Cisco Secure ACS Solution Engine ユーザ ガイド Release 4.1
未知ユーザ ポリシー
未知ユーザ ポリシー
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

未知ユーザ ポリシー

既知ユーザ、未知ユーザ、および検出ユーザ

認証と未知ユーザ

未知ユーザ認証について

未知ユーザの一般的な認証

未知ユーザの Windows 認証

ドメイン修飾された未知 Windows ユーザ

ドメイン修飾を使用した Windows 認証

複数ユーザ アカウントの作成

未知ユーザ認証のパフォーマンス

認証待ち時間の追加

AAA クライアントの認証タイムアウト値

未知ユーザの認可

未知ユーザ ポリシーのオプション

データベースの検索順序

未知ユーザ ポリシーの設定

未知ユーザ認証のディセーブル化

未知ユーザ ポリシー

この章では、ACS Web インターフェイスの External User Databases セクションにある、未知ユーザ ポリシー機能について説明します。Network Access Profiles(NAP; ネットワーク アクセス プロファイル)の未知ユーザ ポリシーを設定することもできます。Cisco Secure Access Control Server Release 4.1(以降は ACS と表記)では、未知ユーザの認証に使用する内部データベースを、認証の NAP 設定のクレデンシャル確認データベースから明示的に選択する必要があります。

ACS Web インターフェイスの External User Database セクションで少なくとも 1 つのデータベースを設定した後、認証に関連した他の ACS 機能を実装する方法を決定できます。これは、未知ユーザ ポリシーとユーザ グループ マッピングという機能です。

ユーザ グループ マッピングについては、「ユーザ グループ マッピングと仕様」を参照してください。

ACS でサポートされるデータベースについて、および Web インターフェイスでデータベースを設定する方法については、「ユーザ データベース」を参照してください。

この章は、次の項で構成されています。

「既知ユーザ、未知ユーザ、および検出ユーザ」

「認証と未知ユーザ」

「未知ユーザ認証について」

「未知ユーザの一般的な認証」

「未知ユーザの Windows 認証」

「未知ユーザ認証のパフォーマンス」

「未知ユーザの認可」

「未知ユーザ ポリシーのオプション」

「データベースの検索順序」

「未知ユーザ ポリシーの設定」

「未知ユーザ認証のディセーブル化」

既知ユーザ、未知ユーザ、および検出ユーザ

未知ユーザ ポリシー機能には、AAA サービスを要求するユーザのタイプに応じて認証要求を処理するさまざまな方法が用意されています。ユーザのタイプは 3 つあります。このタイプの意味は、要求されたサービスが認証されているかどうかによって異なります。

既知ユーザACS 内部データベースに手動または自動で明示的に追加されたユーザです。これらのユーザは、Web インターフェイスを使用する管理者、RDBMS 同期化機能、またはデータベース複製機能のいずれかによって追加されたユーザです。 CSUtil.exe ユーティリティを使用しすることもできます(ACS for Windows)。 CSUtil.exe の詳細については、 付録 D「CSUtil データベース ユーティリティ」 を参照してください。ACS は次の認証を使用して既知のユーザに対する認証要求を処理します。

ACS は、既知ユーザが関連付けられている単一のユーザ データベースを使用して、その既知ユーザの認証を試みます。ユーザ データベースが ACS 内部データベースであり、ユーザのアカウントが Voice over IP(VoIP)ユーザ アカウントではない場合は、ユーザにパスワードが必要です。ユーザ データベースが外部ユーザ データベースであるか、またはユーザのアカウントが VoIP ユーザ アカウントである場合、ACS ではユーザ データベースにユーザ パスワードを格納する必要がありません。

ACS では、フェールオーバー認証はサポートされていません。ユーザと関連付けられたデータベースで認証が失敗した場合、ACS はユーザを認証する別の方法を使用できないため、認証が失敗したことを AAA クライアントに通知します。

未知ユーザACS 内部データベースに、ユーザ アカウントを持たないユーザです。このことは、ユーザが ACS から認証サービスを受け取ったことがないか、ユーザ アカウントが削除されたかのどちらかを意味します。ACS は、未知ユーザ ポリシーの設定で指定されたとおりに、未知ユーザに対する認証要求を処理します。

