Cisco Secure ACS Appliance ユーザガイド 3.2
インターフェイスの設定
インターフェイスの設定
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

インターフェイスの設定

インターフェイス設計の概念

ユーザとグループの関係

ユーザ単位の機能とグループ単位の機能

ユーザ データの設定オプション

新しいユーザ データ フィールドの定義

高度なオプション

Cisco Secure ACS のユーザ インターフェイスに対する高度なオプションの設定

TACACS+ のプロトコル設定オプション

TACACS+ のオプションの設定

RADIUS のプロトコル設定オプション

IETF RADIUS アトリビュートのプロトコル設定オプションの設定

非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定

インターフェイスの設定

Cisco Secure ACS Appliance の HTML インターフェイスの設計において最も重要なことは使いやすさです。Cisco Secure ACS には、管理者の観点によるネットワーク セキュリティの複雑な概念が反映されています。Cisco Secure ACS の Interface Configuration セクションでは、Cisco Secure ACS の HTML インターフェイスを設定できます。つまり、使用しない機能を非表示にしたり、設定に合わせてフィールドを追加したりすることにより、インターフェイスをカスタマイズし、実際に使用する画面を簡素化できます。


) このセクションに戻って初期設定を見直して確認することを推奨します。Cisco Secure ACS の設定作業の最初にインターフェイスの設定を行うことは理にかなっていますが、HTML インターフェイス内のあるセクションが、当初は表示する必要がないと思われても、後でそのセクションでの設定が必要になることもあります。



ヒント Cisco Secure ACS の HTML インターフェイス内のあるセクションが「見つからない」、あるいは「不完全である」と考えられるときは、Interface Configuration セクションに戻り、該当するセクションがアクティブになっていることを確認してください。


この章では、次のトピックについて取り上げます。

「インターフェイス設計の概念」

「ユーザ データの設定オプション」

「高度なオプション」

「TACACS+ のプロトコル設定オプション」

「RADIUS のプロトコル設定オプション」

インターフェイス設計の概念

特定の設定に合わせた Cisco Secure ACS の HTML インターフェイスの設定を開始する前に、システム運用の基本的な指針を理解する必要があります。次のトピックで示す情報は、インターフェイスの設定を効率的に行うために必要です。

ユーザとグループの関係

1 人のユーザが同時に 2 つ以上のグループに所属することはできません。アトリビュートの矛盾がない場合に限り、ユーザはグループの設定を継承します。


ユーザ プロファイルでのアトリビュートの設定内容が、グループ プロファイルでの同じアトリビュートの設定と異なる場合は、常にユーザの設定がグループの設定に優先します。


あるユーザに固有の設定要件がある場合は、そのユーザをグループのメンバーとしてから User Setup ページで要件を設定するか、そのユーザ専用のグループにユーザを割り当てます。

ユーザ単位の機能とグループ単位の機能

ほとんどの機能はグループ レベルとユーザ レベルの両方で設定できますが、次のものは例外です。

ユーザ レベルのみ :スタティック IP アドレス、パスワード、および有効期限

グループ レベルのみ :パスワード エージングおよび時間帯や曜日による制限

ユーザ データの設定オプション

Configure User Defined Fields ページでは、各ユーザの情報を記録するためのフィールドを最大 5 つまで追加または編集できます。ここで定義したフィールドは、User Setup ページ最上部の Supplementary User Information セクションに表示されます。たとえば、ユーザの会社名、電話番号、部門、課金用コードなどを追加します。これらのフィールドは、アカウンティング ログに追加することもできます。アカウンティング ログの詳細については、「Cisco Secure ACS のログおよびレポートについて」を参照してください。ユーザ データ オプションを構成するデータ フィールドについては、「ユーザ定義のアトリビュート」を参照してください。

新しいユーザ データ フィールドの定義

新しいユーザ データ フィールドを設定するには、次の手順に従います。


ステップ 1 Interface Configuration をクリックし、 User Data Configuration をクリックします。

Configure User Defined Fields ページが表示されます。Display カラムのチェックボックスは、User Setup ページ最上部の Supplementary User Information セクションにどのフィールドを表示するかを示します。

