Cisco Secure ACS ユーザ ガイド Windows版 version 4.0
Web インターフェイスの使用方法
Web インターフェイスの使用方法
発行日;2012/02/02 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

Web インターフェイスの使用方法

管理セッション

管理セッションと HTTP プロキシ

ファイアウォールを通した管理セッション

NAT ゲートウェイを通した管理セッション

Web インターフェイスへのアクセス

Web インターフェイスからのログオフ

インターフェイス設計の概念

ネットワーク アクセス プロファイルの概要

ユーザとグループの関係

ユーザごとの機能またはグループごとの機能

ユーザ データの設定オプション

新しいユーザ データ フィールドの設定

高度なオプション

ACS ユーザ インターフェイスの高度なオプションの設定

TACACS+ のプロトコル設定オプション

TACACS+ オプションの設定

RADIUS のプロトコル設定オプション

IETF RADIUS アトリビュートのプロトコル設定オプションの設定

非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定

Web インターフェイスの使用方法

Cisco Secure Access Control Server Release 4.0 for Windows(以降は ACS と表記)の Web インターフェイスは、使いやすさに重点を置いた設計で開発されました。ACS は、ネットワーク セキュリティの複雑な概念を管理者の視点から表します。ACS Web インターフェイスの設定は、ACS の Interface Configuration セクションを使用して行います。その際、使用しない機能を画面から隠し、実際の構成に応じてフィールドを追加することで、シンプルな画面になるようにインターフェイスを調整できます。


) このセクションに戻って、初期設定の見直しと確認を行うことを推奨します。ACS の設定は、正しくはインターフェイスの設定から始めますが、最初に非表示にする必要があると考えた Web インターフェイスのセクションが、後で設定が必要になる場合があります。



ヒント ACS Web インターフェイスの一部が表示されていなかったり、表示が正常でない場合は、Interface Configuration セクションに戻り、問題のある部分がアクティブになっているかどうかを確認してください。


この章は、次の項で構成されています。

「管理セッション」

「インターフェイス設計の概念」

「ユーザ データの設定オプション」

「高度なオプション」

「TACACS+ のプロトコル設定オプション」

「RADIUS のプロトコル設定オプション」

管理セッション

管理セッションを起動するときは、HTTP プロキシ サーバ、ブラウザと ACS 間のファイアウォール、およびブラウザと ACS 間の NAT ゲートウェイを使用しないことを推奨します。これらの制限は現実的に不可能な場合もあるため、この項では、さまざまなネットワーク環境の問題が管理セッションに及ぼす影響について説明します。

この項では、次のトピックについて取り上げます。

「管理セッションと HTTP プロキシ」

「ファイアウォールを通した管理セッション」

「NAT ゲートウェイを通した管理セッション」

管理セッションと HTTP プロキシ

ACS は、管理セッション用として HTTP プロキシをサポートしていません。管理セッションに使用するブラウザがプロキシ サーバを使用するように設定されていると、ACS は、管理セッションがコンピュータの実際のアドレスではなくプロキシ サーバの IP アドレスから出ていると認識します。管理セッションのトラッキングは、固有の IP を持つコンピュータに各ブラウザがあることを想定しています。

また、代理処理された管理セッションの IP フィルタリングは、コンピュータの IP アドレスではなくプロキシ サーバの IP アドレスに基づく必要があります。これは、コンピュータの実際の IP アドレスを使用する管理セッションの通信と衝突します。管理セッションの IP フィルタリングの詳細については、「アクセス ポリシー」を参照してください。

これらの理由により、プロキシ サーバを使用するように設定した Web ブラウザを使用した管理セッションの実行は推奨していません。プロキシ対応の Web ブラウザを使用した管理セッションについては、テストを行っていません。Web ブラウザがプロキシ サーバを使用するように設定されている場合、ACS 管理セッションを行う際には、HTTP プロキシを無効にしてください。

ファイアウォールを通した管理セッション

ファイアウォールが Network Address Translation(NAT; ネットワーク アドレス変換)を実行しない場合、ファイアウォールを越えて管理セッションを行うには、ACS およびファイアウォールに設定を追加する必要があります。これは、ACS が管理セッションの開始時にランダムに HTTP ポートを割り当てるためです。

ACS を保護するファイアウォールの外にあるブラウザからの管理セッションでは、ACS で使用するように設定したポート範囲全体で HTTP トラフィックを許可する必要があります。HTTP ポートの範囲は、HTTP ポート割り当て機能を使用して制御できます。HTTP ポート割り当て機能の詳細については、「管理セッション用の HTTP ポートの割り当て」を参照してください。

