Cisco NAC ゲスト サーバ インストレーション コン フィギュレーション ガイド
スポンサー認証の設定
スポンサー認証の設定
発行日;2012/02/05 | 英語版ドキュメント(2011/12/22 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

スポンサー認証の設定

ローカル スポンサー認証の設定

新しいローカル ユーザ アカウントの追加

既存のユーザ アカウントの編集

既存のユーザ アカウントの削除

Active Directory(AD)認証の設定

Active Directory ドメイン コントローラの追加

既存のドメイン コントローラの編集

既存のドメイン コントローラ エントリの削除

LDAP 認証の設定

LDAP サーバの追加

既存の LDAP サーバの編集

既存の LDAP サーバ エントリの削除

RADIUS 認証の設定

RADIUS サーバの追加

既存の RADIUS サーバの編集

既存の RADIUS サーバ エントリの削除

スポンサー認証の設定

認証サーバの順序の変更

セッション タイムアウト

Active Directory Single Sign-On 認証の設定

Active Directory Single Sign-On の要件

スポンサー認証の設定

スポンサーは、Cisco NAC ゲスト サーバを使用してゲスト アカウントを作成するユーザです。スポンサー認証は、ゲスト サーバのスポンサー インターフェイスに対してスポンサー ユーザを認証します。次の 5 つのオプションがあります。

ローカル ユーザ認証:Cisco NAC ゲスト ユーザで直接ローカル スポンサー アカウントを作成します。「ローカル スポンサー認証の設定」を参照してください。

Active Directory 認証:既存の Active Directory(AD)の実装に対してスポンサーを認証します。「Active Directory(AD)認証の設定」を参照してください。

LDAP 認証:Lightweight Directory Access Protocol(LDAP)サーバに対してスポンサーを認証します。「LDAP 認証の設定」を参照してください。

RADIUS 認証:RADIUS サーバに対してスポンサーを認証します。「RADIUS 認証の設定」を参照してください。

Active Directory Single Sign-On:このオプションでは、クライアントの Web ブラウザと Cisco NAC ゲスト サーバ間で Kerberos を使用して Active Directory ドメイン コントローラに対してスポンサーを自動的に認証します。「Active Directory Single Sign-On 認証の設定」を参照してください。

Cisco NAC ゲスト サーバで複数の認証サーバを設定したり、スポンサーの認証で認証サーバを使用する順序を設定したりできます。詳細については、「スポンサー認証の設定」を参照してください。

ローカル スポンサー認証の設定

ローカル認証では、Cisco NAC ゲスト サーバで直接スポンサー ユーザ アカウントを設定できます。ローカル認証では、次のことが可能です。

新しいローカル ユーザ アカウントの追加

既存のユーザ アカウントの編集

既存のユーザ アカウントの削除

新しいローカル ユーザ アカウントの追加


ステップ 1 管理インターフェイスのメニューから、[Authentication] > [Sponsors] > [Local User Database] を選択します(図 4-1)。

図 4-1 ローカル ユーザ

 

ステップ 2 [Add User] ボタンをクリックし、ローカル スポンサー設定ページ(図 4-2)を起動します。

図 4-2 ローカル ユーザの追加

 

 

ステップ 3 [Add a Local User Account] ページで、すべてのスポンサー ユーザのクレデンシャルを入力します。

First Name:スポンサーの名を入力します。

Last Name:スポンサーの姓を入力します。

Email:スポンサーの電子メール アドレスを入力します。

Group:ドロップダウンからスポンサー アカウントのグループを選択します。グループの詳細については、「スポンサー ユーザ グループの設定」を参照してください。

Username:スポンサー アカウントのユーザ名を入力します。

Password:スポンサー アカウントのパスワードを入力します。

Confirm:スポンサー アカウントのパスワードを再入力します。

ステップ 4 [Add User] ボタンをクリックします。

エラーがある場合、アカウントは追加されず、ページの上部にエラー メッセージが表示されます。

正常に追加された場合、ページの上部に成功のメッセージが表示され、ユーザ アカウントをさらに追加できます。


 

既存のユーザ アカウントの編集

すでに作成されたローカル スポンサー アカウントの設定を変更できます。


ステップ 1 管理インターフェイスのメニューから [Authentication] > [Sponsors] を選択し、[Local User Database] タブ(図 4-3)をクリックします。

図 4-3 編集するローカル ユーザ

 

