Cisco Secure ACS ユーザ ガイド Windows 版 Version 3.3
ユーザ グループ管理
ユーザ グループ管理
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

ユーザ グループ管理

ユーザ グループ セットアップの特長と機能

デフォルト グループ

グループ TACACS+ の設定

基本ユーザ グループの設定

グループの無効化

VoIP サポートをユーザ グループに対してイネーブルにする

デフォルトの時間帯アクセスをユーザ グループに対して設定する

コールバック オプションをユーザ グループに対して設定する

ネットワーク アクセス制限をユーザ グループに対して設定する

最大セッションをユーザ グループに対して設定する

使用割当量をユーザ グループに対して設定する

設定固有のユーザ グループ設定値

トークン カードをユーザ グループに対して設定する

イネーブル特権オプションをユーザ グループに対して設定する

CiscoSecure ユーザ データベースのパスワード エージングをイネーブルにする

パスワード エージングを Windows データベースのユーザに対してイネーブルにする

IP アドレス割り当て方式をユーザ グループに対して設定する

ダウンロード可能 IP ACL をグループに割り当てる

TACACS+ をユーザ グループに対して設定する

シェル コマンド許可セットをユーザ グループに対して設定する

PIX コマンド許可セットをユーザ グループに対して設定する

デバイス管理コマンド許可をユーザ グループに対して設定する

IETF RADIUS をユーザ グループに対して設定する

Cisco IOS/PIX RADIUS をユーザ グループに対して設定する

Cisco Aironet RADIUS をユーザ グループに対して設定する

Ascend RADIUS をユーザ グループに対して設定する

Cisco VPN 3000 Concentrator RADIUS をユーザ グループに対して設定する

Cisco VPN 5000 Concentrator RADIUS をユーザ グループに対して設定する

Microsoft RADIUS をユーザ グループに対して設定する

Nortel RADIUS をユーザ グループに対して設定する

Juniper RADIUS をユーザ グループに対して設定する

BBSM RADIUS をユーザ グループに対して設定する

カスタム RADIUS VSA をユーザ グループに対して設定する

グループ設定の管理

ユーザ グループ内のユーザのリスト表示

ユーザ グループの使用割当量カウンタのリセット

ユーザ グループの名前の変更

ユーザ グループ設定に対する変更の保存

ユーザ グループ管理

この章では、Cisco Secure ACS Windows サーバ版でユーザ グループをセットアップおよび管理して、許可を制御する方法について説明します。Cisco Secure ACS を使用することで、ネットワーク ユーザをグループにまとめて管理効率を向上させることができます。Cisco Secure ACS では、各ユーザは 1 つのグループだけに所属できます。最大 500 個のグループを作成して、さまざまな許可レベルを実現できます。

Cisco Secure ACS では、外部データベース グループ マッピングもサポートされています。つまり、外部ユーザ データベースがユーザ グループを識別している場合は、ユーザ グループを Cisco Secure ACS にマッピングできます。外部データベースで、グループがサポートされていない場合は、その外部データベースからすべてのユーザを 1 つの Cisco Secure ACS ユーザ グループにマッピングできます。外部データベースのマッピングについては、 第16章「ユーザ グループ マッピングと仕様」 を参照してください。

Group Setup を設定する前に、Group Setup セクションの動作を理解しておく必要があります。Cisco Secure ACS は、実際のネットワーク デバイスと使用されているセキュリティ プロトコルの設定に従って、Group Setup セクション インターフェイスを動的に構築します。つまり、Group Setup に表示される内容は、Network Configuration セクションと Interface Configuration セクションの設定内容によって決まります。

この章は、次の項で構成されています。

「ユーザ グループ セットアップの特長と機能」

「基本ユーザ グループの設定」

「設定固有のユーザ グループ設定値」

「グループ設定の管理」

ユーザ グループ セットアップの特長と機能

Cisco Secure ACS HTML インターフェイスの Group Setup セクションは、ユーザ グループの設定および管理に関連する操作の集中管理ポイントです。Network Device Group(NDG; ネットワーク デバイス グループ)については、「ネットワーク デバイス グループの設定」を参照してください。

この項では、次のトピックについて取り上げます。

「デフォルト グループ」

「グループ TACACS+ の設定」

デフォルト グループ

外部ユーザ データベース用のグループ マッピングを設定していない場合、Cisco Secure ACS は、Unknown User Policy によって認証されるユーザを、初めてログインした時に Default Group に割り当てます。デフォルト グループ用の特権と制限が、初めてのユーザに適用されます。Cisco Secure ACS の以前のバージョンからアップグレードし、データベース情報をそのまま維持している場合、Cisco Secure ACS はアップグレード前に設定したグループ マッピングを保持しています。

グループ TACACS+ の設定

Cisco Secure ACS によって、TACACS+ 用の設定がすべての範囲にわたってグループ レベルで使用可能になります。AAA クライアントがセキュリティ制御プロトコルとして TACACS+ を使用するように設定されている場合、標準のサービス プロトコル、たとえば PPP IP、PPP LCP、ARAP、SLIP、および shell (exec) は、特定のグループに属している各ユーザの許可に適用されるように設定できます。


) TACACS+ 設定は、ユーザ レベルで行うこともできます。ユーザ レベルの設定は、グループ レベルの設定よりも優先されます。


Cisco Secure ACS によって、新しい TACACS+ サービスを入力し、設定することもできます。新しい TACACS+ サービスを設定し、Group Setup ページに表示する方法については、「TACACS+ のプロトコル設定オプション」を参照してください。

Cisco デバイス管理アプリケーションと連係動作するように Cisco Secure ACS を設定した場合は、そのデバイス管理アプリケーションをサポートするための新しい TACACS+ サービスが、必要に応じて自動的に表示されます。Cisco Secure ACS とデバイス管理アプリケーションとの連係動作の詳細については、「Cisco デバイス管理アプリケーションのサポート」を参照してください。

シェル コマンド許可セット機能を使用して、TACACS+ グループの設定を行います。この機能によって、次の方法で、シェル コマンドを特定のユーザ グループに適用できます。

設定済みのシェル コマンド許可セットを任意のネットワーク デバイスに割り当てる。

設定済みのシェル コマンド許可セットを特定の NDG に割り当てる。

定義する特定のシェル コマンドをグループごとに許可または拒否する。

シェル コマンド許可セットの詳細については、 第5章「共有プロファイル コンポーネント」 を参照してください。

基本ユーザ グループの設定

この項では、新しいユーザ グループを設定する場合の基本的な操作について説明します。

この項では、次のトピックについて取り上げます。

「グループの無効化」

「VoIP サポートをユーザ グループに対してイネーブルにする」

「デフォルトの時間帯アクセスをユーザ グループに対して設定する」

「コールバック オプションをユーザ グループに対して設定する」

「ネットワーク アクセス制限をユーザ グループに対して設定する」

「最大セッションをユーザ グループに対して設定する」

「使用割当量をユーザ グループに対して設定する」

グループの無効化

この手順では、ユーザ グループを無効にし、無効化されたグループのメンバが認証されないようにします。


) グループの無効化は、Cisco Secure ACS でユーザ レベルの設定よりもグループ レベルの設定が優先される唯一の設定です。グループの無効化を設定すると、無効にされたグループ内のすべてのユーザの認証は拒否されます。この場合、ユーザ アカウントが無効かどうかは関係ありません。ただし、ユーザ アカウントが無効になっている場合、対応するユーザ グループの無効化設定の状態が変化しても、ユーザ アカウントは無効のままです。つまり、グループとユーザの無効化設定が異なる場合、Cisco Secure ACS はデフォルトでネットワーク アクセスを回避します。


グループを無効にするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストで、無効にするグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 3 Group Disabled テーブルで、 This group is disabled - and all users of this group are disabled というラベルのチェックボックスをオンにします。

ステップ 4 グループをすぐに無効にするには、 Submit + Restart をクリックします。
詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

グループは無効になり、グループのすべてのメンバーも無効になります。


 

VoIP サポートをユーザ グループに対してイネーブルにする


) この機能が表示されない場合は、Interface Configuration をクリックし、次に Advanced Options をクリックしてから、Voice-over-IP (VoIP) Group Settings チェックボックスをオンにしてください。


この手順を実行して、VoIP のヌル パスワード機能のサポートを有効にします。これで、ユーザはユーザ ID(電話番号)だけに基づいて認証を受ける(セッションまたは通話について)ことができます。

グループ レベルで VoIP を有効にすると、そのグループ内のユーザすべてが VoIP ユーザとなり、ユーザ ID は電話番号と同様に取り扱われます。VoIP ユーザは、認証を受けるためにパスワードを入力する必要がありません。


注意 VoIP を有効にすると、パスワード認証や、パスワード エージングおよびプロトコル アトリビュートなどの高度な設定のほとんどが使用できなくなります。

VoIP サポートをグループに対して有効にするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストで、VoIP サポートを設定するグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 3 Voice-over-IP Support テーブルで、 This is a Voice-over-IP (VoIP) group - and all users of this group are VoIP users というラベルのチェックボックスをオンにします。

ステップ 4 グループ設定を保存するには、 Submit をクリックします。
詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 5 他のグループの設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

デフォルトの時間帯アクセスをユーザ グループに対して設定する


) この機能が表示されない場合は、Interface Configuration をクリックし、次に Advanced Options をクリックしてから Default Time-of-Day / Day-of-Week Specification チェックボックスをオンにします。


特定のグループ内のユーザに対してアクセスを許可または拒否する時刻を定義するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 3 Default Time-of-Day Access Settings テーブルで、 Set as default Access Times チェックボックスをオンにします。


) 時間帯または曜日に基づいてアクセスを制限するには、Set as default Access Times チェックボックスをオンにする必要があります。


アクセスが許可される時間が、曜日と時間帯のマトリクス上で緑色にハイライトされます。


) デフォルト設定では、アクセスは 1 日中許可されています。


ステップ 4 曜日と時間帯のマトリクス上で、このグループのメンバーのアクセスを拒否する時刻をクリックします。


ヒント 曜日と時間のマトリクス上で時間をクリックすると、時間の選択が解除されます。再度クリックすると、また選択状態に戻ります。
Clear All をクリックして全時間解除したり、Set All をクリックして全時間を選択することもできます。

ステップ 5 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 6 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

コールバック オプションをユーザ グループに対して設定する

コールバックとは、アクセス サーバに返されるコマンド文字列です。モデムを起動するときにコールバック文字列を使用すると、セキュリティの強化または着信課金のために、ユーザが特定の番号にコールバックするように設定できます。次の 3 つのオプションがあります。

No callback allowed :コールバックをこのグループのユーザに対してディセーブルにします。これがデフォルト設定です。

Dialup client specifies callback number :ダイヤルアップ クライアントがコールバック番号を指定できるようにします。ダイヤルアップ クライアントは RFC 1570、PPP LCP Extensions をサポートしている必要があります。

Use Windows Database callback settings (where possible) :Microsoft Windows のコールバック設定を使用します。ユーザの Windows アカウントがリモート ドメインにある場合、Microsoft Windows のコールバック設定がそのユーザに対して動作するためには、Cisco Secure ACS が常駐するドメインとそのドメインとの間に双方向の信頼性が必要です。