NAT を実行しないファイアウォールを通した ACS の管理は可能ですが、シスコでは推奨していません。詳細については、「管理セッション用の HTTP ポートの割り当て」を参照してください。

NAT ゲートウェイを通した管理セッション

NAT を実行しているネットワーク デバイスを通して管理セッションを実行することは推奨しません。NAT ゲートウェイの背後にあるコンピュータで管理者がブラウザを実行すると、ACS は、NAT デバイスのパブリック IP アドレスからの HTTP 要求を受信します。これは、HTTP 要求に含まれるコンピュータのプライベート IP アドレスと衝突します。ACS はこれを許可しません。

ACS が NAT ゲートウェイの背後にあり、Web インターフェイスへのアクセスに使用する URL が ACS をホスト名で指定している場合、管理セッションは正常に動作します。ただし、ネットワーク上の DNS が正しく機能しているか、Web インターフェイスへのアクセスに使用しているコンピュータの hosts ファイルに、ACS のエントリが存在している必要があります。

Web インターフェイスへのアクセスに使用する URL が ACS を IP アドレスで指定している場合は、ポート 2002 へのすべての接続を同じポートを使用して ACS に転送するようにゲートウェイを設定できます。さらに、HTTP ポート割り当て機能を使用できるポートはすべて、同様のマッピングが可能です。シスコは、このような設定のテストは行っておらず、適用は推奨しません。

Web インターフェイスへのアクセス

リモート管理セッションでは常に、Administration Control セクションに設定されている有効な管理者名とパスワードでログインする必要があります。Administration Control セクションの Sessions Policy Setup ページで Allow automatic local login チェックボックスがオフになっていると、ACS は、ACS を実行しているコンピュータ上のブラウザからの管理セッションに対して、有効な管理者名とパスワードを要求します。

始める前に

Web インターフェイスへのアクセスに使用するコンピュータに、サポートされている Web ブラウザがインストールされているかどうかを確認します。インストールされていない場合は、サポートされている Web ブラウザをインストールするか、サポートされている Web ブラウザがすでにインストールされているコンピュータを使用します。サポートされているブラウザについては、リリース ノートを参照してください。リリース ノートの最新バージョンは Cisco.com
http://www.cisco.com )に掲示されています。

Web インターフェイスはいくつかの場所で Java を使用するので、Web インターフェイスへのアクセスに使用する、ブラウザを実行しているコンピュータには、ブラウザで使用できる Java Virtual Machine が備わっている必要があります。

Web インターフェイスにアクセスするには、次の手順を実行します。


ステップ 1 Web ブラウザを開きます。サポートされている Web ブラウザについては、アクセスしているバージョンの ACS のリリース ノートを参照してください。リリース ノートの最新バージョンは Cisco.com( http://www.cisco.com )に掲示されています。

ステップ 2 Web ブラウザの Address バーまたは Location バーに、該当する URL を入力します。利用できる URL については、「Web インターフェイス用の URL」を参照してください。

ステップ 3 ACS のログイン ページが表示されたら、次の手順を実行します。

a. Username ボックスに、有効な ACS の管理者名を入力します。

b. Password ボックスに、指定した管理者名のパスワードを入力します。

c. Login をクリックします。

最初のページが表示され、ビルド情報と著作権情報が示されます。


 

Web インターフェイスからのログオフ

Web インターフェイスの使用を終えたら、ログオフすることを推奨します。ACS は使用されていない管理セッションをタイムアウトすることもできますが、ログオフすることによって、利用後のブラウザを使用して不正にアクセスされたり、管理セッションのサポート用に開かれたままの HTTP ポートを不正に利用されたりすることを防止できます。

ACS Web インターフェイスからログオフするには、画面の右上にある X をクリックします。


) Logoff ボタンはブラウザ ウィンドウの右上隅に表示されていますが、最初のページでは、コンフィギュレーション領域の左上に表示されています。


インターフェイス設計の概念

ACS Web インターフェイスの設定を実際の構成に対して開始する前に、システムの動作の基本原則をいくつか理解しておく必要があります。次の項の情報は、効果的なインターフェイス設定のために不可欠です。

ネットワーク アクセス プロファイルの概要

Network Access Profile(NAP; ネットワーク アクセス プロファイル)は、RADIUS プロビジョニングと DACL の割り当てに役立ちます。NAP により、ユーザ設定やグループ設定だけに依存する必要がなくなりました。NAP を使用して認可規則を設定することで、プロファイルの一部としてユーザ グループ、RAC、および DACL を設定できます。