未知ユーザ認証の詳細については、「未知ユーザの一般的な認証」を参照してください。

検出ユーザ未知ユーザ ポリシーを使用した認証が成功した後で、ACS が ACS 内部データベース内に作成したアカウントに対応するユーザです。すべての検出ユーザは、最初は未知ユーザでした。ACS が検出ユーザを作成するとき、そのユーザ アカウントには、ユーザ名、ユーザに対して認証を提供したデータベースを示す Password Authentication リスト設定、およびグループ マッピングを可能にする、Mapped By External Authenticator の Group to which the user is assigned リスト設定だけが含まれます。ACS Web インターフェイスまたは RDBMS 同期化を使用すると、必要に応じてユーザ アカウントにさらに設定を追加できます。たとえば、検出ユーザが ACS に作成されると、その検出ユーザにユーザ固有のネットワーク アクセス制限を割り当てることができます。


) ACS は、検出ユーザのクレデンシャル(パスワード、証明書など)をインポートしません。


検出ユーザの認証プロセスは、外部ユーザ データベースで認証され、グループ マッピングによって ACS グループ メンバーシップが決定される既知ユーザの認証プロセスと同じです。


) ユーザ名に関連付けられている特権が必要なくなったときには、データベースからそのユーザ名を削除することを推奨します。ユーザ アカウントの削除方法の詳細については、「ユーザ アカウントの削除」を参照してください。


ユーザに対する一意の識別子は、ユーザ名とプロファイル名です。ユーザはユーザ名だけでは識別できませんが、ユーザ名とプロファイル名の組み合せにより識別できます。異なるプロファイルの使用により動的に作成された検出ユーザは、データベース内で別のレコードとなります。したがって、プロファイル名 routers を持つユーザ john の設定は、ユーザ john とプロファイル名 switches の設定には影響を与えません。

NAP の詳細については、「ネットワーク アクセス プロファイル」を参照してください。

認証と未知ユーザ

この項では、認証で未知ユーザ ポリシーを使用する方法について説明します。この項の情報は、特に断りのない限り、NAP 認証ポリシーにも関連しています。

この項では、次のトピックについて取り上げます。

「未知ユーザ認証について」

「未知ユーザの一般的な認証」

「未知ユーザの Windows 認証」

「未知ユーザ認証のパフォーマンス」

未知ユーザ認証について

未知ユーザ ポリシーは、認証転送の 1 つの形式です。本質的に、この機能は認証プロセス内の特殊なステップです。ユーザ名が ACS 内部データベースに存在しない場合、ACS は着信したユーザ名とパスワードの認証要求を、通信相手として設定された外部データベースに転送します。外部データベースは、認証要求で使用される認証プロトコルをサポートする必要があります。

未知ユーザ ポリシーにより、ACS は、さまざまな外部データベースを使用して未知ユーザの認証を試行できます。この機能は、ACS を介した基本的なシングル サインオン機能の基盤となります。着信する認証要求は外部ユーザ データベースで処理されるので、パスワードなどのユーザ クレデンシャルを ACS 内に保持する必要はありません。このため、各ユーザを複数回入力する必要がなく、手動での手順にありがちなデータ入力エラーを防止できます。


) NAP を設定する際、内部データベースが Web インターフェイス内で選択されない場合もあります。外部データベースを選択した方法と同じように認証に内部データベースを選択できます。


未知ユーザの一般的な認証

ACS で未知ユーザ ポリシーを設定している場合、ACS は次のようにして未知ユーザの認証を試みます。

1. ACS は自身の内部データベースをチェックします。ユーザが ACS 内部データベース内に存在している(つまり既知ユーザまたは検出ユーザである)場合、ACS は、要求の認証プロトコルと、ユーザ アカウントで指定されたデータベースを使用して、ユーザの認証を試みます。認証の結果、成功または失敗となります。

