Cisco Secure ACS ユーザ ガイド Windows版 version 4.0
ユーザ グループ管理
ユーザ グループ管理
発行日;2012/02/02 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

ユーザ グループ管理

ユーザ グループ セットアップの特長と機能

デフォルト グループ

グループ TACACS+ の設定

グループ RADIUS の設定

基本ユーザ グループの設定

グループの無効化

ダイナミック ユーザ キャッシュのディセーブル化

VoIP サポートをユーザ グループに対してイネーブルにする

デフォルトの時間帯アクセスをユーザ グループに対して設定する

コールバック オプションをユーザ グループに対して設定する

ネットワーク アクセス制限をユーザ グループに対して設定する

最大セッションをユーザ グループに対して設定する

使用割当量をユーザ グループに対して設定する

設定固有のユーザ グループ設定値

イネーブル特権オプションをユーザ グループに対して設定する

トークン カードをユーザ グループに対して設定する

ACS 内部データベースのパスワード エージングをイネーブルにする

ACS がサポートする多様なパスワード エージング

パスワード エージング機能の設定

パスワード エージングを Windows データベースのユーザに対してイネーブルにする

IP アドレス割り当て方式をユーザ グループに対して設定する

ダウンロード可能 IP ACL をグループに割り当てる

TACACS+ をユーザ グループに対して設定する

シェル コマンド認可セットをユーザ グループに対して設定する

PIX コマンド認可セットをユーザ グループに対して設定する

デバイス管理コマンド認可をユーザ グループに対して設定する

IETF RADIUS をユーザ グループに対して設定する

Cisco IOS/PIX 6.0 RADIUS をユーザ グループに対して設定する

高度な設定オプション

Cisco Airespace RADIUS をユーザ グループに対して設定する

Cisco Aironet RADIUS をユーザ グループに対して設定する

Ascend RADIUS をユーザ グループに対して設定する

VPN 3000/ASA/PIX v7.x+ RADIUS をユーザ グループに対して設定する

Cisco VPN 5000 Concentrator RADIUS をユーザ グループに対して設定する

Microsoft RADIUS をユーザ グループに対して設定する

Nortel RADIUS をユーザ グループに対して設定する

Juniper RADIUS をユーザ グループに対して設定する

BBSM RADIUS をユーザ グループに対して設定する

カスタム RADIUS VSA をユーザ グループに対して設定する

グループ設定の管理

ユーザ グループ内のユーザのリスト表示

ユーザ グループの使用割当量カウンタのリセット

ユーザ グループの名前の変更

ユーザ グループ設定に対する変更の保存

ユーザ グループ管理

この章では、Cisco Secure Access Control Server Release 4.0 for Windows(以降は ACS と表記)における認可の制御のためのユーザ グループの設定および管理について説明します。ACS を使用してネットワーク ユーザをグループ化すると、管理効率が向上します。ACS では、各ユーザは 1 つのグループだけに所属できます。最大 500 個のグループを作成して、さまざまな認可レベルを実現できます。

ACS では、外部データベース グループ マッピングもサポートされています。つまり、外部ユーザ データベースがユーザ グループを識別している場合は、ユーザ グループを ACS にマッピングできます。外部データベースでグループがサポートされていない場合は、その外部データベースからすべてのユーザを 1 つの ACS ユーザ グループにマッピングできます。外部データベースのマッピングについては、「外部ユーザ データベースによるグループ マッピング」を参照してください。


注意 ACS 4.0 では、グループ認可の実行方法に影響を与える Network Access Profiles(NAP; ネットワーク アクセス プロファイル)の概念を導入しました。NAP を使用していない場合、ACS 機能は以前のバージョンと同じです。NAP の使用を計画している場合は、Remote Access Dial-in User Service(RADIUS)認可がグループ、ユーザ、および NAP(RAC 経由)の間でどのように分けられるかを理解する必要があります。

この章は、次の項で構成されています。

「ユーザ グループ セットアップの特長と機能」

「基本ユーザ グループの設定」

「設定固有のユーザ グループ設定値」

「グループ設定の管理」

Group Setup を設定する前に、Group Setup セクションの動作を理解しておく必要があります。ACS は、実際のネットワーク デバイスと使用されているセキュリティ プロトコルの設定に従って、Group Setup セクション インターフェイスを動的に構築します。つまり、Group Setup に表示される内容は、Network Configuration セクションと Interface Configuration セクションの設定内容によって決まります。また、ダウンロード可能な Downloadable Access-Control list(DACL; ダウンロード可能アクセス コントロール リスト)および RADIUS Authorization Component(RAC; RADIUS 認可コンポーネント)のグループ設定を、ネットワーク認可ポリシー(NAP)の設定と置換することもできます。ただし、アトリビュートのマージを実行する場合は、グループに追加した設定がすべて機能するとは限りません。アトリビュートのマージの詳細については、「RAC およびグループについて」を参照してください。

ユーザ グループ セットアップの特長と機能

ACS Web インターフェイスの Group Setup セクションは、ユーザ グループの設定および管理に関連する操作の集中管理ポイントです。Network Device Group(NDG; ネットワーク デバイス グループ)については、「ネットワーク デバイス グループの設定」を参照してください。

この項では、次のトピックについて取り上げます。

「デフォルト グループ」

「グループ TACACS+ の設定」

「グループ RADIUS の設定」

デフォルト グループ

外部ユーザ データベース用のグループ マッピングを設定していない場合、ACS は、Unknown User Policy によって認証されるユーザを、初めてログインしたときに Default Group に割り当てます。初回ユーザには、デフォルト グループ用の特権と制限が適用されます。ACS の以前のバージョンからアップグレードし、データベース情報をそのまま維持している場合、ACS はアップグレード前に設定したグループ マッピングを保持しています。

グループ TACACS+ の設定

ACS を使用すると、Terminal Access Controller Access Control System(TACACS+; ターミナル アクセス コントローラ アクセス コントロール システム)の全種類の範囲の設定をグループ レベルで作成できます。Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)クライアントがセキュリティ制御プロトコルとして TACACS+ を使用するように設定している場合、標準のサービス プロトコル、たとえば Point-to-Point Protocol(PPP IP; ポイントツーポイント プロトコル)、Point-to-Point Protocol Link Control Protocol(PPP LCP; ポイントツーポイント リンク制御プロトコル)、AppleTalk Remote Access Protocol(ARAP)、Serial Line Internet Protocol(SLIP; シリアル ライン インターネット プロトコル)、および shell(exec)を、特定のグループに属している各ユーザの認可に適用するように設定できます。


) TACACS+ 設定は、ユーザ レベルで行うこともできます。ユーザ レベルの設定は、グループ レベルの設定よりも優先されます。


ACS を使用すると、新しい TACACS+ サービスの入力と設定もできます。新しい TACACS+ サービスを設定し、Group Setup ページに表示する方法については、「TACACS+ のプロトコル設定オプション」を参照してください。

Cisco デバイス管理アプリケーションと連携動作するように ACS を設定した場合は、そのデバイス管理アプリケーションをサポートするための新しい TACACS+ サービスが、必要に応じて自動的に表示されます。ACS とデバイス管理アプリケーションとの連携動作の詳細については、「Cisco デバイス管理アプリケーションのサポート」を参照してください。

シェル コマンド認可セット機能を使用して、TACACS+ グループの設定を行います。この機能を使用すると、次のように特定のユーザ グループにシェル コマンドを適用できます。

設定済みのシェル コマンド認可セットを任意のネットワーク デバイスに割り当てる。

設定済みのシェル コマンド認可セットを特定の NDG に割り当てる。

定義する特定のシェル コマンドをグループごとに許可または拒否する。

シェル コマンド認可セットの詳細については、「コマンド認可セット」を参照してください。

グループ RADIUS の設定

ACS には、グループ レベルでの RADIUS の全種類の設定が含まれています。AAA クライアントがセキュリティ制御プロトコルとして RADIUS を使用するように設定されている場合、標準のサービス プロトコル、たとえば Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)、Microsoft、および Ascend は、特定のグループに属している各ユーザの認可に適用されるように設定できます。


) RADIUS 設定は、ユーザ レベルで行うこともできます。ユーザ レベルの設定は、グループ レベルの設定よりも優先されます。


ACS を使用すると、新しい RADIUS サービスの入力と設定もできます。新しい RADIUS サービスを設定し、Group Setup ページに表示する方法については、「RADIUS のプロトコル設定オプション」を参照してください。

ACS でアトリビュート マージを使用すると、3 種類の RADIUS 設定(ユーザ、Shared Radius
Authorization Component(SRAC; 共有 RADIUS 認可コンポーネント)、グループ)は、グループ アトリビュート設定が有効になる前に、まずユーザ アトリビュートに上書きされ、次に共有 RADIUS 認可コンポーネント アトリビュートに上書きされます。

基本ユーザ グループの設定

この項では、新しいユーザ グループを設定する場合の基本的な操作について説明します。

この項では、次のトピックについて取り上げます。

「グループの無効化」

「ダイナミック ユーザ キャッシュのディセーブル化」

「VoIP サポートをユーザ グループに対してイネーブルにする」

「デフォルトの時間帯アクセスをユーザ グループに対して設定する」

「コールバック オプションをユーザ グループに対して設定する」

「ネットワーク アクセス制限をユーザ グループに対して設定する」

「最大セッションをユーザ グループに対して設定する」

「使用割当量をユーザ グループに対して設定する」

グループの無効化

この手順では、ユーザ グループを無効にし、無効化されたグループのメンバーが認証されないようにします。


) グループの無効化は、ACS でユーザ レベルの設定よりもグループ レベルの設定が優先される唯一の設定です。グループの無効化を設定すると、無効にされたグループ内のすべてのユーザの認証は拒否されます。この場合、ユーザ アカウントが無効かどうかは関係ありません。ただし、ユーザ アカウントが無効になっている場合、対応するユーザ グループの無効化設定の状態が変化しても、ユーザ アカウントは無効のままです。つまり、グループとユーザの無効化設定が異なる場合、ACS はデフォルトでネットワーク アクセスを回避します。


グループを無効化するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストで、無効にするグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 3 Group Disabled テーブルで、 Members of this group will be denied access to the network というラベルのチェックボックスをオンにします。

ステップ 4 グループをすぐに無効にするには、 Submit + Restart をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

グループは無効になり、グループのすべてのメンバーも無効になります。


 

ダイナミック ユーザ キャッシュのディセーブル化

外部ソースから、ダイナミック ユーザとその ID、および他の関連プロパティを管理できます。外部ソースに対する認証が成功すると、ACS 内部データベースにダイナミック ユーザが作成されます。

ダイナミックにマッピングされるユーザは、グループ マッピング設定が Disable caching of
dynamically mapped users に設定されているグループに変更された場合でも、ダイナミックにマッピングされます。

Disable caching of dynamically mapped users チェックボックスがオンになっていると、ダイナミック ユーザは ACS ローカル データベースには保存されません。

VoIP サポートをユーザ グループに対してイネーブルにする


) この機能が表示されない場合は、Interface Configuration > Advanced Options を選択します。次に、Voice-over-IP (VoIP) Group Settings チェックボックスをオンにします。


この手順を実行して、VoIP のヌル パスワード機能のサポートを有効にします。これで、ユーザはユーザ ID(電話番号)だけに基づいて認証を受ける(セッションまたは通話について)ことができます。

グループ レベルで VoIP を有効にすると、そのグループ内のユーザすべてが VoIP ユーザとなり、ユーザ ID は電話番号と同様に取り扱われます。VoIP ユーザは、認証を受けるためのパスワードを入力しないでください。


注意 VoIP を有効にすると、パスワード認証や、パスワード エージングおよびプロトコル アトリビュートなどの高度な設定のほとんどが使用できなくなります。VoIP ユーザ ID とともにパスワードを送信すると、ACS の試行が失敗します。

VoIP サポートをグループに対して有効にするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストで、VoIP サポートを設定するグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 3 Voice-over-IP Support テーブルで、 This is a Voice-over-IP (VoIP) group - and all users of this group are VoIP users というラベルのチェックボックスをオンにします。

