Cisco Secure ACS ユーザ ガイド Windows 版 Version 3.3
RDBMS 同期化機能インポート の定義
RDBMS 同期化機能インポートの定義
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

RDBMS 同期化機能インポートの定義

accountActions の仕様

accountActions のフォーマット

accountActions の必須フィールド

accountActions の処理順序

アクション コード

値の設定および削除に使用するアクション コード

ユーザ アカウントの作成および変更に使用するアクション コード

アクセス フィルタの初期化および変更に使用するアクション コード

TACACS+ と RADIUS のグループおよびユーザ設定の変更に使用するアクション コード

ネットワーク設定の変更に使用するアクション コード

Cisco Secure ACS アトリビュートとアクション コード

ユーザ固有アトリビュート

ユーザ定義アトリビュート

グループ固有アトリビュート

accountActions の例

RDBMS 同期化機能インポートの定義

RDBMS 同期化機能インポートの定義は、accountActions テーブルで使用可能なアクション コードのリストです。Cisco Secure Access Control Server(ACS)for Windows Server の RDBMS 同期化機能では、CiscoSecure ユーザ データベースの自動または手動による更新情報の入力として、「accountActions」という名前のテーブルを使用します。RDBMS 同期化機能と accountActions の詳細については、「RDBMS 同期化」を参照してください。

この付録は、次の項で構成されています。

「accountActions の仕様」

「アクション コード」

「Cisco Secure ACS アトリビュートとアクション コード」

「accountActions の例」

accountActions の仕様

テキスト エディタを使用して accountActions を手動で作成する場合も、accountActions に書き込みを行うサードパーティ製システムを使用して自動的に作成する場合も、accountActions の仕様に準拠し、「アクション コード」に説明のあるアクション コードだけを使用する必要があります。そうでない場合は、RDBMS 同期によって CiscoSecure ユーザ データベースに誤った情報がインポートされるか、この機能が動作しない可能性があります。

accountActions のフォーマット

accountActions の各行には 14 のフィールド(つまりカラム)があります。 表 F-1 に、accountActions を構成するフィールドを示します。 表 F-1 では、accountActions にフィールドが表示される順序も反映されています。

ニーモニック カラムにある 1 文字または 2 文字の省略形は、「アクション コード」の各アクション コードに必須のフィールドを示すために使用する省略表記です。

accountActions の例は、「accountActions の例」を参照してください。

 

表 F-1 accountActions フィールド

フィールド名
ニーモニック
タイプ
サイズ
(最大長)
コメント

SequenceId

SI

AutoNumber

32

一意のアクション ID。

Priority

P

Integer

1

このアップデートを処理するときの優先順位。0 が最も低い優先順位です。

UserName

UN

String

32

トランザクションが適用されるユーザの名前。

GroupName

GN

String

32

トランザクションが適用されるグループの名前。

Action

A

Number

0-2 16

必要なアクション(「アクション コード」を参照)。

ValueName

VN

String

255

変更するパラメータの名前。

Value1

V1

String

255

新規の値(数値パラメータの場合、これは 10 進数文字列になります)。

Value2

V2

String

255

TACACS+ プロトコルの名前。たとえば、「ip」または RADIUS VSA ベンダー ID。

Value3

V3

String

255

TACACS+ サービスの名前。たとえば、「ppp」または RADIUS VSA のアトリビュート番号。

DateTime

DT

DateTime

--

アクションを作成した日付/時刻。

MessageNo

MN

Integer

--

監査を目的とした関連トランザクションの番号指定に使用します。

ComputerNames

CN

String

32

CSDBSync により予約済み。

AppId

AI

String

255

変更する設定パラメータのタイプ。

Status

S

Number

32

TRI-STATE:0=処理されない、1=処理済み、2=失敗。通常は、0 に設定します。

accountActions の必須フィールド

すべてのアクションに対して次の 3 つのフィールドをブランクにすることはできません。有効な値を入力する必要があります。

Action

DateTime

SequenceID

上記 3 つの必須フィールドに加えて、UserName フィールドと GroupName フィールドにも有効な値が必要になる場合が多くあります。

トランザクションがユーザ アカウントで動作している場合は、UserName フィールドに有効な値が必要。

トランザクションがグループで動作している場合は、GroupName フィールドに有効な値が必要。

トランザクションが AAA クライアント設定で動作している場合は、UserName フィールドおよび GroupName フィールドに値は必要ない。


) UserName フィールドと GroupName フィールドは、相互に排他的です。つまり、これら 2 つのフィールドのうち一方だけが値を持つことができ、どちらのフィールドも常に必須ではありません。


accountActions の処理順序

Cisco Secure ACS は accountActions から行を読み取り、特定の順序で処理します。Cisco Secure ACS では、最初に Priority フィールド(ニーモニック名 P)、次に Sequence ID フィールド(ニーモニック名 SI)の各値を使用して順序を決定します。Cisco Secure ACS では、最も優先順位の高い Priority フィールドを持つ行を処理します。Priority フィールドの番号が小さいほど、優先順位が高くなります。たとえば、行 A がその Priority フィールドに値 1 を持ち、行 B がその Priority フィールドに値 2 を持つ場合、Cisco Secure ACS は最初に行 A を処理します。この場合、行 B の Sequence ID が行 A よりも低いかどうかは関係ありません。同じ優先順位に設定された行があるときは、Cisco Secure ACS はその Sequence ID を使用して、最も低い Sequence ID の行を最初に処理します。

このようにして、Priority フィールド(P)によって、ユーザの削除やパスワードの変更など、重要度が高いトランザクションから実行します。RDBMS 同期化機能の最も一般的な実装の場合、サードパーティ製のシステムでは、すべてのアクション(行)の優先順位をゼロ(0)に設定して、バッチ モードで accountActions に書き込みます。


) トランザクションの優先順位を変更するときは、正しい順序で優先順位が処理されるように注意してください。たとえば、ユーザ アカウントを作成してから、そのユーザのパスワードを割り当てる必要があります。


MessageNo フィールド(ニーモニック名 MN)を使用すると、関連するトランザクションを関連付けることができます。たとえば、ユーザを追加し、その後でパスワード値とステータスを設定するアクションを実行する場合などです。MessageNo フィールドを使用すると、accountActions に書き込みを行うサードパーティ製システムの監査証跡を作成できます。

