Cisco NAC ゲスト サーバ インストレーション/ コンフィギュレーション ガイド リリース 2.1
スポンサー認証の設定
スポンサー認証の設定
発行日;2013/02/13 | 英語版ドキュメント(2012/11/27 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

スポンサー認証の設定

ローカル スポンサー認証の設定

新しいローカル ユーザ アカウントの追加

既存のユーザ アカウントの編集

既存のユーザ アカウントの削除

Active Directory(AD)認証の設定

Active Directory ドメイン コントローラの追加

既存のドメイン コントローラの編集

既存のドメイン コントローラ エントリの削除

LDAP 認証の設定

LDAP サーバの追加

既存の LDAP サーバの編集

既存の LDAP サーバ エントリの削除

RADIUS 認証の設定

RADIUS サーバの追加

既存の RADIUS サーバの編集

既存の RADIUS サーバ エントリの削除

スポンサー認証の設定

認証サーバの順序の変更

セッション タイムアウト

Active Directory Single Sign-On 認証の設定

Active Directory Single Sign-On の要件

AD SSO によるユーザ グループのマッピング

複数ドメインでの AD SSO の設定

複数ドメインの設定の確認

複数フォレストでの AD SSO の設定

複数フォレストの設定の確認

AD SSO 設定のトラブルシューティング

スポンサー認証の設定

スポンサーは、Cisco NAC ゲスト サーバを使用してゲスト アカウントを作成するユーザです。スポンサー認証は、ゲスト サーバのスポンサー インターフェイスに対してスポンサー ユーザを認証します。次の 5 つのオプションがあります。

ローカル ユーザ認証:Cisco NAC ゲスト ユーザで直接ローカル スポンサー アカウントを作成します。「ローカル スポンサー認証の設定」を参照してください。

Active Directory 認証:既存の Active Directory(AD)の実装に対してスポンサーを認証します。「Active Directory(AD)認証の設定」を参照してください。

LDAP 認証:Lightweight Directory Access Protocol(LDAP)サーバに対してスポンサーを認証します。「LDAP 認証の設定」を参照してください。

RADIUS 認証:RADIUS サーバに対してスポンサーを認証します。「RADIUS 認証の設定」を参照してください。

Active Directory Single Sign-On:このオプションでは、クライアントの Web ブラウザと Cisco NAC ゲスト サーバ間で Kerberos を使用して Active Directory ドメイン コントローラに対してスポンサーを自動的に認証します。「Active Directory Single Sign-On 認証の設定」を参照してください。

Cisco NAC ゲスト サーバで複数の認証サーバを設定したり、スポンサーの認証で認証サーバを使用する順序を設定したりできます。詳細については、「スポンサー認証の設定」を参照してください。

ローカル スポンサー認証の設定

ローカル認証では、Cisco NAC ゲスト サーバで直接スポンサー ユーザ アカウントを設定できます。ローカル認証では、次の操作を実行できます。

新しいローカル ユーザ アカウントの追加

既存のユーザ アカウントの編集

既存のユーザ アカウントの削除

新しいローカル ユーザ アカウントの追加


ステップ 1 管理インターフェイスのメニューから、[Authentication] > [Sponsors] > [Local User Database] を選択します(図 4-1 を参照)。

図 4-1 ローカル ユーザ

 

ステップ 2 [Add User] ボタンをクリックし、ローカル スポンサー設定ページ(図 4-2 を参照)を起動します。

図 4-2 ローカル ユーザの追加

 

 

ステップ 3 [Add a Local User Account] ページで、すべてのスポンサー ユーザのクレデンシャルを入力します。

[First Name]:スポンサーの名を入力します。

[Last Name]:スポンサーの姓を入力します。

[Email]:スポンサーの電子メール アドレスを入力します。

[Group]:ドロップダウンからスポンサー アカウントのグループを選択します。グループの詳細については、 「スポンサー ユーザ グループの設定」を参照してください。

[Username]:スポンサー アカウントのユーザ名を入力します。

[Password]:スポンサー アカウントのパスワードを入力します。

[Confirm]:スポンサー アカウントのパスワードを再入力します。

ステップ 4 [Add User] ボタンをクリックします。

エラーがある場合、アカウントは追加されず、ページの上部にエラー メッセージが表示されます。

正常に追加された場合、ページの上部に成功のメッセージが表示され、ユーザ アカウントをさらに追加できます。


 

既存のユーザ アカウントの編集

すでに作成されたローカル スポンサー アカウントの設定を変更できます。


ステップ 1 管理インターフェイスから、[Authentication] > [Sponsors] を選択し、 [Local User Database] タブ図 4-3 を参照)をクリックします。

図 4-3 編集するローカル ユーザ

 

ステップ 2 リストからユーザを選択し、下線の付いたユーザ名をクリックします。

ステップ 3 [Edit a Local User Account] ページで、ユーザのクレデンシャルを編集します(図 4-4 を参照)。

図 4-4 ローカル ユーザ アカウントの編集

 

[First Name]:スポンサー アカウントの名を編集します。

[Last Name]:スポンサー アカウントの姓を編集します。

[Email]:スポンサーの電子メール アドレスを編集します。

[Group]:ドロップダウンからスポンサー アカウントのグループを選択します。グループの詳細については、 「スポンサー ユーザ グループの設定」を参照してください。