ステップ 2 リストからユーザを選択し、下線の付いたユーザ名をクリックします。

ステップ 3 [Edit a Local User Account] ページで、ユーザのクレデンシャルを編集します(図 4-4)。

図 4-4 ローカル ユーザ アカウントの編集

 

First Name:スポンサー アカウントの名を編集します。

Last Name:スポンサー アカウントの姓を編集します。

Email:スポンサーの電子メール アドレスを編集します。

Group:ドロップダウンからスポンサー アカウントのグループを選択します。グループの詳細については、「スポンサー ユーザ グループの設定」を参照してください。


) [Password] フィールドと [Repeat Password] フィールドを空にすると、既存のパスワードが維持されます。


Password:スポンサー アカウントのパスワードを変更します。

Confirm:変更したスポンサー アカウントのパスワードを再入力します。

ステップ 4 [Save Settings] ボタンをクリックします。

エラーがある場合、アカウントは追加されず、ページの上部にエラー メッセージが表示されます。

正常に変更された場合、ページの上部に成功のメッセージが表示され、同じユーザ アカウントをさらに変更できます。


 

既存のユーザ アカウントの削除

既存のスポンサー ユーザ アカウントを管理インターフェイスから削除できます。


ステップ 1 管理インターフェイスから、[Authentication] > [Sponsors] を選択し、[Local User Database] タブ(図 4-5)をクリックします。

図 4-5 削除するユーザの選択

 

ステップ 2 ローカル ユーザのリストが表示されます。[Group Name] フィールドの右側にあるゴミ箱アイコンをクリックして、削除するユーザを選択します。

ステップ 3 プロンプトでユーザの削除を確認します。

正常に削除された場合、ページの上部に成功のメッセージが表示され、ローカル ユーザ アカウントの追加の操作を行うことができます。


 

Active Directory(AD)認証の設定

Active Directory 認証では、既存の AD ユーザ アカウントを使用し、ゲスト サーバに対してスポンサー ユーザを認証します。これによりスポンサーは、ゲスト サーバに対する認証のためだけに、他のユーザ名とパスワードのセットを覚えておく必要がなくなります。また、ローカル スポンサー アカウントを作成したり、追加されたローカル スポンサー アカウントを管理したりする必要がないため、管理者はゲスト アクセスをすばやく開始できます。Active Directory 認証では、次のことが可能です。

Active Directory ドメイン コントローラの追加

既存のドメイン コントローラの編集

既存のドメイン コントローラ エントリの削除

AD 認証では、複数のドメイン コントローラに対する認証をサポートしています。ドメイン コントローラを、復元力を持たせるために同一の Active Directory に配置するか、または信頼関係が設定されていない場合でも、異なるドメインのスポンサー ユーザをゲスト サーバが認証できるように、異なる Active Directory に配置することができます。

すべての Active Directory 認証は、個々のドメイン コントローラ エントリに対して行われます。ドメイン コントローラ エントリは、次の 6 つの項目で構成されています。

Server Name:ドメイン コントローラの識別名(テキスト表示)。できる限り、識別しやすいドメイン コントローラおよびアカウントのサフィックスの使用を推奨します(ただし、選択したどの値にも設定できます)。

User Account Suffix:Active Directory のすべてのユーザには、「ユーザ名@ドメイン」として表示される完全なユーザ ログオン名があります。このフィールドに「@ドメイン」サフィックス(@ 記号を含む)を使用すると、スポンサー ユーザは完全なユーザ ログオン名を入力する必要がなくなります。

Domain Controller IP Address:スポンサー ユーザが認証するドメイン コントローラの IP アドレス。

Base DN:Active Directory の root。これにより、LDAP 検索でスポンサーのユーザ グループを見つけることができます。

AD Username:AD を検索する権限を持つユーザ アカウント。これにより、LDAP 検索でスポンサーのユーザ グループを見つけることができます。

AD Password:AD を検索する権限を持つユーザ アカウントのパスワード。

同じドメイン コントローラに対して異なるユーザ アカウント サフィックスを認証できるようにするために、同じ IP アドレスと異なるユーザ アカウント サフィックスを持つ複数のドメイン コントローラ エントリを作成できます。各エントリで異なる必要があるのは、Server Name、User Account Suffix、および Base DN です。

ドメイン コントローラの障害に備えて復元力を提供するために、異なる Domain Controller IP Address を持つ同一の User Account Suffix に複数のエントリを入力できます。各エントリで異なる必要があるのは、Server Name だけです。

