Cisco Secure ACS Solution Engine ユーザ ガイド Release 4.1
Web インターフェイスの使用方法
Web インターフェイスの使用方法
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

Web インターフェイスの使用方法

管理セッション

管理セッションと HTTP プロキシ

ファイアウォールを通した管理セッション

NAT ゲートウェイを通した管理セッション

Web インターフェイスへのアクセス

Web インターフェイスからのログオフ

ユーザ アクセスの設定

ユーザとグループの関係

ネットワーク アクセス プロファイル(NAP)

ユーザごとの機能またはグループごとの機能

ユーザ データのカスタマイズ

高度なオプションの表示

TACACS+ 設定オプションの表示

RADIUS 設定オプションの表示

RADIUS(IETF)オプションの表示の指定

RADIUS(ベンダー固有)オプションの表示の指定

Interface Configuration リファレンス

Configure User Defined Fields

TACACS+ Services

高度な設定オプション(TACACS+ 用)

RADIUS プロトコル

高度なオプション(Interface Configuration 用)

Web インターフェイスの使用方法

Cisco Secure Access Control Server Release 4.1(以降は ACS と表記)の Web インターフェイスは、使いやすさに重点を置いた設計になっています。ACS は、ネットワーク セキュリティの複雑な概念を管理者の視点から表します。ACS Web インターフェイスの設定は、ACS の Interface Configuration セクションを使用して行います。その際、使用しない機能を画面から隠し、実際の構成に応じてフィールドを追加することで、シンプルな画面になるようにインターフェイスを調整できます。


) このセクションに戻って、初期設定の見直しと確認を行うことを推奨します。ACS の設定は、正しくはインターフェイスの設定から始めますが、最初に非表示にする必要があると考えた Web インターフェイスのセクションが、後で設定が必要になる場合があります。



ヒント ACS Web インターフェイスの一部が表示されていなかったり、表示が正常でない場合は、Interface Configuration セクションに戻り、問題のある部分がアクティブになっているかどうかを確認してください。


この章は、次の項で構成されています。

「管理セッション」

「ユーザ アクセスの設定」

「ユーザ データのカスタマイズ」

「高度なオプションの表示」

「TACACS+ 設定オプションの表示」

「RADIUS 設定オプションの表示」

「Interface Configuration リファレンス」

管理セッション

管理セッションを起動するときは、HTTP プロキシ サーバ、ブラウザと ACS 間のファイアウォール、およびブラウザと ACS 間の NAT ゲートウェイを使用しないことを推奨します。これらの制限は現実的に不可能な場合もあるため、この項では、さまざまなネットワーク環境の問題が管理セッションに及ぼす影響について説明します。

この項では、次のトピックについて取り上げます。

「管理セッションと HTTP プロキシ」

「ファイアウォールを通した管理セッション」

「NAT ゲートウェイを通した管理セッション」

「Web インターフェイスへのアクセス」

「Web インターフェイスからのログオフ」

管理セッションと HTTP プロキシ

ACS は、管理セッション用として HTTP プロキシをサポートしていません。管理セッションに使用するブラウザがプロキシ サーバを使用するように設定されていると、ACS は、管理セッションがコンピュータの実際のアドレスではなくプロキシ サーバの IP アドレスから出ていると認識します。管理セッションのトラッキングは、固有の IP を持つコンピュータに各ブラウザがあることを想定しています。

また、代理処理された管理セッションの IP フィルタリングは、コンピュータの IP アドレスではなくプロキシ サーバの IP アドレスに基づく必要があります。これは、コンピュータの実際の IP アドレスを使用する管理セッションの通信と衝突します。管理セッションの IP フィルタリングの詳細については、「アクセス ポリシーの設定」および 「Access Policy Setup ページ」を参照してください。

これらの理由により、プロキシ サーバを使用するように設定した Web ブラウザを使用した管理セッションの実行は推奨していません。プロキシ対応の Web ブラウザを使用した管理セッションについては、テストを行っていません。Web ブラウザがプロキシ サーバを使用するように設定されている場合、ACS 管理セッションを行う際には、HTTP プロキシを無効にしてください。

ファイアウォールを通した管理セッション

ファイアウォールが Network Address Translation(NAT; ネットワーク アドレス変換)を実行しない場合、ファイアウォールを越えて管理セッションを行うには、ACS およびファイアウォールに設定を追加する必要があります。これは、ACS が管理セッションの開始時にランダムに HTTP ポートを割り当てるためです。

ACS を保護するファイアウォールの外にあるブラウザからの管理セッションでは、ACS で使用するように設定したポート範囲全体で HTTP トラフィックを許可する必要があります。HTTP ポートの範囲は、HTTP ポート割り当て機能を使用して制御できます。HTTP ポート割り当て機能の詳細については、「管理セッション用の HTTP ポートの割り当て」を参照してください。

NAT を実行しないファイアウォールを通した ACS の管理は可能ですが、シスコでは推奨していません。詳細については、「管理セッション用の HTTP ポートの割り当て」を参照してください。

NAT ゲートウェイを通した管理セッション

NAT を実行しているネットワーク デバイスを通して管理セッションを実行することは推奨しません。NAT ゲートウェイの背後にあるコンピュータで管理者がブラウザを実行すると、ACS は、NAT デバイスのパブリック IP アドレスからの HTTP 要求を受信します。これは、HTTP 要求に含まれるコンピュータのプライベート IP アドレスと衝突します。ACS はこれを許可しません。

