Cisco Prime Infrastructure 2.0 アドミニストレータ ガイド
ユーザ アクセスの制御
ユーザ アクセスの制御
発行日;2013/11/13 | 英語版ドキュメント(2013/09/13 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

ユーザ アクセスの制御

追加の管理ユーザの作成

ユーザ アカウントの管理

アクティブ ユーザ セッションの表示

ユーザの追加

ゲスト アカウントの設定

ユーザ アカウントの無効化

ユーザ パスワードの変更

機能へのユーザ アクセスの変更

パスワード ポリシーの変更

機能へのをアクセスを制御するユーザ グループの作成

表示設定の変更

サイトおよびデバイスへのアクセスを制御するための仮想ドメインの使用

仮想ドメインの階層について

サイト指向の仮想ドメインの作成

仮想ドメインのユーザ アクセス

仮想ドメインへのユーザの追加

仮想ドメインへのサイトとドメインの追加

仮想ドメイン アクセスの変更

仮想ドメインの RADIUS 属性および TACACS+ 属性

ユーザ アクセスの監査

ユーザ グループの監査証跡のアクセス

アプリケーションのログインおよびアクションの表示

ユーザによって開始されたイベントの表示

での AAA の設定

AAA モードの設定

TACACS+ サーバの追加

RADIUS サーバの追加

の IP アドレスの変更後に必要となる TACACS+/RADIUS 設定

SSO サーバの追加

SSO サーバの AAA モードの設定

Cisco Identity Services Engine を使用した RADIUS を介する AAA ユーザの認証

ISE で AAA クライアントとして を追加する

ISE での新しいユーザ グループの作成

ISE で新しいユーザを作成してユーザ グループに追加する

ISE での新しい認可プロファイルの作成

ISE での認可ポリシー規則の作成

での AAA の設定

ACS 4.x の設定

TACACS+ サーバとしての ACS サーバへの の追加

TACACS+ 用 ACS への ユーザ グループの追加

RADIUS としての ACS サーバへの の追加

RADIUS 用 ACS への ユーザ グループの追加

Cisco ACS 以外の RADIUS サーバへの の追加

ACS 5.x の設定

ネットワーク デバイスおよび AAA クライアントの作成

グループの追加

ユーザの追加

RADIUS 用ポリシー要素または認可プロファイルの作成

TACACS+ 用ポリシー要素または認可プロファイルの作成

RADIUS 用のサービス セレクション規則の作成

TACACS+ 用のサービス セレクション規則の作成

RADIUS 用アクセス サービスの設定

TACACS+ 用アクセス サービスの設定

追加の管理ユーザの作成


ステップ 1 [Administration] > [Users, Roles & AAA] を選択し、[Users] をクリックします。

ステップ 2 [Select a command] > [Add a User] を選択し、[Go] をクリックします。

ステップ 3 必須フィールドを入力してから、[Admin] をクリックして、ユーザに管理者権限を付与します。

ステップ 4 [Save] をクリックします。


 

ユーザ アカウントの管理

ユーザ アカウントで次のアクションを実行することができます。

「アクティブ ユーザ セッションの表示」

「ユーザの追加」

「ゲスト アカウントの設定」

「ユーザ アカウントの無効化」

「ユーザ パスワードの変更」

「Prime Infrastructure 機能へのユーザ アクセスの変更」

「パスワード ポリシーの変更」

アクティブ ユーザ セッションの表示

すべての Prime Infrastructure ユーザは、ユーザ名とパスワードなどの基本パラメータを持っています。admin 権限を持つユーザはアクティブ ユーザ セッションを表示できます。

アクティブ セッションを表示するには、次の手順に従います。


ステップ 1 [Administration] > [Users, Roles & AAA] を選択し、[Active Sessions] をクリックします。

ステップ 2 ユーザ名に対応する [Audit Trail] アイコンをクリックすると、次のデータが表示されます。

[User]:ユーザ ログイン名

[Operation]:監査する操作のタイプ

[Time]:操作が監査された時刻

[Status]:成功または失敗

[Reason]:ユーザ ログインが失敗した場合の失敗の理由

[Configuration Changes]:設定変更があると、このフィールドには [Details] リンクが設けられます。個々のユーザによる設定の変更の詳細を確認するには [Details] リンクをクリックします。


) 監査証跡エントリは、個別のデバイス変更に関してログに記録されることがあります。たとえば、テンプレートが複数のスイッチに適用された場合、テンプレートの適用先のスイッチごとに、複数の監査証跡エントリが存在することになります。



 

ユーザの追加

ユーザを追加して、事前定義済みの静的ロールを割り当てることができます。完全なアクセス以外に、区別した権限で特定のユーザ グループに対して管理アクセスを付与できます。Prime Infrastructureはこれらのアクセス制限を使用して外部ユーザの認証をサポートし、TACACS+ サーバおよび RADIUS サーバに対してユーザを認証します。


ステップ 1 [Administration] > [Users, Roles & AAA] を選択し、[Users] をクリックします。

ステップ 2 [Add a User] を選択し、[Go] をクリックします。

ステップ 3 新しいユーザのユーザ名、パスワード、および確認パスワードを入力し、このユーザが属するグループを選択します。

ステップ 4 [Virtual Domains] タブをクリックして仮想ドメインをこのユーザに割り当て(「仮想ドメインのユーザ アクセス」を参照)、[Save] をクリックします。


 

ゲスト アカウントの設定

[Administration] > [System Settings] > [Guest Account Settings] ページでは、すべての期限切れのゲスト アカウントをグローバルに削除できます。

ゲスト アカウントを設定するには、次の手順を実行します。


ステップ 1 [Administration] > [System Settings] の順に選択します。

ステップ 2 左側のサイドバー メニューから、[Guest Account Settings] を選択します。

ステップ 3 [Automatically remove expired guest accounts] チェックボックスをオンにすると、期限の切れたゲスト アカウントは保持されず、期限切れ状態に遷移します。期限切れ状態のこれらのアカウントは Prime Infrastructure から削除されます。

ステップ 4 デフォルトでは、Prime Infrastructure Lobby Ambassador は作成者に関係なく、すべてのゲスト アカウントにアクセスできます。[Search and List only guest accounts created by this lobby ambassador] チェックボックスをオンにした場合、Lobby Ambassador は本人が作成したゲスト アカウントのみにアクセスできます。

ステップ 5 [Save] をクリックします。


 

ユーザ アカウントの無効化

ユーザが Prime Infrastructure にログインできないようにするために、ユーザ アカウントを無効にできます。たとえば、ユーザが休暇中、または一時的にジョブ機能を変更している場合に、ユーザ アカウントを無効にします。ユーザ アカウントを ロック することで、ユーザの Prime Infrastructure へのアクセスを無効にします。後でユーザ アカウントを ロック解除 して、ユーザの Prime Infrastructure へのアクセスを有効にします。ユーザを再作成する必要はありません。

ユーザの Prime Infrastructure へのアクセスを無効にするには、次の手順を実行します。


ステップ 1 [Administration] > [Users, Roles & AAA] を選択し、[Users] をクリックします。

ステップ 2 アクセスを無効にするユーザを選択してから、[Select a command] > [Lock User(s)] を選択します。

ユーザが次に Prime Infrastructure にログインしようとするときは、アカウントがロックされているためにログインが失敗したことを通知するメッセージが表示されます。


 

ユーザ パスワードの変更

ユーザのパスワードを変更するには、次の手順に従います。


ステップ 1 [Administration] > [Users, Roles & AAA] を選択し、[Users] をクリックします。

ステップ 2 パスワードを変更するユーザを選択します。

ステップ 3 パスワード フィールドに入力し、[Save] をクリックします。


 

関連項目

追加の管理ユーザの作成

Prime Infrastructure 機能へのユーザ アクセスの変更

Prime Infrastructureはタスクのリストを使用して、ユーザが Prime Infrastructureのいずれの部分にアクセスできるか、およびその部分でユーザが実行できる機能を制御します。Prime Infrastructureにおけるユーザ権限の変更は、各ユーザが属するユーザ グループを変更して行います。各グループのいずれのユーザに実行を認可するか、およびそのユーザがアクセスできる画面を変更するには、ユーザ グループのタスク リストを使用します。

仮想ドメインがアクセスできるサイトまたはデバイスを割り当てることもできます。

ユーザ権限を変更するには、次の手順を実行します。


ステップ 1 [Administration] > [Users, Roles & AAA] を選択し、[User Groups] をクリックします。

ステップ 2 グループ名をクリックして、このグループに実行を許可するタスクを変更します。

ステップ 3 [Members] タブをクリックして、このグループのユーザを表示します。


 

