Cisco Secure ACS Appliance ユーザガイド 3.2
未知のユーザ ポリシー
未知のユーザ ポリシー
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

未知のユーザ ポリシー

未知のユーザの処理

既知のユーザ、未知のユーザ、検出ユーザ

基本的な認証要求の処理および拒否の方法

Windows ユーザ データベースによる認証要求の処理および拒否の方法

ドメインが指定された場合の Windows 認証

ドメインが省略された場合の Windows 認証

未知のユーザの認証の実行

レイテンシの増大

AAA クライアントの認証タイムアウト値

ネットワーク アクセスの許可

未知のユーザ ポリシー

データベースの検索順序

未知のユーザ ポリシーの設定

外部ユーザ データベースによる認証の無効化

未知のユーザ ポリシー

Cisco Secure Access Control Server (ACS) Appliance で、外部ユーザ データベースとの通信を設定したら、外部ユーザ データベースに関連する Cisco Secure ACS のその他の機能をどのように実装するかを決定します。こうした機能には、未知のユーザ ポリシーとユーザ グループ マッピングがあります。 この章では、Cisco Secure ACS の External User Databases セクションにある未知のユーザ ポリシー機能について説明します。

ユーザ グループ マッピングについては、「ユーザ グループのマッピングと仕様」を参照してください。

Cisco Secure ACS でサポートされるデータベース、および外部ユーザ データベースと通信するための Cisco Secure ACS の設定方法については、「ユーザ データベース」を参照してください。

この章では、次のトピックについて取り上げます。

「未知のユーザの処理」

「既知のユーザ、未知のユーザ、検出ユーザ」

「基本的な認証要求の処理および拒否の方法」

「Windows ユーザ データベースによる認証要求の処理および拒否の方法」

「未知のユーザの認証の実行」

「ネットワーク アクセスの許可」

「未知のユーザ ポリシー」

未知のユーザの処理

未知のユーザとは、Cisco Secure ACS データベース内にアカウントが作成されていないユーザのことです。未知のユーザ機能は、認証転送の一形式です。基本的に、この機能は認証プロセスにおける付加的な手順です。この付加的な手順では、着信したユーザのユーザ名が Cisco Secure ACS データベース内で見つからなかった場合、Cisco Secure ACS に通信が設定されている外部データベースに対して、着信したユーザ名とパスワードの認証要求が転送されます。

未知のユーザ機能を設定すると、Cisco Secure ACS の内部データベースだけでなく、各種の外部データベースを使用して着信ユーザ要求を認証できるようになります。この機能を設定し、ネットワークとホストレベルのアクセス制御を統合することで、基本的なシングル サインオン機能が実現されます。ダイヤルインしたユーザの着信ユーザ名とパスワードを外部ユーザ データベースに転送して認証できるため、ネットワーク管理者が Cisco Secure ACS 内にリストの複製を作成する必要がありません。このため、Cisco Secure ACS 管理者にとって次の 2 つのメリットがあります。

1 人のユーザを複数回入力する必要がありません。

手作業にありがちなデータ入力の誤りを防ぐことができます。

このほか、PEAP 認証のフェーズ 1 で受信したユーザ名が未知のとき、フェーズ 1 での認証に成功できるというメリットもあります。詳細については、「PEAP と未知のユーザ ポリシー」を参照してください。

既知のユーザ、未知のユーザ、検出ユーザ

未知のユーザ機能を設定すると、Cisco Secure ACS に 3 つのユーザ カテゴリが実装されます。ユーザ カテゴリによってユーザの処理方法が異なります。

既知のユーザ手動、または自動的に Cisco Secure ACS データベースに明示的に追加されたユーザ。

HTML インターフェイス内の User Setup 設定、RDBMS 同期化機能、データベース複製機能のいずれかの方法で追加されたユーザです。CiscoSecure ユーザ データベース内では、各ユーザにパスワードが指定され、特定の認証データベースに明示的に対応付けられている必要があります。

未知のユーザCiscoSecure ユーザ データベース内にアカウント エントリがないユーザ。

これまでに一度も Cisco Secure ACS で認証されたことがないユーザです。Cisco Secure ACS に未知のユーザ ポリシーが設定されている場合は、外部ユーザ データベースを使用してこれらのユーザの認証が試行されます。