ステップ 2 Display カラムのチェックボックスをオンにします。

ステップ 3 対応する Field Title ボックスに、新しいフィールドのタイトルを入力します。

ステップ 4 別のフィールドを設定するには、ステップ 2 とステップ 3 を繰り返します。

ステップ 5 新しいユーザ データ フィールドの設定の終了後、 Submit をクリックします。


ヒント フィールドのタイトルを変更するには、Field Title ボックスでテキストを編集して Submit をクリックします。この変更を有効にするには、CSAdmin を含む Cisco Secure ACS のサービスを再起動する必要があります。再起動するには、アプライアンスのシリアル コンソールで restart コマンドを実行します。サービスの再起動は、利用度が低い時間帯に行ってください。再起動によって、認証、許可、アカウンティングが一時的に中断されます。


 

高度なオプション

この機能を利用すると、Cisco Secure ACS で表示する高度な機能を指定できます。Cisco Secure ACS の HTML インターフェイスの他の領域で表示されるページの内容を簡素化するには、使用しない高度な機能を非表示にします。これらのオプションの多くは、使用可能に設定されていなければ表示されません。


注意 Interface Configuration セクションで高度なオプションを使用不可にしても、
HTML インターフェイスでその機能が表示されなくなる以外に影響はありません。ある高度なオプションがアクティブ(オン)のときに行った設定の内容は、そのオプションをインターフェイスで表示しないよう設定した(オフにした)後も有効です。さらに、インターフェイスには使用可能に設定されている高度なオプションがすべて表示され、非表示として設定されているオプションも、デフォルト以外の値が設定されていれば表示されます。高度なオプションを後で使用不可にしたとき、または値を削除したときは、そのオプションは非表示になります。

高度なオプションの機能には、次のものがあります。

Per-User TACACS+/RADIUS Attributesオンのときは、TACACS+/RADIUS アトリビュートをグループ レベルだけでなくユーザ レベルでも設定できます。

User-Level Shared Network Access Restrictions :オンのときは、共有プロファイル コンポーネントの Network Access Restriction(NAR; ネットワーク アクセス制限)のオプションが User Setup ページで使用可能になります。このオプションにより、設定済みで名前が付けられている IP ベースおよび CLID/DNIS ベースの NAR をユーザ レベルで適用できます。Shared Profile Components セクションで NAR を定義する方法については、「共有ネットワーク アクセス制限の追加」を参照してください。

User-Level Network Access Restrictionsオンのときは、ユーザ レベルの IP ベースおよび CLI/DNIS ベースの NAR を定義するための 2 種類のオプション セットが User Setup ページで使用可能に設定されます。

User-Level Downloadable ACLsオンのときは、User Setup ページの Downloadable ACLs セクションが使用可能になります。

Default Time-of-Day/Day-of-Week Specificationオンのときは、Group Setup ページのデフォルトの時間帯/曜日アクセス設定グリッドが使用可能になります。

Group-Level Shared Network Access Restrictionsオンのときは、共有プロファイル コンポーネントの NAR のオプションが Group Setup ページで使用可能になります。このオプションにより、設定済みで名前が付けられている IP ベースおよび CLID/DNIS ベースの NAR をグループ レベルで適用できます。Shared Profile Components セクションで単一の NAR または NAR のセットを定義する方法については、「共有ネットワーク アクセス制限の追加」を参照してください。

Group-Level Network Access Restrictionsオンのときは、グループ レベルの IP ベースおよび CLI/DNIS ベースの NAR を定義するための 2 種類のオプション セットが Group Setup ページで使用可能になります。

Group-Level Downloadable ACLsオンのときは、Group Setup ページの Downloadable ACLs セクションが使用可能になります。

Group-Level Password Agingオンのときは、Group Setup ページの Password Aging セクションが使用可能になります。Password Aging は、ユーザにパスワードを強制的に変更させるための機能です。

Max Sessionsオンのときは、User Setup ページおよび Group Setup ページの Max Sessions セクションが使用可能になります。Max Sessions オプションでは、グループまたはユーザの最大同時接続数を設定します。