ACS が NAT ゲートウェイの背後にあり、Web インターフェイスへのアクセスに使用する URL が ACS をホスト名で指定している場合、管理セッションは正常に動作します。ただし、ネットワーク上の DNS が正しく機能しているか、Web インターフェイスへのアクセスに使用しているコンピュータの hosts ファイルに、ACS のエントリが存在している必要があります。

Web インターフェイスへのアクセスに使用する URL が ACS を IP アドレスで指定している場合は、ポート 2002 へのすべての接続を同じポートを使用して ACS に転送するようにゲートウェイを設定できます。さらに、HTTP ポート割り当て機能を使用できるポートはすべて、同様のマッピングが可能です。シスコは、このような設定のテストは行っておらず、適用は推奨しません。

Web インターフェイスへのアクセス

リモート管理セッションでは常に、Administration Control セクションに設定されている有効な管理者名とパスワードでログインする必要があります。Administration Control セクションの Sessions Policy Setup ページで Allow automatic local login チェックボックスがオフになっていると、ACS は、ACS を実行しているコンピュータ上のブラウザからの管理セッションに対して、有効な管理者名とパスワードを要求します。

始める前に

Web インターフェイスへのアクセスに使用するコンピュータに、サポートされている Web ブラウザがインストールされているかどうかを確認します。インストールされていない場合は、サポートされている Web ブラウザをインストールするか、サポートされている Web ブラウザがすでにインストールされているコンピュータを使用します。サポートされているブラウザについては、『 Release Notes for Cisco Secure ACS Release 4.1 』を参照してください。リリース ノートの最新バージョンは、次の場所に掲示されています。
http://www.cisco.com/en/US/products/sw/secursw/ps5338/prod_release_note09186a00805efcbc.html

Web インターフェイスはいくつかの場所で Java を使用するので、Web インターフェイスへのアクセスに使用する、ブラウザを実行しているコンピュータには、ブラウザで使用できる Java Virtual Machine が備わっている必要があります。

Web インターフェイスにアクセスするには、次の手順を実行します。


ステップ 1 Web ブラウザを開きます。サポートされている Web ブラウザについては、アクセスしているバージョンの ACS のリリース ノートを参照してください。リリース ノートの最新バージョンは、次の場所に掲示されています。
http://www.cisco.com/en/US/products/sw/secursw/ps5338/prod_release_note09186a00805efcbc.html

ステップ 2 Web ブラウザの Address バーまたは Location バーに、該当する URL を入力します。次の URL のいずれかを使用して、ACS Web インターフェイスにアクセスできます。

http:// IP address :2002

http:// hostname :2002


IP address には ACS が動作しているサーバのドット付き 10 進表記の IP アドレス、hostname にはホスト名が入ります。ホスト名を使用している場合は、ネットワークで DNS が正しく機能しているか、またはブラウザを実行しているコンピュータのローカル ホスト ファイルにホスト名が記載されている必要があります。


SSL を使用して管理セッションを保護するように ACS が設定されている場合は、URL で HTTPS プロトコルを指定する必要があります。

https:// IP address :2002

https:// hostname :2002


) SSL がイネーブルになっている場合は、HTTPS を指定しなくても、ACS によって最初の要求が HTTPS へリダイレクトされます。SSL を使用してログイン ページにアクセスすると、管理者クレデンシャルが保護されます。管理セッションを保護するための SSL のイネーブル化については、「アクセス ポリシーの設定」および 「Access Policy Setup ページ」を参照してください。


ACS を実行しているコンピュータからは、次の URL も使用できます。

http: //127.0.0.1:2002

http: //localhost:2002

SSL がイネーブルになっている場合は、次のように URL で HTTPS プロトコルを指定できます。

https: //127.0.0.1:2002

https: //localhost:2002

ステップ 3 ACS のログイン ページが表示されたら、次の手順を実行します。

a. Username ボックスに、有効な ACS の管理者名を入力します。

b. Password ボックスに、指定した管理者名のパスワードを入力します。

c. Login をクリックします。

最初のページが表示され、ビルド情報と著作権情報が示されます。


 

Web インターフェイスからのログオフ

Web インターフェイスの使用を終えたら、ログオフすることを推奨します。ACS は使用されていない管理セッションをタイムアウトすることもできますが、ログオフすることによって、利用後のブラウザを使用して不正にアクセスされたり、管理セッションのサポート用に開かれたままの HTTP ポートを不正に利用されたりすることを防止できます。

ACS Web インターフェイスからログオフするには、画面の右上にある Logoff ボタン( X) をクリックします。


) Logoff(X)ボタンはブラウザ ウィンドウの右上隅に表示されていますが、最初のページでは、コンフィギュレーション領域の左上に表示されています。


ユーザ アクセスの設定

ユーザ アクセスの設定は、重要な設定アクティビティです。

ここでは、ユーザ アクセスの設定について説明します。この項では、次のトピックについて取り上げます。

「ユーザとグループの関係」

「ネットワーク アクセス プロファイル(NAP)」

「ユーザごとの機能またはグループごとの機能」

ユーザとグループの関係

ユーザが一度に 1 つのグループに所属するように設定できます。相反するアトリビュートがない限り、ユーザはグループの設定を継承します。


ユーザ プロファイルに、グループ プロファイルの同じアトリビュートと設定の異なるアトリビュートがある場合は、常にユーザ設定がグループ設定よりも優先されます。


ユーザに独自の設定要件がある場合は、そのユーザをグループの一部として User Setup ページでその独自の要件を設定するか、またはそのユーザをユーザ自身のグループに割り当てることができます。詳細については、「ユーザ グループ管理」および 「ユーザ管理」を参照してください。