ステップ 4 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 5 他のグループの設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

デフォルトの時間帯アクセスをユーザ グループに対して設定する


) この機能が表示されない場合は、Interface Configuration > Advanced Options を選択します。次に、Default Time-of-Day / Day-of-Week Specification チェックボックスをオンにします。


特定のグループ内のユーザに対してアクセスを許可または拒否する時刻を定義するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 3 Default Time-of-Day Access Settings テーブルで、 Set as default Access Times チェックボックスをオンにします。


) 時間帯または曜日に基づいてアクセスを制限するには、Set as default Access Times チェックボックスをオンにする必要があります。


アクセスが許可される時間が、曜日と時間帯のマトリクス上で緑色にハイライトされます。


) デフォルト設定では、アクセスは 1 日中許可されています。


ステップ 4 曜日と時間帯のマトリクス上で、このグループのメンバーのアクセスを 拒否 する時刻をクリックします。


ヒント 曜日と時間帯のマトリクス上で時間をクリックすると、時間の選択が解除されます。再度クリックすると、また選択状態に戻ります。
Clear All をクリックして全時間解除したり、Set All をクリックして全時間を選択することもできます。

ステップ 5 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 6 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

コールバック オプションをユーザ グループに対して設定する

コールバックとは、アクセス サーバに返されるコマンド文字列です。モデムを起動するときにコールバック文字列を使用すると、セキュリティの強化または着信課金のために、ユーザが特定の番号にコールバックするように設定できます。次の 3 つのオプションがあります。

No callback allowed :コールバックをこのグループのユーザに対してディセーブルにします。これがデフォルト設定です。

Dialup client specifies callback number :ダイヤルアップ クライアントがコールバック番号を指定できるようにします。ダイヤルアップ クライアントは RFC 1570、PPP LCP Extensions をサポートしている必要があります。

Use Windows Database callback settings (where possible) :Microsoft Windows のコールバック設定を使用します。ユーザの Windows アカウントがリモート ドメインにある場合、Microsoft Windows のコールバック設定がそのユーザに対して動作するためには、ACS が常駐するドメインとそのドメインとの間に双方向の信頼性が必要です。


) Windows Database コールバック設定をイネーブルにする場合は、Windows Database
Configuration Settings で Windows Callback 機能もイネーブルにする必要があります。「Windows ユーザ データベース設定オプション」を参照してください。



) コールバック機能を使用している場合、パスワード エージング機能は正常に動作しません。コールバックを使用していると、ユーザはログイン時にパスワード エージング メッセージを受信できません。


ユーザ グループに対してコールバック オプションを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストでグループを選択してから、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 3 Callback テーブルで、次の 3 つのオプションから 1 つを選択します。

No callback allowed

Dialup client specifies callback number

Use Windows Database callback settings (where possible)

ステップ 4 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 5 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

ネットワーク アクセス制限をユーザ グループに対して設定する

Group Setup の Network Access Restrictions テーブルで、次の 3 つの方法を使用して、Network Access Restriction(NAR; ネットワーク アクセス制限)を適用できます。

名前を指定して既存の共有 NAR を適用する。

IP ベースのグループ アクセス制限を定義して、IP 接続が確立された時点で、指定された AAA クライアントまたは AAA クライアントの指定されたポートに対するアクセスを許可または拒否する。

CLI/DNIS ベースのグループ NAR を定義して、使用されている Calling Line ID(CLI; 発信番号識別)の番号または Dialed Number Identification Service(DNIS; 着信番号識別サービス)の番号、あるいはその両方に対するアクセスを許可または拒否する。


) また、CLI/DNIS に基づいたアクセス制限領域を使用して、別の値を指定できます。詳細については、「ネットワーク アクセス制限について」を参照してください。


通常は、Shared Components セクションから(共有)NAR を定義することにより、これらの制限を複数のグループまたはユーザに適用します。詳細については、「共有 NAR の追加」を参照してください。これらのオプションが ACS Web インターフェイスに表示されるようにするには、Interface Configuration セクションの Advanced Options ページで、Group-Level Shared Network
Access Restriction チェックボックスをオンにする必要があります。

ただし、ACS では、Group Setup セクションで 1 つのグループに対して NAR を定義し、適用することもできます。単一グループの IP に基づいたフィルタ オプション、および単一グループの CLI/DNIS に基づいたフィルタ オプションを ACS Web インターフェイスに表示するには、Interface Configuration セクションの Advanced Options ページで Group-Level Network Access Restrictions 設定をイネーブルにしておく必要があります。


) 認証要求がプロキシから ACS サーバに転送されると、RADIUS 要求に使用されるすべての NAR は、発信元の AAA クライアントの IP アドレスではなく、転送先の AAA サーバの IP アドレスに適用されます。


ユーザ グループに対して NAR を設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 3 事前に設定された共有 NRA をこのグループに適用するには、次の手順を実行します。


) 共有 NAR を適用するには、Shared Profile Components セクションの Network Access
Restrictions で該当する NAR を設定しておく必要があります。詳細については、「共有 NAR の追加」を参照してください。


a. Only Allow network access when チェックボックスをオンにします。

b. グループのメンバーにアクセスを許可するために、共有 NAR の 1 つまたはすべてが適用されるかどうかを指定するには、次のオプションのいずれかを選択します。

All selected shared NARS result in permit

Any one selected shared NAR results in permit

c. Shared NAR リストで、共有 NAR 名を 1 つ選択し、 --> (右矢印ボタン)をクリックして、その名前を Selected Shared NARs リストに移動します。


ヒント 適用した共有 NAR のサーバ詳細を表示するには、View IP NAR、または View CLID/DNIS NAR の該当する方をクリックします。

ステップ 4 この特定のユーザ グループに対して、NAR を定義および適用して、そのグループへのアクセスを IP アドレスまたは IP アドレスとポートに基づいて許可または拒否するには、次の手順を実行します。


ヒント ほとんどの NAR を Shared Components セクションで定義して、複数のグループやユーザに対して制限を適用できるようにします。詳細については、「共有 NAR の追加」を参照してください。

a. Network Access Restrictions テーブルの Per Group Defined Network Access Restrictions セクションで、 Define IP-based access restrictions チェックボックスをオンにします。

b. すぐ後のリストで、Table Defines リストからの、許可または拒否される IP アドレスのどちらを表すかを指定するために、 Permitted Calling/Point of Access Locations または Denied Calling/
Point of Access Locations
を選択します。

c. 次のボックスで情報を選択するか、または入力します。

AAA Client :All AAA Clients を選択するか、そこへのアクセスを許可または拒否する NDG の名前または個別の AAA クライアントの名前を選択します。

Port :アクセスを許可または拒否するポートの番号を入力します。アスタリスク(*)をワイルドカードとして使用すると、選択された AAA クライアント上のすべてのポートに対するアクセスを許可または拒否できます。

Address :アクセス制限を実行する場合に、フィルタリングを適用する IP アドレスを入力します。ワイルドカードとしてアスタリスク(*)を使用できます。


) AAA Client リスト、Port ボックス、および Src IP Address ボックスの文字数の合計は、1024 を超えることはできません。NAR を追加する際に ACS には 1024 を超える文字を入力できますが、NAR の編集ができなくなるため、ACS は NAR をユーザに正確に適用できなくなります。


d. Enter キーを押します。

指定した AAA クライアント、ポート、およびアドレス情報が、NAR Access Control リストに表示されます。

ステップ 5 このユーザ グループへのアクセスを、発信場所または確立されている IP アドレス以外の値に基づいて許可または拒否するには、次の手順を実行します。

a. Define CLI/DNIS-based access restrictions チェックボックスをオンにします。

b. 後続してリストに追加される値を許可するか、または拒否するかを指定するには、Table Defines リストから、次のいずれかを選択します。

Permitted Calling/Point of Access Locations

Denied Calling/Point of Access Locations

c. AAA Client リストで、All AAA Clients を選択するか、そこへのアクセスを許可または拒否する NDG の名前または特定の AAA クライアントの名前を選択します。

d. 次のボックスに必要な情報を入力します。


) 各ボックスに入力する必要があります。値の全体または一部にワイルドカードとしてアスタリスク(*)を使用できます。使用する形式は、AAA クライアントから受信する文字列の形式と一致している必要があります。この形式は、RADIUS アカウンティング ログから判別できます。


PORT :アクセスを許可または拒否するポート番号を入力します。ワイルドカードとしてアスタリスク(*)を使用すると、すべてのポートに対するアクセスを許可または拒否できます。

CLI :アクセスを許可または拒否する CLI 番号を入力します。ワイルドカードとしてアスタリスク(*)を使用すると、番号の一部またはすべての番号に基づいてアクセスを許可または拒否できます。


ヒント CLI は、他の値、たとえば Cisco Aironet クライアントの MAC アドレスに基づいてアクセスを制限する場合にも使用されます。詳細については、「ネットワーク アクセス制限について」を参照してください。

DNIS :ユーザがダイヤルしている番号に基づいてアクセスを制限するために DNIS の番号を入力します。ワイルドカードとしてアスタリスク(*)を使用すると、番号の一部またはすべての番号に基づいてアクセスを許可または拒否できます。


ヒント CLI は、他の値、たとえば Cisco Aironet AP の MAC アドレスに基づいてアクセスを制限する場合にも使用されます。詳細については、「ネットワーク アクセス制限について」を参照してください。


) AAA Client リスト、Port ボックス、および Src IP Address ボックスの文字数の合計は、1024 を超えることはできません。NAR を追加する際に ACS には 1024 を超える文字を入力できますが、NAR の編集ができなくなるため、ACS は NAR をユーザに正確に適用できなくなります。


e. Enter キーを押します。

AAA クライアント、ポート、CLI、および DNIS を指定する情報が、リストに表示されます。

ステップ 6 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 7 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

最大セッションをユーザ グループに対して設定する


Max Sessions 機能が表示されない場合は、Interface Configuration > Advanced Options を選択します。次に、Max Sessions チェックボックスをオンにします。


グループおよびグループ内の各ユーザが利用できる最大セッション数を定義するには、次の手順を実行します。設定は次のとおりです。

Sessions available to group :グループ全体の同時接続数の最大値を設定します。

Sessions available to users of this group :グループの各ユーザに対する同時接続数の最大値を設定します。


ヒント たとえば、Sessions available to group に 10 が設定され、Sessions available to users of this group に 2 が設定されているとします。その場合、各ユーザが同時セッションを最大 2 つ使用するとすれば、ログインできるユーザは 5 人までに限られます。


セッションは、RADIUS または TACACS+ がサポートしている接続の任意のタイプ、たとえば、PPP、NAS プロンプト、Telnet、ARAP、IPX/SLI です。

グループの最大セッションのデフォルト設定は、グループとグループ ユーザ両方に対して Unlimited になっています。

ユーザ グループに対して最大セッション数を設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 3 Max Sessions テーブルの Sessions available to group で、次のオプションのいずれかを選択します。

Unlimited :グループの同時セッション数を無制限に許可します(このオプションによって、最大セッションが実質的に無効になります)。

n :グループに許可する同時セッション数の最大値を入力します。

ステップ 4 Max Sessions テーブル の下にある Sessions available to users of this group で、次の 2 つのオプションのどちらかを選択します。

Unlimited :グループ ユーザに対して同時セッションを無制限に許可します(このオプションによって、最大セッションが実質的に無効になります)。

n :このグループの各ユーザに許可する同時セッション数の最大値を入力します。


) User Setup で行う設定は、グループ設定よりも優先されます。詳細については、「最大セッション オプションをユーザに対して設定する」を参照してください。


ステップ 5 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 6 AAA クライアント デバイスに、最大セッション数のチェックがイネーブルになっているアカウンティングがあることを確認します。アカウンティングがイネーブルになっていない場合、最大セッション数は有効になりません。

ステップ 7 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

使用割当量をユーザ グループに対して設定する


) この機能が表示されない場合は、Interface Configuration > Advanced Options を選択します。次に、Usage Quotas チェックボックスをオンにします。


次の手順では、グループのメンバーに使用割当量を定義します。セッションの割当量は、グループ全体ではなく、グループ ユーザに個別に影響します。ある期間の使用割当量は、次の 2 つの方法で設定できます。

