Cisco Secure ACS Express 5.0.1 ユーザ ガイド User Guide for the Cisco Secure ACS Express 5.0.1
ユーザ ストアおよび ID ストアの設定
ユーザ ストアおよび ID ストアの設定
発行日;2012/02/02 | 英語版ドキュメント(2009/11/30 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

ユーザ ストアおよび ID ストアの設定

内部ユーザ データベース

ユーザ

ユーザの追加

ユーザの編集

ユーザのコピー

ユーザの削除

ユーザ パスワード ポリシー

内部ユーザ パスワードの変更

ユーザ グループ

ユーザ グループの追加

ユーザ グループの編集

ユーザ グループのコピー

ユーザ グループの削除

外部ユーザ データベース

Microsoft Active Directory

Active Directory クレデンシャル

LDAP データベース

LDAP CA 証明書の追加

LDAP CA 証明書の削除

One-Time-Password サーバ

必要な OTP サーバ 設定

ユーザ ストアおよび ID ストアの設定

ACS Express ID 要素の設定は、ACS Express GUI の [Users & Identity Stores] ドロワー(図 4-1 を参照)で行います。ユーザおよびユーザ グループの設定には、内部ユーザ データベースを使用できます。Active Directory、LDAP データベース、One-Time Password(OTP; ワンタイム パスワード)サーバには、外部ユーザ データベースを使用できます。

この章は、次の内容で構成されています。

「内部ユーザ データベース」

「ユーザ」

「ユーザ グループ」

「外部ユーザ データベース」

「Microsoft Active Directory」

「LDAP データベース」

「One-Time-Password サーバ」

図 4-1 [Users & Identity Stores] ドロワー

 

内部ユーザ データベース

ACS Express には、ユーザ設定を内部的に保管する内部データベースがあります。GUI を使用して、各ユーザおよびユーザ グループの追加、削除、コピー、編集を行います。ここでは、次の内容について説明します。

「ユーザ」

「ユーザ グループ」

ユーザ

表 4-1 に、GUI で入力するユーザ プロパティを示します。

 

表 4-1 ユーザ プロパティ

フィールド
説明

[General Settings]

[Name]

必須。すべての内部ユーザ グループに対して一意であることが必要です。

[Description]

オプション。ユーザの説明です。

[User Group]

必須。このリストには既存のユーザ グループが読み込まれます。 の値をユーザ グループ名に設定すると、ユーザ グループに指定されているプロパティを使用してユーザの認証が行われます。

[Status]

必須。デフォルトではオンになっており、ユーザ アクセスが許可されます。オフに設定すると、ユーザはアクセスを拒否されます。

[Supplementary Information]

[Full Name]

オプション。ユーザの氏名です。

[Manager]

オプション。ユーザの管理者の名前です。

[Phone Number]

オプション。ユーザの電話番号です。

[Email]

オプション。ユーザの電子メール アドレスです。

[Authentication Information]

[Password]

必須。このユーザまたは指定のユーザ グループのパスワード ポリシーに指定されている規則に従う必要があります。パスワードの詳細については、「ユーザ パスワード ポリシー」を参照してください。

[Confirm Password]

必須。確認のため、もう一度パスワードを入力します。

[Password never expires]

オンにすると、ユーザのパスワードは失効しません。

[Password expires in:]

ユーザのパスワードが失効するまでの日数です。

(注) 2 つのパスワード失効オプションのうち、いずれか 1 つを選択する必要があります。

ここでは、次の内容について説明します。

「ユーザの追加」

「ユーザの編集」

「ユーザのコピー」

「ユーザの削除」

「ユーザ パスワード ポリシー」

ユーザの追加

新規のユーザを追加するには、次の手順を実行します。


ステップ 1 ナビゲーション領域で、[Users & Identity Stores] > [Internal User Database] > [Users] を選択します。

内部ユーザ データベースに設定されたユーザのリストが、コンテンツ領域に表示されます。

ステップ 2 コンテンツ領域で、[Add] をクリックします。

[Add User] ダイアログ ウィンドウが表示されます。 表 4-1 を使用して、ユーザの定義と説明に使用される GUI フィールドについて説明します。

ステップ 3 新規ユーザの名前を入力します。

ステップ 4 ユーザの説明(オプション)を入力します。

ステップ 5 プルダウン メニューを使用して、ユーザをユーザ グループに割り当てます。

この値をユーザ グループ名に設定すると、ユーザ グループに指定されているプロパティを使用してユーザの認証が行われます。


) ユーザを割り当てるには、ユーザ グループが既に存在している必要があります。


ステップ 6 ユーザ ステータスを [Enabled] としてそのまま受け入れるか、[Disabled] に変更します。

ユーザ ステータスを [Disabled] に設定すると、そのユーザはアクセスを拒否されます。

ステップ 7 ユーザの氏名を入力します(オプション)。

ステップ 8 ユーザの管理者の名前を入力します(オプション)。

ステップ 9 ユーザの電話番号を入力します(オプション)。

ステップ 10 ユーザの電子メール アドレスを入力します(オプション)。

ステップ 11 [Password] フィールドに初期パスワードを入力します。

パスワード ポリシーの詳細については、「ユーザ パスワード ポリシー」を参照してください。

ステップ 12 確認のため、[Password] フィールドにもう一度パスワードを入力します。

ステップ 13 チェックボックスをオンにして [Password Never Expires] を指定するか、[Password Expires in] フィールドに日数を入力します。

