Cisco NAC ゲスト サーバ インストレーション コンフィギュレーション ガイド Release 1.0.0
スポンサー認証の設定
スポンサー認証の設定
発行日;2012/01/10 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 1MB) | フィードバック

目次

スポンサー認証の設定

ローカル スポンサー認証の設定

新しいローカル ユーザ アカウントの追加

既存のユーザ アカウントの編集

既存のユーザ アカウントの削除

Active Directory(AD)認証の設定

Active Directory ドメイン コントローラの追加

既存のドメイン コントローラの編集

既存のドメイン コントローラ エントリの削除

スポンサー認証の設定

スポンサーは、Cisco NAC ゲスト サーバを使用してゲスト アカウントを作成するユーザです。スポンサー認証は、ゲスト サーバ上のスポンサー ユーザを認証するために使用する方法です。スポンサー認証には次の 2 つのオプションがあります。

ローカル ユーザ認証 ― Cisco NAC ゲスト サーバで直接スポンサー アカウントを作成します。
「ローカル スポンサー認証の設定」を参照してください。

AD 認証 ― 既存の Active Directory(AD)の実装に対してスポンサーを認証します。「Active Directory(AD)認証の設定」を参照してください。

ローカル スポンサー認証の設定

ローカル認証では、Cisco NAC ゲスト サーバで直接スポンサー ユーザ アカウントを設定できます。ローカル認証では、次のことが可能です。

「新しいローカル ユーザ アカウントの追加」

「既存のユーザ アカウントの編集」

「既存のユーザ アカウントの削除」

新しいローカル ユーザ アカウントの追加


ステップ 1 管理インターフェイスの左側のメニューから、 Authentication > Local Users を選択します(図4-1)。

図4-1 Local Users

 

ステップ 2 Add User ボタンをクリックし、ローカル スポンサー設定ページを起動します(図4-2)。

図4-2 ローカル ユーザの追加

 

ステップ 3 Add a Local User Account ページで、すべてのスポンサー ユーザ クレデンシャルを入力します。

First Name ― スポンサーのファースト ネームを入力します。

Last Name ― スポンサーの姓を入力します。

Username ― スポンサー アカウントのユーザ名を入力します。

Password ― スポンサー アカウントのパスワードを入力します。

Repeat Password ― スポンサー アカウントのパスワードを再び入力します。

Groups ― ドロップダウンからスポンサー アカウントのグループを選択します。(グループの詳細については 第 5 章「ユーザ グループ権限の設定」 を参照してください。)

Email Address ― スポンサーの電子メール アドレスを入力します。

ステップ 4 Add User ボタンをクリックします。

エラーがある場合、アカウントは追加されず、ページの上部にエラー メッセージが表示されます。

無事に追加された場合、ページの上部に成功を示すメッセージが表示され、さらにユーザ アカウントを追加できます。


 

既存のユーザ アカウントの編集

作成済みローカル ユーザ アカウントの設定を変更します。


ステップ 1 管理インターフェイスの左側のメニューから、 Authentication > Local Users を選択します(図4-3)。

図4-3 編集するローカル ユーザ

 

ステップ 2 リストからユーザを選択し、Edit User ボタンをクリックします。

ステップ 3 Edit a Local User Account ページで、ユーザ クレデンシャルを編集します(図4-4)。

図4-4 ローカル スポンサー アカウントの編集

 

First Name ― スポンサー アカウントのファースト ネームを編集します。

Last Name ― スポンサー アカウントの姓を編集します。


) Password および Repeat Password フィールドをブランクにすると、現在のパスワードが維持されます。


Password ― スポンサー アカウントのパスワードを変更します。

Repeat Password ― スポンサー アカウントの変更されたパスワードを再び入力します。

Groups ― ドロップダウンからスポンサー アカウントのグループを選択します。 第 5 章「ユーザ グループ権限の設定」 に、グループの詳細を示します。

Email Address ― スポンサーの電子メール アドレスを編集します。

ステップ 4 Save Settings ボタンをクリックします。

エラーがある場合、アカウントは変更されず、ページの上部にエラー メッセージが表示されます。

無事に変更された場合、ページの上部に成功を示すメッセージが表示され、同じユーザ アカウントを再度変更することができます。


 

