Cisco NAC アプライアンス - Clean Access Manager コンフィギュレーション ガイド
ユーザ管理:認証サーバの設定
ユーザ管理:認証サーバの設定
発行日;2012/02/01 | 英語版ドキュメント(2011/08/21 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

ユーザ管理:認証サーバの設定

概要

認証プロバイダーの追加

Kerberos

RADIUS

ACS サーバを使用した FIPS 140-2 準拠 RADIUS 認証プロバイダーの追加

Agent における RADIUS チャレンジ/レスポンス方式の影響

Windows NT

LDAP

簡易認証を使用する LDAP サーバの設定

GSSAPI 認証を使用する LDAP サーバの設定

Active Directory Single Sign-On (SSO; シングルサインオン)

Windows NetBIOS SSO

Windows NetBIOS SSO の実装

Cisco VPN SSO

Cisco VPN SSO 認証サーバの追加

Allow All

Guest

認証キャッシュ タイムアウトの設定(任意)

バックエンドの Active Directory に対する認証

AD/LDAP の設定例

属性または VLAN ID を使用したユーザとロールのマッピング

マッピング ルールの設定

マッピング ルールの変更

Auth Test

RADIUS アカウンティング

RADIUS アカウンティングのイネーブル設定

出荷時のデフォルト設定の復元

ログイン、ログアウト、または共有イベントへのデータの追加

新しいエントリの追加(ログイン イベント、ログアウト イベント、共有イベント)

ユーザ管理:認証サーバの設定

この章では、外部認証ソース、Active Directory Single Sign-On(SSO; シングルサインオン)、VLAN ID、または属性ベースの認証サーバ マッピング ルールの設定、および RADIUS アカウンティングについて説明します。この章の内容は以下のとおりです。

「概要」

「認証プロバイダーの追加」

「認証キャッシュ タイムアウトの設定(任意)」

「バックエンドの Active Directory に対する認証」

「属性または VLAN ID を使用したユーザとロールのマッピング」

「Auth Test」

「RADIUS アカウンティング」

AD SSO の詳細については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.7(1) 』の「Configuring Active Directory Single Sign-On (AD SSO)」の章を参照してください。

Web ユーザ ログイン ページの作成および設定の詳細については、 第 5 章「ユーザ ログイン ページとゲスト アクセスの設定」 を参照してください。

ユーザ ロールおよびローカル ユーザの設定の詳細については、 第 6 章「ユーザ管理:ユーザ ロールとローカル ユーザの設定」 を参照してください。

ユーザ ロールのトラフィック ポリシーの設定に関する詳細は、 第 8 章「ユーザ管理:トラフィック制御、帯域幅、スケジュール」 を参照してください。

概要

Clean Access Manager を外部認証ソースに接続することにより、非信頼ネットワークのユーザおよび管理者ユーザの認証に、既存のユーザ データを使用できます。Cisco NAC アプライアンスは、次の 2 とおりの場合に利用できるように、複数のタイプの認証プロバイダーをサポートしています。

既存のバックエンド認証サーバを併用する場合

Cisco NAC アプライアンスが提供するトランスペアレント認証メカニズムのうちのいずれかを使用可能にする場合

既存のバックエンド認証サーバの併用

既存のバックエンド認証サーバを併用する場合は、次の認証プロトコル タイプを利用できます。

Kerberos

RADIUS(Remote Authentication Dial-In User Service)

Windows NT(NTLM 認証サーバ)

LDAP(Lightweight Directory Access Protocol)

このオプションを使用する場合、CAM はバックエンド認証サーバと通信する認証クライアントになります。図 7-1 にこの認証の流れを示します。

図 7-1 バックエンド認証サーバを使用する場合の Cisco NAC アプライアンスの認証の流れ

 

現在のところ、Cisco NAC アプライアンス システムの次のような機能を使用できるようにするには、RADIUS、LDAP、Windows NT、または Kerberos の認証サーバ タイプを利用する必要があります。

ネットワーク スキャン ポリシー

エージェントの要件

属性ベースの認証マッピング ルール


) Windows NT の場合だけは、CAM をドメイン コントローラと同じサブネットに配置する必要があります。


トランスペアレント認証メカニズムの併用

このオプションを使用すると、次の認証プロトコル タイプを利用できます。

Active Directory SSO

Cisco VPN SSO

Windows NetBIOS SSO(従来の「Transparent Windows」)

S/Ident(Secure/Identification)

Clean Access Server は、選択されたプロトコルに応じて、エンド ユーザ マシンから認証サーバに流れる認証ソースに関連するトラフィック(たとえば、Windows NetBIOS SSO 認証タイプの場合は Windows ログイン トラフィック)のスニッフィングを実行します。その後、CAS はユーザ認証にその情報を使用(または使用を試行)します。この場合、ユーザは Cisco NAC アプライアンス システムに明示的にログイン(Web ログインまたは Agent を通じて)はしません。


) S/Ident および Windows NetBIOS SSO を使用できるのは認証のためだけです。現在のところ、ポスチャ評価、隔離、修復には、これらの認証タイプには適用されません。


ローカル認証

ユーザおよび Cisco NAC アプライアンス管理者の両方に対して、ローカル認証と外部認証のメカニズムを組み合せて使用できます。通常、外部認証ソースは一般ユーザに使用し、ローカル認証(CAM 内でユーザが有効な場合)はテスト ユーザ、ゲスト、または限定的なネットワーク アクセス権を持つその他のユーザ タイプに使用します。ゲスト アクセスに対するローカル認証の使用については、「ゲスト ユーザ アクセス」を参照してください。

プロバイダー

プロバイダーとは、設定済みの認証ソースのことです。設定したプロバイダーを Web ログイン ページの [Provider] ドロップダウン メニュー(図 7-2 を参照)に表示して、Agent によってユーザが認証ドメインを選択できるようにすることが可能です。

図 7-2 Web ログイン ページの Provider フィールド

 

マッピング ルール

認証サーバに基づいて、ユーザのロール割り当てを設定できます。どの認証サーバ タイプでも、VLAN ID に基づいてユーザにロールを割り当てるためのマッピング ルールを作成できます。また、LDAP および RADIUS の認証サーバの場合は、認証サーバから渡される属性値に基づいてユーザとロールをマッピングすることもできます。

FIPS 140-2 の準拠

FIPS 準拠 CAM/CAS で GSSAPI を使用する LDAP および Kerberos が動作するためには、外部リソースと FIPS 準拠アプライアンスの間でセキュアな認証セッションを確保するために、必ずホストで Windows 2008 Server を実行している必要があります。

Windows Server 2003 または 2008 を実行している Windows 環境で、Cisco NAC アプライアンス システムと Cisco ACS 4.x の間にセキュアな IPSec トンネルをセットアップすることにより、FIPS 140-2 準拠の外部 RADIUS 認証プロバイダー タイプを設定できます。

認証プロバイダーの追加

ここでは、Clean Access Manager に認証サーバを追加する際の全般的な手順を説明します。


ステップ 1 [User Management] > [Auth Servers] > [New] の順番に進みます。

ステップ 2 [Authentication Type] リストから、認証プロバイダーのタイプを選択します。

ステップ 3 [Provider Name] に、認証プロバイダー固有の名前を入力します。ユーザがログイン ページでプロバイダーを選択できるようにする場合は、この名前がログイン ページに使用されるため、ユーザが理解できるような意味のある名前を入力してください。

ステップ 4 [Default Role] で、このプロバイダーで認証するユーザに割り当てるユーザ ロールを選択します。このデフォルト ロールが使用されるのは、MAC アドレスまたは IP アドレスに基づくロール割り当てによって上書きされなかった場合です。LDAP/RADIUS マッピング ルールでの照合に失敗した場合も、このデフォルト ロールが割り当てられます。

ステップ 5 (任意)その認証サーバの説明を [Description] に入力します。

ステップ 6 後述の説明に従って、選択した認証タイプ用のフィールドを完成させます。

ステップ 7 完了したら、[Add Server] をクリックします。


 

[User Management] > [Auth Servers] > [List of Servers] に、新しい認証ソースが表示されます。

設定値を変更する場合は、該当する認証サーバの横にある [Edit] ボタンをクリックします。

任意のサーバ タイプに VLAN ベースのマッピング ルールを設定する場合、または LDAP、RADIUS、および Cisco VPN SSO の認証タイプに属性ベースのマッピング ルールを設定する場合は、該当する認証サーバの横にある [Mapping] ボタンをクリックします。

各認証サーバ タイプの追加に必要な固有のパラメータについては、以下の該当する項を参照してください。

「Kerberos」

「RADIUS」

「Windows NT」

「LDAP」

「Active Directory Single Sign-On (SSO; シングルサインオン)」

「Windows NetBIOS SSO」

「Cisco VPN SSO」

「Allow All」

「Guest」

各認証サーバ タイプの追加に必要な固有のパラメータについては、以下の該当する項を参照してください。

「バックエンドの Active Directory に対する認証」


) ユーザのデフォルト認証プロバイダーの設定は、[Administration] > [User Pages] > [Login Page] > [Edit] > [Content] にある [Default Provider] オプションで行います。第 5 章「ユーザ ログイン ページとゲスト アクセスの設定」を参照してください。


Kerberos


) Cisco NAC アプライアンスでは、GSSAPI 認証方式を使用して Kerberos 認証プロバイダーと LDAP 認証プロバイダーを 1 つずつ設定できますが、アクティブにできるのは常にいずれか 1 つだけです。詳細については、「LDAP」を参照してください。



) FIPS 140-2 準拠 CAM で Kerberos が動作するためには、外部リソースと FIPS 準拠アプライアンスの間でセキュアな認証セッションを確保するために、必ずホストで Windows 2008 Server を実行している必要があります。



ステップ 1 [User Management] > [Auth Servers] > [New] の順番に進みます。

ステップ 2 [Authentication Type] ドロップダウン メニューから [Kerberos] を選択します。

図 7-3 Kerberos 認証サーバの追加

 