アクション コード

ここでは、accountActions の Action フィールド(ニーモニック名 A)での使用が有効なアクション コードについて説明します。必須というカラムでは、想定される必須フィールドを除いて、入力の必要なフィールドをフィールド ニーモニック名を使用して示します。accountActions フィールドのニーモニック名の詳細については、 表 F-1 を参照してください。必須フィールドの詳細については、「accountActions の必須フィールド」を参照してください。

ユーザとグループのどちらにもアクションを適用できる場合は「UN|GN」と表記し、パイプ(|)を使用して 2 つのフィールドのうちいずれかが必須であることを示しています。ユーザだけを対象としてアクションを適用するには、グループ名をブランクにします。グループだけを適用対象とする場合はユーザ名をブランクにします。

この項では、次のトピックについて取り上げます。

「値の設定および削除に使用するアクション コード」

「ユーザ アカウントの作成および変更に使用するアクション コード」

「アクセス フィルタの初期化および変更に使用するアクション コード」

「TACACS+ と RADIUS のグループおよびユーザ設定の変更に使用するアクション コード」

「ネットワーク設定の変更に使用するアクション コード」

値の設定および削除に使用するアクション コード

最も基本的な 2 つのアクション コードは、SET_VALUE(アクション コード 1)と DELETE_VALUE(アクション コード 2)です。詳細は、 表 F-2 を参照してください。

表 F-2 で説明されているように、SET_VALUE(アクション コード 1)と DELETE_VALUE(アクション コード 2)のアクションを使用して、Cisco Secure ACS 内のさまざまな内部アトリビュートに値を割り当てるよう RDBMS 同期化機能に指示します。これらのアクション コードは、シスコ担当者がほかの目的での使用を依頼しない限り、ユーザ定義フィールドに値を割り当てる場合にだけ使用できます(「ユーザ固有アトリビュート」を参照してください)。

 

表 F-2 値の設定および削除に使用するアクション コード

アクション コード
名前
必須
説明

1

SET_VALUE

UN|GN、AI、VN、V1、V2

アプリケーション ID(AI)には、値の型(V2)の名前(VN)が付いた値(V1)を設定します。

アプリケーション ID(AI)は、次のいずれかです。

APP_CSAUTH

APP_CSTACACS

APP_CSRADIUS

APP_CSADMIN

値の型(V2)は、次のいずれかです。

TYPE_BYTE :単一の 8 ビットの数値

TYPE_SHORT :単一の 16 ビットの数値

TYPE_INT :単一の 32 ビットの数値

TYPE_STRING :単一の文字列

TYPE_ENCRYPTED_STRING :暗号化されて保存される単一の文字列

TYPE_MULTI_STRING :タブで区切られたサブ文字列のセット

TYPE_MULTI_INT :タブで区切られた 32 ビット数値のセット

例:

UN = "fred"
AI = "APP_CSAUTH"
VN = "My Value"
V2 = "TYPE_MULTI_STRING"
V1 = "str1 tab str2 tab str3"

2

DELETE_VALUE

UN|GN、AI、VN

アプリケーション ID(AI)とユーザ(UN)またはグループ(GN)の値(VN)を削除します。

ユーザ アカウントの作成および変更に使用するアクション コード

表 F-3 に、ユーザ アカウントの作成、変更、および削除を行うアクション コードを示します。


) パスワードの割り当てなど、ユーザ アカウントの変更を行う場合は、まず HTML インターフェイスまたは ADD_USER アクション(アクション コード 100)を使用してユーザ アカウントを作成しておく必要があります。


これらのコードを使用したトランザクションは、HTML インターフェイスの User Setup セクションで表示される設定に影響を与えます。User Setup セクションの詳細については、 第7章「ユーザ管理」 を参照してください。

 

表 F-3 ユーザの作成および変更に使用するアクション コード

アクション コード
名前
必須
説明

100

ADD_USER

UN|GN、V1

ユーザを作成します(最大 32 文字)。V1 は初期パスワードとして使用されます。オプションで、ユーザをグループに割り当てることもできます。

101

DELETE_USER

UN

ユーザを削除します。

102

SET_PAP_PASS

UN、V1

ユーザの PAP パスワードを設定します(最大 64 ASCII 文字)。CHAP/ARAP もデフォルトでこの値になります。

103

SET_CHAP_PASS

UN、V1

ユーザの CHAP/ARAP パスワードを設定します(最大 64 文字)。

104

SET_OUTBOUND_
CHAP_PASS

UN、V1

ユーザの CHAP/ARAP パスワードを設定します(最大 32 文字)。

105

SET_T+_ENABLE_
PASS

UN、VN、V1、V2、V3

TACACS+ のイネーブル パスワード(V1)(最大 32 文字)と最大特権レベル(V2)(0-15)を設定します。

イネーブル タイプ(V3)には、次のいずれか 1 つを指定する必要があります。

ENABLE_LEVEL_AS_GROUP :このグループ設定から受け継がれる最大特権レベル

ENABLE_LEVEL_NONE :T+ イネーブルの設定なし

ENABLE_LEVEL_STATIC :イネーブル レベル チェック中に使用される V2 の値設定

VN を使用して、アクション 108 の SET_PASS_TYPE のように外部認証者にイネーブル パスワードをリンクできます。

106

SET_GROUP

UN、GN

ユーザの Cisco Secure ACS グループ割り当てを設定します。

108

SET_PASS_TYPE

UN|GN、V1

ユーザのパスワード型を設定します。これは、CiscoSecure ユーザ データベースのパスワード型のいずれか、またはサポートされている外部データベースのパスワード型のいずれかになります。

PASS_TYPE_CSDB :CSDB 内部パスワード

PASS_ TYPE_CSDB_UNIX :CSDB 内部パスワード(暗号化 UNIX)

PASS_TYPE_NT :外部の Windows ユーザ データベースのパスワード

PASS_TYPE_NDS :外部の Novell データベースのパスワード

PASS_TYPE_LDAP :外部の汎用 LDAP データベースのパスワード

PASS_TYPE_LEAP :外部の LEAP プロキシ RADIUS サーバ データベースのパスワード

PASS_TYPE_RADIUS_TOKEN :外部の RADIUS トークン サーバ データベースのパスワード

109

REMOVE_PASS_
STATUS

UN、V1

パスワードのステータス フラグを削除します。この処理により、論理 XOR 条件でリンクされているステータス状態になります。V1 には、次のいずれか 1 つが含まれている必要があります。