ネットワーク アクセス プロファイル(NAP)

NAP により、ユーザ設定やグループ設定だけに依存する必要がなくなりました。NAP を使用して認可規則を設定することで、プロファイルの一部としてユーザ グループ、RAC、および DACL を設定できます。詳細については、「ネットワーク アクセス プロファイル」を参照してください。認可規則の詳細については、「NAP の認可ポリシーの設定」を参照してください。

ユーザごとの機能またはグループごとの機能

ほとんどの機能はユーザ レベルとグループ レベルの両方で設定可能ですが、次の例外があります。

ユーザ レベルのみ :スタティック IP アドレス、パスワード、および有効期間

グループ レベルのみ :パスワード エージングおよび時間帯または曜日による制限

ユーザ データのカスタマイズ

Configure User Defined Fields ページで、各ユーザの情報を記録するフィールドを 5 つまで追加(または編集)できます。この項で定義するフィールドは、User Setup ページの一番上にある Supplementary User Information セクションに表示されます。たとえば、ユーザの会社名、電話番号、部門、請求コードなどを追加できます。これらのフィールドをアカウンティング ログに含めることもできます。アカウンティング ログの詳細については、「ACS ログとレポートについて」を参照してください。ユーザ データ オプションを構成するデータ フィールドについては、「ユーザ定義アトリビュート」を参照してください。

ユーザ データ フィールドを定義または編集するには、次の手順を実行します。


ステップ 1 Interface Configuration をクリックし、次に User Data Configuration をクリックします。

ステップ 2 「Configure User Defined Fields」 ページが表示されます。このページでは、User Setup ページの一番上の Supplementary User Information セクションに表示されるフィールドをイネーブルにし、定義または編集します。

ステップ 3 Submit または Cancel をクリックします。


ヒント フィールドのタイトルを編集するには、Field Title ボックスのテキストを変更してから、Submit をクリックします。


 

高度なオプションの表示

Advanced Options ページでは、ACS で表示される高度なオプションを決定できます。あるいは、使用しない高度なオプションを非表示にして、ACS Web インターフェイスの他の領域に表示されるページをシンプルにできます。

ACS Web インターフェイスでの高度なオプションを設定するには、次の手順を実行します。


ステップ 1 Interface Configuration をクリックし、次に Advanced Options をクリックして Advanced Options ページを表示します。

ステップ 2 ACS Web インターフェイスでイネーブルにするオプションをオンにします。「高度なオプション(Interface Configuration 用)」 を参照してください。


注意 高度なオプションを Interface Configuration セクションでディセーブルにしても、そのオプションが Web インターフェイスで表示されないだけで、他の影響はありません。高度なオプションが表示されている間に行われた設定は、その高度なオプションが表示されなくなっても引き続き有効です。さらに、高度なオプションは、デフォルト以外の設定である場合は、その高度なオプションを非表示に設定してもインターフェイスに表示されます。後でそのオプションをディセーブルにした場合、または設定を削除した場合、ACS はその高度なオプションを非表示にします。唯一の例外は、Network Device Groups オプションです。Network Device Groups は、それらを利用しているかどうかにかかわらず、Advanced Options ページで適切なチェックボックスがオンにされていない場合は非表示になります。

ステップ 3 Submit をクリックします。

ACS は、Web インターフェイスのさまざまなセクションの内容を、選択に従って変更します。


 

TACACS+ 設定オプションの表示

TACACS+ (Cisco) ページでは、TACACS+ を設定するための ACS Web インターフェイスの設定が詳細に表示されています。インターフェイス設定を使用して、TACACS+ の管理オプションとアカウンティング オプションを表示または非表示にできます。使用しない機能を非表示にすることで、Web インターフェイスを見やすくできます。


) 1 つ以上の AAA クライアントが特定のプロトコルをサポートするように設定されている場合、
Internet Configuration ページには TACACS+ または RADIUS セキュリティ プロトコルが表示されます。たとえば、Network Configuration セクションで AAA クライアントが、クライアントの
Authenticate Using リストの RADIUS (Cisco VPN 3000/ASA/PIX 7.x+) を含むように設定した場合、RADIUS (Cisco VPN 3000/ASA/PIX 7.x+) が表示されます。



) ACS Web インターフェイスでは、イネーブルになっているプロトコル オプションや、デフォルトでない値のプロトコル オプションは、そのプロトコル オプションを非表示に設定しても表示されます。後でそのオプションをディセーブルにした場合、またはオプションの値を削除した場合は、プロトコル オプションを非表示に設定したときに、ACS は、そのプロトコル オプションを非表示にします。これによって、ACS がアクティブな設定を非表示にすることを防止できます。


