Cisco Secure ACS ユーザ ガイド Windows 版 Version 3.3
ユーザ管理
ユーザ管理
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

ユーザ管理

User Setup の機能について

ユーザ データベース

基本ユーザ設定オプション

基本ユーザ アカウントの追加

Supplementary User Information の設定

個別の CHAP/MS-CHAP/ARAP パスワードの設定

ユーザをグループに割り当てる

ユーザ コールバック オプションの設定

ユーザをクライアント IP アドレスに割り当てる

ネットワーク アクセス制限をユーザに対して設定する

最大セッション オプションをユーザに対して設定する

User Usage Quotas オプションの設定

ユーザ アカウントの無効化オプションの設定

ダウンロード可能 IP ACL をユーザに割り当てる

拡張ユーザ認証設定

TACACS+ 設定(ユーザ)

TACACS+ をユーザに対して設定する

シェル コマンド許可セットをユーザに対して設定する

PIX コマンド許可セットをユーザに対して設定する

デバイス管理コマンド許可をユーザに対して設定する

Unknown Service をユーザに対して設定する

高度な TACACS+ 設定(ユーザ)

Enable Privilege オプションをユーザに対して設定する

TACACS+ Enable Password オプションをユーザに対して設定する

TACACS+ 発信パスワードをユーザに対して設定する

RADIUS アトリビュート

IETF RADIUS パラメータをユーザに対して設定する

Cisco IOS/PIX RADIUS パラメータをユーザに対して設定する

Cisco Aironet RADIUS パラメータをユーザに対して設定する

Ascend RADIUS パラメータをユーザに対して設定する

Cisco VPN 3000 Concentrator RADIUS パラメータをユーザに対して設定する

Cisco VPN 5000 Concentrator RADIUS パラメータをユーザに対して設定する

Microsoft RADIUS パラメータをユーザに対して設定する

Nortel RADIUS パラメータをユーザに対して設定する

Juniper RADIUS パラメータをユーザに対して設定する

BBSM RADIUS パラメータをユーザに対して設定する

カスタム RADIUS アトリビュートをユーザに対して設定する

ユーザ管理

全ユーザのリスト表示

ユーザの検索

ユーザ アカウントの無効化

ユーザ アカウントの削除

ユーザ セッション割当量カウンタのリセット

ログイン失敗後のユーザ アカウントのリセット

ユーザ設定の保存

ユーザ管理

この章では、Cisco Secure ACS for Windows Server でユーザ アカウントをセットアップおよび管理する方法について説明します。


) ユーザ レベルでの設定は、グループ レベルでの設定よりも優先されます。


User Setup を設定する前に、User Setup セクションの動作を理解しておく必要があります。Cisco Secure ACS は、AAA クライアントの設定や使用されるセキュリティ プロトコルに従って、User Setup セクションのインターフェイスをダイナミックに構築します。つまり、User Setup に表示される内容は、Network Configuration セクションと Interface Configuration セクションの両方の設定内容によって決まります。

この章は、次の項で構成されています。

「User Setup の機能について」

「ユーザ データベース」

「基本ユーザ設定オプション」

「拡張ユーザ認証設定」

「ユーザ管理」

User Setup の機能について

Cisco Secure ACS HTML インターフェイスの User Setup セクションには、ユーザ アカウントの設定と管理に関するすべての操作が集中しています。

User Setup セクションから、次のタスクを実行できます。

CiscoSecure ユーザ データベースにある全ユーザの一覧表示

ユーザの検索

ユーザの追加

Voice over IP(VoIP)グループを含むグループに対するユーザの割り当て

ユーザ アカウント情報の編集

ユーザ認証タイプの設定または変更

ユーザのコールバック情報の設定

ユーザのネットワーク アクセス制限(NAR)の設定

高度な設定

ユーザの同時最大セッション数(Max Sessions)の設定

ユーザ アカウントの無効化または再有効化

ユーザの削除

ユーザ データベース

Cisco Secure ACS は、CiscoSecure ユーザ データベースを含むいくつかのデータベースのいずれかに対して、ユーザの認証を行います。データベースのタイプにかかわらずユーザの認証時に使用するように Cisco Secure ACS を設定し、すべてのユーザが CiscoSecure ユーザ データベース内にアカウントを持ち、ユーザの権限付与が常に CiscoSecure ユーザ データベース内のユーザ レコードに対して実行されるようにします。ACS で使用される基本ユーザ データベースの一覧と説明、および各データベースに関する詳しい説明の参照先を次に示します。

CiscoSecure ユーザ データベース :ローカル CiscoSecure ユーザ データベースからユーザを認証します。詳細については、「CiscoSecure ユーザ データベース」を参照してください。


ヒント 次の認証タイプは、対応する外部ユーザ データベースが External User Databases セクションの Database Configuration 領域で設定されている場合に限り HTML インターフェイスに表示されます。


Windows Database :ローカル ドメインまたは Windows ユーザ データベースに設定されたドメインにある、Windows ユーザ データベース内にアカウントを持つユーザを認証します。詳細については、「Windows ユーザ データベース」を参照してください。

Generic LDAP :汎用 LDAP の外部ユーザ データベースからユーザを認証します。詳細については、「汎用 LDAP」を参照してください。

Novell NDS :Novell NetWare Directory Services(NDS; ディレクトリ サービス)を使用してユーザを認証します。詳細については、「Novell NDS データベース」を参照してください。

ODBC Database :Open Database Connectivity(ODBC)準拠のデータベース サーバからユーザを認証します。詳細については、「ODBC データベース」を参照してください。

LEAP Proxy RADIUS Server Database :LEAP Proxy RADIUS サーバからユーザを認証します。詳細については、「LEAP Proxy RADIUS サーバ データベース」を参照してください。

Token Server :トークン サーバ データベースからユーザを認証します。Cisco Secure ACS は、ワンタイム パスワードによるセキュリティ強化に対応して、さまざまなトークン サーバの使用をサポートしています。詳細については、「トークン サーバ ユーザ データベース」を参照してください。

基本ユーザ設定オプション

ここでは、新規ユーザを設定するときに実行する基本的なアクティビティについて説明します。最も基本的なレベルでは、新規ユーザの設定に必要な手順は、次の 3 つだけです。

名前を指定する。

外部ユーザ データベースまたはパスワードを指定する。

情報を送信する。

ユーザ アカウント設定を編集するための手順は、基本的にはユーザ アカウントを追加する手順と同じですが、編集の場合は変更するフィールドに直接移動します。ユーザ アカウントに関連付けられた名前の変更はできません。ユーザ名を編集するには、そのユーザ アカウントを削除して別のアカウントを設定する必要があります。

新規ユーザ アカウントの設定時に実行するその他の手順は、ネットワークの複雑さと、どの程度詳細に制御を行いたいかという 2 つの要因によって決まります。

この項では、次のトピックについて取り上げます。

「基本ユーザ アカウントの追加」

「Supplementary User Information の設定」

「個別の CHAP/MS-CHAP/ARAP パスワードの設定」

「ユーザをグループに割り当てる」

「ユーザ コールバック オプションの設定」

「ユーザをクライアント IP アドレスに割り当てる」

「ネットワーク アクセス制限をユーザに対して設定する」

「最大セッション オプションをユーザに対して設定する」

「User Usage Quotas オプションの設定」

「ユーザ アカウントの無効化オプションの設定」

「ダウンロード可能 IP ACL をユーザに割り当てる」

基本ユーザ アカウントの追加

ここでは、新規ユーザ アカウントを CiscoSecure ユーザ データベースに追加する際に必要な最小限の手順を説明します。

ユーザ アカウントを追加するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの User Setup をクリックします。

User Setup Select ページが開きます。

ステップ 2 User ボックスに名前を入力します。


) ユーザ名には、最大で 64 文字まで使用できます。名前には、次の特殊文字は使用できません。
# ? " * > <
先頭と末尾にスペースを置くことはできません。


ステップ 3 Add/Edit をクリックします。

User Setup Edit ページが開きます。追加の対象となるユーザ アカウントがページ上部に表示されます。

ステップ 4 Account Disabled チェックボックスがオフになっていることを確認します。


) または、Account Disabled チェックボックスをオンにして、無効なユーザ アカウントを作成し、後で有効にすることもできます。


ステップ 5 User Setup テーブルの Password Authentication で、適用する認証タイプをリストから選択します。


ヒント ここで表示される認証タイプには、External User Databases セクションの Database Configuration 領域で設定したデータベースが反映されます。

ステップ 6 Password ボックスおよび Confirm Password ボックスの最初の組に、単一の CiscoSecure PAP パスワードを入力して指定します。


) Password ボックスと Confirm Password ボックスには、それぞれ最大で 32 文字まで入力できます。



ヒント Separate CHAP/MS-CHAP/ARAP チェックボックスがオフになっている場合は、CHAP/MS-CHAP/ARAP についても CiscoSecure PAP パスワードが使用されます。


ヒント 最初に PAP パスワードを、次に CHAP パスワードまたは MS-CHAP パスワードを要求するように AAA クライアントを設定すると、ユーザが PAP パスワードを使用してダイヤルインしたときに認証が行われます。たとえば、AAA クライアント コンフィギュレーション ファイルに次の行を設定すると、AAA クライアントでは PAP の後に CHAP がイネーブルになります。
ppp authentication pap chap

ステップ 7 次のいずれか 1 つを実行します。

ユーザ アカウント オプションの設定を終了してユーザ アカウントを設定するには、 Submit をクリックします。

続けてユーザ アカウント オプションを指定する場合は、この章の手順を必要に応じて実行します。


ヒント 複雑なアカウント設定を行う場合は、続行する前に Submit をクリックします。これで、予期しない問題が生じた場合でも入力済みの情報が失われません。


 

Supplementary User Information の設定

Supplementary User Information では、最大 5 つのフィールドを設定して含めることができます。デフォルト設定では、Real Name と Description という 2 つのフィールドが用意されています。

これらのオプション フィールドの表示および設定方法については、「ユーザ データの設定オプション」を参照してください。

Supplementary User Information テーブルにオプション情報を入力するには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集の対象となるユーザ名がページ上部に表示されます。

ステップ 2 Supplementary User Infomation テーブルに表示された各ボックスに、必要な情報を入力します。


) Real Name ボックスと Description ボックスには、それぞれ最大で 128 文字まで入力できます。


ステップ 3 次のいずれか 1 つを実行します。

ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。

続けてユーザ アカウント オプションを指定する場合は、この章の手順を必要に応じて実行します。


 

個別の CHAP/MS-CHAP/ARAP パスワードの設定

個別の CHAP/MS-CHAP/ARAP パスワードを設定すると、Cisco Secure ACS 認証のセキュリティがさらに強化されます。ただし、個別のパスワードを使用するには、AAA クライアントを設定しておく必要があります。

ユーザが、CiscoSecure ユーザ データベースの PAP パスワードの代わりに CHAP、MS-CHAP、または ARAP パスワードを使用して認証できるようにするには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集の対象となるユーザ名がページ上部に表示されます。

ステップ 2 User Setup テーブルの Separate CHAP/MS-CHAP/ARAP チェックボックスをオンにします。

ステップ 3 Separate (CHAP/MS-CHAP/ARAP) チェックボックスの下にある Password/Confirm ボックスの 2 番目の組に、使用する CHAP/MS-CHAP/ARAP パスワードをそれぞれ入力して指定します。