) コールバック機能を使用している場合、パスワード エージング機能は正常に機能しません。コールバックを使用していると、ユーザはログイン時にパスワード エージング メッセージを受信できません。


ユーザ グループに対してコールバック オプションを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストでグループを選択してから、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 3 Callback テーブルで、次の 3 つのオプションから 1 つを選択します。

No callback allowed

Dialup client specifies callback number

Use Windows Database callback settings (where possible)

ステップ 4 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 5 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

ネットワーク アクセス制限をユーザ グループに対して設定する

Group Setup の Network Access Restrictions テーブルで、次の 3 つの方法を使用して、ネットワーク アクセス制限(NAR)を適用できます。

名前を指定して既存の共有 NAR を適用する。

IP ベースのグループ アクセス制限を定義して、IP 接続が確立された時点で、指定された AAA クライアントまたは AAA クライアントの指定されたポートに対するアクセスを許可または拒否する。

CLI/DNIS ベースのグループ NAR を定義して、使用されている Calling Line ID(CLI; 発信番号識別)の番号または Dialed Number Identification Service(DNIS; 着信番号識別サービス)の番号、あるいはその両方に対するアクセスを許可または拒否する。


) また、CLI/DNIS に基づいたアクセス制限領域を使用して、別の値を指定できます。詳細については、「ネットワーク アクセス制限について」を参照してください。


通常は、Shared Components セクションから(共有)NAR を定義することにより、これらの制限を複数のグループまたはユーザに適用します。詳細については、「共有ネットワーク アクセス制限の追加」を参照してください。これらのオプションが Cisco Secure ACS HTML インターフェイスに表示されるようにするには、Interface Configuration セクションの Advanced Options ページで、Group-Level Shared Network Access Restriction チェックボックスをオンにする必要があります。

ただし、Cisco Secure ACS では、Group Setup セクションで 1 つのグループに対して NAR を定義し、適用することもできます。Interface Configuration セクションの Advanced Options ページの下にある Group-Level Network Access Restriction 設定をイネーブルにして、1 グループ IP ベース フィルタ オプションおよび 1 グループ CLI/DNIS ベース フィルタ オプションが Cisco Secure ACS HTML インターフェイスに表示されるようにします。


) 認証要求がプロキシによって Cisco Secure ACS サーバに転送されると、
TACACS+ 要求用の NAR はすべて、発信した AAA クライアントの IP アドレスではなく、転送した AAA サーバの IP アドレスに適用されます。


NAR をユーザ グループに対して設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 3 このグループにすでに設定してある共有 NRA を適用するために、次の手順を実行します。


) 共有 NAR を適用するには、Shared Profile Components セクションの Network Access Restrictions で該当する NAR を設定しておく必要があります。詳細については、「共有ネットワーク アクセス制限の追加」を参照してください。


a. Only Allow network access when チェックボックスをオンにします。

b. グループのメンバーにアクセスを許可するために、共有 NAR の 1 つまたはすべてが適用されるかどうかを指定するには、次のオプションのいずれかを選択します。

All selected shared NARS result in permit

Any one selected shared NAR results in permit

c. Shared NAR リストで、共有 NAR 名を 1 つ選択し、 --> (右矢印ボタン)をクリックして、その名前を Selected Shared NARs リストに移動します。


ヒント 適用することを選択した共有 NAR のサーバ詳細を表示するには、View IP NAR、または View CLID/DNIS NAR の該当する方をクリックします。

ステップ 4 この特定のユーザ グループに対して、NAR を定義および適用して、そのグループへのアクセスを IP アドレスまたは IP アドレスとポートに基づいて許可または拒否するには、次の手順を実行します。


ヒント ほとんどの NAR を Shared Components セクションで定義して、複数のグループやユーザに対して制限を適用できるようにします。詳細については、「共有ネットワーク アクセス制限の追加」を参照してください。

a. Network Access Restrictions テーブルの Per Group Defined Network Access Restrictions セクションで、 Define IP-based access restrictions チェックボックスをオンにします。

b. すぐ後のリストで、Table Defines リストからの、許可または拒否される IP アドレスのどちらを表すかを指定するために、 Permitted Calling/Point of Access Locations または Denied Calling/Point of Access Locations を選択します。

c. 次のボックスで情報を選択するか、または入力します。

AAA Client :All AAA Clients を選択するか、そこへのアクセスを許可または拒否する NDG の名前または個別の AAA クライアントの名前を選択します。

Port :アクセスを許可または拒否するポートの番号を入力します。ワイルドカード アスタリスク(*)を使用すると、選択された AAA クライアント上のすべてのポートに対するアクセスを許可または拒否できます。

Address :アクセス制限を実行する場合に、フィルタリングを適用する IP アドレスを入力します。ワイルドカード アスタリスク(*)を使用できます。


) AAA Client リスト、Port ボックス、および Src IP Address ボックスの文字数の合計は、1024 を超えることができません。NAR を追加する場合、Cisco Secure ACS は 1024 を超える文字を受け入れますが、NAR は編集できず、さらに Cisco Secure ACS が NAR をユーザに正確に適用できなくなります。


d. Enter キーを押します。

指定した AAA クライアント、ポート、およびアドレス情報が、NAR Access Control リストに表示されます。

ステップ 5 このユーザ グループへのアクセスを、発信場所または確立されている IP アドレス以外の値に基づいて許可または拒否するには、次の手順を実行します。

a. Define CLI/DNIS-based access restrictions チェックボックスをオンにします。

b. 後続してリストに追加される値を許可するか、または拒否するかを指定するには、Table Defines リストから、次のいずれかを選択します。

Permitted Calling/Point of Access Locations

Denied Calling/Point of Access Locations

c. AAA Client リストで、All AAA Clients を選択するか、そこへのアクセスを許可または拒否する NDG の名前または特定の AAA クライアントの名前を選択します。

d. 次のボックスに必要な情報を入力します。


) 各ボックスに入力する必要があります。値の全体または一部にワイルドカード アスタリスク(*)を使用できます。使用する形式は、AAA クライアントから受信する文字列の形式と一致している必要があります。この形式は、RADIUS アカウンティング ログから判別できます。


PORT :アクセスを許可または拒否するポート番号を入力します。ワイルドカード アスタリスク(*)を使用すると、すべてのポートに対するアクセスを許可または拒否できます。

CLI :アクセスを許可または拒否する CLI 番号を入力します。ワイルドカード アスタリスク(*)を使用すると、番号の一部またはすべての番号に基づいてアクセスを許可または拒否できます。


ヒント この選択肢は、他の値、たとえば Cisco Aironet クライアントの MAC アドレスに基づいてアクセスを制限する場合にも使用されます。詳細については、「ネットワーク アクセス制限について」を参照してください。

DNIS :ユーザがダイヤルしている番号に基づいてアクセスを制限するために DNIS の番号を入力します。ワイルドカード アスタリスク(*)を使用すると、番号の一部またはすべての番号に基づいてアクセスを許可または拒否できます。


ヒント この選択肢は、他の値、たとえば Cisco Aironet AP の MAC アドレスに基づいてアクセスを制限する場合にも使用されます。詳細については、「ネットワーク アクセス制限について」を参照してください。


) AAA Client リスト、Port ボックス、CLI ボックス、および DNIS ボックスの文字数の合計は、1024 を超えることができません。NAR を追加する場合、Cisco Secure ACS は 1024 を超える文字を受け入れますが、NAR は編集できず、さらに Cisco Secure ACS が NAR をユーザに正確に適用できなくなります。


e. Enter キーを押します。

AAA クライアント、ポート、CLI、および DNIS を指定する情報が、リストに表示されます。

ステップ 6 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 7 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

最大セッションをユーザ グループに対して設定する


) この機能が表示されない場合は、Interface Configuration をクリックし、次に Advanced Options をクリックしてから、Max Sessions チェックボックスをオンにします。


グループおよびグループ内の各ユーザが利用できる最大セッション数を定義するには、次の手順を実行します。設定値は次のとおりです。

Sessions available to group :グループ全体の同時接続数の最大値を設定します。

Sessions available to users of this group :グループの各ユーザに対する同時接続数の最大値を設定します。


ヒント たとえば、Sessions available to group に 10 が設定され、Sessions available to users of this group に 2 が設定されているとします。その場合、各ユーザが同時セッションを最大 2 つ使用するとすれば、ログインできるユーザは 5 人までに限られます。



) セッションは、RADIUS または TACACS+ によってサポートされている接続の任意のタイプ、たとえば、PPP、NAS プロンプト、Telnet、ARAP、IPX/SLI です。



) グループの最大セッションのデフォルト設定は、グループとグループ ユーザ両方に対して Unlimited になっています。


ユーザ グループに対して最大セッション数を設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 3 Max Sessions テーブルの Sessions available to group で、次のオプションのいずれかを選択します。

Unlimited :グループの同時セッション数を無制限に許可する場合に選択します(このオプションによって、最大セッションが実質的に無効になります)。

n :グループに許可する同時セッション数の最大値を入力します。

ステップ 4 Max Sessions テーブル の下にある Sessions available to users of this group で、次の 2 つのオプションのどちらかを選択します。

Unlimited :グループ ユーザに対して同時セッションを無制限に許可する場合に選択します(このオプションによって、最大セッションが実質的に無効になります)。

n :このグループの各ユーザに許可する同時セッション数の最大値を入力します。


) User Setup で行う設定は、グループ設定よりも優先されます。詳細については、「最大セッション オプションをユーザに対して設定する」を参照してください。


ステップ 5 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 6 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

使用割当量をユーザ グループに対して設定する


) この機能が表示されない場合は、Interface Configuration をクリックし、次に Advanced Options をクリックしてから Usage Quotas チェックボックスをオンにします。


次の手順では、グループのメンバーに使用割当量を定義します。セッションの割当量は、グループ全体ではなく、グループ ユーザに個別に影響します。ある期間の使用割当量は、次の 2 つの方法で設定できます。

セッション継続時間の合計

セッションの総数

グループに対して、Usage Quotas セクションで何も選択しない場合は、そのグループ ユーザに対しては使用割当量は適用されません。ただし、個々のユーザに対して使用割当量を設定している場合を除きます。


) Group Settings ページの Usage Quotas セクションには、使用状況の統計情報は表示されません。
使用状況の統計値は、個別ユーザの設定ページだけで利用できます。詳細については、「User Usage Quotas オプションの設定」を参照してください。


ユーザは、使用割当量を超えた場合、セッションを開始しようとすると Cisco Secure ACS からアクセス拒否されます。あるセッション中に割り当てを超えても、Cisco Secure ACS は、そのセッションの継続を許可します。

Group Settings ページからグループ ユーザすべての使用割当量カウンタをリセットできます。グループ全体に対する使用割当量カウンタをリセットする方法の詳細については、「ユーザ グループの使用割当量カウンタのリセット」を参照してください。


