Cisco Secure ACS Solution Engine ユーザ ガイド 4.2
RDBMS 同期化機能インポートの定義
RDBMS 同期化機能インポートの定義
発行日;2012/01/12 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

RDBMS 同期化機能インポートの定義

accountActions の仕様

accountActions のフォーマット

accountActions の必須フィールド

accountActions の処理順序

ODBC データ ソースをサポートするバージョン(ACS for Windows)

アクション コード

値の設定および削除に使用するアクション コード

ユーザ アカウントの作成および変更に使用するアクション コード

アクセス フィルタの初期化および変更に使用するアクション コード

TACACS+ と RADIUS のグループおよびユーザ設定の変更に使用するアクション コード

ネットワーク設定の変更に使用するアクション コード

ACS アトリビュートとアクション コード

ユーザ固有アトリビュート

ユーザ定義アトリビュート

グループ固有アトリビュート

ユーザ定義ベンダーまたは VSA データの RDBMS 同期化アクション コードを使用したインストール

dACL アトリビュートのアクション コード

dACL のサンプル ファイル形式:DumpDACL.txt

ダンプした NAS のサンプル ファイル形式:DumpNAS.txt

accountActions の例

RDBMS 同期化機能インポートの定義

ACS for Windows

RDBMS 同期化機能インポートの定義は、accountActions テーブルで使用可能なアクション コードのリストです。Cisco Secure Access Control Server Release 4.2(以降は ACS と表記)の RDBMS 同期化機能では、ACS 内部データベースの自動または手動での更新情報の入力として accountActions というテーブルを使用します。

ACS SE

RDBMS 同期化機能インポートの定義は、 accountActions ファイルで使用可能なアクション コードのリストです。ACS SE の RDBMS 同期化機能では、ACS 内部データベースの自動または手動による更新情報の入力に、 accountActions というカンマ区切り形式(CSV)ファイルを使用します。 accountActions の各行は、同期化イベント時には無視される最初の行を除いて、1 つのアクションを表します。このシナリオでは、 accountActions の最初の行をフィールドのヘッダーとして使用できます。

RDBMS 同期化機能と accountActions の詳細については、「RDBMS 同期化のコンポーネント」を参照してください。

この章は、次の項で構成されています。

「accountActions の仕様」

「ODBC データ ソースをサポートするバージョン(ACS for Windows)」

「アクション コード」

「ACS アトリビュートとアクション コード」

「accountActions の例」

accountActions の仕様

テキスト エディタを使用して accountActions を手動で作成する場合も、accountActions に書き込みを行うサードパーティ製システムを使用して自動的に作成する場合も、accountActions の仕様に準拠し、「アクション コード」に説明のあるアクション コードだけを使用する必要があります。そうでない場合は、RDBMS 同期によって ACS 内部データベースに誤った情報がインポートされるか、この機能が動作しない可能性があります。

accountActions のフォーマット

accountActions の各行には 14 のフィールド(つまりカラム)があります。 表E-1 に、accountActions を構成するフィールドを示します。 表E-1 では、accountActions にフィールドが表示される順序も反映されています。

ニーモニック カラムにある 1 文字または 2 文字の省略形は、「アクション コード」の各アクション コードに必須のフィールドを示すために使用する省略表記です。

accountActions の例は、「accountActions の例」を参照してください。

 

表E-1 accountActions フィールド

フィールド名
ニーモニック
タイプ
サイズ
(最大長)
コメント

SequenceId

SI

AutoNumber

32

一意のアクション ID。

Priority

P

Integer

1

このアップデートを処理するときの優先順位。ゼロ(0)が最も低い優先順位です。

UserName

UN

String

32

トランザクションが適用されるユーザの名前。

GroupName

GN

String

32

トランザクションが適用されるグループの名前。

Action

A

Number

0 ~ 2 16

必要なアクション(「アクション コード」を参照)。

ValueName

VN

String

255

変更するパラメータの名前。

Value1

V1

String

255

新規の値(数値パラメータの場合、これは 10 進数文字列になります)。

Value2

V2

String

255

TACACS+ プロトコルの名前。たとえば、 ip または RADIUS VSA ベンダー ID。

Value3

V3

String

255

TACACS+ サービスの名前。たとえば、 ppp または RADIUS VSA アトリビュート番号。

DateTime

DT

DateTime

--

アクションを作成した日付と時刻。

MessageNo

MN

Integer

--

監査を目的とした関連トランザクションの番号指定に使用します。

ComputerNames

CN

String

32

CSDBSync により予約済み。

AppId

AI

String

255

変更する設定パラメータのタイプ。

Status

S

Number

32

TRI-STATE:0=処理されない、1=処理済み、2=失敗。この値は、通常は 0 に設定します。

accountActions の必須フィールド

すべてのアクションに対して次のフィールドをブランクにすることはできません。有効な値を入力する必要があります。

Action

SequenceID

Status

上記の必須フィールドに加えて、DateTime フィールド、UserName フィールド、および GroupName フィールドにも、次のように有効な値が必要になる場合が多くあります。

トランザクションがユーザ アカウントで動作している場合は、UserName フィールドに有効な値が必要です。

トランザクションがグループで動作している場合は、GroupName フィールドに有効な値が必要です。

トランザクションが AAA クライアント設定で動作している場合は、UserName フィールドおよび GroupName フィールドに値は必要ありません。


) UserName フィールドと GroupName フィールドは、相互に排他的です。つまり、これら 2 つのフィールドのうち一方だけが値を持つことができ、どちらのフィールドも常に必須ではありません。


accountActions の処理順序

ACS は accountActions から行を読み取り、特定の順序で処理します。ACS では、最初に Priority フィールド(ニーモニック名 P)、次に Sequence ID フィールド(ニーモニック名 SI)の各値を使用して順序を決定します。ACS では、最も優先順位の高い Priority フィールドを持つ行を処理します。Priority フィールドの番号が小さいほど、優先順位が高くなります。たとえば、行 A がその Priority フィールドに値 1 を持ち、行 B がその Priority フィールドに値 2 を持つ場合、ACS は最初に行 A を処理します。この場合、行 B の Sequence ID が行 A よりも低いかどうかは関係ありません。同じ優先順位に設定された行があるときは、ACS はその Sequence ID を使用して、最も低い Sequence ID の行を最初に処理します。

このようにして、Priority フィールド(P)によって、ユーザの削除やパスワードの変更など、重要度が高いトランザクションから実行します。RDBMS 同期化機能の最も一般的な実装の場合、サードパーティ製のシステムでは、すべてのアクション(行)の優先順位をゼロ(0)に設定して、バッチ モードで accountActions に書き込みます。


) トランザクションの優先順位を変更するときは、正しい順序で優先順位が処理されるように注意してください。たとえば、ユーザ アカウントを作成してから、そのユーザのパスワードを割り当てる必要があります。


MessageNo フィールド(ニーモニック名 MN)を使用すると、関連するトランザクションを関連付けることができます。たとえば、ユーザを追加し、その後でパスワード値とステータスを設定するアクションを実行する場合などです。MessageNo フィールドを使用すると、accountActions に書き込みを行うサードパーティ製システムの監査証跡を作成できます。

ODBC データ ソースをサポートするバージョン(ACS for Windows)