ステップ 14 選択したユーザ グループにユーザを追加する場合は [Save] をクリックします。中止する場合は [Cancel] をクリックします。

ユーザが作成されると、コンテンツ領域が更新され、新しく設定されたユーザが表示されます。


 

ユーザの編集

ユーザを編集するには、次の手順を実行します。


ステップ 1 ナビゲーション領域で、[Users & Identity Stores] > [Internal User Database] > [Users ] を選択します。

内部ユーザ データベースに設定されたユーザのリストが、コンテンツ領域に表示されます。

ステップ 2 コンテンツ領域で、ユーザ名をクリックするか、ユーザのチェックボックスをオンにして、[Edit] をクリックします。

コンテンツ領域に、選択したユーザの [Edit] 設定ウィンドウが表示されます。

ステップ 3 任意のフィールドを選択し、必要に応じて変更します。

表 4-1 を使用して、ユーザの定義と説明に使用される GUI フィールドについて説明します。

ステップ 4 変更を保存する場合は [Save] をクリックします。中止する場合は [Cancel] をクリックします。


 

ユーザのコピー

既存ユーザのコピーを作成して、特徴が類似しているユーザを内部データベースに追加できます。ユーザのプロパティをコピーすると、ACS Express GUI により、ユーザの説明、ユーザ グループ、および補助情報がコピーされます。ユーザをコピーするには、次の手順を実行します。


ステップ 1 ナビゲーション領域で、[Users & Identity Stores] > [Internal User Database] > [Users ] を選択します。

内部ユーザ データベースに設定されたユーザのリストが、コンテンツ領域に表示されます。

ステップ 2 コンテンツ領域で、ユーザのチェックボックスをオンにし、[Copy] をクリックします。

コンテンツ領域に、[Copy] 設定ウィンドウが開き、各フィールドにはコピーされたプロパティが表示されます。

ステップ 3 新規ユーザの名前を入力します。

表 4-1 を使用して、ユーザの定義と説明に使用される GUI フィールドについて説明します。

ステップ 4 その他の任意のフィールドを選択し、必要に応じて変更します。

ステップ 5 [Password] フィールドに初期パスワードを入力します。

パスワード ポリシーの詳細については、「ユーザ パスワード ポリシー」を参照してください。

ステップ 6 確認のため、[Password] フィールドにもう一度パスワードを入力します。

ステップ 7 チェックボックスをオンにして [Password Never Expires] を指定するか、[Password Expires in] フィールドに日数を入力します。

ステップ 8 変更を保存する場合は [Save] をクリックします。中止する場合は [Cancel] をクリックします。


 

ユーザの削除

ユーザを削除するには、次の手順を実行します。


ステップ 1 ナビゲーション領域で、[Users & Identity Stores] > [Internal User Database] > [Users ] を選択します。

内部ユーザ データベースに設定されたユーザのリストが、コンテンツ領域に表示されます。

ステップ 2 コンテンツ領域で、削除するユーザのチェックボックスをオンにして、[Delete] をクリックします。


) 削除する各ユーザのチェックボックスをオンにして、複数のユーザを削除できます。


[Confirm Deletion] ウィンドウが開き、選択したユーザを削除してよいかどうかを確認するメッセージが表示されます。

ステップ 3 ユーザを削除する場合は [Yes] をクリックします。中止する場合は [No] をクリックします。


 

ユーザ パスワード ポリシー

サイトのパスワード ポリシーを定義するには、[Password Policy] ウィンドウを使用します。

パスワードの複雑度

[Password Policy] ウィンドウの [Password Complexity] では、必須の文字、パスワードの長さなど、パスワードについての規則を定義します。

 

表 4-2 パスワードの複雑度

フィールド
説明

[Required Characters]

[Lowercase Characters]

パスワードに小文字を含めることを求めます。

[Uppercase Characters]

パスワードに大文字を含めることを求めます。

[Numbers]

パスワードに数字を含めることを求めます。

[Special Characters]

パスワードに最低 1 文字の特殊文字を含めることを求めます。次の特殊文字を使用できます。

!$ % ^ & * ( ) _ + | ~ - = ` { } [ ] : " ; ' < > ?, ./

[Disallow Character Repetition]

パスワードに繰り返しの文字列を含めることができないことを指定します。

[Minimum Password Length]

パスワードの最小の長さを指定します。

[Disallow Username in Password]

パスワードにユーザ名を含めることはできません。

[Disallow Reuse of Previous Password]

