Cisco Secure Access Control System 5.2 ユーザ ガイド
ユーザおよび ID ストアの管理
ユーザおよび ID ストアの管理
発行日;2012/02/07 | 英語版ドキュメント(2012/02/02 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

ユーザおよび ID ストアの管理

概要

内部 ID ストア

外部 ID ストア

2 要素認証の ID ストア

ID グループ

証明書ベースの認証

ID 順序

内部 ID ストアの管理

認証情報

ID グループ

ID グループの作成

ID グループの削除

ID アトリビュートの管理

標準アトリビュート

ユーザ アトリビュート

ホスト アトリビュート

ユーザの認証設定の設定

内部ユーザの作成

内部 ID ストアからのユーザの削除

内部 ID ストア ユーザの一括操作の表示および実行

ID ストアでのホストの作成

内部ホストの削除

内部 ID ストア ホストの一括操作の表示および実行

外部 ID ストアの管理

LDAP の概要

ディレクトリ サービス

LDAP を使用した認証

複数の LDAP インスタンス

フェールオーバー

LDAP 接続管理

バインド接続を使用したユーザの認証

グループ メンバーシップ情報の取得

アトリビュート取得

証明書取得

外部 LDAP ID ストアの作成

外部 LDAP サーバ接続の設定

外部 LDAP ディレクトリ構成の設定

外部 LDAP ID ストアの削除

LDAP グループの設定

LDAP アトリビュートの表示

外部 MAB データベースとしての Cisco NAC Profiler の利用

Cisco NAC Profiler での LDAP インターフェイスのイネーブル化による ACS との通信

ID ポリシーで使用するための ACS での NAC Profiler LDAP 定義の設定

Profiler の統合による MAB 認証のトラブルシューティング

Microsoft AD

マシン認証

認可のためのアトリビュート取得

認可のためのグループ取得

EAP-TLS 認証のための証明書取得

同時接続管理

ユーザおよびマシン アカウントの制限

マシン アクセス制限

AD ドメインへの ACS の追加

AD ID ストアの設定

AD グループの選択

AD アトリビュートの設定

RSA SecurID サーバ

RSA SecurID エージェントの設定

RSA SecurID トークン サーバの作成および編集

RADIUS ID ストア

サポートされる認証プロトコル

フェールオーバー

パスワード プロンプト

ユーザ グループ マッピング

グループおよびアトリビュート マッピング

ID 順序での RADIUS ID ストア

認証失敗メッセージ

Safeword サーバでのユーザ名の特殊フォーマット

ユーザ アトリビュート キャッシュ

RADIUS ID サーバの作成、複製、および編集

CA 証明書の設定

認証局の追加

認証局の編集および証明書失効リストの設定

認証局の削除

認証局のエクスポート

証明書認証プロファイルの設定

ID ストア順序の設定

ID ストア順序の作成、複製、および編集

ID ストア順序の削除

ユーザおよび ID ストアの管理

概要

ACS は、ACS ネットワーク リソース リポジトリおよび ID ストアを使用して、ネットワーク デバイスおよびその他の ACS クライアントを管理します。特定のネットワーク リソースへのアクセスを要求するホストが ACS を介してネットワークに接続すると、ACS はホストを認証し、ホストがネットワーク リソースと通信できるかどうかを決定します。

ユーザまたはホストを認証および認可するために、ACS は ID ストア内のユーザ定義を使用します。ID ストアには、次の 2 つのタイプがあります。

内部:ACS がローカルで保持する ID ストア(ローカル ストアとも呼ばれる)は 内部 ID ストア と呼ばれます。内部 ID ストアの場合、ACS はユーザがユーザ レコードを設定および保持するためのインターフェイスを提供します。

外部:ACS の外部に存在する ID ストアは 外部 ID ストア と呼ばれます。ACS は、これらの外部 ID ストアに接続し、認証を実行してユーザ情報を取得するために、設定情報を必要とします。

ユーザおよびホストを認証する以外に、ほとんどの ID ストアはユーザおよびホストに関連付けられているアトリビュートを返します。要求の処理中にポリシー条件でこれらのアトリビュートを使用でき、RADIUS アトリビュートについて返された値を認可プロファイルに読み込むこともできます。

内部 ID ストア

ACS では、ユーザ レコードおよびホスト レコードを保持するために、さまざまな内部 ID ストアが保持されます。ID ストアごとに、その特定のストアに関連付けられた ID アトリビュートを定義できます。ユーザ レコードまたはホスト レコードの作成中に、このストアに対して値が定義されます。

これらの ID アトリビュートは、ACS アプリケーションの [System Administration] セクションで ID ディクショナリの一部として定義できます([System Administration] > [Configuration] > [Dictionaries] > [Identity])。

各内部ユーザ レコードにはパスワードが含まれており、2 番めのパスワードを TACACS+ イネーブル パスワードとして定義できます。内部ユーザ ID ストアに保存されるパスワードは、特定の期間後に失効してユーザに自分のパスワードを定期的に変更させるように設定できます。

ユーザは、自分のパスワードを RADIUS または TACACS+ プロトコルで変更するか、UCP Web サービスを使用できます。パスワードは、ACS で定義するパスワード複雑度基準に準拠している必要があります。

内部ユーザ レコードは、固定および設定可能という 2 つのコンポーネント タイプで構成されます。

固定コンポーネントは次のとおりです。

名前

説明

パスワード

イネーブルまたはディセーブルのステータス

ユーザが所属する ID グループ

設定可能コンポーネントは次のとおりです。

TACACS+ 認証のイネーブル パスワード

ユーザ定義の表示および入力方法を決定する ID アトリビュートのセット

ユーザを作成する前に ID アトリビュートを設定することを推奨します。ID アトリビュートが設定されると、次のことを実行できます。

ユーザ定義の一部として、対応する値を入力できます。

ユーザが認証するときに、ポリシー決定で使用できます。

RADIUS アトリビュートについて返された値を認可プロファイルに読み込むために使用できます。

内部ユーザ ID アトリビュートは、ユーザのセッション継続中にユーザに適用されます。

内部 ID ストアには、内部ユーザを認証するために使用される内部ユーザ アトリビュートおよびクレデンシャル情報が含まれています。

内部ホスト レコードは内部ユーザ レコードに類似していますが、パスワード情報が含まれていません。ホストは MAC アドレスによって識別されます。内部 ID ストアの管理については、「内部 ID ストアの管理」を参照してください。

外部 ID ストア

外部 ID ストアは外部データベースであり、ACS はこれに基づいて内部ユーザおよび外部ユーザの認証を実行します。ACS 5.2 では、次の外部 ID ストアがサポートされます。

LDAP

Active Directory

RSA SecurID トークン サーバ

RADIUS ID サーバ

外部 ID ストアのユーザ レコードには、特定のストアにアクセスするために必要な設定パラメータが含まれています。RSA SecurID トークン サーバを除くすべての外部 ID ストアで、ユーザ レコードのアトリビュートを定義できます。外部 ID ストアには、ACS サーバ証明書の証明書情報および証明書認証プロファイルも含まれています。

外部 ID ストアの管理方法の詳細については、「外部 ID ストアの管理」を参照してください。

2 要素認証の ID ストア

RSA SecurID トークン サーバおよび RADIUS ID サーバを使用すると、2 要素認証を実現できます。これらの外部 ID ストアでは、セキュリティを強化する OTP が使用されます。これらの外部 ID ストアに対して、次の追加設定オプションを使用できます。

ID キャッシング:ACS の ID キャッシングをイネーブルにすると、認証が実行されない場合に、要求の処理中に ID ストアを使用できます。ユーザ認証なしでユーザ ルックアップを実行できる LDAP や AD とは異なり、RSA SecurID トークン サーバと RADIUS ID サーバではユーザ ルックアップはサポートされません。

たとえば、認証が実行されないために ID ストアでデータを取得できない場合に備えて、認証要求とは別に TACACS+ 要求を認可するため、ユーザに対して正常に行われた最後の認証から取得した結果とアトリビュートをキャッシュするように、ID キャッシングをイネーブルにすることができます。このキャッシュを使用して、要求を認可できます。

認証拒否の処理:RSA および RADIUS ID ストアでは、認証試行が拒否された場合、次の結果は区別されません。

認証の失敗

ユーザが見つからない

この区別は、フェール オープン操作を決定する場合に重要です。設定オプションが使用可能であり、いずれの結果を使用する必要があるかを定義できます。

ID グループ

ID グループは、階層内に定義される論理エンティティであり、ユーザおよびホストに関連付けられます。これらの ID グループは、ポリシー決定を行うために使用されます。内部ユーザおよびホストの場合、ID グループはユーザまたはホスト定義の一部として定義されます。

外部 ID ストアが使用される場合は、外部 ID ストアから取得されたアトリビュートおよびグループを ACS ID グループにマッピングするために、グループ マッピング ポリシーが使用されます。ID グループは、Active Directory のグループと概念は似ていますが、より基本的な性質を持ちます。

証明書ベースの認証

ユーザおよびホストは、証明書ベースのアクセス要求を使用して自身を識別できます。この要求を処理するには、ID ポリシーに証明書認証プロファイルを定義する必要があります。

証明書認証プロファイルには、ユーザまたはホストの識別に使用される証明書のアトリビュートが含まれます。また任意で、要求に存在する証明書の検証に使用できる LDAP ID ストアまたは AD ID ストアを含めることもできます。証明書および証明書ベースの認証の詳細については、次の項を参照してください。

「CA 証明書の設定」

「証明書認証プロファイルの設定」

ID 順序

要求の処理に複数の ID ストアおよびプロファイルが使用される複雑な条件を設定できます。これらの ID 方式は、ID 順序オブジェクト内に定義できます。順序内の ID 方式のタイプは任意です。

ID 順序は、認証用とアトリビュート取得用の 2 つのコンポーネントで構成されます。

証明書に基づく認証の実行を選択した場合は、単一の証明書認証プロファイルが使用されます。

ID データベースに基づく認証の実行を選択した場合は、認証が成功するまで順番にアクセスされる ID データベースのリストを定義できます。認証が成功すると、データベース内のアトリビュートが取得されます。

また、追加アトリビュートを取得できる任意のデータベースのリストを設定することもできます。これらの追加データベースは、パスワードベースの認証を使用するか証明書ベースの認証を使用するかに関係なく、設定できます。

証明書ベースの認証を実行する場合、ユーザ名は証明書アトリビュートから読み込まれ、このユーザ名がリスト内のすべてのデータベースからアトリビュートを取得するために使用されます。証明書アトリビュートの詳細については、「CA 証明書の設定」を参照してください。ユーザについて一致するレコードが見つかると、対応するアトリビュートが取得されます。ACS では、アカウントがディセーブルのユーザやパスワードに変更のマークが付いているユーザについても、アトリビュートが取得されます。


) ディセーブルの内部ユーザ アカウントは、アトリビュートのソースとして使用できますが、認証のソースとしては使用できません。


ID 順序の詳細については、「ID ストア順序の設定」を参照してください。

この章は、次の内容で構成されています。

「内部 ID ストアの管理」

「外部 ID ストアの管理」

「CA 証明書の設定」

「証明書認証プロファイルの設定」

「ID ストア順序の設定」

内部 ID ストアの管理

ACS には、ユーザ用の内部 ID ストアとホスト用の内部 ID ストアがあります。

ユーザ 用の内部 ID ストアは、ユーザ、ユーザ アトリビュート、およびユーザ認証オプションのリポジトリです。

ホスト 用の内部 ID ストアには、MAC Authentication Bypass(ホスト ルックアップ)のホストに関する情報が含まれています。

各ユーザおよびホストを ID ストア内に定義でき、ユーザおよびホストのファイルをインポートできます。

ユーザ用の内部 ID ストアは、展開内のすべての ACS インスタンスで共有され、各ユーザについて次の内容を含んでいます。

標準アトリビュート

ユーザ アトリビュート

認証情報


) ACS 5.2 では、内部 ID ストアに対してだけ、内部ユーザの認証がサポートされます。


ここでは、次の内容について説明します。

「認証情報」

「ID グループ」

「ID アトリビュートの管理」

「ユーザの認証設定の設定」

「内部ユーザの作成」

「内部 ID ストア ユーザの一括操作の表示および実行」

「ID ストアでのホストの作成」

「内部 ID ストア ホストの一括操作の表示および実行」

認証情報

ユーザの TACACS+ イネーブル パスワードを定義する内部ユーザ レコードの一部として保存される、追加パスワードを設定できます。このパスワードによって、デバイスへのアクセス レベルが設定されます。このオプションを選択しない場合、標準ユーザ パスワードが TACACS イネーブルにも使用されます。

システムが TACACS+ イネーブル操作に使用されていない場合は、このオプションを選択しないでください。

ID ストア順序機能を使用するには、順番にアクセスされる ID ストアのリストを定義します。同じ ID ストアを認証順序リストとアトリビュート取得順序リストに含めることができます。ただし、ID ストアが認証用に使用される場合、追加アトリビュートを取得するために ID ストアにアクセスされることはありません。

証明書ベースの認証の場合、ユーザ名は証明書アトリビュートから読み込まれ、アトリビュート取得用に使用されます。

認証プロセス中に、ユーザまたはホストの複数のインスタンスが内部 ID ストアに存在する場合、認証は失敗します。アカウントがディセーブルのユーザやパスワード変更が必要なユーザについて、アトリビュートは取得されます(ただし、認証は拒否されます)。

次のような失敗が ID ポリシーの処理中に発生する場合があります。

認証失敗。考えられる原因としては、不正なクレデンシャル、ディセーブルなユーザなどがあります。

ユーザまたはホストが認証データベースに存在しない。

定義されているデータベースへのアクセス中に失敗が発生した。

フェール オープン オプションを定義して、これらの失敗が発生したときに実行するアクションを設定できます。

拒否:拒否応答を送信します。

ドロップ:応答を送信しません。

続行:サービス内の次の定義済みポリシーへ処理を続行します。

システム アトリビュート AuthenticationStatus に、ID ポリシー処理の結果が保持されます。失敗の発生時にポリシー処理を続行することを選択する場合、後続のポリシー処理の条件でこのアトリビュートを使用して、ID ポリシー処理が成功しなかった場合を区別できます。

PAP/ASCII、EAP-TLS、または EAP-MD5 で認証が失敗した場合、処理を続行できます。その他のすべての認証プロトコルでは、要求は拒否され、この結果に対するメッセージがロギングされます。

ID グループ

各内部ユーザを 1 つの ID グループに割り当てることができます。ID グループは、階層構造で定義されます。ユーザに関連付けられる論理エンティティですが、付けられた名前以外のデータやアトリビュートは含まれていません。

ポリシー条件で ID グループを使用して、同じポリシー結果が適用されるユーザの論理グループを作成します。内部 ID ストア内の各ユーザを単一の ID グループに関連付けることができます。

ACS でユーザの要求が処理されるときに、そのユーザの ID グループが取得され、規則テーブルの条件で使用可能になります。ID グループは、階層構造になっています。

グループ マッピング ポリシーを使用して、外部 ID ストア内の ID グループおよびユーザを ACS の ID グループにマッピングできます。

ID グループの作成

ID グループを作成するには、次の手順を実行します。


ステップ 1 [Users and Identity Stores] > [Identity Groups] を選択します。

[Identity Groups] ページが表示されます。

ステップ 2 [Create] をクリックします。次のことも実行できます。

複製する ID グループの隣にあるチェックボックスをオンにし、[Duplicate] をクリックします。

変更する ID グループ名をクリックします。または、名前の隣にあるチェックボックスをオンにして [Edit] をクリックします。

[File Operations] をクリックして、次の操作を実行します。

Add:ID グループをインポートから ACS に追加します。

Update:ACS 内の既存の ID グループを、インポートのリストで上書きします。

Delete:インポートにリストされている ID グループを ACS から削除します。

[Export] をクリックして、ID グループのリストをローカル ハードディスクにエクスポートします。

[File Operations] オプションの詳細については、「ネットワーク リソースおよびユーザに関する一括操作の実行」を参照してください。

[Create]、[Duplicate]、または [Edit] オプションを選択すると、[Create] ページまたは [Edit] ページが表示されます。

ステップ 3 次のフィールドに情報を入力します。

Name:ID グループの名前を入力します。ID グループを複製する場合は、固有の名前を入力する必要があります。その他のフィールドはすべて任意です。

Description:ID グループの説明を入力します。

Parent:[Select] をクリックして、ID グループのネットワーク デバイス グループの親を選択します。

ステップ 4 [Submit] をクリックして変更を保存します。

ID グループの設定が保存されます。[Identity Groups] ページが新しい設定で表示されます。新しい ID グループを作成した場合は、このページの階層内で親 ID グループ選択の下に配置されます。


 

関連トピック

「ユーザおよび ID ストアの管理」

「内部 ID ストアの管理」

「ネットワーク リソースおよびユーザに関する一括操作の実行」

「ID グループ」

「ID グループの作成」

「ID グループの削除」

ID グループの削除

ID グループを削除するには、次の手順を実行します。


ステップ 1 [Users and Identity Stores] > [Identity Groups] を選択します。

[Identity Groups] ページが表示されます。

ステップ 2 削除する ID グループの隣にあるチェックボックスを 1 つ以上オンにして、[Delete] をクリックします。

次のエラー メッセージが表示されます。

Are you sure you want to delete the selected item/items?