この手順は、TACACS+ の管理オプションとアカウンティング オプションを表示または非表示にするために使用します。TACACS+ に用意されているサービスおよびプロトコルをすべて使用することはほとんどありません。すべて表示すると、ユーザまたはグループのセットアップが煩雑になります。セットアップを簡単にするために、TACACS+ (Cisco IOS) Edit ページを使用して、表示されるサービスとプロトコルをカスタマイズします。

TACACS+ オプション用のユーザ インターフェイスを設定するには、次の手順を実行します。


ステップ 1 Interface Configuration をクリックし、次に、 TACACS+ (Cisco IOS) をクリックして TACACA+ (Cisco) ページを表示します。

ステップ 2 「TACACS+ Services」 領域では、該当するセットアップ ページに表示する各 TACACS+ サービスを定義できます。

ステップ 3 Advanced Configuration Options 領域では、高度なオプションの表示をイネーブルにできます。「高度な設定オプション(TACACS+ 用)」 を参照してください。

ステップ 4 Submit をクリックします。

ここでの選択によって、ACS は Web インターフェイスの他のセクションで表示される TACACS+ オプションを決定します。


 

RADIUS 設定オプションの表示

すべてのプロトコルの利用可能なアトリビュートをすべてインストールすることは、実際には考えられません。すべて表示すると、ユーザまたはグループのセットアップが煩雑になります。セットアップを簡単にするには、この項のオプションを使用して、表示されるアトリビュートをカスタマイズします。サポートされている RADIUS AV ペアおよびアカウンティング AV ペアのリストについては、 付録 C「RADIUS アトリビュート」 を参照してください。

Interface Configuration ページには、設定した AAA クライアントまたはクライアントに応じて、さまざまな RADIUS プロトコル設定の選択肢が表示されます。どの RADIUS AAA クライアントを設定した場合でも、RADIUS Internet Engineering Task Force(IETF)設定は必ず表示されます。また、各ベンダー固有の RADIUS タイプに関する追加の設定も表示されます。各種の AAA クライアント用に表示される設定項目は、そのタイプのデバイスが使用できる設定によって決まります。これらの組み合せは、 表2-1 で詳しく説明しています。

 

表2-1 RADIUS インターフェイスのリスト

設定する AAA クライアントのタイプ
Interface Configuration ページに表示される設定のタイプ
RADIUS (IETF)
RADIUS
(Cisco Airespace)
RADIUS (Cisco Aironet)
RADIUS (BBSM)
RADIUS (Cisco IOS/PIX 6.0)
RADIUS (Microsoft)
RADIUS (Ascend)
RADIUS (Cisco VPN 3000/
ASA/
PIX 7.x+)
RADIUS (Cisco VPN 5000)
RADIUS (Juniper)
RADIUS (Nortel)
RADIUS (IETF)/
RADIUS (iPass)

Yes

No

No

No

No

No

No

No

No

No

No

RADIUS
(Cisco Airespace)

Yes

Yes

No

No

No

No

No

No

No

No

No

RADIUS
(Cisco Aironet)

Yes

No

Yes

No

Yes

No

No

No

No

No

No

RADIUS (BBSM)

Yes

No

No

Yes

No

No

No

No

No

No

No

RADIUS
(Cisco IOS/PIX 6.0)

Yes

No

No

No

Yes

Yes

Yes

No

No

No

No

RADIUS (Ascend)

Yes

No

No

No

No

Yes

Yes

No

No

No

No

RADIUS
(Cisco VPN3000/
ASA/PIX 7.x+)

Yes

No

No

No

Yes

Yes

No

Yes

No

No

No

RADIUS
(Cisco VPN 5000)

Yes

No

No

No

No

No

No

No

Yes

No

No

RADIUS (Juniper)

Yes

No

No

No

No

No

No

No

No

Yes

No

RADIUS (Nortel)

Yes

No

No

No

No

No

No

No

No

No

Yes


ヒント Interface Configuration ページで設定のタイプを選択して詳細な設定を行うには、事前にネットワーク デバイスを設定する必要があります。


Interface Configuration ページで、設定する RADIUS 設定のタイプを選択すると、Web インターフェイス上に、そのタイプに対応する利用可能な RADIUS アトリビュートとそのアトリビュートに関連付けられているチェックボックスのリストが表示されます。Interface Configuration の Advanced Options にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている場合は、各アトリビュートの Group チェックボックスの横に User チェックボックスが表示されます。それ以外の場合は、各アトリビュートの Group チェックボックスだけが表示されます。アトリビュートのリストにあるチェックボックスをオンまたはオフにすることで、そのチェックボックスに対応する(IETF)RADIUS アトリビュートまたは Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)を、User Setup セクションおよび Group Setup セクションで設定できるかどうかが決まります。

ACS には、あらかじめパッケージ化されたこれらの VSA が付属していますが、まだ ACS に含まれていない任意の VSA セット用にカスタム アトリビュートを定義して設定することもできます。カスタム VSA と対応する AAA クライアントを設定してあれば、Interface Configuration セクションからそのカスタム VSA を選択し、その後で、特定のアトリビュートを設定可能なオプションとして User Setup ページまたは Group Setup ページに表示するためのオプションを設定できます。ユーザ定義の RADIUS VSA の作成方法については、「カスタム RADIUS ベンダーと VSA」を参照してください。

