Cisco Unified Operations Manager (Service Monitor 搭載)インストレーション ガイド
Cisco Secure ACS によるセキュリティ設定
Cisco Secure ACS によるセキュリティ設定
発行日;2012/02/01 | 英語版ドキュメント(2010/04/22 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 1MB) | フィードバック

目次

Cisco Secure ACS によるセキュリティ設定

Cisco Secure ACS のサポート

の統合に関する注意事項

CiscoWorks Local Login Module の認証ロール

Common Services での System Identity User の設定

Cisco Secure ACS サーバのセットアップ

Common Services での AAA モードの ACS への変更

コマンドラインから Cisco Secure ACS へのアプリケーションの登録

Cisco Secure ACS でのユーザおよびユーザ グループへのロールの割り当て

と Cisco Secure ACS の設定の確認

Cisco Secure ACS のサポート

Operations Manager は、認証および認可の ACS モードをサポートします。このモードを使用するには、Operations Manager がインストールされている以外のネットワーク内のサーバに、Cisco Secure Access Control Server(ACS)をインストールする必要があります。サポートされるデバイスとソフトウェアの詳細については、「 Supported and Interoperable Devices and Software for Cisco Unified Operations Manager 2.3 」を参照してください。

Operations Manager の統合に関する注意事項

Operations Manager、Service Monitor、および Common Services はいずれも、共有プロファイル コンポーネントとして Cisco Secure ACS と統合されています。複数インスタンスの同じアプリケーション(Operations Manager など)が認証および認可のために同じ Cisco Secure ACS サーバを使用できます。

Cisco Secure ACS に Cisco Unified Operations Manager、Cisco Unified Service Monitor、および CiscoWorks Common Services を登録する場合、アプリケーション タスク(Operations Manager でのデバイス ディスカバリの実行など)およびユーザ ロール(Network Administrator など)は Cisco Secure ACS にインポートされます。

タスクおよびロールをインポートするには、アプリケーションの 1 インスタンスだけを Cisco Secure ACS に登録する必要があります。2 回目にアプリケーションを登録する場合、カスタム ロールの作成などロール設定に加えた変更内容は失われます。

CiscoWorks Local Login Module の認証ロール

CiscoWorks ログイン モジュールを使用すると、ネイティブ メカニズムである CiscoWorks Local Login Module 以外の認証元を使用できます。この目的で Cisco Secure ACS サーバを使用できます。

認証後は、ロールが認可が制御されます。ロールは、実行する特権があるタスクのセットです。デフォルトで、CiscoWorks Local Login Module の認可スキームには 5 つのロールがあります。6 番目のロールである Super Admin は ACS モードで使用でき、Cisco Secure ACS システムでだけ確認できます。特権が少ない方から多い方の順で、ロールを 表 C-1 に示します。

 

表 C-1 共通のサービス ユーザ ロールと特権

ロール
説明
非 ACS モード:CiscoWorks Local Login Module

Help Desk

このロールのユーザには、Operations Manager および Common Services の一部の情報を表示する特権があります。

例:Alert History データベースを検索できます。

Approver

このロールのユーザには特権がありません(Operations Manager はこのユーザ ロールにタスクを割り当てていません)。

Network Operator

このロールのユーザには、すべての Operations Manager タスクと一部の Common Services タスクを実行する特権があります。

例:ロギング パラメータを設定できます。

(注) このロールのユーザはデフォルトで Network Administrator と同じ Operations Manager タスクを実行できます。

Network Administrator

このロールのユーザには、すべての Operations Manager タスクと一部の Common Services タスクを実行する特権があります。また、Network Operator タスクも実行できます。

例:DCR から Operations Manager にデバイスを追加できます。

System Administrator

このロールのユーザには、システム管理タスクをすべて実行する特権があります。

例:デバッグのイネーブル化およびディセーブル化、ロギング レベルの設定。

ACS モード

Super Admin

AAA モードが ACS に設定され、Cisco Secure ACS が認証に使用されている場合、このロールのユーザには、すべてのタスクを実行する特権があります。

Common Services でローカル ユーザ セットアップを実行するときは、Super Admin ロールが表示されません。ユーザにこのロールを割り当てることができるのは、Cisco Secure ACS にログインし、CiscoWorks ログイン モジュールが ACS に設定されている場合だけです。

Operations Manager および Common Services に定義されているタスク、およびタスクを実行する特権を持つロールについては、Common Services の Permission Report を参照してください(Operations Manager ホーム ページの右上にある CiscoWorks リンクをクリックし、[Common Services] > [Server] > [Reports] > [Permission Report] > [Generate Report] を選択します)。


