Cisco Secure ACS ユーザ ガイド Windows 版 Version 3.3
インターフェイス設定
インターフェイス設定
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

インターフェイス設定

インターフェイス設計の概念

ユーザとグループの関係

ユーザごとの機能またはグループごとの機能

ユーザ データの設定オプション

新しいユーザ データ フィールドの定義

高度なオプション

Cisco Secure ACS ユーザ インターフェイスの高度なオプションの設定

TACACS+ のプロトコル設定オプション

TACACS+ オプションの設定

RADIUS のプロトコル設定オプション

IETF RADIUS アトリビュートのプロトコル設定オプションの設定

非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定

インターフェイス設定

Cisco Secure ACS for Windows Server の HTML インターフェイスを設計するときの基本方針で最も重要なものは使いやすさです。Cisco Secure ACS は、ネットワーク セキュリティの複雑な概念を管理者の視点から表します。Cisco Secure ACS HTML インターフェイスの設定は、Cisco Secure ACS の Interface Configuration セクションを使用して行います。その際、使用しない機能を画面から隠し、実際の構成に応じてフィールドを追加することで、シンプルな画面になるようにインターフェイスを調整できます。


) この項に戻って、初期設定を見直し、確認することを推奨します。Cisco Secure ACS の設定は、正しくはインターフェイスの設定から始めますが、最初に非表示にする必要があると考えた HTML インターフェイスのセクションが、後で設定が必要になる場合があります。



ヒント Cisco Secure ACS HTML インターフェイスの一部が表示されていなかったり、表示が正常でない場合は、Interface Configuration の項に戻り、問題のある部分がアクティブになっているかどうかを確認してください。


この章は、次の項で構成されています。

「インターフェイス設計の概念」

「ユーザ データの設定オプション」

「高度なオプション」

「TACACS+ のプロトコル設定オプション」

「RADIUS のプロトコル設定オプション」

インターフェイス設計の概念

Cisco Secure ACS HTML インターフェイスの設定を実際の構成に対して開始する前に、システムの動作の基本原則をいくつか理解しておく必要があります。次の項の情報は、効果的なインターフェイス設定のために不可欠です。

ユーザとグループの関係

ユーザがグループに所属できるのは、一度に 1 つのグループだけです。相反するアトリビュートがない限り、ユーザはグループの設定を継承します。


ユーザ プロファイルに、グループ プロファイルの同じアトリビュートと設定の異なるアトリビュートがある場合は、常にユーザ設定がグループ設定よりも優先されます。


ユーザに独自の設定要件がある場合は、そのユーザをグループの一部として User Setup ページでその独自の要件を設定するか、またはそのユーザをユーザ自身のグループに割り当てることができます。

ユーザごとの機能またはグループごとの機能

ほとんどの機能はユーザ レベルとグループ レベルの両方で設定可能ですが、次の例外があります。

ユーザ レベルのみ :スタティック IP アドレス、パスワード、および有効期間

グループ レベルのみ :パスワード エージングおよび時間帯または曜日による制限

ユーザ データの設定オプション

Configure User Defined Fields ページで、各ユーザの情報を記録するフィールドを 5 つまで追加(または編集)できます。この項で定義するフィールドは、User Setup ページの一番上にある Supplementary User Information セクションに表示されます。たとえば、ユーザの会社名、電話番号、部門、請求コードなどを追加できます。これらのフィールドをアカウンティング ログに含めることもできます。アカウンティング ログの詳細については、「Cisco Secure ACS ログとレポートについて」を参照してください。ユーザ データ オプションを構成するデータ フィールドについては、「ユーザ定義アトリビュート」を参照してください。

新しいユーザ データ フィールドの定義

新しいユーザ データ フィールドを定義するには、次の手順を実行します。


ステップ 1 Interface Configuration をクリックし、次に User Data Configuration をクリックします。

Configure User Defined Fields ページが表示されます。Display カラムのチェックボックスに、User Setup ページの一番上の Supplementary User Information セクションに表示されるフィールドを指定します。

