Cisco Secure ACS Solution Engine ユーザ ガイド 4.2
共有プロファイル コンポーネント
共有プロファイル コンポーネント
発行日;2012/01/12 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

共有プロファイル コンポーネント

共有プロファイル コンポーネントについて

802.1X のセットアップ例

ネットワーク アクセス フィルタ

ネットワーク アクセス フィルタについて

ネットワーク アクセス フィルタの追加

ネットワーク アクセス フィルタの編集

ネットワーク アクセス フィルタの削除

RADIUS 認可コンポーネント

RADIUS 認可コンポーネントについて

RAC および NAP について

ベンダー

アトリビュート タイプ

RADIUS 認可コンポーネントの使用を始める前に

RAC の使用のイネーブル化

RADIUS 認可コンポーネントの追加

RADIUS 認可コンポーネントのクローニング

RADIUS 認可コンポーネントの編集

RADIUS 認可コンポーネントの削除

ダウンロード可能 IP ACL

ダウンロード可能 IP ACL について

ダウンロード可能 IP ACL の追加

ダウンロード可能 IP ACL の編集

ダウンロード可能 IP ACL の削除

ネットワーク アクセス制限

ネットワーク アクセス制限について

IP ベースの NAR フィルタについて

非 IP ベースの NAR フィルタについて

共有 NAR の追加

共有 NAR の編集

共有 NAR の削除

コマンド認可セット

コマンド認可セットについて

コマンド認可セットの説明

コマンド認可セットの割り当て

大文字小文字の区別とコマンド認可

引数とコマンド認可

パターン マッチングについて

コマンド認可セットの追加

コマンド認可セットの編集

コマンド認可セットの削除

共有プロファイル コンポーネント

この章では、Cisco Secure Access Control Server Release 4.2(以降は ACS と表記)の Web インターフェイスの Shared Profile Components セクションにある機能について説明します。

この章は、次の項で構成されています。

「共有プロファイル コンポーネントについて」

「ネットワーク アクセス フィルタ」

「RADIUS 認可コンポーネント」

「ダウンロード可能 IP ACL」

「ネットワーク アクセス制限」

「コマンド認可セット」

共有プロファイル コンポーネントについて

Shared Profile Components セクションを使用して、再利用可能な認可コンポーネントの共有セットを作成および命名できます。このセットは、ユーザまたはユーザ グループに適用でき、ユーザのプロファイル内の名前で参照されます。共有セットには、Network Access Filter(NAF; ネットワーク アクセス フィルタ)、RADIUS Authorization Components(RAC; RADIUS 認可コンポーネント)、ダウンロード可能 IP Access Control List(ACL; アクセス コントロール リスト)、Network Access Restriction(NAR; ネットワーク アクセス制限)、およびコマンド認可セットが含まれています。

Shared Profile Components セクションでは、認可を選択する際のスケーラビリティに重点が置かれています。共有プロファイル コンポーネントは、一度設定すると多数のユーザまたはグループに適用できます。この機能を使用しない場合、柔軟かつ総合的な認可を実現できる方法は、各デバイスで各ユーザ グループの認可を明示的に設定する方法だけです。これらの名前付き共有プロファイル コンポーネント(ダウンロード可能 IP ACL、NAF、RAC、NAR、およびコマンド認可セット)を作成して適用すると、ネットワーク アクセス パラメータを定義するときに、デバイスやコマンドの長いリストを繰り返し入力する必要がなくなります。

この項では、次のトピックについて取り上げます。

「802.1X のセットアップ例」

802.1X のセットアップ例

表4-1 では、SPC の配置方法を理解するために役立つシナリオ例を説明しています。たとえば、802.1X および Network Admission Control(NAC; ネットワーク アドミッション コントロール)を配置する場合は、次のように設定します。

 

表4-1 802.1X の SPC シナリオ例

共有プロファイル コンポーネント
説明
注釈

ネットワーク アクセス フィルタ

NAF は、所定のネットワーク サービスに含めるデバイス、したがって、Network Access Profile(NAP; ネットワーク アクセス プロファイル)に含めるデバイスを定義する最も一般的な方法です。

NAC 用にスイッチまたはルータをアップグレードする場合は、NAF を使用して、NAC が可能なデバイスと不可能なデバイスを区別できます。

地理的な配置を基にしたデバイス グループの
Network Device Group(NDG; ネットワーク デバイス グループ)がある場合は、NAF を使用して NDG を集約できます。この場合、設定された NAP ごとに NAF をセットアップできます。

ACL

NAC は、アクセス制限が必要なクライアントを管理するために ACL を使用します(たとえば、NAC サプリカントがない場合や、アップグレード ポリシーを適用する場合など)。

ポスチャおよび NAC Agentless Host(NAH; NAC エージェントレス ホスト)に関連する ACL を作成します。

ACL は、ユーザ グループからマッピング可能なネットワーク アプリケーション(営業、人事、経理のソフトウェアなど)を実行しているサーバへのアクセスを制御するために使用します。たとえば、HR グループは HR ACL を取得します。

RAC

RAC は、サービスによって区別された RADIUS 認可の設定に使用します。

RAC は、ネットワーク サービス(VPN、WLAN、ダイヤルなど)ごとに設定します。たとえば、VPN と WLAN に異なるセッション タイムアウトを設定します。

NAP テンプレートを使用すると、802.1X プロファイルの設定にかかる時間を短縮できます。これらには異なるプロビジョニングが必要なため、それぞれに SRAC が必要です。

NAR

NAR は、ユーザがネットワークにアクセスする前に満たす必要のある追加条件を作成する際に使用します。ACS は、
Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)クライアントから送信されたアトリビュートの情報を使用して、これらの条件を適用します。

ネットワークへのアクセスが許可されている、すべての非 NAC デバイス(プリンタやレガシー システムなど)の MAC アドレスを一覧表示する CLI/DNIS NAR を作成します。この方法によって、ネットワークを保護できます。

MAC アドレスと IP アドレスの例外処理の NAH シナリオに対して、NAC とともに NAR を使用します。MAC アドレスと IP アドレスには、ワイルドカードが使用できます。

ネットワーク アクセス フィルタ

この項では、NAF について説明し、その作成と管理の手順を示します。

ここでは、次の項目について説明します。

「ネットワーク アクセス フィルタについて」

「ネットワーク アクセス フィルタの追加」

「ネットワーク アクセス フィルタの編集」

「ネットワーク アクセス フィルタの削除」

ネットワーク アクセス フィルタについて

NAF は、次のネットワーク要素を 1 つ以上組み合せた名前付きグループです。

IP アドレス

AAA クライアント(ネットワーク デバイス)

ネットワーク デバイス グループ(NDG)

ユーザがネットワークのアクセスに使用する可能性のある AAA クライアントに基づき、NAF を使用してダウンロード可能 IP ACL または NAR を指定すると、各 AAA クライアントを明示的にリストする手間が省けます。NAF は、所定のネットワーク サービスに含めるデバイス、したがって、Network Access Profile(NAP; ネットワーク アクセス プロファイル)に含めるデバイスを定義する最も一般的な方法です。NAF には次のような特徴があります。

ダウンロード可能 IP ACL の NAF :特定の ACL コンテンツと NAF を関連付けることができます。ダウンロード可能 IP ACL は、単一の NAF または「All-AAA-Clients」(デフォルト)のいずれかに関連付けられた 1 つ以上の ACL コンテンツ(ACL 定義のセット)で構成されています。この NAF と ACL コンテンツの組み合せにより、ACS は、アクセス要求を行う AAA クライアントの IP アドレスを使用してダウンロードされる ACL コンテンツを判別できます。ダウンロード可能 IP ACL の NAF の使用方法の詳細については、「ダウンロード可能 IP ACL について」を参照してください。

共有ネットワーク アクセス制限の NAF :ユーザ アクセスが許可または拒否される AAA クライアントを共有 NAR がリストするように指定する重要な部分です。共有 NAR を構成するすべての AAA クライアントをリストするのではなく、個別の AAA クライアントの代わりに、または個別の AAA クライアントと組み合せて、1 つ以上の NAF を簡単にリストすることができます。共有 NAR の NAF の使用方法の詳細については、「ネットワーク アクセス制限について」を参照してください。


ヒント 共有 NAR には、NDG と NAF のいずれか、または両方を含めることができます。また、NAF には、1 つ以上の NDG を含めることができます。


NDG、ネットワーク デバイス(AAA クライアント)、または IP アドレスの任意の組み合せを含む NAF を追加することができます。これらのネットワーク デバイスまたは NDG を選択可能にするには、事前にそれらを ACS に設定しておく必要があります。

NAF を構成するネットワーク要素は、任意の順番に配置することができます。最高のパフォーマンスを得るには、最も広く使用される要素を Selected Items リストの先頭に配置します。たとえば、大多数のユーザが NDG の「アカウンティング」を介してネットワークにアクセスすると同時に、IP アドレス 205.205.111.222 を持つ単一のテクニカル サポート AAA クライアントへのアクセスが許可されている NAF では、ネットワーク要素のリストで NDG を最初に(より上位に)リストすると、すべての NAF メンバーに対して、特定の IP アドレスに関する検査を実行する必要がなくなります。

ネットワーク アクセス フィルタの追加

NAF を追加するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。

Shared Profile Components ページが表示されます。

ステップ 2 Network Access Filtering をクリックします。

Network Access Filtering テーブル ページが表示されます。


ヒント Shared Profile Components ページに Network Access Filtering が表示されず選択できない場合は、Interface Configuration セクションの Advanced Options ページで Network Access Filtering をイネーブルにする必要があります。

ステップ 3 Add をクリックします。

Network Access Filtering 編集ページが表示されます。

ステップ 4 Name ボックスに、新しいネットワーク アクセス フィルタの名前を入力します。


) NAF の名前には、最大で 31 文字まで使用できます。スペースは使用できません。名前には左角カッコ([)、右角カッコ(])、カンマ(,)、スラッシュ(/)、ダッシュ(-)、ハイフン(-)、引用符(")、アポストロフィ(‘)、右山カッコ(>)、左山カッコ(<)は使用できません。


