Cisco Secure ACS Appliance ユーザガイド 3.2
ユーザ データベース
ユーザ データベース
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

ユーザ データベース

CiscoSecure ユーザ データベース

ユーザのインポートと作成

外部ユーザ データベースについて

外部ユーザ データベースによる認証

外部ユーザ データベースの認証プロセス

Windows ユーザ データベース

Windows ユーザ データベースでサポートされる機能

Windows ユーザ データベースによる認証プロセス

信頼関係

Windows ダイヤルアップ ネットワーク クライアント

domain フィールドを使用する Windows ダイヤルアップ ネットワーク クライアント

domain フィールドを使用しない Windows ダイヤルアップ ネットワーク クライアント

Windows 認証

EAP と Windows 認証

EAP-TLS ドメイン ストリッピング

マシン認証

Microsoft Windows とマシン認証

マシン アクセス制限

マシン認証の使用可能設定

User-Changeable Password と Windows ユーザ データベース

Windows で認証するユーザの準備

Windows 認証用のリモート エージェントの選択

Windows 認証設定オプション

Windows 認証の設定

汎用 LDAP

汎用 LDAP ユーザ データベースによる Cisco Secure ACS の認証プロセス

複数の LDAP インスタンス

LDAP 組織ユニットとグループ

ドメイン フィルタリング

LDAP フェールオーバー

プライマリ LDAP サーバで前回の認証が成功した場合

プライマリ LDAP サーバで前回の認証が失敗した場合

LDAP 設定オプション

汎用 LDAP 外部ユーザ データベースの設定

証明書データベースのダウンロード

Novell NDS データベース

Novell NDS ユーザ データベースについて

ユーザ コンテキスト

Novell NDS 外部ユーザ データベースのオプション

Novell NDS 外部ユーザ データベースの設定

LEAP Proxy RADIUS サーバ データベース

LEAP Proxy RADIUS Server 外部ユーザ データベースの設定

トークン サーバのユーザ データベース

トークン サーバと Cisco Secure ACS について

トークン サーバと ISDN

トークン サーバの RADIUS 認証要求と応答の内容

RADIUS トークン サーバ外部ユーザ データベースの設定

外部ユーザ データベース設定の削除

ユーザ データベース

Cisco Secure Access Control Server(ACS)Appliance は、内部データベースを含む何種類かのデータベースのいずれかと照合してユーザを認証します。Cisco Secure ACS は、複数の種類のデータベースでユーザを認証するようにも設定できます。この柔軟性によって、外部ユーザ データベースから CiscoSecure ユーザ データベースに明示的にインポートすることなく、異なる場所に収集したユーザ アカウント データを使用できます。また、ネットワークのユーザ認証に関連付けられたセキュリティ要件に応じて、ユーザの種類によって異なるデータベースを適用できます。たとえば、一般的な設定では、標準ネットワーク ユーザには Windows ユーザ データベースを使用し、ネットワーク管理者にはトークン サーバを使用します。


) 未知のユーザ ポリシーとグループ マッピング機能の詳細については、「未知のユーザ ポリシー」および 「ユーザ グループのマッピングと仕様」を参照してください。


この章では、次のトピックについて取り上げます。

「CiscoSecure ユーザ データベース」

「外部ユーザ データベースについて」

「Windows ユーザ データベース」

「汎用 LDAP」

「Novell NDS データベース」

「LEAP Proxy RADIUS サーバ データベース」

「トークン サーバのユーザ データベース」

「外部ユーザ データベース設定の削除」

CiscoSecure ユーザ データベース

CiscoSecure ユーザ データベースは、Cisco Secure ACS の内部データベースです。ASCII、PAP、CHAP、MS-CHAP、ARAP、LEAP、EAP-MD5、EAP-TLS、PEAP(EAP-GTC)、PEAP(EAP-MSCHAPv2)、および EAP-FAST(フェーズ 0 およびフェーズ 2)を使用する認証をサポートします。

CiscoSecure ユーザ データベースは、認証プロセスに不可欠です。ユーザが内部ユーザ データベースと外部ユーザ データベースのどちらで認証されたかにかかわらず、Cisco Secure ACS は、CiscoSecure ユーザ データベースに設定されているグループ メンバーシップとそのユーザの設定に基づいてユーザのネットワーク サービスを認証します。そのため、外部ユーザ データベースで認証されるユーザも含めて、Cisco Secure ACS で認証されるすべてのユーザは、CiscoSecure ユーザ データベースにアカウントを持ちます。

CiscoSecure ユーザ データベースは、インデックスとツリーの構造を使用するため、直線的にではなく対数的に検索できます。そのため、検索が非常に高速です。これによって、CiscoSecure ユーザ データベースではユーザをすばやく認証できます。

外部ユーザ データベースでユーザを認証するように Cisco Secure ACS を設定した場合を除いて、Cisco Secure ACS は、認証のときに CiscoSecure ユーザ データベースのユーザ名とパスワードを使用します。ユーザ認証用の外部ユーザ データベースの指定の詳細については、「基本ユーザ アカウントの追加」を参照してください。

ユーザのインポートと作成

Cisco Secure ACS Appliance でユーザ アカウントを作成する方法には、4 とおりあります。この中で、RDBMS 同期のみが、外部ソースからのユーザ アカウントのインポートをサポートします。

Cisco Secure ACS の HTML インターフェイス :HTML インターフェイスを使用すると、ユーザ アカウントを 1 つずつ手動で作成できます。どの方法で作成したユーザ アカウントでも、HTML インターフェイスを使用して編集できます。詳しい手順については、「基本ユーザ アカウントの追加」を参照してください。

未知のユーザ ポリシー :未知のユーザ ポリシーを使用すると、アカウントがないユーザが外部ユーザ データベースで検出されたときに、Cisco Secure ACS でそのユーザを自動的に追加できます。ユーザ アカウントは、ユーザがネットワークへのアクセスを試み、外部ユーザ データベースによって正常に認証された場合にのみ作成されます。詳細については、「未知のユーザ ポリシー」を参照してください。

未知のユーザ ポリシーを使用する場合は、未知のユーザ ポリシーによって追加されるユーザが認証されるたびに、ユーザ グループをダイナミックに割り当てるように、グループ マッピングを設定することもできます。外部ユーザ データベースの種類によっては、外部ユーザ データベースのグループ メンバーシップに基づいて、ユーザ グループが設定されます。そのデータベースで認証されたすべてのユーザが、単一の Cisco Secure ACS ユーザ グループに割り当てられるデータベースもあります。グループ マッピングの詳細については、「ユーザ グループのマッピングと仕様」を参照してください。

RDBMS 同期 :RDBMS 同期を使用すると、大量のユーザ アカウントを作成し、ユーザ アカウントに対して多くの設定をすることができます。ユーザをまとめてインポートする必要がある場合は、この機能を使用することを推奨します。ただし、RDBMS 同期を最初に設定するときは、実装のためにいくつか重要な決定をする必要があり、時間がかかります。詳細については、「RDBMS の同期」を参照してください。

データベース複製 :データベース複製では、セカンダリ Cisco Secure ACS にある既存のすべてのユーザ アカウントをプライマリ Cisco Secure ACS のユーザ アカウントで上書きすることによって、セカンダリ Cisco Secure ACS にユーザ アカウントが作成されます。複製によって、セカンダリ Cisco Secure ACS に固有のユーザ アカウントは失われます。詳細については、「CiscoSecure データベース複製」を参照してください。

外部ユーザ データベースについて

ユーザの認証を 1 つまたは複数の外部ユーザ データベースに自動転送するように、Cisco Secure ACS を設定できます。外部ユーザ データベースをサポートすることで、Cisco Secure ACS 用に CiscoSecure ユーザ データベースのユーザ エントリを重複作成する必要がなくなります。大規模なユーザ データベースがすでに存在する組織では、Cisco Secure ACS を使用することで、データベース構築に要した労力をそのまま活用できます。独立したデータベースを作成する必要はありません。

ネットワーク アクセスの認証のほかに、Cisco Secure ACS は外部ユーザ データベースを使用して、TACACS+ イネーブル特権の認証を実行できます。TACACS+ イネーブル パスワードの詳細については、「ユーザの TACACS+ イネーブル パスワード オプションの設定」を参照してください。


) 外部ユーザ データベースは、ユーザの認証と、Cisco Secure ACS がユーザを割り当てるグループの決定にのみ使用できます。Cisco Secure ACS の内部にある CiscoSecure ユーザ データベースは、すべての認証サービスを提供します。わずかな例外はありますが、Cisco Secure ACS は外部ユーザ データベースから認証データを取り出すことはできません。例外については、この章の各データベースについての説明で示します。未知のユーザのグループ マッピングの詳細については、「ユーザ グループのマッピングと仕様」を参照してください。


ユーザの認証には、次のデータベースを使用できます。

Windows のユーザ データベース

汎用 LDAP

Novell NetWare Directory Services(NDS)

LEAP Proxy RADIUS サーバ

RSA SecurID トークン サーバ

次のような RADIUS ベースのトークン サーバ

ActivCard トークン サーバ

CRYPTOCard トークン サーバ

Vasco トークン サーバ

PassGo トークン サーバ

SafeWord トークン サーバ

汎用 RADIUS トークン サーバ

Cisco Secure ACS が外部ユーザ データベースと相互に対話するには、Cisco Secure ACS にサードパーティ製の認証ソース用 API が必要です。Cisco Secure ACS は、API を使用して外部ユーザ データベースと通信します。Windows の場合は、Cisco Secure ACS Remote Agent for Windows をインストールして設定する必要があります。Windows リモート エージェントは、Windows オペレーティング システムと対話して、認証を実行します。

汎用 LDAP および Novell NDS 認証の場合は、Cisco Secure ACS Appliance によって外部認証用インターフェイスが提供されます。

ActivCard、CRYPTOCard、PassGo、SafeWord、Vasco など、RADIUS ベースのトークン サーバの場合は、標準 RADIUS インターフェイス サーバがサードパーティ製の API として機能します。

外部ユーザ データベースによる認証

外部ユーザ データベースによるユーザ認証を実行するには、外部ユーザ データベースと通信するように Cisco Secure ACS を設定するほかに、必要な作業があります。この章で説明する外部データベース用の設定手順のいずれかを実行するだけでは、Cisco Secure ACS はそのデータベースでユーザを認証しません。

外部ユーザ データベースと通信するように Cisco Secure ACS を設定した後で、次のいずれかの方法で、外部ユーザ データベースでユーザを認証するように Cisco Secure ACS を設定します。

特定のユーザの割り当て :特定のユーザを外部ユーザ データベースで認証するように、Cisco Secure ACS を設定できます。そのためには、ユーザが CiscoSecure ユーザ データベースに存在し、User Setup の Password Authentication リストで、Cisco Secure ACS がそのユーザの認証に使用する外部ユーザ データベースが設定されている必要があります。

ユーザ アカウントごとに Password Authentication を設定するため時間がかかりますが、外部ユーザ データベースで認証するユーザを決定するこの方式は、外部ユーザ データベースを使用して認証するユーザの明示的な定義を必要とするため、安全です。さらに、ユーザを目的の Cisco Secure ACS グループに配置し、適切なアクセス プロファイルを受け取ることができます。

未知のユーザ ポリシー :CiscoSecure ユーザ データベースにないユーザの認証を外部ユーザ データベースを使用して実行するように、Cisco Secure ACS を設定できます。この方式では、CiscoSecure ユーザ データベースにユーザが定義されている必要はありません。未知のユーザ ポリシーの詳細については、「未知のユーザの処理」を参照してください。

これら 2 つの方式は相互排他的ではないので、両方の方式で Cisco Secure ACS を設定できます。

外部ユーザ データベースの認証プロセス

Cisco Secure ACS が外部ユーザ データベースでユーザを認証しようとした場合、ユーザの認定証が外部ユーザ データベースに自動転送されます。外部ユーザ データベースでは、Cisco Secure ACS からの認証要求の可否が判定されます。Cisco Secure ACS は、外部ユーザ データベースからの応答を受信すると、その応答に応じて要求側 AAA クライアントにユーザ アクセスの許可または拒否を指示します。図 13-1 に、外部ユーザ データベースを使用する AAA 設定を示します。

図 13-1 単純な AAA シナリオ

 

外部ユーザ データベースとの通信に使用する方式の詳細は、データベースの種類によって異なります。LDAP および Novell NDS の場合、Cisco Secure ACS は TCP 接続を使用します。Windows ユーザ データベースの場合は、Windows オペレーティング システムが提供する認証 API を使用します。RSA トークン サーバ以外のトークン サーバの場合は、RADIUS を使用して通信します。RSA トークン サーバの場合、Cisco Secure ACS は RSA 専用インターフェイスを使用するために、RSA クライアントとして機能します。

詳細については、使用するデータベースに関する項を参照してください。

Windows ユーザ データベース

Windows ユーザ データベースを使用してユーザを認証するように、Cisco Secure ACS を設定できます。

この項では、次のトピックについて取り上げます。

「Windows ユーザ データベースでサポートされる機能」

「Windows ユーザ データベースによる認証プロセス」

「信頼関係」

「Windows ダイヤルアップ ネットワーク クライアント」

「domain フィールドを使用する Windows ダイヤルアップ ネットワーク クライアント」

「domain フィールドを使用しない Windows ダイヤルアップ ネットワーク クライアント」

「Windows 認証」

「EAP と Windows 認証」

「EAP-TLS ドメイン ストリッピング」

「マシン認証」

「Microsoft Windows とマシン認証」

「マシン アクセス制限」

「マシン認証の使用可能設定」

「User-Changeable Password と Windows ユーザ データベース」

「Windows で認証するユーザの準備」

「Windows 認証用のリモート エージェントの選択」

「Windows 認証設定オプション」

「Windows 認証の設定」

Windows ユーザ データベースでサポートされる機能

Cisco Secure ACS は、次の機能に関して、Windows 外部ユーザ データベースの使用をサポートします。

ユーザ認証 :Cisco Secure ACS は、Windows Security Accounts Manager(SAM)データベースまたは Windows Active Directory データベースによる ASCII、PAP、MS-CHAP(バージョン 1 および 2)、LEAP、PEAP(EAP-GTC)、PEAP(EAP-MSCHAPv2)、および EAP-FAST(フェーズ 0 およびフェーズ 2)認証をサポートします。また、Windows Active Directory データベースによる EAP-TLS 認証もサポートします。その他の認証プロトコルは、Windows 外部ユーザ データベースではサポートされません。


) Windows 外部ユーザ データベースでサポートされない認証プロトコルは、他の外部ユーザ データベースでサポートされることがあります。認証プロトコルと、これらのプロトコルをサポートする外部ユーザ データベースの種類の詳細については、「認証プロトコルとデータベースの互換性」を参照してください。