) [Password] フィールドと [Repeat Password] フィールドを空にすると、既存のパスワードが保持されます。


[Password]:スポンサー アカウントのパスワードを変更します。

[Confirm]:変更したスポンサー アカウントのパスワードを再入力します。

ステップ 4 [Save Settings] ボタンをクリックします。

エラーがある場合、アカウントは変更されず、ページの上部にエラー メッセージが表示されます。

正常に変更された場合、ページの上部に成功のメッセージが表示され、同じユーザ アカウントをさらに変更できます。


 

既存のユーザ アカウントの削除

既存のスポンサー ユーザ アカウントを管理インターフェイスから削除できます。


ステップ 1 管理インターフェイスから、[Authentication] > [Sponsors] を選択し、 [Local User Database] タブ図 4-5 を参照)をクリックします。

図 4-5 削除するユーザの選択

 

ステップ 2 ローカル ユーザのリストがページに表示されます。[Group Name] フィールドの右側にあるゴミ箱アイコンをクリックして、削除するユーザを選択します。

ステップ 3 プロンプトでユーザの削除を確認します。

正常に削除された場合、ページの上部に成功のメッセージが表示され、ローカル ユーザ アカウントの追加の操作を行うことができます。


 

Active Directory(AD)認証の設定

Active Directory 認証では、既存の AD ユーザ アカウントを使用し、ゲスト サーバに対してスポンサー ユーザを認証します。スポンサーは、ゲスト サーバに対する認証のために、別のユーザ名とパスワードのセットを覚えておく必要がなくなります。また、ローカル スポンサー アカウントを作成したり、追加されたローカル スポンサー アカウントを管理したりする必要がないため、管理者はゲスト アクセスをすばやく開始できます。Active Directory 認証では、次のことが可能です。

Active Directory ドメイン コントローラの追加

既存のドメイン コントローラの編集

既存のドメイン コントローラ エントリの削除

AD 認証では、複数のドメイン コントローラに対する認証をサポートしています。ドメイン コントローラは、復元力を持たせるために同一の Active Directory に配置するか、または異なる Active Directory に配置することができます。ゲスト サーバは、信頼関係が設定されていない場合でも、別のドメインからのスポンサー ユーザを認証できます。

すべての Active Directory 認証は、個々のドメイン コントローラ エントリに対して行われます。ドメイン コントローラ エントリは、次の 6 つの項目で構成されています。

Server Name:ドメイン コントローラの識別名(テキスト表示)。できる限り、識別しやすいドメイン コントローラおよびアカウントのサフィックスの使用を推奨します(ただし、選択したどの値にも設定できます)。

User Account Suffix:Active Directory のすべてのユーザには、「ユーザ名@ドメイン」として表示される完全なユーザ ログイン名があります。このフィールドに「@ドメイン」サフィックス(@ 記号を含む)を使用すると、スポンサー ユーザは完全なユーザ ログイン名を入力する必要がなくなります。

Domain Controller IP Address:スポンサー ユーザによって認証されるドメイン コントローラの IP アドレス。

Base DN:Active Directory の root。これにより、LDAP 検索でスポンサーのユーザ グループを見つけることができます。

AD Username:AD を検索する権限を持つユーザ アカウント。これにより、LDAP 検索でスポンサーのユーザ グループを見つけることができます。

AD Password:AD を検索する権限を持つユーザ アカウントのパスワード。

同じドメイン コントローラに対して異なるユーザ アカウント サフィックスを認証できるようにするために、同じ IP アドレスと異なるユーザ アカウント サフィックスを持つ複数のドメイン コントローラ エントリを作成できます。Server Name、User Account Suffix、および Base DN は、各エントリで異なる必要があります。

ドメイン コントローラの障害に備えて復元力を提供するために、異なる Domain Controller IP Address を持つ同一の User Account Suffix に複数のエントリを入力できます。Server Name は、各エントリで異なる必要があります。

ゲスト サーバは、「スポンサー認証の設定」で指定された Authentication Order に従って、各ドメイン コントローラのエントリに対して順番にスポンサーの認証を行います。

Active Directory ドメイン コントローラの追加


ステップ 1 管理インターフェイスのメニューから、[Authentication] > [Sponsors] > [Active Directory Servers] を選択します(図 4-6 を参照)。

図 4-6 Active Directory 認証

 

ステップ 2 [Add Domain Controller] ボタンをクリックします。

ステップ 3 [Add Active Directory Domain Controller] ページで、特定の AD ドメイン コントローラに対する認証に必要なすべての情報を入力します(図 4-7 を参照)。

図 4-7 Active Directory ドメイン コントローラの追加

 

[Server Name]:ドメイン コントローラの AD サーバ名とアカウント サフィックスを入力します(テキスト表示)。たとえば、CCA.CISCO.COM のように入力します。

[User Account Suffix]:先頭の @ を含めたユーザ アカウント サフィックスを入力します。たとえば、@cca.cisco.com のように入力します。すべての AD ユーザには、「ユーザ名@ドメイン」として表示される完全なユーザ ログイン名があります。スポンサーがユーザ ログイン名だけを入力するようにするには、「@ドメイン」(@ 記号を含む)を入力します。

[Domain Controller]:ドメイン コントローラの IP アドレスまたは DNS 名を入力します。これは、スポンサーによって認証される DC の IP アドレスです。

