Cisco Secure ACS ユーザ ガイド Windows 版 Version 3.3
共有プロファイル コンポーネ ント
共有プロファイル コンポーネント
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

共有プロファイル コンポーネント

共有プロファイル コンポーネントについて

ネットワーク アクセス フィルタ

ネットワーク アクセス フィルタについて

ネットワーク アクセス フィルタの追加

ネットワーク アクセス フィルタの編集

ネットワーク アクセス フィルタの削除

ダウンロード可能 IP ACL

ダウンロード可能 IP ACL について

ダウンロード可能 IP ACL の追加

ダウンロード可能 IP ACL の編集

ダウンロード可能 IP ACL の削除

ネットワーク アクセス制限

ネットワーク アクセス制限について

IP ベースの NAR フィルタについて

非 IP ベースの NAR フィルタについて

共有ネットワーク アクセス制限の追加

共有ネットワーク アクセス制限の編集

共有ネットワーク アクセス制限の削除

コマンド許可セット

コマンド許可セットについて

コマンド許可セットの説明

コマンド許可セットの割り当て

大文字小文字の区別とコマンド許可

引数とコマンド許可

パターン マッチングについて

コマンド許可セットの追加

コマンド許可セットの編集

コマンド許可セットの削除

共有プロファイル コンポーネント

この章では、Cisco Secure ACS Windows サーバの機能に重点を置いて説明します。この機能は、HTML インターフェイスの Shared Profile Components セクションに表示されます。

この章は、次の項で構成されています。

「共有プロファイル コンポーネントについて」

「ネットワーク アクセス フィルタ」

「ダウンロード可能 IP ACL」

「ネットワーク アクセス制限」

「コマンド許可セット」

共有プロファイル コンポーネントについて

管理者は、Shared Profile Components セクションを使用して、再利用可能な許可コンポーネントの共有セットを作成および命名できます。このセットは、ユーザまたはユーザ グループに適用でき、ユーザのプロファイル内の名前で参照されます。共有セットには、Network Access Filter(NAF; ネットワーク アクセス フィルタ)、ダウンロード可能 IP Access Control List(ACL; アクセス コントロール リスト)、Network Access Restriction(NAR; ネットワーク アクセス制限)、およびコマンド許可セットが含まれています。

Shared Profile Components セクションでは、選択的な許可のスケーラビリティに重点が置かれています。共有プロファイル コンポーネントは、一度設定すると多数のユーザまたはグループに適用できます。この機能を使用しない場合、柔軟かつ総合的な許可を実現できる方法は、各デバイスで各ユーザ グループの許可を明示的に設定する方法だけです。これらの名前付き共有プロファイル コンポーネント(ダウンロード可能 IP ACL、NAF、NAR、およびコマンド許可セット)を作成して適用すると、ネットワーク アクセス パラメータを定義するときに、デバイスやコマンドの長いリストを繰り返し入力する必要がなくなります。

ネットワーク アクセス フィルタ

この項では、NAF について説明し、その作成と管理の手順を示します。

この項では、次のトピックについて取り上げます。

「ネットワーク アクセス フィルタについて」

「ネットワーク アクセス フィルタの追加」

「ネットワーク アクセス フィルタの編集」

「ネットワーク アクセス フィルタの削除」

ネットワーク アクセス フィルタについて

NAF は、次のネットワーク要素を 1 つ以上組み合せた名前付きグループです。

IP アドレス

AAA クライアント(ネットワーク デバイス)

ネットワーク デバイス グループ(NDG)

ユーザがネットワークのアクセスに使用する可能性のある AAA クライアントに基づき、NAF を使用してダウンロード可能 IP ACL または NAR を指定すると、各 AAA クライアントを明示的にリストする手間が省けます。

ダウンロード可能 IP ACL の NAF :特定の ACL コンテンツと NAF を関連付けることができます。ダウンロード可能 IP ACL は、単一の NAF または「All-AAA-Clients」(デフォルト)のいずれかに関連付けられた 1 つ以上の ACL コンテンツ(ACL 定義のセット)で構成されています。この NAF と ACL コンテンツの組み合せにより、Cisco Secure ACS は、アクセス要求を行う AAA クライアントの IP アドレスを使用してダウンロードされる ACL コンテンツを判別できます。ダウンロード可能 IP ACL の NAF の使用方法の詳細については、「ダウンロード可能 IP ACL について」を参照してください。

共有ネットワーク アクセス制限の NAF :ユーザ アクセスが許可または拒否される AAA クライアントを共有 NAR がリストするように指定する重要な部分です。共有 NAR を構成するすべての AAA クライアントをリストするのではなく、個別の AAA クライアントの代わりに、または個別の AAA クライアントと組み合せて、1 つ以上の NAF を簡単にリストすることができます。共有 NAR の NAF の使用方法の詳細については、「ネットワーク アクセス制限について」を参照してください。


ヒント 共有 NAR には、NDG と NAF のいずれか、または両方を含めることができます。また、NAF には、1 つ以上の NDG を含めることができます。


NDG、ネットワーク デバイス(AAA クライアント)、または IP アドレスの任意の組み合せを含む NAF を追加することができます。これらのネットワーク デバイスまたは NDG を選択可能にするには、事前にそれらを Cisco Secure ACS に設定しておく必要があります。

NAF を構成するネットワーク要素は、任意の順番に配置することができます。最高のパフォーマンスを得るには、最も広く使用される要素を Selected Items リストの先頭に配置します。たとえば、大多数のユーザが NDG の「アカウンティング」を介してネットワークにアクセスすると同時に、IP アドレス 205.205.111.222 を持つ単一のテクニカル サポート AAA クライアントへのアクセスが許可されている NAF では、ネットワーク要素のリストで NDG を最初に(より上位に)リストすると、すべての NAF メンバーに対して、特定の IP アドレスに関する検査を実行する必要がなくなります。

ネットワーク アクセス フィルタの追加

NAF を追加するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。

Shared Profile Components ページが表示されます。

ステップ 2 Network Access Filtering をクリックします。

Network Access Filtering テーブル ページが表示されます。


ヒント Shared Profile Components ページに Network Access Filtering が表示されず選択できない場合は、Interface Configuration セクションの Advanced Options ページで Network Access Filtering をイネーブルにする必要があります。

ステップ 3 Add をクリックします。

Network Access Filtering 編集ページが表示されます。

ステップ 4 Name ボックスに、新しいネットワーク アクセス フィルタの名前を入力します。


) NAF の名前には、最大で 31 文字まで使用できます。スペースは使用できません。名前には、次の 10 個の文字は使用できません。
[ ] , / -- - " ‘ > <


ステップ 5 Description ボックスに、新しいネットワーク アクセス フィルタの説明を入力します。

ステップ 6 必要に応じて、NAF 定義にネットワーク要素を追加します。

a. NAF 定義に NDG を追加するには、Network Device Groups ボックスで NDG を選択してから、 --> (右矢印ボタン)をクリックして、選択した NDG を Selected Items ボックスに移動します。

b. NAF 定義に AAA クライアントを追加するには、Network Device Groups ボックスで該当する NDG を選択してから、Network Devices ボックスで追加する AAA クライアントを選択します。最後に、 --> (右矢印ボタン)をクリックして、選択した AAA クライアントを Selected Items ボックスに移動します。


ヒント NDG を使用している場合は、AAA クライアントが属している NDG を選択したときに限り、AAA クライアントが Network Devices ボックスに表示されます。NDG を使用していない場合は、事前に NDG を選択することなく Network Devices ボックスから AAA クライアントを選択できます。

c. NAF 定義に IP アドレスを追加するには、IP Address ボックスに IP アドレスを入力します。 --> (右矢印ボタン)をクリックして、入力した IP アドレスを Selected Items ボックスに移動します。