) Password ボックスと Confirm Password ボックスには、それぞれ最大で 32 文字まで入力できます。



) これらの Password ボックスおよび Confirm Password ボックスは、Cisco Secure ACS データベースによる認証にだけ必要です。さらに、あるユーザが VoIP(ヌル パスワード)グループに割り当てられ、オプションのパスワードがそのユーザ プロファイルにも含まれている場合は、ユーザが非 VoIP グループに再マッピングされるまでそのパスワードは使用されません。


ステップ 4 次のいずれか 1 つを実行します。

ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。

続けてユーザ アカウント オプションを指定する場合は、この章の手順を必要に応じて実行します。


 

ユーザをグループに割り当てる

Cisco Secure ACS では、ユーザは 1 つのグループにだけ所属できます。ユーザは、自分のグループに割り当てられているアトリビュートと操作を継承します。ただし、設定が矛盾する場合は、グループ レベルでの設定よりもユーザ レベルでの設定が優先されます。

デフォルトでは、ユーザは Default Group に割り当てられます。既存の Cisco Secure ACS グループにマッピングされていないユーザおよび Unknown User 方式で認証されるユーザも同様に、Default Group に割り当てられます。

または、ユーザを特定のグループにマップしないで、外部の認証者にグループのマッピングを実行させることもできます。Cisco Secure ACS がグループ情報を取得できる外部ユーザ データベースの場合は、外部ユーザ データベース内のユーザに定義されているグループ メンバーシップを特定の Cisco Secure ACS グループに関連付けることができます。詳細については、 第16章「ユーザ グループ マッピングと仕様」 を参照してください。

ユーザをグループに割り当てるには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加された、または編集されたユーザ名がページ上部に表示されます。

ステップ 2 User Setup テーブルの Group to which user is assigned リストから、ユーザを割り当てるグループを選択します。


ヒント または、リスト内を上の方向にスクロールし、Mapped By External Authenticator オプションを選択します。

ステップ 3 次のいずれか 1 つを実行します。

ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。

続けてユーザ アカウント オプションを指定する場合は、この章の手順を必要に応じて実行します。


 

ユーザ コールバック オプションの設定

コールバックとは、アクセス サーバに返されるコマンド文字列です。モデムを起動するときにコールバック文字列を使用すると、セキュリティの強化または着信課金のために、ユーザが特定の番号にコールバックするように設定できます。

ユーザ コールバック オプションを設定するには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加された、または編集されたユーザ名がページ上部に表示されます。

ステップ 2 User Setup テーブルの Callback から、適用するオプションを選択します。ここで選択できる項目は、次のとおりです。

Use group setting :ユーザにグループの設定を適用します。

No callback allowed :ユーザに対するコールバックをディセーブルにします。

Callback using this number :これを選択して、必要に応じて市外局番も含めた電話番号を入力すると、ユーザへのコールバックには、その電話番号が常時使用されます。


) コールバック番号の文字列の長さは、最大で 199 文字までです。


Dialup client specifies callback number :Windows のダイヤルアップ クライアントがコールバック番号を指定できます。

Use Windows Database callback settings :Windows のコールバック用に指定された設定を使用します。ユーザの Windows アカウントがリモート ドメインにある場合、Microsoft Windows のコールバック設定がそのユーザに対して動作するためには、Cisco Secure ACS が常駐するドメインとそのドメインとの間に双方向の信頼性が必要です。


) ダイヤルアップ ユーザは、コールバックをサポートするソフトウェアを設定しておく必要があります。


ステップ 3 次のいずれか 1 つを実行します。

ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。

続けてユーザ アカウント オプションを指定する場合は、この章の手順を必要に応じて実行します。


 

ユーザをクライアント IP アドレスに割り当てる

ユーザをクライアント IP アドレスに割り当てるには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集の対象となるユーザ名がページ上部に表示されます。

ステップ 2 User Setup テーブルの Client IP Address Assignment から、適用するオプションを選択します。ここで選択できる項目は、次のとおりです。


) User Setup で IP アドレスを割り当てると、Group Setup の IP アドレス割り当てが無効になります。


Use group settings :IP アドレス グループ割り当てを使用します。

No IP address assignment :クライアントから返される IP アドレスを必要としない場合は、このオプションを選択してグループ設定を無効にします。

Assigned by dialup client :IP アドレスのダイヤルアップ クライアント割り当てを使用します。

Assign static IP address :ユーザに対して特定の IP アドレスを使用する必要がある場合は、このオプションを選択してボックスにその IP アドレス(最大 15 文字)を入力します。


) IP アドレスが IP アドレス プールから、またはダイヤルアップ クライアントによって割り当てられる場合は、Assign IP address ボックスをブランクのままにします。


Assigned by AAA client poolAAA クライアントで設定された IP アドレス プールからこのユーザに IP アドレスを割り当てる場合は、このオプションを選択し、ボックスに AAA クライアント IP プール名を入力します。

Assigned from AAA poolAAA サーバで設定された IP アドレス プールからこのユーザに IP アドレスを割り当てる場合は、このオプションを選択し、ボックスに使用するプール名を入力します。Available Pools リストで AAA サーバの IP プール名を選択し、次に、 --> (右矢印ボタン)をクリックすると、選択した名前が Selected Pools リストに移動します。Selected Pools リストに複数のプールがある場合、このグループ内のユーザは、リストで最初に表示された使用可能なプールに割り当てられます。リスト上のプールの位置を移動するには、プール名を選択し、 Up または Down をクリックしてプールを適切な位置に移動します。

ステップ 3 次のいずれか 1 つを実行します。

ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。

続けてユーザ アカウント オプションを指定する場合は、この章の手順を必要に応じて実行します。


 

ネットワーク アクセス制限をユーザに対して設定する

User Setup の Advanced Settings 領域にある Network Access Restrictions テーブルでは、次の 3 つの方法で NAR を設定できます。

名前を指定して既存の共有 NAR を適用する。

IP に基づいたアクセス制限を定義し、IP 接続確立時に、指定された AAA クライアントまたは AAA クライアントの指定ポートに対するユーザ アクセスを許可または拒否する。

CLI/DNIS に基づいたアクセス制限を定義し、使用される CLI/DNIS に基づいたユーザ アクセスを許可または拒否する。


) また、CLI/DNIS に基づいたアクセス制限領域を使用して、別の値を指定できます。詳細については、「ネットワーク アクセス制限について」を参照してください。


通常は、Shared Components セクションから(共有)NAR を定義することにより、これらの制限を複数のグループまたはユーザに適用します。詳細については、「共有ネットワーク アクセス制限の追加」を参照してください。Interface Configuration セクションの Advanced Options ページにある User-Level Shared Network Access Restriction チェックボックスをオンにし、これらのオプション セットが HTML インターフェイスに表示されるようにしておく必要があります。

ただし、Cisco Secure ACS では、User Setup セクションから単一のユーザに対して NAR を定義および適用することもできます。単一ユーザの IP に基づいたフィルタ オプション、および単一ユーザの CLI/DNIS に基づいたフィルタ オプションを HTML インターフェイスに表示するには、Interface Configuration セクションの Advanced Options ページで User-Level Network Access Restriction 設定をイネーブルにしておく必要があります。


) 認証要求がプロキシから Cisco Secure ACS サーバに転送されると、TACACS+ 要求に使用されるすべての NAR は、発信元の AAA クライアントの IP アドレスではなく、転送先の AAA サーバの IP アドレスに適用されます。


アクセス制限をユーザごとに作成する場合、Cisco Secure ACS は、アクセス数への制限も、各アクセスの長さへの制限も適用しません。ただし、次の制限は適用します。

行項目それぞれのフィールド長の合計が 1024 文字を超えることはできない。

共有 NAR では、文字サイズの合計が 16 KB を超えることはできない。サポートされる行項目の数は、行項目それぞれの長さによって異なります。たとえば、CLI/DNIS ベースの NAR を作成する場合、AAA クライアント名が 10 文字、ポート番号が 5 文字、CLI エントリが 15 文字、DNIS エントリが 20 文字のときは、16 KB 制限に達しない限り、450 行項目を追加できます。

ユーザの NAR を設定するには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集の対象となるユーザ名がページ上部に表示されます。

ステップ 2 事前に設定された共有 NAR をこのユーザに適用するには、次の手順を実行します。


) 共有 NAR を適用するには、Shared Profile Components セクションの Network Access Restrictions で該当する NAR を設定しておく必要があります。詳細については、「共有ネットワーク アクセス制限の追加」を参照してください。


a. Only Allow network access when チェックボックスをオンにします。

b. ユーザのアクセスを許可するために、1 つの共有 NAR またはすべての共有 NAR のどちらを適用するかを指定するには、次の 2 つのオプションのいずれかを選択します。

All selected NARS result in permit

Any one selected NAR results in permit

c. NARs リストから共有 NAR 名を選択し、次に --> (右矢印ボタン)をクリックして、その名前を Selected NARs リストに移動します。


ヒント 適用することを選択した共有 NAR のサーバ詳細を表示するには、
View IP NAR、または View CLID/DNIS NAR の該当する方をクリックします。

ステップ 3 IP アドレス、または IP アドレスとポートに基づいて、この特定のユーザに対してユーザ アクセスを許可または拒否する NAR を定義および適用するには、次の手順を実行します。


ヒント 複数のグループまたはユーザに適用する場合は、ほとんどの NAR を Shared Components セクションから定義する必要があります。詳細については、「共有ネットワーク アクセス制限の追加」を参照してください。

a. Network Access Restrictions テーブルの Per User Defined Network Access Restrictions で、 Define IP-based access restrictions チェックボックスをオンにします。

b. 後続してリストに追加される IP アドレスを許可または拒否するかを指定するには、Table Defines リストから次のいずれかを選択します。

Permitted Calling/Point of Access Locations

Denied Calling/Point of Access Locations

c. 次のボックスで情報を選択するか、または入力します。

AAA Client All AAA Clients を選択するか、アクセスを許可または拒否するネットワーク デバイス グループ(NDG)の名前、または個々の AAA クライアントの名前を入力します。

Port :アクセスを許可または拒否するポートの番号を入力します。ワイルドカード アスタリスク(*)を使用すると、選択された AAA クライアント上のすべてのポートに対するアクセスを許可または拒否できます。

Address :アクセス制限の実行時に使用する IP アドレス(複数可)を入力します。ワイルドカード アスタリスク(*)を使用できます。


) AAA Client リスト、Port ボックス、および Src IP Address ボックスの文字数の合計は、1024 を超えることができません。NAR を追加する場合、Cisco Secure ACS は 1024 を超える文字を受け入れますが、NAR は編集できず、さらに Cisco Secure ACS が NAR をユーザに正確に適用できなくなります。


d. Enter キーを押します。

指定した AAA クライアント、ポート、およびアドレス情報が、AAA Client リスト上部のテーブルに表示されます。

ステップ 4 発信場所、または設定された IP アドレス以外の値に基づいて、このユーザのアクセスを許可または拒否するには、次の手順を実行します。

a. Define CLI/DNIS based access restrictions チェックボックスをオンにします。

b. 後続してリストに追加される値を許可するか、または拒否するかを指定するには、Table Defines リストから、次のいずれかを選択します。

Permitted Calling/Point of Access Locations

Denied Calling/Point of Access Locations

c. 次のボックスに必要な情報を入力します。


) 各ボックスに入力する必要があります。値の全体または一部にワイルドカード アスタリスク(*)を使用できます。使用する形式は、AAA クライアントから受信する文字列の形式と一致している必要があります。この形式は、RADIUS アカウンティング ログから判別できます。