[Base DN]:ドメイン コントローラのベース識別名(DN)を入力します。これは、ディレクトリ ツリーの root の名前です。グループ検索時に、ゲスト サーバが開始場所を認識するために使用されます。ドメイン cca cisco com のベース DN の例は、 DC=cca,DC=cisco,DC=com です。

[Username]:LDAP を使用する Active Directory を検索する権限を持つユーザ名を入力します。これにより、ゲスト サーバは、ユーザが所属するグループのリストなど、ユーザに関する詳細情報を取得できます。

[Password]:AD ユーザ名の入力後、そのアカウントのパスワードを入力します。

[Confirm]:確認のためにパスワードを再入力します。

[Enabled]:ゲスト サーバでこの AD サーバを使用してスポンサーを認証できるようにする場合は、このチェックボックスをオンにします。このチェックボックスをオフにすると、AD サーバは使用されません。

ステップ 4 [Test Connection] ボタンをクリックして、ドメイン コントローラの設定が正しいことを検証します。[Test Connection] では、指定された AD ユーザ名とパスワードを使用して認証を行い、設定を検証します。成功または失敗のステータスが、「Active Directory Connection Successful」または「Active Directory Connection Failed」メッセージによって返されます。

ステップ 5 [Add Domain Controller] ボタンをクリックして、[Domain Controller] ボタンを追加します。正常に追加された場合、ページの上部に確認メッセージが表示されます。


 

既存のドメイン コントローラの編集


ステップ 1 管理インターフェイスのメニューから、[Authentication] > [Sponsor] > [Active Directory Servers] を選択します(図 4-6)。

ステップ 2 リストから Active Directory ドメイン コントローラを選択し、下線の付いたドメイン名をクリックしてドメイン コントローラを選択および編集します(図 4-8 を参照)。

図 4-8 編集するドメイン コントローラの選択

 

ステップ 3 [Edit Active Directory Domain Controller] ページ(図 4-9 を参照)で、この AD ドメイン コントローラに対する認証に必要な情報を編集します。

図 4-9 Active Directory ドメイン コントローラの編集

 

ステップ 4 必要に応じて設定を変更します。

[User Account Suffix]:先頭の @ を含めたユーザ アカウント サフィックス(例:@cca.cisco.com)を編集します。すべての AD ユーザには、「ユーザ名@ドメイン」として表示される完全なユーザ ログイン名があります。スポンサーが完全なユーザ ログイン名を入力する必要がないように、このフィールドに「@ドメイン」(@ 記号を含む)を入力します。

[Domain Controller]:ドメイン コントローラの IP アドレスを編集します。これは、スポンサーが認証する DC の IP アドレスです。

[Base DN]:ドメイン コントローラのベース識別名(DN)を編集します。これは、ディレクトリ ツリーの root の名前です。グループ検索時に、ゲスト サーバが開始場所を認識するために使用されます。ドメイン cca cisco com のベース DN の例は、 DC=cca,DC=cisco,DC=com です。

[AD Username]:LDAP を使用する Active Directory を検索する権限を持つユーザ名を編集します。これにより、ゲスト サーバは、ユーザが所属するグループのリストなど、ユーザに関する詳細情報を取得できます。


) パスワードを変更しない場合は、[Password] フィールドと [Confirm] フィールドを空にして、既存のパスワードを保持します。


[Password]:検索権限を持つ AD ユーザ アカウントのパスワードを編集します。

[Confirm]:パスワードを再度入力し、パスワードが正しいことを確認します。

[Enabled]:ゲスト サーバでこの AD サーバを使用してスポンサーを認証できるようにする場合は、このチェックボックスをオンにします。このチェックボックスをオフにすると、AD サーバは使用されません。

ステップ 5 [Test Connection] ボタンをクリックして、ドメイン コントローラの設定が正しいことを検証します。[Test Connection] では、指定された AD ユーザ名とパスワードを使用して認証を行い、設定を検証します。成功または失敗のステータスが、「Active Directory Connection Successful」または「Active Directory Connection Failed」メッセージによって返されます。

ステップ 6 [Save Settings] ボタンをクリックします。


 

既存のドメイン コントローラ エントリの削除


ステップ 1 管理インターフェイスのメニューから、[Authentication] > [Sponsors] > [Active Directory Servers] を選択します。

ステップ 2 リストにあるドメイン コントローラの下線の付いた名前をクリックします(図 4-10 を参照)。

図 4-10 ドメイン コントローラ エントリの削除

 

ステップ 3 [Status] フィールドの右側にあるゴミ箱アイコンをクリックして、ドメイン コントローラを削除します。

ステップ 4 プロンプトでドメイン コントローラの削除を確認します。

エラーがある場合、DC は変更されず、ページの上部にエラー メッセージが表示されます。正常に削除された場合、ページの上部に成功のメッセージが表示され、ドメイン コントローラの追加の操作を行うことができます。


 

LDAP 認証の設定

LDAP 認証では、既存の LDAP ユーザ アカウントを使用し、ゲスト サーバに対してスポンサー ユーザを認証します。スポンサーは、ゲスト サーバに対する認証のために、別のユーザ名とパスワードのセットを覚えておく必要がなくなります。また、ローカル スポンサー アカウントを作成したり、追加されたローカル スポンサー アカウントを管理したりする必要がないため、管理者はゲスト アクセスをすばやく開始できます。LDAP 認証では、次のことが可能です。