PASS_STATUS_EXPIRES :パスワードは指定された日付に有効期限が切れます。

PASS_STATUS_NEVER :パスワードは期限満了になりません。

PASS_STATUS_WRONG :不正なパスワードを使用して特定の回数だけログインが実行されると、パスワードの有効期限が切れます。

PASS_STATUS_DISABLED :アカウントが無効になっています。

110

ADD_PASS_STATUS

UN、V1

Cisco Secure ACS によってパスワードを期限満了にする方法を定義します。1 つのユーザに対して複数のパスワード ステートを設定するには、このアクションの複数インスタンスを使用します。この処理により、論理 XOR 条件でリンクされているステータス状態になります。V1 には、次のいずれか 1 つが含まれている必要があります。

PASS_STATUS_EXPIRES :パスワードは指定された日付に有効期限が切れます。

PASS_STATUS_NEVER :パスワードは期限満了になりません。

PASS_STATUS_WRONG :不正なパスワードを使用して特定の回数だけログインが実行されると、パスワードの有効期限が切れます。

PASS_STATUS_RIGHT :正しいパスワードを使用して特定の回数だけログインが実行されると、パスワードの有効期限が切れます。

PASS_STATUS_DISABLED :アカウントが無効になっています。

112

SET_PASS_EXPIRY_
WRONG

UN、V1

許容される認証の最大失敗回数を設定し(この回数を超えていなくても、適切なパスワード時には自動的にリセット)、現在のカウントをリセットします。

113

SET_PASS_EXPIRY_
DATE

UN、V1

アカウントの有効期限が満了となる日付を設定します。日付の形式は、YYYYMMDD で指定します。

114

SET_MAX_SESSIONS

UN|GN、V1

ユーザまたはグループの最大同時セッション数を設定します。V1 には、次のいずれか 1 つの値が含まれている必要があります。

MAX_SESSIONS_UNLIMITED

MAX_SESSIONS_AS_GROUP

1-65534

115

SET_MAX_
SESSIONS_GROUP_
USER

GN、V1

グループの 1 つのユーザの最大セッション数を次のいずれか 1 つの値に設定します。

MAX_SESSIONS_UNLIMITED

1-65534

260

SET_QUOTA

VN、V1、
V2

ユーザまたはグループの割当量を設定します。

VN は割当量のタイプを定義します。有効な値は次のとおりです。

online time :V2 で定義された期間にネットワークへログインした秒数による割当量でユーザまたはグループを制限します。

sessions :V2 で定義された期間のネットワークでのセッション数による割当量でユーザまたはグループを制限します。

V1 は割当量を定義します。VN が sessions に設定された場合、V1 は V2 で定義された期間での最大セッション数となります。VN が online time に設定された場合、V1 は最大秒数となります。

V2 は割当量の期間を保持します。有効な値は次のとおりです。

QUOTA_PERIOD_DAILY :午前 12:01 から夜中の 12:00 までの 24 時間周期で割当量が適用されます。

QUOTA_PERIOD_WEEKLY :日曜日の午前 12:01 から土曜日の夜中の 12:00 までの 7 日周期で割当量が適用されます。

QUOTA_PERIOD_MONTHLY :月の朔日(1 日)の午前 12:01 から月の末日の夜中の 12:00 までの月次周期で割当量が適用されます。

QUOTA_PERIOD_ABSOLUTE :終了の設定がなく、継続して割当量が適用されます。

261

DISABLE_QUOTA

UN|GN、VN

グループまたはユーザの割当量をディセーブルにします。

VN は割当量のタイプを定義します。有効な値は次のとおりです。

online time :V2 で定義された期間にネットワークへログインした秒数による割当量でユーザまたはグループを制限します。

sessions :V2 で定義された期間のネットワークでのセッション数による割当量でユーザまたはグループを制限します。

262

RESET_COUNTERS

UN|GN

ユーザまたはグループの使用状況割当量カウンタをリセットします。

263

SET_QUOTA_APPLY_TYPE

V1

ユーザ グループの割当量か、またはユーザに固有の割当量のどちらでユーザの使用状況割当量を判別するかを定義します。V1 でこの仕様を設定します。V1 の有効な値は次のとおりです。

ASSIGNMENT_FROM_USER

ASSIGNMENT_FROM_GROUP

270

SET_DCS_TYPE

UN|GN、
VN、V1、オプションとして V2

グループまたはユーザのデバイス コマンド セット(DCS)許可タイプを設定します。

VN はサービスを定義します。有効なサービス タイプは次のとおりです。

shell :Cisco IOS シェル コマンド許可。

pixshell :Cisco PIX コマンド許可。


) 使用している Cisco Secure ACS に別の DCS タイプが追加されている場合は、TACACS+(Cisco IOS)の Interface Configuration ページで有効な値を確認できます。有効な値は、PIX Shell (pixshell) のように、サービス名に後続するカッコ内に表示されます。


V1 は設定のタイプを定義します。VN の有効な値は次のとおりです。

none :ユーザまたはグループに DCS を設定しません。

as group :この値はユーザだけに使用します。指定サービスのユーザの DCS 設定と、ユーザのグループ DCS 設定を同じにする必要があることを表します。

static :指定されたサービスのコマンド許可がイネーブルになっているすべてのデバイスのユーザまたはグループに DCS を設定します。

V1 が static に設定されているときは、所定のサービスのユーザまたはグループに割り当てる DCS の名前が含まれた V2 が必要です。

ndg :ユーザまたはグループに対するコマンド許可を NDG 単位で行うように指定します。アクション 271 を使用して、DCS をユーザまたはグループの NDG マッピングに追加します。


) ユーザまたはグループの設定タイプ(V1)を変更すると、NDG と DCS のマッピング(アクション 271 で定義)を含む以前のデータがクリアされます。


271

SET_DCS_NDG_MAP

UN|GN、
VN、V1、
V2

このアクション コードは、アクション コード 270 で指定した設定タイプが ndg である場合に、デバイス コマンド セットと NDG の間をマッピングするために使用します。

VN はサービスを定義します。有効なサービス タイプは次のとおりです。

shell :Cisco IOS シェル コマンド許可。

pixshell :Cisco PIX コマンド許可。


) 使用している Cisco Secure ACS に別の DCS タイプが追加されている場合は、TACACS+(Cisco IOS)の Interface Configuration ページで有効な値を確認できます。有効な値は、PIX Shell (pixshell) のように、サービス名に後続するカッコ内に表示されます。