AAA Client All AAA Clients を選択するか、アクセスを許可または拒否する NDG の名前、または個々の AAA クライアントの名前を入力します。

PORT :アクセスを許可または拒否するポート番号を入力します。ワイルドカード アスタリスク(*)を使用すると、すべてのポートに対するアクセスを許可または拒否できます。

CLI :アクセスを許可または拒否する CLI 番号を入力します。ワイルドカード アスタリスク(*)を使用すると、番号の一部に基づいてアクセスを許可または拒否できます。


ヒント これは、Cisco Aironet クライアントの MAC アドレスなど、他の値に基づいてアクセスを制限する場合にも選択します。詳細については、「ネットワーク アクセス制限について」を参照してください。

DNIS :アクセスを許可または拒否する DNIS 番号を入力します。これは、ユーザがダイヤルする番号に基づいてアクセスを制限するために使用します。ワイルドカード アスタリスク(*)を使用すると、番号の一部に基づいてアクセスを許可または拒否できます。


ヒント これは、Cisco Aironet AP の MAC アドレスなど、他の値に基づいてアクセスを制限する場合にも選択します。詳細については、「ネットワーク アクセス制限について」を参照してください。


) AAA Client リスト、Port ボックス、CLI ボックス、および DNIS ボックスの文字数の合計は、1024 を超えることができません。NAR を追加する場合、Cisco Secure ACS は 1024 を超える文字を受け入れますが、NAR は編集できず、さらに Cisco Secure ACS が NAR をユーザに正確に適用できなくなります。


d. Enter キーを押します。

AAA クライアント、ポート、CLI、および DNIS を指定する情報が、AAA Client リスト上部のテーブルに表示されます。

ステップ 5 次のいずれか 1 つを実行します。

ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。

続けてユーザ アカウント オプションを指定する場合は、この章の手順を必要に応じて実行します。


 

最大セッション オプションをユーザに対して設定する

最大セッション機能を使用することで、ユーザに許可する同時コネクションの最大数を設定できます。Cisco Secure ACS では、セッションとは RADIUS または TACACS+ によってサポートされている任意のタイプのユーザ コネクションを示し、これには、PPP、Telnet、ARAP などがあります。ただし、Cisco Secure ACS がセッションを認識するためには、AAA クライアントでアカウンティングをイネーブルにする必要があります。すべてのセッション カウントは、ユーザ名とグループ名にだけ基づきます。Cisco Secure ACS では、セッションのタイプによる区別をサポートしていません。すべてのセッションは、同じものとしてカウントされます。たとえば、最大セッション カウントが 1 のユーザが PPP セッションで AAA クライアントにダイヤルインしている間は、同一の Cisco Secure ACS によってアクセスが制御されている場所に Telnet 接続を試みても、その接続は拒否されます。


) それぞれの Cisco Secure ACS は、独自の最大セッション カウントを保持しています。Cisco Secure ACS が最大セッション カウントを複数の Cisco Secure ACS 間で共有するための方式は用意されていません。したがって、2 つの Cisco Secure ACS がその間で負荷が分散されたミラーリング ペアとして設定されている場合でも、最大セッションの合計数はまったく別個に表示されます。



ヒント Max Sessions テーブルが表示されない場合は、Interface Configuration をクリックし、次に Advanced Options をクリックしてから、Max Sessions チェックボックスをオンにします。


ユーザに対して Max Sessions オプションを設定するには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集の対象となるユーザ名がページ上部に表示されます。

ステップ 2 Max Sessions テーブルの Sessions available to user で、次の 3 つのオプションのいずれか 1 つを選択します。

Unlimited :ユーザの同時セッション数を無制限に許可します(このオプションによって、最大セッションが実質的に無効になります)。

n :ユーザに許可する同時セッションの最大数を入力します。

Use group setting :最大セッション数の値をグループに対して適用します。


) デフォルト設定は、Use group setting です。



) ユーザの最大セッション数を設定すると、グループの最大セッション設定が無効になります。たとえば、Sales というグループの最大セッション数の値が 10 しかない場合でも、Sales グループのユーザである John に User Max Sessions の値として Unlimited が割り当てられていると、John にはグループの設定値に関係なく無制限のセッション数が許可されます。


ステップ 3 次のいずれか 1 つを実行します。

ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。

続けてユーザ アカウント オプションを指定する場合は、この章の手順を必要に応じて実行します。


 

User Usage Quotas オプションの設定

各ユーザに使用状況を割り当てることができます。次の 2 つの方法のいずれか、または両方でユーザを制限できます。

選択した期間内におけるセッションの合計時間

選択した期間内におけるセッションの合計数

Cisco Secure ACS では、セッションとは RADIUS または TACACS+ によってサポートされている任意のタイプのユーザ コネクションを示し、これには、PPP、Telnet、ARAP などがあります。ただし、Cisco Secure ACS がセッションを認識するためには、AAA クライアントでアカウンティングをイネーブルにする必要があります。Session Quotas セクションで個別に指定されていないユーザについては、Cisco Secure ACS によって、そのユーザが割り当てられているグループのセッション割当量が適用されます。


) User Usage Quotas 機能が表示されない場合は、Interface Configuration をクリックし、次に Advanced Options をクリックしてから Usage Quotas チェックボックスをオンにします。



ヒント User Setup Edit ページの User Usage Quotas テーブルの下にある Current Usage テーブルに、現在のユーザについての使用状況統計情報が表示されます。Current Usage テーブルには、そのユーザが使用したオンライン時間とセッション数の両方が、毎日、毎週、毎月、および合計使用量のカラムに表示されます。Current Usage テーブルは、設定済みのユーザ アカウントについてだけ表示されます。したがって、最初のユーザ設定時には表示されません。


割当量を超過したユーザについては、そのユーザが次にセッションの開始を試みた時点で、Cisco Secure ACS によってアクセスが拒否されます。あるセッション中に割り当てを超えても、Cisco Secure ACS は、そのセッションの継続を許可します。使用割当量を超えたために無効になったユーザ アカウントについては、User Setup Edit ページに、アカウントが無効になった理由を示すというメッセージが表示されます。

ユーザの User Setup ページでは、セッション割当量カウンタをリセットできます。使用割当量カウンタのリセットの詳細については、「ユーザ セッション割当量カウンタのリセット」を参照してください。

時間に基づいた割当量をサポートするためには、すべての AAA クライアント上でアカウンティング アップデート パケットをイネーブルにすることを推奨します。アップデート パケットがイネーブルではない場合、割当量はユーザがログオフしたときだけアップデートされます。ユーザがネットワークへのアクセスに使用している AAA クライアントに障害が発生すると、割当量はアップデートされません。ISDN のような複数セッションの場合は、すべてのセッションが終了するまで、割当量はアップデートされないため、最初のチャネルがユーザの割当量を使い切っていても、2 番目のチャネルが受け付けられることになります。

ユーザ使用割当量のオプションを設定するには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集の対象となるユーザ名がページ上部に表示されます。

ステップ 2 Usage Quotas テーブルで、 Use these settings を選択します。

ステップ 3 セッションの期間に基づいた使用割当量を定義するには、次の手順を実行します。

a. Limit user to x hours of online time チェックボックスをオンにします。

b. Limit user to x hours of online time ボックスに、ユーザを制限する時間数を入力します。分を表すには、小数を使用します。たとえば、値 10.5 は、10 時間 30 分になります。


) このフィールドには、最大で 10 文字まで入力できます。


c. 時間割当量を適用する期間を選択します。

per Day :午前 12:01 から夜中の 12:00 まで。

per Week :日曜の午前 12:01 から土曜の夜中の 12:00 まで。

per Month :月の朔日(1 日)の午前 12:01 から月の末日の夜中の 12:00 まで。

Absolute :継続した無期限の時間カウント

ステップ 4 セッション数に基づいて使用割当量を定義するには、次の手順を実行します。

a. Limit user to x sessions チェックボックスをオンにします。

b. Limit user to x sessions ボックスに、ユーザに対して制限するセッション回数を入力します。


) このフィールドには、最大で 10 文字まで入力できます。


c. セッション割当量を適用する期間を選択します。

per Day :午前 12:01 から夜中の 12:00 まで。

per Week :日曜の午前 12:01 から土曜の夜中の 12:00 まで。

per Month :月の朔日(1 日)の午前 12:01 から月の末日の夜中の 12:00 まで。

Absolute :継続した無期限の時間カウント


 

ユーザ アカウントの無効化オプションの設定

Account Disable 機能では、ユーザ アカウントを無効にする状況を定義します。


) この機能は、パスワード エージングによるアカウントの期限満了とは異なります。パスワード エージングは個別のユーザに対してではなく、グループに対してだけ定義されます。また、この機能は Account Disabled チェックボックスと異なることにも注意してください。ユーザ アカウントを無効にする方法については、「ユーザ アカウントの無効化」を参照してください。



) Windows のユーザ データベースを使用してユーザを認証する場合、この期限満了情報は、Windows のユーザ アカウント内の情報とは別に追加されます。ここで変更を行っても、Windows での設定内容は変更されません。


ユーザ アカウントの無効化に関するオプションを設定するには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集の対象となるユーザ名がページ上部に表示されます。

ステップ 2 次のいずれか 1 つを実行します。

a. ユーザ アカウントを常に有効に保つ場合は、 Never オプションを選択します。


) これがデフォルト設定です。


b. 特定の条件下でアカウントを無効にするには、 Disable account if オプションを選択します。次に、後続のボックスで、状況のいずれかまたは両方を指定します。

Date exceeds Date exceeds: チェックボックスをオンにします。次に、アカウントを無効にする月を選択し、日付(2 文字)と年(4 文字)を入力します。


) デフォルト値は、ユーザの追加後 30 日です。


Failed attempts exceed Failed attempts exceed チェックボックスをオンにし、アカウントが無効になるまでに許可されるログインの連続失敗回数を入力します。


) デフォルト値は 5 です。


ステップ 3 次のいずれか 1 つを実行します。

ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。

続けてユーザ アカウント オプションを指定する場合は、この章の手順を必要に応じて実行します。


 

ダウンロード可能 IP ACL をユーザに割り当てる

Downloadable ACL 機能によって、IP Access Control リスト(ACL)をユーザ レベルで割り当てることができます。割り当てる前に、1 つ以上の IP ACL を設定しておく必要があります。Cisco Secure ACS HTML インターフェイスの Shared Profile Components セクションを使用してダウンロード可能 IP ACL を設定する方法については、「ダウンロード可能 IP ACL の追加」を参照してください。


) Downloadable ACLs テーブルは、イネーブルになっていない場合は表示されません。Downloadable ACLs テーブルをイネーブルにするには、
Interface Configuration をクリックし、次に Advanced Options をクリックしてから、User-Level Downloadable ACLs チェックボックスをオンにします。


ダウンロード可能 IP ACL をユーザ アカウントに割り当てるには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加および編集の対象となるユーザ名がページ上部に表示されます。

ステップ 2 Downloadable ACLs セクションの下にある Assign IP ACL: チェックボックスをオンにします。

ステップ 3 リストから IP ACL を選択します。

ステップ 4 次のいずれか 1 つを実行します。

ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。

続けてユーザ アカウント オプションを指定する場合は、この章の手順を必要に応じて実行します。


 