ヒント 時間に基づいた割当量をサポートするためには、すべての AAA クライアント上でアカウンティング アップデート パケットをイネーブルにすることを推奨します。アップデート パケットがイネーブルになっていない場合、割当量は、ユーザがログオフしたときにアップデートされます。ユーザがネットワークへのアクセスに使用している AAA クライアントに障害が発生すると、割当量はアップデートされません。ISDN のような複数セッションの場合は、すべてのセッションが終了するまで、割当量はアップデートされません。このため、最初のチャネルがユーザに割り当てられている量を使い切っても、2 番目のチャネルは受け付けられることになります。


ユーザ グループに対して使用割当量を設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 3 セッションの継続時間に基づいてユーザ使用割当量を定義するには、次の手順を実行します。

a. Usage Quatas テーブルで、 Limit each user of this group to x hours of online time per time unit チェックボックスをオンにします。

b. to x hours ボックスに、グループ ユーザに対する制限時間を入力します。
分を表すには、小数を使用します。たとえば、値 10.5 は 10 時間 30 分になります。


) to x hours ボックスには、最大で 5 文字まで入力できます。


c. 割当量の有効期間を次の中から選択します。

per Day :午前 12:01 から夜中の 12:00 まで。

per Week :日曜の午前 12:01 から土曜の夜中の 12:00 まで。

per Month :月の朔日(1 日)の午前 12:01 から月の末日の夜中の 12:00 まで。

Total :継続時間数で指定され、終了時点は指定されていない。

ステップ 4 セッション数に基づいてユーザの使用割当量を定義するには、次の手順を実行します。

a. Usage Quatas テーブルで、 Limit each user of this group to x sessions チェックボックスをオンにします。

b. to x sessions ボックスに、ユーザに対して制限するセッション回数を入力します。


) to x sessions ボックスには、最大で 5 文字まで入力できます。


c. セッション割当量の有効期間を次の中から選択します。

per Day :午前 12:01 から夜中の 12:00 まで。

per Week :日曜の午前 12:01 から土曜の夜中の 12:00 まで。

per Month :月の朔日(1 日)の午前 12:01 から月の末日の夜中の 12:00 まで。

Total :継続セッション数で指定され、終了時点は指定されていない。

ステップ 5 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 6 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

設定固有のユーザ グループ設定値

この項では、特定のネットワーク セキュリティ設定に該当する場合に限り実行する手順について説明します。たとえば、トークン サーバを設定していない場合は、各グループに対してトークン カード設定を行う必要はありません。


) ネットワーク デバイスがベンダー固有のさまざまな RADIUS を使用するように設定されている場合は、RADIUS (IETF) アトリビュートが使用可能です。これは、RADIUS (IETF) アトリビュートがアトリビュートの基本セットであり、すべての RADIUS ベンダーにより RADIUS IETF 仕様ごとに使用されるためです。


これらの手順に対応する HTML インターフェイスの内容は動的であり、次の 2 つの要因に基づいています。

特定のプロトコル(RADIUS または TACACS+)をリストするには、HTML インターフェイスの Network Configuration セクションの最低 1 つの AAA クライアント エントリがそのプロトコルを使用している必要がある。詳細については、「AAA クライアントの設定」を参照してください。

グループ プロファイル ページに特定のプロトコル アトリビュートを表示するには、HTML インターフェイスの Interface Configuration セクションで、それらのアトリビュートの表示を有効にしておく必要がある。詳細については、「TACACS+ のプロトコル設定オプション」または「RADIUS のプロトコル設定オプション」を参照してください。

この項では、次のトピックについて取り上げます。

「トークン カードをユーザ グループに対して設定する」

「イネーブル特権オプションをユーザ グループに対して設定する」

「CiscoSecure ユーザ データベースのパスワード エージングをイネーブルにする」

「パスワード エージングを Windows データベースのユーザに対してイネーブルにする」

「IP アドレス割り当て方式をユーザ グループに対して設定する」

「ダウンロード可能 IP ACL をグループに割り当てる」

「TACACS+ をユーザ グループに対して設定する」

「シェル コマンド許可セットをユーザ グループに対して設定する」

「PIX コマンド許可セットをユーザ グループに対して設定する」

「デバイス管理コマンド許可をユーザ グループに対して設定する」

「IETF RADIUS をユーザ グループに対して設定する」

「Cisco IOS/PIX RADIUS をユーザ グループに対して設定する」

「Cisco Aironet RADIUS をユーザ グループに対して設定する」

「Ascend RADIUS をユーザ グループに対して設定する」

「Cisco VPN 3000 Concentrator RADIUS をユーザ グループに対して設定する」

「Cisco VPN 5000 Concentrator RADIUS をユーザ グループに対して設定する」

「Microsoft RADIUS をユーザ グループに対して設定する」

「Nortel RADIUS をユーザ グループに対して設定する」

「Juniper RADIUS をユーザ グループに対して設定する」

「BBSM RADIUS をユーザ グループに対して設定する」

「カスタム RADIUS VSA をユーザ グループに対して設定する」

トークン カードをユーザ グループに対して設定する


) このセクションが表示されない場合は、トークン サーバを設定してください。その後で、External User Databases をクリックし、次に Database Configuration をクリックしてから、該当するトークン カード サーバを追加します。


次の手順では、トークンをキャッシュします。つまり、ユーザは 2 番目の One-Time Password(OTP; ワンタイム パスワード)を入力する必要はなく、2 番目の B チャネルを使用できます。


注意 このオプションは、ISDN 端末アダプタ専用のトークン キャッシングで使用します。このオプションを実装する前に、トークン キャッシングおよび ISDN の概念を十分に理解しておいてください。トークン キャッシングを使用すると、各チャネル接続にトークンを割り当てることなく、複数の B チャネルに接続できます。トークン カード設定は、選択しているグループ内の全ユーザに適用されます。

トークン キャッシングのオプションは次のとおりです。

Session :セッション全体のトークンをキャッシュするには、Session を選択します。この操作によって動的に 2 番目の B チャネルをサービスに使用したりサービスを停止できます。

Duration :Duration を選択して、トークンをキャッシュしておく継続時間(最初の認証時点からの時間)を指定します。この継続時間を過ぎると、ユーザは 2 番目の B チャネルを使用できなくなります。

Session and Duration :Session と Duration の両方を選択して、セッションが継続時間より長く続いた場合、2 番目の B チャネルを開くために新しいトークンが必要となるように設定できます。セッション全体を通してトークンがキャッシュできるだけの十分に大きな値を入力します。セッションが継続時間よりも長く続いた場合、2 番目の B チャネルを開くために新しいトークンが必要になります。

ユーザ グループに対してトークン カードの設定を行うには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 3 ページの一番上の Jump To リストで、 Token Cards を選択します。

ステップ 4 セッション全体に対してトークンをキャッシュするには、Token Card Settings テーブルで Session を選択します。

ステップ 5 指定継続時間(最初の認証時点からの時間)のトークンをキャッシュするには、Token Card Settings テーブルで次の手順を実行します。

a. Duration を選択します。

b. ボックスに継続時間の長さを入力します。

c. 時間の単位として、Seconds、Minutes、Hours のいずれかを選択します。

ステップ 6 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 7 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

イネーブル特権オプションをユーザ グループに対して設定する


) このセクションが表示されない場合は、Interface Configuration をクリックしてから、TACACS+ (Cisco) をクリックします。Advanced Configuration Options テーブルのページの一番下で、Advanced TACACS+ features チェックボックスをオンにしてください。


次の手順では、グループ レベルの TACACS+ イネーブル パラメータを設定します。TACACS+ イネーブル オプションとしては、次の 3 つのオプションがあります。

No Enable Privilege :(デフォルト)ユーザ グループに対してイネーブル特権が許可されません。

Max Privilege for Any AAA Client :ユーザ グループの最大特権レベルが、このグループが許可されている AAA クライアントすべてに対して選択されます。

Define max Privilege on a per-network device group basis :NDG に対して最大特権レベルを定義します。このオプションを使用するには、デバイス グループと対応する最大特権レベルのリストを作成します。特権レベルについては、AAA クライアントのマニュアルを参照してください。


) この方法で特権レベルを定義するには、Interface Configuration で、このオプションを設定しておく必要があります。まだ設定していない場合は、Interface Configuration をクリックし、次に Advanced Settings をクリックしてから、Network Device Groups チェックボックスをオンにしてください。


NDG を使用している場合に、このオプションを使用すると、グループの各ユーザに個別に設定しなくても、NDG をイネーブル レベル マッピング対応に設定できます。

ユーザ グループに対してイネーブル特権オプションを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 3 ページの一番上の Jump To リストで、 Enable Options を選択します。

ステップ 4 次のいずれか 1 つを実行します。

イネーブル特権をこのユーザ グループに対して許可しないようにするには、 No Enable Privilege オプションを選択します。

最大特権レベルをこのユーザ グループに対して設定するには、このグループを許可している ACS に対して、 Max Privilege for Any Access Server オプションを選択します。次に、リストで最大特権レベルを選択します。

このユーザ グループの最大 NDG 特権レベルを定義するには、 Define max Privilege on a per-network device group basis オプションを選択します。次に、NDG と対応する特権レベルをリストで選択します。最後に、 Add Association をクリックします。

結果: NDG と最大特権レベルの対応関係がテーブルに表示されます。

ステップ 5 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 6 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

CiscoSecure ユーザ データベースのパスワード エージングをイネーブルにする

Cisco Secure ACS のパスワード エージング機能では、次に示す条件が少なくとも 1 つ満たされたとき、ユーザに対して強制的にそのパスワードを変更できます。

指定日数が経過した後(日数によるエージング規則)

指定ログイン回数に達した後(使用回数によるエージング規則)

新規ユーザが最初にログインしたとき(パスワード変更規則)

Cisco Secure ACS がサポートする多様なパスワード エージング

Cisco Secure ACS は、次の 4 つのパスワード エージング方式をサポートしています。

PEAP and EAP-FAST Windows Password Aging (PEAP および EAP-FAST Windows パスワード エージング):ユーザが、Windows ユーザ データベース内にあり、EAP をサポートしている Microsoft クライアント、たとえば Windows XP を使用していることが必要です。このパスワード エージング方式の要件と設定については、「パスワード エージングを Windows データベースのユーザに対してイネーブルにする」を参照してください。

RADIUS-based Windows Password Aging (RADIUS ベースの Windows パスワード エージング):ユーザが、Windows ユーザ データベース内にあり、Windows Dial-up Networking(DUN)クライアントを使用していることが必要です。このパスワード エージング方式の要件と設定については、「パスワード エージングを Windows データベースのユーザに対してイネーブルにする」を参照してください。

Password Aging for Device-hosted Sessions (デバイス ホストのセッション用パスワード エージング):ユーザが CiscoSecure ユーザ データベース内にあり、AAA クライアントが TACACS+ を実行しており、接続に Telnet を使用していることが必要です。デバイス ホストの Telnet セッション中に、ユーザがパスワードを変更できるかどうかを制御できます。さらに、この機能によって変更されたパスワードを Cisco Secure ACS が伝搬するかどうかも制御できます。詳細については、「ローカル パスワードの管理」を参照してください。