検出ユーザCisco Secure ACS で未知のユーザ ポリシーによる認証が成功し、Cisco Secure ACS データベース内にユーザ アカウントが作成されたユーザ。作成されたユーザ アカウントに含まれるのは、ユーザ名、ユーザを認証した外部ユーザ データベースを示す Password Authentication リストの設定値、グループ マッピングを有効にする Mapped By External Authenticator の「Group to which the user is assigned」リストの設定値だけです。必要に応じて、Cisco Secure ACS の HTML インターフェイスを使用して、さらに詳細にユーザ アカウントを設定できます。たとえば、Cisco Secure ACS 内に作成されたユーザのアカウントに、そのユーザ固有のネットワーク アクセス制限を指定することもできます。


) ユーザ アカウントが作成されるときは、検出ユーザのパスワードが Cisco Secure ACS にインポートされるのではなく、ユーザを認証した外部ユーザ データベースを示す Password Authentication リストの設定値が使用されます。


検出ユーザはいずれも、かつては未知だったユーザです。検出ユーザの認証プロセスは、既知のユーザの場合と同じです。


) ユーザ名に対応付けられた特権が不要になったら、データベースからユーザ名を削除するようにしてください。


基本的な認証要求の処理および拒否の方法

Cisco Secure ACS の未知のユーザ ポリシー機能を設定すると、次のようにユーザの認証が試行されます。

1. Cisco Secure ACS の内部ユーザ データベースでユーザが検索されます。
CiscoSecure ユーザ データベース内にユーザ名がある、つまり既知のユーザまたは検出ユーザの場合は、指定データベースに対して指定パスワード タイプを使用してユーザの認証が試行されます。ユーザの認証が成功するか失敗するかは、通常認証プロセスにおける他の手順によって決まります。

2. CiscoSecure ユーザ データベース内にユーザ名がない、つまり未知のユーザの場合は、設定されている外部データベースが Selected Databases リストで指定されている順に検索されます。外部データベースの 1 つに対してユーザの認証が成功した場合は、この認証試行で成功したパスワード タイプとデータベースを指示するポインタが付けられて、ユーザが自動的に CiscoSecure ユーザ データベースに追加されます。未知のユーザ処理によって追加されたユーザには、そのことを示すフラグが付けられます。それ以降は検出ユーザと呼ばれます。

検出ユーザが次回認証を試行すると、初回の認証が成功したデータベースに対して、Cisco Secure ACS でユーザの認証が行われます。検出ユーザは既知のユーザと同様に処理されます。

3. 設定されているすべての外部データベースで未知のユーザの認証が失敗した場合は、そのユーザは CiscoSecure ユーザ データベースに追加されず、認証要求が拒否されます。

CiscoSecure ユーザ データベース内のユーザ名は一意の必要があるため、任意のユーザ名のインスタンスは Cisco Secure ACS に設定されているすべてのデータベースを通じて 1 つだけサポートされます。たとえば、どの外部ユーザ データベースにも John というユーザ名のユーザ アカウントが含まれているとします。これらのユーザ アカウントは、偶然にもユーザ名は同じですが、それぞれが異なるユーザのアカウントです。最初にネットワークへのアクセスを試行してきた John が、未知のユーザ プロセスによって認証されると、その John の検出ユーザ アカウントが Cisco Secure ACS に保持されます。それ以降、John という名前のユーザがアクセスを試行してきた場合は、最初に John が認証されたときの外部ユーザ データベースを使用して認証が試行されます。同じ John という名前でも、ユーザのパスワードが最初に認証された John のパスワードと異なる場合、そのユーザはネットワークにアクセスできません。


) ユーザ名が同じユーザ アカウントが複数の異なる Windows ドメインにある場合、これとは異なる方法で処理されます。詳細については、「Windows ユーザ データベースによる認証要求の処理および拒否の方法」を参照してください。


Windows ユーザ データベースによる認証要求の処理および拒否の方法

Cisco Secure ACS では、Windows ユーザ データベースによる認証は特別なケースとして処理されます。Windows ではリモート アクセス認証プロセスに対して追加機能が提供されます。この追加機能の最も重要な特長は、Cisco Secure ACS によってアクセス要求の認証が試行される複数の信頼ドメインに同じユーザ名が含まれる場合もサポートされることです。