V1 は NDG の名前を定義します。HTML インターフェイスに表示されている NDG の名前を使用してください。たとえば、「East Coast NASes」という名前の NDG が設定されており、アクション 271 を使用して DCS をその NDG に割り当てる場合は、V1 を「East Coast NASes」にする必要があります。

V2 は DCS の名前を定義します。HTML インターフェイスに表示されている DCS の名前を使用してください。たとえば、「Tier2 PIX Admin DCS」という名前の DCS が設定されており、アクション 271 を使用してその DCS を NDG に割り当てる場合は、V2 を「Tier2 PIX Admin DCS」にする必要があります。

アクセス フィルタの初期化および変更に使用するアクション コード

表 F-4 に、AAA クライアント アクセス フィルタの初期化および変更を行うアクション コードを示します。AAA クライアント アクセス フィルタを使用して、AAA クライアントへの Telnet アクセスを制御します。ダイヤル アクセス フィルタを使用して、ダイヤルアップ ユーザによるアクセスを制御します。

これらのコードを使用したトランザクションは、HTML インターフェイスの User Setup セクションと Group Setup セクションで表示される設定に影響を与えます。User Setup セクションの詳細については、 第7章「ユーザ管理」 を参照してください。Group Setup セクションの詳細については、 第6章「ユーザ グループ管理」 を参照してください。

 

表 F-4 アクセス フィルタの初期化および変更に使用するアクション コード

アクション コード
名前
必須
説明

120

INIT_NAS_ACCESS_
CONTROL

UN|GN、V1

AAA クライアントのアクセス フィルタ リストをクリアし、今後作成されるフィルタの許可/拒否を初期化設定します。V1 は、次のどちらか 1 つの値であることが必要です。

ACCESS_PERMIT

ACCESS DENY

121

INIT_DIAL_ACCESS_
CONTROL

UN|GN、V1

ダイヤルアップ アクセス フィルタ リストをクリアし、今後作成されるフィルタの許可/拒否を初期化設定します。V1 は、次のどちらか 1 つの値であることが必要です。

ACCESS_PERMIT

ACCESS DENY

122

ADD_NAS_ACCESS_
FILTER

UN|GN、V1

ユーザまたはグループの AAA クライアント フィルタを追加します。

V1 には、単一の(AAA クライアント名、AAA クライアント ポート、リモート アドレス、CLID)タプルが含まれている必要があります。たとえば、次のとおりです。

NAS01,tty0,0898-69696969

オプションとして AAA クライアント名を「All AAA clients」にすると、設定されたすべての AAA クライアントにフィルタが適用され、アスタリスク(*)にすると、すべてのポートにフィルタが適用されます。

123

ADD_DIAL_ACCESS_
FILTER

UN|GN、V1、V2

130

SET_TOKEN_CACHE_
SESSION

GN、V1

セッション全体のトークン キャッシングをイネーブル/ディセーブルにします。V1 は 0 = ディセーブル、1 = イネーブルです。

131

SET_TOKEN_CACHE_
TIME

GN、V1

トークンがキャッシュされる期間を設定します。V1 は、トークンがキャッシュされる秒単位の期間です。

140

SET_TODDOW_ACCESS

UN|GN、V1

アクセスが許可される期間を設定します。V1 には、168 文字の文字列が含まれます。各文字が、その週における 1 時間を表します。「1」は許可されている 1 時間を表し、「0」は拒否されている 1 時間を表します。このパラメータをユーザに対して指定しない場合は、グループでの設定が適用されます。デフォルトのグループ設定は、「111111111111」になります。

150

SET_STATIC_IP

UN、V1、V2

このユーザに対する(TACACS+ および RADIUS の)IP アドレス割り当てを設定します。

V1 には、次の形式の IP アドレスを保持します。

xxx.xxx.xxx.xxx

V2 は、次のいずれかの値であることが必要です。

ALLOC_METHOD_STATIC :V1 の IP アドレスは、xxx.xxx.xxx.xxx の形式でユーザに割り当てられます。

ALLOC_METHOD_NAS_POOL :V1 で指定された IP プール(AAA クライアント上で設定)がユーザに割り当てられます。

ALLOC_METHOD_AAA_POOL :V1 で指定された IP プール(AAA サーバ上で設定)がユーザに割り当てられます。

ALLOC_METHOD_CLIENT :ダイヤルイン クライアントは、その専用 IP アドレスを割り当てます。

ALLOC_METHOD_AS_GROUP :グループに対して設定された IP アドレスの設定が使用されます。

151

SET_CALLBACK_NO

UN|GN、V1

このユーザまたはグループのコールバック数を設定します(TACACS+ および RADIUS)。V1 は、次のいずれか 1 つである必要があります。

Callback number :AAA クライアントがコールバックする電話番号です。

none :コールバックはできません。

roaming :ダイヤルアップ クライアントがコールバック番号を決定します。

as group :グループで定義されたコールバックの文字列または方式を使用します。

TACACS+ と RADIUS のグループおよびユーザ設定の変更に使用するアクション コード

表 F-5 に、Cisco Secure ACS のグループとユーザについて、TACACS+ および RADIUS 設定の作成、変更、および削除を行うアクション コードを示します。Cisco Secure ACS に衝突するユーザおよびグループの設定がある場合は、常にユーザ設定がグループ設定に優先します。

これらのコードを使用したトランザクションは、HTML インターフェイスの User Setup セクションと Group Setup セクションで表示される設定に影響を与えます。User Setup セクションの詳細については、 第7章「ユーザ管理」 を参照してください。Group Setup セクションの詳細については、 第6章「ユーザ グループ管理」 を参照してください。

 

表 F-5 TACACS+ と RADIUS のグループおよびユーザ設定の変更に使用するアクション コード

アクション コード
名前
必須
説明

161

DEL_RADIUS_ATTR

UN|GN、VN、オプションとして V2、V3

グループまたはユーザの名前付き RADIUS アトリビュートを削除します。ここで、次を指定します。

VN = “Vendor-Specific”

V2 = IETF ベンダー ID

V3 = VSA アトリビュート ID

たとえば、Cisco IOS/PIX ベンダー ID と Cisco AV ペアを指定する場合は、次のようになります。

VN = "Vendor-Specific"
V2 = "9"
V3 = "1"