ステップ 5 Description ボックスに、新しいネットワーク アクセス フィルタの説明を入力します。説明には、最大で 1,000 文字まで使用できます。

ステップ 6 必要に応じて、NAF 定義にネットワーク要素を追加します。

a. NAF 定義に NDG を追加するには、Network Device Groups ボックスで NDG を選択してから、 -> (右矢印ボタン)をクリックして、選択した NDG を Selected Items ボックスに移動します。

b. NAF 定義に AAA クライアントを追加するには、Network Device Groups ボックスで該当する NDG を選択してから、Network Devices ボックスで追加する AAA クライアントを選択します。最後に、 --> (右矢印ボタン)をクリックして、選択した AAA クライアントを Selected Items ボックスに移動します。


ヒント NDG を使用している場合は、AAA クライアントが属している NDG を選択したときに限り、AAA クライアントが Network Devices ボックスに表示されます。NDG を使用していない場合は、事前に NDG を選択することなく Network Devices ボックスから AAA クライアントを選択できます。

c. NAF 定義に IP アドレスを追加するには、IP Address ボックスに IP アドレスを入力します。 --> (右矢印ボタン)をクリックして、入力した IP アドレスを Selected Items ボックスに移動します。


) ワイルドカード文字であるアスタリスク(*)を使用すると、IP アドレスの範囲を指定できます。


ステップ 7 項目の順序が適切であることを確認します。項目の順序を変更するには、Selected Items ボックスで項目の名前をクリックしてから、 Up または Down をクリックして、適切な位置にその項目を移動します。


ヒント 項目を選択してから <--(左矢印ボタン)をクリックしてリストから項目を削除することにより、Selected Items ボックスから項目を削除することもできます。

ステップ 8 NAF を保存してすぐに適用するには、 Submit + Apply を選択します。


ヒント NAF を保存して後で適用するには、Submit を選択します。変更を実装する準備ができたら、System Configuration > Service Control を選択します。次に、Restart を選択します。


) サービスを再起動すると、Logged-in User レポートが消去され、すべての ACS サービスが一時的に中断されます。これによって、最大セッション カウンタが影響を受け、ゼロ(0)にリセットされます。


Network Access Filtering テーブル ページが表示され、新しい NAF の名前と説明が示されます。


 

ネットワーク アクセス フィルタの編集

NAF を編集するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。

Shared Profile Components ページが表示されます。

ステップ 2 Network Access Filtering をクリックします。

Network Access Filtering テーブルが表示されます。

ステップ 3 Name カラムで、編集する NAF をクリックします。

Network Access Filter ページに、選択した NAF に関する情報が表示されます。

ステップ 4 NAF の名前または説明を編集するには、必要に応じて情報を入力および削除します。説明には、最大で 1,000 文字まで使用できます。


注意 NAF の名前を変更して、その NAF への既存の参照をすべて無効にした場合、その NAF を使用する NAR またはダウンロード可能 ACL に関連付けられたユーザまたはグループのアクセスが影響を受ける可能性があります。

ステップ 5 NAF 定義に NDG を追加するには、Network Device Groups ボックスで追加する NDG を選択してから、 --> (右矢印ボタン)をクリックして、選択した NDG を Selected Items ボックスに移動します。

ステップ 6 NAF 定義に AAA クライアントを追加するには、Network Device Groups ボックスで該当する NDG を選択し、Network Devices ボックスで追加する AAA クライアントを選択してから、 --> (右矢印ボタン)をクリックして、選択した AAA クライアントを Selected Items ボックスに移動します。


ヒント NDG を使用していない場合は、最初に Network Devices ボックスで AAA クライアントを選択します。

ステップ 7 NAF 定義に IP アドレスを追加するには、 IP Address ボックスに追加する IP アドレスを入力してから、 --> (右矢印ボタン)をクリックして、入力した IP アドレスを Selected Items ボックスに移動します。

ステップ 8 IP アドレスを編集するには、 Selected Items ボックスで IP アドレスを選択してから、 <-- (左矢印ボタン)をクリックして、選択した IP アドレスを IP Address ボックスに移動します。IP アドレスへの変更を入力したら、 --> (右矢印ボタン)をクリックして、その IP アドレスを Selected Items ボックスに戻します。

ステップ 9 Selected Items ボックスから要素を削除するには、項目を選択してから、 <-- (左矢印ボタン)をクリックして、項目を削除します。

ステップ 10 項目の順序を変更するには、 Selected Items ボックスで項目の名前をクリックしてから、 Up または Down をクリックして、適切な位置にその項目を移動します。NAF の順序を変更する方法の詳細については、「ネットワーク アクセス フィルタについて」を参照してください。

ステップ 11 NAF への変更を保存してすぐに適用するには、 Submit + Apply をクリックします。


ヒント NAF を保存して後で適用するには、Submit をクリックします。変更を実行する準備ができたら、System Configuration > Service Control を選択します。次に、Restart を選択します。


) サービスを再起動すると、Logged-in User レポートが消去され、すべての ACS サービスが一時的に中断されます。これによって、最大セッション カウンタが影響を受け、ゼロ(0)にリセットされます。


ACS によって新しい情報の NAF が再入力され、すぐに有効になります。


 

ネットワーク アクセス フィルタの削除

始める前に

NAF を削除する前に、その NAF を使用するすべての NAR、ダウンロード可能 IP ACL、またはネットワーク アクセス プロファイルとの関連付けを削除する必要があります。この処理を実行しないと、削除された NAF を参照する NAR、ウンロード可能 IP ACL、またはネットワーク アクセス プロファイルがすべて誤って設定され、エラーの原因となります。

NAF を削除するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Access Filtering をクリックします。

Network Access Filtering テーブル ページが表示されます。

ステップ 2 削除する NAF の名前をクリックします。

Network Access Filtering 編集ページが表示されます。

ステップ 3 Delete をクリックしてから、削除することを確認するために OK をクリックします。

Network Access Filtering テーブル ページが表示され、テーブルから削除された NAF の名前と説明が示されます。


 

RADIUS 認可コンポーネント

この項では、RADIUS 認可コンポーネント(RAC)について説明し、次にその設定方法と管理方法を説明します。

ここでは、次の内容を説明します。

「RADIUS 認可コンポーネントについて」

「RADIUS 認可コンポーネントの使用を始める前に」

「RADIUS 認可コンポーネントの追加」

「RADIUS 認可コンポーネントのクローニング」

「RADIUS 認可コンポーネントの編集」

「RADIUS 認可コンポーネントの削除」

RADIUS 認可コンポーネントについて

共有 RADIUS 認可コンポーネント(RAC)は、ポリシーに基づいてユーザ セッションにダイナミックに割り当てることができる RADIUS アトリビュートのグループによって構成されています。ネットワーク アクセス プロファイル設定を使用すると、ネットワーク デバイス グループやポスチャなど、設定条件付きのポリシー タイプを共有 RAC にマッピングできます。

RAC および NAP について

ACS RAC には、単一のネットワーク デバイス、または複数のネットワーク デバイスに固有のアトリビュート(ネットワーク アクセス プロファイルともいう)のセットが含まれています。認可ポリシーは、さまざまなグループやポスチャから RAC と ACL のセットにマッピングします。ネットワーク アクセス プロファイルの設定の詳細については、 第 14 章「ネットワーク アクセス プロファイル」 を参照してください。

ACS ユーザ グループはユーザのタイプ(管理者や請負業者など)に関連するアトリビュートを保持しており、異なるネットワーク サービス(WLAN や VPN など)の認可を必要とするユーザの同じグループには対応しません。

RAC は認可ポリシーを使用して、単一のネットワーク プロファイルに固有のアトリビュートを保持します。RAC もまた、いくつかの異なるネットワーク プロファイルで使用できます。さまざまなグループおよびポスチャから RAC と ACL のセットにマッピングできます。RAC は、サービスによって区別された RADIUS 認可が必要な場合に NAP と一緒に使用します。たとえば、VPN には数日間のセッション タイムアウト、WLAN には数時間のセッション タイムアウトをそれぞれ設定する必要がある場合です。

グループ アトリビュートを使用できるため、サービスに依存しないアトリビュートをグループのすべてのユーザに適用できます。各プロファイルの RAC をそれぞれ複製する必要はありません。次の 3 つの場所で RADIUS アトリビュートを設定できます。

RAC

グループ レベル

ユーザ レベル

認可ポリシーを使用して、グループ、ユーザ、または両方からアトリビュートを含めるかどうかを指定できます。

ネットワーク計画でポリシー ベースのプロファイルを必要とする場合は、グループではなく RAC を使用することを推奨します。次の手順を実行して、適切なアクセス サービスとポリシーを定義する必要があります。

ユーザ グループとポスチャが取得する認可のレベルを計画する。

類似するすべての認可ケースを特定し、それらに対する RAC を作成する。

必要な場合は、ユーザ グループからレガシー アトリビュートを削除する。

適切なネットワーク アクセス ポリシーと規則を定義する。

グループ レベルでベース テンプレート認可を作成し、RAC を使用してプロファイル固有アトリビュートを指定することができます。たとえば、VPN と WLAN に異なる Session-Timeout を設定する場合です。

ベンダー


) AAA クライアントがこのセキュリティ プロトコルをサポートするように設定されている場合、このページには RADIUS セキュリティ プロトコルだけがオプションとして表示されます。たとえば、Network Configuration で AAA クライアントが Authenticate Using リストの RADIUS (Cisco IOS/PIX 6.0) を指定するように設定した場合、RADIUS (Cisco IOS/PIX 6.0) だけが表示されます。


ACS がサポートする RADIUS Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)のセットは、次のとおりです。

Cisco Aironet:Cisco Aironet Access Point 製品用の VSA です。共有 RAC ではサポート されていない ため、代わりに IETF セッション タイムアウトを使用してください。