Password Aging for Transit Sessions (中継セッション用パスワード エージング):ユーザが CiscoSecure データベースにあることが必要です。また、PPP ダイヤルアップ クライアントを使用している必要があります。さらに、エンドユーザ クライアントに CiscoSecure Authentication Agent(CAA)がインストールされていることも必要です。


ヒント CAA ソフトウェアは http://www.cisco.com から入手可能です。


さらに、中継セッション用パスワード エージングを実行するには、AAA クライアントは、RADIUS または TACACS+ を実行していればよいが、Cisco IOS リリース 11.2.7 以降を使用していること、およびウォッチドッグ アカウンティング パケット(aaa アカウンティング新情報アップデート)に発信局の IP アドレスを付けて送信するように設定されていることが必要です(ウォッチドッグ パケットは、セッション中に周期的に送信される仮パケットです。セッションの終了を示す停止パケットが受信されない場合に、おおよそのセッションの長さが計算できるようにします)。

この機能によって変更されたパスワードを Cisco Secure ACS が伝搬するかどうかを制御できます。詳細については、「ローカル パスワードの管理」を参照してください。

Cisco Secure ACS は、MS CHAP バージョン 1 およびバージョン 2 の下で、RADIUS プロトコルを使用するパスワード エージングをサポートしています。
Cisco Secure ACS は、Telnet 接続を通しては、RADIUS プロトコルを使用するパスワード エージングをサポートしていません。


注意 RADIUS 接続を使用しているユーザが、パスワード エージングの警告期間中または猶予期間中、あるいはその期間以後に、AAA クライアントに対して Telnet 接続を行おうとすると、パスワード変更オプションは表示されずに、ユーザ アカウントは失効します。

パスワード エージング機能の設定

この項では、デバイス ホスト セッション用パスワード エージングおよび中継セッション用パスワード エージングの 2 方式について詳しく説明します。Windows パスワード エージング方式については、「パスワード エージングを Windows データベースのユーザに対してイネーブルにする」を参照してください。ローカル パスワードの確認オプションの設定については、「ローカル パスワードの管理」を参照してください。


) コールバック機能を使用している場合、パスワード エージング機能は正常に機能しません。コールバックを使用していると、ユーザはログイン時にパスワード エージング メッセージを受信できません。


Cisco Secure ACS のパスワード エージング機能には、次のようなオプションがあります。

Apply age-by-uses rules :Cisco Secure ACS が日数によってパスワード エージングを決定するように設定します。日数によるエージング規則には、次のような設定値があります。

Active period :ユーザは、この日数の間は普通にログインできますが、この期間が経過すると、パスワードの変更を求めるプロンプトが表示されます。たとえば、20 を入力すると、ユーザは 20 日間は、パスワードの変更を求めるプロンプトが表示されることなく、パスワードを使用できます。Active period のデフォルト値は 20 日です。

Warning period :パスワード変更の通知期間の日数です。ユーザは既存のパスワードを使用できますが、Cisco Secure ACS がパスワードの変更が必要であることを示し、パスワードが失効するまでの残りの日数が表示されます。たとえば、このボックスに 5 を入力し、Active period ボックスに 20 を入力すると、ユーザは 21 日目から 25 日目まで、パスワードを変更するように通知されます。

Grace period :ユーザの猶予期間を指定する日数です。猶予期間中、ユーザは 1 度だけログインし、パスワードを変更できます。Active period および Warning period フィールドで指定されている日数が経過しても、既存のパスワードは 1 回だけ使用できます。その時にはダイアログボックスが表示され、パスワードを変更しないとアカウントが使用できなくなることをユーザに警告し、ユーザがパスワードを変更できるようにします。上記の例に続けて、5 日の猶予期間を許可した場合、アクティブ期間中と警告期間中にログインしなかったユーザは、30 日目まで(30 日目も含む)そのパスワードの変更が許されます。しかし、猶予期間として 5 日が設定されている場合でも、パスワードが猶予期間の状態に入っているときのパスワードの変更操作は 1 回しか認められていません。Cisco Secure ACS では、「ラスト チャンス」を示す警告は 1 回しか表示されません。ユーザがパスワードを変更しなかった場合でも、最後の 1 回のログインは許可されますが、パスワードが失効するので、次回の認証は拒否されます。エントリは、Failed-Attempts ログにロギングされます。アカウントを再度有効にするには、管理者に連絡する必要があります。


) すべてのパスワードは、設定された時刻ではなく、夜中の 12 時に失効します。


Apply age-by-uses rulesCisco Secure ACS がログイン回数によってパスワード エージングを決定するように設定します。使用回数によるエージング規則には、次のような設定値があります。

Issue warning after x loginsログイン回数がこの値に達すると、
Cisco Secure ACS はパスワードの変更をプロンプトで指示します。たとえば、10 を入力すると、パスワード変更のプロンプトが表示されずに、ユーザは 10 回までログインできます。11 回目のログイン時に、ユーザはパスワードの変更をプロンプトで要求されます。


ヒント パスワードを変更せずに何回でもログインできるようにするには、-1 を入力します。


Require change after x logins :ログイン回数がこの値に達した後、パスワードの変更が絶対に必要であることがユーザに通知されます。前の例に続けると、この回数が 12 と設定されている場合、11 回目と 12 回目にログインしようとしたときに、パスワードの変更を要求するプロンプトがユーザに対して表示されます。13 回目にログインしようとしたときに、パスワードの変更が絶対に必要であることを指示するプロンプトが表示されます。その時点で、ユーザがパスワードを変更しない場合、そのアカウントは失効し、ログインできなくなります。この値は、 Issue warning after x login の回数よりも大きい必要があります。


ヒント パスワードを変更せずに何回でもログインできるようにするには、-1 を入力します。


Apply password change rule :新規ユーザが初めてログインしたときに、そのパスワードの変更を強制します。

Generate greetings for successful logins :ユーザが CAA クライアントを介してログインに成功したときに必ずグリーティング メッセージが表示されます。このメッセージには、このユーザ アカウント固有の最新のパスワード情報が含まれています。

パスワード エージング規則は、相互に排他的ではありません。つまり、オンになっているチェックボックスそれぞれに対して規則が適用されます。たとえば、ユーザに対して、20 日ごとおよび 10 回のログインごとにパスワードを変更するように強制し、それに応じた適切な警告と猶予を与えることができます。

どのオプションも選択されない場合は、パスワードが失効することはありません。

パスワード エージング パラメータは、ユーザ レベルに対応する設定を持つ他の多くのパラメータとは異なり、グループ レベルでのみ設定されます。

ユーザは、自分のパスワードを変更せずに猶予期間が経過して認証に失敗すると、Failed Attempts ログにロギングされます。そのアカウントは失効し、Accounts Disabled リストに表示されます。

始める前に

使用している AAA クライアントが、TACACS+ プロトコルまたは RADIUS プロトコルを実行しているかどうか確認します(TACACS+ では、デバイス ホストのセッション用パスワード エージングだけがサポートされています)。

使用している AAA クライアントは、TACACS+ または RADIUS で、同じプロトコルを使用して、認証およびアカウンティングを実行するようにセットアップします。

パスワード確認オプションを設定したかどうかを確認します。詳細については、「ローカル パスワードの管理」を参照してください。

使用している AAA クライアントが、Cisco IOS リリース 11.2.7 以降を使用し、ウォッチドッグ アカウンティング パケット(aaa アカウンティング新情報アップデート)に発信局の IP アドレスを付けて送信するように設定します。

ユーザ グループに対してパスワード エージング規則を設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 3 ページの一番上の Jump To リストで、 Password Aging を選択します。

Password Aging Rules テーブルが表示されます。

ステップ 4 日数によるパスワード エージングを設定するには、 Apply age-by-date rules チェックボックスをオンにしてから、必要に応じて、次のオプションに日数を入力します。

Active period

Warning period

Grace period


) 各フィールドには、最大で 5 文字まで入力できます。


ステップ 5 使用回数によるパスワード エージングを設定するには、 Apply age-by-uses rules チェックボックスをオンにしてから、必要に応じて、次の各オプションにログイン回数を入力します。

Issue warning after x logins

Require change after x logins


) 各フィールドには、最大で 5 文字まで入力できます。


ステップ 6 管理者がパスワードを変更した後、ユーザが最初にログインしたときに、パスワードを強制的に変更させるには、 Apply password change rule チェックボックスをオンにします。

ステップ 7 グリーティング メッセージを表示するようにするには、 Generate greetings for successful logins チェックボックスをオンにします。

ステップ 8 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 9 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

パスワード エージングを Windows データベースのユーザに対してイネーブルにする

Cisco Secure ACS は、Windows データベース内のユーザ用に 2 つのタイプのパスワード エージングをサポートしています。どちらのタイプの Windows パスワード エージング方式も、他の Cisco Secure ACS パスワード エージング方式とは関連のない、まったく別のものです。CiscoSecure ユーザ データベース内のユーザを制御するパスワード エージング方式の要件や設定については、「CiscoSecure ユーザ データベースのパスワード エージングをイネーブルにする」を参照してください。


) Windows パスワード エージングと Cisco Secure ACS の中継セッション用パスワード エージングは、ユーザがこの 2 つのデータベースからそれぞれ認証されるという条件があれば、両方を同時に実行できます。


Windows データベース用のパスワード エージングのタイプを次に示します。

RADIUS ベースのパスワード エージング :RADIUS ベースのパスワード エージングでは、RADIUS AAA プロトコルを利用してパスワード変更メッセージを送受信します。RADIUS ベースの Windows パスワード エージング方式の実装要件は次のとおりです。

Cisco Secure ACS と AAA クライアントの間の通信には、RADIUS を使用すること。

AAA クライアントは、MS CHAP 認証に加えて、MS CHAP パスワード エージングもサポートすること。

ユーザが Windows ユーザ データベース内にあること。

ユーザが Windows DUN クライアントを使用すること。

External User Databases セクション内の Windows configuration で、MS CHAP バージョン 1 または MS CHAP バージョン 2、あるいはその両方をイネーブルにすること。


ヒント パスワード変更のために MS CHAP をイネーブルにする方法については、「Windows 外部ユーザ データベースの設定」を参照してください。System Configuration で、MS CHAP をイネーブルにする方法については、を参照してください。


PEAP パスワード エージング :PEAP パスワード エージングでは、
PEAP(EAP-GTC) または PEAP(EAP-MSCHAPv2) 認証プロトコルを利用してパスワード変更メッセージを送受信します。PEAP Windows パスワード エージング方式の実装要件は次のとおりです。

AAA クライアントが EAP をサポートしていること。

ユーザが Windows ユーザ データベース内にあること。

ユーザが Microsoft PEAP クライアント、たとえば Windows XP を使用していること。

System Configuration セクションの Global Authentication Configuration ページで、PEAP をイネーブルにすること。


ヒント System Configuration で PEAP をイネーブルにする方法については、を参照してください。


External User Databases セクションの Windows Authentication Configuration ページで、PEAP パスワード変更をイネーブルにすること。