ステップ 3 [OK] をクリックします。

[Identity Groups] ページが表示されます。このとき、削除した ID グループは表示されません。


 

関連トピック

「ID アトリビュートの管理」

ID アトリビュートの管理

管理者は、ポリシー条件の要素となる ID アトリビュートのセットを定義できます。ACS 5.2 ポリシー モデルについては、「ACS 5.x ポリシー モデル」を参照してください。認証時に、ID アトリビュートがポリシー条件の一部である場合に内部データ ストアから取得されます。

ACS 5.2 は ID 要素と連携動作して、ユーザを認証し、ACS ポリシーへの入力のためにアトリビュートを取得します。

アトリビュート定義には、関連付けられたデータ型および有効な値が含まれています。値のセットは、型によって異なります。たとえば、型が integer の場合、定義には有効な範囲が含まれます。ACS 5.2 には、アトリビュート値がない場合に使用できるデフォルト値の定義があります。デフォルト値により、すべてのアトリビュートは少なくとも 1 つの値を持ちます。

関連トピック

「標準アトリビュート」

「ユーザ アトリビュート」

「ホスト アトリビュート」

標準アトリビュート

表 8-1 に、内部ユーザ レコードの標準アトリビュートを示します。

 

表 8-1 標準アトリビュート

アトリビュート
説明

Username

ACS は、認証要求のユーザ名に対してこのユーザ名を比較します。比較では大文字と小文字は区別されません。

Status

イネーブル ステータスは、アカウントがアクティブであることを示します。ディセーブル ステータスは、ユーザ名の認証が失敗することを意味します。

Description

アトリビュートのテキスト説明。

Identity Group

ACS は各ユーザを ID グループに関連付けます。詳細については、「ID アトリビュートの管理」を参照してください。

ユーザ アトリビュート

管理者は、ID アトリビュートのセットからユーザ定義のアトリビュートを作成および追加できます。内部 ID ストア内のユーザごとにこれらのアトリビュートのデフォルト値を割り当て、デフォルト値が必須か任意かを定義できます。

ACS でユーザを定義する必要があります。各内部ユーザと ID グループとの関連付け、説明(任意)、パスワード、イネーブル パスワード(任意)、内部および外部ユーザ アトリビュートなどです。

内部ユーザは、固定および設定可能という 2 つのコンポーネントで定義されます。固定コンポーネントは、次のアトリビュートで構成されます。

名前

説明

パスワード

イネーブルまたはディセーブルのステータス

所属する ID グループ

設定可能コンポーネントは、次のアトリビュートで構成されます。

TACACS+ 認証のイネーブル パスワード

ユーザ定義の表示および入力方法を決定する ID アトリビュートのセット

ユーザを作成する前に ID アトリビュートを設定することを推奨します。ID アトリビュートが設定されると、次のことを実行できます。

ユーザ定義の一部として、対応する値を入力できます。

ユーザが認証するときに、ポリシー決定で使用できます。

内部ユーザ ID アトリビュートは、ユーザのセッション継続中にユーザに適用されます。

内部 ID ストアには、(ポリシーで定義したように)内部ユーザを認証するために使用される内部ユーザ アトリビュートおよびクレデンシャル情報が含まれています。

外部 ID ストアは外部データベースであり、これに基づいて(ポリシーで定義したように)内部ユーザおよび外部ユーザのクレデンシャルおよび認証の確認を実行します。

ACS 5.2 では、自分のポリシー内で使用する ID アトリビュートを次の順序で設定できます。

1. (ユーザ ディクショナリを使用して)ID アトリビュートを定義します。

2. ポリシーで使用するカスタム条件を定義します。

3. 内部データベースの各ユーザの値を読み込みます。

4. この条件に基づいて規則を定義します。

ACS 5.2 およびユーザの ID アトリビュートについて理解が深まると、ポリシー自体はより堅牢で複雑になっていきます。

ユーザ定義のアトリビュート値を使用して、ポリシーおよび認可プロファイルを管理できます。ユーザ アトリビュートの作成方法については、「内部ユーザ ID アトリビュートの作成、複製、および編集」を参照してください。

ホスト アトリビュート

内部ホスト用の追加アトリビュートを設定できます。内部ホストを作成するときに、次のことを実行できます。

ホスト アトリビュートの作成

ホスト アトリビュートへのデフォルト値の割り当て

デフォルト値が必須か任意かの定義

これらのホスト アトリビュートに対して値を入力でき、その値を使用してポリシーおよび認可プロファイルを管理できます。ホスト アトリビュートの作成方法については、「内部ホスト ID アトリビュートの作成、複製、および編集」を参照してください。

ユーザの認証設定の設定

ACS でユーザ アカウントの認証設定を設定して、ユーザに強力なパスワードの使用を強制できます。[Authentication Settings] ページで行うパスワード ポリシー変更は、すべての内部 ID ストア ユーザ アカウントに適用されます。[User Authentication Settings] ページには、次のタブがあります。

Password complexity

Advanced

パスワード ポリシーを設定するには、次の手順を実行します。


ステップ 1 [System Administration] > [Users] > [Authentication Settings] を選択します。

[Password Complexity] タブおよび [Advanced] タブがある [User Authentication Settings] ページが表示されます。

ステップ 2 [Password Complexity] タブで、ユーザ パスワードの設定に使用する各チェックボックスをオンにします。

表 8-2 に、[Password Complexity] タブのフィールドを示します。

 

表 8-2 [Password Complexity] タブ

オプション
説明
Applies to all ACS internal identity store user accounts

Minimum length

必要な最小長。有効なオプションは 4 ~ 20 です。

Password may not contain the username

パスワードにユーザ名またはユーザ名を逆にしたものを使用できるかどうか。

Password may not contain ’cisco’

パスワードに cisco という単語を使用できないことを指定する場合にオンにします。

Password may not contain

入力した文字列をパスワードに使用しないことを指定する場合にオンにします。

Password may not contain repeated characters four or more times consecutively

パスワードで文字を 4 回以上連続して繰り返すことができないことを指定する場合にオンにします。

Password must contain at least one character of each of the selected types

Lowercase alphabetic characters

パスワードには、アルファベットの小文字が少なくとも 1 文字含まれている必要があります。

Upper case alphabetic characters

パスワードには、アルファベットの大文字が少なくとも 1 文字含まれている必要があります。

Numeric characters

パスワードには、数字が少なくとも 1 文字含まれている必要があります。

Non alphanumeric characters

パスワードには、英数字以外の文字が少なくとも 1 文字含まれている必要があります。

ステップ 3 [Advanced] タブで、ユーザ認証プロセスに対して設定する基準の値を入力します。 表 8-3 に、[Advanced] タブのフィールドを示します。

 

表 8-3 [Advanced] タブ

オプション
説明
Password History

Password must be different from the previous n versions.

比較対象とするこのユーザの以前のパスワードの数を指定します。このオプションによって、ユーザが以前に使用したパスワードを設定できないようにします。有効なオプションは 1 ~ 99 です。

Password Lifetime

ユーザに定期的にパスワード変更を求めることができます。

Disable user account after n days if password is not changed

パスワードが変更されていない場合、 n 日後にユーザ アカウントをディセーブルにする必要があることを指定します。有効なオプションは 1 ~ 365 です。

Display reminder after n days

パスワード変更の通知を n 日後に表示します。有効なオプションは 1 ~ 365 です。このオプションを設定すると、通知だけが表示されます。新しいパスワードは要求されません。

TACACS Enable Password

ユーザ レコードに、イネーブル パスワードを保存する別のパスワードを定義する必要があるかどうかを選択します。

TACACS Enable Password

TACACS 認証用の別のパスワードをイネーブルにする場合に、このチェックボックスをオンにします。

ステップ 4 [Submit] をクリックします。

ユーザ パスワードは、定義した基準を使用して設定されます。これらの基準は、以降のログインだけに適用されます。


 

内部ユーザの作成

ACS では、セキュリティ上の理由から外部 ID ストアにアクセスしない内部ユーザを作成できます。

一括インポート機能を使用して、数百の内部ユーザを一度にインポートできます。詳細については、「ネットワーク リソースおよびユーザに関する一括操作の実行」を参照してください。または、ここで説明する手順に従って、内部ユーザを 1 つずつ作成できます。


ステップ 1 [Users and Identity Stores] > [Internal Identity Store] > [Users] を選択します。

[Internal Users] ページが表示されます。

ステップ 2 [Create] をクリックします。次のことも実行できます。

複製するユーザの隣にあるチェックボックスをオンにし、[Duplicate] をクリックします。

変更するユーザ名をクリックします。または、名前の隣にあるチェックボックスをオンにして [Edit] をクリックします。

パスワードを変更するユーザの隣にあるチェックボックスをオンにし、[Change Password] をクリックします。

[Change Password] ページが表示されます。

ステップ 3 表 8-4 の説明に従ってフィールドに入力し、内部ユーザのパスワードを変更します。

 

表 8-4 [Internal User] - [Change Password] ページ

オプション
説明
Password Information

Password

ユーザの現在のパスワード。[System Administration] > [Users] > [Authentication Settings] で定義したパスワード ポリシーに準拠している必要があります。

Confirm Password

ユーザのパスワード。[Password] のエントリと正確に一致する必要があります。

Enable Password Information

Enable Password

(任意)内部ユーザの TACACS+ イネーブル パスワード。4 ~ 32 文字。このオプションはディセーブルにすることができます。詳細については、「認証情報」を参照してください。

Confirm Password

(任意)内部ユーザの TACACS+ イネーブル パスワード。[Enable Password] のエントリと正確に一致する必要があります。

Change Password on Next Login

次回のユーザ ログインで、古いパスワードによる認証のあとに、ユーザのパスワードを変更するプロセスを開始する場合に、このボックスをオンにします。

[File Operations] をクリックして、次の操作を実行します。

Add:内部ユーザをインポートから ACS に追加します。

Update:ACS 内の既存の内部ユーザをインポートのユーザのリストで上書きします。

Delete:インポートにリストされている内部ユーザを ACS から削除します。

[Export] をクリックして、内部ユーザのリストをローカル ハードディスクにエクスポートします。

[File Operations] オプションの詳細については、「ネットワーク リソースおよびユーザに関する一括操作の実行」を参照してください。

[Create]、[Duplicate]、または [Edit] オプションを選択すると、[User Properties] ページが表示されます。[Edit] ビューで、ユーザの最初の作成および最終変更の情報を参照できます。この情報は編集できません。

ステップ 4 表 8-5 の説明に従って、フィールドに入力します。

 

表 8-5 [Users and Identity Stores] > [Internal Identity Store] > [User Properties] ページ

オプション
説明
General

Name

ユーザのユーザ名。

Status

ドロップダウン リスト ボックスを使用して、ユーザのステータスを選択します。

Enabled:このユーザの認証要求は許可されます。

Disabled:このユーザの認証要求は失敗します。

Description

(任意)ユーザの説明。

Identity Group

[Select] をクリックして、[Identity Groups] ウィンドウを表示します。ID グループを選択して [OK] をクリックし、特定の ID グループを使用してユーザを設定します。

Password Information
(注) このページのこのセクションは、内部ユーザを作成した場合にだけ表示されます。

パスワードは最低 4 文字です。

Password

ユーザのパスワード。[System Administration] > [Users] > [Authentication Settings] で定義したパスワード ポリシーに準拠している必要があります。

Confirm Password

ユーザのパスワード。[Password] のエントリと正確に一致する必要があります。

Change Password on next login

次回のユーザ ログインで、古いパスワードによる認証のあとに、ユーザのパスワードを変更するプロセスを開始する場合に、このボックスをオンにします。

Enable Password Information
(注) このページのこのセクションは、内部ユーザを作成した場合にだけ表示されます。

パスワードは 4 ~ 32 文字です。

Enable Password

(任意)内部ユーザの TACACS+ イネーブル パスワード。4 ~ 32 文字です。このオプションはディセーブルにすることができます。詳細については、「認証情報」を参照してください。

Confirm Password

(任意)内部ユーザの TACACS+ イネーブル パスワード。[Enable Password] のエントリと正確に一致する必要があります。

User Information

定義されている場合、このセクションにはユーザ レコードに対して定義された追加 ID アトリビュートが表示されます。

Creation/Modification Information
(注) このページのこのセクションは、内部ユーザを作成または変更したあとにだけ表示されます。

Date Created

表示のみ 。ユーザのアカウントが作成された日付と時刻。形式は Day Mon dd hh:mm:ss UTC YYYY です。ここで、

Day = 曜日。

Mon = 月を表す 3 文字。Jan、Feb、Mar、Apr、May、Jun、Jul、Aug、Sep、Oct、Nov、Dec。

DD = 日を表す 2 桁の数字。1 桁の日(1 ~ 9)の前にはスペースが付きます。

hh : mm : ss = 時、分、秒。

YYYY = 年を表す 4 桁の数字。

Date Modified

表示のみ 。ユーザのアカウントが最後に変更(更新)された日付と時刻。形式は Day Mon dd hh:mm:ss UTC YYYY です。ここで、

Day = 曜日。

Mon = 月を表す 3 文字。Jan、Feb、Mar、Apr、May、Jun、Jul、Aug、Sep、Oct、Nov、Dec。

DD = 日を表す 2 桁の数字。1 桁の日(1 ~ 9)の前にはスペースが付きます。

hh : mm : ss = 時、分、秒。

YYYY = 年を表す 4 桁の数字。

ステップ 5 [Submit] をクリックします。

ユーザ設定が保存されます。[Internal Users] ページが新しい設定で表示されます。


 

関連トピック

「ユーザの認証設定の設定」

「内部 ID ストア ユーザの一括操作の表示および実行」

「内部 ID ストアからのユーザの削除」

内部 ID ストアからのユーザの削除

内部 ID ストアからユーザを削除するには、次の手順を実行します。


ステップ 1 [Users and Identity Stores] > [Internal Identity Store] > [Users] を選択します。

[Internal Users] ページが表示されます。

ステップ 2 削除するユーザの隣にあるチェックボックスを 1 つ以上オンにします。

ステップ 3 [Delete] をクリックします。

次のメッセージが表示されます。

Are you sure you want to delete the selected item/items?
 

ステップ 4 [OK] をクリックします。

[Internal Users] ページが表示されます。このとき、削除したユーザは表示されません。


 

関連トピック

「内部 ID ストア ユーザの一括操作の表示および実行」

「内部ユーザの作成」

内部 ID ストア ユーザの一括操作の表示および実行

内部 ID ストア ユーザに対する一括操作を表示および実行するには、次の手順を実行します。


ステップ 1 [Users and Identity Stores] > [Internal Identity Stores] > [Users] を選択します。

[Internal Users] ページが表示され、設定されているすべてのユーザについて次の情報が示されます。

Status:ユーザのステータス

User Name:ユーザのユーザ名

Identity Group:ユーザが所属している ID グループ

Description:(任意)ユーザの説明

ステップ 2 次のいずれかを実行します。

[Create] をクリックします。内部ユーザの作成の詳細については、「内部ユーザの作成」を参照してください。

情報を編集する内部ユーザの隣にあるチェックボックスをオンにし、[Edit] をクリックします。内部ユーザ編集ページのさまざまなフィールドの詳細については、「内部ユーザの作成」を参照してください。

情報を複製する内部ユーザの隣にあるチェックボックスをオンにし、[Duplicate] をクリックします。内部ユーザ複製ページのさまざまなフィールドの詳細については、「内部ユーザの作成」を参照してください。

[File Operations] をクリックして、次の一括操作を実行します。

Add:内部ユーザをインポート ファイルから ACS に追加するには、このオプションを選択します。

Update:ACS の内部ユーザのリストをインポート ファイルの内部ユーザのリストで置換するには、このオプションを選択します。

Delete:インポート ファイルにリストされている内部ユーザを ACS から削除するには、このオプションを選択します。

一括操作の詳細については、「ネットワーク リソースおよびユーザに関する一括操作の実行」を参照してください。


 

関連トピック

「内部ユーザの作成」

「内部 ID ストア ユーザの一括操作の表示および実行」

「内部 ID ストアからのユーザの削除」

ID ストアでのホストの作成

MAC アドレスを作成、複製、または編集し、ID グループを内部ホストに割り当てるには、次の手順を実行します。


ステップ 1 [Users and Identity Stores] > [Internal Identity Stores] > [Hosts] を選択します。

[Internal Hosts] ページが表示され、設定されている内部ホストが示されます。

ステップ 2 [Create] をクリックします。次のことも実行できます。

複製する MAC アドレスの隣にあるチェックボックスをオンにし、[Duplicate] をクリックします。

変更する MAC アドレスをクリックします。または、MAC アドレスの隣にあるチェックボックスをオンにして [Edit] をクリックします。

[File Operations] をクリックして、一括操作を実行します。インポート プロセスの詳細については、「内部 ID ストア ホストの一括操作の表示および実行」を参照してください。

[Export] をクリックして、ホストのリストをローカル ハード ドライブにエクスポートします。

[Create]、[Duplicate]、または [Edit] オプションをクリックすると、[Internal Hosts General] ページが表示されます。

ステップ 3 表 8-6 の説明に従って、[Internal MAC Address Properties] ページのフィールドに入力します。

 

表 8-6 [Internal Hosts Properties] ページ

オプション
説明
General

MAC Address

有効な MAC アドレスを入力します。次の形式のいずれかを使用します。

01-23-45-67-89-AB

01:23:45:67:89:AB

0123.4567.89AB

0123456789AB

ACS は、上記のいずれかの形式の MAC アドレスを受け入れ、ハイフンで区切られた 6 個の 16 進数に変換して保存します。たとえば、01-23-45-67-89-AB のように変換します。

Status

ドロップダウン リスト ボックスを使用して、MAC アドレスをイネーブルまたはディセーブルにします。

Description

(任意)MAC アドレスの説明を入力します。

Identity Group

MAC アドレスを関連付ける ID グループを入力するか、[Select] をクリックして [Identity Groups] ウィンドウを表示します。MAC アドレスを関連付ける ID グループを選択し、[OK] をクリックします。

MAC Host Information

表示のみ 。MAC ホストの ID アトリビュート情報が表示されます。

Creation/Modification Information
(注) このページのこのセクションは、MAC アドレスを作成または変更したあとにだけ表示されます。

Date Created

表示のみ 。ホスト アカウントが作成された日付。形式は Day Mon dd hh:mm:ss UTC YYYY です。ここで、

Day = 曜日。

Mon = 月を表す 3 文字。Jan、Feb、Mar、Apr、May、Jun、Jul、Aug、Sep、Oct、Nov、Dec。

DD = 日を表す 2 桁の数字。1 桁の日(1 ~ 9)の前にはスペースが付きます。

hh : mm : ss = 時、分、秒。

YYYY = 年を表す 4 桁の数字。

Date Modified

表示のみ 。ホスト アカウントが最後に変更(更新)された日付。形式は Day Mon dd hh:mm:ss UTC YYYY です。ここで、

Day = 曜日。

Mon = 月を表す 3 文字。Jan、Feb、Mar、Apr、May、Jun、Jul、Aug、Sep、Oct、Nov、Dec。

DD = 日を表す 2 桁の数字。1 桁の日(1 ~ 9)の前にはスペースが付きます。

hh : mm : ss = 時、分、秒。

YYYY = 年を表す 4 桁の数字。

ステップ 4 [Submit] をクリックして変更を保存します。

MAC アドレスの設定が保存されます。[Internal MAC list] ページが新しい設定で表示されます。


 

関連トピック

「ホスト ルックアップ」

「内部ホストの削除」

「内部 ID ストア ホストの一括操作の表示および実行」

「ポリシーおよび ID アトリビュート」

「ホスト ルックアップ ネットワーク アクセス要求用の ID グループの設定」

内部ホストの削除

MAC アドレスを削除するには、次の手順を実行します。


ステップ 1 [Users and Identity Stores] > [Internal Identity Stores] > [Hosts] を選択します。

[Internal MAC List] ページが表示され、設定されている MAC アドレスが示されます。

ステップ 2 削除する内部ホストの隣にあるチェックボックスを 1 つ以上オンにします。

ステップ 3 [Delete] をクリックします。

次のメッセージが表示されます。

Are you sure you want to delete the selected item/items?
 