セッション継続時間の合計

セッションの総数

グループに対して、Usage Quotas セクションで何も選択しない場合は、そのグループ ユーザに対しては使用割当量は適用されません。ただし、個々のユーザに対して使用割当量を設定している場合を除きます。


) Group Settings ページの Usage Quotas セクションには、使用状況の統計情報は表示されません。使用状況の統計値は、個別ユーザの設定ページだけで利用できます。詳細については、「User Usage Quotas に設定するオプション」を参照してください。


ユーザは、使用割当量を超えた場合、セッションを開始しようとすると ACS からアクセス拒否されます。あるセッション中に割り当てを超えても、ACS は、そのセッションの継続を許可します。

Group Settings ページからグループ ユーザすべての使用割当量カウンタをリセットできます。グループ全体に対する使用割当量カウンタをリセットする方法の詳細については、「ユーザ グループの使用割当量カウンタのリセット」を参照してください。


ヒント 時間に基づいた割当量をサポートするためには、すべての AAA クライアント上でアカウンティング アップデート パケットをイネーブルにすることを推奨します。アップデート パケットがイネーブルになっていない場合、割当量は、ユーザがログオフしたときにアップデートされます。ユーザがネットワークへのアクセスに使用している AAA クライアントに障害が発生すると、割当量はアップデートされません。Integrated Services Digital Network(ISDN; サービス総合デジタル ネットワーク)のような複数セッションの場合は、すべてのセッションが終了するまで、割当量はアップデートされません。このため、最初のチャネルがユーザに割り当てられている量を使い切っても、2 番目のチャネルは受け付けられることになります。


ユーザ グループに対して使用割当量を設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 3 セッションの継続時間に基づいてユーザ使用割当量を定義するには、次の手順を実行します。

a. Usage Quatas テーブルで、 Limit each user of this group to x hours of online time per time unit チェックボックスをオンにします。

b. to x hours ボックスに、グループ ユーザに対する制限時間を入力します。
分を表すには、小数を使用します。たとえば、値 10.5 は 10 時間 30 分になります。


) to x hours ボックスには、最大で 5 文字まで入力できます。


c. 割当量の有効期間を次の中から選択します。

per Day :午前 12:01 から夜中の 12:00 まで。

per Week :日曜の午前 12:01 から土曜の夜中の 12:00 まで。

per Month :月の朔日(1 日)の午前 12:01 から月の末日の夜中の 12:00 まで。

Total :継続時間数で指定され、終了時点は指定されていない。

ステップ 4 セッション数に基づいてユーザの使用割当量を定義するには、次の手順を実行します。

a. Usage Quatas テーブルで、 Limit each user of this group to x sessions チェックボックスをオンにします。

b. to x sessions ボックスに、ユーザに対して制限するセッション回数を入力します。


) to x sessions ボックスには、最大で 5 文字まで入力できます。


c. セッション割当量の有効期間を次の中から選択します。

per Day :午前 12:01 から夜中の 12:00 まで。

per Week :日曜の午前 12:01 から土曜の夜中の 12:00 まで。

per Month :月の朔日(1 日)の午前 12:01 から月の末日の夜中の 12:00 まで。

Total :継続セッション数で指定され、終了時点は指定されていない。

ステップ 5 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 6 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

設定固有のユーザ グループ設定値

この項では、特定のネットワーク セキュリティ設定に該当する場合に限り実行する手順について説明します。たとえば、トークン サーバを設定していない場合は、各グループに対してトークン カード設定を行う必要はありません。


) ネットワーク デバイスがベンダー固有のさまざまな RADIUS を使用するように設定されている場合は、RADIUS(IETF)アトリビュートが使用可能です。これは、RADIUS(IETF)アトリビュートがアトリビュートの基本セットであり、すべての RADIUS ベンダーにより RADIUS IETF 仕様ごとに使用されるためです。


これらの手順に対応する Web インターフェイスの内容はダイナミックであり、次の 2 つの要因に基づいて表示されます。

特定のプロトコル(RADIUS または TACACS+)をリストするには、Web インターフェイスの Network Configuration セクションの最低 1 つの AAA クライアント エントリがそのプロトコルを使用している必要がある。詳細については、「AAA クライアントの設定」を参照してください。

グループ プロファイル ページに特定のプロトコル アトリビュートを表示するには、Web インターフェイスの Interface Configuration セクションで、それらのアトリビュートの表示を有効にしておく必要がある。詳細については、「TACACS+ のプロトコル設定オプション」または 「RADIUS のプロトコル設定オプション」を参照してください。


注意 4.0 で SRAC を使用している場合は、ユーザまたはグループ レベルでの DACL および RADIUS アトリビュートのマージおよび上書きに関する問題に注意してください。RADIUS アトリビュートは個々のユーザに割り当てないでください(他の方法がない場合にだけ使用します)。RADIUS アトリビュートは、グループまたは SRAC を使用して、ユーザのグループまたはプロファイル レベルに割り当てます。RAC の選択方法、ネットワーク プロファイルをセットアップするための認可規則の詳細については、「認可規則の設定」を参照してください。

この項では、次のトピックについて取り上げます。

「イネーブル特権オプションをユーザ グループに対して設定する」

「イネーブル特権オプションをユーザ グループに対して設定する」

「ACS 内部データベースのパスワード エージングをイネーブルにする」

「パスワード エージングを Windows データベースのユーザに対してイネーブルにする」

「IP アドレス割り当て方式をユーザ グループに対して設定する」

「ダウンロード可能 IP ACL をグループに割り当てる」

「TACACS+ をユーザ グループに対して設定する」

「シェル コマンド認可セットをユーザ グループに対して設定する」

「PIX コマンド認可セットをユーザ グループに対して設定する」

「デバイス管理コマンド認可をユーザ グループに対して設定する」

「IETF RADIUS をユーザ グループに対して設定する」

「Cisco IOS/PIX 6.0 RADIUS をユーザ グループに対して設定する」

「Cisco Airespace RADIUS をユーザ グループに対して設定する」

「Cisco Aironet RADIUS をユーザ グループに対して設定する」

「Ascend RADIUS をユーザ グループに対して設定する」

「VPN 3000/ASA/PIX v7.x+ RADIUS をユーザ グループに対して設定する」

「Cisco VPN 5000 Concentrator RADIUS をユーザ グループに対して設定する」

「Microsoft RADIUS をユーザ グループに対して設定する」

「Nortel RADIUS をユーザ グループに対して設定する」

「Juniper RADIUS をユーザ グループに対して設定する」

「BBSM RADIUS をユーザ グループに対して設定する」

「カスタム RADIUS VSA をユーザ グループに対して設定する」

イネーブル特権オプションをユーザ グループに対して設定する


) このセクションが表示されない場合は、Interface Configuration> TACACS+ (Cisco) を選択します。Advanced Configuration Options テーブルのページの一番下で、Advanced TACACS+ features チェックボックスをオンにします。


次の手順では、グループ レベルの TACACS+ イネーブル パラメータを設定します。TACACS+ イネーブル オプションとしては、次の 3 つのオプションがあります。

No Enable Privilege :(デフォルト)このユーザにはイネーブル特権を許可しません。

Max Privilege for Any AAA Client :ユーザ グループの最大特権レベルが、このグループが認可されている AAA クライアントすべてに対して選択されます。

Define max Privilege on a per-network device group basis :NDG に対して最大特権レベルを定義します。このオプションを使用するには、デバイス グループと対応する最大特権レベルのリストを作成します。特権レベルについては、AAA クライアントのマニュアルを参照してください。


) この方法でレベルを定義する場合は、Interface Configuration でオプションを設定しておく必要があります。設定していない場合は、次のようにします。
Interface Configuration > Advanced Settings を選択します。次に、Network Device Groups チェックボックスをオンにします。


NDG を使用している場合に、このオプションを使用すると、グループの各ユーザに個別に設定しなくても、NDG をイネーブル レベル マッピング対応に設定できます。

ユーザ グループに対してイネーブル特権オプションを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 3 ページの一番上の Jump To リストで、 Enable Options を選択します。

ステップ 4 次のいずれか 1 つを実行します。

イネーブル特権をこのユーザ グループに対して許可しないようにするには、 No Enable Privilege オプションを選択します。

このグループが許可されている ACS がある場合は、最大特権レベルをこのユーザ グループに対して設定します。次のいずれかを選択します。

Max Privilege for Any Access Server オプション

リスト内の最大特権レベル

次の手順を使用して、このユーザ グループの最大 NDG 特権レベルを定義します。

Define max Privilege on a per-network device group basis オプションを選択します。

NDG と、対応する特権レベルをリストで選択します。

Add Association をクリックします。

結果: NDG と最大特権レベルの対応関係がテーブルに表示されます。

ステップ 5 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 6 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

トークン カードをユーザ グループに対して設定する


) このセクションが表示されない場合は、トークン サーバを設定してください。次に、External User Databases> Database Configuration を選択します。次に、該当するトークン カード サーバを追加します。


次の手順では、トークンをキャッシュします。つまり、ユーザは 2 番目の One-Time Password(OTP; ワンタイム パスワード)を入力する必要はなく、2 番目の B チャネルを使用できます。


注意 このオプションは、ISDN 端末アダプタ専用のトークン キャッシングで使用します。このオプションを実装する前に、トークン キャッシングおよび ISDN の概念を十分に理解しておいてください。トークン キャッシングを使用すると、各チャネル接続にトークンを割り当てることなく、複数の B チャネルに接続できます。トークン カード設定は、選択しているグループ内の全ユーザに適用されます。

トークン キャッシングのオプションは次のとおりです。

Session :セッション全体のトークンをキャッシュするには、Session を選択します。このオプションによって、ダイナミックに 2 番目の B チャネルをサービスに使用したりサービスを停止できます。

Duration :Duration を選択して、トークンをキャッシュしておく継続時間(最初の認証時点からの時間)を指定します。この継続時間を過ぎると、ユーザは 2 番目の B チャネルを使用できなくなります。

Session and Duration :Session と Duration の両方を選択して、セッションが継続時間より長く続いた場合、2 番目の B チャネルを開くために新しいトークンが必要となるように設定できます。セッション全体を通してトークンがキャッシュできるだけの十分に大きな値を入力します。セッションが継続時間よりも長く続いた場合、2 番目の B チャネルを開くために新しいトークンが必要になります。

ユーザ グループに対してトークン カードの設定を行うには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 3 ページの一番上の Jump To リストで、 Token Cards を選択します。

ステップ 4 セッション全体に対してトークンをキャッシュするには、Token Card Settings テーブルで Session を選択します。

ステップ 5 指定継続時間(最初の認証時点からの時間)のトークンをキャッシュするには、Token Card Settings テーブルで次の手順を実行します。

a. Duration を選択します。

b. ボックスに継続時間の長さを入力します。

c. 時間の単位として、Seconds、Minutes、Hours のいずれかを選択します。

ステップ 6 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 7 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

ACS 内部データベースのパスワード エージングをイネーブルにする

ACS の パスワード エージング 機能では、次に示す条件が少なくとも 1 つ満たされたとき、ユーザに対して強制的にそのパスワードを変更できます。

指定日数が経過した後(日数によるエージング規則)

指定ログイン回数に達した後(使用回数によるエージング規則)

新規ユーザが最初にログインしたとき(パスワード変更規則)

ACS がサポートする多様なパスワード エージング

ACS は、次の 4 つのパスワード エージング方式をサポートしています。

Protected Extensible Authentication Protocol (PEAP) and Extensible Authentication
Protocol-Flexible Authentication via Secure Tunnelling (EAP-FAST) Windows Password Aging
(PEAP および EAP-FAST Windows パスワード エージング):ユーザが Windows ユーザ データベース内にあり、EAP をサポートする Microsoft クライアント(Windows XP など)を使用している必要があります。このパスワード エージング方式の要件と設定については、「パスワード エージングを Windows データベースのユーザに対してイネーブルにする」を参照してください。