ユーザとグループの関係

ユーザがグループに所属できるのは、一度に 1 つのグループだけです。相反するアトリビュートがない限り、ユーザはグループの設定を継承します。


ユーザ プロファイルに、グループ プロファイルの同じアトリビュートと設定の異なるアトリビュートがある場合は、常にユーザ設定がグループ設定よりも優先されます。


ユーザに独自の設定要件がある場合は、そのユーザをグループの一部として User Setup ページでその独自の要件を設定するか、またはそのユーザをユーザ自身のグループに割り当てることができます。

認可規則を使用すると、ネットワーク アクセス プロファイルにユーザとグループをマッピングできます。認可規則の詳細については、「認可ポリシーの設定」を参照してください。

ユーザごとの機能またはグループごとの機能

ほとんどの機能はユーザ レベルとグループ レベルの両方で設定可能ですが、次の例外があります。

ユーザ レベルのみ :スタティック IP アドレス、パスワード、および有効期間

グループ レベルのみ :パスワード エージングおよび時間帯または曜日による制限

ユーザ データの設定オプション

Configure User Defined Fields ページで、各ユーザの情報を記録するフィールドを 5 つまで追加(または編集)できます。この項で定義するフィールドは、User Setup ページの一番上にある
Supplementary User Information セクションに表示されます。たとえば、ユーザの会社名、電話番号、部門、請求コードなどを追加できます。これらのフィールドをアカウンティング ログに含めることもできます。アカウンティング ログの詳細については、「ACS ログとレポートについて」を参照してください。ユーザ データ オプションを構成するデータ フィールドについては、「ユーザ定義アトリビュート」を参照してください。

新しいユーザ データ フィールドの設定

新しいユーザ データ フィールドを定義するには、次の手順を実行します。


ステップ 1 Interface Configuration をクリックし、次に User Data Configuration をクリックします。

Configure User Defined Fields ページが表示されます。Display カラムのチェックボックスに、User Setup ページの一番上の Supplementary User Information セクションに表示されるフィールドを指定します。

ステップ 2 Display カラムのチェックボックスをオンにします。

ステップ 3 対応する Field Title ボックスに、新しいフィールドのタイトルを入力します。

ステップ 4 さらにフィールドを設定する場合は、ステップ 2 とステップ 3 を繰り返します。

ステップ 5 新しいユーザ データ フィールドの設定を終了したら、 Submit をクリックします。


 

高度なオプション

Advanced Options ページでは、ACS で表示される高度な機能を決定できます。あるいは、使用しない高度な機能を非表示にして、ACS Web インターフェイスの他の領域に表示されるページをシンプルにできます。


注意 高度な機能を Interface Configuration セクションでディセーブルにしても、その機能が Web インターフェイスで表示されないだけで、他の影響はありません。高度なオプションが表示されている間に行われた設定は、その高度な機能が表示されなくなっても引き続き有効です。さらに、高度な機能は、デフォルト設定ではない場合は、その高度な機能を非表示に設定しても、インターフェイスに表示されます。後でその機能をディセーブルにした場合、または設定を削除した場合、ACS は、その高度な機能を非表示にします。唯一の例外は、Network Device Groups 機能です。Network Device Groups は、それらを利用しているかどうかにかかわらず、Advanced Options ページで適切なチェックボックスがオンにされていない場合は非表示になります。

高度なオプション機能として、次の機能があります。

Per-User TACACS+/RADIUS AttributesTACACS+/RADIUS アトリビュートを、グループ レベルだけでなく、ユーザあたりのレベルで設定できます。このオプションをイネーブルにした場合は、Interface Configuration セクションで TACACS+ (Cisco IOS) ページまたは RADIUS ページを編集して、ユーザ アカウントに表示するアトリビュートを指定する必要があります。この操作により、選択したアトリビュートがユーザ アカウントに表示され、設定できるようになります。ユーザ レベルで設定したアトリビュートは、グループ レベルで定義したアトリビュートよりも優先されます。

User-Level Shared Network Access RestrictionsShared Profile Component の Network Access Restriction(NAR; ネットワーク アクセス制限)オプションが User Setup ページでイネーブルになります。このオプションを使用すると、事前に設定された名前付きの IP ベースおよび CLID/DNIS ベースの NAR がユーザ レベルで適用できます。Shared Profile Components 内での NAR または NAR セットの定義については、「共有 NAR の追加」を参照してください。

User-Level Network Access Restrictionsユーザ レベル、IP ベースおよび CLI/DNIS ベースの NAR を定義するための 2 セットのオプションが User Setup ページでイネーブルになります。

User-Level Downloadable ACLsDownloadable ACLs (access control lists) セクションが User Setup ページでイネーブルになります。

Default Time-of-Day/Day-of-Week Specificationデフォルトの時間帯/曜日アクセス設定のグリッドが Group Setup ページでイネーブルになります。