LDAP サーバの追加

既存の LDAP サーバの編集

既存の LDAP サーバ エントリの削除

LDAP 認証は、複数の LDAP サーバに対する認証をサポートします。

LDAP サーバ エントリは、次の複数の項目で構成されています。

[LDAP Server Name]:LDAP サーバの識別名(テキスト表示)。

[LDAP Server URL]:LDAP サーバにアクセスするための URL(例:ldap://ldap.cisco.com)です。

[Version]:使用する LDAP のバージョン(バージョン 1、2 または 3)。

[Base DN]:ユーザを見つけるための LDAP 検索を開始するコンテナ オブジェクトの識別名(例:OU=Engineering,O=Cisco)です。

[User Search Filter]:LDAP サーバでユーザ エントリに名前を付ける方法を定義します。たとえば、uid(uid=%USERNAME%)または cn(cn=%USERNAME%)として定義できます。

[Group Mapping]:LDAP サーバでは、ユーザをグループに割り当てる場合に次の 2 つの主な方法を使用します。

1. ユーザ オブジェクトの属性にグループ メンバーシップを保存する。この方法を使用すると、ユーザ オブジェクトは、ユーザが所属するグループを示す 1 つまたは複数の属性を持ちます。LDAP サーバがグループ メンバーシップを保存するこの方法を使用する場合は、ユーザがメンバーになっているグループを保持する属性の名前を入力する必要があります。

2. グループ オブジェクトの属性にユーザ メンバーシップを保存する。この方法では、グループのメンバーになっているユーザのリストを含むグループ オブジェクトが存在します。LDAP サーバでこの方法を使用する場合は、ユーザを照合するユーザ グループの LDAP マッピング セクションで、チェックするグループを指定する必要があります。

使用する方法を決定するためには、LDAP のドキュメンテーションでサーバについて確認するか、 http://www.ldapbrowser.com/ で入手可能な LDAP ブラウザを使用してサーバの属性を確認することを推奨します。

[Username]:LDAP サーバを検索する権限を持つユーザ アカウント。これは、Cisco NAC ゲスト サーバでユーザ アカウントとグループ マッピング情報を検索するために必要です。

[Password]:LDAP サーバを検索する権限を持つユーザ アカウントのパスワード。

LDAP サーバの障害に備えて復元力を提供するために、同じデータベースを指しているハイ アベイラビリティ LDAP サーバの複数のエントリを入力できます。サーバ名と URL は、各エントリで異なる必要があります。

ゲスト サーバは、Authentication Order で指定された順序(詳細については、「スポンサー認証の設定」を参照してください)に従って、各 LDAP サーバに対してスポンサーの認証を行います。

LDAP サーバに接続するための正しい LDAP クレデンシャルがあることを確認するには、 http://www.ldapbrowser.com/ で入手可能な LDAP ブラウザをテストすることを推奨します。

LDAP サーバの追加


ステップ 1 管理インターフェイスのメニューから、[Authentication] > [Sponsors] > [LDAP Servers] を選択します(図 4-11 を参照)。

図 4-11 LDAP 認証

 

ステップ 2 [Add LDAP Server] ボタンをクリックします。

ステップ 3 [Add LDAP Server] ページで、特定の LDAP サーバに対する認証に必要な情報をすべて入力します(図 4-12 を参照)。

図 4-12 LDAP サーバの追加

 

 

[LDAP Server Name]:LDAP サーバ名を入力します(テキスト表示)。例:
Cisco LDAP - ldap.cisco.com。

[LDAP Server URL]:LDAP サーバにアクセスするための URL(例:dap://ldap.cisco.com または ldaps://ldap.cisco.com)を入力します。

[Version]:サーバによってサポートされる LDAP のバージョン(バージョン 1、2 または 3)。

[Base DN]:ユーザを見つけるための LDAP 検索を開始するコンテナ オブジェクトの識別名(例:OU=Users,O=Cisco.com または OU=Engineering,O=Cisco)です。

[User Search Filter]:LDAP サーバでユーザ エントリに名前を付ける方法を定義します。たとえば、uid(uid=%USERNAME%)または cn(cn=%USERNAME%)として定義できます。検索でユーザ名が挿入される場所に %USERNAME% を挿入する必要があります。

[Group Mapping]:LDAP サーバでは、ユーザをグループに割り当てる場合に次の 2 つの主な方法を使用します。

1. ユーザ オブジェクトの属性にグループ メンバーシップを保存する。この方法では、ユーザ オブジェクトは、ユーザが所属するグループを示す 1 つまたは複数の属性を持ちます。LDAP サーバがグループ メンバーシップを保存するこの方法を使用する場合は、ユーザがメンバーになっているグループを保持する属性の名前を入力する必要があります。この属性には、groupMembership、memberOf、group などの名前が付いている場合があります。

2. グループ オブジェクトの属性にユーザ メンバーシップを保存する。この方法では、グループのメンバーになっているユーザのリストを含むグループ オブジェクトが存在します。LDAP サーバでこの方法を使用する場合は、ユーザを照合するユーザ グループの LDAP マッピング セクションで、チェックするグループを指定する必要があります。

使用する方法を決定するためには、LDAP のドキュメンテーションでサーバについて確認するか、 http://www.ldapbrowser.com/ で入手可能なブラウザなど、LDAP ブラウザを使用してサーバの属性を確認することを推奨します。

[Username]:LDAP サーバを検索する権限を持つユーザ アカウント。これは、Cisco NAC ゲスト サーバでユーザ アカウントとグループ マッピング情報を検索するために必要です。