Usage Quotasオンのときは、User Setup ページおよび Group Setup ページの Usage Quotas セクションの機能が使用可能になります。Usage Quotas オプションでは、グループまたはユーザの使用量のクォータを設定します。

Distributed System Settingsオンのときは、Network Interface ページに AAA サーバとプロキシのテーブルが表示されます。これらのテーブルが空ではなく、デフォルト以外の情報が含まれている場合は、テーブルは常に表示されます。

Remote Loggingオンのときは、System Configuration セクションの Logging ページの Remote Logging 機能が使用可能になります。

Cisco Secure ACS Database Replicationオンのときは、System Configuration ページの Cisco Secure ACS データベース複製情報が使用可能になります。

RDBMS Synchronizationオンのときは、System Configuration ページの RDBMS(Relational Database Management System)Synchronization オプションが使用可能になります。RDBMS Synchronization が設定済みの場合、このオプションは常に表示されます。

IP Poolsオンのときは、System Configuration ページの IP Pools Address Recovery オプションおよび IP Pools Server オプションが使用可能になります。

Network Device Groupsオンのときは、Network Device Group(NDG; ネットワーク デバイス グループ)が使用可能になります。NDG が使用可能であるときは、Network Configuration セクション、および User Setup ページと Group Setup ページの一部が変わり、ネットワーク デバイス(AAA クライアントまたは AAA サーバ)のグループを管理できるようになります。この機能は、管理対象のデバイス数が多い場合に便利です。

Voice-over-IP (VoIP) Group Settingsオンのときは、Group Setup ページの VoIP オプションが使用可能になります。

Voice-over-IP (VoIP) Accounting Configurationオンのときは、System Configuration ページの VoIP Accounting Configuration オプションが使用可能になります。このオプションは、RADIUS VoIP アカウンティング パケットのログ形式を指定するときに使用します。

Cisco Secure ACS のユーザ インターフェイスに対する高度なオプションの設定

Cisco Secure ACS の HTML インターフェイスに対する高度なオプションを設定するには、次の手順に従います。


ステップ 1 Interface Configuration をクリックし、 Advanced Options をクリックします。

Advanced Options テーブルが表示されます。

ステップ 2 Cisco Secure ACS の HTML インターフェイスで表示する(使用可能にする)オプションをそれぞれ選択します。


注意 Interface Configuration セクションで高度な機能を使用不可にしても、HTML インターフェイスでその機能が表示されなくなる以外に影響はありません。ある高度な機能が表示されているときに行った設定の内容は、その機能を表示しないよう設定した後も有効です。さらに、ある高度な機能を表示しないように設定した場合も、その機能にデフォルト以外の値が設定されていれば、インターフェイスに表示されます。後でその機能を使用不可にしたとき、または設定を削除したときは、その機能が非表示になります。ただし、Network Device Groups 機能だけは例外です。ネットワーク デバイス グループを使用しているかどうかにかかわらず、Advanced Options ページで選択が解除されているときは、この機能は非表示になります。

ステップ 3 選択の終了後、 Submit をクリックします。

選択した内容に応じて、Cisco Secure ACS の HTML インターフェイスの各セクションの内容が変わります。


 

TACACS+ のプロトコル設定オプション

TACACS+ (Cisco) ページでは、TACACS+ を設定するための Cisco Secure ACS HTML インターフェイスの設定の詳細が表示されます。これらのインターフェイス設定により、TACACS+ の管理およびアカウンティングに関するオプションを表示するかどうかを指定します。HTML インターフェイスを簡素化するには、使用しない機能を非表示にします。

TACACS+ (Cisco) ページは、次の 3 つの領域から構成されます。


ヒント デフォルトのインターフェイス設定では、チェックボックスのカラムは 1 つだけ表示され、グループ レベルでのみ TACACS+ Services Settings および New Service Settings の選択が可能です。グループ レベルまたはユーザ レベルで設定できるようにチェックボックスのカラムを 2 つ表示するには、Interface Configuration セクションの Advanced Options ページの Per-user TACACS+/RADIUS Attributes オプションを使用可能にしてください。