パスワード ポリシーの変更

Prime Infrastructure は、最小長、繰り返し文字など、さまざまなパスワード ポリシー制御をサポートしています。

パスワード ポリシーを変更するには、次の手順に従います。


ステップ 1 [Administration] > [Users, Roles & AAA] を選択し、[Local Password Policy] をクリックします。

ステップ 2 必要なポリシーを選択し、[Save] をクリックします。


 

Prime Infrastructure 機能へのをアクセスを制御するユーザ グループの作成

どのユーザがどの機能を実行できるかを単純に管理するために、ユーザをユーザ グループに割り当ててから、そのグループ内のユーザがどのタスクを実行できるかを指定します。Prime Infrastructure で使用可能なデフォルトのユーザ グループについては、 表 9-1 を参照してください。


ステップ 1 [Administration] > [Users, Roles & AAA] を選択し、[User Groups] をクリックします。

ステップ 2 グループ名をクリックして、このグループに実行を許可するタスクを変更します。

ステップ 3 [Members] タブをクリックして、このグループのユーザを表示します。


 

 

表 9-1 デフォルト ユーザ グループ

ユーザ グループ
説明

Admin

Prime Infrastructure 管理のためのグループ。

Config Managers

モニタリング タスクおよび設定タスク用のグループ。

Lobby Ambassador

ゲスト ユーザの管理だけを許可するグループ。このグループは編集不可能です。

Monitor Lite

アセットのモニタリングだけを許可するグループ。このグループは編集不可能です。

North Bound API

North Bound API にアクセスできるグループ。このグループは編集不可能です。

Root

ルート ユーザ用のグループ。このグループは編集不可能です。

Super Users

すべての Prime Infrastructure タスクを許可するグループ。

System Monitoring

タスクだけのモニタリング用のグループ。

User Assistant

ローカル ネット ユーザの管理だけを許可するグループ。このグループは編集不可能です。

User-Defined 1

ユーザ定義可能なグループ。

User-Defined 2

ユーザ定義可能なグループ。

User-Defined 3

ユーザ定義可能なグループ。

User-Defined 4

ユーザ定義可能なグループ。

表示設定の変更

[Administration] > [User Preferences] を選択して、Prime Infrastructure の表示オプションを指定できます。 表 9-2 は、調整できるオプションを示します。


) root でないユーザが Prime Infrastructure にログインしてユーザ設定を変更しようとすると、「Permission Denied」メッセージが表示されます。これは予期された動作です。


ユーザ固有の設定を変更するには、次の手順に従います。


ステップ 1 [Administration] > [User Preferences] の順に選択します。

ステップ 2 [Items Per List Page] ドロップダウン リストを使用して、指定したリストのページ(アラーム、イベント、AP リストなど)に表示される項目の数を設定します。

ステップ 3 [Refresh home page] チェックボックスをオンにし、[Refresh home page every] ドロップダウン リストから時間間隔を選択することで、ホームページをリフレッシュする頻度を指定します。

ステップ 4 [Logout idle user] チェックボックスをオンにし、[Logout idle user after] テキスト ボックスに、サーバによってセッションがキャンセルされるまでのユーザ セッションのアイドル時間(分)を設定します。

ステップ 5 Prime Infrastructure で新しいアラームが発生したときにマップとアラームのページを自動的にリフレッシュする場合は、ページ上の [Alarms] 部分にある [Refresh Map/Alarms page on new alarm] チェックボックスをオンにします。

ステップ 6 [Refresh Alarm count in the Alarm Summary every] ドロップダウン リストからリセット頻度を指定する時間間隔を選択します。

ステップ 7 アラーム承認警告メッセージを表示しない場合は、[Disable Alarm Acknowledge Warning Message] チェックボックスをオンにします。

ステップ 8 [Edit Alarm Categories] をクリックして、[Alarm Summary] ページに表示するアラーム カテゴリを選択します。

ステップ 9 [Select Alarms] ページで、表示するデフォルト カテゴリをドロップダウン リストから選択し、アラーム ツールバーから表示するアラームのカテゴリとサブカテゴリを選択します。[Save] をクリックしてアラーム カテゴリ リストを保存します。選択したアラームのカテゴリおよびサブカテゴリが [User Preferences] ページに表示されます。

ステップ 10 [Save] をクリックします。


 

 

表 9-2 ユーザ プリファレンスのオプション

オプション
説明

Items Per List

コントローラまたはアクセス ポイントなどの項目について、これらがリストされるページに表示される場合の項目の数を設定できます。[Items Per List Page] ドロップダウン リストから、表示する項目の数を選択してください。

Use Next Generation Maps

次世代マップ機能を使用する場合は、このチェックボックスをオンにします。

Logout idle user

サーバによってセッションがキャンセルされるまでにユーザ セッションがアイドル状態になっていることを許容される時間(分)を設定するには、このチェックボックスをオンにします。

(注) [Logout idle user] チェックボックスをオフにしてある場合、ユーザ セッションはタイムアウトしません。

Logout idle user after

サーバがアイドル ユーザを待機する最大分数を選択します。デフォルト値は 60 分です。最小値は 15 分です。最大値は 120 分です。

(注) [Logout idle user] チェックボックスをオフにしてある場合、ユーザ セッションはタイムアウトしません。

Refresh Map/Alarms page on new alarm

新しいアラームが生成されるたびにマップ ページおよびアラーム ページをリフレッシュする場合は、このチェックボックスをオンにします。

Refresh Alarm count in the Alarm Summary every

ドロップダウン リストからアラーム概要のリフレッシュ頻度(5 秒、15 秒、30 秒、1 分、2 分、または 5 分ごと)を選択します。

Display Alarm Category in Alarm Summary page

最小化された [Alarm Summary]([Alarm Summary]、[Malicious AP]、[Unclassified AP]、[Coverage Holes]、[Security]、[Controllers]、[Access Points]、[Mobility Services]、[Mesh Links]、[Prime Infrastructure]、または [Performance])で表示するアラーム カテゴリを選択します。

Disable Alarm Acknowledge Warning Message

アラームを認知すると、この機能を無効にしない限り、問題が再度発生しても別のアラームが生成されない旨の注意を促すために、警告が表示されます。この警告メッセージが表示されないようにするには、このチェックボックスをクリックします。

Choose alarms for Alarm Summary Toolbar

[Alarm Summary] ツールバーでアラームを選択し、[Edit Alarm Categories] をクリックして、必要なアラーム カテゴリおよびサブカテゴリを選択します。

サイトおよびデバイスへのアクセスを制御するための仮想ドメインの使用

仮想ドメインを使用して、特定のサイトおよびデバイスにどのユーザがアクセス権を持つかを制御できます。Prime Infrastructureにデバイスを追加後、仮想ドメインを設定できます。仮想ドメインとはデバイスの論理グループであり、これを使用して、どのユーザがグループを管理できるかが制御されます。仮想ドメインを作成することで、管理者は、関連情報を具体的に指定してユーザに表示したり、他のエリアへのユーザのアクセス権を制限したりすることができます。仮想ドメイン フィルタを使用すると、ネットワーク内でユーザに割り当てられた部分だけで、ユーザがデバイスの設定、アラームの表示、およびレポートの生成を行えるようにできます。

[Virtual Domains] ページ([Administration] > [Virtual Domains])で指定した電子メール アドレスと時間帯は、電子メール ドメイン固有のレポートをスケジューリングするときに使用されます。レポートのスケジュールされた時間は、仮想ドメインに固有の時間帯で設定することが可能で、スケジュールされたレポートは仮想ドメインに指定された電子メール アドレス宛に送信できます。詳細については、 Cisco Prime Infrastructure 2.0 User Guide を参照してください。

仮想ドメインは、物理サイト、デバイス タイプ、ユーザ コミュニティ、または選択するあらゆる指定項目に基づいて設定できます。

仮想ドメインをセットアップする前に、ネットワーク内のどのサイトとデバイスに、どのユーザがアクセス権を持つ必要があるのかを決定する必要があります。

ここでは、次の内容について説明します。

「仮想ドメインの階層について」

「サイト指向の仮想ドメインの作成」

仮想ドメインの階層について

仮想ドメインは、階層構造で編成されています。既存の仮想ドメインのサブセットには、親仮想ドメインに含まれるネットワーク要素が含まれています。デフォルトつまり「ROOT-DOMAIN」ドメインには、すべての仮想ドメインが含まれています。

ネットワーク要素は階層構造で管理されているため、レポート生成、検索、テンプレート、設定グループ、およびアラームなどの一部の機能およびコンポーネントが影響を受けます。


) 複数の仮想ドメインによってコントローラの設定が変更された場合、複雑な状況が発生する場合があります。これを回避するには、一度に 1 つの仮想ドメインから各コントローラを管理してください。