[Password]:LDAP サーバを検索する権限を持つユーザ アカウントのパスワード。

[Confirm]:確認のためにパスワードを再入力します。

[Enabled]:ゲスト サーバでこの LDAP サーバを使用してスポンサーを認証できるようにする場合は、このチェックボックスをオンにします。このチェックボックスをオフにすると、LDAP サーバは使用されません。

ステップ 4 [Add LDAP Server] ボタンをクリックすると、設定が正常に保存されます。


 

既存の LDAP サーバの編集


ステップ 1 管理インターフェイスのメニューから、[Authentication] > [Sponsor] > [LDAP Servers] を選択します。

ステップ 2 リストから編集する LDAP サーバを選択し、そのサーバの下線の付いたドメインをクリックします(図 4-13 を参照)。

図 4-13 編集する LDAP サーバの選択

 

ステップ 3 LDAP Server ページ(図 4-14 を参照)で、この LDAP サーバに対する認証に必要な情報を編集します。

図 4-14 LDAP サーバ設定の編集

 

ステップ 4 必要に応じて設定を変更します。

[LDAP Server URL]:LDAP サーバにアクセスするための URL(例:dap://ldap.cisco.com または ldaps://ldap.cisco.com)を入力します。

[Version]:サーバによってサポートされる LDAP のバージョン(バージョン 1、2 または 3)。

[Base DN]:ユーザを見つけるための LDAP 検索を開始するコンテナ オブジェクトの識別名(例:OU=Users,O=Cisco.com または OU=Engineering,O=Cisco)です。

[User Search Filter]:LDAP サーバでユーザ エントリに名前を付ける方法を定義します。たとえば、uid(uid=%USERNAME%)または cn(cn=%USERNAME%)として定義できます。検索でユーザ名が挿入される場所に %USERNAME% を挿入する必要があります。

[Group Mapping]:LDAP サーバでは、ユーザをグループに割り当てる場合に次の 2 つの主な方法を使用します。

1. ユーザ オブジェクトの属性にグループ メンバーシップを保存する。この方法では、ユーザ オブジェクトは、ユーザが所属するグループを示す 1 つまたは複数の属性を持ちます。LDAP サーバがグループ メンバーシップを保存するこの方法を使用する場合は、ユーザがメンバーになっているグループを保持する属性の名前を入力する必要があります。この属性には、groupMembership、memberOf、group などの名前が付いている場合があります。

2. グループ オブジェクトの属性にユーザ メンバーシップを保存する。この方法では、グループのメンバーになっているユーザのリストを含むグループ オブジェクトが存在します。LDAP サーバでこの方法を使用する場合は、ユーザを照合するユーザ グループの LDAP マッピング セクションで、チェックするグループを指定する必要があります。

使用する方法を決定するためには、LDAP のドキュメンテーションでサーバについて確認するか、 http://www.ldapbrowser.com/ で入手可能なブラウザなど、LDAP ブラウザを使用してサーバの属性を確認することを推奨します。

[Username]:LDAP サーバを検索する権限を持つユーザ アカウント。これは、Cisco NAC ゲスト サーバでユーザ アカウントとグループ マッピング情報を検索するために必要です。

[Password]:LDAP サーバを検索する権限を持つユーザ アカウントのパスワード。

[Confirm]:確認のためにパスワードを再入力します。


) パスワードを変更しない場合は、[Password] フィールドと [Confirm] フィールドを空にして、既存のパスワードを保持します。


[Enabled]:ゲスト サーバでこの LDAP サーバを使用してスポンサーを認証できるようにする場合は、このチェックボックスをオンにします。このチェックボックスをオフにすると、LDAP サーバは使用されません。

ステップ 5 [Test Connection] ボタンをクリックして、LDAP サーバの設定が正しいかどうか検証します。[Test Connection] は、LDAP サーバに対して指定されているユーザ名とパスワードを使用してバインドし、正常にバインドできるかどうかを検証します。成功または失敗のステータスが、「LDAP Connection Successful」または「LDAP Connection Failed」メッセージによって返されます。

ステップ 6 [Save Settings] ボタンをクリックします。


 

既存の LDAP サーバ エントリの削除


ステップ 1 管理インターフェイスのメニューから、[Authentication] > [Sponsor] > [LDAP Servers] を選択します。

ステップ 2 リストから LDAP サーバを選択します(図 4-15 を参照)。

図 4-15 LDAP サーバ エントリの削除

 

ステップ 3 LDAP サーバのリストが表示され、[Status] フィールドの右側にあるゴミ箱アイコンをクリックして削除するサーバを選択します。

ステップ 4 プロンプトで LDAP サーバの削除を確認します。

エラーがある場合、LDAP サーバは変更されず、ページの上部にエラー メッセージが表示されます。正常に削除された場合、ページの上部に成功のメッセージが表示され、LDAP サーバの追加の操作を行うことができます。


 

RADIUS 認証の設定

RADIUS 認証では、既存の RADIUS ユーザ アカウントを使用し、Cisco NAC ゲスト サーバに対してスポンサー ユーザを認証します。スポンサーは、ゲスト サーバに対する認証のために、別のユーザ名とパスワードのセットを覚えておく必要がなくなります。また、ローカル スポンサー アカウントを作成したり、追加されたローカル スポンサー アカウントを管理したりする必要がないため、管理者はゲスト アクセスをすばやく開始できます。RADIUS 認証では、次のことが可能です。

