Cisco Secure ACS ユーザ ガイド Windows版 version 4.0
ネットワーク設定
ネットワーク設定
発行日;2012/02/02 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

ネットワーク設定

ネットワーク構成について

分散システムについて

分散システムにおける AAA サーバ

分散システムのデフォルト設定

分散システムにおけるプロキシ

接続障害発生時のフォールバック

文字列

ストリッピング

企業内のプロキシ

アカウンティング パケットのリモート使用

分散システムによって使用可能になるその他の機能

ネットワーク デバイスの検索

ネットワーク デバイスの検索基準

ネットワーク デバイスの検索

AAA クライアントの設定

AAA クライアントの設定オプション

AAA クライアントの追加

AAA クライアントの編集

デフォルトの AAA クライアントの設定

AAA クライアントの削除

AAA サーバの設定

AAA サーバの設定オプション

AAA サーバの追加

AAA サーバの編集

AAA サーバの削除

ネットワーク デバイス グループの設定

ネットワーク デバイス グループの追加

未割り当ての AAA クライアントまたは AAA サーバの NDG への割り当て

AAA クライアントまたは AAA サーバの NDG への再割り当て

ネットワーク デバイス グループの名前の変更

ネットワーク デバイス グループの削除

Proxy Distribution Table の設定

Proxy Distribution Table について

新しい Proxy Distribution Table エントリの追加

分散エントリの文字列照合順のソート

Proxy Distribution Table エントリの編集

Proxy Distribution Table エントリの削除

ネットワーク設定

この章では、Cisco Secure Access Control Server Release 4.0 for Windows(以降は ACS と表記)の基本的な考え方および手順について説明します。設定プロセスを使用して分散システムを確立し、Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)クライアントおよびサーバとの連携動作をセットアップします。

この章は、次の項で構成されています。

「ネットワーク構成について」

「分散システムについて」

「分散システムにおけるプロキシ」

「ネットワーク デバイスの検索」

「AAA クライアントの設定」

「AAA サーバの設定」

「ネットワーク デバイス グループの設定」

「Proxy Distribution Table の設定」

ネットワーク構成について

Network Configuration をクリックしたときに表示されるページは、Interface Configuration セクションで選択したネットワーク構成によって異なります。

次の 4 つのテーブルのいずれかがこのセクションに表示されます。

AAA Clients :このテーブルには、ネットワーク上に設定されている各 AAA クライアント、およびその IP アドレスと関連プロトコルが表示されます。

Network Device Group(NDG; ネットワーク デバイス グループ)を使用している場合、このテーブルは最初のページには表示されず、Network Device Group テーブルを通してアクセスされます。このインターフェイス設定の詳細については、「高度なオプション」を参照してください。

AAA Servers :このテーブルには、ネットワーク上に設定されている各 AAA サーバと、その IP アドレスおよび関連タイプが表示されます。

NDG を使用している場合、このテーブルは最初のページには表示されず、Network Device Groups テーブルを通してアクセスされます。このインターフェイス設定の詳細については、「高度なオプション」を参照してください。

Network Device Groups :このテーブルには、設定されている各 NDG の名前、およびそれに割り当てられている AAA クライアントと AAA サーバの個数が表示されます。NDG を使用している場合、AAA Clients テーブルおよび AAA Servers テーブルは、最初のページには表示されません。AAA クライアントまたは AAA サーバを設定するには、そのデバイスが割り当てられている NDG の名前をクリックする必要があります。新しく設定されたデバイスが NDG に割り当てられていない場合、デバイスは (Not Assigned) グループに所属します。

このテーブルは、NDG を使用するようにインターフェイスを設定した場合に限り表示されます。このインターフェイス設定の詳細については、「高度なオプション」を参照してください。

Proxy Distribution Table :このテーブルを使用して、ドメイン ストリッピングなどのプロキシ機能を設定できます。詳細については、「Proxy Distribution Table の設定」を参照してください。

このテーブルは、Distributed Systems Settings を有効にするようにインターフェイスを設定した場合に限り表示されます。このインターフェイス設定の詳細については、「高度なオプション」を参照してください。

分散システムについて

ACS は分散システムで使用できます。つまり、複数の ACS と AAA サーバを設定して、相互にプライマリ システム、バックアップ システム、クライアント システム、ピア システムとして通信できます。分散システムとして構成すると、次の機能が使用できます。

プロキシ

接続失敗時のフォールバック

ACS 内部データベースの複製

リモート ロギングおよび集中ロギング

分散システムにおける AAA サーバ

AAA サーバは Access Control Server(ACS; アクセス コントロール サーバ)の総称であり、この 2 つの用語はよく同じ意味で使用されます。AAA サーバは、ネットワークにアクセスできるユーザと、各ユーザに対して認可されているサービス内容の決定に使用されます。AAA サーバには、各ユーザごとの認証情報および認可情報を含むプロファイルが格納されています。認証情報によってユーザが本人であると確認され、認可情報によってユーザが使用できるネットワーク サービスの内容が決定されます。1 台の AAA サーバで、多数のダイヤルアップ アクセス サーバ、ルータ、およびファイアウォールに対する AAA サービスを同時に提供できます。すべてのネットワーク デバイスを AAA サーバと通信するように設定できます。この設定によって、ダイヤルアップ アクセスを集中制御できるだけでなく、不正アクセスからネットワーク デバイスを保護することもできます。

すべてのアクセス コントロールに、独自の認証要件と認可要件があります。ACS を利用すると、システム管理者はさまざまな認可特権レベルで使用される各種の認証方式を使用できます。

AAA の機能を完全なものにするために、ACS サーバは、アカウンティング情報の中央リポジトリとしての役割を果たします。ACS が許可する各ユーザ セッションは、完全に把握され、そのアカウント情報はサーバに格納されます。課金、キャパシティ プラニングおよびセキュリティ監査にこのアカウンティング情報を使用できます。


) この項で説明するフィールドが ACS Web インターフェイスに表示されない場合は、Interface
Configuration
> Advanced Options を選択します。次に、Distributed System Settings チェックボックスをオンにします。


分散システムのデフォルト設定

分散システムを作成するには、AAA Servers テーブルと Proxy Distribution Table を使用します。この 2 つのテーブル内に設定されているパラメータで作成される基本情報に基づいて、複数の ACS を連携動作させることが可能です。テーブルにはそれぞれ、ACS エントリが格納されています。AAA Servers テーブルに最初に 1 つだけ表示される AAA サーバは ACS 自身です。Proxy Distribution Table には (Default) という初期エントリが表示され、ローカル ACS が各認証要求をローカルに処理するための設定が表示されます。

追加された AAA サーバは、AAA Servers テーブルで設定できます。この設定によって、追加された AAA サーバは、Web インターフェイスに表示されるようになり、その他の分散機能、たとえば、プロキシ、ACS 内部データベースの複製、リモート ロギングおよび RDBMS 同期化用に設定できます。追加された AAA サーバを設定する方法については、「AAA サーバの追加」を参照してください。

分散システムにおけるプロキシ

プロキシは、複数の AAA サーバを使用するネットワークにおいて認証に ACS を使用できるようにする機能です。ACS は、プロキシを使用して、AAA サーバに AAA クライアントからの認証要求を自動的に転送します。この要求が問題なく認証されると、リモート AAA サーバでそのユーザに対して設定されている認可特権が元の ACS に返されます。この ACS では、AAA クライアントによって、そのセッションにユーザ プロファイル情報が適用されます。

プロキシは、通常使用しているネットワーク デバイス以外のネットワーク デバイスにダイヤルインする出張者など、外部の AAA サーバから別の方法で認証を受けようとするユーザに対して有益なサービスを提供します。プロキシを設定するには、 Interface Configuration > Advanced Options を選択します。次に、 Distributed System Settings チェックボックスをオンにします。

認証要求を転送するかどうか、およびその転送先は、Network Configuration ページの Proxy
Distribution Table で定義されます。複数の ACS をネットワーク全体で使用できます。Proxy
Distribution Table の設定方法については、「Proxy Distribution Table の設定」を参照してください。

ACS は、管理者が定義する文字列を使用して、認証要求をローカルに処理するか、転送します。転送する場合にはその転送先を決定します。エンド ユーザがネットワーク デバイスにダイヤルインしたときに、ACS が Proxy Distribution Table に定義されている文字列と一致していることを検出すると、ACS は、関連付けられているリモート AAA サーバに認証要求を転送します。


