Cisco Secure ACS ユーザ ガイド Windows 版 Version 3.3
ユーザ グループ マッピングと 仕様
ユーザ グループ マッピングと仕様
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

ユーザ グループ マッピングと仕様

ユーザ グループ マッピングと仕様について

外部ユーザ データベースによるグループ マッピング

トークン サーバ、ODBC データベース、または LEAP Proxy RADIUS Sever データベースに対する Cisco Secure ACS グループ マッピングの作成

グループ セット メンバーシップによるグループ マッピング

グループ マッピングの順序

グループ セット マッピングの非アクセス グループ

Windows のデフォルトのグループ マッピング

Windows のグループ マッピングに関する制約事項

Windows、Novell NDS、または汎用 LDAP グループに対する Cisco Secure ACS グループ マッピングの作成

Windows、Novell NDS、または汎用 LDAP グループ セット マッピングの編集

Windows、Novell NDS、または汎用 LDAP グループ セット マッピングの削除

Windows ドメイン グループ マッピング設定の削除

グループ セット マッピング順序の変更

NAC グループ マッピング

NAC グループ マッピングの設定

RADIUS ベースのグループ指定

ユーザ グループ マッピングと仕様

この章では、グループ マッピングと仕様について説明します。Cisco Secure Access Control Server(ACS)Windows サーバ版は、これらの機能を使用して、外部ユーザ データベースによって認証されたユーザを、単一の Cisco Secure ACS グループに割り当てます。

この章は、次の項で構成されています。

「ユーザ グループ マッピングと仕様について」

「外部ユーザ データベースによるグループ マッピング」

「グループ セット メンバーシップによるグループ マッピング」

「NAC グループ マッピング」

「RADIUS ベースのグループ指定」

ユーザ グループ マッピングと仕様について

External User Databases セクションのデータベース グループ マッピング機能を使用すると、許可プロファイルを割り当てるために、未知ユーザを Cisco Secure ACS グループに関連付けることができます。Cisco Secure ACS がグループ情報を取得できる外部ユーザ データベースの場合は、外部ユーザ データベース内のユーザに定義されているグループ メンバーシップを、特定の Cisco Secure ACS グループに関連付けることができます。Windows ユーザ データベースの場合、各ドメインが専用のユーザ データベースを保持しているため、グループ マッピングはドメインによって詳細に指定されます。Novell NDS ユーザ データベースの場合、Cisco Secure ACS では、単一の Novell NDS ユーザ データベース内の複数ツリーをサポートしているため、グループ マッピングはツリーによって詳細に指定されます。

データベース グループ マッピング機能に加えて、Cisco Secure ACS では、一部のデータベース タイプについては、RADIUS に基づいたグループ指定をサポートします。

外部ユーザ データベースによるグループ マッピング

外部データベースは、Cisco Secure ACS グループにマッピングできます。指定されたデータベースを使用して認証を行う未知ユーザは、自動的にそのグループに所属し、そのグループの権限を継承します。たとえば、あるトークン サーバ データベースで認証された未知ユーザ全員を Telecommuters という名前のグループに所属するように、Cisco Secure ACS を設定することもできます。次に、社外で働いているユーザに適したグループ設定として、たとえば MaxSessions=1 などを割り当てることもできます。または、別のグループに対して使用禁止時間を設定し、同時に Telecommuters グループ メンバーには無制限のアクセスを許可することもできます。

Cisco Secure ACS では、任意の外部ユーザ データベース タイプで検出したすべての未知ユーザを、単一の Cisco Secure ACS グループにマッピングすることが可能ですが、次の外部ユーザ データベース タイプは、ユーザを単一の Cisco Secure ACS グループにしかマッピングできません。

ODBC

LEAP Proxy RADIUS サーバ

RADIUS トークン サーバ

RSA SecurID トークン サーバ

上記の外部ユーザ データベース タイプのサブセットについては、外部ユーザ データベースの認証応答として Cisco Secure ACS グループが指定されている場合は、ユーザごとの設定は外部データベース タイプによるグループ マッピングに優先します。Cisco Secure ACS では、次の外部ユーザ データベース タイプについて、グループ メンバーシップの指定をサポートします。

