Cisco Secure Access Control Server 4.2.1 ユーザ ガイド
ユーザ グループのマッピングと指定
ユーザ グループのマッピングと指定
発行日;2012/02/02 | 英語版ドキュメント(2009/11/27 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

ユーザ グループのマッピングと指定

ユーザ グループのマッピングと指定について

外部ユーザ データベースによるグループ マッピング

トークン サーバ、ODBC データベース、または LEAP Proxy RADIUS Sever データベースに対する ACS グループ マッピングの作成

グループ セット メンバーシップによるグループ マッピング

グループ マッピングの順序

グループ セット マッピングの No Access グループ

Windows のデフォルトのグループ マッピング

Windows または汎用 LDAP グループに対する ACS グループ マッピングの作成

Windows または汎用 LDAP グループ セット マッピングの編集

Windows または汎用 LDAP グループ セット マッピングの削除

Windows ドメイン グループ マッピング設定の削除

グループ セット マッピング順序の変更

RADIUS ベースのグループ指定

ユーザ グループのマッピングと指定

この章では、グループのマッピングと指定について説明します。Cisco Secure Access Control Server リリース 4.2(以降は ACS と表記)は、これらの機能を使用して、外部ユーザ データベースによって認証されるユーザを 1 つの ACS グループに割り当てます。

この章は、次の項で構成されています。

「ユーザ グループのマッピングと指定について」

「外部ユーザ データベースによるグループ マッピング」

「グループ セット メンバーシップによるグループ マッピング」

「RADIUS ベースのグループ指定」

ユーザ グループのマッピングと指定について

[External User Databases] セクションのデータベース グループ マッピング機能を使用すると、認可プロファイルを割り当てるために、未知ユーザを ACS グループに関連付けることができます。ACS がグループ情報を取得できる外部ユーザ データベースの場合は、外部ユーザ データベース内のユーザに定義されているグループ メンバーシップを、特定の ACS グループに関連付けることができます。Windows ユーザ データベースの場合、各ドメインが専用のユーザ データベースを保持しているため、グループ マッピングはドメインによって詳細に指定されます。

データベース グループ マッピング機能に加えて、ACS では、一部のデータベース タイプについては、Remote Access Dial-In User Service(RADIUS)に基づいたグループ指定をサポートします。

外部ユーザ データベースによるグループ マッピング

外部データベースは、ACS グループにマッピングできます。指定されたデータベースを使用して認証を行う未知ユーザは、自動的にそのグループに所属し、そのグループの認可を継承します。たとえば、あるトークン サーバ データベースで認証された未知ユーザ全員を Telecommuters という名前のグループに所属するように、ACS を設定することもできます。次に、社外で働いているユーザに適したグループ設定として、たとえば MaxSessions=1 などを割り当てることもできます。または、別のグループに対して使用禁止時間を設定し、同時に Telecommuters グループ メンバーには無制限のアクセスを許可することもできます。

ACS では、任意の外部ユーザ データベース タイプのすべての未知ユーザを、単一の ACS グループにマッピングすることが可能ですが、次の外部ユーザ データベース タイプは、ユーザを単一の ACS グループにしかマッピングできません。

Open Database Connectivity(ODBC; 開放型データベース接続)(ACS for Windows のみ)

Lightweight and Efficient Application Protocol(LEAP)Proxy RADIUS サーバ

Remote Access Dial-In User Service(RADIUS)トークン サーバ

RSA SecurID トークン サーバ

上記にリストした外部ユーザ データベース タイプのサブセットについては、外部ユーザ データベースの認証応答として ACS グループが指定されている場合は、ユーザごとの設定は外部データベース タイプによるグループ マッピングに優先します。ACS では、次の外部ユーザ データベース タイプについて、グループ メンバーシップの指定をサポートします。

LEAP Proxy RADIUS サーバ

RADIUS トークン サーバ

上記のいずれかのデータベース タイプで認証されたユーザに対してグループ メンバーシップを指定する方法については、「RADIUS ベースのグループ指定」を参照してください。

ACS for Windows

また、ODBC 外部ユーザ データベースによって認証されたユーザは、指定した ACS グループに割り当てることもできます。ODBC データベース認証によるグループ指定は、グループ マッピングより優先されます。ODBC データベースで認証されるユーザのグループ メンバーシップを指定する方法の詳細については、「ODBC データベース(ACS for Windows のみ)」を参照してください。