Group-Level Shared Network Access RestrictionsShared Profile Component NAR オプションが Group Setup ページでイネーブルになります。このオプションを使用すると、事前に設定された名前付きの IP ベースおよび CLID/DNIS ベースの NAR がグループ レベルで適用できます。Shared Profile Components 内での NAR または NAR セットの定義については、「共有 NAR の追加」を参照してください。

Group-Level Network Access Restrictionsグループ レベル、IP ベースおよび CLI/DNIS ベースの NAR を定義するための 2 セットのオプションが Group Setup ページでイネーブルになります。

Group-Level Downloadable ACLsDownloadable ACLs セクションが Group Setup ページでイネーブルになります。

Group-Level Password AgingPassword Aging セクションが Group Setup ページでイネーブルになります。Password Aging 機能によって、ユーザにパスワードの変更を強制できます。

Network Access Filtering :Network Access Filtering (NAF) セクションが Shared Profiles Components ページでイネーブルになります。Network Access Filtering オプションをオンにすると、Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)クライアント設定のグループ(複数のネットワーク デバイスに対する設定も可能)、Network Device Group(NDG; ネットワーク デバイス グループ)、または特定の AAA クライアント デバイスの IP アドレスを設定できます。NAF は、ダウンロード可能な IP ACL およびネットワーク アクセス制限とともに使用して、容易にデバイス別のアクセスを制御できます。これは、NAP の作成時に重要です。

Max SessionsMax Sessions セクションが User Setup ページおよび Group Setup ページでイネーブルになります。Max Sessions オプションは、1 つのグループまたは 1 人のユーザに対する同時接続数の最大値を設定します。

Usage Quotas :Usage Quotas セクションが User Setup ページおよび Group Setup ページでイネーブルになります。Usage Quotas オプションは、1 つのグループごとまたは 1 人のユーザごとに、使用割当量を 1 つ以上設定します。

Distributed System SettingsAAA サーバ テーブルとプロキシ テーブルを Network Interface ページに表示します。このテーブルは、デフォルト値以外の情報がある場合は常に表示されます。

Remote LoggingRemote Logging 機能が System Configuration セクションの Logging ページでイネーブルになります。

ACS Database ReplicationACS のデータベース複製情報が System Configuration ページでイネーブルになります。

RDBMS SynchronizationRelational Database Management System (RDBMS) Synchronization オプションが System Configuration ページでイネーブルになります。RDBMS Synchronization が設定されている場合は、このオプションは常に表示されます。

IP Pools :IP Pools Address Recovery オプションおよび IP Pools Server オプションが System Configuration ページでイネーブルになります。

Network Device Groupsネットワーク デバイス グループ(NDG)がイネーブルになります。NDG がイネーブルになっていると、Network Configuration セクション、および User Setup ページと Group Setup ページの一部が変化して、ネットワーク デバイス(AAA クライアントまたは AAA サーバ)のグループを管理できるようになります。この機能は多数のデバイスを管理する場合に役立ちます。

Voice-over-IP (VoIP) Group SettingsVoIP オプションが Group Setup ページでイネーブルになります。

Voice-over-IP (VoIP) Accounting Configuration :VoIP Accounting Configuration オプションが System Configuration ページでイネーブルになります。このオプションを使用して、RADIUS VoIP アカウンティング パケットのロギング形式を決定します。

ODBC LoggingODBC logging セクションが System Configuration セクションの Logging ページでイネーブルになります。

ACS ユーザ インターフェイスの高度なオプションの設定

ACS Web インターフェイスでの高度なオプションを設定するには、次の手順を実行します。


ステップ 1 Interface Configuration をクリックし、次に Advanced Options をクリックします。

Advanced Options テーブルが表示されます。

ステップ 2 ACS Web インターフェイスでイネーブルにするオプションをオンにします。


注意 高度な機能を Interface Configuration セクションでディセーブルにしても、その機能が CSACS Web インターフェイスで表示されないだけで、他の影響はありません。高度なオプションが表示されている間に行われた設定は、その高度な機能が表示されなくなっても引き続き有効です。さらに、高度な機能は、デフォルト設定ではない場合は、その高度な機能を非表示に設定しても、インターフェイスに表示されます。後でその機能をディセーブルにした場合、または設定を削除した場合、ACS は、その高度な機能を非表示にします。唯一の例外は、Network Device Groups 機能です。Network Device Groups は、それらを利用しているかどうかにかかわらず、Advanced Options ページで適切なチェックボックスがオンにされていない場合は非表示になります。

ステップ 3 オプションの選択が終了したら、 Submit をクリックします。

ACS は、Web インターフェイスのさまざまなセクションの内容を、選択に従って変更します。


 