LEAP Proxy RADIUS サーバ

RADIUS トークン サーバ

上記のデータベース タイプの 1 つにより認証されたユーザに対して、グループ メンバーシップを指定する方法の詳細については、「RADIUS ベースのグループ指定」を参照してください。

また、ODBC 外部ユーザ データベースにより認証されたユーザを、指定した Cisco Secure ACS グループに割り当てることもできます。ODBC データベース認証によるグループ指定は、グループ マッピングより優先されます。ODBC データベースにより認証されたユーザに対して、グループ メンバーシップを指定する方法の詳細については、「ODBC データベース」を参照してください。

トークン サーバ、ODBC データベース、または LEAP Proxy RADIUS Sever データベースに対する Cisco Secure ACS グループ マッピングの作成

トークン サーバ、ODBC、または LEAP Proxy RADIUS Server のデータベース グループ マッピングを設定または変更するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの External User Databases をクリックします。

ステップ 2 Database Group Mappings をクリックします。

ステップ 3 グループ マッピングを設定する、トークン サーバ、LEAP Proxy RADIUS Server、または ODBC データベース設定の名前をクリックします。

Define Group Mapping テーブルが表示されます。

ステップ 4 Select a default group for database リストで、このデータベースで認証されたユーザが割り当てられるグループをクリックします。


ヒント Select a default group for database リストに、各グループに割り当てられているユーザの数が表示されます。

ステップ 5 Submit をクリックします。

ステップ 3 で選択した外部データベース タイプで認証される未知ユーザと検出ユーザが、ステップ 4 で選択した Cisco Secure ACS グループに割り当てられます。ODBC、RADIUS トークン サーバ、または LEAP Proxy RADIUS Server データベースによって認証されるユーザについては、データベースにそのユーザの Cisco Secure ACS グループが指定されていない場合に限り、マッピングがデフォルトとして適用されます。


) RADIUS トークン サーバに対するグループ指定の詳細については、
「RADIUS ベースのグループ指定」を参照してください。ODBC データベースに対するグループ指定の詳細については、「ODBC 外部ユーザ データベースを使用した Cisco Secure ACS の認証プロセス」を参照してください。



 

グループ セット メンバーシップによるグループ マッピング

一部の外部ユーザ データベースに対しては、ユーザが所属する外部ユーザ データベース グループの組み合せに基づいたグループ マッピングを作成できます。次に挙げるのは、グループ セット メンバーシップに基づき、グループ マッピングを作成できる外部ユーザ データベース タイプです。

Windows ドメイン


Windows 認証のグループ マッピングでサポートされるのは、500 以下の Windows グループに所属するユーザだけです。


Novell NDS

汎用 LDAP

グループ セット メンバーシップに基づいて、Cisco Secure ACS グループ マッピングを設定すると、そのセットに外部ユーザ データベース グループを 1 グループ以上追加できます。Cisco Secure ACS が、指定された Cisco Secure ACS グループにユーザをマッピングする場合、そのユーザは、グループ セット内の すべての 外部ユーザ データベース グループに一致する必要があります。

例として、Engineering グループと Tokyo グループの両方に所属するユーザに対してあるグループ マッピング、および Engineering グループと London グループに所属するユーザに対して別のグループ マッピングを設定できます。次に、Engineering-Tokyo と Engineering-London の組み合せに対して別個のグループ マッピングを設定した後、その組み合せがマッピングされる Cisco Secure ACS グループに対して別々のアクセス時刻を設定することもできます。また、Tokyo または London のメンバーではない Engineering グループのその他のメンバーをマッピングする、Engineering グループだけを含んだグループ マッピングを設定することもできます。

グループ マッピングの順序

Cisco Secure ACS は、常時、単一の Cisco Secure ACS グループにユーザをマッピングします。ただし、ユーザは、複数のグループ セット マッピングに所属できます。たとえば、ユーザの John が、Engineering と California の組み合せグループのメンバーであり、同時に、Engineering と Managers の組み合せグループのメンバーであることも可能です。その両方の組み合せに対して、Cisco Secure ACS グループ セット マッピングが存在する場合、Cisco Secure ACS は、John を割り当てるべきグループを決定する必要があります。