163

ADD_RADIUS_ ATTR

UN|GN、VN、V1、オプションとして V2、V3

名前付きアトリビュート(VN)にユーザまたはグループ(UN|GN)の値(V1)を追加します。たとえば、グループに対して IETF RADIUS Reply-Message アトリビュート(アトリビュート 18)を設定する場合は、次のようになります。

GN = "Group 1"
VN = "Reply-Message"
V1 = "Greetings"

また、ユーザに対して IETF RADIUS Framed-IP- Address アトリビュート(アトリビュート 9)を設定する場合は、次のようになります。

UN = "fred"
VN = "Framed-IP-Address"
V1 = "10.1.1.1"

ベンダー固有アトリビュート(VSA)を追加するには、VN =「Vendor-Specific」を設定し、V2 および V3 を次のように使用します。

V2 = IETF ベンダー ID

V3 = VSA アトリビュート ID

たとえば、Cisco IOS/PIX RADIUS cisco-av-pair アトリビュートを値「addr-pool=pool1」で追加する場合は、次のようになります。

VN="Vendor-Specific"
V1 = "addr-pool=pool1"
V2 = "9"
V3 = "1"

RADIUS のアトリビュート値は、次のいずれかです。

INTEGER

TIME

IP ADDRESS

STRING

170

ADD_TACACS_
SERVICE

UN|GN、VN、V1、V3、オプションとして V2

サービスをサービスのユーザまたはユーザ グループに対して許可します。例:

GN = "Group 1"
V1 = "ppp"
V2 = "ip"

または

UN = "fred"
V1 = "ppp"
V2 = "ip"

または

UN = "fred"
V1= "exec"

171

REMOVE_TACACS_
SERVICE

UN|GN、V1

オプションとして V2

サービスをサービスのユーザまたはユーザ グループに対して拒否します。例:

GN = "Group 1"
V1 = "ppp"
V2 = "ip"

または

UN = "fred"
V1 = "ppp"
V2 = "ip"

または

UN = "fred"
V1= "exec"

これは、サービスについて有効なアトリビュートのリセットも行います。

172

ADD_TACACS_ATTR

UN|GN、VN、V1、V3

オプションとして V2

サービス特有のアトリビュートを設定します。HTML インターフェイスまたはアクション 170 のいずれかを使用して、サービスがすでに許可されている必要があります。

GN = "Group 1"
VN = "routing"
V1 = "ppp"
V2 = "ip"
V3 = "true"

または

UN = "fred"
VN = "route"
V1 = "ppp"
V2 = "ip"
V3 = 10.2.2.2

173

REMOVE_TACACS_
ATTR

UN|GN、VN、V1

オプションとして V2

サービス特有のアトリビュートを削除します。

GN = "Group 1"
V1 = "ppp"
V2 = "ip"
VN = "routing"

または

UN = "fred"
V1 = "ppp"
V2 = "ip"
VN = "route"

174

ADD_IOS_
COMMAND

UN|GN、VN、V1

特定の Cisco IOS コマンドを許可し、コマンドに指定された引数が定義済みセットで検出されるか、または検出されないかを判別します。定義済みセットは、アクション 176 および 177 を使用して作成します。

GN = "Group 1"
VN = "telnet"
V1 = "permit"

または

UN = "fred"
VN = "configure"
V1 = "deny"

最初の例では、Group 1 のユーザに Telnet コマンドが許可されます。アクション 176 によって定義された引数と一致しない限り、任意の引数を Telnet コマンドに使用できます。

2 番目の例では、ユーザ fred に対して configure コマンドを許可していますが、指定された引数が一連のアクション 176 で定義されたフィルタによって許可されている場合に限ります。

175

REMOVE_IOS_
COMMAND

UN|GN、VN

ユーザまたはグループのコマンド許可を削除します。

GN = "Group 1"
VN = "telnet"

または

UN = "fred"
VN = "configure"

Group 1 のユーザは、Cisco IOS telnet コマンドを使用できなくなります。

ユーザ fred は、 configure コマンドを使用できなくなります。

176

ADD_IOS_
COMMAND_ARG

UN|GN、VN、V1、V2

VN に含まれている Cisco IOS コマンドについて許可または拒否されるコマンド ラインの引数セットを指定します。アクション 174 を使用してコマンドをすでに追加している必要があります。

GN = "Group 1"
VN = "telnet"
V1 = "permit"
V2 = "10.1.1.2"

または

UN = "fred"
VN = "show"
V1 = "deny"
V2 = "run"

最初の例では、Group 1 のどのユーザも引数 10.1.1.2 の telnet コマンドを使用できます。

2 番目の例では、ユーザ fred は Cisco IOS コマンド show run を発行できません。

177

REMOVE_IOS_
COMMAND_ARG

UN|GN、VN、V2

特定の Cisco IOS コマンド引数の許可エントリまたは拒否エントリを削除します。

GN = "Group 1"
VN = "telnet"
V2 = "10.1.1.1"

または

UN = "fred"
VN = "show"
V2 = "run"

178

SET_PERMIT_DENY_
UNMATCHED_IOS_
COMMANDS

UN|GN、V1

一致しない Cisco IOS コマンドの動作を設定します。デフォルトでは、アクション 174 および 175 を組み合せて定義されていない Cisco IOS コマンドはすべて拒否されます。発行された Cisco IOS コマンドで、コマンド/コマンド引数ペアのどれにも一致しないものが許可されるように、この特性を変更できます。

GN = "Group 1"
V1 = "permit"

または

UN = "fred"
V1 = "deny"

最初の例では、アクション 174 で定義されていないコマンドがすべて許可されます。

179

REMOVE_ALL_IOS_
COMMANDS

UN|GN

このアクションは、特定のユーザまたはグループに対して定義された Cisco IOS コマンドすべてを削除します。

210

RENAME_GROUP

GN、V1

既存のグループの名前を V 1 で指定された名前に変更します。

211

RESET_GROUP

GN

工場出荷時のデフォルト設定にグループをリセットします。

212

SET_VOIP

GN、V1

名前付きグループについて、Voice over IP(VoIP)のサポートをイネーブルまたはディセーブルにします。

GN = グループ名

V1 = ENABLE または DISABLE

ネットワーク設定の変更に使用するアクション コード

表 F-6 に、AAA クライアント、AAA サーバ、ネットワーク デバイス グループ、およびプロキシ テーブル エントリの追加を行うアクション コードを示します。これらのコードを使用したトランザクションは、HTML インターフェイスの Network Configuration セクションで表示される設定に影響を与えます。Network Configuration セクションの詳細については、 第4章「ネットワーク設定」 を参照してください。