Windows 認証を実行するには、Cisco Secure ACS Appliance で Cisco Secure ACS リモート エージェントを使用して、Windows と Windows SAM または Active Directory ユーザ データベースの間の通信を可能にする必要があります。リモート エージェントを実行しているコンピュータ上の Windows の組み込み機能によって、認証要求が適切なドメイン コントローラに転送されます。 Windows 認証には 2 つのシナリオが考えられます。この項ではこれらのシナリオについて説明します。

リモート エージェントの詳細については、『 Installation and Configuration Guide for Cisco Secure ACS Remote Agents 』を参照してください。

この項では、次のトピックについて取り上げます。

「ドメインが指定された場合の Windows 認証」

「ドメインが省略された場合の Windows 認証」

ドメインが指定された場合の Windows 認証

認証要求でドメイン名が指定された場合は、Cisco Secure ACS によってドメイン名の指定が検出され、指定ドメインに対する認証認定証が試行されます。ダイヤルアップ ネットワーク クライアントの場合は、Windows のバージョンによってユーザのドメイン指定方法が異なります。詳細については、「Windows ダイヤルアップ ネットワーク クライアント」を参照してください。

ドメイン コントローラによって認証要求が拒否された場合は、その認証要求は試行失敗として Cisco Secure ACS のログに記録されます。

Windows 95、Windows 98、Windows ME、Windows XP Home の場合、ダイヤルアップ ネットワーク クライアントのユーザは、ドメイン認定形式
DOMAIN \ username )でユーザ名を送信するというドメイン指定方法だけを使用できます。ドメイン認定ユーザ名を使用することで、そのユーザは他のドメイン内にある同じユーザ名の複数のインスタンスから区別されます。ドメイン認定ユーザ名を送信し、Windows ユーザ データベースによって認証された未知のユーザについては、CiscoSecure ユーザ データベース内に DOMAIN \ username の形式のユーザ アカウントが作成されます。ユーザ名とドメインの組み合せによって、このユーザが Cisco Secure ACS データベース内の一意のユーザとして識別されます。


) Cisco Secure ACS では、user@domain という形式の認定ユーザ名はサポートされません。


未知のユーザ処理では同じネットワーク ユーザに対して複数のユーザ アカウントが生成される可能性があります。たとえば、ユーザがドメイン認定ユーザ名を送信し、認証に成功すると、Cisco Secure ACS 内に DOMAIN \ username の形式のアカウントが作成されます。同じユーザがドメイン名のプレフィックスを付けずにユーザ名を送信して認証に成功すると、Cisco Secure ACS 内に username の形式のアカウントが作成されます。個々のユーザ設定値ではなくグループだけから判断すると、どちらのアカウントにも同じ特権が与えられるはずです。ユーザがドメイン名のプレフィックスを付けたかどうかにかかわらず、Cisco Secure ACS 内のこのユーザ アカウントは 2 つとも同じ 1 つの Windows ユーザ アカウントに対応しているので、グループ マッピングによってこのユーザは同じ Cisco Secure ACS ユーザ グループに割り当てられます。

ドメインが省略された場合の Windows 認証

認証プロセスでドメイン ID が指定されなかった場合は、リモート エージェントが実行されているコンピュータの Windows オペレーティング システムで認証プロセスが実行されます。この認証プロセスは複雑なため、Cisco Secure ACS Appliance もリモート エージェントもこのプロセスを制御できません。Windows は通常、次のリソースの順に非ドメイン認定ユーザ名を検索しますが、この順序が入れ替わることもあります。

ローカル ドメイン コントローラ

信頼ドメイン内のドメイン コントローラ

ローカル アカウント データベース(メンバ サーバ上でリモート エージェントが実行されている場合)

Windows では、ユーザ名がリモート エージェントから渡されたユーザ名と最初に一致したときに、ユーザの認証が試行されます。認証の成否にかかわらず、同じユーザ名の他のアカウントは検索されません。このため、同じユーザ名の正しくないアカウントに渡された認定証をチェックしてしまい、有効な認定証を持つユーザを認証できないことがあります。

この問題を回避するためには、Cisco Secure ACS の Windows ユーザ データベース関連の設定でドメイン リストを使用します。このドメイン リストを信頼ドメインのリストに設定しておくと、Cisco Secure ACS のユーザ認証が成功するか、ドメイン リスト内のすべてのドメインの検索が完了するまで、ドメイン認定形式を使用してドメイン リスト内の各ドメインにユーザ名とパスワードが送信されます。


