Cisco Secure ACS Appliance ユーザガイド 3.2
ユーザ グループのマッピング と仕様
ユーザ グループのマッピングと仕様
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

ユーザ グループのマッピングと仕様

ユーザ グループのマッピングと仕様について

外部ユーザ データベースによるグループ マッピング

トークン サーバまたは LEAP Proxy RADIUS Sever データベースに対する Cisco Secure ACS グループ マッピングの作成

グループ セット メンバーシップによるグループ マッピング

グループ マッピングの順序

グループ セット マッピングの非アクセス グループ

Windows のデフォルト グループ マッピング

Windows、Novell NDS、または汎用 LDAP グループに対する Cisco Secure ACS グループ マッピングの作成

Windows、Novell NDS、または汎用 LDAP グループ セット マッピングの編集

Windows、Novell NDS、または汎用 LDAP グループ セット マッピングの削除

Windows ドメイン グループ マッピング設定の削除

グループ セット マッピング順序の変更

RADIUS に基づくグループ仕様

ユーザ グループのマッピングと仕様

この章では、グループのマッピングおよび仕様について説明します。Cisco Secure Access Control Server(ACS)Appliance は、これらの機能を使用して、外部ユーザ データベースによって認証されたユーザを単一の Cisco Secure ACS グループに割り当てます。

この章では、次のトピックについて取り上げます。

「ユーザ グループのマッピングと仕様について」

「外部ユーザ データベースによるグループ マッピング」

「グループ セット メンバーシップによるグループ マッピング」

「RADIUS に基づくグループ仕様」

ユーザ グループのマッピングと仕様について

External User Databases セクションの Database Group Mapping 機能を使用すると、未知のユーザを Cisco Secure ACS グループに関連付けて、許可プロファイルを割り当てることができます。Cisco Secure ACS がグループ情報を取得するために使用する外部ユーザ データベースの場合、外部ユーザ データベース内のユーザに定義されているグループ メンバーシップを特定の Cisco Secure ACS グループに関連付けることができます。Windows ユーザ データベースの場合、ドメインごとに専用のユーザ データベースを保持しているため、グループ マッピングはドメインによって詳細に指定されます。Novell NDS ユーザ データベースの場合、Cisco Secure ACS が単一の Novell NDS ユーザ データベース内の複数のツリーをサポートしているため、グループ マッピングはツリーによって詳細に指定されます。

Cisco Secure ACS は、Database Group Mapping 機能に加えて、一部のデータベース タイプに対して RADIUS に基づくグループ仕様をサポートしています。

外部ユーザ データベースによるグループ マッピング

外部データベースを Cisco Secure ACS グループにマッピングできます。指定されたデータベースを使用して認証を行う未知のユーザは、自動的にそのグループに所属し、そのグループの許可を継承します。たとえば、あるトークン サーバ データベースを使用して認証を行っている未知のユーザ全員が Telecommuters という名前のグループに所属するように、Cisco Secure ACS を設定することができます。 その後で、単身赴任のユーザに適したグループ設定として、たとえば MaxSessions=1 などを割り当てることができます。あるいは、他のグループに対してはアクセスの禁止時間を設定し、Telecommuters グループのメンバーには無制限のアクセスを許可することができます。

任意の外部ユーザ データベース タイプで検出されたすべての未知のユーザを単一の Cisco Secure ACS グループにマッピングするように Cisco Secure ACS を設定することはできますが、次に示す外部ユーザ データベース タイプでは、そこに保持されるユーザを単一の Cisco Secure ACS グループにだけマッピングできます。

LEAP Proxy RADIUS サーバ

ActivCard トークン サーバ

PassGo トークン サーバ

CRYPTOCard トークン サーバ

RADIUS トークン サーバ

RSA SecurID トークン サーバ

SafeWord トークン サーバ

Vasco トークン サーバ

上記の外部ユーザ データベース タイプの一部では、外部ユーザ データベースが認証応答で Cisco Secure ACS グループを指定した場合、外部データベース タイプによるグループ マッピングよりもユーザごとの設定が優先されます。Cisco Secure ACS は、次の外部ユーザ データベース タイプに対して、グループ メンバーシップの仕様をサポートします。

