Cisco Secure ACS ユーザ ガイド Windows 版 Version 3.3
ユーザ データベース
ユーザ データベース
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

ユーザ データベース

CiscoSecure ユーザ データベース

CiscoSecure ユーザ データベースについて

ユーザのインポートおよび作成

外部ユーザ データベースについて

外部ユーザ データベースを使用した認証

外部ユーザ データベースを使用した認証プロセス

Windows ユーザ データベース

Windows ユーザ データベースでのサポート内容

Windows ユーザ データベースを使用した認証

信頼関係

Windows ダイヤルアップ ネットワーキング クライアント

Domain フィールドを持つ Windows ダイヤルアップ ネットワーキング クライアント

Domain フィールドを持たない Windows ダイヤルアップ ネットワーキング クライアント

ユーザ名と Windows 認証

ユーザ名フォーマットと Windows 認証

ドメイン修飾されていないユーザ名

ドメイン修飾されたユーザ名

UPN ユーザ名

EAP および Windows 認証

EAP-TLS ドメインのストリッピング

マシン認証

Machine Access Restrictions

Microsoft Windows とマシン認証

マシン認証のイネーブル化

Windows ユーザ データベースを使用した、ユーザによる変更が可能なパスワード

Windows を使用したユーザ認証の準備

Windows ユーザ データベース設定オプション

Windows 外部ユーザ データベースの設定

汎用 LDAP

汎用 LDAP ユーザ データベースを使用した Cisco Secure ACS の認証プロセス

複数の LDAP インスタンス

LDAP の組織ユニットとグループ

ドメイン フィルタリング

LDAP フェールオーバー

プライマリ LDAP サーバによる以前の認証が成功した場合

プライマリ LDAP サーバによる以前の認証が失敗した場合

LDAP 設定オプション

汎用 LDAP 外部ユーザ データベースの設定

Novell NDS データベース

Novell NDS ユーザ データベースについて

ユーザ コンテキスト

Novell NDS 外部ユーザ データベースのオプション

Novell NDS 外部ユーザ データベースの設定

ODBC データベース

ODBC ユーザ データベースでのサポート内容

ODBC 外部ユーザ データベースを使用した Cisco Secure ACS の認証プロセス

ODBC 準拠リレーショナル データベースを使用したユーザ認証の準備

ODBC 認証のためのストアド プロシージャの実装

型の定義

Microsoft SQL Server および大文字と小文字を区別するパスワード

PAP 認証 SQL プロシージャを生成するためのルーチン例

SQL CHAP 認証プロシージャを生成するためのルーチン例

EAP-TLS 認証プロシージャを生成するためのルーチン例

PAP 認証プロシージャの入力

PAP 認証プロシージャの出力

CHAP/MS-CHAP/ARAP 認証プロシージャの入力

CHAP/MS-CHAP/ARAP プロシージャの出力

EAP-TLS 認証プロシージャの入力

EAP-TLS プロシージャの出力

結果コード

ODBC 外部ユーザ データベース用のシステム データ ソース名の設定

ODBC 外部ユーザ データベースの設定

LEAP Proxy RADIUS サーバ データベース

LEAP Proxy RADIUS Server 外部ユーザ データベースの設定

トークン サーバ ユーザ データベース

トークン サーバと Cisco Secure ACS について

トークン サーバと ISDN

RADIUS 対応トークン サーバ

RADIUS 対応トークン サーバについて

トークン サーバの RADIUS 認証要求と応答の内容

RADIUS トークン サーバの外部ユーザ データベースの設定

RSA SecurID トークン サーバ

RSA SecurID トークン サーバの外部ユーザ データベースの設定

外部ユーザ データベース設定の削除

ユーザ データベース

Cisco Secure ACS for Windows Server は、その内部データベースを含むいくつかのデータベースのいずれかに対して、ユーザの認証を行います。複数のタイプのデータベースに対してユーザを認証するように、Cisco Secure ACS を設定できます。この柔軟性により、個々の外部ユーザ データベースから CiscoSecure ユーザ データベースにユーザを明示的にインポートしなくても、異なる場所に収集されているユーザ アカウント データを使用することが可能になります。また、ネットワーク上のユーザ許可に関連付けられたセキュリティ要件に応じて、異なるデータベースを異なるタイプのユーザに適用することも可能です。たとえば、通常の設定として、標準のネットワーク ユーザの場合は Windows ユーザ データベースを使用し、ネットワーク管理者の場合はトークン サーバを使用するように設定できます。


) 未知ユーザ ポリシーとグループ マッピング機能については、第15章「未知ユーザ ポリシー」および第16章「ユーザ グループ マッピングと仕様」を参照してください。


この章は、次の項で構成されています。

「CiscoSecure ユーザ データベース」

「外部ユーザ データベースについて」

「Windows ユーザ データベース」

「汎用 LDAP」

「Novell NDS データベース」

「ODBC データベース」

「LEAP Proxy RADIUS サーバ データベース」

「トークン サーバ ユーザ データベース」

「外部ユーザ データベース設定の削除」

CiscoSecure ユーザ データベース

CiscoSecure ユーザ データベースは、Cisco Secure ACS の内部データベースです。このデータベースは、ASCII、PAP、CHAP、MS-CHAP、ARAP、LEAP、EAP-MD5、EAP-TLS、PEAP(EAP-GTC)、PEAP(EAP-MSCHAPv2)、および EAP-FAST(フェーズ 0 およびフェーズ 2)を使用する認証をサポートします。

CiscoSecure ユーザ データベースは、許可プロセスに不可欠です。ユーザが内部ユーザ データベースにより認証されたか、外部ユーザ データベースにより認証されたかには関係なく、Cisco Secure ACS では、CiscoSecure ユーザ データベースで検出されたグループ メンバーシップと特定のユーザ設定に基いて、ユーザにネットワーク サービスを許可します。したがって、ユーザが外部ユーザ データベースによって認証された場合でも、Cisco Secure ACS によって認証されたすべてのユーザは、CiscoSecure ユーザ データベースにアカウントがあります。

CiscoSecure ユーザ データベースについて

Cisco Secure ユーザ データベースは、メモリにマッピングされたハッシュインデックス付きファイル、 VarsDB.MDB (Microsoft Jet データベース形式)、Windows レジストリなど、複数のデータ ソースから情報を引き出します。 VarsDB.MDB は、インデックスとツリー構造を使用しており、直線的にではなく対数的に検索を実行できるため、検索時間が大幅に短縮されます。したがって、CiscoSecure ユーザ データベースではユーザ認証が迅速に実行できます。

CiscoSecure ユーザ データベースを使用して認証するユーザの場合、Cisco Secure ACS は、40 ビット キーによる RC2 暗号化を使用して、暗号化形式でユーザ パスワードを格納します。外部ユーザ データベースを使用して認証するユーザの場合、Cisco Secure ACS は、CiscoSecure ユーザ データベースにパスワードを格納しません。

外部ユーザ データベースを使用してユーザを認証するように Cisco Secure ACS を設定していない限り、Cisco Secure ACS では、CiscoSecure ユーザ データベースのユーザ名とパスワードを使用して認証を行います。ユーザの認証に外部ユーザ データベースを指定する方法の詳細については、「基本ユーザ アカウントの追加」を参照してください。

ユーザのインポートおよび作成

Cisco Secure ACS for Windows 2000 Servers の CiscoSecure ユーザ データベースにユーザ アカウントを作成する方法には、次の 5 つがあります。このうち、RDBMS 同期化と CSUtil.exe では、外部ソースからユーザ アカウントをインポートできます。

Cisco Secure ACS HTML インターフェイス :HTML インターフェイスでは、一度に 1 人のユーザのアカウントを手動で作成できます。ユーザ アカウントの作成方法に関係なく、HTML インターフェイスを使用してユーザ アカウントを編集できます。詳細な手順については、「基本ユーザ アカウントの追加」を参照してください。

未知ユーザ ポリシー :未知ユーザ ポリシーを使用すると、CiscoSecure ユーザ データベース内にアカウントを持たないユーザが外部ユーザ データベース内で検出された場合に、Cisco Secure ACS はそのユーザを自動的に追加できます。CiscoSecure ユーザ データベースにユーザ アカウントが作成されるのは、そのユーザがネットワークへのアクセスを試行し、外部ユーザ データベースによって問題なく認証された場合だけです。詳細については、 第15章「未知ユーザ ポリシー」 を参照してください。

未知ユーザ ポリシーを使用する場合は、未知ユーザ ポリシーによって CiscoSecure ユーザ データベースに追加されたユーザが認証されるたびにユーザ グループ割り当てがダイナミックに行われるように、グループ マッピングを設定することもできます。一部の外部ユーザ データベース タイプでは、外部ユーザ データベース内のグループ メンバーシップに基づいてユーザ グループ割り当てが行われます。また、他のデータベース タイプでは、所定のデータベースによって認証されたユーザがすべて、単一の Cisco Secure ACS ユーザ グループに割り当てられます。グループ マッピングの詳細については、 第16章「ユーザ グループ マッピングと仕様」 を参照してください。

RDBMS 同期化 :RDBMS 同期化を使用すると、多数のユーザ アカウントを作成することや、ユーザ アカウントに多くの設定を行うことができます。ユーザを一括でインポートする必要がある場合は必ずこの機能を使用することをお勧めします。ただし、初めて RDBMS 同期化を設定する場合は、重要な決定をいくつか行う必要があり、その決定事項を実装する時間が必要となります。詳細については、「RDBMS 同期化」を参照してください。

CSUtil.exe :CSUtil.exe コマンドライン ユーティリティは、基本ユーザ アカウントを作成する簡単な手段を提供します。RDBMS 同期化と比較すると、このユーティリティの機能は限られています。ただし、基本ユーザ アカウントをインポートしてユーザをグループに割り当てるための準備を簡単に行うことができます。詳細については、 付録 D「CSUtil データベース ユーティリティ」 を参照してください。

データベース複製 :データベース複製を使用すると、セカンダリ Cisco Secure ACS 上のすべての既存のユーザ アカウントをプライマリ Cisco Secure ACS からのユーザ アカウントで上書きすることによって、セカンダリ
Cisco Secure ACS 上にユーザ アカウントが作成されます。この複製によって、セカンダリ Cisco Secure ACS に固有のユーザ アカウントはすべて失われます。詳細については、「CiscoSecure データベース複製」を参照してください。

外部ユーザ データベースについて

ユーザの認証を 1 つまたは複数の外部ユーザ データベースに転送するように Cisco Secure ACS を設定できます。Cisco Secure ACS では、外部ユーザ データベースをサポートしているため、CiscoSecure ユーザ データベースにユーザ エントリの複製を作成する必要がありません。相当な規模のユーザ データベースがすでに構築されている企業では、データベース構築に対する過去の投資の結果を追加入力せずに、Cisco Secure ACS で活用できます。

ネットワーク アクセスの認証に加えて、Cisco Secure ACS は、外部ユーザ データベースを使用して TACACS+ イネーブル特権の認証も行うことができます。TACACS+ イネーブル パスワードの詳細については、「TACACS+ Enable Password オプションをユーザに対して設定する」を参照してください。


) 外部ユーザ データベースは、ユーザの認証、およびユーザを割り当てるグループの決定だけに使用できます。Cisco Secure ACS の内部の CiscoSecure ユーザ データベースは、すべての許可サービスを提供します。いくつかの例外を除いて、Cisco Secure ACS は、外部ユーザ データベースから許可データを取得できません。例外については、この章の特定のデータベースの説明を参照してください。未知ユーザに対するグループ マッピングの詳細については、第16章「ユーザ グループ マッピングと仕様」を参照してください。


次のデータベースを使用して、ユーザを認証できます。

Windows データベース

汎用 LDAP

Novell NetWare ディレクトリ サービス(NDS)

開放型データベース接続(ODBC)準拠のリレーショナル データベース

LEAP Proxy RADIUS サーバ

RSA SecureID トークン サーバ

RADIUS 準拠トークン サーバ

Cisco Secure ACS が外部ユーザ データベースと相互対話を行う場合は、Cisco Secure ACS に、サードパーティ製の認証ソース用の API が必要になります。Cisco Secure ACS は、この API を使用して、外部ユーザ データベースと通信します。Windows ユーザ データベースおよび汎用 LDAP の場合、外部認証用のプログラム インターフェイスは Cisco Secure ACS に対してローカルです。このような場合は、追加のコンポーネントは必要ありません。

Novell NDS 認証の場合は、Novell Requestor を Cisco Secure ACS と同じ Windows サーバにインストールする必要があります。

ODBC 認証ソースの場合は、Windows ODBC インターフェイスに加えて、サードパーティ製の ODBC ドライバを Cisco Secure ACS Windows サーバにインストールする必要があります。

RSA トークン サーバと通信するには、RSA によって提供されたソフトウェア コンポーネントをインストールする必要があります。他のベンダーのトークン サーバの場合は、標準の RADIUS インターフェイスがサードパーティ製 API の機能を果たします。

外部ユーザ データベースを使用した認証

外部ユーザ データベースを使用してユーザを認証するには、Cisco Secure ACS が外部ユーザ データベースと通信する設定以外にも設定が必要となります。この章に記載されている外部データベースのいずれか 1 つの設定手順を実行しても、それだけではそのデータベースを使用してユーザを認証するように Cisco Secure ACS を設定したことにはなりません。

外部ユーザ データベースと通信するように Cisco Secure ACS を設定した後で、次の 2 つの方法のいずれかで外部ユーザ データベースを使用してユーザを認証するように Cisco Secure ACS を設定できます。

特定のユーザ割り当てによる方法 :外部ユーザ データベースを使用して特定のユーザを認証するように Cisco Secure ACS を設定できます。この方法を実行するには、ユーザが CiscoSecure ユーザ データベースに存在し、User Setup の Password Authentication リストが、Cisco Secure ACS がユーザの認証に使用する外部ユーザ データベースとして設定されている必要があります。

各ユーザ アカウントについて Password Authentication を設定するのは時間がかかりますが、外部ユーザ データベースを使用して認証するユーザを判別するこの方法は、外部ユーザ データベースを使用して誰を認証するかを明示的に定義する必要があるため安全です。また、ユーザは、希望する Cisco Secure ACS グループに配置されるため、適用可能なアクセス プロファイルを受け取ります。

未知ユーザ ポリシーによる方法 :外部ユーザ データベースを使用して、CiscoSecure ユーザ データベースで見つけることができなかったユーザの認証を試みるように Cisco Secure ACS を設定できます。この方法では、CiscoSecure ユーザ データベースにユーザを定義する必要はありません。未知ユーザ ポリシーの詳細については、を参照してください。

上記 2 つの方法は相互排他的ではないため、両方の方法を使用して Cisco Secure ACS を設定することもできます。

外部ユーザ データベースを使用した認証プロセス

Cisco Secure ACS は、外部ユーザ データベースを使用してユーザ認証を試みるときに、ユーザ クレデンシャルを外部ユーザ データベースに転送します。外部ユーザ データベースは、Cisco Secure ACS からの認証要求を成功または失敗させます。Cisco Secure ACS は、外部ユーザ データベースからの応答を受信すると、外部ユーザ データベースからの応答に応じて、要求側 AAA クライアントにユーザ アクセスの許可または拒否を指示します。図 13-1 に、外部ユーザ データベースのある AAA 構成を示します。

図 13-1 簡単な AAA のシナリオ

 

外部ユーザ データベースとの通信に使用される方法の詳細は、データベース タイプによって異なります。LDAP および Novell NDS の場合、Cisco Secure ACS は TCP 接続を使用します。Windows ユーザ データベースの場合、Cisco Secure ACS は、Windows オペレーティング システムによって提供された認証 API を使用します。RSA トークン サーバの場合を除いて、Cisco Secure ACS は RADIUS を使用してトークン サーバと通信します。RSA トークン サーバの場合、Cisco Secure ACS は、RSA 独自のインターフェイスを使用するために RSA クライアントとして動作します。

詳細については、対象となるデータベース タイプに関する項を参照してください。

Windows ユーザ データベース

Windows ユーザ データベースを使用してユーザを認証するように Cisco Secure ACS を設定できます。

この項では、次のトピックについて取り上げます。

「Windows ユーザ データベースでのサポート内容」

「Windows ユーザ データベースを使用した認証」

「信頼関係」

「Windows ダイヤルアップ ネットワーキング クライアント」

「Domain フィールドを持つ Windows ダイヤルアップ ネットワーキング クライアント」

「Domain フィールドを持たない Windows ダイヤルアップ ネットワーキング クライアント」

「ユーザ名と Windows 認証」

「ユーザ名フォーマットと Windows 認証」

「ドメイン修飾されていないユーザ名」

「ドメイン修飾されたユーザ名」

「UPN ユーザ名」

「EAP および Windows 認証」

「EAP-TLS ドメインのストリッピング」

「マシン認証」

「Machine Access Restrictions」

「Microsoft Windows とマシン認証」

「マシン認証のイネーブル化」

「Windows ユーザ データベースを使用した、ユーザによる変更が可能なパスワード」

「Windows を使用したユーザ認証の準備」

「Windows ユーザ データベース設定オプション」

「Windows 外部ユーザ データベースの設定」

Windows ユーザ データベースでのサポート内容

Cisco Secure ACS は、次の機能について、Windows 外部ユーザ データベースの使用をサポートします。

ユーザ認証 :Cisco Secure ACS は、Windows NT 4.0 Security Accounts Manager(SAM)データベースまたは Windows 2000 Active Directory データベースを使用した、ASCII、PAP、MS-CHAP(バージョン 1 および 2)、LEAP、PEAP(EAP-GTC)、PEAP(EAP-MSCHAPv2)、および EAP-FAST(フェーズ 0 およびフェーズ 2)認証をサポートします。また、Cisco Secure ACS は、Windows Active Directory データベースを使用した EAP-TLS 認証もサポートします。他の認証プロトコルは、Windows 外部ユーザ データベースでサポートされません。


) Windows 外部ユーザ データベースでサポートされない認証プロトコルは、別の外部ユーザ データベースでサポートされる場合があります。認証プロトコル、およびそのプロトコルをサポートする外部データベース タイプの詳細については、「認証プロトコルとデータベースの互換性」を参照してください。


マシン認証 :Cisco Secure ACS は、EAP-TLS および PEAP(EAP-MSCHAPv2)を使用したマシン認証をサポートします。詳細については、「EAP および Windows 認証」を参照してください。

未知ユーザに対するグループ マッピング :Cisco Secure ACS は、Windows ユーザ データベースにグループ メンバーシップ情報を要求することによって、未知ユーザに対するグループ マッピングをサポートします。Windows ユーザ データベースで認証されたユーザに対するグループ マッピングの詳細については、「グループ セット メンバーシップによるグループ マッピング」を参照してください。

パスワード エージング :Cisco Secure ACS は、Windows ユーザ データベースによって認証されたユーザに対するパスワード エージングをサポートします。詳細については、「Windows ユーザ データベースを使用した、ユーザによる変更が可能なパスワード」を参照してください。

ダイヤルイン アクセス権 :Cisco Secure ACS は、Windows ユーザ データベースからのダイヤルイン アクセス権の使用をサポートします。詳細については、「Windows を使用したユーザ認証の準備」を参照してください。

コールバック設定 :Cisco Secure ACS は、Windows ユーザ データベースからのコールバック設定の使用をサポートします。Windows コールバック設定を使用するように Cisco Secure ACS を設定する方法については、「ユーザ コールバック オプションの設定」を参照してください。

Windows ユーザ データベースを使用した認証

Cisco Secure ACS は、Cisco Secure ACS を実行しているコンピュータの Windows オペレーティング システムにユーザ クレデンシャルを渡すことによって、Windows データベースにユーザ クレデンシャルを転送します。Windows データベースは、Cisco Secure ACS からの認証要求を成功または失敗させます。Cisco Secure ACS は、Windows データベースからの応答を受信すると、Windows データベースからの応答に応じて、要求側 AAA クライアントにユーザ アクセスの許可または拒否を指示します。

Cisco Secure ACS は、ユーザが割り当てられている Cisco Secure ACS グループに基づいて、許可を与えます。ユーザが割り当てられているグループは Windows データベースからの情報によって判別可能ですが、許可特権を与えるのは Cisco Secure ACS です。