 

表 F-6 ネットワーク設定の変更に使用するアクション コード

アクション コード
名前
必須
説明

220

ADD_NAS

VN、V1、V2、V3

IP アドレス(V1)、共有秘密キー(V2)、ベンダー(V3)を使用して、新しい AAA クライアント(VN で名前を指定)を追加します。有効なベンダーは、次のとおりです。

VENDOR_ID_IETF_RADIUS :IETF RADIUS の場合

VENDOR_ID_CISCO_RADIUS :Cisco IOS/PIX RADIUS の場合

VENDOR_ID_CISCO_TACACS :Cisco TACACS+ の場合

VENDOR_ID_ASCEND_RADIUS :Ascend RADIUS の場合

VENDOR_ID_ALTIGA_RADIUS :Cisco VPN 3000 RADIUS の場合

VENDOR_ID_COMPATIBLE_RADIUS :Cisco VPN 5000 RADIUS の場合

VENDOR_ID_AIRONET_RADIUS :Cisco Aironet RADIUS の場合

VENDOR_ID_NORTEL_RADIUS :Nortel RADIUS の場合

VENDOR_ID_JUNIPER_RADIUS :Juniper RADIUS の場合

VENDOR_ID_CBBMS_RADIUS :Cisco BBMS RADIUS の場合

例:

VN = AS5200-11
V1 = 192.168.1.11
V2 = byZantine32
V3 = VENDOR_ID_CISCO_RADIUS

221

SET_NAS_FLAG

VN、V1

名前付き AAA クライアント(VN)に対して、AAA クライアント単位のフラグ(V1)の 1 つを設定します。必要とされるフラグごとにこのアクションを 1 度使用します。AAA クライアント単位のフラグに有効な値は、次のとおりです。

FLAG_SINGLE_CONNECT

FLAG_LOG_KEEP_ALIVE

FLAG_LOG_TUNNELS

222

DEL_HOST

VN

名前付き AAA クライアント(VN)を削除します。

223

ADD_NAS_BY_IETF_
CODE

VN、V1、V2、V3

IP アドレス(V1)、共有秘密キー(V2)、ベンダーのエンタープライズ コード(V3)を使用して、新しい AAA クライアント(VN で名前を指定)を追加します。

230

ADD_AAA_SERVER

VN、V1、V2

IP アドレス(V1)、共有秘密キー(V2)を使用して新しい名前付き AAA サーバ(VN)を追加します。

231

SET_AAA_TYPE

VN、V1

サーバ(VN)に対応する AAA サーバのタイプを V1 の値に設定します。値は次のいずれかにする必要があります。

TYPE_ACS

TYPE_TACACS

TYPE_RADIUS

デフォルトは、AAA_SERVER_TYPE_ACS です。

232

SET_AAA_FLAG

VN、V1

名前付き AAA サーバ(VN)に対して、AAA クライアント単位のフラグ(V1)の 1 つを設定します。

FLAG_LOG_KEEP_ALIVE

FLAG_LOG_TUNNELS

必要とされるフラグごとにこのアクションを 1 度使用します。

233

SET_AAA_TRAFFIC_
TYPE

VN、V1

名前付き AAA サーバ(VN)に対して、適切なトラフィック タイプ(V1)を設定します。

TRAFFIC_TYPE_INBOUND

TRAFFIC_TYPE_OUTBOUND

TRAFFIC_TYPE_BOTH

デフォルトは TRAFFIC_TYPE_BOTH です。

234

DEL_AAA_SERVER

VN

名前付き AAA サーバ(VN)を削除します。

240

ADD_PROXY

VN、V1、V2、V3

マークアップ タイプ(V1)、ストリップ マークアップ フラグ(V2)およびアカウンティング フラグ(V3)を使用して、新しいプロキシ マークアップ(VN)を追加します。

マークアップ タイプ(V1)は、次のどちらか 1 つにする必要があります。

MARKUP_TYPE_PREFIX

MARKUP_TYPE_SUFFIX

転送前にマークアップをユーザ名から削除する必要がある場合は、マークアップ ストリップ フラグを TRUE にしてください。

アカウンティング フラグ(V3)は、次のいずれか 1 つにする必要があります。

ACCT_FLAG_LOCAL

ACCT_FLAG_REMOTE

ACCT_FLAG_BOTH

241

ADD_PROXY_
TARGET

VN、V1

名前が指定されたプロキシ マークアップ(VN)にホスト名(V1)を追加します。ホストは、すでに Cisco Secure ACS 上で設定されている必要があります。


) プロキシ ターゲットが追加される順番で、プロキシの検索順が設定されます。最初に追加されたターゲットが、最初にプロキシされるターゲットになります。順序を変更するには、HTML を必ず使用してください。


242

DEL_PROXY

VN

名前付きプロキシ マークアップ(VN)を削除します。

250

ADD_NDG

VN

名前付き(VN)ネットワーク デバイス グループ(NDG)を作成します。

251

DEL_NDG

VN

名前付き NDG を削除します。

252

ADD_HOST_TO_
NDG

VN、V1

名前付き AAA クライアントまたは AAA サーバ(VN)に NDG(V1)を追加します。

270

SET_DCS_
ASSIGNMENT

--

--

271

ADD_NDG_TO_DCS_
MAPPING

--

--

300

RESTART_PROTO_
MODULES

--

CSRadius サービスおよび CSTacacs サービスを再起動して、新しい設定を適用します。

350

ADD_UDV

VN、V1、V2

Cisco Secure ACS ベンダー データベースに RADIUS ベンダーを追加します。この方法により Cisco Secure ACS に追加されたベンダーは、ユーザ定義済みベンダー(UDV)と呼ばれます。

VN にはベンダーの名前が格納されます。


) Cisco Secure ACS は、Variable Name フィールドに入力されている名前に「RADIUS(...)」を追加します。たとえば、「MyCo」という名前を入力すると、Cisco Secure ACS により HTML インターフェイスで「RADIUS (MyCo)」が表示されます。