) ACS サーバが、プロキシによって転送された TACACS+ 認証要求を受信すると、TACACS+ に対するネットワーク アクセス制限の要求がすべて、発信した AAA クライアントの IP アドレスではなく、転送した AAA サーバの IP アドレスに適用されます。



) ACS が 2 番目の ACS のプロキシとして動作している場合、2 番目の ACS は、最初の ACS を AAA サーバとして認識しているときは、最初の ACS に対して IETF アトリビュートだけを使用し、VSA を使用せずに応答します。また、ACS が 2 番目の ACS から AAA クライアントとして認識されるように設定することもできます。この場合、2 番目の ACS の応答には、AAA クライアント定義テーブル エントリで指定されている RADIUS ベンダーにはかかわりなく、RADIUS VSA が含まれています。これは、他のすべての AAA クライアントと同様です。


たとえば、ある ACS が、 mary.smith@corporate.com に対する認証要求を受信したとします。ここで、 @corporate.com は、別の AAA サーバに関連付けるようにサーバ分散テーブルで定義されている文字列です。 mary.smith@corporate.com に対する認証要求を受信した ACS は、受信後、その文字列が関連付けられている AAA サーバに認証要求を転送します。Proxy Distribution Table 内のエントリでこの関連付けを定義しています。

地理的に分散したネットワークを扱う管理者は、自分に隣接した場所や建物にいる社員のユーザ プロファイルを設定および管理できます。これによって、管理者は隣接したユーザのポリシーだけを管理し、社内の他のユーザから送信される認証要求をすべて該当する AAA サーバに転送する方法によって、認証を実行することができるようになります。すべてのユーザ プロファイルがすべての AAA サーバ上にある必要はありません。これによって、管理時間およびサーバのスペースの節約になり、接続されているアクセス デバイスに関係なく、エンド ユーザが同じ特権を簡単に受信できるようになります。

接続障害発生時のフォールバック

プライマリ AAA サーバとのネットワーク接続の障害発生時に、ACS がリモート AAA サーバをチェックする順序を設定できます。認証要求が、たとえばネットワーク障害のために、リストの最初のサーバに送信できない場合は、リストの次のサーバがチェックされます。このチェックは、リストの上から下に、認証要求が AAA サーバによって処理されるまで続けられます(接続障害は、指定したサーバが、指定時間内に応答しない障害として検出されます。つまり、要求がタイムアウトになります)。ACS がリスト内のサーバのいずれにも接続できない場合、認証は失敗します。

文字列

ACS は、ピリオド(.)、スラッシュ(/)、およびハイフン(-)などのデリミタを 1 つ含む設定可能な文字セットを使用して認証要求を転送します。ACS の文字列を設定するときは、文字列がプレフィックスであるかサフィックスであるかを指定する必要があります。たとえば、 domain.us は、 username*domain.us 内のサフィックス文字列として使用できます。ここでは、アスタリスク(*)は任意のデリミタです。プレフィックス文字列の場合は、 domain.*username となります。ここで、アスタリスク(*)はスラッシュ(/)の検出のために使用されます。

ストリッピング

ストリッピング機能を使用すると、ACS は、一致した文字列をユーザ名から削除、つまりストリッピングできます。ストリッピングをイネーブルにすると、ACS は各認証要求の中に一致情報がないかをチェックします。「分散システムにおけるプロキシ」の例で説明したように、ACS が Proxy Distribution Table 内の文字列と一致するものを検出すると、ACS は、ストリッピングがイネーブルに設定されていれば、一致した文字列を取り除きます。たとえば、次のプロキシの例では、ユーザ名に付けられた文字列によって、認証要求を他の AAA サーバに転送する機能が確立します。AAA サーバに正しく認証要求が転送されるように、ユーザが mary@corporate.com というユーザ ID を入力する必要がある場合、ACS は、 @corporate.com 文字列が一致することを検出し、
@corporate.com を取り除いて、ユーザ名 mary を残します。このユーザ名は、宛先 AAA サーバが自分のデータベース内の正しいエントリを特定するために必要なユーザ名フォーマットになります。


) 領域のストリッピングは、Protected Extensible Authentication Protocol(PEAP)や Extensible
Authentication Protocol-Flexible Authentication via Secure Tunneling(EAP-FAST)など、Extensible Authentication Protocol(EAP)ベースの認証プロトコルでは使用できません。たとえば、
Protected Extensible Authentication Protocol Microsoft Challenge Handshake Authentication Protocol(PEAP MS-CHAP; PEAP マイクロソフト チャレンジ ハンドシェーク認証プロトコル)を使用している場合、プロキシによって領域がストリッピングされると、認証が失敗します。


企業内のプロキシ

ここでは、企業システムで採用されているプロキシの例について説明します。Mary はロサンゼルスに本社がある会社に勤務する社員です。Mary のユーザ名は mary@la.corporate.com です。Mary は、ネットワークにアクセスする必要があるとき、ネットワークにローカルでアクセスし、自分のユーザ名とパスワードで認証を求めます。Mary はロサンゼルスのオフィスに勤務しているので、彼女の認証特権と認可特権を定義しているユーザ プロファイルは、ロサンゼルスにあるローカル AAA サーバ上に常駐しています。

しかし、Mary はニューヨークにある会社の別の部門に出張することがあり、そこでも会社のネットワークにアクセスして、自分の電子メールや他のファイルを入手する必要があります。Mary は、ニューヨークにいるときはニューヨーク オフィスにダイヤルインし、 mary@la.corporate.com としてログインします。ニューヨークの ACS は Mary のユーザ名を認識しませんが、Proxy Distribution Table には、 @la.corporate.com というエントリが記入されているので、認証要求はロサンゼルスの ACS に転送されます。Mary のユーザ名とパスワード情報はロサンゼルスの AAA サーバ上に常駐しているため、彼女が正しく認証された場合には、彼女に割り当てられている認可パラメータがニューヨーク オフィスの AAA クライアントによって適用されます。

アカウンティング パケットのリモート使用

プロキシが使用されていると、ACS は、次の 3 つの方法のいずれかで AAA アカウンティング パケットを迅速に処理できます。

ローカルにロギングする。

転送先 AAA サーバに転送する。

ローカルにロギングし、コピーを転送先 AAA サーバに転送する。

アカウンティング パケットをリモート ACS に送信することには、いくつかの利点があります。ACS がリモート AAA サーバにアカウンティング パケットを送信するように設定されている場合、リモート AAA サーバは、転送先サーバ上でそのセッションに対するアカウンティング レポートにエントリを記録します。ACS も、ユーザ接続情報をキャッシュし、List Logged on Users レポートにエントリを追加します。これによって、現在接続されているユーザに関する情報が表示できるようになります。アカウンティング情報はリモート AAA サーバに送信中であるので、接続に失敗しても、Failed Attempts レポートを表示して、接続障害のトラブルシューティングに役立てることができます。

また、リモート AAA サーバにアカウンティング情報を送信することで、最大セッション機能を利用できるようになります。最大セッション機能は、アカウンティング パケットの Start レコードおよび Stop レコードを使用します。リモート AAA サーバが ACS であり、最大セッション機能が実装されている場合は、各ユーザまたはグループに許可されたセッション数を追跡できます。

さらに、Voice over IP(VoIP)のアカウンティング情報をリモートでロギングするために、RADIUS アカウンティング ログに追加するか、または別の VoIP アカウンティング ログに入力するか、あるいはその両方を行うかを選択することもできます。

分散システムによって使用可能になるその他の機能

基本的なプロキシ機能とフォールバック機能に加えて、各分散システムと連携動作するように ACS を設定することにより、この章の範囲外の機能がいくつか使用可能になります。その機能は次のとおりです。

複製 :詳細については、「ACS 内部データベースの複製」を参照してください。

RDBMS 同期化 :詳細については、「RDBMS 同期化」を参照してください。

リモート ロギングおよび集中ロギング :詳細については、「リモート ロギング」を参照してください。

ネットワーク デバイスの検索

ACS Web インターフェイスの Network Configuration セクションで設定したネットワーク デバイスは、すべて検索の対象にできます。

この項では、次のトピックについて取り上げます。

「ネットワーク デバイスの検索基準」

「ネットワーク デバイスの検索」

ネットワーク デバイスの検索基準

ネットワーク デバイスの検索では、検索基準を指定できます。ACS には、次の検索基準が用意されています。

名前 :ACS でネットワーク デバイスに割り当てた名前。アスタリスク(*)をワイルドカード文字として使用できます。たとえば、名前が M という文字で始まるデバイスをすべて検索する場合は、M* または m* と入力します。名前を基準とする検索では、大文字と小文字が区別されます。デバイス名を基準として検索しない場合は、Name ボックスは空欄のままにするか、アスタリスク(*)だけを入力しておきます。