ODBC を通じて RDBMS 同期化をサポートするバージョンは、次のとおりです。

MS-SQL バージョン 3.80 以降

ODBC バージョン 3.80 以降

アクション コード

ここでは、accountActions の Action フィールド(ニーモニック名 A)での使用が有効なアクション コードについて説明します。必須というカラムでは、想定される必須フィールドを除いて、入力の必要なフィールドをフィールド ニーモニック名を使用して示します。accountActions フィールドのニーモニック名の詳細については、 表E-1 を参照してください。必須フィールドの詳細については、「accountActions の必須フィールド」を参照してください。

ユーザまたはグループにアクションを適用できる場合は、UN|GN と表記し、パイプ(|)を使用して 2 つのフィールドのうちいずれかが必須であることを示しています。ユーザだけを対象としてアクションを適用するには、グループ名をブランクにします。グループだけを適用対象とする場合はユーザ名をブランクにします。

ここでは、次の項目について説明します。

「値の設定および削除に使用するアクション コード」

「ユーザ アカウントの作成および変更に使用するアクション コード」

「アクセス フィルタの初期化および変更に使用するアクション コード」

「TACACS+ と RADIUS のグループおよびユーザ設定の変更に使用するアクション コード」

「ネットワーク設定の変更に使用するアクション コード」

「ACS アトリビュートとアクション コード」

値の設定および削除に使用するアクション コード

最も基本的な 2 つのアクション コードは、SET_VALUE(アクション コード 1)と DELETE_VALUE(アクション コード 2)です。詳細は、 表E-2 を参照してください。

表E-2 で説明されているように、SET_VALUE(アクション コード 1)と DELETE_VALUE(アクション コード 2)のアクションを使用して、ACS 内のさまざまな内部アトリビュートに値を割り当てるよう RDBMS 同期化機能に指示します。これらのアクション コードは、シスコ担当者が他の目的での使用を依頼しない限り、ユーザ定義フィールドに値を割り当てる場合にだけ使用できます(「ユーザ固有アトリビュート」を参照してください)。

 

表E-2 値の設定および削除に使用するアクション コード

アクション コード
名前
必須
説明

1

SET_VALUE

UN|GN、AI、VN、V1、V2

アプリケーション ID(AI)には、値の型(V2)の名前(VN)が付いた値(V1)を設定します。

アプリケーション ID(AI)は、次のいずれかです。

APP_CSAUTH

APP_CSTACACS

APP_CSRADIUS

APP_CSADMIN

値の型(V2)は、次のいずれかです。

TYPE_BYTE :単一の 8 ビットの数値

TYPE_SHORT :単一の 16 ビットの数値

TYPE_INT :単一の 32 ビットの数値

TYPE_STRING :単一の文字列

TYPE_ENCRYPTED_STRING :暗号化されて保存される単一の文字列

TYPE_MULTI_STRING :タブで区切られたサブ文字列のセット

TYPE_MULTI_INT :タブで区切られた 32 ビット数値のセット

次の例を参考にしてください。

UN = "fred"
AI = "APP_CSAUTH"
VN = "My Value"
V2 = "TYPE_MULTI_STRING"
V1 = "str1 tab str2 tab str3"

2

DELETE_VALUE

UN|GN、AI、VN

アプリケーション ID(AI)とユーザ(UN)またはグループ(GN)の値(VN)を削除します。

ユーザ アカウントの作成および変更に使用するアクション コード

表E-3 に、ユーザ アカウントの作成、変更、および削除を行うアクション コードを示します。


) パスワードの割り当てなど、ユーザ アカウントの変更を行う場合は、まず Web インターフェイスまたは ADD_USER アクション(アクション コード 100)を使用してユーザ アカウントを作成しておく必要があります。


これらのコードを使用したトランザクションは、Web インターフェイスの User Setup セクションで表示される設定に影響を与えます。User Setup セクションの詳細については、 第 6 章「ユーザ管理」 を参照してください。

 

表E-3 ユーザの作成および変更に使用するアクション コード

アクション コード
名前
必須
説明

100

ADD_USER

UN|GN、V1

ユーザを作成します(最大 32 文字)。V1 は初期パスワードとして使用されます。オプションで、ユーザをグループに割り当てることもできます。

101

DELETE_USER

UN

ユーザを削除します。

102

SET_PAP_PASS

UN、V1

ユーザの PAP パスワードを設定します(最大 64 ASCII 文字)。CHAP/ARAP もデフォルトでこの値になります。

103

SET_CHAP_PASS

UN、V1

ユーザの CHAP/ARAP パスワードを設定します(最大 64 文字)。

104

SET_OUTBOUND_CHAP_PASS

UN、V1

ユーザの CHAP/ARAP パスワードを設定します(最大 32 文字)。

105

SET_T+_ENABLE_PASS

UN、VN、V1、V2、V3

TACACS+ のイネーブル パスワード(V1)(最大 32 文字)と最大特権レベル(V2)(0-15)を設定します。

イネーブル タイプ(V3)には、次のいずれか 1 つを指定する必要があります。

ENABLE_LEVEL_AS_GROUP :このグループ設定から受け継がれる最大特権レベル

ENABLE_LEVEL_NONE :T+ イネーブルの設定なし

ENABLE_LEVEL_STATIC :イネーブル レベル チェック中に使用される V2 の値設定

VN を使用して、アクション 108 の SET_PASS_TYPE のように外部認証者にイネーブル パスワードをリンクできます。

106

SET_GROUP

UN、GN

ユーザの ACS グループ割り当てを設定します。

108

SET_PASS_TYPE

UN|GN、V1

ユーザのパスワード型を設定します。これは、ACS 内部データベースのパスワード型のいずれか、またはサポートされている外部データベースのパスワード型のいずれかになります。

PASS_TYPE_CSDB :CSDB 内部パスワード

PASS_ TYPE_CSDB_UNIX :CSDB 内部パスワード(暗号化 UNIX)

PASS_TYPE_NT :外部の Windows ユーザ データベースのパスワード

PASS_TYPE_LDAP :外部の汎用 LDAP データベースのパスワード

PASS_TYPE_LEAP :外部の LEAP プロキシ RADIUS サーバ データベースのパスワード

PASS_TYPE_RADIUS_TOKEN :外部の RADIUS トークン サーバ データベースのパスワード

109

REMOVE_PASS_STATUS

UN、V1

パスワードのステータス フラグを削除します。この処理により、論理 XOR 条件でリンクされているステータス状態になります。V1 には、次のいずれか 1 つが含まれている必要があります。

PASS_STATUS_EXPIRES :パスワードは指定された日付に有効期限が切れます。

PASS_STATUS_NEVER :パスワードは期限満了になりません。

PASS_STATUS_WRONG :不正なパスワードを使用して特定の回数だけログインが実行されると、パスワードの有効期限が切れます。

PASS_STATUS_DISABLED :アカウントが無効になっています。

110

ADD_PASS_STATUS

UN、V1

ACS によってパスワードを期限満了にする方法を定義します。1 つのユーザに対して複数のパスワード ステートを設定するには、このアクションの複数インスタンスを使用します。この処理により、論理 XOR 条件でリンクされているステータス状態になります。V1 には、次のいずれか 1 つが含まれている必要があります。