) ワイルドカード(*)を使用すると、IP アドレスの範囲を指定できます。


ステップ 7 項目の順序が適切であることを確認します。項目の順序を変更するには、Selected Items ボックスで項目の名前をクリックしてから、 Up または Down をクリックして、適切な位置にその項目を移動します。


ヒント 項目を選択してから <--(左矢印ボタン)をクリックしてリストから項目を削除することにより、Selected Items ボックスから項目を削除することもできます。

ステップ 8 NAF を保存してすぐに適用するには、 Submit + Restart をクリックします。


ヒント NAF を保存して後で適用するには、Submit をクリックします。変更を実装する準備ができたら、System Configuration をクリックし、次に Service Control をクリックしてから、Restart をクリックします。


) サービスを再開すると、Logged-in User レポートが消去され、すべての Cisco Secure ACS サービスが一時的に中断されます。これによって、最大セッション カウンタが影響を受け、ゼロにリセットされます。


Network Access Filtering テーブル ページが表示され、新しい NAF の名前と説明が示されます。


 

ネットワーク アクセス フィルタの編集

NAF を編集するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。

Shared Profile Components ページが表示されます。

ステップ 2 Network Access Filtering をクリックします。

Network Access Filtering テーブルが表示されます。

ステップ 3 Name カラムで、編集する NAF をクリックします。

Network Access Filter ページに、選択した NAF に関する情報が表示されます。

ステップ 4 NAF の名前または説明を編集するには、必要に応じて情報を入力および削除します。


注意 NAF の名前を変更して、その NAF への既存の参照をすべて無効にした場合、その NAF を使用する NAR またはダウンロード可能 ACL に関連付けられたユーザまたはグループのアクセスが影響を受ける可能性があります。

ステップ 5 NAF 定義に NDG を追加するには、Network Device Groups ボックスで追加する NDG を選択してから、 --> (右矢印ボタン)をクリックして、選択した NDG を Selected Items ボックスに移動します。

ステップ 6 NAF 定義に AAA クライアントを追加するには、Network Device Groups ボックスで該当する NDG を選択してから、Network Devices ボックスで追加する AAA クライアントを選択します。 --> (右矢印ボタン)をクリックして、選択した AAA クライアントを Selected Items ボックスに移動します。


ヒント NDG を使用していない場合は、最初に Network Devices ボックスで AAA クライアントを選択します。

ステップ 7 NAF 定義に IP アドレスを追加するには、 IP Address ボックスで追加する IP アドレスを入力してから、 --> (右矢印ボタン)をクリックして、入力した IP アドレスを Selected Items ボックスに移動します。

ステップ 8 IP アドレスを編集するには、Selected Items ボックスで IP アドレスを選択してから、 <-- (左矢印ボタン)をクリックして、選択した IP アドレスを IP Address ボックスに移動します。IP アドレスへの変更を入力したら、 --> (右矢印ボタン)をクリックして、その IP アドレスを Selected Items ボックスに戻します。

ステップ 9 Selected Items ボックスから要素を削除するには、項目を選択してから、 <-- (左矢印ボタン)をクリックして、項目を削除します。

ステップ 10 項目の順序を変更するには、Selected Items ボックスで項目の名前をクリックしてから、 Up または Down をクリックして、適切な位置にその項目を移動します。NAF の順序を変更する方法の詳細については、「ネットワーク アクセス フィルタについて」を参照してください。

ステップ 11 NAF への変更を保存してすぐに適用するには、 Submit + Restart をクリックします。


ヒント NAF を保存して後で適用するには、Submit をクリックします。変更を実装する準備ができたら、System Configuration をクリックし、次に Service Control をクリックしてから、Restart をクリックします。


) サービスを再開すると、Logged-in User レポートが消去され、すべての Cisco Secure ACS サービスが一時的に中断されます。これによって、最大セッション カウンタが影響を受け、ゼロにリセットされます。


Cisco Secure ACS によって新しい情報の NAF が再入力され、すぐに有効となります。


 

ネットワーク アクセス フィルタの削除

始める前に

NAF を削除する前に、その NAF を使用するすべての NAR またはダウンロード可能 IP ACL との関連付けを削除する必要があります。この処理を実行しないと、削除された NAF を参照する NAR またはダウンロード可能 IP ACL がすべて誤って設定され、エラーの原因となります。

NAF を削除するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Access Filtering をクリックします。

Network Access Filtering テーブル ページが表示されます。

ステップ 2 削除する NAF の名前をクリックします。

Network Access Filtering 編集ページが表示されます。

ステップ 3 Delete をクリックしてから、削除することを確認するために OK をクリックします。

Network Access Filtering テーブル ページが表示され、テーブルから削除された NAF の名前と説明が示されます。


 

ダウンロード可能 IP ACL

この項では、ダウンロード可能 ACL について説明した後で、その設定と管理について詳述します。

この項では、次のトピックについて取り上げます。

「ダウンロード可能 IP ACL について」

「ダウンロード可能 IP ACL の追加」

「ダウンロード可能 IP ACL の編集」

「ダウンロード可能 IP ACL の削除」

ダウンロード可能 IP ACL について

ダウンロード可能 IP ACL を使用すると、多数のユーザまたはユーザ グループに適用可能な ACL 定義のセットを作成できます。これらの ACL 定義のセットは、ACL コンテンツと呼ばれます。また、NAF を組み込むことによって、ユーザがアクセスを求めている AAA クライアントに送信された ACL コンテンツを制御できます。つまり、ダウンロード可能 IP ACL は 1 つ以上の ACL コンテンツ定義で構成され、各定義は NAF と関連付けられるか、または(デフォルトで)すべての AAA クライアントに関連付けられます(NAF は、AAA クライアントの IP アドレスに基づいて指定された ACL コンテンツの適用を制御します。NAF の詳細、および NAF によるダウンロード可能 IP ACL の調整方法の詳細については、「ネットワーク アクセス フィルタについて」を参照してください)。

ダウンロード可能 IP ACL は、次のように動作します。

1. Cisco Secure ACS は、ネットワークへのユーザ アクセスを許可する場合、ダウンロード可能 IP ACL がそのユーザまたはそのユーザのグループに割り当てられているかどうかを判別します。

2. Cisco Secure ACS は、ユーザまたはユーザのグループに割り当てられたダウンロード可能 IP ACL を確認する場合、RADIUS 認証要求を送信した AAA クライアントに関連付けられた ACL コンテンツ エントリが存在するかどうかを判別します。

3. Cisco Secure ACS は、ユーザ セッションの RADIUS アクセス受付パケットの一部として、名前付き ACL および名前付き ACL のバージョンを指定するアトリビュートを送信します。

4. AAA クライアントが、現行バージョンの ACL がキャッシュにない(つまり、ACL が新しいか、変更されている)と応答すると、Cisco Secure ACS は新しい ACL またはアップデートされた ACL をデバイスに送信します。

また、各ユーザまたはユーザ グループの RADIUS Cisco cisco-av-pair アトリビュート [26/9/1] に ACL を設定する代わりに、ダウンロード可能 IP ACL を使用することもできます。ダウンロード可能 IP ACL を一度作成し、名前を付けます。次に、その名前を参照して、該当するユーザまたはユーザ グループそれぞれにダウンロード可能 IP ACL を割り当てます。ユーザまたはユーザ グループごとに RADIUS Cisco cisco-av-pair アトリビュートを設定するよりも、このほうが効率的です。