IP アドレス :ACS でネットワーク デバイスに対して指定した IP アドレス。アドレス中の各オクテットについては、次の 3 つの指定方法があります。

数値 :10.3.157.98 のように数値を指定できます。

数値の範囲 :オクテットの数値の範囲(下限と上限)を指定できます。範囲を表す数値は、10.3.157.10-50 のようにハイフン(-)で区切ります。

ワイルドカード :10.3.157.* のようにアスタリスク(*)を使用すると、そのオクテットのすべての数値を検索対象にできます。

ACS では、IP Address ボックスのどのオクテットにも、数値、数値の範囲、およびアスタリスク(*)を使用できます。たとえば、172.16-31.*.* と指定できます。

タイプ :デバイスのタイプ、つまりそのデバイスの AAA サーバの種類。そのデバイスが使用するように設定されている AAA プロトコルによって指定されます。デバイスのタイプを基準として検索対象を限定しない場合は、Type リストから Any を選択します。

デバイス グループ :検索対象となるデバイスが割り当てられている NDG。この検索基準は、Interface Configuration セクションの Advanced Options ページにある Network Device Groups をイネーブルにした場合にだけ表示されます。NDG メンバーシップを基準として検索対象を限定しない場合は、Device Group リストから Any を選択します。

ネットワーク デバイスの検索

ネットワーク デバイスを検索するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Configuration をクリックします。

Network Configuration ページが開きます。

ステップ 2 Search をクリックします。

Search for Network Devices ページが表示されます。このセッションで以前に検索を実行した場合は、コンフィギュレーション領域内で、前回の検索結果の上部に、検索基準を設定するためのコントロールが表示されます。


ヒント Search for Network Devices ページから移動しても、現在の管理セッション継続中は検索基準と検索結果が保持されます。ACS からログアウトするまで、Search for Network Devices ページに戻って最新の検索基準と検索結果を確認できます。

ステップ 3 デバイスの検索基準を設定します。検索基準については、「ネットワーク デバイスの検索基準」を参照してください。


ヒント 検索基準をリセットしてデフォルト設定に戻すには、Clear をクリックします。

ステップ 4 Search をクリックします。

ACS に設定されている各ネットワーク デバイスのうち、指定した検索基準に一致するものがテーブルに一覧表示されます。一致するネットワーク デバイスが見つからなかった場合は、 No Search Results というメッセージが表示されます。

一致するネットワーク デバイスを一覧表示するテーブルには、デバイス名、IP アドレス、およびデバイスのタイプが含まれています。Interface Configuration セクションの Advanced Options ページにある Network Device Groups がイネーブルになっている場合、このテーブルには、検索基準に一致した各ネットワーク デバイスの NDG も含まれています。


ヒント このテーブルの行は、任意のカラムによって昇順または降順でソートできます。カラムのエントリによって昇順で行をソートするには、カラムのタイトルを一度クリックします。カラムのエントリによって降順で行をソートするには、カラムのタイトルを再度クリックします。

ステップ 5 検索で見つかったネットワーク デバイスの設定を表示するには、検索基準に一致するネットワーク デバイスが表示されているテーブルの Name カラムで、そのネットワーク デバイスの名前をクリックします。

ACS によって、該当する設定ページが表示されます。AAA Client Setup ページについては、「AAA クライアントの設定オプション」を参照してください。AAA Server Setup ページについては、「AAA サーバの設定オプション」を参照してください。

ステップ 6 検索結果がカンマ区切り形式で含まれたファイルをダウンロードするには、 Download をクリックし、ブラウザを使用して、そのファイルを任意の場所に任意の名前で保存します。

ステップ 7 別の検索基準を使用してもう一度検索する場合は、ステップ 3 とステップ 4 を繰り返します。


 

AAA クライアントの設定

このマニュアルでは、「AAA クライアント」という用語は、サービス アクセスを行うときにそのアクセスが経由するデバイスおよびそのアクセスの対象となるデバイスを包括的に示すために使用します。AAA クライアントは、RADIUS クライアント デバイスまたは TACACS+ クライアント デバイスであり、Network Access Server(NAS; ネットワーク アクセス サーバ)、PIX Firewall、ルータ、その他の RADIUS または TACACS+ のハードウェア/ソフトウェア クライアントが含まれる場合もあります。

この項では、次のトピックについて取り上げます。

「AAA クライアントの設定オプション」

「AAA クライアントの追加」

「AAA クライアントの編集」

「AAA クライアントの削除」

AAA クライアントの設定オプション

AAA クライアントを設定することで、その設定が表すネットワーク デバイスと ACS が連携動作できるようになります。対応する設定が ACS に用意されていないネットワーク デバイスや、ACS での設定が誤っているネットワーク デバイスは、ACS から AAA サービスを受け取りません。

Add AAA Client ページと AAA Client Setup ページには、次のオプションがあります。

AAA Client Hostname :AAA クライアント設定に割り当てる名前。AAA クライアント設定は、複数のネットワーク デバイスを表すことができます。このため、ACS に設定する AAA クライアントのホスト名は、ネットワーク デバイス上に設定されているホスト名と一致している必要はありません。AAA クライアントのホスト名には、わかりやすく、一貫した命名規則を適用することを推奨します。AAA クライアントのホスト名の長さは、最大で 32 文字です。


) AAA クライアントのホスト名は、いったん送信した後は変更できません。AAA クライアントに別の名前を使用する必要が生じた場合は、その AAA クライアント設定を削除して、新しい名前で新しい AAA クライアント設定を作成してください。


AAA Client IP Address :AAA クライアントの 1 つ以上の IP アドレス、または dynamic というキーワード。

IP アドレスを使用しないでキーワード dynamic だけを使用する場合、その AAA クライアント設定の用途は、Management Center for Firewalls などの Cisco マルチデバイス管理アプリケーションのコマンド認可に限定されます。ACS は、IP アドレスに基づいてデバイスに AAA サービスを提供するだけなので、Client IP Address ボックスに dynamic というキーワードだけが入力された AAA クライアント設定に対応するデバイスからの要求は無視します。

ACS の 1 つの AAA クライアント設定で複数のネットワーク デバイスを表現する場合は、複数の IP アドレスを指定します。各 IP アドレスは、Enter キーを押して区切ります。

指定する各 IP アドレス中の各オクテットについては、次の 3 つの指定方法があります。

数値 :10.3.157.98 のように数値を指定できます。

数値の範囲 :オクテットの数値の範囲(下限と上限)を指定できます。範囲を表す数値は、10.3.157.10-50 のようにハイフン(-)で区切ります。

ワイルドカード :10.3.157.* のようにアスタリスク(*)を使用すると、そのオクテットのすべての数値を検索対象にできます。

ACS では、IP Address ボックスのどのオクテットにも、数値、数値の範囲、およびアスタリスク(*)を使用できます。たとえば、172.16-31.*.* と指定できます。

Key :AAA クライアントの共有秘密情報。AAA クライアントのキーの長さは、最大で 32 文字です。

正しい動作を保証するには、AAA クライアントと ACS のキーが同一である必要があります。キーでは大文字と小文字が区別されます。共有秘密情報が一致していない場合、そのネットワーク デバイスからのパケットはすべて ACS によって破棄されます。

Network Device Group :この AAA クライアントが所属する NDG の名前。AAA クライアントを NDG から独立させるには、Not Assigned を選択します。


) このオプションは、NDG を使用するように ACS を設定していない場合は表示されません。NDG をイネーブルにするには、Interface Configuration > Advanced Options を選択します。次に、Network Device Groups チェックボックスをオンにします。


Authenticate Using :AAA クライアントとの通信に使用される AAA プロトコル。Authenticate Using リストには、Cisco IOS TACACS+ およびいくつかのベンダー固有 RADIUS 実装が含まれています。ユーザ定義の RADIUS ベンダーおよび VSA を設定した場合は、それらのベンダー固有 RADIUS 実装もリストに表示されます。ユーザ定義の RADIUS VSA の作成方法については、「カスタム RADIUS ベンダーと VSA」を参照してください。