Cisco Secure ACS は、グループ セット マッピングにマッピング順序を割り当てることで、グループ セット マッピングの矛盾を避けます。外部ユーザ データベースで認証されたユーザを、Cisco Secure ACS グループに割り当てる場合、Cisco Secure ACS は、そのデータベースに対するグループ マッピングのリストの一番上から割り当てを開始します。Cisco Secure ACS は、外部ユーザ データベース内のユーザ グループ メンバーシップを、リスト内の各グループ マッピングと順次比較してチェックします。ユーザの外部ユーザ データベースのグループ メンバーシップと一致する最初のグループ セット マッピングを検出すると、Cisco Secure ACS は、そのグループ マッピングの Cisco Secure ACS グループにユーザを割り当て、マッピング プロセスを終了します。

グループ マッピングの順序は、ユーザに許可されるネットワーク アクセスおよびサービスに影響するため重要です。複数のグループに所属するユーザに対してマッピングを定義する場合は、ユーザに対して正しいグループ設定が許可されるように、ユーザが正しい順序で存在することを確認します。

たとえば、ユーザ Mary が Engineering、Marketing および Managers という 3 つの組み合せグループに割り当てられているとします。Mary には、技術者ではなくマネージャの特権を与えるべきであるとします。マッピング A は、Mary が入っている 3 つのグループすべてに所属するユーザを Cisco Secure ACS Group 2 に割り当てます。マッピング B は、Engineering グループと Marketing グループに所属するユーザを Cisco Secure ACS Group 1 に割り当てます。マッピング B が最初にリストに載っている場合、Cisco Secure ACS は、Group 1 のユーザとして Mary を認証し、マネージャに該当する Group 2 ではなく、Group 1 に Mary を割り当てます。

グループ セット マッピングの非アクセス グループ

特定のグループ セット マッピングによってあるグループに割り当てられているユーザが、リモート アクセスできないようにするには、そのグループを Cisco Secure ACS No Access グループに割り当てます。たとえば、外部ユーザ データベース グループ「Contractors」の全メンバーを No Access グループに割り当て、各メンバーがネットワークにリモート ダイヤルインすることを不可能にすることもできます。

Windows のデフォルトのグループ マッピング

Windows ユーザ データベースに対して、Cisco Secure ACS は、デフォルトのグループ マッピングを定義する機能を装備しています。他のグループ マッピングが Windows ユーザ データベースによって認証された未知ユーザに一致しない場合、Cisco Secure ACS はデフォルトのグループ マッピングに基づき、あるグループにそのユーザを割り当てます。

Windows ユーザ データベース用にデフォルトのグループ マッピングを設定することは、1 つの例外を除けば、既存のグループ マッピングを編集することと同じです。Windows 用のデフォルトのグループ マッピングを編集する場合には、Domain Configurations ページで有効なドメイン名を選択する代わりに、\DEFAULT を選択します。

既存のグループ マッピングを編集する方法の詳細については、「Windows、Novell NDS、または汎用 LDAP グループ セット マッピングの編集」を参照してください。

Windows のグループ マッピングに関する制約事項

Cisco Secure ACS には、Windows ユーザ データベースで認証されたユーザのグループ マッピングに関する次の制約があります。

Cisco Secure ACS がグループ マッピングをサポートできるのは、500 以下の Windows グループに所属するユーザに対してだけです。

Cisco Secure ACS がグループ マッピングを実行できるのは、ユーザが所属するローカル グループとグローバル グループを、ユーザを認証したドメインで使用する場合だけです。認証ドメインによって信頼されたドメイン内のグループ メンバーシップは、Cisco Secure ACS グループ マッピングに使用できません。認証を提供するドメインのローカル グループにリモート グループを追加しても、この制約は回避できません。

Windows、Novell NDS、または汎用 LDAP グループに対する Cisco Secure ACS グループ マッピングの作成

始める前に

Windows、Novell NDS、または汎用 LDAP グループを Cisco Secure ACS グループにマッピングするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの External User Databases をクリックします。

ステップ 2 Database Group Mappings をクリックします。

ステップ 3 グループ マッピングを設定する外部ユーザ データベースの名前をクリックします。

Windows グループ セットをマッピングしている場合は、Domain Configurations テーブルが表示されます。NDS グループ セットをマッピングしている場合は、NDS Trees テーブルが表示されます。それ以外の場合は、Group Mappings for database Users テーブルが表示されます。