ステップ 2 Display カラムのチェックボックスをオンにします。

ステップ 3 対応する Field Title ボックスに、新しいフィールドのタイトルを入力します。

ステップ 4 さらにフィールドを設定する場合は、ステップ 2 とステップ 3 を繰り返します。

ステップ 5 新しいユーザ データ フィールドの設定を終了したら、 Submit をクリックします。


ヒント フィールドのタイトルを変更するには、Field Title ボックスで該当するテキストを編集した後、Submit をクリックします。変更内容を有効にするには、System Configuration セクションの Service Control ページの一番下にある Restart をクリックして、Cisco Secure ACS サービスを再開し、次に Windows の Control Panel の Administrative Tools フォルダにある Services セクションを使用して、CSAdmin サービスをいったん停止し、もう一度開始します。Cisco Secure ACS に関連する Windows サービスの再開は、認証、許可、アカウンティングが少しの間中断されることになるため、システムの利用が少なくなる時間帯に実行してください。


 

高度なオプション

Advanced Options ページでは、Cisco Secure ACS で表示される高度な機能を決定できます。あるいは、使用しない高度な機能を非表示にして、Cisco Secure ACS HTML インターフェイスの他の領域に表示されるページをシンプルにできます。


注意 高度な機能を Interface Configuration セクションでディセーブルにしても、その機能が CSACS HTML インターフェイスで表示されないだけで、他の影響はありません。高度なオプションが表示されている間に行われた設定は、その高度な機能が表示されなくなっても引き続き有効です。さらに、高度な機能は、デフォルト設定ではない場合は、その高度な機能を非表示に設定しても、インターフェイスに表示されます。後でその機能をディセーブルにした場合、または設定を削除した場合、Cisco Secure ACS は、その高度な機能を非表示にします。唯一の例外は、Network Device Groups 機能です。Network Device Groups は、それらを利用しているかどうかにかかわらず、Advanced Options ページで選択されていない場合は非表示になります。

高度なオプション機能として、次の機能があります。

Per-User TACACS+/RADIUS AttributesTACACS+/RADIUS アトリビュートを、グループ レベルだけでなく、ユーザあたりのレベルで設定できます。

User-Level Shared Network Access RestrictionsShared Profile Component のネットワーク アクセス制限(NAR)オプションが User Setup ページでイネーブルになります。このオプションでは、あらかじめ設定され、名前が付けられた IP ベースおよび CLID/DNIS ベースの NAR がユーザ レベルで適用できます。Shared Profile Components 内での NAR または NAR セットの定義については、「共有ネットワーク アクセス制限の追加」を参照してください。

User-Level Network Access Restrictionsユーザ レベル、IP ベースおよび CLI/DNIS ベースの NAR を定義するための 2 セットのオプションが User Setup ページでイネーブルになります。

User-Level Downloadable ACLsDownloadable ACLs (access control lists) セクションが User Setup ページでイネーブルになります。

Default Time-of-Day/Day-of-Week Specificationデフォルトの時間帯/曜日アクセス設定のグリッドが Group Setup ページでイネーブルになります。

Group-Level Shared Network Access RestrictionsShared Profile Component NAR オプションが Group Setup ページでイネーブルになります。このオプションでは、事前に設定した、名前付きの IP ベースおよび CLID/DNIS ベースの NAR がグループ レベルで適用できます。Shared Profile Components 内での NAR または NAR セットの定義については、「共有ネットワーク アクセス制限の追加」を参照してください。

Group-Level Network Access Restrictionsグループ レベル、IP ベースおよび CLI/DNIS ベースの NAR を定義するための 2 セットのオプションが Group Setup ページでイネーブルになります。

Group-Level Downloadable ACLsDownloadable ACLs セクションが Group Setup ページでイネーブルになります。

Group-Level Password AgingPassword Aging セクションが Group Setup ページでイネーブルになります。Password Aging 機能によって、ユーザにパスワードの変更を強制できます。

Max SessionsMax Sessions セクションが User Setup ページおよび Group Setup ページでイネーブルになります。Max Sessions オプションは、1 つのグループまたは 1 人のユーザに対する同時接続数の最大値を設定します。

Usage Quotas :Usage Quotas セクションが User Setup ページおよび Group Setup ページでイネーブルになります。Usage Quotas オプションは、1 つのグループごとまたは 1 人のユーザごとに、使用割当量を 1 つ以上設定します。