さらに、NAF を使用することにより、同じユーザまたはユーザのグループに対して、使用している AAA クライアントに応じて異なる ACL コンテンツを適用できます。Cisco Secure ACS からダウンロード可能 IP ACL を使用するように AAA クライアントを設定すれば、それ以外に AAA クライアントを設定する必要はありません。ダウンロード可能 ACL は、確立されているバックアップ方式または複製方式によって保護されます。

Cisco Secure ACS HTML インターフェイスで ACL 定義を入力する場合は、キーワードと名前のエントリは使用しません。その他すべてについては、ダウンロード可能 IP ACL の適用先となる AAA クライアントに対する標準 ACL コマンド構文と意味を使用します。Cisco Secure ACS に入力する ACL 定義は、1 つまたは複数の ACL コマンドから成ります。各コマンドはそれぞれ別の行に入力されます。

ダウンロード可能 IP ACL には、名前付き ACL コンテンツを 1 つ以上追加できます。デフォルトで、各 ACL コンテンツはすべての AAA クライアントに適用されます。ただし、NAF を定義している場合は、関連付ける NAF にリストされた AAA クライアントへの各 ACL コンテンツの適用を制限できます。つまり、NAF を使用することにより、単一のダウンロード可能 IP ACL 内で、ネットワーク セキュリティ計画に応じて複数の異なるネットワーク デバイスまたはネットワーク デバイス グループに各 ACL コンテンツを適用することができます。NAF の詳細については、「ネットワーク アクセス フィルタについて」を参照してください。

また、ダウンロード可能 IP ACL 内にリストされた ACL コンテンツの順序を変更することもできます。Cisco Secure ACS は、テーブルの先頭から ACL コンテンツの検査を開始して、使用されている AAA クライアントを含む NAF で 最初に 見つかった ACL コンテンツをダウンロードします。順序を設定する際には、最も広く適用できる ACL コンテンツをリストの上位に配置することによって、システム効率を確保する必要があります。ただし、部分的に重複する AAA クライアントが NAF に含まれている場合には、具体的な ACL コンテンツから一般的な ACL コンテンツの順に配置しなければならないということも認識する必要があります。たとえば、Cisco Secure ACS は、「All-AAA-Clients」の NAF 設定に関連付けられた ACL コンテンツをすべてダウンロードし、リスト内のそれよりも下位の ACL コンテンツはすべて無視します。

特定の AAA クライアントでダウンロード可能 IP ACL を使用するには、次の要件を満たす必要があります。

AAA クライアントは認証に RADIUS を使用すること

AAA クライアントはダウンロード可能 IP ACL をサポートしていること

ダウンロード可能 IP ACL をサポートする Cisco デバイスの例を次に示します。

PIX Firewall

VPN 3000 シリーズ Concentrator

IOS バージョン 12.3(8)T 以降を実行している Cisco デバイス

ACL Definitions ボックスで PIX Firewall ACL の入力に使用する必要がある形式の例を次に示します。

permit tcp any host 10.0.0.254
permit udp any host 10.0.0.254
permit icmp any host 10.0.0.254
permit tcp any host 10.0.0.253
 

ACL Definitions ボックスで VPN 3000 ACL の入力に使用する必要がある形式の例を次に示します。

permit ip 10.153.0.0 0.0.255.255 host 10.158.9.1
permit ip 10.154.0.0 0.0.255.255 10.158.10.0 0.0.0.255
permit 0 any host 10.159.1.22
deny ip 10.155.10.0 0.0.0.255 10.159.2.0 0.0.0.255 log
permit TCP any host 10.160.0.1 eq 80 log
permit TCP any host 10.160.0.2 eq 23 log
permit TCP any host 10.160.0.3 range 20 30
permit 6 any host HOSTNAME1
permit UDP any host HOSTNAME2 neq 53
deny 17 any host HOSTNAME3 lt 137 log
deny 17 any host HOSTNAME4 gt 138
deny ICMP any 10.161.0.0 0.0.255.255 log
permit TCP any host HOSTNAME5 neq 80

ACL 定義の詳細については、デバイス コンフィギュレーション ガイドのコマンド リファレンスを参照してください。

ダウンロード可能 IP ACL の追加

始める前に

ダウンロード可能 IP ACL で使用する NAF をすべて設定しておく必要があります。

ダウンロード可能 IP ACL を追加するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。

Shared Profile Components ページが表示されます。

ステップ 2 Downloadable IP ACLs をクリックします。


ヒント Downloadable IP ACLs が Shared Profile Components ページに表示されない場合は、Interface Configuration セクションの Advanced Options ページで、User-Level Downloadable ACLs オプションまたは Group-Level Downloadable ACLs オプション、あるいはその両方をイネーブルにする必要があります。

ステップ 3 Add をクリックします。

Downloadable IP ACLs ページが表示されます。

ステップ 4 Name ボックスに、新しい IP ACL の名前を入力します。


) IP ACL の名前には、最大で 27 文字まで使用できます。名前には、スペースおよび次の文字は使用できません。
- [ ] / \ " < > --


ステップ 5 Description ボックスに、新しい IP ACL の説明を入力します。

ステップ 6 新しい IP ACL に ACL コンテンツを追加するには、 Add をクリックします。

ステップ 7 Name ボックスに、新しい ACL コンテンツの名前を入力します。


) ACL コンテンツの名前には、最大で 27 文字まで使用できます。名前には、スペースおよび次の文字は使用できません。
- [ ] / \ " < > --


ステップ 8 ACL Definitions ボックスに、新しい ACL 定義を入力します。


ヒント Cisco Secure ACS HTML インターフェイスで ACL 定義を入力するときは、キーワード エントリと名前エントリは使用せずに、permit/deny キーワードで始めます。ACL 定義の正しい形式の例については、「ダウンロード可能 IP ACL について」を参照してください。

ステップ 9 ACL コンテンツを保存するには、 Submit をクリックします。

Downloadable IP ACLs ページが表示され、新しい ACL コンテンツが ACL Contents カラムに名前順で示されます。

ステップ 10 ACL コンテンツに NAF を関連付けるには、Network Access Filtering ボックスから新しい ACL コンテンツの右側に NAF を選択します。NAF の追加については、「ネットワーク アクセス フィルタの追加」を参照してください。


) NAF を割り当てない場合、Cisco Secure ACS は ACL コンテンツをすべてのネットワーク デバイスに関連付けます。この処理がデフォルトです。


ステップ 11 新しい IP ACL を完全に指定するまで、ステップ 3ステップ 10 を繰り返します。

ステップ 12 ACL コンテンツの順序を設定するには、ACL 定義のオプション ボタンを選択してから、 Up または Down をクリックして、リスト内の ACL コンテンツの位置を変更します。


ヒント ACL コンテンツの順序は非常に重要です。Cisco Secure ACS は先頭から順に検査を開始し、All-AAA-Clients デフォルト設定(使用する場合)も含め、該当する NAF 設定を持つ最初の ACL 定義だけをダウンロードします。通常、ACL コンテンツのリストは、最も具体的な(限定された)NAF の ACL コンテンツから最も一般的な(All-AAA-Clients)NAF の ACL コンテンツの順に検査されます。