RADIUS(IETF)オプションの表示の指定

この手順では、任意の標準 IETF RADIUS アトリビュートを ACS Web インターフェイスの他の部分で設定するときに、表示または非表示にできます。


) Interface Configuration の Advanced Options にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている場合は、各アトリビュートの Group チェックボックスに並んで User チェックボックスが表示されます。


IETF RADIUS アトリビュートのプロトコル設定オプションを設定するには、次の手順を実行します。


ステップ 1 Interface Configuration をクリックし、次に、 RADIUS (IETF) をクリックして RADIUS (IETF) ページを表示します。

ステップ 2 設定可能なオプションとして User Setup ページまたは Group Setup ページに表示する各 IETF RADIUS アトリビュートに対して、対応するチェックボックスをオンにします。「RADIUS プロトコル」 を参照してください。


) 使用している RADIUS ネットワーク デバイスは、オンにした RADIUS アトリビュートをすべてサポートしている必要があります。


ステップ 3 User Setup ページおよび Group Setup ページでタグ付きアトリビュート用に表示する値の個数を指定するには、 Tags to Display Per Attribute オプションを選択し、次に対応するリストから値を選択します。タグ付きアトリビュートの例としては、[064]Tunnel-Type および [069] Tunnel-Password があります。

ステップ 4 Submit をクリックします。

選択した各 IETF RADIUS アトリビュートが、設定可能なオプションとして User Setup ページまたは Group Setup ページに表示されます。


 

RADIUS(ベンダー固有)オプションの表示の指定

この手順では、さまざまな RADIUS VSA を ACS Web インターフェイスの User Setup セクションおよび Group Setup セクションで設定するときに、表示または非表示にできます。

RADIUS VSA のセットに対してプロトコル設定オプションを設定するには、次の手順を実行します。


ステップ 1 Interface Configuration をクリックします。

ステップ 2 RADIUS VSA セットの種類のいずれか 1 つをクリックします。たとえば、RADIUS (Ascend) をクリックします。

ステップ 3 利用可能な RADIUS VSA の選択したセットを一覧表示するページが表示されます。「RADIUS プロトコル」 を参照してください。


) Interface Configuration の Advanced Options にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている場合は、各アトリビュートの Group チェックボックスの横に User チェックボックスが表示されます。


ステップ 4 User Setup ページまたは Group Setup ページに設定可能なオプションとして表示する各 RADIUS VSA に対して、対応するチェックボックスをオンにします。


) 使用している RADIUS ネットワーク デバイスは、オンにした RADIUS アトリビュートをすべてサポートしている必要があります。


ステップ 5 ページの下部にある Submit をクリックします。

選択した内容に応じて、RADIUS VSA が、User Setup ページまたは Group Setup ページ、あるいはその両方に設定可能なオプションとして表示されます。


 

Interface Configuration リファレンス

ナビゲーション バーの Interface Configuration ボタンをクリックして、Web インターフェイスの Interface Configuration セクションのトップ ページを表示します。

表2-2 では、Interface Configuration ページのオプションについて説明します。

 

表2-2 Interface Configuration ページ

オプション
説明

Select

User Data Configuration

Configure User Defined Fields ページが表示されます。このページでは、User Setup ページに表示する追加フィールドを設定できます。

<protocol>

関連する TACACS+ または RADIUS サービス、およびアトリビュート オプションを含むページが表示されます。


) 1 つ以上の AAA クライアントが特定のプロトコルをサポートするように設定されている場合、Internet Configuration ページには TACACS+ または RADIUS セキュリティ プロトコルが表示されます。たとえば、Network Configuration で AAA クライアントが Authenticate Using リストの RADIUS (Cisco VPN 3000/ASA/PIX 7.x+) を指定するように設定した場合、RADIUS (Cisco VPN 3000/ASA/PIX 7.x+) だけが表示されます。


Advanced Options

Advanced Options ページが表示されます。このページでは、ユーザ インターフェイスに表示する追加オプションを選択できます。

Interface Configuration リファレンスには、次の項が含まれます。

Configure User Defined Fields

TACACS+ Services

高度な設定オプション(TACACS+ 用)

RADIUS プロトコル

高度なオプション(Interface Configuration 用)

Configure User Defined Fields

表2-3 では、Configure User Defined Fields ページのオプションについて説明します。

 

表2-3 Configure User Defined Fields

オプション
説明

Display

このオプションをオンにすると、User Setup ページおよび特定の System Configuration: Logging ページのフィールドの表示がイネーブルになります。

Field ID

各フィールドの ID 番号がリストで表示されます。

Field Name

新しいフィールド名を入力するか、または既存のフィールド名を編集します。フィールド名の長さは 1 ~ 126 文字で、英数字を使用できます。


) Display フィールドを必ずオンにしてください。


Submit

変更を送信して、Interface Configuration ページに戻ります。

Cancel

新しい変更を取り消して、Interface Configuration ページに戻ります。

TACACS+ Services

表2-4 では、TACACS+ Services 領域について説明します。

 

表2-4 TACACS+ Services

オプション
説明

TACACS+ Services

最も広く使用される TACACS+ サービスとプロトコルのリストが表示されます。Group Setup ページまたは User Setup ページで設定可能なオプションとして表示する TACACS+ サービスをそれぞれオンにします。