Cisco Airespace:Cisco Airespace 無線 LAN デバイス用の VSA です。

Cisco BBSM:Cisco Building Broadband Service Manager(BBSM)製品用の VSA です。

Cisco IOS/PIX 6.0:6.0 リリース以前の Cisco IOS 製品および Cisco PIX Firewall 用の VSA です。

Cisco VPN 3000/ASA/PIX 7.x+:7.x リリース以降の Cisco VPN 3000 シリーズ Concentrators、ASA デバイス、および PIX デバイス用の VSA です。

Cisco VPN 5000:Cisco VPN 5000 シリーズ Concentrator 用の VSA です。

Ascend:Ascend 製品用の VSA です。

Microsoft:Microsoft Point-to-Point Encryption および Point-to-Point Compression 用の VSA です。

Nortel:Nortel 製品用の VSA です。

Juniper:Juniper 製品用の VSA です。

3COMUSR :3COMUSR 製品用の VSA です。

アトリビュート タイプ

ベンダー固有アトリビュートは定義されていません。定義は、各ベンダーのソフトウェアのマニュアルに記載されています。Cisco ベンダー固有アトリビュートについては、 付録 B「RADIUS アトリビュート」 を参照してください。

ACS for Windows

CSUtil コマンド( 付録 C「CSUtil データベース ユーティリティ」 を参照)または RDBMS 同期化(「AAA クライアントのアクションの作成、読み取り、アップデート、および削除」を参照)を使用して、ベンダー固有アトリビュートをインポートできます。

ACS SE

RDBMS 同期化を使用して、ベンダー固有アトリビュートをインポートできます(「AAA クライアントのアクションの作成、読み取り、アップデート、および削除」を参照)。

RADIUS 認可コンポーネントの使用を始める前に

共有プロファイル コンポーネントの RAC を使用する前に、ACS が正しくセットアップされていることを確認してください。共有プロファイル コンポーネントを作成する際は、次のチェックリストを確認してください。


ヒント ネットワーク アクセス プロファイル テンプレートを使用すると、作業時間を短縮できます。NAP テンプレートは、共有プロファイル コンポーネントのセットが設定されていない場合、自動的にこれらを作成します。詳細については、「プロファイル テンプレートの使用」を参照してください。


1. ACS にデバイスを追加します。ACS が AAA クライアントおよびサーバと連携動作するためには、これらのネットワーク情報を追加する必要があります。ネットワーク設定を使用してデバイスを追加する方法については、「AAA クライアントの追加」を参照してください。

2. 使用するアトリビュート(VSA)をイネーブルにします。使用しないアトリビュートはディセーブルにします。イネーブルになっていないアトリビュートは、RADIUS Authorization Components ページおよび Interface Configuration セットアップ ページに表示されません。VSA をイネーブルにする方法については、 第 2 章「Web インターフェイスの使用方法」 を参照してください。

3. ネットワーク アクセス プロファイルの設計を計画します。プロビジョニングを必要とするネットワーク サービスを指定する必要があります。プロファイルごとに、少なくとも 1 つの Shared RADIUS Authorization Component(SRAC; 共有 RADIUS 認可コンポーネント)を指定することになります。SRAC をプロファイルにリンクする方法については、「アクセス要求の分類」または 「プロファイル テンプレートの使用」を参照してください。

4. 作成するプロファイルごとに、ネットワーク アクセス要求の分類方法と例外ケース(たとえば、特別なユーザまたはグループ、不正なポスチャ ステータスなど)を指定し、それぞれに SRAC を作成します。「RADIUS 認可コンポーネントについて」 を参照してください。

5. アトリビュートが、ユーザ固有かグループ固有か(ネットワーク サービス固有ではない)を決定します。ネットワーク サービスには関係なく、ユーザまたはグループにアトリビュートを割り当てる必要がある場合、それらのアトリビュートをユーザ レコードまたはグループ レコードに追加し、ネットワーク アクセス プロファイルでアトリビュートのマージをイネーブルにします。アトリビュートのマージの詳細については、「アトリビュートのマージ」を参照してください。

RADIUS 認可コンポーネントをイネーブルにする場合の手順については、「RAC の使用のイネーブル化」を参照してください。

RAC の使用のイネーブル化

RAC の使用をイネーブルにするには、次の手順を実行します。


ステップ 1 RADIUS 認可コンポーネントを設定する前に、使用するデバイスを Network Configuration で追加し、適切なセキュリティ プロトコル(RADIUS Cisco VPN 3000/ASA/PIX 7.x+ など)を使用して認証するように設定します。

Authenticate Using リストにアトリビュートが表示されない場合は、Interface Configuration または User Setup/Group Setup パラメータを確認します。

ステップ 2 ナビゲーション バーの Interface Configuration をクリックし、 RADIUS (IETF) を選択します。


) AAA クライアントがこのセキュリティ プロトコルをサポートするように設定されている場合、このページには RADIUS セキュリティ プロトコルだけがオプションとして表示されます。たとえば、Network Configuration で AAA クライアントが Authenticate Using リストの RADIUS (Cisco VPN 3000/ASA/PIX 7.x+) を指定するように設定した場合、RADIUS (Cisco VPN 3000/ASA/PIX 7.x+) だけが表示されます。


ステップ 3 目的の RADIUS アトリビュートを選択して Submit をクリックします。

ステップ 4 ネットワーク設定の RADIUS セキュリティ プロトコルごとに、ステップ 2ステップ 3 を繰り返します。

ステップ 5 Advanced Options で Tunneling RADIUS アトリビュートが選択されていることを確認します。

Interface Configuration > RADIUS (IETF) を選択します。

Tunnel アトリビュートを選択します。

Submit をクリックします。

ステップ 6 ナビゲーション バーの Shared Profile Components をクリックし、 RADIUS Authorization Components を選択します。

RAC を追加する方法の詳細については、「RADIUS 認可コンポーネントの追加」を参照してください。RAC を変更する方法の詳細については、「RADIUS 認可コンポーネントの編集」を参照してください。ネットワーク アクセス プロファイルに RAC を追加する方法の詳細については、「認可規則の設定」を参照してください。


 

RADIUS 認可コンポーネントの追加

始める前に

この手順を開始する前に、ACS で使用するすべての RADIUS オプションを設定しておく必要があります。設定する必要のあるオプションの詳細については、「ベンダー」を参照してください。

RAC を追加するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。

Shared Profile Components ページが表示されます。

ステップ 2 RADIUS Authorization Components をクリックします。

RADIUS Authorization Components Table ページが表示されます。

ステップ 3 Add をクリックして、新しい RADIUS 認可コンポーネントを作成します。

Edit RADIUS Authorization Component ページが表示されます。

ステップ 4 新しいアトリビュートを追加するには、ドロップダウン リストを使用して適切なベンダー アトリビュートを選択し、 Add ボタンをクリックします。

RAC Attribute Add/Edit ページが表示されます。


) 選択可能なベンダーは、Network Configuration でデバイスが定義されているベンダーと、Interface Configuration でアトリビュートを(グループ レベルまたはユーザ レベルで)表示するように設定されているベンダーです。


ステップ 5 アトリビュート値を選択して Submit をクリックします。


 

RADIUS 認可コンポーネントのクローニング

クローン機能を使用して既存の RAC のコピーを作成するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。

Shared Profile Components ページが表示されます。

ステップ 2 RADIUS Authorization Components をクリックします。

RADIUS Authorization Components Table ページが表示されます。

ステップ 3 クローニングするコンポーネントの RAC 名を選択します。

Edit RADIUS Authorization Component ページが表示されます。

ステップ 4 すべてのアトリビュートとともに既存の RAC をクローニングするには、 Clone をクリックします。

Copy of RACname という名前のクローンが Edit RADIUS Authorization Component ページに作成されます。

ステップ 5 Submit to save the new RAC をクリックします。


 

RADIUS 認可コンポーネントの編集

既存の RAC を編集するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。

Shared Profile Components ページが表示されます。

ステップ 2 RADIUS Authorization Components をクリックします。

RADIUS Authorization Components Table ページが表示されます。

ステップ 3 編集するコンポーネントの RAC 名を選択します。

Edit RADIUS Authorization Component ページが表示されます。

ステップ 4 新しいアトリビュートを追加するには、ドロップダウン リストを使用して適切なベンダー アトリビュートを選択し、隣にある Add ボタンをクリックします。

ステップ 5 既存のアトリビュートを変更するには、Assigned Attributes で値を選択します。

RAC Attribute Add/Edit ページが表示されます。

アトリビュートとその値を削除するには、Delete をクリックします。

ステップ 6 アトリビュート値を選択して Submit をクリックします。


 

RADIUS 認可コンポーネントの削除

始める前に

RAC を削除する前に、ネットワーク アクセス プロファイルとの関連付けを削除する必要があります。

RAC を削除するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。

Shared Profile Components ページが表示されます。

ステップ 2 RADIUS Authorization Components をクリックします。

RADIUS Authorization Components Table ページが表示されます。

ステップ 3 削除するコンポーネントの RAC 名を選択します。

Edit RADIUS Authorization Component ページが表示されます。

ステップ 4 Delete をクリックして、選択した RADIUS 認可コンポーネントを削除します。

ステップ 5 OK をクリックして、RADIUS 認可コンポーネントを削除します。

現在の設定が変更されます。新しい設定を適用するために、System Configuration > Service Control を選択して ACS を再起動するように指示するダイアログボックスが表示されます。


 

RADIUS Authorization Components Table ページ

このページで、定義された RAC をリストで表示したり、定義された RAC 設定を表示したり、または RAC 名を追加します。このページのフィールドについては、 表4-2 を参照してください。

 

表4-2 RAC 表示フィールド

フィールド
説明

Name

RAC の設定を表示する場合にクリックします。Edit RADIUS Authorization Component ページが表示されます。

Description

RAC の説明が表示されます。説明には、最大で 1,000 文字まで使用できます。

Add

新しい RAC を追加する場合にクリックします。Edit RADIUS Authorization Component ページが表示されます。

Edit RADIUS Authorization Component ページ

このページで、RAC を設定します。RAC の設定フィールドについては、 表4-3 を参照してください。

 