TACACS+ Services Settings :この領域には、TACACS+ で最もよく使用されるサービスおよびプロトコルの一覧が表示されます。User Setup ページまたは Group Setup ページで設定可能なオプションとして表示する TACACS+ サービスをそれぞれ選択します。

New Services :この領域では、ネットワーク設定に固有のサービスまたはプロトコルを入力できます。


) 他のシスコ製品向けのデバイス管理アプリケーションとCisco Secure ACS が連動するように設定した場合は、Cisco Secure ACS 側ではそのデバイス管理アプリケーションで指定されたとおりに TACACS+ の新しいサービスが表示されることがあります。Cisco Secure ACS、Cisco Secure ACS と連動するデバイス管理アプリケーション、およびそのアプリケーションの管理対象であるシスコ製のネットワーク デバイスが正しく動作するようにするには、自動的に生成されるタイプの TACACS+ サービスを変更したり削除しないでください。


Advanced Configuration Options :この領域では、さらに設定をカスタマイズするために、詳細な情報を追加できます。

次の 4 つの項目を表示するかどうかを選択できます。

Advanced TACACS+ Features :User Setup ページの Advanced TACACS+ Options セクションを表示するかどうかを指定します。ここに表示されるオプションには、SENDPASS および SENDAUTH のクライアント(ルータなど)に対する特権レベル認証および発信パスワード設定などがあります。

Display a Time-of-Day access grid for every TACACS+ service where you can override the default Time-of-Day settings :このオプションがオンのときは、Group Setup ページでの TACACS+ スケジューリング アトリビュートに優先する設定を指定するためのグリッドが User Setup ページに表示されます。

個々の TACACS+ サービスの使用を、時間帯および曜日によって制御できます。たとえば、Exec(Telnet)アクセスは営業時間中だけに制限し、一方で PPP-IP へはいつでもアクセスできるようにします。

デフォルトの設定では、認証の一部としてすべてのサービスについて時間帯によるアクセス制御を行います。ただし、デフォルトの設定を無効にして、サービスごとにアクセス可能な時間帯のグリッドを表示することもできます。このようにすれば、ユーザおよびグループの設定の管理のしやすさはそのままで、複雑な環境にもこの機能を適用することができます。この機能は TACACS+ のみに適用されます。これは、TACACS+ では認証と許可のプロセスを分離できるためです。RADIUS の時間帯を指定したアクセスはすべてのサービスに適用されます。TACACS+ と RADIUS を同時に使用する場合は、デフォルトの時間帯アクセスが両方に適用されます。この指定により、アクセス制御プロトコルとは無関係にアクセス制御の方法を統一できます。

Display a window for each service selected in which you can enter customized TACACS+ attributes :このオプションがオンのときは、カスタムの TACACS+ アトリビュートを入力するための領域が User Setup ページおよび Group Setup ページに表示されます。

Cisco Secure ACS では、サービスごとにカスタム コマンド フィールドを表示することもできます。このテキスト フィールドを利用すると、特定のグループ内のユーザが特定のサービスを利用するときに専用の設定をダウンロードできます。

この機能を利用すると、サービスで使用するアクセス デバイスに多数の TACACS+ コマンドを送信できます。ただし、そのデバイスでサポートされるコマンドであり、構文が正しいことが前提です。この機能はデフォルトでは使用不可になっていますが、アトリビュートや時間帯アクセスと同様の方法で使用可能にすることができます。

Display enable Default (Undefined) Service Configuration :このチェックボックスがオンのときは、 Cisco Discovery Protocol(CDP)などの未知の TACACS+ サービスを許可するための領域が、User Setup ページおよび Group Setup ページに表示されます。


) このオプションは、上級システム管理者だけが使用するようにしてください。



) ユーザ レベルでカスタマイズした設定は、グループ レベルでの設定に優先します。


TACACS+ のオプションの設定

この手順では、TACACS+ の管理およびアカウンティングに関するオプションを表示するかどうかを指定します。TACACS+ とともに使用可能なサービスとプロトコルがすべて使用されることは、実際にはほとんどありません。すべて表示されていると、ユーザやグループの設定に時間がかかります。設定作業を簡素化するには、TACACS+ (Cisco IOS) Edit ページを使用して、表示するサービスおよびプロトコルをカスタマイズします。

