Cisco Virtual Network Management Center GUI コンフィギュレーション ガイド リリース 2.0
プライマリ認証の設定
プライマリ認証の設定
発行日;2013/04/19   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

プライマリ認証の設定

この項では、次のトピックについて取り上げます。

プライマリ認証

Cisco VNMC では、ユーザ ログインを認証するために、2 種類の方法がサポートされています。

  • Cisco VNMC に対してローカル
  • LDAP からのリモート
ロケール ユーザへのロールとロケールの割り当ては、VNMC で変更できます。 リモート ユーザへのロールとロケールの割り当ては、LDAP で変更できます。 ユーザに割り当てられた次のいずれかの情報を変更する場合、管理者は、新しい権限が有効になるように、そのユーザの既存のセッションをすべて削除する必要があります。
  • Role
  • ロールの権限
  • ロケール
  • ロケール内の組織

リモート認証プロバイダー

システムが対応しているリモート認証サービスについて設定されている場合、そのサービスのプロバイダーを作成し、VNMC とサービスに対して設定されているシステムが通信できるようにする必要があります。

リモート認証サービスのユーザ アカウント

VNMC またはリモート認証サーバでユーザ アカウントを作成できます。

リモート認証サービスを介してログインしているユーザの一時的なセッションは、VNMC GUI で表示できます。

リモート認証サービスのユーザ ロールおよびロケール

リモート認証サーバでユーザ アカウントを作成する場合は、ユーザが VNMC で作業するために必要なロールとロケールをアカウントに含め、それらのロールとロケールの名前を VNMC で使用される名前と一致させる必要があります。 必要なロールとロケールがアカウントに割り当てられていないと、そのユーザには読み取り専用権限だけが与えられます。

ユーザの LDAP 属性

VNMC では、LDAP ユーザ ロールおよびロケールを含む LDAP 属性がプリセットされます。 この属性は、常に、名前と値のペアで指定されます。 たとえば、デフォルトでは、CiscoAvPair でユーザのロールおよびロケール情報を指定します。フィルタが指定されている場合、LDAP 検索は、定義されたフィルタと一致する値に制限されます。 デフォルトでは、フィルタは sAMAccountName=$userid です。 ユーザは、LDAP サーバの設定と一致するようにこれらの値を変更できます。 ユーザがログインすると、リモート認証サービスにクエリーを実行してユーザを検証するときに、属性の値が VNMC によってチェックされます。 値はユーザ名と同じである必要があります。

次に、LDAP プロパティの設定例を示します。
  • [Timeout]:30
  • [Retries]:1
  • [Attribute]:CiscoAvPair
  • [Filter]:sAMAccountName=$userid
  • [Base DN]:DC=cisco, DC=com(VNMC が LDAP ユーザのクエリーを開始する LDAP 階層の特定の場所)

LDAP プロバイダーの作成

はじめる前に

VNMC のユーザ ロールとロケール情報を保持する属性でユーザを設定します。 VNMC ユーザ ロールおよびロケールにマップされた既存の LDAP 属性を使用するか、または 1.3.6.1.4.1.9.287247.1 の属性 ID を持つ CiscoAVPair 属性などのカスタム属性を作成できます。 LDAP ユーザを LDAP サーバに追加する場合は、属性にロールとロケールを指定します(例 shell:roles=network,aaa shell:locale=sanjose,dallas)。

手順
    ステップ 1   [Administration] タブで、[Access Control] > [LDAP] を選択します。
    ステップ 2   [Work] ペインで、[Create LDAP Provider] をクリックします。
    ステップ 3   [Create LDAP Provider] ダイアログボックスで、次の情報を入力します。
    フィールド 説明

    Hostname/IP Address

    LDAP プロバイダーのホスト名または IP アドレス。

    SSL がイネーブルの場合、このフィールドは、LDAP データベースのセキュリティ証明書内の通常名(CN)と一致している必要があります。

    (注)     

    IP アドレスではなくホスト名を使用する場合、VNMC サーバで DNS サーバを設定する必要があります。

    Key

    [Root DN] フィールドで指定した LDAP データベース アカウントのパスワード。

    最大で 32 文字まで指定可能です。

    Root DN

    ベース DN の下にあるすべてのオブジェクトに対する読み取りおよび検索の権限を持つ LDAP データベース アカウントの識別名(DN)。

    サポートされるストリングの最大長は 128 文字です。

    Port

    VNMC が LDAP データベースと通信するために使用されるポート。

    デフォルト ポート番号は、389 です。

    Enable SSL

    オンにすると、SSL がイネーブルになります。

    [Port] フィールドに 636 を入力した場合、このオプションは使用できません。

    (注)     