ここでは、パーティショニングの効果について説明します。内容は次のとおりです。

「レポート」

「検索」

「アラーム」

「テンプレート」

「設定グループ」

「マップ」

「アクセス ポイント」

「コントローラ」

「E メール通知」

レポート

レポートには、現在の仮想ドメインに割り当てられたコンポーネントだけが含まれています。たとえば、アクセス ポイントだけが割り当てられ、コントローラが割り当てられていない仮想ドメインを作成すると、コントローラのインベントリ レポートを生成したときに、一部のコントローラは表示されません。

アクセス ポイントだけが割り当てられ、コントローラが割り当てられていない仮想ドメインを作成する場合、コントローラベースの機能のいくつかは選択できなくなります。たとえば、いくつかのオプションでは、コントローラからアクセス ポイントへドリルダウンする必要があります。コントローラは仮想ドメインにないため、関連付けられたレポートを生成できません。

レポートは、現在の仮想ドメインにだけ表示されます。親仮想ドメインは、サブ仮想ドメインのレポートを表示できません。Client Count などのクライアント レポートには、現在の仮想ドメインに属するクライアントだけが含まれます。新しいクライアントが管理者によってこのパーティションに割り当てられていない場合、以前のレポートにはこれらの追加が反映されません。新しいレポートだけに新しいクライアントが反映されます。

検索

検索結果には、検索が実行される仮想ドメインに割り当てられたコンポーネントだけが含まれています。キャンパスが仮想ドメインに割り当てられていない場合、検索結果にフロア領域は表示されません。

保存された検索は、現在の仮想ドメインにだけ表示されます。親仮想ドメインは、これらの検索結果を表示できません。Prime Infrastructure は、ネットワーク リストを分割しません。ネットワーク リストごとにコントローラを検索する場合、すべてのコントローラが返されます。キャンパスが仮想ドメインに割り当てられていない場合、検索結果にフロア領域は表示されません。

アラーム

コンポーネントが仮想ドメインに追加された場合、そのコンポーネントの以前のアラームは、該当する仮想ドメインに表示されません。新しいアラームだけが表示されます。たとえば、新しいコントローラが仮想ドメインに追加されると、追加される前にそのコントローラに生成されたアラームは、現在の仮想ドメインには表示されません。

関連するコントローラまたはアクセス ポイントが仮想ドメインから削除された場合、同じ仮想ドメインのアラームは削除されません。


) アラームの電子メールによる通知:ROOT-DOMAIN 仮想ドメインの場合のみ、ロケーション通知、ロケーション サーバ、および Prime Infrastructure 電子メール通知を有効にできます。


テンプレート

仮想ドメインでテンプレートを作成または検出する場合、そのテンプレートは、コントローラに適用されないかぎり、その仮想ドメインでだけ使用できます。テンプレートがコントローラに適用され、そのコントローラがサブ仮想ドメインに割り当てられる場合、テンプレートは新しい仮想ドメインのコントローラに適用されます。


) サブ仮想ドメインを作成し、テンプレートを仮想ドメインの 2 つのネットワーク要素に適用すると、Prime Infrastructure はテンプレートが適用されたパーティションの数を不正に反映する場合があります。


設定グループ

仮想ドメインの設定グループは、親仮想ドメインでも表示できます。親仮想ドメインは、サブ(子)仮想ドメインの設定グループを変更できます。たとえば、親仮想ドメインは、サブ仮想ドメインのコントローラを追加または削除できます。

マップ

管理者が現在の仮想ドメインに割り当てたマップだけを表示できます。

キャンパスが仮想ドメインに割り当てられた場合、そのキャンパスのすべてのビルディングが自動的に同じ仮想ドメインに割り当てられます。

ビルディングが仮想ドメインに割り当てられると、そのビルディングに関連するすべてのフロアが自動的にビルディングに含まれます。

フロアが割り当てられると、そのフロアに関連するすべてのアクセス ポイントが自動的にフロアに含まれます。

仮想ドメインにフロアだけが割り当てられる場合、マップベースの機能のいくつかが選択できなくなります。たとえば、いくつかのレポートおよび検索では、キャンパスからビルディング、フロアへドリルダウンする必要があります。キャンパスおよびビルディングは仮想ドメインにないため、これらの種類のレポートまたは検索を生成できません。

Prime Infrastructure に表示されるカバレッジ エリアは、キャンパスおよびビルディングにだけ適用されます。フロアだけの仮想ドメインの場合、Prime Infrastructure にカバレッジ エリアは表示されません。フロアが直接仮想ドメインに割り当てられる場合、フロアが属しているビルディングがある仮想ドメインからそのフロアを削除できません。


) キャンパスが仮想ドメインに割り当てられていない場合、検索結果にフロア領域は表示されません。


アクセス ポイント

コントローラまたはマップが仮想ドメインに割り当てられている場合、そのコントローラまたはマップに関連するアクセス ポイントも自動的に割り当てられます。アクセス ポイントを仮想ドメインに手動で(コントローラまたはマップとは別に)割り当てることができます。

コントローラを仮想ドメインから削除する場合、関連するすべてのアクセス ポイントも削除されます。アクセス ポイントが手動で割り当てられている場合、関連するコントローラが現在の仮想ドメインから削除されている場合でも、そのアクセス ポイントは割り当てられたままになります。

アクセス ポイントだけが割り当てられ、コントローラが割り当てられていない仮想ドメインを作成する場合、コントローラベースの機能のいくつかは選択できなくなります。たとえば、いくつかのオプションでは、コントローラからアクセス ポイントへドリルダウンする必要があります。コントローラは仮想ドメインにないため、関連付けられたレポートを生成できません。

手動で追加されたアクセス ポイントが仮想ドメインから削除されているにもかかわらず、同じ仮想ドメインに割り当てられているコントローラまたはマップに関連付けられている場合、そのアクセス ポイントは仮想ドメインで表示されたままになります。アクセス ポイントが削除されても、このアクセス ポイントに関連するアラームは削除されません。

マップを仮想ドメインから削除する場合、マップ上のアクセス ポイントを仮想ドメインから削除できます。


) アクセス ポイントを後で別の場所に移動すると、(生成されたアラームなどの)いくつかのイベントが、元のパーティションの場所に残ったままになる場合があります。


不正アクセス ポイントのパーティションは、検出中のいずれかのアクセス ポイント(最新または最も強い RSSI 値を持つアクセス ポイント)と関連付けられます。検出中のアクセス ポイント情報がある場合、Prime Infrastructure は検出中のコントローラを使用します。
不正アクセス ポイントが異なるパーティションに存在する 2 つのコントローラによって検出された場合、不正アクセス ポイントのパーティションは随時変更される場合があります。

コントローラ

ネットワーク要素は階層構造で管理されているため、コントローラはパーティションによって影響を受ける場合があります。アクセス ポイントだけが割り当てられ、コントローラが割り当てられていない仮想ドメインを作成する場合、コントローラベースの機能のいくつかは選択できなくなります。たとえば、いくつかのオプションでは、コントローラからアクセス ポイントへドリルダウンする必要があります。コントローラは仮想ドメインにないため、関連付けられたレポートを生成できません。

少数のコントローラのみでパーティションを作成し、[Configure] > [Access Points] を選択して、[AP Name] 列の各リンクをクリックすると、パーティションで指定されている限られた数のコントローラではなく、Prime Infrastructure によって割り当てられたプライマリ、セカンダリ、およびターシャリ コントローラの完全なリストが表示されます。


) 複数の仮想ドメインによってコントローラの設定が変更された場合、複雑な状況が発生する場合があります。これを回避するには、一度に 1 つの仮想ドメインから各コントローラを管理してください。


E メール通知

仮想ドメインごとに E メール通知を設定できます。稼働ドメインでアラームが発生した場合にだけ E メールが送信されます。

サイト指向の仮想ドメインの作成

デフォルトで、Prime Infrastructureには 1 つの仮想ドメイン( root )だけが定義されています。

サイト指向の仮想ドメインを作成すると、特定のサイトの情報をユーザに表示したり、他のエリアへのユーザのアクセス権を制限したりすることができます。

次の手順は、特定の場所ですべてのデバイスのセグメントを選択し、それらを「Site 1 Routers」仮想ドメインの一部にする方法を示しています。


ステップ 1 [Administration] > [Virtual Domains] を選択します。

ステップ 2 左の [Virtual Domain Hierarchy] サイドバー メニューで、[New] をクリックします。

デフォルトでは、Prime Infrastructureに 1 つの仮想ドメイン( root )だけが定義されています。選択した仮想ドメインが、新規作成するサブ仮想ドメインの親仮想ドメインとなります