2. ユーザが ACS 内部データベースに存在しない(つまり未知ユーザである)場合、ACS は、Selected Databases リストに指定された順序で、要求の認証プロトコルをサポートする各外部ユーザ データベースで認証を試みます。外部ユーザ データベースの 1 つでユーザの認証が成功すると、ACS はそのユーザを ACS 内部データベースに自動的に追加します。このとき、認証試行で成功した外部ユーザ データベースを使用するためのポインタも一緒に格納されます。ACS は、認証が成功するとその後のデータベースの検索を中断します。未知ユーザ認証によって追加されたユーザは、ACS 内部データベース内でそれに応じたフラグが付けられ、検出ユーザと呼ばれます。

次回、この検出ユーザが認証を試みると、ACS は、最初に認証が成功したデータベースに対して、このユーザを認証します。検出ユーザは、既知ユーザと同じ取り扱いを受けます。

3. 設定されているすべての外部データベースで未知ユーザの認証が失敗すると、そのユーザは ACS 内部データベースには追加されず、認証も失敗します。

上記のシナリオでも、同一ユーザ名のユーザ アカウントが、別個の Windows ドメインに存在する場合には、処理が異なります。詳細については、「未知ユーザの Windows 認証」を参照してください。


) ACS 内部データベース内のユーザ名は一意であることが必要なため、ACS では、使用するように設定されているすべてのデータベースで、すべてのユーザ名の単一インスタンスをサポートしています。たとえば、すべての外部ユーザ データベースに、John というユーザ名のユーザ アカウントが格納されているとします。各アカウントは、別のユーザのアカウントですが、偶然、同一のユーザ名を持っています。最初の John がネットワークにアクセスし、未知ユーザ プロセスを介して認証されると、ACS は、その John 専用の検出ユーザ アカウントを保持します。この後、すべての John という名前によるアクセス試行を、最初に John を認証した外部ユーザ データベースを使用して認証しようとします。John というユーザのパスワードが、最初に認証を受けた John のパスワードとは異なっていると、他の John はネットワークにアクセスできません。


未知ユーザの Windows 認証

ACS がユーザ認証に使用する信頼 Windows ドメイン全体には、同一ユーザ名が存在する可能性があるため、ACS は Windows ユーザ データベースによる認証を特殊なケースとして扱います。

認証を実行するため、ACS は、ACS を実行しているコンピュータの Windows オペレーティング システムと通信します。Windows は、組み込み機能を使用して、適切なドメイン コントローラに認証要求を転送します。

この項では、次のトピックについて取り上げます。

「ドメイン修飾された未知 Windows ユーザ」

「ドメイン修飾を使用した Windows 認証」

「複数ユーザ アカウントの作成」

ドメイン修飾された未知 Windows ユーザ

認証要求の一部としてドメイン名が指定されていると、ACS では、ドメイン名が指定されていることを検出し、指定されたドメイン名に対して認証クレデンシャルを要求します。Windows で提供されるダイヤルアップ ネットワーキング クライアントは、Windows のバージョンによってユーザによるドメインの指定方法に違いがあります。詳細については、「Windows ダイヤルアップ ネットワーキング クライアント」を参照してください。

ドメイン修飾されたユーザ名を使用することにより、ACS は、異なるドメインにある同一ユーザ名の複数インスタンスから、特定のユーザを区別できます。ドメイン修飾されたユーザ名を指定し、Windows ユーザ データベースで認証を受ける未知ユーザについては、ACS は、 DOMAIN \ username の形式で、ACS 内部データベースにユーザ アカウントを作成します。ユーザ名とドメインを組み合せることで、このユーザは ACS データベース内で一意になります。

ドメイン修飾されたユーザ名と Windows 認証の詳細については、「ユーザ名と Windows 認証」を参照してください。

ドメイン修飾を使用した Windows 認証

ユーザ名がドメイン修飾されていない場合や、UPN 形式になっている場合、ACS を実行するコンピュータの Windows オペレーティング システムは、ACS による制御範囲外で、非常に複雑な認証順序をたどります。リソースの使用順序はさまざまですが、ドメイン修飾されていないユーザ名または UPN ユーザ名を検索するときに、Windows は通常、次の順序に従います。

1. ローカル ドメイン コントローラ

2. すべての信頼ドメイン内のドメイン コントローラ(順序は Windows に依存)