ユーザにダイヤルインを許可する設定をチェックするように Cisco Secure ACS を設定して、ユーザによるアクセスをさらに制御することもできます。この設定は、Windows NT では「Grant dialin permission to user」、Windows 2000 の Remote Access Permission 領域では「Allow access」とラベルが付けられています。この機能がそのユーザに対してディセーブルである場合、ユーザ名とパスワードが正しく入力されてもアクセスは許可されません。

信頼関係

Cisco Secure ACS は、Windows ドメイン間で確立された信頼関係を十分に活用できます。Cisco Secure ACS が含まれているドメインが別のドメインを信頼している場合、Cisco Secure ACS は、別のドメインにアカウントが存在するユーザを認証できます。さらに、Cisco Secure ACS は、信頼ドメイン間で Grant dialin permission to user の設定も参照できます。


) Cisco Secure ACS がドメイン コントローラ以外のメンバー サーバ上で動作している場合、信頼関係を活用できるかどうかは、Cisco Secure ACS のインストール時に適切な設定を行ったかどうかによって異なります。詳細については、『Installation Guide for Cisco Secure ACS for Windows Server』の「Windows Authentication from a Member Server」を参照してください。


Cisco Secure ACS は、Windows 認証の間接信頼を活用できます。たとえば、Windows ドメインの A、B、および C が存在し、Cisco Secure ACS がドメイン A のサーバに常駐しているときに、ドメイン A はドメイン B を信頼していますが、ドメイン A とドメイン C の間には信頼関係は確立されていないとします。ドメイン B がドメイン C を信頼している場合には、ドメイン A の Cisco Secure ACS は、ドメイン C の間接信頼関係を利用して、ドメイン C にアカウントが存在するユーザを認証できます。

信頼関係の詳細については、Microsoft Windows マニュアルを参照してください。

Windows ダイヤルアップ ネットワーキング クライアント

Windows NT/2000/XP Professional および Windows 95/98/Millennium Edition(ME)/XP Home のダイヤルアップ ネットワーキング クライアントは、ユーザをネットワークにリモート接続できるようにしますが、指定するフィールドは異なります。

Domain フィールドを持つ Windows ダイヤルアップ ネットワーキング クライアント

ユーザが Windows NT、Windows 2000、または Windows XP Professional で提供されるダイヤルアップ ネットワーキング クライアントを使用してネットワークにダイヤルインする場合は、次の 3 つのフィールドが表示されます。

username :ユーザ名を入力します。

password :パスワードを入力します。

domain :有効なドメイン名を入力します。


) domain ボックスに入力する場合とブランクのまま残す場合の違いについては、「ドメイン修飾されていないユーザ名」を参照してください。


Domain フィールドを持たない Windows ダイヤルアップ ネットワーキング クライアント

ユーザが Windows 95、Windows 98、Windows ME、または Windows XP Home で提供されるダイヤルアップ ネットワーキング クライアントを使用してネットワークにアクセスする場合は、次の 2 つのフィールドが表示されます。

username :ユーザ名を入力します。


) ログインするドメイン名をユーザ名の前にプレフィックスとして付けることもできます。ユーザ名の前にドメイン名をプレフィックスとして付ける場合と付けない場合の違いについては、「ドメイン修飾されていないユーザ名」を参照してください。


password :パスワードを入力します。

ユーザ名と Windows 認証

この項では、次のトピックについて取り上げます。

「ユーザ名フォーマットと Windows 認証」

「ドメイン修飾されていないユーザ名」

「ドメイン修飾されたユーザ名」

「UPN ユーザ名」

ユーザ名フォーマットと Windows 認証

Cisco Secure ACS は、さまざまなフォーマットのユーザ名に対する Windows 認証をサポートしています。Cisco Secure ACS は、Windows 認証を試みる場合、まずユーザ名フォーマットを特定し、適切な方法で Windows にユーザ名を送信します。Cisco Secure ACS による信頼性の高い Windows 認証を実装するには、Cisco Secure ACS がユーザ名フォーマットを特定する方法、各フォーマットをサポートする方法、およびサポート タイプの関連性を理解する必要があります。

Windows 認証用に送信されたユーザ名のフォーマットを特定するために、Cisco Secure ACS は、ユーザ名に次の 2 つの特殊文字が含まれるかどうかを調べます。

@(「アット」マーク)

\(「バックスラッシュ」文字)

ユーザ名にこれら 2 つの文字が含まれるかどうか、およびこれらの文字の位置に基づいて、Cisco Secure ACS は次のようにユーザ名フォーマットを特定します。

1. ユーザ名に「バックスラッシュ」文字も「アット」マークも含まれていない場合、Cisco Secure ACS はそのユーザ名をドメイン修飾されていないと見なします。たとえば、ユーザ名 cyril.yang はドメイン修飾されていません。詳細については、「ドメイン修飾されていないユーザ名」を参照してください。

2. ユーザ名に「バックスラッシュ」文字が含まれており、その「バックスラッシュ」文字の前に「アット」マークが 1 つもない場合、Cisco Secure ACS はそのユーザ名をドメイン修飾されていると見なします。たとえば、Cisco Secure ACS は、次のユーザ名をドメイン修飾されていると見なします。

MAIN\cyril.yang

MAIN\cyril.yang@central-office

詳細については、「ドメイン修飾されたユーザ名」を参照してください。

3. ユーザ名に、「バックスラッシュ」文字が前に置かれていない「アット」マークが含まれている場合、Cisco Secure ACS はそのユーザ名を UPN フォーマットであると見なします。たとえば、Cisco Secure ACS は、次のユーザ名を UPN ユーザ名であると見なします。

cyril.yang@example.com

cyril.yang@main.example.com

cyril.yang@main

cyril.yang@central-office@example.com

cyril.yang@main\example.com

詳細については、「UPN ユーザ名」を参照してください。

ドメイン修飾されていないユーザ名

Cisco Secure ACS は、ユーザ名に「アット」マークが含まれていない場合、ドメイン修飾されていないユーザ名の Windows 認証をサポートします。ユーザ名に「アット」マークが含まれるユーザは、UPN フォーマットまたはドメイン修飾フォーマットのいずれかでユーザ名を送信する必要があります。ドメイン修飾されていないユーザ名とは、cyril.yang や msmith などです。

複数のドメインを持つ Windows 環境では、ドメイン修飾されていないユーザ名の認証結果が異なることがあります。これは、Cisco Secure ACS ではなく Windows が、ドメイン修飾されていないユーザ名の認証に使用するドメインを決めるためです。Windows は、ローカル ドメイン データベース内でそのユーザ名を検出できない場合、すべての信頼ドメインをチェックします。Cisco Secure ACS がメンバー サーバ上で動作しており、信頼ドメイン内でそのユーザ名が検出されない場合、Windows はローカル アカウント データベースもチェックします。Windows は、最初に検出したユーザ名を使用してユーザを認証しようとします。

ドメイン修飾されていないユーザ名の Windows 認証が成功した場合、認証によって割り当てられる特権は、ユーザ名とパスワードが一致した最初のドメインの Windows ユーザ アカウントに関連付けられているものです。また、このことから、ユーザ アカウントが必要でなくなった場合にドメインからユーザ名を削除することの重要性がわかります。


) ユーザによって送信されたクレデンシャルが、Windows が最初に検出したユーザ名に関連付けられているクレデンシャルと一致しない場合、認証は失敗します。したがって、異なるドメイン内の異なるユーザがまったく同じユーザ名を持っており、ドメイン修飾されていないユーザ名を使用してログインすると、認証が失敗することがあります。


Windows 認証をサポートするために Domain List の使用は必須ではありませんが、Domain List を使用すると、ドメイン修飾されていないユーザ名が原因で発生する認証の失敗を減らすことができます。External User Databases セクションの Windows User Database Configuration ページに Domain List が設定されている場合、Cisco Secure ACS はユーザの認証に成功するまで、ユーザ名とパスワードをドメイン修飾フォーマットでリストの各ドメインに送信します。Cisco Secure ACS が Domain List に設定されているすべてのドメインに認証を要求した場合、または Domain List に信頼ドメインが設定されていない場合には、Cisco Secure ACS はユーザ認証の試行を停止して、そのユーザのアクセスを許可しません。


Domain List にドメインが含まれており、Windows SAM または Active Directory ユーザ データベースが、数回試行に失敗するとユーザをロックアウトするように設定されている場合には、Cisco Secure ACS は Domain List の各ドメインの認証を明示的に試行するため、ユーザが偶然ロックアウトされて、異なるドメインに存在する同一ユーザ名に対する認証が失敗することがあります。


ドメイン修飾されたユーザ名

特定ドメインでユーザを認証する最も確かな方法は、ユーザ名の認証を行うドメイン名をユーザ名と一緒に送信するよう要求することです。ドメイン修飾されたユーザ名の認証は、Windows が正しいドメインで認証を試行することにも、Domain List を使用して Cisco Secure ACS にドメイン修飾フォーマットで繰り返しユーザ名を送信するように指示することにも依存せず、特定のドメインに転送されます。

ドメイン修飾されたユーザ名のフォーマットは、次のとおりです。

DOMAIN\user

たとえば、Domain10 のユーザ Mary Smith(msmith)のドメイン修飾されたユーザ名は Domain10\msmith となります。

cyril.yang@central-office のように「アット」マークを含むユーザ名の場合、ドメイン修飾されたユーザ名フォーマットを使用する必要があります。たとえば、MAIN\cyril.yang@central-office のようになります。「アット」マークを含むユーザ名を非ドメイン修飾フォーマットで受信した場合、Cisco Secure ACS はそのユーザ名を UPN フォーマットであると見なします。詳細については、「UPN ユーザ名」を参照してください。

UPN ユーザ名

Cisco Secure ACS は、cyril.yang@example.com や cyril.yang@central-office@example.com など、User Principal Name(UPN)フォーマットのユーザ名の認証をサポートしています。

デフォルトでは、使用される認証プロトコルが EAP-TLS である場合、Cisco Secure ACS はユーザ名を UPN フォーマットで Windows に送信します。ただし、最後の「アット」マーク(@)以降のすべての文字をユーザ名から削除するように Cisco Secure ACS を設定できます。詳細については、「EAP-TLS ドメインのストリッピング」を参照してください。

Windows データベースでサポートできる他のすべての認証プロトコルの場合、Cisco Secure ACS は、最後の「アット」マーク(@)以降のすべての文字を削除したユーザ名を Windows に送信します。この動作により、「アット」マークを含むユーザ名を使用できます。例:

受信したユーザ名が cyril.yang@example.com である場合、Cisco Secure ACS は、ユーザ名 cyril.yang を含む認証要求を Windows に送信します。

受信したユーザ名が cyril.yang@central-office@example.com である場合、
Cisco Secure ACS は、ユーザ名 cyril.yang@central-office を含む認証要求を Windows に送信します。


) Cisco Secure ACS は、「アット」マークを含むドメイン修飾されていないユーザ名と、UPN ユーザ名を区別できません。「バックスラッシュ」文字が前に置かれていない「アット」マークを含むユーザ名はすべて、最後の「アット」マークと後続の文字が削除されて Windows に送信されます。ユーザ名に「アット」マークが含まれるユーザは、UPN フォーマットまたはドメイン修飾フォーマットのいずれかでユーザ名を送信する必要があります。


EAP および Windows 認証

この項では、Windows User Database Configuration ページで設定できる、Windows 固有の EAP 機能について説明します。

この項では、次のトピックについて取り上げます。

「EAP-TLS ドメインのストリッピング」

「マシン認証」

「Machine Access Restrictions」

「Microsoft Windows とマシン認証」

「マシン認証のイネーブル化」

EAP-TLS ドメインのストリッピング

Windows Active Directory を使用して EAP-TLS でユーザを認証する場合、Cisco Secure ACS では、ユーザ証明書の Subject Alternative Name フィールドに保存されているユーザ名からドメイン名を削除(ストリッピング)できます。ドメイン名のストリッピングを実行すると、ユーザを認証する必要のあるドメインが SAN フィールドに表示されているドメインではない場合に、EAP-TLS 認証の速度が上がります。

たとえば、ユーザの SAN フィールドに「jsmith@corporation.com」と表示されている場合に、jsmith に「engineering」というサブドメインのドメイン コントローラを使用した認証が必要であるとします。ユーザ名から「@corporation.com」を削除することにより、corporation.com ドメイン コントローラに対して jsmith を認証しようとする不必要な試みを省略できます。ドメイン名を削除しないと、Cisco Secure ACS は、corporation.com 内に jsmith がないことを確認してから、Domain List を使用して engineering ドメイン内でユーザを検出します。そのために、数秒間、処理が遅くなる可能性があります。Domain List の詳細については、「ドメイン修飾されていないユーザ名」を参照してください。

EAP-TLS ドメイン名のストリッピングは、Windows User Database Configuration ページでイネーブルにできます。


) EAP-TLS ドメイン名ストリッピングは、UPN フォーマットのユーザ名のサポートとは無関係に機能します。UPN フォーマットのユーザ名の Windows 認証に対するサポートについては、「UPN ユーザ名」を参照してください。


マシン認証

Cisco Secure ACS は、Windows XP Service Pack 1 など、EAP コンピュータ認証をサポートする Microsoft Windows オペレーティング システムを実行しているコンピュータの認証をサポートします。マシン認証は、コンピュータ認証とも呼ばれ、Active Directory に既知のコンピュータに対してだけネットワーク サービスを許可します。これは、物理的な作業設備外から権限のないユーザが無線アクセス ポイントにアクセスできる無線ネットワークで特に役立ちます。

マシン認証をイネーブルにした場合、3 つの異なる種類の認証が行われます。コンピュータを起動すると、次の順序で認証が行われます。

マシン認証 :ユーザ認証の前に、Cisco Secure ACS によってコンピュータが認証されます。Cisco Secure ACS は、Windows ユーザ データベースに対してコンピュータが与えたクレデンシャルを確認します。Active Directory を使用していて Active Directory 内の一致するコンピュータ アカウントに同じクレデンシャルがある場合、コンピュータは Windows ドメイン サービスへのアクセスを許可されます。

ユーザ ドメイン認証 :マシン認証が成功すると、ユーザが Windows ドメインで認証されます。マシン認証が失敗すると、コンピュータは Windows ドメイン サービスへのアクセスを許可されず、ローカル オペレーティング システムに保持されているキャッシュ クレデンシャルを使用してユーザ クレデンシャルが認証されます。ドメインの代わりにキャッシュ クレデンシャルでユーザが認証された場合、コンピュータは、ドメインによって指示されたログイン スクリプトの実行などのドメイン ポリシーを適用しません。


ヒント ユーザ パスワードが最後に変更されてから、ユーザがまだコンピュータを使用してドメインに正常にログインしていない場合は、そのコンピュータのマシン認証が失敗すると、コンピュータ上のキャッシュ クレデンシャルは新規パスワードと一致しません。ユーザがこのコンピュータからドメインへ正常にログインしたことがあれば、キャッシュ クレデンシャルは古いパスワードと一致していることになります。


ユーザ ネットワーク認証 :ユーザが Cisco Secure ACS によって認証され、ネットワーク接続を許可されます。ユーザ プロファイルが存在する場合は、指定されたユーザ データベースがユーザの認証に使用されます。ユーザ データベースが Windows ユーザ データベースである必要はありませんが、ほとんどの Microsoft クライアントは、ユーザ ドメイン認証と同じクレデンシャルを使用してネットワーク認証を自動的に実行するように設定できます。そのため、シングル サインオンが可能になります。


) また、Microsoft PEAP クライアントは、ユーザがログオフするたびにマシン認証を開始します。これは、次のユーザ ログインのネットワーク接続を準備するためです。Microsoft PEAP クライアントは、ユーザがログオフではなくコンピュータのシャットダウンや再起動を選択した場合にも、マシン認証を開始する場合があります。


Cisco Secure ACS は、マシン認証で EAP-TLS と PEAP(EAP-MSCHAPv2)の両方をサポートしています。Windows User Database Configuration ページでそれぞれを個別にイネーブルにして、EAP-TLS または PEAP(EAP-MSCHAPv2)で認証した複数のコンピュータを混合させることができます。マシン認証を実行する Microsoft オペレーティング システムでは、ユーザ認証プロトコルが、マシン認証に使用されたのと同じプロトコルに制限される場合があります。Microsoft オペレーティング システムとマシン認証の詳細については、「Microsoft Windows とマシン認証」を参照してください。

未知ユーザ ポリシーは、マシン認証をサポートしています。Cisco Secure ACS にとって未知であったコンピュータは、ユーザの場合と同様に処理されます。未知ユーザ ポリシーがイネーブルで、Active Directory 外部ユーザ データベースが Configure Unknown User Policy ページの Selected Databases リストに組み込まれている場合は、Active Directory に対して示されたマシン クレデンシャルが有効であれば、マシン認証が成功します。

マシンの認証を実行するよう設定されているコンピュータでは、コンピュータの起動時にマシンの認証が行われます。AAA クライアントが RADIUS アカウンティング データを Cisco Secure ACS に送信する場合、コンピュータが起動されると、ユーザがそのコンピュータにログインする前に、Reports and Activity セクションの Logged-In Users List にそのコンピュータが表示されます。ユーザの認証が開始されると、コンピュータは Logged-In Users List に表示されなくなります。

PEAP ベースのマシン認証では、PEAP(EAP-MSCHAPv2)と、Microsoft Windows ドメインへの追加時に自動的に確立されたコンピュータのパスワードが使用されます。コンピュータは、名前をユーザ名として次のフォーマットで送信します。

host/computer.domain

ここで、 computer はコンピュータの名前、 domain はコンピュータが属するドメインです。サブドメインも使用される場合、ドメイン セグメントにはサブドメインも含まれることがあります。その場合、フォーマットは次のようになります。

host/computer.subdomain.domain

認証されたコンピュータのユーザ名は CiscoSecure ユーザ データベースに表示されます。未知ユーザの処理をイネーブルにした場合は、コンピュータが正常に認証されると Cisco Secure ACS によって自動的に追加されます。認証時にドメイン名は使用されません。

EAP-TLS ベースの認証では、EAP-TLS を使用して、クライアント証明書を使用するコンピュータを認証します。コンピュータが使用する証明書は、コンピュータがドメインに追加されたときに自動的にインストールされた証明書や、ローカル マシンのストレージに後から追加された証明書です。PEAP ベースのマシン認証と同様に、コンピュータ名がコンピュータ クライアント証明書に含まれる形で CiscoSecure ユーザ データベースに表示され、コンピュータ名に対応するユーザ プロファイルは、Windows 外部ユーザ データベースを使用して認証するよう設定されている必要があります。未知ユーザの処理をイネーブルにした場合は、コンピュータが正常に認証されると Cisco Secure ACS によってコンピュータ名が自動的に CiscoSecure ユーザ データベースに追加されます。また、作成されたユーザ プロファイルが、ユーザが検出された外部ユーザ データベースを使用するように設定されます。マシン認証の場合、これは必ず Windows 外部ユーザ データベースになります。

Machine Access Restrictions

ネットワークへのアクセスに使用するコンピュータのマシン認証に基づき、Windows によって認証される EAP-TLS ユーザおよび Microsoft PEAP ユーザの許可を制御する追加手段として、Machine Access Restrictions(MAR)機能を使用できます。MAR 機能をイネーブルにすると、Cisco Secure ACS は次のように動作します。

成功したマシン認証ごとに、Cisco Secure ACS は、IETF RADIUS Calling- Station-Id アトリビュート(31)で受信した値を、その成功したマシン認証の証拠としてキャッシュします。Cisco Secure ACS は、各 Calling-Station-Id アトリビュート値を、Windows User Database Configuration ページに指定されている期間(時間単位)保存した後、キャッシュから削除します。

ユーザが EAP-TLS または Microsoft PEAP エンドユーザ クライアントで認証する場合、Cisco Secure ACS は、成功したマシン認証の Calling-Station-Id 値のキャッシュを検索して、ユーザ認証要求で受信した Calling-Station-Id 値を見つけようとします。Cisco Secure ACS がキャッシュ内でユーザ認証 Calling-Station-Id 値を見つけるかどうかによって、Cisco Secure ACS が、認証を要求しているユーザをユーザ グループに割り当てる方法が異なります。