RADIUS-based Windows Password Aging (RADIUS ベースの Windows パスワード エージング):ユーザが Windows ユーザ データベース内にあり、Microsoft-Challenge Handshake Authentication Protocol(MS-CHAP; マイクロソフト チャレンジ ハンドシェーク認証プロトコル)を使用したパスワード変更をサポートする RADIUS クライアント/サプリカントを使用している必要があります。このパスワード エージング方式の要件と設定については、「パスワード エージングを Windows データベースのユーザに対してイネーブルにする」を参照してください。

Password Aging for Device-hosted Sessions (デバイス ホストのセッション用パスワード エージング):ユーザが ACS 内部データベース内にあり、AAA クライアントが TACACS+ を実行しており、接続に Telnet が使用されている必要があります。デバイス ホストの Telnet セッション中に、ユーザがパスワードを変更できるかどうかを制御できます。また、この機能を使用して変更されたパスワードを ACS が伝搬するかどうかを制御できます。詳細については、「ローカル パスワードの管理」を参照してください。

Password Aging for Transit Sessions (中継セッション用パスワード エージング):ユーザが ACS 内部データベースに存在する必要があります。また、PPP ダイヤルアップ クライアントを使用している必要があります。さらに、エンドユーザ クライアントに Cisco Authentication Agent(CAA)がインストールされている必要があります。


ヒント CAA ソフトウェアは http://www.cisco.com から入手可能です。


さらに、中継セッション用パスワード エージングを実行するには、AAA クライアントは、RADIUS または TACACS+ を実行していればよいのですが、Cisco IOS リリース 11.2.7 以降を使用している必要があり、また、ウォッチドッグ アカウンティング パケット( aaa accounting new-info update (aaa アカウンティング新情報アップデート))に発信局の IP アドレスを付けて送信するように設定されている必要があります(ウォッチドッグ パケットは、セッション中に周期的に送信される仮パケットです。セッションの終了を示す停止パケットが受信されない場合に、おおよそのセッションの長さが計算できるようにします)。

この機能を使用して変更されたパスワードを ACS が伝搬するかどうかを制御できます。詳細については、「ローカル パスワードの管理」を参照してください。

ACS は、MS CHAP バージョン 1 および 2 で RADIUS プロトコルを使用するパスワード エージングをサポートしています。ACS は、RADIUS プロトコルを使用する Telnet 接続でのパスワード エージングはサポートしていません。


注意 RADIUS 接続を使用しているユーザが、パスワード エージングの警告期間中または猶予期間中、あるいはその期間以後に、AAA クライアントに対して Telnet 接続を行おうとすると、パスワード変更オプションは表示されずに、ユーザ アカウントは失効します。

パスワード エージング機能の設定

この項では、デバイス ホスト セッション用パスワード エージングおよび中継セッション用パスワード エージングの 2 方式について詳しく説明します。Windows パスワード エージング方式については、「パスワード エージングを Windows データベースのユーザに対してイネーブルにする」を参照してください。ローカル パスワードの確認オプションの設定については、「ローカル パスワードの管理」を参照してください。


) コールバック機能を使用している場合、パスワード エージング機能は正常に動作しません。コールバックを使用していると、ユーザはログイン時にパスワード エージング メッセージを受信できません。


ACS のパスワード エージング機能には、次のようなオプションがあります。

Apply age-by-date rules :ACS が日数によってパスワード エージングを決定するように設定します。日数によるエージング規則には、次のような設定値があります。

Active period :ユーザは、この日数の間は普通にログインできますが、この期間が経過すると、パスワードの変更を求めるプロンプトが表示されます。たとえば、20 を入力すると、ユーザは 20 日間は、パスワードの変更を求めるプロンプトが表示されることなく、パスワードを使用できます。Active period のデフォルト値は 20 日です。

Warning period :パスワード変更の通知期間の日数です。ユーザは既存のパスワードを使用できますが、ACS がパスワードの変更が必要であることを示し、パスワードが失効するまでの残りの日数が表示されます。たとえば、このボックスに 5 を入力し、Active period ボックスに 20 を入力すると、ユーザは 21 日目から 25 日目まで、パスワードを変更するように通知されます。

Grace period :ユーザの猶予期間の日数です。猶予期間中、ユーザは 1 回だけログインして、パスワードを変更できます。Active period および Warning period フィールドで指定されている日数が経過しても、既存のパスワードは 1 回だけ使用できます。その時にはダイアログボックスが表示され、パスワードを変更しないとアカウントが使用できなくなることをユーザに警告し、ユーザがパスワードを変更するようプロンプトで指示します。前の例に続けて、5 日の猶予期間を許可した場合、アクティブ期間中と警告期間中にログインしなかったユーザは、30 日目まで(30 日目も含む)そのパスワードの変更が許されます。しかし、猶予期間として 5 日が設定されている場合でも、パスワードが猶予期間の状態に入っているときのパスワードの変更操作は 1 回しか認められていません。CiscoSecure ACS では、「ラスト チャンス」を示す警告は 1 回しか表示されません。ユーザがパスワードを変更しなかった場合でも、最後の 1 回のログインは許可されますが、パスワードが失効するので、次回の認証は拒否されます。エントリは、Failed-Attempts ログにロギングされます。アカウントを再度有効にするには、管理者に連絡する必要があります。


) すべてのパスワードは、設定された日時ではなく、入力された日の夜中の 12 時に失効します。


Apply age-by-uses rulesログイン回数によってパスワード エージングを決定するように ACS を設定します。使用回数によるエージング規則には、次のような設定値があります。

Issue warning after x loginsログイン回数がこの値に達すると、ACS はパスワードの変更をプロンプトで指示します。たとえば、10 を入力すると、パスワード変更のプロンプトが表示されずに、ユーザは 10 回までログインできます。11 回目のログイン時に、ユーザはパスワードの変更をプロンプトで要求されます。


ヒント パスワードを変更せずに何回でもログインできるようにするには、-1 を入力します。


Require change after x logins :ログイン回数がこの値に達した後、パスワードの変更が絶対に必要であることがユーザに通知されます。この回数が 12 に設定されている場合、11 回目と 12 回目にログインしようとしたときに、パスワードの変更を要求するプロンプトがユーザに対して表示されます。13 回目にログインしようとしたときに、パスワードの変更が絶対に必要であることを指示するプロンプトが表示されます。その時点で、ユーザがパスワードを変更しない場合、そのアカウントは失効し、ログインできなくなります。この値には、 Issue warning after x login の回数よりも大きい値を指定する必要があります。


ヒント パスワードを変更せずに何回でもログインできるようにするには、-1 を入力します。


Apply password change rule :新規ユーザが初めてログインしたときに、そのパスワードの変更を強制します。

Generate greetings for successful logins :ユーザが CAA クライアントを介してログインに成功したときに、必ずグリーティング メッセージが表示されます。このメッセージには、このユーザ アカウント固有の最新のパスワード情報が含まれています。

パスワード エージング規則は、相互に排他的ではありません。つまり、オンになっているチェックボックスそれぞれに対して規則が適用されます。たとえば、ユーザに対して、20 日ごとおよび 10 回のログインごとにパスワードを変更するように強制し、それに応じた適切な警告と猶予を与えることができます。

どのオプションも選択されない場合は、パスワードが失効することはありません。

パスワード エージング パラメータは、ユーザ レベルに対応する設定を持つ他の多くのパラメータとは異なり、グループ レベルでのみ設定されます。

ユーザは、自分のパスワードを変更せずに猶予期間が経過して認証に失敗すると、Failed Attempts ログにロギングされます。そのアカウントは失効し、Accounts Disabled リストに表示されます。

始める前に

使用している AAA クライアントが、TACACS+ プロトコルまたは RADIUS プロトコルを実行しているかどうか確認します(TACACS+ では、デバイス ホストのセッション用パスワード エージングだけがサポートされています)。

使用している AAA クライアントは、TACACS+ または RADIUS で、同じプロトコルを使用して、認証およびアカウンティングを実行するようにセットアップします。

パスワード確認オプションを設定したかどうかを確認します。詳細については、「ローカル パスワードの管理」を参照してください。

使用している AAA クライアントが、Cisco IOS リリース 11.2.7 以降を使用し、ウォッチドッグ アカウンティング パケット( aaa accounting new-info update (aaa アカウンティング新情報アップデート))に発信局の IP アドレスを付けて送信するように設定します。

ユーザ グループに対して パスワード エージング 規則を設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 3 ページの一番上の Jump To リストで、 Password Aging を選択します。

Password Aging Rules テーブルが表示されます。

ステップ 4 日数によるパスワード エージングを設定するには、 Apply age-by-date rules チェックボックスをオンにしてから、必要に応じて、次のオプションに日数を入力します。

Active period

Warning period

Grace period


) 各フィールドには、最大で 5 文字まで入力できます。


ステップ 5 使用回数によるパスワード エージングを設定するには、 Apply age-by-uses rules チェックボックスをオンにしてから、必要に応じて、次の各オプションにログイン回数を入力します。

Issue warning after x logins

Require change after x logins


) 各フィールドには、最大で 5 文字まで入力できます。


ステップ 6 管理者がパスワードを変更した後、ユーザが最初にログインしたときに、パスワードを強制的に変更させるには、 Apply password change rule チェックボックスをオンにします。

ステップ 7 グリーティング メッセージを表示するようにするには、 Generate greetings for successful logins チェックボックスをオンにします。

ステップ 8 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 9 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

パスワード エージングを Windows データベースのユーザに対してイネーブルにする

ACS は、Windows データベース内のユーザ用に 2 つのタイプのパスワード エージングをサポートしています。どちらのタイプの Windows パスワード エージング方式も、他の ACS パスワード エージング方式とは関連のない、まったく別のものです。ACS 内部データベース内のユーザを制御するパスワード エージング方式の要件や設定については、「ACS 内部データベースのパスワード エージングをイネーブルにする」を参照してください。


) Windows パスワード エージングと ACS の中継セッション用パスワード エージングは、ユーザがこの 2 つのデータベースからそれぞれ認証されるという条件があれば、両方を同時に実行できます。


Windows データベース用のパスワード エージングのタイプを次に示します。

RADIUS ベースのパスワード エージング :RADIUS ベースのパスワード エージングでは、RADIUS AAA プロトコルを利用してパスワード変更メッセージを送受信します。RADIUS ベースの Windows パスワード エージング方式の実装要件は次のとおりです。

ACS と AAA クライアントの間の通信には、RADIUS を使用すること。

AAA クライアントは、MS CHAP 認証に加えて、MS CHAP パスワード エージングもサポートすること。

ユーザが Windows ユーザ データベース内にあること。

ユーザが Windows RADIUS クライアントを使用しており、サーバが MS-CHAP を使用したパスワード変更をサポートしていること。

External User Databases セクション内の Windows configuration で、MS CHAP バージョン 1 または MS CHAP バージョン 2、あるいはその両方をイネーブルにすること。


ヒント パスワード変更のために MS CHAP をイネーブルにする方法については、「Windows 外部ユーザ データベースの設定」を参照してください。System Configuration で、MS CHAP をイネーブルにする方法については、「グローバル認証のセットアップ」を参照してください。


PEAP パスワード エージング :PEAP パスワード エージングでは、PEAP(EAP-GTC)または PEAP(EAP-MSCHAPv2)認証プロトコルを利用してパスワード変更メッセージを送受信します。PEAP Windows パスワード エージング方式の実装要件は次のとおりです。

AAA クライアントが EAP をサポートしていること。

ユーザが Windows ユーザ データベース内にあること。

ユーザが Microsoft PEAP クライアント、たとえば Windows XP を使用していること。

System Configuration セクションの Global Authentication Configuration ページで、PEAP をイネーブルにすること。


ヒント System Configuration で PEAP をイネーブルにする方法については、「グローバル認証のセットアップ」を参照してください。


External User Databases セクションの Windows Authentication Configuration ページで、PEAP パスワード変更をイネーブルにすること。