Distributed System SettingsAAA サーバ テーブルとプロキシ テーブルを Network Interface ページに表示します。このテーブルは、デフォルト値以外の情報がある場合は常に表示されます。

Remote LoggingRemote Logging 機能が System Configuration セクションの Logging ページでイネーブルになります。

Cisco Secure ACS Database ReplicationCisco Secure ACS のデータベース複製情報が System Configuration ページでイネーブルになります。

RDBMS SynchronizationRDBMS (Relational Database Management System) Synchronization オプションが System Configuration ページでイネーブルになります。RDBMS Synchronization が設定されている場合は、このオプションは常に表示されます。

IP Pools :IP Pools Address Recovery オプションおよび IP Pools Server オプションが System Configuration ページでイネーブルになります。

Network Device GroupsNetwork Device Group(NDG; ネットワーク デバイス グループ)がイネーブルになります。NDG がイネーブルになっていると、Network Configuration セクション、および User Setup ページと Group Setup ページの一部が変化して、ネットワーク デバイス(AAA クライアントまたは AAA サーバ)のグループを管理できるようになります。この機能は多数のデバイスを管理する場合に役立ちます。

Voice-over-IP (VoIP) Group SettingsVoIP オプションが Group Setup ページでイネーブルになります。

Voice-over-IP (VoIP) Accounting Configuration :VoIP Accounting Configuration オプションが System Configuration ページでイネーブルになります。このオプションを使用して、RADIUS VoIP アカウンティング パケットのロギング形式を決定します。

ODBC LoggingODBC logging セクションが System Configuration セクションの Logging ページでイネーブルになります。

Cisco Secure ACS ユーザ インターフェイスの高度なオプションの設定

Cisco Secure ACS HTML インターフェイスの高度なオプションを設定するには、次の手順を実行します。


ステップ 1 Interface Configuration をクリックし、次に Advanced Options をクリックします。

Advanced Options テーブルが表示されます。

ステップ 2 Cisco Secure ACS HTML インターフェイスに表示する(イネーブルにする)オプションをそれぞれ選択します。


注意 高度な機能を Interface Configuration セクションでディセーブルにしても、その機能が CSACS HTML インターフェイスで表示されないだけで、他の影響はありません。高度なオプションが表示されている間に行われた設定は、その高度な機能が表示されなくなっても引き続き有効です。さらに、高度な機能は、デフォルト設定ではない場合は、その高度な機能を非表示に設定しても、インターフェイスに表示されます。後でその機能をディセーブルにした場合、または設定を削除した場合、Cisco Secure ACS は、その高度な機能を非表示にします。唯一の例外は、Network Device Groups 機能です。Network Device Groups は、それらを利用しているかどうかにかかわらず、Advanced Options ページで選択されていない場合は非表示になります。

ステップ 3 オプションの選択が終了したら、 Submit をクリックします。

Cisco Secure ACS は、HTML インターフェイスのさまざまなセクションの内容を、行われた選択に従って変更します。


 

TACACS+ のプロトコル設定オプション

TACACS+ (Cisco) ページでは、TACACS+ を設定するための Cisco Secure ACS HTML インターフェイスの設定が詳細に表示されています。インターフェイスの設定によって、TACACS+ の管理オプションやアカウンティング オプションを表示または非表示にできます。使用しない機能を非表示にすることで、HTML インターフェイスを見やすくできます。

TACACS+ (Cisco) ページは、次の 3 つの領域に分かれています。


ヒント デフォルトのインターフェイス設定では 1 カラムのチェックボックスが、グループ レベルのみについて、TACACS+ Services Settings および New Service Settings の選択用に表示されます。グループ レベルまたはユーザ レベルでの設定を可能にするために、2カラムのチェックボックスを表示するには、
Per-user TACACS+/RADIUS Attributes オプションを Interface Configuration セクションの Advanced Options ページでイネーブルにしておく必要があります。


TACACS+ Services Settings :この領域には、TACACS+ 用に最も広く使用されるサービスとプロトコルのリストが表示されます。User Setup ページまたは Group Setup ページのどちらかで設定可能なオプションとして表示する TACACS+ サービスをそれぞれ選択します。