Calling-Station-Id 値がキャッシュ内で見つかった場合 :Cisco Secure ACS は、通常の方法で、ユーザをユーザ グループに割り当てます。その方法には、ユーザ プロファイルにおけるグループの手動指定、グループ マッピング、RADIUS ベースのグループ指定が含まれます。たとえば、認証に成功したコンピュータでユーザがログインし、ユーザ プロファイルによってそのユーザがグループ 137 のメンバーであることが示されている場合、Cisco Secure ACS はグループ 137 に指定されている許可設定をユーザ セッションに適用します。

Calling-Station-Id 値がキャッシュ内で見つからなかった場合
Cisco Secure ACS は、「Group map for successful user authentication without machine authentication」リストによって指定されているユーザ グループにユーザを割り当てます。これには、<No Access> グループが含まれることもあります。


) ユーザ プロファイルの設定は、グループ プロファイルの設定よりも優先されます。「Group map for successful user authentication without machine authentication」リストで指定されているグループによって拒否されている許可がユーザ プロファイルによって与えられている場合、Cisco Secure ACS はその許可を与えます。


MAR 機能は、完全な EAP-TLS および Microsoft PEAP 認証をサポートし、EAP-TLS および Microsoft PEAP の再開セッションや Microsoft PEAP の高速再接続もサポートします。

MAR 機能には、次の制限および要件があります。

マシン認証がイネーブルである必要がある。

ユーザが EAP-TLS または Microsoft PEAP クライアントで認証する必要がある。MAR は、EAP-FAST、LEAP、MS-CHAP など、他のプロトコルで認証されるユーザには適用されません。

AAA クライアントが IETF RADIUS Calling-Station-Id アトリビュート(31)で値を送信する必要がある。

Cisco Secure ACS は、成功したマシン認証の Calling-Station-Id アトリビュート値のキャッシュを複製しない。

Microsoft Windows とマシン認証

Cisco Secure ACS は、Windows 2000 の Active Directory でのマシン認証をサポートしています。Windows 2000 Active Directory でのマシン認証のサポートをイネーブルにするには、次のことが必要です。

Active Directory を実行しているコンピュータに Service Pack 4 を適用する。

Microsoft Knowledge Base 記事 306260『Cannot Modify Dial-In Permissions for Computers That Use Wireless Networking』の手順を実行する。

マシン認証をサポートしているクライアント オペレーティング システムは次のとおりです。

Microsoft Windows XP。Service Pack 1 が適用されている必要があります。

Microsoft Windows 2000。次のものが適用されている必要があります。

Service Pack 4

パッチ Q313664( Microsoft.com から入手できます)

次のリストに、Cisco Aironet 350 無線アダプタを備えたクライアント コンピュータでマシン認証をイネーブルにする際の重要な詳細情報を示します。Microsoft Windows オペレーティング システムでのマシン認証のイネーブル化の詳細については、Microsoft 社のマニュアルを参照してください。

1. 無線ネットワーク アダプタが正しくインストールされていることを確認します。詳細については、無線ネットワーク アダプタに添付されているマニュアルを参照してください。

2. Cisco Secure ACS サーバ証明書を発行した認証局(CA)の CA 証明書が、クライアント コンピュータのマシン ストレージに保存されていることを確認します。マシン認証中、ユーザ ストレージは使用できないので、CA 証明書がユーザ ストレージにある場合、マシン認証は失敗します。

3. 無線ネットワークを選択します。

Windows XP では、無線ネットワーク接続プロパティの Wireless Networks タブでネットワークを選択できます。

Windows 2000 では、無線ネットワークの SSID を手動で入力できます。これは、無線ネットワーク アダプタの properties ダイアログボックスの Advanced タブで行います。

4. PEAP マシン認証をイネーブルにするには、Authentication タブを設定します。Windows XP では、無線ネットワークのプロパティから Authentication タブを使用できます。Windows 2000 では、無線ネットワーク接続のプロパティから使用できます。

a. Enable network access control using IEEE 802.1X チェックボックスをオンにします。

b. Authenticate as computer when computer information is available チェックボックスをオンにします。

c. EAP type リストから、 Protected EAP (PEAP) を選択します。

d. Protected EAP Properties ダイアログボックスで Validate server certificate チェックボックスをオンにすることによって、Cisco Secure ACS に有効なサーバ証明書を持たせることができます。このチェックボックスをオンにする場合は、適切な Trusted Root Certification Authorities も選択する必要があります。

e. また、 Select Authentication Method リストから PEAP properties ダイアログボックスを開き、 Secured password (EAP-MSCHAP v2) を選択します。

5. EAP-TLS マシン認証をイネーブルにするには、Authentication タブを設定します。Windows XP では、無線ネットワークのプロパティから Authentication タブを使用できます。Windows 2000 では、無線ネットワーク接続のプロパティから使用できます。

a. Enable network access control using IEEE 802.1X チェックボックスをオンにします。

b. Authenticate as computer when computer information is available チェックボックスをオンにします。

c. EAP type リストから、 Smart Card or other Certificate を選択します。

d. Smart Card ダイアログボックスまたはその他の Certificate Properties ダイアログボックスで、 Use a certificate on this computer オプションを選択します。

e. Smart Card ダイアログボックスまたはその他の Certificate Properties ダイアログボックスでは、 Validate server certificate チェックボックスをオンにすることによって、Cisco Secure ACS に有効なサーバ証明書を持たせることもできます。このチェックボックスをオンにする場合は、適切な Trusted Root Certification Authorities も選択する必要があります。

ドメイン コントローラ上に Microsoft 認証局サーバが設定されているときは、ドメインにコンピュータが追加された際にクライアント証明書が自動的に作成されるように、Active Directory 内のポリシーを設定できます。詳細については、 Microsoft Knowledge Base 記事 313407『HOW TO: Create Automatic Certificate Requests with Group Policy in Windows』を参照してください。

マシン認証のイネーブル化

ここでは、マシン認証をサポートするように Cisco Secure ACS を設定するために必要な手順について概説します。


) エンドユーザ クライアント コンピュータと該当する Active Directory がマシン認証をサポートするように設定されている必要があります。ここでは、Cisco Secure ACS の設定だけを取り上げます。マシン認証をサポートするための Microsoft Windows オペレーティング システムの設定の詳細については、「Microsoft Windows とマシン認証」を参照してください。


Cisco Secure ACS でマシン認証を実行できるようにするには、次の手順を実行します。


ステップ 1 Cisco Secure ACS にサーバ証明書をインストールします。
PEAP(EAP-MSCHAPv2)および EAP-TLS にはサーバ証明書が必要です。Cisco Secure ACS は、単一の証明書を使用して両方のプロトコルをサポートします。詳細な手順については、を参照してください。


) EAP-TLS または PEAP ユーザ認証をサポートするため、またはリモート Cisco Secure ACS 管理の HTTPS 保護をサポートするために、証明書をインストールしている場合は、この手順を実行する必要はありません。単一のサーバ証明書で、証明書ベースのすべての Cisco Secure ACS サービスおよびリモート管理がサポートされます。


ステップ 2 EAP-TLS マシン認証では、Cisco Secure ACS でサーバ証明書を発行した CA 以外の CA によってエンドユーザ クライアント上の証明書が発行された場合、その CA が信頼されるように証明書信頼リストを編集する必要があります。この手順を実行しないと、サーバ証明書の CA がエンドユーザ クライアント証明書の CA と異なる場合、EAP-TLS は正常に動作しますが、正しい CA が信頼されないため、EAP-TLS マシン認証は拒否されます。詳細な手順については、を参照してください。

ステップ 3 Global Authentication Setup ページで該当するプロトコルをイネーブルにします。

PEAP でのマシン認証をサポートするには、PEAP(EAP-MSCHAPv2)プロトコルをイネーブルにします。

EAP-TLS でのマシン認証をサポートするには、EAP-TLS プロトコルをイネーブルにします。

Cisco Secure ACS では、この手順は、ステップ 1 が正常に完了している場合にだけ実行できます。詳細な手順については、を参照してください。

ステップ 4 Windows User Database Configuration ページで Windows 外部ユーザ データベースを設定し、該当するマシン認証のタイプをイネーブルにします。

PEAP でのマシン認証をサポートするには、 Permit PEAP machine authentication チェックボックスをオンにします。

EAP-TLS でのマシン認証をサポートするには、 Permit EAP-TLS machine authentication チェックボックスをオンにします。

ユーザ認証に加えてマシン認証を要求するには、 Enable machine access restrictions チェックボックスをオンにします。


) Windows 外部ユーザ データベースをすでに設定してある場合は、その設定を変更して、該当するマシン認証のタイプをイネーブルにします。


詳細な手順については、「Windows 外部ユーザ データベースの設定」を参照してください。

Cisco Secure ACS で、CiscoSecure ユーザ データベースに名前のあるコンピュータのマシン認証を実行できるようになります。

ステップ 5 まだ Unknown User Policy をイネーブルにしていなく、Selected Databases リストへ Windows 外部ユーザ データベースを追加してない場合は、それを実行して Cisco Secure ACS にとって未知のコンピュータを認証できるようにすることを検討します。詳細な手順については、を参照してください。


) マシン認証をサポートするために未知ユーザ ポリシーをイネーブルにすると、ユーザ認証に対しても未知ユーザ ポリシーがイネーブルになります。Cisco Secure ACS では、コンピュータとユーザでの未知ユーザのサポートは区別されません。


Cisco Secure ACS で、CiscoSecure ユーザ データベースにコンピュータ名があるかどうかに関わらず、コンピュータのマシン認証を実行できるようになります。


 

Windows ユーザ データベースを使用した、ユーザによる変更が可能なパスワード

Cisco Secure ACS では、Windows ユーザ データベースで認証するネットワーク ユーザに対して、パスワード失効時にユーザによる変更が可能なパスワードをサポートします。この機能は、External User Databases セクションの Windows User Database Configuration ページにある MS-CHAP Settings テーブルおよび Windows EAP Settings テーブルでイネーブルにできます。この機能をネットワークで使用するには、次の条件を満たしている必要があります。

ユーザが Windows Active Directory または SAM ユーザ データベースに存在する。

Cisco Secure ACS のユーザ アカウントが、認証に Windows ユーザ データベースを指定している。

エンドユーザ クライアントに、MS-CHAP、PEAP(EAP-GTC)、PEAP(EAP-MSCHAPv2)、または EAP-FAST との互換性がある。

エンドユーザ クライアントが接続する AAA クライアントは、該当するプロトコルをサポートする。

MS-CHAP パスワード エージングのために、AAA クライアントが RADIUS ベースの MS-CHAP 認証をサポートする。

PEAP(EAP-MSCHAPv2)、PEAP(EAP-GTC)、および EAP-FAST パスワード エージングのために、AAA クライアントが EAP をサポートする。

上記の条件が満たされ、この機能がイネーブルになっている場合には、パスワードの失効後、最初に認証に成功したときに、ユーザに対してパスワードの変更を要求するダイアログボックスが表示されます。このダイアログボックスは、パスワードが失効したユーザが、リモート アクセス サーバ経由でネットワークにアクセスしたときに Windows によって表示されるダイアログボックスと同じです。

Cisco Secure ACS でのパスワード エージング サポートの詳細については、「パスワード エージングを Windows データベースのユーザに対してイネーブルにする」を参照してください。

Windows を使用したユーザ認証の準備

Windows ユーザ データベースを認証に使用する前に、次の手順を実行します。


ステップ 1 ユーザ名が Windows ユーザ データベースに存在していることを確認します。

ステップ 2 Windows で、ユーザ アカウントごとに次の User Properties チェックボックスをオフにします。

User must change password at next logon

Account disabled

ステップ 3 Windows NT の内部からダイヤルイン アクセスを制御するには、 Dial-in をクリックして、 Grant dialin permission to user を選択します。Windows 2000 で User Properties ダイアログボックスを表示し、 Dial-In タブを選択して、Remote Access 領域の Allow access をクリックします。また、Cisco Secure ACS の External User Databases セクションの Database Group Mapping で、この機能を参照するオプションも設定する必要があります。


 

Windows ユーザ データベース設定オプション

Windows User Database Configuration ページには、次の設定オプションがあります。

Dialin Permission :Windows アカウントに Windows ダイヤルイン アクセス権があるユーザだけにネットワーク アクセスを許可できます。Grant dialin permission to user チェックボックスにより、この機能が制御されます。


) この機能は、Windows 外部ユーザ データベースを使用して Cisco Secure ACS によって認証されるすべてのユーザに適用されます。機能の名前は Dialin Permission ですが、ダイヤルアップ クライアントでネットワークにアクセスするユーザだけはなく、クライアントのタイプに関係なく適用されます。たとえば、Cisco Secure ACS を RADIUS サーバとして使用して Telnet セッションを認証するように PIX Firewall を設定した場合、Dialin Permission 機能がイネーブルで、Windows ユーザ アカウントにダイヤルイン アクセス権がないと、Windows 外部ユーザ データベースによって認証されるユーザは、PIX Firewall への Telnet アクセスを拒否されます。



ヒント Windows ダイヤルイン アクセス権は、Windows NT のユーザ プロパティの Dialin セクションおよび Windows 2000 のユーザ プロパティの Dial-in タブでイネーブルにできます。


Configure Domain List :Domain List により、ドメイン修飾されていないユーザ名に対するユーザ認証が要求された場合の Cisco Secure ACS の動作が制御されます。Domain List にドメインが設定されておらず、最初のユーザ認証要求が Windows によって拒否された場合、Cisco Secure ACS はユーザ認証の試行を停止します。Domain List にドメインが設定されている場合、Cisco Secure ACS は、各ドメインがユーザを拒否するまで、またはドメインの 1 つがユーザを認証するまで、Domain List 内のドメインごとに 1 回ずつ、ユーザ名をリスト内のドメインで修飾して、ドメイン修飾されたユーザ名を Windows に送信します。


) Domain List リストの設定はオプションです。Domain List の詳細については、「ドメイン修飾されていないユーザ名」を参照してください。



注意 Domain List にドメインが含まれており、Windows SAM または Active Directory ユーザ データベースが、数回試行に失敗するとユーザをロックアウトするように設定されている場合には、Cisco Secure ACS は Domain List の各ドメインの認証を明示的に試行するため、ユーザが偶然ロックアウトされて、異なるドメインに存在する同一ユーザ名に対する認証が失敗することがあります。

Available Domains :このリストは、Cisco Secure ACS がドメイン修飾された認証要求を送信しないドメインを示します。

Domain List :このリストは、Cisco Secure ACS がドメイン修飾された認証要求を送信するドメインを示します。

MS CHAP Settings :Cisco Secure ACS が Windows ユーザ アカウントに対して MS-CHAP ベースのパスワード変更をサポートするかどうかを制御できます。Permit password changes using MS-CHAP version N チェックボックスでは、Cisco Secure ACS が、どのバージョンの MS CHAP を使用したパスワード変更をサポートするかを指定できます。


) MS CHAP Settings の下にあるチェックボックスは、Microsoft PEAP、EAP-FAST、およびマシン認証のパスワード エージングに影響を及ぼしません。


Windows パスワード変更の詳細については、「パスワード エージングを Windows データベースのユーザに対してイネーブルにする」を参照してください。

Enable password change inside PEAP or EAP-FAST :Permit password change inside PEAP or EAP-FAST チェックボックスにより、Cisco Secure ACS が Windows ユーザ アカウントに対して PEAP ベースまたは EAP-FAST ベースのパスワード変更をサポートするかどうかが制御されます。PEAP パスワード変更は、エンドユーザ クライアントがユーザ認証に PEAP(EAP-MSCHAPv2)を使用する場合にだけサポートされます。EAP-FAST の場合、Cisco Secure ACS は、フェーズ 0 とフェーズ 2 でパスワード変更をサポートします。

EAP-TLS Strip Domain Name :EAP-TLS Strip Domain Name チェックボックスにより、Cisco Secure ACS が、エンドユーザ証明書の Subject Alternative Name(SAN)フィールドから取得したユーザ名からドメイン名を削除するかどうかが制御されます。

ドメイン名のストリッピングを実行すると、ユーザを認証する必要のあるドメインが SAN フィールドに表示されているドメインではない場合に、EAP-TLS 認証の速度が上がります。たとえば、ユーザの SAN フィールドに「jsmith@corporation.com」と表示されている場合に、jsmith に「engineering」というサブドメインのドメイン コントローラを使用した認証が必要であるとします。ユーザ名から「@corporation.com」を削除することにより、corporation.com ドメイン コントローラに対して jsmith を認証しようとする不必要な試みを省略できます。ドメイン名を削除しないと、Cisco Secure ACS は、corporation.com 内に jsmith がないことを確認してから、Domain List を使用して engineering ドメイン内でユーザを検出します。そのために、数秒間、処理が遅くなる可能性があります。

Enable PEAP machine authentication :このチェックボックスにより、
Cisco Secure ACS が、PEAP(EAP-MSCHAPv2)でマシン名とパスワードを使用してマシン認証を実行するかどうかが制御されます。マシン認証の詳細については、「マシン認証」を参照してください。

Enable EAP-TLS machine authentication :このチェックボックスにより、Cisco Secure ACS が、EAP-TLS でマシン名とパスワードを使用してマシン認証を実行するかどうかが制御されます。マシン認証の詳細については、「マシン認証」を参照してください。

EAP-TLS and PEAP machine authentication name prefix :このボックスにより、認証されるマシン名の先頭に Cisco Secure ACS が追加する文字列が定義されます。デフォルトでは、エンドユーザ クライアントはマシン名にプレフィックス「host/」を付けます。PEAP machine authentication name prefix ボックスにテキストがある場合、Cisco Secure ACS はそのテキストをプレフィックスとしてマシン名に追加します。


) EAP-TLS and PEAP machine authentication name prefix ボックスに「host/」以外の文字列を入力すると、認証が失敗する場合があります。


Enable machine access restrictions :PEAP または EAP-TLS マシン認証をイネーブルにする場合、「Enable machine access restrictions」チェックボックスにより、マシン認証に失敗するコンピュータでネットワークにアクセスするユーザのネットワーク アクセスを Cisco Secure ACS が制限するかどうかが制御されます。MAR 機能の詳細については、「Machine Access Restrictions」を参照してください。


) Windows コンピュータが使用するように設定されているマシン認証のタイプ(PEAP マシン認証または EAP-TLS 認証、あるいはその両方)をイネーブルにしたことを確認してください。MAR 機能がイネーブルであるのに、Cisco Secure ACS がコンピュータのマシン認証を実行しない場合、そのコンピュータでネットワークにアクセスする EAP-TLS ユーザおよび Microsoft PEAP ユーザは「Group map for successful user authentication without machine authentication」リストに指定されているグループに割り当てられます。



ヒント Machine Access Restrictions をイネーブルにするには、Aging time (hours) ボックスに 0 より大きい数値を指定する必要があります。


Aging time (hours) :このボックスにより、Cisco Secure ACS が、MAR 機能で使用するために、成功したマシン認証の IETF RADIUS Calling-Station-Id アトリビュート値をキャッシュする期間(時間単位)が指定されます。デフォルト値は 0 時間です。これは、Cisco Secure ACS が Calling-Station-Id 値をキャッシュしないことを意味します。


) Aging time (hours) ボックスの値を 0 以外に変更しない場合は、コンピュータがマシン認証を実行する EAP-TLS ユーザおよび Microsoft PEAP ユーザはすべて、「Group map for successful user authentication without machine authentication」リストに指定されているグループに割り当てられます。



ヒント Calling-Station-Id 値のキャッシュをクリアするには、Aging time (hours) ボックスに「0」と入力し、Submit をクリックします。


Group map for successful user authentication without machine authentication :このリストにより、Cisco Secure ACS が、Aging time (hours) ボックスに指定されている期間(時間単位)内に、マシン認証に成功しなかったコンピュータからネットワークにアクセスしているユーザに適用するグループ プロファイルが指定されます。そのようなユーザがネットワークにアクセスすることを拒否するには、<No Access>(デフォルト設定)を選択します。


) ユーザ プロファイル設定は、グループ プロファイル設定よりも優先されます。「Group map for successful user authentication without machine authentication」リストで指定されているグループによって拒否されている許可がユーザ プロファイルによって与えられている場合、Cisco Secure ACS はその許可を与えます。


Windows 外部ユーザ データベースの設定

Windows User Database Configuration ページで利用できるオプションについては、「Windows ユーザ データベース設定オプション」を参照してください。

ネットワークの信頼できるドメイン内の Windows ユーザ データベースに対して、Cisco Secure ACS がユーザを認証するように設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの External User Databases をクリックします。