) デフォルトのインターフェイス設定では 1 カラムのチェックボックスが、グループ レベルのみについて、TACACS+ Services Settings および New Service Settings の選択用に定義されます。グループ レベルまたはユーザ レベルでの設定を可能にするために、2 カラムのチェックボックスを表示するには、Per-user TACACS+/RADIUS Attributes オプションを Interface Configuration セクションの Advanced Options ページでオンにしておく必要があります。



) ユーザ レベルでカスタマイズした設定は、グループ レベルの設定よりも優先されます。


New Services

この領域では、ネットワーク設定に特有のサービスおよびプロトコルを追加できます。適切なチェックボックスをオンにしてください。


) ACS は、他のシスコ製品用の管理アプリケーション、たとえば、ManagementCenter for Firewalls と連携動作するように設定した場合、新しい TACACS+ サービスをこれらのデバイス管理アプリケーションによって指定されたとおりに表示します。ACS、ACS と連携動作するデバイス管理アプリケーション、およびそれらのアプリケーションが管理するシスコのネットワーク デバイスを正常に機能させるには、自動的に生成される TACACS+ サービス タイプを変更したり、削除したりしないでください。



) ACS Web インターフェイスでは、イネーブルになっているプロトコル オプションや、デフォルトでない値のプロトコル オプションは、そのプロトコル オプションを非表示に設定しても表示されます。後でそのオプションをディセーブルにした場合、またはオプションの値を削除した場合は、プロトコル オプションを非表示に設定したときに、ACS は、そのプロトコル オプションを非表示にします。これによって、ACS がアクティブな設定を非表示にすることを防止できます。


高度な設定オプション(TACACS+ 用)

表2-5 では、TACACS+ の高度な設定オプションについて説明します。

 

表2-5 表示可能な TACACS+ の高度なオプション

オプション
説明

Advanced TACACS+ Features

このオプションは、User Setup ページで Advanced TACACS+ Options セクションを表示または非表示にします。このオプションには、ルータなどの SENDPASS クライアントおよび SENDAUTH クライアントに対する特権レベル認証および送信パスワード設定が含まれます。

Display a Time-of-Day access grid for every TACACS+ service where you can override the default Time-of-Day settings

このオプションをオンにすると、User Setup ページにグリッドが表示され、Group Setup ページの TACACS+ スケジューリング アトリビュートを上書きできます。

時間帯と曜日によって、各 TACACS+ サービスの使用を制限できます。たとえば、Exec (Telnet) アクセスを営業時間のみに制限するが、PPP-IP アクセスは常に許可することが可能です。

デフォルト設定では、認証の一部として全サービスの時間帯アクセスを制御します。しかし、デフォルト設定を無効にして、すべてのサービスの時間帯アクセス グリッドを表示することもできます。この設定によって、ユーザおよびグループのセットアップが管理しやすくなる一方で、この機能を最も複雑な環境で利用できるようにします。この機能は、認証プロセスと認可プロセスを分離できる TACACS+ に限り適用されます。RADIUS の時間帯アクセスは、すべてのサービスに適用されます。TACACS+ と RADIUS を同時に使用する場合は、両方にデフォルトの時間帯アクセスが適用されます。このデフォルトを使用すると、アクセス制御プロトコルに関係なく、共通の方法でアクセスを制御できます。

Display a window for each service selected in which you can enter customized TACACS+ attributes

このオプションをオンにすると、User Setup ページと Group Setup ページにカスタム TACACS+ アトリビュートを入力できる領域が表示されます。

ACS では、各サービス用にカスタム コマンド フィールドを表示することもできます。このテキスト フィールドでは、あるグループのユーザの特別なサービスに対して、ダウンロード用の専用設定を作成できます。

この機能を使用して数多くの TACACS+ コマンドをサービス用としてアクセス デバイスに送信できます。ただし、デバイスが TACACS+ コマンドをサポートし、コマンドの構文が正しい場合に限ります。この機能はデフォルトではディセーブルにされていますが、アトリビュートや時間帯アクセスをイネーブルにする場合と同様、簡単にイネーブルに設定できます。

Display enable Default (Undefined) Service Configuration

このチェックボックスをオンにすると、User Setup ページと Group Setup ページに、未知の TACACS+ サービス、たとえば、Cisco Discovery Protocol(CDP)を許可することのできる領域が表示されます。


) このオプションは、上級のシステム管理者だけが使用するようにしてください。


RADIUS プロトコル

表2-6 では、表示可能な RADIUS(IETF および非 IETF)プロトコルについて説明します。

 

表2-6 表示可能な RADIUS 設定

RADIUS 設定
説明

RADIUS (IETF)

RADIUS (IETF) Settings

このページには、(IETF)RADIUS で使用できるアトリビュートが表示されます。

標準(IETF)RADIUS アトリビュートは、RADIUS 使用時に、どのネットワーク デバイスの設定でも利用できます。IETF アトリビュート番号 26(VSA 用)を使用する場合は、Interface Configuration を選択して、次に、使用するネットワーク デバイスのベンダー用の RADIUS を選択します。ACS によってサポートされている RADIUS (IETF) のアトリビュートおよび各 RADIUS ネットワーク デバイス ベンダーの VSA が、User Setup または Group Setup に表示されます。