ステップ 4 [OK] をクリックします。

[Internal MAC List] ページが表示されます。このとき、削除した MAC アドレスは表示されません。


 

関連トピック

「ホスト ルックアップ」

「内部 ID ストア ホストの一括操作の表示および実行」

「ID ストアでのホストの作成」

「ポリシーおよび ID アトリビュート」

「ホスト ルックアップ ネットワーク アクセス要求用の ID グループの設定」

内部 ID ストア ホストの一括操作の表示および実行

内部 ID ストアに対する一括操作を表示および実行するには、次の手順を実行します。


ステップ 1 [Users and Identity Stores] > [Internal Identity Stores] > [Hosts] を選択します。

[Internal Hosts] ページが表示され、設定されている内部ホストが示されます。

ステップ 2 [File Operations] をクリックして、次のいずれかの機能を実行します。

Add:内部ホストをインポート ファイルから ACS に追加するには、このオプションを選択します。

Update:ACS の内部ホストのリストをインポート ファイルの内部ホストで置換するには、このオプションを選択します。

Delete:インポート ファイルにリストされている内部ホストを ACS から削除するには、このオプションを選択します。

一括操作の詳細については、「ネットワーク リソースおよびユーザに関する一括操作の実行」を参照してください。


 

関連トピック

「ホスト ルックアップ」

「ID ストアでのホストの作成」

「内部ホストの削除」

「ポリシーおよび ID アトリビュート」

「ホスト ルックアップ ネットワーク アクセス要求用の ID グループの設定」

外部 ID ストアの管理

ACS 5.2 は、数多くの方法で外部 ID システムと統合します。外部認証サービスを利用するか、または外部システムを使用して、必要なアトリビュートを取得してプリンシパルを認証することにより、アトリビュートを ACS ポリシーに統合できます。

たとえば、ACS は Microsoft AD を利用してプリンシパルを認証できます。また、LDAP バインド操作を使用して、データベース内のプリンシパルを検索して認証することもできます。ACS は、AD グループ所属などの ID アトリビュートを取得して、ACS ポリシー決定を行うことができます。


) ACS 5.2 には、Windows ユーザのダイヤルイン アクセス権アトリビュートの組み込みチェックはありません。LDAP または Windows AD を使用して msNPAllowDialin アトリビュートを設定する必要があります。このアトリビュートの設定方法については、次の URL で Microsoft 社のマニュアルを参照してください。http://msdn.microsoft.com/en-us/library/ms678093%28VS.85%29.aspx


ここでは、ACS 5.2 でサポートされている外部 ID ストアの概要と、それらの設定方法について説明します。

ここでは、次の内容について説明します。

「LDAP の概要」

「外部 MAB データベースとしての Cisco NAC Profiler の利用」

「Microsoft AD」

「RSA SecurID サーバ」

「RADIUS ID ストア」

LDAP の概要

Lightweight Directory Access Protocol(LDAP)は、TCP/IP および UDP 上で動作するディレクトリ サービスの問い合せおよび変更のためのネットワーキング プロトコルです。LDAP は、x.500 ベースのディレクトリ サーバにアクセスするためのライトウェイト メカニズムです。LDAP は RFC 2251 で定義されています。

ACS 5.2 は、LDAP プロトコルを使用して LDAP 外部データベース(ID ストアとも呼ばれる)と統合します。LDAP ID ストアの設定については、「外部 LDAP ID ストアの作成」を参照してください。

ここでは、次の内容について説明します。

「ディレクトリ サービス」

「LDAP を使用した認証」

「複数の LDAP インスタンス」

「フェールオーバー」

「LDAP 接続管理」

「バインド接続を使用したユーザの認証」

「グループ メンバーシップ情報の取得」

「アトリビュート取得」

「証明書取得」

「外部 LDAP ID ストアの作成」

「LDAP グループの設定」

「LDAP アトリビュートの表示」

ディレクトリ サービス

ディレクトリ サービスは、コンピュータ ネットワークのユーザおよびネットワーク リソースに関する情報を保存および編成するためのソフトウェア アプリケーション(アプリケーションのセット)です。ディレクトリ サービスを使用すると、これらのリソースへのユーザ アクセスを管理できます。

LDAP ディレクトリ サービスは、クライアント/サーバ モデルに基づきます。クライアントは、LDAP サーバに接続することで LDAP セッションを開始し、操作要求をサーバに送信します。サーバは、応答を送信します。1 台以上の LDAP サーバに、LDAP ディレクトリ ツリーまたは LDAP バックエンド データベースからのデータが含まれています。

ディレクトリ サービスは、ディレクトリを管理します。ディレクトリは、情報を保有するデータベースです。ディレクトリ サービスは、情報を保存するために分散モデルを使用します。その情報は、通常はディレクトリ サーバ間で複製されます。

LDAP ディレクトリは、単純なツリー階層で編成されており、数多くのサーバ間で分散できます。各サーバには、定期的に同期化されるディレクトリ全体の複製バージョンを配置できます。

ツリーのエントリにはアトリビュートのセットが含まれており、各アトリビュートには名前(アトリビュート タイプまたはアトリビュートの説明)と 1 つ以上の値があります。アトリビュートはスキーマに定義されます。

各エントリには、固有識別情報、つまり Distinguished Name(DN; 認定者名)があります。この名前には、エントリ内のアトリビュートで構成されている Relative Distinguished Name(RDN; 相対識別名)と、それに続く親エントリの DN が含まれています。DN は完全なファイル名、RDN はフォルダ内の相対ファイル名と考えることができます。

LDAP を使用した認証

ACS 5.2 は、ディレクトリ サーバでバインド操作を実行し、プリンシパルを検索および認証することによって、LDAP ID ストアに対してプリンシパルを認証できます。認証が成功した場合、ACS はプリンシパルに所属するグループおよびアトリビュートを取得できます。取得するアトリビュートは、ACS Web インターフェイス(LDAP ページ)で設定できます。ACS は、これらのグループおよびアトリビュートを使用してプリンシパルを認可できます。

ユーザの認証または LDAP ID ストアの問い合せを行うために、ACS は LDAP サーバに接続し、接続プールを保持します。「LDAP 接続管理」を参照してください。

複数の LDAP インスタンス

ACS 5.2 に複数の LDAP インスタンスを作成できます。IP アドレスまたはポートの設定が異なる複数の LDAP インスタンスを作成することにより、異なる LDAP サーバを使用するか、または同じ LDAP サーバ上の異なるデータベースを使用して認証を行うように、ACS を設定できます。

プライマリ サーバの各 IP アドレスおよびポートの設定は、セカンダリ サーバの IP アドレスおよびポートの設定とともに、ACS LDAP ID ストア インスタンスに対応する LDAP インスタンスを形成します。

ACS 5.2 では、個々の LDAP インスタンスが固有の LDAP データベースに対応している必要はありません。複数の LDAP インスタンスを、同一のデータベースにアクセスするように設定できます。

この方法は、LDAP データベースにユーザまたはグループのサブツリーが複数含まれている場合に役立ちます。各 LDAP インスタンスでは、ユーザとグループに対してそれぞれ単一のサブツリー ディレクトリだけをサポートするため、ACS が認証要求を送信する必要があるユーザ ディレクトリ サブツリーとグループ ディレクトリ サブツリーの組み合せごとに、別々の LDAP インスタンスを設定する必要があるからです。

フェールオーバー

ACS 5.2 では、プライマリ LDAP サーバとセカンダリ LDAP サーバ間でのフェールオーバーがサポートされています。ACS による LDAP 認証のコンテキストでは、ACS が LDAP サーバに接続できないために認証要求が失敗した場合に、フェールオーバーが適用されます。

たとえば、サーバがダウンした場合や ACS がサーバに到達できない場合などです。この機能を使用するには、プライマリとセカンダリの LDAP サーバを定義する必要があり、フェールオーバー設定を行う必要があります。

フェールオーバー設定を行い、ACS が接続しようとする最初の LDAP サーバに到達できない場合には、常に ACS は他の LDAP サーバへの接続を試みます。

ACS が接続を試みる最初のサーバは、プライマリ LDAP サーバであるとはかぎりません。ACS が接続を試みる最初の LDAP サーバは、その前に試みた LDAP 認証と、[Failback Retry Delay] ボックスに入力する値によって決まります。

LDAP 接続管理

ACS 5.2 では、複数の同時 LDAP 接続がサポートされています。接続は、最初の LDAP 認証時にオン デマンドで開かれます。最大接続数は、LDAP サーバごとに設定されます。事前に接続を開いておくと、認証時間が短縮されます。

同時バインディング接続に使用する最大接続数を設定できます。開かれる接続の数は、LDAP サーバ(プライマリまたはセカンダリ)ごとに異なる場合があり、サーバごとに設定される最大管理接続数によって決まります。

ACS は、ACS で設定されている LDAP サーバごとに、開いている LDAP 接続(バインド情報を含む)のリストを保持します。認証プロセス中に、Connection Manager は開いている接続をプールから検索しようとします。開いている接続が存在しない場合、新しい接続が開かれます。

LDAP サーバが接続を閉じた場合、Connection Manager はディレクトリを検索する最初のコールでエラーをレポートし、接続を更新しようとします。

認証プロセスが完了したあと、Connection Manager は Connection Manager への接続を解放します。

バインド接続を使用したユーザの認証

ACS は、バインド要求を送信して、LDAP サーバに対してユーザを認証します。バインド要求には、ユーザの DN およびユーザ パスワードがクリア テキストで含まれています。ユーザの DN およびパスワードが LDAP ディレクトリ内のユーザ名およびパスワードと一致した場合に、ユーザは認証されます。

認証エラー:ACS は認証エラーを ACS ログ ファイルにロギングします。

初期化エラー:LDAP サーバのタイムアウト設定を使用して、LDAP サーバでの接続または認証が失敗したと判断する前に ACS が LDAP サーバからの応答を待つ秒数を設定します。

LDAP サーバが初期化エラーを返す理由で考えられるのは、次のとおりです。

LDAP がサポートされていない。

サーバがダウンしている。

サーバがメモリ不足である。

ユーザに特権がない。

間違った管理者クレデンシャルが設定されている。

バインド エラー

LDAP サーバがバインド(認証)エラーを返す理由で考えられるのは、次のとおりです。

フィルタリング エラー:フィルタ基準を使用した検索が失敗する。

パラメータ エラー:無効なパラメータが入力された。

ユーザ アカウントが制限されている(ディセーブル、ロックアウト、期限切れ、パスワード期限切れなど)。

外部リソース エラーとして次のエラーがロギングされ、LDAP サーバで考えられる問題が示されます。

接続エラーが発生した。

タイムアウトが期限切れになった。

サーバがダウンしている。

サーバがメモリ不足である。

未知ユーザ エラーとして次のエラーがロギングされます。

データベースにユーザが存在しない。

無効パスワード エラーとして次のエラーがロギングされます。ユーザは存在しますが、送信されたパスワードが無効です。

An invalid password was entered.

グループ メンバーシップ情報の取得

ユーザ認証、ユーザ ルックアップ、および MAC アドレス ルックアップのために、ACS は LDAP データベースからグループ メンバーシップ情報を取得する必要があります。LDAP サーバは、サブジェクト(ユーザまたはホスト)とグループ間の関連付けを次の 2 つの方法のいずれかで表します。

グループがサブジェクトを参照:グループ オブジェクトには、サブジェクトを指定するアトリビュートが含まれています。サブジェクトの識別子は、次のようなグループに保存できます。

認定者名(DN)

プレーン ユーザ名

サブジェクトがグループを参照:サブジェクト オブジェクトには、所属するグループを指定するアトリビュートが含まれています。

LDAP ID ストアには、グループ メンバーシップ情報の取得のために次のパラメータが含まれています。

Reference Direction:グループ メンバーシップを決定するときに使用する方法を指定します(Groups to Subjects または Subjects to Groups)。

Group Map Attribute:グループ メンバーシップ情報を含むアトリビュートを示します。

Group Object Class:特定のオブジェクトをグループとして認識することを決定します。

Group Search Subtree:グループ検索の検索ベースを示します。

Member Type Option:グループ メンバー アトリビュートにメンバーが保存される方法を指定します(DN として、またはプレーン ユーザ名として)。

アトリビュート取得

ユーザ認証、ユーザ ルックアップ、および MAC アドレス ルックアップのために、ACS は LDAP データベースからサブジェクト アトリビュートを取得する必要があります。LDAP ID ストアのインスタンスごとに、ID ストア ディクショナリが作成されます。これらのディレクトリでは、次のデータ型のアトリビュートがサポートされています。

String

Unsigned Integer 32

IPv4 Address

符号なし整数および IPv4 アトリビュートの場合、ACS は取得した文字列を対応するデータ型に変換します。変換が失敗した場合、またはアトリビュートに対して値が取得されなかった場合、ACS ではデバッグ メッセージをロギングしますが、認証およびルックアッププロセスは失敗しません。

変換が失敗した場合、または ACS でアトリビュートに対して値が取得されなかった場合、ACS が使用できるアトリビュートのデフォルト値を任意で設定できます。

証明書取得

ユーザ ルックアップの一部として証明書取得を設定した場合、ACS は証明書アトリビュートの値を LDAP から取得する必要があります。これを実行するには、LDAP ID ストアの設定時に、取得するアトリビュートのリストに証明書アトリビュートを設定しておく必要があります。

外部 LDAP ID ストアの作成


) ACS 用の LDAP ID ストアを設定しても、LDAP データベースの設定には影響を与えません。ACS は LDAP データベースを認識し、データベースを認証の対象とすることができます。使用している LDAP データベースを管理するには、そのデータベースのマニュアルを参照してください。


LDAP ID ストアを作成すると、ACS によって次のものも作成されます。

そのストア用の新しいディクショナリ。2 つのアトリビュート ExternalGroups および IdentityDn があります。

ExternalGroup アトリビュートからのグループ マッピングのカスタム条件。条件名の形式は LDAP: ID_store_name ExternalGroups です。

事前定義済みの条件名を編集でき、[Custom condition] ページで IdentityDn アトリビュートからカスタム条件を作成できます。「カスタム セッション条件の作成、複製、および編集」を参照してください。

外部 LDAP ID ストアを作成、複製、または編集するには、次の手順を実行します。


ステップ 1 [Users and Identity Stores] > [External Identity Stores] > [LDAP] を選択します。

[LDAP Identity Stores] ページが表示されます。

ステップ 2 [Create] をクリックします。次のことも実行できます。

複製する ID ストアの隣にあるチェックボックスをオンにし、[Duplicate] をクリックします。

変更する ID ストア名をクリックします。または、名前の隣にあるボックスをオンにして [Edit] をクリックします。

ID ストアを作成している場合は、ウィザードの最初のページである [General] が表示されます。

ID ストアを複製している場合は、[External Identity Stores] > [Duplicate: " <idstore> "] ページの [General] タブが表示されます。 <idstore> は、選択した外部 ID ストアの名前です(これはタブのようにも見えますが、「>」がメニュー パスであることを示しています)。

ID ストアを編集している場合は、[External Identity Stores] > [Edit: " <idstore> "] ページの [General] タブが表示されます。 <idstore> は、選択した外部 ID ストアの名前です。

ステップ 3 必要に応じて、[Name] フィールドおよび [Description] フィールドに入力します。

ステップ 4 [Next] をクリックします。

ステップ 5 「外部 LDAP サーバ接続の設定」を続行します。


 

関連トピック

「外部 LDAP ID ストアの削除」

外部 LDAP サーバ接続の設定

このページは、外部 LDAP ID ストアを設定する場合に使用します。


ステップ 1 [Users and Identity Stores] > [External Identity Stores] > [LDAP] を選択し、次のいずれかをクリックします。

[Create]。ウィザードに従います。

[Duplicate]。次に [Next] をクリックします。[Server Connection] ページが表示されます。

[Edit]。次に [Next] をクリックします。[Server Connection] ページが表示されます。

 

表 8-7 [LDAP: Server Connection] ページ

オプション
説明
Server Connection

Enable Secondary Server

セカンダリ LDAP サーバをイネーブルにする場合にオンにします。プライマリ LDAP サーバに障害が発生した場合のバックアップとして使用します。このチェックボックスをオンにする場合は、セカンダリ LDAP サーバの設定パラメータを入力する必要があります。

Always Access Primary Server First

セカンダリ LDAP サーバにアクセスする前にプライマリ LDAP サーバにアクセスする場合にクリックします。

Failback to Primary Server After <min.> Minutes

プライマリ サーバに到達できない場合に ACS がセカンダリ LDAP サーバを使用して認証する時間(分単位)を設定する場合にクリックします。< min. > は時間(分単位)です。この時間のあと、ACS はプライマリ LDAP サーバを使用した認証を再試行します(デフォルト = 5)。

Primary Server

Hostname

プライマリ LDAP ソフトウェアを実行しているマシンの IP アドレスまたは DNS 名を入力します。ホスト名は 1 ~ 256 文字か、または文字列として表される有効な IP アドレスです。ホスト名の有効な文字は、英数字(a ~ z、A ~ Z、0 ~ 9)、ドット(.)、およびハイフン(-)だけです。

Port

プライマリ LDAP サーバが受信している TCP/IP ポート番号を入力します。有効な値は 1 ~ 65,535 です。デフォルトは、LDAP 仕様の記述に従って 389 です。ポート番号が不明な場合は、LDAP サーバの管理者に問い合せることによって、ポート番号を取得できます。

Anonymous Access

LDAP ディレクトリの検索が匿名で行われるようにする場合にクリックします。サーバによって、クライアントが誰かは区別されず、認証されていないクライアントに対してアクセス可能に設定されているデータへのクライアント読み取りアクセスが許可されます。

認証情報をサーバに送信することを許可する特定のポリシーがない場合、クライアントは匿名接続を使用する必要があります。

Authenticated Access

LDAP ディレクトリの検索が管理クレデンシャルによって行われるようにする場合にクリックします。その場合、[Admin DN] および [Password] フィールドの情報を入力します。

Admin DN

管理者の認定者名を入力します。つまり、User Directory Subtree 内の必要なすべてのユーザの検索が許可され、グループの検索が許可されている LDAP アカウントです。

指定した管理者に対して、検索でのグループ名アトリビュートの表示が許可されていない場合、LDAP が認証したユーザのグループ マッピングは失敗します。

Password

LDAP 管理者アカウントのパスワードを入力します。

Use Secure Authentication

Secure Sockets Layer(SSL)を使用して ACS とプライマリ LDAP サーバ間の通信を暗号化する場合にクリックします。[Port] フィールドに LDAP サーバでの SSL に使用されるポート番号が入力されていることを確認します。このオプションをイネーブルにした場合は、ルート CA を選択する必要があります。