TACACS+ のプロトコル設定オプション

TACACS+ (Cisco) ページでは、TACACS+ を設定するための ACS Web インターフェイスの設定が詳細に表示されています。インターフェイス設定を使用して、TACACS+ の管理オプションとアカウンティング オプションを表示または非表示にできます。使用しない機能を非表示にすることで、Web インターフェイスを見やすくできます。

TACACS+ (Cisco) ページは、次の 3 つの領域に分かれています。


ヒント デフォルトのインターフェイス設定では 1 カラムのチェックボックスが、グループ レベルのみについて、TACACS+ Services Settings および New Service Settings の選択用に表示されます。グループ レベルまたはユーザ レベルでの設定を可能にするために、2 カラムのチェックボックスを表示するには、Per-user TACACS+/RADIUS Attributes オプションを Interface Configuration セクションの Advanced Options ページでイネーブルにしておく必要があります。


TACACS+ Services Settings :この領域には、TACACS+ 用に最も広く使用されるサービスとプロトコルのリストが表示されます。User Setup ページまたは Group Setup ページで設定可能なオプションとして表示する TACACS+ サービスをそれぞれ選択します。

New Services :この領域には、実際のネットワーク設定に特有のサービスまたはプロトコルを入力します。


) ACS は、他のシスコ製品用の管理アプリケーション、たとえば、ManagementCenter for Firewalls と連携動作するように設定した場合、新しい TACACS+ サービスをこれらのデバイス管理アプリケーションによって指定されたとおりに表示します。ACS、ACS と連携動作するデバイス管理アプリケーション、およびそれらのアプリケーションが管理するシスコのネットワーク デバイスが必ず正常に機能を果たすようにするには、自動的に生成される TACACS+ サービス タイプを変更したり、削除したりしないでください。


Advanced Configuration Options :この領域には、さらに設定を調整するためにより詳細な情報を追加できます。

次の 4 つの項目を、表示または非表示にできます。

Advanced TACACS+ Features: User Setup ページで Advanced TACACS+ Options セクションを表示または非表示にします。このオプションには、ルータなどの SENDPASS クライアントおよび SENDAUTH クライアントに対する特権レベル認証および送信パスワード設定が含まれます。

Display a Time-of-Day access grid for every TACACS+ service where you can override the default Time-of-Day settings :このオプションをオンにすると、User Setup ページにグリッドが表示され、これを使用して Group Setup ページの TACACS+ スケジューリング アトリビュートを上書きできます。

時間帯と曜日によって、各 TACACS+ サービスの使用を制限できます。たとえば、Exec (Telnet) アクセスを営業時間のみに制限するが、PPP-IP アクセスは常に許可することが可能です。

デフォルト設定では、認証の一部として全サービスの時間帯アクセスを制御します。しかし、デフォルト設定を無効にして、すべてのサービスの時間帯アクセス グリッドを表示することもできます。この設定によって、ユーザおよびグループのセットアップが管理しやすくなる一方で、この機能を最も複雑な環境で利用できるようにします。この機能は、認証プロセスと認可プロセスを分離できる TACACS+ に限り適用されます。RADIUS の時間帯アクセスは、すべてのサービスに適用されます。TACACS+ と RADIUS を同時に使用する場合は、両方にデフォルトの時間帯アクセスが適用されます。このデフォルトを使用すると、アクセス制御プロトコルに関係なく、共通の方法でアクセスを制御できます。

Display a window for each service selected in which you can enter customized TACACS+
attributes
:このオプションをオンにすると、User Setup ページと Group Setup ページにカスタム TACACS+ アトリビュートを入力できる領域が表示されます。

ACS では、各サービス用にカスタム コマンド フィールドを表示することもできます。このテキスト フィールドでは、あるグループのユーザの特別なサービスに対して、ダウンロード用の専用設定を作成できます。

この機能を使用して数多くの TACACS+ コマンドをサービス用としてアクセス デバイスに送信できます。ただし、デバイスが TACACS+ コマンドをサポートし、コマンドの構文が正しい場合に限ります。この機能はデフォルトではディセーブルにされていますが、アトリビュートや時間帯アクセスをイネーブルにする場合と同様、簡単にイネーブルに設定できます。

Display enable Default (Undefined) Service Configuration :このチェックボックスをオンにすると、User Setup ページと Group Setup ページに、未知の TACACS+ サービス、たとえば、Cisco Discovery Protocol(CDP)を許可することのできる領域が表示されます。