Authenticate Using リストには、次の選択肢が常に含まれています。

TACACS+ (Cisco IOS) :Cisco IOS TACACS+ プロトコル。このプロトコルは、シスコ システムズのアクセス サーバ、ルータ、およびファイアウォールを使用しているときの標準的な選択肢です。AAA クライアントが Management Center for Firewalls などの Cisco デバイス管理アプリケーションである場合は、このオプションを使用する必要があります。

RADIUS (Cisco Airespace):Cisco Airespace VSA を使用する RADIUS。ネットワーク デバイスが、RADIUS 経由の認証をサポートする Cisco Airespace WLAN デバイスである場合は、このオプションを選択します。

RADIUS (Cisco Aironet) :Cisco Aironet VSA を使用する RADIUS。ネットワーク デバイスが、Lightweight and Efficient Application Protocol(LEAP)または Extensible Authentication Protocol-Transport Layer Security(EAP-TLS)プロトコルを使用して認証を受けようとするユーザによって使用される Cisco Aironet Access Point である場合、これらのプロトコルが System Configuration セクションの Global Authentication Setup ページでイネーブルになっているときに、このオプションを選択します。

RADIUS(Cisco Aironet)AAA クライアントから認証要求が到着すると、ACS は、まず LEAP を使用した認証を試行します。この認証に失敗した場合は、EAP-TLS にフェールオーバーします。LEAP が Global Authentication Setup ページでイネーブルになっていない場合、ACS はすぐに EAP-TLS 認証を試行します。LEAP も EAP-TLS も Global Authentication Setup ページでイネーブルになっていない場合、Cisco Aironet RADIUS クライアントから受信した認証要求に対する試行はすべて失敗します。LEAP または EAP-TLS のイネーブル化の詳細については、「グローバル認証のセットアップ」を参照してください。

このオプションを使用すると、ACS は無線ネットワーク デバイスに対して、有線エンドユーザ クライアントに送信するものとは別のユーザ セッション用セッション タイムアウト値を送信できるようになります。


) 特定の Cisco Aironet Access Point からの認証要求が、すべて PEAP 要求または EAP-TLS 要求である場合は、RADIUS(Cisco Aironet)ではなく RADIUS(IETF)を使用してください。ACS は、RADIUS(Cisco Aironet)プロトコルを使用した PEAP 認証はサポートしていません。


RADIUS (Cisco BBSM) :Cisco Building Broadband Services Manager(BBSM)Vendor Specific Attributes(VSA; ベンダー固有アトリビュート)を使用する RADIUS。ネットワーク デバイスが、RADIUS 経由の認証をサポートする Cisco BBSM ネットワーク デバイスである場合は、このオプションを選択します。

RADIUS (Cisco IOS/PIX 6.0) :Cisco IOS/PIX 6.0 VSA を使用する RADIUS。このオプションによって、Cisco IOS AAA クライアントまたは Project Information Exchange(PIX)S 6.0 AAA クライアントに送信するコマンドをパックすることが可能になります。パックするコマンドは Group Setup セクションで定義されます。主要な TACACS+ 機能が Cisco IOS 装置および PIX 装置のサポートに必要とされる RADIUS 環境に対して、このオプションを選択します。

RADIUS (Cisco VPN 3000/ASA/PIX7.x+):Cisco VPN 3000 コンセントレータ、ASA デバイス、および PIX 7.x デバイス VSA を使用する RADIUS。ネットワーク デバイスが、RADIUS 経由の認証をサポートする Cisco VPN 3000 シリーズのコンセントレータ、ASA デバイス、または PIX 7.x+ デバイスである場合は、このオプションを選択します。

RADIUS (Cisco VPN 5000) :Cisco VPN 5000 VSA を使用する RADIUS。ネットワーク デバイスが Cisco VPN 5000 シリーズのコンセントレータである場合は、このオプションを選択します。

RADIUS (IETF) :VSA を使用しない IETF 標準 RADIUS。AAA クライアントが、複数のベンダーで構成される複数の RADIUS 対応デバイスを表しており、標準の IETF RADIUS アトリビュートを使用する場合は、このオプションを選択します。AAA クライアントが、認証に PEAP または EAP-TLS を使用するユーザにだけ使用される Cisco Aironet Access Point を表している場合にも、このプロトコルを選択します。

RADIUS (Ascend) :Ascend RADIUS VSA を使用する RADIUS。ネットワーク デバイスが、RADIUS 経由の認証をサポートする Ascend ネットワーク デバイスである場合は、このオプションを選択します。

RADIUS (Juniper) :Juniper RADIUS VSA を使用する RADIUS。ネットワーク デバイスが、RADIUS 経由の認証をサポートする Juniper ネットワーク デバイスである場合は、このオプションを選択します。

RADIUS (Nortel) :Nortel RADIUS VSA を使用する RADIUS。ネットワーク デバイスが、RADIUS 経由の認証をサポートする Nortel ネットワーク デバイスである場合は、このオプションを選択します。

RADIUS (iPass) :iPass RADIUS を使用する AAA クライアントのための RADIUS。ネットワーク デバイスが、RADIUS 経由の認証をサポートする iPass ネットワーク デバイスである場合は、このオプションを選択します。iPass RADIUS は、IETF RADIUS と同一です。

Single Connect TACACS+ AAA Client (Record stop in accounting on failure) :Authenticate Using リストで TACACS+ (Cisco IOS) を選択する場合は、このオプションを使用すると、ACS に対して、個々の TACACS+ 要求にそれぞれ新しい接続を 1 つ使用するのではなく、AAA クライアントとのすべての TACACS+ 通信に単一の TCP 接続を使用するように指定できます。単一接続モードでは、ネットワーク デバイスからの複数の要求は、1 つの TCP セッションで多重化されます。デフォルトでは、このチェックボックスはオフになっています。


) この機能は、ACS と AAA クライアント間の TCP 接続に信頼性がない場合は使用しないでください。


Log Update/Watchdog Packets from this AAA Client :アップデート(ウォッチドッグ)パケットのロギングをイネーブルにします。ウォッチドッグ パケットは、セッション中に周期的に送信される仮パケットです。ウォッチドッグ パケットは、AAA クライアントの障害によって、セッションの終了を示す停止パケットが受信されない場合に、おおよそのセッション長を提供します。デフォルトでは、このチェックボックスはオフになっています。

Log RADIUS Tunneling Packets from this AAA Client :RADIUS トンネリング アカウンティング パケットのロギングをイネーブルにします。パケットは、Reports and Activity の RADIUS
Accounting レポートに記録されます。デフォルトでは、このチェックボックスはオフになっています。

Replace RADIUS Port info with Username from this AAA Client :セッション ステートのトラッキング用に、ポート番号ではなくユーザ名の使用をイネーブルにします。このオプションは、Gateway GPRS Support Node(GGSN)のような AAA クライアントが一意のポート値を提供できない場合に有用です。たとえば、ACS IP プール サーバを使用する場合、AAA クライアントがユーザごとに一意のポートを提供しないときは、ACS では、再使用されているポート番号があると、以前のユーザ セッションが終了しているものと見なします。したがって、ACS は、一意でないポート番号を使用して、以前割り当てられた IP アドレスをそのセッションに再度割り当てる場合があります。デフォルトでは、このチェックボックスはオフになっています。


) このオプションがイネーブルの場合、ACS は、ユーザごとのユーザ セッション数を判別できなくなります。セッションそれぞれが同一のセッション識別子(ユーザ名)を使用します。したがって、最大セッション機能をイネーブルにしても、AAA クライアント経由でネットワークにアクセスするユーザには機能しません。


AAA クライアントの追加

AAA クライアント設定を追加するには、次の手順を実行します。

始める前に

AAA クライアント設定を追加する際に利用できるオプションについては、「AAA クライアントの設定オプション」を参照してください。

ACS で AAA クライアントに AAA サービスを提供するには、AAA クライアントと ACS の中間にあるゲートウェイ デバイスにおいて、該当する AAA プロトコル(RADIUS または TACACS+)のサポートに必要なポートを介した通信が許可されている必要があります。AAA プロトコルが使用するポートについては、「AAA プロトコル:TACACS+ と RADIUS」を参照してください。