ヒント PEAP パスワード変更をイネーブルにする方法については、「Windows ユーザ データベース」を参照してください。


EAP-FAST パスワード エージング :パスワード エージングが EAP-FAST のフェーズ 0 で行われた場合、EAP-MSCHAPv2 を利用してパスワード変更メッセージを送受信します。パスワード エージングが EAP-FAST のフェーズ 2 で行われた場合、EAP-GTC を利用してパスワード変更メッセージを送受信します。EAP-FAST Windows パスワード エージング方式の実装要件は次のとおりです。

AAA クライアントが EAP をサポートしていること。

ユーザが Windows ユーザ データベース内にあること。

ユーザが EAP-FAST をサポートするクライアントを使用していること。

System Configuration セクションの Global Authentication Configuration ページで、EAP-FAST をイネーブルにすること。


ヒント System Configuration で EAP-FAST をイネーブルにする方法については、を参照してください。


External User Databases セクションの Windows Authentication Configuration ページで、EAP-FAST パスワード変更をイネーブルにすること。


ヒント EAP-FAST パスワード変更をイネーブルにする方法については、「Windows ユーザ データベース」を参照してください。


ユーザは、自分の Windows アカウントが「リモート」ドメイン(つまり、Cisco Secure ACS がその中で動作していないドメイン)に常駐している場合、そのドメイン名を与えた場合に限り、Windows ベース パスワード エージングを使用できます。

Windows パスワード エージングの方式と機能は、どの Microsoft Windows オペレーティング システムを使用しているか、および Active Directory(AD)または Security Accounts Manager(SAM)のどちらを採用しているかによって異なります。Windows ユーザ データベース内のユーザに対してパスワード エージングを設定することは、Windows でセキュリティ ポリシーを設定するというさらに大きなタスクの一部に過ぎません。Windows 手順の包括的な説明については、使用している Windows システムのマニュアルを参照してください。

IP アドレス割り当て方式をユーザ グループに対して設定する

この手順を実行して、Cisco Secure ACS がグループ内のユーザに IP アドレスを割り当てる方法を設定してください。次の 4 つの方法があります。

No IP address assignment :このグループには IP アドレスを割り当てません。

Assigned by dialup client :ダイヤルアップ クライアント ネットワーク上で TCP/IP 用に設定されている IP アドレスを使用します。

Assigned from AAA Client pool :IP アドレスは AAA クライアント上で割り当てられている IP アドレス プールによって割り当てられます。

Assigned from AAA server pool :IP アドレスは AAA サーバ上で割り当てられている IP アドレス プールによって割り当てられます。

ユーザ グループに対して IP アドレス割り当て方式を設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 3 ページの一番上の Jump To リストで、 IP Address Assignment を選択します。

ステップ 4 IP Assignment テーブルで、次のいずれかを実行します。

No IP address assignment を選択します。

Assigned by dialup client を選択します。

Assigned from AAA Client pool を選択します。次に、AAA クライアント IP プール名を入力します。

Assigned from AAA pool を選択します。次に、Available Pools リストで AAA サーバ IP プール名を選択してから、 --> (右矢印ボタン)をクリックして、選択した名前を Selected Pools リストに移動します。


) Selected Pools リストに複数のプールがある場合、このグループ内のユーザは、リストで最初に表示された使用可能なプールに割り当てられます。



ヒント リスト内のプールの位置を移動するには、プール名をクリックしてから、プールが希望する位置に移動するまで Up または Down をクリックします。

ステップ 5 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 6 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

ダウンロード可能 IP ACL をグループに割り当てる

ダウンロード可能 ACL 機能によって、グループ レベルで IP ACL を割り当てることができます。


) 割り当てる前に、1 つ以上の IP ACL を設定しておく必要があります。Cisco Secure ACS HTML インターフェイスの Shared Profile Components セクションでダウンロード可能 IP ACL を追加する方法については、「ダウンロード可能 IP ACL の追加」を参照してください。



ヒント Downloadable ACLs テーブルは、イネーブルになっていない場合は表示されません。Downloadable ACLs テーブルをイネーブルにするには、Interface Configuration をクリックし、次に Advanced Options をクリックしてから、Group-Level Downloadable ACLs チェックボックスをオンにしてください。


グループにダウンロード可能 IP ACL を割り当てるには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 3 ページの一番上の Jump To リストで、 Downloadable ACLs を選択します。

ステップ 4 Downloadable ACLs セクションの下にある Assign IP ACL チェックボックスをオンにします。

ステップ 5 リストから IP ACL を選択します。

ステップ 6 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 7 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

TACACS+ をユーザ グループに対して設定する

グループに属している各ユーザの許可に適用するサービス/プロトコル パラメータを設定および使用するには、この手順を実行します。Shell Command Authorization Set に対する設定方法については、「シェル コマンド許可セットをユーザ グループに対して設定する」を参照してください。


) 追加サービスまたはプロトコルを表示または非表示にするには、Interface Configuration をクリックし、次に TACACS+ (Cisco IOS) をクリックしてから、必要に応じて、グループ カラムの項目を選択するか、クリアします。


TACACS+ をユーザ グループに対して設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 3 ページの一番上の Jump To リストで、 TACACS+ を選択します。

TACACS+ Settings テーブル セクションが表示されます。

ステップ 4 TACACS+ Settings テーブルで、グループに対して許可するサービスおよびプロトコルを設定するには、次の手順を実行します。

a. サービス/プロトコルのチェックボックス(たとえば PPP IP や ARAP)を 1 つ以上オンにします。

b. ステップ a で選択した各サービス/プロトコルの下で、必要に応じてアトリビュートを選択し、次に、対応する値を入力して、そのサービス/プロトコルの許可内容を詳細に定義します。

特定のサービスについてカスタム アトリビュートを使用するには、そのサービスの Custom attributes チェックボックスをオンにし、次にチェックボックスの下にあるボックスにアトリビュート/値を指定する必要があります。

アトリビュートの詳細については、 付録 B「TACACS+ の AV ペア」 または購入された AAA クライアントのマニュアルを参照してください。


ヒント ACL および IP アドレス プールの名前は、AAA クライアントで定義されているとおりに入力する必要があります(ACL は、ネットワーク上の他のデバイスまたはユーザに対するアクセス、または他のデバイスまたはユーザからのアクセスを制限するために使用される Cisco IOS コマンドのリストです)。


) デフォルト設定(AAA クライアント上に定義されている)を使用する必要がある場合は、アトリビュート値のボックスをブランクのままにします。



) ACL を定義し、ダウンロードできます。Interface Configuration をクリックし、次に TACACS+ (Cisco IOS) をクリックしてから、Display a window for each service selected in which you can enter customized TACACS+ attributes を選択します。ACL を定義できるボックスが、各サービス/プロトコルの下に開きます。


ステップ 5 特にリストされてディセーブルになっている場合を除き、すべてのサービスを許可できるようにするために、Checking this option will PERMIT all UNKNOWN Services テーブルの下にある Default (Undefined) Services チェックボックスをオンにします。


注意 これは高度な機能であるため、セキュリティの意味を熟知している管理者だけが使用するようにしてください。

ステップ 6 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 7 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

シェル コマンド許可セットをユーザ グループに対して設定する

この手順では、グループに対してシェル コマンド許可セット パラメータを指定します。次の 4 つのオプションがあります。

None :シェル コマンドは許可しません。

Assign a Shell Command Authorization Set for any network device :1 つのシェル コマンド許可セットが割り当てられ、すべてのネットワーク デバイスに適用されます。

Assign a Shell Command Authorization Set on a per Network Device Group Basis :特定のシェル コマンド許可セットを特定の NDG に対して有効になるように関連付けることができます。

Per Group Command Authorization :特定の Cisco IOS コマンドと引数をグループ レベルで許可または拒否できます。


) この機能では、すでにシェル コマンド許可セットを設定してあることが必要です。詳細な手順については、「コマンド許可セットの追加」を参照してください。


ユーザ グループに対してシェル コマンド許可セット パラメータを指定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 3 ページの一番上の Jump To リストで、 TACACS+ を選択します。

TACACS+ Settings テーブル セクションが表示されます。

ステップ 4 垂直スクロールバーを使用して、Shell Command Authorization Set 機能領域にスクロールします。

ステップ 5 シェル コマンド許可セットを適用しない場合は、 None オプションを選択します(またはデフォルトをそのまま使用します)。

ステップ 6 設定済みの任意のネットワーク デバイスで、特定のシェル コマンド許可セットが有効になるように割り当てるには、次の手順を実行します。

a. Assign a Shell Command Authorization Set for any network device オプションを選択します。

b. そのオプションの下で、このグループに適用するシェル コマンド許可セットを選択します。

ステップ 7 特定のシェル コマンド許可セットが、特定の NDG で有効になるように関連付けを作成するには、関連ごとに、次の手順を実行します。

a. Assign a Shell Command Authorization Set on a per Network Device Group Basis オプションを選択します。

b. Device Group と対応する Command Set を選択します。


ヒント すべての Device Groups に対して有効になる Command Set は、その Device Groups が異なるように割り当てられていなければ、そのコマンド セットを <default> デバイス グループに割り当てることで、選択できます。

c. Add Association をクリックします。

関連付けられた NDG とシェル コマンド許可セットが、テーブルに表示されます。

ステップ 8 特定の Cisco IOS コマンドと引数がグループ レベルで許可または拒否されるように定義するには、次の手順を実行します。

a. Per Group Command Authorization オプションを選択します。

b. Unmatched Cisco IOS commands で、 Permit または Deny を選択します。

Permit を選択すると、ユーザは、特にリストに載っていないコマンドでもすべて発行できるようになります。Deny を選択すると、ユーザはリストに載っているコマンドだけを発行できます。

c. 許可または拒否する特定のコマンドをリストに載せるには、 Command チェックボックスをオンにしてから、コマンドの名前を入力し、標準の許可または拒否構文を使用してその引数を定義した後、リストに指定されていない引数を許可するか拒否するかを選択します。


注意 これは高度な機能であるため、Cisco IOS コマンドについて熟知している管理者が使用するようにしてください。構文を正しく入力することは、管理者の責任です。Cisco Secure ACS が使用している、コマンド引数でのパターンマッチングについては、「パターン マッチングについて」を参照してください。


ヒント 複数のコマンドを入力するには、1 つのコマンドを指定するごとに、Submit をクリックする必要があります。入力済みのボックスの下に、新しいコマンド入力ボックスが表示されます。


 

PIX コマンド許可セットをユーザ グループに対して設定する

この手順では、ユーザ グループに対して PIX コマンド許可セット パラメータを指定します。次の 3 つのオプションがあります。

None :PIX コマンドは許可しません。

Assign a PIX Command Authorization Set for any network device :1 つの PIX コマンド許可セットが割り当てられ、すべてのネットワーク デバイスに適用されます。

Assign a PIX Command Authorization Set on a per Network Device Group Basis :特定の PIX コマンド許可セットを特定の NDG に適用します。

始める前に

AAA クライアントが、セキュリティ コントロール プロトコルとして TACACS+ を使用するように設定されていることを確認します。

Interface Configuration セクションの TACACS+ (Cisco) ページにある Group カラムで PIX Shell (pixShell) オプションが選択されていることを確認します。