ステップ 4 新しいドメインに対して Windows グループ セットをマッピングしている場合は、次の手順を実行します。

a. New configuration をクリックします。

Define New Domain Configuration ページが表示されます。

b. グループ セット マッピング設定を作成する Windows ドメインが Detected domains リストに表示された場合は、そのドメインの名前を選択します。


ヒント ドメインの選択内容をクリアするには、Clear Selection をクリックします。

c. Detected domains リストに、グループ セット マッピングを作成する Windows ドメインが 表示されない 場合は、Domain ボックスに信頼できる Windows ドメインの名前を入力します。

d. Submit をクリックします。

新しい Windows ドメインが、Domain Configurations ページ内のドメインのリストに表示されます。

ステップ 5 Windows グループ セットをマッピングしている場合は、グループ セット マッピングを設定するドメインの名前をクリックします。

Group Mappings for Domain: domainname テーブルが表示されます。

ステップ 6 Novell NDS グループ セットをマッピングしている場合は、グループ セット マッピングを設定する Novell NDS ツリーの名前をクリックします。

Group Mappings for NDS Users テーブルが表示されます。

ステップ 7 Add Mapping をクリックします。

Create new group mapping for database ページが開きます。グループ リストには、外部ユーザ データベースから取得されたグループ名が表示されます。

ステップ 8 グループ セット マッピングに追加される各グループについて、グループ リスト内で該当する外部ユーザ データベース グループの名前を選択し、 Add to selected をクリックします。


) Cisco Secure ACS が、このグループ セット マッピングを使用してユーザを Cisco Secure ACS グループにマッピングするためには、そのユーザが、Selected リスト内のすべてのグループに一致する必要があります。ただし、ユーザは、同時に(リスト内のグループに加えて)他のグループにも所属し、さらに Cisco Secure ACS グループにもマッピングされることができます。



ヒント マッピングからグループを削除するには、Selected リストで削除するグループの名前を選択し、次に Remove from selected をクリックします。

Selected リストには、ユーザが Cisco Secure ACS グループにマッピングされるために所属する必要のある、すべてのグループが表示されます。

ステップ 9 CiscoSecure グループ リストで、Selected リスト内にあるすべての外部ユーザ データベース グループに所属するユーザをマッピングする Cisco Secure ACS グループの名前を選択します。


) <No Access> も選択できます。<No Access> グループの詳細については、「グループ セット マッピングの非アクセス グループ」を参照してください。


ステップ 10 Submit をクリックします。

Cisco Secure ACS リストにマッピングしたグループ セットが、 database グループ カラムの一番下に表示されます。


) 各グループ セットの最後にあるアスタリスクは、その外部ユーザ データベースで認証されたユーザが、そのグループ セット内のグループ以外に、他のグループにも所属することが可能であることを示します。



 

Windows、Novell NDS、または汎用 LDAP グループ セット マッピングの編集

グループ セット マッピングがマッピングされている Cisco Secure ACS グループを変更できます。


) 既存のグループ セット マッピングの外部ユーザ データベース グループは編集できません。グループ セット マッピングに外部ユーザ データベース グループを追加、または削除する場合は、グループ セット マッピングを削除し、改定したグループ セットで新しいグループ セットを作成します。


Windows、Novell NDS、または汎用 LDAP グループ マッピングを編集するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの External User Databases をクリックします。

ステップ 2 Database Group Mappings をクリックします。

ステップ 3 グループ セット マッピングを編集する外部ユーザ データベースの名前をクリックします。

Windows グループ セット マッピングを編集している場合は、
Domain Configurations テーブルが表示されます。NDS グループ セット マッピングを編集している場合は、NDS Trees テーブルが表示されます。それ以外の場合は、Group Mappings for database Users テーブルが表示されます。

ステップ 4 Windows グループ セット マッピングを編集している場合は、グループ セット マッピングを編集するドメインの名前をクリックします。

Group Mappings for Domain: domainname テーブルが表示されます。

ステップ 5 Novell NDS グループ セット マッピングを編集している場合は、グループ セット マッピングを編集する Novell NDS ツリーの名前をクリックします。

Group Mappings for NDS Users テーブルが表示されます。

ステップ 6 編集するグループ セット マッピングをクリックします。

Edit mapping for database ページが開きます。グループ セット マッピングに含まれる 1 つまたは複数の外部ユーザ データベース グループが、CiscoSecure グループ リストの上に表示されます。