ステップ 3 仮想ドメイン名に Site 1 Routers と入力し、[Submit] をクリックします。

ステップ 4 [Sites] タブで仮想ドメインに関連付けるサイトを [Selected Sites] カラムに移動し、[Submit] をクリックします。

ステップ 5 確認画面で [OK] をクリックします。


 

仮想ドメインのユーザ アクセス

Prime Infrastructureの仮想ドメインは、Prime Infrastructureの一連のデバイスまたはマップ、あるいはその両方で構成され、これらの管理対象オブジェクトに関連する情報にユーザ ビューを制限します。

仮想ドメインを使用して、管理者はユーザが担当するデバイスおよびマップだけを表示できるようにすることができます。また、仮想ドメインのフィルタにより、ユーザはネットワークの割り当てられた部分だけについて、アラームを設定、表示およびレポートを生成できます。

管理者は、各ユーザに使用できる仮想ドメインを指定します。ログインの際、ユーザについてこれらのドメインのうちアクティブとなるのは 1 つだけです。ユーザは、ページ上部の [Virtual Domain] ドロップダウン リストで別の有効な仮想ドメインを選択して、現在の仮想ドメインを変更できます。仮想ドメインによって、すべてのレポート、アラーム、およびその他の機能がフィルタ処理されます。

システムに定義されている仮想ドメインが 1 つだけ(「root」)であり、かつ TACACS+/RADIUS サーバにカスタム属性フィールドの仮想ドメインがない場合、ユーザにはデフォルトで「root」の仮想ドメインが割り当てられます。仮想ドメインが複数あり、ユーザに指定された属性がない場合、ユーザのログインはブロックされます。

ここでは、次の内容について説明します。

「仮想ドメインへのユーザの追加」

「仮想ドメインへのサイトとドメインの追加」

「仮想ドメイン アクセスの変更」

「仮想ドメインの RADIUS 属性および TACACS+ 属性」

仮想ドメインへのユーザの追加

仮想ドメインを作成後、仮想ドメインを特定のユーザに割り当てることができます。これにより、関連情報を具体的に指定してユーザに表示したり、他のエリアへのユーザのアクセス権を制限したりすることができます。仮想ドメインに割り当てられたユーザは、自分に割り当てられた仮想ドメインに対してのみ、デバイスの設定、アラームの表示、レポートの生成を行えます。


) 外部 AAA を使用しているときは、外部 AAA サーバの該当するユーザまたはグループ設定に仮想ドメインのカスタム属性を追加してください。


仮想ドメインにユーザを追加するには、次の手順に従います。


ステップ 1 [Administration] > [Users, Roles & AAA] を選択し、[Users] をクリックします。

ステップ 2 仮想ドメインに追加するユーザをクリックします。

ステップ 3 [Virtual Domains] タブをクリックします。

ステップ 4 ユーザの追加先の仮想ドメインを [Available Virtual Domains] カラムから [Selected Virtual Domains] カラムに移動し、[Save] をクリックします。


) 各仮想ドメインには、親仮想ドメインに含まれている要素のサブセットが含まれている場合があります。ユーザが仮想ドメインに割り当てられると、そのユーザは仮想ドメインに割り当てられているデバイスを表示できます。



 

仮想ドメインへのサイトとドメインの追加

サイトおよびデバイスを仮想ドメインに追加するには、次の手順に従います。


ステップ 1 [Administration] > [Virtual Domains] を選択します。

ステップ 2 左の [Virtual Domain Hierarchy] サイドバー メニューで、サイトまたはデバイスの追加先の仮想ドメインをクリックします。

ステップ 3 サイトおよびデバイスを [Available] カラムから [Selected] カラムに移動し、[Submit] をクリックします。


 

仮想ドメイン アクセスの変更

左サイドバー メニューの [Virtual Domain Hierarchy] で仮想ドメインを選択し、割り当てられたマップ、コントローラ、アクセス ポイント、およびスイッチを表示または編集します。[Summary] ページが表示されます。このページには、現在ログインしている仮想ドメインで使用可能なマップ、コントローラ、アクセス ポイント、およびスイッチを表示できるタブがあります。

[Maps] タブ、[Controllers] タブ、[Access Points] タブ、および [Switches] タブを使用して、この仮想ドメインに割り当てられているコンポーネントを追加または削除します。

サイト マップ、コントローラ、アクセス ポイント、または有線デバイスに割り当てるには、次の手順を実行します。


ステップ 1 [Administration] > [Virtual Domains] を選択します。

ステップ 2 [Virtual Domain Hierarchy] 左サイドバー メニューから、仮想ドメイン階層を選択します。


) すべてのマップ、コントローラ、およびアクセス ポイントはパーティション ツリーに含まれているため、読み込みには数分かかります。大量のコントローラおよびアクセス ポイントが存在するシステムの場合、この時間は増加します。


ステップ 3 該当する[Site Maps]、[Controller]、[Access Points]、または [Wired Devices] タブをクリックします。

ステップ 4 [Available]([Site Maps]、[Controllers]、[Access Points]、または [Wired Devices])列で、仮想ドメインに割り当てる新しいコンポーネントをクリックして強調表示します。コンポーネントを [Selected]([Site Maps]、[Controllers]、[Access Points]、または [Wired Devices])列に移動するには、[Add] をクリックします。


) 仮想ドメインからコンポーネントを削除するには、[Selected]([Site Maps]、[Controllers]、[Access Points]、または [Wired Devices])列のコンポーネントをクリックして強調表示させ、[Remove] をクリックします。コンポーネントが [Available] 列に戻ります。



) ROOT-DOMAIN からスイッチ、コントローラ、または Autonomous AP を削除すると、そのデバイスは Prime Infrastructure から削除されます。デバイスが ROOT-DOMAIN に明示的に関連付けられている場合、または現在の仮想ドメインの子ではない他の仮想ドメインに明示的に関連付けられている場合、現在の仮想ドメインからデバイスを削除しても、そのデバイスはこの仮想ドメインからは削除されますが、Prime Infrastructure からは削除されることはありません。


ステップ 5 [Submit] をクリックして、変更内容を確定します。


 

要素を仮想ドメインに割り当て変更を送信した後に、Prime Infrastructure がこれらの変更を処理するには、追加された要素の数に応じて、時間がかかる場合があります。

仮想ドメインの RADIUS 属性および TACACS+ 属性

[Virtual Domain Custom Attributes] ページを使用して、各仮想ドメインの適切なプロトコル固有のデータを指定することができます。[Virtual Domain Hierarchy] 左サイドバー メニューの [Export] ボタンを使用して、仮想ドメインの RADIUS 属性および TACACS+ 属性を事前に設定できます。これらの属性を Access Control Server(ACS)サーバにコピーして貼り付けることができます。これにより、該当する仮想ドメインだけを ACS サーバのページにコピーでき、ユーザはこれらの仮想ドメインだけにアクセスできるようになります。

設定済みの RADIUS 属性および TACACS+ 属性を ACS サーバに適用するには、次の手順を実行します。


ステップ 1 [Administration] > [Virtual Domains] を選択します。

ステップ 2 [Virtual Domain Hierarchy] 左サイドバー メニューで、RADIUS 属性および TACACS+ 属性を適用する仮想ドメインを選択します。

ステップ 3 [Export] をクリックします。

ステップ 4 (現在設定しているリストに応じて)[RADIUS Custom Attributes] リストまたは [TACACS+ Custom Attributes] リストのテキストを強調表示させ、ブラウザのメニューに移動し、[Edit] > [Copy] を選択します。

ステップ 5 ACS にログインします。

ステップ 6 [User Setup] または [Group Setup] に移動します。


) ユーザ ベースで仮想ドメインを指定する場合、(たとえば、タスク、ロール、仮想ドメインなど)すべてのカスタム属性情報を [User] カスタム属性ページに追加していることを確認する必要があります。


ステップ 7 該当するユーザまたはグループの [Edit Settings] をクリックします。

ステップ 8 ブラウザの [Edit] > [Paste] の機能を使用して、RADIUS または TACACS+ のカスタム属性を該当するフィールドに入力します。

ステップ 9 チェックボックスをオンにして、これらの属性を有効にしてから、[Submit + Restart] をクリックします。


) RADIUS 属性および TACACS+ 属性の ACS サーバへの追加の詳細は、「TACACS+ 用 ACS への Prime Infrastructure ユーザ グループの追加」または「RADIUS 用 ACS への Prime Infrastructure ユーザ グループの追加」を参照してください。



 