1 つ以上の PIX コマンド許可セットを事前に設定してあることを確認します。詳細な手順については、「コマンド許可セットの追加」を参照してください。

ユーザ グループの PIX コマンド許可セット パラメータを指定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 3 ページの一番上の Jump To リストで、 TACACS+ を選択します。

TACACS+ Settings テーブル セクションが表示されます。

ステップ 4 TACACS+ Settings テーブル内の PIX Command Authorization Set 機能領域までスクロール ダウンします。

ステップ 5 PIX コマンド許可セットを適用しない場合は、 None オプションを選択します(またはデフォルトをそのまま使用します)。

ステップ 6 設定済みの任意のネットワーク デバイスで、特定の PIX コマンド許可セットが有効になるように割り当てるには、次の手順を実行します。

a. Assign a PIX Command Authorization Set for any network device オプションを選択します。

b. そのオプションの下で、このユーザ グループに適用する PIX コマンド許可セットを選択します。

ステップ 7 特定の PIX コマンド許可セットが、特定の NDG で有効になるように関連付けを作成するには、関連ごとに次の手順を実行します。

a. Assign a PIX Command Authorization Set on a per Network Device Group Basis オプションを選択します。

b. Device Group と、関連付ける Command Set を選択します。

c. Add Association をクリックします。

関連付けられた NDG と PIX コマンド許可セットが、テーブルに表示されます。


) 既存の PIX コマンド許可セット関連付けを削除または編集するには、リストで関連付けを選択し、Remove Association をクリックしてください。



 

デバイス管理コマンド許可をユーザ グループに対して設定する

この手順を使用して、グループに対してデバイス管理コマンド許可セット パラメータを指定してください。デバイス管理コマンド許可セットは、Cisco Secure ACS を使用して許可するように設定されている Cisco デバイス管理アプリケーションにおけるタスクの許可をサポートしています。次の 3 つのオプションがあります。

None :該当する Cisco デバイス管理アプリケーションで発行されたコマンドに対する許可は実行しません。

Assign a device-management application for any network device:該当するデバイス管理アプリケーションに 1 つのコマンド許可セットが割り当てられ、あらゆるネットワーク デバイスでの管理タスクに適用されます。

Assign a device-management application on a per Network Device Group Basis:該当するデバイス管理アプリケーションのコマンド許可セットを特定の NDG に適用できます。コマンド許可セットは、その NDG に属するネットワーク デバイスでのすべての管理タスクに適用されます。


) この機能を利用するには、該当する Cisco デバイス管理アプリケーション用のコマンド許可セットを事前に設定しておく必要があります。詳細な手順については、「コマンド許可セットの追加」を参照してください。


デバイス管理アプリケーションのコマンド許可をユーザ グループに対して指定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 3 ページの一番上の Jump To リストで、 TACACS+ を選択します。

TACACS+ Settings テーブル セクションが表示されます。

ステップ 4 垂直スクロールバーを使用して、 device-management application 機能領域にスクロールします。ここで、 device-management application は、該当する Cisco デバイス管理アプリケーションの名前です。

ステップ 5 該当するデバイス管理アプリケーションにコマンド許可セットを適用しない場合は、 None オプションを選択します。

ステップ 6 任意のネットワーク デバイスでのデバイス管理アプリケーションのアクションに対して、特定のコマンド許可セットが有効になるように割り当てるには、次の手順を実行します。

a. Assign a device-management application for any network device オプションを選択します。

b. 次に、そのオプションの直下にあるリストで、このグループに適用するコマンド許可セットを選択します。

ステップ 7 特定のコマンド許可セットが、特定の NDG でのデバイス管理アプリケーションのアクションに対して有効になるように関連付けを作成するには、関連ごとに、次の手順を実行します。

a. Assign a device-management application on a per Network Device Group Basis オプションを選択します。

b. Device Group と対応する device-management application を選択します。

c. Add Association をクリックします。

関連付けられた NDG とコマンド許可セットが、テーブルに表示されます。


 

IETF RADIUS をユーザ グループに対して設定する

IETF RADIUS 設定パラメータは、次の条件が両方とも満たされる場合に限り表示されます。

Network Configuration で、AAA クライアントが RADIUS プロトコルのいずれかを使用するように設定されている。

HTML インターフェイスの Interface Configuration セクションの RADIUS (IETF) ページで、グループ レベルの RADIUS アトリビュートがイネーブルになっている。

RADIUS アトリビュートは、Cisco Secure ACS から要求側の AAA クライアントに各ユーザ用のプロファイルとして送信されます。これらのアトリビュートを表示または非表示にする方法については、「RADIUS のプロトコル設定オプション」を参照してください。RADIUS アトリビュートの一覧表と説明については、 付録 C「RADIUS アトリビュート」 を参照してください。AAA クライアントが RADIUS を使用する方法については、AAA クライアント ベンダー マニュアルを参照してください。

現在のグループ ユーザに対する許可として適用される IETF RADIUS アトリビュートを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 3 ページの一番上の Jump To リストで、 RADIUS (IETF) を選択します。

ステップ 4 現在のグループに許可する必要がある IETF RADIUS アトリビュートそれぞれに対して、アトリビュートの隣にあるチェックボックスをオンにしてから、その隣のフィールドにアトリビュートに対する許可を定義します。

ステップ 5 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 6 Cisco Secure ACS がサポートしている RADIUS ネットワーク デバイス ベンダーに対して、Vendor-Specific アトリビュート(VSA)を設定するには、次の該当する項を参照してください。

「Cisco IOS/PIX RADIUS をユーザ グループに対して設定する」

「Cisco Aironet RADIUS をユーザ グループに対して設定する」

「Ascend RADIUS をユーザ グループに対して設定する」

「Cisco VPN 3000 Concentrator RADIUS をユーザ グループに対して設定する」

「Cisco VPN 5000 Concentrator RADIUS をユーザ グループに対して設定する」

「Microsoft RADIUS をユーザ グループに対して設定する」

「Nortel RADIUS をユーザ グループに対して設定する」

「Juniper RADIUS をユーザ グループに対して設定する」

「BBSM RADIUS をユーザ グループに対して設定する」

ステップ 7 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

Cisco IOS/PIX RADIUS をユーザ グループに対して設定する

Cisco IOS/PIX RADIUS パラメータは、次の条件が両方とも満たされる場合に限り表示されます。

Network Configuration で、AAA クライアントが RADIUS (Cisco IOS/PIX) を使用するように設定されている。

Group-level RADIUS (Cisco IOS/PIX) アトリビュートが Interface Configuration の RADIUS (Cisco IOS/PIX) でイネーブルになっている。

Cisco IOS/PIX RADIUS は Cisco VSA だけを表します。IETF RADIUS アトリビュートと Cisco IOS/PIX RADIUS アトリビュートの両方を設定する必要があります。


) Cisco IOS/PIX RADIUS アトリビュートを表示または非表示にする方法については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のグループに対する許可として適用される VSA は、それに関連付けられている AAA クライアントを削除したり置き換えたりしても保持されています。しかし、この(ベンダー)タイプの AAA クライアントが設定されていない場合は、その VSA 設定はグループ設定インターフェイスには表示されません。


現在のグループの各ユーザに対する許可として適用される Cisco IOS/PIX RADIUS アトリビュートを設定してイネーブルにするには、次の手順を実行します。


ステップ 1 Cisco IOS/PIX RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが正しく設定されていることを確認します。IETF RADIUS アトリビュートの設定の詳細については、「IETF RADIUS をユーザ グループに対して設定する」を参照してください。

ステップ 2 [009\001] cisco-av-pair アトリビュートを使用して許可を指定する場合、アトリビュートの隣にあるチェックボックスをオンにして、テキスト ボックスにアトリビュートと値(AV)のペアを入力します。アトリビュートと値の各ペアは、Enter キーを押して区切ります。

たとえば、Cisco Secure ACS が Infected のシステム ポスチャ トークンを割り当てる先の Network Admission Control(NAC; ネットワーク アドミッション コントロール)クライアントへの許可の割り当てに現在のグループが使用されている場合、url-redirect、posture-token、status-query-timeout の各アトリビュートは次のように値を指定します。

url-redirect=http://10.1.1.1
posture-token=Infected
status-query-timeout=150

ステップ 3 他の Cisco IOS/PIX RADIUS アトリビュートを使用する場合、対応するチェックボックスをオンにして、隣接するテキスト ボックスに必要な値を指定します。

ステップ 4 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 5 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

Cisco Aironet RADIUS をユーザ グループに対して設定する

単一の Cisco Aironet RADIUS VSA、つまり Cisco-Aironet-Session-Timeout は、バーチャル VSA です。これは、RADIUS (Cisco Aironet) を使用する AAA クライアントからの RADIUS 要求に応答する際に、Cisco Secure ACS が使用する IETF RADIUS Session-Timeout アトリビュート(27)の特別実装です。これを使用すると、無線アクセス デバイスと有線アクセス デバイス経由でネットワークにアクセスするユーザに対して、それぞれ異なるタイムアウト値を指定できます。WLAN 接続のタイムアウト値を指定すると、WLAN 接続(通常は分単位で計測)に対して標準のタイムアウト値(通常は時間単位で計測)を使用しなければならない場合に起こり得る問題が回避されます。


ヒント Cisco-Aironet-Session-Timeout をイネーブルにして設定するのは、グループの一部のメンバーまたはすべてのメンバーが、有線アクセス デバイスまたは無線アクセス デバイス経由で接続する可能性がある場合だけです。グループのメンバーが常に Cisco Aironet Access Point(AP)経由で接続する場合、または常に有線アクセス デバイス経由で接続する場合、Cisco-Aironet-Session-Timeout を使用する必要はありませんが、代わりに RADIUS (IETF) アトリビュート 27、
Session-Timeout を設定する必要があります。


たとえば、あるユーザ グループに対して Cisco-Aironet-Session-Timeout を 600 秒(10 分)に、IETF RADIUS Session-Timeout を 3 時間に設定するとします。このグループのメンバーが VPN コンセントレータ経由で接続すると、Cisco Secure ACS はタイムアウト値として 3 時間を使用します。一方、このユーザが Cisco Aironet AP 経由で接続すると、Cisco Secure ACS は、Aironet AP からの認証要求に応答し、IETF RADIUS Session-Timeout アトリビュートに 600 秒を送信します。このように、Cisco-Aironet-Session-Timeout アトリビュートが設定されていれば、エンドユーザ クライアントが有線アクセス デバイスと Cisco Aironet AP のどちらであるかに応じて、異なるタイムアウト値を送信できます。

Cisco-Aironet-Session-Timeout VSA は、次の条件を両方満たす場合に限り、Group Setup ページに表示されます。

Network Configuration で、AAA クライアントが RADIUS (Cisco Aironet) を使用するように設定されている。

グループ レベルの RADIUS (Cisco Aironet) アトリビュートが Interface Configuration の RADIUS (Cisco Aironet) でイネーブルになっている。