Root CA

ドロップダウン リスト ボックスから信頼できるルート認証局を選択して、証明書による安全な認証をイネーブルにします。

Server Timeout <sec.> Seconds

プライマリ LDAP サーバでの接続または認証が失敗したと判断する前に ACS がプライマリ LDAP サーバからの応答を待つ秒数を入力します。 <sec.> は秒数です。有効な値は 1 ~ 300 です(デフォルト = 10)。

Max Admin Connections

特定の LDAP 設定に対して実行できる LDAP 管理者アカウント権限での同時接続の最大数(0 より大きい数)を入力します。これらの接続は、User Directory Subtree および Group Directory Subtree の下にあるユーザおよびグループのディレクトリの検索に使用されます。有効な値は 1 ~ 99 です(デフォルト = 8)。

Test Bind To Server

プライマリ LDAP サーバの詳細およびクレデンシャルが正常にバインドできることをテストおよび確認する場合にクリックします。テストが失敗した場合は、LDAP サーバの詳細を編集して再テストします。

Secondary Server

Hostname

セカンダリ LDAP ソフトウェアを実行しているマシンの IP アドレスまたは DNS 名を入力します。ホスト名は 1 ~ 256 文字か、または文字列として表される有効な IP アドレスです。ホスト名の有効な文字は、英数字(a ~ z、A ~ Z、0 ~ 9)、ドット(.)、およびハイフン(-)だけです。

Port

セカンダリ LDAP サーバが受信している TCP/IP ポート番号を入力します。有効な値は 1 ~ 65,535 です。デフォルトは、LDAP 仕様の記述に従って 389 です。ポート番号が不明な場合は、LDAP マシン上に DS プロパティを表示することによって、ポート番号を取得できます。

Anonymous Access

LDAP ディレクトリの検索が匿名で行われるようにする場合にクリックします。サーバによって、クライアントが誰かは区別されず、認証されていないクライアントに対してアクセス可能に設定されているデータへのクライアント アクセス(読み取りおよび更新)が許可されます。

認証情報をサーバに送信することを許可する特定のポリシーがない場合、クライアントは匿名接続を使用する必要があります。

Authenticated Access

LDAP ディレクトリの検索が管理クレデンシャルによって行われるようにする場合にクリックします。その場合、[Admin DN] および [Password] フィールドの情報を入力します。

Admin DN

管理者のドメイン名を入力します。つまり、User Directory Subtree 内の必要なすべてのユーザの検索が許可され、グループの検索が許可されている LDAP アカウントです。

指定した管理者に対して、検索でのグループ名アトリビュートの表示が許可されていない場合、LDAP が認証したユーザのグループ マッピングは失敗します。

Password

LDAP 管理者アカウントのパスワードを入力します。

Use Secure Authentication

Secure Sockets Layer(SSL)を使用して ACS とセカンダリ LDAP サーバ間の通信を暗号化する場合にクリックします。[Port] フィールドに LDAP サーバでの SSL に使用されるポート番号が入力されていることを確認します。このオプションをイネーブルにした場合は、ルート CA を選択する必要があります。

Root CA

ドロップダウン リスト ボックスから信頼できるルート認証局を選択して、証明書による安全な認証をイネーブルにします。

Server Timeout <sec.> Seconds

セカンダリ LDAP サーバでの接続または認証が失敗したと判断する前に ACS がセカンダリ LDAP サーバからの応答を待つ秒数を入力します。 <sec.> は秒数です。有効な値は 1 ~ 300 です(デフォルト = 10)。

Max Admin Connections

特定の LDAP 設定に対して実行できる LDAP 管理者アカウント権限での同時接続の最大数(0 より大きい数)を入力します。これらの接続は、User Directory Subtree および Group Directory Subtree の下にあるユーザおよびグループのディレクトリの検索に使用されます。有効な値は 1 ~ 99 です(デフォルト = 8)。

Test Bind To Server

セカンダリ LDAP サーバの詳細およびクレデンシャルが正常にバインドできることをテストおよび確認する場合にクリックします。テストが失敗した場合は、LDAP サーバの詳細を編集して再テストします。

ステップ 2 [Next] をクリックします。

ステップ 3 「外部 LDAP ディレクトリ構成の設定」を続行します。


 

外部 LDAP ディレクトリ構成の設定

このページは、外部 LDAP ID ストアを設定する場合に使用します。


ステップ 1 [Users and Identity Stores] > [External Identity Stores] > [LDAP] を選択し、次のいずれかをクリックします。

[Create]。[Directory Organization] ページに到達するまでウィザードに従います。

[Duplicate]。[Directory Organization] ページが表示されるまで [Next] をクリックします。

[Edit]。[Directory Organization] ページが表示されるまで [Next] をクリックします。

 

表 8-8 [LDAP: Directory Organization] ページ

オプション
説明
Schema

Subject Object class

サブジェクトを識別する LDAP objectClass アトリビュートの値。多くの場合、サブジェクト レコードの objectClass アトリビュートには複数の値があり、サブジェクトに固有のものや、他のオブジェクト タイプと共有されているものがあります。

このボックスには、共有されていない値を入力する必要があります。有効な値は 1 ~ 20 文字であり、有効な LDAP オブジェクト タイプである必要があります。このパラメータには、任意の UTF-8 文字を含めることができます(デフォルト = Person)。

Group Object class

オブジェクトをグループとして識別する検索で使用するグループ オブジェクト クラスを入力します(デフォルト = GroupOfUniqueNames)。

Subject Name Attribute

サブジェクト名を含むサブジェクト レコード内のアトリビュート名。このアトリビュート名は、ディレクトリ サーバから取得できます。このアトリビュートによって、LDAP スキーマ内のサブジェクト名が指定されます。このアトリビュートを使用して、サブジェクト オブジェクトを検索するクエリーを作成します。

詳細については、LDAP データベースに関するドキュメントを参照してください。有効な値は 1 ~ 20 文字であり、有効な LDAP アトリビュートである必要があります。このパラメータには、任意の UTF-8 文字を含めることができます。一般的な値は、 uid および CN です(デフォルト = uid)。

Group Map Attribute

ユーザ認証、ユーザ ルックアップ、および MAC アドレス ルックアップのために、ACS は LDAP データベースからグループ メンバーシップ情報を取得する必要があります。LDAP サーバは、サブジェクト(ユーザまたはホスト)とグループ間の関連付けを次の 2 つの方法のいずれかで表します。

グループがサブジェクトを参照

サブジェクトがグループを参照

[Group Map Attribute] には、マッピング情報を入力します。

マッピング情報を含むアトリビュート(次の条件に従って、サブジェクトまたはグループのアトリビュート)を入力する必要があります。

[Subject Objects Contain Reference To Groups] オプション ボタンを選択した場合は、サブジェクト アトリビュートを入力します。

[Group Objects Contain Reference To Subjects] オプション ボタンを選択した場合は、グループ アトリビュートを入力します。

Certificate Attribute

証明書定義を含むアトリビュートを入力します。証明書認証プロファイルの一部として定義されたときに、これらの定義を任意で使用して、クライアントによって提示された証明書を確認できます。その場合、クライアント証明書と LDAP ID ストアから取得された証明書の間でバイナリ比較が実行されます。

Subject Objects Contain Reference To Groups

サブジェクト オブジェクトにグループの参照が含まれる場合にクリックします。

Group Objects Contain Reference To Subjects

グループ オブジェクトにサブジェクトの参照が含まれる場合にクリックします。

Subjects In Groups Are Stored In Member Attribute As

ドロップダウン リスト ボックスを使用して、グループ内のサブジェクトがメンバー アトリビュートに次のうちのいずれとして保存されるかを指定します。

Username

Distinguished name

Directory Structure

Subject Search Base

すべてのサブジェクトを含むサブツリーの認定者名(DN)を入力します。次の例を参考にしてください。

o=corporation.com

サブジェクトを含むツリーがベース DN である場合は、LDAP 設定に応じて

o=corporation.com

または

dc=corporation,dc=com

と入力します。詳細については、LDAP データベースに関するドキュメントを参照してください。

Group Search Base

すべてのグループを含むサブツリーの認定者名(DN)を入力します。次の例を参考にしてください。

ou=organizational unit[,ou=next organizational unit]o=corporation.com

グループを含むツリーがベース DN である場合は、LDAP 設定に応じて

o=corporation.com

または

dc=corporation,dc=com

と入力します。詳細については、LDAP データベースに関するドキュメントを参照してください。

Test Configuration

設定の結果として生ずる可能性があるユーザおよびグループの数をカウントすることによって、予期される接続およびスキーマの結果を取得する場合にクリックします。

Username Prefix¥Suffix Stripping

Strip start of subject name up to the last occurrence of the separator

ユーザ名からドメイン プレフィックスを削除するために適切なテキストを入力します。

ユーザ名の中で、[ start_string ] ボックスに指定した区切り文字が検出されると、そのユーザ名の初めから区切り文字までのすべての文字が削除されます。

ユーザ名に、[ start_string ] ボックスに指定した文字が複数含まれている場合は、最後の区切り文字までの文字が削除されます。たとえば、区切り文字がバックスラッシュ(\)で、ユーザ名が DOMAIN¥echamberlain である場合、echamberlain が LDAP サーバに送信されます。

[ start_string ] ボックスには、特殊文字であるシャープ記号(#)、疑問符(?)、引用符(")、アスタリスク(*)、右山カッコ(>)、および左山カッコ(<)を入力できません。ACS では、ユーザ名にこれらの文字を使用できません。X ボックスにこれらの文字のいずれかを入力すると、ストリッピングが失敗します。

Strip end of subject name from the first occurrence of the separator

ユーザ名からドメイン サフィックスを削除するために適切なテキストを入力します。

ユーザ名の中で、Y ボックスに指定した区切り文字が検出されると、その区切り文字からユーザ名の末尾までのすべての文字が削除されます。

ユーザ名に、Y ボックスに指定した文字が複数含まれる場合は、最初の区切り文字から文字が削除されます。たとえば、区切り文字がアットマーク(@)で、ユーザ名が jwiedman@domain である場合、 jwiedman が LDAP サーバに送信されます。

[ end_string ] ボックスには、特殊文字であるシャープ記号(#)、疑問符(?)、引用符(")、アスタリスク(*)、右山カッコ(>)、および左山カッコ(<)を入力できません。ACS では、ユーザ名にこれらの文字を使用できません。[ end_string ] ボックスにこれらの文字のいずれかを入力すると、ストリッピングが失敗します。

MAC Address Format

Search for MAC Address in Format <format>

内部 ID ストアの MAC アドレスは、xx-xx-xx-xx-xx-xx 形式で保存されます。LDAP データベースの MAC アドレスは、別の形式で保存できます。ただし、ACS でホスト ルックアップ要求が受信されると、MAC アドレスは内部形式からこのフィールドで指定した形式に変換されます。

ドロップダウン リスト ボックスを使用して、特定の形式での MAC アドレスの検索をイネーブルにします。 <format> は次のいずれかです。

xxxxxxxxxxxx

xx-xx-xx-xx-xx-xx

xx:xx:xx:xx:xx:xx

xxxx.xxxx.xxxx

選択する形式は、LDAP サーバに保存されている MAC アドレスの形式と一致している必要があります。

ステップ 2 [Finish] をクリックします。

作成した外部 ID ストアが保存されます。


 

関連トピック

「LDAP グループの設定」

「外部 LDAP ID ストアの削除」

外部 LDAP ID ストアの削除

1 つ以上の外部 LDAP ID ストアを同時に削除できます。

外部 LDAP ID ストアを削除するには、次の手順を実行します。


ステップ 1 [Users and Identity Stores] > [External Identity Stores] > [LDAP] を選択します。

[LDAP Identity Stores] ページが表示され、設定されている外部 ID ストアのリストが示されます。

ステップ 2 削除する外部 ID ストアの隣にあるチェックボックスを 1 つ以上オンにします。

ステップ 3 [Delete] をクリックします。

次のエラー メッセージが表示されます。

Are you sure you want to delete the selected item/items?

ステップ 4 [OK] をクリックします。

[External Identity Stores] ページが表示されます。このとき、削除した ID ストアはリストに含まれません。


 

関連トピック

「外部 LDAP ID ストアの作成」

LDAP グループの設定

このページは、外部 LDAP グループを設定する場合に使用します。


ステップ 1 [Users and Identity Stores] > [External Identity Stores] > [LDAP] を選択し、次のいずれかをクリックします。

[Create]。ウィザードに従います。

[Duplicate]。次に [Directory Groups] タブをクリックします。

[Edit]。次に [Directory Groups] タブをクリックします。

[Selected Directory Groups] フィールドに、規則テーブル グループ マッピング条件でオプションとして使用できるグループのリストが表示されます。

ステップ 2 次のいずれかを実行します。

[Select] をクリックして、[Groups] セカンダリ ウィンドウを開きます。このウィンドウからグループを選択して [Selected Directory Groups] リストに追加できます。

または、[Group Name] フィールドに LDAP グループを入力して [Add] をクリックすることもできます。

選択したグループを [Selected Directory Groups] リストから削除するには、そのグループを [Selected Directory Groups] リストで選択して [Deselect] をクリックします。

ステップ 3 [Submit] をクリックして変更を保存します。


 

LDAP アトリビュートの表示

このページは、外部 LDAP アトリビュートを表示する場合に使用します。


ステップ 1 [Users and Identity Stores] > [External Identity Stores] > [LDAP] を選択します。

ステップ 2 アトリビュートを表示する LDAP ID ストアの隣にあるチェックボックスをオンにし、[Edit] をクリックして、[Directory Attributes] タブをクリックします。

ステップ 3 [Name of example Subject to Select Attributes] フィールドに、アトリビュートを取得するオブジェクト例の名前を入力し、[Select] をクリックします。

たとえば、オブジェクトをユーザにして、オブジェクト名をユーザ名またはユーザの DN にすることができます。

ステップ 4 表 8-9 の説明に従って、フィールドに入力します。

 

表 8-9 [LDAP: Attributes] ページ

オプション
説明

Attribute Name

ポリシー条件で使用可能なアトリビュートのリストに含めるアトリビュート名を入力します。

Type

[Attribute Name] フィールドに入力したアトリビュート名に関連付けるタイプを選択します。

Default

[Attribute Name] フィールドに入力したアトリビュート名に関連付けるデフォルト値を指定します。デフォルト値を指定しない場合、デフォルトは使用されません。

[Select] ボタンによって [Attribute Name/Type/Default] ボックスにアトリビュートがインポートされた場合は、これらのデフォルト値が使用されます。

String:アトリビュート名

Unsigned Integer 32

IPv4 Address

Policy Condition Name

任意 )このアトリビュートのカスタム条件の名前を指定します。この条件は、ポリシーの条件をカスタマイズするときに選択できます。

ステップ 5 [Add] をクリックすると、入力した情報が画面上のフィールドに追加されます。

ここに表示されるアトリビュートをポリシー条件で使用できます。

ステップ 6 [Submit] をクリックして変更を保存します。


 

外部 MAB データベースとしての Cisco NAC Profiler の利用

ACS は、Cisco NAC Profiler と通信して、802.1X 非対応デバイスが 802.1X 対応ネットワークで認証できるようにします。802.1X を使用して認証できないエンドポイントは、スイッチで MAC Authentication Bypass(MAB)機能を使用して、802.1X 対応ネットワークに接続します。

一般的に、プリンタ、ファクス装置、IP 電話、Uninterruptible Power Supply(UPS; 無停電電源装置)などの非ユーザ接続デバイスには、802.1x サプリカントは装備されていません。

つまり、これらのデバイスが接続するスイッチ ポートは、デバイスまたはユーザ クレデンシャルの 802.1X 交換を使用してデバイスを認証できず、デバイスがネットワークに接続するには、スイッチ ポートはポートベースの認証以外の認証メカニズム(一般的に、エンドポイント MAC アドレスベース)に戻る必要があります。

Cisco NAC Profiler は、これらのシステムの認証コンポーネントと連携動作できないエンドポイントを識別して特定するためのソリューションを提供します。その結果、これらのエンドポイントにネットワークへのアドミッションのための代替メカニズムを提供できます。

NAC Profiler は、LDAP 対応ディレクトリで構成されます。このディレクトリは、MAC Authentication Bypass(MAB)に使用できます。したがって、NAC Profiler は ACS の外部 LDAP データベースとして機能して、802.1X 非対応デバイスを認証します。


) ACS 内部ホスト データベースを使用すると、802.1X 非対応デバイスの MAC アドレスを定義できます。ただし、NAC Profiler がすでにネットワーク内にある場合は、それを外部 MAB データベースとして使用できます。


Cisco NAC Profiler を外部 MAB データベースとして利用するには、次のことを実行する必要があります。

Cisco NAC Profiler で LDAP インターフェイスをイネーブルにします。「Cisco NAC Profiler での LDAP インターフェイスのイネーブル化による ACS との通信」を参照してください。

ACS で NAC Profiler を設定します。「ID ポリシーで使用するための ACS での NAC Profiler LDAP 定義の設定」を参照してください。

Cisco NAC Profiler での LDAP インターフェイスのイネーブル化による ACS との通信


) NAC Profiler で LDAP インターフェイスをイネーブルにする前に、NAC Profiler Collector で NAC Profiler を設定しておきます。Cisco NAC Profiler の設定の詳細については、『Cisco NAC Profiler Installation and Configuration Guide』を参照してください。このマニュアルは、次の Web サイトから入手できます。http://www.cisco.com/en/US/products/ps8464/products_installation_and_configuration_guides_list.html


NAC Profiler で LDAP インターフェイスをイネーブルにして ACS と通信するには、次の手順を実行します。


ステップ 1 Cisco NAC Profiler にログインします。

ステップ 2 [Configuration] > [NAC Profiler Modules] > [List NAC Profiler Modules] を選択します。

ステップ 3 [Server] をクリックします。

[Configure Server] ページが表示されます。

ステップ 4 [LDAP Configuration] 領域で、図 8-1 に示すように [Enable LDAP] チェックボックスをオンにします。

図 8-1 NAC Profiler での LDAP インターフェイス設定

 

 

ステップ 5 [Update Server] をクリックします。

ステップ 6 [Configuration] タブをクリックし、[Apply Changes] をクリックします。

[Update NAC Profiler Modules] ページが表示されます。

ステップ 7 [Update Modules] をクリックして、ACS で LDAP を使用できるようにします。

Cisco NAC Profiler に対して認証するエンドポイント プロファイルをイネーブルにする必要があります。その実行方法については、「LDAP 認証に対する NAC Profiler でのエンドポイント プロファイルの設定」を参照してください。


 

適切なアクティブ応答イベントを確保するため、Cisco NAC Profiler UI からアクティブ応答遅延時間を設定する必要があります。これには、[Configuration] > [NAC Profiler Modules] > [Configure Server] > [Advanced Options] > [Active Response Delay] を選択します。