) ネットワークの複数のドメインに同じユーザ名がある場合(たとえば、どのドメインにも Administrator というユーザが存在する)や、ダイヤルインするユーザが認証認定証でドメインを指定しない場合に対処するために、External User Databases セクションで Windows ユーザ データベースのドメイン リストを設定する必要があります。これを設定しないと、たまたま最初にアカウントがチェックされたユーザだけが認証に成功するという問題が発生します。Cisco Secure ACS で Windows のドメイン チェック順序を制御するには、ドメイン リストを設定するしかありません。複数のドメインで同じユーザ名のインスタンスをサポートする際に最も確実な方法は、認証要求の一部としてドメイン メンバーシップを送信するようユーザに要求することです。


未知のユーザの認証の実行

未知のユーザの認証要求の処理は、既知のユーザの認証要求の処理に比べてやや時間がかかります。このため、未知のユーザからのネットワークへのアクセス試行が経由する AAA クライアントに、付加的な設定が必要になることがあります。

レイテンシの増大

未知のユーザの検索に使用する外部データベースの数が増えると、1 回の認証に必要な時間が大幅に増えることがあります。1 回の認証に必要な最短の時間は、外部データベースによる認証にかかる時間と Cisco Secure ACS の処理に必要なレイテンシを足したものです。状況によっては(Windows ユーザ データベースを使用する場合など)、外部データベースで発生するかなり大きなレイテンシが加わることがあります。複数のデータベースが設定されている場合は、1 つのデータベースでの所要時間にデータベースの数を掛けた大きさのレイテンシが発生することになります。

こうしたレイテンシの増大に対処するには、データベースの検索順序を設定する方法があります。時間に影響されやすい認証プロトコル(PEAP など)を使用する場合は、そのプロトコルを使用する未知のユーザが含まれている可能性の高いデータベースから認証を試行するよう、未知のユーザ処理を設定することが推奨されます。詳細については、「データベースの検索順序」を参照してください。

AAA クライアントの認証タイムアウト値

Cisco Secure ACS から外部データベースに認証要求を渡すのに時間がかかる場合に対処するために、AAA クライアントのタイムアウトを長めに設定する必要があります。AAA クライアントのタイムアウト値が未知のユーザの認証に必要な遅延に対処できる大きさに設定されていないと、AAA クライアントで認証要求のタイムアウトが発生し、すべての未知のユーザの認証が失敗します。

デフォルトの AAA クライアントのタイムアウト値は 5 秒です。Cisco Secure ACS が複数のデータベースを検索する設定になっている場合や、データベースが大きい場合は、AAA クライアント設定ファイルでタイムアウト値を大きくする必要があります。詳細については、Cisco IOS のマニュアルを参照してください。

ネットワーク アクセスの許可

認証要求が外部ユーザ データベースに転送されるよう未知のユーザ ポリシーが設定されている場合でも、AAA クライアントへの許可パラメータの送信はすべて Cisco Secure ACS が担当します。外部ユーザ データベースによって認証サービスが提供される場合は、Cisco Secure ACS から AAA クライアントに、RADIUS または TACACS+ 応答パケットで付加的な許可情報が送信されます。ユーザ許可の指定の詳細については、「ユーザ グループのマッピングと仕様」を参照してください。

未知のユーザ ポリシー

Cisco Secure ACS による未知のユーザの処理方法を設定するには、HTML インターフェイスの External User Databases セクションの Configure Unknown User Policy ページを使用します。Configure Unknown User Policy ページには次のフィールドがあります。

Unknown User Policy :Cisco Secure ACS の内部データベースでユーザ名が見つからなかった場合に、どのようなアクションを行うかを指定します。次の 2 つのオプションがあります。

Fail the attempt :未知のユーザの処理を使用不可にします。CiscoSecure ユーザ データベースで見つからなかったユーザの認証要求が拒否されます。

Check the following external user databases :未知のユーザの処理を使用可能にします。Cisco Secure ACS の Selected Databases リスト内のデータベースを使用して、CiscoSecure ユーザ データベースで見つからなかったユーザの認証が試行されます。