マシン認証 :Cisco Secure ACS は、EAP-TLS および PEAP(EAP-MSCHAPv2)によるマシン認証をサポートします。詳細については、「EAP と Windows 認証」を参照してください。

未知のユーザのグループ マッピング :Cisco Secure ACS は、Windows ユーザ データベースのグループ メンバーシップ情報を要求することによって、未知のユーザのグループ マッピングをサポートします。Windows ユーザ データベースで認証されたユーザのグループ マッピングの詳細については、「グループ セット メンバーシップによるグループ マッピング」を参照してください。

パスワード エージング :Cisco Secure ACS は、Windows ユーザ データベースで認証されたユーザのパスワード エージングをサポートします。詳細については、「User-Changeable Password と Windows ユーザ データベース」を参照してください。

ダイヤルイン アクセス権 :Cisco Secure ACS は、Windows ユーザ データベースのダイヤルイン アクセス権の使用をサポートします。詳細については、「Windows で認証するユーザの準備」を参照してください。

コールバック設定 :Cisco Secure ACS は、Windows ユーザ データベースのコールバック設定の使用をサポートします。Windows コールバック設定を使用するように Cisco Secure ACS を設定する方法については、「ユーザ コールバック オプションの設定」を参照してください。

Windows ユーザ データベースによる認証プロセス

Cisco Secure ACS は、ユーザの認定証をリモート エージェントに渡すことで、Windows ユーザ データベースに認定証を自動転送します。次に、リモート エージェントは、リモート エージェントを実行しているコンピュータの Windows オペレーティング システムにユーザの認定証を渡します。Windows ユーザ データベースでは、Cisco Secure ACS からの認証要求の可否が判定されます。Windows ユーザ データベースからの応答を受信すると、リモート エージェントは応答を Cisco Secure ACS に自動転送します。Windows ユーザ データベースからの応答に応じて、要求側 AAA クライアントは、ユーザ アクセスを許可または拒否するように指示されます。

Cisco Secure ACS は、ユーザが割り当てられている Cisco Secure ACS グループに基づいて、認証を許可します。ユーザが割り当てられているグループは Windows ユーザ データベースからの情報で判別されますが、許可特権は Cisco Secure ACS が付与します。

Windows User Manager または Active Directory Users and Computers からユーザごとのアクセス権を詳細に制御するために、ダイヤルイン アクセス権をユーザに付与する設定もチェックするように Cisco Secure ACS を設定できます。あるユーザに対してこの機能を使用不可にした場合、ユーザ名とパスワードを正確に入力してもアクセスは拒否されます。

信頼関係

Cisco Secure ACS では、Windows ドメイン間で確立されている信頼関係を利用できます。Windows リモート エージェントを実行しているコンピュータが含まれているドメインが別のドメインを信頼している場合、Cisco Secure ACS は、別のドメインにアカウントが存在するユーザを認証できます。Cisco Secure ACS は、信頼済みドメインの「Grant dialin permission to user」設定も参照できます。

Windows 2000 ドメインの場合、Cisco Secure ACS は、Windows 認証の間接的な信頼を利用できます。 Windows 2000 ドメイン A、B、および C があるとします。ドメイン A では、Windows 2000 サーバでリモート エージェントが実行されています。ドメイン A はドメイン B を信頼していますが、ドメイン A とドメイン C の間には信頼関係が確立されていません。このとき、ドメイン B が ドメイン C を信頼しているのであれば、ドメイン A のリモート エージェントは、ドメイン C の間接的な信頼を活用してドメイン C にアカウントが存在するユーザを認証できます。

信頼関係の詳細については、Microsoft Windows のマニュアルを参照してください。

Windows ダイヤルアップ ネットワーク クライアント

Windows NT/2000/XP Professional と Windows 95/98/Millennium Edition(ME)/XP Home のダイヤルアップ ネットワーク クライアントを使用して、ユーザはネットワークにリモート接続できますが、使用できるフィールドは異なります。

domain フィールドを使用する Windows ダイヤルアップ ネットワーク クライアント

Windows NT、Windows 2000、または Windows XP Professional のダイヤルアップ ネットワーク クライアントを使用してネットワークにダイヤルインする場合は、3 つのフィールドが表示されます。

username :ユーザ名を入力します。

password :パスワードを入力します。

domain :有効なドメイン名を入力します。


) domain ボックスに入力した場合とブランクのままにした場合の違いについては、「Windows 認証」を参照してください。


domain フィールドを使用しない Windows ダイヤルアップ ネットワーク クライアント

Windows 95、Windows 98、Windows ME、または Windows XP Home のダイヤルアップ ネットワーク クライアントを使用してネットワークにアクセスする場合は、2 つのフィールドが表示されます。

username :ユーザ名を入力します。


) ログインするドメインの名前を、プレフィックスとしてユーザ名に追加することもできます。ユーザ名の前にドメイン名をプレフィックスとして追加する場合としない場合の違いについては、「Windows 認証」を参照してください。


password :パスワードを入力します。

Windows 認証

Windows のバージョンによってドメイン名指定の方式は異なりますが、ログイン時にドメイン名を指定したかどうかによる効果は同じです。特定のドメインでユーザを認証する最も確実な方式は、ユーザ名と共に認証先のドメインを送信するように要求することです。

Windows NT、Windows 2000、および Windows XP Professional に付属のダイヤルアップ ネットワーク クライアントを使用する場合は、ドメイン名を domain フィールドに入力(または、ドロップダウン リストから選択)することで、ドメイン名を送信できます。Windows 95、Windows 98、Windows ME、および Windows XP Home に付属のダイヤルアップ ネットワーク クライアントを使用する場合は、ユーザ名を完全修飾形式で送信します。完全修飾されたユーザ名を送信するときは、ユーザ名の前に次の形式でドメイン名を入力する必要があります。

DOMAIN_NAME\username

たとえば、Domain10 のユーザ Mary Smith(msmith)は、次のように入力します。

Domain10\msmith

このような形式でユーザ名を入力するもう 1 つの理由は、ユーザが複数のドメインに属している可能性があるためです。この場合、認証に基づいて割り当てられる特権は、ユーザ名とパスワードが一致した最初のドメインのアカウントに関連付けられた特権になります。そのため、ユーザに関連付けられた特権が不要になった場合、そのユーザ名をドメインから削除することが重要になります。


ヒント ドメイン名を入力すると、Windows がユーザ名を見つけるまでローカル ドメインからすべての信頼済みドメインを検索することなく、特定のドメインに認証が送信されるため、認証の速度が向上します。



) Active Directory に対する EAP-TLS 認証を除き、Cisco Secure ACS は、ローカルおよびドメイン SAM データベースや Active Directory データベースなど、あらゆる種類の Windows ユーザ データベースでユーザを認証するときに、修飾されたユーザ名として user@domain(UPN)形式をサポートしません。Active Directory を使用する場合は、EAP-TLS 認証で、UPN 形式を使用するユーザ証明をサポートします。


ユーザ名を入力するときにドメイン名を指定しなかった場合、Cisco Secure ACS は、Windows リモート エージェント経由でユーザ名を Windows に送信します。Windows がローカル ドメイン データベースでユーザ名を見つけることができない場合、すべての信頼済みドメインをチェックします。Windows リモート エージェントがメンバ サーバで実行されていて、ユーザ名が信頼済みドメインで見つからない場合、Windows はローカル アカウント データベースもチェックします。Windows は、ユーザ名が最初に見つかったときに、そのユーザを認証しようとします。


) ユーザが送信した認定証が、Windows が最初に見つけたユーザ名に関連付けられている認定証と一致しない場合、認証は失敗します。そのため、異なるドメインの異なるユーザが完全に同じユーザ名を共有している場合、ドメイン修飾されていないユーザ名でログインすると、予期せぬ認証失敗が発生することがあります。


ドメイン リストの使用は、Windows 認証のサポートに必須ではありませんが、ドメイン修飾されていないユーザ名で発生する認証失敗の軽減に役立ちます。External User Databases セクションの Windows User Database Configuration ページで Domain List を設定すると、ユーザが正常に認証されるまで、Cisco Secure ACS はリストの各ドメインに、ユーザ名とパスワードを完全修飾された形式で送信します。Cisco Secure ACS が Domain List にリストされたすべてのドメインで認証を試行した場合、または Domain List に信頼済みドメインが設定されていない場合、Cisco Secure ACS はユーザの認証を中止し、ユーザ アクセスは許可されません。


Domain List にドメインが含まれていて、何回かの試行失敗の後でユーザをロックアウトするように Windows SAM または Active Directory ユーザ データベースが設定されている場合は、Cisco Secure ACS が Domain List のすべてのドメインに明示的に認証を試行するため、異なるドメインの同一ユーザ名に対して試行失敗が発生し、ユーザがロックアウトされることがあります。


EAP と Windows 認証

この項では、Windows User Database Configuration ページで設定可能な Windows 固有の EAP 機能について詳しく説明します。

この項では、次のトピックについて取り上げます。

「EAP-TLS ドメイン ストリッピング」

「マシン認証」

「Microsoft Windows とマシン認証」

「マシン アクセス制限」

「マシン認証の使用可能設定」

EAP-TLS ドメイン ストリッピング

Windows Active Directory を使用して EAP-TLS でユーザを認証する場合、Cisco Secure ACS によって、ユーザ証明の Subject Alternative Name フィールドに格納されたユーザ名からドメイン名を削除できます。ドメイン名ストリッピングを実行すると、ユーザを認証する必要があるドメインと SAN フィールドで表されるドメインが異なるときに、EAP-TLS 認証の速度が向上します。

たとえば、ユーザの SAN フィールドに「jsmith@corporation.com」が設定されていて、サブドメイン「engineering」のドメイン コントローラを使用して jsmith を認証する必要があるとします。ユーザ名から「@corporation.com」を削除すると、corporation.com ドメイン コントローラで jsmith を認証する不要な処理を省略できます。ドメイン名を削除しない場合は、corporation.com で jsmith が見つからなかった後で、Domain List を使用して engineering ドメインでユーザが検索されます。余分な遅延は数秒になることがあります。Domain List の詳細については、「Windows 認証」を参照してください。

EAP-TLS ドメイン名ストリッピングは、Windows User Database Configuration ページで使用可能にできます。

マシン認証

Cisco Secure ACS は、Windows XP Service Pack 1 など、EAP コンピュータ認証をサポートする Microsoft Windows オペレーティング システムが稼動しているコンピュータの認証をサポートします。マシン認証はコンピュータ認証とも呼ばれ、Active Directory によって認識されているコンピュータにのみネットワーク サービスを許可します。これは特に、職場の物理的な建物の外から不正なユーザがワイヤレス アクセス ポイントにアクセスできるワイヤレス ネットワークで役立ちます。

マシン認証を使用可能にすると、3 つの異なる種類の認証が発生します。コンピュータを起動するときに、次の順に認証が行われます。

1. マシン認証 :ユーザ認証の前に、Cisco Secure ACS がコンピュータを認証します。Cisco Secure ACS は、Windows ユーザ データベースで、コンピュータから提示された認定証をチェックします。Active Directory を使用している場合は、Active Directory で一致するコンピュータ アカウントの認定証が同じであれば、そのコンピュータは Windows ドメイン サービスにアクセスできます。

2. ユーザ ドメイン認証 :マシン認証が成功した場合は、Windows ドメインによってユーザが認証されます。マシン認証に失敗した場合は、コンピュータに Windows ドメイン サービスへのアクセス権がないため、ローカル オペレーティング システムによってキャッシュされている認定証を使用して、ユーザの認定証が認証されます。ドメインではなくキャッシュされた認定証でユーザが認証された場合は、ドメインで定められたログイン スクリプトの実行など、ドメイン ポリシーは適用されません。


ヒント マシン認証に失敗し、ユーザ パスワードを変更してからユーザがそのコンピュータを使用して正常にドメインにログインしたことがない場合、コンピュータ上のキャッシュされた認定証は新しいパスワードと一致しません。キャッシュされた認定証は、このコンピュータからドメインに正常にログインしたときにユーザが指定した古いパスワードと一致します。

3. ユーザ ネットワーク認証 :Cisco Secure ACS がユーザを認証し、ユーザはネットワーク接続を許可されます。ユーザ プロファイルが存在する場合は、指定されたユーザ データベースを使用してユーザが認証されます。ユーザ データベースが Windows ユーザ データベースである必要はありませんが、ほとんどの Microsoft クライアントは、ユーザ ドメイン認証で使用するものと同じ認定証を使用して自動的にネットワーク認証を実行するように設定できます。これによって、シングル サインオンが可能になります。


) Microsoft PEAP クライアントは、ユーザがログオフするときに、マシン認証を開始することもできます。これによって、次のユーザのログイン用にネットワーク接続が準備されます。Microsoft PEAP クライアントは、ユーザがログオフするだけでなく、コンピュータのシャットダウンまたは再起動を選択したときにマシン認証を開始することもできます。


Cisco Secure ACS は、マシン認証用に、EAP-TLS と PEAP(EAP-MSCHAPv2)の両方をサポートします。Windows User Database Configuration ページで別々に使用可能にすると、EAP-TLS または PEAP(EAP-MSCHAPv2)によるコンピュータ認証が混在できます。マシン認証を実行する Microsoft オペレーティング システムは、ユーザ認証プロトコルを、マシン認証で使用するプロトコルと同じものに制限できます。Microsoft オペレーティング システムとマシン認証の詳細については、「Microsoft Windows とマシン認証」を参照してください。

未知のユーザ ポリシーは、マシン認証をサポートします。これまで Cisco Secure ACS にとって未知だったコンピュータは、ユーザと同様に処理されます。未知のユーザ ポリシーが使用可能で、Active Directory 外部ユーザ データベースが Configure Unknown User Policy ページの Selected Databases リストに含まれている場合、Active Directory に存在するマシン認定証が有効であれば、マシン認証は成功します。

マシン認証の実行が設定されているコンピュータでは、コンピュータの起動時にマシン認証が実行されます。 AAA クライアントが RADIUS アカウント データを Cisco Secure ACS に送信することになっている場合は、コンピュータを起動すると、ユーザがコンピュータにログインする前に、Reports and Activity セクションの Logged-In Users リストにそのコンピュータが表示されます。ユーザ認証が開始されると、Logged-In Users リストからそのコンピュータの表示が消えます。

PEAP ベースのマシン認証では、PEAP(EAP-MSCHAPv2)と、ドメインに追加されたときに自動的に確立されたコンピュータのパスワードが使用されます。コンピュータ名がユーザ名として、次の形式で送信されます。

host/computer.domain

computer はコンピュータ名、 domain はコンピュータが属するドメインです。サブドメインを使用している場合は、ドメイン セグメントに含めることができます。この場合の形式は、次のとおりです。

host/computer.subdomain.domain

認証されるコンピュータのユーザ名は、CiscoSecure ユーザ データベースに存在する必要があります。未知のユーザの処理を有効にした場合、正常に認証されると、Cisco Secure ACS はユーザ名を自動的に追加します。認証では、ドメイン名は使用しません。