トークン サーバ、ODBC データベース、または LEAP Proxy RADIUS Sever データベースに対する ACS グループ マッピングの作成

トークン サーバ、ODBC データベース(ACS for Windows のみ)、または LEAP Proxy RADIUS Server データベース グループ マッピングを設定または変更するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの [External User Databases] をクリックします。

ステップ 2 [Database Group Mappings] をクリックします。

ステップ 3 グループ マッピングを設定する、トークン サーバ、ODBC データベース設定(ACS for Windows のみ)、または LEAP Proxy RADIUS Server の名前をクリックします。

[Define Group Mapping] テーブルが表示されます。

ステップ 4 [Select a default group for database ] リストで、このデータベースで認証されたユーザを割り当てるグループをクリックします。


ヒント [Select a default group for database] リストに、各グループに割り当てられているユーザの数が表示されます。


ステップ 5 [Submit] をクリックします。

ステップ 3 で選択した外部データベース タイプによって認証される未知ユーザと検出ユーザが、ステップ 4 で選択した ACS グループに割り当てられます。RADIUS トークン サーバ、ODBC データベース(ACS for Windows のみ)、または LEAP Proxy RADIUS Server データベースによって認証されるユーザについては、それらのデータベースにそのユーザの ACS グループが指定されていない場合に限り、マッピングがデフォルトとして適用されます。


) RADIUS トークン サーバに対するグループ指定方法については、「RADIUS ベースのグループ指定」を参照してください。ODBC データベースのグループ指定(ACS for Windows)の詳細については、「ODBC 外部ユーザ データベースを使用した ACS の認証プロセス」を参照してください。



 

グループ セット メンバーシップによるグループ マッピング

一部の外部ユーザ データベースに対しては、ユーザが所属する外部ユーザ データベース グループの組み合せに基づいたグループ マッピングを作成できます。次に挙げるのは、グループ セット メンバーシップに基づき、グループ マッピングを作成できる外部ユーザ データベース タイプです。

Windows ドメイン:ACS には、グループ マッピングのオプションが 2 つ用意されています。グループは、グループのリストから選択するか、手動でグループ名を入力できます。列挙するグループの数が非常に多い(たとえば、500 グループ)場合は、2 つ目のオプションを使用してください。


) ACS がグループ マッピングを実行できるのは、ユーザが所属するローカル グループとグローバル グループを、ユーザを認証したドメインで使用する場合だけです。認証ドメインが信頼するドメイン内のグループ メンバーシップは、ACS グループ マッピングに使用できません。認証を提供するドメインのローカル グループにリモート グループを追加しても、この制約は回避できません。


汎用 Lightweight Directory Access Protocol(LDAP)

グループ セット メンバーシップに基づいて、ACS グループ マッピングを設定すると、そのセットに外部ユーザ データベース グループを 1 グループ以上追加できます。ACS が、指定された ACS グループにユーザをマッピングする場合、そのユーザは、グループ セット内の すべての 外部ユーザ データベース グループに一致する必要があります。

例として、Engineering グループと Tokyo グループに所属するユーザに対してあるグループ マッピングを設定し、Engineering グループと London グループに所属するユーザに対して別のグループ マッピングを設定できます。次に、Engineering-Tokyo と Engineering-London の組み合せに対して別個のグループ マッピングを設定した後、その組み合せがマッピングされる ACS グループに対して別々のアクセス時刻を設定することもできます。また、Tokyo または London のメンバーではない Engineering グループのその他のメンバーをマッピングする、Engineering グループだけを含んだグループ マッピングを設定することもできます。

グループ マッピングの順序

ACS は、常時、単一の ACS グループにユーザをマッピングします。ただし、ユーザは、複数のグループ セット マッピングに所属できます。たとえば、 John という名前のユーザが、Engineering と California の組み合せグループのメンバーであり、同時に、Engineering と Managers の組み合せグループのメンバーであることも可能です。その両方の組み合せに対して、ACS グループ セット マッピングが存在する場合、ACS は、 John を割り当てるべきグループを決定する必要があります。

ACS は、グループ セット マッピングにマッピング順序を割り当てることで、グループ セット マッピングの矛盾を避けます。外部ユーザ データベースで認証されたユーザを、ACS グループに割り当てる場合、ACS は、そのデータベースに対するグループ マッピングのリストの一番上から割り当てを開始します。ACS は、外部ユーザ データベース内のユーザ グループ メンバーシップを、リスト内の各グループ マッピングと順次比較してチェックします。ユーザの外部ユーザ データベースのグループ メンバーシップと一致する最初のグループ セット マッピングを検出すると、ACS は、そのグループ マッピングの ACS グループにユーザを割り当て、マッピング プロセスを終了します。