ステップ 3 [Provider Name]:この認証プロバイダー固有の名前を入力します。Web ログイン ユーザが Web ログイン ページでプロバイダーを選択できるようにする場合は、ユーザが理解できるような意味のある名前を入力してください。

ステップ 4 [Domain Name]:Kerberos レルムのドメイン名を大文字で入力します(「CISCO.COM」など)。

ステップ 5 [Default Role]:このプロバイダーによって認証されるユーザに割り当てるユーザ ロールを選択します。このデフォルト ロールが使用されるのは、MAC アドレスまたは IP アドレスに基づくロール割り当てによって上書きされなかった場合です。

ステップ 6 [Server Name]:Kerberos 認証サーバの完全修飾ホスト名(auth.cisco.com など)または IP アドレスを入力します。

ステップ 7 [Description]:参考のためこの認証サーバの説明を入力します(任意)。

ステップ 8 [Add Server] をクリックします。


) Kerberos サーバを併用する場合、Kerberos では大文字と小文字が区別されることに留意します。レルム名は大文字にする必要があります。また、CAM と DC との間でクロックを同期させる必要があります。



 

RADIUS

Clean Access Manager の RADIUS 認証クライアントは、2 つの RADIUS サーバ間のフェールオーバーに対応できます。この機能を使用すると、CAM は 1 組の RADIUS サーバに対して認証を試行できるようになります。つまり、最初にプライマリ サーバに対する認証を試行し、プライマリ サーバと通信できなければ、セカンダリ サーバにフェールオーバーします。詳細については、後述の [Enable Failover] フィールドおよび [Failover Peer IP] フィールドの説明を参照してください。


) Cisco NAC アプライアンスを外部 RADIUS サーバと接続するために必要な IPSec トンネルを設定するには、「ACS サーバを使用した FIPS 140-2 準拠 RADIUS 認証プロバイダーの追加」を参照してください。この設定手順では、FIPS 140-2 準拠のネットワーク構成で CAM を ACS サーバに接続して RADIUS 認証を実行するために、セットアップする必要がある項目について説明します。



ステップ 1 [User Management] > [Auth Servers] > [New] の順番に進みます。

ステップ 2 [Authentication Type] ドロップダウン メニューから [Radius] を選択します。

図 7-4 RADIUS 認証サーバの追加

 

ステップ 3 [Provider Name]:この認証プロバイダー固有の名前を入力します。Web ログイン ユーザが Web ログイン ページでプロバイダーを選択できるようにする場合は、ユーザが理解できるような意味のある名前を入力してください。

ステップ 4 [Server Name]:RADIUS 認証サーバの完全修飾ホスト名(auth.cisco.com など)または IP アドレスを入力します。

ステップ 5 [Server Port]:RADIUS サーバが待ち受けるポートの番号を入力します。

ステップ 6 [Radius Type]:RADIUS 認証方式を選択します。サポート対象は、EAPMD5、PAP、CHAP、MSCHAP、および MSCHAP2 の方式です。

ステップ 7 [Timeout (sec)]:認証要求のタイムアウト値を入力します。

ステップ 8 [Default Role]:このプロバイダーによって認証されるユーザに割り当てるユーザ ロールを選択します。このデフォルト ロールが使用されるのは、MAC アドレスまたは IP アドレスに基づくロール割り当てで上書きされなかった場合、または RADIUS マッピング ルールでの照合に失敗した場合です。

ステップ 9 [Shared Secret]:特定のクライアントの IP アドレス用の RADIUS 共有秘密鍵を入力します。

ステップ 10 [NAS-Identifier]:すべての RADIUS 認証パケットで送信される NAS-Identifier 値を入力します。パケットを送信するには、NAS-Identifier または NAS-IP-Address を指定する必要があります。

ステップ 11 [NAS-IP-Address]:すべての RADIUS 認証パケットで送信される NAS-IP-Address 値を入力します。パケットを送信するには、NAS-IP-Address または NAS-Identifier を指定する必要があります。


) CAM が HA フェールオーバー ペアのメンバとして構成されている場合は、HA ペアのサービス IP アドレスを指定して、RADIUS 認証サーバが CAM からの適切な RADIUS アカウンティング パケットを受信するようにしてください。HA プライマリ CAM または HA スタンバイ CAM がアカウンティング パケットを送信するかどうかに関係なく、アカウンティング パケットにはペアとしてこの IP アドレスが表示されます。HA プライマリ CAM および HA セカンダリ CAM の両方の eth0 IP アドレスからの認証パケットを受け取るように RADIUS 認証サーバも設定し、RADIUS サーバが HA ペアのどちらの CAM から送信されたパケットであることを考えずにパケットを受け取れるようにする必要があります。Cisco Secure ACS では AAA クライアントのもとにこれが実行されます。


ステップ 12 [NAS-Port]:すべての RADIUS 認証パケットで送信される NAS-Port 値を入力します。

ステップ 13 [NAS-Port-Type]:すべての RADIUS 認証パケットで送信される NAS-Port-Type 値を入力します。

ステップ 14 [Enable Failover]:これを選択すると、プライマリ RADIUS 認証サーバの応答がタイムアウトになった場合、2 度目の認証パケットが RADIUS フェールオーバー ピア IP に送信できます。

ステップ 15 [Failover Peer IP]:フェールオーバー用の RADIUS 認証サーバの IP アドレス。

ステップ 16 [Accept RADIUS packets with empty attributes from some old RADIUS servers]:このオプションを選択すると、RADIUS 認証クライアントは、RADIUS 認証応答に成功または失敗のコードが含まれていれば、空の属性により不正な形式が含まれる応答を受け入れるようにできます。この機能は、旧タイプの RADIUS サーバを併用する場合に必要になることがあります。

ステップ 17 FIPS 140-2 に準拠した展開の場合は、[Enable IPsec] チェックボックスをオンにして、認証トラフィックのためにセキュアな IPSec トンネルを確立できるようにします。「ACS サーバを使用した FIPS 140-2 準拠 RADIUS 認証プロバイダーの追加」も参照してください。

ステップ 18 [Description]:参考のためこの認証サーバの説明を入力します(任意)。

ステップ 19 [Add Server] をクリックします。


 

ACS サーバを使用した FIPS 140-2 準拠 RADIUS 認証プロバイダーの追加

Windows Server 2003 または 2008 を実行している Windows 環境で、Cisco NAC アプライアンス システムと Cisco ACS 4.x の間に IPSec 通信をセットアップすることにより、FIPS 140-2 準拠の外部 RADIUS 認証プロバイダー タイプを設定できます。このタスクには、主に 2 つの段階があります。

Windows での証明書のインポート

IPSec トンネルのセットアップ

Windows での証明書のインポート


ステップ 1 Windows で、[Start] > [Run] を選択し、 mmc と入力して証明書コンソール ウィンドウを開きます。

ステップ 2 [File] > [Add/Remove Snap-in] を選択し、[Add] をクリックします。

ステップ 3 [Certificates] をクリックします。

ステップ 4 コンソールのルートで、[Certificates (Local Computer)] をクリックします。PKI オブジェクトのリストが右ペインに表示されます。

ステップ 5 [Action] > [All Tasks] > [Import] に移動し、[Next] をクリックします。

ステップ 6 [Browse] をクリックし、サーバ証明書を選択して、[Next] をクリックします。

ステップ 7 [Place all certificates in the following store] を選択します。

ステップ 8 [Browse] をクリックし、適切な証明書を指定して、[Next] をクリックします。

ステップ 9 [Next] をクリックします。

ステップ 10 [Finish] をクリックします。

ステップ 11 Windows に証明書をインストールしたら、証明書をダブルクリックすることによって確認します。[General] タブに、「You have a private key that corresponds to this certificate.」と表示されるはずです。表示されない場合は、次の OpenSSL コマンドを使用して、個別の鍵ファイルと証明書ファイルを 1 つの .p12 形式に変換します。

openssl pkcs12 -export -in cert.pem -inkey key.pem -out ACSCert.p12
 

ステップ 12 パスワードを要求されたら入力します。

このパスワードは、ACS 証明書を Windows にインポートするときにも必要です。

ステップ 13 CAM と ACS の CA は同じです(または、CAM と ACS は互いの CA を信頼しています)。

ステップ 14 [Action] > [All Tasks] > [Import] に移動し、[Next] をクリックします。

ステップ 15 [Browse] をクリックし、CA 証明書を選択して、[Next] をクリックします。

ステップ 16 [Place all certificates in the following store] を選択します。

ステップ 17 [Browse] をクリックし、[Trusted Root Certification Authorities] フォルダを選択して、[Next] をクリックします。

ステップ 18 [Next] をクリックします。

ステップ 19 [Finish] をクリックします。


 

IPSec トンネルのセットアップ


) 以下の手順を実行する前に、ACS の [Use Add Wizard] オプションをディセーブルにしてあることを確認します。



ステップ 1 [Start] > [Programs] > [Administrative Tools] > [Local Security Policy] に移動します。

ステップ 2 左側のナビゲーション メニューで、[IP Security Policies on Local Computer] をクリックします。

ステップ 3 [Action] > [Create IP Security Policy] に移動します(図 7-5 を参照)。

図 7-5 新しい IP セキュリティ ポリシー

 

ステップ 4 ウィザードで、[Next] をクリックします。

ステップ 5 ポリシーの名前を入力し(たとえば、「IPSec rules for CAM-ACS」)、[Next] をクリックします。

ステップ 6 [Activate the default responses rule] オプションをオフ(ディセーブル)にし、[Next] をクリックします。

ステップ 7 [Edit properties] ボックスをオン(イネーブル)のままにし、[Finish] をクリックします。

ステップ 8 プロパティ ダイアログで、[Add] をクリックします。

ステップ 9 [IP Filter List] タブを選択し、[Add] をクリックします(図 7-6 を参照)。

図 7-6 IP フィルタ リスト

 