EAP-TLS ベースのマシン認証では、EAP-TLS を使用して、クライアント証明書を使用するコンピュータを認証します。コンピュータが使用する証明書は、コンピュータをドメインに追加したときに自動的にインストールされた証明書でも、後でローカル マシンのストレージに追加された証明書でもかまいません。PEAP ベースのマシン認証と同様に、コンピュータ名はコンピュータのクライアント証明書に含まれている形式で CiscoSecure ユーザ データベースに設定されます。コンピュータ名に対応するユーザ プロファイルは、Windows 外部ユーザ データベースを使用して認証するように設定する必要があります。未知のユーザの処理を有効にした場合、正常に認証されると、Cisco Secure ACS はコンピュータ名を CiscoSecure ユーザ データベースに自動的に追加します。 作成されたユーザ プロファイルも、そのユーザが見つかった外部ユーザ データベースを使用するように自動的に設定されます。マシン認証の場合、このデータベースは常に Windows 外部ユーザ データベースです。

Microsoft Windows とマシン認証

Cisco Secure ACS は、Windows 2000 での Active Directory によるマシン認証をサポートします。Windows 2000 の Active Directory によるマシン認証を有効にするには、次の処理が必要です。

Active Directory を実行するコンピュータに Service Pack 4 を適用します。

Microsoft Knowledge Base Article 306260: Cannot Modify Dial-In Permissions for Computers That Use Wireless Networking の手順を完了します。

マシン認証をサポートするクライアントのオペレーティング システムは、次のとおりです。

Service Pack 1 を適用した Microsoft Windows XP

次の Service Pack とパッチを適用した Microsoft Windows 2000

Service Pack 4

パッチ Q313664( Microsoft.com から入手可能)

次のリストでは、Cisco Aironet 350 ワイヤレス アダプタを使用するクライアントコンピュータでマシン認証を使用可能にするために重要な点について、詳しく説明します。Microsoft Windows オペレーティング システムでマシン認証を使用可能する方法については、Microsoft のマニュアルを参照してください。

1. ワイヤレス ネットワーク アダプタが正しく取り付けられていることを確認します。詳細については、ワイヤレス ネットワーク アダプタに付属のマニュアルを参照してください。

2. Cisco Secure ACS サーバの証明書を発行した Certification Authority(CA; 認証局)の CA 証明書が、クライアント コンピュータのマシン ストレージに保存されていることを確認します。マシン認証では、ユーザ ストレージは使用できません。そのため、CA 証明書がユーザ ストレージにある場合、マシン認証は失敗します。

3. ワイヤレス ネットワークを選択します。

Windows XP の場合は、ワイヤレス ネットワーク接続のプロパティの Wireless Networks タブでネットワークを選択します。

Windows 2000 の場合は、ワイヤレス ネットワークの SSID を手作業で入力します。これは、ワイヤレス ネットワーク アダプタのプロパティ ダイアログボックスの Advanced タブで行います。

4. PEAP マシン認証を使用可能にするには、Authentication タブを設定します。Windows XP の場合は、ワイヤレス ネットワークのプロパティから Authentication タブが使用できます。Windows 2000 の場合は、ワイヤレス ネットワーク接続のプロパティから使用できます。

a. Enable network access control using IEEE 802.1X チェックボックスをオンにします。

b. Authenticate as computer when computer information is available チェックボックスをオンにします。

c. EAP type リストから Protected EAP (PEAP) を選択します。

d. Protected EAP Properties ダイアログボックスで Validate server certificate チェックボックスをオンにして、Cisco Secure ACS が有効なサーバ証明書を持つように強制できます。このチェックボックスをオンにした場合は、信頼できるルート認証局も選択する必要があります。

e. PEAP のプロパティ ダイアログボックスを開き、 Select Authentication Method リストから Secured password (EAP-MSCHAP v2) を選択します。

5. EAP-TLS マシン認証を使用可能にするには、Authentication タブを設定します。Windows XP の場合は、ワイヤレス ネットワークのプロパティから Authentication タブが使用できます。Windows 2000 の場合は、ワイヤレス ネットワーク接続のプロパティから使用できます。

a. Enable network access control using IEEE 802.1X チェックボックスをオンにします。

b. Authenticate as computer when computer information is available チェックボックスをオンにします。

c. EAP type リストから Smart Card or other Certificate を選択します。

d. Smart Card or other Certificate Properties ダイアログボックスで、 Use a certificate on this computer オプションを選択します。

e. また、Smart Card or other Certificate Properties ダイアログボックスで Validate server certificate チェックボックスをオンにして、Cisco Secure ACS が有効なサーバ証明書を持つように強制できます。このチェックボックスをオンにした場合は、信頼できるルート認証局も選択する必要があります。

ドメイン コントローラに Microsoft 認証局サーバが設定されている場合は、コンピュータがドメインに追加されたときにクライアント証明書が自動的に生成されるよう、Active Directory のポリシーを設定できます。詳細については、 Microsoft Knowledge Base Article 313407, HOW TO: Create Automatic Certificate Requests with Group Policy in Windows を参照してください。

マシン アクセス制限

マシン アクセス制限(MAR)機能は、Windows 認証 EAP-TLS ユーザおよび Microsoft PEAP ユーザの許可を制御する補足的な方法として使用できます。この機能は、ネットワークへのアクセスで使用されるコンピュータのマシン認証に基づいています。


) MAR 機能は、Cisco Secure ACS バージョン 3.2.3 から使用可能です。それより前のバージョンには、この機能が組み込まれていません。


MAR 機能を有効にすると、Cisco Secure ACS は次の動作を実行します。

マシン認証が成功するたびに、Cisco Secure ACS は、認証に成功した証拠として、受信した値を IETF RADIUS Calling-Station-Id アトリビュート(31)にキャッシュします。 Cisco Secure ACS は、Windows User Database Configuration ページで指定された時間数の間 Calling-Station-Id アトリビュートの値を保存し、その後キャッシュから削除します。

ユーザが EAP-TLS または Microsoft PEAP エンドユーザ クライアントによって認証を行うと、Cisco Secure ACS は、成功したマシン認証の
Calling-Station-Id 値のキャッシュの中で、ユーザ認証要求で受け取った Calling-Station-Id 値を検索します。 Cisco Secure ACS がキャッシュの中でユーザ認証 Calling-Station-Id 値を見つけるかどうかは、認証を要求しているユーザが Cisco Secure ACS によってユーザ グループに割り当てられる方法に影響します。

キャッシュ内で Calling-Station-Id 値が見つかった場合 :Cisco Secure ACS は、通常の方法でユーザをユーザ グループに割り当てます。これには、ユーザ プロファイルでの手動によるグループの指定、グループのマッピング、または RADIUS ベースのグループ指定が含まれます。 たとえば、正常に認証されたコンピュータでユーザがログインし、そのユーザがグループ 137 のメンバーであることがユーザ プロファイルに示されている場合、Cisco Secure ACS は、グループ 137 で指定されている認証設定をユーザ セッションに適用します。

キャッシュ内に Calling-Station-Id 値が見つからない場合 :Cisco Secure ACS は、「Group map for successful user authentication without machine authentication」リストによって指定されているユーザ グループにユーザを割り当てます。 これには、<No Access> グループが含まれます。


) ユーザ プロファイルの設定は、常にグループ プロファイルの設定よりも優先されます。 「Group map for successful user authentication without machine authentication」リストで指定されているグループによって拒否されている許可が、ユーザ プロファイルでは与えられている場合、Cisco Secure ACS は許可を与えます。


MAR 機能では、EAP-TLS と Microsoft PEAP 認証に加えて、EAP-TLS と Microsoft PEAP の再開セッション、および Microsoft PEAP の高速再接続を全面的にサポートします。

MAR 機能には、次の制限と要件があります。

マシン認証を有効にする必要があります。

ユーザは、EAP-TLS または Microsoft PEAP クライアントで認証する必要があります。 MAR は、EAP-FAST、LEAP、または MS-CHAP などの他のプロトコルによって認証されたユーザに適用されません。

AAA クライアントは、IETF RADIUS Calling-Station-Id アトリビュート(31)の値を送信する必要があります。

Cisco Secure ACS は、成功したマシン認証の Calling-Station-Id アトリビュート値のキャッシュを複製しません。

マシン認証の使用可能設定

ここでは、マシン認証をサポートするように Cisco Secure ACS を設定するために必要な手順を詳しく説明します。


) マシン認証をサポートするように、エンドユーザのクライアント コンピュータと Active Directory を設定する必要があります。この手順は、Cisco Secure ACS の設定に特有のものです。マシン認証をサポートするように Microsoft Windows オペレーティング システムを設定する方法については、「Microsoft Windows とマシン認証」を参照してください。


始める前に

Windows 認証を行うには、少なくとも 1 つの Cisco Secure ACS Remote Agent for Windows をインストールし、「リモート エージェントの追加」の手順を完了しておく必要があります。Cisco Secure ACS Remote Agent for Windows のインストールの詳細については、『 Installation and Configuration Guide for Cisco Secure ACS Remote Agents 』を参照してください。

Cisco Secure ACS でマシン認証を実行できるようにするには、次の手順に従います。


ステップ 1 サーバ証明書を Cisco Secure ACS にインストールします。
PEAP(EAP-MSCHAPv2)および EAP-TLS には、サーバ証明書が必要です。Cisco Secure ACS は、1 つの証明書で両方のプロトコルをサポートします。詳しい手順については、「証明書のインストール」を参照してください。


) EAP-TLS または PEAP のユーザ認証をサポートするため、またはリモート Cisco Secure ACS 管理の HTTPS 保護をサポートするために証明書をインストールしてある場合は、この手順に従う必要はありません。1 つのサーバ証明書で、証明書ベースの Cisco Secure ACS サービスおよびリモート管理がすべてサポートされます。


ステップ 2 EAP-TLS マシン認証で、エンドユーザのクライアント証明書を発行した
Certification Authority(CA; 認証局)が Cisco Secure ACS のサーバ証明書を発行した CA と異なる場合は、エンドユーザのクライアント証明書を発行した CA を信頼するように、証明書の信頼リストを編集する必要があります。この手順に従わず、サーバ証明書の CA がエンドユーザのクライアント証明書 CA と同じでない場合、EAP-TLS は正常に動作しますが、正しい CA を信頼しないため EAP-TLS マシン認証が拒否されます。詳しい手順については、「証明書信頼リストの編集」を参照してください。

ステップ 3 Global Authentication Setup ページで、適切なプロトコルを使用可能にします。

PEAP によるマシン認証をサポートするには、PEAP(EAP-MSCHAPv2)プロトコルを使用可能にします。

EAP-TLS によるマシン認証をサポートするには、EAP-TLS プロトコルを使用可能にします。

これは、ステップ 1 が正常に完了した後でのみ実行できます。詳しい手順については、「認証オプションの設定」を参照してください。

ステップ 4 Windows 外部ユーザ データベースを設定し、Windows User Database Configuration ページで、適切なマシン認証の種類を使用可能にします。

PEAP によるマシン認証をサポートするには、 Permit PEAP machine authentication チェックボックスをオンにします。

EAP-TLS によるマシン認証をサポートするには、 Permit EAP-TLS machine authentication チェックボックスをオンにします。

ユーザ認証に加えてマシン認証を要求するには、 Enable machine access restrictions チェックボックスをオンにします。


) Windows 外部ユーザ データベースがすでに設定されている場合は、適切なマシン認証の種類を使用可能にするように設定を修正します。


詳しい手順については、「Windows 認証の設定」を参照してください。


) Windows 認証には、Cisco Secure ACS Remote Agent for Windows が必要です。


Cisco Secure ACS で、CiscoSecure ユーザ データベースに名前が存在するコンピュータのマシン認証を実行する準備が整います。

ステップ 5 未知のユーザ ポリシーを使用可能にしないで Windows 外部ユーザ データベースを Selected Databases リストに追加した場合は、未知のユーザ ポリシーを使用可能にして、Cisco Secure ACS で未知のコンピュータを認証できるようにしてください。詳しい手順については、「未知のユーザ ポリシーの設定」を参照してください。

未知のユーザ ポリシーの使用を強く推奨します。他の手段を使い、正しい形式で正確にすべてのコンピュータ名を追加するには、ほとんどの場合は労力がかかり、人的エラーの原因になります。


) 未知のユーザ ポリシーを使用可能にしてマシン認証をサポートすると、ユーザ認証に対しても未知のユーザ ポリシーが使用可能になります。Cisco Secure ACS では、未知のユーザのサポート時に、コンピュータとユーザが区別されません。


CiscoSecure ユーザ データベースに名前が存在するかどうかにかかわらず、Cisco Secure ACS でコンピュータのマシン認証を実行する準備が整います。


 

User-Changeable Password と Windows ユーザ データベース

Cisco Secure ACS は、Windows ユーザ データベースで認証されるネットワーク ユーザに対して、パスワード有効期限に基づいたユーザ変更可能なパスワードをサポートします。この機能は、External User Databases セクションの Windows User Database Configuration ページの MS-CHAP Settings and Windows EAP Settings テーブルで使用可能にできます。ネットワークでこの機能を使用するには、次の条件を満たす必要があります。

ユーザが、Windows Active Directory または SAM ユーザ データベースに存在している必要があります。

Cisco Secure ACS のユーザ アカウントが、認証用の Windows ユーザ データベースを指定している必要があります。

エンドユーザのクライアントが、MS-CHAP、PEAP(EAP-GTC)、PEAP(EAP-MSCHAPv2)、または EAP-FAST との互換性を持っている必要があります。

エンドユーザのクライアントが接続する AAA クライアントが、適切なプロトコルをサポートしている必要があります。

MS-CHAP パスワード エージングの場合は、AAA クライアントが RADIUS ベースの MS-CHAP 認証をサポートしている必要があります。

PEAP(EAP-MSCHAPv2)、PEAP(EAP-GTC)、および EAP-FAST パスワード エージングの場合は、AAA クライアントが EAP をサポートしている必要があります。

これらの条件を満たしているときにこの機能を使用可能にすると、パスワードの期限満了後、最初に認証に成功したときに、パスワードの変更を求めるダイアログボックスが表示されます。このダイアログボックスは、失効したパスワードでリモート アクセス サーバからネットワークにアクセスしたときに Windows が表示するダイアログボックスと同じです。

Cisco Secure ACS がサポートするパスワード エージングの詳細については、「Windows データベース内のユーザのパスワード エージングの使用可能設定」を参照してください。