ゲスト サーバは、「スポンサー認証の設定」で指定された Authentication Order に従って、各ドメイン コントローラのエントリに対して順番にスポンサーの認証を行います。

Active Directory ドメイン コントローラの追加


ステップ 1 管理インターフェイスのメニューから、[Authentication] > [Sponsors] > [Active Directory Servers] を選択します(図 4-6)。

図 4-6 Active Directory 認証

 

ステップ 2 [Add Domain Controller] ボタンをクリックします。

ステップ 3 [Add Active Directory Domain Controller] ページで、特定の AD ドメイン コントローラに対する認証に必要なすべての情報を入力します(図 4-7)。

図 4-7 Active Directory ドメイン コントローラの追加

 

Server Name:ドメイン コントローラの AD サーバ名とアカウント サフィックス(例:CCA.CISCO.COM)を入力します。

User Account Suffix:先頭の @ を含めたユーザ アカウント サフィックス(例:@cca.cisco.com)を入力します。すべての AD ユーザには、「ユーザ名@ドメイン」として表示される完全なユーザ ログオン名があります。スポンサーが完全なユーザ ログオン名を入力する必要がないように、「@ドメイン」(@ 記号を含む)を入力します。

Domain Controller:ドメイン コントローラの IP アドレスまたは DNS 名を入力します。これは、スポンサーが認証する DC の IP アドレスです。

Base DN:ドメイン コントローラのベース Distinguished Name(DN; 識別名)を入力します。これは、ディレクトリ ツリーの root の名前です。グループ検索時に、ゲスト サーバが開始場所を認識するために使用されます。ドメイン cca cisco com のベース DN の例は、DC=cca,DC=cisco,DC=com です。

Username:LDAP を使用する Active Directory を検索する権限を持つユーザ名を入力します。これにより、ゲスト サーバは、ユーザが所属するグループのリストなど、ユーザに関する詳細情報を取得できます。

Password:AD ユーザ名の入力後、そのアカウントのパスワードを入力します。

Confirm:パスワードを再度入力し、パスワードが正しいことを確認します。

Enabled:ゲスト サーバでこの AD サーバを使用してスポンサーを認証できるようにする場合は、このチェックボックスをクリックします。このチェックボックスをオフにすると、AD サーバは使用されません。

ステップ 4 また、[Test Connection] ボタンをクリックして、ドメイン コントローラの設定が正しいかどうか検証することもできます。[Test Connection] では、指定された AD ユーザ名とパスワードを使用して認証を行い、設定を検証します。成功または失敗のステータスが、「Active Directory Connection Successful」または「Active Directory Connection Failed」メッセージによって返されます。

ステップ 5 [Add Domain Controller] ボタンをクリックして、 ドメイン コントローラ を正常に追加します。正常に追加された場合は、確認の上部にメッセージが表示されます。


 

既存のドメイン コントローラの編集


ステップ 1 管理インターフェイスのメニューから、[Authentication] > [Sponsor] > [Active Directory Servers] を選択します(図 4-6)。

ステップ 2 リストから Active Directory ドメイン コントローラを選択し、下線の付いたドメイン名をクリックしてドメイン コントローラを選択および編集します(図 4-8)。

図 4-8 編集するドメイン コントローラの選択

 

ステップ 3 [Edit Active Directory Domain Controller] ページ(図 4-9)で、この AD ドメイン コントローラに対する認証に必要な情報を編集します。

図 4-9 Active Directory ドメイン コントローラの編集

 

ステップ 4 必要に応じて設定を変更します。

User Account Suffix:先頭の @ を含めたユーザ アカウント サフィックス(例:@cca.cisco.com)を編集します。すべての AD ユーザには、「ユーザ名@ドメイン」として表示される完全なユーザ ログオン名があります。スポンサーが完全なユーザ ログオン名を入力する必要がないように、「@ドメイン」(@ 記号を含む)を入力します。

Domain Controller:ドメイン コントローラの IP アドレスを編集します。これは、スポンサーが認証する DC の IP アドレスです。

Base DN:ドメイン コントローラのベース Distinguished Name(DN; 識別名)を編集します。これは、ディレクトリ ツリーの root の名前です。グループ検索時に、ゲスト サーバが開始場所を認識するために使用されます。ドメイン cca cisco com のベース DN の例は、DC=cca,DC=cisco,DC=com です。