AAA クライアントを追加するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Configuration をクリックします。

Network Configuration ページが開きます。

ステップ 2 次のいずれか 1 つを実行します。

NDG を使用している場合は、AAA クライアントを割り当てる NDG の名前をクリックします。次に、AAA Clients テーブルの下の Add Entry をクリックします。

NDG がイネーブルになっていない場合に AAA クライアントを追加するには、AAA Clients テーブルの下の Add Entry をクリックします。

Add AAA Client ページが表示されます。

ステップ 3 AAA Client Hostname ボックスに、この AAA クライアントに割り当てる名前(最大 32 文字の英数字)を入力します。

ステップ 4 AAA Client IP Address ボックスで、次のいずれかを実行します。

AAA クライアントの IP アドレス(複数可)を入力します。ワイルドカード、オクテット範囲、複数の IP アドレスの使用方法については、「AAA クライアントの設定オプション」を参照してください。

AAA クライアント設定を Cisco マルチデバイス管理アプリケーションのコマンド認可だけに使用する場合は、 dynamic と入力します。


dynamic というキーワードだけを入力すると、ACS がその AAA クライアント設定を使用して、ネットワーク デバイスに AAA サービスを提供することが不可能になります。この設定は、Management Center for Firewalls などの Cisco マルチデバイス管理アプリケーションのコマンド認可だけに使用されます。


ステップ 5 Key ボックスに、AAA クライアントと ACS がデータの暗号化に使用する共有秘密キー(最大 32 文字)を入力します。


) 正しい動作を保証するには、AAA クライアントと ACS 上で同じキーを設定する必要があります。キーでは大文字と小文字が区別されます。


ステップ 6 NDG を使用している場合は、Network Device Group リストから、この AAA クライアントが属する NDG の名前を選択するか、または Not Assigned を選択して、この AAA クライアントを NDG から独立させます。


) NDG をイネーブルにするには、Interface Configuration > Advanced Options を選択します。次に、Network Device Groups チェックボックスをオンにします。


ステップ 7 Authenticate Using リストから、AAA クライアントが使用するネットワーク セキュリティ プロトコルを選択します。


ヒント Authenticate Using リストで選択するプロトコルが不明である場合は、「AAA クライアントの設定オプション」を参照してください。

ステップ 8 TACACS+ 要求のたびに新しい接続を確立するのではなく、1 つの AAA クライアントで確立された単一の接続を使用するには、 Single Connect TACACS+ AAA Client (Record stop in accounting on failure) チェックボックスをオンにします。


) この機能は、ACS と AAA クライアント間の TCP 接続に信頼性がない場合は使用しないでください。


ステップ 9 ウォッチドッグ パケットのロギングをイネーブルにするには、 Log Update/Watchdog Packets from this AAA Client チェックボックスをオンにします。

ステップ 10 RADIUS トンネリング アカウンティング パケットのロギングをイネーブルにするには、 Log RADIUS tunneling Packets from this AAA Client チェックボックスをオンにします。

ステップ 11 セッション ステートを、ポート番号ではなくユーザ名でトラッキングするには、 Replace RADIUS Port info with Username from this AAA チェックボックスをオンにします。


) このオプションがイネーブルの場合、ACS は、ユーザごとのユーザ セッション数を判別できなくなります。セッションそれぞれが同一のセッション識別子(ユーザ名)を使用します。したがって、最大セッション機能をイネーブルにしても、AAA クライアント経由でネットワークにアクセスするユーザには機能しません。


ステップ 12 変更を保存してすぐに適用するには、 Submit + Restart をクリックします。


) サービスを再起動すると、Logged-in User レポートが消去され、すべての ACS サービスが一時的に中断されます。これは、最大セッション カウンタに影響します。



ヒント 変更を保存して後で適用するには、Submit を選択します。変更を実行する準備ができたら、System Configuration > Service Control を選択します。次に、Restart を選択します。


 

AAA クライアントの編集

AAA クライアント設定の内容を編集するには、次の手順を実行します。


) AAA クライアントの名前は直接編集できません。まず、AAA クライアントのエントリを削除した後で、訂正した名前でエントリを再作成する必要があります。AAA クライアント設定を削除する手順については、「AAA クライアントの削除」を参照してください。AAA クライアント設定を作成する手順については、「AAA クライアントの追加」を参照してください。


始める前に

AAA クライアント設定を編集する際に利用できるオプションについては、「AAA クライアントの設定オプション」を参照してください。

ACS で AAA クライアントに AAA サービスを提供するには、AAA クライアントと ACS の中間にあるゲートウェイ デバイスにおいて、該当する AAA プロトコル(RADIUS または TACACS+)をサポートするポートを介した通信が許可されている必要があります。AAA プロトコルが使用するポートについては、「AAA プロトコル:TACACS+ と RADIUS」を参照してください。

AAA クライアントを編集するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Configuration をクリックします。

Network Configuration ページが開きます。

ステップ 2 次のいずれか 1 つを実行します。

NDG を使用している場合は、AAA クライアントが割り当てられている NDG の名前をクリックします。次に、AAA クライアントの名前をクリックします。

NDG がイネーブルになっていない場合に AAA クライアントを編集するには、AAA Clients テーブルの AAA Client Hostname カラムで AAA クライアントの名前をクリックします。

AAA Client Setup For Name ページが表示されます。

ステップ 3 必要に応じて AAA クライアント設定値を変更します。AAA クライアントに利用できる設定オプションについては、「AAA クライアントの設定オプション」を参照してください。


) AAA クライアントの名前は直接編集できません。まず、AAA クライアントのエントリを削除した後で、訂正した名前でエントリを再作成する必要があります。AAA クライアント エントリを削除する手順については、「AAA クライアントの削除」を参照してください。AAA クライアント エントリを作成する手順については、「AAA クライアントの追加」を参照してください。


ステップ 4 変更を保存してすぐに適用するには、 Submit + Restart をクリックします。


ヒント 変更を保存して後で適用するには、Submit を選択します。変更を実装する準備ができたら、System Configuration > Service Control を選択します。次に、Restart を選択します。


) サービスを再起動すると、Logged-in User レポートが消去され、すべての ACS サービスが一時的に中断されます。これは、最大セッション カウンタに影響します。



 

デフォルトの AAA クライアントの設定

次の手順に従ってデフォルトの AAA クライアントを設定することで、認識されない AAA クライアント(NAS)に対応できます。


ステップ 1 「AAA クライアントの追加」の手順を実行します。

ステップ 2 ステップ 3ステップ 4 を省略し、AAA Client Hostname と AAA Client IP address を空白のままにします。

ステップ 3 キーを入力し、残りの手順を実行して AAA クライアントを追加します。


) デフォルトの AAA クライアントを設定できるのは、TACACS+ だけです。クライアントのデフォルト名は Others、デフォルトの IP アドレスは 0.0.0.0 です。



 

AAA クライアントの削除

AAA クライアントを削除するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Configuration をクリックします。

Network Configuration ページが開きます。

ステップ 2 次のいずれか 1 つを実行します。

NDG を使用している場合は、AAA クライアントが割り当てられている NDG の名前をクリックします。次に、AAA Clients テーブルで、AAA クライアントのホスト名をクリックします。

NDG がディセーブルになっている場合に AAA クライアントを削除するには、AAA Clients テーブルで AAA クライアントのホスト名をクリックします。

AAA Client Setup for the Name ページが表示されます。

ステップ 3 AAA クライアントを削除した後、削除をすぐに有効にするには、 Delete + Restart をクリックします。


) ACS サービスを再起動すると、Logged-in User レポートが消去され、すべての ACS サービスが一時的に中断されます。AAA クライアントを削除したときに再起動する代わりに、Delete をクリックできます。しかし、この操作を行うと、変更内容はシステムが再起動されるまで有効になりません。システムを再起動するには、System Configuration > Service Control を選択します。次に、Restart を選択します。


確認ダイアログボックスが表示されます。

ステップ 4 OK をクリックします。

ACS が AAA サービスを再起動し、AAA クライアントが削除されます。

AAA クライアントで RADIUS/TACACS source-interface コマンドを設定してある場合は、指定されたインターフェイスの IP アドレスを使用して ACS 上のクライアントが設定されていることを確認してください。


 

AAA サーバの設定

この項では、ACS Web インターフェイスで AAA サーバを設定する手順について説明します。AAA サーバの詳細については、「分散システムにおける AAA サーバ」を参照してください。