ヒント PEAP パスワード変更をイネーブルにする方法については、「Windows ユーザ データベース」を参照してください。


EAP-FAST パスワード エージング :パスワード エージングが EAP-FAST のフェーズ 0 で行われた場合、EAP-MSCHAPv2 を利用してパスワード変更メッセージを送受信します。パスワード エージングが EAP-FAST のフェーズ 2 で行われた場合、Extensible Authentication Protocol - Generic Token Card(EAP-GTC)を利用してパスワード変更メッセージを送受信します。EAP-FAST Windows パスワード エージング方式の実装要件は次のとおりです。

AAA クライアントが EAP をサポートしていること。

ユーザが Windows ユーザ データベース内にあること。

ユーザが EAP-FAST をサポートするクライアントを使用していること。

System Configuration セクションの Global Authentication Configuration ページで、EAP-FAST をイネーブルにすること。


ヒント System Configuration で EAP-FAST をイネーブルにする方法については、「グローバル認証のセットアップ」を参照してください。


External User Databases セクションの Windows Authentication Configuration ページで、EAP-FAST パスワード変更をイネーブルにすること。


ヒント EAP-FAST パスワード変更をイネーブルにする方法については、「Windows ユーザ データベース」を参照してください。


ユーザは、自分の Windows アカウントがリモート ドメイン(つまり、ACS がその中で動作していないドメイン)に常駐している場合、そのドメイン名を与えた場合に限り、Windows ベース パスワード エージングを使用できます。

Windows パスワード エージングの方式と機能は、どの Microsoft Windows オペレーティング システムを使用しているか、および Active Directory(AD)または Security Accounts Manager(SAM)のどちらを採用しているかによって異なります。Windows ユーザ データベース内のユーザに対してパスワード エージングを設定することは、Windows でセキュリティ ポリシーを設定するというさらに大きなタスクの一部に過ぎません。Windows 手順の包括的な説明については、使用している Windows システムのマニュアルを参照してください。

IP アドレス割り当て方式をユーザ グループに対して設定する

この手順を実行して、ACS がグループ内のユーザに IP アドレスを割り当てる方法を設定してください。次の 4 つの方法があります。

No IP address assignment :このグループには IP アドレスを割り当てません。

Assigned by dialup client :ダイヤルアップ クライアント ネットワーク上で TCP/IP 用に設定されている IP アドレスを使用します。

Assigned from AAA Client pool :IP アドレスは AAA クライアント上で割り当てられている IP アドレス プールによって割り当てられます。

Assigned from AAA server pool :IP アドレスは AAA サーバ上で割り当てられている IP アドレス プールによって割り当てられます。

ユーザ グループに対して IP アドレスの割り当て方式を設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 3 ページの一番上の Jump To リストで、 IP Address Assignment を選択します。

ステップ 4 IP Assignment テーブルで、次のいずれかを選択します。

No IP address assignment

Assigned by dialup client

Assigned from AAA Client pool 。次に、AAA クライアント IP プール名を入力します。

Assigned from AAA pool 。次に、Available Pools リストで AAA サーバ IP プール名を選択してから、 --> (右矢印ボタン)をクリックして、選択した名前を Selected Pools リストに移動します。


) Selected Pools リストに複数のプールがある場合、このグループ内のユーザは、リストで最初に表示された使用可能なプールに割り当てられます。



ヒント リスト内のプールの位置を移動するには、プール名をクリックしてから、プールが希望する位置に移動するまで Up または Down をクリックします。

ステップ 5 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 6 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

ダウンロード可能 IP ACL をグループに割り当てる

ダウンロード可能 ACL 機能を使用して、グループ レベルで IP ACL を割り当てることができます。


) 割り当てる前に、1 つ以上の IP ACL を設定しておく必要があります。ACS Web インターフェイスの Shared Profile Components セクションを使用してダウンロード可能 IP ACL を追加する方法については、「ダウンロード可能 IP ACL の追加」を参照してください。



ヒント Downloadable ACLs テーブルは、イネーブルになっていない場合は表示されません。Downloadable ACLs テーブルをイネーブルにするには、Interface Configuration > Advanced Options を選択します。次に、Group-Level Downloadable ACLs チェックボックスをオンにします。


グループにダウンロード可能 IP ACL を割り当てるには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 3 ページの一番上の Jump To リストで、 Downloadable ACLs を選択します。

ステップ 4 Downloadable ACLs セクションの下にある Assign IP ACL チェックボックスをオンにします。

ステップ 5 リストから IP ACL を選択します。

ステップ 6 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 7 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

TACACS+ をユーザ グループに対して設定する

グループに属している各ユーザの認可に適用するサービス パラメータまたはプロトコル パラメータを設定および使用するには、この手順を実行します。Shell Command Authorization Set に対する設定方法については、「シェル コマンド認可セットをユーザ グループに対して設定する」を参照してください。


) 追加サービスまたはプロトコルを表示または非表示にするには、
Interface Configuration>TACACS+ (Cisco IOS) を選択してから、必要に応じて、グループ カラムの項目を選択するか、クリアします。


TACACS+ をユーザ グループに対して設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 3 ページの一番上の Jump To リストで、 TACACS+ を選択します。

TACACS+ Settings テーブル セクションが表示されます。

ステップ 4 TACACS+ Settings テーブルで、グループに対して認可するサービスおよびプロトコルを設定するには、次の手順を実行します。

a. サービスまたはプロトコルのチェックボックス(たとえば PPP IP や ARAP)を 1 つ以上オンにします。

b. ステップ a で選択した各サービスまたはプロトコルの下で、必要に応じてアトリビュートを選択し、次に、対応する値を入力して、そのサービスまたはプロトコルの認可内容を詳細に定義します。

特定のサービスについてカスタム アトリビュートを使用するには、そのサービスの Custom attributes チェックボックスをオンにし、次にチェックボックスの下にあるボックスにアトリビュートまたは値を指定する必要があります。

アトリビュートの詳細については、 付録 B「TACACS+ の AV ペア」 または使用している AAA クライアントのマニュアルを参照してください。


ヒント ACL および IP アドレス プールを指定するには、ACL またはプールの名前を AAA クライアントで定義されているとおりに入力します(ACL は Cisco IOS コマンドのリストであり、ネットワーク上の他のデバイスやユーザへのアクセス、またはそれらのデバイスやユーザからのアクセスを制限するために使用されます)。


) デフォルト設定(AAA クライアント上に定義されている)を使用するには、アトリビュート値のボックスをブランクのままにします。



) ACL を定義し、ダウンロードできます。Interface Configuration> TACACS+ (Cisco IOS) をクリックしてから、Display a window for each service selected in which you can enter customized TACACS+ attributes を選択します。ACL を定義できるボックスが、各サービスまたはプロトコルの下に開きます。


ステップ 5 特にリストされてディセーブルになっている場合を除き、すべてのサービスを許可できるようにするために、Checking this option will PERMIT all UNKNOWN Services テーブルの下にある Default (Undefined) Services チェックボックスをオンにします。


注意 Default (Undefined) Services オプションは高度な機能であるため、セキュリティの意味を熟知している管理者だけが使用するようにしてください。

ステップ 6 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 7 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

シェル コマンド認可セットをユーザ グループに対して設定する

この手順では、グループに対してシェル コマンド認可セット パラメータを指定します。次の 4 つのオプションがあります。

None :シェル コマンドは認可しません。

Assign a Shell Command Authorization Set for any network device :1 つのシェル コマンド認可セットが割り当てられ、すべてのネットワーク デバイスに適用されます。

Assign a Shell Command Authorization Set on a per Network Device Group Basis :特定のシェル コマンド認可セットを特定の NDG に関連付けます。

Per Group Command Authorization :特定の Cisco IOS コマンドと引数をグループ レベルで許可または拒否できます。


) この機能では、すでにシェル コマンド認可セットを設定してあることが必要です。詳細な手順については、「コマンド認可セットの追加」を参照してください。


ユーザ グループのシェル コマンド認可セット パラメータを指定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 3 ページの一番上の Jump To リストで、 TACACS+ を選択します。

TACACS+ Settings テーブル セクションが表示されます。

ステップ 4 垂直スクロールバーを使用して、Shell Command Authorization Set 機能領域にスクロールします。

ステップ 5 シェル コマンド認可セットを適用しない場合は、 None オプションを選択します(またはデフォルトをそのまま使用します)。

ステップ 6 設定済みの任意のネットワーク デバイスで、特定のシェル コマンド認可セットが有効になるように割り当てるには、次の手順を実行します。

a. Assign a Shell Command Authorization Set for any network device オプションを選択します。

b. そのオプションの下で、このグループに適用するシェル コマンド認可セットを選択します。

ステップ 7 特定のシェル コマンド認可セットが、特定の NDG で有効になるように関連付けを作成するには、関連ごとに、次の手順を実行します。

a. Assign a Shell Command Authorization Set on a per Network Device Group Basis オプションを選択します。

b. Device Group と対応する Command Set を選択します。


ヒント すべての Device Groups に対して有効になる Command Set は、その Device Groups が異なるように割り当てられていなければ、そのコマンド セットを <default> デバイス グループに割り当てることで、選択できます。

c. Add Association をクリックします。

関連付けられた NDG とシェル コマンド認可セットが、テーブルに表示されます。

ステップ 8 特定の Cisco IOS コマンドと引数がグループ レベルで許可または拒否されるように定義するには、次の手順を実行します。

a. Per Group Command Authorization オプションを選択します。

b. Unmatched Cisco IOS commands で、 Permit または Deny を選択します。

Permit を選択すると、ユーザは、特にリストに載っていないコマンドでもすべて発行できるようになります。Deny を選択すると、ユーザはリストに載っているコマンドだけを発行できます。

c. 許可または拒否する特定のコマンドをリストに載せるには、 Command チェックボックスをオンにしてから、コマンドの名前を入力し、標準の Permit または Deny 構文を使用してその引数を定義した後、リストに指定されていない引数を許可するか拒否するかを選択します。


注意 これは強力で高度な機能であるため、Cisco IOS コマンドを熟知している管理者だけが使用するようにしてください。構文を正しく入力することは、管理者の責任です。ACS が使用している、コマンド引数でのパターン マッチングについては、「パターン マッチングについて」を参照してください。


ヒント 複数のコマンドを入力するには、1 つのコマンドを指定するごとに、Submit をクリックする必要があります。入力済みのボックスの下に、新しいコマンド入力ボックスが表示されます。



 

PIX コマンド認可セットをユーザ グループに対して設定する

この手順では、ユーザ グループに対して PIX コマンド認可セット パラメータを指定します。次の 3 つのオプションがあります。

None :PIX コマンドは認可しません。

Assign a PIX Command Authorization Set for any network device :1 つの PIX コマンド認可セットが割り当てられ、すべてのネットワーク デバイスに適用されます。

Assign a PIX Command Authorization Set on a per Network Device Group Basis :特定の PIX コマンド認可セットを特定の NDG に適用します。

始める前に

AAA クライアントが、セキュリティ コントロール プロトコルとして TACACS+ を使用するように設定されていることを確認します。

Interface Configuration セクションの TACACS+ (Cisco) ページにある Group カラムで PIX Shell (pixShell) オプションが選択されていることを確認します。

1 つ以上の PIX コマンド認可セットを事前に設定してあることを確認します。詳細な手順については、「コマンド認可セットの追加」を参照してください。

ユーザ グループの PIX コマンド認可セット パラメータを指定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 3 ページの一番上の Jump To リストで、 TACACS+ を選択します。

TACACS+ Settings テーブル セクションが表示されます。

ステップ 4 TACACS+ Settings テーブル内の PIX Command Authorization Set 機能領域までスクロール ダウンします。

ステップ 5 PIX コマンド認可セットを適用しない場合は、 None オプションを選択します(またはデフォルトをそのまま使用します)。

ステップ 6 設定済みの任意のネットワーク デバイスで、特定の PIX コマンド認可セットが有効になるように割り当てるには、次の手順を実行します。

a. Assign a PIX Command Authorization Set for any network device オプションを選択します。

b. そのオプションの下で、このユーザ グループに適用する PIX コマンド認可セットを選択します。

ステップ 7 特定の PIX コマンド認可セットが、特定の NDG で有効になるように関連付けを作成するには、関連ごとに、次の手順を実行します。

a. Assign a PIX Command Authorization Set on a per Network Device Group Basis オプションを選択します。

b. Device Group と、関連付ける Command Set を選択します。

c. Add Association をクリックします。

関連付けられた NDG と PIX コマンド認可セットが、テーブルに表示されます。


) 既存の PIX コマンド認可セット関連付けを削除または編集するには、リストで関連付けを選択し、Remove Association をクリックしてください。



 