ステップ 10 IP アドレス フィルタ リストの名前を指定します(たとえば、「CAM to ACS Filter List」)。

ステップ 11 [Add] をクリックしてフィルタを追加します。

ステップ 12 [Addresses] タブを選択します。

ステップ 13 [Source] アドレスとして [A Specific IP address] を指定し、CAM の IP アドレスを入力します。

ステップ 14 [Destination] アドレスとして [A Specific IP address] を指定し、ACS サーバの IP アドレスを入力します。

ステップ 15 [Mirrored] オプションをオン(イネーブル)にし、[OK] をクリックします。

ステップ 16 CAM を HA 設定で展開してある場合は、IP セカンダリ CAM IP アドレスとサービス IP アドレスについてステップ 12 からステップ 15 を繰り返します。

ステップ 17 [OK] をクリックします。

ステップ 18 [Filter] リストで、今作成したリストのオプション ボタンを選択します。

ステップ 19 [Filter Action] タブを選択し、[Add] をクリックして新しいフィルタ アクションを追加します(図 7-7 を参照)。

図 7-7 新しいフィルタ アクション

 

ステップ 20 [General] タブを選択し、名前を入力します(たとえば、「NAC IPSec Filter Action」)。

ステップ 21 [Security Methods] タブを選択します。

ステップ 22 [Negotiate security] オプションをオンにし、[Add] をクリックします。

ステップ 23 セキュリティ方式として [Integrity and encryption] を指定し、[OK] をクリックします。

ステップ 24 以下の設定が定義されていることを確認します

[AH Integrity] は [ <None> ]

[ESP Confidentiality] [3DES]

[ESP Integrity] [SHA1]

ステップ 25 [Use session key perfect forward secrecy (PFS)] オプションをオン(イネーブル)にし、[OK] をクリックします。

ステップ 26 [NAC IPsec Filter Action] オプションを選択します。

ステップ 27 [Authentication Methods] タブを選択し、表示されているすべての認証方式を削除します(図 7-8 を参照)。

図 7-8 認証方式

 

ステップ 28 [Add] をクリックします。

ステップ 29 [Use a certificate from this certification authority (CA)] を選択します(図 7-9 を参照)。

図 7-9 [Use a certificate from this certification authority (CA)]

 

ステップ 30 [Browse] をクリックし、ルート認証局に対応するエントリを選択し、[OK] をクリックします。

ステップ 31 [OK] をクリックします。

ステップ 32 [Tunnel Setting] タブを選択し、[This rule does not specify and IPSec tunnel] オプションがオンになっていることを確認します。このオプションは、システムがトンネル モードではなくトランスポート モードを使用することを指定します。

ステップ 33 [Connection Type] タブを選択し、[All network connections] オプションがオンになっていることを確認します。

ステップ 34 [OK] をクリックします。

ステップ 35 作成した規則を右ペインでクリックし、[Action] > [Assign] に移動します。

ステップ 36 CAM から ACS サーバ IP アドレスに対して ping を実行して、ネットワーク上で認識できることを確認します。

ステップ 37 [User Management] > [Auth Servers] > [Auth Test] CAM Web コンソール ページに移動し、この RADIUS サーバの認証テストを実行して、「Auth Test」で説明されている接続性を確認します。


 

Agent における RADIUS チャレンジ/レスポンス方式の影響

リモート ユーザの確認に RADIUS サーバを使用するように Clean Access Manager を設定した場合、エンド ユーザの Agent ログイン セッションでは、標準のユーザ ID およびパスワード加えて、他のダイアログ セッションで利用できない追加の認証チャレンジ/レスポンス ダイアログを使用することができます。この追加の対話方式は、RADIUS サーバ自体のユーザ認証プロファイルによるもので、CAM に追加設定は不要です。たとえば、標準の ID およびパスワードに加えてトークン生成 PIN や他のユーザ固有の認定証を確認するといった、追加の認証確認を RADIUS サーバ プロファイル設定に装備することができます。この場合、1 つ以上のログイン ダイアログ画面がログイン セッションの一部として表示される場合があります。詳細については、「RADIUS のチャレンジ/レスポンス方式 Cisco NAC Agent ダイアログ」を参照してください。

Windows NT


) • CAM がドメイン コントローラと同じサブネットに存在しない場合は、CAM の DNS 設定で DC を解決できるようにする必要があります。

現在のところ、サポートされているのは NTLM v1 だけです。


 

1. [User Management] > [Auth Servers] > [New] の順番に進みます。

2. [Authentication Type] ドロップダウン メニューから [Windows NT] を選択します。

図 7-10 Windows NT 認証サーバの追加

 

3. [Provider Name]:この認証プロバイダー固有の名前を入力します。Web ログイン ユーザが Web ログイン ページでプロバイダーを選択できるようにする場合は、ユーザが理解できるような意味のある名前を入力してください。

4. [Domain Name]:Windows NT 環境のホスト名です。

5. [Default Role]:このプロバイダーによって認証されるユーザに割り当てるユーザ ロールを選択します。このデフォルト ロールが使用されるのは、MAC アドレスまたは IP アドレスに基づくロール割り当てによって上書きされなかった場合です。

6. [Description]:参考のためこの認証サーバの説明を入力します(任意)。

7. [Add Server] をクリックします。

LDAP


) この項では、LDAP 認証プロバイダーを設定する際の全般的な手順を説明します。この手順で、AD SSO 設定時の認証に使用する LDAP Lookup Server 用に簡易認証または GSSAPI 認証も設定できます。AD SSO の設定の詳細については、『Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.7(1)』を参照してください。


Microsoft Active Directory サーバに対するユーザ認証に Clean Access Manager の LDAP 認証プロバイダーを使用できます。詳細については、「バックエンドの Active Directory に対する認証」を参照してください。2 つの認証メカニズムのうちいずれかを使用するように LDAP サーバを設定できます。

SIMPLE :CAM および LDAP サーバは、ユーザ ID とパスワードのデータを暗号化しないで相互にやりとりします。「簡易認証を使用する LDAP サーバの設定」を参照してください。

GSSAPI :(Generic Security Services Application Programming Interface)プライバシを守るために、CAM と指定した LDAP サーバ間で渡されるユーザ ID およびパスワードの情報を暗号化するオプションを提供します。「GSSAPI 認証を使用する LDAP サーバの設定」を参照してください。


) GSSAPI を使用する場合は、DNS が問題なく機能するように、すべてのドメイン コントローラ、子ドメイン、およびホストが厳密な DNS 名前付け規則に従っていること、また、順引き DNS および逆引き DNS の両方を実行できることを確認する必要があります。

Cisco NAC アプライアンスでは、GSSAPI 認証方式を使用する LDAP 認証プロバイダーと、Kerberos 認証プロバイダーを 1 つずつ設定できますが、アクティブにできるのは常にいずれか 1 つだけです。詳細については、「Kerberos」を参照してください。

FIPS 140-2 準拠 CAM で GSSAPI を使用する LDAP が動作するためには、外部リソースと FIPS 準拠アプライアンスの間でセキュアな認証セッションを確保するために、必ずホストで Windows 2008 Server を実行している必要があります。



) Cisco NAC アプライアンスは標準的な検索およびバインド認証を実行します。LDAP の場合、[Search(Admin) Username]/[Search(Admin) Password] が指定されていないと、Cisco NAC アプライアンスでは匿名バインドが試行されます。


簡易認証を使用する LDAP サーバの設定


ステップ 1 [User Management] > [Auth Servers] > [New] の順番に進みます。

ステップ 2 [Authentication Type] ドロップダウン メニューから [LDAP] を選択します。

図 7-11 LDAP 認証サーバの追加:簡易認証メカニズム

 

ステップ 3 [Provider Name]:この認証プロバイダー固有の名前を入力します。Web ログイン ユーザが Web ログイン ページでプロバイダーを選択できるようにする場合は、ユーザが理解できるような意味のある名前を入力してください。

ステップ 4 [Description]:参考のためこの認証サーバの説明を入力します(任意)。

ステップ 5 [Server URL]:次の形式で LDAP サーバの URL を入力します。

ldap://<directory_server_name>:<port_number>
 

ポート番号を指定しない場合は、389 が使用されます。


) LDAP を使用して AD サーバに接続する場合は、デフォルト ポート 389 ではなく、TCP/UDP ポート 3268(デフォルトの Microsoft グローバル カタログ ポート)を使用することを推奨します。これで、単一ドメインと複数ドメインのどちらの環境でも、すべてのディレクトリ パーティションをより効果的に検索できます。

[Server URL] フィールドに複数の LDAP URL をスペースで区切って入力することで、LDAP 認証サーバに冗長性を追加できます。例を示します。

ldap://ldap1.abc.com ldap://ldap2.abc.com ldap://ldap3.abc.com

リストの先頭の LDAP サーバが 15 秒以内に応答しない場合、CAM はリスト内の代替 LDAP サーバを使用して認証を試みます。デフォルトでは、すべての LDAP 認証要求はリスト内で先頭に指定されているサーバに渡されます。このフィールドに入力できるのは 128 文字までなので、指定できる冗長サーバの数はこれによって制限されます。


ステップ 6 [Server version]:LDAP のバージョン。サポートされるタイプは、バージョン 2 およびバージョン 3 です。サーバのバージョンを自動的に検出させる場合は、[Auto](デフォルト)のままにします。

ステップ 7 [Search Base Context]:ユーザの検索を実行する LDAP ツリーのルート(dc=cisco, dc=com など)。

ステップ 8 [Search Filter]:認証の対象となる属性(uid=$user$、sAMAccountName=$user$ など)。

ステップ 9 [Referral]:(LDAP サーバが照会エントリを通常エントリとして返す)照会エントリを管理するか、またはハンドル(Handle(Follow))として返すかを選択します。デフォルトは Manage(Ignore) です。

ステップ 10 [DerefLink]:[ON] に設定すると、検索結果として返されたオブジェクト エイリアスが逆参照されます。つまり、エイリアス自体ではなく、エイリアスが参照する実際のオブジェクトが検索結果として返されます。デフォルトは OFF です。