表4-3 RAC の設定フィールド

フィールド
説明

Name

RADIUS 認可コンポーネントに割り当てる名前を入力します。

Description

RAC の説明を入力します。説明には、最大で 1,000 文字まで使用できます。

Add New Attribute

新しいアトリビュート値を追加する場合は、Vendor and Service Type フィールドを使用します。

選択可能なベンダーは、Network Configuration でデバイスが定義されているベンダーと、Interface Configuration でアトリビュートを(グループ レベルで)表示するよう設定されているベンダーです。デバイスの設定の詳細については、 第 3 章「ネットワーク設定」 を参照してください。インターフェイスの設定の詳細については、 第 2 章「Web インターフェイスの使用方法」 を参照してください。ドロップダウン リストからベンダー アトリビュートを選択して Add をクリックします。これにより、「RAC Attribute Add/Edit ページ」が開きます。

Assigned Attributes

このテーブルは、認可コンポーネントに割り当てられている RADIUS アトリビュートのリストの表示、編集、および選択に使用します。割り当て済みのアトリビュートを編集または削除するには、そのアトリビュート値をクリックします。「RAC Attribute Add/Edit ページ」が開きます。

Vendor Attribute Value

割り当てられているアトリビュートがある場合に表示されます。アトリビュートを編集または削除するには、その値をクリックします。「RAC Attribute Add/Edit ページ」が開きます。

Submit

RAC の設定を ACS に送信する場合にクリックします。

Delete

割り当てられているアトリビュートがある場合に表示されます。RAC を削除する場合にクリックします。単一のアトリビュートを削除する場合は、「RAC Attribute Add/Edit ページ」に進みます。

RAC Attribute Add/Edit ページ

このページで、RAC アトリビュートを追加または編集します。このページのフィールドについては、 表4-4 を参照してください。

 

表4-4 RAC アトリビュート フィールドの追加または編集

フィールド
説明

RAC

RADIUS 認可コンポーネントに割り当てられた名前です。

Vendor

ベンダー固有アトリビュートを持つ組織の名前です。

Clone

既存の RAC アトリビュートを Copy of RAC name という名前の新しい RAC にコピーします。

Attribute

RAC に定義されたアトリビュートです。

Type

整数またはテキストのアトリビュート タイプです。

Value

ドロップダウン ボックスまたはテキスト値の設定です。

Submit

RAC の設定を ACS に送信する場合にクリックします。

Delete

単一のアトリビュートを削除する場合にクリックします。

ダウンロード可能 IP ACL

この項では、ダウンロード可能 ACL について説明した後で、その設定と管理について詳述します。

ここでは、次の項目について説明します。

「ダウンロード可能 IP ACL について」

「ダウンロード可能 IP ACL の追加」

「ダウンロード可能 IP ACL の編集」

「ダウンロード可能 IP ACL の削除」

ダウンロード可能 IP ACL について

ダウンロード可能 IP ACL を使用すると、多数のユーザまたはユーザ グループに適用可能な ACL 定義のセットを作成できます。これらの ACL 定義のセットは、ACL コンテンツと呼ばれます。また、NAF を組み込むことによって、ユーザがアクセスを求めている AAA クライアントに送信された ACL コンテンツを制御できます。つまり、ダウンロード可能 IP ACL は 1 つ以上の ACL コンテンツ定義で構成され、各定義は NAF と関連付けられるか、または(デフォルトで)すべての AAA クライアントに関連付けられます(NAF は、AAA クライアントの IP アドレスに基づいて指定された ACL コンテンツの適用を制御します。NAF の詳細、および NAF によるダウンロード可能 IP ACL の調整方法の詳細については、「ネットワーク アクセス フィルタについて」を参照してください)。

ダウンロード可能 IP ACL は、次のように動作します。

1. ACS は、ネットワークへのユーザ アクセスを許可する場合、ダウンロード可能 IP ACL がそのユーザまたはそのユーザのグループに割り当てられているかどうかを判別します。

2. ACS は、ユーザまたはユーザのグループに割り当てられたダウンロード可能 IP ACL を確認する場合、RADIUS 認証要求を送信した AAA クライアントに関連付けられた ACL コンテンツ エントリが存在するかどうかを判別します。

3. ACS は、ユーザ セッションの RADIUS アクセス受付パケットの一部として、名前付き ACL および名前付き ACL のバージョンを指定するアトリビュートを送信します。

4. AAA クライアントが、現行バージョンの ACL がキャッシュにない(つまり、ACL が新しいか、変更されている)と応答すると、ACS は新しい ACL またはアップデートされた ACL をデバイスに送信します。

また、各ユーザまたはユーザ グループの RADIUS Cisco cisco-av-pair アトリビュート [26/9/1] に ACL を設定する代わりに、ダウンロード可能 IP ACL を使用することもできます。ダウンロード可能 IP ACL を一度作成し、名前を付けます。次に、その名前を参照して、該当するユーザまたはユーザ グループそれぞれにダウンロード可能 IP ACL を割り当てます。ユーザまたはユーザ グループごとに RADIUS Cisco cisco-av-pair アトリビュートを設定するよりも、このほうが効率的です。


) ダウンロード可能 ACL は、PPP/DDR クライアントのユーザごとのプロファイルで使用するものではありません。


さらに、NAF を使用することにより、同じユーザまたはユーザのグループに対して、使用している AAA クライアントに応じて異なる ACL コンテンツを適用できます。ACS からダウンロード可能 IP ACL を使用するように AAA クライアントを設定すれば、それ以外に AAA クライアントを設定する必要はありません。ダウンロード可能 ACL は、確立されているバックアップ方式または複製方式によって保護されます。

ACS Web インターフェイスで ACL 定義を入力する場合は、キーワードと名前のエントリは使用しません。その他すべてについては、ダウンロード可能 IP ACL の適用先となる AAA クライアントに対する標準 ACL コマンド構文と意味を使用します。ACS に入力する ACL 定義は、1 つまたは複数の ACL コマンドによって構成されます。各コマンドはそれぞれ別の行に入力されます。

ダウンロード可能 IP ACL には、名前付き ACL コンテンツを 1 つ以上追加できます。デフォルトで、各 ACL コンテンツはすべての AAA クライアントに適用されます。ただし、NAF を定義している場合は、関連付ける NAF にリストされた AAA クライアントへの各 ACL コンテンツの適用を制限できます。つまり、NAF を使用することにより、単一のダウンロード可能 IP ACL 内で、ネットワーク セキュリティ計画に応じて複数の異なるネットワーク デバイスまたはネットワーク デバイス グループに各 ACL コンテンツを適用することができます。NAF の詳細については、「ネットワーク アクセス フィルタについて」を参照してください。

また、ダウンロード可能 IP ACL 内にある ACL コンテンツの順序を変更することもできます。ACS は、テーブルの先頭から ACL コンテンツの検査を開始して、使用されている AAA クライアントを含む NAF で 最初に 見つかった ACL コンテンツをダウンロードします。順序を設定する際には、最も広く適用できる ACL コンテンツをリストの上位に配置することによって、システムの効率を確保する必要があります。部分的に重複する AAA クライアントが NAF に含まれている場合には、より具体的な ACL コンテンツからより一般的な ACL コンテンツの順に配置しなければならないことを認識する必要があります。たとえば、ACS は、All-AAA-Clients の NAF 設定に関連付けられた ACL コンテンツをすべてダウンロードし、リスト内のそれよりも下位の ACL コンテンツはすべて無視します。

特定の AAA クライアントでダウンロード可能 IP ACL を使用するには、AAA クライアントが次の要件を満たす必要があります。

認証に RADIUS を使用する。

ダウンロード可能 IP ACL をサポートしている。

ダウンロード可能 IP ACL をサポートする Cisco デバイスの例を次に示します。

PIX Firewall

VPN 3000 シリーズ Concentrator の ASA デバイスと PIX デバイス

IOS バージョン 12.3(8)T 以降を実行している Cisco デバイス

例4-1 は、ACL Definitions ボックスで PIX Firewall ACL の入力に使用する必要がある形式を示しています。

例4-1

permit tcp any host 10.0.0.254
permit udp any host 10.0.0.254
permit icmp any host 10.0.0.254
permit tcp any host 10.0.0.253

例4-2 は、ACL Definitions ボックスで VPN 3000/ASA/PIX 7.x+ ACL の入力に使用する必要がある形式を示しています。

例4-2

permit ip 10.153.0.0 0.0.255.255 host 10.158.9.1
permit ip 10.154.0.0 0.0.255.255 10.158.10.0 0.0.0.255
permit 0 any host 10.159.1.22
deny ip 10.155.10.0 0.0.0.255 10.159.2.0 0.0.0.255 log
permit TCP any host 10.160.0.1 eq 80 log
permit TCP any host 10.160.0.2 eq 23 log
permit TCP any host 10.160.0.3 range 20 30
permit 6 any host HOSTNAME1
permit UDP any host HOSTNAME2 neq 53
deny 17 any host HOSTNAME3 lt 137 log
deny 17 any host HOSTNAME4 gt 138
deny ICMP any 10.161.0.0 0.0.255.255 log
permit TCP any host HOSTNAME5 neq 80

ACL 定義の詳細については、デバイス コンフィギュレーション ガイドのコマンド リファレンスを参照してください。

ダウンロード可能 IP ACL の追加

始める前に

ダウンロード可能 IP ACL で使用する NAF をすべて設定しておく必要があります。

ダウンロード可能 IP ACL を追加するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。

Shared Profile Components ページが表示されます。

ステップ 2 Downloadable IP ACLs をクリックします。


ヒント Downloadable IP ACLs が Shared Profile Components ページに表示されない場合は、Interface Configuration セクションの Advanced Options ページで、User-Level Downloadable ACLs オプションまたは Group-Level Downloadable ACLs オプション、あるいはその両方をイネーブルにする必要があります。