) このオプションは、上級のシステム管理者だけが使用するようにしてください。



) ユーザ レベルでカスタマイズした設定は、グループ レベルでの設定に優先します。


TACACS+ オプションの設定


) ACS Web インターフェイスでは、イネーブルになっているプロトコル オプションや、デフォルトでない値のプロトコル オプションは、そのプロトコル オプションを非表示に設定しても表示されます。後でそのオプションをディセーブルにした場合、またはオプションの値を削除した場合は、プロトコル オプションを非表示に設定したときに、ACS は、そのプロトコル オプションを非表示にします。これによって、ACS がアクティブな設定を非表示にすることを防止できます。


この手順は、TACACS+ の管理オプションとアカウンティング オプションを表示または非表示にするために使用します。TACACS+ に用意されているサービスおよびプロトコルをすべて使用することはほとんどありません。すべて表示すると、ユーザまたはグループのセットアップが煩雑になります。セットアップを簡単にするために、TACACS+ (Cisco IOS) Edit ページを使用して、表示されるサービスとプロトコルをカスタマイズします。

TACACS+ オプション用のユーザ インターフェイスを設定するには、次の手順を実行します。


ステップ 1 Interface Configuration をクリックし、次に、 TACACS+ (Cisco IOS) をクリックします。

TACACS+ (Cisco) ページが表示されます。

ステップ 2 TACACS+ Services テーブルで、該当するセットアップ ページに表示する TACACS+ サービスのチェックボックスをそれぞれオンにします。

ステップ 3 新しいサービスおよびプロトコルを追加するには、次の手順を実行します。

a. TACACS+ Services テーブルの New Services セクションで、追加する Service および Protocol を入力します。


) ACS は、他のシスコ製品用の管理アプリケーション、たとえば、ManagementCenter for Firewalls と連携動作するように設定した場合、新しい TACACS+ サービスをこれらのデバイス管理アプリケーションによって指定されたとおりに表示します。ACS、ACS と連携動作するデバイス管理アプリケーション、およびそれらのアプリケーションが管理するシスコのネットワーク デバイスが必ず正常に機能を果たすようにするには、自動的に生成される TACACS+ サービス タイプを変更したり、削除したりしないでください。


b. 該当するチェックボックスをオンにして、User Setup と Group Setup のいずれか、あるいは両方で、表示されるようにします。

ステップ 4 Advanced Configurations Options セクションで、イネーブルにする表示オプションのチェックボックスをオンにします。

ステップ 5 TACACS+ インターフェイスの表示オプションの設定が終了したら、 Submit をクリックします。

ここでの選択によって、ACS は Web インターフェイスの他のセクションで表示される TACACS+ オプションを決定します。


 

RADIUS のプロトコル設定オプション

すべてのプロトコルの利用可能なアトリビュートをすべてインストールすることは、実際には考えられません。すべて表示すると、ユーザまたはグループのセットアップが煩雑になります。セットアップを簡単にするには、この項のオプションを使用して、表示されるアトリビュートをカスタマイズします。サポートされている RADIUS AV ペアおよびアカウンティング AV ペアのリストについては、 付録 C「RADIUS アトリビュート」 を参照してください。

Interface Configuration ページには、設定した AAA クライアントまたはクライアントに応じて、さまざまな RADIUS プロトコル設定の選択肢が表示されます。どの RADIUS AAA クライアントを設定した場合でも、RADIUS Internet Engineering Task Force(IETF)設定は必ず表示されます。また、各ベンダー固有の RADIUS タイプに関する追加の設定も表示されます。各種の AAA クライアント用に表示される設定項目は、そのタイプのデバイスが使用できる設定によって決まります。これらの組み合せは、 表3-1 で詳しく説明しています。

 

表3-1 RADIUS インターフェイスのリスト

設定する AAA クライアントのタイプ
Interface Configuration ページに表示される設定のタイプ
 
RADIUS (IETF)
RADIUS
(Cisco Airespace)
RADIUS (Cisco Aironet)
RADIUS (BBSM)
RADIUS (Cisco IOS/PIX 6.0)
RADIUS (Microsoft)
RADIUS (Ascend)
RADIUS (Cisco VPN 3000/
ASA/
PIX 7.x+)
RADIUS (Cisco VPN 5000)
RADIUS (Juniper)
RADIUS (Nortel)
RADIUS (IETF)/
RADIUS (iPass)

Yes

No

No

No

No

No

No

No

No

No

No

RADIUS
(Cisco Airespace)

Yes

Yes

No

No

No

No

No

No

No

No

No

RADIUS
(Cisco Aironet)

Yes

No

Yes

No

Yes

No

No

No

No

No

No

RADIUS (BBSM)

Yes

No

No

Yes

No

No

No

No

No

No

No

RADIUS
(Cisco IOS/
PIX 6.0)

Yes

No

No

No

Yes

Yes

Yes

No

No

No

No

RADIUS (Ascend)