PASS_STATUS_EXPIRES :パスワードは指定された日付に有効期限が切れます。

PASS_STATUS_NEVER :パスワードは期限満了になりません。

PASS_STATUS_WRONG :不正なパスワードを使用して特定の回数だけログインが実行されると、パスワードの有効期限が切れます。

PASS_STATUS_RIGHT :正しいパスワードを使用して特定の回数だけログインが実行されると、パスワードの有効期限が切れます。

PASS_STATUS_DISABLED :アカウントが無効になっています。

112

SET_PASS_EXPIRY_WRONG

UN、V1

許容される認証の最大失敗回数を設定し(この回数を超えていなくても、適切なパスワード時には自動的にリセット)、現在のカウントをリセットします。

113

SET_PASS_EXPIRY_DATE

UN、V1

アカウントの有効期限が満了となる日付を設定します。日付の形式は、YYYYMMDD で指定します。

114

SET_MAX_SESSIONS

UN|GN
V1

ユーザまたはグループの最大同時セッション数を設定します。V1 には、次のいずれか 1 つの値が含まれている必要があります。

MAX_SESSIONS_UNLIMITED

MAX_SESSIONS_AS_GROUP

1-65534

115

SET_MAX_SESSIONS_GROUP_USER

GN、V1

グループの 1 つのユーザの最大セッション数を次のいずれか 1 つの値に設定します。

MAX_SESSIONS_UNLIMITED

1-65534

260

SET_QUOTA

VN、V1、V2

ユーザまたはグループの割当量を設定します。

VN は割当量のタイプを定義します。有効な値は次のとおりです。

online time :V2 で定義された期間にネットワークへログインした秒数による割当量でユーザまたはグループを制限します。

sessions :V2 で定義された期間のネットワークでのセッション数による割当量でユーザまたはグループを制限します。

V1 は割当量を定義します。VN が sessions に設定された場合、V1 は V2 で定義された期間での最大セッション数となります。VN が online time に設定された場合、V1 は最大秒数となります。

V2 は割当量の期間を保持します。有効な値は次のとおりです。

QUOTA_PERIOD_DAILY :午前 12:01 から夜中の 12:00 までの 24 時間周期で割当量が適用されます。

QUOTA_PERIOD_WEEKLY :日曜日の午前 12:01 から土曜日の夜中の 12:00 までの 7 日周期で割当量が適用されます。

QUOTA_PERIOD_MONTHLY :月の朔日(1 日)の午前 12:01 から月の末日の夜中の 12:00 までの月次周期で割当量が適用されます。

QUOTA_PERIOD_ABSOLUTE :終了の設定がなく、継続して割当量が適用されます。

261

DISABLE_QUOTA

UN|GN
VN

グループまたはユーザの割当量をディセーブルにします。

VN は割当量のタイプを定義します。有効な値は次のとおりです。

online time :V2 で定義された期間にネットワークへログインした秒数による割当量でユーザまたはグループを制限します。

sessions :V2 で定義された期間のネットワークでのセッション数による割当量でユーザまたはグループを制限します。

262

RESET_COUNTERS

UN|GN

ユーザまたはグループの使用状況割当量カウンタをリセットします。

263

SET_QUOTA_APPLY_TYPE

V1

ユーザ グループの割当量か、またはユーザに固有の割当量のどちらでユーザの使用状況割当量を判別するかを定義します。V1 でこの仕様を設定します。V1 の有効な値は次のとおりです。

ASSIGNMENT_FROM_USER

ASSIGNMENT_FROM_GROUP

270

SET_DCS_TYPE

UN|GN
VN、V1、オプションとしてV2

グループまたはユーザのデバイス コマンド セット(DCS)認可タイプを設定します。

VN はサービスを定義します。有効なサービス タイプは次のとおりです。

shell :Cisco IOS シェル コマンド認可。

pixshell :Cisco PIX コマンド認可。


) 使用している ACS に別の DCS タイプが追加されている場合は、TACACS+(Cisco IOS)の Interface Configuration ページで有効な値を確認できます。有効な値は、PIX Shell (pixshell) のように、サービス名に後続するカッコ内に表示されます。


V1 は設定のタイプを定義します。VN の有効な値は次のとおりです。

none :ユーザまたはグループに DCS を設定しません。

as group :この値はユーザだけに使用します。指定サービスのユーザの DCS 設定と、ユーザのグループ DCS 設定を同じにする必要があることを表します。

static :指定されたサービスのコマンド認可がイネーブルになっているすべてのデバイスのユーザまたはグループに DCS を設定します。

V1 が static に設定されているときは、所定のサービスのユーザまたはグループに割り当てる DCS の名前が含まれた V2 が必要です。

ndg :ユーザまたはグループに対するコマンド認可を NDG 単位で行うように指定します。アクション 271 を使用して、DCS をユーザまたはグループの NDG マッピングに追加します。


) ユーザまたはグループの設定タイプ(V1)を変更すると、NDG と DCS のマッピング(アクション 271 で定義)を含む以前のデータがクリアされます。


271

SET_DCS_NDG_MAP

UN|GN
VN、V1、V2

このアクション コードは、アクション コード 270 で指定した設定タイプが ndg である場合に、デバイス コマンド セットと NDG の間をマッピングするために使用します。

VN はサービスを定義します。有効なサービス タイプは次のとおりです。

shell :Cisco IOS シェル コマンド認可。

pixshell :Cisco PIX コマンド認可。


) 使用している ACS に別の DCS タイプが追加されている場合は、TACACS+(Cisco IOS)の Interface Configuration ページで有効な値を確認できます。有効な値は、PIX Shell (pixshell) のように、サービス名に後続するカッコ内に表示されます。


V1 は NDG の名前を定義します。Web インターフェイスに表示されている NDG の名前を使用してください。たとえば、 East Coast NASs という名前の NDG が設定されており、アクション 271 を使用して DCS をその NDG に割り当てる場合は、V1 を East Coast NASs にする必要があります。

V2 は DCS の名前を定義します。Web インターフェイスに表示されている DCS の名前を使用してください。たとえば、 Tier2 PIX Admin DCS という名前の DCS が設定されており、アクション 271 を使用してその DCS を NDG に割り当てる場合は、V2 を Tier2 PIX Admin DCS にする必要があります。

アクセス フィルタの初期化および変更に使用するアクション コード

表E-4 に、AAA クライアント アクセス フィルタの初期化および変更を行うアクション コードを示します。AAA クライアント アクセス フィルタを使用して、AAA クライアントへの Telnet アクセスを制御します。ダイヤル アクセス フィルタを使用して、ダイヤルアップ ユーザによるアクセスを制御します。

これらのコードを使用したトランザクションは、Web インターフェイスの User Setup セクションと Group Setup セクションで表示される設定に影響を与えます。User Setup セクションの詳細については、 第 6 章「ユーザ管理」 を参照してください。Group Setup セクションの詳細については、 第 5 章「ユーザ グループ管理」 を参照してください。

 

表E-4 アクセス フィルタの初期化および変更に使用するアクション コード

アクション コード
名前
必須
説明

120

INIT_NAS_ACCESS_CONTROL

UN|GN、V1

AAA クライアントのアクセス フィルタ リストをクリアし、今後作成されるフィルタの許可または拒否を初期化設定します。V1 は、次のどちらか 1 つの値であることが必要です。

ACCESS_PERMIT

ACCESS_DENY

121

INIT_DIAL_ACCESS_CONTROL

UN|GN、V1

ダイヤルアップ アクセス フィルタ リストをクリアし、今後作成されるフィルタの許可/拒否を初期化設定します。V1 は、次のどちらか 1 つの値であることが必要です。