LEAP Proxy RADIUS サーバ

ActivCard トークン サーバ

CRYPTOCard トークン サーバ

RADIUS トークン サーバ

Vasco トークン サーバ

上記のデータベース タイプのいずれかで認証されたユーザに対して、グループ メンバーシップを指定する方法の詳細については、「RADIUS に基づくグループ仕様」を参照してください。

トークン サーバまたは LEAP Proxy RADIUS Sever データベースに対する Cisco Secure ACS グループ マッピングの作成

トークン サーバまたは LEAP Proxy RADIUS Server データベースのグループ マッピングを設定または変更するには、次の手順に従います。


ステップ 1 ナビゲーション バーで External User Databases をクリックします。

ステップ 2 Database Group Mappings をクリックします。

ステップ 3 グループ マッピングを設定するトークン サーバまたは LEAP Proxy RADIUS Server データベース設定の名前をクリックします。

Define Group Mapping テーブルが表示されます。

ステップ 4 Select a default group for database リストで、このデータベースで認証されたユーザを割り当てるグループをクリックします。


ヒント Select a default group for database リストに、各グループに割り当てられているユーザの数が表示されます。

ステップ 5 Submit をクリックします。

Cisco Secure ACS によって、ステップ 3 で選択した外部データベース タイプで認証された未知のユーザと検出ユーザが、ステップ 4 で選択した Cisco Secure ACS グループに割り当てられます。ActivCard、CRYPTOCard、Safeword、Vasco、PassGo、RADIUS トークン サーバ、または LEAP Proxy RADIUS Server データベースによって認証されたユーザに対しては、データベースにそのユーザの Cisco Secure ACS グループが指定されていなければ、マッピングはデフォルトのままで適用されます。


) RADIUS トークン サーバに対するグループ仕様の詳細については、「RADIUS に基づくグループ仕様」を参照してください。



 

グループ セット メンバーシップによるグループ マッピング

一部の外部ユーザ データベースに対しては、ユーザが所属する外部ユーザ データベース グループの組み合せに基づくグループ マッピングを作成できます。グループ セット メンバーシップに基づいてグループ マッピングを作成できる外部ユーザ データベース タイプを次に示します。

Windows データベース

Novell NDS

汎用 LDAP


) Windows ユーザ データベースはドメイン名によって定義されます。


グループ セット メンバーシップに基づいて Cisco Secure ACS グループ マッピングを設定すると、そのグループ セットに 1 つまたは複数の外部ユーザ データベース グループを追加できます。Cisco Secure ACS がユーザを指定の Cisco Secure ACS グループにマッピングするには、セット内の すべての 外部ユーザ データベース グループにそのユーザが一致する必要があります。

たとえば、Engineering グループと Tokyo グループの両方に所属するユーザに対してグループ マッピングを設定し、Engineering グループと London グループの両方に所属するユーザに対してそれとは別のグループ マッピングを設定できます。次に、Engineering と Tokyo の組み合せおよび Engineering と London の組み合せに対して別々のグループ マッピングを設定して、それらの組み合せがマッピングされる Cisco Secure ACS グループに対して別々のアクセス時刻を設定することもできます。また、Engineering グループだけが含まれていて、Tokyo または London には所属していない Engineering グループのメンバーをマッピングするグループ マッピングを設定することもできます。