LDAP 認証に対する NAC Profiler でのエンドポイント プロファイルの設定

認証する非 802.1X エンドポイントについて、LDAP 認証に対して NAC Profiler で対応するエンドポイント プロファイルをイネーブルにする必要があります。


) プロファイルが LDAP に対してイネーブルになっていない場合、Cisco NAC Profiler によるプロファイルのエンドポイントの認証は行われません。


LDAP 認証に対してエンドポイント プロファイルをイネーブルにするには、次の手順を実行します。


ステップ 1 NAC Profiler にログインします。

ステップ 2 [Configuration] > [Endpoint Profiles] > [View/Edit Profiles List] を選択します。

プロファイルのリストがテーブルに表示されます。

ステップ 3 プロファイルの名前をクリックして編集します。

ステップ 4 [Save Profile] ページで、図 8-2 に示すように、まだ行っていない場合は [LDAP] オプションの隣にある [Yes] オプション ボタンをクリックしてイネーブルにします。

図 8-2 NAC Profiler でのエンドポイント プロファイルの設定

 

 

ステップ 5 [Save Profile] をクリックします。


 

ID ポリシーで使用するための ACS での NAC Profiler LDAP 定義の設定

ACS をインストールすると、NAC Profiler 用の事前定義済み LDAP データベース定義がインストールされます。NAC Profiler に対して事前に定義されたこのデータベースの定義には、初期接続の確立に必要なすべてのデータが含まれています。ただし、特定の展開設定によって異なるホスト情報を除きます。

次の手順では、ホスト情報の設定方法、接続の確認方法、およびポリシーでのプロファイル データベースの使用方法について説明します。


) [Access Policies] > [Access Services] > [Default Network Access] > [Identity] で ACS NAC Profiler が選択されていることを確認します。



) LDAP 外部 ID ストアで使用できる ACS の NAC Profiler テンプレートは、Cisco NAC Profiler バージョン 2.1.8 以降で使用できます。


ACS で NAC Profiler テンプレートを編集するには、次の手順を実行します。


ステップ 1 [Users and Identity Stores] > [External Identity Stores] > [LDAP] を選択します。

ステップ 2 NAC Profiler テンプレートの名前をクリックします。または、NAC Profiler テンプレートの隣にあるチェックボックスをオンにして [Edit] をクリックします。

図 8-3 に示すように、[Edit NAC Profiler definition] ページが表示されます。

図 8-3 [Edit NAC Profiler Definition - General] ページ

 

 

ステップ 3 [Server Connection] タブをクリックします。

図 8-4 に示すように、[Edit] ページが表示されます。

図 8-4 [Edit NAC Profiler Definition - Server Connection] ページ

 

 

ステップ 4 [Primary Server Hostname] フィールドに、Profiler Server の IP アドレスまたは完全修飾ドメイン名を入力します。または、Profiler がハイ アベイラビリティ設定されている場合は、Profiler ペアのサービス IP を入力します。

ステップ 5 [Test Bind to Server] をクリックして、接続をテストし、ACS が LDAP を使用して Profiler と通信できることを確認します。

図 8-5 に示すような小さなポップアップ ダイアログが表示されます。

図 8-5 [Test Bind to Server] ダイアログボックス

 

詳細については、「外部 LDAP ID ストアの作成」を参照してください。


) LDAP のデフォルト パスワードは GBSbeacon です。このパスワードを変更する場合は、次の Web サイトで『Cisco NAC Profiler Installation and Configuration Guide』を参照してください。http://www.cisco.com/en/US/docs/security/nac/profiler/configuration_guide/310/p_ldap31.html#wp1057155


ステップ 6 成功した場合は、[Directory Organization] タブに移動します。

図 8-6 に示すように、[Edit] ページが表示されます。

図 8-6 [Edit NAC Profiler Definition - Directory Organization] ページ

 

ステップ 7 [Test Configuration] をクリックします。

図 8-7に示すダイアログボックスが表示され、Profiler に対応するデータが示されます。次の例を参考にしてください。

Primary Server

Number of Subjects: 100

Number of Directory Groups: 6

図 8-7 [Test Configuration] ダイアログボックス

 

 

Number of Subjects:この値は、Cisco NAC Profiler によってすでにプロファイリングされている実際のサブジェクト デバイス(Profiler に対してイネーブルな実際のデバイス)に対応します。

Profiler が初期 SNMP トラップ情報をスイッチから受信したあと、Profiler は SNMP を使用してスイッチをポーリングし、スイッチおよび接続するエンドポイントに関する Management Information Base(MIB; 管理情報ベース)情報を収集できます。

Profiler は、エンドポイントについて学習すると(MAC アドレス、スイッチ ポートなど)、エンドポイントをデータベースに追加します。Profiler のデータベースに追加されたエンドポイントは、1 つのサブジェクトと見なされます。

Number of Directory Groups:この値は、Profiler で LDAP に対してイネーブルにされた実際のプロファイルに対応します。ネットワークで Profiler をすでに実行している場合は、エンドポイントのデフォルト プロファイルが事前設定されています。

ただし、すべてのプロファイルは LDAP に対してイネーブルではなく、「LDAP 認証に対する NAC Profiler でのエンドポイント プロファイルの設定」の説明に従って設定する必要があります。Profiler を初めて設定した場合、Profiler が稼動すると、最初は 0 グループと表示される点に注意してください。


) サブジェクトおよびディレクトリ グループは、数が 100 未満の場合に表示されます。サブジェクトまたはディレクトリ グループの数が 100 を超えた場合、サブジェクトおよびディレクトリ グループは表示されません。代わりに、次のようなメッセージが表示されます。

More than 100 subjects are found.


 

ステップ 8 サブジェクト レコードのディレクトリ アトリビュートをポリシー規則でポリシー条件として使用する場合は、[Directory Attributes] タブをクリックします。詳細については、「LDAP アトリビュートの表示」を参照してください。

ステップ 9 ID ポリシーの結果(ID ソース)として NAC Profiler を選択します。詳細については、「ID ポリシーの表示」を参照してください。

ACS サーバからエンドポイントが正常に認証されると、ACS はただちに Change of Authorization(CoA; 認可変更)を実行し、VLAN を変更します。この目的のために、ACS サーバにスタティック VLAN マッピングを設定できます。詳細については、「認可プロファイルでの共通アトリビュートの指定」を参照してください。

エンドポイントが正常に認証されると、スイッチに次のメッセージが表示されます。

ACCESS-Switch# #show authentication sessions
Interface MAC Address Method Domain Status Session ID
Fa1/0/1 0014.d11b.aa36 mab DATA Authz Success 505050010000004A0B41FD15
 


 

イベント配信方式やアクティブ応答などの機能の詳細については、次の Web サイトで『 Cisco NAC Profiler Installation and Configuration Guide, Release 3.1 』を参照してください。 http://www.cisco.com/en/US/docs/security/nac/profiler/configuration_guide/310/p_prof_events31.html

Profiler の統合による MAB 認証のトラブルシューティング

次に、NAC Profiler と統合しながら、MAB 認証のトラブルシューティングを行う手順を示します。


ステップ 1 エンドポイントが正常に認証されたことを確認するには、エンドポイント デバイスに接続しているスイッチで次のコマンドを実行します。

ACCESS-Switch# show authentication sessions
 

次の出力が表示されます。

Interface MAC Address Method Domain Status Session ID
Fa1/0/1 0014.d11b.aa36 mab DATA Authz Success 505050010000004A0B41FD15 reject
 

ステップ 2 スイッチで、SNMP、AAA、および 802.1X に対するデバッグをイネーブルにします。

ステップ 3 認証の失敗または成功については、[Monitoring and Reports Viewer] > [Troubleshooting] で MAB 認証ログを確認します。


 

Microsoft AD

ACS は Microsoft Active Directory(AD)を外部 ID ストアとして使用して、ユーザ、マシン、グループ、アトリビュートなどのリソースを格納します。ACS は、これらのリソースを AD に対して認証します。

サポートされる認証プロトコル

EAP-FAST および PEAP:ACS 5.2 では、MSCHAPv2 および EAP-GTC という内部方式による EAP-FAST と PEAP を使用した、AD に対するユーザとマシンの認証およびパスワード変更がサポートされます。

PAP:ACS 5.2 では、PAP を使用した AD に対する認証がサポートされ、AD ユーザ パスワードを変更することもできます。

MSCHAPv1:ACS 5.2 では、MSCHAPv1 を使用した AD に対するユーザとマシンの認証がサポートされます。MSCHAPv1 バージョン 2 を使用すると、AD ユーザ パスワードを変更できます。ACS では、ユーザの MS-CHAP MPPE-Keys はサポートされませんが、MPPE-Send-Key および MPPE-Recv-Key はサポートされます。


) ACS 5.2 では、MSCHAPv1 バージョン 1 を使用した AD に対するユーザ パスワードの変更はサポートされません。


MSCHAPv2:ACS 5.2 では、MSCHAPv2 を使用した AD に対するユーザとマシンの認証がサポートされます。ACS では、ユーザの MS-CHAP MPPE-Keys はサポートされませんが、MPPE-Send-Key および MPPE-Recv-Key はサポートされます。

EAP-GTC:ACS 5.2 では、EAP-GTC を使用した AD に対するユーザとマシンの認証がサポートされます。

EAP-TLS:ACS では、EAP-TLS を使用した AD に対するユーザとマシンの認証をサポートするために、5.2 で導入された証明書取得オプションが使用されます。

内部 MSCHAPv2 による EAP-FAST および PEAP のパスワード変更もサポートされています。

ACS では、次に示す AD ドメインがサポートされています。

Windows Server 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

ACS Machine Access Restriction(MAR)機能は、AD を使用してマシン認証をユーザ認証および認可にマッピングし、マシン認証と、同じマシンからのユーザの認証の間で許可される最大時間を設定します。

通常、MAR は、ユーザのホスト マシンが認証に成功しない場合、またはマシンおよびユーザの認証間の時間が指定されたエージング タイムを超えた場合に、ユーザの認証に失敗します。必要に応じて、認証および認可規則の条件として MAR を追加できます。

ACS を AD ドメインに追加しようとするときに、ACS と AD は同期化されている必要があります。ACS の時間は、Network Time Protocol(NTP; ネットワーク タイム プロトコル)サーバに従って設定されます。AD と ACS は、いずれも同じ NTP サーバによって同期化されている必要があります。

ACS を AD ドメインに追加するときに時間が同期化されていない場合、ACS によってクロック スキュー エラーが表示されます。アプライアンスでコマンドライン インターフェイスを使用して、AD ドメインが同期化されている同じ NTP サーバと連携するように NTP クライアントを設定する必要があります。

詳細については、次の URL を参照してください。 http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_system/5.2/command/reference/acs5_2_cli.html

ACS 5.2 では、証明書認可がサポートされています。

ACS と AD の間にファイアウォールがある場合は、ACS が AD と通信できるように特定のポートを開く必要があります。開く必要があるデフォルトのポートは次のとおりです。

プロトコル
ポート番号

LDAP

389/udp

SMB

445/tcp

KDC

88/tcp

グローバル カタログ

3268/tcp

KPASS

464/tcp

NTP

123/udp


) ACS では、ダイヤルイン ユーザは AD によってサポートされません。


ここでは、次の内容について説明します。

「マシン認証」

「認可のためのアトリビュート取得」

「認可のためのグループ取得」

「EAP-TLS 認証のための証明書取得」

「同時接続管理」

「ユーザおよびマシン アカウントの制限」

「マシン アクセス制限」

「AD ドメインへの ACS の追加」

「AD ID ストアの設定」

「AD グループの選択」

「AD アトリビュートの設定」

マシン認証

マシン認証では、Active Directory にリストされているコンピュータに対してだけ、ネットワーク サービスへのアクセスが提供されます。このことは、無線ネットワークの場合に特に重要になります。権限のないユーザがオフィスの建物の外から無線アクセス ポイントにアクセスしようとする場合があるためです。

マシン認証は、コンピュータの起動時またはコンピュータへのログイン時に発生します。Funk Odyssey などのサプリカントは、サプリカントの実行中にマシン認証を定期的に実行します。

マシン認証をイネーブルにすると、ユーザ認証要求が到達する前に ACS はコンピュータを認証します。ACS は、コンピュータによって与えられたクレデンシャルを Windows ユーザ データベースに対して確認します。クレデンシャルが一致した場合に、ネットワークへのアクセスがコンピュータに与えられます。

認可のためのアトリビュート取得

認可およびグループ マッピング規則で使用されるユーザまたはマシンの AD アトリビュートを取得するように ACS を設定できます。アトリビュートは ACS ポリシー結果にマッピングされ、ユーザまたはマシンの承認レベルが決定されます。

ACS は、ユーザまたはマシンの認証が成功したあとにユーザおよびマシンの AD アトリビュートを取得します。認証とは別に、認可およびグループ マッピングのためにアトリビュートを取得することもできます。

認可のためのグループ取得

ACS は、認証が成功したあとにユーザまたはマシン グループを Active Directory から取得できます。認証とは別に、認可およびグループ マッピングのためにユーザまたはマシン グループを取得することもできます。AD グループ データを認可およびグループ マッピング テーブルで使用でき、特殊条件を導入して、取得したグループと突き合せることができます。

EAP-TLS 認証のための証明書取得

ACS 5.2 では、EAP-TLS プロトコルを使用するユーザまたはマシン認証のための証明書取得がサポートされています。AD 上のユーザまたはマシン レコードには、バイナリ データ型の証明書アトリビュートが含まれています。これに 1 つ以上の証明書を含めることができます。ACS ではこのアトリビュートは userCertificate として参照され、このアトリビュートに対して他の名前を設定することはできません。

ACS は、ユーザまたはマシンの ID を確認するためにこの証明書を取得します。証明書認証プロファイルによって、証明書を取得するために使用されるフィールド(SAN、CN、または SSN)が決まります。

ACS は、証明書を取得したあと、この証明書とクライアント証明書とのバイナリ比較を実行します。複数の証明書が受信された場合、ACS は、それらのいずれかが一致するかどうかをチェックするために証明書を比較します。一致が見つかった場合、ACS はユーザまたはマシンにネットワークへのアクセスを付与します。

同時接続管理

起動時に、ACS が AD ドメインに接続したあと、ACS はパフォーマンス向上のために、AD ID ストアによって使用される数多くのスレッドを作成します。各スレッドに独自の接続があります。

ユーザおよびマシン アカウントの制限

ユーザまたはマシンの認証または問い合せ中に、ACS は次のことをチェックします。

ユーザ アカウントがディセーブルかどうか

ユーザ アカウントがロックアウトされているかどうか

ユーザのアカウントが期限切れかどうか

クエリー実行が指定されたログイン時間外かどうか

ユーザにこれらの制限のいずれかがある場合、AD 専用ディクショナリ上の AD1::IdentityAccessRestricted アトリビュートが設定され、ユーザのアクセスが制限されることが示されます。このアトリビュートは、グループ マッピングおよび認可規則に使用できます。

マシン アクセス制限

MAR は、マシン認証の結果をユーザ認証および認可プロセスに結びつけるのに役立ちます。MAR の最も一般的な使用法は、ホスト マシンが正常に認証されないユーザの認証を拒否することです。MAR は、すべての認証プロトコルに効果的です。

MAR の機能は、次の点に基づいています。

マシンの RADIUS Calling-Station-ID attribute (31) は、マシン認証の結果として今後の参照用にキャッシュされます。

管理者は、AD の設定ページで上記のキャッシュ エントリの Time To Live(TTL; 存続可能時間)を設定できます。

管理者は、AD の設定ページで MAR をイネーブルにするかどうかを設定できます。ただし、MAR を動作させる場合は、次の制限事項を考慮する必要があります。

認証プロトコルの設定で、マシン認証をイネーブルにする必要があります。

AAA クライアントは、Internet Engineering Task Force(IETF)RADIUS Calling-Station-Id attribute (31) で値を送信する必要があります。

ACS は、正常なマシン認証から Calling-Station-Id attribute 値のキャッシュを複製しません。

ACS は、 Calling-Station-Id attribute のキャッシュを保持しません。したがって、ACS を再起動したり、ACS がクラッシュしたりすると、キャッシュの内容は失われます。管理者がマシン認証に影響する可能性のある設定変更を行った場合、内容の整合性は確認されません。

5.1 については、ダイヤルアップはサポートされていません。

ユーザが AD 外部 ID ストアに対して PEAP または EAP-FAST を使用した認証を行うと、ACS は追加のアクションを実行します。ACS は、ユーザの Calling-Station-Id のキャッシュを検索します。このキャッシュが見つかった場合は、セッション コンテキストで Was-Machine-Authenticated アトリビュートを true に設定し、見つからなかった場合は false に設定します。

上記を正しく機能させるため、ユーザ認証要求に Calling-Station-Id が含まれていることが必要です。このアトリビュートが含まれていない場合は、 Was-Machine-Authenticated アトリビュートを false に設定します。

管理者は、AD GM アトリビュートとマシン認証の必須アトリビュートに基づいた規則を認可ポリシーに追加できます。これらの 2 つのアトリビュートを含む規則は、次の条件を満たしている場合のみ適用されます。

MAR 機能がイネーブルであること

認証プロトコルの設定で、マシン認証がイネーブルであること

外部 ID ストアが AD であること

上記のような規則が評価されると、AD GM および Was-Machine-Authenticated のアトリビュートがセッション コンテキストから取得され、規則の条件と照合されます。この評価の結果に応じて、認可結果が設定されます。

免除リストの機能は、(ACS 4.x とは対照的に)暗黙的にサポートされています)。所定のユーザ グループを MAR から免除するため、管理者は、[AD Group] カラムを免除するグループで構成し、[Machine Authentication Required] カラムを [ No ] で構成するように規則を設定できます。次に示すテーブルの 2 番めの規則がその一例です。

たとえば、管理者は、次のように認可ポリシーに規則を追加します。

 

AD Group
Machine Authentication Required
...
ATZ profile

Engineers

...

VLAN X

Managers

×

...

VLAN B

...

...

...