ユーザの以前のパスワードは許可されません。

パスワード ロックアウト

[Password Policy] ウィンドウの [Password Lockout] では、パスワード ロックアウトに関する 2 つの条件([Password Never Locked Out] と [Number of Invalid Logins])を定義します。

 

表 4-3 パスワード ロックアウト

フィールド
説明

[Password Never Locked Out]

チェックボックスです。オンにすると、すべてのパスワード ロックアウトが解除されます。

[Number of Invalid Logins]

数字で指定します。ここで指定した数だけ無効なログイン試行を繰り返すと、パスワード ロックアウトが発生します。


) 内部ユーザのパスワード ロックアウトの状態は複製されません。


内部ユーザ パスワードの変更

内部データベースで認証するユーザは、いつでも、ACS Express プライマリ サーバでパスワードを変更できます。パスワードを変更するには、次のように、ブラウザで URL を指定します。

https://<ホスト名>/changeuserpassword.do

ここで、 ホスト名 は ACS Express プライマリ サーバの名前です。

AD、LDAP、OTP などの外部データベースを使用して認証するユーザの場合、この画面を使用してパスワードを変更することはできません。


) 内部ユーザのパスワード変更は、TACACS+、MS-CHAPv2、PEAP/EAP、MS-CHAPv2 などのプロトコルや上記に示したパスワード変更 URL を使用した場合でも、複製された環境にあるセカンダリ サーバではサポートされません。複製された環境にある内部ユーザが変更できるのは、プライマリ サーバでのパスワードだけです。


新しいパスワードは、以下の規則に従う必要があります。

少なくとも 1 つの小文字を含むこと

少なくとも 1 つの大文字を含むこと

少なくとも 1 つの数字を含むこと

少なくとも 1 つの特殊文字(下記を参照)を含むこと

!$ % ^ & * ( ) _ + | ~ - = ` { } [ ] : " ; ' < > ?, ./

同じ文字列を連続して 4 回以上繰り返すことはできないこと

8 文字以上であること

ユーザ名を含まないこと

現在のパスワードを再利用しないこと

cisco または ocsic という語を含まないこと

ユーザ グループ

ユーザ グループにより、ネットワーク内のユーザをグループ化する方法が提供されます。たとえば、管理責任者、システム管理者、正社員、臨時職員に、それぞれ異なるユーザ グループを指定できます。

ユーザ グループ プロパティ

表 4-4 に、ユーザ グループのプロパティの一覧を示します。

 

表 4-4 ユーザ グループ プロパティ

フィールド
説明

[Name]

必須。ユーザ グループの名前を指定する 1 ~ 32 文字の英数字文字列です。すべてのユーザ グループに対して一意であることが必要です。

[Description]

オプション。ユーザ グループの説明です。ユーザ グループでユーザの種類を説明するときに使用されることがあります。

[Status]

ユーザ グループのステータス(オンまたはオフ)を指定します。

ここでは、次の内容について説明します。

「ユーザ グループの追加」

「ユーザ グループの編集」

「ユーザ グループのコピー」

「ユーザ グループの削除」

ユーザ グループの追加

ユーザ グループを追加するには、次の手順を実行します。


ステップ 1 ナビゲーション領域で、[Users & Identity Stores] > [Internal User Database] > [Users Groups] を選択します。

内部ユーザ データベースに設定されているユーザ グループがコンテンツ領域に表示されます。

ステップ 2 コンテンツ領域で、[Add] をクリックします。

[Add User Groups] ページが表示されます。 表 4-4 に、ユーザ グループのプロパティの一覧を示します。

ステップ 3 新規ユーザ グループの名前を入力します。

ステップ 4 オプションで、新しいユーザ グループの説明を入力します。

ステップ 5 ユーザ グループの [Status] をそのまま受け入れるか、変更します。

新しいユーザ グループのデフォルトの設定は [Enabled] です。

ステップ 6 変更を保存する場合は [Save] をクリックします。中止する場合は [Cancel] をクリックします。


 

ユーザ グループの編集

ユーザ グループを編集するには、次の手順を実行します。


ステップ 1 ナビゲーション領域で、[Users & Identity Stores] > [Internal User Database] > [Users Groups] を選択します。

内部ユーザ データベースに設定されているユーザ グループがコンテンツ領域に表示されます。

ステップ 2 [User Group] の名前をクリックするか、[User Group] チェックボックスをオンにして、[Edit] をクリックします。

コンテンツ領域に、選択したユーザ グループの [Edit] 設定ウィンドウが表示されます。

ステップ 3 任意のフィールドを選択し、必要に応じて変更します。

表 4-4 に、ユーザ グループのプロパティの一覧を示します。

ステップ 4 変更を保存する場合は [Save] をクリックします。中止する場合は [Cancel] をクリックします。


 

ユーザ グループのコピー

ユーザ グループをコピーするには、次の手順を実行します。


ステップ 1 ナビゲーション領域で、[Users & Identity Stores] > [Internal User Database] > [Users Groups ] を選択します。