ステップ 2 Database Configuration をクリックします。

Cisco Secure ACS が使用可能な外部ユーザ データベース タイプのリストを表示します。

ステップ 3 Windows Database をクリックします。

Windows データベースが設定されていない場合は、Database Configuration Creation テーブルが表示されます。設定されている場合は、External User Database Configuration ページが表示されます。

ステップ 4 設定を作成中の場合は、次の手順を実行します。

a. Create New Configuration をクリックします。

b. 表示されたボックスに Windows 認証用の新しい設定名を入力するか、ボックスに表示されたデフォルト名を採用します。

c. Submit をクリックします。

Cisco Secure ACS によって、新しい設定が External User Database Configuration テーブルに追加されます。

ステップ 5 Configure をクリックします。

Windows User Database Configuration ページが表示されます。

ステップ 6 必要に応じて、次のテーブルのオプションを設定します。

Dialin Permission

Domain List

MS CHAP Settings

EAP Settings

Windows User Database Configuration ページのオプションについては、「Windows ユーザ データベース設定オプション」を参照してください。


) Windows User Database Configuration ページのすべての設定はオプションであり、その設定がサポートしている特定の機能を許可および設定しない場合は、イネーブルにする必要はありません。


ステップ 7 Submit をクリックします。

作成した Windows ユーザ データベース設定が、Cisco Secure ACS によって保存されます。これで、このデータベースは、未知ユーザ ポリシーに追加するか、または特定のユーザ アカウントに割り当てて認証に使用できます。未知ユーザ ポリシーの詳細については、を参照してください。このデータベースを使用して認証を行うようにユーザ アカウントを設定する方法の詳細については、 第7章「ユーザ管理」 を参照してください。


 

汎用 LDAP

Cisco Secure ACS は、Netscape Directory Services などの汎用 Lightweight Directory Access Protocol(LDAP)データベース経由の ASCII、PAP、EAP-TLS、PEAP(EAP-GTC)、および EAP-FAST(フェーズ 2 のみ)認証をサポートします。他の認証プロトコルは、LDAP 外部ユーザ データベースでサポートされません。


) LDAP データベースでサポートされない認証プロトコルは、別のタイプの外部ユーザ データベースでサポートされる場合があります。認証プロトコル、およびそのプロトコルをサポートする外部データベース タイプの詳細については、「認証プロトコルとデータベースの互換性」を参照してください。


Cisco Secure ACS は、LDAP ユーザ データベースにグループ メンバーシップ情報を要求することによって、未知ユーザに対するグループ マッピングをサポートします。LDAP ユーザ データベースで認証されたユーザに対するグループ マッピングの詳細については、「グループ セット メンバーシップによるグループ マッピング」を参照してください。

Cisco Secure ACS を LDAP データベースで認証するように設定しても、LDAP データベースの設定には影響を与えません。使用している LDAP データベースを管理するには、そのデータベースのマニュアルを参照してください。

この項では、次のトピックについて取り上げます。

「汎用 LDAP ユーザ データベースを使用した Cisco Secure ACS の認証プロセス」

「複数の LDAP インスタンス」

「LDAP の組織ユニットとグループ」

「ドメイン フィルタリング」

「LDAP フェールオーバー」

「LDAP 設定オプション」

「汎用 LDAP 外部ユーザ データベースの設定」

汎用 LDAP ユーザ データベースを使用した Cisco Secure ACS の認証プロセス

Cisco Secure ACS は、指定されたポート上の TCP 接続を使用して、ユーザ名とパスワードを LDAP データベースに転送します。LDAP データベースは、Cisco Secure ACS からの認証要求を成功または失敗させます。Cisco Secure ACS は、LDAP データベースからの応答を受信すると、LDAP サーバからの応答に応じて、要求側 AAA クライアントにユーザ アクセスの許可または拒否を指示します。

Cisco Secure ACS は、ユーザが割り当てられている Cisco Secure ACS グループに基づいて、許可を与えます。ユーザが割り当てられているグループは LDAP サーバからの情報によって判別可能ですが、許可特権を与えるのは Cisco Secure ACS です。

複数の LDAP インスタンス

Cisco Secure ACS に複数の LDAP 設定を作成できます。IP アドレスまたはポートの設定が異なる複数の LDAP 設定を作成することによって、異なる LDAP サーバを使用して、または同じ LDAP サーバ上の異なるデータベースを使用して認証するように Cisco Secure ACS を設定できます。プライマリ サーバの各 IP アドレスおよびポートの設定は、セカンダリ サーバの IP アドレスおよびポートの設定とともに、Cisco Secure ACS LDAP 設定インスタンスに対応する LDAP インスタンスを形成します。

Cisco Secure ACS では、個々の LDAP インスタンスが一意の LDAP データベースに対応している必要はありません。複数の LDAP 設定を、同一のデータベースにアクセスするように設定できます。これは、LDAP データベースにユーザまたはグループのサブツリーが複数含まれている場合に役立ちます。各 LDAP 設定では、ユーザとグループに対してそれぞれ単一のサブツリー ディレクトリだけをサポートするため、Cisco Secure ACS が認証要求を送信する必要があるユーザ ディレクトリ サブツリーとグループ ディレクトリ サブツリーの組み合せごとに、別々の LDAP インスタンスを設定する必要があるからです。

各 LDAP インスタンスについて、未知ユーザ ポリシーから設定を追加または除外できます。詳細については、を参照してください。

各 LDAP インスタンスについて、一意のグループ マッピングを設定できます。詳細については、「グループ セット メンバーシップによるグループ マッピング」を参照してください。

複数の LDAP インスタンスは、ドメイン フィルタリングを使用する場合にも重要です。詳細については、「ドメイン フィルタリング」を参照してください。

LDAP の組織ユニットとグループ

LDAP グループは、対応する Cisco Secure ACS グループと同一の名前である必要はありません。LDAP グループには任意の名前を割り当てて、Cisco Secure ACS グループにマッピングできます。LDAP データベースがグループ メンバーシップを処理する方法の詳細については、LDAP データベースのマニュアルを参照してください。LDAP グループのマッピングと Cisco Secure ACS の詳細については、 第16章「ユーザ グループ マッピングと仕様」 を参照してください。

ドメイン フィルタリング

ドメイン フィルタリングを使用すると、ドメイン修飾されたユーザ名に基づいて、ユーザ認証に使用される LDAP インスタンスを制御できます。ドメイン フィルタリングは、認証のために送信されたユーザ名の先頭または末尾のいずれかの文字の分析に基づいて行われます。ドメイン フィルタリングにより、Cisco Secure ACS が所定のユーザ認証要求を送信する先の LDAP インスタンスを、より強力に制御できるようになります。また、ドメイン修飾子を削除せずにユーザ名を LDAP サーバに送信するかどうかを制御できます。

たとえば、Windows XP クライアントによって EAP-TLS 認証が開始される場合、Cisco Secure ACS は username@domainname フォーマットでユーザ名を受信します。Cisco Aironet エンドユーザ クライアントによって PEAP 認証が開始される場合、Cisco Secure ACS はドメイン修飾子のないユーザ名を受信します。両方のクライアントが、ドメイン修飾子のないユーザ名を格納する LDAP データベースで認証される場合、Cisco Secure ACS はドメイン修飾子を削除(ストリッピング)できます。ドメイン修飾されたユーザ アカウントとドメイン修飾されていないユーザ アカウントの両方が LDAP データベースに格納されている場合、Cisco Secure ACS は、ドメイン フィルタリングを行わずにユーザ名を LDAP データベースに渡すことができます。

ドメイン フィルタリングを利用する場合は、Cisco Secure ACS に作成する各 LDAP 設定によって、次の 2 つの方法のいずれかでドメイン フィルタリングを行うことができます。

Limiting users to one domain :Cisco Secure ACS の LDAP 設定ごとに、Cisco Secure ACS が特定のドメイン名で修飾されたユーザ名の認証だけを試みるように指定できます。これは、LDAP Configuration ページの「Only process usernames that are domain qualified」オプションに対応しています。このオプションの詳細については、「LDAP 設定オプション」を参照してください。

このオプションでは、各 LDAP 設定が 1 つのドメインおよび 1 つのタイプのドメイン修飾に制限されます。ユーザ名を LDAP サーバに送信する前に、Cisco Secure ACS がドメイン修飾を削除するかどうかを指定できます。LDAP サーバがドメイン修飾フォーマットでユーザ名を格納する場合は、ドメイン修飾子を削除するように Cisco Secure ACS を設定しないでください。

ユーザ コンテキストによって、またはユーザ名が Cisco Secure ACS に格納される形式(ドメイン修飾されるか、ドメイン修飾されないか)によって、LDAP サーバがドメインごとに別々にユーザ名を格納する場合は、ユーザを 1 つのドメインに制限すると便利です。エンドユーザ クライアントまたは AAA クライアントは、ユーザ名をドメイン修飾フォーマットで Cisco Secure ACS に送信する必要があります。このフォーマットで送信しない場合、Cisco Secure ACS は、ユーザのドメインを特定できず、この形式のドメイン フィルタリングを使用する LDAP 設定でユーザの認証を試みません。

Allowing any domain but stripping domain qualifiers :Cisco Secure ACS の LDAP 設定ごとに、共通のドメイン修飾子区切り文字に基づいてドメイン修飾子の削除を試みるように Cisco Secure ACS を設定できます。これは、LDAP Configuration ページの「Process all usernames after stripping domain name and delimiter」オプションに対応しています。このオプションの詳細については、「LDAP 設定オプション」を参照してください。

Cisco Secure ACS は、プレフィックス ドメイン修飾子とサフィックス ドメイン修飾子の両方をサポートします。1 つの LDAP 設定で、プレフィックス ドメイン修飾子とサフィックス ドメイン修飾子の両方の削除を試みることができますが、プレフィックス ドメイン修飾子とサフィックス ドメイン修飾子には、それぞれ 1 つの区切り文字しか指定できません。複数のタイプのドメイン修飾子区切り文字をサポートするには、Cisco Secure ACS に複数の LDAP 設定を作成します。

LDAP サーバではユーザ名を非ドメイン修飾フォーマットで格納し、AAA クライアントまたはエンドユーザ クライアントではユーザ名をドメイン修飾フォーマットで Cisco Secure ACS に送信する場合は、Allowing any domain but stripping domain qualifiers オプションを使用すると便利です。


) このオプションを使用すると、Cisco Secure ACS は、ドメイン修飾されていないユーザ名も送信します。LDAP サーバへの送信については、ユーザ名がドメイン修飾されている必要はありません。


LDAP フェールオーバー

Cisco Secure ACS は、プライマリ LDAP サーバとセカンダリ LDAP サーバ間でのフェールオーバーをサポートします。Cisco Secure ACS による LDAP 認証のコンテキストでは、サーバがダウンしたときや、Cisco Secure ACS による接続ができない場合など、Cisco Secure ACS が LDAP サーバに接続できないために認証要求が失敗したときに、フェールオーバーが適用されます。この機能を使用するには、LDAP Database Configuration ページで、プライマリとセカンダリの LDAP サーバを定義する必要があります。また、On Timeout Use Secondary チェックボックスもオンにする必要があります。LDAP 外部ユーザ データベースの設定の詳細については、「汎用 LDAP 外部ユーザ データベースの設定」を参照してください。

On Timeout Use Secondary チェックボックスがオンになっていて、Cisco Secure ACS が接続しようとする最初の LDAP サーバに到達できない場合には、常に Cisco Secure ACS は他の LDAP サーバへの接続を試みます。Cisco Secure ACS が接続を試みる最初のサーバは、必ずしもプライマリ LDAP サーバとは限りません。Cisco Secure ACS が接続を試みる最初の LDAP サーバは、その前に試みた LDAP 認証と、Failback Retry Delay ボックスで指定されている値によって決まります。

プライマリ LDAP サーバによる以前の認証が成功した場合

以前の LDAP 認証試行時にプライマリ LDAP サーバへの接続に成功していた場合、Cisco Secure ACS は、プライマリ LDAP サーバへの接続を試みます。プライマリ LDAP サーバに接続できない場合、Cisco Secure ACS は、セカンダリ LDAP サーバへの接続を試みます。

どちらの LDAP サーバにも接続できない場合、Cisco Secure ACS は、ユーザの LDAP 認証試行を停止します。ユーザが未知のユーザの場合には、Cisco Secure ACS は、Unknown User Policy リストに登録されている次の外部ユーザ データベースを検索します。Unknown User Policy リストの詳細については、を参照してください。

プライマリ LDAP サーバによる以前の認証が失敗した場合

以前の LDAP 認証試行時にプライマリ LDAP サーバに接続できなかった場合、Cisco Secure ACS が現在の認証について最初にプライマリ サーバへの接続を試みるか、セカンダリ LDAP サーバへの接続を試みるかは、Failback Retry Delay ボックスの値によって決定されます。Failback Retry Delay ボックスが 0(ゼロ)に設定されていると、Cisco Secure ACS は常に最初にプライマリ LDAP サーバに接続を試みます。さらに、プライマリ LDAP サーバに接続できないときは、Cisco Secure ACS は、次にセカンダリ LDAP サーバへの接続を試みます。

Failback Retry Delay ボックスがゼロ以外の数値に設定されていると、Cisco Secure ACS は、プライマリ LDAP サーバを使用した認証試行を最後に実行してからの経過時間(分単位)を判別します。Failback Retry Delay ボックスに指定されている値よりも経過分数が長い場合には、Cisco Secure ACS は最初にプライマリ LDAP サーバへの接続を試みます。さらに、プライマリ LDAP サーバに接続できないときは、Cisco Secure ACS は、次にセカンダリ LDAP サーバへの接続を試みます。

Failback Retry Delay ボックスに指定されている値よりも経過分数が短い場合には、Cisco Secure ACS は最初にセカンダリ LDAP サーバへの接続を試みます。さらに、セカンダリ LDAP サーバに接続できないときは、Cisco Secure ACS は、次にプライマリ LDAP サーバへの接続を試みます。

どちらの LDAP サーバにも接続できないときには、Cisco Secure ACS は、ユーザの LDAP 認証試行を停止します。ユーザが未知のユーザの場合には、Cisco Secure ACS は、Unknown User Policy リストに登録されている次の外部ユーザ データベースを検索します。Unknown User Policy リストの詳細については、を参照してください。

LDAP 設定オプション

LDAP Database Configuration ページでは、3 つのテーブルに数多くのオプションが用意されています。

Domain Filtering :このテーブルには、ドメイン フィルタリング用のオプションが用意されています。認証がプライマリ LDAP サーバによって処理されるか、セカンダリ LDAP サーバによって処理されるかに関係なく、このテーブル内の設定は、この設定を使用して行われるすべての LDAP 認証に影響を与えます。ドメイン フィルタリングの詳細については、「ドメイン フィルタリング」を参照してください。

このテーブルには、次のオプションが用意されています。

Process all usernames :このオプションを選択すると、Cisco Secure ACS は、認証のためにユーザ名を LDAP サーバに送信する前に、ユーザ名のドメイン フィルタリングを行いません。

Only process usernames that are domain qualified :このオプションを選択すると、Cisco Secure ACS は、単一のドメインによってドメイン修飾されたユーザ名の認証だけを試みます。「Qualified by」オプションと Domain オプションでドメイン修飾子のタイプとドメインを指定する必要があります。「Qualified by」オプションに指定した方法で修飾され、Domain Qualifier ボックスに指定したドメイン名で修飾されたユーザ名だけが送信されます。ユーザ名を LDAP サーバに送信する前にユーザ名からドメイン修飾子を削除するかどうかも指定できます。

Qualified by :「Only process usernames that are domain qualified」を選択した場合は、このオプションでドメイン修飾のタイプを指定します。Prefix を選択すると、Domain Qualifier ボックスに指定した文字で始まるユーザ名だけが処理されます。Suffix を選択すると、Domain Qualifier ボックスに指定した文字で終わるユーザ名だけが処理されます。


) 選択するドメイン修飾子のタイプに関係なく、ドメイン名は、Domain Qualifier ボックスに指定するドメインと一致しなければなりません。


Domain Qualifier :「Only process usernames that are domain qualified」を選択した場合は、このオプションで、LDAP サーバに送信されるユーザ名を修飾するドメイン名と区切り文字を指定します。Domain ボックスには最大 512 文字入力できますが、使用できるのは、ドメイン名を 1 つとその区切り文字だけです。

たとえば、ドメイン名が「mydomain」、区切り文字が「@」、「Qualified by」リストで Suffix を選択した場合、Domain ボックスには「@mydomain」と入力する必要があります。ドメイン名が「yourdomain」、区切り文字が「\」、「Qualified by」リストで Prefix を選択した場合、Domain Qualifier ボックスには「yourdomain\」と入力する必要があります。

Strip domain before submitting username to LDAP server :「Only process usernames that are domain qualified」を選択した場合は、このオプションで、Cisco Secure ACS がユーザ名を LDAP サーバに送信する前にドメイン修飾子とその区切り文字を削除(ストリッピング)するかどうかを指定します。たとえば、ユーザ名が「jwiedman@domain.com」であれば、ストリッピングされたユーザ名は「jwiedman」になります。

Process all usernames after stripping domain name and delimiter :このオプションを選択すると、Cisco Secure ACS は、ドメイン名の削除を試みてから、すべてのユーザ名を LDAP サーバに送信します。ドメイン修飾されていないユーザ名も処理されます。次の 2 つのオプションでの指定に従って、ドメイン名ストリッピングが行われます。

Strip starting characters through the last X character :「Process all usernames after stripping domain name and delimiter」を選択した場合は、このオプションで、Cisco Secure ACS がプレフィックス ドメイン修飾子の削除を試みるように指定できます。ユーザ名の中で、 X ボックスに指定した区切り文字が検出されると、そのユーザ名の初めから区切り文字までのすべての文字が削除されます。ユーザ名に、 X ボックスに指定した文字が複数含まれている場合は、最後の区切り文字までの文字が削除されます。

たとえば、区切り文字が「\」で、ユーザ名が「DOMAIN\echamberlain」である場合、「echamberlain」が LDAP サーバに送信されます。


) X ボックスには、次の特殊文字を入力できません。
# ? " * > <
Cisco Secure ACS では、ユーザ名にこれらの文字を使用できないため、X ボックスにこれらの文字のいずれかを入力すると、ストリッピングが失敗します。


Strip ending characters through the first Y character :「Process all usernames after stripping domain name and delimiter」を選択した場合は、このオプションで、Cisco Secure ACS がサフィックス ドメイン修飾子の削除を試みるように指定できます。ユーザ名の中で、 Y ボックスに指定した区切り文字が検出されると、その区切り文字からユーザ名の末尾までのすべての文字が削除されます。ユーザ名に、 Y ボックスに指定した文字が複数含まれる場合は、最初の区切り文字から文字が削除されます。

たとえば、区切り文字が「@」で、ユーザ名が「jwiedman@domain」である場合、「jwiedman」が LDAP サーバに送信されます。


) X ボックスには、次の特殊文字を入力できません。
# ? " * > <
Cisco Secure ACS では、ユーザ名にこれらの文字を使用できないため、X ボックスにこれらの文字のいずれかを入力すると、ストリッピングが失敗します。


Common LDAP Configuration :このテーブルには、この設定を使用して行われるすべての LDAP 認証に適用されるオプションが用意されています。Cisco Secure ACS は、認証がプライマリ LDAP サーバによって処理されるか、セカンダリ LDAP サーバによって処理されるかに関係なく、このセクションの設定を使用します。このテーブルには、次のオプションが用意されています。

User Directory Subtree :すべてのユーザを含むサブツリーの識別名(DN)。例:

ou=organizational unit[,ou=next organizational unit]o=corporation.com

ユーザを含むツリーがベース DN である場合は、LDAP 設定に応じて次のように入力します。

o=corporation.com

または

dc=corporation,dc=com

詳細については、LDAP データベースに関するドキュメントを参照してください。

Group Directory Subtree :すべてのグループを含むサブツリーの DN。例:

ou=organizational unit[,ou=next organizational unit]o=corporation.com

グループを含むツリーがベース DN である場合は、LDAP 設定に応じて次のように入力します。

o=corporation.com

または

dc=corporation,dc=com

詳細については、LDAP データベースに関するドキュメントを参照してください。

UserObjectType :ユーザ名を含むユーザ レコード内のアトリビュート名。このアトリビュート名は、ディレクトリ サーバから取得できます。詳細については、LDAP データベースに関するドキュメントを参照してください。Cisco Secure ACS は、Netscape Directory Server のデフォルト設定が反映されたデフォルト値を提供します。LDAP サーバの設定とマニュアルを使用して、これらのフィールドのすべての値を確認してください。