所定の ACS に対して分散システム機能を設定するには、最初に他の AAA サーバを定義しておく必要があります。たとえば、複製、リモート ロギング、認証プロキシ、および RDBMS 同期化に関連するすべての ACS は、相互に AAA サーバ設定を持っている必要があります。持っていない場合、未知の ACS からの着信通信は無視され、分散システム機能に障害が発生します。


ヒント AAA Servers テーブルが表示されない場合は、Interface Configuration > Advanced Options を選択します。次に、Distributed System Settings チェックボックスをオンにします。


この項では、次のトピックについて取り上げます。

「AAA サーバの設定オプション」

「AAA サーバの追加」

「AAA サーバの編集」

「AAA サーバの削除」

AAA サーバの設定オプション

AAA サーバを設定することで、その設定が表す AAA サーバと ACS が連携動作できるようになります。対応する設定が ACS に用意されていない AAA サーバや、ACS での設定が正しくない AAA サーバは、ACS から、プロキシ処理された認証要求、データベース複製通信、リモート ロギング、および RDBMS 同期化などの AAA サービスを受け取りません。また、一部の分散システム機能では、分散システムに含まれている他の ACS が AAA Servers テーブルに含まれていることが要件になります。分散システム機能の詳細については、「分散システムについて」を参照してください。

Add AAA Server ページと AAA Server Setup ページには、次のオプションがあります。

AAA Server Name :AAA サーバ設定に割り当てる名前。ACS に設定されている AAA サーバのホスト名は、ネットワーク デバイス上に設定されているホスト名と一致している必要はありません。AAA サーバ名には、わかりやすく、一貫した命名規則を適用することを推奨します。AAA サーバ名の長さは、最大で 32 文字です。


) AAA サーバ名は、いったん送信した後は変更できません。AAA サーバに別の名前を使用する必要が生じた場合は、その AAA サーバ設定を削除して、新しい名前で AAA サーバ設定を作成する必要があります。


AAA Server IP Address :AAA サーバの IP アドレス(ドット区切り 4 オクテット形式)。たとえば、10.77.234.3 と指定します。

Key :AAA サーバの共有秘密情報。AAA サーバのキーの長さは、最大で 32 文字です。

正しい動作を保証するには、リモート AAA サーバと ACS のキーを同一にする必要があります。キーでは大文字と小文字が区別されます。共有秘密情報は同期化されないため、リモート AAA サーバおよび ACS に入力しますが、このときに間違えないようにしてください。共有秘密情報が一致していない場合、そのリモート AAA サーバからのパケットはすべて ACS によって破棄されます。

Network Device Group :この AAA サーバが所属する NDG の名前。AAA サーバを NDG から独立させるには、Not Assigned を選択します。


) このオプションは、NDG を使用するように ACS を設定していない場合は表示されません。NDG をイネーブルにするには、Interface Configuration > Advanced Options を選択します。次に、Network Device Groups チェックボックスをオンにします。


Log Update/Watchdog Packets from this remote AAA Server :リモート AAA サーバからこの ACS に転送される、AAA クライアントからのアップデート(ウォッチドッグ)パケットのロギングをイネーブルにします。ウォッチドッグ パケットは、セッション中に周期的に送信される仮パケットです。ウォッチドッグ パケットは、AAA クライアントの障害によって、セッションの終了を示す停止パケットが受信されない場合に、おおよそのセッション長を提供します。

AAA Server Type :次の 3 つのタイプのいずれか 1 つを選択します。

RADIUS :リモート AAA サーバが任意の種類の RADIUS プロトコルを使用するように設定されている場合に、このオプションを選択します。

TACACS+ :リモート AAA サーバが TACACS+ プロトコルを使用するように設定されている場合に、このオプションを選択します。

ACS :リモート AAA サーバがもう 1 台の ACS サーバである場合に、このオプションを選択します。これによって、ACS 内部データベース複製やリモート ロギングなど、他の ACS だけで利用できる機能の設定が可能になります。


) リモートの ACS は、バージョン 2.1 以降を使用している必要があります。


Traffic Type :Traffic Type リストは、リモート AAA サーバで送受信されるトラフィックについて、この ACS からのフローとして許可されている方向を定義します。このリストには、次のオプションが含まれています。

Inbound :リモート AAA サーバは、転送されてくる要求を受け付けますが、その要求を他の AAA サーバには転送しません。リモート AAA サーバからの認証要求の転送を許可しない場合は、このオプションを選択します。

Outbound :リモート AAA サーバは認証要求を送信しますが、受信はしません。Proxy Distribution Table エントリが、Outbound として設定されている AAA サーバへの認証要求を代理処理するように設定されている場合、認証要求は送信されません。

Inbound/Outbound :リモート AAA サーバは認証要求の転送と受信の両方を行います。このオプションによって、選択しているサーバは分散テーブルに定義されているすべての方法で認証要求を処理できます。

AAA サーバの追加

始める前に

リモート AAA サーバ設定を追加する際に利用できるオプションについては、「AAA サーバの設定オプション」を参照してください。

ACS でリモート AAA サーバに AAA サービスを提供するには、リモート AAA サーバと ACS の中間にあるゲートウェイ デバイスにおいて、該当する AAA プロトコル(RADIUS または TACACS+)をサポートするポートを介した通信が許可されている必要があります。AAA プロトコルが使用するポートについては、「AAA プロトコル:TACACS+ と RADIUS」を参照してください。

AAA サーバを追加および設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Configuration をクリックします。

Network Configuration ページが開きます。

ステップ 2 次のいずれか 1 つを実行します。

NDG を使用している場合は、AAA サーバを割り当てる NDG の名前をクリックします。次に、[name] AAA Servers テーブルの下の Add Entry をクリックします。

NDG がイネーブルになっていない場合に AAA サーバを追加するには、AAA Servers テーブルの下の Add Entry をクリックします。

Add AAA Server ページが表示されます。

ステップ 3 AAA Server Name ボックスに、このリモート AAA サーバの名前(最大 32 文字)を入力します。

ステップ 4 AAA Server IP Address ボックスに、このリモート AAA サーバに割り当てる IP アドレスを入力します。

ステップ 5 Key ボックスに、リモート AAA サーバと ACS がデータの暗号化に使用する共有秘密キー(最大 32 文字)を入力します。


) キーでは大文字と小文字が区別されます。共有秘密情報が一致していない場合、そのリモート AAA サーバからのパケットはすべて ACS によって破棄されます。


ステップ 6 Network Device Group リストから、この AAA サーバが属する NDG を選択します。


) NDG をイネーブルにするには、Interface Configuration > Advanced Options を選択します。次に、Network Device Groups を選択します。


ステップ 7 ウォッチドッグ パケットをイネーブルにするには、 Log Update/Watchdog Packets from this remote AAA Server チェックボックスをオンにします。

ステップ 8 AAA Server Type リストで、このリモート AAA サーバに該当する AAA サーバのタイプを選択します。リモート AAA サーバがもう 1 台の ACS である場合は、 Cisco Secure ACS を選択して、これを指定します。

ステップ 9 Traffic Type リストで、リモート AAA サーバと ACS との間で許可するトラフィックのタイプを選択します。

ステップ 10 変更を保存してすぐに適用するには、 Submit + Restart をクリックします。


ヒント 変更を保存して後で適用するには、Submit を選択します。変更を実装する準備ができたら、System Configuration > Service Control を選択します。次に、Restart を選択します。


) サービスを再起動すると、Logged-in User レポートが消去され、すべての ACS サービスが一時的に中断されます。これによって、最大セッション カウンタが影響を受け、ゼロ(0)にリセットされます。



 

AAA サーバの編集

次の手順で、すでに設定した AAA サーバの設定内容を編集できます。


) AAA サーバの名前を編集することはできません。AAA サーバの名前を変更するには、既存の AAA サーバ エントリを削除した後、サーバ エントリを新しい名前で追加します。


始める前に

リモート AAA サーバ エントリを編集する際に利用できるオプションについては、「AAA サーバの設定オプション」を参照してください。

ACS でリモート AAA サーバに AAA サービスを提供するには、リモート AAA サーバと ACS の中間にあるゲートウェイ デバイスにおいて、該当する AAA プロトコル(RADIUS または TACACS+)をサポートするポートを介した通信が許可されている必要があります。AAA プロトコルが使用するポートについては、「AAA プロトコル:TACACS+ と RADIUS」を参照してください。