) 詳細については、『User Guide for CiscoWorks Common Services 3.2』を参照してください。


デフォルトの Common Services ロールは変更しないことを推奨します。ただし、Cisco Secure ACS 上の Operations Manager 用に独自のカスタム ロールを作成することはできます。

Common Services での System Identity User の設定

Operations Manager サーバを Cisco Secure ACS と統合する前に、Common Services の System Identity User を作成し、すべての特権を割り当てます。ここでは、System Identity User としてローカル ユーザを設定する方法について説明します(Common Services admin ユーザを System Identity User として使用するには、『 User Guide for CiscoWorks Common Services 3.2 』の「Setting up System Identity Account」を参照してください)。

1. ローカル ユーザを作成し、すべてのロールをそのユーザに割り当てます。


) System Identity User にすべての CiscoWorks Local Login Module ロール(表 C-1を参照)が設定されない場合、Operations Manager および Common Services で特定のタスクを実行しようとすると認可が失敗します。


2. System Identity User を更新し、ユーザ名を手順 1. で作成した名前で置き換えます(CiscoWorks ホーム ページから、[Common Services] > [Server] > [Security] > [Multi-Server Trust Management] > [System Identity Setup] を選択します。詳細については、[Help] リンクをクリックしてください)。

詳細については、『 User Guide for CiscoWorks Common Services 3.2 』を参照してください。

Cisco Secure ACS サーバのセットアップ

Common Services AAA モードを ACS に変更する前に、Cisco Secure ACS で次のタスクを実行します。

1. ACS Administrators を設定します。

Cisco Secure ACS にすべての特権を持つ管理者を設定します。


) すべての特権を持つ管理者を設定しない場合、Cisco Secure ACS への Operations Manager の登録は失敗します。


管理者のユーザ名とパスワードは、Common Services で AAA モードを ACS に変更するときに入力する必要があります。

2. Operations Manager サーバを AAA クライアントとして Cisco Secure ACS に追加します。

Operations Manager サーバを Cisco Secure ACS の AAA クライアントとして設定し、次の操作を実行します。

[TACACS + (CISCO IOS)] による認証を選択します。

入力した共有秘密は、Common Services で AAA モードから ACS に変更するときに、Common Services で入力する必要があります。

3. System Identity User および Common Services Users を Cisco Secure ACS に追加します。

グループを作成し、グループにユーザを追加できます。

4. Operations Manager、Service Monitor、および Common Services アプリケーションが Cisco Secure ACS に既に登録されているかどうかを確認します。

a. 見つけるには、[Shared Profile Components] を選択し、次を検索します。

Cisco Unified Operations Manager

Cisco Unified Service Monitor

CiscoWorks Common Services

b. Cisco Secure ACS 上の認証設定(ユーザ単位またはグループ単位)に基づいて、User Setup または Group Setup のどちらかをクリックします。[Interface Configuration] > [TACACS + (Cisco IOS)] を使用して、Cisco Unified Operations Manager のユーザ単位またはグループ単位の設定を確認します。

前述の各タスクを実行する詳細な方法については、Cisco.com の次のマニュアルを参照してください。

『User Guide for Cisco Secure Access Control Server 4.x』

http://www.cisco.com/en/US/products/sw/secursw/ps2086/products_user_guide_list.html

『User Guide for CiscoWorks Common Services 3.2』

http://www.cisco.com/en/US/products/sw/cscowork/ps3996/products_user_guide_list.html

Common Services での AAA モードの ACS への変更

この手順を実行する前に、「Common Services での System Identity User の設定」および「Cisco Secure ACS サーバのセットアップ」のタスクを完了します。


ステップ 1 [CiscoWorks] > [Common Services] > [Server] > [Security] > [AAA Mode Setup] を選択します。

ステップ 2 [OK] をクリックします。[AAA Mode Setup] ページが表示されます。

ステップ 3 [Select a Type] の横にある [ACS] オプション ボタンを選択します。ページが更新され、対応するオプションが表示されます。

ステップ 4 [Server Details] に、Cisco Secure ACS サーバの IP アドレスを入力し、ポートを入力します。

ステップ 5 [Login] に、次のように入力します。

ACS Admin Name:「Cisco Secure ACS サーバのセットアップ」の手順 1 で作成した管理者の名前を入力します。

ACS Admin Password:手順 1. 「Cisco Secure ACS サーバのセットアップ」を参照)で作成した管理者のパスワードを入力します。

ACS Shared Secret Key:手順 2. 「Cisco Secure ACS サーバのセットアップ」を参照)で AAA クライアントとして Operations Manager サーバを Cisco Secure ACS に追加したときに入力した共有秘密を入力します。