内部ユーザ データベースに設定されているユーザ グループがコンテンツ領域に表示されます。

ステップ 2 [User Group] チェックボックスをオンにして、[Copy] をクリックします。

コンテンツ領域に [Copy User Group] ウィンドウが表示され、選択したユーザ グループのプロパティがコピーされます。

ステップ 3 新規ユーザ グループの名前を入力します。

ステップ 4 必要に応じてその他の変更を加えます。

表 4-4 に、ユーザ グループのプロパティの一覧を示します。

ステップ 5 変更を保存する場合は [Save] をクリックします。中止する場合は [Cancel] をクリックします。


 

ユーザ グループの削除

ユーザ グループを削除するには、次の手順を実行します。


) ユーザまたはサービスによって使用されているユーザ グループは削除できません。



ステップ 1 ナビゲーション領域で、[Users & Identity Stores] > [Internal User Database] > [Users Groups ] を選択します。

内部ユーザ データベースに設定されているユーザ グループがコンテンツ領域に表示されます。

ステップ 2 コンテンツ領域で、削除するユーザ グループのチェックボックスをオンにして、[Delete] をクリックします。


) 削除する各ユーザ グループのチェックボックスをオンにして、複数のユーザ グループを削除できます。


[Confirm Deletion] ウィンドウが開き、選択したユーザ グループを削除してよいかどうかを確認するメッセージが表示されます。

ステップ 3 デバイスを削除する場合は [Yes] をクリックします。中止する場合は [No] をクリックします。


 

外部ユーザ データベース

ACS Express は、外部ユーザ データベースに対してユーザ認証を行う方法を提供します。ACS Express は、以下の外部データベース オプションをサポートします。

「Microsoft Active Directory」

「LDAP データベース」

「One-Time-Password サーバ」

ACS Express は、以下の外部データベースをサポートします。

Microsoft Active Directory

LDAP

ACS Express は、以下の LDAP データベースを使用してテストし、サポートしていることを確認しています。

Java Directory Server (JDS) 5.2(Sun Microsystems)

Fedora Directory Server (FDS) 1.0.2(オープン ソース LDAP データベース)

Microsoft Active Directory

ACS Express は、以下の Microsoft Active Directory(AD)サーバ設定をサポートします。

Windows 2000 Server SP4

Windows 2003 Server RTM

Windows 2003 Server SP1

Windows 2003 Server R2

Windows 2003 Server R2 SP2

Windows 2008 Server


) AD データベースにユーザを追加できる担当者については、「Active Directory クレデンシャル」を参照してください。


ACS Express で AD 外部データベースを使用するように設定するには、次の手順を実行します。


ステップ 1 ナビゲーション領域で、[Users & Identity Stores] > [External User Databases] > [Active Directory] をクリックします。

コンテンツ領域に [Active Directory Domain Configuration] ウィンドウ(図 4-2)が表示されます。 表 4-5 を使用して、[Domain Configuration] ウィンドウのフィールドについて説明します。

図 4-2 Active Directory ドメイン設定

 

ステップ 2 [Domain Name] を入力します。

ステップ 3 [Bind Username] を入力します。

ステップ 4 バインド ユーザのパスワードを入力し、[Confirm Bind Password] フィールドにもう一度パスワードを入力します。

ステップ 5 (オプションで)ACS Express サーバを参加させる AD コンテナを入力することもできます。

コンテナを指定しないと、ACS Express は AD 管理者が設定したデフォルト コンテナに参加します。

ステップ 6 [Preferred Domain Controller] フィールドにドメイン コントローラを入力します(オプション)。

ACS Express サーバは、指定されたドメイン コントローラにのみ接続します。[Preferred Domain Controller] を指定しないと、サーバは利用可能なすべてのドメイン コントローラの中から任意に 1 つのドメイン コントローラを選択し、接続します。

ステップ 7 ドメインに参加するときに、ACS Express サーバが Cross-Forest モードにある信頼されたすべてのドメイン コントローラを取得するように設定するには、[Enable Cross Forest Trusts] チェックボックスをオンにします(オプション)。


) [Preferred Domain Controller] を指定すると、[Enable Cross Forest Trusts] チェックボックスをオンにした場合でも、ACS Express サーバはそのドメイン コントローラにしか接続しません。


ステップ 8 変更を保存して ACS Express サーバを AD ドメインに参加させる場合は [Save and Join] をクリックします。中止する場合は [Cancel] をクリックします。


) すべての AD 接続値を入力したら、[Test Connection] を使用して AD 接続を確認し、クレデンシャルが正しいことを確認できます。


 

表 4-5 Active Directory ドメイン設定プロパティ

フィールド
説明

[Domain Name]

必須。1 ~ 30 の文字列で指定します。

[Bind Username]

必須。バインドするユーザ名です。1 ~ 125 の文字列で指定します。

[Bind Password]

必須。バインド ユーザのパスワードです。1 ~ 32 の文字列で指定します。

[Confirm Bind Password]

必須。

[Container]