RADIUS サーバの追加

既存の RADIUS サーバの編集

既存の RADIUS サーバ エントリの削除

RADIUS サーバの追加


ステップ 1 管理インターフェイスのメニューから、[Authentication] > [Sponsors] > [RADIUS Servers] を選択します(図 4-16 を参照)。

図 4-16 RADIUS 認証

 

ステップ 2 [Add RADIUS Server] ボタンをクリックします。

ステップ 3 [Add RADIUS Server] ページで、特定の RADIUS サーバに対する認証に必要な情報をすべて入力します(図 4-17 を参照)。

図 4-17 RADIUS サーバの追加

 

[Server Name]:RADIUS サーバ名を入力します(テキスト表示)。例:
Cisco RADIUS - radius.cisco.com。

[Server IP Address]:RADIUS サーバの IP アドレスまたはドメイン名を入力します。

[Port]:RADIUS サーバへの接続に使用する UDP ポートを入力します。RADIUS 認証の共通ポートは、ポート 1645 または 1812 です。

[RADIUS Secret]:Cisco NAC ゲスト サーバおよび RADIUS サーバ間の通信の保護に使用する共有秘密。

[Confirm]:確認のために共有秘密を再入力します。

[Enabled]:ゲスト サーバでこの RADIUS サーバを使用してスポンサーを認証できるようにする場合は、このチェックボックスをオンにします。このチェックボックスをオフにすると、RADIUS サーバは使用されません。

ステップ 4 [Save] ボタンをクリックします。


 

既存の RADIUS サーバの編集


ステップ 1 管理インターフェイスのメニューから、[Authentication] > [Sponsor] > [RADIUS Servers] を選択します。

ステップ 2 リストから RADIUS サーバを選択し、編集するサーバの下線の付いた名前をクリックします(図 4-18 を参照)。

図 4-18 編集する RADIUS サーバの選択

 

ステップ 3 [Edit RADIUS Server Details] ページ(図 4-19 を参照)で、この RADIUS サーバに対する認証に必要な情報を編集します。

図 4-19 RADIUS サーバ設定の編集

 

ステップ 4 必要に応じて設定を変更します。

[Server IP Address]:RADIUS サーバの IP アドレスまたはドメイン名を入力します。

[Port]:RADIUS サーバへの接続に使用する UDP ポートを入力します。RADIUS 認証の共通ポートは、ポート 1645 または 1812 です。

[RADIUS Secret]:Cisco NAC ゲスト サーバおよび RADIUS サーバ間の通信の保護に使用する共有秘密。


) 共有秘密を変更しない場合は、[Secret] と [Confirm] の両方のフィールドを空にして、既存の共有秘密を保持します。


[Enabled]:ゲスト サーバでこの RADIUS サーバを使用してスポンサーを認証できるようにする場合は、このチェックボックスをオンにします。このチェックボックスをオフにすると、RADIUS サーバは使用されません。

ステップ 5 [Save Settings] ボタンをクリックします。


 

既存の RADIUS サーバ エントリの削除


ステップ 1 管理インターフェイスのメニューから、[Authentication] > [Sponsor] > [RADIUS Servers] を選択します。

ステップ 2 リストから RADIUS サーバを選択します(図 4-20 を参照)。

図 4-20 RADIUS サーバ エントリの削除

 

ステップ 3 RADIUS サーバのリストがページに表示されます。[Status] フィールドの右側にあるゴミ箱アイコンをクリックして、サーバを削除します。

ステップ 4 プロンプトで RADIUS サーバの削除を確認します。

エラーがある場合、RADIUS サーバは変更されず、ページの上部にエラー メッセージが表示されます。正常に削除された場合、ページの上部に成功のメッセージが表示され、RADIUS の追加の操作を行うことができます。


 

スポンサー認証の設定

認証サーバの順序の変更

Cisco NAC ゲスト サーバに対してスポンサーを認証すると、ゲスト サーバは、スポンサーを正常に認証するまで、定義された各認証サーバを順番に試みます。いずれの認証サーバもスポンサーを認証できない場合は、エラー メッセージが返されます。

種類の異なる多くの認証サーバを定義できるため、それらをサーバ単位で必要な順序に設定できます。


ステップ 1 管理インターフェイスのメニューから、[Authentication] > [Sponsor] > [Authentication Order] を選択します(図 4-21 を参照)。

図 4-21 認証順序

 

最初に認証されるサーバはリストの先頭に示され、最後に認証されるサーバはリストの最後に示されます。

ステップ 2 リストから順序を変更するサーバを選択し、[move up] または [move down] ボタンをクリックします。この操作を、正しい順序になるまですべてのサーバで実行します。

ステップ 3 認証順序を保存するには、[Change Order] ボタンをクリックします。


 

セッション タイムアウト

Cisco NAC ゲスト サーバにログインしたスポンサーは、一定期間活動していないとログアウトされます。活動しない期間は、[Session Timeout Settings] ページで設定できます。


) ここで定義されたセッション タイムアウトは、スポンサー インターフェイスと管理インターフェイスの両方に適用されます。「admin セッション タイムアウト」を参照してください。



ステップ 1 管理インターフェイスのメニューから、[Authentication] > [Sponsor] > [Settings] を選択します(図 4-22 を参照)。

図 4-22 セッション タイムアウト

 