ヒント グループ マッピングの順序は、ユーザに許可されるネットワーク アクセスおよびサービスに影響するため重要です。複数のグループに所属するユーザに対してマッピングを定義する場合は、ユーザに対して正しいグループ設定が許可されるように、グループ マッピングが正しい順序で存在することを確認します。


たとえば、 Mary という名前のユーザが Engineering、Marketing、および Managers という 3 つの組み合せグループに割り当てられているとします。 Mary には、技術者ではなくマネージャの特権を与える必要があるとします。マッピング A は、 Mary がメンバーに入っている 3 つのグループすべてに所属するユーザを ACS Group 2 に割り当てます。マッピング B は、Engineering グループと Marketing グループに所属するユーザを ACS Group 1 に割り当てます。マッピング B が最初にリストに載っている場合、ACS は、Group 1 のユーザとして Mary を認証し、マネージャに該当する Group 2 ではなく、Group 1 に Mary を割り当てます。

グループ セット マッピングの No Access グループ

特定のグループ セット マッピングによってあるグループに割り当てられているユーザが、リモート アクセスできないようにするには、そのグループを ACS No Access グループに割り当てます。たとえば、外部ユーザ データベース グループ Contractors の全メンバーを No Access グループに割り当て、各メンバーがネットワークにリモート ダイヤルインすることを禁止することもできます。

Windows のデフォルトのグループ マッピング

Windows ユーザ データベースに対して、ACS は、デフォルトのグループ マッピングを定義する機能を備えています。他のグループ マッピングが Windows ユーザ データベースで認証された未知ユーザに一致しない場合、ACS はデフォルトのグループ マッピングに基づき、あるグループにそのユーザを割り当てます。

Windows ユーザ データベース用にデフォルトのグループ マッピングを設定することは、1 つの例外を除けば、既存のグループ マッピングを編集することと同じです。つまり、Windows 用のデフォルトのグループ マッピングを編集する場合には、[Domain Configurations] ページで有効なドメイン名を選択する代わりに \DEFAULT を選択します。

既存のグループ マッピングを編集する方法については、「Windows または汎用 LDAP グループ セット マッピングの編集」を参照してください。

Windows または汎用 LDAP グループに対する ACS グループ マッピングの作成

始める前に

Windows または汎用 LDAP グループを ACS グループにマッピングするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの [External User Databases] をクリックします。

ステップ 2 [Database Group Mappings] をクリックします。

ステップ 3 グループ マッピングを設定する外部ユーザ データベースの名前をクリックします。

Windows グループ セットをマッピングしている場合は、[Domain Configurations] テーブルが表示されます。次に、[Group Mappings for database Users] テーブルが表示されます。

ステップ 4 新しいドメインに対して Windows グループ セットをマッピングしている場合は、次の手順を実行します。

a. [New configuration] をクリックします。

[Define New Domain Configuration] ページが表示されます。

b. グループ セット マッピング設定を作成する Windows ドメインが [Detected domains] リストに表示された場合は、そのドメインの名前を選択します。


ヒント ドメインの選択内容をクリアするには、[Clear Selection] をクリックします。


c. [Detected domains] リストに、グループ セット マッピングを作成する Windows ドメインが 表示されない 場合は、[Domain] ボックスに信頼できる Windows ドメインの名前を入力します。

d. [Submit] をクリックします。

新しい Windows ドメインが、[Domain Configurations] ページ内のドメインのリストに表示されます。

ステップ 5 Windows グループ セットをマッピングしている場合は、グループ セット マッピングを設定するドメインの名前をクリックします。

[Group Mappings for Domain: domainname ] テーブルが表示されます。

ステップ 6 リストから選択してグループを追加するには、次の手順を実行します。

a. [Add Mapping] をクリックします。

[Create new group mapping for database ] ページが開きます。ここで、 database はマッピングを追加する外部ユーザ データベースの名前です。グループ リストには、外部ユーザ データベースから取得されたグループ名が表示されます。

b. グループ セット マッピングに追加される各グループについて、グループ リスト内で該当する外部ユーザ データベース グループの名前を選択し、[Add to selected] をクリックします。[Selected] リストには、ACS グループにマッピングするためにユーザが所属する必要のある、すべてのグループが表示されます。