ステップ 11 [DerefAlias]:[Always](デフォルト)、[Never]、[Finding]、[Searching] のオプションを選択できます。

ステップ 12 [Security Type]:LDAP サーバへの接続に SSL を使用するかどうかを指定します。デフォルトは [None] です。


) LDAP サーバが SSL を使用する場合は、必ず、[Administration] > [CCA Manager] > [SSL] > [X509 Certificate] ページの [Import Certificate] オプションを使用して証明書をインポートしてください。


ステップ 13 [Default Role]:このプロバイダーによって認証されるユーザに割り当てるユーザ ロールを選択します。このデフォルト ロールが使用されるのは、MAC アドレスまたは IP アドレスに基づくロール割り当てで上書きされなかった場合、または LDAP マッピング ルールでの照合に失敗した場合です。

ステップ 14 [Authentication Mechanism] で [SIMPLE] を指定します。

ステップ 15 [Search(Admin) Full DN]:Search(Admin) ユーザは、LDAP 管理者または基本ユーザになります。LDAP を使用して AD サーバに接続する場合、[Search(Admin) Full DN](識別名)は、AD ユーザ アカウントの DN でなければならず、最初の CN(共通名)エントリは読み取り権限を持つ AD ユーザである必要があります (図 7-11を参照)。

cn= jane doe, cn=users, dc=cisco, dc=com
 

ステップ 16 [Search(Admin) Password]:LDAP ユーザのパスワード。

ステップ 17 [Add Server] をクリックします。


 

GSSAPI 認証を使用する LDAP サーバの設定


) Cisco NAC アプライアンスでは、GSSAPI 認証方式を使用して LDAP 認証プロバイダーと Kerberos 認証プロバイダーを 1 つずつ設定できますが、アクティブにできるのは常にいずれか 1 つだけです。詳細については、「Kerberos」を参照してください。



) FIPS 140-2 準拠 CAM で GSSAPI を使用した LDAP が動作するためには、外部リソースと FIPS 準拠アプライアンスの間でセキュアな認証セッションを確保するために、必ずホストで Windows 2008 Server を実行している必要があります。



ステップ 1 [User Management] > [Auth Servers] > [New] の順番に進みます。

ステップ 2 [Authentication Type] ドロップダウン メニューから [LDAP] を選択します。

図 7-12 LDAP 認証サーバの追加:GSSAPI 認証メカニズム

 

ステップ 3 [Provider Name]:この認証プロバイダー固有の名前を入力します。Web ログイン ユーザが Web ログイン ページでプロバイダーを選択できるようにする場合は、ユーザが理解できるような意味のある名前を入力してください。

ステップ 4 [Description] 参考のためこの認証サーバの説明を入力します(任意)。

ステップ 5 [Server URL]:次の形式で LDAP サーバの URL を入力します。

ldap://<directory_server_name>:<port_number>
 

ポート番号を指定しない場合は、389 が使用されます。


) LDAP を使用して AD サーバに接続する場合は、デフォルト ポート 389 ではなく、TCP/UDP ポート 3268(デフォルトの Microsoft グローバル カタログ ポート)を使用することを推奨します。これで、単一ドメインと複数ドメインのどちらの環境でも、すべてのディレクトリ パーティションをより効果的に検索できます。

[Server URL] フィールドに複数の LDAP URL をスペースで区切って入力することで、LDAP 認証サーバに冗長性を追加できます。例を示します。

ldap://ldap1.abc.com ldap://ldap2.abc.com ldap://ldap3.abc.com

リストの先頭の LDAP サーバが 15 秒以内に応答しない場合、CAM はリスト内の代替 LDAP サーバを使用して認証を試みます。デフォルトでは、すべての LDAP 認証要求はリスト内で先頭に指定されているサーバに渡されます。このフィールドに入力できるのは 128 文字までなので、指定できる冗長サーバの数はこれによって制限されます。


ステップ 6 [Server version]:LDAP のバージョン。サポートされるタイプは、バージョン 2 およびバージョン 3 です。サーバのバージョンを自動的に検出させる場合は、[Auto](デフォルト)のままにします。

ステップ 7 [Search Base Context]:ユーザの検索を実行する LDAP ツリーのルート(dc=cisco, dc=com など)。

ステップ 8 [Search Filter]:認証の対象となる属性(uid=$user$、sAMAccountName=$user$ など)。

ステップ 9 [Referral]:(LDAP サーバが照会エントリを通常エントリとして返す)照会エントリを管理するか、またはハンドル(Handle(Follow))として返すかを選択します。デフォルトは Manage(Ignore) です。

ステップ 10 [DerefLink]:[ON] に設定すると、検索結果として返されたオブジェクト エイリアスが逆参照されます。つまり、エイリアス自体ではなく、エイリアスが参照する実際のオブジェクトが検索結果として返されます。デフォルトは OFF です。

ステップ 11 [DerefAlias]:[Always](デフォルト)、[Never]、[Finding]、[Searching] のオプションを選択できます。

ステップ 12 [Security Type]:LDAP サーバへの接続に SSL を使用するかどうかを指定します。デフォルトは [None] です。


) LDAP サーバが SSL を使用する場合は、必ず、[Administration] > [CCA Manager] > [SSL] > [X509 Certificate] ページの [Import Certificate] オプションを使用して証明書をインポートしてください。


ステップ 13 [Default Role]:このプロバイダーによって認証されるユーザに割り当てるユーザ ロールを選択します。このデフォルト ロールが使用されるのは、MAC アドレスまたは IP アドレスに基づくロール割り当てで上書きされなかった場合、または LDAP マッピング ルールでの照合に失敗した場合です。

ステップ 14 [Authentication Mechanism] で [GSSAPI] を指定します。


) FIPS 140-2 準拠 CAM で GSSAPI を使用した LDAP が動作するためには、外部リソースと FIPS 準拠アプライアンスの間でセキュアな認証セッションを確保するために、必ずホストで Windows 2008 Server を実行している必要があります。


ステップ 15 [Search(Admin) Username]:ディレクトリへのアクセスが制御されている場合、サーバへの接続に使用する LDAP ユーザ ID(図 7-12 の例では「admin」)がこのフィールドに自動的に取り込まれます。

ステップ 16 [Search(Admin) Password]:LDAP ユーザのパスワード。

ステップ 17 [Default Realm]:LDAP サーバが最も一般的に関連付けられるレルム。

ステップ 18 [KDC Timeout (in seconds)]:CAM が指定された KDC サーバに到達不能であることを判断するまで接続の試行を続ける時間。

ステップ 19 [KDC/Realm Mapping]:LDAP サーバの IP アドレス/ポート仕様と LDAP レルムとの 1 つ以上のマッピングを指定できます。


) [KDC/Realm Mapping] フィールドに、「failover」または「redundant」のマッピングも指定できます。たとえば、LDAP サーバ IP アドレスとレルムのマッピングを指定したけれども、ネットワーク内の冗長な LDAP サーバも使用する場合、プライマリ IP アドレスとレルムのマッピングの後すぐに、バックアップ LDAP サーバの IP アドレスも入力して、最初のサーバに到達不能な場合には CAM でその冗長なサーバも確認できるようになります。


ステップ 20 [Domain/Realm Mapping]:LDAP サーバ ドメインと LDAP レルムとの 1 つ以上のマッピングを指定できます。

ステップ 21 [Add Server] をクリックします。


 

Active Directory Single Sign-On (SSO; シングルサインオン)

詳細については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.7(1) 』の「Configuring Active Directory Single Sign-On (AD SSO)」の章を参照してください。

Windows NetBIOS SSO


) Windows NetBIOS SSO 認証機能は廃止される予定です。その代わりに、『Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.7(1)』の「Configuring Active Directory Single Sign-On (AD SSO)」の章の方法を推奨しています。


Windows NetBIOS SSO 認証(従来の「Transparent Windows」)では、CAS はユーザがログインに成功したかどうかを判断するために、エンド ユーザ マシンからドメイン コントローラへの該当する Windows ログイン パケットのスニッフィングを行います。Windows NetBIOS SSO 認証がイネーブルに設定されていて、CAS がログイン トラフィックを検出できれば、ユーザは Web ログイン ページや Agent を通じて明示的にログインせずに、Cisco NAC アプライアンス システムにログインできます。

Windows NetBIOS SSO を使用する場合、実行できるのは認証だけです。ポスチャ評価、隔離、修復は実行されません。ただし、ユーザは Ctrl+Alt+Del キーを実行するだけでログインできます。


) Windows NetBIOS SSO ログインを使用する場合、CAM をドメイン コントローラと同じサブネットに配置する必要はありません。Windows NetBIOS SSO DC のリストは、CAM から発行されます。


Windows NetBIOS SSO の実装

Windows NetBIOS SSO ログインを使用できるようにする手順は、次のとおりです。

1. [User Management] > [Auth Servers] > [New Server] で、[Windows NetBIOS SSO] 認証サーバを追加します(「Windows NetBIOS SSO 認証サーバの追加」を参照)。

2. [Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Authentication] > [Windows Auth] > [NetBIOS SSO] から、次のことを実行します。

a. 特定の CAS に対する [Enable Transparent Windows Single Sign-On with NetBIOS] のオプションをクリックし、[Update] をクリックします。

b. 各 Windows ドメイン コントローラの IP を [Windows Domain Controller IP] に入力し、[Add Server] をクリックします。

詳細については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide Release 4.7(1) 』の「Enable Windows NetBIOS SSO」を参照してください。

3. Unauthenticated ロールの IP トラフィック制御ポリシーを追加して、非信頼側のユーザが信頼側ネットワークのドメイン コントローラにアクセスできるようにします。通常のポリシーには、コントローラ(IP アドレスおよび 255.255.255.255 マスク)ごとにポート 88(Kerberos)、135(DCE エンドポイント解決)、139(netbios-ssn)、389(LDAP)、445(smb-tcp)の TCP および UDP トラフィックの許可が含まれています。 第 8 章「ユーザ管理:トラフィック制御、帯域幅、スケジュール」 を参照してください。