AD Username:LDAP を使用する Active Directory を検索する権限を持つユーザ名を編集します。これにより、ゲスト サーバは、ユーザが所属するグループのリストなど、ユーザに関する詳細情報を取得できます。


) パスワードを変更しない場合、両方のパスワード エントリを空にすると、既存のパスワードが維持されます。


Password:検索権限を持つ AD ユーザ アカウントのパスワードを編集します。

Confirm:パスワードを再度入力し、パスワードが正しいことを確認します。

Enabled:ゲスト サーバでこの AD サーバを使用してスポンサーを認証できるようにする場合は、このチェックボックスをクリックします。このチェックボックスをオフにすると、AD サーバは使用されません。

ステップ 5 また、[Test Connection] ボタンをクリックして、ドメイン コントローラの設定が正しいかどうか検証することもできます。[Test Connection] では、指定された AD ユーザ名とパスワードを使用して認証を行い、設定を検証します。成功または失敗のステータスが、「Active Directory Connection Successful」または「Active Directory Connection Failed」メッセージによって返されます。

ステップ 6 [Save Settings] ボタンをクリックします。


 

既存のドメイン コントローラ エントリの削除


ステップ 1 管理インターフェイスのメニューから、[Authentication] > [Sponsors] > [Active Directory Servers] を選択します。

ステップ 2 リストにあるドメイン コントローラの下線の付いた名前をクリックします(図 4-10)。

図 4-10 ドメイン コントローラ エントリの削除

 

ステップ 3 [Status] フィールドの右側にあるゴミ箱アイコンをクリックして、ドメイン コントローラを削除します。

ステップ 4 プロンプトでドメイン コントローラの削除を確認します。

エラーがある場合、DC は追加されず、ページの上部にエラー メッセージが表示されます。正常に削除された場合、ページの上部に成功のメッセージが表示され、ドメイン コントローラ の追加の操作を行うことができます。


 

LDAP 認証の設定

LDAP 認証では、既存の LDAP ユーザ アカウントを使用し、ゲスト サーバに対してスポンサー ユーザを認証します。これによりスポンサーは、ゲスト サーバに対する認証のためだけに、他のユーザ名とパスワードのセットを覚えておく必要がなくなります。また、ローカル スポンサー アカウントを作成したり、追加されたローカル スポンサー アカウントを管理したりする必要がないため、管理者はゲスト アクセスをすばやく開始できます。LDAP 認証では、次のことが可能です。

LDAP サーバの追加

既存の LDAP サーバの編集

既存の LDAP サーバ エントリの削除

LDAP 認証は、複数の LDAP サーバに対する認証をサポートします。

LDAP サーバ エントリは、次の複数の項目で構成されています。

LDAP Server Name:LDAP サーバの識別名(テキスト表示)。

LDAP Server URL:LDAP サーバにアクセスするための URL(例:ldap://ldap.cisco.com)です。

Version:使用する LDAP のバージョン(バージョン 1、2 または 3)。

Base DN:ユーザを見つけるための LDAP 検索を開始するコンテナ オブジェクトの識別名(例:OU=Engineering,O=Cisco)です。

User Search Filter:LDAP サーバでユーザ エントリに名前を付ける方法を定義します。たとえば、uid(uid=%USERNAME%)または cn(cn=%USERNAME%)として定義できます。

Group Mapping:LDAP サーバでは、ユーザをグループに割り当てる場合に次の 2 つの方法を使用します。

1. ユーザ オブジェクトの属性にグループ メンバーシップを保存する。この方法を使用すると、ユーザ オブジェクトは、ユーザが所属するグループを示す 1 つまたは複数の属性を持ちます。LDAP サーバがグループ メンバーシップを保存するこの方法を使用する場合は、ユーザがメンバーになっているグループを保持する属性の名前を入力する必要があります。

2. グループ オブジェクトの属性にユーザ メンバーシップを保存する。この方法では、グループのメンバーになっているユーザのリストを含むグループ オブジェクトが存在します。LDAP サーバでこの方法を使用する場合は、ユーザを照合するユーザ グループの LDAP マッピング セクションで、チェックするグループを指定する必要があります。

使用する方法を決定するためには、LDAP のドキュメンテーションでサーバについて確認するか、 http://www.ldapbrowser.com/ で入手可能なブラウザなど、LDAP ブラウザを使用してサーバの属性を確認します。