グループ マッピングの順序

Cisco Secure ACS は、常に単一の Cisco Secure ACS グループにユーザをマッピングします。ただし、1 人のユーザが複数のグループ セット マッピングに所属することはできます。たとえば、John というユーザが、Engineering と California のグループの組み合せのメンバーであると同時に、Engineering と Managers のグループの組み合せのメンバーになることが可能です。その両方の組み合せに対して Cisco Secure ACS グループ セット マッピングが設定されている場合、Cisco Secure ACS は、John を割り当てるグループを決定する必要があります。

Cisco Secure ACS は、グループ セット マッピングにマッピング順序を割り当てることで、グループ セット マッピングの競合を回避しています。外部ユーザ データベースで認証されたユーザを Cisco Secure ACS グループに割り当てる場合、Cisco Secure ACS は、そのデータベースに対するグループ マッピングのリストの先頭から割り当てを開始します。Cisco Secure ACS は、外部ユーザ データベース内のユーザ グループ メンバーシップを、リスト内の各グループ マッピングと順番に照合してチェックします。ユーザの外部ユーザ データベースのグループ メンバーシップと一致する最初のグループ セット マッピングを検出すると、Cisco Secure ACS は、そのグループ マッピングの Cisco Secure ACS グループにユーザを割り当て、マッピング処理を終了します。

ユーザに許可されるネットワーク アクセスおよびサービスに影響を与えるので、グループ マッピングの順序は重要です。複数のグループに所属するユーザに対してマッピングを定義する場合は、各ユーザに適切なグループ設定が許可されるようにマッピングが正しい順序になっていることを確認してください。

たとえば、ユーザ Mary が Engineering、Marketing、および Managers という 3 つのグループの組み合せに割り当てられているとします。Mary には、技術者ではなくマネージャの特権を与える必要があるとします。 マッピング A は、Mary が入っている 3 つのグループすべてに所属するユーザを Cisco Secure ACS のグループ 2 に割り当てます。マッピング B は、Engineering グループと Marketing グループに所属するユーザを Cisco Secure ACS のグループ 1 に割り当てます。マッピング B がリストの先頭にある場合、Cisco Secure ACS は Mary をグループ 1 のユーザとして認証するので、Mary はマネージャ特権があるグループ 2 ではなく、グループ 1 に割り当てられます。

グループ セット マッピングの非アクセス グループ

特定のグループ セット マッピングによってあるグループに割り当てられたユーザがリモート アクセスできないようにするには、そのグループを Cisco Secure ACS の No Access グループに割り当てます。たとえば、外部ユーザ データベース グループ「Contractors」の全メンバーを No Access グループに割り当てて、メンバーがネットワークにリモートでダイヤルインできないようにすることができます。

Windows のデフォルト グループ マッピング

Cisco Secure ACS は、Windows ユーザ データベースに対して、デフォルト グループ マッピングを定義する機能を備えています。Windows ユーザ データベースで認証された未知のユーザに一致するグループ マッピングが他にない場合、Cisco Secure ACS は、デフォルト グループ マッピングに基づいて、そのユーザをグループに割り当てます。

Windows ユーザ データベースに対するデフォルト グループ マッピングの設定は、1 つの例外を除いて、既存のグループ マッピングの編集と同じです。Windows に対するデフォルト グループ マッピングを編集する場合には、Domain Configurations ページで有効なドメイン名を選択するのではなく、\DEFAULT を選択します。

既存のグループ マッピングを編集する方法の詳細については、「Windows、Novell NDS、または汎用 LDAP グループ セット マッピングの編集」を参照してください。

Windows、Novell NDS、または汎用 LDAP グループに対する Cisco Secure ACS グループ マッピングの作成

Windows、Novell NDS、または汎用 LDAP グループを Cisco Secure ACS グループにマッピングするには、次の手順に従います。


ステップ 1 ナビゲーション バーで External User Databases をクリックします。

ステップ 2 Database Group Mappings をクリックします。

ステップ 3 グループ マッピングを設定する外部ユーザ データベースの名前をクリックします。

Windows グループ セットをマッピングする場合は、Domain Configurations テーブルが表示されます。NDS グループ セットをマッピングする場合は、NDS Trees テーブルが表示されます。それ以外の場合は、Group Mappings for database Users テーブルが表示されます。