Windows で認証するユーザの準備

Windows ユーザ データベースを使用して認証する前に、次の手順を実行します。


ステップ 1 Windows ユーザ データベースにユーザ名が存在することを確認します。

ステップ 2 Windows で、ユーザ アカウントごとに、次の User Properties チェックボックスをオフにします。

User must change password at next logon

Account disabled

ステップ 3 Windows NT からのダイヤルイン アクセスを制御するには、 Dial-in をクリックし、 Grant dialin permission to user を選択します。Windows 2000 の場合は、User Properties ダイアログボックスを開き、Remote Access エリアの Dial-In タブを選択し、 Allow access をクリックします。Cisco Secure ACS の External User Databases セクションの Database Group Mappings の下で、この機能を参照するオプションを設定する必要もあります。


 

Windows 認証用のリモート エージェントの選択

Windows 外部ユーザ データベースでユーザを認証するように Cisco Secure ACS を設定する前に、Windows オペレーティング システムに認証要求を配信するプライマリ リモート エージェントを選択する必要があります。プライマリ リモート エージェントが使用できない場合に Cisco Secure ACS が使用するセカンダリ リモート エージェントを選択することもできます。

始める前に

この手順を完了するには、少なくとも 1 つの Cisco Secure ACS Remote Agent for Windows をインストールし、「リモート エージェントの追加」の手順を完了する必要があります。

Windows 認証用のリモート エージェントを選択するには、次の手順に従います。


ステップ 1 ナビゲーション バーで External User Databases をクリックします。

ステップ 2 Database Configuration をクリックします。

Cisco Secure ACS に、使用可能な全種類の外部ユーザ データベースのリストが表示されます。

ステップ 3 Windows Database をクリックします。

External User Database Configuration ページが表示されます。

ステップ 4 Configure をクリックします。

Windows User Database Configuration ページが表示されます。

ステップ 5 Windows Remote Agent Selection をクリックします。

Windows Remote Agent Selection が表示されます。

ステップ 6 Primary リストから、リモート エージェントが使用可能である限り、常に Cisco Secure ACS がユーザの認証に使用するリモート エージェントを選択します。

ステップ 7 Secondary リストから、Primary リストで選択したリモート エージェントが使用できないときに、Cisco Secure ACS がユーザの認証に使用するリモート エージェントを選択します。


) セカンダリ リモート エージェントを使用しない場合は、Secondary リストから None を選択します。


ステップ 8 Submit をクリックします。

Cisco Secure ACS は、選択したリモート エージェントを保存します。Windows User Database Configuration ページが表示されます。


 

Windows 認証設定オプション

Windows Authentication Configuration ページには、次の設定オプションがあります。

Dialin Permission :ネットワークへのアクセスを、Windows アカウントに Windows ダイヤルイン アクセス権限があるユーザに限定できます。 Grant dialin permission to user チェックボックスの設定でこの機能が制御されます。


) 機能名とは関係なく、この機能は Windows 外部ユーザ データベースを使用して Cisco Secure ACS によって認証されたすべてのユーザに適用されます。ダイヤルアップ クライアントによってネットワークにアクセスするユーザに限定されることなく、クライアント タイプとは無関係に適用されます。 たとえば、Cisco Secure ACS を RADIUS サーバとして使用して Telnet セッションを認証する PIX Firewall を設定しているときに、Dialin Permission 機能が有効で、Windows ユーザ アカウントにダイヤルイン アクセス権が与えられていない場合は、Windows 外部ユーザ データベースによって認証されたユーザは PIX Firewall への Telnet アクセスを拒否されます。



ヒント Windows ダイヤルイン アクセス権は、Windows NT ではユーザ プロパティの Dialin セクションで、Windows 2000 ではユーザ プロパティの Dial-In タブで有効にします。

Configure Domain List :Domain List では、ドメイン修飾されていないユーザ名でユーザ認証が要求されたときの Cisco Secure ACS の動作を制御します。 Domain List にドメインが存在せず、初期ユーザ認証要求が Windows によって拒否された場合、Cisco Secure ACS はユーザの認証処理を中止します。 ドメインが Domain List に存在する場合、Cisco Secure ACS はリストのドメインでユーザ名を修飾して、ドメイン修飾ユーザ名を Windows に送信します。この動作を Domain List のドメインごとに 1 回ずつ、すべてのドメインがユーザを拒否するか、またはドメインの 1 つがユーザを認証するまで続けます。


) Domain List の設定はオプションです。Domain List の詳細については、「Windows 認証」を参照してください。



注意 Domain List にドメインが含まれていて、何回かの試行失敗の後でユーザをロックアウトするように Windows SAM または Active Directory ユーザ データベースが設定されている場合は、Cisco Secure ACS が Domain List のすべてのドメインに明示的に認証を試行するため、異なるドメインの同一ユーザ名に対して試行失敗が発生し、ユーザがロックアウトされることがあります。

Available Domains :このリストには、Cisco Secure ACS がドメイン修飾の認証要求を 送信しない ドメインが示されます。

Domain List :このリストには、Cisco Secure ACS がドメイン修飾の認証要求を 送信する ドメインが示されます。

MS CHAP Settings :Cisco Secure ACS で、Windows ユーザ アカウントの MS-CHAP ベースのパスワード変更をサポートするかどうかを制御できます。 Permit password changes using MS-CHAP version N チェックボックスは、Cisco Secure ACS がパスワード変更時に使用する MS CHAP のバージョンを指定できます。


) MS CHAP Settings の下のチェックボックスは、Microsoft の PEAP、EAP-FAST、またはマシン認証に影響しません。


Windows パスワード変更の詳細については、「Windows データベース内のユーザのパスワード エージングの使用可能設定」を参照してください。

Enable password change inside PEAP or EAP-FAST :Permit password change inside PEAP or EAP-FAST チェックボックスでは、Cisco Secure ACS で、Windows ユーザ アカウントの PEAP ベースまたは EAP-FAST ベースのパスワード変更をサポートするかどうかを制御します。 PEAP パスワード変更は、エンドユーザ クライアントがユーザ認証で PEAP(EAP-MSCHAPv2)を使用する場合にのみサポートされます。 EAP-FAST の場合、Cisco Secure ACS はフェーズ 0 およびフェーズ 2 でのパスワード変更をサポートします。

EAP-TLS Strip Domain Name :EAP-TLS Strip Domain Name チェックボックスは、Cisco Secure ACS でエンドユーザ証明書の Subject Alternative Name (SAN) フィールドから派生したユーザ名からドメイン名を削除するかどうかを制御します。

ドメイン名ストリッピングを実行すると、ユーザを認証する必要があるドメインと SAN フィールドで表されるドメインが異なるときに、EAP-TLS 認証の速度が向上します。たとえば、ユーザの SAN フィールドに
「jsmith@corporation.com」が設定されていて、サブドメイン「engineering」のドメイン コントローラを使用して jsmith を認証する必要があるとします。ユーザ名から「@corporation.com」を削除すると、corporation.com ドメイン コントローラで jsmith を認証する不要な処理を省略できます。ドメイン名を削除しない場合は、corporation.com で jsmith が見つからなかった後で、Domain List を使用して engineering ドメインでユーザが検索されます。余分な遅延は数秒になることがあります。

Enable PEAP machine authentication :このチェックボックスは、Cisco Secure ACS で、マシン名とパスワードを使用して PEAP(EAP-MSCHAPv2)によってマシン認証を実行するかどうかを制御します。マシン認証の詳細については、「マシン認証」を参照してください。

Enable EAP-TLS machine authentication :このチェックボックスは、Cisco Secure ACS で、マシン名とパスワードを使用して EAP-TLS によってマシン認証を実行するかどうかを制御します。マシン認証の詳細については、「マシン認証」を参照してください。

EAP-TLS and PEAP machine authentication name prefix :このボックスで、認証されるマシン名すべての先頭に Cisco Secure ACS が追加する文字列を定義します。 デフォルトでは、エンドユーザのクライアントは、マシン名にプレフィックスとして「host/」を追加します。PEAP machine authentication name prefix ボックスにテキストが入力されている場合、Cisco Secure ACS は、代わりにそのテキストをマシン名のプレフィックスとして使用します。


) EAP-TLS and PEAP machine authentication name prefix ボックスに「host/」以外の文字列を設定すると、認証が失敗することがあります。


Enable machine access restrictions :PEAP または EAP-TLS マシン認証を使用可能にする場合は、「Enable machine access restrictions」チェックボックスで、マシン認証に失敗したコンピュータでネットワークにアクセスするユーザのネットワークアクセスを、Cisco Secure ACS で制限するかどうかを制御します。MAR 機能の詳細については、「マシン アクセス制限」を参照してください。


) 使用している Windows コンピュータで使用するように設定されているマシン認証のタイプ(PEAP マシン認証、EAP-TLS 認証、またはその両方)を、必ず使用可能にしてください。 MAR 機能が使用可能になっていても、Cisco Secure ACS でコンピュータのマシン認証が実行されない場合、そのコンピュータでネットワークにアクセスする EAP-TLS ユーザと Microsoft PEAP ユーザは、「Group map for successful user authentication without machine authentication」リストで指定されているグループに割り当てられます。


Aging time (hours) :このボックスでは、正常に完了したマシン認証の IETF RADIUS Calling-Station-Id アトリビュート値を Cisco Secure ACS がキャッシュする時間数を指定します。この値は MAR 機能に使用されます。 デフォルト値は 0 時間で、Cisco Secure ACS が Calling-Station-Id 値をキャッシュしないことを意味します。


) Aging time (hours) ボックスの値を 0 のままにすると、コンピュータでマシン認証を実行する EAP-TLS および Microsoft PEAP ユーザはすべて、「Group map for successful user authentication without machine authentication」リストで指定されているグループに割り当てられます。



ヒント マシンのアクセス制限を有効にするには、Aging time (hours) ボックスで 0 より大きい数字を指定する必要があります。


ヒント Calling-Station-Id 値のキャッシュをクリアするには、Aging time (hours) ボックスに 0 と入力し、Submit をクリックします。

Group map for successful user authentication without machine authentication :このリストで、Aging time (hours) ボックスで指定された時間より長く、マシン認証を完了していないコンピュータからネットワークにアクセスしようとするユーザに対して、Cisco Secure ACS が適用するグループ プロファイルを指定します。 そのようなユーザのネットワークへのアクセスを拒否するには、<No Access>(デフォルト設定)を選択します。


) ユーザ プロファイルの設定は、常にグループ プロファイルの設定よりも優先されます。 「Group map for successful user authentication without machine authentication」リストで指定されているグループによって拒否されている許可が、ユーザ プロファイルでは与えられている場合、Cisco Secure ACS は許可を与えます。


Windows 認証の設定

始める前に

この手順を完了するには、「Windows 認証用のリモート エージェントの選択」の手順を完了している必要があります。

Windows 認証を設定するには、次の手順に従います。


ステップ 1 ナビゲーション バーで External User Databases をクリックします。

ステップ 2 Database Configuration をクリックします。

Cisco Secure ACS に、使用可能な全種類の外部ユーザ データベースのリストが表示されます。

ステップ 3 Windows Database をクリックします。

External User Database Configuration ページが表示されます。

ステップ 4 Configure をクリックします。

Windows User Database Configuration ページが表示されます。

ステップ 5 Windows Authentication Configuration をクリックします。

Windows Authentication Configuration ページが表示されます。

ステップ 6 必要に応じて、次のオプションを設定します。

Dialin Permission

Domain List

MS CHAP Settings

EAP Settings

Windows User Database Configuration ページのオプションの詳細については、「Windows 認証設定オプション」を参照してください。


) Windows User Database Configuration ページの設定はすべてオプションであり、サポートする特定の機能を許可および設定するのでない限り、有効にする必要はありません。


ステップ 7 Submit をクリックします。

Cisco Secure ACS で、作成した Windows ユーザ データベース設定が保存されます。これを未知のユーザ ポリシーに追加したり、このデータベースを使用して認証するように特定のユーザ アカウントを割り当てることができます。未知のユーザ ポリシーの詳細については、「未知のユーザの処理」を参照してください。データベースを使用して認証するようにユーザ アカウントを設定する方法については、「ユーザ管理」を参照してください。


 

汎用 LDAP

Cisco Secure ACS は、Netscape ディレクトリ サービスなどの、汎用 Lightweight Directory Access Protocol(LDAP)データベースによる ASCII、PAP、EAP-TLS、PEAP(EAP-GTC)、および EAP-FAST(フェーズ 2 のみ)認証をサポートします。その他の認証プロトコルは、LDAP 外部ユーザ データベースではサポートされません。


) LDAP データベースでサポートされない認証プロトコルは、他の種類の外部ユーザ データベースでサポートされることがあります。認証プロトコルと、これらのプロトコルをサポートする外部ユーザ データベースの種類の詳細については、「認証プロトコルとデータベースの互換性」を参照してください。


Cisco Secure ACS は、LDAP ユーザ データベースのグループ メンバーシップ情報を要求することによって、未知のユーザのグループ マッピングをサポートします。LDAP ユーザ データベースで認証されたユーザのグループ マッピングの詳細については、「グループ セット メンバーシップによるグループ マッピング」を参照してください。

LDAP データベースで認証するように Cisco Secure ACS を設定しても、LDAP データベースの設定には影響ありません。LDAP データベースの管理方法については、LDAP データベースのマニュアルを参照してください。

この項では、次のトピックについて取り上げます。

「汎用 LDAP ユーザ データベースによる Cisco Secure ACS の認証プロセス」

「複数の LDAP インスタンス」

「LDAP 組織ユニットとグループ」

「ドメイン フィルタリング」

「LDAP フェールオーバー」

「LDAP 設定オプション」

「汎用 LDAP 外部ユーザ データベースの設定」

「証明書データベースのダウンロード」

汎用 LDAP ユーザ データベースによる Cisco Secure ACS の認証プロセス

Cisco Secure ACS は、指定したポートの TCP 接続を使用して、ユーザ名とパスワードを LDAP データベースに自動転送します。LDAP データベースでは、Cisco Secure ACS からの認証要求の可否が判定されます。Cisco Secure ACS は、LDAP データベースからの応答を受信すると、その応答に応じて要求側 AAA クライアントにユーザ アクセスの許可または拒否を指示します。

Cisco Secure ACS は、ユーザが割り当てられている Cisco Secure ACS グループに基づいて、認証を許可します。ユーザが割り当てられているグループは LDAP サーバからの情報で判別されますが、許可特権は Cisco Secure ACS が付与します。

複数の LDAP インスタンス

Cisco Secure ACS では、複数の LDAP 設定を作成できます。IP アドレスまたはポート設定を変えて複数の LDAP 設定を作成することによって、異なる LDAP サーバ、または同じ LDAP サーバの異なるデータベースを使用して認証するように、Cisco Secure ACS を設定できます。各プライマリ サーバの IP アドレスとポート設定は、セカンダリ サーバの IP アドレスとポート設定と共に、1 つの Cisco Secure ACS LDAP 設定インスタンスに対応する LDAP インスタンスを形成します。