ACCESS_PERMIT

ACCESS_DENY

122

ADD_NAS_ACCESS_FILTER

UN|GN、V1

ユーザまたはグループの AAA クライアント フィルタを追加します。

V1 には、単一の(AAA クライアント名、AAA クライアント ポート、リモート アドレス、CLID)タプルが含まれている必要があります。たとえば、次のとおりです。

NAS01,tty0,0898-69696969

オプションとして AAA クライアント名を All AAA clients にすると、設定されたすべての AAA クライアントにフィルタが適用され、アスタリスク(*)にすると、すべてのポートにフィルタが適用されます。

123

ADD_DIAL_ACCESS_FILTER

UN|GN、V1、V2

ユーザ|グループのダイヤルアップ フィルタを追加します。

V1 には、次のいずれか 1 つの値が含まれている必要があります。

発信ステーション ID。

着信ステーション ID。

発信および着信のステーション ID。たとえば、次のとおりです。

01732-875374,0898-69696969

NAS IP アドレス、NAS ポート。たとえば、次のとおりです。

10.45.6.123,tty0

V2 には、次のいずれか 1 つの値のフィルタ型が含まれている必要があります。

CLID :ユーザは発信ステーション ID によってフィルタリングされます。

DNIS :ユーザは着信ステーション ID によってフィルタリングされます。

CLID/DNIS :ユーザは発信および着信のステーション ID によってフィルタリングされます。

NAS/PORT :ユーザは NAS IP アドレスと NAS ポート アドレスによってフィルタリングされます。

130

SET_TOKEN_CACHE_SESSION

GN、V1

セッション全体のトークン キャッシングをイネーブルまたはディセーブルにします。V1 は 0 = ディセーブル、1 = イネーブルです。

131

SET_TOKEN_CACHE_TIME

GN、V1

トークンがキャッシュされる期間を設定します。V1 は、トークンがキャッシュされる秒単位の期間です。

140

SET_TODDOW_ACCESS

UN|GN、V1

アクセスが許可される期間を設定します。V1 には、168 文字の文字列が含まれます。各文字が、その週における 1 時間を表します。1 は許可されている 1 時間を表し、0 は拒否されている 1 時間を表します。このパラメータをユーザに対して指定しない場合は、グループでの設定が適用されます。デフォルトのグループ設定は、
111111111111 になります。

150

SET_STATIC_IP

UN、V1、V2

このユーザに対する(TACACS+ および RADIUS の)IP アドレス割り当てを設定します。

V1 には、次の形式の IP アドレスを保持します。

xxx.xxx.xxx.xxx

V2 は、次のいずれかの値であることが必要です。

ALLOC_METHOD_STATIC :V1 の IP アドレスは、xxx.xxx.xxx.xxx の形式でユーザに割り当てられます。

ALLOC_METHOD_NAS_POOL :V1 で指定された IP プール(AAA クライアント上で設定)がユーザに割り当てられます。

ALLOC_METHOD_AAA_POOL :V1 で指定された IP プール(AAA サーバ上で設定)がユーザに割り当てられます。

ALLOC_METHOD_CLIENT :ダイヤルイン クライアントは、その専用 IP アドレスを割り当てます。

ALLOC_METHOD_AS_GROUP :グループに対して設定された IP アドレスの設定が使用されます。

151

SET_CALLBACK_NO

UN|GN、V1

このユーザまたはグループのコールバック数を設定します(TACACS+ および RADIUS)。V1 は、次のいずれか 1 つである必要があります。

Callback number :AAA クライアントがコールバックする電話番号です。

none :コールバックはできません。

roaming :ダイヤルアップ クライアントがコールバック番号を決定します。

as group :グループで定義されたコールバックの文字列または方式を使用します。

TACACS+ と RADIUS のグループおよびユーザ設定の変更に使用するアクション コード

表E-5 に、ACS のグループとユーザについて、TACACS+ および RADIUS 設定の作成、変更、および削除を行うアクション コードを示します。衝突するユーザおよびグループの設定が ACS にある場合は、常にユーザ設定がグループ設定に優先します。

これらのコードを使用したトランザクションは、Web インターフェイスの User Setup セクションと Group Setup セクションで表示される設定に影響を与えます。User Setup セクションの詳細については、 第 6 章「ユーザ管理」 を参照してください。Group Setup セクションの詳細については、 第 5 章「ユーザ グループ管理」 を参照してください。

 

表E-5 TACACS+ と RADIUS のグループおよびユーザ設定の変更に使用するアクション コード

アクション コード
名前
必須
説明

161

DEL_RADIUS_ATTR

UN|GN、VN、オプションとして V2、V3

グループまたはユーザの名前付き RADIUS アトリビュートを削除します。ここで、次を指定します。

VN = “Vendor-Specific”

V2 = IETF ベンダー ID

V3 = VSA アトリビュート ID

たとえば、Cisco IOS/PIX ベンダー ID と Cisco AV ペアを指定する場合は、次のようになります。

VN = "Vendor-Specific"
V2 = "9"
V3 = "1"

163

ADD_RADIUS_ ATTR

UN|GN、VN、V1、オプションとして V2、V3

名前付きアトリビュート(VN)にユーザまたはグループ(UN|GN)の値(V1)を追加します。たとえば、グループに対して IETF RADIUS Reply-Message アトリビュート(アトリビュート 18)を設定する場合は、次のようになります。

GN = "Group 1"
VN = "Reply-Message"
V1 = "Greetings"

また、ユーザに対して IETF RADIUS Framed-IP-Address アトリビュート(アトリビュート 9)を設定する場合は、次のようになります。

UN = "fred"
VN = "Framed-IP-Address"
V1 = "10.1.1.1"

Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)を追加するには、VN =「Vendor-Specific」を設定し、V2 および V3 を次のように使用します。

V2 = IETF ベンダー ID

V3 = VSA アトリビュート ID

たとえば、Cisco IOS/PIX RADIUS cisco-av-pair アトリビュートを値「addr-pool=pool1」で追加する場合は、次のようになります。

VN="Vendor-Specific"
V1 = "addr-pool=pool1"
V2 = "9"
V3 = "1"

RADIUS のアトリビュート値は、次のいずれかです。

INTEGER

TIME

IP ADDRESS

STRING

170

ADD_TACACS_SERVICE

UN|GN、VN、V1、V3、オプションとして V2

サービスをサービスのユーザまたはユーザ グループに対して許可します。次の例を参考にしてください。

GN = "Group 1"
V1 = "ppp"
V2 = "ip"

または

UN = "fred"
V1 = "ppp"
V2 = "ip"

または

UN = "fred"
V1 = "exec"

) PPP サービスのプロトコルが指定されない場合、デフォルトのプロトコルは IP になります。


171

REMOVE_TACACS_SERVICE

UN|GN、V1

オプションとして V2

サービスをサービスのユーザまたはユーザ グループに対して拒否します。次の例を参考にしてください。

GN = "Group 1"
V1 = "ppp"
V2 = "ip"

または

UN = "fred"
V1 = "ppp"
V2 = "ip"

または

UN = "fred"
V1 = "exec"

これは、サービスについて有効なアトリビュートのリセットも行います。

172

ADD_TACACS_ATTR

UN|GN、VN、V1、V3

オプションとして V2

サービス特有のアトリビュートを設定します。Web インターフェイスまたはアクション 170 のいずれかによって、サービスがすでに許可されている必要があります。

GN = "Group 1"
VN = "routing"
V1 = "ppp"
V2 = "ip"
V3 = "true"