DENY ACCESS

[Engineers] の規則は、マシンが Windows DB に対して正常に認証された場合に限り、エンジニアにアクセスを許可する MAR 規則の例です。

[Managers] の規則は、MAR からの免除の例です。

AD ドメインへの ACS の追加

ACS Web インターフェイスを使用して ACS で AD ID ストアを設定したあと、その設定を送信して ACS を AD ドメインに追加する必要があります。AD ID ストアの設定方法の詳細については、「AD ID ストアの設定」を参照してください。

関連トピック

「マシン認証」

AD ID ストアの設定

AD ID ストアを設定すると、ACS によって次のものも作成されます。

そのストア用の新しいディクショナリ。ExternalGroups と、[Directory Attributes] ページから取得される任意のアトリビュート用の別のアトリビュートという 2 つのアトリビュートがあります。

新しいアトリビュート IdentityAccessRestricted。このアトリビュートのカスタム条件を手動で作成できます。

ExternalGroup アトリビュートからのグループ マッピングのカスタム条件(カスタム条件名は AD1:ExternalGroups)および [Directory Attributes] ページで選択された各アトリビュート用の別のカスタム条件(AD1:cn など)。

事前定義済みの条件名を編集でき、[Custom condition] ページからカスタム条件を作成できます。「カスタム セッション条件の作成、複製、および編集」を参照してください。

ユーザを認証し、ACS を AD ドメインに追加するには、次の手順を実行します。


ステップ 1 [Users and Identity Stores] > [External Identity Stores] > [Active Directory] を選択します。

[Active Directory] ページが表示されます。

ステップ 2 表 8-10 の説明に従って、[General] タブのフィールドを変更します。

 

表 8-10 [Active Directory: General] ページ

オプション
説明
Connection Details

Active Directory Domain Name

ACS を追加する AD ドメインの名前。

Username

AD に事前定義されたユーザ。ACS では、ドメイン アクセスに必要な AD アカウントに、次のいずれかの権限を必要とします。

対応するドメインのドメイン ユーザ権限にワークステーションを追加する権限。

ACS マシンのアカウントが事前に作成される(ACS マシンをドメインに追加する前に作成される)対応するコンピュータ コンテナに対してコンピュータ オブジェクトを作成する権限またはコンピュータ オブジェクトを削除する権限。

Password

ユーザ パスワードを入力します。

Test Connection

上記のフィールドで指定したユーザ、ドメイン、およびパスワードでの AD との ACS 接続をテストする場合にクリックします。

AD サーバがネットワーク内でルーティング可能かどうか、および指定の AD ユーザ名およびパスワードの認証も実行するかどうかを示すメッセージが表示されます。

(注) AD ドメインに参加するため、ACS ではまず、セキュア接続の作成が試みられます。この試みに失敗すると、次にセキュアでない接続の作成が試みられます。

End User Authentication Settings

Enable password change

パスワード変更を許可する場合にクリックします。

Enable machine authentication

マシン認証を許可する場合にクリックします。

Enable Machine Access Restrictions

マシン認証結果をユーザ認証および認可に関連付ける場合にクリックします。この機能をイネーブルにした場合は、[Aging time] を設定する必要があります。

Aging time (hours) <time>

マシンが認証されたあと、そのマシンからユーザを認証できる時間。この時間が経過すると、ユーザ認証は失敗します。

[Enable Machine Access Restrictions] チェックボックスをクリックした場合は、この時間を設定する必要があります。

Connectivity Status

Joined to Domain

表示のみ。 )設定の保存後([Save Changes] をクリック)、ACS が追加されたドメイン名が表示されます。

Connectivity Status

表示のみ。 )設定の保存後([Save Changes] をクリック)、ACS が追加されたドメイン名の接続ステータスが表示されます。

ステップ 3 次の項目をクリックします。

設定を保存し、設定したクレデンシャルを使用して ACS を指定の AD ドメインに追加し、AD エージェントを起動するには、[Save Changes]。

変更をすべて廃棄するには、[Discard Changes]。

AD がすでに設定されており、それを削除する場合は、次のことを確認したあとで [Clear Configuration]

AD ディクショナリに基づくカスタム条件を使用しているポリシー規則がない。

使用可能なアクセス サービスで AD が ID ソースとして選択されていない。

AD に ID ストア順序がない。

Active Directory の設定が保存されます。[Active Directory] ページが新しい設定で表示されます。


) サービスが再起動されるたびに、ACS は AD ドメインへの新しい追加を実行します。



 

関連トピック

「AD グループの選択」

「AD アトリビュートの設定」

AD グループの選択

このページは、ポリシー条件に使用できるグループを選択する場合に使用します。


) AD からグループおよびアトリビュートを選択するには、ACS がその AD に接続されている必要があります。



ステップ 1 [Users and Identity Stores] > [External Identity Stores] > [Active Directory] を選択し、[Directory Groups] タブをクリックします。

[Groups] ページが表示されます。[Selected Directory Groups] フィールドに、選択して保存した AD グループが表示されます。[External User Groups] ページで選択した AD グループが表示され、規則テーブルのグループ マッピング条件でオプションとして使用できます。

表示されていない他の信頼ドメインまたはフォレストにさらにグループがある場合は、検索フィルタを使用して検索結果を絞り込むことができます。

ステップ 2 [Select] をクリックして、ドメイン(および同じフォレスト内の他の信頼ドメイン)で使用可能な AD グループを表示します。

[External User Groups] ダイアログボックスが表示され、ドメインおよび同じフォレスト内の他の信頼ドメインの AD グループのリストが表示されます。

表示されていないグループがさらにある場合は、検索フィルタを使用して検索を絞り込み、[Go] をクリックします。

ステップ 3 AD グループを入力するか、リストから選択し、[OK] をクリックします。

AD グループをリストから削除するには、AD グループをクリックして [Deselect] をクリックします。

ステップ 4 次の項目をクリックします。

設定を保存するには、[Save Changes]。

変更をすべて廃棄するには、[Discard Changes]。

AD がすでに設定されており、それを削除する場合は、AD ディクショナリに基づくカスタム条件を使用しているポリシー規則がないことを確認したあとで、[Clear Configuration] をクリックします。


 

AD アトリビュートの設定

このページは、ポリシー条件に使用できるアトリビュートを選択する場合に使用します。


ステップ 1 [Users and Identity Stores] > [External Identity Stores] > [Active Directory] を選択し、[Directory Attributes] タブをクリックします。

ステップ 2 表 8-11 の説明に従って、[Active Directory: Attributes] ページのフィールドに入力します。

 

表 8-11 [Active Directory: Attributes] ページ

オプション
説明

Name of example Subject to Select Attributes

追加されたドメインで見つかったユーザまたはコンピュータの名前を入力します。ユーザまたはコンピュータの CN または認定者名を入力できます。

表示されるアトリビュートのセットは、指定するサブジェクトに所属します。アトリビュートのセットは、ユーザおよびコンピュータごとに異なります。

Select

[Attributes] セカンダリ ウィンドウにアクセスする場合にクリックします。このウィンドウには、上記のフィールドに入力した名前のアトリビュートが表示されます。

Attribute Name List:セカンダリ [Selected Attributes] ウィンドウで選択したアトリビュートが表示されます。

Attribute Name

次のいずれかを実行します。

アトリビュートの名前を入力します。

リストからアトリビュートを選択し、[Edit] をクリックしてアトリビュートを編集することもできます。

[Add] をクリックして、アトリビュートを [Attribute Name list] に追加します。

Type

アトリビュート名に関連付けられたアトリビュート タイプ。有効なオプションは次のとおりです。

String

Unsigned Integer 32

IPv4 Address

Default

選択したアトリビュートに対して指定されているアトリビュート デフォルト値。

String:アトリビュート名。

Unsigned Integer 32:0。

IPv4 Address:デフォルト セットなし。

Policy Condition Name

このアトリビュートのカスタム条件名を入力します。たとえば、カスタム条件名が AAA の場合は、このフィールドに AAA を入力します。 AD1: att_name ではありません。

[Select Attributes] セカンダリ ウィンドウ

[Attributes] セカンダリ ウィンドウからだけ使用できます。

Search Filter

ユーザ名またはマシン名を指定します。

ユーザ名の場合、認定者名、SAM、NetBios、または UPN フォーマットを指定できます。

マシン名の場合、MACHINE$、NETBiosDomain¥MACHINE$、host/MACHINE、または host/machine.domain フォーマットのいずれかを指定できます。ユーザ名およびマシン名には英語以外の文字を指定できます。

Attribute Name

上記のフィールドで入力したユーザ名またはマシン名のアトリビュートの名前。

Attribute Type

アトリビュートのタイプ。

Attribute Value

指定したユーザまたはマシンのアトリビュートの値。

ステップ 3 次の項目をクリックします。

設定を保存するには、[Save Changes]。

変更をすべて廃棄するには、[Discard Changes]。

AD がすでに設定されており、それを削除する場合は、AD ディクショナリに基づくカスタム条件を使用しているポリシー規則がないことを確認したあとで、[Clear Configuration] をクリックします。


 

RSA SecurID サーバ

ACS では、外部データベースとして RSA SecurID サーバがサポートされています。RSA SecurID の 2 要素認証は、ユーザの Personal Identification Number(PIN; 個人識別番号)と、タイム コード アルゴリズムに基づいて使い捨てのトークン コードを生成する個別に登録された RSA SecurID トークンで構成されます。

異なるトークン コードが固定間隔(通常は 30 または 60 秒ごと)で生成されます。RSA SecurID サーバでは、この動的な認証コードが確認されます。各 RSA SecurID トークンは固有であり、過去のトークンに基づいて将来のトークンの値を予測することはできません。

そのため、正しいトークン コードが PIN とともに提示された場合、その人が有効なユーザである確実性が高くなります。したがって、RSA SecurID サーバでは、従来の再使用可能なパスワードよりも信頼性の高い認証メカニズムが提供されます。

次のいずれかの方法で、RSA SecurID 認証テクノロジーと統合できます。

RSA SecurID エージェントの使用:ユーザは、RSA のネイティブ プロトコルによってユーザ名およびパスコードで認証されます。

RADIUS プロトコルの使用:ユーザは、RADIUS プロトコルによってユーザ名およびパスコードで認証されます。

ACS 5.2 の RSA SecurID トークン サーバは、RSA SecurID エージェントを使用して RSA SecurID 認証テクノロジーと統合します。

エージェント レコード(sdconf.rec)の作成

ACS 5.2 の RSA SecurID トークン サーバを設定するには、ACS 管理者に sdconf.rec ファイルが必要です。 sdconf.rec ファイルは、RSA エージェントと RSA SecurID サーバ領域との通信方法を指定する設定レコード ファイルです。

sdconf.rec ファイルを作成するために、RSA SecurID サーバ管理者は、RSA SecurID サーバ上のエージェント ホストとして ACS ホストを追加し、このエージェント ホストの設定ファイルを生成する必要があります。

ノード秘密(securid)のリセット

エージェントが最初に RSA SecurID サーバと通信したあと、サーバは securid というノード秘密ファイルをエージェントに提供します。サーバとエージェント間のその後の通信は、ノード秘密の交換による相手の認証の確認によって行われます。

ノード秘密をリセットする必要がある場合があります。ノード秘密をリセットするには、次の手順を実行します。

RSA SecurID サーバ管理者は、RSA SecurID サーバの Agent Host レコードの [Node Secret Created] チェックボックスをオフにする必要があります。

ACS 管理者は、securid ファイルを ACS から削除する必要があります。

自動ロード バランシングの無効化

RSA SecurID エージェントでは、RSA SecurID サーバ上の要求された負荷は領域内で自動的に分散されます。ただし、負荷を手動で分散するオプションがあります。エージェント ホストが認証要求を一部のサーバに他のサーバよりも頻繁に送信するように、各エージェント ホストが使用する必要があるサーバを指定し、各サーバに優先順位を割り当てることができます。

優先順位設定をテキスト ファイルに指定し、sdopts.rec として保存する必要があります。それを ACS にアップロードできます。

手動介入によるダウンした RSA SecurID サーバの削除

RSA SecurID サーバがダウンした場合、自動除外メカニズムが迅速に機能しないことがあります。このプロセスを迅速化するために、 sdstatus.12 ファイルを ACS から削除できます。

RSA SecurID トークン サーバの作成および編集

ACS 5.2 では、ワンタイム パスワードによるセキュリティを向上させるために、ユーザ認証用の RSA SecurID トークン サーバがサポートされています。RSA SecurID トークン サーバによって、ユーザの認証を確実にする 2 要素認証が提供されます。

RSA ID ストアに対してユーザを認証するには、最初に ACS で RSA SecurID トークン サーバを作成し、領域、ACS インスタンス、および高度な設定を設定する必要があります。

ACS 5.2 では、1 つの RSA 領域だけがサポートされています。RSA 領域設定を設定できます。1 つの領域に数多くの ACS インスタンスを含めることができます。


) RSA SecurID サーバ管理者から sdconf.rec ファイルを受け取り、ACS に保存する必要があります。


RSA SecurID トークン サーバを作成または編集するには、次の手順を実行します。


ステップ 1 [Users and Identity Stores] > [External Identity Stores] > [RSA SecurID Token Servers] を選択します。

[RSA SecurID Token Servers] ページが表示されます。

ステップ 2 [Create] をクリックします。

変更する ID ストア名をクリックするか、名前の隣にあるボックスをオンにして [Edit] をクリックすることもできます。

ステップ 3 表 8-12 の説明に従って、[RSA Realm Settings] タブのフィールドに入力します。

 

表 8-12 [RSA Realm Settings] タブ

オプション
説明
General

Name

RSA 領域の名前。

Description

(任意)RSA 領域の説明。

Server Connection

Server Timeout n seconds

タイムアウトまでに、ACS は RSA SecurID トークン サーバへの接続を n 秒間待機します。

Reauthenticate on Change PIN

変更 PIN で再認証する場合に、このチェックボックスをオンにします。

Realm Configuration File

Import new 'sdconf.rec' file

[Browse] をクリックして、マシンから sdconf.rec ファイルを選択します。

 

ステップ 4 [ACS Instance Settings] タブをクリックします。詳細については、「ACS インスタンス設定の設定」を参照してください。

 

ステップ 5 [Advanced] タブをクリックします。詳細については、「高度なオプションの設定」を参照してください。

ステップ 6 [Submit] をクリックして、RSA SecurID ストアを作成します。

設定したサーバが含まれた [RSA SecurID Token Server] ページが表示されます。


 

関連トピック:

「RSA SecurID サーバ」

「ACS インスタンス設定の設定」

「高度なオプションの設定」

ACS インスタンス設定の設定

[ACS Instance Settings] タブには、アクティブな ACS インスタンスの最新のリストが表示されます。これらのエントリを追加または削除することはできません。ただし、これらの ACS インスタンスそれぞれの使用可能な RSA 領域設定は編集できます。

表 8-13 に、[ACS Instance Settings] タブのフィールドを示します。

 

表 8-13 [ACS Instance Settings] タブ

オプション
説明

ACS Instance

ACS インスタンスの名前。

Options File

オプション ファイルの名前。

securid Backup Status

SecurID バックアップのステータス。次のいずれかです。

Cached

Not cached

このページに表示される ACS インスタンスの設定を編集できます。次の内容を実行します。


ステップ 1 編集する ACS インスタンスの隣にあるチェックボックスをオンにし、[Edit] をクリックします。

[ACS instance settings] ダイアログボックスが表示されます。このダイアログボックスには、次のタブがあります。

RSA Options File:詳細については、「ACS インスタンス設定の編集」を参照してください。

Reset Agents Files:詳細については、「ACS インスタンス設定の編集」を参照してください。

ステップ 2 [OK] をクリックします。


 

関連トピック

「RSA SecurID サーバ」

「RSA SecurID トークン サーバの作成および編集」

「ACS インスタンス設定の編集」

「ACS インスタンス設定の編集」

「高度なオプションの設定」

ACS インスタンス設定の編集

ACS インスタンス設定を編集して、次のことを実行できます。

「RSA オプション ファイルのイネーブル化」

「エージェント ファイルのリセット」

RSA オプション ファイルのイネーブル化

各 ACS インスタンスで RSA オプション ファイル( sdopts.rec )をイネーブルにして、領域内の RSA エージェントと RSA サーバ間の接続のルーティング優先順位を制御できます。

表 8-14 に、[RSA Options File] タブのフィールドを示します。

 

表 8-14 [RSA Options File] タブ

オプション
説明

各 ACS インスタンスで RSA オプション ファイル(sdopts.rec)をイネーブルにして、領域内の RSA エージェントと RSA サーバ間の接続のルーティング優先順位を制御できます。sdopts.rec のフォーマットの詳細については、RSA のマニュアルを参照してください。

Use the Automatic Load Balancing status maintained by the RSA Agent

RSA エージェントが保持する自動ロード バランシング ステータスを使用する場合に、このオプションを選択します。

Override the Automatic Load Balancing status with the sdopts.rec file selected below

sdopts.rec ファイルで指定される自動ロード バランシング ステータスを使用する場合に、このオプションを選択します。

Current File

現在選択されている sdopts.rec ファイルが表示されます。

Timestamp

sdopts.rec ファイルが最後に変更された時刻。

File Size

sdopts.rec ファイルのサイズ。

Import new 'sdopts.rec' file

[Browse] をクリックして、ハード ドライブから新しい sdopts.rec ファイルをインポートします。

(注) このポップアップを起動したページが送信されるまで、変更は有効になりません。

次のいずれかを実行します。

設定を保存するには、[OK] をクリックします。

領域内のアクティブおよび非アクティブ サーバの秘密キー情報またはステータスをリセットするには、[Reset Agent Files] タブをクリックします。

関連トピック

「RSA SecurID サーバ」

「RSA SecurID トークン サーバの作成および編集」

「ACS インスタンス設定の設定」

「ACS インスタンス設定の編集」

「高度なオプションの設定」

エージェント ファイルのリセット

このページは、次の項目をリセットする場合に使用します。

ノード秘密キーファイル。RSA サーバとの通信が暗号化されるようにします。

領域内のサーバのステータス。


ステップ 1 次のオプションのいずれかを選択します。

エージェント ホストのノード秘密をリセットするには、[Remove securid file on submit] チェックボックスをオンにします。

エージェント ホストのノード秘密をリセットする場合、RSA サーバでエージェント ホストのノード秘密をリセットする必要があります。

領域内のサーバのステータスをリセットするには、[Remove sdstatus.12 file on submit] チェックボックスをオンにします。

ステップ 2 [OK] をクリックします。


 

関連トピック

「RSA SecurID サーバ」

「RSA SecurID トークン サーバの作成および編集」

「ACS インスタンス設定の設定」

「ACS インスタンス設定の編集」

「高度なオプションの設定」

高度なオプションの設定

このページは、次のことを実行する場合に使用します。

RSA SecurID トークン サーバからのアクセス拒否がどのような意味を持つかを定義します。

ID キャッシングのイネーブル化:RSA でのユーザのキャッシングは、キャッシングのロジックと目的が同じであるため、RADIUS トークンでのユーザのキャッシングと似ています。唯一の違いは、RSA ではユーザのアトリビュート取得がないため、アトリビュートのキャッシングがないことです。認証されたユーザはキャッシュされますが、アトリビュートはキャッシュされません。

RSA 領域の高度なオプションを設定するには、次の手順を実行します。


ステップ 1 次のいずれかを実行します。

[Treat Rejects as 'authentication failed'] オプション ボタンをクリック:RSA SecurdID ストアからの認証拒否を ACS で認証失敗と解釈する場合。