) ACS が、このグループ セット マッピングを使用してユーザを ACS グループにマッピングするためには、そのユーザが、[Selected] リスト内のすべてのグループに一致する必要があります。ただし、ユーザは、同時に(リスト内のグループに加えて)他のグループにも所属し、さらに ACS グループにもマッピングできます。



ヒント マッピングからグループを削除するには、[Selected] リストで削除するグループの名前を選択し、次に [Remove from selected] をクリックします。


c. ACS グループ リストで、[Selected] リスト内にあるすべての外部ユーザ データベース グループに所属するユーザをマッピングする ACS グループの名前を選択します。


) [No Access] も選択できます。[No Access] グループの詳細については、「グループ セット マッピングの No Access グループ」を参照してください。


ステップ 7 グループを手動で追加するには(このオプションは、たとえば 500 グループなどのように列挙するグループ数が非常に多い場合に使用します)、次の手順を実行します。

a. [Add Manual Mapping] をクリックします。[Manual Mapping] ページが開きます。

b. Windows グループのリストをカンマ(,)区切りで入力します。

c. ACS グループ リストで、[Selected] リスト内にあるすべての外部ユーザ データベース グループに所属するユーザをマッピングする ACS グループの名前を選択します。


) [No Access] も選択できます。[No Access] グループの詳細については、「グループ セット マッピングの No Access グループ」を参照してください。


ステップ 8 [Submit] をクリックします。

ACS リストにマッピングしたグループ セットが、 database グループ カラムの一番下に表示されます。


) 各グループ セットの最後にあるアスタリスク(*)は、その外部ユーザ データベースで認証されたユーザが、そのグループ セット内のグループ以外に、他のグループにも所属することが可能であることを示します。



 

Windows または汎用 LDAP グループ セット マッピングの編集

グループ セット マッピングがマッピングされている ACS グループを変更できます。


) 既存のグループ セット マッピングの外部ユーザ データベース グループは編集できません。グループ セット マッピングに外部ユーザ データベース グループを追加、または削除する場合は、グループ セット マッピングを削除し、改定したグループ セットで新しいグループ セットを作成します。


Windows または汎用 LDAP グループ マッピングを編集するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの [External User Databases] をクリックします。

ステップ 2 [Database Group Mappings] をクリックします。

ステップ 3 グループ セット マッピングを編集する外部ユーザ データベースの名前をクリックします。

Windows グループ セット マッピングを編集している場合は、[Domain Configurations] テーブルが表示されます。次に、[Group Mappings for database Users] テーブルが表示されます。

ステップ 4 Windows グループ セット マッピングを編集している場合は、グループ セット マッピングを編集するドメインの名前をクリックします。

[Group Mappings for Domain: domainname ] テーブルが表示されます。

ステップ 5 編集するグループ セット マッピングをクリックします。

[Edit mapping for database ] ページが開きます。グループ セット マッピングに含まれる 1 つまたは複数の外部ユーザ データベース グループが、ACS グループ リストの上に表示されます。

ステップ 6 ACS グループ リストで、外部データベース グループのセットをマッピングするグループの名前を選択し、[Submit] をクリックします。


) [No Access] も選択できます。[No Access] グループの詳細については、「グループ セット マッピングの No Access グループ」を参照してください。


ステップ 7 [Submit] をクリックします。

[Group Mappings for database ] ページが再度開き、変更されたグループ セット マッピングが表示されます。


 

Windows または汎用 LDAP グループ セット マッピングの削除

グループ セット マッピングは個別に削除できます。

Windows または汎用 LDAP グループ マッピングを削除するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの [External User Databases] をクリックします。

ステップ 2 [Database Group Mappings] をクリックします。

ステップ 3 グループ セット マッピングを削除する外部ユーザ データベース設定をクリックします。

Windows グループ セット マッピングを削除する場合は、[Domain Configurations] テーブルが表示されます。次に、[Group Mappings for database Users] テーブルが表示されます。

ステップ 4 Windows グループ セット マッピングを削除する場合は、そのグループ セット マッピングを削除するドメインの名前をクリックします。

[Group Mappings for Domain: domainname ] テーブルが表示されます。

ステップ 5 削除するグループ セット マッピングの名前をクリックします。

ステップ 6 [Delete] をクリックします。

確認ダイアログボックスが表示されます。

ステップ 7 確認ダイアログボックスで、[OK] をクリックします。

ACS によって、選択された外部ユーザ データベースのグループ セット マッピングが削除されます。


 