または

UN = "fred"
VN = "route"
V1 = "ppp"
V2 = "ip"
V3 = 10.2.2.2

173

REMOVE_TACACS_ATTR

UN|GN、VN、V1

オプションとして V2

サービス特有のアトリビュートを削除します。

GN = "Group 1"
V1 = "ppp"
V2 = "ip"
VN = "routing"

または

UN = "fred"
V1 = "ppp"
V2 = "ip"
VN = "route"

) PPP サービスのプロトコルが指定されない場合、デフォルトのプロトコルは IP になります。前回のリリースでは、PPP サービスですべてのプロトコルがイネーブルになっていたため、グループが無効な状態になっていました。


174

ADD_IOS_COMMAND

UN|GN、VN、V1

特定の Cisco IOS コマンドを認可し、コマンドに指定された引数が定義済みセットで検出されるか、または検出されないかを判別します。定義済みセットは、アクション 176 および 177 を使用して作成します。

GN = "Group 1"
VN = "telnet"
V1 = "permit"

または

UN = "fred"
VN = "configure"
V1 = "deny"

最初の例では、Group 1 のユーザに Telnet コマンドが認可されます。アクション 176 によって定義された引数と一致しない限り、任意の引数を Telnet コマンドに使用できます。

2 番目の例では、ユーザ fred に対して configure コマンドを認可していますが、指定された引数が一連のアクション 176 で定義されたフィルタによって許可されている場合に限ります。

175

REMOVE_IOS_COMMAND

UN|GN、VN

ユーザまたはグループのコマンド認可を削除します。

GN = "Group 1"
VN = "telnet"

または

UN = "fred"
VN = "configure"

Group 1 のユーザは、Cisco IOS telnet コマンドを使用できなくなります。

ユーザ fred は、 configure コマンドを使用できなくなります。

176

ADD_IOS_COMMAND_ARG

UN|GN、VN、V1、V2

VN に含まれている Cisco IOS コマンドについて許可または拒否されるコマンドラインの引数セットを指定します。アクション 174 を使用してコマンドをすでに追加している必要があります。

GN = "Group 1"
VN = "telnet"
V1 = "permit"
V2 = "10.1.1.2"

または

UN = "fred"
VN = "show"
V1 = "deny"
V2 = "run"

最初の例では、Group 1 のどのユーザも引数 10.1.1.2 の telnet コマンドを使用できます。

2 番目の例では、ユーザ fred は Cisco IOS コマンド show run を発行できません。

177

REMOVE_IOS_COMMAND_ARG

UN|GN、VN、V2

特定の Cisco IOS コマンド引数の許可エントリまたは拒否エントリを削除します。

GN = "Group 1"
VN = "telnet"
V2 = "10.1.1.1"

または

UN = "fred"
VN = "show"
V2 = "run"

178

SET_PERMIT_DENY_ UNMATCHED_IOS_COMMANDS

UN|GN、V1

一致しない Cisco IOS コマンドの動作を設定します。デフォルトでは、アクション 174 および 175 を組み合せて定義されていない Cisco IOS コマンドはすべて拒否されます。発行された Cisco IOS コマンドで、コマンド/コマンド引数ペアのどれにも一致しないものが認可されるように、この特性を変更できます。

GN = "Group 1"
V1 = "permit"

または

UN = "fred"
V1 = "deny"

最初の例では、アクション 174 で定義されていないコマンドがすべて許可されます。

179

REMOVE_ALL_IOS_COMMANDS

UN|GN

このアクションは、特定のユーザまたはグループに対して定義された Cisco IOS コマンドすべてを削除します。

210

RENAME_GROUP

GN、V1

既存のグループの名前を V 1 で指定された名前に変更します。

211

RESET_GROUP

GN

工場出荷時のデフォルト設定にグループをリセットします。

212

SET_VOIP

GN、V1

次のように、名前付きグループについて Voice over IP(VoIP)のサポートをイネーブルまたはディセーブルにします。

GN = グループ名

V1 = ENABLE または DISABLE

ネットワーク設定の変更に使用するアクション コード

表E-6 に、AAA クライアント、AAA サーバ、ネットワーク デバイス グループ、およびプロキシ テーブル エントリの追加を行うアクション コードを示します。これらのコードを使用したトランザクションは、Web インターフェイスの Network Configuration セクションで表示される設定に影響を与えます。Network Configuration セクションの詳細については、 第 3 章「ネットワーク設定」 を参照してください。

 

表E-6 ネットワーク設定の変更に使用するアクション コード

アクション コード
名前
必須
説明

220

ADD_NAS

VN、V1、V2、V3

IP アドレス(V1)、共有秘密鍵(V2)、ベンダー(V3)を使用して、新しい AAA クライアント(VN で名前を指定)を追加します。有効なベンダーは次のとおりです。

VENDOR_ID_IETF_RADIUS :IETF RADIUS の場合

VENDOR_ID_CISCO_RADIUS :Cisco IOS/PIX RADIUS の場合

VENDOR_ID_CISCO_TACACS :Cisco TACACS+ の場合

VENDOR_ID_AIRESPACE_RADIUS :Cisco Airespace RADIUS の場合

VENDOR_ID_ASCEND_RADIUS :Ascend RADIUS の場合

VENDOR_ID_ALTIGA_RADIUS :Cisco 3000/ASA/PIX 7.x+ RADIUS の場合

VENDOR_ID_AIRONET_RADIUS :Cisco Aironet RADIUS の場合

VENDOR_ID_NORTEL_RADIUS :Nortel RADIUS の場合

VENDOR_ID_JUNIPER_RADIUS :Juniper RADIUS の場合

VENDOR_ID_CBBMS_RADIUS :Cisco BBMS RADIUS の場合

VENDOR_ID_3COM_RADIUS :Cisco 3COMUSR RADIUS の場合

次の例を参考にしてください。

VN = AS5200-11
V1 = 192.168.1.11
V2 = byZantine32
V3 = VENDOR_ID_CISCO_RADIUS

221

SET_NAS_FLAG

VN、V1

名前付き AAA クライアント(VN)に対して、AAA クライアント単位のフラグ(V1)の 1 つを設定します。必要とされるフラグごとにこのアクションを 1 度使用します。AAA クライアント単位のフラグに有効な値は、次のとおりです。

FLAG_SINGLE_CONNECT

FLAG_LOG_KEEP_ALIVE

FLAG_LOG_TUNNELS

222

DEL_HOST

VN

名前付き AAA クライアント(VN)を削除します。

223

ADD_NAS_BY_IETF_CODE

VN、V1、V2、V3

IP アドレス(V1)、共有秘密鍵(V2)、ベンダーのエンタープライズ コード(V3)を使用して、新しい AAA クライアント(VN で名前を指定)を追加します。

224

UPDATE_NAS

VN、V1、V2、V3

VN = AAA クライアント名

V1 = IP アドレス

V2 = 共有秘密情報

V3 = ベンダー

225

READ_NAS

VN、V1(オプション)

VN = output_file_name

output_file_name では FTP サーバのアプライアンス ファイル名を指定します。

ファイル名が指定されていない場合、デフォルトのファイル名 DumpNAS.txt が使用されます。

C:\MyNAS\dump.txt は ACS Windows バージョンの絶対パスの例です。

値が指定されていない場合、AAA クライアント リストは、 ACS\bin\DumpNAS.txt にダンプされます。

V1 = NDG 名(オプション)