UserObjectClass :レコードをユーザとして識別する LDAP 「objectType」アトリビュートの値。しばしば、ユーザ レコードの objectType アトリビュートには複数の値があり、それらのいくつかはほかのオブジェクト タイプと共有されています。このボックスには、共有されていない値を入力する必要があります。

GroupObjectType :グループ名を含むグループ レコード内のアトリビュート名。

GroupObjectClass :レコードをグループとして識別するグループ レコード内の LDAP 「objectType」アトリビュートの値。

Group Attribute Name :グループのメンバーであるユーザ レコードのリストを含むグループ レコード内のアトリビュート名。

Server Timeout :LDAP サーバとの接続に失敗したと判断する前に Cisco Secure ACS が LDAP サーバからの応答を待つ秒数。

On Timeout Use Secondary :Cisco Secure ACS が LDAP 認証試行のフェールオーバーを行うかどうか。LDAP フェールオーバー機能の詳細については、「LDAP フェールオーバー」を参照してください。

Failback Retry Delay :プライマリ LDAP サーバがユーザ認証に失敗してから、初めて Cisco Secure ACS がプライマリ LDAP サーバへの認証要求の送信を再開するまでの経過時間(分単位)。0(ゼロ)を入力すると、Cisco Secure ACS は常にプライマリ LDAP サーバを最初に使用します。

Primary LDAP Server および Secondary LDAP Server :Primary LDAP Server テーブルおよび Secondary LDAP Server テーブルでは、LDAP サーバを識別し、各サーバに固有の設定を行うことができます。LDAP フェールオーバーを使用しない場合は、Secondary LDAP Server テーブルに入力する必要はありません。これらのテーブルには、次のオプションが用意されています。

Hostname :LDAP ソフトウェアを実行しているサーバの名前または IP アドレス。ネットワーク上で DNS を使用している場合、IP アドレスの代わりにホスト名を入力できます。

Port :LDAP サーバが受信している TCP/IP ポート番号。デフォルトは、LDAP 仕様の記述に従って 389 です。ポート番号が不明な場合は、LDAP サーバ上にそれらのプロパティを表示することによって、ポート番号を取得できます。安全な認証を使用する場合、通常はポート 636 を使用します。

LDAP Version :LDAP データベースとの通信に、Cisco Secure ACS が LDAP バージョン 3 とバージョン 2 のいずれを使用するか。このチェックボックスがオンの場合、Cisco Secure ACS は LDAP バージョン 3 を使用します。このチェックボックスがオフの場合、Cisco Secure ACS は LDAP バージョン 2 を使用します。

Security :LDAP サーバとのよりセキュアな通信を提供するために、
Cisco Secure ACS が SSL を使用するかどうか。SSL がイネーブルになっていない場合、ユーザ クレデンシャルはクリア テキストで LDAP サーバに渡されます。

Certificate Database Path cert7.db ファイルへのパス。このファイルには、クエリーされるサーバと信頼できる CA の証明書が格納されている必要があります。Netscape Web ブラウザを使用して、 cert7.db ファイルを生成できます。 cert7.db ファイルを生成する方法については、Netscape のマニュアルを参照してください。

SSL を使用して安全な認証を行うには、 cert7.db 証明書データベース ファイルを提供する必要があります。Cisco Secure ACS は、SSL 接続を確立するために証明書データベースを必要とします。証明書データベースは、Cisco Secure ACS Windows サーバに対してローカルでなければなりません。

Cisco Secure ACS では、設定する LDAP サーバごとに cert7.db 証明書データベース ファイルが必要です。たとえば、複数の LDAP ツリーに分散されたユーザをサポートするために、Cisco Secure ACS に、同一の LDAP サーバと通信する 2 つの LDAP インスタンスを設定できます。各 LDAP インスタンスには、プライマリ LDAP サーバとセカンダリ LDAP サーバが指定されます。2 つの LDAP 設定が同一のプライマリ サーバを共有する場合でも、LDAP 設定ごとに、証明書データベース ファイルを Cisco Secure ACS にダウンロードする必要があります。


) データベースは、cert7.db 証明書データベース ファイルでなければなりません。他のファイル名はサポートされません。


Admin DN :管理者の DN。つまり、User Directory Subtree 内の必要なすべてのユーザの検索が許されている LDAP アカウント。これには、LDAP サーバに関する次の情報が含まれている必要があります。

uid= user id ,[ou= organizational unit ,][ou= next organizational unit ]o= organization

user id はユーザ名、 organizational unit はツリーの一番下のレベル、 next organizational unit はツリーの次に高いレベルです。

例:

uid=joesmith,ou=members,ou=administrators,o=cisco

匿名のクレデンシャルによる検索でグループ名属性が表示されるように LDAP サーバが設定されている場合は、管理者ユーザ名に匿名のクレデンシャルを使用できます。それ以外の場合は、検索でのグループ名属性の表示が許可された管理者ユーザ名を指定する必要があります。


) 指定された管理者ユーザ名に対して、検索でのグループ名属性の表示が許可されていない場合、LDAP によって認証されたユーザのグループ マッピングは失敗します。


Password :Admin DN ボックスで指定した管理者アカウントのパスワード。パスワードの大文字と小文字の区別は、LDAP サーバによって決定されます。

汎用 LDAP 外部ユーザ データベースの設定

汎用 LDAP 設定を作成することで、LDAP データベースに認証要求を渡すために必要な Cisco Secure ACS 情報が提供されます。この情報は LDAP データベースの実装方法を示したもので、LDAP データベースの設定方法や機能を指示するものではありません。LDAP データベースについては、LDAP のマニュアルを参照してください。

始める前に

LDAP Database Configuration ページのオプションについては、「LDAP 設定オプション」を参照してください。

LDAP ユーザ データベースを使用するように Cisco Secure ACS を設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの External User Databases をクリックします。

ステップ 2 Database Configuration をクリックします。

Cisco Secure ACS が使用可能な外部ユーザ データベース タイプのリストを表示します。

ステップ 3 Generic LDAP をクリックします。


) ユーザは、1 つだけの LDAP データベースと照合して認証されます。


LDAP データベースが設定されていない場合は、Database Configuration Creation テーブルが表示されます。設定されている場合は、Database Configuration Creation テーブルと External User Database Configuration テーブルが表示されます。

ステップ 4 設定を作成中の場合は、次の手順を実行します。

a. Create New Configuration をクリックします。

b. 表示されたボックスに汎用 LDAP の新しい設定の名前を入力します。

c. Submit をクリックします。

Cisco Secure ACS によって、新しい設定が External User Database Configuration テーブルに追加されます。

ステップ 5 External User Database Configuration ページで、設定する LDAP データベースの名前をクリックします。


) LDAP 設定が 1 つだけ存在する場合は、リストではなく、その設定の名前が表示されます。ステップ 6 に進みます。


ステップ 6 Configure をクリックします。


注意 Delete をクリックすると、選択した LDAP データベースの設定が削除されます。

ステップ 7 Cisco Secure ACS が LDAP 認証要求をユーザ名によってフィルタリングしないように設定するには、Domain Filtering で、 Process all usernames を選択します。

ステップ 8 この LDAP 設定によって処理される認証が、特定のドメイン修飾を持つユーザ名にだけ実行されるようにする場合は、次の手順を実行します。


) ドメイン フィルタリングについては、「ドメイン フィルタリング」を参照してください。


a. Domain Filtering で、 Only process usernames that are domain qualified を選択します。

b. 「Qualified by」リストから、適切なドメイン修飾タイプ(Suffix または Prefix)を選択します。LDAP 設定ごとに 1 つのタイプのドメイン修飾だけがサポートされます。

たとえば、この LDAP 設定で、特定のドメイン名で始まるユーザ名を認証する場合は、Prefix を選択します。この LDAP 設定で、特定のドメイン名で終わるユーザ名を認証する場合は、Suffix を選択します。

c. Domain Qualifier ボックスに、この LDAP 設定で認証するユーザ名のドメイン名を入力します。ユーザ ID とドメイン名を分離する区切り文字を含めます。必ず区切り文字を適切な位置に入力してください。「Qualified by」リストで Prefix を選択した場合はドメイン名の末尾に、「Qualified by」リストで Suffix を選択した場合はドメイン名の初めに区切り文字を入力します。

LDAP 設定ごとに 1 つのドメイン名だけがサポートされます。最大 512 文字入力できます。

d. ユーザ名を LDAP データベースに送信する前に、Cisco Secure ACS がドメイン修飾子を削除するように設定するには、 Strip domain before submitting username to LDAP server チェックボックスをオンにします。

e. Cisco Secure ACS がドメイン修飾子を削除せずにユーザ名を LDAP データベースに渡すように設定するには、 Strip domain before submitting username to LDAP server チェックボックスをオフにします。

ステップ 9 ユーザ名を LDAP サーバに送信する前に、Cisco Secure ACS がユーザ名からドメイン修飾子を削除できるようにするには、次の手順を実行します。


) ドメイン フィルタリングについては、「ドメイン フィルタリング」を参照してください。


a. Domain Filtering で、 Process all usernames after stripping domain name and delimiter を選択します。

b. Cisco Secure ACS がプレフィックス ドメイン修飾子を削除するように設定するには、 Strip starting characters through the last X character チェックボックスをオンにしてから、 X ボックスにドメイン修飾子区切り文字を入力します。


) X ボックスには、次の特殊文字を入力できません。
# ? " * > <
これらの文字のいずれかを X ボックスに入力すると、ストリッピングが失敗します。


c. Cisco Secure ACS がサフィックス ドメイン修飾子を削除するように設定するには、 Strip ending characters from the first X character チェックボックスをオンにしてから、 X ボックスにドメイン修飾子区切り文字を入力します。


) X ボックスには、次の特殊文字を入力できません。
# ? " * > <
これらの文字のいずれかを X ボックスに入力すると、ストリッピングが失敗します。


ステップ 10 Common LDAP Configuration の User Directory Subtree ボックスに、すべてのユーザを含むツリーの DN を入力します。

ステップ 11 Group Directory Subtree ボックスに、すべてのグループを含むサブツリーの DN を入力します。

ステップ 12 User Object Type ボックスに、ユーザ名を格納したユーザ レコード内のアトリビュート名を入力します。このアトリビュート名は、ディレクトリ サーバから取得できます。詳細については、LDAP データベースに関するドキュメントを参照してください。


) UserObjectType とその後のフィールド内のデフォルト値は、Netscape Directory Server のデフォルト設定を示しています。LDAP サーバの設定とマニュアルを使用して、これらのフィールドのすべての値を確認してください。


ステップ 13 User Object Class ボックスに、レコードをユーザとして識別する LDAP
「objectType」アトリビュートの値を入力します。しばしば、ユーザ レコードの objectType アトリビュートには複数の値があり、それらのいくつかはほかのオブジェクト タイプと共有されています。共有されていない値を選択します。

ステップ 14 GroupObjectType ボックスに、グループ名を格納しているグループ レコード内のアトリビュート名を入力します。

ステップ 15 GroupObjectClass ボックスに、レコードをグループとして識別するグループ レコード内の LDAP 「objectType」 アトリビュートの値を入力します。

ステップ 16 GroupAttributeName ボックスに、グループのメンバーであるユーザ レコードのリストを格納しているグループ レコード内のアトリビュート名を入力します。

ステップ 17 Server Timeout ボックスに、LDAP サーバとの接続に失敗したと判断する前に Cisco Secure ACS が LDAP サーバからの応答を待つ秒数を入力します。

ステップ 18 LDAP 認証試行のフェールオーバーをイネーブルにするには、 On Timeout Use Secondary チェックボックスをオンにします。LDAP フェールオーバー機能の詳細については、「LDAP フェールオーバー」を参照してください。

ステップ 19 Failback Retry Delay ボックスに、プライマリ LDAP サーバがユーザ認証に失敗してから、初めて Cisco Secure ACS がプライマリ LDAP サーバへの認証要求の送信を再開するまでの経過時間を分単位で入力します。


) Cisco Secure ACS が常にプライマリ LDAP サーバを最初に使用するように指定するには、Failback Retry Delay ボックスに 0(ゼロ)を入力します。


ステップ 20 Primary LDAP Server および Secondary LDAP Server テーブルについて、次の手順を実行します。


) On Timeout Use Secondary チェックボックスをオンにしなかった場合は、Secondary LDAP Server テーブルのオプションを入力する必要はありません。


a. Hostname ボックスに、LDAP ソフトウェアを実行しているサーバの名前または IP アドレスを入力します。ネットワーク上で DNS を使用している場合、IP アドレスの代わりにホスト名を入力できます。

b. Port ボックスに、LDAP サーバが受信している TCP/IP ポート番号を入力します。デフォルトは、LDAP 仕様の記述に従って 389 です。ポート番号が不明な場合は、LDAP サーバ上にそれらのプロパティを表示することによって、ポート番号を取得できます。安全な認証を使用する場合、通常はポート 636 を使用します。

c. LDAP データベースと通信するために Cisco Secure ACS が LDAP バージョン 3 を使用するよう指定するには、 LDAP Version チェックボックスを選択します。LDAP Version チェックボックスがオンになっていないときは、Cisco Secure ACS では、LDAP バージョン 2 が使用されます。

d. 通常、ユーザ名とパスワード認証は、ネットワークを介して LDAP ディレクトリにクリアテキストで渡されます。セキュリティを強化するには、 Use Secure Authentication チェックボックスをオンにします。

e. Certificate Database Path ボックスに、クエリーされるサーバと信頼できる CA の証明が格納された cert7.db ファイルのパスを入力します。

f. Admin DN ボックスでは、管理者の完全修飾名(DN)が必要です。つまり、User Directory Subtree 内の必要なすべてのユーザの検索が許されている LDAP アカウントです。

Admin DN ボックスに、LDAP サーバから次の情報を入力します。

uid=user id,[ou=organizational unit,]
[ou=next organizational unit]o=organization

userid はユーザ名です。

organizationalunit はツリーの一番下のレベルです。

nextorganizationalunit はツリーの次に高いレベルです。

例:

uid=joesmith,ou=members,ou=administrators,o=cisco

ヒント LDAP ソフトウェアとして Netscape DS を使用している場合は、この情報を Netscape Console からコピーできます。

詳細については、LDAP データベースに関するドキュメントを参照してください。

g. Password ボックスに、Admin DN ボックスで指定されている管理者アカウントのパスワードを入力します。パスワードの大文字と小文字の区別は、サーバによって決定されます。

ステップ 21 Submit をクリックします。

Cisco Secure ACS は作成した汎用 LDAP 設定を保存します。これで、このデータベースは、未知ユーザ ポリシーに追加するか、または特定のユーザ アカウントに割り当てて認証に使用できます。未知ユーザ ポリシーの詳細については、を参照してください。このデータベースを使用して認証を行うようにユーザ アカウントを設定する方法の詳細については、 第7章「ユーザ管理」 を参照してください。


 

Novell NDS データベース

Cisco Secure ACS では、Novell NetWare Directory Services(NDS)サーバを使用したユーザ認証をサポートします。

この項では、次のトピックについて取り上げます。

「Novell NDS ユーザ データベースについて」

「ユーザ コンテキスト」

「Novell NDS 外部ユーザ データベースのオプション」

「Novell NDS 外部ユーザ データベースの設定」

Novell NDS ユーザ データベースについて

Cisco Secure ACS では、Novell NetWare Directory Services(NDS)サーバを使用した、ASCII、PAP、および PEAP(EAP-GTC)認証をサポートします。NDS 認証を使用するには、Novell NDS データベースが必要です。他の認証プロトコルは、Novell NDS 外部ユーザ データベースでサポートされません。


) Novell NDS 外部ユーザ データベースでサポートされない認証プロトコルは、別のタイプの外部ユーザ データベースでサポートされる場合があります。認証プロトコル、およびそのプロトコルをサポートする外部データベース タイプの詳細については、「認証プロトコルとデータベースの互換性」を参照してください。


Cisco Secure ACS は、Novell NDS ユーザ データベースにグループ メンバーシップ情報を要求することによって、未知ユーザに対するグループ マッピングをサポートします。Novell NDS ユーザ データベースで認証されたユーザに対するグループ マッピングの詳細については、「グループ セット メンバーシップによるグループ マッピング」を参照してください。


) Cisco Secure ACS は、ユーザ グループ メンバーシップ情報の他に、Novell NDS データベースからユーザ設定を取得しません。ただし、各ユーザに対して、パスワード制限、ログイン制限、時間制限、およびアカウント制限を適用します。これは、Cisco Secure ACS が、Novell NDS データベースから受信した認証応答を解析することによって実行されます。アドレス制限は適用されません。


Cisco Secure ACS を NDS データベースで認証するように設定しても、NDS データベースの設定には影響を与えません。NDS データベースを管理するには、その NDS データベースのマニュアルを参照してください。

Novell NDS の一部のバージョンでは、標準の LDAP 実装が提供されます。Novell NDS が標準の LDAP をサポートしており、標準の LDAP を実装している場合は、Novell NDS で定義されているユーザを認証するように、Cisco Secure ACS の汎用 LDAP 外部ユーザ データベースを設定する必要があります。汎用 LDAP 外部ユーザ データベースの詳細については、「汎用 LDAP」を参照してください。

Novell NDS データベースを使用してユーザを認証する場合、Cisco Secure ACS は Novell Requestor に依存します。Novell Requestor は、Cisco Secure ACS と同一の Windows サーバにインストールされている必要があります。Requester ソフトウェアは、Novell の Web サイトからダウンロードできます。詳細については、Novell 社と Microsoft 社のマニュアルを参照してください。

ユーザが Novell NDS データベースで認証されるには、Cisco Secure ACS が Novell NDS 構造を認識するよう正しく設定されている必要があります。Cisco Secure ACS は最大 20 個の Novell NDS ツリーをサポートします。各 Novell NDS ツリー設定で、ユーザ コンテキストのリストをサポートできます。ユーザが NDS コンテキストを使用して認証を行うためには、提供されたコンテキストのいずれかに該当するユーザ オブジェクトが存在し、さらにユーザ パスワードによってツリーに名前をロギングできることが必要になります。

ユーザ コンテキスト

NDS データベースを使用して認証するように Cisco Secure ACS を設定するときは、1 つまたは複数のコンテキストを指定する必要がありますが、完全修飾ユーザ名を定義する完全なコンテキストの追加部分をユーザが指定できます。つまり、コンテキストのリスト内のどのコンテキストにも認証に送信されるユーザ名が含まれていない場合には、コンテキストのリストにおいてユーザ名がどのような従属関係をコンテキストに対して持つかを、ユーザ名で正確に指定する必要があります。ユーザは、NDS データベースでユーザを一意に識別するために必要な追加コンテキスト情報を指定することで、ユーザ名がコンテキストに従属する方法を指定します。

次のツリーの例を考えてみます。

[Root] whose treename=ABC
OU=ABC-Company
OU=sales
CN=Agamemnon
OU=marketing
CN=Odysseus
OU=marketing-research
CN=Penelope
OU=marketing-product
CN=Telemachus

Cisco Secure ACS に設定されているコンテキスト リストが、

ABC-Company,sales.ABC-Company

である場合、Agamemnon がユーザ名として「Agamemnon.sales」を送信すると、認証に成功します。「Agamemnon」だけを送信すると、認証は失敗します。

表 13-1 に、上記のツリー例で指定されているユーザと、その各ユーザが認証に成功するために必要なコンテキストが付いたユーザ名を示します。

 

表 13-1 コンテキストが付いたユーザ名の例

ユーザ
コンテキストが付いた有効なユーザ名

Agamemnon

Agamemnon

Odysseus

Odysseus.marketing

Penelope

Penelope.marketing-research.marketing

Telemachus

Telemachus.marketing-product.marketing

Novell NDS 外部ユーザ データベースのオプション

Novell NDS データベース認証用の設定は、Cisco Secure ACS の NDS Authentication Support ページで作成して管理します。このページにより、Cisco Secure ACS の Web サーバに対して 1 回送信するだけで、Novell NDS ツリー設定の追加、既存のツリー設定の変更および削除が可能です。Cisco Secure ACS には、設定された各ツリーの情報と、新しいツリーを作成するためのブランク セクションが表示されます。各ツリーに提供される設定項目は次のとおりです。