ユーザ アクセスの監査

Prime Infrastructureは、ユーザ アクセスの監査レコードを維持します。ここでは、次の内容について説明します。

「ユーザ グループの監査証跡のアクセス」

「アプリケーションのログインおよびアクションの表示」

「ユーザによって開始されたイベントの表示」

ユーザ グループの監査証跡のアクセス

ユーザ グループの監査証跡にアクセスするには、次の手順に従います。


ステップ 1 [Administration] > [Users, Roles & AAA] を選択し、[User Groups] をクリックします。

ステップ 2 ユーザ グループ名に対応する [Audit Trail] アイコンをクリックして、監査データを表示します。[Configuration Changes] フィールドは、設定が変更されている場合、[Details] リンクを表示します。個々のユーザによる設定の変更の詳細を確認するには [Details] リンクをクリックします。


) 監査証跡エントリは、個別のデバイス変更に関してログに記録されることがあります。たとえば、テンプレートが複数のスイッチに適用された場合、テンプレートの適用先のスイッチごとに、複数の監査証跡エントリが存在することになります。



 

アプリケーションのログインおよびアクションの表示

アプリケーション監査ログは、Prime Infrastructure の機能に関係するイベントを記録します。たとえば、アプリケーション監査ログを表示して、特定のユーザがログインした日時と行ったアクションの内容を見ることができます。Prime Infrastructure は、ユーザが Prime Infrastructure にログインした IP アドレスのほか、ユーザが表示した Prime Infrastructure のページを表示します。

アプリケーションの監査ログを表示するには、次の手順を実行します。


ステップ 1 [Administration] > [System Audit] の順に選択します。

ステップ 2 [Application Audit Logs] ページで、ログの詳細を表示する行をクリックして展開します。


) [Application Audit] の場合、TACACS+/RADIUS ユーザでは [User Group] カラムが空白になります。



 

ユーザによって開始されたイベントの表示

ネットワーク監査ログは、ネットワーク内のデバイスに関係するイベントを記録します。たとえば、ネットワーク監査ログを表示して、特定のテンプレートを展開したユーザとテンプレートが展開された日時を見ることができます。

ネットワークの監査ログを表示するには、次の手順を実行します。


ステップ 1 [Operate] > [Network Audit] を選択します。

ステップ 2 [Network Audit Logs] ページで、ログの詳細を表示する行をクリックして展開します。


 

Prime Infrastructure での AAA の設定

Prime Infrastructure がサーバと通信するように、認証、許可、アカウンティング(AAA)を設定できます。Prime Infrastructure AAA を設定する権限を持つユーザ名は、root および SuperUser だけです。ローカル ユーザ アカウントに対するすべての変更は、ローカル モード用に設定した場合に有効です。RADIUS、TACACS+ などの外部認証を使用している場合、ユーザの変更は、リモート サーバ上で行う必要があります。

AAA サーバ移行の詳細については、『 ACS 5.2 Migration Utility Support Guide 』を参照してください。

ここでは、次の内容について説明します。

「AAA モードの設定」

「TACACS+ サーバの追加」

「RADIUS サーバの追加」

「SSO サーバの追加」

「SSO サーバの AAA モードの設定」

「Cisco Identity Services Engine を使用した RADIUS を介する AAA ユーザの認証」

「ACS 4.x の設定」

「ACS 5.x の設定」

AAA モードの設定

Prime Infrastructureは、ローカルと TACACS+ および RADIUS をサポートしていますが、先に TACACS+ または RADIUS サーバを指定する必要があります。


) 複数のサーバを追加すると、最初のサーバに接続できないか、ネットワークの問題がある場合に限り、ユーザ認証が 2 番めのサーバで検証されます。



) サードパーティの TACACS+ または RADIUS サーバの共有秘密キーを入力する間は、アルファベット、数字、特殊文字を使用できます。


TACACS+ サーバを指定して AAA モードを TACACS+ に変更するには、次の手順に従います。


ステップ 1 TACACS+ サーバを追加します。詳細については、「「TACACS+ サーバの追加」」を参照してください。

ステップ 2 [AAA Mode] をクリックします。

ステップ 3 TACACS+ を選択します。

ステップ 4 外部の AAA サーバがダウンしたときにローカル データベースを使用する場合は、[Enable Fallback to Local] チェックボックスをオンにします。


) [ONLY on no server response] を選択すると、ローカル Prime Infrastructure ユーザ アカウントへのフォール バックは、外部サーバが到達不能またはネットワークの問題がある場合にだけ発生します。[on authentication failure or no server response] を選択すると、ローカル Prime Infrastructure ユーザ アカウントへのフォール バックは、外部サーバが到達不能または外部サーバで認証エラーがある場合にだけ発生します。


ステップ 5 [Save] をクリックします。


 

TACACS+ サーバの追加

Prime Infrastructure に 1 度に追加できるサーバは 3 台に限られています。TACACS+ サーバと通信できるように Prime Infrastructureを設定するには、次の手順に従います。


ステップ 1 [Administration] > [Users, Roles & AAA] を選択し、[TACACS+] をクリックします。

ステップ 2 コマンドのプルダウン メニューから、[Add TACACS Server] を選択し、[Go] をクリックします。

ステップ 3 TACACS+ サーバ情報を入力し、[Save] をクリックします。


) Prime Infrastructureが TACACS+ サーバと通信するには、このページで入力した共有秘密キーが、TACACS+ サーバに設定された共有秘密キーと一致している必要があります。



 

関連項目

Prime Infrastructure の IP アドレスの変更後に必要となる TACACS+/RADIUS 設定

RADIUS サーバの追加

Prime Infrastructure に 1 度に追加できるサーバは 3 台に限られています。RADIUS サーバと通信できるように Prime Infrastructureを設定するには、次の手順に従います。


ステップ 1 [Administration] > [Users, Roles & AAA] を選択し、[RADIUS Servers] をクリックします。

ステップ 2 [Add Radius Server] を選択し、[Go] をクリックします。

ステップ 3 RADIUS サーバ情報を入力し、[Save] をクリックします。


) Prime Infrastructureが RADIUS サーバと通信するには、このページで入力する共有秘密キーが、RADIUS サーバに設定された共有秘密キーと一致している必要があります。



 

関連項目

Prime Infrastructure の IP アドレスの変更後に必要となる TACACS+/RADIUS 設定

Prime Infrastructure の IP アドレスの変更後に必要となる TACACS+/RADIUS 設定

TACACS+ または RADIUS サーバを追加した後で、Prime Infrastructure サーバの IP アドレスを変更すると、Prime Infrastructure サーバの新しい IP アドレスを使用して TACACS+ または RADIUS サーバを手動で設定する必要があります。Prime Infrastructure は、RADIUS または TACACS+ 要求が送信されたローカル インターフェイスをキャッシュ内に格納し、Prime Infrastructure の IP アドレスが確実に更新されるように手動で RADIUS または TACACS+ サーバの設定を編集する必要があります。

関連トピック

TACACS+ サーバの追加

RADIUS サーバの追加

SSO サーバの追加

この項では、シングル サインオン(SSO)認証サーバの Prime Infrastructure への追加方法について説明します。

Prime Infrastructure で SSO を有効にできます。SSO では、複数の SSO 対応の Prime Infrastructure アプリケーション間を移動するときに、一度だけクレデンシャルを入力することができます。SSO により、相互起動操作を簡単に実行することや、個別のアプリケーションからのコンテンツを含むダッシュレットを簡単に使用することができます。SSO を設定するには、管理者レベルの特権が必要です。


) SSO を設定する前に、SSO が設定されたサーバが必要です。SSO サーバの AAA モードの設定については、「SSO サーバの AAA モードの設定」を参照してください。



ステップ 1 [Administration] > [Users, Roles & AAA] を選択し、[SSO Servers] をクリックします。

ステップ 2 [Add SSO Server] を選択し、[Go] をクリックします。

ステップ 3 SSO サーバ情報を入力し、[Save] をクリックします。


) SSO サーバ認証要求で許可されている再試行回数は、0 ~ 3 です。



 

SSO サーバの AAA モードの設定

シングル サインオン(SSO)認証は、複数ユーザ、複数リポジトリ環境でユーザを認証および管理するため、および各種システムへのログインに使用される認証情報を保存および取得するために使用されます。Prime Infrastructure の他のインスタンスに対して SSO サーバとして Prime Infrastructure を設定できます。


) Prime Infrastructure は Java の CA 証明書と自己署名証明書をサポートしていないので、SSO は正確な DNS 設定が必要です。そのため、完全修飾ドメイン名(FQDN)を使用して DNS を定義する必要があります。たとえば、FQDN を使用して DNS を設定する場合の nslookup コマンドと予想されるデータは、次のとおりです。
hostname CUSTOMER_PI_HOSTNAME
nslookup CUSTOMER_PI_HOSTNAME
Server: ..
Address: ...
Name: CUSTOMER_PI_HOSTNAME.company.com
Address: ...