既存のユーザ アカウントの削除

既存のスポンサー ユーザ アカウントを管理インターフェイスから削除できます。


ステップ 1 管理インターフェイスの左側のメニューから、 Authentication > Local Users を選択します(図4-5)。

図4-5 削除するユーザの選択

 

ステップ 2 リストからユーザを選択し、Delete User ボタンをクリックします。

ステップ 3 プロンプトでユーザの削除を確認します。

無事に削除された場合、ページの上部に成功を示すメッセージが表示され、続けてローカル ユーザ アカウントの操作を行うことができます。


 

Active Directory(AD)認証の設定

Active Directory 認証では、既存の AD ユーザ アカウントを使用し、ゲスト サーバを使用するスポンサー ユーザを認証します。これによりスポンサーは、ゲスト サーバに対する認証のためだけに他のユーザ名とパスワードのセットを覚えておく必要がなくなります。また、スポンサー アカウントを作成したり、追加されたスポンサー アカウントを管理する必要がないため、管理者はゲスト アクセスをすばやく開始できます。Active Directory 認証では、次のことが可能です。

「Active Directory ドメイン コントローラの追加」

「既存のドメイン コントローラの編集」

「既存のドメイン コントローラ エントリの削除」

AD 認証では、複数のドメイン コントローラに対する認証をサポートしています。ドメイン コントローラを、復元力をもたせるために同一の Active Directory に配置するか、または信頼関係が設定されていない場合でも、異なるドメインのスポンサー ユーザをゲスト サーバが認証できるように、異なる Active Directory に配置することができます。

すべての Active Directory 認証は、個々のドメイン コントローラ エントリに対して行われます。ドメイン コントローラ エントリは、次の 6 つの項目で構成されています。

Server Name ― ドメイン コントローラの識別名(テキスト表示)。できる限り、識別しやすいドメイン コントローラおよびアカウントの接尾辞の使用を推奨します。

User Account Suffix ― Active Directory のすべてのユーザは、「ユーザ名@ドメイン」として表示されるユーザ ログオン名をもっています。このフィールドに「@ドメイン接尾辞」(@ を含む)を入力すると、スポンサー ユーザはユーザ ログオン名のすべてを入力する必要がなくなります。

Domain Controller IP Address ― スポンサー ユーザが認証するドメイン コントローラの IP アドレス

Base DN ― Active Directory の root。これにより、LDAP(Lightweight Directory Access Protocol)検索でスポンサーのユーザ グループを見つけることができます。

AD Username ― AD を検索する権限をもつユーザ アカウント。これにより、スポンサーのユーザ グループの LDAP 検索が可能になります。

AD Password ― AD を検索する権限をもつユーザ アカウントのパスワード

同じドメイン コントローラに対して異なるユーザ アカウント接尾辞を認証できるようにするために、同じ IP アドレスと異なるユーザ アカウント接尾辞をもつ複数のドメイン コントローラを作成できます。各エントリでユニークである必要のあるフィールドは、Server Name、User Account Suffix、および Base DN です。

ドメイン コントローラの障害に備えて復元力を提供するために、異なる Domain Controller IP Address をもつ同一の User Account Suffix に複数のエントリを入力できます。各エントリでユニークである必要のあるフィールドは、Server Name だけです。

ゲスト サーバは、各ドメイン コントローラのエントリに対して順番にスポンサーの認証を行います。

Active Directory ドメイン コントローラの追加


ステップ 1 管理インターフェイスの左側のメニューから、 Authentication > AD Authentication を選択します(図4-6)。

図4-6 Active Directory の認証

 

ステップ 2 Add DC ボタンをクリックします。

ステップ 3 Add Active Directory Domain Controller ページで、特定の AD ドメイン コントローラに対する認証に必要なすべての情報を入力します(図4-7)。

図4-7 Add Active Directory Domain Controller

 