Add New Tree :新しいツリー用のブランクのフォーム上だけに表示されます。このチェックボックスを選択すると、新しいツリーを追加することを確認します。

Delete Tree :既存のツリー設定についてだけ表示されます。このチェックボックスを選択すると、Submit をクリックしたときツリー設定を削除することを示します。

Test Login :このチェックボックスが選択されていると、Submit をクリックしたときに、Cisco Secure ACS が Novell サーバのツリーへの管理ログインをテストします。

Tree Name :新しいツリー用のブランクのフォーム上だけに表示されます。Cisco Secure ACS がユーザを認証する Novell NDS ツリーの名前です。

Administrator Username :Novell サーバの管理者用の完全修飾された、タイプのないユーザ名です。例:

admin.Chicago.Corporation

匿名のクレデンシャルによる検索でグループ名属性が表示されるように Novell NDS サーバが設定されている場合は、管理者ユーザ名に匿名のクレデンシャルを使用できます。それ以外の場合は、検索でのグループ名属性の表示が許可された管理者ユーザ名を指定する必要があります。


) 指定された管理者ユーザ名に検索でのグループ名属性の表示が許可されていない場合、Novell NDS によって認証されたユーザのグループ マッピングは失敗します。


Administrator Password :Novell サーバの管理者のパスワードです。

Context List :各コンテキストが標準形でタイプを持たない形式で指定されている完全なコンテキスト リストで、 o= および ou= を取り除き、ピリオド(.)を使用してコンテキストの各パートを分割します。コンテキスト リストは、複数入力できます。複数のリストを入力する場合は、1 つのカンマで区切ります。たとえば、組織が Corporation で、組織名が Chicago、そして 2 つのコンテキスト名 Marketing と Engineering を入力する必要がある場合は、次のように入力することになります。

Engineering.Chicago.Corporation,Marketing.Chicago.Corporation

Context List ボックスでは、ユーザを追加する必要はありません。


) ユーザはログイン時に、コンテキストの一部を指定できます。詳細については、「ユーザ コンテキスト」を参照してください。


Context Subtree :このチェックボックスをオンにすると、Cisco Secure ACS は認証中にユーザのサブツリーを検索します。検索されるサブツリーは、Context List ボックスで指定されたコンテキストのサブツリーです。

Novell NDS 外部ユーザ データベースの設定

Novell NDS データベース設定の作成は、NDS データベースに認証要求を渡すために必要な Cisco Secure ACS の情報を提供するプロセスです。この情報は NDS データベースの実装方法が反映されたものであり、NDS データベースの設定方法や機能を指示するものではありません。NDS データベースについては、Novell NDS のマニュアルを参照してください。


ヒント ログイン プロセスの一部として、ユーザに独自のコンテキストを入力させることができます。詳細については、「ユーザ コンテキスト」を参照してください。


始める前に

Novell Requestor Software for Novell NDS は、Cisco Secure ACS と同一のコンピュータ上にインストールする必要があります。Novell Requestor Software for Novell NDS が、Cisco Secure ACS と同一のコンピュータ上にない場合、この手順は完了できません。

Novell NDS 認証を設定するには、次の手順を実行します。


ステップ 1 Novell NetWare 管理者に問い合せて、ツリー、コンテナおよびコンテキストの名前やその他の情報を取得します。

ステップ 2 ナビゲーション バーの External User Databases をクリックします。

ステップ 3 Database Configuration をクリックします。

Cisco Secure ACS によって、使用可能な外部ユーザ データベース タイプが一覧表示されます。

ステップ 4 Novell NDS をクリックします。

Novell NDS データベースがまだ設定されていない場合は、Database Configuration Creation ページが表示されます。設定されている場合は、External User Database Configuration ページが表示されます。

ステップ 5 設定を作成中の場合は、次の手順を実行します。

a. Create New Configuration をクリックします。

b. 入力フィールドに Novell NDS Authentication 用の新しい設定の名前を入力します。

c. Submit をクリックします。

Cisco Secure ACS によって、新しい設定が External User Database Configuration テーブルに追加されます。

ステップ 6 Configure をクリックします。


注意 Delete をクリックすると、Novell NDS データベース用の Cisco Secure ACS 設定が削除されます。

NDS Authentication Support ページが表示されます。NDS Authentication Support ページにより、Novell NDS サーバ設定の追加、既存の Novell NDS サーバ設定の変更および削除が可能です。

NDS Authentication Support ページの内容の詳細については、「Novell NDS 外部ユーザ データベースのオプション」を参照してください。

ステップ 7 新しい Novell NDS サーバ設定を追加するには、NDS Authentication Support ページの最下部にあるブランクのフィールドに入力します。


) Add New NDS Host チェックボックスをオンにして、Novell NDS サーバ設定を作成することを確認します。


ステップ 8 既存のツリー設定を変更するには、変更する必要がある値を編集します。


) ツリーの名前は変更できません。ツリーの名前を変更する必要がある場合は、そのツリーのセクションで Delete Tree?をクリックしてから、Submit をクリックします。次に、削除したツリーと同一の設定データの新しいツリーを、名前が正しいことを確認してから追加し、Submit をクリックします。


ステップ 9 既存のツリー設定を削除するには、 Delete Tree チェックボックスをオンにします。

ステップ 10 Submit をクリックします。

Cisco Secure ACS は作成した NDS 設定を保存します。このデータベースを未知ユーザ ポリシーに追加するか、または特定のユーザ アカウントに割り当てて認証に使用できます。未知ユーザ ポリシーの詳細については、を参照してください。このデータベースを使用して認証を行うようにユーザ アカウントを設定する方法の詳細については、 第7章「ユーザ管理」 を参照してください。


 

ODBC データベース

Windows ユーザ データベース サポートと同様に、Cisco Secure ACS の ODBC 準拠リレーショナル データベース サポートにより、外部 ODBC 準拠リレーショナル データベースに保持されている既存のユーザ レコードを利用できます。Cisco Secure ACS を ODBC 準拠リレーショナル データベースで認証するように設定しても、このリレーショナル データベースの設定に影響を与えることはありません。リレーショナル データベースの管理については、そのリレーショナル データベースのマニュアルを参照してください。


) Cisco Secure ACS がサポートする他のすべての外部データベースと同様に、
ODBC 準拠リレーショナル データベースは、Cisco Secure ACS には付属していません。ODBC 外部ユーザ データベースの設定については、「ODBC 準拠リレーショナル データベースを使用したユーザ認証の準備」を参照してください。


Windows ODBC 機能を使用して、Data Source Name(DSN; データ ソース名)を作成できます。DSN はデータベースと、データベースとの通信に必要なその他のパラメータを指定します。指定するパラメータは、ODBC ドライバが ODBC 準拠リレーショナル データベースにアクセスするために必要なユーザ名およびパスワードです。

この項では、次のトピックについて取り上げます。

「ODBC ユーザ データベースでのサポート内容」

「ODBC 外部ユーザ データベースを使用した Cisco Secure ACS の認証プロセス」

「ODBC 準拠リレーショナル データベースを使用したユーザ認証の準備」

「ODBC 認証のためのストアド プロシージャの実装」

「Microsoft SQL Server および大文字と小文字を区別するパスワード」

「PAP 認証 SQL プロシージャを生成するためのルーチン例」

「SQL CHAP 認証プロシージャを生成するためのルーチン例」

「EAP-TLS 認証プロシージャを生成するためのルーチン例」

「PAP 認証プロシージャの入力」

「PAP 認証プロシージャの出力」

「CHAP/MS-CHAP/ARAP 認証プロシージャの入力」

「CHAP/MS-CHAP/ARAP プロシージャの出力」

「EAP-TLS 認証プロシージャの入力」

「EAP-TLS プロシージャの出力」

「結果コード」

「ODBC 外部ユーザ データベース用のシステム データ ソース名の設定」

「ODBC 外部ユーザ データベースの設定」

ODBC ユーザ データベースでのサポート内容

Cisco Secure ACS は、次の機能について、ODBC 外部ユーザ データベースの使用をサポートします。

認証 :Cisco Secure ACS は、ODBC 認証機能を使用したリレーショナル データベースによる ASCII、PAP、ARAP、CHAP、MS-CHAP(バージョン 1 および 2)、LEAP、EAP-TLS、EAP-MD5、PEAP(EAP-GTC)、および EAP-FAST(フェーズ 0 および フェーズ 2)認証をサポートします。他の認証プロトコルは、ODBC 外部ユーザ データベースでサポートされません。


) ODBC 外部ユーザ データベースでサポートされない認証プロトコルは、別のタイプの外部ユーザ データベースでサポートされる場合があります。認証プロトコル、およびそのプロトコルをサポートする外部データベース タイプの詳細については、「認証プロトコルとデータベースの互換性」を参照してください。


グループ指定 :Cisco Secure ACS は、ODBC ユーザ データベースによって認証されたユーザに対するグループ割り当てをサポートします。ODBC データベースへの認証クエリーには、ユーザを割り当てるグループ番号が含まれていなければなりません。ODBC ユーザ データベースによって認証された未知ユーザについては、グループ指定がグループ マッピングよりも優先されます。

予測されるクエリー出力の詳細については、「PAP 認証プロシージャの出力」「CHAP/MS-CHAP/ARAP プロシージャの出力」、および 「EAP-TLS プロシージャの出力」を参照してください。

未知ユーザに対するグループ マッピング :Cisco Secure ACS は、Windows ユーザ データベースにグループ メンバーシップ情報を要求することによって、未知ユーザに対するグループ マッピングをサポートします。Windows ユーザ データベースで認証されたユーザに対するグループ マッピングの詳細については、「グループ セット メンバーシップによるグループ マッピング」を参照してください。

ODBC 外部ユーザ データベースを使用した Cisco Secure ACS の認証プロセス

Cisco Secure ACS は、次の 2 つのシナリオのうちのいずれかの場合に ODBC データベースにユーザ認証要求を転送します。最初のシナリオは、CiscoSecure ユーザ データベースにあるユーザ アカウントに、ODBC データベース設定が認証方式として登録されている場合です。2 番目のシナリオは、ユーザが CiscoSecure ユーザ データベースにとって未知であり、未知ユーザ ポリシーにより ODBC データベースが次に検索を試みる外部ユーザ データベースとして規定されている場合です。

いずれの場合も、Cisco Secure ACS は ODBC データベースにユーザ クレデンシャルを転送します。リレーショナル データベースには、適切なテーブルに問い合せて、値を Cisco Secure ACS に返すストアド プロシージャが必要です。ユーザ クレデンシャルが有効であることを示す戻り値の場合、Cisco Secure ACS は、ユーザ アクセスを許可するように要求側 AAA クライアントに指示します。ユーザ名およびパスワードが無効であることを示す戻り値の場合、Cisco Secure ACS はユーザ アクセスを拒否します(図 13-2)。

図 13-2 ODBC データベースを使用した認証

 

Cisco Secure ACS は、ユーザが割り当てられている Cisco Secure ACS グループに基づいて、許可を与えます。ユーザが割り当てられているグループは、「グループ仕様」というプロセスを使用した ODBC データベースからの情報によって判別可能ですが、許可特権を与えるのは Cisco Secure ACS です。

ODBC 準拠リレーショナル データベースを使用したユーザ認証の準備

ODBC 準拠リレーショナル データベースを使用してユーザ認証を行うには、ODBC 外部ユーザ データベースを使用するための Cisco Secure ACS の設定を行う前に、Cisco Secure ACS の外部でいくつかの重要な手順を実行しておく必要があります。

ODBC 準拠リレーショナル データベースを使用した認証の準備をするには、次の手順を実行します。


ステップ 1 ODBC 準拠リレーショナル データベースをサーバにインストールします。詳細については、リレーショナル データベースに関するマニュアルを参照してください。


) 使用するリレーショナル データベースは、Cisco Secure ACS には付属していません。


ステップ 2 ユーザ名とパスワードを保存するデータベースを作成します。データベース名は Cisco Secure ACS とは関連がないため、任意の名前を使用できます。

ステップ 3 ユーザのユーザ名とパスワードを保存するテーブルを作成します。テーブル名は Cisco Secure ACS とは関連がないため、任意の名前を使用できます。


) パスワードを保持する SQL データベース カラムには、varchar 形式を使用することをお勧めします。パスワード カラムを char として定義すると、パスワードがフィールドの長さ全体を使用しない場合に、パスワードの比較が失敗する可能性があります。たとえば、パスワード カラムの長さが 16 文字である場合に、パスワードが 10 文字しかないと、データベースが 6 文字分の空白を追加してパスワードの比較に使用する値を 16 文字にするために、ユーザが入力した実際のパスワードとの比較が失敗します。


ステップ 4 要求された認証情報を Cisco Secure ACS に返すストアド プロシージャを記述します。ストアド プロシージャの詳細については、「ODBC 認証のためのストアド プロシージャの実装」を参照してください。

ステップ 5 Cisco Secure ACS を実行しているコンピュータでシステム DSN をセットアップします。手順については、「ODBC 外部ユーザ データベース用のシステム データ ソース名の設定」を参照してください。

ステップ 6 ODBC データベースを使用してユーザを認証するように Cisco Secure ACS を設定します。手順については、「ODBC 外部ユーザ データベースの設定」を参照してください。


 

ODBC 認証のためのストアド プロシージャの実装

Cisco Secure ACS が ODBC 準拠のリレーショナル データベースでユーザを認証するように設定する場合、認証に必要なクエリーを実行し、Cisco Secure ACS に所定の値を返すストアド プロシージャを作成する必要があります。返される値およびストアド プロシージャの必須タスクは、使用する認証プロトコルによって異なります。

ASCII、PAP、または PEAP(EAP-GTC)の認証はリレーショナル データベース内部で行われます。つまり、ストアド プロシージャが、入力されたユーザ名とパスワードの両方と一致するレコードを検索できた場合に、そのユーザは認証されたことになります。

CHAP、MS-CHAP、ARAP、LEAP、または EAP-MD5 の認証は、Cisco Secure ACS 内で行われます。ストアド プロシージャは一致するユーザ名を含むレコードのフィールド(パスワードを含む)を返します。Cisco Secure ACS はプロシージャから戻された値に基づいて、認証を確認、または拒否します。

EAP-TLS の認証は、Cisco Secure ACS 内で行われます。ストアド プロシージャはレコード用のフィールドを返し、ODBC データベース内でユーザ名を検出したかどうかを示します。Cisco Secure ACS はプロシージャから返された値とユーザ証明書の正当性に基づいて、認証を確認または拒否します。Cisco Secure ACS による EAP-TLS プロトコルのサポートの詳細については、を参照してください。

3 つのプロトコルをサポートするために、Cisco Secure ACS では ODBC 認証要求に別個の入力を渡し、別個の出力を受け取ります。このため、リレーショナル データベースには、3 つのプロトコルをそれぞれサポートする別個のストアド プロシージャが必要となります。

Cisco Secure ACS 製品 CD には、Microsoft SQL Server または Oracle データベースでプロシージャを作成するための、「スタブ」ルーチンが用意されています。このルーチンのコピーを修正して必要なストアド プロシージャを作成するか、または独自にプロシージャを作成できます。PAP および CHAP/MS-CHAP/ARAP 認証を行うストアド プロシージャを SQL サーバで作成する例が 「PAP 認証 SQL プロシージャを生成するためのルーチン例」「SQL CHAP 認証プロシージャを生成するためのルーチン例」に示されています。

次に、Cisco Secure ACS データ タイプと SQL データ タイプ、ASCII/PAP/PEAP(EAP-GTC)認証プロシージャの入力と出力、CHAP/MS-CHAP/ARAP 認証プロシージャの入力と出力、EAP-TLS 認証プロシージャの入力と出力、および所定の結果コードに関する参照情報を示します。この参照情報は、使用するリレーショナル データベースで認証ストアド プロシージャを作成する場合に有用です。

型の定義

Cisco Secure ACS の型およびそれと一致する SQL の型は、次のとおりです。

Integer :SQL_INTEGER

String :SQL_CHAR または SQL_VARCHAR


) パスワードを保持する SQL データベース カラムには、varchar 形式を使用することをお勧めします。パスワード カラムを char として定義すると、パスワードがフィールドの長さ全体を使用しない場合に、パスワードの比較が失敗する可能性があります。たとえば、パスワード カラムの長さが 16 文字である場合に、パスワードが 10 文字しかないと、データベースが 6 文字分の空白を追加してパスワードの比較に使用する値を 16 文字にするために、ユーザが入力した実際のパスワードとの比較が失敗します。


Microsoft SQL Server および大文字と小文字を区別するパスワード

ODBC 準拠のリレーショナル データベースとして Microsoft SQL Server を使用しており、大文字と小文字を区別するパスワードを使用するには、この機能を使用できるように SQL Server を設定する必要があります。ユーザが PAP または Telnet ログインを介し、PPP を使用して認証される場合は、大文字と小文字を区別するオプションの SQL サーバ上での設定方法に応じて、パスワードでは大文字と小文字を区別しないことがあります。たとえば、Oracle SQL サーバのデフォルトは大文字と小文字を区別しますが、Microsoft SQL サーバのデフォルトは大文字と小文字を区別しません。ただし、CHAP/ARAP の場合は、CHAP 格納プロシージャが設定されていても、パスワードでは大文字と小文字が区別されます。

たとえば、Telnet または PAP 認証では、パスワードの cisco CISCO または CiScO は、SQL サーバが大文字と小文字を区別しないように設定されている場合は、いずれも有効です。

CHAP/ARAP の場合、パスワードの cisco CISCO または CiScO は、SQL サーバが大文字と小文字を区別するパスワード用に設定されているか否かに関係なく、違うものと判断されます。

PAP 認証 SQL プロシージャを生成するためのルーチン例

次のルーチン例では、Microsoft SQL Server 内に、Cisco Secure ACS によって PAP 認証に使用されるデフォルトのプロシージャとして、CSNTAuthUserPap という名前のプロシージャが作成されます。データベース スキーマによって異なるテーブル名やカラム名は、可変テキストで表されます。便宜を図るため、Cisco Secure ACS 製品 CD には、SQL Server または Oracle でプロシージャを作成するためのスタブ ルーチンが用意されています。データ型定義、プロシージャのパラメータ、およびプロシージャの結果に関する詳細については、「ODBC データベース」を参照してください。

if exists (select * from sysobjects where id = object_id (`dbo.CSNTAuthUserPap’) and sysstat & 0xf = 4)
drop procedure dbo.CSNTAuthUserPap
GO

CREATE PROCEDURE CSNTAuthUserPap
@username varchar(64), @pass varchar(255)
AS
SET NOCOUNT ON
IF EXISTS( SELECT username
FROM users
WHERE username = @username
AND csntpassword = @pass )
SELECT 0,csntgroup,csntacctinfo,"No Error"
FROM users
WHERE username = @username
ELSE
SELECT 3,0,"odbc","ODBC Authen Error"
GO

GRANT EXECUTE ON dbo.CSNTAuthUserPap TO ciscosecure
GO

SQL CHAP 認証プロシージャを生成するためのルーチン例

次のルーチン例では、Microsoft SQL Server 内に、Cisco Secure ACS によって CHAP/MS-CHAP/ARAP 認証に使用されるデフォルトのプロシージャとして、CSNTExtractUserClearTextPw という名前のプロシージャが作成されます。データベース スキーマによって異なるテーブル名やカラム名は、可変テキストで表されます。データ型定義、プロシージャのパラメータ、およびプロシージャの結果に関する詳細については、「ODBC データベース」を参照してください。

if exists (select * from sysobjects where id = object_id(`dbo.CSNTExtractUserClearTextPw’) and sysstat & 0xf = 4)
drop procedure dbo.CSNTExtractUserClearTextPw
GO

CREATE PROCEDURE CSNTExtractUserClearTextPw
@username varchar(64)
AS
SET NOCOUNT ON
IF EXISTS( SELECT username
FROM users
WHERE username = @username )
SELECT 0,csntgroup,csntacctinfo,"No Error",csntpassword
FROM users
WHERE username = @username
ELSE
SELECT 3,0,"odbc","ODBC Authen Error"
GO