TACACS+ のオプションに関するユーザ インターフェイスを設定するには、次の手順に従います。


) CiscoSecure ACS の HTML インターフェイスでは、非表示として設定されているプロトコル オプションでも、使用可能になっているか、デフォルト以外の値が設定されていると表示されます。後でそのオプションを使用不可にしたときや値を削除したときは、そのプロトコル オプションが非表示として設定されていれば、CiscoSecure ACS のインターフェイスには表示されないようになります。 この動作により、アクティブな設定は必ず表示されるようになります。



ステップ 1 Interface Configuration をクリックし、 TACACS+ (Cisco IOS) をクリックします。

TACACS+ (Cisco) ページが表示されます。

ステップ 2 TACACS+ Services テーブルで、設定ページに表示する TACACS+ サービスのチェックボックスをそれぞれオンにします。

ステップ 3 新しいサービスおよびプロトコルを追加するには、次の手順に従います。

a. TACACS+ Services テーブルの New Services セクションで、追加する Service および Protocol を入力します。


) 他のシスコ製品向けのデバイス管理アプリケーションとCisco Secure ACS が連動するように設定した場合は、Cisco Secure ACS 側ではそのデバイス管理アプリケーションで指定されたとおりに TACACS+ の新しいサービスが表示されることがあります。Cisco Secure ACS、Cisco Secure ACS と連動するデバイス管理アプリケーション、およびそのアプリケーションの管理対象であるシスコ製のネットワーク デバイスが正しく動作するようにするには、自動的に生成されるタイプの TACACS+ サービスを変更したり削除しないでください。


b. User Setup または Group Setup、またはその両方に表示するかどうかを決め、該当するチェックボックスをオンにします。

ステップ 4 Advanced Configurations Options セクションで、使用可能にする表示オプションのチェックボックスをオンにします。

ステップ 5 TACACS+ インターフェイスの表示オプションの設定終了後、 Submit をクリックします。

この手順での選択内容によって、Cisco Secure ACS の HTML インターフェイスの他のセクションに表示される TACACS+ 関連のオプションが決定します。


 

RADIUS のプロトコル設定オプション

すべてのプロトコルについて使用可能なアトリビュートをすべてインストールすることは、実際にはほとんどありません。すべて表示されていると、ユーザやグループの設定に時間がかかります。設定作業を簡素化するために、表示するアトリビュートをこのセクションでカスタマイズします。サポートされている RADIUS AV ペアおよびアカウンティング AV ペアの一覧については、 付録C「RADIUS アトリビュート」 を参照してください。

どの AAA クライアントが設定されているかに応じて、Interface Configuration ページに表示される RADIUS プロトコル設定の選択肢の種類は異なります。Interface Configuration ページの RADIUS IETF の設定は、どの種類の RADIUS AAA クライアントが設定済みであっても表示されます。Interface Configuration ページには、この他にベンダー固有の RADIUS タイプに対する設定も表示されます。AAA クライアントのタイプに応じて表示される設定内容は、そのタイプのデバイスで使用可能な設定によって決まります。これらの組み合せを、次の 表3-1 に示します。

 

表3-1 インターフェイスに表示される RADIUS のタイプ

設定する AAA クライアントのタイプ
Interface Configuration ページに表示される設定のタイプ
RADIUS(IETF)
RADIUS(Cisco Aironet)
RADIUS(BBSM)
RADIUS(Cisco IOS/PIX)
RADIUS(Microsoft)
RADIUS(Ascend)
RADIUS(Cisco VPN 3000)
RADIUS(Cisco VPN 5000)
RADIUS(Juniper)
RADIUS(Nortel)

RADIUS(IETF)

×

×

×

×

×

×

×

×

×

RADIUS(Cisco Aironet)

×

×

×

×

×

×

×

RADIUS(BBSM)

×

×

×

×

×

×

×

×

RADIUS(Cisco IOS/PIX)

×

×

×

×

×

×

RADIUS(Ascend)