拡張ユーザ認証設定

ここでは、ユーザ レベルの TACACS+ および RADIUS のイネーブル パラメータを設定するために実行するアクティビティについて説明します。

この項では、次のトピックについて取り上げます。

「TACACS+ 設定(ユーザ)」

「TACACS+ をユーザに対して設定する」

「シェル コマンド許可セットをユーザに対して設定する」

「PIX コマンド許可セットをユーザに対して設定する」

「デバイス管理コマンド許可をユーザに対して設定する」

「Unknown Service をユーザに対して設定する」

「高度な TACACS+ 設定(ユーザ)」

「Enable Privilege オプションをユーザに対して設定する」

「TACACS+ Enable Password オプションをユーザに対して設定する」

「TACACS+ 発信パスワードをユーザに対して設定する」

「RADIUS アトリビュート」

「IETF RADIUS パラメータをユーザに対して設定する」

「Cisco IOS/PIX RADIUS パラメータをユーザに対して設定する」

「Cisco Aironet RADIUS パラメータをユーザに対して設定する」

「Ascend RADIUS パラメータをユーザに対して設定する」

「Cisco VPN 3000 Concentrator RADIUS パラメータをユーザに対して設定する」

「Cisco VPN 5000 Concentrator RADIUS パラメータをユーザに対して設定する」

「Microsoft RADIUS パラメータをユーザに対して設定する」

「Nortel RADIUS パラメータをユーザに対して設定する」

「Juniper RADIUS パラメータをユーザに対して設定する」

「BBSM RADIUS パラメータをユーザに対して設定する」

「カスタム RADIUS アトリビュートをユーザに対して設定する」

TACACS+ 設定(ユーザ)

TACACS+ Settings セクションでは、ユーザの権限付与に適用するサービス/プロトコル パラメータをイネーブル化および設定できます。

この項では、次のトピックについて取り上げます。

「TACACS+ をユーザに対して設定する」

「シェル コマンド許可セットをユーザに対して設定する」

「PIX コマンド許可セットをユーザに対して設定する」

「デバイス管理コマンド許可をユーザに対して設定する」

「Unknown Service をユーザに対して設定する」

TACACS+ をユーザに対して設定する

この手順では、次のサービス/プロトコルについて ユーザ レベルの TACACS+ 設定を実行します。

PPP IP

PPP IPX

PPP Multilink

PPP Apple Talk

PPP VPDN

PPP LCP

ARAP

Shell (exec)

PIX Shell (pixShell)

SLIP

また、設定した任意の 新しい TACACS+ サービスもイネーブルにできます。すべてのサービス/プロトコル設定を User Setup セクションに表示すると煩雑になるため、どの設定を表示または非表示にするかを、インターフェイス設定時にユーザ レベルで選択します。Cisco Secure ACS HTML インターフェイスでの新規または既存の TACACS+ サービスの設定については、「TACACS+ のプロトコル設定オプション」を参照してください。

Cisco デバイス管理アプリケーションと連係動作するように Cisco Secure ACS を設定した場合は、そのデバイス管理アプリケーションをサポートするための新しい TACACS+ サービスが、必要に応じて自動的に表示されます。Cisco Secure ACS とデバイス管理アプリケーションとの連係動作の詳細については、「Cisco デバイス管理アプリケーションのサポート」を参照してください。

アトリビュートの詳細については、 付録 B「TACACS+ の AV ペア」 または使用している AAA クライアントのマニュアルを参照してください。IP ACL の割り当てについては、「ダウンロード可能 IP ACL をユーザに割り当てる」を参照してください。

始める前に

TACACS+ サービス/プロトコル設定が表示されるようにするには、セキュリティ コントロール プロトコルとして TACACS+ を使用するように AAA クライアントを設定しておく必要があります。

Interface Configuration の Advanced Options セクションにある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっていることを確認します。

ユーザに対して TACACS+ 設定を行うには、次の手順を実行します。


ステップ 1 Interface Configuration TACACS+ (Cisco IOS) の順にクリックします。TACACS+ Services テーブルの User というヘッダーの下部で、設定したいサービス/プロトコルのチェックボックスがオンになっていることを確認します。

ステップ 2 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集の対象となるユーザ名がページ上部に表示されます。

ステップ 3 TACACS+ Settings テーブルを下にスクロールし、太字のサービス名のチェックボックスをオンにして、そのプロトコルをイネーブルにします(たとえば PPP IP など)。

ステップ 4 選択したサービス内の特定のパラメータをイネーブルにするには、そのパラメータの隣にあるチェックボックスをオンにし、必要に応じて次のいずれかを行います。

Enabled チェックボックスをオンにします。

対応するアトリビュートのボックスに値を指定します。

ACL および IP アドレス プールを指定するには、ACL またはプールの名前を AAA クライアントで定義されているとおりに入力します。デフォルト設定(AAA クライアントの定義による)を使用する場合は、ブランクのままにします。アトリビュートの詳細については、 付録 B「TACACS+ の AV ペア」 または使用している AAA クライアントのマニュアルを参照してください。IP ACL の割り当てについては、「ダウンロード可能 IP ACL をユーザに割り当てる」を参照してください。


ヒント ACL は、ネットワーク上の他のデバイスまたはユーザに対するアクセス、または他のデバイスまたはユーザからのアクセスを制限するために使用される、Cisco IOS コマンドのリストです。

ステップ 5 特定のサービスについてカスタム アトリビュートを使用するには、そのサービスの Custom attributes チェックボックスをオンにし、次にチェックボックスの下部にあるボックスにアトリビュート/値を指定します。

ステップ 6 次のいずれか 1 つを実行します。

ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。

続けてユーザ アカウント オプションを指定する場合は、この章の手順を必要に応じて実行します。


 

シェル コマンド許可セットをユーザに対して設定する

ユーザのシェル コマンド許可セット パラメータを指定するには、この手順を実行します。次の 5 つのオプションから、1 つを選択できます。

None :シェル コマンドは許可しません。

Group :このユーザには、グループ レベルのシェル コマンド許可セットを適用します。

Assign a Shell Command Authorization Set for any network device :1 つのシェル コマンド許可セットを割り当て、それをすべてのネットワーク デバイスに適用します。

Assign a Shell Command Authorization Set on a per Network Device Group Basis :特定のシェル コマンド許可セットを特定の NDG に適用します。このオプションを選択すると、どの NDG がどのシェル コマンド許可セットに関連付けられているかを示すテーブルが作成されます。

Per User Command Authorization :特定の Cisco IOS コマンドおよび引数を、ユーザ レベルで許可または拒否できるようにします。

始める前に

AAA クライアントが、セキュリティ コントロール プロトコルとして TACACS+ を使用するように設定されていることを確認します。

Interface Configuration の Advanced Options セクションにある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっていることを確認します。

Interface Configuration の TACACS+ (Cisco) セクションにある User カラムで Shell (exec) オプションが選択されていることを確認します。

1 つ以上のシェル コマンド許可セットを事前に設定してあることを確認します。詳細な手順については、「コマンド許可セットの追加」を参照してください。

ユーザのシェル コマンド許可セット パラメータを指定するには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集の対象となるユーザ名がページ上部に表示されます。

ステップ 2 TACACS+ Settings テーブルにスクロール ダウンし、Shell Command Authorization Set 機能の領域を表示します。

ステップ 3 シェル コマンド許可セットを適用しない場合は、 None オプションを選択します(またはデフォルトをそのまま使用します)。

ステップ 4 シェル コマンド許可セットをグループ レベルで割り当てるには、 As Group オプションを選択します。

ステップ 5 設定済みの任意のネットワーク デバイスで、特定のシェル コマンド許可セットが有効になるように割り当てるには、次の手順を実行します。

a. Assign a Shell Command Authorization Set for any network device オプションを選択します。

b. 次に、そのオプションの直下にあるリストから、このユーザに適用するシェル コマンド許可セットを選択します。

ステップ 6 特定のシェル コマンド許可セットが、特定の NDG で有効になるように関連付けを作成するには、関連ごとに、次の手順を実行します。

a. Assign a Shell Command Authorization Set on a per Network Device Group Basis オプションを選択します。

b. Device Group と、関連付ける Command Set を選択します。

c. Add Association をクリックします。


ヒント 一覧に表示されていないネットワーク デバイス グループに対しても、適用するコマンド セットを選択できます。適用するコマンド セットを、NDG の <default> 項目に関連付けます。

NDG とそれに関連付けられたシェル コマンド許可セットが、テーブルにペアで表示されます。

ステップ 7 ユーザに特定の Cisco IOS コマンドおよび引数の使用を許可または拒否するよう定義するには、次の手順を実行します。

a. Per User Command Authorization オプションを選択します。

b. Unmatched Cisco IOS commands で、 Permit または Deny を選択します。

Permit を選択すると、ユーザはリストで指定されていないコマンドをすべて発行できます。Deny を選択すると、ユーザはリストで指定されたコマンドだけを発行できます。

c. 許可または拒否する特定のコマンドをリストに含めるには、 Command チェックボックスをオンにして、コマンドの名前を入力し、標準の permit または deny 構文を使用して引数を定義し、次にリストに含まれていない引数を許可するか拒否するかを選択します。


注意 これは高度な機能であるため、Cisco IOS コマンドについて熟知している管理者が使用するようにしてください。構文を正しく入力することは、管理者の責任です。Cisco Secure ACS が使用している、コマンド引数でのパターン マッチングについては、「パターン マッチングについて」を参照してください。


ヒント 複数のコマンドを入力するには、1 つのコマンドを指定するごとに、Submit をクリックする必要があります。入力済みのボックスの下に、新しいコマンド入力ボックスが表示されます。

ステップ 8 次のいずれか 1 つを実行します。

ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。

続けてユーザ アカウント オプションを指定する場合は、この章の手順を必要に応じて実行します。


 

PIX コマンド許可セットをユーザに対して設定する

ユーザの PIX コマンド許可セット パラメータを指定するには、この手順を実行します。次の 4 つのオプションがあります。

None :PIX コマンドは許可しません。

Group :このユーザには、グループ レベルの PIX コマンド許可セットを適用します。

Assign a PIX Command Authorization Set for any network device :1 つの PIX コマンド許可セットを割り当て、それをすべてのネットワーク デバイスに適用します。

Assign a PIX Command Authorization Set on a per Network Device Group Basis :特定の PIX コマンド許可セットを特定の NDG に適用します。

始める前に

AAA クライアントが、セキュリティ コントロール プロトコルとして TACACS+ を使用するように設定されていることを確認します。

Interface Configuration の Advanced Options セクションにある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっていることを確認します。

Interface Configuration の TACACS+ (Cisco) セクションで、User カラムで PIX Shell (pixShell) オプションが選択されていることを確認します。

1 つ以上の PIX コマンド許可セットを事前に設定してあることを確認します。詳細な手順については、「コマンド許可セットの追加」を参照してください。

ユーザの PIX コマンド許可セット パラメータを指定するには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集の対象となるユーザ名がページ上部に表示されます。

ステップ 2 TACACS+ Settings テーブルにスクロール ダウンし、PIX Command Authorization Set 機能の領域を表示します。