Cisco Secure ACS では、各 LDAP インスタンスが一意の LDAP データベースに対応している必要はありません。同じデータベースにアクセスする複数の LDAP 設定を作成できます。これは、LDAP データベースにユーザまたはグループのサブツリーが複数含まれている場合に役立ちます。1 つの LDAP 設定がサポートするユーザのサブツリー ディレクトリとグループのサブツリー ディレクトリは、それぞれ 1 つだけなので、Cisco Secure ACS が認証要求を送信するユーザ ディレクトリ サブツリーとグループ ディレクトリ サブツリーの組み合せごとに別々の LDAP インスタンスを設定する必要があります。

各 LDAP インスタンスは、個別に未知のユーザ ポリシーに追加または除外できます。詳細については、「未知のユーザの処理」を参照してください。

LDAP インスタンスごとに、一意なグループ マッピングを確立できます。詳細については、「グループ セット メンバーシップによるグループ マッピング」を参照してください。

複数の LDAP インスタンスは、ドメイン フィルタリングを使用する場合にも重要です。詳細については、「ドメイン フィルタリング」を参照してください。

LDAP 組織ユニットとグループ

LDAP グループは、対応する Cisco Secure ACS グループと同じ名前にする必要はありません。LDAP グループは、割り当てる Cisco Secure ACS グループに任意の名前でマッピングできます。LDAP データベースがグループ メンバーシップを処理する方法の詳細については、LDAP データベースのマニュアルを参照してください。LDAP グループ マッピングと Cisco Secure ACS の詳細については、「ユーザ グループのマッピングと仕様」を参照してください。

ドメイン フィルタリング

ドメイン フィルタリングを使用して、ドメイン修飾されたユーザ名に基づいてユーザを認証するときに使用する LDAP インスタンスを制御できます。ドメイン フィルタリングは、認証のために送信されたユーザ名の先頭または末尾から文字を解析して行われます。ドメイン フィルタリングによって、Cisco Secure ACS がユーザ認証要求を送信する先の LDAP インスタンスを詳細に制御できます。ドメイン修飾子を付けたままユーザ名を LDAP サーバに送信するかどうかを制御することもできます。

たとえば、Windows XP クライアントで EAP-TLS 認証が開始された場合、Cisco Secure ACS はユーザ名を username@domainname の形式で受信します。Cisco Aironet エンドユーザ クライアントで PEAP 認証が開始された場合は、ドメイン修飾子なしのユーザ名を受信します。どちらのクライアントも、ドメイン修飾子なしでユーザ名が格納されている LDAP データベースで認証を行う場合は、Cisco Secure ACS でドメイン修飾子を削除できます。LDAP データベースに別々のユーザ アカウント(ドメイン修飾されたユーザ アカウントと、ドメイン修飾されていないユーザ アカウント)が保持されている場合、Cisco Secure ACS はドメイン フィルタリングを行わずにユーザ名を LDAP データベースに渡すことができます。

ドメイン フィルタリングを使用する場合、Cisco Secure ACS で作成した各 LDAP 設定は、次の 2 つの方法でドメイン フィルタリングを実行できます。

ユーザを 1 ドメインに制限 :Cisco Secure ACS の LDAP 設定ごとに、特定のドメイン名で修飾されたユーザ名のみを Cisco Secure ACS が認証するように要求できます。これは、LDAP Configuration ページの「Only process usernames that are domain qualified」オプションに対応します。このオプションの詳細については、「LDAP 設定オプション」を参照してください。

このオプションを使用すると、各 LDAP 設定は 1 ドメインに制限され、1 種類のドメイン修飾に制限されます。LDAP サーバにユーザ名を送信する前に、Cisco Secure ACS が ドメイン修飾を削除するかどうかを指定できます。ドメイン修飾された形式でユーザ名が LDAP サーバに格納されている場合は、Cisco Secure ACS でドメイン修飾子を削除するように設定しないでください。

ユーザを 1 ドメインに制限する方法は、ユーザ コンテキストまたは Cisco Secure ACS へのユーザ名の格納方法(ドメイン修飾されているかどうか)によって、ドメインごとに異なる方法で LDAP サーバにユーザ名が格納されている場合に役立ちます。エンドユーザのクライアントまたは AAA クライアントは、ドメイン修飾された形式で、Cisco Secure ACS にユーザ名を送信する必要があります。ドメイン修飾されていない形式で送信した場合、Cisco Secure ACS はユーザのドメインを判別できないので、このドメイン フィルタリング形式を使用する LDAP 設定でユーザを認証しません。

任意のドメインを許可してドメイン修飾子を削除 :Cisco Secure ACS の LDAP 設定ごとに、Cisco Secure ACS で一般的なドメイン修飾子区切り文字に基づいてドメイン修飾子を削除するように設定できます。これは、LDAP Configuration ページの「Process all usernames after stripping domain name and delimiter」オプションに対応します。このオプションの詳細については、「LDAP 設定オプション」を参照してください。

Cisco Secure ACS は、ドメイン修飾子のプレフィックスとサフィックスの両方をサポートします。単一の LDAP 設定でドメイン修飾子のプレフィックスとサフィックスの両方を削除できますが、指定できる区切り文字はそれぞれに 1 つずつです。複数の種類のドメイン修飾子区切り文字をサポートするには、Cisco Secure ACS で複数の LDAP 設定を作成します。

任意のドメインのユーザ名を許可してドメイン修飾子を削除する方法は、ドメイン修飾されていない形式で LDAP サーバにユーザ名が格納されていて、AAA クライアントまたはエンドユーザのクライアントがドメイン修飾された形式で Cisco Secure ACS にユーザ名を送信する場合に役立ちます。


) このオプションを使用した場合、Cisco Secure ACS は、ドメイン修飾されていないユーザ名も送信します。LDAP サーバに送信するときに、ユーザ名をドメイン修飾する必要はありません。


LDAP フェールオーバー

Cisco Secure ACS は、プライマリ LDAP サーバとセカンダリ LDAP サーバの間のフェールオーバーをサポートします。Cisco Secure ACS での LDAP 認証のコンテキストでは、サーバが停止した場合、またはサーバに到達できなかった場合など、Cisco Secure ACS が LDAP サーバに接続できないために認証要求が失敗したときにフェールオーバーが適用されます。この機能を使用するには、LDAP Database Configuration ページでプライマリとセカンダリの LDAP サーバを定義する必要があります。また、On Timeout Use Secondary チェックボックスもオンにする必要があります。LDAP 外部ユーザ データベースの設定の詳細については、「汎用 LDAP 外部ユーザ データベースの設定」を参照してください。

On Timeout Use Secondary チェックボックスがオンになっていて、Cisco Secure ACS が接続しようとした最初の LDAP サーバに到達できなかった場合、Cisco Secure ACS は常に別の LDAP サーバに接続しようとします。Cisco Secure ACS が接続しようとする最初のサーバは、プライマリ LDAP サーバでないことがあります。Cisco Secure ACS が接続しようとする最初の LDAP サーバは、前の LDAP 認証試行と、Failback Retry Delay ボックスで指定された値によって異なります。

プライマリ LDAP サーバで前回の認証が成功した場合

前回の LDAP 認証試行で、Cisco Secure ACS が正常にプライマリ LDAP サーバに接続した場合、Cisco Secure ACS はプライマリ LDAP サーバに接続しようとします。プライマリ LDAP サーバに接続できない場合は、セカンダリ LDAP サーバに接続しようとします。

どちらの LDAP サーバにも接続できない場合、Cisco Secure ACS はユーザの LDAP 認証の試行を中止します。未知のユーザの場合、Cisco Secure ACS は、未知のユーザ ポリシー リストにある次の外部ユーザ データベースで認証を試行します。未知のユーザ ポリシー リストの詳細については、「未知のユーザの処理」を参照してください。

プライマリ LDAP サーバで前回の認証が失敗した場合

前回の LDAP 認証試行で Cisco Secure ACS がプライマリ LDAP サーバに接続できなかった場合、Cisco Secure ACS が最初にプライマリ サーバとセカンダリ LDAP サーバのどちらに接続して現在の認証を試行するかは、Failback Retry Delay ボックスの値によって異なります。Failback Retry Delay ボックスに 0(ゼロ)が設定されている場合、Cisco Secure ACS は常に、プライマリ LDAP サーバに最初に接続しようとします。プライマリ LDAP サーバに接続できない場合は、セカンダリ LDAP サーバに接続しようとします。

Failback Retry Delay ボックスにゼロ以外の値が設定されている場合、Cisco Secure ACS は、プライマリ LDAP サーバを使用した前回の認証試行が発生してから経過した時間(分)を調べます。Failback Retry Delay ボックスに指定されている値よりも経過時間の方が長い場合は、最初にプライマリ LDAP サーバに接続しようとします。プライマリ LDAP サーバに接続できない場合は、セカンダリ LDAP サーバに接続しようとします。

Failback Retry Delay ボックスに指定されている値よりも経過時間の方が短い場合は、最初にセカンダリ LDAP サーバに接続しようとします。セカンダリ LDAP サーバに接続できない場合、Cisco Secure ACS はプライマリ LDAP サーバに接続しようとします。

どちらの LDAP サーバにも接続できない場合は、ユーザの LDAP 認証の試行を中止します。未知のユーザの場合、Cisco Secure ACS は、未知のユーザ ポリシー リストにある次の外部ユーザ データベースで認証を試行します。未知のユーザ ポリシー リストの詳細については、「未知のユーザの処理」を参照してください。

LDAP 設定オプション

LDAP Database Configuration ページには多くのオプションがあり、3 つのテーブルに表示されます。

Domain Filtering :このテーブルには、ドメイン フィルタリング用のオプションがあります。このテーブルでの設定は、プライマリ LDAP サーバとセカンダリ LDAP サーバのどちらで認証が処理されるかにかかわらず、この設定を使用して実行されるすべての LDAP 認証に影響を与えます。ドメイン フィルタリングの詳細については、「ドメイン フィルタリング」を参照してください。

このテーブルには、次のオプションがあります。

Process all usernames :このオプションを選択した場合、Cisco Secure ACS はユーザ名を LDAP サーバに送信して認証する前に、ドメイン フィルタリングを実行しません。

Only process usernames that are domain qualified :このオプションを選択した場合、Cisco Secure ACS は、ある 1 種類のドメインで修飾されたユーザ名の認証のみを試行します。ドメイン修飾子の種類とドメインを、Qualified by および Domain オプションで指定する必要があります。Cisco Secure ACS は、Qualified by オプションで指定された方式を使用し、Domain オプションで指定されたドメイン名で修飾されたユーザ名のみを送信します。Cisco Secure ACS が LDAP サーバにユーザ名を送信する前に、ユーザ名からドメイン修飾子を削除するかどうかも指定できます。

Qualified by :Only process usernames that are domain qualified を選択した場合に、このオプションでドメイン修飾の種類を指定します。Prefix を選択した場合、Cisco Secure ACS は、Domain ボックスで指定された文字で開始するユーザ名のみを処理します。Suffix を選択した場合は、Domain ボックスで指定された文字で終了するユーザ名のみを処理します。


) 選択したドメイン修飾子の種類にかかわらず、ドメイン名は Domain ボックスで指定したドメインと一致する必要があります。


Domain :Only process usernames that are domain qualified を選択した場合に、このオプションで、Cisco Secure ACS がユーザ名を LDAP サーバに送信するときにユーザ名の修飾に使用するドメイン名と区切り文字を指定します。Domain ボックスには 512 文字まで入力できますが、許可されるドメイン名と区切り文字はそれぞれ 1 つずつです。

たとえば、ドメイン名が「mydomain」で区切り文字が「@」のとき、Qualified by リストで Suffix を選択した場合、Domain ボックスには「@mydomain」と入力します。ドメイン名が「yourdomain」で区切り文字が「\」のとき、Qualified by リストで Prefix を選択した場合、Domain ボックスには「yourdomain\」と入力します。

Strip domain before submitting username to LDAP server :Only process usernames that are domain qualified を選択した場合に、このオプションで、Cisco Secure ACS がユーザ名を LDAP サーバに送信する前にドメイン修飾子を削除するかどうかを指定します。Cisco Secure ACS は、ドメイン修飾子とユーザ名の間にある区切り文字も削除します。たとえば、ユーザ名が「jwiedman@domain.com」の場合、削除後に残るユーザ名は「jwiedman」です。

Process all usernames after stripping domain name and delimiter :このオプションを選択した場合、Cisco Secure ACS は、すべてのユーザ名のドメイン名を削除してから LDAP サーバに送信します。ドメイン修飾されていないユーザ名も処理されます。ドメイン名ストリッピングの方法は、次の 2 つのオプションで指定します。

Strip starting characters through the last X character :Process all usernames after stripping domain name and delimiter を選択した場合に、このオプションで、Cisco Secure ACS でプレフィックスのドメイン修飾子を削除することを指定します。Cisco Secure ACS が X ボックスで指定された区切り文字をユーザ名から検出した場合、ユーザ名の先頭から区切り文字までのすべての文字が削除されます。 X ボックスで指定された文字がユーザ名に複数含まれている場合は、最後に出現した区切り文字まで削除されます。

たとえば、区切り文字が「\」でユーザ名が「DOMAIN\jwiedman」の場合、Cisco Secure ACS は LDAP サーバに「jwiedman」を送信します。

Strip ending characters through the first Y character :Process all usernames after stripping domain name and delimiter を選択した場合に、このオプションで、Cisco Secure ACS でサフィックスのドメイン修飾子を削除することを指定します。Cisco Secure ACS が Y ボックスで指定された区切り文字をユーザ名から検出した場合、区切り文字からユーザ名の末尾までのすべての文字が削除されます。 Y ボックスで指定された文字がユーザ名に複数含まれている場合は、最初に出現した区切り文字から削除されます。

たとえば、区切り文字が「@」でユーザ名が「jwiedman@domain」の場合、Cisco Secure ACS は LDAP サーバに「jwiedman」を送信します。

Common LDAP Configuration :このテーブルには、この設定を使用して実行されるすべての LDAP 認証に適用されるオプションがあります。
Cisco Secure ACS は、認証がプライマリ LDAP サーバとセカンダリ LDAP サーバのどちらで処理されるかにかかわらず、このセクションの設定を使用します。このテーブルには、次のオプションがあります。

User Directory Subtree :すべてのユーザを含むサブツリーの識別名(DN)です。例:

ou=organizational unit[,ou=next organizational unit]o=corporation.com

ユーザを含むツリーがベース DN の場合は、次のように入力します。

o=corporation.com

または

dc=corporation,dc=com

どちらを入力するかは、LDAP 設定によって決まります。詳細については、LDAP データベースのマニュアルを参照してください。

Group Directory Subtree :すべてのグループを含むサブツリーの識別名(DN)です。例:

ou=organizational unit[,ou=next organizational unit]o=corporation.com

グループを含むツリーがベース DN の場合は、次のように入力します。

o=corporation.com

または

dc=corporation,dc=com

どちらを入力するかは、LDAP 設定によって決まります。詳細については、LDAP データベースのマニュアルを参照してください。

UserObjectType :ユーザ名が含まれるユーザ レコードのアトリビュート名です。このアトリビュート名は、ディレクトリ サーバから取得できます。詳細については、LDAP データベースのマニュアルを参照してください。Cisco Secure ACS には、Netscape ディレクトリ サーバのデフォルト設定を反映したデフォルト値が設定されています。これらのフィールドの値は、LDAP サーバの設定とマニュアルで確認してください。