オプション。ACS Express サーバが参加する AD コンテナの名前です(0 ~ 1024 の文字列で指定)。次に例を示します。

OU=AAA, OU=SECURITY
 

[Preferred Domain Controller]

オプション。ACS Express サーバが接続するドメイン コントローラの名前です。1 ~ 255 の文字列で指定します。

[Enable Cross Forest Trusts]

チェックボックスです。オンにすると、Cross-Forest モードにある信頼されたドメイン コントローラのみが許可されます。


 

連携する AD に対して認証を行うには、ACS Express サーバは AD に参加する必要があります。ACS Express サーバの参加のステータスは [Join Status] フィールドに表示されます。AD コンテナに参加していない場合、ステータスは [Not Joined] になります(図 4-2 を参照)。AD コンテナに参加している場合、ステータスは次のように表示されます。

Joined to Domain: ad_domain.cisco.com
 

サイトの複製を設定すると、セカンダリ ACS Express サーバの参加のステータスが [Secondary Join Status] フィールドに表示されます。

[Restore Defaults] ボタンを使用すると、すべてのフィールドが元の状態またはデフォルト値に戻され、ACS Express サーバが参加するドメインから脱退します。

Active Directory クレデンシャル

ACS Express が外部データベースとして Active Directory(AD)を使用するように設定されている場合、ACS Express アプライアンスを AD ドメインに参加させる必要があります。AD は、コンピュータをドメインに参加させることのできるユーザを管理します。

次のような、2 つの基本シナリオがあります。

1. 有効なドメイン アカウントを使用するユーザであれば、どのユーザでもドメインにコンピュータを追加できます。

これは、Windows Active Directory のデフォルトの設定です。この場合、認証されたユーザは、10 台のコンピュータをドメインに追加できます。多くのエンタープライズでは、ドメイン設定にこのデフォルトの方法を採用し、ドメインにコンピュータを参加させるために管理者によるアクセスが必要にならないようにしています。

2. ドメインにコンピュータを追加するためのアクセス権は、ユーザに付与されている特権に対して制限されます。

ドメインにコンピュータを追加するためのアクセス権が制限されると、コンピュータを追加するユーザは適切な管理者権限が付与されたアカウントを使用し、そのパスワードを入力してログインする必要があります。ドメインにコンピュータを追加できるユーザを制限している組織では、ドメインに ACS Express アプライアンスを参加させるためには、明示的なアクセス権を必要とする場合があります。たとえば、ドメインにコンピュータを追加できるユーザを、Domain Administrators グループに属するユーザに制限したり、Organizational Units 内で 具体的に指定したユーザまたはグループに委任したりします。

ドメインへの参加を操作できるユーザは、組織のポリシーによって決定され、Active Directory 内ではこれらのポリシーが強制されます。ACS Express は、ドメインに Windows コンピュータを追加する Active Directory に定義されているのと同じ規則を、ACS Express アプライアンス ドメインに適用します。次の例を参考にしてください。

有効なドメイン アカウントを持つユーザがドメインに Windows コンピュータを参加させることができる場合、ACS Express アプライアンスを参加させるために管理者のユーザ アカウントとパスワードは必要ありません。

コンピュータを追加できるのが管理者または委任されたユーザだけである場合は、ACS Express を追加するユーザは有効な管理者ユーザまたは委任ユーザでなければなりません。

LDAP データベース

ACS Express は、以下の LDAP データベースを使用してテストし、サポートしていることを確認しています。

Java Directory Server (JDS) 5.2(Sun Microsystems)

Fedora Directory Server (FDS) 1.0.2(オープン ソース LDAP データベース)

LDAP データベースの設定には、4 つの領域を使用します。

LDAP Database:外部 LDAP サーバと通信するために必要な情報を提供します。

Domain Filtering:着信パケットから、ドメイン デリミタとドメイン名をストリップできます。

User Settings:この LDAP データベースに関連付けられているユーザに関する情報を提供できます。

Group Settings:この LDAP データベースに関連付けられているグループに関する情報を提供できます。

ACS Express で LDAP データベースを使用するように設定するには、次の手順を実行します。


ステップ 1 ナビゲーション領域で、[Users & Identity Stores] > [External User Databases] > [LDAP] をクリックします。

コンテンツ領域に [Configure LDAP Database] ウィンドウが表示されます。 表 4-6 を使用して、[Configure LDAP Database] ウィンドウのフィールドについて説明します。

 

表 4-6 LDAP データベース設定パラメータ

フィールド
説明

[LDAP Database Settings]

[Primary Server Hostname/IP]

必須。LDAP プライマリ サーバの名前または IP アドレスです。

[Secondary Server Hostname/IP]

オプション。LDAP セカンダリ サーバの名前または IP アドレスです。

[Use SSL]

オンにすると、LDAP データベースにアクセスするときに SSL が使用されます。

(注) SSL を使用するには、LDAP CA 証明書をインストールする必要があります。

[Server Port]