ステップ 1 [Administration] > [Users, Roles & AAA] を選択し、[SSO Server AAA Mode] をクリックします。

ステップ 2 使用する SSO サーバの AAA モードを選択します。一度に 1 つしか選択できません。

ローカル ユーザ アカウントに関する変更は、ローカル モード(デフォルト)に設定されている場合しか反映されません。リモート認証を使用する場合は、リモート サーバ上でクレデンシャルが変更されます。リモート認証の種類は RADIUS と TACACS+ の 2 種類です。RADIUS では、異なるロケーション(米国東海岸と西海岸)に対して別々のクレデンシャルが必要となります。TACACS+ は、組み込みのフェールオーバー メカニズムを備えた効率的でセキュリティで保護された管理フレームワークです。

ステップ 3 外部の SSO AAA サーバがダウンしたときに管理者にローカル データベースを使用させる場合は、[Enable Fallback to Local] チェックボックスをオンにします。


) このチェックボックスは、SSO サーバの AAA モードの種類として [Local] が選択されている場合には使用できません。


ステップ 4 [OK] をクリックします。


 

Cisco Identity Services Engine を使用した RADIUS を介する AAA ユーザの認証

Identity Services Engine(ISE)と Prime Infrastructure を統合できます。この項では、ISE を使用した RADIUS プロトコルによる Prime Infrastructure ユーザ認証について説明します。


) ISE では、RADIUS サーバ認証だけがサポートされています。


ISE を使用し、RADIUS サーバを介して AAA を認証するには、次の手順を実行します。


ステップ 1 Prime Infrastructure を AAA クライアントとして ISE に追加します。詳細については、「ISE で AAA クライアントとして Prime Infrastructure を追加する」を参照してください。

ステップ 2 ISE で新しいユーザ グループを作成します。詳細については、「ISE での新しいユーザ グループの作成」を参照してください。

ステップ 3 ISE で新しいユーザを作成し、ISE で作成したユーザ グループにこのユーザを追加します。詳細については、「ISE で新しいユーザを作成してユーザ グループに追加する」を参照してください。

ステップ 4 新しい認可プロファイルを作成します。詳細については、「ISE での新しい認可プロファイルの作成」を参照してください。

ステップ 5 認可ポリシー規則を作成します。詳細については、「ISE での認可ポリシー規則の作成」を参照してください。

ステップ 6 Prime Infrastructure に AAA を設定します。詳細については、「Prime Infrastructure での AAA の設定」を参照してください。


 

ISE で AAA クライアントとして Prime Infrastructure を追加する

ISE で AAA クライアントとして Prime Infrastructure を追加するには、次の手順を実行します。


ステップ 1 ISE にログインします。

ステップ 2 [Administration] > [Network Devices] を選択します。

ステップ 3 左側のサイドバーのメニューから、[Network Devices] の横の矢印をクリックして、そのオプションを展開します。

展開されたリストには、すでに追加されているデバイスが表示されます。

ステップ 4 任意のデバイスをクリックすると、詳細が表示されます。

ステップ 5 左側のサイドバーのメニューから、 アイコンの横の矢印をクリックし、[Add new device] オプションを選択します。

ステップ 6 右側のペインで、必要な詳細情報を入力します。

ステップ 7 [Shared Secret] テキスト ボックスに共有秘密を入力します。

ステップ 8 [Save] をクリックして、デバイスを追加します。


 

ISE での新しいユーザ グループの作成

ISE に新しいユーザ グループを作成できます。これは、異なる権限を持つ Prime Infrastructure ユーザの分類に役立ち、ユーザ グループ上に認可ポリシー規則を作成するためにも役立ちます。

ISE で新しいユーザ グループを作成するには、次の手順を実行します。


ステップ 1 [ISE] > [Administration] > [Groups] を選択します。

ステップ 2 左側のサイドバーのメニューから [User Identity Groups] を選択し、[Add] をクリックします。

ステップ 3 グループの名前および説明を入力して、[Save] をクリックします。


 

ISE で新しいユーザを作成してユーザ グループに追加する

ISE で新しいユーザを作成し、そのユーザをユーザ グループにマップできます。

ISE で新しいユーザを作成し、そのユーザをユーザ グループにマップするには、次の手順に従います。


ステップ 1 [ISE] > [Administration] > [Identity Management] > [Identities] を選択します。

ステップ 2 左側のサイドバーのメニューから [Identities] > [Users] の順に選択し、[Add] をクリックします。

ステップ 3 ユーザのユーザ名とパスワードを入力し、パスワードを再度入力します。

ステップ 4 必要なユーザ グループを [User Group] ドロップダウン リストから選択して [Save] をクリックします。


) Active Directory および Lightweight Directory Access Protocol(LDAP)などの外部ソースと ISE を統合することもできます。



 

ISE での新しい認可プロファイルの作成

ISE で認可プロファイルを作成できます。新しい認可プロファイルを作成するには、次の手順に従います。


ステップ 1 [ISE] > [Policy] > [Policy Elements] > [Results] を選択します。

ステップ 2 左側のサイドバーのメニューから [Authorization] > [Authorization Profiles] の順に選択し、[Add] をクリックします。

ステップ 3 プロファイルの名前および説明を入力します。

ステップ 4 [Access Type] ドロップダウン リストから [ACCESS_ACCEPT] を選択します。

ステップ 5 [Advanced Attribute Settings] グループ ボックスで、Prime Infrastructure ユーザ グループの RADIUS カスタム属性を次々に追加し、仮想ドメイン属性を末尾に付けます。


) ユーザ グループの RADIUS カスタム属性は、Prime Infrastructure の [Administration] > [Users, Roles & AAA] > [User Groups] にあります。適切な権限のあるグループについて [Task List] をクリックします。


a. cisco - av - pair を選択し、Prime Infrastructure ユーザ グループの RADIUS カスタム属性をこのペアの横に貼り付けます。続けて追加します。

b. 各グループの最後の RADIUS カスタム属性の末尾に仮想ドメイン属性を追加します(RADIUS カスタム属性については、 仮想ドメインの RADIUS 属性および TACACS+ 属性を参照してください)。

ステップ 6 認可プロファイルを保存します。


 

ISE での認可ポリシー規則の作成

許可ポリシー規則を作成するには、次の手順を実行します。


ステップ 1 [ISE] > [Policy] > [Authorization] を選択します。

ステップ 2 [Authorization Policy] ページで、[Actions] ドロップダウン リストから [Insert New Rule Above] を選択します。

Prime Infrastructure ユーザのログインなどに使用する規則を作成します。

ステップ 3 [Rule Name] テキスト ボックスに規則の名前を入力します。

ステップ 4 [Identity Groups] ドロップダウン リストから必要な ID グループを選択します。

たとえば、[Prime Infrastructure-SystemMonitoring-Group] を選択します。

アイデンティティ ユーザ グループの作成の詳細については、「ISE での新しいユーザ グループの作成」を参照してください。

ステップ 5 [Permissions] ドロップダウン リストから権限を選択します。権限は認可プロファイルです。

たとえば、[Prime Infrastructure-SystemMonitor authorization profile] を選択します。

許可プロファイルの作成の詳細については、「ISE での新しい認可プロファイルの作成」を参照してください。

この例では、Prime Infrastructure System Monitoring Identity グループに属しているすべてのユーザに、システム モニタリング カスタム属性を定義した適切な許可ポリシーが適用されるように規則を定義しています。

ステップ 6 [Save] をクリックして許可規則を保存します。


) [ISE] > [Monitor] > [Authentications] オプションを使用して、認証の成功および失敗をモニタすることもできます。



 

Prime Infrastructure での AAA の設定

Prime Infrastructure に AAA を設定するには、次の手順を実行します。


ステップ 1 root として Prime Infrastructure にログインしてから、[Administration] > [Users, Roles & AAA] を選択し、[RADIUS Servers] をクリックします。

ステップ 2 ISE の IP アドレスを使用して新しい RADIUS サーバを追加して、[Save] をクリックします。

ステップ 3 ISE にログインしてから、[Administration] > [AAA] を選択し、[AAA Mode Settings] をクリックします。

ステップ 4 AAA モードとして [RADIUS] を選択して、[Save] をクリックします。

ステップ 5 Prime Infrastructure からログオフします。

ステップ 6 ISE に定義した AAA ユーザとして Prime Infrastructure にログインし直します。

たとえば、ユーザ ncs-sysmon としてログインします。

ISE でのユーザ作成の詳細については、「ISE で新しいユーザを作成してユーザ グループに追加する」を参照してください。


 