UserObjectClass :レコードをユーザとして識別する LDAP の objectType アトリビュートの値です。多くの場合、ユーザ レコードは objectType アトリビュートの値を複数持ち、その一部を他のオブジェクト タイプと共有します。このボックスには、他と重複しない値を設定します。

GroupObjectType :グループ名が含まれるグループ レコードのアトリビュート名です。

GroupObjectClass :グループ レコードをグループとして識別する LDAP の objectType アトリビュートの値です。

Group Attribute Name :グループのメンバーになっているユーザ レコードのリストが含まれているグループ レコードのアトリビュート名です。

Server Timeout :Cisco Secure ACS が LDAP サーバからの応答を待つ秒数です。この時間を超過すると、サーバとの接続に障害が発生したと判断されます。

On Timeout Use Secondary :Cisco Secure ACS が LDAP 認証試行のフェールオーバーを実行するかどうかを指定します。LDAP フェールオーバー機能の詳細については、「LDAP フェールオーバー」を参照してください。

Failback Retry Delay :プライマリ LDAP サーバがユーザの認証に失敗した後、Cisco Secure ACS が最初にプライマリ LDAP サーバへの認証要求の送信をレジュームするまでの時間(分)です。値 0(ゼロ)を設定すると、Cisco Secure ACS は常にプライマリ LDAP サーバを最初に使用します。

Primary and Secondary LDAP Servers :Primary LDAP Server テーブルと Secondary LDAP Server テーブルを使用して、LDAP サーバを識別し、それぞれに固有の設定を行うことができます。LDAP フェールオーバーを使用しない場合、Secondary LDAP Server テーブルを設定する必要はありません。これらのテーブルには、次のオプションがあります。

Hostname :LDAP ソフトウェアを実行しているマシンの名前または IP アドレスです。ネットワークで DNS を使用する場合は、IP アドレスの代わりにホスト名を入力できます。

Port :LDAP サーバが受信に使用する TCP/IP ポート番号です。デフォルトは、LDAP 仕様に従った 389 です。ポート番号がわからない場合は、LDAP サーバのプロパティを表示して調べます。セキュア認証を使用する場合は、通常、ポート番号 636 を使用します。

LDAP Version :Cisco Secure ACS が LDAP バージョン 3 とバージョン 2 のどちらを使用して LDAP データベースと通信するかを指定します。 このチェックボックスをオンにすると、Cisco Secure ACS は LDAP バージョン 3 を使用します。オフにすると、Cisco Secure ACS は LDAP バージョン 2 を使用します。

Security :Cisco Secure ACS がSSL(Secure Sockets Layer)を使用して、LDAP サーバとの間でより安全な通信を行うかどうかを指定します。SSL を使用可能にしない場合、ユーザ認定証は LDAP サーバにクリア テキストで渡されます。

Download Certificate database :cert7.db 証明書データベース ファイルを Cisco Secure ACS にダウンロードできる Download Certificate Database ページへのリンクです。cert7.db ファイルには、問い合せ先のサーバと信頼済み CA の証明書が含まれている必要があります。cert7.db ファイルは、Netscape Web ブラウザを使用して生成できます。cert7.db ファイル生成の詳細については、Netscape のマニュアルを参照してください。Download Certificate Database ページの詳細については、「証明書データベースのダウンロード」を参照してください。

SSL を使用してセキュア認証を実行するには、cert7.db 証明書データベース ファイルを用意する必要があります。Cisco Secure ACS は、SSL 接続を確立するために、証明書データベースを必要とします。証明書データベースは Cisco Secure ACS Appliance のローカルに存在する必要があるため、FTP を使用して証明書データベースを Cisco Secure ACS に転送する必要があります。

Cisco Secure ACS は、設定する LDAP サーバごとに、cert7.db 証明書データベース ファイルを必要とします。たとえば、複数の LDAP ツリーに分散されたユーザをサポートするために、同じ LDAP サーバと通信する 2 つの LDAP インスタンスを Cisco Secure ACS に設定できます。各 LDAP インスタンスには、プライマリとセカンダリの LDAP サーバがあります。2 つの LDAP 設定が同じプライマリ サーバを共有している場合でも、LDAP 設定ごとに、証明書データベース ファイルを Cisco Secure ACS にダウンロードする必要があります。


) データベースは、cert7.db 証明書データベース ファイルになっている必要があります。他のファイル名はサポートされません。


Admin DN :管理者の完全修飾(DN)です。ユーザ ディレクトリ サブツリーの下のすべての要求されたユーザを検索できる LDAP アカウントです。LDAP サーバについて、次の情報が含まれている必要があります。

uid= user id ,[ou= organizational unit ,][ou= next organizational unit ]o= organization

user id はユーザ名、 organizational unit はツリーの最下位のレベル、 next organizational unit はその 1 つ上のレベルです。

例:

uid=joesmith,ou=members,ou=administrators,o=cisco
 

匿名認定証による検索でグループ名アトリビュートを表示するように LDAP サーバが設定されている場合は、管理者のユーザ名に匿名認定証を使用できます。その他の設定では、検索でグループ名アトリビュートを表示できる管理者のユーザ名を指定する必要があります。


) 指定した管理者のユーザ名に、検索でグループ名アトリビュートを参照するアクセス権が付与されていない場合は、LDAP によるユーザ認証のグループ マッピングが失敗します。


Password :Admin DN ボックスで指定した管理者アカウントのパスワードです。パスワードの大文字と小文字が区別されるかどうかは、LDAP サーバによって決まります。

汎用 LDAP 外部ユーザ データベースの設定

汎用 LDAP 設定を作成すると、認証要求を LDAP データベースに渡せるよう、Cisco Secure ACS に情報が提供されます。この情報は、LDAP データベースの実装方法を示すもので、LDAP データベースの設定または機能を指すものではありません。LDAP データベースの詳細については、LDAP のマニュアルを参照してください。

LDAP ユーザ データベースを使用するように Cisco Secure ACS を設定するには、次の手順に従います。


ステップ 1 ナビゲーション バーで External User Databases をクリックします。

ステップ 2 Database Configuration をクリックします。

Cisco Secure ACS に、使用可能な全種類の外部ユーザ データベースのリストが表示されます。

ステップ 3 Generic LDAP をクリックします。


) ユーザ認証は、1 つの LDAP データベースに対してのみ行われます。


LDAP データベース設定が存在しない場合は、Database Configuration Creation テーブルのみが表示されます。存在する場合は、Database Configuration Creation テーブルの他に、External User Database Configuration テーブルが表示されます。

ステップ 4 設定を作成するには、次の手順に従います。

a. Create New Configuration をクリックします。

b. 表示されたボックスに、汎用 LDAP の新しい設定の名前を入力します。

c. Submit をクリックします。

External User Database Configuration テーブルに、新しい設定のリストが表示されます。

ステップ 5 External User Database Configuration で、設定する必要がある LDAP データベースの名前を選択します。


) LDAP 設定が 1 つしかない場合は、リストではなくその設定の名前が表示されます。 次の手順に進んでください。


ステップ 6 Configure をクリックします。


注意 Delete をクリックすると、選択した LDAP データベースの設定が削除されます。

ステップ 7 Cisco Secure ACS で、ユーザ名による LDAP 認証要求のフィルタリングをしない場合は、Domain Filtering の下で、 Process all usernames を選択します。

ステップ 8 この LDAP 設定による認証処理を、特定のドメインで修飾されたユーザ名に制限する場合は、次の手順に従います。


) ドメイン フィルタリングの詳細については、「ドメイン フィルタリング」を参照してください。


a. Domain Filtering の下で、 Only process usernames that are domain qualified を選択します。

b. Qualified by リストから、適切なドメイン修飾(Suffix または Prefix)の種類を選択します。1 つの LDAP 設定でサポートされるドメイン修飾の種類は 1 つだけです。

たとえば、特定のドメイン名で開始するユーザ名をこの LDAP 設定で認証する場合は、Prefix を選択します。特定のドメイン名で終了するユーザ名を認証する場合は、Suffix を選択します。

c. Domain ボックスに、この LDAP 設定で認証するユーザ名のドメインを入力します。ユーザ ID とドメイン名を分ける区切り文字を含めます。区切り文字が適切な位置にあることを確認してください。Qualified by リストで Prefix を選択した場合は、ドメイン名の末尾に付けます。Qualified by リストで Suffix を選択した場合は、ドメイン名の先頭に付けます。

1 つの LDAP 設定でサポートされるドメイン名は 1 つだけです。入力できる長さは 512 文字までです。

d. Cisco Secure ACS が LDAP データベースに送信する前にドメイン修飾子を削除する場合は、 Strip domain before submitting username to LDAP server チェックボックスをオンにします。

e. ドメイン修飾子を削除 しないで 、Cisco Secure ACS から LDAP データベースにユーザ名を渡す場合は、 Strip domain before submitting username to LDAP server チェックボックスをオフにします。

ステップ 9 Cisco Secure ACS が LDAP サーバにユーザ名を送信する前に、ドメイン修飾子を削除できるようにするには、次の手順に従います。


) ドメイン フィルタリングの詳細については、「ドメイン フィルタリング」を参照してください。


a. Domain Filtering の下で、 Process all usernames after stripping domain name and delimiter を選択します。

b. Cisco Secure ACS でプレフィックスのドメイン修飾子を削除する場合は、 Strip starting characters through the last X character チェックボックスをオンにして、 X ボックスにドメイン修飾子の区切り文字を入力します。

c. Cisco Secure ACS でサフィックスのドメイン修飾子を削除する場合は、 Strip ending characters from the first X character チェックボックスをオンにして、 X ボックスにドメイン修飾子の区切り文字を入力します。

ステップ 10 Common LDAP Configuration の下の User Directory Subtree ボックスに、すべてのユーザが含まれているツリーの DN を入力します。

ステップ 11 Group Directory Subtree ボックスに、すべてのグループが含まれているサブツリーの DN を入力します。

ステップ 12 User Object Type ボックスに、ユーザ名が含まれているユーザ レコードのアトリビュート名を入力します。


) UserObjectType および以降のフィールドのデフォルト値は、Netscape ディレクトリ サーバのデフォルト設定を反映しています。これらのフィールドの値は、LDAP サーバの設定とマニュアルで確認してください。


ステップ 13 User Object Class ボックスに、レコードをユーザとして識別する LDAP の objectType アトリビュートの値を入力します。


) 多くの場合、ユーザ レコードは objectType アトリビュートの値を複数持ち、その一部を他のオブジェクト タイプと共有します。User Object Class ボックスに入力する値は、他と重複する値でないことを確認してください。


ステップ 14 GroupObjectType ボックスに、グループ名が含まれるグループ レコードのアトリビュート名を入力します。

ステップ 15 GroupObjectClass ボックスに、グループ レコードをグループとして識別する LDAP の objectType アトリビュートの値を入力します。

ステップ 16 GroupAttributeName ボックスに、グループのメンバーになっているユーザ レコードのリストが含まれているグループ レコードのアトリビュート名を入力します。

ステップ 17 Server Timeout ボックスに、Cisco Secure ACS が LDAP サーバからの応答を待つ秒数を入力します。この時間を超過すると、サーバとの接続に障害が発生したと判断されます。

ステップ 18 LDAP 認証試行のフェールオーバーを使用可能にするには、 On Timeout Use Secondary チェックボックスをオンにします。LDAP フェールオーバー機能の詳細については、「LDAP フェールオーバー」を参照してください。

ステップ 19 Failback Retry Delay ボックスに、プライマリ LDAP サーバがユーザの認証に失敗した後、Cisco Secure ACS が最初にプライマリ LDAP サーバへの認証要求の送信をレジュームするまでの時間を分単位で入力します。


) Cisco Secure ACS が常にプライマリ LDAP サーバを最初に使用するように指定するには、Failback Retry Delay ボックスに 0(ゼロ)を入力します。


ステップ 20 Primary LDAP Server テーブルと Secondary LDAP Server テーブルで、次の手順を実行します。


) On Timeout Use Secondary チェックボックスをオンにしなかった場合、Secondary LDAP Server テーブルのオプションを設定する必要はありません。


a. Hostname ボックスに、LDAP ソフトウェアを実行しているマシンの名前または IP アドレスを入力します。ネットワークで DNS を使用する場合は、IP アドレスの代わりにホスト名を入力できます。

b. Port ボックスに、LDAP サーバが受信に使用する TCP/IP ポート番号を入力します。デフォルトは、LDAP 仕様に従った 389 です。ポート番号がわからない場合は、LDAP サーバのプロパティを表示して調べます。セキュア認証を使用する場合は、通常、ポート番号 636 を使用します。

c. Cisco Secure ACS が LDAP バージョン 3 を使用して LDAP データベースと通信するように指定するには、 LDAP Version チェックボックスをオンにします。LDAP Version チェックボックスをオンにしない場合、Cisco Secure ACS は LDAP バージョン 2 を使用します。

d. SSL を使用して Cisco Secure ACS と LDAP サーバを接続するには、 Use secure authentication チェックボックスをオンにして、以降の 3 つの手順を実行します。


) SSL を使用しない場合、ユーザ名とパスワードの認定証は、ネットワークを通じてクリア テキストで LDAP ディレクトリに渡されます。


e. ここで cert7.db 証明書データベース ファイルを Cisco Secure ACS にダウンロードするには、「証明書データベースのダウンロード」の手順を実行してから、手順 f に進みます。


) 証明書データベースは、後でダウンロードできます。現在の LDAP サーバ用に証明書データベースがダウンロードされていないと、この LDAP サーバに対するセキュア認証は失敗します。


f. Admin DN ボックスに、ユーザ ディレクトリ サブツリーの下で要求されたすべてのユーザを検索できる LDAP アカウントに関して、次の情報を入力します。

uid=user id,[ou=organizational unit,]
[ou=next organizational unit]o=organization

user id はユーザ名です。

organizational unit はツリーの最下位のレベルです。

next organizational unit はその 1 つ上のレベルです。


ヒント Netscape DS を使用する場合は、Netscape コンソールからこの情報をコピーできます。

詳細については、LDAP データベースのマニュアルを参照してください。

g. Password ボックスに、Admin DN ボックスで指定した管理者アカウントのパスワードを入力します。パスワードの大文字と小文字が区別されるかどうかは、LDAP サーバによって決まります。