Server Name ― ドメイン コントローラの AD サーバ名とアカウント接尾辞を入力します(例:CCA.CISCO.COM)。

User Account Suffix ― 先頭の @ を含めたユーザ アカウント接尾辞を入力します(例:@cca.cisco.com)。すべての AD ユーザには、「ユーザ名@ドメイン」で表示される一続きのユーザ ログオン名があります。スポンサーがユーザ ログオン名のすべてを入力する必要がないように、このフィールドに「@ドメイン」(@含む)を入力します。

Domain Controller IP Address ― ドメイン コントローラの IP アドレスを入力します。これは、スポンサーが認証する DC の IP アドレスです。

Base DN ― ドメイン コントローラのベース Distinguished Name(DN; 認定者名)を入力します。これは、ディレクトリ ツリーの root の名前です。グループ検索時に、ゲスト サーバが開始場所を認識するために使用されます。ドメイン cca. cisco.com のベース DN の例は、
DC=cca,DC=cisco,DC=com です。

AD Username ― LDAP を使用して Active Directory を検索する権限をもつユーザ名を入力します。これにより、ゲスト サーバは、ユーザが所属するグループのリストなど、ユーザに関する詳細情報を取得できます。

AD Password ― AD ユーザ名の入力後、このアカウントのパスワードを入力します。

Confirm AD Password ― パスワードを再度入力し、パスワードが正しいことを確認します。

ステップ 4 Add Domain Controller ボタンをクリックします。


 

既存のドメイン コントローラの編集


ステップ 1 管理インターフェイスの左側のメニューから、 Authentication > AD Authentication を選択します。

ステップ 2 リストから Active Directory Domain Controller を選択し、Edit DC ボタンをクリックします(図4-8)。

図4-8 編集するドメイン コントローラの選択

 

ステップ 3 Active Directory Domain Controller ページ(図4-9 )で、この AD ドメイン コントローラに対する認証の情報を編集します。

図4-9 DC 設定の編集

 

ステップ 4 必要に応じて設定を変更します。

User Account Suffix ― 先頭の @ を含めたユーザ アカウント接尾辞を編集します(例:@cca.cisco.com)。すべての AD ユーザには、「ユーザ名@ドメイン」で表示される一続きのユーザ ログオン名があります。スポンサーがユーザ ログオン名のすべてを入力する必要がないように、このフィールドに「@ドメイン」(@含む)を入力します。

Domain Controller IP Address ― ドメイン コントローラの IP アドレスを編集します。これは、スポンサーが認証する DC の IP アドレスです。

Base DN ― ドメイン コントローラのベース DN を編集します。これは、ディレクトリ ツリーの root の名前です。グループ検索時に、ゲスト サーバが開始場所を認識するために使用されます。ドメイン cca. cisco.com のベース DN の例は、DC=cca,DC=cisco,DC=com です。

AD Username ― LDAP を使用して Active Directory を検索する権限をもつユーザ名を編集します。これにより、ゲスト サーバは、ユーザが所属するグループのリストなど、ユーザに関する詳細情報を取得できます。


) パスワードを変更しない場合、両方のパスワード エントリをブランクにすると、現在のパスワードが維持されます。


AD Password ― 検索権限をもつ AD ユーザ アカウントのパスワードを編集します。

Confirm AD Password ― パスワードをもう一度入力し、パスワードが正しいことを確認します。

ステップ 5 Save Settings ボタンをクリックします。


 

既存のドメイン コントローラ エントリの削除


ステップ 1 管理インターフェイスの左側のメニューから、 Authentication > AD Authentication を選択します。

ステップ 2 リストからドメイン コントローラを選択します(図4-10)。

図4-10 ドメイン コントローラ エントリの削除

 

ステップ 3 Delete DC ボタンをクリックします。

ステップ 4 プロンプトでドメイン コントローラの削除を確認します。

エラーがある場合、DC は変更されず、ページの上部にエラー メッセージが表示されます。

無事に削除された場合、ページの上部に成功を示すメッセージが表示され、続けてドメイン コントローラの操作を行うことができます。