ACS 4.x の設定

ここでは、Prime Infrastructure と連携するように ACS 4.x を設定するための手順を示します。

タスクを Cisco Secure ACS サーバへインポートするには、Prime Infrastructure を ACS サーバ(またはシスコ以外の ACS サーバ)に追加する必要があります。ここでは、次の内容について説明します。

「TACACS+ サーバとしての ACS サーバへの Prime Infrastructure の追加」

「TACACS+ 用 ACS への Prime Infrastructure ユーザ グループの追加」

「RADIUS としての ACS サーバへの Prime Infrastructure の追加」

「RADIUS 用 ACS への Prime Infrastructure ユーザ グループの追加」

「Cisco ACS 以外の RADIUS サーバへの Prime Infrastructure の追加」

TACACS+ サーバとしての ACS サーバへの Prime Infrastructure の追加

Prime Infrastructure を TACACS+ サーバに追加するには、次の手順を実行します。


) この項で示す手順と図は ACS バージョン 4.1 に関するものであり、バージョンやベンダーのタイプによって若干異なる場合があります。Cisco Secure ACS のマニュアルか、使用しているベンダー用のマニュアルを参照してください。



ステップ 1 ACS サーバの [Network Configuration] ページで [Add Entry] をクリックします。

ステップ 2 [AAA Client Hostname] テキスト ボックスに Prime Infrastructure ホスト名を入力します。

ステップ 3 [AAA Client IP Address] テキスト ボックスに Prime Infrastructure IP アドレスを入力します。

ACS 用のインターフェイスが Prime Infrastructure で指定してあるインターフェイスと同じであり、到達可能であることを確認します。

ステップ 4 [Shared Secret] テキスト ボックスに、Prime Infrastructure サーバと ACS サーバの両方で設定する共有秘密を入力します。

ステップ 5 [Authenticate Using] ドロップダウン リストの [TACACS+] を選択します。

ステップ 6 [Submit + Apply] をクリックします。

ステップ 7 左側のサイドバーのメニューから [Interface Configuration] を選択します。

ステップ 8 [Interface Configuration] ページで [TACACS+ (Cisco IOS)] リンクをクリックします。

[TACACS+ (Cisco IOS) Interface Configuration] ページが表示されます。

ステップ 9 ページの [New Services] 部分の [Service] 列見出しに Prime Infrastructure を追加します。

ステップ 10 [Protocol] 列見出しに HTTP と入力します。


) HTTP は大文字で入力してください。


ステップ 11 これらの項目の前にあるチェックボックスをオンにして、新しいサービスとプロトコルを有効にします。


) ACS 4.x の設定は、プロトコルを HTTP にして Prime Infrastructure サービスを指定し、有効にしたときに完成します。


ステップ 12 [Submit] をクリックします。


 

TACACS+ 用 ACS への Prime Infrastructure ユーザ グループの追加

TACACS+ サーバでの使用のために ACS サーバに Prime Infrastructure ユーザ グループを追加するには、次の手順に従います。


ステップ 1 Prime Infrastructure にログインします。

ステップ 2 [Administration] > [Users, Roles & AAA] > [User Groups] を選択します。[User Groups] ページが表示されます。

ステップ 3 ACS に追加するユーザ グループの [Task List] リンクをクリックします。[Export Task List] ページが表示されます。

ステップ 4 [TACACS+ Custom Attributes] 内のテキストを範囲選択し、ブラウザのメニューから [Edit] > [Copy] の順に選択します。

ステップ 5 ACS にログインします。

ステップ 6 [Group Setup] に移動します。[Group Setup] ページが表示されます。

ステップ 7 使用するグループを選択して [Edit Settings] をクリックします。[ Prime Infrastructure HTTP] が TACACS+ 設定に表示されます。

ステップ 8 ブラウザの [Edit] > [Paste] を使用して、Prime Infrastructure からの TACACS+ カスタム属性をこのテキスト ボックスに入れます。


) Prime Infrastructure にアップグレードする場合、TACACS+ または RADIUS サーバに権限を再追加および Prime Infrastructure サーバからのタスクに TACACS+ サーバのロールを更新させる必要があります。


ステップ 9 チェックボックスをオンにして、これらの属性を有効にします。

ステップ 10 [Submit + Restart] をクリックします。

これで ACS ユーザとこの ACS グループを結び付けられます。


) Prime Infrastructure の TACACS+ を有効にするには、「TACACS+ サーバの追加」を参照してください。



) タスク リストを ACS にエクスポートするには、ACS に仮想ドメインを追加する必要があります。これには、デフォルトの ROOT-DOMAIN 仮想ドメインを使用できます。仮想ドメインの詳細については、「サイトおよびデバイスへのアクセスを制御するための仮想ドメインの使用」を参照してください。



 

RADIUS としての ACS サーバへの Prime Infrastructure の追加

RADIUS サーバとしての ACS サーバに Prime Infrastructure を追加する手順は、次のとおりです。シスコ以外の ACS サーバを使用する場合は、「Cisco ACS 以外の RADIUS サーバへの Prime Infrastructure の追加」を参照してください。


ステップ 1 ACS サーバで [Network Configuration] に移動します。

ステップ 2 [Add Entry] をクリックします。

ステップ 3 [AAA Client Hostname] テキスト ボックスに Prime Infrastructure のホスト名を入力します。

ステップ 4 [AAA Client IP Address] テキスト ボックスに Prime Infrastructure の IP アドレスを入力します。


) ACS 用のインターフェイスが Prime Infrastructure で指定してあるインターフェイスと同じであり、到達可能であることを確認します。


ステップ 5 [Shared Secret] テキスト ボックスに、Prime Infrastructure サーバと ACS サーバの両方で設定する共有秘密を入力します。

ステップ 6 [Authenticate Using] ドロップダウン リストから [RADIUS (Cisco IOS/PIX 6.0)] を選択します。

ステップ 7 [Submit + Apply] をクリックします。

これで ACS ユーザとこの ACS グループを結び付けられます。


) Prime Infrastructure の RADIUS を有効にするには、「RADIUS サーバの追加」を参照してください。



) Prime Infrastructure リリース 1.0 以降では、タスク リストを ACS にエクスポートするには、ACS に仮想ドメインを追加する必要があります。これには、デフォルトの ROOT-DOMAIN 仮想ドメインを使用できます。仮想ドメインの詳細については、「サイトおよびデバイスへのアクセスを制御するための仮想ドメインの使用」を参照してください。



 

RADIUS 用 ACS への Prime Infrastructure ユーザ グループの追加

RADIUS サーバでの使用のために ACS サーバに Prime Infrastructure ユーザ グループを追加するには、次の手順に従います。


ステップ 1 Prime Infrastructure にログインします。

ステップ 2 [Administration] > [Users, Roles & AAA] > [User Groups] を選択します。[All Groups] ページが表示されます。

ステップ 3 ACS に追加するユーザ グループの [Task List] リンクをクリックします。[Export Task List] ページが表示されます。

ステップ 4 [RADIUS Custom Attributes] 内のテキストを強調表示し、ブラウザのメニューから [Edit] > [Copy] の順に選択します。


) Prime Infrastructure をアップグレードする場合は、TACACS+ サーバ上または RADIUS サーバ上のすべての権限を追加し直す必要があります。


ステップ 5 ACS にログインします。

ステップ 6 [Group Setup] に移動します。[Group Setup] ページが表示されます。

ステップ 7 使用するグループを選択して [Edit Settings] をクリックします。Cisco IOS/PIX 6.x RADIUS Attributes 以下にある [009\001]cisco-av-pair を見つけます。

ステップ 8 ブラウザの [Edit] > [Paste] を使用して、Prime Infrastructure からの RADIUS カスタム属性をこのテキスト ボックスに入れます。


) Prime Infrastructure をアップグレードする場合は、TACACS+ サーバ上または RADIUS サーバ上のすべての権限を追加し直す必要があります。


ステップ 9 チェックボックスをオンにして、これらの属性を有効にします。

ステップ 10 [Submit + Restart] をクリックします。

これで ACS ユーザとこの ACS グループを結び付けられます。


) Prime Infrastructure の RADIUS を有効にするには、「RADIUS サーバの追加」を参照してください。Prime Infrastructure 仮想ドメインを TACACS+ 用 ACS に追加する場合は、「仮想ドメインの RADIUS 属性および TACACS+ 属性」を参照してください。



) タスク リストを ACS にエクスポートするには、ACS に仮想ドメインを追加する必要があります。これには、デフォルトの ROOT-DOMAIN 仮想ドメインを使用できます。仮想ドメインの詳細については、「サイトおよびデバイスへのアクセスを制御するための仮想ドメインの使用」を参照してください。



 