) Cisco Aironet RADIUS VSA を表示または非表示にする方法については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のグループに対する許可として適用される VSA は、それに関連付けられている AAA クライアントを削除したり置き換えたりしても保持されています。しかし、RADIUS (Cisco Aironet) を使用するように設定されている AAA クライアントがない場合は、その VSA 設定はグループ設定インターフェイスには表示されません。


Cisco Aironet RADIUS アトリビュートを設定して、現在のグループの各ユーザに対する許可として適用されるようにイネーブルにするには、次の手順を実行します。


ステップ 1 IETF RADIUS アトリビュートが正しく設定されていることを確認します。IETF RADIUS アトリビュートの設定の詳細については、「IETF RADIUS をユーザ グループに対して設定する」を参照してください。

ステップ 2 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 3 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 4 ページの一番上の Jump To リストで、 RADIUS (Cisco Aironet) を選択します。

ステップ 5 Cisco Aironet RADIUS Attributes テーブルで、 [5842\001] Cisco-Aironet-Session-Timeout チェックボックスをオンにします。

ステップ 6 [5842\001] Cisco-Aironet-Session-Timeout ボックスに、セッション タイムアウト値を秒単位で入力します。この値は、AAA クライアントが RADIUS (Cisco Aironet) 認証オプションを使用するように Network Configuration で設定されている場合に、Cisco Secure ACS によって IETF RADIUS Session-Timeout (27) アトリビュートとして送信されます。推奨値は 600 秒です。

IETF RADIUS Session-Timeout アトリビュートの詳細については、 付録 C「RADIUS アトリビュート」 または使用している AAA クライアントのマニュアルを参照してください。

ステップ 7 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 8 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

Ascend RADIUS をユーザ グループに対して設定する

Ascend RADIUS パラメータは、次の条件が両方とも満たされる場合に限り表示されます。

AAA クライアントが RADIUS (Ascend) または RADIUS (Cisco IOS/PIX) を使用するように Network Configuration で設定されている。

Interface Configuration の RADIUS (Ascend) 内の Group-level RADIUS (Ascend) アトリビュートがイネーブルになっている。

RADIUS (Ascend) は、Ascend 独自のアトリビュートを表します。IETF RADIUS アトリビュートと Ascend RADIUS アトリビュートの両方を設定する必要があります。このような独自アトリビュートを選択すると、IETF アトリビュートが無効になります。

RADIUS について表示されるデフォルトのアトリビュート設定は、 Ascend-Remote-Addr です。


) Ascend RADIUS アトリビュートを表示または非表示にする方法については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のグループに対する許可として適用される VSA は、それに関連付けられている AAA クライアントを削除したり置き換えたりしても保持されています。しかし、この(ベンダー)タイプの AAA クライアントが設定されていない場合は、その VSA 設定はグループ設定インターフェイスには表示されません。


現在のグループの各ユーザに対する許可として適用される Ascend RADIUS アトリビュートを設定してイネーブルにするには、次の手順を実行します。


ステップ 1 IETF RADIUS アトリビュートが正しく設定されていることを確認します。IETF RADIUS アトリビュートの設定の詳細については、「IETF RADIUS をユーザ グループに対して設定する」を参照してください。

ステップ 2 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 3 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 4 ページの一番上の Jump To リストで、 RADIUS (Ascend) を選択します。

ステップ 5 Ascend RADIUS Attributes テーブルで、アトリビュートの隣にあるチェックボックスをオンにして、グループに対して許可するアトリビュートを決定します。その隣にあるフィールドで、必ずアトリビュートに対する許可を定義してください。アトリビュートの詳細については、 付録 C「RADIUS アトリビュート」 または購入された AAA クライアントのマニュアルを参照してください。

ステップ 6 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 7 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

Cisco VPN 3000 Concentrator RADIUS をユーザ グループに対して設定する

Cisco VPN 3000 シリーズのコンセントレータ経由でネットワークにアクセスするユーザの Microsoft MPPE 設定値を制御するには、CVPN3000-PPTP-Encryption (VSA 20) アトリビュートと CVPN3000-L2TP-Encryption (VSA 21) アトリビュートを使用します。CVPN3000-PPTP-Encryption (VSA 20) と
CVPN3000-L2TP-Encryption (VSA 21) の設定値は、Microsoft MPPE RADIUS 設定値よりも優先されます。このどちらかのアトリビュートがイネーブルになっている場合、Cisco Secure ACS は、送信 RADIUS (Microsoft) アトリビュートに送信する値を決定して、RADIUS (Cisco VPN 3000) アトリビュートと一緒に送信します。この動作は、RADIUS (Microsoft) アトリビュートが Cisco Secure ACS HTML インターフェイスでイネーブルになっているかどうかということや、これらのアトリビュートの設定内容には依存しません。

Cisco VPN 3000 Concentrator RADIUS アトリビュートの設定値は、次の条件が両方とも満たされる場合に限り表示されます。

Network Configuration で、AAA クライアントが RADIUS (Cisco VPN 3000) を使用するように設定されている。

Interface Configuration セクション の RADIUS (Cisco VPN 3000) ページの Group-level RADIUS (Cisco VPN 3000) アトリビュートがイネーブルになっている。

Cisco VPN 3000 Concentrator RADIUS は Cisco VPN 3000 Concentrator VSA だけを表します。IETF RADIUS アトリビュートと Cisco VPN 3000 Concentrator RADIUS アトリビュートの両方を設定する必要があります。


) Cisco VPN 3000 Concentrator RADIUS アトリビュートを表示または非表示にする方法については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のグループに対する許可として適用される VSA は、それに関連付けられている AAA クライアントを削除したり置き換えたりしても保持されています。しかし、この(ベンダー)タイプの AAA クライアントが設定されていない場合は、その VSA 設定はグループ設定インターフェイスには表示されません。


現在のグループの各ユーザに対する許可として適用される Cisco VPN 3000 Concentrator RADIUS アトリビュートを設定してイネーブルにするには、次の手順を実行します。


ステップ 1 IETF RADIUS アトリビュートが正しく設定されていることを確認します。

IETF RADIUS アトリビュートの設定の詳細については、「IETF RADIUS をユーザ グループに対して設定する」を参照してください。

ステップ 2 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 3 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 4 ページの一番上の Jump To リストで、 RADIUS (Cisco VPN 3000) を選択します。

ステップ 5 Cisco VPN 3000 Concentrator RADIUS Attributes テーブルで、アトリビュートの隣にあるチェックボックスをオンにして、グループに対して許可するアトリビュートを決定します。その隣にあるフィールドで、必ずアトリビュートに対する許可を詳細に定義してください。

アトリビュートの詳細については、 付録 C「RADIUS アトリビュート」 または RADIUS を使用しているネットワーク デバイスのマニュアルを参照してください。

ステップ 6 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 7 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

Cisco VPN 5000 Concentrator RADIUS をユーザ グループに対して設定する

Cisco VPN 5000 Concentrator RADIUS アトリビュートの設定値は、次の条件が両方とも満たされる場合に限り表示されます。

ネットワーク デバイスが RADIUS (Cisco VPN 5000) を使用するように Network Configuration で設定されている。

Interface Configuration セクション の RADIUS (Cisco VPN 5000) ページの Group-level RADIUS (Cisco VPN 5000) アトリビュートがイネーブルになっている。

Cisco VPN 5000 Concentrator RADIUS は Cisco VPN 5000 Concentrator VSA だけを表します。IETF RADIUS アトリビュートと Cisco VPN 5000 Concentrator RADIUS アトリビュートの両方を設定する必要があります。


) Cisco VPN 5000 Concentrator RADIUS アトリビュートを表示または非表示にする方法については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のグループに対する許可として適用される VSA は、それに関連付けられている AAA クライアントを削除したり置き換えたりしても保持されています。しかし、この(ベンダー)タイプの AAA クライアントが設定されていない場合は、その VSA 設定はグループ設定インターフェイスには表示されません。


現在のグループの各ユーザに対する許可として適用される Cisco VPN 5000 Concentrator RADIUS アトリビュートを設定してイネーブルにするには、次の手順を実行します。


ステップ 1 IETF RADIUS アトリビュートが正しく設定されていることを確認します。

IETF RADIUS アトリビュートの設定の詳細については、「IETF RADIUS をユーザ グループに対して設定する」を参照してください。

ステップ 2 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 3 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 4 ページの一番上の Jump To リストで、 RADIUS (Cisco VPN 5000) を選択します。

ステップ 5 Cisco VPN 5000 Concentrator RADIUS Attributes テーブルで、アトリビュートの隣にあるチェックボックスをオンにして、グループに対して許可するアトリビュートを選択します。各アトリビュートに対する許可をその隣にあるフィールドで、詳細に定義します。

アトリビュートの詳細については、 付録 C「RADIUS アトリビュート」 または RADIUS を使用しているネットワーク デバイスのマニュアルを参照してください。

ステップ 6 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 7 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

Microsoft RADIUS をユーザ グループに対して設定する

Microsoft RADIUS では、PPP リンクを暗号化するために Microsoft が開発した暗号化技術である MPPE をサポートする VSA を使用します。このような PPP 接続は、ダイヤルイン回線または VPN トンネルを経由します。

Cisco VPN 3000 シリーズのコンセントレータ経由でネットワークにアクセスするユーザの Microsoft MPPE 設定値を制御するには、CVPN3000-PPTP-Encryption (VSA 20) アトリビュートと CVPN3000-L2TP-Encryption (VSA 21) アトリビュートを使用します。CVPN3000-PPTP-Encryption (VSA 20) と
CVPN3000-L2TP-Encryption (VSA 21) の設定値は、Microsoft MPPE RADIUS 設定値よりも優先されます。このどちらかのアトリビュートがイネーブルになっている場合、Cisco Secure ACS は、送信 RADIUS (Microsoft) アトリビュートに送信する値を決定して、RADIUS (Cisco VPN 3000) アトリビュートと一緒に送信します。この動作は、RADIUS (Microsoft) アトリビュートが Cisco Secure ACS HTML インターフェイスでイネーブルになっているかどうかということや、これらのアトリビュートの設定内容には依存しません。

Microsoft RADIUS アトリビュートの設定値は、次の条件が両方とも満たされる場合に限り表示されます。

Microsoft RADIUS VSA をサポートしている RADIUS プロトコルを使用するネットワーク デバイスが、Network Configuration で設定されている。

Group-level Microsoft RADIUS アトリビュートが Interface Configuration セクション の RADIUS (Microsoft) ページでイネーブルになっている。

次の Cisco Secure ACS RADIUS プロトコルは、Microsoft RADIUS VSA をサポートします。

Cisco IOS/PIX

Cisco VPN 3000

Ascend

Microsoft RADIUS は Microsoft VSA だけを表します。IETF RADIUS アトリビュートと Microsoft RADIUS アトリビュートの両方を設定する必要があります。


) Microsoft RADIUS アトリビュートを表示または非表示にする方法については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のグループに対する許可として適用される VSA は、それに関連付けられている AAA クライアントを削除したり置き換えたりしても保持されています。しかし、この(ベンダー)タイプの AAA クライアントが設定されていない場合は、その VSA 設定はグループ設定インターフェイスには表示されません。