Windows ドメイン グループ マッピング設定の削除

Windows ドメインに対するグループ マッピング設定全体を削除できます。Windows ドメイン グループ マッピング設定を削除すると、その設定内のすべてのグループ セット マッピングも削除されます。

Windows グループ マッピングを削除するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの [External User Databases] をクリックします。

ステップ 2 [Database Group Mappings] をクリックします。

ステップ 3 Windows 外部ユーザ データベースの名前をクリックします。

ステップ 4 グループ セット マッピングを削除するドメインの名前をクリックします。

ステップ 5 [Delete Configuration] をクリックします。

確認ダイアログボックスが表示されます。

ステップ 6 確認ダイアログボックスで、[OK] をクリックします。

ACS によって、選択された外部ユーザ データベースのグループ マッピング設定が削除されます。


 

グループ セット マッピング順序の変更

Windows および汎用 LDAP データベースで認証を受けるユーザのグループ セット マッピングに対して ACS が実行するチェックの順序を変更できます。グループ マッピングの順序を設定するには、グループ マッピングを作成しておく必要があります。グループ マッピングの作成方法については、「Windows または汎用 LDAP グループに対する ACS グループ マッピングの作成」を参照してください。

Windows または汎用 LDAP グループ マッピングに対するグループ マッピング順序を変更するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの [External User Databases] をクリックします。

ステップ 2 [Database Group Mappings] をクリックします。

ステップ 3 グループ セット マッピング順序を設定する外部ユーザ データベースの名前をクリックします。

Windows グループ セット マッピングの順序を設定している場合は、[Domain Configurations] テーブルが表示されます。次に、[Group Mappings for database Users] テーブルが表示されます。

ステップ 4 Windows グループ マッピングの順序を設定している場合は、グループ セット マッピングの順序を設定するドメインの名前をクリックします。

[Group Mappings for Domain: domainname ] テーブルが表示されます。

ステップ 5 [Order mappings] をクリックします。


) 現在のデータベースに対して、複数のグループ セット マッピングが存在する場合は、[Order mappings] ボタンが表示されます。これは、デフォルトのグループ マッピングには適用されません。


[Order mappings for database ] ページが開きます。現在のデータベースに対するグループ マッピングが、[Order] リストに表示されます。

ステップ 6 移動するグループ セット マッピングの名前を選択し、適切な位置になるまで [Up] または [Down] をクリックします。

ステップ 7 グループ マッピングが適切な順序になるまで、ステップ 7 を繰り返します。

ステップ 8 [Submit] をクリックします。

[Group Mappings for database ] ページに、定義した順序でグループ セット マッピングが表示されます。

ステップ 9 [Submit] をクリックします。

SPT/ユーザ グループ間マッピングが保存されます。


 

RADIUS ベースのグループ指定

一部の外部ユーザ データベースのタイプについては、ACS では、外部ユーザ データベースからの RADIUS 認証応答に基づいて、特定の ACS グループにユーザを割り当てることができます。ACS は、「外部ユーザ データベースによるグループ マッピング」で説明されている未知ユーザ グループ マッピングに加えて、この割り当てを提供します。RADIUS ベースのグループ指定は、グループ マッピングより優先されます。RADIUS ベースのグループ指定をサポートするデータベース タイプは、次のとおりです。

LEAP Proxy RADIUS サーバ

RADIUS トークン サーバ

ACS は、LEAP Proxy RADIUS Server データベースで認証されたユーザに対するユーザ単位のグループ マッピングをサポートします。このグループ マッピング サポートは、「外部ユーザ データベースによるグループ マッピング」で説明されているデフォルトのグループ マッピングの追加機能です。

ユーザ単位のグループ マッピングをイネーブルにするには、次の値を使用して、Cisco IOS/PIX RADIUS アトリビュート 1、[009\001] cisco-av-pair を含む認証応答を返すように外部ユーザ データベースを設定します。

ACS:CiscoSecure-Group-Id = N

N には、ACS がユーザに割り当てる ACS グループの番号(0 ~ 499)が入ります。たとえば、LEAP Proxy RADIUS Server がユーザを認証して、Cisco IOS/PIX RADIUS アトリビュート 1、[009\001] cisco-av-pair に次の値を含めると、このようになります。

ACS:CiscoSecure-Group-Id = 37

ACS では、ユーザにグループ 37 を割り当て、グループ 37 に関連付けられた認可を適用します。