×

×

×

×

×

×

×

RADIUS(Cisco VPN 3000)

×

×

×

×

×

×

RADIUS(Cisco VPN 5000)

×

×

×

×

×

×

×

×

RADIUS(Juniper)

×

×

×

×

×

×

×

×

RADIUS(Nortel)

×

×

×

×

×

×

×

×

RADIUS(iPass)

×

×

×

×

×

×

×

×

×


ヒント Interface Configuration ページで設定のタイプを選択して詳細な設定を行うには、ネットワーク デバイスの設定が完了している必要があります。


Interface Configuration ページから、設定する RADIUS 設定のタイプを選択すると、HTML インターフェイスには対応する使用可能な RADIUS のアトリビュートおよびチェックボックスの一覧が表示されます。Interface Configuration の Advanced Options にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンの場合は、各アトリビュートの Group チェックボックスとともに User チェックボックスも表示されます。それ以外の場合は、各アトリビュートの Group チェックボックスだけが表示されます。アトリビュート一覧のチェックボックスをオンにすることにより、対応する (IETF) RADIUS アトリビュートまたは Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)を User Setup セクションおよび Group Setup セクションで設定可能にするかどうかを指定します。

RADIUS 設定ページに表示されるタイプの詳細は次のとおりです。

(IETF) RADIUS Settings :このページには、(IETF) RADIUS に対して設定可能なアトリビュートの一覧が表示されます。

これらの標準 (IETF) RADIUS アトリビュートは、RADIUS を使用するときはどのようなネットワーク デバイス設定に対しても設定可能です。IETF アトリビュート番号 26(VSA 用)を使用する場合は、Interface Configuration を選択し、次に使用するネットワーク デバイスのベンダーの RADIUS を選択します。(IETF) RADIUS のアトリビュート、および Cisco Secure ACS によってサポートされている各 RADIUS ネットワーク デバイス ベンダーの VSA が、User Setup または Group Setup に表示されます。


) RADIUS (IETF) のアトリビュートは、すべての RADIUS VSA に共通です。RADIUS ベンダーの RADIUS (IETF) から RADIUS アトリビュートを 設定する必要があるのは、初回だけです。


Tags to Display Per Attribute オプション(Advanced Configuration Options の下)では、User Setup ページおよび Group Setup ページでタグ付きアトリビュートに表示する値の数を指定します。タグ付きアトリビュートの例には、[064]Tunnel-Type や [069]Tunnel-Password があります。

詳しい手順については、「IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。

RADIUS (Cisco IOS/PIX) Settings :このセクションでは、RADIUS (Cisco IOS/PIX) の個々のアトリビュートを設定します。RADIUS (Cisco IOS/PIX) の下に表示される最初のアトリビュートである 026/009/001 を選択すると、User Setup および Group Setup に入力フィールドが表示され、ここで TACACS+ のコマンドを入力することにより、RADIUS 環境において TACACS+ のあらゆる機能を活用することができます。詳しい手順については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。

RADIUS (Cisco Aironet) Settings :このセクションでは、RADIUS (Cisco Aironet) 固有のアトリビュートを使用可能にするかどうかを設定します。Cisco Aironet の RADIUS VSA は Cisco-Aironet-Session-Timeout の 1 つだけで、これは、IETF RADIUS Session-Timeout アトリビュート(27)の特別な実装です。Cisco Aironet Access Point からの認証要求に Cisco Secure ACS が応答するとき、Cisco-Aironet-Session-Timeout アトリビュートが設定されている場合は、この値が IETF Session-Timeout アトリビュートとして Cisco Secure ACS から無線デバイスに送信されます。この設定により、エンドユーザ クライアントが無線か有線かによって異なるセッション タイムアウト値を設定できます。詳しい手順については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。

RADIUS (Ascend) Settings :このセクションでは、RADIUS (Ascend) 用の RADIUS VSA を使用可能にするかどうかを設定します。このページは、RADIUS (Ascend) または RADIUS (Cisco IOS/PIX) のデバイスが設定済みの場合に表示されます。詳しい手順については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。