External Databases :未知のユーザの認証に 使用しない 外部ユーザ データベースを示します。

Selected Databases :未知のユーザの認証に使用する外部ユーザ データベースを示します( Check the following external user databases オプションが選択されている場合)。選択されているデータベースを指定順に 1 つずつ使用し、認証が試行されます。選択されているデータベースの順序の重要性については、「データベースの検索順序」を参照してください。

未知のユーザ ポリシーの設定の詳細については、「未知のユーザ ポリシーの設定」を参照してください。

データベースの検索順序

Cisco Secure ACS で外部データベースによる未知のユーザの認証を試行するとき、どのような順序で外部データベースを検索するかを設定できます。Selected Databases リスト内の最初のデータベースで未知のユーザの認証が失敗した場合、リスト内の次のデータベースが検索されます。ユーザの認証が成功するか、リスト内のすべてのデータベースの検索が完了するまで、リストの上から下に向かって順にデータベースの検索が進められます。Windows ユーザ データベースによる認証はさらに複雑です(Windows 認証の詳細については、「Windows ユーザ データベースによる認証プロセス」を参照してください)。リスト内にあるどのデータベースでもユーザが見つからなかった場合は、Cisco Secure ACS による認証が失敗します。

Selected Databases リスト内のデータベースの順序が重要です。Selected Databases リスト内のデータベースの順序を決定するときは、次のようにしてください。

認証が成功する可能性の高いデータベースをできるだけリストの上位に置きます。

時間に影響されやすい AAA クライアントまたは認証プロトコルが対応付けられたデータベースをできるだけリストの上位に置きます。

たとえば、無線 LAN のユーザが PEAP を使用してネットワークにアクセスしてくる場合は、未知のユーザの処理が Cisco Aironet アクセス ポイントの指定タイムアウト値より短時間で終了するよう、Selected Databases リスト内のデータベースの順序を決めます。

未知のユーザ ポリシーの設定

Cisco Secure ACS では、未知のユーザとは、CiscoSecure ユーザ データベース内にアカウントが作成されていないユーザのことです。

CiscoSecure ユーザ データベース内にアカウントがないユーザの処理方法を指定するには、次の手順に従います。


ステップ 1 ナビゲーション バーで External User Databases をクリックします。

ステップ 2 Unknown User Policy をクリックします。

ステップ 3 すべての未知のユーザの認証要求を拒否するには、 Fail the attempt オプションを選択します。

ステップ 4 未知のユーザの認証要求を許可するには、次の手順に従います。

a. Check the following external user databases オプションを選択します。

b. 未知のユーザの認証を試行するときに使用するデータベースを External Databases リスト内で選択し、 --> (右矢印ボタン)をクリックします。選択したデータベースが Selected Databases リストに移動します。Selected Databases リストからデータベースを削除するには、そのデータベースを選択し、 <-- (左矢印ボタン)をクリックします。選択したデータベースが External Databases リストに移動します。

c. 外部データベースで未知のユーザの認証を試行するときのデータベースの使用順序を指定するには、Selected Databases リスト内でデータベース名を選択し、 Up または Down をクリックして、リスト内の適当な位置に移動します。


ヒント 未知のユーザが認証される可能性の高いデータベースや、時間に影響されやすい AAA クライアントまたは認証プロトコル(PEAP など)が対応付けられたデータベースを、できるだけリストの先頭に置きます。

d. 手順 a から手順 c を繰り返し、選択したすべての外部データベースを適当な順序に並べます。

ステップ 5 Submit をクリックします。

Cisco Secure ACS で未知のユーザ ポリシーの設定が保存され、実装されます。Selected Databases リスト内の指定順にデータベースが使用されて、未知のユーザの認証が試行されます。


 

外部ユーザ データベースによる認証の無効化

CiscoSecure ユーザ データベース内にアカウントがないユーザに対しては認証を許可しないよう Cisco Secure ACS を設定することができます。

外部ユーザ データベースによる認証を無効にするには、次の手順に従います。


ステップ 1 ナビゲーション バーで External User Databases をクリックします。

ステップ 2 Unknown User Policy をクリックします。

ステップ 3 Fail the attempt オプションを選択します。

ステップ 4 Submit をクリックします。

未知のユーザの処理が停止されます。Cisco Secure ACS で、外部ユーザ データベースによる未知のユーザの認証が行われなくなります。