Yes

No

No

No

No

Yes

Yes

No

No

No

No

RADIUS (Cisco VPN3000/ASA/PIX 7.x+)

Yes

No

No

No

Yes

Yes

No

Yes

No

No

No

RADIUS (Cisco VPN 5000)

Yes

No

No

No

No

No

No

No

Yes

No

No

RADIUS (Juniper)

Yes

No

No

No

No

No

No

No

No

Yes

No

RADIUS (Nortel)

Yes

No

No

No

No

No

No

No

No

No

Yes


ヒント Interface Configuration ページで設定のタイプを選択して詳細な設定を行うには、事前にネットワーク デバイスを設定する必要があります。


Interface Configuration ページで、設定する RADIUS 設定のタイプを選択すると、Web インターフェイス上に、そのタイプに対応する利用可能な RADIUS アトリビュートとそのアトリビュートに関連付けられているチェックボックスのリストが表示されます。Interface Configuration の Advanced
Options にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている場合は、各アトリビュートの Group チェックボックスの横に User チェックボックスが表示されます。それ以外の場合は、各アトリビュートの Group チェックボックスだけが表示されます。アトリビュートのリストにあるチェックボックスをオンまたはオフにすることで、そのチェックボックスに対応する(IETF)RADIUS アトリビュートまたは Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)を、User Setup セクションおよび Group Setup セクションで設定できるかどうかが決まります。

RADIUS 設定ページに表示されるタイプの詳細を次に示します。

(IETF) RADIUS Settings :このページには RADIUS(IETF)で利用可能なアトリビュートが表示されます。

標準(IETF)RADIUS アトリビュートは、RADIUS 使用時に、どのネットワーク デバイスの設定でも利用できます。IETF アトリビュート番号 26(VSA 用)を使用する場合は、Interface
Configuration を選択して、次に、使用するネットワーク デバイスのベンダー用の RADIUS を選択します。ACS によってサポートされている RADIUS (IETF) のアトリビュートおよび各 RADIUS ネットワーク デバイス ベンダーの VSA が、User Setup または Group Setup に表示されます。


) RADIUS (IETF) アトリビュートは、複数の RADIUS VSA が共有しています。RADIUS ベンダーに対して、RADIUS (IETF) で最初の RADIUS アトリビュートを設定する必要があります。


Tags to Display Per Attribute オプション(Advanced Configuration Options の下にある)では、User Setup ページおよび Group Setup ページでタグ付きアトリビュートに対して表示する値の個数を指定できます。タグ付きアトリビュートの例としては、[064]Tunnel-Type および
[069]Tunnel-Password があります。

詳細な手順については、「IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。

RADIUS (Cisco IOS/PIX 6.0) Settings :このセクションでは、特定のアトリビュートを RADIUS (Cisco IOS/PIX 6.0) 用にイネーブルにできます。RADIUS (Cisco IOS/PIX 6.0) に表示されている最初のアトリビュート(026/009/001)を選択すると、User Setup と Group Setup のいずれか、あるいは両方に入力フィールドが表示され、そこに任意の TACACS+ コマンドを入力して、RADIUS 環境で TACACS+ を完全に有効利用できます。詳細な手順については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。

RADIUS (Cisco Aironet) Settings:このセクションは、廃止されました。セッション タイムアウト値は、専用の WLAN RADIUS Authorization Component(RAC)で使用できるようになりました。


ヒント 既存の設定以外では、RADIUS Cisco Aironet 設定を使用して RADIUS (Cisco Aironet) の特定のアトリビュートをオンにすることは推奨しません。

ACS が Cisco Aironet Access Point からの認証要求に応答するときに、Aironet-Session-Timeout アトリビュートが設定されていると、無線デバイスに対して、この値が IETF Session-Timeout アトリビュートとして送信されます。この設定を利用すると、無線エンドユーザ クライアントおよび有線エンドユーザ クライアントに対して、それぞれ異なるセッション タイムアウト値を指定できます。WLAN RAC のセッション タイムアウト値を追加する手順については、「RADIUS 認可コンポーネントの追加」を参照してください。

RADIUS (Cisco Airespace) Settings :このセクションでは、RADIUS VSA を RADIUS(Cisco Airespace)用にイネーブルにできます。このページは、RADIUS(Cisco Airespace)デバイスを設定した場合に表示されます。手順の詳細については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。

RADIUS (Ascend) Settings :このセクションでは、RADIUS VSA を RADIUS(Ascend)用にイネーブルにできます。このページは、RADIUS(Ascend)デバイスまたは RADIUS(Cisco IOS/PIX 6.0)デバイスを設定した場合に表示されます。手順の詳細については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。