ステップ 3 Add をクリックします。

Downloadable IP ACLs ページが表示されます。

ステップ 4 Name ボックスに、新しい IP ACL の名前を入力します。


) IP ACL の名前には、最大で 27 文字まで使用できます。名前には、空白、ハイフン(-)、左角カッコ([)、右角カッコ(])、スラッシュ(/)、バックスラッシュ(\)、引用符(")、左山カッコ(<)、右山カッコ(>)、ダッシュ(-)は使用できません。


ステップ 5 Description ボックスに、新しい IP ACL の説明を入力します。説明には、最大で 1,000 文字まで使用できます。

ステップ 6 新しい IP ACL に ACL コンテンツを追加するには、 Add をクリックします。

ステップ 7 Name ボックスに、新しい ACL コンテンツの名前を入力します。


) ACL コンテンツの名前には、最大で 27 文字まで使用できます。名前には、空白、ハイフン(-)、左角カッコ([)、右角カッコ(])、スラッシュ(/)、バックスラッシュ(\)、引用符(")、左山カッコ(<)、右山カッコ(>)、ダッシュ(-)は使用できません。


ステップ 8 ACL Definitions ボックスに、新しい ACL 定義を入力します。


ヒント ACS Web インターフェイスで ACL 定義を入力するときは、キーワード エントリと名前エントリは使用せずに、permit/deny キーワードで始めます。ACL 定義の正しい形式の例については、例4-1(P.4-18)および例4-2(P.4-19)を参照してください。

ステップ 9 ACL コンテンツを保存するには、 Submit をクリックします。

Downloadable IP ACLs ページが表示され、新しい ACL コンテンツが ACL Contents カラムに名前順で示されます。

ステップ 10 ACL コンテンツに NAF を関連付けるには、Network Access Filtering ボックスから新しい ACL コンテンツの右側に NAF を選択します。NAF の追加については、「ネットワーク アクセス フィルタの追加」を参照してください。


) NAF を割り当てない場合、ACS は ACL コンテンツをすべてのネットワーク デバイスに関連付けます。この処理がデフォルトです。


ステップ 11 新しい IP ACL を完全に指定するまで、ステップ 3ステップ 10 を繰り返します。

ステップ 12 ACL コンテンツの順序を設定するには、ACL 定義のオプション ボタンをクリックしてから、 Up または Down をクリックして、リスト内の ACL コンテンツの位置を変更します。


ヒント ACL コンテンツの順序は非常に重要です。ACS は先頭から順に検査を開始し、All-AAA-Clients デフォルト設定(使用する場合)も含め、該当する NAF 設定を持つ最初の ACL 定義だけをダウンロードします。通常、ACL コンテンツのリストは、最も具体的な(限定された)NAF の ACL コンテンツから最も一般的な(All-AAA-Clients)NAF の ACL コンテンツの順に検査されます。

ステップ 13 IP ACL を保存するには、 Submit をクリックします。

ACS によって新しい IP ACL が入力され、すぐに有効になります。たとえば、IP ACL を PIX Firewall 用に使用する場合、ユーザ プロファイルまたはグループ プロファイルにそのダウンロード可能 IP ACL が割り当てられたユーザを認証しようとしている PIX Firewall すべてに対して、IP ACL を送信できます。ダウンロード可能 IP ACL をユーザまたはユーザ グループに割り当てる方法については、「ダウンロード可能 IP ACL をユーザに割り当てる」または 「ダウンロード可能 IP ACL をグループに割り当てる」を参照してください。


 

ダウンロード可能 IP ACL の編集

始める前に

ダウンロード可能 IP ACL の編集に使用する NAF をすべて設定しておく必要があります。

ダウンロード可能 IP ACL を編集するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。

Shared Profile Components ページが表示されます。

ステップ 2 Downloadable IP ACLs をクリックします。

Downloadable IP ACLs テーブルが表示されます。

ステップ 3 Name カラムで、編集する IP ACL をクリックします。

Downloadable IP ACLs ページが表示され、選択した ACL に関する情報が示されます。

ステップ 4 必要に応じて、Name または Description の情報を編集します。説明には、最大で 1,000 文字まで使用できます。

ステップ 5 ACL コンテンツを編集するには、変更する ACL Contents エントリをクリックします。ACL 定義の正しい形式の例については、 例4-1(P.4-18) および 例4-2(P.4-19) を参照してください。

Downloadable IP ACL Content ページが表示されます。

ステップ 6 必要に応じて、Name または ACL Definitions を編集します。


ヒント ACL Definitions ボックスにはキーワード エントリおよび名前エントリを使用せず、代わりに permit または deny キーワードで始めてください。ACL 定義の正しい形式の例については、「ダウンロード可能 IP ACL について」を参照してください。

ステップ 7 編集した ACL 定義を保存するには、 Submit をクリックします。

ステップ 8 ACL コンテンツに関連付けられた NAF を変更するには、対応する Network Access Filtering ボックスから新しい NAF 設定を選択します。ダウンロード可能 IP ACL の NAF の関連付けは、何回でも変更することができます。NAF の詳細については、「ネットワーク アクセス フィルタについて」を参照してください。

ステップ 9 編集を完了するまで、ステップ 3ステップ 8 を繰り返します。

ステップ 10 ACL コンテンツの順序を変更するには、ACL 定義のオプション ボタンを選択してから、 Up または Down をクリックして、リスト内の ACL コンテンツの位置を変更します。

ステップ 11 編集した IP ACL を保存するには、 Submit をクリックします。

ACS によって新しい情報の IP ACL が保存され、すぐに有効になります。


 

ダウンロード可能 IP ACL の削除

始める前に

IP ACL を削除する前に、ユーザ プロファイル、ユーザ グループ プロファイル、またはネットワーク アクセス プロファイルとの関連付けをすべて削除する必要があります。

IP ACL を削除するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。

Shared Profile Components ページが表示されます。

ステップ 2 Downloadable IP ACLs をクリックします。

ステップ 3 削除するダウンロード可能 IP ACL の名前をクリックします。

Downloadable IP ACLs ページが表示され、選択した IP ACL に関する情報が示されます。

ステップ 4 ページの下部にある Delete をクリックします。

IP ACL の削除について警告するダイアログボックスが表示されます。

ステップ 5 IP ACL を削除することを確認するため、 OK をクリックします。

選択した IP ACL が削除されます。


 

ネットワーク アクセス制限

この項では、ネットワーク アクセス制限(NAR)について説明した後で、共有 NAR の設定と管理について詳述します。

ここでは、次の項目について説明します。

「ネットワーク アクセス制限について」

「共有 NAR の追加」

「共有 NAR の編集」

「共有 NAR の削除」

ネットワーク アクセス制限について

ネットワークアクセス制限(NAR)とは、ユーザがネットワークにアクセスする前に満たす必要がある追加条件の定義であり、ACS で作成します。ACS は、AAA クライアントから送信されるアトリビュートの情報を利用して、これらの条件を適用します。NAR をセットアップする方法はいくつかありますが、どの方法も、AAA クライアントから送信されるアトリビュート情報の対応付けに基づいています。このため、NAR を効果的に利用するには、AAA クライアントが送信するアトリビュートの形式と内容を理解しておく必要があります。

NAR をセットアップするとき、フィルタを許可条件または拒否条件のどちらとして動作させるのかを選択できます。つまり、NAR では、AAA クライアントから送信された情報と NAR に格納された情報との比較に基づいて、ネットワーク アクセスを許可または拒否するかどうかを指定します。ただし、NAR が動作するのに十分な情報を得られない場合、デフォルトではアクセスが拒否されます。 表4-5 に、許可または拒否の条件を示しています。

 

表4-5 NAR における許可条件と拒否条件

IP ベース
非 IP ベース
情報不足

許可

アクセスを許可

アクセスを拒否

アクセスを拒否

拒否

アクセスを拒否

アクセスを許可

アクセスを拒否

ACS は、次の 2 種類の NAR フィルタをサポートしています。

IP ベースのフィルタ :IP ベースの NAR フィルタは、エンドユーザ クライアントおよび AAA クライアントの IP アドレスに基づいてアクセスを制限します。この NAR フィルタのタイプの詳細については、「IP ベースの NAR フィルタについて」を参照してください。

非 IP ベースのフィルタ :非 IP ベースの NAR フィルタは、AAA クライアントから送信された値の単純な文字列比較に基づいてアクセスを制限します。この値は、Calling Line ID(CLI; 発信番号識別)の番号、Dialed Number Identification Service(DNIS; 着信番号識別サービス)の番号、MAC アドレス、またはクライアントから発信するその他の値になる場合があります。このタイプの NAR が動作するためには、NAR の説明にある値はクライアントから送信されている値(使用されている形式も含めて)と正確に一致する必要があります。たとえば、電話番号 (217) 555-4534 は 217-555-4534 とは一致しません。このタイプの NAR フィルタの詳細については、「非 IP ベースの NAR フィルタについて」を参照してください。

NAR は、特定のユーザまたはユーザ グループに対して定義し、適用できます。詳細については、「ネットワーク アクセス制限をユーザに対して設定する」または 「ネットワーク アクセス制限をユーザ グループに対して設定する」を参照してください。ただし、ACS の Shared Profile Components セクションでは、どのユーザやユーザ グループも直接引用せずに 共有 NAR を作成および命名できます。共有 NAR には、ACS Web インターフェイスの別の部分で参照できる名前を付けます。次に、ユーザまたはユーザ グループをセットアップするときは、共有制限は 1 つ適用することも、複数適用することも、まったく適用しないことも可能です。ユーザまたはユーザ グループに複数の共有 NAR を適用するように指定する場合、次の 2 つのアクセス基準のどちらかを選択します。

すべての選択されているフィルタが許可

いずれかの選択されているフィルタが許可

異なるタイプの NAR に関連する優先順位を理解する必要があります。NAR フィルタリングの順序を次に示します。

1. ユーザ レベルの共有 NAR

2. グループ レベルの共有 NAR

3. ユーザ レベルの非共有 NAR

4. グループ レベルの非共有 NAR

また、 すべての レベルについて、アクセスの拒否は、アクセスを拒否しない別のレベルの設定に優先することも理解する必要があります。これは、ユーザ レベルの設定がグループ レベルの設定よりも優先されるというルールに対する ACS の 1 つの例外です。たとえば、あるユーザがユーザ レベルの NAR 制限を適用されていない場合でも、共有 NAR または非共有 NAR のどちらかによって制限されたグループに属していれば、そのユーザはアクセスを拒否されます。