3. ACS がメンバー サーバ上で動作する場合は、ローカル アカウント データベース

Windows は、ユーザ名が ACS から Windows へ渡されたものと一致するアカウントを検出すると、最初に検出したアカウントでユーザの認証を試みます。認証が成功するか失敗するかに関係なく、Windows は同一ユーザ名の他のアカウントを検索しません。したがって、Windows は、偶然同一のユーザ名を持つ間違ったアカウントに対して、提供されたクレデンシャルをチェックしてしまうことがあるため、有効なクレデンシャルを提供したユーザの認証に失敗することがあります。

Windows ユーザ データベースに対する ACS 設定の Domain List を使用すると、この問題を回避できます。信頼ドメインのリストを使用して Domain List が設定されていると、ACS では、最終的にユーザの認証に成功するまで、または Domain List 内のすべてのドメインで認証を試行して失敗に終わるまで、ドメイン修飾形式を使用して、リスト内の各ドメインにユーザ名とパスワードを送信します。


) ユーザ名がネットワークのドメイン全体に複数存在する(たとえば、各ドメインには Administrator という名前のユーザが存在する)場合、またはユーザが認証クレデンシャルの一部としてドメインを提供しない場合には、External User Databases セクションの Windows ユーザ データベースに対する Domain List を設定する必要があります。設定しない場合は、Windows が最初にチェックしたアカウントのユーザだけが認証に成功します。ACS を使用して、Windows によるドメインのチェック順序を制御する唯一の方法は、Domain List を使用することです。ユーザ名の複数インスタンスがドメイン全体に存在する場合、これをサポートする最も確実な方法は、認証要求の一部としてドメイン メンバーシップを指定するように、ユーザに要求することです。Domain List の使用結果の詳細については、「ドメイン修飾されていないユーザ名」を参照してください。


複数ユーザ アカウントの作成

未知ユーザ認証では、同一のユーザに対して複数のユーザ アカウントが作成される場合があります。たとえば、ユーザがドメイン修飾されたユーザ名を指定して認証に成功した場合、ACS は FFF の形式でアカウントを作成します。同じユーザが、ユーザ名の前にプレフィックスとしてドメイン名を付けずに認証に成功すると、ACS は username の形式でアカウントを作成します。また、同じユーザが UPN バージョンのユーザ名( username@example.com など)で認証すると、ACS は第 3 のアカウントを作成します。

個々のユーザ設定ではなくグループに依存して認可を割り当てる場合は、同じ Windows ユーザ アカウントを使用して認証するアカウントはすべて、同じ特権を受け取る必要があります。ユーザがプレフィックスとしてドメイン名を付けるかどうかに関係なく、グループ マッピングでは、そのユーザが同一の ACS ユーザ グループに割り当てられます。これは、両方の ACS ユーザ アカウントが単一の Windows ユーザ アカウントに対応しているためです。

未知ユーザ認証のパフォーマンス

未知ユーザの認証要求処理は、既知ユーザの認証要求処理に比べて、所要時間がやや長くなります。このわずかな遅延のために、未知ユーザによるネットワークへのアクセス試行に使用する AAA クライアントにタイムアウト設定を追加する必要がある場合があります。

認証待ち時間の追加

未知ユーザの認証に使用する外部ユーザ データベースを追加すると、個々の認証に要する時間が大幅に増加することがあります。各認証に要する時間は長くても、外部ユーザ データベースによる認証に費やされる時間に、ACS の処理時間を加えた時間になります。状況によっては(たとえば、Windows ユーザ データベースを使用する場合)、外部ユーザ データベースでの待ち時間がさらに数十秒追加される可能性があります。未知ユーザ認証に複数のデータベースを含めるように未知ユーザ ポリシーを設定した場合、AAA クライアントのタイムアウト値に設定する必要がある待ち時間は、個々の外部ユーザ データベースが未知ユーザの認証要求に応答するのに費やす時間の合計に、ACS の処理時間を加えた時間になります。

データベースの順序を設定することによって、この追加される待ち時間の影響を軽減できます。特にタイムセンシティブな認証プロトコル(PEAP など)を使用している場合は、そのタイムセンシティブ プロトコルを使用して、未知ユーザを格納している可能性が最も高いデータベースで最初に認証を試みるように、未知ユーザ認証を設定することをお勧めします。詳細については、「データベースの検索順序」を参照してください。