ステップ 3 PIX コマンド許可セットを適用しない場合は、 None オプションを選択します(またはデフォルトをそのまま使用します)。

ステップ 4 PIX コマンド許可セットをグループ レベルで割り当てるには、 As Group オプションを選択します。

ステップ 5 設定済みの任意のネットワーク デバイスで、特定の PIX コマンド許可セットが有効になるように割り当てるには、次の手順を実行します。

a. Assign a PIX Command Authorization Set for any network device オプションを選択します。

b. そのオプションの下部にあるリストから、このユーザに適用する PIX コマンド許可セットを選択します。

ステップ 6 特定の PIX コマンド許可セットが、特定の NDG で有効になるように関連付けを作成するには、関連ごとに次の手順を実行します。

a. Assign a PIX Command Authorization Set on a per Network Device Group Basis オプションを選択します。

b. Device Group と、関連付ける Command Set を選択します。

c. Add Association をクリックします。

関連付けられた NDG と PIX コマンド許可セットが、テーブルに表示されます。

ステップ 7 次のいずれか 1 つを実行します。

ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。

続けてユーザ アカウント オプションを指定する場合は、この章の手順を必要に応じて実行します。


 

デバイス管理コマンド許可をユーザに対して設定する

この手順では、ユーザに対してデバイス管理コマンド許可セット パラメータを指定します。デバイス管理コマンド許可セットは、Cisco Secure ACS を使用して許可するように設定されている Cisco デバイス管理アプリケーションにおけるタスクの許可をサポートしています。次の 4 つのオプションから、1 つを選択できます。

None :該当する Cisco デバイス管理アプリケーションで発行されたコマンドに対する許可は実行しません。

Group :このユーザには、該当するデバイス管理アプリケーションについてのグループ レベルのコマンド許可セットを適用します。

Assign a device-management application for any network device:該当するデバイス管理アプリケーションに 1 つのコマンド許可セットが割り当てられ、あらゆるネットワーク デバイスでの管理タスクに適用されます。

Assign a device-management application on a per Network Device Group Basis:該当するデバイス管理アプリケーションのコマンド許可セットを特定の NDG に適用できます。コマンド許可セットは、その NDG に属するネットワーク デバイスでのすべての管理タスクに適用されます。

始める前に

AAA クライアントが、セキュリティ コントロール プロトコルとして TACACS+ を使用するように設定されていることを確認します。

Interface Configuration の Advanced Options セクションにある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっていることを確認します。

Interface Configuration の TACACS+ (Cisco) セクションの New Services の下にある User カラムで、該当するデバイス管理アプリケーションに対応する新しい TACACS+ サービスが選択されていることを確認します。

コマンド許可セットを適用する場合は、デバイス管理コマンド許可セットを 1 つ以上設定しておく必要があります。詳細な手順については、「コマンド許可セットの追加」を参照してください。

デバイス管理アプリケーションのコマンド許可をユーザに対して指定するには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集の対象となるユーザ名がページ上部に表示されます。

ステップ 2 TACACS+ Settings テーブルにスクロール ダウンし、該当するデバイス管理コマンド許可機能の領域を表示します。

ステップ 3 該当するデバイス管理アプリケーションで実行されるアクションにコマンド許可を適用しない場合は、 None オプションを選択します(またはデフォルトをそのまま使用します)。

ステップ 4 該当するデバイス管理アプリケーションに関するコマンド許可をグループ レベルで割り当てるには、 As Group オプションを選択します。

ステップ 5 任意のネットワーク デバイスでのデバイス管理アプリケーションのアクションに対して、特定のコマンド許可セットが有効になるように割り当てるには、次の手順を実行します。

a. Assign a device-management application for any network device オプションを選択します。

b. 次に、そのオプションの直下にあるリストから、このユーザに適用するコマンド許可セットを選択します。

ステップ 6 特定のコマンド許可セットが、特定の NDG でのデバイス管理アプリケーションのアクションに対して有効になるように関連付けを作成するには、関連ごとに、次の手順を実行します。

a. Assign a device-management application on a per Network Device Group Basis オプションを選択します。

b. Device Group と、関連付ける device-management application を選択します。

c. Add Association をクリックします。

関連付けられた NDG とコマンド許可セットが、テーブルに表示されます。

ステップ 7 次のいずれか 1 つを実行します。

ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。

続けてユーザ アカウント オプションを指定する場合は、この章の手順を必要に応じて実行します。


 

Unknown Service をユーザに対して設定する

TACACS+ AAA クライアントが未知のサービスを許可する場合は、Checking this option will PERMIT all UNKNOWN Services の下にある Default (Undefined) Services チェックボックスをオンにします。

ユーザの Unknown Service 設定を行うには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集の対象となるユーザ名がページ上部に表示されます。

ステップ 2 スクロール ダウンして、Checking this option will PERMIT all UNKNOWN Services というヘッダーのテーブルを表示します。

ステップ 3 TACACS+ AAA クライアントがこのユーザに対して未知のサービスを許可するようにするには、 Default (Undefined) Services チェックボックスをオンにします。

ステップ 4 次のいずれか 1 つを実行します。

ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。

続けてユーザ アカウント オプションを指定する場合は、この章の手順を必要に応じて実行します。


 

高度な TACACS+ 設定(ユーザ)

ここで説明する内容は、AAA クライアントで TACACS+ を設定してある場合に適用されます。


ヒント Advanced TACACS+ Settings (User) テーブルが表示されない場合は、Interface ConfigurationTACACS+ (Cisco IOS)Advanced TACACS+ Features の順にクリックします。


この項では、次のトピックについて取り上げます。

「Enable Privilege オプションをユーザに対して設定する」

「TACACS+ Enable Password オプションをユーザに対して設定する」

「TACACS+ 発信パスワードをユーザに対して設定する」

Enable Privilege オプションをユーザに対して設定する

管理者のアクセスを制御するには、Exec セッションで TACACS+ Enable Control を使用します。一般的には、ルータの管理制御のために使用します。次の 4 つのオプションから、ユーザに割り当てる特権レベルを選択して指定できます。

Use Group Level Setting :グループ レベルで設定された特権を、このユーザに設定します。

No Enable Privilege :このユーザにはイネーブル特権を許可しません。


) これがデフォルト設定です。


Max Privilege for any AAA Client :このユーザが許可される任意の AAA クライアント上で、このユーザに適用される最大特権レベルを、リストから選択できます。

Define Max Privilege on a per-Network Device Group Basis :1 つ以上の NDG でこのユーザに最大特権レベルを関連付けることができます。


) 特権レベルの詳細については、AAA クライアントのドキュメンテーションを参照してください。



ヒント ユーザ特権レベルを NDG に割り当てる前に、Interface Configuration でその NDG を設定しておく必要があります。


ユーザの特権レベルを選択および指定するには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集の対象となるユーザ名がページ上部に表示されます。

ステップ 2 Advanced TACACS+ Settings テーブルの TACACS+ Enable Control で、次の 4 つの特権オプションのうち 1 つを選択します。

Use Group Level Setting

No Enable Privilege


) No Enable Privilege がデフォルト設定です。新規ユーザ アカウントの設定時は、これが選択されています。


Max Privilege for Any Access Server

Define Max Privilege on a per-Network Device Group Basis

ステップ 3 ステップ 2 で Max Privilege for Any Access Server を選択した場合は、対応するリストから適用する特権レベルを選択します。

ステップ 4 ステップ 2 で Define Max Privilege on a per-Network Device Group Basis を選択した場合は、次の手順に従って、NDG のそれぞれで特権レベルを定義します。

a. Device Group リストから、デバイス グループを選択します。


) 事前に設定されていないデバイス グループは、このリストに表示されません。


b. Privilege リストから、選択したデバイス グループに関連付ける特権レベルを選択します。

c. Add Association をクリックします。

デバイス グループを特定の特権レベルに関連付けるエントリが、テーブルに表示されます。

d. このユーザに関連付けるデバイス グループのそれぞれについて、ステップ a ~ステップ c を繰り返します。


ヒント エントリを削除するには、そのエントリを選択して Remove Associate をクリックします。

ステップ 5 次のいずれか 1 つを実行します。

ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。

続けてユーザ アカウント オプションを指定する場合は、この章の手順を必要に応じて実行します。


 

TACACS+ Enable Password オプションをユーザに対して設定する

ユーザに TACACS+ Enable Password オプションを設定する場合は、次の 3 つのオプションのいずれかを選択できます。

Use CiscoSecure PAP password

Use external database password

Use separate password

TACACS+ Enable Password オプションを設定するには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集の対象となるユーザ名がページ上部に表示されます。

ステップ 2 次のいずれか 1 つを実行します。

Password Authentication セクションで設定した情報を使用するには、 Use CiscoSecure PAP password を選択します。


) 基本パスワードの設定については、「基本ユーザ アカウントの追加」を参照してください。


外部データベース パスワードを使用するには、 Use external database password を選択し、次に、このユーザのイネーブル パスワードを認証するデータベースをリストから選択します。


) データベースのリストには、すでに設定してあるデータベースだけが表示されます。詳細については、「外部ユーザ データベースについて」を参照してください。


個別のパスワードを使用するには、 Use separate password をクリックし、このユーザのコントロール パスワードを入力し、さらに確認のために再度入力します。このパスワードは、通常の認証に追加して使用します。

ステップ 3 次のいずれか 1 つを実行します。

ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。

続けてユーザ アカウント オプションを指定する場合は、この章の手順を必要に応じて実行します。


 

TACACS+ 発信パスワードをユーザに対して設定する

TACACS+ 発信パスワードを使用すると、AAA クライアントは、発信認証を通して別の AAA クライアントに対する自己認証を行うことができます。発信認証は PAP、CHAP、MS-CHAP または ARAP とすることができ、その結果として Cisco Secure ACS パスワードが公表されることになります。デフォルトでは、ユーザの ASCII/PAP パスワードまたは CHAP/MS-CHAP/ARAP パスワードが使用されます。着信パスワードの効力低下を防ぐために、別の SENDAUTH パスワードを設定できます。


注意 発信パスワードは、TACACS+ SendAuth/OutBound パスワードの使用方法に精通している場合に限り使用するようにしてください。

ユーザの TACACS+ 発信パスワードを設定するには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集の対象となるユーザ名がページ上部に表示されます。

ステップ 2 このユーザの TACACS+ 発信パスワードを入力し、確認のために再度入力します。

ステップ 3 次のいずれか 1 つを実行します。

ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。

続けてユーザ アカウント オプションを指定する場合は、この章の手順を必要に応じて実行します。


 

RADIUS アトリビュート

RADIUS 認証のためのユーザ アトリビュートについては、汎用のものを IETF レベルで設定するか、またはベンダーごとに Vendor-Specific アトリビュート(VSA)を設定するかを選択できます。汎用アトリビュートについては、「IETF RADIUS パラメータをユーザに対して設定する」を参照してください。
Cisco Secure ACS には、出荷時に一般的な VSA が多数ロードされており、これらを設定および適用できます。追加のカスタム RADIUS VSA の作成については、「カスタム RADIUS ベンダーと VSA」を参照してください。