ステップ 4 新規のドメインに対する Windows グループ セットをマッピングする場合は、次の手順に従います。

a. New configuration をクリックします。

Define New Domain Configuration ページが表示されます。

b. グループ セット マッピング設定を作成する Windows ドメインが Detected domains リストに表示されている場合は、そのドメインの名前を選択します。


ヒント ドメインの選択をクリアするには、Clear Selection をクリックします。

c. グループ セット マッピングを作成する Windows ドメインが Detected domains リストに 表示されていない 場合は、Domain ボックスに信頼できる Windows ドメインの名前を入力します。

d. Submit をクリックします。

新規の Windows ドメインが Domain Configurations ページのドメインのリストに表示されます。

ステップ 5 Windows グループ セットをマッピングする場合は、グループ セット マッピングを設定するドメインの名前をクリックします。

Group Mappings for Domain: domainname テーブルが表示されます。

ステップ 6 Novell NDS グループ セットをマッピングする場合は、グループ セット マッピングを設定する Novell NDS ツリーの名前をクリックします。

Group Mappings for NDS Users テーブルが表示されます。

ステップ 7 Add Mapping をクリックします。

Create new group mapping for database ページが表示されます。グループ リストには、外部ユーザ データベースから取得されたグループ名が表示されます。

ステップ 8 グループ セット マッピングに追加するグループのそれぞれに対して、グループ リストに表示されている外部ユーザ データベース グループの中から該当する名前を選択し、 Add to selected をクリックします。


) Cisco Secure ACS がこのグループ セット マッピングを使用してユーザを Cisco Secure ACS グループにマッピングするためには、そのユーザが Selected リストに表示されているすべてのグループに一致する必要があります。ただし、ユーザは(そのリストに表示されているグループに加えて)他のグループにも所属できますが、それでも、そのユーザを Cisco Secure ACS グループにマッピングすることができます。



ヒント マッピングからグループを削除するには、Selected リストで削除するグループの名前を選択し、Remove from selected をクリックします。

Cisco Secure ACS グループにマッピングするためにユーザが所属する必要があるすべてのグループが Selected リストに表示されます。

ステップ 9 Selected リスト内のすべての外部ユーザ データベース グループに所属するユーザをマッピングする Cisco Secure ACS グループの名前を、CiscoSecure グループ リストで選択します。


) <No Access> も選択できます。<No Access> グループの詳細については、「グループ セット マッピングの非アクセス グループ」を参照してください。


ステップ 10 Submit をクリックします。

Cisco Secure ACS リストにマッピングしたグループ セットが、 database グループ カラムの最下部に表示されます。


) 各グループ セットの最後にあるアスタリスクは、その外部ユーザ データベースで認証されたユーザが、そのグループ セット内のグループ以外の他のグループにも所属できることを示します。



 

Windows、Novell NDS、または汎用 LDAP グループ セット マッピングの編集

グループ セット マッピングがマッピングされる Cisco Secure ACS グループを変更できます。


) 既存のグループ セット マッピングの外部ユーザ データベース グループは編集できません。グループ セット マッピングに対して外部ユーザ データベース グループを追加または削除する場合は、そのグループ セット マッピングを削除し、変更したグループ セットで新規のグループ セット マッピングを作成します。


Windows、Novell NDS、または汎用 LDAP グループ マッピングを編集するには、次の手順に従います。


ステップ 1 ナビゲーション バーで External User Databases をクリックします。

ステップ 2 Database Group Mappings をクリックします。

ステップ 3 グループ セット マッピングを編集する外部ユーザ データベースの名前をクリックします。

Windows グループ セット マッピングを編集する場合は、Domain Configurations テーブルが表示されます。NDS グループ セット マッピングを編集する場合は、NDS Trees テーブルが表示されます。それ以外の場合は、Group Mappings for database Users テーブルが表示されます。