ステップ 6 インストールされているすべてのアプリケーションを ACS に登録するかどうかを決定します。


) Operations Manager が ACS に登録されていて、再登録するする場合、Operations Manager 用に Cisco Secure ACS に設定したカスタム ロールはすべて失われます。Service Monitor と Common Services の場合も同様です(アプリケーションを選択して登録するには、「コマンドラインから Cisco Secure ACS へのアプリケーションの登録」を参照してください)。


ステップ 7 [Current ACS Administrative Access Protocol] の適切なオプション ボタン([HTTP] または [HTTPS])を選択します。

ステップ 8 [Apply] をクリックしてモードの変更を完了します。ACS の確認ステータス メッセージが表示されます。次のいずれかを実行します。

[OK] をクリック:Operations Manager、Service Monitor、および Common Services のタスクおよびユーザが ACS に登録されます。Operations Manager、Service Monitor、および Common Services の既存のカスタム ロールはすべて上書きされます。

[Cancel] をクリック:ACS への登録は回避されます。

ステップ 9 変更を有効にするには、デーモン マネージャを再起動します。コマンドラインから、次のコマンドを入力します。

net stop crmdmgtd

net start crmdmgtd


 

コマンドラインから Cisco Secure ACS へのアプリケーションの登録

アプリケーションを ACS に登録すると、アプリケーション タスクがインポートされ、Cisco Secure ACS のアプリケーション用に設定されているすべてのカスタム ロールは上書きされます。Common Services で AAA モードを ACS に変更したときに、すべてのインストール済みアプリケーションを ACS に登録しなかった場合、このセクションの情報を使用して、アプリケーションを Cisco Secure ACS に登録することもできます。

< NMSROOT >¥bin¥AcsRegCli.pl というスクリプトを使用すると、アプリケーションを選択して Cisco Secure ACS に登録できます。


) NMSROOT は Operations Manager のインストール先ディレクトリです。デフォルト値を選択する場合、C:¥PROGRA~1¥CSCOpx です。


次に、CLI からスクリプトを実行するときに使用できるパラメータを示します。

AcsRegCli.pl -register <application name>

アプリケーション名を次のいずれかと置き換えます。

itm:Operations Manager だけを登録します。

qovr:Service Monitor だけを登録します。

cmf:CiscoWorks Common Services だけを登録します。

all:サーバ上のすべてのアプリケーションを登録します(Cisco Unified Operations Manager、Cisco Unified Service Monitor、および CiscoWorks Common Services)。

Cisco Secure ACS でのユーザおよびユーザ グループへのロールの割り当て

Cisco Secure ACS の System Identity User にすべてのロールが割り当てられ、Common Services ユーザまたはユーザ グループに適切な特権が割り当てられていることを確認する必要があります。

Cisco Secure ACS で、[Shared Profile Components] > [Cisco Unified Operations Manager] を選択します。詳細については、次のマニュアルを参照してください。

『User Guide for Cisco Secure Access Control Server 4.x』

User Guide for CiscoWorks Common Services 3.2 』または Common Services オンライン ヘルプを参照してください。次のトピックを参照してください。

「Roles in ACS」

「Assigning Roles to Users and User Groups in ACS」

Operations Manager と Cisco Secure ACS の設定の確認

「Cisco Secure ACS でのユーザおよびユーザ グループへのロールの割り当て」から「Common Services での System Identity User の設定」のタスクを実行した後、次の手順で設定を確認します。

1. Cisco Secure ACS に定義されているユーザ名で Operations Manager にログインします。

2. タスクを実行する場合、実行できるのは、Cisco Secure ACS で割り当てられているロールに基づいて実行できる権限のあるタスクだけです。

たとえば、特権が Help Desk の場合、次のようになります。

Fault History レポートを表示できます。

DCR から Operations Manager にデバイスを追加できません。

3. Cisco Secure ACS のユーザまたはグループのネットワーク デバイス設定に基づいて、Operations Manager サーバで特定のデバイスだけを表示できます。


) デバイスに基づくフィルタリングを使用できる Operations Manager タスクのリストについては、Cisco Secure ACS の Operations Manager 固有のオンライン ヘルプを参照してください。


問題が発生した場合、『 User Guide for CiscoWorks Common Services 3.2 』の「 Authentication Failure in ACS Mode 」を参照してください。