デバイス管理コマンド認可をユーザ グループに対して設定する

この手順を使用して、グループに対してデバイス管理コマンド認可セット パラメータを指定してください。デバイス管理コマンド認可セットは、ACS を使用して認可するように設定されている Cisco デバイス管理アプリケーションにおけるタスクの認可をサポートしています。次の 3 つのオプションがあります。

None :該当する Cisco デバイス管理アプリケーションで発行されたコマンドに対する認可は実行しません。

Assign a device-management application for any network device:該当するデバイス管理アプリケーションに 1 つのコマンド認可セットが割り当てられ、あらゆるネットワーク デバイスでの管理タスクに適用されます。

Assign a device-management application on a per Network Device Group Basis:該当するデバイス管理アプリケーションのコマンド認可セットを特定の NDG に適用できます。コマンド認可セットは、その NDG に属するネットワーク デバイスでのすべての管理タスクに適用されます。


) この機能を利用するには、該当する Cisco デバイス管理アプリケーション用のコマンド認可セットを設定する必要があります。詳細な手順については、「コマンド認可セットの追加」を参照してください。


デバイス管理アプリケーションのコマンド認可をユーザ グループに対して指定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 3 ページの一番上の Jump To リストで、 TACACS+ を選択します。

TACACS+ Settings テーブル セクションが表示されます。

ステップ 4 垂直スクロールバーを使用して、 device-management application 機能領域にスクロールします。ここで、 device-management application は、該当する Cisco デバイス管理アプリケーションの名前です。

ステップ 5 該当するデバイス管理アプリケーションにコマンド認可セットを適用しない場合は、 None オプションを選択します。

ステップ 6 任意のネットワーク デバイスでのデバイス管理アプリケーションのアクションに対して、特定のコマンド認可セットが有効になるように割り当てるには、次の手順を実行します。

a. Assign a device-management application for any network device オプションを選択します。

b. 次に、そのオプションの下にあるリストで、このグループに適用するコマンド認可セットを選択します。

ステップ 7 特定のコマンド認可セットが、特定の NDG でのデバイス管理アプリケーションのアクションに対して有効になるように関連付けを作成するには、関連ごとに、次の手順を実行します。

a. Assign a device-management application on a per Network Device Group Basis オプションを選択します。

b. Device Group と対応する device-management application を選択します。

c. Add Association をクリックします。

関連付けられた NDG とコマンド認可セットが、テーブルに表示されます。


 

IETF RADIUS をユーザ グループに対して設定する

IETF RADIUS 設定パラメータは、次の条件が満たされる場合に限り表示されます。次のように設定しておく必要があります。

Network Configuration で、AAA クライアントが RADIUS プロトコルのいずれかを使用する。

Web インターフェイスの Interface Configuration セクションの RADIUS (IETF) ページで、グループ レベルの RADIUS アトリビュートがイネーブルになっている。

RADIUS アトリビュートは、ACS から要求側の AAA クライアントに各ユーザ用のプロファイルとして送信されます。これらのアトリビュートを表示または非表示にする方法については、「RADIUS のプロトコル設定オプション」を参照してください。RADIUS アトリビュートの一覧表と説明については、 付録 C「RADIUS アトリビュート」 を参照してください。AAA クライアントが RADIUS を使用する方法については、AAA クライアントのベンダーのマニュアルを参照してください。

現在のグループの各ユーザに対する認可として適用される IETF RADIUS アトリビュートを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 3 ページの一番上の Jump To リストで、 RADIUS (IETF) を選択します。

ステップ 4 各 IETF RADIUS アトリビュートに対して、現在のグループを認可する必要があります。アトリビュートの隣にあるチェックボックスをオンにしてから、そのフィールドまたはその次のフィールドのアトリビュートに対する認可を定義します。

ステップ 5 グループ設定を保存してすぐに適用するには、 Submit + Restart をクリックします。


ヒント グループ設定を保存して後で適用するには、Submit をクリックします。変更を実装する準備ができたら、System Configuration > Service Control を選択します。次に、Restart を選択します。


詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 6 ACS がサポートしている RADIUS ネットワーク デバイス ベンダーに対して、Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)を設定するには、次の該当する項を参照してください。

「Cisco IOS/PIX 6.0 RADIUS をユーザ グループに対して設定する」

「Cisco Airespace RADIUS をユーザ グループに対して設定する」

「Cisco Aironet RADIUS をユーザ グループに対して設定する」

「Ascend RADIUS をユーザ グループに対して設定する」

「VPN 3000/ASA/PIX v7.x+ RADIUS をユーザ グループに対して設定する」

「Cisco VPN 5000 Concentrator RADIUS をユーザ グループに対して設定する」

「Microsoft RADIUS をユーザ グループに対して設定する」

「Nortel RADIUS をユーザ グループに対して設定する」

「Juniper RADIUS をユーザ グループに対して設定する」

「BBSM RADIUS をユーザ グループに対して設定する」

ステップ 7 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

Cisco IOS/PIX 6.0 RADIUS をユーザ グループに対して設定する

Cisco IOS/PIX 6.x RADIUS パラメータは、次の条件が満たされる場合に限り表示されます。次のように設定しておく必要があります。

Network Configuration で、AAA クライアントが RADIUS (Cisco IOS/PIX 6.x) を使用する。

Group-level RADIUS (Cisco IOS/PIX 6.x) アトリビュートが Interface Configuration の RADIUS (Cisco IOS/PIX 6.x) でイネーブルになっている。

Cisco IOS/PIX 6.x RADIUS は Cisco VSA だけを表示します。IETF RADIUS アトリビュートと Cisco IOS/PIX 6.x RADIUS アトリビュートの両方を設定する必要があります。


) Cisco IOS/PIX 6.x RADIUS アトリビュートを表示または非表示にする方法については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のグループに対する認可として適用される VSA は、それに関連付けられている AAA クライアントを削除したり置き換えたりしても保持されています。しかし、この(ベンダー)タイプの AAA クライアントが設定されていない場合は、その VSA 設定はグループ設定インターフェイスには表示されません。


現在のグループの各ユーザに対する認可として適用される Cisco IOS/PIX 6.x RADIUS アトリビュートを設定してイネーブルにするには、次の手順を実行します。


ステップ 1 Cisco IOS/PIX 6.x RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが正しく設定されていることを確認する必要があります。IETF RADIUS アトリビュートの設定の詳細については、「IETF RADIUS をユーザ グループに対して設定する」を参照してください。

ステップ 2 [009\001] cisco-av-pair アトリビュートを使用して認可を指定する場合、アトリビュートの隣にあるチェックボックスをオンにして、テキスト ボックスにアトリビュートと値(AV)のペアを入力します。各アトリビュート値のペアは、Enter キーを押して区切ります。

たとえば、ACS が Infected のシステム ポスチャ トークンを割り当てる先の Network Admission Control(NAC; ネットワーク アドミッション コントロール)クライアントへの認可の割り当てに現在のグループが使用されている場合、 url-redirect posture-token status-query-timeout の各アトリビュートは次のように値を指定します。

url-redirect=http://10.1.1.1
posture-token=Infected
status-query-timeout=150

ステップ 3 他の Cisco IOS/PIX 6.x RADIUS アトリビュートを使用する場合、対応するチェックボックスをオンにして、隣接するテキスト ボックスに必要な値を指定します。

ステップ 4 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 5 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

高度な設定オプション

認証済みのポート マッピングに対して cisco-av-pair をイネーブルにするには、Advanced Configuration Options セクションを使用します。

cisco-av-pair アトリビュートをイネーブルにすると、次の文字列が Cisco IOS/PIX デバイスに送信されます。

aaa:supplicant_name=username_attribute < User-Name アトリビュートの内容 >


cisco-av-pairaaa:supplicant_name= という値がユーザ レベルまたはグループ レベル、または両方のレベルで設定されていると、Enable Authenticated Port cisco-av-pair チェックボックスは無視されます。


レイヤ 2 802.1X の認証済みポート マッピングの cisco-av-pair アトリビュートは、Cat OS を実行している Catalyst 6000 デバイスでサポートされています。

Cisco Airespace RADIUS をユーザ グループに対して設定する

Cisco Airespace RADIUS パラメータは、次の条件を満たす場合に限り表示されます。次のように設定しておく必要があります。

Network Configuration で、AAA クライアントが RADIUS(Cisco Airespace)を使用する。

グループ レベルの RADIUS (Cisco Airespace) アトリビュートが、Interface Configuration > RADIUS (Cisco-Airespace) でイネーブルになっている。

Cisco Airespace RADIUS は、Cisco VSA だけを表示します。Interface Configuration には、IETF RADIUS アトリビュートと Cisco IOS/PIX 6.x RADIUS アトリビュートが表示されます。これらの固有のアトリビュートは手動で設定する必要があります。


) Cisco Airespace RADIUS アトリビュートを表示または非表示にする方法については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のグループに対する認可として適用される VSA は、それに関連付けられている AAA クライアントを削除したり置き換えたりしても保持されています。しかし、この(ベンダー)タイプの AAA クライアントが設定されていない場合は、その VSA 設定はグループ設定インターフェイスには表示されません。


現在のグループの各ユーザに対する認可として適用される Cisco Airespace RADIUS アトリビュートを設定してイネーブルにするには、次の手順を実行します。


ステップ 1 IETF RADIUS アトリビュートが正しく設定されていることを確認します。IETF RADIUS アトリビュートの設定の詳細については、「IETF RADIUS をユーザ グループに対して設定する」を参照してください。

ACS では IETF の部分的なサポートはできないため、Cisco Airespace デバイスを(Network Config に)追加すると、Cisco IOS デバイスの追加と同様、自動的に IETF アトリビュートがイネーブルになります。

ステップ 2 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 3 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 4 ページの一番上の Jump To リストで、 RADIUS ( Cisco Airespace) を選択します。

ステップ 5 Cisco Airespace RADIUS Attributes テーブルで、アトリビュートの隣にあるチェックボックスをオンにして、グループに対して認可するアトリビュートを設定します。その隣にあるフィールドで、必ずアトリビュートに対する認可を定義してください。アトリビュートの詳細については、 付録 C「RADIUS アトリビュート」 または使用している AAA クライアントのマニュアルを参照してください。

ステップ 6 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 7 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

Cisco Aironet RADIUS をユーザ グループに対して設定する

単一の Cisco Aironet RADIUS ベンダー固有アトリビュート(VSA)、つまり
Cisco-Aironet-Session-Timeout は、バーチャル VSA です。これは、RADIUS (Cisco Aironet) を使用する AAA クライアントからの RADIUS 要求に応答する際に、ACS が使用する IETF RADIUS
Session-Timeout
アトリビュート(27)の特別実装です。したがって、これを使用すると、無線アクセス デバイスと有線アクセス デバイス経由でネットワークにアクセスするユーザに対して、それぞれ異なるタイムアウト値を指定できます。WLAN 接続のタイムアウト値を指定すると、WLAN 接続(通常は分単位で計測)に対して標準のタイムアウト値(通常は時間単位で計測)を使用しなければならない場合に起こり得る矛盾が回避されます。


ヒント ACS 3.3 では、Cisco-Aironet-Session-Timeout をイネーブルにして設定するのは、グループの一部のメンバーまたはすべてのメンバーが、有線アクセス デバイスまたは無線アクセス デバイス経由で接続する可能性がある場合だけです。グループのメンバーが常に Cisco Aironet Access Point(AP)経由で接続する場合、または常に有線アクセス デバイス経由で接続する場合、
Cisco-Aironet-Session-Timeout
を使用する必要はありませんが、代わりに RADIUS (IETF) アトリビュート 27、Session-Timeout を設定する必要があります。ACS 4.0 では、ネットワーク アクセス プロファイルを使用して、無線固有のポリシーを作成するため、Aironet タイムアウト VSA は廃止されました。既存の設定に対してはこの VSA がサポートされているため、設定が無効になることはありません。RAC はこの VSA をサポートしていません。