現在のグループの各ユーザに対する許可として適用される Microsoft RADIUS アトリビュートを設定してイネーブルにするには、次の手順を実行します。


ステップ 1 IETF RADIUS アトリビュートが正しく設定されていることを確認します。

IETF RADIUS アトリビュートの設定の詳細については、「IETF RADIUS をユーザ グループに対して設定する」を参照してください。

ステップ 2 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 3 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 4 ページの一番上の Jump To リストで、 RADIUS (Microsoft) を選択します。

ステップ 5 Microsoft RADIUS Attributes テーブルで、アトリビュートの隣にあるチェックボックスをオンにして、グループに対して許可するアトリビュートを指定します。必要に応じて、さらに隣のフィールドで、そのアトリビュートに対する許可を定義します。アトリビュートの詳細については、 付録 C「RADIUS アトリビュート」 または RADIUS を使用しているネットワーク デバイスのマニュアルを参照してください。


) MS-CHAP-MPPE-Keys アトリビュート値は Cisco Secure ACS によって自動生成されます。HTML インターフェイスで設定する値はありません。


ステップ 6 作成したグループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 7 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

Nortel RADIUS をユーザ グループに対して設定する

Nortel RADIUS アトリビュートの設定値は、次の条件が両方とも満たされる場合に限り表示されます。

Nortel RADIUS VSA をサポートしている RADIUS プロトコルを使用するネットワーク デバイスが、Network Configuration で設定されている。

Interface Configuration セクション の RADIUS (Nortel) ページの Group-level Nortel RADIUS アトリビュートがイネーブルになっている。

Microsoft RADIUS は Nortel VSA だけを表します。IETF RADIUS アトリビュートと Nortel RADIUS アトリビュートの両方を設定する必要があります。


) Nortel RADIUS アトリビュートを表示または非表示にする方法については、
「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のグループに対する許可として適用される VSA は、それに関連付けられている AAA クライアントを削除したり置き換えたりしても保持されています。しかし、この(ベンダー)タイプの AAA クライアントが設定されていない場合は、その VSA 設定はグループ設定インターフェイスには表示されません。


現在のグループの各ユーザに対する許可として適用される Nortel RADIUS アトリビュートを設定してイネーブルにするには、次の手順を実行します。


ステップ 1 IETF RADIUS アトリビュートが正しく設定されていることを確認します。

IETF RADIUS アトリビュートの設定の詳細については、「IETF RADIUS をユーザ グループに対して設定する」を参照してください。

ステップ 2 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 3 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 4 ページの一番上の Jump To リストで、 RADIUS (Nortel) を選択します。

ステップ 5 Nortel RADIUS Attributes テーブルで、アトリビュートの隣にあるチェックボックスをオンにして、グループに対して許可するアトリビュートを指定します。必要に応じて、さらに隣のフィールドで、そのアトリビュートに対する許可を定義します。アトリビュートの詳細については、 付録 C「RADIUS アトリビュート」 または RADIUS を使用しているネットワーク デバイスのマニュアルを参照してください。


) MS-CHAP-MPPE-Keys アトリビュート値は Cisco Secure ACS によって自動生成されます。HTML インターフェイスで設定する値はありません。


ステップ 6 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 7 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

Juniper RADIUS をユーザ グループに対して設定する

Juniper RADIUS は Juniper VSA だけを表します。IETF RADIUS アトリビュートと Juniper RADIUS アトリビュートの両方を設定する必要があります。


) Juniper RADIUS アトリビュートを表示または非表示にする方法については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のグループに対する許可として適用される VSA は、それに関連付けられている AAA クライアントを削除したり置き換えたりしても保持されています。しかし、この(ベンダー)タイプの AAA クライアントが設定されていない場合は、その VSA 設定はグループ設定インターフェイスには表示されません。


現在のグループの各ユーザに対する許可として適用される Juniper RADIUS アトリビュートを設定してイネーブルにするには、次の手順を実行します。


ステップ 1 IETF RADIUS アトリビュートが正しく設定されていることを確認します。

IETF RADIUS アトリビュートの設定の詳細については、「IETF RADIUS をユーザ グループに対して設定する」を参照してください。

ステップ 2 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 3 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 4 ページの一番上の Jump To リストで、 RADIUS (Juniper) を選択します。

ステップ 5 Juniper RADIUS Attributes テーブルで、アトリビュートの隣にあるチェックボックスをオンにして、グループに対して許可するアトリビュートを指定します。必要に応じて、さらに隣のフィールドで、そのアトリビュートに対する許可を定義します。アトリビュートの詳細については、 付録 C「RADIUS アトリビュート」 または RADIUS を使用しているネットワーク デバイスのマニュアルを参照してください。


) MS-CHAP-MPPE-Keys アトリビュート値は Cisco Secure ACS によって自動生成されます。HTML インターフェイスで設定する値はありません。


ステップ 6 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 7 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

BBSM RADIUS をユーザ グループに対して設定する

BBSM RADIUS は BBSM RADIUS VSA だけを表します。IETF RADIUS アトリビュートと BBSM RADIUS アトリビュートの両方を設定する必要があります。


) BBSM RADIUS アトリビュートを表示または非表示にする方法については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のグループに対する許可として適用される VSA は、それに関連付けられている AAA クライアントを削除したり置き換えたりしても保持されています。しかし、この(ベンダー)タイプの AAA クライアントが設定されていない場合は、その VSA 設定はグループ設定インターフェイスには表示されません。


BBSM RADIUS アトリビュートを設定して、現在のグループの各ユーザに対する許可として適用されるようにイネーブルにするには、次の手順を実行します。


ステップ 1 IETF RADIUS アトリビュートが正しく設定されていることを確認します。

IETF RADIUS アトリビュートの設定の詳細については、「IETF RADIUS をユーザ グループに対して設定する」を参照してください。

ステップ 2 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 3 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 4 ページの一番上の Jump To リストで、 RADIUS (BBSM) を選択します。

ステップ 5 BBSM RADIUS Attributes テーブルで、アトリビュートの隣にあるチェックボックスをオンにして、グループに対して許可するアトリビュートを指定します。必要に応じて、さらに隣のフィールドで、そのアトリビュートに対する許可を定義します。アトリビュートの詳細については、 付録 C「RADIUS アトリビュート」 または RADIUS を使用しているネットワーク デバイスのマニュアルを参照してください。


) MS-CHAP-MPPE-Keys アトリビュート値は Cisco Secure ACS によって自動生成されます。HTML インターフェイスで設定する値はありません。


ステップ 6 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 7 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

カスタム RADIUS VSA をユーザ グループに対して設定する

ユーザ定義のカスタム Radius VSA の設定値は、次の条件がすべて満たされる場合に限り表示されます。

カスタム RADIUS VSA を定義および設定してある(ユーザ定義の RADIUS VSA の作成方法については、を参照してください)。

カスタム VSA をサポートする RADIUS プロトコルを使用するネットワーク デバイスが、Network Configuration で設定されている。

Interface Configuration セクション の RADIUS ( name ) ページの Group-level custom RADIUS アトリビュートがイネーブルになっている。

IETF RADIUS アトリビュートと カスタム RADIUS アトリビュートの両方を設定する必要があります。

現在のグループの各ユーザに対する許可として適用されるカスタム RADIUS アトリビュートを設定し、イネーブルにするには、次の手順を実行します。


ステップ 1 IETF RADIUS アトリビュートが正しく設定されていることを確認します。

IETF RADIUS アトリビュートの設定の詳細については、「IETF RADIUS をユーザ グループに対して設定する」を参照してください。

ステップ 2 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 3 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 4 ページの一番上の Jump To リストで、 RADIUS ( custom name ) を選択します。

ステップ 5 RADIUS ( custom name ) Attributes テーブルで、アトリビュートの隣にあるチェックボックスをオンにして、グループに対して許可するアトリビュートを指定します。必要に応じて、さらに隣のフィールドで、そのアトリビュートに対する許可を定義します。アトリビュートの詳細については、 付録 C「RADIUS アトリビュート」 または RADIUS を使用しているネットワーク デバイスのマニュアルを参照してください。


) MS-CHAP-MPPE-Keys アトリビュート値は Cisco Secure ACS によって自動生成されます。HTML インターフェイスで設定する値はありません。


ステップ 6 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 7 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

グループ設定の管理

この項では、Group Setup セクションを使用して、さまざまな管理タスクを実行する方法について説明します。

この項では、次のトピックについて取り上げます。

「ユーザ グループ内のユーザのリスト表示」

「ユーザ グループの使用割当量カウンタのリセット」

「ユーザ グループの名前の変更」

「ユーザ グループ設定に対する変更の保存」

ユーザ グループ内のユーザのリスト表示

指定したグループのユーザすべてをリスト表示するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストでグループを選択します。

ステップ 3 Users in Group をクリックします。

選択した特定のグループの User List ページが表示領域に開きます。

ステップ 4 ユーザ アカウントを開く(ユーザの表示、修正、削除を行う)には、User List 内でユーザの名前をクリックします。

選択した特定のユーザ アカウントの User Setup ページが表示されます。


 

ユーザ グループの使用割当量カウンタのリセット

グループの全メンバーに対して、使用割当量カウンタをリセットできます。これは、使用割当量を超える前でも超えた後でも可能です。

グループの全メンバーに対して使用割当量カウンタをリセットするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストでグループを選択します。

ステップ 3 Usage Quotas セクションで、 On submit reset all usage counters for all users of this group チェックボックスをオンにします。

ステップ 4 ブラウザ ページの一番下にある Submit をクリックします。

グループの全ユーザの使用割当量カウンタがリセットされます。Group Setup Select ページが表示されます。


 

ユーザ グループの名前の変更

ユーザ グループの名前を変更するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストでグループを選択します。

ステップ 3 Rename Group をクリックします。

The Renaming Group: Group Name ページが表示されます。

ステップ 4 Group フィールドに新しい名前を入力します。グループ名に山カッコ(< または >)を使用することはできません。

ステップ 5 Submit をクリックします。


) グループは、リスト内の同じ位置に留まります。既存のグループの番号が、この新しいグループ名に関連付けられます。データベース インポート ユーティリティなど一部のユーティリティでは、グループに関連した番号を使用します。


Select ページが、新しいグループ名が選択された状態で開きます。


 

ユーザ グループ設定に対する変更の保存

グループの設定が完了したら、必ず内容を保存してください。

現在のグループの設定を保存するには、次の手順を実行します。


ステップ 1 変更を保存して後で適用するには、 Submit をクリックします。変更を実行する準備ができたら、 System Configuration をクリックし、次に Service Control をクリックしてから、 Restart をクリックします。


ヒント 変更を保存してすぐに適用するには、Submit + Restart をクリックします。

グループのアトリビュートが適用され、サービスが再起動されます。Edit ページが開きます。


) サービスを再起動すると、Logged-in User レポートの内容がクリアされ、Cisco Secure ACS サービスがすべて一時的に中断されます。これは、最大セッション カウンタに影響します。


ステップ 2 変更が適用されたことを確認するために、グループを選択してから、 Edit Settings をクリックします。設定値を表示します。