必須。LDAP サーバ ポートの数です。デフォルトでは、非 SSLにポート 389、SSL にポート 636 が使用されます。

[Bind Username]

必須。LDAP にバインドするユーザ名です。

[Bind Password]

必須。LDAP バインド ユーザのパスワードです。

[Confirm Bind Password]

LDAP バインド ユーザのパスワードをもう一度入力します。

[Server Timeout]

必須。LDAP サーバがサーバのタイムアウトになるまでに待機する秒数です。デフォルトは 5 です。1 ~ 99,999 の範囲で指定できます。

LDAP リモート サーバでは、ACS Express サーバよりも早くタイムアウトが生じることがあります。このような場合は、より小さいタイムアウト値を設定できます。

[Failback Retry Interval]

必須。LDAP サーバが再接続を試行するまでに待機する秒数です。デフォルトは 300 です。1 ~ 99,999 の範囲で指定できます。

[User Settings]

[User Directory Subtree]

必須。ユーザ ディレクトリ サブツリーを指定します。

[User Object Type]

必須。LDAP 検索に使用される [User Object Type] のラベルです。デフォルトは uid です。

[User Object Class]

必須。LDAP 検索に使用される [User Object Class] のラベルです。デフォルトは Person です。

[User Password Attribute]

必須。LDAP データベースに保存されているユーザのパスワードです。デフォルトは userpassword です。

[Group Membership Attribute]

必須。LDAP サーバでのユーザのグループ メンバーシップのアトリビュート名を指定します。

[User DN]

必須。LDAP サーバでユーザを完全に識別するための名前を保持するアトリビュート名を指定します。

次の例では、LDAP の ユーザ user1 の識別名はアトリビュート entrydn で表されます。

entrydn: cn=user1,ou=people,dc=cisco,dc=com
 

[Domain Filtering Settings]

[Strip Domain Name]

このチェックボックスをオンにすると、認証を行う前に、ユーザ名からドメイン デリミタおよびドメイン名がストリップされます。

[Domain Delimiter]

ドメイン デリミタとして使用する文字。[Domain Location] が Suffix である場合、通常 @ が使用されますが、[Domain Location] が Prefix である場合に一般的に使用されるバックスラッシュ(\)にすることもできます。

[Domain Location]

ドメイン名が(ドメイン デリミタに関して)Prefix であるか、Suffixであるかを選択します。

[Group Settings]

[Group Directory Subtree]

必須。ユーザ インターフェイスから LDAP グループが検索されるときのトップレベル パスを指定します。次に例を示します。

dc=cisco,dc=com
 

[Group Directory Subtree] は、RADIUS アクセス サービスと TACACS+ アクセス サービスを設定するときに使用されます。

[Group Object Type]

必須。[Group Object Type] ラベルは、RADIUS アクセス サービスと TACACS+ アクセス サービスを設定するときに使用されます。デフォルトは cn です。

[Group Object Class]

必須。[Group Object Class] ラベルは、RADIUS アクセス サービスと TACACS+ アクセス サービスを設定するときに使用されます。デフォルトは GroupOfUniqueNames です。

[LDAP Database] ウィンドウの [LDAP Database] 領域では、プライマリおよびセカンダリの LDAP サーバとの通信に必要なパラメータを設定します。

ステップ 2 LDAP プライマリ サーバの [Primary Server Hostname/IP] の値を入力します。

このフィールドは必須で、ホスト名または IP アドレスを指定できます。

ステップ 3 LDAP セカンダリ サーバの [Secondary Server Hostname/IP] の値を入力します。

このフィールドはオプションで、ホスト名または IP アドレスを指定できます。

ステップ 4 SSL を使用する場合は、[Use SSL] チェックボックスをオンにします。

ステップ 5 使用するサーバ ポートを指定する番号を入力します。

デフォルトでは、ACS Express はポート 389 を使用しますが、[Use SSL] をオンにした場合は 636 を入力します。

ステップ 6 [Bind Username] を入力します。

ステップ 7 バインド ユーザのパスワードを入力し、[Confirm Bind Password] フィールドにもう一度パスワードを入力します。

ステップ 8 [Server Timeout] のデフォルト値(5 秒)をそのまま受け入れるか、変更します。

ステップ 9 [Failback Retry Interva] のデフォルト値(300 秒)をそのまま受け入れるか、変更します。

[LDAP Database] ウィンドウの [User Settings] 領域で、ユーザ パラメータを設定します。

ステップ 10 [User Directory Subtree] の名前を入力します。

ステップ 11 [User Object Type] の種類を入力します。

ステップ 12 [User Object Class] のクラスを入力します。

ステップ 13 [User Password Attribute] のパスワードを入力します。

ステップ 14 [Group Membership Attribute] にこのユーザのグループ名を入力します。

[LDAP Database] ウィンドウの [Domain Filtering] 領域に、ユーザ名からドメイン デリミタとドメイン名をストリップするためのパラメータを設定します。