New Services :この領域には、実際のネットワーク設定に特有のサービスまたはプロトコルを入力します。


) Cisco Secure ACS は、他のシスコ製品用の管理アプリケーション、たとえば、Management Center for Firewalls と連係動作するように設定した場合、新しい TACACS+ サービスをこれらのデバイス管理アプリケーションによって指定されたとおりに表示します。Cisco Secure ACS、Cisco Secure ACS と連係動作するデバイス管理アプリケーション、およびそれらのアプリケーションが管理するシスコのネットワーク デバイスが必ず正常に機能を果たすようにするには、自動的に生成される TACACS+ サービス タイプを変更したり、削除したりしないでください。


Advanced Configuration Options :この領域には、さらに設定を調整するためにより詳細な情報を追加できます。

次の 4 つの項目を、表示または非表示にできます。

Advanced TACACS+ Features: User Setup ページで Advanced TACACS+ Options セクションを表示または非表示にします。このオプションには、ルータなどの SENDPASS クライアントおよび SENDAUTH クライアントに対する特権レベル認証および送信パスワード設定が含まれます。

Display a Time-of-Day access grid for every TACACS+ service where you can override the default Time-of-Day settings :このオプションをオンにすると、User Setup ページにグリッドが表示され、これを使用して Group Setup ページの TACACS+ スケジューリング アトリビュートを上書きできます。

時間帯と曜日によって、各 TACACS+ サービスの使用を制限できます。たとえば、Exec (Telnet) アクセスを営業時間のみに制限するが、PPP-IP アクセスは常に許可することが可能です。

デフォルト設定では、認証の一部として全サービスの時間帯アクセスを制御します。しかし、デフォルト設定を無効にして、すべてのサービスの時間帯アクセス グリッドを表示することもできます。これによって、ユーザおよびグループのセットアップが管理しやすくなる一方で、この機能を最も複雑な環境で利用できるようにします。この機能は、認証プロセスと許可プロセスを分離できる TACACS+ に限り適用されます。RADIUS の時間帯アクセスは、すべてのサービスに適用されます。TACACS+ と RADIUS を同時に使用する場合は、両方にデフォルトの時間帯アクセスが適用されます。したがって、アクセス制御プロトコルに関係なく、共通の方法でアクセスを制御できます。

Display a window for each service selected in which you can enter customized TACACS+ attributes :このオプションをオンにすると、User Setup ページと Group Setup ページにカスタム TACACS+ アトリビュートを入力できる領域が表示されます。

Cisco Secure ACS では、各サービス用にカスタム コマンド フィールドを表示することもできます。このテキスト フィールドでは、あるグループのユーザに特別なサービスに対して、ダウンロード用の専用設定を作成できます。

この機能を使用して数多くの TACACS+ コマンドをサービス用としてアクセス デバイスに送信できます。ただし、デバイスが TACACS+ コマンドをサポートし、コマンドの構文が正しい場合に限ります。この機能はデフォルトではディセーブルにされていますが、アトリビュートや時間帯アクセスをイネーブルにする場合と同様、簡単にイネーブルに設定できます。

Display enable Default (Undefined) Service Configuration :このチェックボックスをオンにすると、User Setup ページと Group Setup ページに、未知の TACACS+ サービス、たとえば、Cisco Discovery Protocol(CDP)を許可することのできる領域が表示されます。


) このオプションは、上級のシステム管理者だけが使用するようにしてください。



) ユーザ レベルでカスタマイズした設定は、グループ レベルでの設定に優先します。


TACACS+ オプションの設定

TACACS+ の管理オプションとアカウンティング オプションを表示したり非表示にしたりできます。TACACS+ に用意されているサービスおよびプロトコルをすべて使用することはほとんどありません。すべて表示すると、ユーザまたはグループのセットアップが煩雑になります。セットアップを簡単にするために、TACACS+ (Cisco IOS) Edit ページを使用して、表示されるサービスとプロトコルをカスタマイズします。

TACACS+ オプション用のユーザ インターフェイスを設定するには、次の手順を実行します。


) Cisco Secure ACS HTML インターフェイスでは、イネーブルになっているプロトコル オプションや、デフォルトでない値のプロトコル オプションは、そのプロトコル オプションを非表示に設定しても表示されます。後でそのオプションをディセーブルにした場合、またはオプションの値を削除した場合は、プロトコル オプションを非表示に設定したときに、Cisco Secure ACS は、そのプロトコル オプションを非表示にします。これによって、Cisco Secure ACS がアクティブな設定を非表示にすることが防がれます。