ステップ 13 IP ACL を保存するには、 Submit をクリックします。

Cisco Secure ACS によって新しい IP ACL が入力され、すぐに有効となります。たとえば、IP ACL を PIX Firewall 用に使用する場合、ユーザ プロファイルまたはグループ プロファイルにそのダウンロード可能 IP ACL が割り当てられたユーザを認証しようとしている PIX Firewall すべてに対して、IP ACL を送信できます。ダウンロード可能 IP ACL をユーザまたはユーザ グループに割り当てる方法については、「ダウンロード可能 IP ACL をユーザに割り当てる」または「ダウンロード可能 IP ACL をグループに割り当てる」を参照してください。


 

ダウンロード可能 IP ACL の編集

始める前に

ダウンロード可能 IP ACL の編集に使用する NAF をすべて設定しておく必要があります。

ダウンロード可能 IP ACL を編集するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。

Shared Profile Components ページが表示されます。

ステップ 2 Downloadable IP ACLs をクリックします。

Downloadable IP ACLs テーブルが表示されます。

ステップ 3 Name カラムで、編集する IP ACL をクリックします。

Downloadable IP ACLs ページが表示され、選択した ACL に関する情報が示されます。

ステップ 4 必要に応じて、Name または Description の情報を編集します。

ステップ 5 ACL コンテンツを編集するには、変更する ACL Contents エントリをクリックします。

Downloadable IP ACL Content ページが表示されます。

ステップ 6 必要に応じて、Name または ACL Definitions を編集します。


ヒント ACL Definitions ボックスにはキーワード エントリおよび名前エントリを使用せず、代わりに permit/deny キーワードで始めてください。ACL 定義の正しい形式の例については、「ダウンロード可能 IP ACL について」を参照してください。

ステップ 7 編集した ACL 定義を保存するには、 Submit をクリックします。

ステップ 8 ACL コンテンツに関連付けられた NAF を変更するには、対応する Network Access Filtering ボックスから新しい NAF 設定を選択します。ダウンロード可能 IP ACL の NAF の関連付けは、何回でも変更することができます。NAF の詳細については、「ネットワーク アクセス フィルタについて」を参照してください。

ステップ 9 編集を完了するまで、ステップ 3ステップ 8 を繰り返します。

ステップ 10 ACL コンテンツの順序を変更するには、ACL 定義のオプション ボタンを選択してから、 Up または Down をクリックして、リスト内の ACL コンテンツの位置を変更します。

ステップ 11 編集した IP ACL を保存するには、 Submit をクリックします。

Cisco Secure ACS によって新しい情報の IP ACL が保存され、すぐに有効となります。


 

ダウンロード可能 IP ACL の削除

始める前に

IP ACL を削除する前に、ユーザ プロファイルまたはユーザ グループ プロファイルとの関連付けをすべて削除する必要があります。

IP ACL を削除するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。

Shared Profile Components ページが表示されます。

ステップ 2 Downloadable IP ACLs をクリックします。

ステップ 3 削除するダウンロード可能 IP ACL の名前をクリックします。

Downloadable IP ACLs ページが表示され、選択した IP ACL に関する情報が示されます。

ステップ 4 ページの下部にある Delete をクリックします。

IP ACL の削除について警告するダイアログボックスが表示されます。

ステップ 5 IP ACL を削除することを確認するため、 OK をクリックします。

選択した IP ACL が削除されます。


 

ネットワーク アクセス制限

この項では、ネットワーク アクセス制限(NAR)について説明した後で、共有 NAR の設定と管理について詳述します。

この項では、次のトピックについて取り上げます。

「ネットワーク アクセス制限について」

「共有ネットワーク アクセス制限の追加」

「共有ネットワーク アクセス制限の編集」

「共有ネットワーク アクセス制限の削除」

ネットワーク アクセス制限について

NAR は、ユーザがネットワークにアクセスする前に満たす必要がある追加条件の定義であり、Cisco Secure ACS で作成します。Cisco Secure ACS は、AAA クライアントから送信されるアトリビュートの情報を利用して、これらの条件を適用します。NAR をセットアップする方法はいくつかありますが、どの方法も、AAA クライアントから送信されるアトリビュート情報の対応付けに基づいています。このため、NAR を効果的に利用するには、AAA クライアントが送信するアトリビュートの形式と内容を理解しておく必要があります。

NAR をセットアップするとき、フィルタを許可条件または拒否条件のどちらとして動作させるのかを選択できます。つまり、NAR では、AAA クライアントから送信された情報と NAR に格納された情報との比較に基づいて、ネットワーク アクセスを許可または拒否するかどうかを指定します。ただし、NAR が動作するのに十分な情報を得られない場合、デフォルトではアクセスが拒否されます。この状況を 表 5-1 に示します。

 

表 5-1 NAR における許可条件と拒否条件

IP ベース
非 IP ベース
情報不足

許可

アクセスを許可

アクセスを拒否

アクセスを拒否

拒否

アクセスを拒否

アクセスを許可

アクセスを拒否

Cisco Secure ACS は、次の 2 種類の NAR フィルタをサポートしています。

IP ベースのフィルタ :IP ベースの NAR フィルタは、エンドユーザ クライアントおよび AAA クライアントの IP アドレスに基づいてアクセスを制限します。この NAR フィルタのタイプの詳細については、「IP ベースの NAR フィルタについて」を参照してください。

非 IP ベースのフィルタ :非 IP ベースの NAR フィルタは、AAA クライアントから送信された値の単純な文字列比較に基づいてアクセスを制限します。この値は、Calling Line ID(CLI; 発信番号識別)の番号、Dialed Number Identification Service(DNIS; 着信番号識別サービス)の番号、MAC アドレス、またはクライアントから発信するその他の値になる場合があります。このタイプの NAR が動作するためには、NAR の説明にある値はクライアントから送信されている値(使用されている形式も含めて)と正確に一致する必要があります。たとえば、(217) 555-4534 は 217-555-4534 と一致しません。この NAR フィルタのタイプの詳細については、「非 IP ベースの NAR フィルタについて」を参照してください。

NAR は、特定のユーザまたはユーザ グループに対して定義し、適用できます。詳細については、「ネットワーク アクセス制限をユーザに対して設定する」または 「ネットワーク アクセス制限をユーザ グループに対して設定する」を参照してください。ただし、Cisco Secure ACS の Shared Profile Components セクションでは、どのユーザやユーザ グループも直接引用せずに 共有 NAR を作成および命名できます。共有 NAR には、Cisco Secure ACS HTML インターフェイスの別の部分で参照できる名前を付けます。次に、ユーザまたはユーザ グループをセットアップするときは、共有制限は 1 つ適用することも、複数適用することも、まったく適用しないことも可能です。ユーザまたはユーザ グループに複数の共有 NAR を適用することを指定する場合、「すべての選択されているフィルタが許可」、「いずれかの選択されているフィルタが許可」という 2 つのアクセス基準のうち 1 つを選択する必要があります。

異なる NAR のタイプに関連する優先順位を理解することが重要です。NAR フィルタリングの順序を次に示します。

1. ユーザ レベルの共有 NAR

2. グループ レベルの共有 NAR

3. ユーザ レベルの非共有 NAR

4. グループ レベルの非共有 NAR

また、 すべての レベルについて、アクセスの拒否は、アクセスを拒否しない別のレベルの設定に優先することにも注意する必要があります。これは、ユーザ レベルの設定がグループ レベルの設定よりも優先されるというルールに対する Cisco Secure ACS の 1 つの例外です。たとえば、あるユーザがユーザ レベルの NAR 制限を適用されていない場合でも、共有 NAR または非共有 NAR のどちらかによって制限されたグループに属していれば、そのユーザはアクセスを拒否されます。