Username:LDAP サーバを検索する権限を持つユーザ アカウント。これは、Cisco NAC ゲスト サーバでユーザ アカウントとグループ マッピング情報を検索するために必要です。

Password:LDAP サーバを検索する権限を持つユーザ アカウントのパスワード。

LDAP サーバの障害に備えて復元力を提供するために、同じデータベースを指しているハイ アベイラビリティ LDAP サーバの複数のエントリを入力できます。各エントリで異なる必要があるのは、Server name および URL だけです。

ゲスト サーバは、Authentication Order で指定された順序(詳細については、「スポンサー認証の設定」を参照してください)に従って、各 LDAP サーバに対してスポンサーの認証を行います。

LDAP サーバに接続するための正しい LDAP クレデンシャルがあることを確認するには、 http://www.ldapbrowser.com/ で入手できるブラウザなど LDAP ブラウザをテストすることを推奨します。

LDAP サーバの追加


ステップ 1 管理インターフェイスのメニューから、[Authentication] > [Sponsors] > [LDAP Servers] を選択します(図 4-11)。

図 4-11 LDAP 認証

 

ステップ 2 [Add LDAP Server] ボタンをクリックします。

ステップ 3 [Add LDAP Server] ページで、特定の LDAP サーバに対する認証に必要な情報をすべて入力します(図 4-12)。

図 4-12 LDAP サーバの追加

 

 

LDAP Server Name:LDAP サーバ名を入力します(テキスト表示)。例:
Cisco LDAP:ldap.cisco.com。

LDAP Server URL:LDAP サーバにアクセスするための URL(例:dap://ldap.cisco.com または ldaps://ldap.cisco.com)を入力します。

Version:サーバがサポートする LDAP のバージョン(バージョン 1、2 または 3)。

Base DN:ユーザを見つけるための LDAP 検索を開始するコンテナ オブジェクトの識別名(例:OU=Users,O=Cisco.com または OU=Engineering,O=Cisco)です。

User Search Filter:LDAP サーバでユーザ エントリに名前を付ける方法を定義します。たとえば、uid(uid=%USERNAME%)または cn(cn=%USERNAME%)として定義できます。検索でユーザ名が挿入される場所に %USERNAME% を挿入する必要があります。

Group Mapping:LDAP サーバでは、ユーザをグループに割り当てる場合に次の 2 つの方法を使用します。

1. ユーザ オブジェクトの属性にグループ メンバーシップを保存する。この方法では、ユーザ オブジェクトは、ユーザが所属するグループを示す 1 つまたは複数の属性を持ちます。LDAP サーバがグループ メンバーシップを保存するこの方法を使用する場合は、ユーザがメンバーになっているグループを保持する属性の名前を入力する必要があります。この属性には、groupMembership、memberOf、group などの名前が付いている場合があります。

2. グループ オブジェクトの属性にユーザ メンバーシップを保存する。この方法では、グループのメンバーになっているユーザのリストを含むグループ オブジェクトが存在します。LDAP サーバでこの方法を使用する場合は、ユーザを照合するユーザ グループの LDAP マッピング セクションで、チェックするグループを指定する必要があります。

使用する方法を決定するためには、LDAP のドキュメンテーションでサーバについて確認するか、 http://www.ldapbrowser.com/ で入手可能なブラウザなど、LDAP ブラウザを使用してサーバの属性を確認します。

Username:LDAP サーバを検索する権限を持つユーザ アカウント。これは、Cisco NAC ゲスト サーバでユーザ アカウントとグループ マッピング情報を検索するために必要です。

Password:LDAP サーバを検索する権限を持つユーザ アカウントのパスワード。

Confirm:パスワードを再度入力し、パスワードが一致していることを確認します。

Enabled:ゲスト サーバでこの LDAP サーバを使用してスポンサーを認証できるようにする場合は、このチェックボックスをクリックします。このチェックボックスをオフにすると、LDAP サーバは使用されません。

ステップ 4 [Add LDAP Server] ボタンをクリックすると、設定が正常に保存されます。


 

既存の LDAP サーバの編集


ステップ 1 管理インターフェイスのメニューから、[Authentication] > [Sponsor] > [LDAP Servers] を選択します。

ステップ 2 リストから編集する LDAP サーバを選択し、そのサーバの下線の付いたドメインをクリックします(図 4-13)。

図 4-13 編集する LDAP サーバの選択

 