V1 には、ユーザ定義のベンダー スロット番号、つまり AUTO_ASSIGN_SLOT が含まれます。Cisco Secure ACS には、0 ~ 9 までの番号を使用する 10 個のベンダー スロットがあります。AUTO_ASSIGN_SLOT を指定すると、Cisco Secure ACS によりベンダーで次に利用可能なスロットが選択されます。


) Cisco Secure ACS 間で UDV を複製する場合には、両方の Cisco Secure ACS 上の同じスロット番号に UDV を割り当てる必要があります。


V2 には、ベンダーに IANA が割り当てたエンタープライズ コードが含まれます。

351

DEL_UDV

V1

V1 で指定されている IETF コードを持つベンダーと定義済み VSA を削除します。


) アクション コード 351 では、Cisco Secure ACS のグループまたはユーザに割り当てられている VSA のインスタンスは削除されません。Cisco Secure ACS に、V1 で指定されている UDV を使用して設定された AAA クライアントがある場合には、削除操作は失敗します。


352

ADD_VSA

VN、V1、V2、V3

V1 でベンダー IETF コードによって指定されているベンダーに新しい VSA を追加します。

VN は VSA 名です。ベンダー名が MyCo でアトリビュートがグループ ID に割り当てられている場合には、ベンダー名または省略形をすべての VSA の先頭に付けることを推奨します。たとえば、VSA は「MyCo-Assigned-Group-Id」のようになります。


) VSA 名は、ベンダーに対しても Cisco Secure ACS ディクショナリに対しても一意である必要があります。たとえば、
「MyCo-Framed-IP-Address」は可能ですが、「Framed-IP-Address」は許容されません。それは「Framed-IP-Address」が 8 RADIUS アトリビュートの IETF アクション コード 8 によって使用されるからです。


V2 は VSA 番号です。これは 0 ~ 255 の範囲内でなければなりません。

V3 は、次のいずれか 1 つの値をとる VSA タイプです。

INTEGER

STRING

IPADDR

デフォルトでは、VSA は送信(または許可)アトリビュートであることが想定されています。VSA が複数インスタンスであるか、またはアカウンティング メッセージで使用される場合には、SET_VSA_PROFILE(アクション コード 353)を使用します。

353

SET_VSA_PROFILE

V1、V2、V3

VSA の受信/発信プロファイルを設定します。プロファイルで指定される使用状況は、アカウントの場合は「IN」、許可の場合は「OUT」、または RADIUS メッセージごとに複数インスタンスが許可される場合には「MULTI」になります。これらを組み合せることもできます。

V1 にはベンダー IETF コードが含まれています。

V2 には VSA 番号が含まれています。

V3 には、次のいずれかのプロファイルが含まれています。

IN
OUT
IN OUT
MULTI OUT
MULTI IN OUT

354

ADD_VSA_ENUM

VN、V1、V2、V3

VSA アトリビュートが列挙されている場合は、意味のある列挙値を設定します。Cisco Secure ACS HTML インターフェイスの User Setup セクションに、列挙型文字列が一覧表示されます。

VN には VSA Enum Name が含まれています。

V1 にはベンダー IETF コードが含まれています。

V2 には VSA 番号が含まれています。

V3 には VSA Enum Value が含まれています。

例:

VN = Disabled
V1 = 9034
V2 = MyCo-Encryption
V3 = 0

または

VN = Enabled
V1 = 9034
V2 = MyCo-Encryption
V3 = 1

355

ADOPT_NEW_UDV_
OR_VSA

--

CSAdmin、CSRadius、および CSLog の各サービスを再起動します。これらのサービスを再起動してからでないと、新しい UDV または VSA は使用できません。

Cisco Secure ACS アトリビュートとアクション コード

この項では、逆引きの参照を示すことによって前の項を補足します。この項のトピックには、Cisco Secure ACS アトリビュート、そのデータ型と制限、および Cisco Secure ACS アトリビュートで動作する使用可能なアクション コードの表があります。

この項では、次のトピックについて取り上げます。

「ユーザ固有アトリビュート」

「ユーザ定義アトリビュート」

「グループ固有アトリビュート」

ユーザ固有アトリビュート

表 F-7 に、Cisco Secure ACS ユーザを定義するアトリビュートを示します。これには、データ型、制限、およびデフォルト値が含まれます。また、accountActions で使用することで、各アトリビュートに影響を与えるアクション コードも示します。使用できるアクションが多数ある場合でも、ユーザの追加に必要なトランザクションは ADD_USER だけです。ほかのユーザ アトリビュートについては、デフォルト値のまま使用できます。NULL は単にブランクの文字列ではなく、値が設定されない、つまり値が処理されないことを意味します。一部の機能は、値が割り当てられている場合に限り処理されます。アクション コードの詳細については、「アクション コード」を参照してください。

 

表 F-7 ユーザ固有アトリビュート

アトリビュート
アクション
論理型
制限
デフォルト

Username

100、101

String

1 ~ 64 文字

--

ASCII/PAP Password

100、102

String

4 ~ 32 文字

ランダム文字列

CHAP Password

103

String

4 ~ 32 文字

ランダム文字列

Outbound CHAP Password

104

String

4 ~ 32 文字

NULL

TACACS+ Enable Password

105

文字列パスワード

4 ~ 32 文字

NULL

Integer privilege level

0 ~ 15 文字

NULL

Group

106

String

0 ~ 100 文字

“Default Group”

Password Supplier

107

Enum

表 F-3 を参照してください。

LIBRARY_CSDB

Password Type

108

Enum

表 F-3 を参照してください。

PASS_TYPE_CSCB(パスワードはクリアテキスト PAP)

Password Expiry Status

109、110

ビット処理 Enum

表 F-3 を参照してください。

PASS_STATUS_
NEVER(有効期限が満了しない)