ステップ 7 CiscoSecure グループ リストで、外部データベース グループのセットをマッピングするグループの名前を選択し、 Submit をクリックします。


) <No Access> も選択できます。<No Access> グループの詳細については、「グループ セット マッピングの非アクセス グループ」を参照してください。


ステップ 8 Submit をクリックします。

Group Mappings for database ページが再度開き、変更されたグループ セット マッピングがリストに表示されます。


 

Windows、Novell NDS、または汎用 LDAP グループ セット マッピングの削除

グループ セット マッピングは個別に削除できます。

Windows、Novell NDS、または汎用 LDAP グループ マッピングを削除するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの External User Databases をクリックします。

ステップ 2 Database Group Mappings をクリックします。

ステップ 3 グループ セット マッピングを削除する外部ユーザ データベース設定をクリックします。

Windows グループ セット マッピングを削除する場合は、Domain Configurations テーブルが表示されます。NDS グループ セット マッピングを削除する場合は、NDS Trees テーブルが表示されます。それ以外の場合は、Group Mappings for database Users テーブルが表示されます。

ステップ 4 Windows グループ セット マッピングを削除する場合は、そのグループ セット マッピングを削除するドメインの名前をクリックします。

Group Mappings for Domain: domainname テーブルが表示されます。

ステップ 5 Novell NDS グループ セット マッピングを削除する場合は、そのグループ セット マッピングを削除する Novell NDS ツリーの名前をクリックします。

Group Mappings for NDS Users テーブルが表示されます。

ステップ 6 削除するグループ セット マッピングの名前をクリックします。

ステップ 7 Delete をクリックします。

確認ダイアログボックスが表示されます。

ステップ 8 確認ダイアログボックスで、 OK をクリックします。

Cisco Secure ACS によって、選択された外部ユーザ データベースのグループ セット マッピングが削除されます。


 

Windows ドメイン グループ マッピング設定の削除

Windows ドメインに対するグループ マッピング設定全体を削除できます。Windows ドメイン グループ マッピング設定を削除すると、その設定内のすべてのグループ セット マッピングも削除されます。

Windows グループ マッピングを削除するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの External User Databases をクリックします。

ステップ 2 Database Group Mappings をクリックします。

ステップ 3 Windows 外部ユーザ データベースの名前をクリックします。

ステップ 4 グループ セット マッピングを削除するドメインの名前をクリックします。

ステップ 5 Delete Configuration をクリックします。

確認ダイアログボックスが表示されます。

ステップ 6 確認ダイアログボックスで、 OK をクリックします。

Cisco Secure ACS によって、選択された外部ユーザ データベースのグループ マッピング設定が削除されます。


 

グループ セット マッピング順序の変更

Windows、Novell NDS、および汎用 LDAP データベースで認証を受けるユーザのグループ セット マッピングに対する、Cisco Secure ACS によるチェック順序を変更できます。グループ マッピングの順序を設定するには、グループ マッピングを作成しておく必要があります。グループ マッピングの作成方法の詳細については、「Windows、Novell NDS、または汎用 LDAP グループに対する Cisco Secure ACS グループ マッピングの作成」を参照してください。

Windows、Novell NDS、または汎用 LDAP グループ マッピングに対するグループ マッピング順序を変更するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの External User Databases をクリックします。

ステップ 2 Database Group Mappings をクリックします。

ステップ 3 グループ セット マッピング順序を設定する外部ユーザ データベースの名前をクリックします。

Windows グループ セット マッピングの順序を設定している場合は、Domain Configurations テーブルが表示されます。NDS グループ セット マッピングの順序を設定している場合は、NDS Trees テーブルが表示されます。それ以外の場合は、Group Mappings for database Users テーブルが表示されます。

ステップ 4 Windows グループ マッピングの順序を設定している場合は、グループ セット マッピングの順序を設定するドメインの名前をクリックします。

Group Mappings for Domain: domainname テーブルが表示されます。

ステップ 5 Novell NDS グループ セット マッピングの順序を設定している場合は、グループ セット マッピングの順序を設定する Novell NDS ツリーの名前をクリックします。