ステップ 21 Submit をクリックします。

作成した汎用 LDAP 設定が保存されます。これを未知のユーザ ポリシーに追加したり、このデータベースを使用して認証するように特定のユーザ アカウントを割り当てることができます。未知のユーザ ポリシーの詳細については、「未知のユーザの処理」を参照してください。データベースを使用して認証するようにユーザ アカウントを設定する方法については、「ユーザ管理」を参照してください。


 

証明書データベースのダウンロード

始める前に

データベースは、Netscape Web ブラウザで生成された cert7.db 証明書データベース ファイルになっている必要があります。他のファイル名はサポートされません。cert7.db ファイル生成の詳細については、Netscape のマニュアルを参照してください。

プライマリ LDAP サーバまたはセカンダリ LDAP サーバの証明書データベースをダウンロードするには、次の手順に従います。


) 証明書データベースのダウンロードは、LDAP 外部ユーザ データベース設定の一部です。詳細については、「汎用 LDAP 外部ユーザ データベースの設定」を参照してください。



ステップ 1 Download Certificate Database ページにアクセスするには、次の手順に従います。

a. 証明書データベース ファイルをダウンロードする LDAP サーバの情報が含まれている LDAP Database Configuration ページを開きます。


) すでに適切な LDAP Database Configuration ページを開いている場合は、手順 b に進みます。


b. 証明書データベース ファイルをダウンロードする LDAP サーバの Download Certificate database をクリックします。


) Cisco Secure ACS は、LDAP データベース設定ごとに、プライマリ LDAP サーバとセカンダリ LDAP サーバのリストを表示します。両方のサーバでセキュア認証をサポートするには、証明書データベース ファイルを 2 回ダウンロードする必要があります。1 回はプライマリ LDAP サーバ用で、もう 1 回はセカンダリ LDAP サーバ用です。


ステップ 2 FTP Server ボックスに、FTP サーバの IP アドレスまたはホスト名を入力します。FTP Server ボックスには、512 文字まで入力できます。


) ホスト名を入力する場合は、ネットワークで DNS が正しく運用されている必要があります。


ステップ 3 Login ボックスに、Cisco Secure ACS が FTP サーバにアクセスするための有効なユーザ名を入力します。Login ボックスには、512 文字まで入力できます。

ステップ 4 Password ボックスに、Login ボックスに入力したユーザ名のパスワードを入力します。Password ボックスには、512 文字まで入力できます。

ステップ 5 Directory ボックスに、cert7.db ファイルへのパスを入力します。パスは、FTP サーバのログイン ディレクトリからの相対パスになります。

たとえば、cert7.db ファイルが c:\ACS-files\LDAPcertdb にあり、Login ボックスで指定されたユーザの FTP セッションが c:\ から開始される場合は、 ACS-files\LDAPcertdb と入力します。

Directory ボックスには、512 文字まで入力できます。

ステップ 6 Download をクリックします。

Cisco Secure ACS は、FTP サーバから cert7.db ファイルをダウンロードします。LDAP Database Configuration ページが表示されます。


 

Novell NDS データベース

Cisco Secure ACS は、Novell NetWare Directory Services(NDS)サーバによるユーザ認証をサポートします。

この項では、次のトピックについて取り上げます。

「Novell NDS ユーザ データベースについて」

「ユーザ コンテキスト」

「Novell NDS 外部ユーザ データベースのオプション」

「Novell NDS 外部ユーザ データベースの設定」

Novell NDS ユーザ データベースについて

Cisco Secure ACS Appliance で NDS 認証を使用するには、標準 LDAP を使用するように設定された Novell NDS データベースが必要です。


) Cisco Secure ACS Appliance は、標準 LDAP を使用するように設定された NDS サーバのみをサポートします。


Cisco Secure ACS Appliance は、Novell NetWare Directory Services(NDS)サーバによる ASCII、PAP、EAP-TLS、PEAP(EAP-GTC)、および EAP-FAST(フェーズ 2 のみ)認証をサポートします。その他の認証プロトコルは、Novell NDS 外部ユーザ データベースではサポートされません。


) Novell NDS 外部ユーザ データベースでサポートされない認証プロトコルは、他の種類の外部ユーザ データベースでサポートされることがあります。認証プロトコルと、これらのプロトコルをサポートする外部ユーザ データベースの種類の詳細については、「認証プロトコルとデータベースの互換性」を参照してください。


Novell NDS データベースでユーザを認証するには、Novell NDS の構造を認識するように、Cisco Secure ACS を正確に設定する必要があります。Cisco Secure ACS は、最大 20 の NDS サーバをサポートします。Novell NDS コンテキストでユーザを認証するには、適切なユーザ オブジェクトが、指定されたいずれかのコンテキストに存在し、その名前とユーザ パスワードでツリーにログインできる必要があります。サブツリー検索を使用可能にすると、指定されたいずれかのコンテキストのサブツリーにユーザ オブジェクトが存在した場合に、認証が成功します。

Cisco Secure ACS は、Novell NDS ユーザ データベースのグループ メンバーシップ情報を要求することによって、未知のユーザのグループ マッピングをサポートします。Novell NDS ユーザ データベースで認証されたユーザのグループ マッピングの詳細については、「グループ セット メンバーシップによるグループ マッピング」を参照してください。


) ユーザ グループ メンバーシップ情報を除いて、Cisco Secure ACS は Novell NDS データベースからユーザ設定を取得しません。ただし、Novell NDS データベースからの認証応答が、Novell NDS データベースによる認証応答に適用されたユーザ設定を反映することがあります。たとえば、Cisco Secure ACS は、ネットワークアクセス制限をフェッチおよび処理しませんが、Novell NDS データベースは、Novell NDS データベースに格納されているネットワーク アクセス制限に基づき、認証要求を失敗させることがあります。


NDS データベースで認証するように Cisco Secure ACS を設定しても、NDS データベースの設定には影響ありません。NDS データベースの管理方法については、NDS データベースのマニュアルを参照してください。

ユーザ コンテキスト

NDS データベースで認証を行うように Cisco Secure ACS を設定する場合は、1 つ以上のコンテキストを指定する必要があります。ただし、完全修飾されたユーザ名を定義する完全コンテキストに、ユーザが追加で指定することもできます。つまり、コンテキスト リストのコンテキストに、認証のために送信されたユーザ名が含まれていない場合は、ユーザ名がコンテキスト リストのコンテキストに従属する方法を正確に指定する必要があります。ユーザを NDS データベースで一意に識別するために必要な追加コンテキスト情報を指定することで、ユーザ名のコンテキストへの従属方法を指定します。

次のサンプル ツリーについて考えます。

[Root] whose treename=ABC
OU=ABC-Company
OU=sales
CN=Agamemnon
OU=marketing
CN=Odysseus
OU=marketing-research
CN=Penelope
OU=marketing-product
CN=Telemachus

Cisco Secure ACS で、次のコンテキスト リストを設定します。

o=ABC-Company,ou=sales.o=ABC-Company

ユーザ名として「Agamemnon」を送信した場合、認証は成功します。「Agamemnon.sales」を送信した場合、認証は失敗します。

表13-1 で、サンプル ツリーのユーザと、各ユーザの認証が成功するコンテキスト付きのユーザ名を示します。

 

表13-1 コンテキスト付きユーザ名の例

ユーザ
有効なコンテキスト付きのユーザ名

Agamemnon

Agamemnon

Odysseus

Odysseus.marketing

Penelope

Penelope.marketing-research.marketing

Telemachus

Telemachus.marketing-product.marketing

Novell NDS 外部ユーザ データベースのオプション

Novell NDS データベース認証用の設定は、Cisco Secure ACS の NDS Authentication Support ページで作成し、管理します。このページを使用すると、Cisco Secure ACS Web サーバへの 1 回の送信で、Novell NDS ホスト用の設定の追加、既存のホスト設定の変更、既存のホスト設定の削除を実行できます。Cisco Secure ACS は、設定済みの各ホストの情報と、ホスト作成用のブランクのフォームを表示します。ホストごとに表示される設定項目は、次のとおりです。

Add New NDS Host :新規 NDS ホスト用のブランクのフォームにのみ表示されます。このチェックボックスをオンにして、新規 NDS ホストを追加します。

Delete NDS Host :既存の NDS ホスト設定にのみ表示されます。このチェックボックスをオンにすると、Submit をクリックしたときに、NDS ホスト設定が削除されます。

Test Login :このチェックボックスをオンにすると、Submit をクリックしたときに、Cisco Secure ACS が NDS ホストへの管理ログインをテストします。指定された認定証が不正なため、または Cisco Secure ACS が NDS ホストに接続できなかったためにログインに失敗した場合、エラー メッセージが表示されます。

NDS Host :新規 NDS ホスト用のブランク フォームにのみ表示されます。作成する Novell NDS ホスト設定の名前です。


) NDS Host ボックスで指定する名前は任意で、Novell NDS を実行している実際のコンピュータへの接続には影響ありません。


Host IP :Cisco Secure ACS がユーザを認証するときに使用する Novell NDS ホストのホスト名または IP アドレスです。ホスト名を指定する場合は、ネットワークで DNS が正しく運用されていることを確認してください。

Administrator Username :Novell サーバの管理者の完全修飾されたユーザ名です。例:

uid=admin.ou=Chicago.o=Corporation

匿名認定証による検索でグループ名アトリビュートを表示するように Novell NDS サーバが設定されている場合は、管理者のユーザ名に匿名認定証を使用できます。その他の設定では、検索でグループ名アトリビュートを表示できる管理者のユーザ名を指定する必要があります。


) 指定した管理者のユーザ名に、検索でグループ名アトリビュートを参照するアクセス権が付与されていない場合は、Novell NDS によるユーザ認証のグループ マッピングが失敗します。


Administrator Password :Novell サーバの管理者のパスワードです。

Context List :正しい入力形式で指定されたコンテキストの完全なコンテキスト リストです。 o= ou= を含み、ピリオド(.)を使用してコンテキストの各部分を区切った形式です。複数のコンテキスト リストを入力できます。複数入力する場合は、カンマで区切ります。たとえば、組織が Corporation、組織名が Chicago で、2 つのコンテキスト名 Marketing と Engineering を指定するには、次のように入力します。

ou=Engineering.ou=Chicago.o=Corporation,ou=Marketing.ou=Chicago.o=Corporation

 

Context List ボックスでユーザを追加する必要はありません。


) ユーザは、ログインのときに、コンテキストの一部を指定できます。詳細については、「ユーザ コンテキスト」を参照してください。


Context Subtree :このチェックボックスをオンにすると、Cisco Secure ACS は、認証時にサブツリーでユーザを検索します。Context List ボックスで指定されたコンテキストのサブツリーが検索されます。

Novell NDS 外部ユーザ データベースの設定

Novell NDS データベース設定を作成すると、認証要求を NDS データベースに渡せるよう、Cisco Secure ACS に情報が提供されます。この情報は、NDS データベースの実装方法を示すもので、NDS データベースの設定または機能を指すものではありません。NDS データベースの詳細については、Novell NDS のマニュアルを参照してください。


ヒント ログイン プロセスの一部として、独自のコンテキストを入力できます。詳細については、「ユーザ コンテキスト」を参照してください。


Novell NDS 認証を設定するには、次の手順に従います。


ステップ 1 Novell NetWare の管理者に、ツリー、コンテナ、コンテキストの名前やその他の情報を問い合せます。

ステップ 2 ナビゲーション バーで External User Databases をクリックします。

ステップ 3 Database Configuration をクリックします。

使用可能な全種類の外部ユーザ データベースのリストが表示されます。

ステップ 4 Novell NDS をクリックします。

Novell NDS データベースが設定されていない場合は、Database Configuration Creation ページが表示されます。設定されている場合は、External User Database Configuration ページが表示されます。

ステップ 5 設定を作成するには、次の手順に従います。

a. Create New Configuration をクリックします。

b. 表示されたボックスに、Novell NDS 認証の新しい設定の名前を入力します。

c. Submit をクリックします。

External User Database Configuration テーブルに、新しい設定のリストが表示されます。

ステップ 6 Configure をクリックします。


注意 Delete をクリックすると、Novell NDS データベースの Cisco Secure ACS 設定が削除されます。

NDS Authentication Support ページが表示されます。NDS Authentication Support ページを使用して、Novell NDS ホストの設定の追加、既存のホスト設定の変更、既存のホスト設定の削除を実行できます。

NDS Authentication Support ページの内容の詳細については、「Novell NDS 外部ユーザ データベースのオプション」を参照してください。

ステップ 7 新しいホスト設定を追加する場合は、NDS Authentication Support ページの下にあるブランクのフォームのフィールドに入力します。


) Add New NDS Host チェックボックスをオンにして、ホスト設定を作成することを確認する必要があります。


ステップ 8 既存のホスト設定を変更する場合は、変更が必要な値を編集します。


) ホスト名は変更できません。ホスト名を変更する必要がある場合は、名前を変更するホストのセクションで Delete NDS Host?をクリックし、Submit をクリックします。次に、名前を変更するために削除したホストと同じ設定データで、新しいホストを追加します。ホスト名が正しいことを確認してから、Submit をクリックします。


ステップ 9 既存のホスト設定を削除する場合は、 Delete Tree チェックボックスをオンにします。

ステップ 10 Submit をクリックします。

作成した NDS 設定が保存されます。これを未知のユーザ ポリシーに追加したり、このデータベースを使用して認証するように特定のユーザ アカウントを割り当てることができます。未知のユーザ ポリシーの詳細については、「未知のユーザの処理」を参照してください。データベースを使用して認証するようにユーザ アカウントを設定する方法については、「ユーザ管理」を参照してください。


 

LEAP Proxy RADIUS サーバ データベース

Cisco Secure ACS で認証されたユーザが Cisco Aironet デバイス経由でネットワークにアクセスできるように、Cisco Secure ACS は、プロキシ RADIUS サーバでの ASCII、PAP、MS-CHAP(バージョン 1 および 2)、LEAP、および EAP-FAST(フェーズ 0 とフェーズ 2)認証をサポートします。その他の認証プロトコルは、LEAP Proxy RADIUS Server データベースではサポートされません。


) LEAP Proxy RADIUS Server データベースでサポートされない認証プロトコルは、他の種類の外部ユーザ データベースでサポートされることがあります。認証プロトコルと、これらのプロトコルをサポートする外部ユーザ データベースの種類の詳細については、「認証プロトコルとデータベースの互換性」を参照してください。


Cisco Secure ACS は、LEAP Proxy RADIUS Server 認証に、MS-CHAP バージョン 1 を使用します。プロキシ RADIUS データベースの管理方法については、RADIUS データベースのマニュアルを参照してください。

Lightweight Extensible Authentication Protocol(LEAP)プロキシ RADIUS サーバ認証を使用すると、MS-CHAP 認証をサポートする既存の Kerberos データベースでユーザを認証できます。LEAP Proxy RADIUS Server データベースを使用すると、MS-CHAP 認証をサポートする任意のサードパーティ製の RADIUS サーバでユーザを認証できます。