Cisco ACS 以外の RADIUS サーバへの Prime Infrastructure の追加

RADIUS サーバを使用して Prime Infrastructure にログインすると、ユーザ名とパスワードの検証が済んだ後、アクセス許可(Access=Accept)メッセージとともにユーザ グループと実行可能タスクのリストが AAA サーバから返送されます。ユーザ グループによっては多数のタスクが割り当てられているので、このアクセス許可(Access=Accept)メッセージは断片化されたパケットとして送られてきます。各ユーザ グループに割り当てられているタスクは、C:\Program Files\Prime Infrastructure\webnms\webacs\WEB-INF\security\usergroup-map.xml ファイルで確認できます。これらのタスクはベンダー固有属性(VSA)として返送されるので、Prime Infrastructure では VSA を使用した認可情報(IETF RADIUS 属性番号 26)が必要となります。VSA には Prime Infrastructure RADIUS タスク リスト情報が含まれます。

VSA の内容は、次のとおりです。

Type = 26(IETF VSA 番号)

Vendor Id = 9(シスコ ベンダー ID)

Vendor Type = 1(カスタム属性)

Vendor Data = Prime Infrastructure タスク情報(Prime Infrastructure の例:task0 = ユーザとグループ)

Prime Infrastructure RADIUS タスク リストの各行はそれぞれの RADIUS VSA で送信する必要があります。

Admin ユーザ グループがログインしたときは、アクセス許可(Access=Accept)パケットのデータ部で出力が切り捨てられ、1 つのロールしか示されない場合があります。ロールに関連付けられているタスクは task0 から始まり、task1、task2... と続きます。 表 9-3 は、「Access=Accept」パケットの各属性が何を意味しているかを示しています。

0000 06 6d 0e 59 07 3d 6a 24 02 47 07 35 d2 12 a4 eb .m.Y.=j$G.5...
0010 a2 5a fa 84 38 20 e4 e2 3a 3a bc e5 1a 20 00 00 .Z..8..::..
0020 00 09 01 1a 57 69 72 65 6c 65 73 73 2d 57 43 53 ....Prime Infrastructure
0030 3a 72 6f 6c 65 30 3d 41 64 6d 69 6e 1a 2b 00 00 :role0=Admin.+...
0040 00 09 01 25 57 69 72 65 6c 65 73 73 2d 57 43 53 ...%Prime Infrastructure
0050 3a 74 61 73 6b 30 3d 55 73 65 72 73 20 61 6e 64 :task0=Users and
0060 20 47 72 6f 75 70 73 1a 27 00 00 00 09 01 21 57 Groups.”....!W
0070 69 72 65 6c 65 73 73 2d 57 43 53 3a 74 61 73 6b Prime Infrastructure:task
0080 31 3d 41 75 64 69 74 20 54 72 61 69 6c 73 xx xx 1=Audit Trails.*
 

 

表 9-3 Access=Accept パケットの例

属性
説明

1a(10 進数の 26)

ベンダー属性

2b(10 進数の 43 バイト)

スキップして次の TLV へ到達する合計バイト数(task0 ではユーザとグループ)

4 バイト フィールド

ベンダー Cisco 09

01

Cisco AV ペア(Prime Infrastructure が読み取る TLV)

25(10 進数の 37 バイト)

長さ

HEX テキスト文字列

Prime Infrastructure:task0 = ユーザとグループ

データ部が完全に処理される次の TLV

255.255.255.255

TLV: RADIUS type 8(IP アドレス)

Type 35(0x19)

クラス(文字列)

Type 80(0x50)

メッセージ認証コード

トラブルシューティングを行う手順は、次のとおりです。

RADIUS パケットが Access-Accept(アクセス許可)であるかどうかを確認します。

Access-Accept パケットで、ユーザ グループのタスク名を確認します。

RADIUS パケットのさまざまな長さのフィールドを確認します。

ネットワーク デバイスおよび AAA クライアントの作成

ネットワーク デバイスおよび AAA クライアントを作成するには、次の手順を実行します。


ステップ 1 [Network Resources] > [Network Devices and AAA Clients] を選択します。

ステップ 2 IP アドレスを入力します。


 

グループの追加

グループを追加するには、次の手順を実行します。


ステップ 1 [Users and Identity Stores] > [Identity Groups] を選択します

ステップ 2 グループを作成する。


 

ユーザの追加

ユーザを追加するには、次の手順を実行します。


ステップ 1 [Users and Identity Stores] > [Internal Identity Stores] > [Users] を選択します

ステップ 2 ユーザを追加してから、このユーザにグループをマップします。


 

RADIUS 用ポリシー要素または認可プロファイルの作成

RADIUS 用ポリシー要素または許可プロファイルを作成するには、次の手順を実行します。


ステップ 1 [Policy Elements] > [Authorization and Permissions] > [Network Access] > [Authorization Profiles] を選択し、[Create] をクリックします。

ステップ 2 必要な情報を入力し、[Submit] をクリックします。


 

TACACS+ 用ポリシー要素または認可プロファイルの作成

TACACS+ 用ポリシー要素または許可プロファイルを作成するには、次の手順を実行します。

はじめる前に

サブメニューが Prime Infrastructure で表示されるようにするために、関連するメニュー アクセス タスクを追加する必要があります。たとえば、[Administration] メニューの下位のサブメニューを追加する場合、Prime Infrastructure で [Administration] メニューの下位のサブメニューを表示できるようにするために、最初に [Administration] メニュー アクセス タスクを追加する必要があります。


ステップ 1 [Policy Elements] > [Authorization and Permissions] > [Device Administration] > [Shell Profiles] を選択してから、[Create] をクリックします。

ステップ 2 必要な情報を入力し、[Submit] をクリックします。


 

RADIUS 用のサービス セレクション規則の作成

RADIUS 用のサービス セレクション規則を作成するには、次の手順を実行します。


ステップ 1 [Access Policies] > [Access Services] > [Service Selection Rules] を選択してから、[Create] をクリックします。

ステップ 2 必要な情報を入力し、[OK] をクリックします。


 

TACACS+ 用のサービス セレクション規則の作成

TACACS 用のサービス セレクション規則を作成するには、次の手順を実行します。


ステップ 1 [Access Policies] > [Access Services] > [Service Selection Rules] を選択してから、[Create] をクリックします。

ステップ 2 必要な情報を入力し、[OK] をクリックします。


 

RADIUS 用アクセス サービスの設定

RADIUS 用アクセス サービスを設定するには、次の手順を実行します。


ステップ 1 ACS 5.x サーバにログインし、[Access Policies] > [Access Services] > [Default Network Access] を選択します。

ステップ 2 [General] タブで、使用するポリシー構造をクリックします。デフォルトでは、3 個の全ポリシー構造が選択されています。

ステップ 3 [Allowed Protocols] から使用するプロトコルをクリックします。


) アイデンティティおよびグループのマッピングのためにデフォルトを保持できます。


ステップ 4 RADIUS 用の許可規則を作成するには、[Access Policies] > [Access Services] > [Default Network Access] > [Authorization] の順に選択してから、[Create] をクリックします。

ステップ 5 [Location] で、[All Locations] をクリックします。または、ロケーションに基づいて規則を作成することもできます。

ステップ 6 [Group] で、前に作成したグループを選択します。

ステップ 7 [Device Type] で、[All Device Types] をクリックします。または、デバイス タイプに基づいて規則を作成することもできます。

ステップ 8 [Authorization Profile] で、RADIUS 用に作成した許可プロファイルを選択し、[OK] をクリックしてから、[Save] をクリックします。


 

TACACS+ 用アクセス サービスの設定

TACACS+ 用アクセス サービスを設定するには、次の手順を実行します。


ステップ 1 [Access Policies] > [Access Services] > [Default Device Admin] を選択します。

ステップ 2 [General] タブで、使用するポリシー構造をクリックします。デフォルトでは、3 個すべてが選択されています。同様に、[Allowed Protocols] から使用するプロトコルをクリックします。


) アイデンティティおよびグループのマッピングのためにデフォルトを保持できます。


ステップ 3 TACACS+ 用の許可を作成するには、[Access Policies] > [Access Services] > [Default Device Admin] > [Authorization] を選択してから、[Create] をクリックします。

ステップ 4 [Location] で、[All Locations] をクリックします。または、ロケーションに基づいて規則を作成することもできます。

ステップ 5 [Group] で、前に作成したグループを選択します。

ステップ 6 [Device Type] で、[All Device Types] をクリックします。または、デバイス タイプに基づいて規則を作成することもできます。

ステップ 7 [Shell Profile] で、TACACS+ 用に作成したシェル プロファイルを選択し、[OK] をクリックしてから、[Save] をクリックします。