V1 には、有効な NDG 名を使用する必要があります。

230

ADD_AAA_SERVER

VN、V1、V2

IP アドレス(V1)、共有秘密鍵(V2)を使用して新しい名前付き AAA サーバ(VN)を追加します。

231

SET_AAA_TYPE

VN、V1

サーバ(VN)に対応する AAA サーバのタイプを V1 の値に設定します。値は次のいずれかにする必要があります。

TYPE_ACS

TYPE_TACACS

TYPE_RADIUS

デフォルトは、AAA_SERVER_TYPE_ACS です。

232

SET_AAA_FLAG

VN、V1

名前付き AAA サーバ(VN)に対して、AAA クライアント単位のフラグ(V1)の 1 つを設定します。

FLAG_LOG_KEEP_ALIVE

FLAG_LOG_TUNNELS

必要とされるフラグごとにこのアクションを 1 度使用します。

233

SET_AAA_TRAFFIC_TYPE

VN、V1

名前付き AAA サーバ(VN)に対して、適切なトラフィック タイプ(V1)を設定します。

TRAFFIC_TYPE_INBOUND

TRAFFIC_TYPE_OUTBOUND

TRAFFIC_TYPE_BOTH

デフォルトは TRAFFIC_TYPE_BOTH です。

234

DEL_AAA_SERVER

VN

名前付き AAA サーバ(VN)を削除します。

240

ADD_PROXY

VN、V1、V2、V3

マークアップ タイプ(V1)、ストリップ マークアップ フラグ(V2)およびアカウンティング フラグ(V3)を使用して、新しいプロキシ マークアップ(VN)を追加します。

マークアップ タイプ(V1)は、次のどちらか 1 つにする必要があります。

MARKUP_TYPE_PREFIX

MARKUP_TYPE_SUFFIX

転送前にマークアップをユーザ名から削除する必要がある場合は、マークアップ ストリップ フラグを TRUE にしてください。

アカウンティング フラグ(V3)は、次のいずれか 1 つにする必要があります。

ACCT_FLAG_LOCAL

ACCT_FLAG_REMOTE

ACCT_FLAG_BOTH

241

ADD_PROXY_TARGET

VN、V1

名前が指定されたプロキシ マークアップ(VN)にホスト名(V1)を追加します。ホストは、すでに ACS 上で設定されている必要があります。


) プロキシ ターゲットが追加される順番で、プロキシの検索順が設定されます。最初に追加されたターゲットが、最初にプロキシされるターゲットになります。順序を変更するには、Web インターフェイスを必ず使用してください。


242

DEL_PROXY

VN

名前付きプロキシ マークアップ(VN)を削除します。

250

ADD_NDG

VN

名前付き(VN)Network Device Group(NDG; ネットワーク デバイス グループ)を作成します。

251

DEL_NDG

VN

名前付き NDG を削除します。

252

ADD_HOST_TO_NDG

VN、V1

名前付き AAA クライアントまたは AAA サーバ(VN)に NDG(V1)を追加します。

270

SET_DCS_ASSIGNMENT

--

--

271

ADD_NDG_TO_DCS_MAPPING

--

--

300

RESTART_PROTO_MODULES

--

CSRadius サービスおよび CSTacacs サービスを再起動して、新しい設定を適用します。

350

ADD_UDV

VN、V1、V2

ACS ベンダー データベースに RADIUS ベンダーを追加します。この方法により ACS に追加されたベンダーは、
User-Defined Vendor(UDV; ユーザ定義ベンダー)と呼ばれます。

VN にはベンダーの名前が格納されます。


) ACS は、Variable Name フィールドに入力されている名前に RADIUS(...) を追加します。たとえば、MyCo という名前を入力すると、ACS は Web インターフェイスに RADIUS (MyCo) と表示します。


V1 には、ユーザ定義のベンダー スロット番号、つまり
AUTO_ASSIGN_SLOT が含まれます。ACS には、0 ~ 9 までの番号を使用する 10 個のベンダー スロットがあります。AUTO_ASSIGN_SLOT を指定すると、ACS はベンダーが次に使用できるスロットを選択します。


) ACS 間で UDV を複製する場合には、両方の ACS 上の同じスロット番号に UDV を割り当てる必要があります。


V2 には、ベンダーに IANA が割り当てたエンタープライズ コードが含まれます。

351

DEL_UDV

V1

V1 で指定されている IETF コードを持つベンダーと定義済み VSA を削除します。


) アクション コード 351 では、ACS のグループまたはユーザに割り当てられている VSA のインスタンスは削除されません。V1 で指定されている UDV を使用して設定された AAA クライアントが ACS にある場合は、削除操作が失敗します。


352

ADD_VSA

VN、V1、V2、V3

V1 でベンダー IETF コードによって指定されているベンダーに新しい VSA を追加します。

VN は VSA 名です。ベンダー名が MyCo でアトリビュートがグループ ID に割り当てられている場合には、ベンダー名または省略形をすべての VSA の先頭に付けることを推奨します。たとえば、VSA は MyCo-Assigned-Group-Id のようになります。


) VSA 名は、ベンダーに対しても ACS ディクショナリに対しても一意である必要があります。たとえば、
MyCo-Framed-IP-Address
は可能ですが、
Framed-IP-Address は許容されません。これは、
Framed-IP-Address が RADIUS アトリビュートの IETF アクション コード 8 によって使用されるためです。


V2 は VSA 番号です。これは 0 ~ 255 の範囲内でなければなりません。

V3 は、次のいずれか 1 つの値をとる VSA タイプです。

INTEGER

STRING

IPADDR

デフォルトでは、VSA は送信(または認可)アトリビュートであることが想定されています。VSA が複数インスタンスであるか、またはアカウンティング メッセージで使用される場合には、SET_VSA_PROFILE(アクション コード 353)を使用します。

353

SET_VSA_PROFILE

V1、V2、V3

VSA の受信/発信プロファイルを設定します。プロファイルで指定される使用状況は、アカウントの場合は IN、認可の場合は OUT、または RADIUS メッセージごとに複数インスタンスが許可される場合は MULTI になります。これらを組み合せることもできます。

V1 にはベンダー IETF コードが含まれています。

V2 には VSA 番号が含まれています。

V3 には、次のいずれかのプロファイルが含まれています。

IN
OUT
IN OUT
MULTI OUT
MULTI IN OUT

354

ADD_VSA_ENUM

VN、V1、V2、V3

VSA アトリビュートが列挙されている場合は、意味のある列挙値を設定します。ACS Web インターフェイスの User Setup セクションに、列挙型文字列が一覧表示されます。

VN には VSA Enum Name が含まれています。

V1 にはベンダー IETF コードが含まれています。

V2 には VSA 番号が含まれています。

V3 には VSA Enum Value が含まれています。

例:

VN = Disabled
V1 = 9034
V2 = MyCo-Encryption
V3 = 0

または

VN = Enabled
V1 = 9034
V2 = MyCo-Encryption
V3 = 1

355

ADOPT_NEW_UDV_OR_VSA

--

CSAdmin、CSRadius、および CSLog の各サービスを再起動します。これらのサービスを再起動してからでないと、新しい UDV または VSA は使用できません。

ACS アトリビュートとアクション コード

この項では、逆引きの参照を示すことによって前の項を補足します。この項のトピックには、ACS アトリビュート、そのデータ型と制限、および ACS アトリビュートで動作する使用可能なアクション コードの表があります。