この項では、次のトピックについて取り上げます。

「IETF RADIUS パラメータをユーザに対して設定する」

「Cisco IOS/PIX RADIUS パラメータをユーザに対して設定する」

「Cisco Aironet RADIUS パラメータをユーザに対して設定する」

「Ascend RADIUS パラメータをユーザに対して設定する」

「Cisco VPN 3000 Concentrator RADIUS パラメータをユーザに対して設定する」

「Cisco VPN 5000 Concentrator RADIUS パラメータをユーザに対して設定する」

「Microsoft RADIUS パラメータをユーザに対して設定する」

「Nortel RADIUS パラメータをユーザに対して設定する」

「Juniper RADIUS パラメータをユーザに対して設定する」

「BBSM RADIUS パラメータをユーザに対して設定する」

「カスタム RADIUS アトリビュートをユーザに対して設定する」

IETF RADIUS パラメータをユーザに対して設定する

RADIUS アトリビュートは、要求を行っている AAA クライアントへ、Cisco Secure ACS からユーザのプロファイルとして送信されます。

これらのパラメータは、次の条件をすべて満たす場合に限り表示されます。

Network Configuration で、AAA クライアントが RADIUS プロトコルのいずれかを使用するように設定されている。

Interface Configuration セクションの Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。

Interface Configuration セクションの RADIUS (IETF) で、User-level IETF RADIUS アトリビュートがイネーブルになっている。


) これらのアトリビュートを HTML インターフェイスで表示または非表示にする方法については、「RADIUS のプロトコル設定オプション」を参照してください。



) RADIUS アトリビュートのリストと説明については、付録 C「RADIUS アトリビュート」、または RADIUS を使用する特定のネットワーク デバイスのドキュメンテーションを参照してください。


現在のユーザの許可として適用される IETF RADIUS アトリビュートを設定するには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集の対象となるユーザ名がページ上部に表示されます。

ステップ 2 IETF RADIUS テーブルで、現在のユーザに許可する必要があるアトリビュートのそれぞれについて、アトリビュートの隣にあるチェックボックスをオンにし、さらにその隣のフィールド内でアトリビュートの許可を定義します。

ステップ 3 次のいずれか 1 つを実行します。

ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。

続けてユーザ アカウント オプションを指定する場合は、この章の手順を必要に応じて実行します。


 

Cisco IOS/PIX RADIUS パラメータをユーザに対して設定する

Cisco IOS RADIUS パラメータは、次の条件をすべて満たす場合に限り表示されます。

Network Configuration で、AAA クライアントが RADIUS (Cisco IOS/PIX) を使用するように設定されている。

Interface Configuration セクションの Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。

Interface Configuration の RADIUS (Cisco IOS/PIX) で、User-level RADIUS (Cisco IOS/PIX) アトリビュートがイネーブルになっている。


) Cisco IOS RADIUS VSA を表示または非表示にする方法については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のユーザに対する許可として適用される VSA は、それに関連付けられている AAA クライアントを削除または置換しても保持されています。ただし、この(ベンダー)タイプの AAA クライアントが設定されていない場合、その VSA 設定はユーザ設定インターフェイスには表示されません。


Cisco IOS RADIUS は、Cisco IOS VSA だけを表します。IETF RADIUS アトリビュートと Cisco IOS RADIUS アトリビュートの両方を設定する必要があります。

現在のユーザの許可として適用される Cisco IOS RADIUS アトリビュートを設定してイネーブルにするには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集の対象となるユーザ名がページ上部に表示されます。

ステップ 2 Cisco IOS RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが正しく設定されていることを確認します。IETF RADIUS アトリビュートの設定の詳細については、「IETF RADIUS パラメータをユーザに対して設定する」を参照してください。

ステップ 3 [009\001] cisco-av-pair アトリビュートを使用して許可を指定する場合は、アトリビュートの隣にあるチェックボックスをオンにし、次にテキスト ボックスにアトリビュートと値のペアを入力します。各アトリビュート値ペアは、Enter キーを押して区切ります。

たとえば、現在のユーザ プロファイルが Network Admission Control(NAC; ネットワーク アドミッション コントロール)クライアントに対応し、Cisco Secure ACS が常に、該当するグループ プロファイルに含まれる値とは異なっている必要のある status-query-timeout アトリビュート値を NAC クライアントに割り当てる場合は、その値を次のように指定することもできます。

status-query-timeout=1200
 

ステップ 4 他の Cisco IOS/PIX RADIUS アトリビュートを使用する場合は、対応するチェックボックスをオンにし、隣にあるテキスト ボックスで必要な値を指定します。

ステップ 5 次のいずれか 1 つを実行します。

ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。

続けてユーザ アカウント オプションを指定する場合は、この章の手順を必要に応じて実行します。


 

Cisco Aironet RADIUS パラメータをユーザに対して設定する

単一の Cisco Aironet RADIUS VSA、つまり Cisco-Aironet-Session-Timeout は、バーチャル VSA です。Cisco Aironet Access Point からの要求に応答するときに、IETF RADIUS Session-Timeout アトリビュート(27)の特別実装(つまり、再マッピング)として機能します。これを使用すると、無線デバイス経由と有線デバイス経由の両方でユーザが接続できるようにする必要がある場合に、異なるセッション タイムアウト値を指定できます。この機能を使用して WLAN 接続向けに第 2 のタイムアウト値を指定すると、WLAN 接続(通常は分単位で計測)に対して標準のタイムアウト値(通常は時間単位で計測)を使用しなければならない場合に起こり得る問題が回避されます。常に Cisco Aironet Access Point だけで接続する特定のユーザに対しては、Cisco-Aironet-Session-Timeout を使用する必要はありません。この設定は、有線クライアント経由と無線クライアント経由の両方で接続する可能性があるユーザに対して使用します。

たとえば、あるユーザに対して Cisco-Aironet-Session-Timeout を 600 秒(10 分)に、IETF RADIUS Session-Timeout を 3 時間に設定するとします。このユーザが VPN 経由で接続すると、Cisco Secure ACS はタイムアウト値として 3 時間を使用します。一方、このユーザが Cisco Aironet Access Point 経由で接続すると、Cisco Secure ACS は、Aironet AP からの認証要求に応答し、IETF RADIUS Session-Timeout アトリビュートに 600 秒を送信します。このように、
Cisco-Aironet-Session-Timeout アトリビュートが設定されていれば、エンドユーザ クライアントが無線デバイスと Cisco Aironet Access Point のどちらであるかに応じて、異なるタイムアウト値を送信できます。

Cisco Aironet RADIUS パラメータは、次の条件をすべて満たす場合に限り、User Setup ページに表示されます。

Network Configuration で、AAA クライアントが RADIUS (Cisco Aironet) を使用するように設定されている。

Interface Configuration セクションの Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。

Interface Configuration セクションの RADIUS (Cisco Aironet) で、User-level RADIUS (Cisco Aironet) アトリビュートがイネーブルになっている。


) Cisco Aironet RADIUS VSA を表示または非表示にする方法については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のユーザに対する許可として適用される VSA は、それに関連付けられている AAA クライアントを削除または置換しても保持されています。ただし、この(ベンダー)タイプの AAA クライアントが設定されていない場合、その VSA 設定はユーザ設定インターフェイスには表示されません。


現在のユーザの許可として適用される Cisco Aironet RADIUS アトリビュートを設定してイネーブルにするには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集の対象となるユーザ名がページ上部に表示されます。

ステップ 2 Cisco Aironet RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが正しく設定されていることを確認します。IETF RADIUS アトリビュートの設定の詳細については、「IETF RADIUS パラメータをユーザに対して設定する」を参照してください。

ステップ 3 Cisco Aironet RADIUS Attributes テーブルで、 [5842\001] Cisco-Aironet-Session-Timeout チェックボックスをオンにします。

ステップ 4 [5842\001] Cisco-Aironet-Session-Timeout ボックスに、セッション タイムアウト値を秒単位で入力します。この値は、AAA クライアントが RADIUS(Cisco Aironet)認証オプションを使用するように Network Configuration で設定されている場合に、Cisco Secure ACS によって IETF RADIUS Session-Timeout (27) アトリビュートとして送信されます。推奨値は 600 秒です。

IETF RADIUS Session-Timeout アトリビュートの詳細については、 付録 C「RADIUS アトリビュート」 または使用している AAA クライアントのマニュアルを参照してください。

ステップ 5 次のいずれか 1 つを実行します。

ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。

続けてユーザ アカウント オプションを指定する場合は、この章の手順を必要に応じて実行します。


 

Ascend RADIUS パラメータをユーザに対して設定する

Ascend RADIUS パラメータは、次の条件をすべて満たす場合に限り表示されます。

Network Configuration で、AAA クライアントが RADIUS (Ascend) を使用するように設定されている。

Interface Configuration セクションの Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。

Interface Configuration セクションの RADIUS (Ascend) で、適用する User-level RADIUS (Ascend) アトリビュートがイネーブルになっている。

RADIUS (Ascend) は、Ascend 独自のアトリビュートを表します。IETF RADIUS アトリビュートと Ascend RADIUS アトリビュートの両方を設定する必要があります。このような独自アトリビュートを選択すると、IETF アトリビュートが無効になります。

RADIUS について表示されるデフォルトのアトリビュート設定は、 Ascend-Remote-Addr です。


) Ascend RADIUS アトリビュートを表示または非表示にする方法については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のユーザに対する許可として適用される VSA は、それに関連付けられている AAA クライアントを削除または置換しても保持されています。ただし、この(ベンダー)タイプの AAA クライアントが設定されていない場合、その VSA 設定はユーザ設定インターフェイスには表示されません。


現在のユーザの許可として適用される Ascend RADIUS アトリビュートを設定してイネーブルにするには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集の対象となるユーザ名がページ上部に表示されます。

ステップ 2 Ascend RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが正しく設定されていることを確認します。IETF RADIUS アトリビュートの設定の詳細については、「IETF RADIUS パラメータをユーザに対して設定する」を参照してください。

ステップ 3 Ascend RADIUS Attributes テーブルで、ユーザに許可するアトリビュートを指定するには、次の手順を実行します。

a. 特定のアトリビュートの隣にあるチェックボックスをオンにします。

b. さらに、隣のフィールドで、そのアトリビュートに対する認証を定義します。

c. 必要に応じて、アトリビュートの選択と定義を続けます。

アトリビュートの詳細については、 付録 C「RADIUS アトリビュート」 または使用している AAA クライアントのマニュアルを参照してください。

ステップ 4 次のいずれか 1 つを実行します。

ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。

続けてユーザ アカウント オプションを指定する場合は、この章の手順を必要に応じて実行します。


 

Cisco VPN 3000 Concentrator RADIUS パラメータをユーザに対して設定する

Cisco VPN 3000 シリーズのコンセントレータ経由でネットワークにアクセスするユーザの Microsoft MPPE 設定値を制御するには、CVPN3000-PPTP-Encryption (VSA 20) アトリビュートと CVPN3000-L2TP-Encryption (VSA 21) アトリビュートを使用します。CVPN3000-PPTP-Encryption (VSA 20) と
CVPN3000-L2TP-Encryption (VSA 21) の設定値は、Microsoft MPPE RADIUS 設定値よりも優先されます。このどちらかのアトリビュートがイネーブルになっている場合、Cisco Secure ACS は、送信 RADIUS (Microsoft) アトリビュートに送信する値を決定して、RADIUS (Cisco VPN 3000) アトリビュートと一緒に送信します。この動作は、RADIUS (Microsoft) アトリビュートが Cisco Secure ACS HTML インターフェイスでイネーブルになっているかどうかということや、これらのアトリビュートの設定内容には依存しません。