    テーブルで選択したオブジェクトに応じて、テーブルの上部に異なるオプションが表示されます。

    ステップ 4   [OK] をクリックしてから、[Save] をクリックします。

    以下に LDAP プロバイダーの作成例を示します。
    • [Hostname/IP Address]:Provider-blr-sam-aaa-10.cisco.com
    • [Key]:xxxxxx ([Root DN] フィールドで指定した LDAP データベース アカウントのパスワードを入力します)
    • [Root DN]:CN=bob,DC=cisco,DC=com(CN の値は、クエリー権限を持つユーザの名前です。 DC は、ユーザを作成する LDAP ディレクトリ内の場所です)
    • [Port]:389
    • [Enable SSL]:チェックボックスをオンにします
    次の作業

    プライマリ認証サービスとして LDAP を選択します。 詳細については、プライマリ認証サービスの選択を参照してください。

    LDAP プロバイダーの編集

    手順
      ステップ 1   [Administration] タブで、[Access Control] > [LDAP] を選択します。
      ステップ 2   [Work] ペインで、必要な LDAP プロバイダを選択します。
      ステップ 3   [Edit] をクリックします。
      ステップ 4   [Edit] ダイアログボックスで、次のテーブルをガイドとして使用し、必要に応じて設定を変更します。
      フィールド 説明

      Name

      LDAP プロバイダーのホスト名または IP アドレス(読み取り専用)。

      SSL がイネーブルの場合、このフィールドは、LDAP データベースのセキュリティ証明書内の通常名(CN)と一致している必要があります。

      (注)     

      IP アドレスではなくホスト名を使用する場合、VNMC サーバで DNS サーバを設定する必要があります。

      Key

      [Root DN] フィールドで指定した LDAP データベース アカウントのパスワード。

      最大で 32 文字まで指定可能です。

      Set

      事前共有キーが適切に設定されている(読み取り専用)かどうか。

      [Set] の値が Yes で、[Key] フィールドが空の場合は、キーが以前に指定されていることを意味します。

      Root DN

      ベース DN の下にあるすべてのオブジェクトに対する読み取りおよび検索の権限を持つ LDAP データベース アカウントの識別名(DN)。

      サポートされるストリングの最大長は 128 文字です。

      Port

      VNMC が LDAP データベースと通信するために使用されるポート。

      デフォルト ポート番号は、389 です。

      Enable SSL

      オンにすると、SSL がイネーブルになります。

      [Port] フィールドに 636 を入力した場合、このオプションは使用できません。

      ステップ 5   [OK] をクリックしてから、[Save] をクリックします。

      LDAP プロバイダーの削除

      手順
        ステップ 1   [Administration] タブで、[Access Control] > [LDAP] を選択します。
        ステップ 2   [Work] ペインで、削除する LDAP プロバイダをクリックし、[Delete] をクリックします。
        ステップ 3   削除を確認し、[Save] をクリックします。

        プライマリ認証サービスの選択


        (注)  


        デフォルトの認証が LDAP に設定されていて、LDAP サーバが動作しない、または到達不能の場合は、ローカル管理ユーザが随時ログインして認証、許可、アカウンティング(AAA)システムを変更できます。
        手順
          ステップ 1   [Administration] > [Access Control] > [Authentication] を選択します。
          ステップ 2   [Properties] タブで、次のテーブルで説明されている情報を入力し、[OK] をクリックします。
          フィールド 説明

          Default Authentication

          ユーザがリモート ログインする際にユーザを認証するデフォルトの方法。
          • [LDAP]:ユーザは、この VNMC インスタンスに指定された LDAP サーバで定義しておく必要があります。
          • [Local]:ユーザはこのローカルの VNMC インスタンスで定義しておく必要があります。
          • [None]:ユーザがリモート ログインする際に、パスワードは必要ありません。

          Role Policy to Remote Users

          ユーザがログインを試みたときに、LDAP サーバから認証情報ありのユーザ ロールが提供されなかった場合のアクション。
          • [assign-default-role]:ユーザは、読み取り専用ユーザ ロールでログインできます。
          • [no-login]:ユーザはシステムにログインできません(ユーザ名とパスワードが正しい場合であっても)。