ステップ 3 LDAP Server ページ(図 4-14)で、この LDAP サーバに対する認証に必要な情報を編集します。

図 4-14 LDAP サーバ設定の編集

 

ステップ 4 必要に応じて設定を変更します。

LDAP Server URL:LDAP サーバにアクセスするための URL(例:dap://ldap.cisco.com または ldaps://ldap.cisco.com)を入力します。

Version:サーバがサポートする LDAP のバージョン(バージョン 1、2 または 3)。

Base DN:ユーザを見つけるための LDAP 検索を開始するコンテナ オブジェクトの識別名(例:OU=Users,O=Cisco.com または OU=Engineering,O=Cisco)です。

User Search Filter:LDAP サーバでユーザ エントリに名前を付ける方法を定義します。たとえば、uid(uid=%USERNAME%)または cn(cn=%USERNAME%)として定義できます。検索でユーザ名が挿入される場所に %USERNAME% を挿入する必要があります。

Group Mapping:LDAP サーバでは、ユーザをグループに割り当てる場合に次の 2 つの方法を使用します。

1. ユーザ オブジェクトの属性にグループ メンバーシップを保存する。この方法では、ユーザ オブジェクトは、ユーザが所属するグループを示す 1 つまたは複数の属性を持ちます。LDAP サーバがグループ メンバーシップを保存するこの方法を使用する場合は、ユーザがメンバーになっているグループを保持する属性の名前を入力する必要があります。この属性には、groupMembership、memberOf、group などの名前が付いている場合があります。

2. グループ オブジェクトの属性にユーザ メンバーシップを保存する。この方法では、グループのメンバーになっているユーザのリストを含むグループ オブジェクトが存在します。LDAP サーバでこの方法を使用する場合は、ユーザを照合するユーザ グループの LDAP マッピング セクションで、チェックするグループを指定する必要があります。

使用する方法を決定するためには、LDAP のドキュメンテーションでサーバについて確認するか、 http://www.ldapbrowser.com/ で入手可能なブラウザなど、LDAP ブラウザを使用してサーバの属性を確認します。

Username:LDAP サーバを検索する権限を持つユーザ アカウント。これは、Cisco NAC ゲスト サーバでユーザ アカウントとグループ マッピング情報を検索するために必要です。

Password:LDAP サーバを検索する権限を持つユーザ アカウントのパスワード。

Confirm:パスワードを再度入力し、パスワードが一致していることを確認します。


) パスワードを変更しない場合、両方のパスワード エントリを空にすると、既存のパスワードが維持されます。


Enabled:ゲスト サーバでこの LDAP サーバを使用してスポンサーを認証できるようにする場合は、このチェックボックスをクリックします。このチェックボックスをオフにすると、LDAP サーバは使用されません。

ステップ 5 また、[Test Connection] ボタンをクリックして、LDAP サーバの設定が正しいかどうか検証することもできます。[Test Connection] は、LDAP サーバに対して指定されているユーザ名とパスワードを使用してバインドし、正常にバインドできるかどうかを検証します。成功または失敗のステータスが、「LDAP Connection Successful」または「LDAP Connection Failed」メッセージによって返されます。

ステップ 6 [Save Settings] ボタンをクリックします。


 

既存の LDAP サーバ エントリの削除


ステップ 1 管理インターフェイスのメニューから、[Authentication] > [Sponsor] > [LDAP Servers] を選択します。

ステップ 2 リストから LDAP サーバを選択します(図 4-15)。

図 4-15 LDAP サーバ エントリの削除

 

ステップ 3 LDAP サーバのリストが表示され、[Status] フィールドの右側にあるゴミ箱アイコンをクリックして削除するサーバを選択します。

ステップ 4 プロンプトで LDAP サーバの削除を確認します。

エラーがある場合、LDAP サーバは追加されず、ページの上部にエラー メッセージが表示されます。正常に削除された場合、ページの上部に成功のメッセージが表示され、LDAP サーバの追加の操作を行うことができます。


 

RADIUS 認証の設定

RADIUS 認証では、既存の RADIUS ユーザ アカウントを使用し、Cisco NAC ゲスト サーバに対してスポンサー ユーザを認証します。これによりスポンサーは、ゲスト サーバに対する認証のためだけに、他のユーザ名とパスワードのセットを覚えておく必要がなくなります。また、ローカル スポンサー アカウントを作成したり、追加されたローカル スポンサー アカウントを管理したりする必要がないため、管理者はゲスト アクセスをすばやく開始できます。RADIUS 認証では、次のことが可能です。