) CAS ではネットワーク上の Windows ログイン パケットのスニッフィングによってユーザ認証を試行するため、エンド デバイスがこのようなトラフィックを送信しない場合(キャッシュからの認証など)、CAS はユーザを認証できません。このようなログイン トラフィックを生成させるために、ネットワーク共有/共有プリンタを確立するログイン スクリプトを使用できます。また、同じマシンから別のユーザとしてログインして、そのマシンをドメイン コントローラと通信させることも可能です(通常、異なるユーザの証明書はキャッシュされません)。


Windows NetBIOS SSO 認証サーバの追加

1. [User Management] > [Auth Servers] > [New] の順番に進みます。

2. [Authentication Type] ドロップダウン メニューから [Windows NetBIOS SSO] を選択します。

図 7-13 Windows NetBIOS SSO 認証サーバの追加

 

3. [Provider Name]:[Provider Name] のデフォルト値は [ntlm] です。

4. [Default Role]:このプロバイダーによって認証されるユーザに割り当てるユーザ ロールを選択します。このデフォルト ロールが使用されるのは、MAC アドレスまたは IP アドレスに基づくロール割り当てによって上書きされなかった場合です。

5. [Description]:参考のためこの認証サーバの説明を入力します(任意)。

6. [Add Server] をクリックします。

Cisco VPN SSO

Cisco NAC アプライアンスを使用すると、VPN コンセントレータまたはルータ(または複数のルータ)の背後にインバンドで CAS を配置できます。Cisco NAC アプライアンスは、ユーザと CAS の間に 1 つ以上のルータがある場合、CAM と CAS が固有の IP アドレスによってユーザを追跡できるようにすることで、マルチホップのレイヤ 3 インバンド配置をサポートしています。レイヤ 2 接続されたユーザがいる場合、CAM および CAS は引き続きユーザの MAC アドレスに基づいてユーザ セッションを管理します。


) Cisco NAC アプライアンスは、以下に対するSingle Sign-On(SSO; シングルサインオン)をサポートしています。

Cisco VPN コンセントレータ

Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス

Cisco Airespace Wireless LAN コントローラ

Cisco SSL VPN Client(フル トンネル)

Cisco VPN Client(IPSec)


 

FIPS 互換のネットワーク構成では、Cisco NAC アプライアンスが Cisco ASA 経由で VPN SSO を実行するように設定することができます。設定の詳細については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.7(1) 』の「Configure VPN SSO in a FIPS 140-2 Compliant Deployment」を参照してください。

Cisco NAC アプライアンスは、Cisco VPN コンセントレータとの統合を提供し、RADIUS アカウンティング情報を使用して VPN ユーザに SSO 機能を提供します。Clean Access Server は、SSO を実現するため、Framed_IP_address または Calling_Station_ID の RADIUS 属性のいずれからでもクライアントの IP アドレスを取得できます。

Cisco VPN コンセントレータ ユーザのシングルサインオン:VPN コンセントレータが CAM/CAS に送信する RADIUS アカウンティング情報から VPN コンセントレータにログインするユーザのユーザ ID および IP アドレスを取得できるので(RADIUS アカウンティング開始メッセージ)、VPN ユーザは Web ブラウザや Agent にログインする必要はありません。


) VPN SSO をサポートする実 IP ゲートウェイとして CAS を構成すると、信頼側(eth0)インターフェイス上でだけアカウンティング ポートを開きます。設定の詳細については、『Cisco NAC Appliance - Clean Access Server Configuration Guide Release 4.7(1)』の「Integrating with Cisco VPN Concentrators」の章を参照してください。


Cisco Airespace Wireless LAN コントローラ ユーザの Single Sign-On(SSO; シングルサインオン):SSO を実現するためには、Cisco Airespace Wireless LAN コントローラがクライアントの IP アドレスとして Calling_Station_IP 属性を送信する必要があります(VPN コンセントレータは Framed_IP_address を使用します)。

正確なセッション タイムアウト/終了:RADIUS アカウンティングを使用するため、VPN コンセントレータはユーザがいつログアウトしたかを正確に Clean Access Server に通知します(RADIUS アカウンティング Stop メッセージ)。詳細については、「OOB(L2)およびマルチホップ(L3)のセッション」を参照してください。

図 7-14 に、Agent と SSO を使用している VPN ユーザのログインおよびポスチャ評価のプロセスを示します。Agent の最初のダウンロードは、VPN 接続を介して実行する必要があります。

図 7-14 SSO を使用する VPN ユーザの Agent

 

Cisco VPN SSO 認証サーバの追加

Cisco VPN コンセントレータ ユーザの SSO をイネーブルに設定するには、Cisco VPN SSO 認証サーバを追加します。


ステップ 1 [User Management] > [Auth Servers] > [New] の順番に進みます。

ステップ 2 [Authentication Type] ドロップダウン メニューから [Cisco VPN SSO] を選択します。

図 7-15 Cisco VPN 認証サーバの追加

 

ステップ 3 [Provider Name]:[Provider Name] のデフォルト値は [Cisco VPN] です。

ステップ 4 [Default Role]:Cisco VPN コンセントレータで認証されるユーザに割り当てるユーザ ロールを選択します。このデフォルト ロールが使用されるのは、MAC アドレスまたは IP アドレスに基づくロール割り当てで上書きされなかった場合、または RADIUS マッピング ルールでの照合に失敗した場合です。

ステップ 5 [Description]:参考のためこの Cisco VPN コンセントレータの説明を入力します(任意)。

ステップ 6 [Add Server] をクリックします。

[Device Management] > [CCA Servers] > [List of Servers] > [Manage [CAS_IP]] > [Authentication] > [VPN Auth] で設定が完了していることを確認します。VPN コンセントレータを使用する場合の Clean Access Server の設定に関する詳細については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide Release 4.7(1) 』を参照してください。


 

Allow All

[Allow All] オプションは、Guest Access ログイン ボタン機能の代替として提供される特別な認証タイプです。これにより、ユーザはログイン用の任意の資格情報(ユーザ名の E メール アドレスやパスワードなど)を入力することができますが、その資格情報を検証することはできません。管理者がログインしているユーザに関する限定的な情報(E メール アドレスの一覧など)を取得する場合に、このオプションを使用することができます。ユーザがログインしている間、ログイン ページでユーザが送信した ID が、Online Users ページに [User Name] として表示されます。この場合、資格情報としてユーザに入力させる値のタイプを反映するように、管理者がログイン ページにある [Username Label] のボタン ラベルも変更する必要があります。詳細については、「ゲスト ユーザ アクセス」を参照してください。


) 「ゲスト」以外のユーザに AllowAll 認証タイプを適用できます。任意の Normal Login ロール(ポスチャ評価用に設定されたロールなど)を AllowAll 認証タイプのデフォルト ロールとして指定できます。



ステップ 1 [User Management] > [Auth Servers] > [New] の順番に進みます。

ステップ 2 [Authentication Type] ドロップダウン メニューから [Allow All] を選択します。

図 7-16 Allow All 認証サーバ タイプ

 

ステップ 3 [Provider Name]:この認証プロバイダー固有の名前を入力します。Web ログイン ユーザが Web ログイン ページでプロバイダーを選択できるようにする場合は、ユーザが理解できるような意味のある名前を入力してください。

ステップ 4 [Default Role]:このプロバイダーによって認証されるユーザに割り当てるユーザ ロールを選択します。このデフォルト ロールが使用されるのは、MAC アドレスまたは IP アドレスに基づくロール割り当てによって上書きされなかった場合です。

ステップ 5 [Description]:参考のためこの認証サーバの説明を入力します(任意)。

ステップ 6 [Add Server] をクリックします。


 

Guest

[Guest] オプションは、[Allow All] 認証サーバ タイプと実装および適用の方法が非常に似ています。Web ログイン ページにある既存のゲスト アクセス ボタンで単純にログインしているゲスト ユーザには便利な選択肢です。[Allow All] 認証サーバ タイプと同様に、[Guest] オプションにより、ユーザがログインの際に資格情報(ユーザ名の E メール アドレスやパスワードなど)を入力できますが、その資格情報は検証されません。また、[Allow All] 機能で利用できないその他の必須情報または任意情報を収集できます。たとえば、ゲスト ユーザとしてネットワークへのアクセスを許可する前に、連絡先電話番号および誕生日の情報を提供するようにユーザに要求できます。ユーザがログイン ページで送信した ID は、ユーザがログインしている間、[Online Users] ページおよび [User Management] > [Local Users] > [Guest Users] ページに表示されます。


) Cisco NAC アプライアンス システムでは、「Guest」認証サーバ タイプは一度に 1 つだけ設定できます。


Guest 認証サーバ タイプを設定するには、次の手順を実行します。


ステップ 1 [User Management] > [Auth Servers] > [New] の順番に進みます。

ステップ 2 [Authentication Type] ドロップダウン メニューから [Guest] を選択します。

図 7-17 Guest 認証サーバ タイプ

 

ステップ 3 [Provider Name]:この認証プロバイダー固有の名前を入力します。Web ログイン ユーザが Web ログイン ページでプロバイダーを選択できるようにする場合は、ユーザが理解できるような意味のある名前を入力してください。

ステップ 4 [Default Role]:このプロバイダーで認証されるユーザに割り当てるユーザ ロールを選択します。このデフォルト ロールが使用されるのは、MAC アドレスまたは IP アドレスに基づくロール割り当てによって上書きされなかった場合です。デフォルト値は 30 日間です。

ステップ 5 [Max Token Validity (in days)]:ゲスト ユーザ アカウントが NAC アプライアンス システムで有効な日数を入力します。デフォルト値は 7 日間です。

ステップ 6 [Remove Invalid Guest Users After (in days)]:指定された日数の間、ゲスト ユーザ アカウントが「無効」になっていると、NAC アプライアンス システムは、そのゲスト ユーザ アカウントを NAC アプライアンス システム データベースから削除する権利を持ちます。