共有 NAR は、CiscoSecure ユーザ データベースに保持されます。Cisco Secure ACS のバックアップと復元機能を使用して、バックアップすることも、復元することもできます。さらに、他の設定データとともにセカンダリ Cisco Secure ACS に複製することもできます。

IP ベースの NAR フィルタについて

IP ベースの NAR フィルタに対して、ACS は認証要求の AAA プロトコルに応じて次のアトリビュートを使用します。

TACACS+ を使用している場合 :TACACS+ 開始パケット部の rem_addr フィールドが使用されます。


) 認証要求がプロキシから Cisco Secure ACS サーバに転送されると、TACACS+ 要求に使用されるすべての NAR は、発信元の AAA クライアントの IP アドレスではなく、転送先の AAA サーバの IP アドレスに適用されます。


RADIUS IETF を使用している場合 calling-station-id (アトリビュート 31)フィールドおよび called-station-id (アトリビュート 30)フィールドが使用されます。

十分な IP アドレス情報を提示しない AAA クライアント(たとえば、ある種のファイアウォール)は、NAR の機能を完全にはサポートしていません。

IP ベースの 制限に対するその他のアトリビュートには、プロトコルごとに次の NAR フィールドが含まれています。

TACACS+ を使用している場合 :Cisco Secure ACS の各 NAR フィールドには次の値が使用されます。

AAA client NAS-IP-address が Cisco Secure ACS と TACACS+ クライアント間のソケットの発信元アドレスから取得されます。

Port port フィールドは TACACS+ 開始パケット部から取得されます。

RADIUS を使用している場合 :Cisco Secure ACS の各 NAR フィールドには次の値が使用されます。

AAA client NAS-IP-address (アトリビュート 4)が使用されます。NAS-IP-address が存在しない場合は、 NAS-identifier (アトリビュート 32)が使用されます。

Port NAS-port (アトリビュート 5)が使用されます。NAS-port が存在しない場合は、 NAS-port-ID (アトリビュート 87)が使用されます。

非 IP ベースの NAR フィルタについて

非 IP ベースの NAR フィルタ(つまり、 DNIS/CLI ベースの NAR フィルタ)は、許可または拒否される「呼び出し」/「アクセス ポイント」位置のリストです。これは、IP ベースの接続が確立されていない場合に AAA クライアントの制限に使用できます。一般に非 IP ベースの NAR 機能では、発信番号識別(CLI)の番号および着信番号識別サービス(DNIS)の番号が使用されます。

しかし、AAA クライアントが CLI または DNIS をサポートしている Cisco IOS リリースを使用していない場合でも、CLI の代わりに IP アドレスを入力することで、非 IP ベースのフィルタを使用できます。CLI 入力のもう 1 つの例外として、許可または拒否する MAC アドレスの入力があります。たとえば Cisco Aironet AAA クライアントを使用している場合です。同様に、DNIS の代わりに Cisco Aironet AP MAC アドレスを入力できます。CLI ボックスで指定するものは、CLI、IP アドレス、または MAC アドレスのいずれであっても、その形式は、AAA クライアントから受信する番号またはアドレスの形式と一致している必要があります。この形式は、RADIUS アカウンティング ログから判別できます。

DNIS/CLI ベースの 制限に対するアトリビュートには、プロトコルごとに次の NAR フィールドが含まれています。

TACACS+ を使用している場合 :各 NAR フィールドには次の値が使用されます。

AAA client NAS-IP-address が Cisco Secure ACS と TACACS+ クライアント間のソケットの発信元アドレスから取得されます。

Port :TACACS+ 開始パケット部の port フィールドが使用されます。

CLI :TACACS+ 開始パケット部の rem-addr フィールドが使用されます。

DNIS :TACACS+ 開始パケット部から取得された rem-addr フィールドが使用されます。 rem-addr データが「/」で始まる場合、DNIS フィールドには「/」文字なしの rem-addr データが含まれます。


) 認証要求がプロキシから Cisco Secure ACS サーバに転送されると、TACACS+ 要求に使用されるすべての NAR は、発信元の AAA クライアントの IP アドレスではなく、転送先の AAA サーバの IP アドレスに適用されます。


RADIUS を使用している場合 :各 NAR フィールドには次の値が使用されます。

AAA client NAS-IP-address (アトリビュート 4)が使用されます。NAS-IP-address が存在しない場合は、 NAS-identifier (RADIUS アトリビュート 32)が使用されます。

Port NAS-port (アトリビュート 5)が使用されます。NAS-port が存在しない場合は、 NAS-port-ID (アトリビュート 87)が使用されます。

CLI calling-station-ID (アトリビュート 31)が使用されます。

DNIS called-station-ID (アトリビュート 30)が使用されます。

NAR の指定時、アスタリスク(*)を任意の値のワイルドカードとして、または範囲設定のための任意の値の一部として使用できます。NAR でアクセスを制限するためには、NAR の説明におけるすべての値および条件が合致する必要があります。つまり、値の「論理積」がとられます。

共有ネットワーク アクセス制限の追加

多数のアクセス制限を含む共有 NAR を作成できます。Cisco Secure ACS HTML インターフェイスは、共有 NAR のアクセス数への制限も、各アクセスの長さへの制限も適用しません。ただし、次の制限に従う必要があります。

行項目それぞれのフィールド長の合計が 1024 文字を超えることはできない。

共有 NAR では、文字サイズの合計が 16 KB を超えることはできない。サポートされる行項目の数は、行項目それぞれの長さによって異なります。たとえば、CLI/DNIS ベースの NAR を作成する場合、AAA クライアント名が 10 文字、ポート番号が 5 文字、CLI エントリが 15 文字、DNIS エントリが 20 文字のときは、16 KB 制限に達しない限り、450 行項目を追加できます。

始める前に

NAR を定義する前に、NAR で使用する要素を確立したことを確認する必要があります。つまり、すべての NAF と NDG を指定し、関連するすべての AAA クライアントを定義した後に、それらを NAR 定義に加える必要があります。詳細については、「ネットワーク アクセス制限について」を参照してください。

共有 NAR を追加するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。

Shared Profile Components ページが表示されます。

ステップ 2 Network Access Restrictions をクリックします。

ステップ 3 Add をクリックします。

Network Access Restriction ページが表示されます。

ステップ 4 Name ボックスに、新しい共有 NAR の名前を入力します。


) 名前には、最大で 31 文字まで使用できます。先頭と末尾にスペースを置くことはできません。名前には、次の 4 つの文字は使用できません。
[ ] , /


ステップ 5 Description ボックスに、新しい共有 NAR の説明を入力します。

ステップ 6 IP アドレッシングに基づいてアクセスを許可または拒否する場合は、次の手順を実行します。

a. Define IP-based access descriptions チェックボックスをオンにします。

b. 許可または拒否するアドレスをリストするかどうかを指定するために、Table Defines リストで該当する値を選択します。

c. 次のボックスで、それぞれ該当する情報を選択するか、または入力します。

AAA Client All AAA Clients を選択するか、アクセスを許可または拒否する NDG の名前、NAF の名前、または個々の AAA クライアントの名前を入力します。

Port :アクセスを許可または拒否するポートの番号を入力します。ワイルドカード アスタリスク(*)を使用すると、選択された AAA クライアント上のすべてのポートに対するアクセスを許可または拒否できます。

Src IP Address :アクセス制限を実行する場合に、フィルタリングを行う IP アドレスを入力します。ワイルドカード アスタリスク(*)を使用すると、すべての IP アドレスを指定できます。