Cisco VPN 3000 Concentrator RADIUS アトリビュートは、次の条件をすべて満たす場合に限り表示されます。

Network Configuration で、AAA クライアントが RADIUS (Cisco VPN 3000) を使用するように設定されている。

Interface Configuration セクションの Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。

Interface Configuration セクションの RADIUS (Cisco VPN 3000) で、適用する User-level RADIUS (Cisco VPN 3000) アトリビュートがイネーブルになっている。

Cisco VPN 3000 Concentrator RADIUS はCisco VPN 3000 Concentrator VSA だけを表します。IETF RADIUS アトリビュートと Cisco VPN 3000 Concentrator RADIUS アトリビュートの両方を設定する必要があります。


) Cisco VPN 5000 Concentrator RADIUS アトリビュートを表示または非表示にする方法については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のユーザに対する許可として適用される VSA は、それに関連付けられている AAA クライアントを削除または置換しても保持されています。ただし、この(ベンダー)タイプの AAA クライアントが設定されていない場合、その VSA 設定はユーザ設定インターフェイスには表示されません。


現在のユーザの許可として適用される Cisco VPN 3000 Concentrator RADIUS アトリビュートを設定してイネーブルにするには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集の対象となるユーザ名がページ上部に表示されます。

ステップ 2 Cisco VPN 3000 Concentrator RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが正しく設定されていることを確認します。

IETF RADIUS アトリビュートの設定の詳細については、「IETF RADIUS パラメータをユーザに対して設定する」を参照してください。

ステップ 3 Cisco VPN 3000 Concentrator Attribute テーブルで、ユーザに許可するアトリビュートを指定するには、次の手順を実行します。

a. 特定のアトリビュートの隣にあるチェックボックスをオンにします。

b. さらに、隣のフィールドで、そのアトリビュートに対する認証を定義します。

c. 必要に応じて、アトリビュートの選択と定義を続けます。

アトリビュートの詳細については、 付録 C「RADIUS アトリビュート」 または使用している AAA クライアントのマニュアルを参照してください。

ステップ 4 次のいずれか 1 つを実行します。

ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。

続けてユーザ アカウント オプションを指定する場合は、この章の手順を必要に応じて実行します。


 

Cisco VPN 5000 Concentrator RADIUS パラメータをユーザに対して設定する

Cisco VPN 5000 Concentrator RADIUS アトリビュートは、次の条件をすべて満たす場合に限り表示されます。

Network Configuration で、AAA クライアントが RADIUS (Cisco VPN 5000) を使用するように設定されている。

Interface Configuration セクションの Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。

Interface Configuration セクションの RADIUS (Cisco VPN 5000) で、適用する User-level RADIUS (Cisco VPN 5000) アトリビュートがイネーブルになっている。

Cisco VPN 5000 Concentrator RADIUS はCisco VPN 5000 Concentrator VSA だけを表します。IETF RADIUS アトリビュートと Cisco VPN 5000 Concentrator RADIUS アトリビュートの両方を設定する必要があります。


) Cisco VPN 5000 Concentrator RADIUS アトリビュートを表示または非表示にする方法については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のユーザに対する許可として適用される VSA は、それに関連付けられている AAA クライアントを削除または置換しても保持されています。ただし、この(ベンダー)タイプの AAA クライアントが設定されていない場合、その VSA 設定はユーザ設定インターフェイスには表示されません。


現在のユーザの許可として適用される Cisco VPN 5000 Concentrator RADIUS アトリビュートを設定してイネーブルにするには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集の対象となるユーザ名がページ上部に表示されます。

ステップ 2 Cisco VPN 5000 Concentrator RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが正しく設定されていることを確認します。IETF RADIUS アトリビュートの設定の詳細については、「IETF RADIUS パラメータをユーザに対して設定する」を参照してください。

ステップ 3 Cisco VPN 5000 Concentrator Attribute テーブルで、ユーザに許可するアトリビュートを指定するには、次の手順を実行します。

a. 特定のアトリビュートの隣にあるチェックボックスをオンにします。

b. さらに、隣のフィールドで、そのアトリビュートに対する認証を定義します。

c. 必要に応じて、アトリビュートの選択と定義を続けます。

アトリビュートの詳細については、 付録 C「RADIUS アトリビュート」 または使用している AAA クライアントのマニュアルを参照してください。

ステップ 4 次のいずれか 1 つを実行します。

ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。

続けてユーザ アカウント オプションを指定する場合は、この章の手順を必要に応じて実行します。


 

Microsoft RADIUS パラメータをユーザに対して設定する

Microsoft RADIUS では、Point-to-Point(PPP; ポイントツーポイント)リンクを暗号化するために Microsoft によって開発された暗号化技術である、Microsoft Point-to-Point Encryption(MPPE)をサポートする VSA が提供されます。これらの PPP 接続は、ダイヤルイン回線または Virtual Private Network(VPN; バーチャル プライベート ネットワーク)トンネル経由で可能です。

Cisco VPN 3000 シリーズのコンセントレータ経由でネットワークにアクセスするユーザの Microsoft MPPE 設定値を制御するには、CVPN3000-PPTP-Encryption (VSA 20) アトリビュートと CVPN3000-L2TP-Encryption (VSA 21) アトリビュートを使用します。CVPN3000-PPTP-Encryption (VSA 20) と CVPN3000-L2TP- Encryption (VSA 21) の設定値は、Microsoft MPPE RADIUS 設定値よりも優先されます。このどちらかのアトリビュートがイネーブルになっている場合、Cisco Secure ACS は、送信 RADIUS (Microsoft) アトリビュートに送信する値を決定して、RADIUS (Cisco VPN 3000) アトリビュートと一緒に送信します。この動作は、RADIUS (Microsoft) アトリビュートが Cisco Secure ACS HTML インターフェイスでイネーブルになっているかどうかということや、これらのアトリビュートの設定内容には依存しません。

Microsoft RADIUS アトリビュートは、次の条件をすべて満たす場合に限り表示されます。

Microsoft RADIUS VSA をサポートする RADIUS プロトコルを使用する AAA クライアントが、Network Configuration 内で設定されている。

Interface Configuration セクションの Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。

Interface Configuration セクションの RADIUS (Microsoft) で、適用する User-level RADIUS (Microsoft) アトリビュートがイネーブルになっている。

次の Cisco Secure ACS RADIUS プロトコルは、Microsoft RADIUS VSA をサポートします。

Cisco IOS

Cisco VPN 3000

Cisco VPN 5000

Ascend

Microsoft RADIUS は Microsoft VSA だけを表します。IETF RADIUS アトリビュートと Microsoft RADIUS アトリビュートの両方を設定する必要があります。


) Microsoft RADIUS アトリビュートを表示または非表示にする方法については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のユーザに対する許可として適用される VSA は、それに関連付けられている AAA クライアントを削除または置換しても保持されています。ただし、この(ベンダー)タイプの AAA クライアントが設定されていない場合、その VSA 設定はユーザ設定インターフェイスには表示されません。


現在のユーザの許可として適用される Microsoft RADIUS アトリビュートを設定してイネーブルにするには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集の対象となるユーザ名がページ上部に表示されます。

ステップ 2 Cisco IOS RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが正しく設定されていることを確認します。IETF RADIUS アトリビュートの設定の詳細については、「IETF RADIUS パラメータをユーザに対して設定する」を参照してください。

ステップ 3 Microsoft RADIUS Attributes テーブルで、ユーザに許可するアトリビュートを指定するには、次の手順を実行します。

a. 特定のアトリビュートの隣にあるチェックボックスをオンにします。

b. さらに、隣のフィールドで、そのアトリビュートに対する認証を定義します。

c. 必要に応じて、アトリビュートの選択と定義を続けます。

アトリビュートの詳細については、 付録 C「RADIUS アトリビュート」 または使用している AAA クライアントのマニュアルを参照してください。


) MS-CHAP-MPPE-Keys アトリビュート値は Cisco Secure ACS によって自動生成されます。HTML インターフェイスで設定する値はありません。


ステップ 4 次のいずれか 1 つを実行します。

ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。

続けてユーザ アカウント オプションを指定する場合は、この章の手順を必要に応じて実行します。


 

Nortel RADIUS パラメータをユーザに対して設定する

Nortel RADIUS パラメータは、次の条件をすべて満たす場合に限り表示されます。

Network Configuration で、AAA クライアントが RADIUS (Nortel) を使用するように設定されている。

Interface Configuration セクションの Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。

Interface Configuration セクションの RADIUS (Nortel) で、適用する User-level RADIUS (Nortel) アトリビュートがイネーブルになっている。

RADIUS は Nortel 所有のアトリビュートを表します。IETF RADIUS アトリビュートと Nortel RADIUS アトリビュートの両方を設定する必要があります。このような独自アトリビュートを選択すると、IETF アトリビュートが無効になります。


) Nortel RADIUS アトリビュートを表示または非表示にする方法については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のユーザに対する許可として適用される VSA は、それに関連付けられている AAA クライアントを削除または置換しても保持されています。ただし、この(ベンダー)タイプの AAA クライアントが設定されていない場合、その VSA 設定はユーザ設定インターフェイスには表示されません。


現在のユーザの許可として適用される Nortel RADIUS アトリビュートを設定してイネーブルにするには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集の対象となるユーザ名がページ上部に表示されます。

ステップ 2 Nortel RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが正しく設定されていることを確認します。IETF RADIUS アトリビュートの設定の詳細については、「IETF RADIUS パラメータをユーザに対して設定する」を参照してください。

ステップ 3 Nortel RADIUS Attributes テーブルで、ユーザに許可するアトリビュートを指定するには、次の手順を実行します。

a. 特定のアトリビュートの隣にあるチェックボックスをオンにします。

b. さらに、隣のフィールドで、そのアトリビュートに対する認証を定義します。

c. 必要に応じて、アトリビュートの選択と定義を続けます。

アトリビュートの詳細については、 付録 C「RADIUS アトリビュート」 または使用している AAA クライアントのマニュアルを参照してください。

ステップ 4 次のいずれか 1 つを実行します。

ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。

続けてユーザ アカウント オプションを指定する場合は、この章の手順を必要に応じて実行します。


 

Juniper RADIUS パラメータをユーザに対して設定する

Juniper RADIUS パラメータは、次の条件をすべて満たす場合に限り表示されます。

Network Configuration で、AAA クライアントが RADIUS (Juniper) を使用するように設定されている。

Interface Configuration セクションの Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。

Interface Configuration セクションの RADIUS (Juniper) で、適用する User-level RADIUS (Juniper) アトリビュートがイネーブルになっている。

Juniper RADIUS は Juniper 独自のアトリビュートを表します。IETF RADIUS アトリビュートと Juniper RADIUS アトリビュートの両方を設定する必要があります。このような独自アトリビュートを選択すると、IETF アトリビュートが無効になります。


) Juniper RADIUS アトリビュートを表示または非表示にする方法については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のユーザに対する許可として適用される VSA は、それに関連付けられている AAA クライアントを削除または置換しても保持されています。ただし、この(ベンダー)タイプの AAA クライアントが設定されていない場合、その VSA 設定はユーザ設定インターフェイスには表示されません。


現在のユーザの許可として適用される Juniper RADIUS アトリビュートを設定してイネーブルにするには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集の対象となるユーザ名がページ上部に表示されます。

ステップ 2 Juniper RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが正しく設定されていることを確認します。IETF RADIUS アトリビュートの設定の詳細については、「IETF RADIUS パラメータをユーザに対して設定する」を参照してください。