GRANT EXECUTE ON dbo.CSNTExtractUserClearTextPw TO ciscosecure
GO

EAP-TLS 認証プロシージャを生成するためのルーチン例

次のルーチン例では、Microsoft SQL Server 内に、Cisco Secure ACS によって EAP-TLS 認証に使用されるデフォルトのプロシージャとして、CSNTFindUser という名前のプロシージャが作成されます。データベース スキーマによって異なるテーブル名やカラム名は、可変テキストで表されます。データ型定義、プロシージャのパラメータ、およびプロシージャの結果に関する詳細については、「ODBC データベース」を参照してください。

if exists (select * from sysobjects where id = object_id(`dbo.CSNTFindUser’) and sysstat & 0xf = 4)
drop procedure dbo.CSNTFindUser
GO

CREATE PROCEDURE CSNTFindUser
@username varchar(64)
AS
SET NOCOUNT ON
IF EXISTS( SELECT username
FROM users
WHERE username = @username )
SELECT 0,csntgroup,csntacctinfo,"No Error"
FROM users
WHERE username = @username
ELSE
SELECT 3,0,"odbc","ODBC Authen Error"
GO

GRANT EXECUTE ON dbo.CSNTFindUser TO ciscosecure
GO

PAP 認証プロシージャの入力

表 13-2 に、Cisco Secure ACS から PAP 認証をサポートするストアド プロシージャに渡される入力を示します。ストアド プロシージャは変数として名前付き入力値を受け取ります。

 

表 13-2 PAP ストアド プロシージャの入力

フィールド
タイプ
説明

CSNTusername

String

0 ~ 64 文字

CSNTpassword

String

0 ~ 255 文字

入力名は参考用としてのみ使用します。入力名から作成されるプロシージャ変数には別の名前を付けられます。ただし、プロシージャ内では上に示された順序で定義する必要があります。この場合、ユーザ名をパスワード変数より先に定義します。

PAP 認証プロシージャの出力

ストアド プロシージャは、ヌルでないフィールドを含む単一行を返す必要があります。 表 13-3 に、Cisco Secure ACS がストアド プロシージャから出力として受け取る値を示します。

 

表 13-3 PAP ストアド プロシージャの出力結果

フィールド
タイプ
説明

CSNTresult

Integer

表 13-8 を参照してください。

CSNTgroup

Integer

認証用の Cisco Secure ACS グループ番号です。0xFFFFFFFF をデフォルト値の割り当てに使用します。0 ~ 499 以外の値は、デフォルト値に変換されます。


) CSNTgroup フィールドで指定されているグループは、
ODBC 外部ユーザ データベースに対して設定されているグループ マッピングに優先します。


CSNTacctInfo

String

0 ~ 16 文字。Cisco Secure ACS が後続のアカウント ログ ファイル エントリに追加するユーザ定義の文字列。

CSNTerrorString

String

0 ~ 255 文字。エラーが発生した場合に Cisco Secure ACS が CSAuth サービス ログ ファイルに書き込むユーザ定義の文字列。

CSNTGroup フィールドおよび CSNTacctInfo フィールドは、認証が成功した後で初めて処理されます。CSNTerrorString ファイルは、認証に失敗した後(結果が 4 以上)で初めてロギングされます。


) ODBC データベースがパラメータではなく recordset 形式でデータを返す場合、プロシージャは上記に列挙した順序で結果フィールドを返す必要があります。


CHAP/MS-CHAP/ARAP 認証プロシージャの入力

Cisco Secure ACS は CHAP/MS-CHAP/ARAP 認証をサポートするストアド プロシージャに、入力として値を 1 つ渡します。ストアド プロシージャは変数として名前付き入力値を受け取る必要があります。


) Cisco Secure ACS が CHAP/MS-CHAP/ARAP 認証を行うため、ユーザ パスワードを入力する必要はありません(表 13-4)。


 

表 13-4 CHAP ストアド プロシージャの入力

フィールド
タイプ
説明

CSNTusername

String

0 ~ 64 文字

入力名は手引きとしてのみ使用します。入力名から作成されるプロシージャ変数には別の名前を付けられます。

CHAP/MS-CHAP/ARAP プロシージャの出力

ストアド プロシージャは、ヌルでないフィールドを含む単一行を返す必要があります。 表 13-5 に、Cisco Secure ACS がストアド プロシージャから出力として受け取る値を示します。

 

表 13-5 CHAP/MS-CHAP/ARAP ストアド プロシージャの出力結果

フィールド
タイプ
説明

CSNTresult

Integer

表 13-8 の結果コードを参照してください。

CSNTgroup

Integer

認証用の Cisco Secure ACS グループ番号です。0xFFFFFFFF をデフォルト値の割り当てに使用します。0 ~ 499 以外の値は、デフォルト値に変換されます。


) CSNTgroup フィールドで指定されているグループは、ODBC 外部ユーザ データベースに対して設定されているグループ マッピングに優先します。


CSNTacctInfo

String

0 ~ 15 文字。Cisco Secure ACS が後続のアカウント ログ ファイル エントリに追加するユーザ定義の文字列。

CSNTerrorString

String

0 ~ 255 文字。エラーが発生した場合に Cisco Secure ACS が CSAuth サービス ログ ファイルに書き込むユーザ定義の文字列。

CSNTpassword

String

0 ~ 255 文字。パスワードは Cisco Secure ACS によって認証されます。


) データベースのパスワード フィールドが VARCHAR ではなく CHAR データ型を使用して定義されている場合は、データベースが、実際のパスワードの長さに関係なく、255 文字の文字列を返すことがあります。ODBC データベースの CHAP パスワード フィールドには VARCHAR データ型を使用することをお勧めします。


CSNTGroup フィールドおよび CSNTacctInfo フィールドは、認証が成功した後で初めて処理されます。CSNTerrorString ファイルは、認証に失敗した後(結果が 4 以上)で初めてロギングされます。


) ODBC データベースがパラメータではなく recordset 形式でデータを返す場合、プロシージャは上記に列挙した順序で結果フィールドを返す必要があります。


EAP-TLS 認証プロシージャの入力

Cisco Secure ACS は EAP-TLS 認証をサポートするストアド プロシージャに、入力として値を 1 つ渡します。ストアド プロシージャは変数として名前付き入力値を受け取る必要があります。


) Cisco Secure ACS が EAP-TLS 認証を行うため、ユーザ パスワードを入力する必要はありません(表 13-4)。


 

表 13-6 EAP-TLS ストアド プロシージャの入力

フィールド
タイプ
説明

CSNTusername

String

0 ~ 64 文字

入力名は手引きとしてのみ使用します。入力名から作成されるプロシージャ変数には別の名前を付けられます。

EAP-TLS プロシージャの出力

ストアド プロシージャは、ヌルでないフィールドを含む単一行を返す必要があります。 表 13-5 に、Cisco Secure ACS がストアド プロシージャから出力として受け取る値を示します。

 

表 13-7 EAP-TLS ストアド プロシージャの出力結果

フィールド
タイプ
説明

CSNTresult

Integer

表 13-8 の結果コードを参照してください。

CSNTgroup

Integer

認証用の Cisco Secure ACS グループ番号です。0xFFFFFFFF をデフォルト値の割り当てに使用します。0 ~ 499 以外の値は、デフォルト値に変換されます。


) CSNTgroup フィールドで指定されているグループは、ODBC 外部ユーザ データベースに対して設定されているグループ マッピングに優先します。


CSNTacctInfo

String

0 ~ 15 文字。Cisco Secure ACS が後続のアカウント ログ ファイル エントリに追加するユーザ定義の文字列。

CSNTerrorString

String

0 ~ 255 文字。エラーが発生した場合に Cisco Secure ACS が CSAuth サービス ログ ファイルに書き込むユーザ定義の文字列。

CSNTGroup フィールドおよび CSNTacctInfo フィールドは、認証が成功した後で初めて処理されます。CSNTerrorString ファイルは、認証に失敗した後(結果が 4 以上)で初めてロギングされます。


) ODBC データベースがパラメータではなく recordset 形式でデータを返す場合、プロシージャは上記に列挙した順序で結果フィールドを返す必要があります。


結果コード

表 13-8 に示す結果コードを設定できます。

 

表 13-8 結果コード

結果コード
説明

0(ゼロ)

認証の成功

1

未知のユーザ名

2

無効パスワード

3

未知のユーザ名または無効パスワード

4+

内部エラー(認証は処理されない)

失敗した認証のログ ファイルに含める情報の量に応じて、SQL プロシージャでは 1、2、または 3 の中から認証の失敗を示すコードを決めることができます。

4 以上のリターン コードは、認証エラー イベントになります。これらのエラーでは、ユーザごとの試行失敗カウンタの値が増加しません。さらに、エラーと失敗を区別するために、エラー コードが AAA クライアントに返され、設定によってはバックアップ用の AAA サーバにフォールバックされます。

成功または失敗した認証はロギングされません。通常の Cisco Secure ACS ロギング メカニズムが適用されます。エラーの発生時には(CSNTresult が 4 以下)、CSNTerrorString ファイルの内容がアプリケーション ログの下にある Windows イベント ログに書き込まれます。

ODBC 外部ユーザ データベース用のシステム データ ソース名の設定

Cisco Secure ACS がリレーショナル データベースと通信するためのシステム データ ソース名(DSN)を、Cisco Secure ACS を実行しているコンピュータ上に作成する必要があります。

ODBC 外部ユーザ データベースで使用するシステム DSN を作成するには、次の手順を実行します。


ステップ 1 ローカル管理者アカウントを使用して、Cisco Secure ACS を実行しているコンピュータにログインします。

ステップ 2 Windows の Control Panel の ODBC Data Sources アイコンをダブルクリックします。

ステップ 3 Start > Settings > Control Panel > Administrative Tools > Data Sources (ODBC) の順に選択します。


ヒント Start メニューで Control Panel が展開されない場合は、Start > Settings > Control Panel を選択し、Administrative Tools をダブルクリックして、Data Sources (ODBC) をダブルクリックします。

ODBC Data Source Administrator ウィンドウが表示されます。

ステップ 4 System DSN タブをクリックします。

ステップ 5 Add をクリックします。

ステップ 6 新しい DSN で使用するドライバを選択してから、 Finish をクリックします。

ダイアログボックスが開き、選択した ODBC ドライバ固有の情報を入力するためのフィールドが表示されます。

ステップ 7 Data Source Name ボックスに DSN を説明する名前を入力します。

ステップ 8 選択した ODBC ドライバに必要な他のフィールドすべてに入力します。これらのフィールドには、たとえば、ODBC 準拠のデータベースが稼働するサーバの IP アドレスが含まれています。

ステップ 9 OK をクリックします。

DSN に指定した名前が System Data Sources リストに表示されます。

ステップ 10 ODBC Data Source Administrator ウィンドウと Windows の Control Panel を閉じます。

Cisco Secure ACS がリレーショナル データベースとの通信に使用するシステム DSN が、Cisco Secure ACS を実行するコンピュータ上に作成されます。


 

ODBC 外部ユーザ データベースの設定

ODBC データベース設定を作成することにより、ODBC 準拠リレーショナル データベースに認証要求を渡すために必要な Cisco Secure ACS 情報が提供されます。この情報は リレーショナル データベースの実装方法を示したものであり、リレーショナル データベースの設定方法や機能を指示するものではありません。リレーショナル データベースについては、リレーショナル データベースのマニュアルを参照してください。


) この手順を実行する前に、「ODBC 準拠リレーショナル データベースを使用したユーザ認証の準備」の手順を実行しておく必要があります。


ODBC 認証用に Cisco Secure ACS を設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの External User Databases をクリックします。

ステップ 2 Database Configuration をクリックします。

Cisco Secure ACS によって、使用可能な外部ユーザ データベース タイプが一覧表示されます。

ステップ 3 External ODBC Database をクリックします。

ステップ 4 設定を作成中の場合は、次の手順を実行します。

a. Create New Configuration をクリックします。

b. 表示されたボックスに ODBC 認証用の新しい設定名を入力するか、ボックスに表示されたデフォルト名を採用します。

c. Submit をクリックします。

Cisco Secure ACS によって、新しい設定が External User Database Configuration テーブルに追加されます。

ステップ 5 Configure をクリックします。

ステップ 6 System DSN リストから、使用する ODBC 準拠リレーショナル データベースと通信するように設定されている DSN を選択します。


リレーショナル データベース用の DSN が Cisco Secure ACS を実行しているコンピュータで設定されていない場合は、この手順を実行する前に設定してください。Cisco Secure ACS ODBC 認証用の DSN 作成に関する詳細については、「ODBC 外部ユーザ データベース用のシステム データ ソース名の設定」を参照してください。


ステップ 7 DSN Username ボックスに、ODBC データベースとのトランザクションを実行するために必要なユーザ名を入力します。

ステップ 8 DSN Password ボックスに、ODBC データベースとのトランザクションを実行するために必要なパスワードを入力します。

ステップ 9 DSN Connection Retries ボックスに、タイムアウトが発生するまでに、Cisco Secure ACS が ODBC データベースへの接続の試行が許可される回数を入力します。デフォルト値は 3 です。


) Windows 起動時に接続の問題が発生する場合は、この値を大きくします。


ステップ 10 ODBC ワーカー スレッド カウントを変更するには、ODBC Worker Threads ボックスに ODBC ワーカー スレッド回数を入力します。最大スレッド カウントは 10 で、デフォルト値は 1 です。


) 使用している ODBC ドライバが認定された安全スレッドである場合に限り、ODBC ワーカー スレッド カウントを大きくします。たとえば、Microsoft Access ODBC ドライバはスレッド セーフではないので、複数のスレッドが使用されると、Cisco Secure ACS が不安定になります。可能であれば、Cisco Secure ACS はドライバが安全スレッドであることを検出するためにドライバの問い合せを行います。使用するスレッド カウントは、DSN のプロシージャ実行所要時間と認証の要求率の係数となります。


ステップ 11 DSN Procedure Type リストで、リレーショナル データベースが提供する出力のタイプを選択します。異なるデータベースからは異なる出力が返されます。

Returns Recordset :データベースは ODBC クエリーに対する応答で、未加工のレコード セットを返します。Microsoft SQL Server は、この方法で応答します。

Returns Parameters :データベースは ODBC クエリーに対する応答で、名前付きパラメータのセットを返します。Oracle データベースは、この方法で応答します。

ステップ 12 ODBC データベースを使用した ASCII、PAP、または PEAP(EAP-GTC)認証をサポートするには、次の手順を実行します。

a. Support PAP authentication チェックボックスをオンにします。

b. PAP SQL Procedure ボックスに、ODBC サーバ上で実行する PAP SQL プロシージャ ルーチンの名前を入力します。このボックスのデフォルト値は、CSNTAuthUserPap です。PAP SQL プロシージャにほかの名前を付けた場合は、PAP SQL プロシージャに与えられる名前と一致するよう、このエントリを変更します。詳細とルーチン例については、「PAP 認証 SQL プロシージャを生成するためのルーチン例」を参照してください。


) PAP 認証をイネーブルにした場合、PAP 認証 SQL プロシージャが ODBC データベース上に存在し、PAP SQL Procedure ボックス内で指定されている名前と同じ名前である必要があります。名前が同じではないときは、ODBC データベースに対してユーザ認証を試みる前に、必ず CHAP 認証 SQL プロシージャを ODBC データベース内に作成してください。


ステップ 13 ODBC データベースを使用した CHAP、MS-CHAP、ARAP、EAP-MD5、または LEAP 認証をサポートするには、次の手順を実行します。

a. Support CHAP/MS-CHAP/ARAP Authentication チェックボックスをオンにします。

b. CHAP SQL Procedure ボックスに、ODBC サーバ上で実行する CHAP SQL プロシージャ ルーチンの名前を入力します。このボックスのデフォルト値は、CSNTExtractUserClearTextPw です。CHAP SQL プロシージャにほかの名前を付けた場合は、CHAP SQL プロシージャに与えられる名前と一致するようにこのエントリを変更します。詳細とルーチン例については、「SQL CHAP 認証プロシージャを生成するためのルーチン例」を参照してください。


) CHAP/MS-CHAP/ARAP 認証をイネーブルにした場合、CHAP 認証 SQL プロシージャが ODBC データベース上に存在し、CHAP SQL Procedure ボックス内で指定されている名前と同じ名前である必要があります。名前が同じではないときは、ODBC データベースに対してユーザ認証を試みる前に、必ず CHAP 認証 SQL プロシージャを ODBC データベース内に作成してください。


ステップ 14 ODBC データベースを使用した EAP-TLS 認証をサポートするには、次の手順を実行します。

a. Support EAP-TLS Authentication チェックボックスをオンにします。

b. EAP-TLS SQL Procedure ボックスに、ODBC サーバ上で実行する EAP-TLS SQL プロシージャ ルーチンの名前を入力します。このボックスのデフォルト値は、CSNTFindUser です。EAP-TLS SQL プロシージャにほかの名前を付けた場合は、EAP-TLS SQL プロシージャに与えられる名前と一致するよう、このエントリを変更します。詳細とルーチン例については、「EAP-TLS 認証プロシージャを生成するためのルーチン例」を参照してください。


) EAP-TLS 認証をイネーブルにした場合は、EAP-TLS 認証 SQL プロシージャが ODBC データベース上に存在し、EAP-TLS SQL Procedure ボックス内で指定されている名前と同じ名前である必要があります。名前が同じではないときは、ODBC データベースに対してユーザ認証を試みる前に、必ず CHAP 認証 SQL プロシージャを ODBC データベース内に作成してください。


ステップ 15 Submit をクリックします。

作成された ODBC 設定が、Cisco Secure ACS によって保存されます。このデータベースを未知ユーザ ポリシーに追加するか、または特定のユーザ アカウントに割り当てて認証に使用できます。未知ユーザ ポリシーの詳細については、を参照してください。このデータベースを使用して認証を行うようにユーザ アカウントを設定する方法の詳細については、 第7章「ユーザ管理」 を参照してください。


 

LEAP Proxy RADIUS サーバ データベース

Cisco Aironet デバイス経由でネットワークにアクセスする Cisco Secure ACS 認証済みユーザについて、Cisco Secure ACS は、プロキシ RADIUS サーバを使用した ASCII、PAP、MS-CHAP(バージョン 1 および 2)、LEAP、および EAP-FAST(フェーズ 0 およびフェーズ 2)認証をサポートします。他の認証プロトコルは、LEAP Proxy RADIUS Server データベースでサポートされません。


) LEAP Proxy RADIUS Server データベースでサポートされない認証プロトコルは、別のタイプのユーザ データベースでサポートされる場合があります。認証プロトコル、およびそのプロトコルをサポートする外部データベース タイプの詳細については、「認証プロトコルとデータベースの互換性」を参照してください。


Cisco Secure ACS では、LEAP Proxy RADIUS サーバ認証に MS-CHAP バージョン 1 を使用します。プロキシ RADIUS データベースを管理するには、RADIUS データベースのマニュアルを参照してください。

Lightweight extensible authentication protocol (LEAP) プロキシ RADIUS サーバ認証を使用すると、MS-CHAP 認証をサポートしている既存の Kerberos データベースに対してユーザを認証できます。LEAP Proxy RADIUS Server データベースを使用すると、MS-CHAP 認証をサポートするすべてのサードパーティ製 RADIUS サーバでユーザを認証できます。


) サードパーティ製 RADIUS サーバは、Microsoft RADIUS Vendor-Specific アトリビュート(VSA)MSCHAP-MPPE-Keys (VSA 12) にある Microsoft Point-to-Point Encryption (MPPE) キーを返す必要があります。サードパーティ製 RADIUS サーバによって MPPE キーが返されないと、認証は失敗し、Failed Attempts ログにロギングされます。


Cisco Secure ACS は、LEAP Proxy RADIUS Server データベースにより認証されたユーザに対する RADIUS ベースのグループ指定をサポートします。RADIUS に基づいたグループ指定は、グループ マッピングより優先されます。詳細については、「RADIUS ベースのグループ指定」を参照してください。

Cisco Secure ACS は、LEAP Proxy RADIUS Server データベースにより認証された未知ユーザに対するグループ マッピングをサポートします。RADIUS ベースのグループ指定が行われなかった場合にだけ、未知ユーザにグループ マッピングが適用されます。LEAP Proxy RADIUS Server データベースで認証されたユーザに対するグループ マッピングの詳細については、「外部ユーザ データベースによるグループ マッピング」を参照してください。