AAA サーバを編集するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Configuration をクリックします。

Network Configuration ページが開きます。

ステップ 2 次のいずれか 1 つを実行します。

NDG を使用している場合は、AAA サーバが割り当てられている NDG の名前をクリックします。次に、AAA Servers テーブルで、編集する AAA サーバの名前をクリックします。

NDG がイネーブルになっていない場合は、AAA Servers テーブルで、編集する AAA サーバの名前をクリックします。

AAA Server Setup for X ページが表示されます。

ステップ 3 次のフィールドの 1 つ以上を選択するか、新しい設定値を入力します。

AAA Server IP Address

Key

Log Update/Watchdog Packets from this remote AAA Server

AAA Server Type

Traffic Type

ステップ 4 変更を保存してすぐに適用するには、 Submit + Restart をクリックします。


ヒント 変更を保存して後で適用するには、Submit を選択します。変更を実装する準備ができたら、System Configuration > Service Control を選択します。次に、Restart を選択します。


) サービスを再起動すると、Logged-in User レポートが消去され、すべての ACS サービスが一時的に中断されます。これによって、最大セッション カウンタが影響を受け、ゼロ(0)にリセットされます。



 

AAA サーバの削除

AAA サーバを削除するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Configuration をクリックします。

Network Configuration ページが開きます。

ステップ 2 次のいずれか 1 つを実行します。

NDG を使用している場合は、AAA サーバが割り当てられている NDG の名前をクリックします。次に、AAA Servers テーブルで、AAA サーバ名をクリックします。

NDG がイネーブルになっていない場合は、AAA Servers テーブルで AAA サーバ名をクリックします。

AAA Server Setup for X ページが表示されます。

ステップ 3 AAA サーバを削除した後、削除をすぐに有効にするには、 Delete + Restart をクリックします。


) サービスを再起動すると、Logged-in User レポートが消去され、すべての ACS サービスが一時的に中断されます。AAA サーバを削除したときに再起動する代わりに、Delete をクリックできます。しかし、この操作を行うと、変更内容はシステムが再起動されるまで有効になりません。システムを再起動するには、System Configuration > Service Control を選択します。次に、Restart を選択します。


確認ダイアログボックスが表示されます。

ステップ 4 OK をクリックします。

ACS が再起動し、AAA サーバが削除されます。


 

ネットワーク デバイス グループの設定

ネットワーク デバイス グループは、ネットワーク デバイスの集合を 1 つの論理的グループとして表示および管理できる高度な機能です。管理を容易にするために、各グループに 1 つの名前を割り当て、その名前を使用して、グループ内のデバイスすべてを参照できます。これによって、2 つのレベルのネットワーク デバイスが ACS の内部に作られます。2 つのレベルとは、独立したデバイス(個別のルータやネットワーク アクセス サーバ)と NDG(ルータまたは AAA サーバの集合)です。


注意 Web インターフェイスの Network Device Groups テーブルを参照するには、Interface Configuration セクションの Advanced Options ページにある Network Device Groups オプションを選択しておく必要があります。Interface Configuration セクションの他の領域とは異なり、Network Device Groups オプションの選択を解除すると、アクティブな NDG が非表示になります。このため、NDG の設定を行う場合は、Advanced Option ページの Network Device Groups が選択された状態になっていることを確認してください。

この項では、次のトピックについて取り上げます。

「ネットワーク デバイス グループの追加」

「未割り当ての AAA クライアントまたは AAA サーバの NDG への割り当て」

「AAA クライアントまたは AAA サーバの NDG への再割り当て」

「ネットワーク デバイス グループの名前の変更」

「ネットワーク デバイス グループの削除」

ネットワーク デバイス グループの追加

ユーザまたはユーザ グループを NDG に割り当てることができます。詳細については、次のいずれかの項を参照してください。

「TACACS+ Enable Password オプションをユーザに対して設定する」

「イネーブル特権オプションをユーザ グループに対して設定する」

NDG を追加するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Configuration をクリックします。

Network Configuration ページが開きます。

ステップ 2 Network Device Groups テーブルの下の Add Entry をクリックします。


ヒント Network Device Groups テーブルが表示されない場合は、Interface Configuration > Advanced Options を選択します。次に、Network Device Groups を選択します。

ステップ 3 Network Device Group Name ボックスに新しい NDG の名前を入力します。


ヒント 名前の最大長は 24 文字です。引用符(")およびカンマ(,)は使用できません。スペースは使用できます。

ステップ 4 Key ボックスに、Network Device Group のキーを入力します。最大長は 32 文字です。

Network Device Group に割り当てられた各デバイスは、ここで入力した共有キーを使用します。システムに追加されたときにデバイスに割り当てられたキーは無視されます。キーのエントリがヌルの場合、AAA クライアントのキーが使用されます。「AAA クライアントの設定オプション」を参照してください。この機能により、デバイスのキーを簡単に管理できます。

ステップ 5 Submit をクリックします。

Network Device Groups テーブルに、新しい NDG が表示されます。

ステップ 6 新しく作成した NDG に AAA クライアントまたは AAA サーバを読み込むには、必要に応じて、次の手順のうち該当するものを実行します。

「AAA クライアントの追加」

「AAA サーバの追加」

「未割り当ての AAA クライアントまたは AAA サーバの NDG への割り当て」

「AAA クライアントまたは AAA サーバの NDG への再割り当て」


 

未割り当ての AAA クライアントまたは AAA サーバの NDG への割り当て

次の手順で、未割り当ての AAA クライアントまたは AAA サーバを NDG に割り当てることができます。前提条件として、AAA クライアントまたは AAA サーバの設定が終了し、Not Assigned AAA Clients テーブルまたは Not Assigned AAA Servers テーブルに表示されている必要があります。

NDG にネットワーク デバイスを割り当てるには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Configuration をクリックします。

Network Configuration ページが開きます。

ステップ 2 Network Device Groups テーブルで、 Not Assigned をクリックします。


ヒント Network Device Groups テーブルが表示されない場合は、Interface Configuration >
Advanced Options
を選択します。次に、Network Device Groups チェックボックスをオンにします。

ステップ 3 NDG に割り当てるネットワーク デバイスの名前をクリックします。

ステップ 4 Network Device Groups リストから、AAA クライアントまたは AAA サーバを割り当てる NDG を選択します。

ステップ 5 Submit をクリックします。

AAA クライアントまたは AAA サーバが NDG に割り当てられます。


 

AAA クライアントまたは AAA サーバの NDG への再割り当て

AAA クライアントまたは AAA サーバを新しいグループに再度割り当てるには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Configuration をクリックします。

Network Configuration ページが開きます。

ステップ 2 Network Device Groups テーブルで、ネットワーク デバイスの現在のグループ名をクリックします。

ステップ 3 必要に応じて、AAA Clients テーブルまたは AAA Servers テーブルで、新しい NDG に割り当てる AAA クライアントまたは AAA サーバの名前をクリックします。

ステップ 4 Network Device Group リストで、ネットワーク デバイスを再度割り当てる NDG を選択します。

ステップ 5 Submit をクリックします。

ネットワーク デバイスが、選択した NDG に割り当てられます。


 

ネットワーク デバイス グループの名前の変更


注意 NDG の名前を変更する場合は、元の NDG 名を呼び出す NAR またはその他の Shared Profile Component(SPC; 共有プロファイル コンポーネント)が存在しないことを確認します。ACS は、元の NDG が呼び出されるかどうかの自動確認を実行しません。ユーザの認証要求に、存在しない(または名前が変更された)NDG を呼び出す SPC が組み込まれていた場合、その試行は失敗し、ユーザは拒否されます。

NDG の名前を変更するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Configuration をクリックします。

Network Configuration ページが開きます。

ステップ 2 Network Device Groups テーブルで、名前を変更する NDG をクリックします。


ヒント Network Device Groups テーブルが表示されない場合は、Interface Configuration >
Advanced Options を選択します。次に、Network Device Groups チェックボックスをオンにします。

ステップ 3 ページの下部にある Rename をクリックします。

Rename Network Device Group ページが表示されます。

ステップ 4 Network Device Group Name ボックスに、新しい名前(最大 24 文字)を入力します。

ステップ 5 Submit をクリックします。

NDG の名前が変更されます。


 