共有 NAR は、ACS 内部ユーザ データベースに保持されます。ACS のバックアップと復元機能を使用して、バックアップすることも、復元することもできます。さらに、他の設定データとともにセカンダリ ACS に複製することもできます。

IP ベースの NAR フィルタについて

IP ベースの NAR フィルタに対して、ACS は認証要求の AAA プロトコルに応じて 表4-6 のアトリビュートを使用します。

 

表4-6 IP ベースの NAR フィルタのアトリビュート

プロトコル
アトリビュート

TACACS+

TACAS+ 開始パケット部の rem_addr フィールドが使用されます。


) 認証要求がプロキシから ACS サーバに転送されると、TACACS+ 要求に使用されるすべての NAR は、発信元の AAA クライアントの IP アドレスではなく、転送先の AAA サーバの IP アドレスに適用されます。


RADIUS IETF

calling-station-id(アトリビュート 31)を使用する必要があります。


) IP ベースの NAR フィルタは、ACS が Radius Calling-Station-Id(31)アトリビュートを受信する場合にのみ機能します。Calling-Station-Id(31)には、有効な IP アドレスが含まれている必要があります。有効な IP アドレスが含まれていない場合は、DNIS 規則に当てはまりません。


十分な IP アドレス情報を提示しない AAA クライアント(たとえば、ある種のファイアウォール)は、NAR の機能を完全にはサポートしていません。

表4-7 は、 IP ベース の制限の追加アトリビュートをプロトコルごとに示しています。

 

表4-7 IP ベースの制限のアトリビュート

プロトコル
アトリビュート

TACACS+

ACS の各 NAR フィールドには次の値が使用されます。

AAA client :NAS-IP-address が ACS と TACACS+ クライアント間のソケットの送信元アドレスから取得されます。

Port :port フィールドは TACACS+ 開始パケット部から取得されます。

非 IP ベースの NAR フィルタについて

非 IP ベースの NAR フィルタ(つまり、DNIS/CLI ベースの NAR フィルタ)は、許可または拒否される「呼び出し」または「アクセス ポイント」位置のリストです。これは、IP ベースの接続が確立されていない場合に AAA クライアントの制限に使用できます。一般に非 IP ベースの NAR 機能では、発信番号識別(CLI)の番号および着信番号識別サービス(DNIS)の番号が使用されます。

しかし、AAA クライアントが CLI または DNIS をサポートしている Cisco IOS リリースを使用していない場合でも、CLI の代わりに IP アドレスを入力することで、非 IP ベースのフィルタを使用できます。CLI 入力のもう 1 つの例外として、アクセスを許可または拒否する MAC アドレスの入力があります。たとえば Cisco Aironet AAA クライアントを使用している場合です。同様に、DNIS の代わりに Cisco Aironet AP MAC アドレスを入力できます。CLI ボックスで指定するものは、CLI、IP アドレス、または MAC アドレスのいずれであっても、その形式は、AAA クライアントから受信する番号またはアドレスの形式と一致している必要があります。この形式は、RADIUS アカウンティング ログから判別できます。

表4-8 に、DNIS/CLI ベースの制限のアトリビュートをプロトコルごとに示します。

 

表4-8 DNIS/CLI ベースの制限のアトリビュート

プロトコル
アトリビュート

TACACS+

NAR フィールドには、次の項目があります。

AAA client :NAS-IP-address が ACS と TACACS+ クライアント間のソケットの送信元アドレスから取得されます。

Port :TACACS+ 開始パケット部の port フィールドが使用されます。

CLI :TACACS+ 開始パケット部の rem-addr フィールドが使用されます。

DNIS :TACACS+ 開始パケット部から取得された rem-addr フィールドが使用されます。rem-addr データがスラッシュ(/)で始まる場合、DNIS フィールドにはスラッシュ(/)なしの rem-addr データが含まれます。


) 認証要求がプロキシから ACS サーバに転送されると、TACACS+ 要求に使用されるすべての NAR は、発信元の AAA クライアントの IP アドレスではなく、転送先の AAA サーバの IP アドレスに適用されます。


RADIUS

NAR フィールドには、次の項目があります。

AAA client :NAS-IP-address(アトリビュート 4)が使用されます。
NAS-IP-address が存在しない場合は、NAS-identifier(RADIUS アトリビュート 32)が使用されます。

Port :NAS-port(アトリビュート 5)が使用されます。NAS-port が存在しない場合は、NAS-port-ID(アトリビュート 87)が使用されます。

CLI :calling-station-ID(アトリビュート 31)には、有効な IP アドレスが含まれている必要があります。Calling-Station-Id(31)に有効な IP アドレスが含まれていない場合は、DNIS 規則に当てはまりません。

DNIS :called-station-ID(アトリビュート 30)が使用されます。

NAR の指定時、アスタリスク(*)を任意の値のワイルドカードとして、または範囲設定のための任意の値の一部として使用できます。NAR でアクセスを制限するためには、NAR の説明におけるすべての値または条件が合致する必要があります。つまり、値にはブール論理積が含まれています。

共有 NAR の追加

多数のアクセス制限を含む共有 NAR を作成できます。ACS Web インターフェイスは、共有 NAR のアクセス数への制限も、各アクセスの長さへの制限も適用しません。ただし、次の制限に従う必要があります。

行項目それぞれのフィールド長の合計が 1024 文字を超えることはできない。

共有 NAR では、文字サイズの合計が 16 KB を超えることはできない。サポートされる行項目の数は、行項目それぞれの長さによって異なります。たとえば、CLI/DNIS ベースの NAR を作成する場合、AAA クライアント名が 10 文字、ポート番号が 5 文字、CLI エントリが 15 文字、DNIS エントリが 20 文字のときは、16 KB 制限に達しない限り、450 行項目を追加できます。

始める前に

NAR を定義する前に、NAR で使用する要素を確立したことを確認する必要があります。つまり、すべての NAF と NDG を指定し、関連するすべての AAA クライアントを定義した後に、それらを NAR 定義に加える必要があります。詳細については、「ネットワーク アクセス制限について」を参照してください。

共有 NAR を追加するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。

Shared Profile Components ページが表示されます。

ステップ 2 Network Access Restrictions をクリックします。

ステップ 3 Add をクリックします。

Network Access Restriction ページが表示されます。

ステップ 4 Name ボックスに、新しい共有 NAR の名前を入力します。


) 名前には、最大で 31 文字まで使用できます。先頭と末尾にスペースを置くことはできません。名前には、左角カッコ([)、右角カッコ(])、カンマ(,)、スラッシュ(/)は使用できません。


ステップ 5 Description ボックスに、新しい共有 NAR の説明を入力します。説明には、最大で 1,000 文字まで使用できます。

ステップ 6 IP アドレッシングに基づいてアクセスを許可または拒否する場合は、次の手順を実行します。

a. Define IP-based access descriptions チェックボックスをオンにします。

b. 許可または拒否するアドレスをリストするかどうかを指定するために、Table Defines リストで該当する値を選択します。

c. 次のボックスで、それぞれ該当する情報を選択するか、または入力します。

AAA Client All AAA Clients を選択するか、アクセスを許可または拒否する NDG の名前、NAF の名前、または個々の AAA クライアントの名前を入力します。

Port :アクセスを許可または拒否するポートの番号を入力します。アスタリスク(*)をワイルドカードとして使用すると、選択された AAA クライアント上のすべてのポートに対するアクセスを許可または拒否できます。

Src IP Address :アクセス制限を実行する場合に、フィルタリングを行う IP アドレスを入力します。アスタリスク(*)をワイルドカードとして使用すると、すべての IP アドレスを指定できます。


) AAA Client リスト、Port ボックス、および Src IP Address ボックスの文字数の合計は、1024 を超えることはできません。NAR を追加する際に ACS には 1024 を超える文字を入力できますが、NAR の編集ができなくなるため、ACS は NAR をユーザに正確に適用できなくなります。


d. Enter キーを押します。

AAA クライアント、ポート、およびアドレス情報が、テーブルの行項目として表示されます。

e. IP ベースの行項目を追加入力するには、 c d を繰り返します。

ステップ 7 発信場所や、IP アドレス以外の値に基づいてアクセスを許可または拒否する場合は、次の手順を実行します。

a. Define CLI/DNIS based access restrictions チェックボックスをオンにします。

b. 許可または拒否する場所をリストするかどうかを指定するために、Table Defines リストで該当する値を選択します。

c. この NAR を適用するクライアントを指定するために、AAA Client リストから、次のいずれか 1 つの値を選択します。

NDG の名前

特定の AAA クライアントの名前

すべての AAA クライアント


ヒント すでに設定してある NDG だけが表示されます。

d. この NAR がフィルタリングする情報を指定するには、必要に応じて次のボックスに値を入力します。


ヒント ワイルドカードとしてアスタリスク(*)を入力すると、すべてを値として指定できます。

Port :フィルタリングするポート番号を入力します。

CLI :フィルタリングする CLI 番号を入力します。また、このボックスを使用して、CLI 以外の値、たとえば、IP アドレスや MAC アドレスに基づいてアクセスを制限できます。詳細については、「ネットワーク アクセス制限について」を参照してください。

DNIS :フィルタリングするダイヤル番号を入力します。


) AAA Client リスト、Port ボックス、および Src IP Address ボックスの文字数の合計は、1024 を超えることはできません。NAR を追加する際に ACS には 1024 を超える文字を入力できますが、NAR の編集ができなくなるため、ACS は NAR をユーザに正確に適用できなくなります。


e. Enter キーを押します。

NAR 行項目を指定する情報が、テーブルに表示されます。

f. 非 IP ベースの NAR 行項目を追加入力するには、c.e. の手順を繰り返します。

ステップ 8 共有 NAR 定義を保存するには、 Submit をクリックします。

ACS は、共有 NAR を保存して、Network Access Restrictions テーブルにリストします。


 