ここでは、次の項目について説明します。

「ユーザ固有アトリビュート」

「ユーザ定義アトリビュート」

「グループ固有アトリビュート」

ユーザ固有アトリビュート

表E-7 に、ACS ユーザを定義するアトリビュートを示します。これには、データ型、制限、およびデフォルト値が含まれます。また、accountActions で使用することで、各アトリビュートに影響を与えるアクション コードも示します。使用できるアクションが多数ある場合でも、ユーザの追加に必要なトランザクションは ADD_USER だけです。他のユーザ アトリビュートについては、デフォルト値のまま使用できます。NULL は単にブランクの文字列ではなく、値が設定されない、つまり値が処理されないことを意味します。一部の機能は、値が割り当てられている場合に限り処理されます。アクション コードの詳細については、「アクション コード」を参照してください。

 

表E-7 ユーザ固有アトリビュート

アトリビュート
アクション
論理型
制限
デフォルト

Username

100, 101

String

1 ~ 64 文字

--

ASCII/PAP Password

100, 102

String

4 ~ 32 文字

ランダム文字列

CHAP Password

103

String

4 ~ 32 文字

ランダム文字列

Outbound CHAP Password

104

String

4 ~ 32 文字

NULL

TACACS+ Enable Password

105

文字列パスワード

4 ~ 32 文字

NULL

Integer privilege level

0 ~ 15 文字

NULL

Group

106

String

0 ~ 100 文字

Default Group

Password Supplier

107

Enum

表E-3 を参照してください。

LIBRARY_CSDB

Password Type

108

Enum

表E-3 を参照してください。

PASS_TYPE_CSCB(パスワードはクリアテキスト PAP)

Password Expiry Status

109, 110

ビット処理 Enum

表E-3 を参照してください。

PASS_STATUS_NEVER(有効期限が満了しない)

Expiry Data

112, 113

Short wrong max/current

0 ~ 32,767

--

Expiry date

--

--

Max Sessions

114

符号なしショート

0 ~65535

MAX_SESSIONS_AS_GROUP

TODDOW Restrictions

140

String

168 文字

111111111111

NAS Access Control

120, 122

ブール イネーブル

T/F

NULL

Bool permit/deny

T/F

ACL String( 表E-4 を参照)。

0 ~ 31KB

Dial-Up Access Control

121, 123

ブール イネーブル

T/F

NULL

Bool permit/deny

T/F

NULL

ACL String( 表E-4 を参照)。

0 ~ 31KB

NULL

Static IP Address

150

Enum スキーム

表E-4 を参照)。

クライアント

String IP/Pool name

0 ~ 31KB

NULL

Callback Number

151

String

0 ~ 31KB

NULL

TACACS+ Attributes

170, 173

フォーマット化文字列

0 ~ 31KB

NULL

RADIUS Attributes

160, 162

フォーマット化文字列

0 ~ 31KB

NULL

UDF 1

1, 2

文字列リアル名

0 ~ 31KB

NULL

UDF 2

1, 2

文字列記述

0 ~ 31KB

NULL

UDF 3

1, 2

String

0 ~ 31KB

NULL

UDF 4

1, 2

String

0 ~ 31KB

NULL

UDF 5

1, 2

String

0 ~ 31KB

NULL

ユーザ定義アトリビュート

ユーザ定義アトリビュート(UDA)は、社会保障番号、部門名、電話番号など、すべての任意のデータを含めることができる文字列です。ユーザ アクティビティに関するアカウンティング ログに UDA を含めるように ACS を設定できます。UDA 設定の詳細については、「ユーザ データのカスタマイズ」を参照してください。

RDBMS 同期化機能では、SET_VALUE アクション(コード 1)を使用して UDA を設定し、
USER_DEFINED_FIELD_0 または USER_DEFINED_FIELD_1 という値を作成できます。UDA の値を定義する accountActions 行については、AppId(AI)フィールドに APP_ CSAUTH を含め、Value2(V2)フィールドに TYPE_STRING を含める必要があります。

表E-8 に、UDA を定義するデータ フィールドを示します。アクション コードの詳細については、「アクション コード」を参照してください。

 

表E-8 ユーザ定義アトリビュート

Action
Username(UN)
ValueName(VN)
Value1(V1)
Value2(V2)
AppId(AI)

1

fred

USER_DEFINED_FIELD_0

SS123456789

TYPE_STRING

APP_CSAUTH

1

fred

USER_DEFINED_FIELD_1

Engineering

TYPE_STRING

APP_CSAUTH

1

fred

USER_DEFINED_FIELD_2

949-555-1111

TYPE_STRING

APP_CSAUTH


) 3 つ以上の UDA が作成された場合は、最初の 2 つだけがアカウンティング ログに渡されます。


グループ固有アトリビュート

表E-9 に、ACS グループを定義するアトリビュートを示します。ここには、データ型、制限、およびデフォルト値が含まれます。また、accountActions テーブルで使用すると、各フィールドに影響があるアクション コードも示します。アクション コードの詳細については、「アクション コード」を参照してください。

 

表E-9 グループ固有アトリビュート

アトリビュート
アクション
論理型
制限
デフォルト

Max Sessions

114

符号なしショート

0 ~ 65534

MAX_SESSIONS_UNLIMITED

Max Sessions for user of group

115

符号なしショート

0 ~ 65534

MAX_SESSIONS_UNLIMITED

Token caching for session

130

ブール

T/F

NULL

Token caching for duration

131

秒単位の整数時間

0 ~ 65535

NULL

TODDOW Restrictions

140

String

168 文字

111111111111

NAS Access Control

120, 122

ブール イネーブル

T/F

NULL

Bool permit/deny

T/F

ACL String( 表E-4 を参照)。

0 ~ 31KB

Dial-Up Access Control

121, 123

ブール イネーブル

T/F

NULL

Bool permit/deny

T/F

NULL

ACL String( 表E-4 を参照)。

0 ~ 31KB

NULL

Static IP Address

150

Enum スキーム

表E-4 を参照)。

クライアント

String IP/Pool name

0 ~ 31KB

NULL

RADIUS Attributes

160, 162

フォーマット化文字列

0 ~ 31KB

NULL

TACACS+ Attributes

170, 173

フォーマット化文字列

0 ~ 31KB

NULL

VoIP Support

212

ブール ディセーブル

T/F

NULL

ユーザ定義ベンダーまたは VSA データの RDBMS 同期化アクション コードを使用したインストール

VSA ID の拡張が必要なベンダーの VSA データをインストールするには、RDBMS 同期化のアクション コードを使用します。表E-10 に、ベンダーの設定を変更するための 2 つの追加コードおよび定義を示します。

 