ステップ 1 Interface Configuration をクリックし、次に、 TACACS+ (Cisco IOS) をクリックします。

TACACS+ (Cisco) ページが表示されます。

ステップ 2 TACACS+ Services テーブルで、該当するセットアップ ページに表示する TACACS+ サービスのチェックボックスをそれぞれオンにします。

ステップ 3 新しいサービスおよびプロトコルを追加するには、次のステップを実行します。

a. TACACS+ Services テーブルの New Services セクションで 追加する Service および Protocol を入力します。


) Cisco Secure ACS は、他のシスコ製品用の管理アプリケーション、たとえば、Management Center for Firewalls と連係動作するように設定した場合、新しい TACACS+ サービスをこれらのデバイス管理アプリケーションによって指定されたとおりに表示します。Cisco Secure ACS、Cisco Secure ACS と連係動作するデバイス管理アプリケーション、およびそれらのアプリケーションが管理するシスコのネットワーク デバイスが必ず正常に機能を果たすようにするには、自動的に生成される TACACS+ サービス タイプを変更したり、削除したりしないでください。


b. 該当するチェックボックスをオンにして、User Setup と Group Setup のいずれか、あるいは両方で、表示されるようにします。

ステップ 4 Advanced Configurations Options セクションで、イネーブルにする表示オプションのチェックボックスをオンにします。

ステップ 5 TACACS+ インターフェイスの表示オプションの設定が終了したら、 Submit をクリックします。

ここでの選択が、Cisco Secure ACS が HTML インターフェイスの他のセクションで表示される TACACS+ オプションを決定します。


 

RADIUS のプロトコル設定オプション

すべてのプロトコルの利用可能なアトリビュートをすべてインストールすることは、実際には考えられません。すべて表示すると、ユーザまたはグループのセットアップが煩雑になります。セットアップを簡単にするには、この項に従って表示されるアトリビュートをカスタマイズします。サポートされている RADIUS AV ペアおよびアカウンティング AV ペアのリストについては、 付録 C「RADIUS アトリビュート」 を参照してください。

Interface Configuration ページには、設定した AAA クライアントまたはクライアントに応じて、さまざまなタイプの RADIUS プロトコル設定の選択肢が表示されます。どの RADIUS AAA クライアントを設定した場合でも、RADIUS IETF 設定は必ず表示されます。また、各ベンダー固有の RADIUS タイプに関する追加の設定も表示されます。各種の AAA クライアント用に表示される設定項目は、そのタイプのデバイスが使用できる設定によって決まります。これらの組み合せは、表 3-1で詳しく説明しています。

 

表 3-1 RADIUS インターフェイスのリスト

設定する AAA クライアントのタイプ
Interface Configuration ページに表示される設定のタイプ
RADIUS (IETF)
RADIUS (Cisco Aironet)
RADIUS (BBSM)
RADIUS (Cisco IOS/PIX)
RADIUS (Microsoft)
RADIUS (Ascend)
RADIUS (Cisco VPN 3000)
RADIUS (Cisco VPN 5000)
RADIUS (Juniper)
RADIUS (Nortel)

RADIUS (IETF)

Yes

No

No

No

No

No

No

No

No

No

RADIUS (Cisco Aironet)

Yes

Yes

No

Yes

No

No

No

No

No

No

RADIUS (BBSM)

Yes

No

Yes

No

No

No

No

No

No

No

RADIUS (Cisco IOS/PIX)

Yes

No

No

Yes

Yes

Yes

No

No

No

No

RADIUS (Ascend)

Yes

No

No

No

Yes

Yes

No

No

No

No

RADIUS (Cisco VPN 3000)

Yes

No

No

Yes

Yes

No

Yes

No

No

No

RADIUS (Cisco VPN 5000)

Yes

No

No

No

No

No

No

Yes

No

No

RADIUS (Juniper)

Yes

No

No

No

No

No

No

No

Yes

No

RADIUS (Nortel)

Yes

No

No

No

No

No

No

No

No

Yes

RADIUS (iPass)