RADIUS サーバの追加

既存の RADIUS サーバの編集

既存の RADIUS サーバ エントリの削除

RADIUS サーバの追加


ステップ 1 管理インターフェイスのメニューから、[Authentication] > [Sponsors] > [RADIUS Servers] を選択します(図 4-16)。

図 4-16 RADIUS 認証

 

ステップ 2 [Add RADIUS Server] ボタンをクリックします。

ステップ 3 [Add RADIUS Server] ページで、特定の RADIUS サーバに対する認証に必要な情報をすべて入力します(図 4-17)。

図 4-17 RADIUS サーバの追加

 

Server Name:RADIUS サーバ名をテキストで入力します(例:
Cisco RADIUS - radius.cisco.com)。

Server IP Address:RADIUS サーバの IP アドレスまたはドメイン名を入力します。

Port:RADIUS サーバへの接続に使用する UDP ポートを入力します。RADIUS 認証の共通ポートは、ポート 1645 または 1812 です。

RADIUS Secret:Cisco NAC Guest Server および RADIUS サーバ間の通信の保護に使用する共有秘密。

Enabled:ゲスト サーバでこの RADIUS サーバを使用してスポンサーを認証できるようにする場合は、このチェックボックスをクリックします。このチェックボックスをオフにすると、RADIUS サーバは使用されません。

ステップ 4 [Save] ボタンをクリックします。


 

既存の RADIUS サーバの編集


ステップ 1 管理インターフェイスのメニューから、[Authentication] > [Sponsor] > [RADIUS Servers] を選択します。

ステップ 2 リストから RADIUS サーバを選択し、編集するサーバの下線の付いた名前をクリックします(図 4-18)。

図 4-18 編集する RADIUS サーバの選択

 

ステップ 3 [Edit RADIUS Server Details] ページ(図 4-19)で、この RADIUS サーバに対する認証に必要な情報を編集します。

図 4-19 RADIUS サーバ設定の編集

 

ステップ 4 必要に応じて設定を変更します。

Server IP Address:RADIUS サーバの IP アドレスまたはドメイン名を入力します。

Port:RADIUS サーバへの接続に使用する UDP ポートを入力します。RADIUS 認証の共通ポートは、ポート 1645 または 1812 です。

RADIUS Secret:Cisco NAC Guest Server および RADIUS サーバ間の通信の保護に使用する共有秘密。


) 共有秘密を変更しない場合は、両方の秘密エントリを空にすると、既存の共有秘密が維持されます。


Enabled:ゲスト サーバでこの RADIUS サーバを使用してスポンサーを認証できるようにする場合は、このチェックボックスをクリックします。このチェックボックスをオフにすると、RADIUS サーバは使用されません。

ステップ 5 [Save Settings] ボタンをクリックします。


 

既存の RADIUS サーバ エントリの削除


ステップ 1 管理インターフェイスのメニューから、[Authentication] > [Sponsor] > [RADIUS Servers] を選択します。

ステップ 2 リストから RADIUS サーバを選択します(図 4-20)。

図 4-20 RADIUS サーバ エントリの削除

 

ステップ 3 RADIUS サーバのリストが表示されます。[Status] フィールドの右側にあるゴミ箱アイコンをクリックして、サーバを削除します。

ステップ 4 プロンプトで RADIUS サーバの削除を確認します。

エラーがある場合、RADIUS サーバは追加されず、ページの上部にエラー メッセージが表示されます。正常に削除された場合、ページの上部に成功のメッセージが表示され、RADIUS サーバの追加の操作を行うことができます。


 

スポンサー認証の設定

認証サーバの順序の変更

Cisco NAC ゲスト サーバに対してスポンサーを認証すると、ゲスト サーバは、スポンサーを正常に認証するまで、定義された各認証サーバを順番に試みます。いずれの認証サーバもスポンサーを認証できない場合は、エラー メッセージが返されます。

種類の異なる多くの認証サーバを定義できるため、それらをサーバ単位で必要な順序に設定できます。


ステップ 1 管理インターフェイスのメニューから、[Authentication] > [Sponsor] > [ Authentication Order] を選択します(図 4-21)。