ネットワーク デバイス グループの削除

NDG を削除する場合は、削除するグループに属する AAA クライアントと AAA サーバがすべて、Not Assigned AAA Clients テーブルまたは Not Assigned AAA Servers テーブルに表示されます。


ヒント AAA クライアントおよび AAA サーバの NDG を空にしてから削除することが有用な場合があります。手動で空にするには、「AAA クライアントまたは AAA サーバの NDG への再割り当て」の手順を実行します。再度割り当てるデバイスが多数ある場合は、RDBMS 同期化機能を使用します。



注意 NDG を削除する場合は、元の NDG 名を呼び出す NAR またはその他の SPC が存在しないことを確認します。ACS は、元の NDG が呼び出されるかどうかの自動確認を実行しません。ユーザの認証要求に、存在しない(または名前が変更された)NDG を呼び出す SPC が組み込まれていた場合、要求に対する試行は失敗し、ユーザは拒否されます。

NDG を削除するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Configuration をクリックします。

Network Configuration ページが開きます。

ステップ 2 Network Device Groups テーブルで、削除する NDG をクリックします。


ヒント Network Device Groups テーブルが表示されない場合は、Interface Configuration >
Advanced Options
を選択します。次に、Network Device Groups チェックボックスをオンにします。

ステップ 3 ページの下部にある Delete Group をクリックします。

確認ダイアログボックスが表示されます。

ステップ 4 OK をクリックします。

NDG が削除され、その NDG の名前が Network Device Groups テーブルから削除されます。その NDG に属していた AAA クライアントと AAA サーバはすべて、Not Assigned AAA Clients テーブルまたは Not Assigned AAA Servers テーブル内に存在するようになります。


 

Proxy Distribution Table の設定

この項では、Proxy Distribution Table の詳細および Proxy Distribution Table の設定手順について説明します。

この項では、次のトピックについて取り上げます。

「Proxy Distribution Table について」

「新しい Proxy Distribution Table エントリの追加」

「分散エントリの文字列照合順のソート」

「Proxy Distribution Table エントリの編集」

「Proxy Distribution Table エントリの削除」

Proxy Distribution Table について

Distributed Systems Settings がイネーブルである場合、Network Configuration をクリックすると、Proxy Distribution Table が表示されます。


ヒント ACS で Distributed Systems Settings をイネーブルにするには、Interface Configuration > Advanced Options を選択します。次に、Distributed System Settings チェックボックスをオンにします。


Proxy Distribution Table には複数のエントリが含まれており、このエントリがプロキシ処理を判定する文字列、プロキシ処理先の AAA サーバ、文字列のストリッピングの有無、およびアカウンティング情報の送信先(ローカル/リモート、リモート、またはローカル)が表示されます。プロキシ機能の詳細については、「分散システムにおけるプロキシ」を参照してください。

Proxy Distribution Table 内に配置されて定義されているエントリは、ACS が AAA クライアントから受信する各認証要求に対して、一度に 1 つずつ処理されます。Proxy Distribution Table における認証要求は、その転送先に応じて定義されます。プロキシ情報を含む Proxy Distribution Table のエントリと一致することが検出されると、ACS は、その要求を該当する AAA サーバに転送します。

Proxy Distribution Table の Character String カラムには、常に (Default) というエントリが含まれています。(Default) エントリは、ローカル ACS が受信した認証要求の中で、定義されている他の文字列とは一致しない認証要求と一致します。(Default) エントリの文字列定義は変更できませんが、(Default) エントリと一致する認証要求の配布は変更できます。インストール時に (Default) エントリと関連付けられる AAA サーバは、ローカルの ACS です。リモートに処理される認証要求と一致する文字列を定義する方法に比べて、ローカルに処理される認証要求と一致する文字列を定義する方が簡単な場合があります。そのような場合は、リモート AAA サーバと (Default) エントリを関連付けることによって、通常の方法より簡単に記述できるエントリを使用して Proxy Distribution Table を設定することが可能になります。

新しい Proxy Distribution Table エントリの追加

新しい Proxy Distribution Table エントリを作成するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Configuration をクリックします。

Network Configuration ページが開きます。

ステップ 2 Proxy Distribution Table の下の Add Entry をクリックします。


) Proxy Distribution Table が表示されない場合は、Interface Configuration > Advanced Options を選択します。次に、Distributed System Settings チェックボックスをオンにします。


ステップ 3 Character String ボックスに、ユーザが認証を受けるためにダイヤルインするときに転送の判断元となる文字列を、デリミタも含めて入力します。たとえば、.uk と入力します。


) 山カッコ(<>)は使用できません。


ステップ 4 Position リストから、 Prefix (入力した文字列がユーザ名の先頭に付く場合)、または Suffix (文字列がユーザ名の最後に付く場合)を選択します。

ステップ 5 Strip リストから、 Yes を選択してユーザ名から入力した文字列を取り除くか、 No を選択してユーザ名をそのままにします。

ステップ 6 AAA Servers カラムで、プロキシの代わりに使用する AAA サーバを選択します。 --> (右矢印ボタン)をクリックして、選択した AAA サーバを Forward To カラムに移動します。


ヒント 上位サーバに障害が発生した場合にバックアップ プロキシとして使用する予備の AAA サーバも選択できます。AAA サーバの順序を設定するには、Forward To カラムで対象のサーバの名前をクリックしてから、Up または Down をクリックして、適切な位置に移動します。


ヒント 使用する AAA サーバがリストにない場合は、Network Configuration > AAA Servers を選択します。次に、Add Entry を選択して、適切な情報を入力します。

ステップ 7 Send Accounting Information リストで、アカウンティング情報の報告先となる場所を次の中から 1 つ選択します。

Local :アカウンティング パケットをローカルの ACS に保持します。

Remote :アカウンティング パケットをリモートの ACS に送信します。

Local/Remote :アカウンティング パケットをローカルの ACS に保持し、かつリモートの ACS にも送信します。


ヒント この情報は、ユーザに許可される接続数を制御するために最大セッション機能を使用している場合に特に重要になります。最大セッションは、アカウンティング開始レコードとアカウンティング停止レコードに依存し、アカウンティング情報の送信先によって最大セッション カウンタを追跡する場所が決定されます。Failed Attempts ログおよび Logged in Users レポートも、アカウンティング レコードの送信先によって影響を受けます。例については、「アカウンティング パケットのリモート使用」を参照してください。

ステップ 8 操作が完了したら、 Submit または Submit + Restart をクリックします。


 

分散エントリの文字列照合順のソート

次の手順では、ユーザがダイヤルインするときに、ACS が Proxy Distribution Table 内の文字列エントリの検索に使用する優先順位を設定できます。

ACS が Proxy Distribution Table 内のエントリの検索に使用する順序を決定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Configuration をクリックします。

Network Configuration ページが開きます。

ステップ 2 Proxy Distribution Table で、 Sort Entries をクリックします。


ヒント エントリをソートするには、(Default) テーブル エントリ以外に 2 つ以上の一意な Proxy Distribution Table エントリを設定してあることが必要です。

ステップ 3 順序を変更する文字列エントリを選択し、次に Up または Down をクリックして、検索順を反映するようにその文字列エントリの位置を移動します。

ステップ 4 ソートが完了したら、 Submit または Submit + Restart をクリックします。


 

Proxy Distribution Table エントリの編集

Proxy Distribution Table エントリを編集するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Configuration をクリックします。

Network Configuration ページが開きます。

ステップ 2 Proxy Distribution Table の Character String カラムで、編集する分散エントリをクリックします。

Edit Proxy Distribution Entry ページが表示されます。

ステップ 3 必要に応じて、エントリを編集します。


ヒント 分散エントリを構成するパラメータについては、「新しい Proxy Distribution Table エントリの追加」を参照してください。

ステップ 4 エントリの編集が完了したら、 Submit または Submit + Restart をクリックします。


 

Proxy Distribution Table エントリの削除

Proxy Distribution Table エントリを削除するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Configuration をクリックします。

Network Configuration ページが開きます。

ステップ 2 Proxy Distribution Table の Character String カラムで、削除する分散エントリをクリックします。

Edit Proxy Distribution Entry ページが表示されます。

ステップ 3 Delete をクリックします。

確認ダイアログボックスが表示されます。

ステップ 4 OK をクリックします。

分散エントリが Proxy Distribution Table から削除されます。