ステップ 4 Windows グループ セット マッピングを編集する場合は、グループ セット マッピングを編集するドメインの名前をクリックします。

Group Mappings for Domain: domainname テーブルが表示されます。

ステップ 5 Novell NDS グループ セット マッピングを編集する場合は、グループ セット マッピングを編集する Novell NDS ツリーの名前をクリックします。

Group Mappings for NDS Users テーブルが表示されます。

ステップ 6 編集するグループ セット マッピングをクリックします。

Edit mapping for database ページが表示されます。グループ セット マッピングに含まれる 1 つまたは複数の外部ユーザ データベース グループが、CiscoSecure グループ リストの上に表示されます。

ステップ 7 CiscoSecure グループ リストで、外部データベース グループのセットをマッピングするグループの名前を選択し、 Submit をクリックします。


) <No Access> も選択できます。<No Access> グループの詳細については、「グループ セット マッピングの非アクセス グループ」を参照してください。


ステップ 8 Submit をクリックします。

Group Mappings for database ページが再度開き、変更されたグループ セット マッピングのリストが表示されます。


 

Windows、Novell NDS、または汎用 LDAP グループ セット マッピングの削除

グループ セット マッピングは個別に削除できます。

Windows、Novell NDS、または汎用 LDAP グループ マッピングを削除するには、次の手順に従います。


ステップ 1 ナビゲーション バーで External User Databases をクリックします。

ステップ 2 Database Group Mappings をクリックします。

ステップ 3 グループ セット マッピングを削除する外部ユーザ データベース設定をクリックします。

Windows グループ セット マッピングを削除する場合は、Domain Configurations テーブルが表示されます。NDS グループ セット マッピングを削除する場合は、NDS Trees テーブルが表示されます。それ以外の場合は、Group Mappings for database Users テーブルが表示されます。

ステップ 4 Windows グループ セット マッピングを削除する場合は、そのグループ セット マッピングを削除するドメインの名前をクリックします。

Group Mappings for Domain: domainname テーブルが表示されます。

ステップ 5 Novell NDS グループ セット マッピングを削除する場合は、そのグループ セット マッピングを削除する Novell NDS ツリーの名前をクリックします。

Group Mappings for NDS Users テーブルが表示されます。

ステップ 6 削除するグループ セット マッピングの名前をクリックします。

ステップ 7 Delete をクリックします。

Cisco Secure ACS に確認のダイアログボックスが表示されます。

ステップ 8 確認のダイアログボックスで OK をクリックします。

Cisco Secure ACS によって、選択した外部ユーザ データベースのグループ セット マッピングが削除されます。


 

Windows ドメイン グループ マッピング設定の削除

Windows ドメインに対するグループ マッピング設定全体を削除できます。Windows ドメイン グループ マッピング設定を削除すると、その設定内のすべてのグループ セット マッピングが削除されます。

Windows グループ マッピングを削除するには、次の手順に従います。


ステップ 1 ナビゲーション バーで External User Databases をクリックします。

ステップ 2 Database Group Mappings をクリックします。

ステップ 3 Windows 外部ユーザ データベースの名前をクリックします。

ステップ 4 グループ セット マッピングを削除するドメインの名前をクリックします。

ステップ 5 Delete Configuration をクリックします。

Cisco Secure ACS に確認のダイアログボックスが表示されます。

ステップ 6 確認のダイアログボックスで OK をクリックします。

Cisco Secure ACS によって、選択した外部ユーザ データベースのグループ マッピング設定が削除されます。


 