たとえば、あるユーザ グループに対して Cisco-Aironet-Session-Timeout を 600 秒(10 分)に、IETF RADIUS Session-Timeout を 3 時間に設定するとします。このグループのメンバーが VPN コンセントレータ経由で接続すると、ACS はタイムアウト値として 3 時間を使用します。一方、このユーザが Cisco Aironet AP 経由で接続すると、ACS は、Aironet AP からの認証要求に応答し、IETF RADIUS Session-Timeout アトリビュートに 600 秒を送信します。このように、Cisco-Aironet-Session-Timeout アトリビュートが設定されていれば、エンドユーザ クライアントが有線アクセス デバイスと Cisco Aironet AP のどちらであるかに応じて、異なるタイムアウト値を送信できます。

Cisco-Aironet-Session-Timeout VSA は、次の条件を満たす場合に限り、Group Setup ページに表示されます。次のように設定しておく必要があります。

Network Configuration で、AAA クライアントが RADIUS (Cisco Aironet) を使用する。

グループ レベルの RADIUS (Cisco Aironet) アトリビュートが、Interface Configuration > RADIUS (Cisco Aironet) でイネーブルになっている。


) Cisco Aironet RADIUS VSA を表示または非表示にする方法については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のグループに対する認可として適用される VSA は、それに関連付けられている AAA クライアントを削除したり置き換えたりしても保持されています。しかし、RADIUS(Cisco Aironet)を使用するように設定されている AAA クライアントがない場合は、その VSA 設定はグループ設定インターフェイスには表示されません。


現在のグループの各ユーザに対する認可として適用される Cisco Aironet RADIUS アトリビュートを設定してイネーブルにするには、次の手順を実行します。


ステップ 1 IETF RADIUS アトリビュートが正しく設定されていることを確認します。IETF RADIUS アトリビュートの設定の詳細については、「IETF RADIUS をユーザ グループに対して設定する」を参照してください。

ステップ 2 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 3 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 4 ページの一番上の Jump To リストで、 RADIUS (Cisco Aironet) を選択します。

ステップ 5 Cisco Aironet RADIUS Attributes テーブルで、 [5842\001] Cisco-Aironet-Session-Timeout チェックボックスをオンにします。

ステップ 6 [5842\001] Cisco-Aironet-Session-Timeout ボックスに、セッション タイムアウト値を秒単位で入力します。この値は、AAA クライアントが RADIUS(Cisco Aironet)認証オプションを使用するように Network Configuration で設定されている場合に、ACS によって IETF RADIUS Session-Timeout (27)アトリビュートとして送信されます。推奨値は 600 秒です。

IETF RADIUS Session-Timeout (27) アトリビュートの詳細については、 付録 C「RADIUS アトリビュート」 または使用している AAA クライアントのマニュアルを参照してください。

ステップ 7 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 8 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

Ascend RADIUS をユーザ グループに対して設定する

Ascend RADIUS パラメータは、次の条件が満たされる場合に限り表示されます。次のように設定しておく必要があります。

AAA クライアントが RADIUS (Ascend) または RADIUS (Cisco IOS/PIX) を使用するように Network Configuration で設定されている。

Interface Configuration の RADIUS (Ascend) 内の Group-level RADIUS (Ascend) アトリビュートがイネーブルになっている。

RADIUS (Ascend) は、Ascend 独自のアトリビュートを表します。IETF RADIUS アトリビュートと Ascend RADIUS アトリビュートの両方を設定する必要があります。このような独自アトリビュートを選択すると、IETF アトリビュートが無効になります。

RADIUS のデフォルトのアトリビュート設定は、 Ascend-Remote-Addr です。


) Ascend RADIUS アトリビュートを表示または非表示にする方法については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のグループに対する認可として適用される VSA は、それに関連付けられている AAA クライアントを削除したり置き換えたりしても保持されています。しかし、この(ベンダー)タイプの AAA クライアントが設定されていない場合は、その VSA 設定はグループ設定インターフェイスには表示されません。


現在のグループの各ユーザに対する認可として適用される Ascend RADIUS アトリビュートを設定してイネーブルにするには、次の手順を実行します。


ステップ 1 IETF RADIUS アトリビュートが正しく設定されていることを確認します。IETF RADIUS アトリビュートの設定の詳細については、「IETF RADIUS をユーザ グループに対して設定する」を参照してください。

ステップ 2 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 3 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 4 ページの一番上の Jump To リストで、 RADIUS (Ascend) を選択します。

ステップ 5 Ascend RADIUS Attributes テーブルで、アトリビュートの隣にあるチェックボックスをオンにして、グループに対して認可するアトリビュートを決定します。その隣にあるフィールドで、必ずアトリビュートに対する認可を定義してください。アトリビュートの詳細については、 付録 C「RADIUS アトリビュート」 または使用している AAA クライアントのマニュアルを参照してください。

ステップ 6 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 7 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

VPN 3000/ASA/PIX v7.x+ RADIUS をユーザ グループに対して設定する

Cisco VPN 3000 コンセントレータ経由でネットワークにアクセスするユーザの
Microsoft Point-to-Point Encryption(MPPE)設定値を制御するには、たとえば、
CVPN3000-PPTP-Encryption (VSA 20) アトリビュートと CVPN3000-L2TP-Encryption (VSA 21) アトリビュートを使用します。 CVPN3000-PPTP-Encryption (VSA 20) CVPN3000-L2TP-Encryption (VSA 21) の設定値は、Microsoft MPPE RADIUS 設定値よりも優先されます。

このどちらかのアトリビュートがイネーブルになっている場合、ACS は、送信 RADIUS (Microsoft) アトリビュートに送信する値を決定して、RADIUS (Cisco VPN 3000) アトリビュートと一緒に送信します。この動作は、RADIUS (Microsoft) アトリビュートが ACS Web インターフェイスでイネーブルになっているかどうかということや、これらのアトリビュートの設定内容には依存しません。

VPN 3000/ASA/PIX v7.x+ RADIUS アトリビュートの設定値は、次の条件が満たされる場合に限り表示されます。次のように設定しておく必要があります。

Network Configuration で、AAA クライアントが RADIUS (Cisco VPN 3000/ASA/PIX v7.x+) を使用する。

Interface Configuration セクションの RADIUS (VPN 3000/ASA/PIX v7.x+) ページの Group-level RADIUS (Cisco VPN 3000/ASA/PIX v7.x+) アトリビュートがイネーブルになっている。

Cisco VPN 3000/ASA/PIX v7.x+ RADIUS は、Cisco VPN 3000/ASA/PIX v7.x+ VSA だけを表示します。IETF RADIUS アトリビュートと VPN 3000/ASA/PIX v7.x+ RADIUS アトリビュートの両方を設定する必要があります。


) VPN 3000/ASA/PIX v7.x+ RADIUS アトリビュートを表示または非表示にする方法については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」 を参照してください。特定のグループに対する認可として適用される VSA は、それに関連付けられている AAA クライアントを削除したり置き換えたりしても保持されています。しかし、この(ベンダー)タイプの AAA クライアントが設定されていない場合は、その VSA 設定はグループ設定インターフェイスには表示されません。


現在のグループの各ユーザに対する認可として適用される VPN 3000/ASA/PIX v7.x+VPN
3000/ASA/PIX v7.x+ RADIUS アトリビュートを設定してイネーブルにするには、次の手順を実行します。


ステップ 1 IETF RADIUS アトリビュートが正しく設定されていることを確認します。

IETF RADIUS アトリビュートの設定の詳細については、「IETF RADIUS をユーザ グループに対して設定する」を参照してください。

ステップ 2 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 3 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 4 ページの一番上の Jump To リストで、 RADIUS (Cisco VPN 3000/ASA/PIX v7.x+) を選択します。

ステップ 5 Cisco VPN 3000/ASA/PIX v7.x+ RADIUS Attributes テーブルで、アトリビュートの隣にあるチェックボックスをオンにして、グループに対して認可するアトリビュートを決定します。その隣にあるフィールドで、必ずアトリビュートに対する認可を詳細に定義してください。

アトリビュートの詳細については、 付録 C「RADIUS アトリビュート」 または RADIUS を使用しているネットワーク デバイスのマニュアルを参照してください。

ステップ 6 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 7 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

Cisco VPN 5000 Concentrator RADIUS をユーザ グループに対して設定する

Cisco VPN 5000 Concentrator RADIUS アトリビュートの設定値は、次の条件が満たされる場合に限り表示されます。次のように設定しておく必要があります。

Network Configuration でネットワーク デバイスが RADIUS (Cisco VPN 5000) を使用する。

Interface Configuration セクション の RADIUS (Cisco VPN 5000) ページの Group-level RADIUS (Cisco VPN 5000) アトリビュートがイネーブルになっている。

Cisco VPN 5000 Concentrator RADIUS は Cisco VPN 5000 Concentrator VSA だけを表示します。IETF RADIUS アトリビュートと Cisco VPN 5000 Concentrator RADIUS アトリビュートの両方を設定する必要があります。


) Cisco VPN 5000 Concentrator RADIUS アトリビュートを表示または非表示にする方法については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のグループに対する認可として適用される VSA は、それに関連付けられている AAA クライアントを削除したり置き換えたりしても保持されています。しかし、この(ベンダー)タイプの AAA クライアントが設定されていない場合は、その VSA 設定はグループ設定インターフェイスには表示されません。


現在のグループの各ユーザに対する認可として適用される Cisco VPN 5000 Concentrator RADIUS アトリビュートを設定してイネーブルにするには、次の手順を実行します。


ステップ 1 IETF RADIUS アトリビュートが正しく設定されていることを確認します。

IETF RADIUS アトリビュートの設定の詳細については、「IETF RADIUS をユーザ グループに対して設定する」を参照してください。

ステップ 2 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 3 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 4 ページの一番上の Jump To リストで、 RADIUS (Cisco VPN 5000) を選択します。

ステップ 5 Cisco VPN 5000 Concentrator RADIUS Attributes テーブルで、アトリビュートの隣にあるチェックボックスをオンにして、グループに対して認可するアトリビュートを選択します。各アトリビュートに対する認可をその隣にあるフィールドで、詳細に定義します。

アトリビュートの詳細については、 付録 C「RADIUS アトリビュート」 または RADIUS を使用しているネットワーク デバイスのマニュアルを参照してください。

ステップ 6 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 7 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

Microsoft RADIUS をユーザ グループに対して設定する

Microsoft RADIUS は、MPPE をサポートする VSA を提供します。これは、PPP リンクを暗号化します。このような PPP 接続は、ダイヤルイン回線または VPN トンネルを経由します。

Cisco VPN 3000 シリーズのコンセントレータ経由でネットワークにアクセスするユーザの
Microsoft MPPE 設定値を制御するには、たとえば、CVPN3000-PPTP-Encryption (VSA 20) アトリビュートと CVPN3000-L2TP-Encryption (VSA 21) アトリビュートを使用します。
CVPN3000-PPTP-Encryption (VSA 20) と CVPN3000-L2TP-Encryption (VSA 21) の設定値は、Microsoft MPPE RADIUS 設定値よりも優先されます。このどちらかのアトリビュートがイネーブルになっている場合、ACS は、送信 RADIUS (Microsoft) アトリビュートに送信する値を決定して、RADIUS (Cisco VPN 3000/ASA/PIX v7.x+) アトリビュートと一緒に送信します。この動作は、RADIUS
(Microsoft) アトリビュートが ACS Web インターフェイスでイネーブルになっているかどうかということや、これらのアトリビュートの設定内容には依存しません。

Microsoft RADIUS アトリビュートの設定値は、次の条件が満たされる場合に限り表示されます。次のように設定しておく必要があります。

Microsoft RADIUS VSA をサポートしている RADIUS プロトコルを使用するネットワーク デバイスが、Network Configuration で設定されている。

Group-level Microsoft RADIUS アトリビュートが Interface Configuration セクション の RADIUS (Microsoft) ページでイネーブルになっている。