) AAA Client リスト、Port ボックス、および Src IP Address ボックスの文字数の合計は、1024 を超えることができません。NAR を追加する場合、Cisco Secure ACS は 1024 を超える文字を受け入れますが、NAR は編集できず、さらに Cisco Secure ACS が NAR をユーザに正確に適用できなくなります。


d. Enter キーを押します。

AAA クライアント、ポート、およびアドレス情報が、テーブルの行項目として表示されます。

e. IP ベースの行項目を追加して入力するには、c.d. を繰り返します。

ステップ 7 発信場所や、IP アドレス以外の値に基づいてアクセスを許可または拒否する場合は、次の手順を実行します。

a. Define CLI/DNIS based access restrictions チェックボックスをオンにします。

b. 許可または拒否する場所をリストするかどうかを指定するために、Table Defines リストで該当する値を選択します。

c. この NAR を適用するクライアントを指定するために、AAA Client リストから、次のいずれか 1 つの値を選択します。

NDG の名前

NAF の名前

特定の AAA クライアントの名前

すべての AAA クライアント


ヒント すでに設定してある NDG だけが表示されます。

d. この NAR がフィルタリングする情報を指定するには、必要に応じて次のボックスに値を入力します。


ヒント ワイルドカードとしてアスタリスク(*)を入力して、値として「all」を指定できます。

Port :フィルタリングするポート番号を入力します。

CLI :フィルタリングする CLI 番号を入力します。また、このボックスを使用して、CLI 以外の値、たとえば、IP アドレスや MAC アドレスに基づいてアクセスを制限できます。詳細については、「ネットワーク アクセス制限について」を参照してください。

DNIS :フィルタリングするダイヤル番号を入力します。


) AAA Client リスト、Port ボックス、CLI ボックス、および DNIS ボックスの文字数の合計は、1024 を超えることができません。NAR を追加する場合、Cisco Secure ACS は 1024 を超える文字を受け入れますが、NAR は編集できず、さらに Cisco Secure ACS が NAR をユーザに正確に適用できなくなります。


e. Enter キーを押します。

NAR 行項目を指定する情報が、テーブルに表示されます。

f. 非 IP ベースの NAR 行項目を追加して入力するには、c. から e. を繰り返します。

ステップ 8 共有 NAR 定義を保存するには、 Submit をクリックします。

Cisco Secure ACS は、共有 NAR を Network Access Restrictions テーブルに保存してリストします。


 

共有ネットワーク アクセス制限の編集

共有 NAR を編集するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。

Shared Profile Components ページが表示されます。

ステップ 2 Network Access Restrictions をクリックします。

Network Access Restrictions テーブルが表示されます。

ステップ 3 Name カラムで、編集する共有 NAR をクリックします。

Network Access Restriction ページに、選択した NAR に関する情報が表示されます。

ステップ 4 必要に応じて、NAR の名前または説明を編集します。

ステップ 5 IP ベースのアクセス制限テーブルの行項目を編集するには、次の手順を実行します。

a. 編集する行項目をダブルクリックします。

その行項目の情報がテーブルから削除され、テーブル下部のボックスに表示されます。

b. 必要に応じて情報を編集します。


) AAA Client リスト、Port ボックス、および Src IP Address ボックスの文字数の合計は、1024 を超えることができません。NAR を追加する場合、Cisco Secure ACS は 1024 を超える文字を受け入れますが、NAR は編集できず、さらに Cisco Secure ACS が NAR をユーザに正確に適用できなくなります。


c. Enter キーを押します。

編集した行項目の情報が、IP ベースのアクセス制限テーブルに書き込まれます。

ステップ 6 IP ベースのアクセス制限テーブルから行項目を削除するには、次の手順を実行します。

a. 行項目を選択します。

b. テーブルの下の remove をクリックします。

IP ベースのアクセス制限テーブルから、行項目が削除されます。

ステップ 7 CLI/DNIS アクセス制限テーブルの行項目を編集するには、次の手順を実行します。

a. 編集する行項目をダブルクリックします。

その行項目の情報がテーブルから削除され、テーブル下部のボックスに表示されます。

b. 必要に応じて情報を編集します。


) AAA Client リスト、Port ボックス、CLI ボックス、および DNIS ボックスの文字数の合計は、1024 を超えることができません。NAR を追加する場合、Cisco Secure ACS は 1024 を超える文字を受け入れますが、NAR は編集できず、さらに Cisco Secure ACS が NAR をユーザに正確に適用できなくなります。


c. Enter キーを押します。

編集した行項目の情報が、CLI/DNIS アクセス制限テーブルに書き込まれます。

ステップ 8 CLI/DNIS アクセス制限テーブルから行項目を削除するには、次の手順を実行します。

a. 行項目を選択します。

b. テーブルの下の remove をクリックします。

CLI/DNIS アクセス制限テーブルから、行項目が削除されます。

ステップ 9 変更を保存するには、 Submit をクリックします。

Cisco Secure ACS によって新しい情報のフィルタが再入力され、すぐに有効となります。


 

共有ネットワーク アクセス制限の削除

始める前に

共有 NAR を削除する前に、すべてのユーザまたはグループに対するその NAR の関連付けを必ず削除してください。

共有 NAR を削除するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。

Shared Profile Components ページが表示されます。

ステップ 2 Network Access Restrictions をクリックします。

ステップ 3 削除する共有 NAR の 名前 をクリックします。

Network Access Restriction ページに、選択した NAR に関する情報が表示されます。

ステップ 4 ページの下部にある Delete をクリックします。

共有 NAR の削除について警告するダイアログボックスが表示されます。

ステップ 5 共有 NAR を削除することを確認するため、 OK をクリックします。

選択した共有 NAR が削除されます。


 

コマンド許可セット

この項では、コマンド許可セットとパターン マッチングについて説明した後で、その設定と管理について詳述します。

この項では、次のトピックについて取り上げます。

「コマンド許可セットについて」

「コマンド許可セットの説明」

「コマンド許可セットの割り当て」

「大文字小文字の区別とコマンド許可」

「引数とコマンド許可」

「パターン マッチングについて」

「コマンド許可セットの追加」

「コマンド許可セットの編集」

「コマンド許可セットの削除」

コマンド許可セットの説明

コマンド許可セットは、所定のネットワーク デバイス上で発行された各コマンドの許可を制御する中心的なメカニズムです。これによって、許可制限を設定する規模を大きくし、管理も容易にできます。Cisco Secure ACS では、デフォルトのコマンド許可セットにシェル コマンド許可セットと PIX コマンド許可セットがあります。Management Center for Firewalls などの Cisco デバイス管理アプリケーションでは、追加のコマンド許可セット タイプをサポートするように Cisco Secure ACS に指示できます。


) PIX コマンド許可セットでは、TACACS+ コマンド許可要求がサービスを
「pixshell」として識別する必要があります。ファイアウォールが使用する PIX OS のバージョンにこのサービスが実装されていることを確認してください。実装されていない場合は、シェル コマンド許可セットを使用して PIX のコマンド許可を実行してください。



ヒント PIX OS バージョン 6.3 では、pixshell サービスが実装されていません。


デバイス ホストの Telnet 管理セッションをきめ細かく制御するために、TACACS+ を使用しているネットワーク デバイスは、各コマンド ラインに対する許可を要求し、その後で実行できます。一連のコマンドを定義することで、そのコマンドが所定のデバイスで特定ユーザによる実行が許可または拒否されるようにできます。Cisco Secure ACS では、この機能が次のようにさらに強化されています。