ステップ 15 [User DN] のドメインを入力します。

ステップ 16 ドメイン名のストリッピングを有効にするには、[Strip Domain Name] チェックボックスをオンにします。

ドメイン名のストリッピング機能により、パケットからドメイン デリミタとドメインが削除され、認証用にユーザ名とデータベースだけが残されます。

ステップ 17 [Domain Delimiter] を入力します。

最も一般的に使用されるデリミタは、アットマーク(@)とバックスラッシュ(\)です。

ステップ 18 [Domain Location] で [Suffix](デフォルト設定)をそのまま受け入れるか、プルダウン メニューを使用して [Prefix] を選択します。

[Domain Location] を [Suffix] に設定すると、ドメイン デリミタとして アット マーク(@)が使用されます。[Domain Location] を [Prefix] に設定すると、ドメイン デリミタとしてバックスラッシュ(\)が使用されます。

[LDAP Database] ウィンドウの [Group Settings] 領域で、RADIUS アクセス サービスと TACACS+ アクセス サービスの設定に使用されるグループ オブジェクトに影響するパラメータを設定します。

ステップ 19 [Group Directory Subtree] を入力します。

このグループ オブジェクトは、RADIUS および TACACS+ のアクセス規則を設定するときに使用されます。

ステップ 20 [Group Object Type] を入力します。

このグループ オブジェクトは、RADIUS および TACACS+ のアクセス規則を設定するときに使用されます。

ステップ 21 [Group Object Class] を入力します。

このグループ オブジェクトは、RADIUS および TACACS+ のアクセス規則を設定するときに使用されます。

ステップ 22 LDAP データベース情報を変更した後、変更を保存する場合は [Save] をクリックします。中止する場合は [Cancel] をクリックします。

[Restore Defaults] ボタンを使用すると、すべてのフィールドが元の状態に戻されます。このとき、入力した情報はすべて削除され、フィールドで変更した値はデフォルト値に戻されます。


 

[Test Connection] をクリックし、[LDAP Database] 領域に入力した LDAP パラメータをテストします。[Test Connection] をクリックすると、ACS Express サーバにより、現在の設定(このセクションで設定したパラメータ)を使用してプライマリおよびセカンダリの LDAP サーバへのアクセスが試行されます。

LDAP CA 証明書の追加

SSL を使用するように LDAP サーバを設定した場合は、LDAP CA 証明書をインストールする必要があります。LDAP CA 証明書をインストールするには、次の手順を実行します。


ステップ 1 ナビゲーション領域で、[Users & Identity Stores] を選択します。

ステップ 2 [External Users Databases] 下の [LDAP Database] の左側にあるプラス記号をクリックし、[Certificates] をクリックします。

[LDAP Databases Certificates] ウィンドウが開き、インストールされている LDAP CA 証明書の一覧が表示されます。

ステップ 3 [Add] をクリックします。

ステップ 4 [Browse] を使用して、LDAP CA 証明書ファイルを特定します。

ACS Express では、PEM 形式の LDAP CA 証明書をサポートしています。

ステップ 5 インストールする証明書ファイルを選択したら、[Add] をクリックします。

証明書を追加しても、ACS Express サーバを再起動するまで変更は有効になりません。


 

LDAP CA 証明書の削除

LDAP CA 証明書を削除するには、次の手順を実行します。


ステップ 1 ナビゲーション領域で、[Users & Identity Stores] を選択します。

ステップ 2 [External Users Databases] 下の [LDAP Database] の左側にあるプラス記号をクリックし、[Certificates] をクリックします。

[LDAP Database Certificates] ウィンドウが開き、インストールされている LDAP CA 証明書の一覧が表示されます。

ステップ 3 削除する LDAP CA 証明書のチェックボックスをオンにして、[Delete] をクリックします。

[Confirm Deletion] ダイアログに次のようなメッセージが表示されます。

Are you sure you want to delete the selected items (s)?
 

ステップ 4 選択した証明書を削除するには [Yes] をクリックします。操作を中止して証明書を保持するには [No] をクリックします。

証明書を削除しても、ACS Express サーバを再起動するまで変更は有効になりません。


 

One-Time-Password サーバ

ACS Express では、セキュリティを強化するために One-Time パスワード(OTP; ワンタイム パスワード)によって提供されるトークン サーバの使用をサポートします。OTP 認証では、RADIUS 対応のトークン サーバ(現在 ACS によって使用されています)を使用します。ACS Express は、トークン サーバに組み込まれた RADIUS サーバを使用して、トークン サーバをサポートします。

ACS Express は、RADIUS 対応のトークン サーバに標準の RADIUS 認証要求を送信します。RADIUS 認証要求には、次のアトリビュートが含まれています。

User-Name(RADIUS アトリビュート 1)

User-Password(RADIUS アトリビュート 2)

NAS-IP-Address(RADIUS アトリビュート 4)

NAS-Port(RADIUS アトリビュート 5)

NAS-Identifier(RADIUS アトリビュート 32)