Expiry Data

112、113

Short wrong max/current

0-32、767

--

Expiry date

--

--

Max Sessions

114

符号なしショート

0-65535

MAX_SESSIONS_AS_GROUP

TODDOW Restrictions

140

String

168 文字

111111111111

NAS Access Control

120、122

ブール イネーブル

T/F

NULL

Bool permit/deny

T/F

ACL String( 表 F-4 を参照)。

0 ~ 31KB

Dial-Up Access Control

121、123

ブール イネーブル

T/F

NULL

Bool permit/deny

T/F

NULL

ACL String( 表 F-4 を参照)。

0 ~ 31KB

NULL

Static IP Address

150

Enum スキーム

表 F-4 を参照)。

クライアント

String IP/Pool name

0 ~ 31KB

NULL

Callback Number

151

String

0 ~ 31KB

NULL

TACACS Attributes

160、162

フォーマット化文字列

0 ~ 31KB

NULL

RADIUS Attributes

170、173

フォーマット化文字列

0 ~ 31KB

NULL

UDF 1

1、2

文字列リアル名

0 ~ 31KB

NULL

UDF 2

1、2

文字列記述

0 ~ 31KB

NULL

UDF 3

1、2

String

0 ~ 31KB

NULL

UDF 4

1、2

String

0 ~ 31KB

NULL

UDF 5

1、2

String

0 ~ 31KB

NULL

ユーザ定義アトリビュート

ユーザ定義アトリビュート(UDA)は、社会保障番号、部門名、電話番号など、すべての任意のデータを含めることができる文字列です。ユーザ アクティビティに関するアカウンティング ログに UDA を含めるように Cisco Secure ACS を設定できます。UDA 設定の詳細については、「ユーザ データの設定オプション」を参照してください。

RDBMS 同期化機能では、SET_VALUE アクション(コード 1)を使用して UDA を設定し、「USER_DEFINED_FIELD_0」または「USER_DEFINED_FIELD_1」という値を作成できます。UDA の値を定義する accountActions 行については、AppId(AI)フィールドに「APP_CSAUTH」を含め、Value2(V2)フィールドに「TYPE_STRING」を含める必要があります。

表 F-8 に、UDA を定義するデータ フィールドを示します。アクション コードの詳細については、「アクション コード」を参照してください。

 

表 F-8 ユーザ定義アトリビュート

Action
Username(UN)
ValueName(VN)
Value1(V1)
Value2(V2)
AppId(AI)

1

fred

USER_DEFINED_
FIELD_0

SS123456789

TYPE_STRING

APP_CSAUTH

1

fred

USER_DEFINED_
FIELD_1

Engineering

TYPE_STRING

APP_CSAUTH

1

fred

USER_DEFINED_
FIELD_2

949-555-1111

TYPE_STRING

APP_CSAUTH


) 3 つ以上の UDA が作成された場合は、最初の 2 つだけがアカウンティング ログに渡されます。


グループ固有アトリビュート

表 F-9 に、Cisco Secure ACS グループを定義するアトリビュートを示します。ここには、データ型、制限、およびデフォルト値が含まれます。また、accountActions テーブルで使用すると、各フィールドに影響があるアクション コードも示します。アクション コードの詳細については、「アクション コード」を参照してください。

 

表 F-9 グループ固有アトリビュート

アトリビュート
アクション
論理型
制限
デフォルト

Max Sessions

114

符号なしショート

0-65534

MAX_SESSIONS_
UNLIMITED

Max Sessions for user of group

115

符号なしショート

0-65534

MAX_SESSIONS_
UNLIMITED

Token caching for session

130

ブール

T/F

NULL

Token caching for duration

131

秒単位の整数時間

0-65535

NULL

TODDOW Restrictions

140

String

168 文字

111111111111

NAS Access Control

120、122

ブール イネーブル

T/F

NULL

Bool permit/deny

T/F

ACL String( 表 F-4 を参照)。

0 ~ 31KB

Dial-Up Access Control

121、123

ブール イネーブル

T/F

NULL

Bool permit/deny

T/F

NULL

ACL String( 表 F-4 を参照)。

0 ~ 31KB

NULL

Static IP Address

150

Enum スキーム

表 F-4 を参照)。

クライアント

String IP/Pool name

0 ~ 31KB

NULL

TACACS Attributes

160、162

フォーマット化文字列

0 ~ 31KB

NULL

RADIUS Attributes

170、173

フォーマット化文字列

0 ~ 31KB

NULL

VoIP Support

212

ブール ディセーブル

T/F

NULL

accountActions の例

表 F-10 は、「アクション コード」で説明したいくつかのアクション コードを含む accountActions のインスタンス例です。最初にユーザ「fred」が作成され、それとともに特権レベル 10 の TACACS_ イネーブル パスワードを含むパスワードが作成されます。Fred は「Group 2」に割り当てられます。このアカウントは、1999 年 12 月 31 日を過ぎるか、または 10 回認証に失敗すると期限満了になります。Group 2 のアトリビュートには時間帯および曜日のアクセス制限、トークン キャッシング、およびいくつかの RADIUS アトリビュートが含まれています。


) この例では、すべての accountActions テーブルに表示される列がいくつか省略されています。省略されている列は、Sequence ID(SI)、Priority(P)、DateTime(DT)、および MessageNo(MN)です。


 

表 F-10 accountActions テーブルの例

Action
User name(UN)
Group Name(GN)
Value Name(VN)
Value1(V1)
Value2(V2)
Value3(V3)
AppId(AI)

100

fred

--

--

fred

--

--

--

102

fred

--

--

freds_password

--

--

--

103

fred

--

--

freds_chap_
password

--

--

--

104

fred

--

--

freds_outbound_
password

--

--

--

105

fred

--

--

freds_enable_
password

10

--

--

106

fred

Group 2

--

--

--

--

--

150

fred

--

--

123.123.123.123

--

--

--

151

fred

--

--

01832-123900

--

--

--

109

fred

--

--

PASS_STATUS_
NEVER

--

--

--

110

fred

--

--

PASS_STATUS_
WRONG

--

--

--

110

fred

--

--

PASS_STATUS_
EXPIRES

--

--

--

112

fred

--

--

10

--

--

--

113

fred

--

--

19991231

--

--

--

114

fred

--

--

50

--

--

--

115

fred

--

--

50

--

--

--

120

fred

--

--

ACCESS_PERMIT

--

--

--

121

fred

--

--

ACCESS_DENY

--

--

--

122

fred

--

--

NAS01、tty0、01732-975374

--

--

--

123

fred

--

--

01732-975374、01622-123123

CLID/
DNIS

--

--

1

fred

--

USER_
DEFINED_FIELD_0

Fred Jones

TYPE_
STRING

--

APP_
CSAUTH

140

--

Group 2

--

[168 個の 1 から成る文字列]

--

--

--

130

--

Group 2

--

DISABLE

--

--

--

131

--

Group 2

--

61

--

--

--

163

--

Group 2

Reply-
Message

Welcome to Your Internet Service

--

--

--

163

--

Group 2

Vendor-
Specific

addr-pool=pool2

9

1

--