Group Mappings for NDS Users テーブルが表示されます。

ステップ 6 Order mappings をクリックします。


) 現在のデータベースに対して、複数のグループ セット マッピングが存在する場合は、Order mappings ボタンが表示されます。


Order mappings for database ページが開きます。現在のデータベースに対するグループ マッピングが、Order リストに表示されます。

ステップ 7 移動するグループ セット マッピングの名前を選択し、適切な位置になるまで Up または Down をクリックします。

ステップ 8 グループ マッピングが適切な順序になるまで、ステップ 7 を繰り返します。

ステップ 9 Submit をクリックします。

Group Mappings for database ページに、定義した順序でグループ セット マッピングが表示されます。


 

NAC グループ マッピング

ネットワーク アドミッション コントロール(NAC)データベースのグループ マッピングに関する機能を使用すると、ポスチャ確認の結果であるシステム ポスチャ トークン(SPT)を、その SPT に対応するように設定された許可を持つユーザ グループに接続することができます。グループ マッピングを使用することで、適切なダウンロード可能 IP ACL と Cisco RADIUS cisco-av-pair アトリビュート値が、ネットワーク アドミッション コントロール(NAC)クライアント ワークステーションのネットワーク セッションに割り当てられます。作成する各 NAC データベース インスタンスには、5 つの SPT ごとに一意の SPT/グループ間マッピングが割り当てられます。

ポスチャ トークンの詳細については、「ポスチャ トークン」を参照してください。

NAC グループ マッピングの設定

NAC グループ マッピングを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの External User Databases をクリックします。

ステップ 2 Database Group Mappings をクリックします。

NAC データベースを含むすべての外部データベースのリストが表示されます。

ステップ 3 設定する SPT/グループ間マッピングに対応する NAC データベースの名前をクリックします。

選択された NAC データベースの Token-to-User-Group Mapping ページが表示されます。

ステップ 4 SPT ごとに、次の手順を実行します。

a. User Group リストから、グループを選択します。または、アクセスを拒否する場合は、<No Access> オプションを選択します(デフォルトで選択済み)。

ポスチャ確認の結果が、User Group リストの左に表示されている SPT の場合、Cisco Secure ACS は、選択されているグループに関連付けられた許可を AAA クライアントに送信します。

b. (オプション)PA User Message ボックスに、NAC クライアントが当該コンピュータのユーザに表示できるメッセージを入力します。


) NAC クライアントがメッセージを表示するかどうかは、NAC クライアントの設定と設計によって異なります。


ステップ 5 Submit をクリックします。

SPT/ユーザ グループ間マッピングが保存されます。


 

RADIUS ベースのグループ指定

一部の外部ユーザ データベースのタイプについては、Cisco Secure ACS では、外部ユーザ データベースからの RADIUS 認証応答に基づいて、特定の Cisco Secure ACS グループにユーザを割り当てることができます。これは、「外部ユーザ データベースによるグループ マッピング」で説明されている未知ユーザ グループ マッピングの追加機能です。RADIUS に基づいたグループ指定は、グループ マッピングより優先されます。RADIUS に基づいたグループ指定をサポートするデータベース タイプは、次のとおりです。

LEAP Proxy RADIUS サーバ

RADIUS トークン サーバ

Cisco Secure ACS は、LEAP Proxy RADIUS Server データベースで認証されたユーザに対するユーザ単位のグループ マッピングをサポートします。これは、「外部ユーザ データベースによるグループ マッピング」で説明されているデフォルトのグループ マッピングの追加機能です。

ユーザ単位のグループ マッピングをイネーブルにするには、次の値を使用して、Cisco IOS/PIX RADIUS アトリビュート 1、[009\001] cisco-av-pair を含む認証応答を返すように外部ユーザ データベースを設定します。

ACS:CiscoSecure-Group-Id = N

N には、Cisco Secure ACS がユーザに割り当てる Cisco Secure ACS グループの番号(0 ~ 499)が入ります。たとえば、LEAP Proxy RADIUS Server がユーザを認証して、Cisco IOS/PIX RADIUS アトリビュート 1、[009\001] cisco-av-pair に次の値を含めると、このようになります。

ACS:CiscoSecure-Group-Id = 37

Cisco Secure ACS では、ユーザにグループ 37 を割り当て、グループ 37 に関連付けられた権限を適用します。