ステップ 2 [Session Timeout] の値を分単位で入力します(デフォルトは 10 分)。この時間にスポンサーが活動しないと、それらのスポンサーのセッションの期限が切れて、スポンサーが次のアクションを実行すると、ログイン ページが表示されます。

ステップ 3 [Save Settings] ボタンをクリックして、セッション タイムアウトを保存します。


 

Active Directory Single Sign-On 認証の設定

Active Directory Single Sign-On(AD SSO)機能では、クライアントの Web ブラウザと Cisco NAC ゲスト サーバ間で Kerberos を使用して Active Directory ドメイン コントローラに対してスポンサーを自動的に認証します。

シングル サインオン設定と同じドメイン内に存在する Active Directory ドメイン コントローラは、事前に設定されている必要があります(「Active Directory(AD)認証の設定」を参照)。

NAC ゲスト サーバ 2.0.4 から、次の環境がサポートされています。

Windows 2003 Server

Windows 2008 R2 Server

Internet Explorer 6、7、8、および 9 を搭載した Microsoft Windows 2003 クライアント


) AD SSO では、Windows 2008 R2 Server ではデフォルトでディセーブルになっている DES 暗号化が必要です。Windows 2008 R2 Server を使用している場合は、DES 暗号化を手動でイネーブルにして AD SSO を使用する必要があります。


Active Directory Single Sign-On の要件

Active Directory Single Sign-On を正しく設定するには、次の要件を満たしている必要があります。

DNS が設定され、Cisco NAC ゲスト サーバで稼働していること。

DNS が設定され、ドメイン コントローラで稼働していること。

Cisco NAC ゲスト サーバの次の DNS エントリがいずれも定義されていること。

「A」レコード

「PTR」レコード

ドメイン コントローラの次の DNS エントリがいずれも定義されていること。

「A」レコード

「PTR」レコード

Cisco NAC ゲスト サーバの時間設定は、Active Directory ドメインと同期する必要があります。

これらの設定のいずれかが満たされていない場合、AD SSO の設定は失敗します。


) 時間を Active Directory ドメインと同期させるために、NTP を設定することを強く推奨します。Cisco NAC ゲスト サーバの時間が、クライアントまたはドメインと 5 分以上異なる場合、Single Sign-On は失敗します。



ステップ 1 「Active Directory(AD)認証の設定」の説明に従って、Active Directory サーバを設定します。Active Directory サーバは、Single Sign-On を実行するユーザをスポンサー グループに正しくマップするために必要です。Active Directory サーバは、Single Sign-On 設定と同じドメインに含まれている必要があります。

ステップ 2 管理インターフェイスの左側のメニューから、[Authentication] > [AD Single Sign-On] を選択します(図 4-23 を参照)。

図 4-23 Active Directory Single Sign-On

 

ステップ 3 [Enable AD Single Sign On] チェックボックスをオンにして、AD SSO をイネーブルにします。

ステップ 4 SSO をイネーブルにするドメインの Active Directory ドメイン名を入力します。

ステップ 5 Active Directory ドメイン コントローラの完全修飾ドメイン名を入力します。Cisco NAC ゲスト サーバで、ドメイン コントローラの A レコードと PTR レコードの両方を解決できる必要があります。

ステップ 6 NAC ゲスト サーバの完全修飾ドメイン名を入力します。NAC ゲスト サーバで、DNS を使用してそれ自身の A レコードと PTR レコードの両方を解決できるようにする必要があります。

ステップ 7 ドメインの AD 管理者ユーザ名を入力します。このアカウントは、ドメインに NAC ゲスト サーバを追加したり、そのコンピュータ アカウントを作成したりするために使用されます。

ステップ 8 AD 管理者のパスワードを入力し、[Confirm] フィールドで再入力します。

ステップ 9 [Save] をクリックします。NAC ゲスト サーバはドメインに参加し、コンピュータ アカウントを作成して、Active Directory Single Sign On を有効にします。


 

AD SSO によるユーザ グループのマッピング

AD SSO でユーザ グループをマッピングするには、Active Directory サーバを認証サーバとして設定し、スポンサー ユーザ グループで AD グループをマッピングする必要があります。


ステップ 1 [Authentications] > [Sponsors] > [Active Directory Servers] を選択します。

ステップ 2 新しいドメイン コントローラを追加します。

ステップ 3 [Test Connection] をクリックして、ドメイン コントローラが設定されていることを確認します。

ステップ 4 新しいユーザ グループを追加します(「スポンサー ユーザ グループの追加」 を参照)。

ステップ 5 [Create Bulk Accounts] ドロップダウンで [No] を選択します。

ステップ 6 Active Directory マッピングで、適切なユーザ グループが選択されていることを確認します(「Active Directory グループへのマッピング」 を参照)。

ステップ 7 [Audit Logs] をクリックすると、ユーザがスポンサー グループに配置されていることを確認できます(「監査ログ」 を参照)。


 

複数ドメインでの AD SSO の設定

NAC ゲスト サーバ リリース 2.0.4 以降、複数のドメインで AD SSO を設定できます。

次の例では、NAC ゲスト サーバがすでに cca.cisco.com ドメインに存在しています。ここでは、同じフォレスト cca.cisco.com に存在する、異なる child.cca.cisco.com ドメインに対して AD SSO をイネーブルにする方法について説明します。

SSO セクションを設定する前に、「A」レコードおよび「PTR」レコードが、ドメイン コントローラおよび NAC ゲスト サーバに存在することを確認します。

 