図 4-21 認証順序

 

最初に認証されるサーバはリストの先頭に示され、最後に認証されるサーバはリストの最後に示されます。

ステップ 2 リストから順序を変更するサーバを選択し、[move up] または [move down] ボタンをクリックします。この操作を、正しい順序になるまですべてのサーバで実行します。

ステップ 3 認証順序を保存するには、[Change Order] ボタンをクリックします。


 

セッション タイムアウト

Cisco NAC ゲスト サーバにログインしたスポンサーは、一定期間活動していないとログアウトされます。活動しない期間は、[Session Timeout Settings] ページで設定できます。


) ここで定義されたセッション タイムアウトは、スポンサー インターフェイスと管理インターフェイスの両方に適用されます。「admin セッション タイムアウト」を参照してください。



ステップ 1 管理インターフェイスのメニューから、[Authentication] > [Sponsor] > [Settings] を選択します(図 4-22)。

図 4-22 セッション タイムアウト

 

ステップ 2 [Session Timeout] の値を分単位で入力します(デフォルトは 10 分)。この時間にスポンサーが活動しないと、それらのスポンサーのセッションの期限が切れて、スポンサーが次のアクションを実行すると、ログイン ページが表示されます。

ステップ 3 [Save Settings] ボタンをクリックして、セッション タイムアウトを保存します。


 

Active Directory Single Sign-On 認証の設定

Active Directory Single Sign-On(AD SSO)機能では、クライアントの Web ブラウザと Cisco NAC ゲスト サーバ間で Kerberos を使用して Active Directory ドメイン コントローラに対してゲストを自動的に認証します。

シングル サインオン設定と同じドメイン内に存在する Active Directory ドメイン コントローラは、以前に設定されている必要があります(「Active Directory(AD)認証の設定」を参照)。

Active Directory Single Sign-On の要件

Active Directory Single Sign-On を正しく設定するには、次の要件を満たしている必要があります。

DNS が設定され、Cisco NAC ゲスト サーバで稼動していること。

DNS が設定され、ドメイン コントローラで稼動していること。

Cisco NAC ゲスト サーバの次のエントリがいずれも定義されていること。

「A」レコード

「PTR」レコード

ドメイン コントローラの次の DNS エントリがいずれも定義されていること。

「A」レコード

「PTR」レコード

Cisco NAC ゲスト サーバの時間設定は、Active Directory ドメインと同期する必要があります。

これらの設定のいずれかが満たされていない場合、AD SSO の設定は失敗します。


) 時間を Active Directory ドメインと同期させるために、NTP を設定することを強く推奨します。Cisco NAC ゲスト サーバの時間が、クライアントまたはドメインと 5 分以上異なる場合、Single Sign-On は失敗します。



ステップ 1 「Active Directory(AD)認証の設定」の説明に従って、Active Directory サーバを設定します。Active Directory サーバは、Single Sign-On を実行するユーザをスポンサー グループに正しくマップするために必要です。Active Directory サーバは、Single Sign-On 設定と同じドメインに含まれている必要があります。

ステップ 2 管理インターフェイスの左側のメニューから、[Authentication] > [AD Single Sign-On] を選択します(図 4-23)。

図 4-23 Active Directory Single Sign-On

 

ステップ 3 [Enable AD Single Sign On] チェックボックスをオンにして、AD SSO をイネーブルにします。

ステップ 4 SSO をイネーブルにするドメインの Active Directory ドメイン名を入力します。

ステップ 5 Active Directory ドメイン コントローラの完全修飾ドメイン名を入力します。Cisco NAC ゲスト サーバで、ドメイン コントローラの A レコードと PTR レコードの両方を解決できる必要があります。

ステップ 6 NAC ゲスト サーバの完全修飾ドメイン名を入力します。NAC ゲスト サーバで、DNS を使用してそれ自身の A レコードと PTR レコードの両方を解決できるようにする必要があります。

ステップ 7 ドメインの AD 管理者ユーザ名を入力します。このアカウントは、ドメインに NAC ゲスト サーバを追加したり、そのコンピュータ アカウントを作成したりするために使用されます。

ステップ 8 AD 管理者のパスワードを入力し、[Confirm] フィールドで再入力します。

ステップ 9 [Save] をクリックします。NAC ゲスト サーバはドメインに参加し、コンピュータ アカウントを作成して、Active Directory Single Sign On を有効にします。