RADIUS (IETF) アトリビュートは、複数の RADIUS VSA が共有しています。RADIUS ベンダーに対して、RADIUS (IETF) で最初の RADIUS アトリビュートを設定する必要があります。

Tags to Display Per Attribute オプション(Advanced Configuration Options の下にある)では、User Setup ページおよび Group Setup ページでタグ付きアトリビュートに対して表示する値の個数を指定できます。タグ付きアトリビュートの例としては、[064]Tunnel-Type および [069]Tunnel-Password があります。

詳細な手順については、「RADIUS(IETF)オプションの表示の指定」を参照してください。

RADIUS(非 IETF、アルファベット順)

RADIUS (Ascend) Settings

このセクションでは、RADIUS VSA を RADIUS(Ascend)用にイネーブルにできます。このページは、RADIUS(Ascend)デバイスまたは RADIUS(Cisco IOS/PIX 6.0)デバイスを設定した場合に表示されます。手順の詳細については、「RADIUS(ベンダー固有)オプションの表示の指定」を参照してください。

RADIUS (BBSM) Settings

このセクションでは、the RADIUS VSA を RADIUS Building Broadband Service Manager(BBSM)用にイネーブルにできます。手順の詳細については、「RADIUS(ベンダー固有)オプションの表示の指定」を参照してください。

RADIUS (Cisco Airespace) Settings

このセクションでは、RADIUS VSA を RADIUS(Cisco Airespac)用にイネーブルにできます。このページは、RADIUS(Cisco Airespace)デバイスを設定した場合に表示されます。手順の詳細については、「RADIUS(ベンダー固有)オプションの表示の指定」を参照してください。

RADIUS (Cisco Aironet) Settings

このセクションは、廃止されました。セッション タイムアウト値は、専用の WLAN RADIUS Authorization Component(RAC)で使用できるようになりました。

既存の設定以外では、RADIUS Cisco Aironet 設定を使用して RADIUS (Cisco Aironet) の特定のアトリビュートをオンにすることは推奨しません。

ACS が Cisco Aironet Access Point からの認証要求に応答するときに、
Aironet-Session-Timeout アトリビュートが設定されていると、無線デバイスに対して、この値が IETF Session-Timeout アトリビュートとして送信されます。この設定を利用すると、無線エンドユーザ クライアントおよび有線エンドユーザ クライアントに対して、それぞれ異なるセッション タイムアウト値を指定できます。WLAN RAC のセッション タイムアウト値を追加する手順については、「RADIUS 認可コンポーネントの追加」を参照してください。

RADIUS (Cisco IOS/PIX 6.0) Settings

このセクションでは、特定のアトリビュートを RADIUS(Cisco IOS/PIX 6.0)用にイネーブルにできます。RADIUS (Cisco IOS/PIX 6.0) に表示されている最初のアトリビュート(026/009/001)を選択すると、User Setup と Group Setup のいずれか、あるいは両方に入力フィールドが表示され、そこに任意の TACACS+ コマンドを入力して、RADIUS 環境で TACACS+ を完全に有効利用できます。詳細な手順については、「RADIUS(ベンダー固有)オプションの表示の指定」を参照してください。

RADIUS (Cisco VPN 3000/ASA/PIX 7.x+) Settings

このセクションでは、RADIUS VSA を RADIUS(Cisco VPN 3000/ASA/PIX 7.x+)用にイネーブルにできます。手順の詳細については、「RADIUS(ベンダー固有)オプションの表示の指定」を参照してください。

RADIUS (Cisco VPN 5000) Settings

このセクションでは、RADIUS VSA を RADIUS(Cisco VPN 5000)用にイネーブルにできます。手順の詳細については、「RADIUS(ベンダー固有)オプションの表示の指定」を参照してください。

RADIUS (Juniper) Settings

このセクションでは、RADIUS VSA を RADIUS(Juniper)用にイネーブルにできます。手順の詳細については、「RADIUS(ベンダー固有)オプションの表示の指定」を参照してください。

RADIUS (Microsoft) Settings

このセクションでは、RADIUS VSA を RADIUS(Microsoft)用にイネーブルにできます。このページは、RADIUS(Ascend)デバイス、RADIUS(VPN 3000/ASA/PIX 7.x+)デバイス、または RADIUS(Cisco IOS/PIX 6.0)デバイスを設定した場合に表示されます。手順の詳細については、「RADIUS(ベンダー固有)オプションの表示の指定」を参照してください。

RADIUS (Nortel) Settings

このセクションでは、RADIUS VSA を RADIUS(Nortal)用にイネーブルにできます。手順の詳細については、「RADIUS(ベンダー固有)オプションの表示の指定」を参照してください。

高度なオプション(Interface Configuration 用)

表2-7 では、高度な Interface Configuration オプションについて説明します。

 

表2-7 高度なオプション(Interface Configuration 用)

オプション
説明

Per-User TACACS+/RADIUS Attributes

このオプションをオンにすると、グループ レベルだけでなく、ユーザ レベルでも TACACS+/RADIUS アトリビュートの設定がイネーブルになります。このオプションをイネーブルにした場合は、Interface Configuration セクションで TACACS+ (Cisco IOS) ページまたは RADIUS ページを編集して、ユーザ アカウントに表示するアトリビュートを指定する必要があります。この操作により、選択したアトリビュートがユーザ アカウントに表示され、設定できるようになります。ユーザ レベルで設定したアトリビュートは、グループ レベルで定義したアトリビュートよりも優先されます。