RADIUS (Cisco VPN 3000/ASA/PIX 7.x+) Settings :このセクションでは、RADIUS VSA を RADIUS(Cisco VPN 3000/ASA/PIX 7.x+)用にイネーブルにできます。手順の詳細については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。

RADIUS (Cisco VPN 5000) Settings :このセクションでは、RADIUS VSA を RADIUS(Cisco VPN 5000)用にイネーブルにできます。手順の詳細については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。

RADIUS (Microsoft) Settings :このセクションでは、RADIUS VSA を RADIUS(Microsoft)用にイネーブルにできます。このページは、RADIUS(Ascend)デバイス、RADIUS(VPN 3000/ASA/PIX 7.x+)デバイス、または RADIUS(Cisco IOS/PIX 6.0)デバイスを設定した場合に表示されます。手順の詳細については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。

RADIUS (Nortel) Settings :このセクションでは、RADIUS VSA を RADIUS(Nortel)用にイネーブルにできます。手順の詳細については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。

RADIUS (Juniper) Settings :このセクションでは、RADIUS VSA を RADIUS(Juniper)用にイネーブルにできます。手順の詳細については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。

RADIUS (BBSM) Settings :このセクションでは、RADIUS VSA を RADIUS Building Broadband Service Manger(BBSM)用にイネーブルにできます。手順の詳細については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。

ACS には、あらかじめパッケージ化されたこれらの VSA が付属していますが、まだ ACS に含まれていない任意の VSA セット用にカスタム アトリビュートを定義して設定することもできます。カスタム VSA と対応する AAA クライアントを設定してあれば、Interface Configuration セクションからそのカスタム VSA を選択し、その後で、特定のアトリビュートを設定可能なオプションとして User Setup ページまたは Group Setup ページに表示するためのオプションを設定できます。ユーザ定義の RADIUS VSA の作成方法については、「カスタム RADIUS ベンダーと VSA」を参照してください。

IETF RADIUS アトリビュートのプロトコル設定オプションの設定

この手順では、任意の標準 IETF RADIUS アトリビュートを ACS Web インターフェイスの他の部分で設定するときに、非表示または表示にできます。


) Interface Configuration の Advanced Options にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている場合は、各アトリビュートの Group チェックボックスに並んで User チェックボックスが表示されます。



) 使用している RADIUS ネットワーク デバイスは、オンにした RADIUS アトリビュートをすべてサポートしている必要があります。


IETF RADIUS アトリビュートのプロトコル設定オプションを設定するには、次の手順を実行します。


ステップ 1 Interface Configuration をクリックし、次に、 RADIUS (IETF) をクリックします。

RADIUS (IETF) ページが表示されます。

ステップ 2 設定可能なオプションとして User Setup ページまたは Group Setup ページに表示する各 IETF RADIUS アトリビュートに対して、対応するチェックボックスをオンにします。


) 使用している RADIUS ネットワーク デバイスは、オンにした RADIUS アトリビュートをすべてサポートしている必要があります。


ステップ 3 User Setup ページおよび Group Setup ページでタグ付きアトリビュート用に表示する値の個数を指定するには、 Tags to Display Per Attribute オプションを選択し、次に対応するリストから値を選択します。タグ付きアトリビュートの例としては、 [064]Tunnel-Type および [069] Tunnel-Password があります。

ステップ 4 オプションの選択が終了したら、 Submit をクリックします。

選択した各 IETF RADIUS アトリビュートが、設定可能なオプションとして User Setup ページまたは Group Setup ページに表示されます。


 

非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定

この手順では、さまざまな RADIUS VSA を ACS Web インターフェイスの User Setup セクションおよび Group Setup セクションで設定するときに、非表示または表示にできます。

RADIUS VSA のセットに対してプロトコル設定オプションを設定するには、次の手順を実行します。


ステップ 1 Interface Configuration をクリックします。

ステップ 2 RADIUS VSA セットの種類のいずれか 1 つをクリックします。たとえば、 RADIUS (Ascend) をクリックします。

ステップ 3 利用可能な RADIUS VSA の選択したセットを一覧表示するページが表示されます。


) Interface Configuration の Advanced Options にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている場合は、各アトリビュートの Group チェックボックスの横に User チェックボックスが表示されます。


ステップ 4 User Setup ページまたは Group Setup ページに設定可能なオプションとして表示する各 RADIUS VSA に対して、対応するチェックボックスをオンにします。


) オンにしたアトリビュートはいずれも、RADIUS ネットワーク デバイスによってサポートされている必要があります。


ステップ 5 ページの下部にある Submit をクリックします。

選択した内容に応じて、RADIUS VSA が、User Setup ページまたは Group Setup ページ、あるいはその両方に設定可能なオプションとして表示されます。