ステップ 3 Juniper RADIUS Attributes テーブルで、ユーザに許可するアトリビュートを指定するには、次の手順を実行します。

a. 特定のアトリビュートの隣にあるチェックボックスをオンにします。

b. さらに、隣のフィールドで、そのアトリビュートに対する認証を定義します。

c. 必要に応じて、アトリビュートの選択と定義を続けます。

アトリビュートの詳細については、 付録 C「RADIUS アトリビュート」 または使用している AAA クライアントのマニュアルを参照してください。

ステップ 4 次のいずれか 1 つを実行します。

ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。

続けてユーザ アカウント オプションを指定する場合は、この章の手順を必要に応じて実行します。


 

BBSM RADIUS パラメータをユーザに対して設定する

BBSM RADIUS パラメータは、次の条件をすべて満たす場合に限り表示されます。

Network Configuration で、AAA クライアントが RADIUS (BBSM) を使用するように設定されている。

Interface Configuration セクションの Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。

Interface Configuration セクションの RADIUS (BBSM) で、適用する User-level RADIUS (BBSM) アトリビュートがイネーブルになっている。

BBSM RADIUS は BBSM 独自のアトリビュートを表します。IETF RADIUS アトリビュートと BBSM RADIUS アトリビュートの両方を設定する必要があります。このような独自アトリビュートを選択すると、IETF アトリビュートが無効になります。


) BBSM RADIUS アトリビュートを表示または非表示にする方法については、
「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のユーザに対する許可として適用される VSA は、それに関連付けられている AAA クライアントを削除または置換しても保持されています。ただし、この(ベンダー)タイプの AAA クライアントが設定されていない場合、その VSA 設定はユーザ設定インターフェイスには表示されません。


現在のユーザの許可として適用される BBSM RADIUS アトリビュートを設定してイネーブルにするには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集の対象となるユーザ名がページ上部に表示されます。

ステップ 2 BBSM RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが正しく設定されていることを確認します。IETF RADIUS アトリビュートの設定の詳細については、「IETF RADIUS パラメータをユーザに対して設定する」を参照してください。

ステップ 3 BBSM RADIUS Attributes テーブルで、ユーザに許可するアトリビュートを指定するには、次の手順を実行します。

a. 特定のアトリビュートの隣にあるチェックボックスをオンにします。

b. さらに、隣のフィールドで、そのアトリビュートに対する認証を定義します。

c. 必要に応じて、アトリビュートの選択と定義を続けます。

アトリビュートの詳細については、 付録 C「RADIUS アトリビュート」 または使用している AAA クライアントのマニュアルを参照してください。

ステップ 4 次のいずれか 1 つを実行します。

ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。

続けてユーザ アカウント オプションを指定する場合は、この章の手順を必要に応じて実行します。


 

カスタム RADIUS アトリビュートをユーザに対して設定する

RADIUS パラメータは、次の条件をすべて満たす場合に限り表示されます。

カスタム RADIUS VSA を定義および設定してある(ユーザ定義の RADIUS VSA の作成については、「カスタム RADIUS ベンダーと VSA」を参照してください)。

カスタム VSA をサポートする RADIUS プロトコルを使用する AAA クライアントが、Network Configuration 内で設定されている。

Interface Configuration セクションの Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。

Interface Configuration セクションの RADIUS ( custom name ) で、適用する User-level RADIUS ( custom name ) アトリビュートがイネーブルになっている。

IETF RADIUS アトリビュートと カスタム RADIUS アトリビュートの両方を設定する必要があります。このような独自アトリビュートを選択すると、IETF アトリビュートが無効になります。

現在のユーザの許可として適用される カスタム RADIUS アトリビュートを設定してイネーブルにするには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集の対象となるユーザ名がページ上部に表示されます。

ステップ 2 カスタム RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが正しく設定されていることを確認します。IETF RADIUS アトリビュートの設定の詳細については、「IETF RADIUS パラメータをユーザに対して設定する」を参照してください。

ステップ 3 RADIUS custom name Attributes テーブルで、ユーザに許可するアトリビュートを指定するには、次の手順を実行します。

a. 特定のアトリビュートの隣にあるチェックボックスをオンにします。

b. さらに、隣のフィールドで、必要に応じてそのアトリビュートに対する認証を定義します。

c. 必要に応じて、アトリビュートの選択と定義を続けます。

アトリビュートの詳細については、 付録 C「RADIUS アトリビュート」 または使用している AAA クライアントのマニュアルを参照してください。

ステップ 4 次のいずれか 1 つを実行します。

ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。

続けてユーザ アカウント オプションを指定する場合は、この章の手順を必要に応じて実行します。


 

ユーザ管理

ここでは、User Setup セクションを使用して、さまざまなユーザ アカウント管理タスクを実行する方法について説明します。

この項では、次のトピックについて取り上げます。

「全ユーザのリスト表示」

「ユーザの検索」

「ユーザ アカウントの無効化」

「ユーザ アカウントの削除」

「ユーザ セッション割当量カウンタのリセット」

「ログイン失敗後のユーザ アカウントのリセット」

「ユーザ設定の保存」

全ユーザのリスト表示

User リストには、すべてのユーザ アカウント(有効のものと無効のもの)が表示されます。このリストには、ユーザごとに、ユーザ名、ステータス、およびそのユーザが属するグループが表示されます。

ユーザ名は、データベースに入力された順序で表示されます。このリストはソートできません。

すべてのユーザ アカウントのリストを表示するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの User Setup をクリックします。

User Setup Select ページが開きます。

ステップ 2 List All Users をクリックします。

右側の表示領域に、User リストが表示されます。

ステップ 3 個々のユーザの情報を表示または編集するには、右側のウィンドウでユーザ名をクリックします。

そのユーザのアカウント情報が表示されます。


 

ユーザの検索

ユーザを検索するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの User Setup をクリックします。

User Setup Select ページが開きます。

ステップ 2 User ボックスに名前を入力し、 Find をクリックします。


ヒント このボックスでは、ワイルドカード文字(*)を使用できます。


ヒント 特定の文字または数値で始まるユーザ名のリストを表示するには、英数字リストから文字または数値をクリックします。名前がその文字または数値で始まるユーザのリストが、右側の表示領域に表示されます。

ユーザ名、ステータス(イネーブルまたはディセーブル)、およびこのユーザが属するグループが、右側の表示領域に表示されます。

ステップ 3 ユーザに関する情報を表示または編集するには、右側の表示領域でそのユーザ名をクリックします。

そのユーザのアカウント情報が表示されます。


 

ユーザ アカウントの無効化

この手順では、CiscoSecure ユーザ データベースにあるユーザ アカウントを手動で無効にする方法を詳述します。


) ユーザ アカウントを自動的に無効にする条件の設定については、「ユーザ アカウントの無効化オプションの設定」を参照してください。



) これは、パスワード エージングによるアカウントの有効期限とは異なります。パスワード エージングは個別のユーザに対してではなく、グループに対してだけ定義されます。


ユーザ アカウントを無効にするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの User Setup をクリックします。

User Setup Select ページが開きます。

ステップ 2 User ボックスに、そのアカウントを無効にするユーザの名前を入力します。

ステップ 3 Add/Edit をクリックします。

User Setup Edit ページが開きます。編集の対象となるユーザ名がページ上部に表示されます。

ステップ 4 Account Disabled チェックボックスをオンにします。

ステップ 5 ページの下部にある Submit をクリックします。

指定したユーザ アカウントが無効になります。


 

ユーザ アカウントの削除

HTML インターフェイスを使用してユーザ アカウントを 1 つずつ削除できます。


) Unknown User ポリシーを使用して認証を行い、ユーザ アカウントを削除することによりユーザ アクセスを拒否する場合は、外部ユーザ データベースからユーザ アカウントを削除する必要もあります。この操作によって、ユーザが次回にログインを試みたときに CiscoSecure ユーザ データベースにユーザ名が自動的に再追加されることが防止されます。



ヒント ユーザ アカウントのバッチを削除する場合は、アクション コード 101 の RDBMS 同期化機能を使用します(詳細については、「RDBMS 同期化」を参照してください)。


ユーザ アカウントを削除するには、次の手順を実行します。


ステップ 1 User Setup をクリックします。

HTML インターフェイスの User Setup Select ページが表示されます。

ステップ 2 User ボックスで、削除するユーザ名を完全な形式で入力します。


) または、List All Users をクリックし、表示されたリストからユーザを選択することもできます。


ステップ 3 Add/Edit をクリックします。

ステップ 4 User Setup ページの一番下にある Delete をクリックします。


) Delete ボタンは、ユーザ情報の編集時にだけ表示されます。ユーザ名を追加するときには表示されません。


ユーザの削除を確認するポップアップ ウィンドウが表示されます。

ステップ 5 OK をクリックします。

ユーザ アカウントが CiscoSecure ユーザ データベースから削除されます。


 

ユーザ セッション割当量カウンタのリセット

ユーザがセッションの割当量を超過する前または後に、そのユーザのセッション割当量カウンタをリセットできます。

現在のユーザの使用割当量カウンタをリセットするには、次の手順を実行します。


ステップ 1 User Setup をクリックします。

HTML インターフェイスの Select ページが表示されます。

ステップ 2 User ボックスに、セッション割当量カウンタをリセットするユーザのユーザ名を完全な形式で入力します。


) または、List All Users をクリックし、表示されたリストからユーザを選択することもできます。


ステップ 3 Add/Edit をクリックします。

ステップ 4 Session Quotas セクションで、 Reset All Counters on submit チェックボックスをオンにします。

ステップ 5 ブラウザ ページの下部にある Submit をクリックします。

このユーザのセッション割当量カウンタがリセットされます。User Setup Select ページが表示されます。


 

ログイン失敗後のユーザ アカウントのリセット

ユーザのログインが成功しないうちにログイン失敗カウントを超過したために、アカウントが無効になった場合は、この手順を使用してください。

ログイン失敗後にユーザ アカウントをリセットするには、次の手順を実行します。


ステップ 1 User Setup をクリックします。

HTML インターフェイスの User Setup Select ページが表示されます。

ステップ 2 User ボックスに、アカウントをリセットするユーザ名を完全な形式で入力します。


) または、List All Users をクリックし、表示されたリストからユーザを選択することもできます。


ステップ 3 Add/Edit をクリックします。

ステップ 4 Account Disable テーブルで、 Reset current failed attempts count on submit チェックボックスをオンにし、次に Submit をクリックします。

Failed attempts since last successful login: カウンタが 0(ゼロ)にリセットされ、システムによってアカウントが再度有効にされます。


) このカウンタには、このユーザが最後にログインに成功して以降、失敗したログイン試行回数が表示されます。



) Windows のユーザ データベースを使用してユーザが認証される場合、この期限満了情報は、Windows のユーザ アカウント内の情報とは別に追加されます。ここで変更を行っても、Windows での設定内容は変更されません。



 

ユーザ設定の保存

ユーザの設定が完了した後には、必ず内容を保存してください。

現在のユーザの設定を保存するには、次の手順を実行します。


ステップ 1 ユーザ アカウント設定を保存するには、 Submit をクリックします。

ステップ 2 変更が適用されたことを確認するには、 User ボックスにユーザ名を入力し、 Add/Edit をクリックして、表示された設定で確認を行います。