Yes

No

No

No

No

No

No

No

No

No


ヒント 事前にネットワーク デバイスを設定しない場合、Interface Configuration ページで設定のタイプを選択して、詳細な設定を行うことができません。


Interface Configuration ページで、設定する RADIUS 設定のタイプを選択すると、HTML インターフェイス上に、そのタイプに対応する利用可能な RADIUS アトリビュートとそのアトリビュートに関連付けられているチェックボックスのリストが表示されます。Interface Configuration の Advanced Options にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている場合は、各アトリビュートの Group チェックボックスの横に User チェックボックスが表示されます。それ以外の場合は、各アトリビュートの Group チェックボックスだけが表示されます。アトリビュートのリストにあるチェックボックスをオンまたはオフにすることで、そのチェックボックスに対応する(IETF)RADIUS アトリビュートまたはベンダー固有のアトリビュート(VSA)を、User Setup セクションおよび Group Setup セクションで設定できるかどうかが決まります。

RADIUS 設定ページに表示されるタイプの詳細を次に示します。

(IETF) RADIUS Settings :このページには RADIUS(IETF)で利用可能なアトリビュートが表示されます。

標準(IETF)RADIUS アトリビュートは、RADIUS 使用時に、どのネットワーク デバイスの設定でも利用できます。IETF アトリビュート番号 26(VSA 用)を使用する場合は、Interface Configuration を選択して、次に、使用するネットワーク デバイスのベンダー用の RADIUS を選択します。Cisco Secure ACS によってサポートされている RADIUS (IETF) のアトリビュートおよび各 RADIUS ネットワーク デバイス ベンダーの VSA が、User Setup または Group Setup に表示されます。


) RADIUS (IETF) アトリビュートは、複数の RADIUS VSA が共有しています。RADIUS ベンダーに対して、RADIUS (IETF) で最初の RADIUS アトリビュートを設定する必要があります。


Tags to Display Per Attribute オプション(Advanced Configuration Options の下にある)では、User Setup ページおよび Group Setup ページでタグ付きアトリビュートに対して表示する値の個数を指定できます。タグ付きアトリビュートの例としては、[064]Tunnel-Type および [069]Tunnel-Password があります。

詳細な手順については、「IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。

RADIUS (Cisco IOS/PIX) Settings :このセクションでは、特定のアトリビュートを RADIUS (Cisco IOS/PIX) 用にイネーブルにできます。RADIUS (Cisco IOS/PIX) に表示されている最初のアトリビュート(026/009/001)を選択すると、User Setup と Group Setup のいずれか、あるいは両方に入力フィールドが表示され、そこに任意の TACACS+ コマンドを入力して、RADIUS 環境で TACACS+ を完全に有効利用できます。詳細な手順については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。

RADIUS (Cisco Aironet) Settings :このセクションでは、特定のアトリビュートを RADIUS(Cisco Aironet)用にイネーブルにできます。唯一の Cisco Aironet RADIUS VSA(Cisco-Aironet-Session-Timeout)は、IETF RADIUS Session- Timeout アトリビュート(27)の特別実装です。Cisco Secure ACS が Cisco Aironet Access Point からの認証要求に応答するときに、Cisco-Aironet-Session- Timeout アトリビュートが設定されていると、無線デバイスに対して、この値が IETF Session-Timeout アトリビュートとして送信されます。これを利用すると、無線エンドユーザ クライアントおよび有線エンドユーザ クライアントに対して、それぞれ異なるセッション タイムアウト値を指定できます。詳細な手順については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。

RADIUS (Ascend) Settings :このセクションでは、RADIUS VSA を RADIUS(Ascend)用にイネーブルにできます。このページは、RADIUS(Ascend)デバイスまたは RADIUS(Cisco IOS/PIX)デバイスを設定した場合に表示されます。手順の詳細については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。

RADIUS (Cisco VPN 3000) Settings :このセクションでは、RADIUS VSA を RADIUS(Cisco VPN 3000)用にイネーブルにできます。手順の詳細については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。

RADIUS (Cisco VPN 5000) Settings :このセクションでは、RADIUS VSA を RADIUS(Cisco VPN 5000)用にイネーブルにできます。手順の詳細については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。