ヒント ご使用の NAC アプライアンス システムが定常的に多数の異なるゲスト ユーザに対してゲスト アクセスを提供する場合、データベース内の無効なユーザやレガシー ユーザの ID の数を最小にするために、[Remove Invalid Guest Users After (in days)] の設定値を小さく変更することを検討した方がよい場合もあります。


ステップ 7 [Description]:参考のためこのゲスト認証サーバの説明を入力します(任意)。

ステップ 8 [Add Server] をクリックします。


 

認証キャッシュ タイムアウトの設定(任意)

パフォーマンス上の理由から、Clean Access Manager はデフォルトでユーザ認証からの認証結果を 2 分間キャッシュします。認証サーバ リスト ページにある [Authentication Cashe Timeout] 制御により、管理者は認証結果を CAM 内にキャッシュする時間を秒単位で設定できます。ユーザ アカウントが認証サーバ(LDAP、RADIUS など)から削除されると、管理者は、認証キャッシュ タイムアウトを設定することで、ユーザが再度 Cisco NAC アプライアンスにログインできる時間を制限できます。


ステップ 1 [User Management] > [Auth Servers] > [Auth Servers >List] の順番に進みます。

図 7-18 認証サーバのリスト

 

ステップ 2 ユーザ認証結果を CAM 内にキャッシュする秒数を入力します。デフォルトは 120 秒で、最小は 1 秒、最大は 86400 秒です。


) このタイムアウト値を 0 に設定すると、CAM はユーザ認証の結果をキャッシングしません。この方法では、複数のユーザが Cisco NAC アプライアンスにログインする場合に認証トラフィックが増えるため、パフォーマンスに影響する可能性があります。


ステップ 3 [Update] をクリックします。


 

バックエンドの Active Directory に対する認証

Clean Access Manager の認証プロバイダー タイプのいくつかは、Active Directory サーバに対するユーザ認証に使用できます。Active Directory サーバは Microsoft 社独自のディレクトリ サービスです。プロバイダー タイプには、Windows NT(NTLM)、Kerberos、LDAP(優先)です。

LDAP を使用して AD サーバに接続する場合、[Search(Admin) Full DN](識別名)は AD 管理者の DN またはユーザ アカウントでなければならず、最初の CN(共通名)エントリは読み取り権限を有する AD ユーザになります。


) 検索フィルタ「sAMAccountName」は、デフォルト AD スキーマのユーザ ログイン名です。


AD/LDAP の設定例

ここでは、LDAP を使用して、バックエンドの Active Directory との通信を設定する手順を示します。

1. Active Directory Users and Computers 内で Domain Admin ユーザを作成します。このユーザを Users フォルダに入れます。

2. Active Directory Users and Computers の [Actions] メニューから [Find] を選択します。検索結果に、作成されたユーザの [Group Membership] カラムが表示されていることを確認します。検索結果には、そのユーザ、および Active Directory 内で関連付けられているグループ メンバーシップが表示されるはずです。この情報は、Clean Access Manager への転送に必要となります。

図 7-19 Active Directory 内でのグループ メンバーシップの検索

 

3. Clean Access Manager の Web コンソールから、[User Management] > [Auth Servers] > [New Server] フォームに進みます。

4. [Server Type] として [LDAP] を選択します。

5. [Search(Admin) Full DN] フィールドと [Search Base Context] フィールドに、Active Directory Users and Computers での検索結果を入力します。

図 7-20 AD 用の新しい LDAP サーバの例

 

6. 次のフィールドはどれも、この認証サーバを CAM 内で適切に設定するために必要なフィールドです。

a. [Description]:参考情報。

b. [ServerURL]:ldap://192.168.137.10:3268:ドメイン コントローラの IP アドレスおよび AD のデフォルトの Microsoft グローバル カタログ ポート。


) LDAP を使用して AD サーバに接続する場合は、デフォルト ポート 389 ではなく、TCP/UDP ポート 3268(デフォルトの Microsoft グローバル カタログ ポート)を使用することを推奨します。こうすると、単一ドメイン環境と複数ドメイン環境の両方ですべてのディレクトリ パーティションの検索を効率的にできます。


c. [Search(Admin) Full DN]:CN=sheldon muir, CN=Users, DC=domainname, DC=com

d. [Search Base Context]:DC=domainname, DC=com

e. [Default Role]:認証後にユーザに割り当てるデフォルト ロールを選択します。

f. [Provider Name]:CAM のユーザ ページの設定に使用される LDAP サーバの名前。

g. [Search Password]:sheldon muir のドメイン パスワード。

h. [Search Filter]:SAMAccountName=$user$

7. [Add Server] をクリックします。

8. この時点で、[Auth Test] 機能を使用して認証テストは正常に機能するはずです(「Auth Test」を参照)。


) LDAP ブラウザ(http://www.tucows.com/preview/242937 など)を使用して、まず検索証明書を検証することもできます。


属性または VLAN ID を使用したユーザとロールのマッピング

[Mapping Rules] フォームを使用し、次のパラメータに基づいてユーザをユーザ ロールにマッピングできます。

CAS の非信頼側からのユーザ トラフィックの VLAN ID(すべての認証サーバ タイプ)

LDAP および RADIUS 認証サーバからの認証属性(および Cisco VPN コンセントレータからの RADIUS 属性)


) LDAP Active Directory グループ メンバーシップ クエリ内のユーザのプライマリ グループを決定するために、「memberOf」属性を信頼して使用することはできません。Active Directory グループ メンバーシップに基づいてユーザのプライマリ グループ VLAN ID をマッピング可能な回避策を使用する必要があります。

詳細については、Microsoft Knowledge Base の次の記事を参照してください。
http://support.microsoft.com/kb/275523
http://support.microsoft.com/kb/321360


たとえば、同じ IP サブネットに、ネットワーク アクセス権限の異なる 2 種類のユーザ集合(無線の従業員と学生など)がいる場合、LDAP サーバからの属性を使用して、各ユーザ集合を特定のユーザ ロールにマッピングできます。さらに、一方のロールに対してはネットワーク アクセスを許可し、他方のロールに対してはネットワーク アクセスを拒否するトラフィック ポリシーを作成できます (トラフィック ポリシーに関する詳細については、 第 8 章「ユーザ管理:トラフィック制御、帯域幅、スケジュール」 を参照してください)。

Cisco NAC アプライアンスは、図 7-21 に示されている順序でマッピングを実行します。

図 7-21 マッピング ルール

 

 


) ユーザ ロール スキームにマッピング ルールを合せる方法の概要については、「Normal Login ユーザ ロール」を参照してください。


Cisco NAC アプライアンスでは、Kerberos、LDAP、RADIUS の認証サーバのマッピング ルールを定義する際に、複雑なブール式を指定できます。マッピング ルールは条件で構成されており、ブール式を使用して複数のユーザ属性や複数の VLAN ID を組み合せることにより、ユーザとユーザ ロールをマッピングできます。マッピング ルールは VLAN ID の範囲に対して作成できます。また、属性の照合では、大文字と小文字は区別されません。これにより、複数の条件を柔軟に構成してマッピング ルールを作ることができます。

マッピング ルールは、認証プロバイダー タイプ、ルール表現、ユーザをマッピングするユーザ ロールで構成されます。ルール表現は、特定のユーザ ロールとのマッピングのためにユーザ パラメータが一致しなければならない条件および条件の組み合せで構成されます。条件は、条件タイプ、ソース属性名、演算子、および特定の属性が照合される属性値で構成されます。

マッピング ルールを作成するには、まずルール表現を設定するための条件を追加(保存)します。ルール表現が完成すれば、特定のユーザ ロールの認証サーバにそのマッピング ルールを追加できます。

カスケード形式のマッピング ルールを作成することも可能です。ソースに複数のマッピング ルールがある場合、これらのルールは、マッピング ルール リストに表示されている順番に評価されます。評価結果が最初に True になったマッピング ルールのロールが使用されます。当てはまるルールが見つかれば、その他のルールはテストされません。どのルールも True にならなければ、その認証ソースのデフォルト ロールが使用されます。

マッピング ルールの設定

1. 次のいずれかを実行します。

[User Management] > [Auth Servers] > [Mapping Rules] の順番に進み、認証サーバの [Add Mapping Rule] リンクをクリックします。

[User Management] > [Auth Servers] > [List of Servers] の認証サーバの [Mapping] ボタンをクリックし(図 7-22)、認証サーバの [Add Mapping Rule] リンクをクリックします(図 7-23)。

図 7-22 認証サーバのリスト

 

図 7-23 Cisco VPN 認証タイプのマッピング

 

2. [Add Mapping Rule] フォームが表示されます。

図 7-24 マッピング ルールを追加する場合の例(Cisco VPN)

 

マッピング ルールの条件を設定する(A)

[Provider Name]:この認証サーバ タイプ用のマッピング ルール フォームのフィールドでを設定します。たとえば、Kerberos、Windows NT、Windows NetBIOS SSO、および S/Ident の認証サーバ タイプの場合、このフォームで設定できるのは VLAN ID マッピング ルールだけです。RADIUS、LDAP、および Cisco VPN SSO 認証タイプの場合は、このフォームで VLAN ID または属性のマッピング ルールを設定できます。

[Condition Type]:マッピング ルールを追加する前に、まず条件の設定と追加を行います(図 7-24 のステップ [A])。ドロップダウン メニューから次のいずれかを選択し、条件フォームのフィールドを設定します。

[Attribute]:LDAP、RADIUS、Cisco VPN SSO の認証プロバイダーだけです。

[VLAN ID]:すべての認証サーバ タイプです。

[Compound]:この条件タイプが表示されるのは、少なくとも 1 つの条件ステートメントがすでにこのマッピング ルールに追加されている場合だけです(図 7-28を参照)。ブール演算子を使用して、個々の条件を組み合せることができます。VLAN ID 条件と、equals、not equals、belongs to の演算子を組み合せることができます。属性条件だけの組み合せ、または VLAN ID と属性の条件の組み合せには、AND、OR、または NOT の演算子を使用できます。複合条件の場合、属性タイプを属性値に関連付けるのではなく、関連付ける既存の条件を 2 つ選択し、これらが複合ステートメントの左右のオペランドになります。