[Treat Rejects as 'user not found'] オプション ボタンをクリック:RSA SecurID ストアからの認証拒否を ACS で「ユーザが見つからない」と解釈する場合。

ステップ 2 ID キャッシングをイネーブルにして、RSA サーバによって認証されない要求を ACS で処理できるようにします。

最後に成功した認証から取得された結果が、指定された時間、キャッシュ内で使用可能になります。

ステップ 3 [Enable identity caching] チェックボックスをオンにします。

ステップ 4 エージング タイムを分単位で入力します。

ID キャッシュには、ここで指定した時間だけ、成功したログインの結果が格納されます。

ステップ 5 [Submit] をクリックします。


 

関連トピック

「RSA SecurID サーバ」

「RSA SecurID トークン サーバの作成および編集」

「ACS インスタンス設定の設定」

「ACS インスタンス設定の編集」

「ACS インスタンス設定の編集」

RADIUS ID ストア

RADIUS サーバは、RADIUS インターフェイスをサポートするサードパーティ製サーバです。ACS の一部である RADIUS ID ストアは、RADIUS サーバに接続されます。

RADIUS サーバとは、標準 RADIUS インターフェイスが組み込まれたサーバ、および RADUIS インターフェイスをサポートするその他のサーバのことです。ACS 5.2 では、RADIUS RFC 2865 準拠の任意のサーバが外部 ID ストアとしてサポートされています。ACS 5.2 では、複数の RADIUS トークン サーバ ID がサポートされています。

たとえば、RSA SecurID サーバや SafeWord サーバなどです。RADIUS ID ストアは、ユーザを認証するために使用される任意の RADIUS トークン サーバと連携できます。RADIUS ID ストアでは、認証セッションに UDP ポートが使用されます。すべての RADIUS 通信に同じ UDP ポートが使用されます。


) ACS で RADIUS メッセージを RADIUS 対応サーバに正常に送信するには、RADIUS 対応サーバと ACS の間のゲートウェイ デバイスが、UDP ポートを介した通信を許可するように設定されている必要があります。UDP ポートは、ACS Web インターフェイスを介して設定できます。


ここでは、次の内容について説明します。

「サポートされる認証プロトコル」

「フェールオーバー」

「パスワード プロンプト」

「ユーザ グループ マッピング」

「グループおよびアトリビュート マッピング」

「ID 順序での RADIUS ID ストア」

「認証失敗メッセージ」

「Safeword サーバでのユーザ名の特殊フォーマット」

「ユーザ アトリビュート キャッシュ」

「RADIUS ID サーバの作成、複製、および編集」

サポートされる認証プロトコル

ACS では、RADIUS ID ストアに対して次の認証プロトコルがサポートされています。

RADIUS PAP

TACACS+ ASCII/PAP

内部 EAP-GTC を含む PEAP

内部 EAP-GTC を含む EAP-FAST

フェールオーバー

ACS 5.2 では、複数の RADIUS ID ストアを設定できます。各 RADIUS ID ストアには、プライマリ RADIUS サーバとセカンダリ RADIUS サーバを指定できます。ACS からプライマリ サーバに接続できない場合は、セカンダリ サーバが使用されます。

パスワード プロンプト

RADIUS ID ストアでは、パスワード プロンプトを設定できます。パスワード プロンプトは、ACS Web インターフェイスを介して設定できます。

ユーザ グループ マッピング

ACS 4.x で使用できるユーザ単位のグループ マッピング機能を提供するために、ACS 5.2 では、RADIUS ID ストアによって認証されるユーザのアトリビュート取得および認可メカニズムが使用されます。

このために、[009\001] cisco-av-pair アトリビュートを含む認証応答を返すように RADIUS ID ストアを設定する必要があります。アトリビュートの値は次のとおりです。

ACS:CiscoSecure-Group-Id= N 。ここで、 N は、ACS によってユーザに割り当てられる 0 ~ 499 の任意の ACS グループ番号です。

このアトリビュートは、認可およびグループ マッピング規則の作成時に ACS Web インターフェイスのポリシー設定ページで使用できます。

グループおよびアトリビュート マッピング

RADIUS ID ストアに対する認証中に取得された RADIUS アトリビュートを、認可およびグループ マッピングの ACS ポリシー条件で使用できます。RADIUS ID ストアを設定するときに、ポリシー条件で使用するアトリビュートを選択できます。これらのアトリビュートは、RADIUS ID ストア専用ディクショナリに保持され、ポリシー条件を定義するために使用できます。


) 要求されたアトリビュートを RADIUS サーバに問い合せることはできません。要求されたアトリビュートを返すように RADIUS ID ストアを設定できるだけです。これらのアトリビュートは、Access-Accept 応答でアトリビュート リストの一部として使用できます。


ACS 5.2 のアトリビュート サブスクリプション機能を使用して、デバイスへの ACS 応答の RADIUS ID ストア アトリビュートを受信できます。次の RADIUS アトリビュートが返されます。

RADIUS RFS にリストされているアトリビュート

ベンダー固有アトリビュート

次のアトリビュート タイプがサポートされています。

String

Unsigned Integer

IPv4 Address

Enumeration

複数の値を持つアトリビュートが返される場合、値は無視され、デフォルト値が設定されている場合はその値が返されます。ただし、このアトリビュートは問題があるアトリビュートとしてカスタマー ログでレポートされます。

ID 順序での RADIUS ID ストア

ID 順序で認証順序用の RADIUS ID ストアを追加できます。ただし、アトリビュート取得順序用の RADIUS ID ストアを追加することはできません。これは、認証しないで RADIUS ID ストアを問い合せることはできないためです。ACS では、RADIUS サーバによる認証中に、異なるエラー状況を区別できません。

すべてのエラー状況に対して RADIUS サーバから Access-Reject メッセージが返されます。たとえば、RADIUS サーバでユーザが見つからない場合、RADIUS サーバからは User Unknown ステータスの代わりに Access-Reject メッセージが返されます。

ただし、ACS Web インターフェイスの RADIUS ID ストアのページで使用できる [Treat Rejects as Authentication Failure] または [Treat Rejects as User Not Found] オプションをイネーブルにすることができます。

認証失敗メッセージ

RADIUS サーバでユーザが見つからない場合、RADIUS サーバからは Access-Reject メッセージが返されます。ACS には、ACS Web インターフェイスを使用して、このメッセージを Authentication Failed または Unknown User として設定するオプションがあります。

ただし、このオプションでは、ユーザが未知の状況だけでなく、すべての失敗状況に対して Unknown User メッセージが返されます。

表 8-15 に、RADIUS ID サーバで発生するさまざまな失敗状況を示します。

 

表 8-15 エラー処理

認証失敗の原因
失敗状況

認証の失敗

ユーザが未知である。

ユーザが不正なパスコードでログインしようとしている。

ユーザ ログイン時間が期限切れになった。

プロセスの失敗

RADIUS サーバが ACS で正しく設定されていない。

RADIUS サーバが使用できない。

RADIUS パケットが偽装として検出されている。

RADIUS サーバとのパケットの送受信の問題。

タイムアウト。

未知ユーザ

認証が失敗し、'Fail on Reject' オプションが false に設定されている。

Safeword サーバでのユーザ名の特殊フォーマット

Safeword トークン サーバでは、次のユーザ名フォーマットでの認証がサポートされています。

ユーザ名:Username, OTP

ACS により、ユーザ名が解析されて次のように変換されます。

ユーザ名:Username

Safeword トークン サーバでは、両方のフォーマットがサポートされています。ACS はさまざまなトークン サーバと連携します。Safeword サーバを設定する場合、ACS でユーザ名を解析して指定のフォーマットに変換するには、[Safeword Server] チェックボックスをオンにする必要があります。

この変換は、要求が RADIUS トークン サーバに送信される前に、RADIUS トークン サーバ ID ストアで実行されます。

ユーザ アトリビュート キャッシュ

RADIUS トークン サーバでは、デフォルトではユーザ ルックアップはサポートされていません。ただし、ユーザ ルックアップは次の ACS 機能に不可欠です。

PEAP セッション再開:認証の成功後、EAP セッションの確立中に発生

EAP/FAST 高速再接続:認証の成功後、EAP セッションの確立中に発生

T+ 認可:T+ 認証の成功後に発生

ACS では、これらの機能のユーザ ルックアップ要求を処理するために、成功した認証の結果がキャッシュされます。成功した認証すべてについて、認証されたユーザの名前と取得されたアトリビュートがキャッシュされます。失敗した認証はキャッシュに書き込まれません。

キャッシュは、実行時にメモリで使用可能であり、分散展開の ACS ノード間で複製されません。ACS Web インターフェイスを介してキャッシュの Time To Live(TTL; 存続可能時間)制限を設定できます。ID キャッシング オプションをイネーブルにし、エージング タイムを分単位で設定する必要があります。指定した時間、キャッシュはメモリで使用可能です。

RADIUS ID サーバの作成、複製、および編集

ACS 5.2 では、ワンタイム パスワードによるセキュリティを向上させるために、外部 ID ストアとして RADIUS ID サーバがサポートされています。RADIUS ID サーバによって、ユーザの認証を確実にする 2 要素認証が提供されます。

RADIUS ID ストアに対してユーザを認証するには、最初に ACS で RADIUS ID サーバを作成し、RADIUS ID ストア設定を設定する必要があります。ACS 5.2 では、次の認証プロトコルがサポートされています。

RADIUS PAP

TACACS+ ASCII\PAP

内部 EAP-GTC を含む PEAP

内部 EAP-GTC を含む EAP-FAST

RADIUS ID サーバでの正常な認証には、次のことが必要です。

RADIUS ID サーバと ACS との間のゲートウェイ デバイスで、UDP ポートを介した通信が許可されている。

ACS Web インターフェイスで RADIUS ID サーバに対して設定する共有秘密情報が、RADIUS ID サーバ上で設定されている共有秘密情報と同一である。

RADIUS ID サーバを作成、複製、または編集するには、次の手順を実行します。


ステップ 1 [Users and Identity Stores] > [External Identity Stores] > [RADIUS Identity Servers] を選択します。

[RADIUS Identity Servers] ページが表示され、RADIUS 外部 ID サーバのリストが示されます。

ステップ 2 [Create] をクリックします。次のことも実行できます。

複製する ID ストアの隣にあるチェックボックスをオンにし、[Duplicate] をクリックします。

変更する ID ストア名をクリックします。または、名前の隣にあるボックスをオンにして [Edit] をクリックします。

ステップ 3 [General] タブのフィールドに入力します。[General] タブのフィールドについては、「一般設定」を参照してください。

ステップ 4 次のいずれかの方法で実行できます。

[Submit] をクリックして RADIUS ID サーバを保存します。

[Shell Prompts] タブをクリックします。[Shell Prompts] タブのフィールドについては、「シェル プロンプトの設定」を参照してください。

[Directory Attributes] タブをクリックします。[Directory Attributes] タブのフィールドについては、「ディレクトリ アトリビュートの設定」を参照してください。

[Advanced] タブをクリックします。[Advanced] タブのフィールドについては、「高度なオプションの設定」を参照してください。

ステップ 5 [Submit] をクリックして変更を保存します。


 

関連トピック

「RADIUS ID ストア」

「RADIUS ID サーバの作成、複製、および編集」

一般設定

表 8-16 に、[RADIUS Identity Servers] ページの [General] タブのフィールドを示します。

 

表 8-16 [RADIUS Identity Server] - [General] タブ

オプション
説明

Name

外部 RADIUS ID サーバの名前。

Description

(任意)RADIUS ID サーバの簡単な説明。

SafeWord Server

SafeWord サーバを使用した 2 要素認証をイネーブルにする場合に、このチェックボックスをオンにします。

Server Connection

Enable Secondary Server

セカンダリ RADIUS ID サーバを、プライマリ RADIUS ID サーバに障害が発生したときにバックアップ サーバとして使用する場合に、このチェックボックスをオンにします。

セカンダリ サーバをイネーブルにする場合、セカンダリ RADIUS ID サーバのパラメータを設定する必要があり、次のオプションのいずれかを選択する必要があります。

Always Access Primary Server First:ACS がセカンダリ サーバにアクセスする前に常にプライマリ RADIUS ID サーバにアクセスするようにするには、このオプションを選択します。

Failback To Primary Server After n Minutes:ACS が認証にセカンダリ サーバを使用できる時間(分単位)を設定するには、このオプションを選択します。

この時間を過ぎると、ACS はプライマリ サーバを使用して認証を再試行する必要があります。デフォルト値は 5 分です。

Primary Server

Server IP Address

プライマリ RADIUS ID サーバの IP アドレス。

Shared Secret

ACS とプライマリ RADIUS ID サーバ間の共有秘密情報。

共有秘密情報は、予期されるテキスト文字列です。ユーザは、ネットワーク デバイスによってユーザ名およびパスワードが認証される前に提示する必要があります。ユーザが共有秘密情報を提示するまで、接続は拒否されます。

Authentication Port

サーバが受信に使用するポート番号。有効なオプションは 1 ~ 65,535 です。デフォルト値は 1812 です。

Server Timeout n Seconds

プライマリ サーバへの接続に失敗したと判断する前に ACS がプライマリ RADIUS ID サーバからの応答を待つ秒数 n 。有効なオプションは 1 ~ 300 です。デフォルト値は 5 です。

Connection Attempts

セカンダリ RADIUS ID サーバに接続するか、セカンダリ サーバが設定されていない場合は接続をドロップする前に、ACS が再接続を試行する回数を指定します。有効なオプションは 1 ~ 10 です。デフォルト値は 3 です。

Secondary Server

Server IP Address

セカンダリ RADIUS ID サーバの IP アドレス。

Shared Secret

ACS とセカンダリ RADIUS ID サーバ間の共有秘密情報。共有秘密情報は、RADIUS ID サーバ上で設定されている共有秘密情報と同一である必要があります。

共有秘密情報は、予期されるテキスト文字列です。ユーザは、ネットワーク デバイスによってユーザ名およびパスワードが認証される前に提示する必要があります。ユーザが共有秘密情報を提示するまで、接続は拒否されます。

Authentication Port

RADIUS セカンダリ サーバが受信に使用するポート番号。有効なオプションは 1 ~ 65,535 です。デフォルト値は 1812 です。

Server Timeout n Seconds

セカンダリ サーバへの接続に失敗したと判断する前に ACS がセカンダリ RADIUS ID サーバからの応答を待つ秒数 n

有効なオプションは 1 ~ 300 です。デフォルト値は 5 です。

Connection Attempts

要求をドロップする前に ACS が再接続を試行する回数を指定します。有効なオプションは 1 ~ 10 です。デフォルト値は 3 です。

関連トピック

「RADIUS ID ストア」

「RADIUS ID サーバの作成、複製、および編集」

「シェル プロンプトの設定」

「ディレクトリ アトリビュートの設定」

「高度なオプションの設定」

シェル プロンプトの設定

TACACS+ ASCII 認証の場合、ACS はパスワード プロンプトをユーザに返す必要があります。RADIUS ID サーバでは、この機能はパスワード プロンプト オプションによってサポートされています。ACS では、ACS Web インターフェイスの [Shell Prompts] ページで設定するプロンプトを使用できます。このプロンプトが空の場合、TACACS+ グローバル設定で設定されているデフォルトのプロンプトがユーザに表示されます。

RADIUS ID サーバとの接続を確立するときに、最初の要求パケットにパスワードが含まれていない場合があります。パスワードを要求する必要があります。このページを使用して、パスワードの要求に使用されるプロンプトを定義できます。次の内容を実行します。


ステップ 1 プロンプトのテキストを [Prompt] フィールドに入力します。

ステップ 2 次のいずれかを実行します。

パスワードを要求するプロンプトを設定するには、[Submit] をクリックします。

ポリシー規則の条件で使用するアトリビュートのリストを定義するには、[Directory Attributes] タブをクリックします。詳細については、「ディレクトリ アトリビュートの設定」を参照してください。


 

関連トピック

「RADIUS ID ストア」

「RADIUS ID サーバの作成、複製、および編集」

「一般設定」

「ディレクトリ アトリビュートの設定」

「高度なオプションの設定」

ディレクトリ アトリビュートの設定

RADIUS ID サーバが要求に応答するときに、RADIUS アトリビュートが応答とともに返されます。これらの RADIUS アトリビュートをポリシー規則で使用できます。

[Directory Attributes] タブで、ポリシー規則の条件で使用する RADIUS アトリビュートを指定できます。ACS では、これらのアトリビュートのリストが個別に保持されます。


ステップ 1 表 8-17 の説明に従って、[Directory Attributes] タブのフィールドを変更します。

 

表 8-17 [RADIUS Identity Servers] - [Directory Attributes] タブ

オプション
説明

Attribute List

このセクションを使用して、ポリシー条件に含める対象リストを作成します。各アトリビュートを含めると、その名前、タイプ、デフォルト値、およびポリシー条件名がテーブルに表示されます。次の内容を実行します。

RADIUS アトリビュートを追加するには、テーブルの下のフィールドに入力し、[Add] をクリックします。

RADIUS アトリビュートを編集するには、テーブルの該当する行を選択し、[Edit] をクリックします。テーブルの下のフィールドに RADIUS アトリビュートのパラメータが表示されます。必要に応じて編集し、[Replace] をクリックします。

Dictionary Type

RADIUS ディクショナリ タイプ。ドロップダウン リスト ボックスをクリックして、RADIUS ディクショナリ タイプを選択します。

RADIUS Attribute

RADIUS アトリビュートの名前。[Select] をクリックして、RADIUS アトリビュートを選択します。この名前は、選択したアトリビュートが Cisco AV-Pair である場合、アトリビュート名と AV-pair をサポートする拡張子という 2 つの部分で構成されます。

たとえば、アトリビュート cisco-av-pair と AV-pair 名 some-avpair の場合、ACS では cisco-av-pair.some-avpair と表示されます。

IETF およびベンダー VSA アトリビュート名には、任意のサフィックス - nnn が含まれています。 nnn はアトリビュートの ID です。

Type

RADIUS アトリビュート タイプ。有効なオプションは次のとおりです。

String

Unsigned Integer 32

IPv4 Address

Default

(任意)RADIUS ID サーバからの応答のアトリビュートを使用できない場合に使用できるデフォルト値。この値は、指定した RADIUS アトリビュート タイプである必要があります。

Policy Condition Name

このアトリビュートを使用するカスタム ポリシー条件の名前を指定します。

ステップ 2 次のいずれかを実行します。

変更を保存して [RADIUS Identity Servers] ページに戻るには、[Submit] をクリックします。

失敗メッセージ処理を設定し、ID キャッシングをイネーブルにするには、[Advanced] タブをクリックします。詳細については、「高度なオプションの設定」を参照してください。


 