外部ユーザ データベースとして使用するように OTP サーバを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション領域で、[Users & Identity Stores] > [External User Databases] > [One-Time-Password Server] をクリックします。

コンテンツ領域に [OTP Server] ウィンドウが表示されます。 表 4-7 を使用して、[OTP Server] ウィンドウのフィールドについて説明します。


) ACS Express と正常に連携するために OTP サーバで必要となる設定の詳細については、「必要な OTP サーバ 設定」を参照してください。


ステップ 2 [Primary Server IP] フィールドにプライマリ サーバの IP アドレスを入力します。

ステップ 3 [Secondary Server IP] フィールドにセカンダリ サーバの IP アドレスを入力します。

ステップ 4 [Server Port] フィールドに認証要求に使用するポート番号を入力します。

ステップ 5 [Shared Secret] フィールドにプライマリ(およびセカンダリ)OTP サーバで使用する共有秘密情報を入力します。

この共有秘密情報は、OTP サーバ設定の共有秘密情報と一致する必要があります。

ステップ 6 [Maximum Retries] で、デフォルト値 3 をそのまま受け入れるか、別の値を入力します。

[Maximum Retries] は、タイムアウトが発行される前に、ACS Express サーバが OTP サーバへの接続を試行する回数を示します。

ステップ 7 [Server Timeout] で、デフォルト値 5 秒をそのまま受け入れるか、別の値を入力します。

[Server Timeout] の値は、タイムアウトが発行される前に、ACS Express サーバが OTP サーバへの接続を試行した後に待機する秒数を示します。[Server Timeout] 値は、リトライが連続して行われると値が倍になるため、最初のリトライで 5 秒に設定されていると、2 回目のリトライは最初のタイムアウトの 10 秒後、3 回目のリトライは 2 回目のタイムアウトの 20 秒後に設定されます。この時間が経過すると、プライマリの OTP サーバが inactive としてマークされ、セカンダリの OTP サーバへの接続が試行されます。


) プライマリ OTP サーバでタイムアウトの問題が生じた場合は、ACS Express サーバがプライマリ OTP サーバを inactive としてマークし、代わりにセカンダリ OTP サーバに接続できるように、OTP サーバの設定を変更し、リトライの回数を少なくしてタイムアウト値を短くすることができます。


ステップ 8 [Failback Retry Interval] で、デフォルト値 120 秒をそのまま受け入れるか、別の値を入力します。

[Failback Retry Interval] には、プライマリ OTP サーバが inactive とマークされてから接続を復元するために接続試行が行われるまでに待機する時間を指定します。

ステップ 9 OTP サーバと接続するため [Test Connection] をクリックし、設定を確認します。

ステップ 10 変更を保存する場合は [Save] をクリックします。中止する場合は [Cancel] をクリックします。


 

OTP サーバの設定を完了したら、[Test Connection] をクリックして、OTP サーバへの接続を試行し、設定を確認できます。

OTP サーバの設定を変更した場合で、サーバに問題が生じたときは、[Restore Defaults] をクリックし、設定をデフォルト値にリセットします。

 

表 4-7 One-Time Password サーバ設定パラメータ

フィールド
説明

[Primary Server IP]

必須。プライマリ サーバの IP アドレスです。

[Secondary Server IP]

セカンダリ サーバの IP アドレスです(オプション)。

[Server Port]

必須。認証要求に使用する TCP ポートです(デフォルトは 1812)。

[Shared Secret]

必須。プライマリ サーバとの共有秘密情報です。

[Maximum Retries]

必須。タイムアウト発生後のリトライの最大数です。

[Server Timeout]

必須。サーバがタイムアウトになるまでの秒数。リトライが連続して行われるたびに、前回のタイムアウト値が 2 倍にされます。ゼロ(0)より大きい値を指定できます。デフォルト値は 5 秒です。

[Failback Retry Interval]

必須。サーバへの接続の復元を試行するまでに待機する秒数です。

プライマリ OTP サーバがダウンした場合

プライマリ OTP サーバがダウンした場合は、[Failback Retry Interval] を非常に高い値に設定してエラーが繰り返されないようにすることをお勧めします。OTP サーバがダウンすると、その間、認証は失敗します。

OTP がダウンしたことがわかった場合は、[Failback Retry Interval] を 30 日などの長い時間(高い値)に設定します。これにより、認証がセカンダリで行われるようになります (30 日は 2,595,000 秒です)。

必要な OTP サーバ 設定

OTP サーバを外部ユーザ データベースとして使用する場合、ACS Express では、OTP サーバで追加の設定を行う必要があります。OTP サーバは、Cisco アトリビュート値のペアを返すように設定することが必要です。ACS Express サーバに対する RADIUS アクセス応答で次の文字列を含むように設定します。

ACS:CiscoSecure-Group-Id=<group>

ここで、 group は、RADIUS および TACACS+ アクセス規則のグループに一致するグループ名です。詳細については、「RADIUS アクセス サービス」および「TACACS+ アクセス サービス」を参照してください。