RADIUS (Microsoft) Settings :このセクションでは、RADIUS VSA を RADIUS(Microsoft)用にイネーブルにできます。このページは、RADIUS(Ascend)デバイス、RADIUS(VPN 3000)デバイス、または RADIUS(Cisco IOS/PIX)デバイスを設定した場合に表示されます。手順の詳細については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。

RADIUS (Nortel) Settings :このセクションでは、RADIUS VSA を RADIUS(Nortel)用にイネーブルにできます。手順の詳細については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。

RADIUS (Juniper) Settings :このセクションでは、RADIUS VSA を RADIUS(Juniper)用にイネーブルにできます。手順の詳細については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。

RADIUS (BBSM) Settings :このセクションでは、RADIUS VSA を RADIUS Building Broadband Service Manger(BBSM)用にイネーブルにできます。手順の詳細については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。

Cisco Secure ACS には、ここに列挙した VSA がパッケージとして付属していますが、Cisco Secure ACS にあらかじめ含まれていない任意の VSA セット用にカスタム アトリビュートを定義して設定することもできます。カスタム VSA と対応する AAA クライアントを設定してあれば、Interface Configuration セクションからそのカスタム VSA を選択し、その後で、特定のアトリビュートを設定可能なオプションとして User Setup ページまたは Group Setup ページに表示するためのオプションを設定できます。ユーザ定義の RADIUS VSA の作成方法については、「カスタム RADIUS ベンダーと VSA」を参照してください。

IETF RADIUS アトリビュートのプロトコル設定オプションの設定

この手順では、任意の標準 IETF RADIUS アトリビュートを Cisco Secure ACS HTML インターフェイスの他の部分で設定するときに、非表示または表示にできます。


) Interface Configuration の Advanced Options にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている場合は、各アトリビュートの Group チェックボックスに並んで User チェックボックスが表示されます。



) 選択された IETF RADIUS アトリビュートはいずれも、RADIUS を使用するネットワーク デバイスすべてによってサポートされている必要があります。


IETF RADIUS アトリビュートのプロトコル設定オプションを設定するには、次の手順を実行します。


ステップ 1 Interface Configuration をクリックし、次に、 RADIUS (IETF) をクリックします。

RADIUS (IETF) ページが表示されます。

ステップ 2 設定可能なオプションとして User Setup ページまたは Group Setup ページに表示する各 IETF RADIUS アトリビュートに対して、対応するチェックボックスをオンにします。


) 選択されたアトリビュートはいずれも、RADIUS ネットワーク デバイスによってサポートされている必要があります。


ステップ 3 User Setup ページおよび Group Setup ページでタグ付きアトリビュート用に表示する値の個数を指定するには、 Tags to Display Per Attribute オプションを選択し、次に対応するリストから値を選択します。タグ付きアトリビュートの例としては、 [064]Tunnel-Type および [069] Tunnel-Password があります。

ステップ 4 アトリビュートの選択が終了したら、ページの一番下にある Submit をクリックします。

選択した各 IETF RADIUS アトリビュートが、設定可能なオプションとして User Setup ページまたは Group Setup ページに表示されます。


 

非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定

この手順では、さまざまな RADIUS VSA を Cisco Secure ACS HTML インターフェイスの User Setup セクションおよび Group Setup セクションで設定するときに、非表示または表示にできます。

RADIUS VSA のセットに対してプロトコル設定オプションを設定するには、次の手順を実行します。


ステップ 1 Interface Configuration をクリックします。

ステップ 2 表示されている RADIUS VSA セットの種類のいずれか 1 つをクリックします。たとえば、 RADIUS (Ascend) をクリックします。

利用可能な RADIUS VSA の選択したセットを一覧表示するページが表示されます。


) Interface Configuration の Advanced Options にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている場合は、各アトリビュートの Group チェックボックスに並んで User チェックボックスが表示されます。


ステップ 3 User Setup ページまたは Group Setup ページに設定可能なオプションとして表示する RADIUS VSA それぞれに対して、対応するチェックボックスをオンにします。


) 選択されたアトリビュートはいずれも、RADIUS ネットワーク デバイスによってサポートされている必要があります。


ステップ 4 ページの下部にある Submit をクリックします。

選択した内容に応じて、RADIUS VSA が、User Setup ページまたは Group Setup ページ、あるいはその両方に設定可能なオプションとして表示されます。