Reusable Named Command Authorization Sets :ユーザもユーザ グループも直接引用せずに、コマンド許可の名前付きセットを作成できます。コマンド許可セットを複数定義して、各セットがそれぞれ別のアクセス プロファイルを表すようにできます。たとえば、コマンド許可セット「Help desk」は、「show run」などの上位レベルのブラウジング コマンドへのアクセスを許可するが、設定コマンドはすべて拒否します。コマンド許可セット「All network engineers」には、企業のすべてのネットワーク技術者に許可するコマンドの限定リストを含めます。コマンド許可セット「Local Network Engineers」は、IP アドレスの設定を含め、すべてのコマンドを許可します。

Fine Configuration Granularity :名前付きコマンド許可セットと NDG の間で関連付けを行うことができます。したがって、ユーザがアクセスするネットワーク デバイスに応じて、ユーザに異なるアクセス プロファイルを定義できます。1 つの名前付きコマンド許可セットを複数の NDG に関連付け、複数のユーザ グループで使用できます。Cisco Secure ACS では、データ整合性が強化されています。名前付きコマンド許可セットは、CiscoSecure ユーザ データベースに保持されます。Cisco Secure ACS Backup and Restore 機能を使用して、バックアップすることも、復元することもできます。さらに、他の設定データとともにセカンダリ Cisco Secure ACS に複製することもできます。

Cisco デバイス管理アプリケーションをサポートしているコマンド許可セット タイプに対しても、コマンド許可セットを使用する利点は同じです。デバイス管理アプリケーションにある各種の特権は、そのデバイス管理アプリケーションのユーザを含む Cisco Secure ACS グループにコマンド許可セットを適用することで、許可できます。この Cisco Secure ACS グループは、デバイス管理アプリケーションにある各種のロールに対応できるので、必要に応じて、各グループに異なるコマンド許可セットを適用できます。

Cisco Secure ACS には、コマンド許可フィルタリングに関する一連の 3 つの段階があります。各コマンド許可要求は、次の順序で評価されます。

1. Command Match: Cisco Secure ACS は、実行されるコマンドが、コマンド許可セット内にリストされたコマンドと一致するかどうかを判別します。一致するコマンドが見つからない場合、コマンド許可は Unmatched Commands 設定が許可または拒否かどうかによって判別されます。一致するコマンドが見つかった場合は、評価が続行されます。

2. Argument Match: Cisco Secure ACS は、提示されたコマンド引数が、コマンド許可セット内にリストされたコマンド引数と一致するかどうかを判別します。

一致しない引数がある場合、コマンド許可は Permit Unmatched Args オプションがイネーブルかどうかによって判別されます。一致しない引数が許可された場合は、コマンドが許可されて評価が終了します。許可されない場合は、コマンドが許可されずに評価が終了します。

すべての引数が一致した場合は、評価が続行されます。

3. Argument Policy: Cisco Secure ACS は、評価されるコマンドの引数が、コマンド許可セット内にリストされた引数と一致していることを確認した後に、各コマンド引数が明示的に許可されるかどうかを判別します。すべての引数が明示的に許可される場合、Cisco Secure ACS はコマンド許可を付与します。許可されない引数がある場合、Cisco Secure ACS はコマンド許可を拒否します。

コマンド許可セットの割り当て

コマンド許可セットの割り当てについては、次の手順を参照してください。

シェル コマンド許可セット :次のいずれかを参照してください。

「シェル コマンド許可セットをユーザ グループに対して設定する」

「シェル コマンド許可セットをユーザに対して設定する」

PIX コマンド許可セット :次のいずれかを参照してください。

「PIX コマンド許可セットをユーザ グループに対して設定する」

「PIX コマンド許可セットをユーザに対して設定する」

デバイス管理コマンド許可セット :次のいずれかを参照してください。

「デバイス管理コマンド許可をユーザ グループに対して設定する」

「デバイス管理コマンド許可をユーザに対して設定する」

大文字小文字の区別とコマンド許可

コマンド許可を実行する場合、Cisco Secure ACS は、大文字小文字を区別しながら、コマンドと引数を評価します。コマンド許可が成功するには、コマンド許可セットを設定するときに、コマンドと引数の大文字小文字を区別する必要があります。

ここで問題になるのが、コマンド許可を要求するデバイスが送信してくるコマンドと引数の大文字小文字が、コマンド発行のために入力した大文字小文字と異なる場合があるということです。

たとえば、ルータ ホスト セッションで次のコマンドを入力したとします。

interface FASTETHERNET 0/1
 

ルータは Cisco Secure ACS に、次のコマンドと引数を送信する場合があります。

interface FastEthernet 0 1
 

interface コマンドに対して、コマンド許可セットが「fastethernet」というスペルを使用して FastEthernet 引数を明示的に許可する場合、Cisco Secure ACS はコマンド許可要求に失敗します。代わりに、コマンド許可規則が「FastEthernet」という引数を許可していれば、Cisco Secure ACS はコマンド許可要求を許可します。コマンド許可セットに使用する大文字小文字は、デバイスの送信内容と一致する必要があります。ただし、その送信内容は、コマンドを入力するときに使用した大文字小文字と一致しない場合もあります。

引数とコマンド許可

一致しない引数の許可を Cisco Secure ACS に依存しないで、引数を明示的に許可または拒否する場合は、デバイスが引数を Cisco Secure ACS に送信する仕組みを把握しておく必要があります。コマンド許可を要求するデバイスは、コマンド発行のためにユーザが入力した引数とは異なるものを送信する場合があります。

たとえば、ルータ ホスト セッションでユーザが次のコマンドを入力したとします。

interface FastEthernet0/1
 

ルータは Cisco Secure ACS に、次のコマンドと引数を送信する場合があります。

01:44:53: tty2 AAA/AUTHOR/CMD(390074395): send AV cmd=interface
01:44:53: tty2 AAA/AUTHOR/CMD(390074395): send AV cmd-arg=FastEthernet
01:44:53: tty2 AAA/AUTHOR/CMD(390074395): send AV cmd-arg=0
01:44:53: tty2 AAA/AUTHOR/CMD(390074395): send AV cmd-arg=1
01:44:53: tty2 AAA/AUTHOR/CMD(390074395): send AV cmd-arg=<cr>
 

この例では、ユーザがコマンドに続けてスペースを入れずに入力した 1 つの文字列を、ルータは複数の引数と認識しています。ルータは、また、ユーザがコマンドを発行したときに 0 と 1 を区切ったスラッシュ文字を省略しています。

interface コマンドのコマンド許可規則が、「FastEthernet0/1」というスペルを使用して FastEthernet 引数を明示的に許可する場合、Cisco Secure ACS はコマンド許可要求に失敗します。これは、ルータが Cisco Secure ACS に送信した内容がコマンド許可要求と一致していないためです。代わりに、コマンド許可規則が「FastEthernet 0 1」という引数を許可していれば、Cisco Secure ACS はコマンド許可要求を許可します。コマンド許可セットに指定する引数の大文字小文字は、デバイスの送信内容と一致する必要があります。ただし、その送信内容は、引数を入力するときにユーザが使用した大文字小文字と一致しない場合もあります。

パターン マッチングについて

Cisco Secure ACS は、permit/deny コマンドの引数に、パターン マッチングを使用します。つまり、引数 permit wid は、文字列 wid を含む引数すべてと一致します。したがって、たとえば permit wid wid だけでなく、 anywid widget という引数も許可します。

パターン マッチングの範囲を制限するため、次の式を追加できます。

ドル記号($) :直前の文字で引数が終了することを示します。したがって、 permit wid$ wid anywid とは一致しますが、 widget とは一致しません。