共有 NAR の編集

共有 NAR を編集するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。

Shared Profile Components ページが表示されます。

ステップ 2 Network Access Restrictions をクリックします。

Network Access Restrictions テーブルが表示されます。

ステップ 3 Name カラムで、編集する共有 NAR をクリックします。

Network Access Restriction ページが表示され、選択した NAR に関する情報が表示されます。

ステップ 4 必要に応じて、NAR の名前または説明を編集します。説明には、最大で 1,000 文字まで使用できます。

ステップ 5 IP ベースのアクセス制限テーブルの行項目を編集するには、次の手順を実行します。

a. 編集する行項目をダブルクリックします。

その行項目の情報がテーブルから削除され、テーブル下部のボックスに表示されます。

b. 必要に応じて情報を編集します。


) AAA Client リスト、Port ボックス、および Src IP Address ボックスの文字数の合計は、1024 を超えることはできません。NAR を追加する際に ACS には 1024 を超える文字を入力できますが、このような NAR は編集できなくなるため、ACS は NAR をユーザに正確に適用できなくなります。


c. Enter キーを押します。

編集した行項目の情報が、IP ベースのアクセス制限テーブルに書き込まれます。

ステップ 6 IP ベースのアクセス制限テーブルから行項目を削除するには、次の手順を実行します。

a. 行項目を選択します。

b. テーブルの下の Remove をクリックします。

IP ベースのアクセス制限テーブルから、行項目が削除されます。

ステップ 7 CLI/DNIS アクセス制限テーブルの行項目を編集するには、次の手順を実行します。

a. 編集する行項目をダブルクリックします。

その行項目の情報がテーブルから削除され、テーブル下部のボックスに表示されます。

b. 必要に応じて情報を編集します。


) AAA Client リスト、Port ボックス、および DNIS ボックスの文字数の合計は、1024 を超えることはできません。NAR を追加する際に ACS には 1024 を超える文字を入力できますが、このような NAR は編集できなくなるため、ACS は NAR をユーザに正確に適用できなくなります。


c. Enter キーを押します。

編集した行項目の情報が、CLI/DNIS アクセス制限テーブルに書き込まれます。

ステップ 8 CLI/DNIS アクセス制限テーブルから行項目を削除するには、次の手順を実行します。

a. 行項目を選択します。

b. テーブルの下の Remove をクリックします。

CLI/DNIS アクセス制限テーブルから、行項目が削除されます。

ステップ 9 変更を保存するには、 Submit をクリックします。

ACS によって新しい情報のフィルタが再入力され、すぐに有効になります。


 

共有 NAR の削除

始める前に

共有 NAR を削除する前に、すべてのユーザまたはグループに対するその NAR の関連付けを必ず削除してください。

共有 NAR を削除するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。

Shared Profile Components ページが表示されます。

ステップ 2 Network Access Restrictions をクリックします。

ステップ 3 削除する共有 NAR の 名前 をクリックします。

Network Access Restriction ページが表示され、選択した NAR に関する情報が表示されます。

ステップ 4 ページの下部にある Delete をクリックします。

共有 NAR の削除について警告するダイアログボックスが表示されます。

ステップ 5 共有 NAR を削除することを確認するため、 OK をクリックします。

選択した共有 NAR が削除されます。


 

コマンド認可セット

この項では、コマンド認可セットとパターン マッチングについて説明した後で、その設定と管理について詳述します。

ここでは、次の項目について説明します。

「コマンド認可セットについて」

「コマンド認可セットの説明」

「コマンド認可セットの割り当て」

「大文字小文字の区別とコマンド認可」

「引数とコマンド認可」

「パターン マッチングについて」

「コマンド認可セットの追加」

「コマンド認可セットの編集」

「コマンド認可セットの削除」

コマンド認可セットの説明

コマンド認可セットは、所定のネットワーク デバイス上で発行された各コマンドの認可を制御する中心的なメカニズムです。この機能は、認可制限を設定する規模を大きくし、管理も容易にします。ACS では、デフォルトのコマンド認可セットにシェル コマンド認可セットと PIX コマンド認可セットがあります。Management Center for Firewalls などの Cisco デバイス管理アプリケーションでは、追加のコマンド認可セット タイプをサポートするように ACS に指示できます。


) PIX コマンド認可セットでは、TACACS+ コマンド認可要求がサービスを pixshell として識別する必要があります。ファイアウォールが使用する PIX OS のバージョンにこのサービスが実装されていることを確認してください。実装されていない場合は、シェル コマンド認可セットを使用して PIX デバイスのコマンド認可を実行してください。詳細については、「シェル コマンド認可セットをユーザ グループに対して設定する」を参照してください。



ヒント PIX OS バージョン 6.3 では、pixshell サービスが実装されていません。


デバイス ホストの Telnet 管理セッションをきめ細かく制御するために、TACACS+ を使用しているネットワーク デバイスは、各コマンドラインに対する認可を要求し、その後で実行できます。一連のコマンドを定義することで、そのコマンドが所定のデバイスで特定ユーザによる実行が許可または拒否されるようにできます。ACS では、次のように、この機能がさらに強化されています。

Reusable Named Command Authorization Sets :ユーザもユーザ グループも直接引用せずに、コマンド認可の名前付きセットを作成できます。コマンド認可セットを複数定義して、各セットがそれぞれ別のアクセス プロファイルを表すようにできます。次の例を参考にしてください。

コマンド認可セット Help desk は、 show run などの上位レベルのブラウジング コマンドへのアクセスを許可しますが、設定コマンドはすべて拒否します。

コマンド認可セット All network engineers には、企業のすべてのネットワーク技術者に許可するコマンドの限定リストを含めることができます。

コマンド認可セット Local Network Engineers は、IP アドレスの設定など、すべてのコマンドを許可できます。

Fine Configuration Granularity :名前付きコマンド認可セットと NDG の間で関連付けを行うことができます。したがって、ユーザがアクセスするネットワーク デバイスに応じて、ユーザに異なるアクセス プロファイルを定義できます。1 つの名前付きコマンド認可セットを複数の NDG に関連付け、複数のユーザ グループで使用できます。ACS では、データ整合性が強化されています。名前付きコマンド認可セットは、ACS 内部データベースに保持されます。ACS のバックアップ機能と復元機能を使用すると、バックアップや復元を実行できます。さらに、他の設定データとともにセカンダリ ACS に複製することもできます。

Cisco デバイス管理アプリケーションをサポートしているコマンド認可セット タイプに対しても、コマンド認可セットを使用する利点は同じです。デバイス管理アプリケーションにある各種の特権は、そのデバイス管理アプリケーションのユーザを含む ACS グループにコマンド認可セットを適用することで、認可できます。この ACS グループは、デバイス管理アプリケーションにある各種のロールに対応できるので、必要に応じて、各グループに異なるコマンド認可セットを適用できます。

ACS には、コマンド認可フィルタリングに関する一連の 3 つの段階があります。各コマンド認可要求は、次の順序で評価されます。

1. Command Match :ACS は、実行されるコマンドが、コマンド認可セット内にリストされたコマンドと一致するかどうかを判別します。一致するコマンドが見つからない場合、コマンド認可は Unmatched Commands 設定が許可または拒否かどうかによって判別されます。一致するコマンドが見つかった場合は、評価が続行されます。

2. Argument Match :ACS は、提示されたコマンド引数が、コマンド認可セット内にリストされたコマンド引数と一致するかどうかを判別します。

一致しない引数がある場合、コマンド認可は Permit Unmatched Args オプションがイネーブルかどうかによって判別されます。一致しない引数が許可された場合は、コマンドが認可されて評価が終了します。許可されない場合は、コマンドが認可されずに評価が終了します。

すべての引数が一致した場合は、評価が続行されます。

3. Argument Policy :ACS は、評価されるコマンドの引数が、コマンド認可セット内にリストされた引数と一致していることを確認した後に、各コマンド引数が明示的に許可されるかどうかを判別します。すべての引数が明示的に許可される場合、ACS はコマンド許可を付与します。許可されない引数がある場合、ACS はコマンド認可を拒否します。

コマンド認可セットの割り当て

コマンド認可セットの割り当てについては、次の手順を参照してください。

シェル コマンド認可セット :次のいずれかを参照してください。

「シェル コマンド認可セットをユーザ グループに対して設定する」

「シェル コマンド認可セットをユーザに対して設定する」

PIX コマンド認可セット :次のいずれかを参照してください。

「PIX コマンド認可セットをユーザ グループに対して設定する」

「PIX コマンド認可セットをユーザに対して設定する」

デバイス管理コマンド認可セット :次のいずれかを参照してください。

「デバイス管理コマンド認可をユーザ グループに対して設定する」

「デバイス管理コマンド認可をユーザに対して設定する」

大文字小文字の区別とコマンド認可

コマンド認可を実行する場合、ACS は、大文字小文字を区別しながら、コマンドと引数を評価します。コマンド認可は、コマンド認可セットを設定するときに、コマンドと引数の大文字と小文字を区別しないと成功しません。

ここで問題になるのが、コマンド認可を要求するデバイスが送信してくるコマンドと引数の大文字と小文字が、コマンド発行のために入力した大文字と小文字と異なる場合があるということです。

たとえば、ルータ ホスト セッションで次のコマンドを入力したとします。

interface FASTETHERNET 0/1

ルータは ACS に、次のコマンドと引数を送信する場合があります。

interface FastEthernet 0 1

interface コマンドに対して、コマンド認可セットが fastethernet というスペルを使用して
FastEthernet 引数を明示的に許可すると、ACS はコマンド認可要求に失敗します。コマンド認可規則が FastEthernet という引数を許可していれば、ACS はコマンド認可要求を許可します。コマンド認可セットに使用する大文字と小文字は、デバイスの送信内容と一致する必要があります。ただし、その送信内容は、コマンドを入力するときに使用した大文字や小文字と一致しない場合もあります。