ステップ 1 管理インターフェイスの左側のメニューから、[Authentication] > [AD Single Sign-On] を選択します(図 4-24 を参照)。

図 4-24 複数のドメインに対するサーバ設定

 

ステップ 2 [Enable AD Single Sign On] チェックボックスをオンにして、AD SSO をイネーブルにします。

ステップ 3 Active Directory ドメイン名として CHILD.CCA.CISCO.COM を入力します。

ステップ 4 Active Directory ドメイン コントローラの完全修飾ドメイン名を入力します。

ステップ 5 NAC ゲスト サーバの完全修飾ドメイン名として ngs.cca.cisco.com を入力します。

ステップ 6 ドメインの AD 管理者ユーザ名を入力します。

ステップ 7 AD 管理者のパスワードを入力し、[Confirm] フィールドで再入力します。

ステップ 8 [Save] をクリックします。

ステップ 9 ドメインが設定されると、成功のメッセージが表示されます(図 4-25 を参照)。

図 4-25 複数ドメインのセットアップを正しく設定

 

 


 

複数ドメインの設定の確認

ユーザ マシンから、ドメインにログインします。この例では、このマシンは child.cca.cisco.com ドメインの一部です。NAC ゲスト サーバがローカル イントラネットの一部であり、自動ログインがオンになっていることを確認します。

Web ブラウザで、ドメイン名を入力します。クレデンシャルによって、ドメインに自動的にログインされます。


) NAC ゲスト サーバの FQDN を使用して、ブラウザから SSO をテストします。IP アドレスは機能しません。


複数フォレストでの AD SSO の設定

NAC ゲスト サーバ リリース 2.0.4 以降、複数のフォレストで AD SSO を設定できます。

次の例では、NAC ゲスト サーバがすでに cca.cisco.com フォレストに存在しています。ここでは、異なるフォレスト内に存在する、異なる chn-acsdev.com ドメインの AD SSO をイネーブルにする方法について説明します。

SSO セクションを設定する前に、「A」レコードおよび「PTR」レコードが、ドメイン コントローラおよび NAC ゲスト サーバに存在することを確認します。


) AD SSO は、フォレスト間で確立された双方向の信頼関係があるクロス フォレスト設定でサポートされています。



ステップ 1 管理インターフェイスの左側のメニューから、[Authentication] > [AD Single Sign-On] を選択します(図 4-26 を参照)。

図 4-26 複数のフォレストに対するサーバ設定

 

ステップ 2 [Enable AD Single Sign On] チェックボックスをオンにして、AD SSO をイネーブルにします。

ステップ 3 Active Directory ドメイン名として CHN-ACSDEV.COM を入力します。

ステップ 4 Active Directory ドメイン コントローラの完全修飾ドメイン名を入力します。

ステップ 5 NAC ゲスト サーバの完全修飾ドメイン名として ngs.cca.cisco.com を入力します。

ステップ 6 ドメインの AD 管理者ユーザ名を入力します。

ステップ 7 AD 管理者のパスワードを入力し、[Confirm] フィールドで再入力します。

ステップ 8 [Save] をクリックします。

ステップ 9 ドメインが設定されると、成功のメッセージが表示されます(図 4-27 を参照)。

図 4-27 複数フォレストのセットアップを正しく設定

 

 


 

複数フォレストの設定の確認

ユーザ マシンから、ドメインにログインします。この例では、マシンは chn-acsdev.com ドメインの一部です。NAC ゲスト サーバがローカル イントラネットの一部であり、自動ログインがオンになっていることを確認します。

Web ブラウザで、ドメイン名を入力します。クレデンシャルによって、ドメインに自動的にログインされます。


) NAC ゲスト サーバの FQDN を使用して、ブラウザから SSO をテストします。IP アドレスは機能しません。


AD SSO 設定のトラブルシューティング

ここでは、ログ内のエラー メッセージおよび設定中に発生する可能性のある問題をトラブルシューティングするためのヒントについて説明します。

Error: Domain format incorrect / Domain Controller must be a FQDN, not an IP address

ドメインが正しい形式で入力されていません(例:CCA.CISCO.COM)。

Error: Hostname must be a FQDN, not an IP address

NAC ゲスト サーバのホスト名は IP アドレスではなく、完全修飾ドメイン名である必要があります(例:nac.cca.cisco.com)。

Error: Cannot determine IP address for Domain Controller

Error: Cannot get DNS A record for Domain Controller

Error: Cannot get DNS A record for hostname

Error: Cannot get DNS PTR record for Domain Controller IP address

Error: Cannot get DNS PTR record for hostname IP address

上記のエラーは、DNS の設定に問題がある場合に発生します。

 

Error: Failed to create computer account for this server on the Domain Controller.See application log for details

Error: Invalid username/password

管理者のユーザ名またはパスワードが正しくありません。エラーの詳細については、アプリケーション ログを参照してください。

Error: Invalid Domain or cannot resolve network address for DC

AD サーバで DNS の問題があります。

Error: Domain Controller time does not match this server's time

サーバ時刻が一致していることを確認します。NTP を使用してサーバ時刻を同期することを推奨します。

Error: The DC cannot determine the hostname for the Guest server by reverse lookup.There may be an issue with your DNS configuration.

上記のエラーは、AD サーバの DNS 設定の問題が原因である可能性があります。