キャレット(^) :直後の文字から引数が始まることを示します。したがって、 permit ^wid wid widget とは一致しますが、 anywid とは一致しません。

これらの式を組み合せると、完全一致を指定できます。ここの例で permit ^wid$ を使用すると、 wid だけが許可され、 anywid widget は許可されません。

引数を持たないコマンドを許可または拒否するために、完全一致を使用してヌル引数条件を指定することができます。たとえば、引数を持たないコマンドを許可するには、 permit ^$ を使用します。また、 permit <cr> と入力した場合も同じです。これらのどちらかの方法を使用すると、 Permit Unmatched Args オプションがオフになっていれば、引数を持たないコマンドが一致し、そのコマンドを許可または拒否できます。

コマンド許可セットの追加

コマンド許可セットを追加するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。

Shared Profile Components ページに、利用可能なコマンド許可セットのタイプがリストされます。ここには常に Shell Command Authorization Set が含まれていますが、その他のセット、たとえば、Cisco デバイス管理アプリケーションをサポートするコマンド許可セットのタイプが含まれていることもあります。

ステップ 2 必要に応じて、リストにあるコマンド許可セットのタイプの 1 つをクリックします。

選択した Command Authorization Sets テーブルが表示されます。

ステップ 3 Add をクリックします。

該当する Command Authorization Set ページが表示されます。このページの内容は、追加するコマンド許可セット タイプによって変ります。Name ボックスと Description ボックスの下に、追加のボックスや展開可能なチェックリスト ツリーが表示されます。展開可能なチェックリスト ツリーには、Cisco デバイス管理アプリケーションをサポートするデバイス コマンド セット タイプが表示されます。

ステップ 4 Name ボックスに、コマンド許可セットの名前を入力します。


) セットの名前には、最大で 27 文字まで使用できます。名前には、次の文字は使用できません。
# ? " * > <
先頭と末尾にスペースを置くことはできません。


ステップ 5 Description ボックスに、コマンド許可セットの説明を入力します。

ステップ 6 Name ボックスと Description ボックスの下に展開可能なチェックリスト ツリーが表示されている場合は、チェックリスト ツリーを使用して、このコマンド許可セットで許可するアクションを指定します。複製先を指定するには、次の手順を実行します。

a. チェックリスト ノードを展開するには、ノードの左側にあるプラス(+)記号をクリックします。

b. アクションをイネーブルにするには、アクションのチェックボックスをオンにします。たとえば、Device View アクションをイネーブルにするには、Device チェックリスト ノードの下にある View チェックボックスをオンにします。


ヒント 展開可能なチェックボックス ノードをオンにすると、そのノードに含まれているチェックボックスがすべてオンになります。チェックリスト ツリーの最初のチェックボックスをオンにすると、そのチェックリスト ツリーに含まれているチェックボックスがすべてオンになります。

c. このコマンド許可セットの他のアクションをイネーブルにするには、ステップ a とステップ b を必要に応じて繰り返します。

ステップ 7 Name ボックスと Description ボックスの下に追加のボックスが表示されている場合は、それらのボックスを使用して、このコマンド許可セットで許可または拒否するコマンドと引数を指定します。複製先を指定するには、次の手順を実行します。

a. 一致しないコマンドを Cisco Secure ACS が処理する方法を指定するには、必要に応じて Permit オプションまたは Deny オプションを選択します。


) デフォルト設定は Deny です。


b. Add Command ボタンのすぐ上にあるボックスに、セットの一部とするコマンドを入力します。


注意 コマンド ワードは完全な形で入力してください。コマンドの省略形を使用すると、許可の制御が機能しないことがあります。


) ここには、コマンド/引数文字列のコマンド部分だけを入力します。引数は、コマンドがリストされた後で追加します。たとえば、コマンド/引数文字列が「show run」の場合、ここではコマンド show だけを入力します。


c. Add Command をクリックします。

入力したコマンドが、コマンド リスト ボックスに追加されます。

d. コマンドに引数を追加するために、コマンド リスト ボックスでそのコマンドを選択し、コマンドの右側のボックスに引数を入力します。


) 引数の正しい形式は、<permit | deny> <argument> です。たとえば、コマンド show がすでにリストにあれば、引数として permit run を入力できます。



ヒント 引数と引数の間で Enter キーを押すと、1 つのコマンドに対して複数の引数をリストできます。

e. リストしていない引数をコマンドで許可するには、 Permit Unmatched Args チェックボックスをオンにします。

f. このコマンド許可セットに他のコマンドを追加するには、ステップ a からステップ e を繰り返します。

ステップ 8 コマンド許可セットを保存するには、 Submit をクリックします。

Cisco Secure ACS によって、新しいコマンド許可セットの名前と説明が、該当する Command Authorization Sets テーブルに表示されます。


 

コマンド許可セットの編集

コマンド許可セットを編集するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。

Shared Profile Components ページに、利用可能なコマンド許可セットのタイプがリストされます。

ステップ 2 該当するコマンド許可セット タイプをクリックします。

選択した Command Authorization Sets テーブルが表示されます。

ステップ 3 Name カラムで、変更するセットの名前をクリックします。

選択したセットに関する情報が、該当する Command Authorization Set ページに表示されます。

ステップ 4 Name ボックスと Description ボックスの下に展開可能なチェックリスト ツリーが表示されている場合は、次のいずれかまたはすべての操作を実行できます。

チェックリスト ノードを展開するには、ノードの左側にあるプラス(+)記号をクリックします。展開したチェックリスト ノードを縮小するには、ノードの左側にあるマイナス(-)記号をクリックします。

アクションをイネーブルにするには、アクションのチェックボックスをオンにします。たとえば、Device View アクションをイネーブルにするには、Device チェックリスト ノードの下にある View チェックボックスをオンにします。


ヒント 展開可能なチェックボックス ノードをオンにすると、そのノードに含まれているチェックボックスがすべてオンになります。チェックリスト ツリーの最初のチェックボックスをオンにすると、そのチェックリスト ツリーに含まれているチェックボックスがすべてオンになります。

アクションをディセーブルにするには、アクションのチェックボックスをオフにします。たとえば、Device View アクションをディセーブルにするには、Device チェックリスト ノードの下にある View チェックボックスをオフにします。

ステップ 5 Name ボックスと Description ボックスの下に追加のボックスが表示されている場合は、次のいずれかまたはすべての操作を実行できます。

セットの名前または説明を変更するには、対応するボックスで編集します。

セットからコマンドを削除するには、Matched Commands リストでそのコマンドを選択し、次に Remove Command をクリックします。

コマンドの引数を編集するには、コマンド リスト ボックスでそのコマンドを選択し、コマンド リスト ボックスの右側のボックスで引数に変更を加えます。

ステップ 6 設定を保存するには、 Submit をクリックします。


 

コマンド許可セットの削除

コマンド許可セットを削除するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。

Shared Profile Components ページに、利用可能なコマンド許可セットのタイプがリストされます。

ステップ 2 該当するコマンド許可セット タイプをクリックします。

選択した Command Authorization Sets テーブルが表示されます。

ステップ 3 Name カラムで、削除するコマンド セットの名前をクリックします。

選択したセットに関する情報が、該当する Command Authorization Set ページに表示されます。

ステップ 4 Delete をクリックします。

コマンド許可セットの削除について警告するダイアログボックスが表示されます。

ステップ 5 コマンド許可セットを削除することを確認するには、 OK をクリックします。

Cisco Secure ACS によって、該当する Command Authorization Sets テーブルが表示されます。削除したコマンド許可セットは、このテーブルのリストには表示されていません。