引数とコマンド認可

一致しない引数の許可を ACS に依存しないで、引数を明示的に許可または拒否する場合は、デバイスが引数を ACS に送信する仕組みを把握しておく必要があります。コマンド認可を要求するデバイスは、コマンド発行のためにユーザが入力した引数とは異なるものを送信する場合があります。

たとえば、ルータ ホスト セッションでユーザが次のコマンドを入力したとします。

interface FastEthernet0/1

ルータは ACS に、次のコマンドと引数を送信する場合があります。

01:44:53: tty2 AAA/AUTHOR/CMD(390074395): send AV cmd=interface
01:44:53: tty2 AAA/AUTHOR/CMD(390074395): send AV cmd-arg=FastEthernet
01:44:53: tty2 AAA/AUTHOR/CMD(390074395): send AV cmd-arg=0
01:44:53: tty2 AAA/AUTHOR/CMD(390074395): send AV cmd-arg=1
01:44:53: tty2 AAA/AUTHOR/CMD(390074395): send AV cmd-arg=<cr>

この例では、ユーザがコマンドに続けてスペースを入れずに入力した 1 つの文字列を、ルータは複数の引数と認識しています。さらにルータは、ユーザがコマンドを発行したときに 0 と 1 を区切ったスラッシュ(/)を省略しています。

interface コマンドのコマンド認可規則が、FastEthernet0/1 というスペルを使用して FastEthernet 引数を明示的に許可する場合、ACS はコマンド認可要求に失敗します。これは、ルータが ACS に送信した内容がコマンド認可要求と一致していないためです。代わりに、コマンド認可規則が FastEthernet 0 1 という引数を許可していれば、ACS はコマンド認可要求を許可します。コマンド認可セットに指定する引数の大文字と小文字は、デバイスの送信内容と一致する必要があります。ただし、その送信内容は、引数を入力するときにユーザが使用した大文字や小文字と一致しない場合もあります。

パターン マッチングについて

ACS は、permit または deny コマンドの引数に、パターン マッチングを使用します。つまり、引数 permit wid は、文字列 wid を含む引数すべてと一致します。したがって、たとえば permit wid wid だけでなく、 anywid widget という引数も許可します。

パターン マッチングの範囲を制限するため、次の式を追加できます。

ドル記号($) :直前の文字で引数が終了することを示します。したがって、 permit wid$ wid anywid とは一致しますが、 widget とは一致しません。

キャレット(^) :直後の文字から引数が始まることを示します。したがって、 permit ^wid wid widget とは一致しますが、 anywid とは一致しません。

これらの式を組み合せると、完全一致を指定できます。ここの例で permit ^wid$ を使用すると、 wid だけが許可され、 anywid widget は許可されません。

引数を持たないコマンドを許可または拒否するために、完全一致を使用してヌル引数条件を指定することができます。たとえば、引数を持たないコマンドを許可するには、 permit ^$ を使用します。また、 permit <cr> と入力した場合も同じです。これらのどちらかの方法を使用すると、 Permit Unmatched Args オプションがオフになっていれば、引数を持たないコマンドが一致し、そのコマンドを許可または拒否できます。

コマンド認可セットの追加

コマンド認可セットを追加するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。

Shared Profile Components ページに、利用可能なコマンド認可セットのタイプがリストされます。ここには常に Shell Command Authorization Set が含まれていますが、その他のセット、たとえば、Cisco デバイス管理アプリケーションをサポートするコマンド認可セットのタイプが含まれていることもあります。

ステップ 2 必要に応じて、リストにあるコマンド認可セットのタイプの 1 つをクリックします。

選択した Command Authorization Sets テーブルが表示されます。

ステップ 3 Add をクリックします。

該当する Command Authorization Set ページが表示されます。このページの内容は、追加するコマンド認可セット タイプによって変わります。Name ボックスと Description ボックスの下に、追加のボックスや展開可能なチェックリスト ツリーが表示されます。展開可能なチェックリスト ツリーには、Cisco デバイス管理アプリケーションをサポートするデバイス コマンド セット タイプが表示されます。

ステップ 4 Name ボックスに、コマンド認可セットの名前を入力します。


) セットの名前には、最大で 27 文字まで使用できます。名前には、次の文字は使用できません。
シャープ記号(#)、疑問符(?)、引用符(")、アスタリスク(*)、右山カッコ(>)、左山カッコ(<)。先頭と末尾にスペースを置くことはできません。


ステップ 5 Description ボックスに、コマンド認可セットの説明を入力します。説明には、最大で 1,000 文字まで使用できます。

ステップ 6 Name ボックスと Description ボックスの下に展開可能なチェックリスト ツリーが表示されている場合は、チェックリスト ツリーを使用して、このコマンド認可セットで許可するアクションを指定します。

a. チェックリスト ノードを展開するには、ノードの左側にあるプラス記号(+)をクリックします。

b. アクションをイネーブルにするには、アクションのチェックボックスをオンにします。たとえば、Device View アクションをイネーブルにするには、Device チェックリスト ノードの下にある View チェックボックスをオンにします。


ヒント 展開可能なチェックボックス ノードをオンにすると、そのノードに含まれているチェックボックスがすべてオンになります。チェックリスト ツリーの最初のチェックボックスをオンにすると、そのチェックリスト ツリーに含まれているチェックボックスがすべてオンになります。

c. このコマンド認可セットの他のアクションをイネーブルにするには、ステップ a とステップ b を必要に応じて繰り返します。

ステップ 7 Name ボックスと Description ボックスの下に追加のボックスが表示されている場合は、それらのボックスを使用して、このコマンド認可セットで許可または拒否するコマンドと引数を指定します。

a. 一致しないコマンドを ACS が処理する方法を指定するには、必要に応じて Permit または Deny オプションを選択します。


) デフォルト設定は Deny です。


b. Add Command ボタンのすぐ上にあるボックスに、セットの一部とするコマンドを入力します。


注意 コマンドは完全な形で入力してください。コマンドの省略形を使用すると、認可の制御が機能しないことがあります。


) ここには、コマンド/引数文字列のコマンド部分だけを入力します。引数は、コマンドがリストされた後で追加します。たとえば、コマンド/引数文字列が show run の場合、ここではコマンド show だけを入力します。


c. Add Command をクリックします。

入力したコマンドが、コマンド リスト ボックスに追加されます。

d. コマンドに引数を追加するには、 Command List ボックスでそのコマンドを選択し、コマンドの右側のボックスに引数を入力します。


) 引数の正しい形式は、<permit | deny> <argument> です。たとえば、コマンド show がすでにリストにあれば、引数として permit run を入力できます。



ヒント 引数と引数の間で Enter キーを押すと、1 つのコマンドに対して複数の引数をリストできます。

e. リストしていない引数をコマンドで許可するには、 Permit Unmatched Args チェックボックスをオンにします。

f. このコマンド認可セットに他のコマンドを追加するには、ステップ a からステップ e を繰り返します。

ステップ 8 コマンド認可セットを保存するには、 Submit をクリックします。

ACS によって、新しいコマンド認可セットの名前と説明が、該当する Command Authorization Sets テーブルに表示されます。


 

コマンド認可セットの編集

コマンド認可セットを編集するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。

Shared Profile Components ページに、利用可能なコマンド認可セットのタイプがリストされます。

ステップ 2 該当するコマンド認可セット タイプをクリックします。

選択した Command Authorization Sets テーブルが表示されます。

ステップ 3 Name カラムで、変更するセットの名前をクリックします。

選択したセットに関する情報が、該当する Command Authorization Set ページに表示されます。

ステップ 4 Name ボックスと Description ボックスの下に展開可能なチェックリスト ツリーが表示されている場合は、次のいずれかまたはすべての操作を実行できます。

チェックリスト ノードを展開するには、ノードの左側にあるプラス(+)記号をクリックします。展開したチェックリスト ノードを縮小するには、ノードの左側にあるマイナス(-)記号をクリックします。

アクションをイネーブルにするには、アクションのチェックボックスをオンにします。たとえば、Device View アクションをイネーブルにするには、Device チェックリスト ノードの下にある View チェックボックスをオンにします。


ヒント 展開可能なチェックボックス ノードをオンにすると、そのノードに含まれているチェックボックスがすべてオンになります。チェックリスト ツリーの最初のチェックボックスをオンにすると、そのチェックリスト ツリーに含まれているチェックボックスがすべてオンになります。

アクションをディセーブルにするには、アクションのチェックボックスをオフにします。たとえば、Device View アクションをディセーブルにするには、Device チェックリスト ノードの下にある View チェックボックスをオフにします。

ステップ 5 Name ボックスと Description ボックスの下に追加のボックスが表示されている場合は、次のいずれかまたはすべての操作を実行できます。

セットの名前または説明を変更するには、対応するボックスで編集します。説明には、最大で 1,000 文字まで使用できます。

セットからコマンドを削除するには、Matched Commands リストでそのコマンドを選択し、次に Remove Command をクリックします。

コマンドの引数を編集するには、コマンド リスト ボックスでそのコマンドを選択し、コマンド リスト ボックスの右側のボックスで引数に変更を加えます。

ステップ 6 設定を保存するには、 Submit をクリックします。


 

コマンド認可セットの削除

コマンド認可セットを削除するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。

Shared Profile Components ページに、利用可能なコマンド認可セットのタイプがリストされます。

ステップ 2 該当するコマンド認可セット タイプをクリックします。

選択した Command Authorization Sets テーブルが表示されます。

ステップ 3 Name カラムで、削除するコマンド セットの名前をクリックします。

選択したセットに関する情報が、該当する Command Authorization Set ページに表示されます。

ステップ 4 Delete をクリックします。

コマンド認可セットの削除について警告するダイアログボックスが表示されます。

ステップ 5 コマンド認可セットを削除することを確認するには、 OK をクリックします。

ACS によって、該当する Command Authorization Sets テーブルが表示されます。削除したコマンド認可セットは、このテーブルのリストには表示されていません。