次の ACS RADIUS プロトコルは、Microsoft RADIUS VSA をサポートします。

Cisco IOS/PIX 6.0

Cisco VPN 3000/ASA/PIX v7.x+

Ascend

Cisco Airespace

Microsoft RADIUS は Microsoft VSA だけを表します。IETF RADIUS アトリビュートと Microsoft RADIUS アトリビュートの両方を設定する必要があります。


) Microsoft RADIUS アトリビュートを表示または非表示にする方法については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のグループに対する認可として適用される VSA は、それに関連付けられている AAA クライアントを削除したり置き換えたりしても保持されています。しかし、この(ベンダー)タイプの AAA クライアントが設定されていない場合は、その VSA 設定はグループ設定インターフェイスには表示されません。


現在のグループの各ユーザに対する認可として適用される Microsoft RADIUS アトリビュートを設定してイネーブルにするには、次の手順を実行します。


ステップ 1 IETF RADIUS アトリビュートが正しく設定されていることを確認します。

IETF RADIUS アトリビュートの設定の詳細については、「IETF RADIUS をユーザ グループに対して設定する」を参照してください。

ステップ 2 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 3 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 4 ページの一番上の Jump To リストで、 RADIUS (Microsoft) を選択します。

ステップ 5 Microsoft RADIUS Attributes テーブルで、アトリビュートの隣にあるチェックボックスをオンにして、グループに対して認可するアトリビュートを指定します。必要に応じて、さらに隣のフィールドで、そのアトリビュートに対する認可を定義します。アトリビュートの詳細については、 付録 C「RADIUS アトリビュート」 または RADIUS を使用しているネットワーク デバイスのマニュアルを参照してください。


) MS-CHAP-MPPE-Keys アトリビュート値は ACS によって自動生成されます。Web インターフェイスで設定する値はありません。


ステップ 6 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 7 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

Nortel RADIUS をユーザ グループに対して設定する

Nortel RADIUS アトリビュートの設定値は、次の条件が満たされる場合に限り表示されます。次のように設定しておく必要があります。

Nortel RADIUS VSA をサポートしている RADIUS プロトコルを使用するネットワーク デバイスが、Network Configuration で設定されている。

Interface Configuration セクション の RADIUS (Nortel) ページの Group-level Nortel RADIUS アトリビュートがイネーブルになっている。

Microsoft RADIUS は Nortel VSA だけを表します。IETF RADIUS アトリビュートと Nortel RADIUS アトリビュートの両方を設定する必要があります。


) Nortel RADIUS アトリビュートを表示または非表示にする方法については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のグループに対する認可として適用される VSA は、それに関連付けられている AAA クライアントを削除したり置き換えたりしても保持されています。しかし、この(ベンダー)タイプの AAA クライアントが設定されていない場合は、その VSA 設定はグループ設定インターフェイスには表示されません。


現在のグループの各ユーザに対する認可として適用される Nortel RADIUS アトリビュートを設定してイネーブルにするには、次の手順を実行します。


ステップ 1 IETF RADIUS アトリビュートが正しく設定されていることを確認します。

IETF RADIUS アトリビュートの設定の詳細については、「IETF RADIUS をユーザ グループに対して設定する」を参照してください。

ステップ 2 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 3 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 4 ページの一番上の Jump To リストで、 RADIUS (Nortel) を選択します。

ステップ 5 Nortel RADIUS Attributes テーブルで、アトリビュートの隣にあるチェックボックスをオンにして、グループに対して認可するアトリビュートを指定します。必要に応じて、さらに隣のフィールドで、そのアトリビュートに対する認可を定義します。アトリビュートの詳細については、 付録 C「RADIUS アトリビュート」 または RADIUS を使用しているネットワーク デバイスのマニュアルを参照してください。


) MS-CHAP-MPPE-Keys アトリビュート値は ACS によって自動生成されます。Web インターフェイスで設定する値はありません。


ステップ 6 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 7 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

Juniper RADIUS をユーザ グループに対して設定する

Juniper RADIUS は Juniper VSA だけを表します。IETF RADIUS アトリビュートと Juniper RADIUS アトリビュートの両方を設定する必要があります。


) Juniper RADIUS アトリビュートを表示または非表示にする方法については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のグループに対する認可として適用される VSA は、それに関連付けられている AAA クライアントを削除したり置き換えたりしても保持されています。しかし、この(ベンダー)タイプの AAA クライアントが設定されていない場合は、その VSA 設定はグループ設定インターフェイスには表示されません。


現在のグループの各ユーザに対する認可として適用される Juniper RADIUS アトリビュートを設定してイネーブルにするには、次の手順を実行します。


ステップ 1 IETF RADIUS アトリビュートが正しく設定されていることを確認します。

IETF RADIUS アトリビュートの設定の詳細については、「IETF RADIUS をユーザ グループに対して設定する」を参照してください。

ステップ 2 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 3 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 4 ページの一番上の Jump To リストで、 RADIUS (Juniper) を選択します。

ステップ 5 Juniper RADIUS Attributes テーブルで、アトリビュートの隣にあるチェックボックスをオンにして、グループに対して認可するアトリビュートを指定します。必要に応じて、さらに隣のフィールドで、そのアトリビュートに対する認可を定義します。アトリビュートの詳細については、 付録 C「RADIUS アトリビュート」 または RADIUS を使用しているネットワーク デバイスのマニュアルを参照してください。


) MS-CHAP-MPPE-Keys アトリビュート値は ACS によって自動生成されます。Web インターフェイスで設定する値はありません。


ステップ 6 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 7 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

BBSM RADIUS をユーザ グループに対して設定する

BBSM RADIUS は BBSM RADIUS VSA だけを表します。IETF RADIUS アトリビュートと BBSM RADIUS アトリビュートの両方を設定する必要があります。


) BBSM RADIUS アトリビュートを表示または非表示にする方法については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のグループに対する認可として適用される VSA は、それに関連付けられている AAA クライアントを削除したり置き換えたりしても保持されています。しかし、この(ベンダー)タイプの AAA クライアントが設定されていない場合は、その VSA 設定はグループ設定インターフェイスには表示されません。


現在のグループの各ユーザに対する認可として適用される BBSM RADIUS アトリビュートを設定してイネーブルにするには、次の手順を実行します。


ステップ 1 IETF RADIUS アトリビュートが正しく設定されていることを確認します。

IETF RADIUS アトリビュートの設定の詳細については、「IETF RADIUS をユーザ グループに対して設定する」を参照してください。

ステップ 2 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 3 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 4 ページの一番上の Jump To リストで、 RADIUS (BBSM) を選択します。

ステップ 5 BBSM RADIUS Attributes テーブルで、アトリビュートの隣にあるチェックボックスをオンにして、グループに対して認可するアトリビュートを指定します。必要に応じて、さらに隣のフィールドで、そのアトリビュートに対する認可を定義します。アトリビュートの詳細については、 付録 C「RADIUS アトリビュート」 または RADIUS を使用しているネットワーク デバイスのマニュアルを参照してください。


) MS-CHAP-MPPE-Keys アトリビュート値は ACS によって自動生成されます。Web インターフェイスで設定する値はありません。


ステップ 6 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 7 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

カスタム RADIUS VSA をユーザ グループに対して設定する

ユーザ定義のカスタム Radius VSA の設定値は、次の条件がすべて満たされる場合に限り表示されます。

カスタム RADIUS VSA を定義および設定してある(ユーザ定義の RADIUS VSA の作成については、「カスタム RADIUS ベンダーと VSA」を参照してください)。

カスタム VSA をサポートする RADIUS プロトコルを使用する ネットワーク デバイスが、Network Configuration で設定されている。

Interface Configuration セクション の RADIUS ( Name ) ページの Group-level custom RADIUS アトリビュートがイネーブルになっている。

IETF RADIUS アトリビュートと カスタム RADIUS アトリビュートの両方を設定する必要があります。

現在のグループの各ユーザに対する認可として適用されるカスタム RADIUS アトリビュートを設定してイネーブルにするには、次の手順を実行します。


ステップ 1 IETF RADIUS アトリビュートが正しく設定されていることを確認します。

IETF RADIUS アトリビュートの設定の詳細については、「IETF RADIUS をユーザ グループに対して設定する」を参照してください。

ステップ 2 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 3 Group リストでグループを選択し、 Edit Settings をクリックします。

Group Settings ページの一番上にそのグループの名前が表示されます。

ステップ 4 ページの一番上の Jump To リストで、 RADIUS ( custom name ) を選択します。

ステップ 5 RADIUS ( custom name ) Attributes テーブルで、アトリビュートの隣にあるチェックボックスをオンにして、グループに対して認可するアトリビュートを指定します。必要に応じて、さらに隣のフィールドで、そのアトリビュートに対する認可を定義します。アトリビュートの詳細については、 付録 C「RADIUS アトリビュート」 または RADIUS を使用しているネットワーク デバイスのマニュアルを参照してください。


) MS-CHAP-MPPE-Keys アトリビュート値は ACS によって自動生成されます。Web インターフェイスで設定する値はありません。


ステップ 6 グループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定に対する変更の保存」を参照してください。

ステップ 7 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。


 

グループ設定の管理

この項では、Group Setup セクションを使用して、さまざまな管理タスクを実行する方法について説明します。

この項では、次のトピックについて取り上げます。

「ユーザ グループ内のユーザのリスト表示」

「ユーザ グループの使用割当量カウンタのリセット」

「ユーザ グループの名前の変更」

「ユーザ グループ設定に対する変更の保存」

ユーザ グループ内のユーザのリスト表示

指定したグループのユーザすべてをリスト表示するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストでグループを選択します。

ステップ 3 Users in Group をクリックします。

選択した特定のグループの User List ページが表示領域に開きます。

ステップ 4 ユーザ アカウントを開く(ユーザの表示、修正、削除を行う)には、User List 内でユーザの名前をクリックします。

選択した特定のユーザ アカウントの User Setup ページが表示されます。


 

ユーザ グループの使用割当量カウンタのリセット

グループの全メンバーに対して、使用割当量カウンタをリセットできます。これは、使用割当量を超える前でも超えた後でも可能です。

グループの全メンバーに対して使用割当量カウンタをリセットするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストでグループを選択し、 Edit Settings をクリックします。

ステップ 3 Usage Quotas セクションで、 On submit reset all usage counters for all users of this group チェックボックスをオンにします。

ステップ 4 ブラウザ ページの下部にある Submit をクリックします。

グループの全ユーザの使用割当量カウンタがリセットされます。Group Setup Select ページが表示されます。


 

ユーザ グループの名前の変更

ユーザ グループの名前を変更するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストでグループを選択します。

ステップ 3 Rename Group をクリックします。

The Renaming Group: Group Name ページが表示されます。

ステップ 4 Group フィールドに新しい名前を入力します。グループ名に山カッコ(< >)を使用することはできません。

ステップ 5 Submit をクリックします。


) グループは、リスト内の同じ位置に留まります。既存のグループの番号が、この新しいグループ名に関連付けられます。データベース インポート ユーティリティなど一部のユーティリティでは、グループに関連した番号を使用します。


Select ページが、新しいグループ名が選択された状態で開きます。


 

ユーザ グループ設定に対する変更の保存

グループの設定が完了したら、内容を保存する必要があります。

現在のグループの設定を保存するには、次の手順を実行します。


ステップ 1 変更を保存してすぐに適用するには、 Submit + Restart をクリックします。これにより ACS サービスが再起動され、変更が適用されます。

再起動による影響をネットワークに与えたくない場合は、Submit ボタンだけをクリックします。

ステップ 2 変更を保存して後で適用するには、 Submit をクリックします。変更を実装する準備ができたら、 System Configuration > Service Control を選択します。次に、 Restart を選択します。

グループのアトリビュートが適用され、サービスが再起動されます。Edit ページが開きます。


) サービスを再起動すると、Logged-in User Report の内容がクリアされ、ACS サービスがすべて一時的に中断されます。これは、最大セッション カウンタに影響します。


ステップ 3 変更が適用されたことを確認するには、グループを選択してから、 Edit Settings をクリックします。設定値を表示します。