3. [Attribute Name]:コンテキストに応じてこのフィールドは次のように表示されます。

条件タイプが [VLAN ID] の場合(図 7-25)、このフィールドは [Property Name] になり、デフォルト値「VLAN ID」が表示されます(変更不能)。

LDAP サーバの場合(図 7-26)、[Attribute Name] は、テストするソース属性を入力するテキスト フィールドになります。条件の作成で [equals ignore case] 演算子を選択していなければ、この名前を、認証ソースから渡される属性名と一致させる必要があります(大文字と小文字が区別されます)。


) LDAP Active Directory グループ メンバーシップ クエリ内のユーザのプライマリ グループを決定するために、「memberOf」属性を信頼して使用することはできません。したがって、Active Directory グループ メンバーシップに基づいてユーザのプライマリ グループ VLAN ID をマッピング可能な回避策を使用する必要があります。

詳細については、Microsoft Knowledge Base の次の記事を参照してください。
http://support.microsoft.com/kb/275523
http://support.microsoft.com/kb/321360


Cisco VPN サーバの場合、 [Attribute Name] はドロップダウン メニューで(図 7-29)、オプションは、[Class]、[Framed_IP_Address]、[NAS_IP_Address]、[NAS_Port]、[NAS_Port_Type]、[User_Name]、[Tunnel_Client_Endpoint]、[Service_Type]、[Framed_Protocol]、[Acct_Authentic] です。

4. RADIUS サーバ(図 7-27)の場合は、条件フィールドが異なります。

[Vendor]:ドロップダウン メニューから、[Standard]、[Cisco]、[Microsoft]、または [WISPr(Wireless Internet Service Provider roaming)] を選択します。

[Attribute Name]:ドロップダウン メニューで、各 [Vendor] の属性集合から選択します。たとえば、Standard には 253 の属性があり(図 7-30)、Cisco には 30 の属性(図 7-31)、Microsoft には 32 の属性(図 7-32)、WISPr には 11 の属性(図 7-32)があります。


) RADIUS サーバの場合、「access-accept」パケットで返された属性だけがマッピングに使用されます。


[Data Type]:(任意)[Attribute Name] から渡される値に応じて、[Integer] または [String] を任意に指定できます。データ型を指定しないと、[Default] が使用されます。

5. [Attribute Value]:ソースの [Attribute Name] に対してテストされる値を入力します。

6. [Operator (Attribute)]:ソース属性の文字列のテストを定義する演算子を選択します。

[equals]:[Attribute Name] の値が [Attribute Value] と一致すれば True になります。

[not equals]:[Attribute Name] の値が [Attribute Value] と一致しない場合に True となります。

[contains]:[Attribute Name] の値に [Attribute Value] が含まれていれば True になります。

[starts with]:[Attribute Name] の値が [Attribute Value] で始まれば True になります。

[ends with]:[Attribute Name] の値が [Attribute Value] で終われば True になります。

[equals ignore case]:[Attribute Name] の値が [Attribute Value] の文字列と一致すれば、その文字列が大文字でも小文字でも True になります。

7. [Operator(VLAN ID)]:[Condition Type] として VLAN ID を選択した場合は、整数 VLAN ID に対するテスト条件の定義に使用する演算子を以下の中から 1 つ選択します。

[equals]:VLAN ID が [Property Value] フィールドの VLAN ID と一致すれば True になります。

[not equals]:VLAN ID が [Property Value] フィールドの VLAN ID と一致しない場合に True になります。

[belongs to]:VLAN ID が [Property Value] フィールドに設定した値の範囲内に含まれれば True になります。値は、複数のカンマで区切られた VLAN ID です。VLAN ID の範囲は、[2,5,7,100-128,556-520] のように、ハイフン(-)で指定できます。入力できるのは、整数だけです。文字列は入力できません。カッコの入力は任意です。


) Cisco VPN SSO タイプの場合は、CAS と VPN コンセントレータの間に複数のホップがあると、VLAN ID をマッピングに使用できない場合もあります。


8. [Add Condition (Save Condition)]:条件の設定を確認してから、[Add Condition] をクリックし、その条件をルール表現に追加します(クリックしないと設定が保存されません)。

マッピング ルールをロールに追加する(B)

条件を設定し追加した後にマッピング ルールを追加します(図 7-24 のステップ B )。

9. [Role Name]:条件を少なくとも 1 つ追加したら、そのマッピングを適用するユーザ ロールをドロップダウン メニューから選択します。

10. [Priority]:ドロップダウン メニューからマッピング ルールのテストの順序を決めるプライオリティを選択します。最初に True であると評価されたルールがユーザへのロール割り当てに使用されます。

11. [Rule Expression]:そのマッピング ルール用の条件ステートメントの設定に役立つように、追加される最後の条件の内容がこのフィールドに表示されます。条件を追加したら、すべての条件をルールに保存するために、[Add Mapping Rule] をクリックしなければなりません。

12. [Description]:そのマッピング ルールの説明です(任意)。

13. [Add Mapping(Save Mapping)]:条件の追加が完了したら、このボタンをクリックして、そのロールのマッピング ルールを作成します。特定のロールごとにマッピングを追加または保存しないと、行った設定および作成した条件は保存されません。

図 7-25 VLAN ID のマッピング ルールを追加する場合の例

 

図 7-26 LDAP のマッピング ルール(属性)を追加する場合の例

 

図 7-27 RADIUS のマッピング ルール(属性)を追加する場合の例

 

図 7-28 複合条件を使用したマッピング ルールの例

 

マッピング ルールの変更

[Priority]:設定後にマッピング ルールのプライオリティを変更する場合は、[User Management] > [Auth Servers] > [List of Servers] の該当エントリの横にある上/下矢印をクリックします。プライオリティによって、そのルールのテストの順番が決まります。最初に True であると評価されたルールがユーザへのロール割り当てに使用されます。

[Edit]:マッピング ルールの変更またはルールからの条件の削除を行うには、そのルールの横にある Edit ボタンをクリックします。複合条件を変更する場合、その下にある条件(それより後に作成されたもの)は表示されません。これは、ループを回避するためです。

[Delete]:個々のマッピング ルールを削除するには、認証サーバのマッピング ルール エントリの横にある [Delete] ボタンをクリックします。マッピング ルール内の条件を削除する場合は、[Edit Mapping Rule] フォーム上の条件の横にある Delete ボタンをクリックします。複合ステートメント内の別のルールに依存している条件は、削除できません。個々の条件を削除するためには、まず複合条件を削除する必要があります。

図 7-29 Cisco VPN - Standard の Attribute Name

 

図 7-30 RADIUS - Standard の Attribute Name

 

図 7-31 RADIUS - Cisco の Attribute Name

 

図 7-32 RADIUS - Microsoft の Attribute Name

 

図 7-33 RADIUS - WISPr(Wireless Internet Service Provider roaming)の Attribute Name

 

Auth Test

[Auth Test] タブでは、実際のユーザ証明書に対して設定した Kerberos、RADIUS、Windows NT、LDAP、および AD SSO の認証プロバイダーをテストし、ユーザに割り当てられたロールを表示できます。エラー メッセージは、特に LDAP サーバや RADIUS サーバの認証ソースのデバッグを支援するために提供されます。

[Auth Test] 機能を使用して、Cisco NAC アプライアンスで AD SSO 認証をテストする場合、AD SSO サーバ認証のテストを実施する前に、『 Cisco NAC Appliance - Clean Access Server Configuration Guide Release 4.7(1) 』の「Configuring Active Directory Single Sign-On (AD SSO)」の章の説明にあるように、次の設定手順を実行する必要があります。

1. Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.7(1) 』の「Add LDAP Lookup Server for Active Directory SSO (Optional)」の説明に従って、LDAP Lookup Server を作成します。

2. Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.7(1) 』の「Add Active Directory SSO Auth Server」で説明されているように、AD SSO 認証プロバイダーを作成し、[LDAP Lookup Server] フィールドを使用して LDAP Lookup Server に関連付けます。


ヒント 既存の認証プロバイダーを作成または変更する際には、ステージングまたは開発設定を示す新しい認証サーバ エントリを作成します。次に、[Auth Test] を使用して実稼動の前に設定をテストすることができます。



) SSO のテストに Auth Test を使用することはできません。SSO のテストにはクライアントマシンが 1 台必要です。


認証テストの手順


ステップ 1 [User Management] > [Auth Servers] > [Auth Test] タブの [Provider] リストから、証明書をテストするプロバイダーを選択します。目的のプロバイダーが表示されない場合は、そのプロバイダーが [List of Servers] タブに適切に設定されていることを確認してください。

ステップ 2 (必要な場合は)ユーザのユーザ名およびパスワードを入力し、必要に応じて適切な VLAN ID の値も入力します。

ステップ 3 [Submit] をクリックします。ページの下部にテスト結果が表示されます。

図 7-34 Auth Test

 

認証の成功

任意のプロバイダータイプに対して、認証テストに成功した場合、[Result] に「Authentication successful」、[Role] にユーザのロールが表示されます。

LDAP/RADIUS サーバの場合、認証に成功してマッピング ルールが設定されると、認証サーバ(LDAP/RADIUS)が属性/値を返す場合にはマッピング ルールに指定されている属性/値も表示されます。次の例を参考にしてください。

Result: Authentication successful
Role: <role name>
Attributes for Mapping:
<Attribute Name>=<Attribute value>

認証の失敗

認証に失敗した場合、「Authentication failed」の結果とともに[Message] が表示されます。 表 7-1 に、認証テストに失敗したときのメッセージの例を示します。

 