AAA クライアントの認証タイムアウト値

未知ユーザ認証で使用される外部ユーザ データベースに認証要求を渡すことにより、ACS の認証所要時間が増加します。これに対応するために、AAA クライアントのタイムアウト値は大きく設定する必要があります。AAA クライアントのタイムアウト値が、未知ユーザ認証に必要な遅延に対応するだけ十分大きく設定されていない場合は、AAA クライアントにより認証要求がタイムアウトされ、すべての未知ユーザの認証が失敗します。

Cisco IOS では、AAA クライアントのデフォルトのタイムアウト値は 5 秒です。ACS が複数のデータベースを検索するように設定されているか、または認証要求に対するデータベースの応答が遅い場合は、AAA クライアントのタイムアウト値を大きくすることを考慮します。IOS での認証タイムアウト値の詳細については、Cisco IOS マニュアルを参照してください。

未知ユーザの認可

未知ユーザ ポリシーを使用すると、External User Database セクションで設定されたデータベースで認証要求を処理できますが、AAA クライアントとエンドユーザ クライアントに送信されるすべての認可については、ACS が管理します。未知ユーザ認証は、ACS ユーザ グループ マッピング機能を利用して、設定済みのユーザ グループに未知ユーザを割り当て、認証に成功したすべての未知ユーザに認可を割り当てます。詳細については、「ユーザ グループ マッピングと仕様」および「ポスチャ確認」を参照してください。

未知ユーザ ポリシーのオプション

Configure Unknown User Policy ページでは、未知ユーザ認証に関する ACS の機能について指定できます。未知ユーザ ポリシーの設定オプションは次のとおりです。

Fail the attempt :未知ユーザ認証をディセーブルにします。この場合、ACS は、ACS 内部データベース内で見つからないユーザの認証要求を拒否します。このオプションを選択すると、Check the following external user databases オプションは使用不可になります。

Check the following external user databases :未知ユーザ認証をイネーブルにします。この場合、ACS は Selected Databases リスト内のデータベースを使用して、未知ユーザ認証を提供します。


) 認証要求に対して、ACS が未知ユーザ ポリシーを適用するのは、未知ユーザのみです。ACS では、既知ユーザまたは検出ユーザが認証に失敗した場合に、未知ユーザ認証にフォールバックすることはできません。


このオプションを選択すると、Fail the attempt オプションは使用不可になります。

External Databases :External User Databases セクションで設定したデータベースのうち、ACS が未知ユーザ認証で使用 しない データベースが一覧表示されます。

Selected Databases :External User Databases セクションで設定したデータベースのうち、ACS が未知ユーザ認証で使用 する データベースが一覧表示されます。ACS は、選択されたデータベースを指定された順序で 1 つずつ使用して、要求されたサービス(認証)を試みます。選択されたデータベースの順序の意味については、「データベースの検索順序」を参照してください。

Configure Enable Password Behavior :新規に作成されたダイナミック ユーザの Advanced TACACS+ Settings セクションで TACACS+ Enable Password 設定の初期値を決定します。詳細については、「TACACS+ Enable Password オプションをユーザに対して設定する」を参照してください。

The Internal database が選択された場合、新規ダイナミック ユーザの TACACS+ Enable Password 設定は Use Separate Password に設定されます。ユーザの TACACS+ Enable Password を編集して、TACACS+ 対応の認証を実行します。

The database in which the user profile is held が選択された場合、新規ダイナミック ユーザの設定における TACACS+ Enable Password 設定は、Use External Database Password に設定され、ユーザが正しく認証されたデータベースは、ユーザ レコード上の選択ボックスで選択されます。この設定は、新規ダイナミック ユーザの初期設定に影響を与えます。ACS がユーザをキャッシュしたら、TACACS+ Enable Password 設定を無効にして、Configure Enable Password Behavior を使用できます。