表E-10 ベンダーの設定に使用する RDBMS アカウントのアクション コードおよび定義

アクション コード
名前
必須
説明

356

SET_VSA_ID_LEN

V1、V2

ベンダー固有アトリビュート(VSA)タイプの長さをバイト単位で設定します。

V1 にはベンダー IETF コードが含まれています。

V2 には、1、2、または 4 の値をとる VSA-Type Length が含まれています。

357

SET_VSA_INTERNAL_LEN

V1、V2

VSA の Internal Length フィールドの有無を設定します。

V1 にはベンダー IETF コードが含まれています。

V2 にはブール値が含まれています。

1:(TRUE)VSA で Internal Length フィールドが必要な場合。

0:(FALSE)Internal Length フィールドが不要な場合。

dACL アトリビュートのアクション コード

表E-11 に、dACL アトリビュートの作成、読み取り、更新、および削除を行うアクション コードを示します。これらのコードを使用したトランザクションは、ユーザ レベルのダウンロード可能 ACL またはグループ レベルのダウンロード可能 ACL のレベルで共有プロファイル コンポーネントに影響を与えます。Web インターフェイスの Interface > Advanced Options で、 User-level
Downloadable ACLs
または Group-level Downloadable ACLs チェックボックスをオンにする必要があります。Web インターフェイス設定の詳細については、 第 2 章「高度なオプション(Interface Configuration 用)」 を参照してください。

アクション コード 385、386、387、および 388 では、それぞれ dACLs の作成、読み取り、更新、および削除を行うことができます。

NAF を指定して、その NAF の dACL アトリビュート定義を使用できます。デフォルトでは、dACL の内容がすべての AAA クライアントに適用されます。

 

表E-11 dACL アトリビュートの変更に使用するアクション コード

アクション コード
名前
必須
説明

380

CREATE_USER_DACL

UN|GN、VN

このアクション コードは、指定した dACL をユーザまたはグループに関連付けます。指定した dACL 名は、有効であり ACS に存在している必要があります。コードは次のとおりです。

UN = 有効なユーザ名

GN = 有効なグループ名(オプション)

VN = dACL 名(この dACL は、共有プロファイル コンポーネントで定義されている必要があります)

381

UPDATE_USER_DACL

UN|GN、VN

UN = 有効なユーザ名

GN = 有効なグループ名(オプション)

VN = dACL 名(この dACL は、共有プロファイル コンポーネントで定義されている必要があります)

382

DELETE_USER_DACL

UN|GN

UN = 有効なユーザ名

GN = 有効なグループ名(オプション)

385

CREATE_DACL

VN

dACL を作成するには、このアクション コードを使用します。

VN = < input_file_name >

input_file_name は、dACL の定義を含むテキスト ファイルです。

ACS for Windows の場合、このファイルは、ACS を実行している Windows マシンのディレクトリにあります。

ACS SE の場合、このファイルは、ACS SE が使用している FTP サーバにあります。

ACS for Windows の場合、ファイルの絶対パス( C:\DACL\create_DACL_for_User_1.txt など)を指定できます。

すでに dACL 定義が存在する場合や、無効な定義、コンテンツ名、コンテンツ定義、または NAF 名が含まれている場合、dACL 定義は無視されます。

386

READ_DACL

VN

V1(オプション)

VN = dACL 名または *(すべての dACL)

V1 = <output_file_name>

output_file_name には、エクスポートされた dACL 定義が含まれています。

output_file_name では FTP サーバのアプライアンス ファイル名を指定します。ファイル名が指定されていない場合、デフォルトのファイル名 DumpDACL.txt が使用されます。

C:\temp\DACL.txt は ACS Windows バージョンの絶対パスの例です。デフォルトでは、この情報は ACS\bin ディレクトリの DumpDACL.txt にエクスポートされます。

387

UPDATE_DACL

VN、V1(オプション)

VN = <input_file_name>

input_file_name では、更新する dACL の定義を含むファイルおよび FTP サーバのアプライアンス ファイル名を指定します。

C:\DACL\dump.txt は ACS Windows バージョンの絶対パスの例です。

V1 = DACL_REPLACE または DACL_APPEND

デフォルトのオプションは、DACL_REPLACE です。DACL_REPLACE オプションでは、既存の dACL を新しい dACL に置き換えます。

DACL_APPEND では、新しい dACL コンテンツとその定義を既存の dACL に付加します。

388

DELETE_DACL

VN

VN = 削除する dACL 名

すべて削除するには、ワイルドカード(*)を入力します。

デフォルトでは、すべての dACL が削除されます。

削除された dACL に関連付けられていたユーザおよびグループは、削除された dACL で識別されなくなります。

dACL のサンプル ファイル形式:DumpDACL.txt

 
[DACL#1]
Name = My_dACL_name
Description = My_Description
Content #1= content1
Content #2= content2
; NAF for Content1
Naf#1=My_NAF_Name1
; First Definition for content1
Definition#1#1= ACL_Command1_For_Content1
; Second Definition for content1
Definition#1#2= ACL_Command2_For_Content1
; NAF for Content2
Naf#2=My_NAF_Name2
; First Definition for content2
Definition#2#1= ACL_Command1_For_Content2
; Second Definition for content2
Definition#2#2= ACL_Command2_For_Content2

ダンプした NAS のサンプル ファイル形式:DumpNAS.txt

 
ADD_NAS:AAA_client_name: IP: ip_address: Key: shared_secret: NDG: ndg_name

accountActions の例

表E-12 は、「アクション コード」で説明したいくつかのアクション コードを含む
accountActions のインスタンス例です。最初にユーザ fred が作成され、それとともに特権レベル 10 の TACACS_ イネーブル パスワードを含むパスワードが作成されます。Fred は、 Group 2 に割り当てられます。このアカウントは、1999 年 12 月 31 日を過ぎるか、または 10 回認証に失敗すると期限満了になります。Group 2 のアトリビュートには時間帯および曜日のアクセス制限、トークン キャッシング、およびいくつかの RADIUS アトリビュートが含まれています。


) この例では、すべての accountActions テーブルに表示される列がいくつか省略されています。省略されている列は、Sequence ID(SI)、Priority(P)、DateTime(DT)、Status(S)、および MessageNo(MN)です。


 

表E-12 accountActions テーブルの例

Action
User name(UN)
Group Name(GN)
Value Name(VN)
Value1(V1)
Value2(V2)
Value3(V3)
AppId(AI)

100

fred

--

--

fred

--

--

--

102

fred

--

--

freds_password

--

--

--

103

fred

--

--

freds_chap_password

--

--

--

104

fred

--

--

freds_outbound_password

--

--

--

105

fred

--

--

freds_enable_password

10

--

--

106

fred

Group 2

--

--

--

--

--

150

fred

--

--

123.123.123.123

--

--

--

151

fred

--

--

01832 ~ 123900

--

--

--

109

fred

--

--

PASS_STATUS_NEVER

--

--

--

110

fred

--

--

PASS_STATUS_WRONG

--

--

--

110

fred

--

--

PASS_STATUS_EXPIRES

--

--

--

112

fred

--

--

10

--

--

--

113

fred

--

--

19991231

--

--

--

114

fred

--

--

50

--

--

--

115

fred

--

--

50

--

--

--

120

fred

--

--

ACCESS_PERMIT

--

--

--

121

fred

--

--

ACCESS_DENY

--

--

--

122

fred

--

--

NAS01、tty0、01732 ~ 975374

--

--

--

123

fred

--

--

01732 ~ 975374、01622 ~ 123123

CLID/DNIS

--

--

1

fred

--

USER_DEFINED_
FIELD_0

Fred Jones

TYPE_
STRING

--

APP_
CSAUTH

140

--

Group 2

--

[168 個の 1 から成る文字列]

--

--

--

130

--

Group 2

--

DISABLE

--

--

--

131

--

Group 2

--

61

--

--

--

163

--

Group 2

Reply-Message

Welcome to Your Internet Service

--

--

--

163

--

Group 2

Vendor-Specific

addr-pool=pool2

9

1

--