表 7-1 結果が「Authentication Failed」の場合の例

メッセージ
説明
Message: Invalid User Credential

ユーザ名は正しいですが、パスワードが間違っています。

Message: Unable to find the full DN for user <User Name>

パスワードは正しいですが、ユーザ名(LDAP プロバイダー)が間違っています。

Message: Client Receive Exception: Packet Receive Failed (Receive timed out)

パスワードは正しいですが、ユーザ名(RADIUS プロバイダー)が間違っています。

Message: Invalid Admin(Search) Credential

ユーザ名とパスワードは正しいですが、認証プロバイダーの [Search(Admin)Full DN] フィールドに間違った値が設定されています(たとえば、LDAP サーバに対して設定された CN が間違っている、など)。

Message: Naming Error (x.x.x.x: x)

ユーザ名とパスワードは正しいですが、認証プロバイダーの [Server URL] フィールドに間違った値が設定されています(たとえば、LDAP サーバに対して設定されたポートまたは URL が間違っている、など)。


) [Auth Test] 機能は、S/Ident、Windows NetBIOS SSO、および Cisco VPN SSO の認証プロバイダー タイプには使用できません。



 

RADIUS アカウンティング

Clean Access Manager は、RADIUS アカウンティング サーバにアカウンティング メッセージを送信するように設定できます。CAM は、ユーザがネットワークにログインすると Start アカウンティング メッセージを送信し、そのユーザがシステムからログアウトする(またはログアウトされる、もしくはタイムアウトになる)と Stop アカウンティング メッセージを送信します。これによって、ネットワーク上でのユーザの時間およびその他の属性のアカウンティングが可能になります。

また、ログイン イベント、ログアウト イベント、または共有イベント(ログインおよびログアウト イベント)のアカウンティング パケットで送信されるデータをカスタマイズすることもできます。

RADIUS アカウンティングのイネーブル設定


ステップ 1 [User Management] > [Auth Servers] > [Accounting] > [Server Config] の順番に進みます。

図 7-35 RADIUS アカウンティング サーバの設定ページ

 

ステップ 2 指定された RADIUS アカウンティング サーバに Clean Access Manager からアカウンティング情報を送信できるようにするには、[Enable RADIUS Accounting] を選択します。

ステップ 3 このフォームの次のフィールドに値を入力します。

[Server Name]:RADIUS アカウンティング サーバの完全修飾ホスト名(auth.cisco.com など)または IP アドレスを入力します。

[Server Port]:RADIUS サーバが待ち受けるポートの番号を入力します。Server Name と Server Port の値は、そのアカウンティング サーバへのアカウンティング トラフィックの送信に使用されます。

[Timeout(sec)]:エラー パケットの再送信を試行する時間を指定します。

[Shared Secret]:この共有秘密鍵は、指定された RADIUS アカウンティング サーバを使用した CAM アカウンティング クライアントの認証に使用されます。

[NAS-Identifier]:すべての RADIUS アカウンティング パケットで送信される NAS-Identifier 値。パケットを送信するには、NAS-Identifier または NAS-IP-Address を指定する必要があります。

[NAS-IP-Address]:すべての RADIUS アカウンティング パケットで送信される NAS-IP-Address 値。パケットを送信するには、NAS-IP-Address または NAS-Identifier を指定する必要があります。


) CAM が HA フェールオーバー ペアのメンバとして構成されている場合は、HA ペアのサービス IP アドレスを指定して、RADIUS アカウンティング サーバが CAM からの適切な RADIUS アカウンティング パケットを受信するようにしてください。HA プライマリ CAM または HA スタンバイ CAM がアカウンティング パケットを送信するかどうかに関係なく、アカウンティング パケットにはペアとしてこの IP アドレスが表示されます。HA プライマリ CAM および HA セカンダリ CAM の両方の eth0 IP アドレスからのアカウンティング パケットを受け取るように RADIUS アカウンティング サーバも設定し、RADIUS サーバが HA ペアのどちらの CAM から送信されたパケットであることを考えずにパケットを受け取れるようにする必要があります。Cisco Secure ACS では AAA クライアントのもとにこれが実行されます。


[NAS-Port]:すべての RADIUS アカウンティング パケットで送信される NAS-Port 値。

[NAS-Port-Type]:すべての RADIUS アカウンティング パケットで送信される NAS-Port-Type 値。

[Enable Failover]:これを選択すると、プライマリ RADIUS アカウンティング サーバの応答がタイムアウトになった場合、2 度めのアカウンティング パケットが RADIUS フェールオーバー ピア IP に送信できます。

[Failover Peer IP]:フェールオーバー用の RADIUS アカウンティング サーバの IP アドレス。

ステップ 4 [Update] をクリックして、サーバの設定を更新します。


 

出荷時のデフォルト設定の復元

Clean Access Manager を出荷時デフォルトのアカウンティング設定に復元する手順は、次のとおりです。

1. デフォルト設定を復元する前に、[Administration] > [Backup] で、現在のデータベースをバックアップします。

2. [User Management] > [Auth Servers] > [Accounting] > [Server Config] の順番に進みます。

3. [Reset Events to Factory Default] ボタンをクリックすると、ユーザ設定が削除され、Clean Access Manager はデフォルトのアカウンティング設定に戻ります。

4. 表示される確認ダイアログで、[OK] をクリックします。

ログイン、ログアウト、または共有イベントへのデータの追加

ログイン イベント、ログアウト イベント、または共有イベント(ログインとログアウトの両方のイベントで送信されるデータ)で送信される RADIUS アカウンティング データの追加やカスタマイズを通じて、アカウンティング パケットの送信データを柔軟に制御できます。

データ フィールド

次のデータ フィールドは、すべてのイベント(ログイン、ログアウト、共有)に適用されます。

[Current Time(Unix Seconds)]:イベントが発生した時刻

[Login Time(Unix Seconds)]:ユーザがログインした時刻

[CA Manager IP]:Clean Access Manager の IP アドレス

[Current Time(DTF)]:DTF 形式でのイベント発生時刻

[OS Name]:ユーザのオペレーティング システム

[Vlan ID]:そのユーザ セッションの作成に使用された VLAN ID

[User Role Description]:そのユーザのユーザ ロールの説明

[User Role Name]:そのユーザのユーザ ロールの名前

[User Role ID]:そのユーザ ロールを一意に識別するロール ID

[CA Server IP]:そのユーザがログインした Clean Access Server の IP

[CA Server Description]:そのユーザがログインした Clean Access Server の説明

[CA Server Key]:その Clean Access Server の鍵

[Provider Name]:そのユーザの認証プロバイダー

[Login Time(DTF)]:DTF 形式でのユーザのログイン時刻

[User MAC]:そのユーザの MAC アドレス

[User IP]:そのユーザの IP アドレス

[User Key]:そのユーザがログインに使用した鍵


) アウトオブバンド ユーザの場合だけ、user_key= IP address となります。


[User Name]:ユーザ アカウント名

ログアウト イベントのデータ フィールド

次の 4 つのデータ フィールドは、ログアウト イベントだけに適用され、ログイン イベントや共有イベントでは送信されません。

[Logout Time(Unix Seconds)]:Unix 秒でのユーザのログアウト時刻

[Logout Time(DTF)]:DTF 形式でのユーザのログアウト時刻

[Session Duration(Seconds)]:秒単位でのセッション持続時間

[Termination Reason]:Acct_Terminate_Cause RADIUS 属性の出力

新しいエントリの追加(ログイン イベント、ログアウト イベント、共有イベント)

共有イベントの RADIUS 属性に新しいデータを追加する手順

RADIUS 属性にカスタマイズ データを設定する手順は、次のとおりです。共有イベントの場合の手順は次のとおりです。ログインおよびログアウトのイベントにも同じプロセスを適用できます。

1. [User Management] > [Auth Servers] > [Accounting] の順番に進みます。

2. [Shared Event](または [Login Event]、[Logout Event])リンクをクリックすると、該当するページが表示されます。

3. このページの右側にある [New Entry] リンクをクリックすると、追加用のフォームが表示されます。

図 7-36 新しい共有イベント

 

図 7-37 RADIUS 属性のドロップダウン メニュー

 

4. [Send RADIUS Attribute] ドロップダウン メニューから、RADIUS 属性を選択します。

5. [Change Attribute] ボタンをクリックして、[RADIUS Attribute type] を更新します。このフィールドには、「String」または「Integer」などのデータ型が表示されます。

6. その属性で送信するデータのタイプを設定します。3 つのオプションがあります。

[Send static data]:この場合は、[Add Text] テキストボックスに追加するテキストを入力し、[Add Text] ボタンをクリックします。ユーザがログインまたはログアウトするたびに、選択した RADIUS 属性に、入力したスタティック データが含まれて送信されます。

[Send dynamic data]:この場合は、ドロップダウン メニューの 18 のダイナミック データ変数(ログアウト イベントの場合は 22)から 1 つ選択し、[Add Data] ボタンをクリックします。ユーザがログインまたはログアウトするたびに、選択したダイナミック データが、送信時の該当値に変更されて送信されます。

[Send static and dynamic data]:この場合、スタティック データとダイナミック データを組み合せたデータが送信されます。例:

User: [User Name] logged in at: [Login Time DTF] from CA Server [CA Server Description]

詳細については、 図 7-38、図 7-39、および 図 7-40 に、ログイン イベント、ログアウト イベント、および共有イベントの例をそれぞれ示します。 参照してください。

7. データが追加されると、[Data to send thus far:] フィールドに属性とともに送信されるように選択されたすべてのデータ タイプが表示され、[Sample of data to be sent:] フィールドにデータの表示方法が示されます。

8. 変更を保存するには、[Commit Changes] をクリックします。

9. フォームをリセットするには、[Reset Element] ボタンをクリックします。

10. [Data to send thus far:] フィールドに追加した最後のエントリを削除する場合は、[Undo Last Addition] をクリックします。

図 7-38図 7-39、および 図 7-40 に、ログイン イベント、ログアウト イベント、および共有イベントの例をそれぞれ示します。

図 7-38 ログイン イベント

 

図 7-39 ログアウト イベント

 

図 7-40 共有イベント