未知ユーザ ポリシーの設定手順の詳細については、「未知ユーザ ポリシーの設定」を参照してください。

データベースの検索順序

ACS が未知ユーザ認証を試みる場合に選択済みデータベースをチェックするときの順序を設定できます。未知ユーザ ポリシーは、未知ユーザ認証をサポートします。次に手順を示します。

1. Selected Databases リストで、要求の認証プロトコルをサポートする次のユーザ データベースを検索します。要求の認証プロトコルをサポートするユーザ データベースがリスト内にない場合は、未知ユーザ認証を停止し、ユーザに対してネットワーク アクセスを拒否します。

2. ステップ 1 のデータベースに認証要求を送信します。

3. データベースが Authentication suceeded というメッセージを返した場合は、検出ユーザ アカウントを作成し、グループ マッピングを実行して、ユーザにネットワークへのアクセス権を与えます。

4. データベースが Authentication failed というメッセージを返すか、応答しない場合、別のデータベースが現在のデータベースの下に表示されているときは、ステップ 1 に戻ります。

5. 別のデータベースが現在のデータベースの下に表示されていない場合は、ユーザに対してネット アクセスを拒否します。

Selected Databases リストにおけるデータベースの順序を指定する場合は、次の処理を行うデータベースを、リストのできるだけ上位に配置することを推奨します。

ほとんどの要求を処理する。

特定の時間依存 AAA クライアントまたは認証プロトコルに関連付けられた要求を処理する。

最も限定的な必須クレデンシャル タイプを要求する(ポリシーだけに適用する)。

ユーザ認証の例として、ワイヤレス LAN ユーザが PEAP を使用してネットワークにアクセスする場合は、未知ユーザ認証の時間が Cisco Aironet Access Point に指定されているタイムアウト値より短くなるように、Selected Databases リスト内のデータベースを配置します。

未知ユーザ ポリシーの設定

未知ユーザ ポリシーを設定するには、次の手順を使用します。

NAP ポリシーについては、「プロファイルの追加」を参照してください。

始める前に

Configure the Unknown User Policy ページについては、「未知ユーザ ポリシーのオプション」を参照してください。

ACS による未知ユーザの処理方法を指定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの External User Databases をクリックし、次に Unknown User Policy をクリックします。

ステップ 2 未知ユーザの認証要求を拒否するには、 Fail the attempt オプションを選択します。

ステップ 3 未知ユーザ認証を可能にするには、次の手順で未知ユーザ ポリシーをイネーブルにします。

a. Check the following external user databases オプションを選択します。

b. 未知ユーザ認証に対して ACS で使用するデータベースごとに、External Databases リスト内でそのデータベースを選択し、 --> (右矢印ボタン)をクリックして、Selected Databases リストに移動します。Selected Databases リストからデータベースを削除するには、削除するデータベースを選択し、 <-- (左矢印ボタン)をクリックして、External Databases リストに戻します。

c. データベースの検索順序を割り当てるには、Selected Databases リストでデータベースを選択し、 Up または Down をクリックして、目的の位置に移動します。


) データベースの順序が持つ意味の詳細については、「データベースの検索順序」を参照してください。


ステップ 4 イネーブル パスワードの動作を設定するには、各認証に対して The internal database オプションを選択するか、または The database in which the user profile is held オプションを選択して、新しく作成されたダイナミック ユーザが TACACS+ プロトコルを使用してイネーブル パスワード設定を初期化できるようにします。 The database in which the user profile is held オプションをクリックすると、ユーザをキャッシュした外部データベースで後続の認証を行うことができます。

ステップ 5 Submit をクリックします。

作成した未知ユーザ ポリシー設定が ACS に保存および実装されます。ACS は、Selected Databases リスト内の順序でデータベースを使用して、未知ユーザ認証要求を処理します。


 

未知ユーザ認証のディセーブル化

ACS 内部データベースに存在しないユーザに認証サービスを提供しないように、ACS を設定できます。

未知ユーザ認証を無効にするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの External User Databases をクリックし、次に Unknown User Policy をクリックします。

ステップ 2 Fail the attempt オプションを選択します。

ステップ 3 Submit をクリックします。

未知ユーザ認証が停止されます。ACS は、外部ユーザ データベースによる未知ユーザの認証を許可しません。