LEAP Proxy RADIUS Server 外部ユーザ データベースの設定

Cisco Secure ACS でユーザを認証するように設定する前に、プロキシ RADIUS サーバをインストールして設定する必要があります。プロキシ RADIUS サーバのインストール方法については、RADIUS サーバに付属するマニュアルを参照してください。

LEAP プロキシ RADIUS 認証を設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの External User Databases をクリックします。

ステップ 2 Database Configuration をクリックします。

Cisco Secure ACS によって、使用可能な外部ユーザ データベース タイプが一覧表示されます。

ステップ 3 LEAP Proxy RADIUS Server をクリックします。

LEAP Proxy RADIUS Server が設定されていない場合は、Database Configuration Creation テーブルだけが表示されます。設定されている場合は、Database Configuration Creation テーブルと External User Database Configuration テーブルが表示されます。

ステップ 4 設定を作成中の場合は、次の手順を実行します。

a. Create New Configuration をクリックします。

b. 表示されたボックスに LEAP Proxy RADIUS Server 用の新しい設定名を入力するか、ボックスに表示されたデフォルト名を採用します。

c. Submit をクリックします。

Cisco Secure ACS によって、新しい設定が External User Database Configuration テーブルに追加されます。

ステップ 5 External User Database Configuration テーブルで、設定する LEAP Proxy RADIUS Server データベースの名前を選択します。


) LEAP Proxy RADIUS Server 設定が 1 つだけ存在する場合は、リストではなく、その設定の名前が表示されます。ステップ 6 に進みます。


ステップ 6 Configure をクリックします。

ステップ 7 次のボックスに必要な情報を入力します。

Primary Server Name/IP :プライマリ プロキシ RADIUS サーバの IP アドレス。

Secondary Server Name/IP :セカンダリ プロキシ RADIUS サーバの IP アドレス。

Shared Secret :プロキシ RADIUS サーバの共有秘密キー。これは、プロキシ RADIUS サーバを設定するときに使用した共有秘密キーと同一である必要があります。

Authentication Port :プロキシ RADIUS サーバが認証セッションを実行する UDP ポート。LEAP Proxy RADIUS サーバが Cisco Secure ACS と同一の Windows サーバにインストールされている場合は、このポートに
Cisco Secure ACS が RADIUS 認証に使用するポートと同一のポートを使用しないでください。RADIUS 用に Cisco Secure ACS が使用するポートの詳細については、「RADIUS」を参照してください。

Timeout (seconds): :認証試行がタイムアウトするまでの Cisco Secure ACS の待機時間(秒単位)で、この時間が経過するとユーザにタイムアウト通知を送信します。

Retries :Cisco Secure ACS が認証を試行する回数。この回数を超えるとセカンダリ プロキシ RADIUS サーバにフェールオーバーします。

Failback Retry Delay (minutes) :認証に失敗したプライマリ プロキシ RADIUS サーバを使用して Cisco Secure ACS が認証を試行してからの経過時間(分単位)。


) プライマリ サーバとセカンダリ サーバの両方で認証に失敗した場合は、Cisco Secure ACS は、一方のサーバが応答するまで、両方のサーバで交互に認証を試行します。


ステップ 8 Submit をクリックします。

作成したプロキシ RADIUS トークン サーバ データベース設定が、Cisco Secure ACS によって保存されます。このデータベースを未知ユーザ ポリシーに追加するか、または特定のユーザ アカウントに割り当てて認証に使用できます。未知ユーザ ポリシーの詳細については、を参照してください。このデータベースを使用して認証を行うようにユーザ アカウントを設定する方法の詳細については、 第7章「ユーザ管理」 を参照してください。


 

トークン サーバ ユーザ データベース

Cisco Secure ACS では、セキュリティを強化するためにワンタイム パスワード(OTP)によって提供されるトークン サーバの使用をサポートします。

この項では、次のトピックについて取り上げます。

「トークン サーバと Cisco Secure ACS について」

「RADIUS 対応トークン サーバ」

「RSA SecurID トークン サーバ」

トークン サーバと Cisco Secure ACS について

Cisco Secure ACS では、トークン サーバを使用した ASCII、PAP、および PEAP(EAP-GTC)認証を実行できます。他の認証プロトコルは、トークン サーバ データベースでサポートされません。


) トークン サーバ データベースでサポートされない認証プロトコルは、別のタイプの外部ユーザ データベースでサポートされる場合があります。認証プロトコル、およびそのプロトコルをサポートする外部データベース タイプの詳細については、「認証プロトコルとデータベースの互換性」を参照してください。


AAA クライアントからの要求は、最初に Cisco Secure ACS に送られます。Cisco Secure ACS がトークン サーバに対して認証するように設定されていて、ユーザ名が検出された場合は、認証要求がトークン サーバに転送されます。ユーザ名が検出されなければ、Cisco Secure ACS は、未知のユーザを認証するように設定されているデータベースをチェックします。認証要求が渡されると、承認された認証情報とともに該当する許可情報が AAA クライアントに転送されます。その後、Cisco Secure ACS はアカウンティング情報を保守します。

Cisco Secure ACS は、このトークン サーバのクライアントとして動作します。RSA SecurID 以外のすべてのトークン サーバで、Cisco Secure ACS はトークン サーバの RADIUS インターフェイスを使用してこれを実現します。Cisco Secure ACS が RADIUS インターフェイスを使用してトークン サーバをサポートする方法の詳細については、「RADIUS 対応トークン サーバ」を参照してください。

RSA SecurID の場合、Cisco Secure ACS は RSA 独自の API を使用します。Cisco Secure ACS が RSA SecurID トークン サーバをサポートする方法の詳細については、「RSA SecurID トークン サーバ」を参照してください。

トークン サーバと ISDN

Cisco Secure ACS は、ISDN ターミナル アダプタとルータのトークン キャッシュをサポートします。ISDN を使用した OTP 認証にトークン カードを使用する際の不便な点は、各 B チャネルにそれぞれ専用の OTP が必要になることです。したがって、ユーザは少なくとも 2 つの OTP に加えて、それ以外のログイン パスワード、たとえば Windows ネットワーキング用パスワードなどを入力する必要があります。端末アダプタが 2 番目の B チャネルのオン/オフ切り替え機能をサポートしている場合は、2 番目の B チャネルが使用されるたびに、ユーザは多数の OTP の入力が必要になる場合があります。

Cisco Secure ACS は、ユーザが簡単に OTP を作成できるように、トークンをキャッシュします。つまり、最初の B チャネル上でトークン カードを使用してユーザが認証されると、別の OTP を入力しなくても 2 番目の B チャネルを使用できる特定の期間を設定できます。2 番目の B チャネルがアップしている時間を制限することにより、2 番目の B チャネルへの不正アクセスのリスクが軽減されます。さらに、最初のログイン時に入力された CHAP パスワードを使用するように 2 番目の B チャネルを設定することで、セキュリティ上の問題が発生する可能性をさらに減少できます。最初の B チャネルが終了すると、キャッシュ トークンは消去されます。

RADIUS 対応トークン サーバ

この項では、標準の RADIUS インターフェイスを提供するトークン サーバに対するサポートについて説明します。

この項では、次のトピックについて取り上げます。

「RADIUS 対応トークン サーバについて」

「トークン サーバの RADIUS 認証要求と応答の内容」

「RADIUS トークン サーバの外部ユーザ データベースの設定」

RADIUS 対応トークン サーバについて

Cisco Secure ACS は、トークン サーバに組み込まれた RADIUS サーバを使用して、トークン サーバをサポートします。Cisco Secure ACS は、ベンダー固有の API を使用する代わりに、標準の RADIUS 認証要求をトークン サーバ上の RADIUS 認証ポートに送信します。この機能により、Cisco Secure ACS は、IETF RFC 2865 に準拠したどのトークン サーバでもサポートできます。

RADIUS トークン サーバの複数のインスタンスを作成できます。上記のトークン サーバのいずれかを使用してユーザを認証するように Cisco Secure ACS を設定する方法については、「RADIUS トークン サーバの外部ユーザ データベースの設定」を参照してください。

Cisco Secure ACS は、RADIUS 対応トークン サーバからの RADIUS 応答において、ユーザ グループ割り当てを指定する手段を提供します。グループ指定は、常にグループ マッピングより優先されます。詳細については、「RADIUS ベースのグループ指定」を参照してください。

Cisco Secure ACS は、RADIUS 対応トーク サーバによって認証されたユーザを、単一グループにマッピングすることもできます。グループ マッピングは、グループ指定がない場合にだけ行われます。詳細については、「外部ユーザ データベースによるグループ マッピング」を参照してください。

トークン サーバの RADIUS 認証要求と応答の内容

Cisco Secure ACS が RADIUS 対応トークン サーバに認証要求を転送する場合、RADIUS 認証要求には次のアトリビュートが含まれます。

User-Name(RADIUS アトリビュート 1)

User-Password(RADIUS アトリビュート 2)

NAS-IP-Address(RADIUS アトリビュート 4)

NAS-Port(RADIUS アトリビュート 5)

NAS-Identifier(RADIUS アトリビュート 32)

Cisco Secure ACS では、次の 3 つの応答のうちのいずれか 1 つの受信を要求します。

access-accept :アトリビュートは必要ありませんが、ユーザを割り当てる必要がある Cisco Secure ACS グループを応答によって示すことができます。詳細については、「RADIUS ベースのグループ指定」を参照してください。

access-reject :アトリビュートは必要ありません。

access-challenge :IETF RFC に準拠した、次のようなアトリビュートが必要です。

State(RADIUS アトリビュート 24)

Reply-Message(RADIUS アトリビュート 18)

RADIUS トークン サーバの外部ユーザ データベースの設定

次の手順を使用して、RADIUS トークン サーバの外部ユーザ データベースを設定します。

始める前に

Cisco Secure ACS でユーザ認証の設定を行う前に、RADIUS トークン サーバをインストールして設定する必要があります。RADIUS トークン サーバのインストール方法については、トークン サーバに付属するマニュアルを参照してください。

RADIUS トークン サーバを使用してユーザを認証するように Cisco Secure ACS を設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの External User Databases をクリックします。

ステップ 2 Database Configuration をクリックします。

Cisco Secure ACS によって、使用可能な外部ユーザ データベース タイプが一覧表示されます。

ステップ 3 RADIUS Token Server をクリックします。

Database Configuration Creation テーブルが表示されます。少なくとも 1 つの RADIUS トークン サーバ設定が存在する場合は、External User Database Configuration テーブルも表示されます。

ステップ 4 設定を作成中の場合は、次の手順を実行します。

a. Create New Configuration をクリックします。

b. 表示されたボックスに RADIUS 対応トークン サーバ用の新しい設定名を入力するか、ボックスに表示されたデフォルト名を採用します。

c. Submit をクリックします。

Cisco Secure ACS によって、新しい設定が External User Database Configuration テーブルに追加されます。

ステップ 5 External User Database Configuration テーブルで、設定する RADIUS 対応トークン サーバの名前を選択します。


) RADIUS 対応トークン サーバ 設定が 1 つだけ存在する場合は、リストではなく、その設定の名前が表示されます。ステップ 6 に進みます。


ステップ 6 Configure をクリックします。

ステップ 7 RADIUS Configuration テーブルで、次のボックスに必要な情報を入力します。

Primary Server Name/IP :プライマリ RADIUS トークン サーバのホスト名または IP アドレス。ホスト名を指定する場合は、DNS で解決可能なホスト名を使用します。

Secondary Server Name/IP :セカンダリ RADIUS トークン サーバのホスト名または IP アドレス。ホスト名を指定する場合は、DNS で解決可能なホスト名を使用します。

Shared Secret :RADIUS サーバの共有秘密キー。これは、RADIUS トークン サーバを設定するときに使用した共有秘密キーと同一である必要があります。

Authentication Port :RADIUS サーバが認証セッションを実行する UDP ポート。RADIUS トークン サーバが Cisco Secure ACS と同じ Windows サーバにインストールされている場合、このポートに Cisco Secure ACS が RADIUS 認証に使用するポートと同一のポートを使用しないでください。RADIUS 用に Cisco Secure ACS が使用するポートの詳細については、「RADIUS」を参照してください。


) Cisco Secure ACS が RADIUS OTP メッセージを RADIUS 対応トークン サーバに送信するには、RADIUS 対応トークン サーバと Cisco Secure ACS の間のゲートウェイ デバイスが、Authentication Port ボックスで指定された UDP ポートを介した通信を許可するように設定されている必要があります。


Timeout (seconds): :Cisco Secure ACS が RADIUS トークン サーバからの応答を待つ時間(秒単位)。この時間が経過すると、認証要求を再試行します。

Retries :Cisco Secure ACS が認証を試行する回数。この回数を超えるとセカンダリ RADIUS トークン サーバにフェールオーバーします。

Failback Retry Delay (minutes) :プライマリ サーバが認証に失敗したときに、Cisco Secure ACS がセカンダリ サーバに認証要求を送信する時間(分単位)。この時間が経過すると、Cisco Secure ACS はプライマリ サーバに対する認証要求の送信に戻ります。


) プライマリ サーバとセカンダリ サーバの両方で認証に失敗した場合は、Cisco Secure ACS は、一方のサーバが応答するまで、両方のサーバで交互に認証を試行します。


ステップ 8 TACACS+ AAA クライアントへの shell ログインを行うトークン ユーザをサポートする場合は、TACACS+ Shell Configuration テーブル内のオプションを設定する必要があります。次のいずれか 1 つを実行します。

a. Cisco Secure ACS がトークンのカスタム プロンプトを表示するように設定するには、 Static (sync and async tokens) を選択してから、Prompt ボックスに、Cisco Secure ACS が表示するプロンプトを入力します。

たとえば、Prompt ボックスに「Enter your PassGo token」と入力すると、パスワード プロンプトではなく「Enter your PassGo token」プロンプトがユーザに表示されます。


) このサーバに送信されるトークンの一部が同期トークンの場合は、Static (sync and async tokens) オプションを使用する必要があります。


b. Cisco Secure ACS がトークン サーバにパスワードを送信してチャレンジをトリガーするように設定するには、 From Token Server (async tokens only) を選択してから、Password ボックスに、Cisco Secure ACS がトークン サーバに転送するパスワードを入力します。

たとえば、チャレンジを呼び出すためにトークン サーバが文字列「challengeme」を要求する場合は、Password ボックスに「challengeme」と入力する必要があります。ユーザには、ユーザ名プロンプトとチャレンジ プロンプトが表示されます。


ヒント ほとんどのトークン サーバは、チャレンジ プロンプトを送信するトリガーとしてブランク パスワードを受け入れます。


) このトークン サーバに送信されるすべてのトークンが非同期トークンである場合にだけ、From Token Server (async tokens only) を使用します。


ステップ 9 Submit をクリックします。

作成した RADIUS トークン サーバ データベース設定が、Cisco Secure ACS によって保存されます。このデータベースを未知ユーザ ポリシーに追加するか、または特定のユーザ アカウントに割り当てて認証に使用できます。未知ユーザ ポリシーの詳細については、を参照してください。このデータベースを使用して認証を行うようにユーザ アカウントを設定する方法の詳細については、 第7章「ユーザ管理」 を参照してください。


 

RSA SecurID トークン サーバ

Cisco Secure ACS は、RSA SecurID トークン サーバに対して ASCII、PAP、および PEAP(EAP-GTC)認証をサポートします。他の認証プロトコルは、RSA SecurID 外部ユーザ データベースでサポートされません。


) RSA SecurID データベースでサポートされない認証プロトコルは、別のタイプの外部ユーザ データベースでサポートされる場合があります。認証プロトコル、およびそのプロトコルをサポートする外部データベース タイプの詳細については、「認証プロトコルとデータベースの互換性」を参照してください。


Cisco Secure ACS は、RSA トークン サーバによって認証されたユーザを、単一グループにマッピングできます。詳細については、「外部ユーザ データベースによるグループ マッピング」を参照してください。

Cisco Secure ACS は、RSA SecurID トークン サーバに対して PPP(ISDN および非同期)と Telnet をサポートします。これは、CiscoSecureACS が RSA SecurID トークン サーバのトークンカード クライアントとして動作することによって実行されます。そのためには、RSA トークンカード クライアント ソフトウェアが、Cisco Secure ACS を実行しているコンピュータにインストールされている必要があります。次の手順では、RSA クライアントを、Cisco Secure ACS を実行しているコンピュータに正しくインストールする方法も示しています。

RSA SecurID トークン サーバの外部ユーザ データベースの設定

Cisco Secure ACS では、ユーザの認証に RSA SecurID トークン サーバのカスタム インターフェイスを使用できます。Cisco Secure ACS 内で作成できるのは、1 つの RSA SecurID 設定だけです。

始める前に

Cisco Secure ACS でユーザ認証の設定を行う前に、RSA SecurID トークン サーバをインストールして設定する必要があります。RSA SecurID トークン サーバのインストール方法については、トークン サーバに付属するマニュアルを参照してください。

適切な RSA ACE クライアントを持っていることを確認します。

RSA トークン サーバを使用してユーザを認証するように Cisco Secure ACS を設定するには、次の手順を実行します。


ステップ 1 Cisco Secure ACS を実行しているコンピュータ上に RSA クライアントをインストールします。

a. 管理者権限を持つユーザ名で、Cisco Secure ACS を実行しているコンピュータにログインします。

b. ACE Client ソフトウェアの Setup プログラムを、RSA によるセットアップ指示に従って実行します。


) インストールが終了した時点で、Windows を再起動しないでください。


c. ACE サーバ データ ディレクトリ、たとえば、 /sdi/ace/data を確認します。

d. sdconf.rec という名前のファイルを取得し、Windows ディレクトリ %SystemRoot%\system32 に格納します。

例:

\winnt\system32

e. ACE サーバのホスト名が、次の Windows ローカル ホスト ファイルに存在することを確認します。

\Windows directory\system32\drivers\etc\hosts

f. Cisco Secure ACS を実行しているコンピュータを再起動します。

g. ACE クライアント アプリケーションの試験認証機能を実行して、接続を確認します。この機能は、Control Panel から実行できます。

ステップ 2 ナビゲーション バーの External User Databases をクリックします。

ステップ 3 Database Configuration をクリックします。

Cisco Secure ACS によって、使用可能な外部ユーザ データベース タイプが一覧表示されます。

ステップ 4 RSA SecurID Token Server をクリックします。

RSA SecurID トークン サーバが設定されていない場合は、Database Configuration Creation テーブルが表示されます。設定されている場合は、External User Database Configuration ページが表示されます。

ステップ 5 設定を作成中の場合は、次の手順を実行します。

a. Create New Configuration をクリックします。

b. 表示されたボックスに RSA SecurID トークン サーバ用の新しい設定名を入力するか、ボックスに表示されたデフォルト名を採用します。

c. Submit をクリックします。

Cisco Secure ACS によって、新しい設定が External User Database Configuration テーブルに追加されます。

ステップ 6 Configure をクリックします。

Cisco Secure ACS により、トークン サーバ名と認証 DLL へのパスが表示されます。この情報により、Cisco Secure ACS が RSA クライアントに接続できることが確認されます。RSA SecurID 外部ユーザ データベースを未知ユーザ ポリシーに追加するか、または特定のユーザ アカウントに割り当ててこのデータベースを認証に使用できます。未知ユーザ ポリシーの詳細については、を参照してください。このデータベースを使用して認証を行うようにユーザ アカウントを設定する方法の詳細については、 第7章「ユーザ管理」 を参照してください。


 

外部ユーザ データベース設定の削除

特定の外部ユーザ データベース設定が必要でなくなった場合は、Cisco Secure ACS から削除できます。

外部ユーザ データベース設定を削除するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの External User Databases をクリックします。

ステップ 2 Database Configuration をクリックします。

Cisco Secure ACS によって、使用可能な外部ユーザ データベース タイプが一覧表示されます。

ステップ 3 設定を削除する外部ユーザ データベース タイプをクリックします。

External User Database Configuration テーブルが表示されます。

ステップ 4 リストが External User Database Configuration テーブルに表示された場合は、削除する設定を選択します。表示されない場合は、ステップ 5 に進みます。

ステップ 5 Delete をクリックします。

確認ダイアログボックスが表示されます。

ステップ 6 OK をクリックして、選択した外部ユーザ データベース設定を削除することを確認します。

選択した外部ユーザ データベース設定が Cisco Secure ACS から削除されます。