) サードパーティ製の RADIUS サーバは、Microsoft RADIUS Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)MSCHAP-MPPE-Keys(VSA 12)の MPPE(Microsoft Point-to-Point Encryption)キーを返す必要があります。サードパーティ製の RADIUS サーバが MPPE キーを返さない場合、認証は失敗し、Failed Attempts ログに記録されます。


Cisco Secure ACS は、LEAP Proxy RADIUS Server データベースで認証されたユーザの RADIUS ベースのグループ仕様をサポートします。RADIUS に基づくグループ仕様は、グループ マッピングより優先されます。詳細については、「RADIUS に基づくグループ仕様」を参照してください。

Cisco Secure ACS は、LEAP Proxy RADIUS Server データベースで認証された未知のユーザのグループ マッピングをサポートします。グループ マッピングは、RADIUS ベースのグループ仕様が存在しない場合に、未知のユーザにのみ適用されます。LEAP Proxy RADIUS Server データベースで認証されたユーザのグループ マッピングの詳細については、「外部ユーザ データベースによるグループ マッピング」を参照してください。

LEAP Proxy RADIUS Server 外部ユーザ データベースの設定

プロキシ RADIUS サーバを使用してユーザを認証するように Cisco Secure ACS を設定する前に、プロキシ RADIUS サーバを設置し、設定する必要があります。プロキシ RADIUS サーバの設置の詳細については、RADIUS サーバに付属のマニュアルを参照してください。

LEAP Proxy RADIUS 認証を設定するには、次の手順に従います。


ステップ 1 ナビゲーション バーで External User Databases をクリックします。

ステップ 2 Database Configuration をクリックします。

Cisco Secure ACS に、使用可能な全種類の外部ユーザ データベースのリストが表示されます。

ステップ 3 LEAP Proxy RADIUS Server をクリックします。

LEAP Proxy RADIUS Server 設定が存在しない場合は、Database Configuration Creation テーブルのみが表示されます。存在する場合は、Database Configuration Creation テーブルの他に、External User Database Configuration テーブルが表示されます。

ステップ 4 設定を作成するには、次の手順に従います。

a. Create New Configuration をクリックします。

b. 表示されたボックスに、LEAP Proxy RADIUS Server の新しい設定の名前を入力します。または、ボックスのデフォルト名を使用します。

c. Submit をクリックします。

External User Database Configuration テーブルに、新しい設定のリストが表示されます。

ステップ 5 External User Database Configuration の下で、設定する必要がある LEAP Proxy RADIUS Server データベースの名前を選択します。


) LEAP Proxy RADIUS Server 設定が 1 つしかない場合は、リストではなくその設定名が表示されます。 次の手順に進んでください。


ステップ 6 Configure をクリックします。

ステップ 7 次のボックスに、必要な情報を入力します。

Primary Server Name/IP :プライマリ プロキシ RADIUS サーバの IP アドレスです。

Secondary Server Name/IP :セカンダリ プロキシ RADIUS サーバの IP アドレスです。

Shared Secret :プロキシ RADIUS サーバの共有秘密情報です。プロキシ RADIUS サーバの設定に使用した共有秘密情報と同じにする必要があります。

Authentication Port :プロキシ RADIUS サーバが認証セッションに使用する UDP ポートです。

Timeout (seconds): :Cisco Secure ACS が、認証試行がタイムアウトしてから通知をユーザに送信するまでの秒数です。

Retries :Cisco Secure ACS が、セカンダリ プロキシ RADIUS サーバにフェールオーバーするまでの認証試行回数です。

Failback Retry Delay (minutes) :この時間(分)が経過すると、Cisco Secure ACS は、障害が発生したプライマリ プロキシ RADIUS サーバを使用して認証を試行します。


) プライマリとセカンダリの両方のサーバに障害が発生した場合、Cisco Secure ACS は、いずれかが応答するまで交互に試行します。


ステップ 8 Submit をクリックします。

作成したプロキシ RADIUS トークン サーバ データベース設定が保存されます。これを未知のユーザ ポリシーに追加したり、このデータベースを使用して認証するように特定のユーザ アカウントを割り当てることができます。未知のユーザ ポリシーの詳細については、「未知のユーザの処理」を参照してください。データベースを使用して認証するようにユーザ アカウントを設定する方法については、「ユーザ管理」を参照してください。


 

トークン サーバのユーザ データベース

Cisco Secure ACS は、One-Time Password(OTP; ワンタイム パスワード)を使用してセキュリティを向上させるトークン サーバの使用をサポートします。

この項では、次のトピックについて取り上げます。

「トークン サーバと Cisco Secure ACS について」

「トークン サーバの RADIUS 認証要求と応答の内容」

「RADIUS トークン サーバ外部ユーザ データベースの設定」

トークン サーバと Cisco Secure ACS について

Cisco Secure ACS は、トークン サーバを使用した ASCII、PAP、および PEAP(EAP-GTC)認証を提供します。その他の認証プロトコルは、トークン サーバ データベースではサポートされません。


) トークン サーバ データベースでサポートされない認証プロトコルは、他の種類の外部ユーザ データベースでサポートされることがあります。認証プロトコルと、これらのプロトコルをサポートする外部ユーザ データベースの種類の詳細については、「認証プロトコルとデータベースの互換性」を参照してください。


AAA クライアントからの要求は、最初に Cisco Secure ACS に送信されます。次に、Cisco Secure ACS がトークン サーバの RADIUS クライアントとして機能します。Cisco Secure ACS は、ベンダー固有の API を使用しないで、標準 RADIUS 認証要求をトークン サーバの RADIUS 認証ポートに送信します。

Cisco Secure ACS Appliance が RADIUS インターフェイスでサポートするトークン サーバは、次のとおりです。

RSA SecureID

ActivCard

CRYPTOCard

Vasco

SafeWord

PassGo

IETF RFC 2865 に準拠するトークン サーバすべて

Cisco Secure ACS は、RADIUS 対応のトークン サーバからの RADIUS 応答で、ユーザ グループ設定を指定できます。グループ仕様は、グループ マッピングよりも常に優先されます。詳細については、「RADIUS に基づくグループ仕様」を参照してください。

Cisco Secure ACS は、RADIUS 対応トークン サーバで認証されたユーザを単一グループにマッピングする機能もサポートします。グループ マッピングは、グループ仕様が存在しない場合にのみ行われます。詳細については、「外部ユーザ データベースによるグループ マッピング」を参照してください。

トークン サーバと ISDN

Cisco Secure ACS は、ISDN ターミナルアダプタおよびルータのトークン キャッシングをサポートします。ISDN で OTP 認証用のトークン カードを使用する場合の欠点の 1 つに、B チャネルごとに独自の OTP が必要になる点があります。そのため、少なくとも 2 つの OTP と、Windows ネットワーキングなどその他のログイン パスワードを入力する必要があります。ターミナルアダプタが第 2 の B チャネルのオンとオフを切り換える機能をサポートしている場合は、第 2 の B チャネルが有効になるたびに、OTP を入力する必要が生じます。

Cisco Secure ACS では、ユーザにとって OTP が使いやすくなるように、トークンをキャッシュします。トークン カードを使用して第 1 の B チャネルでユーザを認証する場合、ユーザが別の OTP を入力しなくても、一定の時間内は第 2 の B チャネルを有効にできます。第 2 の B チャネルへの不正なアクセスのリスクを減らすには、第 2 の B チャネルの稼動時間を制限できます。さらに、最初のログインで指定した CHAP パスワードを使用するように第 2 の B チャネルを設定すると、セキュリティの問題が発生する可能性をさらに減らすことができます。第 1 の B チャネルが削除されると、キャッシュされたトークンは消去されます。

トークン サーバの RADIUS 認証要求と応答の内容

Cisco Secure ACS が、RADIUS 対応のトークン サーバに認証要求を自動転送するとき、RADIUS 認証要求には次のアトリビュートが含まれます。

User-Name(RADIUS アトリビュート 1)

User-Password(RADIUS アトリビュート 2)

NAS-IP-Address(RADIUS アトリビュート 4)

NAS-Port(RADIUS アトリビュート 5)

NAS-Identifier(RADIUS アトリビュート 32)

Cisco Secure ACS は、次の 3 つの応答のいずれかを受信します。

access-accept :アトリビュートは必要ありませんが、ユーザを割り当てる Cisco Secure ACS グループを応答で示すことができます。詳細については、「RADIUS に基づくグループ仕様」を参照してください。

access-reject :アトリビュートは必要ありません。

access-challenge :IETF RFC ごとに次のアトリビュートが必要です。

State(RADIUS アトリビュート 24)

Reply-Message(RADIUS アトリビュート 18)

RADIUS トークン サーバ外部ユーザ データベースの設定

Cisco Secure ACS で、トークン サーバ外部ユーザ データベースを設定するには、この手順に従います。

始める前に

RADIUS 対応のトークン サーバを使用してユーザを認証するように Cisco Secure ACS を設定する前に、RADIUS 対応トークン サーバを設置し、設定する必要があります。RADIUS 対応トークン サーバの設置の詳細については、トークン サーバに付属のマニュアルを参照してください。

トークン サーバでユーザを認証するように Cisco Secure ACS を設定するには、次の手順に従います。


ステップ 1 ナビゲーション バーで External User Databases をクリックします。

ステップ 2 Database Configuration をクリックします。

Cisco Secure ACS に、使用可能な全種類の外部ユーザ データベースのリストが表示されます。

ステップ 3 トークン サーバのリンクをクリックします。


) HTML インターフェイスのリストにないベンダーのトークン サーバを使用する場合は、RADIUS トークン サーバを選択します。


Database Configuration Creation テーブルが表示されます。選択した外部ユーザ データベースの種類に少なくとも 1 つの設定が存在する場合は、External User Database Configuration テーブルも表示されます。

ステップ 4 設定を作成するには、次の手順に従います。

a. Create New Configuration をクリックします。

b. 表示されたボックスに、トークン サーバの新しい設定の名前を入力します。または、ボックスのデフォルト名を使用します。

c. Submit をクリックします。

External User Database Configuration テーブルに、新しい設定のリストが表示されます。

ステップ 5 External User Database Configuration の下で、設定する必要がある RADIUS 対応のトークン サーバの名前を選択します。


) トークン サーバ設定が 1 つしかない場合は、リストではなくその設定名が表示されます。 ステップ 6 に進んでください。


ステップ 6 Configure をクリックします。

ステップ 7 次のボックスに、必要な情報を入力します。

Primary Server Name/IP :プライマリ トークン サーバのホスト名または IP アドレスです。ホスト名を指定する場合は、ホスト名が DNS で解決できる必要があります。

Secondary Server Name/IP :セカンダリ トークン サーバのホスト名または IP アドレスです。ホスト名を指定する場合は、ホスト名が DNS で解決できる必要があります。

Shared Secret :トークン サーバの共有秘密情報です。トークン サーバの設定に使用した共有秘密情報と同じにする必要があります。

Authentication Port :トークン サーバが RADIUS 認証セッションに使用する UDP ポートです。


) Cisco Secure ACS がトークン サーバに RADIUS OTP メッセージを送信するには、トークン サーバと Cisco Secure ACS の間のゲートウェイ デバイスが、Authentication Port ボックスで指定した UDP ポートでの通信を許可している必要があります。


Timeout (seconds): :Cisco Secure ACS がトークン サーバからの応答を待つ秒数です。この時間を超過すると、認証要求を再試行します。

Retries :Cisco Secure ACS が、セカンダリ トークン サーバにフェールオーバーするまでの認証試行回数です。

Failback Retry Delay (minutes) :プライマリ サーバに障害が発生した場合に、Cisco Secure ACS が、認証要求をセカンダリ サーバに送信する時間(分)です。この時間が経過すると、Cisco Secure ACS は、再び認証要求をプライマリ サーバに送信します。


) プライマリとセカンダリの両方のサーバに障害が発生した場合、Cisco Secure ACS は、いずれかが応答するまで交互に試行します。


ステップ 8 TACACS+ AAA クライアントへのシェル ログインを実行するトークン ユーザをサポートする場合は、TACACS+ Shell Configuration テーブルのオプションを設定する必要があります。次のいずれかを実行します。

a. Cisco Secure ACS でトークンのカスタム プロンプトを表示する場合は、 Static (sync and async tokens) を選択し、Cisco Secure ACS で表示されるプロンプトを Prompt ボックスに入力します。

たとえば、Prompt ボックスに「Enter your PassGo token」と入力すると、パスワード プロンプトの代わりに「Enter your PassGo token」というプロンプトが表示されます。


) このサーバに送信するトークンに同期トークンが含まれる場合は、Static (sync and async tokens) オプションを使用する必要があります。


b. Cisco Secure ACS で、チャレンジをトリガーするパスワードをトークン サーバに送信するには、 From Token Server (async tokens only) を選択し、Cisco Secure ACS がトークン サーバに自動転送するパスワードを Password ボックスに入力します。

たとえば、トークン サーバがチャレンジを呼び出すために文字列「challengeme」を要求する場合は、Password ボックスに「challengeme」と入力します。ユーザ名プロンプトとチャレンジ プロンプトが表示されます。


ヒント ほとんどのトークン サーバ ベンダーでは、チャレンジ プロンプトを送信するトリガーとして、ブランク パスワードを使用できます。


From Token Server (async tokens only) オプションは、このトークン サーバに送信されるすべてのトークンが非同期トークンの場合にのみ使用します。


ステップ 9 Submit をクリックします。

作成したトークン サーバ データベース設定が保存されます。これを未知のユーザ ポリシーに追加したり、このデータベースを使用して認証するように特定のユーザ アカウントを割り当てることができます。未知のユーザ ポリシーの詳細については、「未知のユーザの処理」を参照してください。データベースを使用して認証するようにユーザ アカウントを設定する方法については、「ユーザ管理」を参照してください。


 

外部ユーザ データベース設定の削除

特定の外部ユーザ データベース設定が不要になった場合は、Cisco Secure ACS から削除できます。

外部ユーザ データベース設定を削除するには、次の手順に従います。


ステップ 1 ナビゲーション バーで External User Databases をクリックします。

ステップ 2 Database Configuration をクリックします。

使用可能な全種類の外部ユーザ データベースのリストが表示されます。

ステップ 3 設定を削除する外部ユーザ データベースの種類をクリックします。

External User Database Configuration テーブルが表示されます。

ステップ 4 External User Database Configuration テーブルにリストが表示されたら、削除する設定を選択します。表示されない場合は、ステップ 5 に進みます。

ステップ 5 Delete をクリックします。

確認のダイアログボックスが表示されます。

ステップ 6 OK をクリックして、選択した外部ユーザ データベース設定の削除を確認します。

選択した外部ユーザ データベース設定が、Cisco Secure ACS から削除されます。