グループ セット マッピング順序の変更

Windows、Novell NDS、および汎用 LDAP データベースで認証されるユーザのグループ セット マッピングを Cisco Secure ACS がチェックするときのチェック順序を変更できます。グループ マッピングの順序を設定するには、グループ マッピングがすでに作成されている必要があります。グループ マッピングの作成の詳細については、「Windows、Novell NDS、または汎用 LDAP グループに対する Cisco Secure ACS グループ マッピングの作成」を参照してください。

Windows、Novell NDS、または汎用 LDAP グループ マッピングに対するグループ マッピング順序を変更するには、次の手順に従います。


ステップ 1 ナビゲーション バーで External User Databases をクリックします。

ステップ 2 Database Group Mappings をクリックします。

ステップ 3 グループ セット マッピングの順序を設定する外部ユーザ データベースの名前をクリックします。

Windows グループ セット マッピングの順序を設定する場合は、Domain Configurations テーブルが表示されます。NDS グループ セット マッピングの順序を設定する場合は、NDS Trees テーブルが表示されます。それ以外の場合は、Group Mappings for database Users テーブルが表示されます。

ステップ 4 Windows グループ マッピングの順序を設定する場合は、グループ セット マッピングの順序を設定するドメインの名前をクリックします。

Group Mappings for Domain: domainname テーブルが表示されます。

ステップ 5 Novell NDS グループ セット マッピングの順序を設定する場合は、グループ セット マッピングの順序を設定する Novell NDS ツリーの名前をクリックします。

Group Mappings for NDS Users テーブルが表示されます。

ステップ 6 Order mappings をクリックします。


) 現在のデータベースに対して複数のグループ セット マッピングが設定されている場合は、Order mappings ボタンが表示されます。


Order mappings for database ページが表示されます。現在のデータベースに対するグループ マッピングが Order リストに表示されます。

ステップ 7 移動するグループ セット マッピングの名前を選択し、目的の位置に移動するまで Up または Down をクリックします。

ステップ 8 グループ マッピングが目的の順序になるまで、ステップ 7 を繰り返します。

ステップ 9 Submit をクリックします。

Group Mappings for database ページに、定義した順序でグループ セット マッピングが表示されます。


 

RADIUS に基づくグループ仕様

Cisco Secure ACS は、一部の外部ユーザ データベース タイプに関して、外部ユーザ データベースからの RADIUS 認証応答に基づいて特定の Cisco Secure ACS グループにユーザを割り当てる機能をサポートしています。これは、「外部ユーザ データベースによるグループ マッピング」で説明した未知のユーザ グループ マッピングに追加された機能です。RADIUS に基づくグループ仕様は、グループ マッピングより優先されます。RADIUS に基づくグループ仕様をサポートするデータベース タイプには、次のものがあります。

LEAP Proxy RADIUS サーバ

CRYPTOCard トークン サーバ

PassGo トークン サーバ

Safeword トークン サーバ

ActivCard トークン サーバ

Vasco トークン サーバ

RADIUS トークン サーバ

Cisco Secure ACS は、LEAP Proxy RADIUS Server データベースで認証されたユーザに対するユーザ単位のグループ マッピングをサポートします。これは、「外部ユーザ データベースによるグループ マッピング」で説明したデフォルト グループ マッピングに追加された機能です。

ユーザ単位のグループ マッピングを使用可能にするには、次の値を使用して、Cisco IOS/PIX RADIUS アトリビュート 1、[009\001] cisco-av-pair が含まれた認証応答を返すように外部ユーザ データベースを設定します。

ACS:CiscoSecure-Group-Id = N

N は、Cisco Secure ACS がユーザに割り当てる Cisco Secure ACS グループの番号(0 ~ 499)です。たとえば、LEAP Proxy RADIUS Server がユーザを認証して、Cisco IOS/PIX RADIUS アトリビュート 1、[009\001] cisco-av-pair に次の値を含めるとします。

ACS:CiscoSecure-Group-Id = 37

この場合、Cisco Secure ACS は、そのユーザをグループ 37 に割り当て、グループ 37 に関連付けられた許可を適用します。