当てられたドメインは、Modifying User Account ウィンドウの Domains セクションにリストされます。


 

AAA アカウンティングの設定

アカウンティングは、ユーザのすべてのアクションとそのアクションが行われた時点をトラッキングします。アカウンティングは監査証跡や接続時間や使用されたリソース(転送されたバイト数)に対する請求のために使用できます。

ACNS アカウンティング機能では TACACS+ サーバ ロギングを使用します。アカウンティング情報は TACACS+ サーバにのみ送信され、コンソールや他のデバイスには送信されません。アカウンティング イベントは、Content Engine 上の syslog ファイルにログされます。syslog に保管されたイベントのフォーマットは、アカウンティング メッセージのフォーマットとは異なります。

TACACS+ プロトコルによって、Content Engine と中央のサーバ間における AAA 情報が効率的に通信されます。クライアントとサーバ間の信頼性の高い接続には TCP が使用されます。Content Engine は認証と許可要求だけでなく、TACACS+ サーバへのアカウンティングも送信します。


) デバイス用のAAA アカウンティング設定を行う前に、TACACS+ サーバにデバイス用の設定をする必要があります(TACACS+ サーバの設定を参照)。


AAA アカウンティング設定を行う手順は、次のとおりです。


ステップ 1 Content Distribution Manager GUI から、 Devices > Devices の順に選択します。Devices ウィンドウが表示されます。

ステップ 2 設定するデバイス名の横にある Edit アイコンをクリックします。Device Home ウィンドウが表示されます。

ステップ 3 Contents ペインから、 General Settings > Authentication > AAA Accounting の順に選択します。AAA Accounting Settings ウィンドウが表示されます(図12-8 を参照)。 表12-4 では、このウィンドウ内のフィールドについて説明し、Content Distribution Manager 上で使用できる、対応する CLI グローバル コンフィギュレーション コマンドを示します。

図12-8 AAA Accounting Settings ウィンドウ

 

ステップ 4 システム イベント用のアカウンティングをアクティブにするために、アカウンティングをイベントのどのタイミングで行うかを、 System Events ドロップダウン リストのキーワードから 1 つ選択します。

ステップ 5 EXEC モード処理用のアカウンティングをアクティブにするために、アカウンティングをイベントのどのタイミングで行うかを、 Exec Shell and Login/Logout Events ドロップダウン リストのキーワードから 1 つ選択します。

ステップ 6 一般ユーザ レベルにおけるすべてのコマンド用のアカウンティングをアクティブにするために、アカウンティングをイベントのどのタイミングで行うかを、 Normal User Commands ドロップダウン リストのキーワードから 1 つ選択します。

ステップ 7 管理ユーザ レベルにおけるすべてのコマンド用のアカウンティングをアクティブにするために、アカウンティングをイベントのどのタイミングで行うかを、 Administrative User Commands ドロップダウン リストのキーワードから 1 つ選択します。


注意 wait-start オプションを使用する前に、TACACS+ サーバで Content Engine が設定され、サーバと正常に通信できていることを必ず確認してください。Content Engine が設定済みの TACACS+ サーバと通信できない場合は、応答がないことがあります。

 

表12-4 AAA アカウンティング設定

GUI パラメータ
機能
CLI コマンド

イベントのタイプ

システム イベント

ユーザと関連付けのないすべてのシステムレベル イベント(たとえば、リロード)用アカウンティング。

aaa accounting system default { start-stop | stop-only } tacacs

Exec Shell および Login/Logout イベント

Content Engine 上の EXEC shell およびユーザ login/logout イベント用アカウンティング。レポートには、ユーザ名、日付、開始および終了時間、Content Engine IP アドレスが記録される。

aaa accounting exec default { start-stop | stop-only | wait-start } tacacs

一般ユーザ コマンド

一般ユーザ特権レベルにおけるすべてのコマンド用アカウンティング。

aaa accounting commands 0 default { start-stop | stop-only | wait-start } tacacs

管理ユーザ コマンド

管理ユーザ特権レベルにおけるすべてのコマンド用アカウンティング。

aaa accounting commands 15 default { start-stop | stop-only | wait-start } tacacs

オプション

stop-only

Content Engine は、指定されたアクティビティまたはイベントの終わりに、停止レコード アカウンティング通知を、
TACACS+ アカウンティング サーバへ送信します。

aaa accounting { commands | exec | system } default stop-only tacacs

start-stop

Content Engine は、イベントの始めに開始レコード アカウンティング通知を、また、イベントの終わりに停止レコード アカウンティング通知を、TACACS+ アカウンティング サーバへ送信します。

開始アカウンティング レコードは、バックグラウンドで送信されます。開始アカウンティング レコードが TACACS+ アカウンティング サーバによって確認応答されたかどうかにかかわらず、要求されたユーザ サービスは始まります。

aaa accounting { commands | exec | system } default start-stop tacacs

wait-start

Content Engine がアカウンティングの記録の開始と終了の両方を TACACS+ アカウンティング サーバに送信します。ただし、開始アカウンティング レコードが確認応答されるまでは、要求されたユーザ サービスは始まりません。停止アカウンティング レコードも送信されます。

aaa accounting { commands | exec } default wait-start tacacs

Do Not Set

指定したイベントに対するアカウンティングを無効にします。

no aaa accounting

ステップ 8 この設定を保存するには、 Submit をクリックします。


 

監査証跡ログの表示

Content Distribution Manager は、システム内のユーザ アクティビティをログに記録します。ログに記録されるのは、ACNS ネットワークを変更するアクティビティだけです。この機能は、ユーザのアクションに対するアカウンタビリティ(ユーザが何をどの時点で行ったか)を示します。ログに記録されるアクティビティは、次のとおりです。

ACNS ネットワーク エンティティの作成

ACNS ネットワーク エンティティの変更と削除

システム構成

監査証跡ログを表示する手順は、次のとおりです。


ステップ 1 System > Logs > Audit Trail Logs の順に選択します。Audit Log ウィンドウが表示されます(図12-9 を参照)。このウィンドウには、Content Distribution Manager 内のログに記録されたすべてのトランザクションが、日付と時刻、ユーザ、ログに記録された実際のトランザクション、および使用したマシンの IP アドレス別にリストされます。

図12-9 Audit Log ウィンドウ

 

ステップ 2 表示する行数を決めるには、Rows ドロップダウン リストから数値を選択します。