User-Level Shared Network Access Restrictions

このオプションをオンにすると、Shared Profile Component の Network Access
Restriction(NAR; ネットワーク アクセス制限)オプションが User Setup ページでイネーブルになります。このオプションを使用すると、事前に設定された名前付きの IP ベースおよび CLID/DNIS ベースの NAR がユーザ レベルで適用できます。Shared Profile Components 内での NAR または NAR セットの定義については、「共有 NAR の追加」を参照してください。

User-Level Network Access Restrictions

このオプションをオンにすると、ユーザ レベルの IP ベースおよび CLI/DNIS ベースの NAR を定義するための 2 セットのオプションが User Setup ページでイネーブルになります。

User-Level Downloadable ACLs

このオプションをオンにすると、Downloadable ACLs (access control lists) セクションが User Setup ページでイネーブルになります。

Default Time-of-Day/Day-of-Week Specification

このオプションをオンにすると、デフォルトの時間帯/曜日アクセス設定のグリッドが Group Setup ページでイネーブルになります。

Group-Level Shared Network Access Restrictions

このオプションをオンにすると、Shared Profile Component の NAR オプションが Group Setup ページでイネーブルになります。このオプションを使用すると、事前に設定された名前付きの IP ベースおよび CLID/DNIS ベースの NAR がグループ レベルで適用できます。Shared Profile Components 内での NAR または NAR セットの定義については、「共有 NAR の追加」を参照してください。

Group-Level Network Access Restrictions

このオプションをオンにすると、グループ レベルの IP ベースおよび CLI/DNIS ベースの NAR を定義するための 2 セットのオプションが Group Setup ページでイネーブルになります。

Group-Level Downloadable ACLs

このオプションをオンにすると、Downloadable ACLs セクションが Group Setup ページでイネーブルになります。

Group-Level Password Aging

このオプションをオンにすると、Password Aging セクションが Group Setup ページでイネーブルになります。Password Aging オプションによって、ユーザにパスワードの変更を強制できます。

Network Access Filtering

このオプションをオンにすると、Network Access Filtering (NAF) セクションが Shared Profiles Components ページでイネーブルになります。Network Access Filtering オプションをオンにすると、Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)クライアント設定のグループ(複数のネットワーク デバイスに対する設定も可能)、Network Device Group(NDG; ネットワーク デバイス グループ)、または特定の AAA クライアント デバイスの IP アドレスを設定できます。NAF は、ダウンロード可能な IP ACL およびネットワーク アクセス制限とともに使用して、容易にデバイス別のアクセスを制御できます。これは、NAP の作成時に重要です。

Max Sessions

このオプションをオンにすると、Max Sessions セクションが User Setup ページおよび Group Setup ページでイネーブルになります。Max Sessions オプションは、1 つのグループまたは 1 人のユーザに対する同時接続数の最大値を設定します。

Usage Quotas

このオプションをオンにすると、Usage Quotas セクションが User Setup ページおよび Group Setup ページでイネーブルになります。Usage Quotas オプションは、1 つのグループごとまたは 1 人のユーザごとに、使用割当量を 1 つ以上設定します。

Distributed System Settings

このオプションをオンにすると、AAA サーバ テーブルとプロキシ テーブルが Network Interface ページに表示されます。このテーブルは、デフォルト値以外の情報がある場合は常に表示されます。


) リモート ロギングの設定オプションと(ACS for Windows のみ)ODBC ロギング オプションを表示するために、Distributed System Settings フラグをオンにする必要はなくなりました。


ACS Internal Database Replication

このオプションをオンにすると、ACS のデータベース複製情報が System Configuration ページでイネーブルになります。

RDBMS Synchronization

このオプションをオンにすると、Relational Database Management System (RDBMS) Synchronization オプションが System Configuration ページでイネーブルになります。RDBMS 同期化が設定されている場合は、このオプションは常に表示されます。

IP Pools

このオプションをオンにすると、IP Pools Address Recovery オプションおよび IP Pools Server オプションが System Configuration ページでイネーブルになります。

Network Device Groups

このオプションをオンにすると、ネットワーク デバイス グループ(NDG)がイネーブルになります。NDG がイネーブルになっていると、Network Configuration セクション、および User Setup ページと Group Setup ページの一部が変化して、ネットワーク デバイス(AAA クライアントまたは AAA サーバ)のグループを管理できるようになります。このオプションは多数のデバイスを管理する場合に役立ちます。

Voice-over-IP (VoIP) Group Settings

このオプションをオンにすると、VoIP オプションが Group Setup ページでイネーブルになります。

Voice-over-IP (VoIP) Accounting Configuration

このオプションをオンにすると、VoIP Accounting Configuration オプションが System Configuration ページでイネーブルになります。このオプションを使用して、RADIUS VoIP アカウンティング パケットのロギング形式を決定します。

Submit

変更内容を送信して、Interface Configuration ページに戻ります。

Cancel

新しい変更内容を取り消して、Interface Configuration ページに戻ります。