関連トピック

「RADIUS ID ストア」

「RADIUS ID サーバの作成、複製、および編集」

「一般設定」

「シェル プロンプトの設定」

「高度なオプションの設定」

高度なオプションの設定

[Advanced] タブでは、次のことを実行できます。

RADIUS ID サーバからのアクセス拒否がどのような意味を持つかを定義します。

ID キャッシングをイネーブルにします。

表 8-18 に、[RADIUS Identity Servers] ページの [Advanced] タブのフィールドを示します。

 

表 8-18 [RADIUS Identity Server] - [Advanced] タブ

オプション
説明

この ID ストアでは、認証試行が拒否された場合に「認証失敗」と「ユーザが見つからない」は区別されません。次のオプションから、ID ポリシーの処理とレポートのために、ID ストアからのそのような認証拒否を ACS でどのように解釈するかを選択します。

Treat Rejects as 'authentication failed'

不明瞭なアクセス拒否試行をすべて認証失敗と見なす場合に、このオプションをクリックします。

Treat Rejects as 'user not found'

不明瞭なアクセス拒否試行をすべて未知ユーザと見なす場合に、このオプションをクリックします。

ID キャッシングは、サーバに対する認証を実行しない要求の処理を許可するために使用されます。キャッシュには、サブジェクトの最後に成功した認証から取得された結果およびアトリビュートが保持されます。

Enable identity caching

ID キャッシングをイネーブルにする場合に、このチェックボックスをオンにします。ID キャッシングをイネーブルにする場合、ACS で ID キャッシュを保持する時間を分単位で入力する必要があります。

Aging Time n Minutes

ACS で ID キャッシュを保持する時間を分単位で入力します。有効なオプションは 1 ~ 1440 です。

[Submit] をクリックして RADIUS ID サーバを保存します。

関連トピック

「RADIUS ID ストア」

「RADIUS ID サーバの作成、複製、および編集」

CA 証明書の設定

クライアントが EAP-TLS プロトコルを使用して ACS サーバに対して自身を認証する場合、自身を識別するクライアント証明書をサーバに送信します。クライアント証明書の ID および正確さを確認するために、サーバにはクライアント証明書をデジタル署名した Certificate Authority(CA; 認証局)からの証明書が事前にインストールされている必要があります。

ACS がクライアントの CA 証明書を信頼しない場合、ACS が信頼する上位レベル CA 証明書まで、連続して署名された CA 証明書のチェーン全体を ACS にインストールする必要があります。CA 証明書は、信頼証明書とも呼ばれます。

CA オプションを使用して、EAP-TLS 認証をサポートするデジタル証明書をインストールします。ACS は、X.509 v3 デジタル証明書標準を使用します。ACS は証明書の手動取得をサポートし、証明書信頼リスト(CTL)と Certificate Revocation List(CRL; 証明書失効リスト)を管理する手段も提供します。

デジタル証明書は、秘密情報も保存データベース クレデンシャルも共有する必要がありません。どちらも規模拡大が可能で、大きく展開しても信頼できます。正しく管理すれば、共有秘密システムより強力でセキュアな認証方式として動作させることができます。

相互信頼には、エンドユーザ クライアント側で確認できる証明書が ACS にインストールされている必要があります。このサーバ証明書は、CA から発行されたものを使用することもできますし、自己署名証明書を使用することもできます。詳細については、「ローカル サーバ証明書の設定」を参照してください。


) ACS では、追加した CA 証明書で証明書チェーンが作成され、TLS ネゴシエーション中にこのチェーンが使用されます。サーバ証明書に署名した証明書を CA に追加する必要があります。チェーンが正しく署名され、すべての証明書が有効であることを確認する必要があります。


サーバ証明書およびサーバ証明書に署名した CA が ACS にインストールされている場合、ACS は証明書チェーン全体をクライアントに送信します。

関連トピック

「認証局の追加」

「認証局の編集および証明書失効リストの設定」

「認証局の削除」

「認証局のエクスポート」

認証局の追加

サポートされている証明書形式は、DER または PEM です。

信頼できる認証局(CA)証明書を追加するには、次の手順を実行します。


ステップ 1 [Users and Identity Stores] > [Certificate Authorities] を選択します。

[Trust Certificate] ページが表示されます。

ステップ 2 [Add] をクリックします。

ステップ 3 表 8-19 の説明に従って、[Certificate File to Import] ページのフィールドに入力します。

 

表 8-19 [Certificate Authority Properties] ページ

オプション
説明
Certificate File to Import

Certificate File

証明書ファイルの名前を入力します。[Browse] をクリックして、信頼証明書があるクライアント マシン上の場所に移動します。

Trust for client with EAP-TLS

ACS が EAP プロトコルの証明書信頼リストを使用する場合に、このボックスをオンにします。

Description

CA 証明書の説明を入力します。

ステップ 4 [Submit] をクリックします。

新しい証明書が保存されます。新しい証明書が含まれた [Trust Certificate List] ページが表示されます。


 

関連トピック

「ユーザ証明書認証」

「EAP-TLS の概要」

認証局の編集および証明書失効リストの設定

このページは、信頼できる認証局(CA)証明書を編集する場合に使用します。


ステップ 1 [Users and Identity Stores] > [Certificate Authorities] を選択します。

[Trust Certificate] ページが表示され、設定されている証明書のリストが示されます。

ステップ 2 変更する名前をクリックします。または、名前のチェックボックスをオンにして [Edit] をクリックします。

ステップ 3 表 8-20 の説明に従って、[Edit Trust Certificate List Properties] ページのフィールドに入力します。

 

表 8-20 [Edit Certificate Authority Properties] ページ

オプション
説明
Issuer

Friendly Name

証明書に関連付けられている名前。

Description

(任意)CA 証明書の簡単な説明。

Issued To

表示のみ 。証明書の発行先エンティティ。名前は、証明書のサブジェクトから表示されます。

Issued By

表示のみ。 証明書を発行した認証局。

Valid from

表示のみ。 証明書の有効開始日。X509 証明書は、開始日から終了日までの間(両方の日を含む)だけ有効です。

Valid To (Expiration)

表示のみ。 証明書の有効最終日。

Serial Number

表示のみ。 証明書のシリアル番号。

Description

証明書の説明。

Usage

Trust for client with EAP-TLS

ACS が TLS 関連の EAP プロトコルの信頼リストを使用する場合に、このボックスをオンにします。

Certificate Revocation List Configuration

このセクションは、CRL を設定するために使用します。

Download CRL

CRL をダウンロードする場合に、このボックスをオンにします。

CRL Distribution URL

CRL 配布 URL を入力します。HTTP を使用する URL を指定できます。

Retrieve CRL

ACS は最初に CA から CRL をダウンロードしようとします。ACS が CA から新しい CRL を取得する時間設定を切り替えます。

Automatically:CRL ファイルから次の更新時間を取得します。取得に失敗した場合、ACS は最初の失敗から定期的に、成功するまで CRL の取得を試みます。

Every:取得試行の頻度を指定します。時間間隔を入力します。

If Download Failed Wait

CRL の取得が失敗した場合に、次に取得を試行する時間を入力します。

Bypass CRL Verification if CRL is not Received

オフの場合、選択した CA によって署名された証明書を使用するすべてのクライアント要求は、ACS によって CRL が受信されるまで拒否されます。オンの場合、クライアント要求は CRL が受信される前に受け入れられます。

Ignore CRL Expiration

期限切れの CRL に対して証明書をチェックする場合に、このボックスをオンにします。

オンの場合、ACS は期限切れの CRL を使用し続け、CRL の内容に従って EAP-TLS 認証を許可または拒否します。

オフの場合、ACS は、CRL ファイルの [Next Update] フィールドで CRL の有効期限を調べます。CRL が期限切れの場合、選択した CA によって署名された証明書を使用するすべての認証は拒否されます。

ステップ 4 [Submit] をクリックします。

編集した証明書が含まれた [Trust Certificate] ページが表示されます。


 

関連トピック

「ユーザ証明書認証」

「EAP-TLS の概要」

認証局の削除

このページは、信頼できる認証局(CA)証明書を削除する場合に使用します。


ステップ 1 [Users and Identity Stores] > [Certificate Authorities] を選択します。

[Trust Certificate List] ページが表示され、設定されている証明書のリストが示されます。

ステップ 2 削除する証明書の隣にあるチェックボックスを 1 つ以上オンにします。

ステップ 3 [Delete] をクリックします。

ステップ 4 [Yes] をクリックして確認します。

[Trust Certificate] ページが表示されます。このとき、削除した証明書は表示されません。


 

関連トピック

「EAP-TLS の概要」

認証局のエクスポート

信頼証明書をエクスポートするには、次の手順を実行します。


ステップ 1 [Users and Identity Stores] > [Certificate Authorities] を選択します。

[Trust Certificate List] ページが表示され、設定されている証明書のリストが示されます。

ステップ 2 エクスポートする証明書の隣にあるボックスをオンにします。

ステップ 3 [Export] をクリックします。

この操作によって、信頼できる証明書がクライアント マシンにエクスポートされます。

ステップ 4 [Yes] をクリックして確認します。

エクスポートした証明書をクライアント マシンにインストールするように要求されます。


 

関連トピック

「ユーザ証明書認証」

「EAP-TLS の概要」

証明書認証プロファイルの設定

証明書認証プロファイルによって、証明書ベースのアクセス要求に使用される X509 証明書情報が定義されます。ユーザ名として使用されるアトリビュートを証明書から選択できます。

証明書アトリビュートのサブセットを選択して、要求のコンテキストにユーザ名フィールドを読み込むことができます。このユーザ名は、要求の残りのユーザを識別する場合に使用されます。ログで使用される識別情報にも使用されます。

証明書認証プロファイルを使用して証明書データを取得し、LDAP または AD クライアントから提示される証明書をさらに確認できます。証明書認証プロファイルのユーザ名を使用して、LDAP または AD ID ストアの問い合せが行われます。

ACS は、クライアント証明書を LDAP または AD ID ストアから取得されたすべての証明書と 1 つずつ比較し、いずれかが一致するかどうかを確認します。ACS は、要求を受け入れるか、または拒否します。


) ACS が要求を受け入れるには、LDAP または AD ID ストアの証明書が 1 つだけ、クライアント証明書と一致する必要があります。


ACS が証明書ベースの認証要求を処理するときに、次の 2 つのうちのいずれかが行われます。証明書のユーザ名と、要求を処理している ACS のユーザ名とが比較されます。あるいは、選択した LDAP または AD ID ストアに定義されている情報を使用して、ACS によって証明書情報が確認されます。

証明書認証プロファイルを複製して、既存の証明書認証プロファイルと同じか、または類似した新しいプロファイルを作成できます。複製の完了後、各プロファイル(元のプロファイルおよび複製されたプロファイル)に個別にアクセスして、編集または削除します。

証明書認証プロファイルを作成、複製、または編集するには、次の手順を実行します。


ステップ 1 [Users and Identity Stores] > [Certificate Authentication Profile] を選択します。

[Certificate Authentication Profile] ページが表示されます。

ステップ 2 次のいずれかを実行します。

[Create] をクリックします。

複製する証明書認証プロファイルの隣にあるチェックボックスをオンにし、[Duplicate] をクリックします。

変更する証明書認証プロファイルをクリックします。または、名前の隣にあるチェックボックスをオンにして [Edit] をクリックします。

[Certificate Authentication Profile Properties] ページが表示されます。

ステップ 3 表 8-21 の説明に従って、[Certificate Authentication Profile Properties] ページのフィールドに入力します。

 

表 8-21 [Certificate Authentication Profile Properties] ページ

オプション
説明
General

Name

証明書認証プロファイルの名前を入力します。

Description

証明書認証プロファイルの説明を入力します。

Certificate Definition

Principal Username X509 Attribute

x509 認証に使用できるプリンシパル ユーザ名アトリビュートのセット。選択肢は次のとおりです。

Common Name

Subject Alternative Name

Subject Serial Number

Subject

Subject Alternative Name - Other Name

Subject Alternative Name - EMail

Subject Alternative Name - DNS

Perform Binary Certificate Comparison with Certificate retrieved from LDAP or Active Directory

選択した LDAP または AD ID ストアに対する認証のために証明書情報を確認する場合に、このチェックボックスをオンにします。

このオプションを選択する場合、LDAP または AD ID ストアの名前を入力するか、[Select] をクリックして使用可能なリストから LDAP または AD ID ストアを選択する必要があります。

ステップ 4 [Submit] をクリックします。

[Certificate Authentication Profile] ページが再表示されます。


 

関連トピック

「ID ポリシーの表示」

「ID ストア順序の設定」

「外部 LDAP ID ストアの作成」

ID ストア順序の設定

アクセス サービス ID ポリシーによって、ACS が認証およびアトリビュート取得のために使用する ID ソースが決まります。ID ソースは、1 つの ID ストアまたは複数の ID 方式で構成されます。複数の ID 方式を使用する場合、最初にそれらを ID ストア順序内に定義し、次に ID ストア順序を ID ポリシー内に指定する必要があります。

ID ストア順序によって、認証およびアトリビュート取得のために使用される順序、および追加アトリビュートを取得するための任意の追加順序が定義されます。

認証順序

ID ストア順序には、証明書ベースの認証またはパスワードベースの認証あるいはその両方の定義を含めることができます。

証明書に基づく認証を実行することを選択した場合は、すでに ACS で定義されている 1 つの証明書認証プロファイルを指定します。

パスワードに基づく認証を実行することを選択した場合は、アクセスされるデータベースのリストを順番に定義できます。

認証が成功すると、データベース内の定義済みアトリビュートが取得されます。ACS でデータベースを定義しておく必要があります。

アトリビュート取得順序

追加アトリビュートを取得するデータベースのリストを任意に定義できます。これらのデータベースには、パスワードベースの認証を使用するか、証明書ベースの認証を使用するかに関係なくアクセスできます。証明書ベースの認証を使用すると、ACS によって証明書アトリビュートからユーザ名フィールドに読み込まれ、ユーザ名を使用してアトリビュートが取得されます。

ACS では、次の場合でもユーザのアトリビュートを取得できます。

ユーザのパスワードに変更必須のフラグが付けられている。

ユーザのアカウントがディセーブルになっている。

パスワードベースの認証を使用する場合、認証リストとアトリビュート取得リストに同じ ID データベースを定義できます。ただし、データベースが認証に使用される場合、アトリビュート取得フローの一部として再度アクセスされることはありません。

ACS では、ID ストア内のユーザまたはホストは、そのユーザまたはホストで単一の一致が存在する場合にだけ認証されます。外部データベース内に同じユーザの複数のインスタンスがある場合、認証は失敗します。同様に、ACS では、ユーザまたはホストの単一の一致が存在する場合にだけアトリビュートが取得されます。それ以外の場合、そのデータベースからのアトリビュート取得はスキップされます。

ここでは、次の内容について説明します。

「ID ストア順序の作成、複製、および編集」

「ID ストア順序の削除」

ID ストア順序の作成、複製、および編集

ID ストア順序を作成、複製、または編集するには、次の手順を実行します。


ステップ 1 [Users and Identity Stores] > [Identity Store Sequences] を選択します。

[Identity Store Sequences] ページが表示されます。

ステップ 2 次のいずれかを実行します。

[Create] をクリックします。

複製する順序の隣にあるチェックボックスをオンにし、[Duplicate] をクリックします。

変更する順序名をクリックします。または、名前の隣にあるチェックボックスをオンにして [Edit] をクリックします。

表 8-22 に示すように、[Identity Store Sequence Properties] ページが表示されます。

 

表 8-22 [Identity Store Sequence Properties] ページ

オプション
説明
General

Name

ID ストア順序の名前を入力します。

Description

ID ストア順序の説明を入力します。

Authentication Method List

Certificate Based

証明書ベースの認証方式を使用する場合に、このチェックボックスをオンにします。このオプションを選択する場合、証明書認証プロファイルを入力する必要があります。[Select] をクリックして、使用可能なプロファイルのリストからプロファイルを選択します。

Password Based

パスワードベースの認証方式を使用する場合に、このチェックボックスをオンにします。このオプションを選択する場合、一致が見つかるまで ACS が 1 つずつアクセスする ID ストアのセットを選択する必要があります。

このオプションを選択する場合、ACS が ID ストアに 1 つずつアクセスするために、[Authentication and Attribute Retrieval Search List] 領域で ID ストアのリストを選択する必要があります。

Authentication and Attribute Retrieval Search List
(注) このセクションは、[Password Based] オプションをオンにした場合にだけ表示されます。

Available

アクセス対象として使用可能な ID ストアのセット。

Selected

認証が成功するまで順番にアクセスされる選択済み ID ストアのセット。リストの右にある上向きおよび下向き矢印を使用して、アクセスの順序を定義します。

ACS により、認証用に選択した ID ストアからアトリビュートが自動的に取得されます。アトリビュートを取得するために同じ ID ストアを選択する必要はありません。

Additional Attribute Retrieval Search List

Available

アトリビュート取得用に使用可能なその他の ID ストアのセット。

Selected

(任意)アトリビュート取得用に選択されたその他の ID ストアのセット。リストの右にある上向きおよび下向き矢印を使用して、アクセスの順序を定義します。

ACS により、認証用に選択した ID ストアからアトリビュートが自動的に取得されます。アトリビュートを取得するために同じ ID ストアを選択する必要はありません。

Internal User/Host Advanced Option

If internal user/host not found or disabled then exit sequence and treat as "User Not Found"

一致が見つからないときに、失敗した認証を ACS で User Not Found として扱う場合に、このチェックボックスをオンにします。

ステップ 3 [Submit] をクリックします。

[Identity Store Sequences] ページが再表示されます。


 

関連トピック

「ネットワーク リソースおよびユーザに関する一括操作の実行」

「ID ポリシーの表示」

「内部 ID ストアの管理」

「外部 ID ストアの管理」

「証明書認証プロファイルの設定」

「ID ストア順序の削除」

ID ストア順序の削除

ID ストア順序を削除するには、次の手順を実行します。


ステップ 1 [Users and Identity Stores] > [Identity Store Sequences] を選択します。

[Identity Store Sequences] ページが表示され、設定されている ID ストア順序のリストが示されます。

ステップ 2 削除する ID ストア順序の隣にあるチェックボックスを 1 つ以上オンにします。

ステップ 3 [Delete] をクリックします。

次のエラー メッセージが表示されます。

Are you sure you want to delete the selected item/items?

ステップ 4 [OK] をクリックします。

[Identity Store Sequences] ページが表示されます。このとき、削除した ID ストア順序はリストに含まれません。


 

関連トピック

「ネットワーク リソースおよびユーザに関する一括操作の実行」

「ID ポリシーの表示」

「内部 ID ストアの管理」

「外部 ID ストアの管理」

「証明書認証プロファイルの設定」

「ID ストア順序の作成、複製、および編集」