RADIUS (Cisco VPN 3000) Settings :このセクションでは、RADIUS (Cisco VPN 3000) 用の RADIUS VSA を使用可能にするかどうかを設定します。詳しい手順については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。

RADIUS (Cisco VPN 5000) Settings :このセクションでは、RADIUS (Cisco VPN 5000) 用の RADIUS VSA を使用可能にするかどうかを設定します。詳しい手順については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。

RADIUS (Microsoft) Settings :このセクションでは、RADIUS (Microsoft) 用の RADIUS VSA を使用可能にするかどうかを設定します。このページは、RADIUS (Ascend)、RADIUS (VPN 3000)、または RADIUS (Cisco IOS/PIX) のデバイスが設定済みの場合に表示されます。詳しい手順については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。

RADIUS (Nortel) Settings :このセクションでは、RADIUS (Nortel) 用の RADIUS VSA を表示するかどうかを設定します。詳しい手順については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。

RADIUS (Juniper) Settings :このセクションでは、RADIUS (Juniper) 用の RADIUS VSA を表示するかどうかを設定します。詳しい手順については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。

RADIUS (BBSM) Settings :このセクションでは、RADIUS Building Broadband Service Manger (BBSM) 用の RADIUS VSA を表示するかどうかを設定します。詳しい手順については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。

Cisco Secure ACS の出荷時には、ここに示した VSA があらかじめパッケージ化されていますが、これに含まれていない VSA に対してカスタムのアトリビュートを定義および設定することもできます。カスタムの VSA および対応する AAA クライアントを設定済みの場合は、Interface Configuration セクションでそのカスタム VSA を選択し、次にどのアトリビュートを User Setup ページまたは Group Setup ページで設定可能なオプションとして表示するかを設定します。ユーザ定義 RADIUS VSA の作成については、「カスタム RADIUS ベンダーと VSA」を参照してください。

IETF RADIUS アトリビュートのプロトコル設定オプションの設定

この手順では、標準の IETF RADIUS アトリビュートを Cisco Secure ACS HTML インターフェイスから設定できるように表示するかどうかを指定します。


) Interface Configuration の Advanced Options にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンの場合は、各アトリビュートの Group チェックボックスとともに User チェックボックスも表示されます。



) 選択する IETF RADIUS アトリビュートは、RADIUS を使用するすべてのネットワーク デバイスでサポートされている必要があります。


IETF RADIUS アトリビュートのプロトコル設定オプションを設定するには、次の手順に従います。


ステップ 1 Interface Configuration をクリックし、 RADIUS (IETF) をクリックします。

RADIUS (IETF) ページが表示されます。

ステップ 2 User Setup ページまたは Group Setup ページに設定可能なオプションとして表示する各 IETF RADIUS アトリビュートについて、対応するチェックボックスをオンにします。


) 選択するアトリビュートは、使用する RADIUS ネットワーク デバイスでサポートされている必要があります。


ステップ 3 User Setup ページおよび Group Setup ページに表示するタグ付きアトリビュートの値の数を指定するには、 Tags to Display Per Attribute オプションを選択し、対応するリストから値を選択します。タグ付きアトリビュートの例には、 [064] Tunnel-Type [069] Tunnel-Password があります。

ステップ 4 アトリビュートの選択の終了後、ページの下部にある Submit をクリックします。

選択した IETF RADIUS アトリビュートが、設定可能なオプションとして User Setup ページまたは Group Setup ページに表示されます。


 

非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定

この手順では、RADIUS VSA を Cisco Secure ACS の HTML インターフェイスの User Setup および Group Setup から設定できるように表示するかどうかを指定します。

RADIUS VSA のセットにプロトコル設定オプションを設定するには、次の手順に従います。


ステップ 1 Interface Configuration をクリックします。

ステップ 2 表示されている RADIUS VSA セット タイプのいずれか、たとえば RADIUS (Ascend) をクリックします。

選択した RADIUS VSA のセットが、リストとしてページに表示されます。


) Interface Configuration の Advanced Options にある
Per-user TACACS+/RADIUS Attributes チェックボックスがオンの場合は、各アトリビュートの Group チェックボックスとともに User チェックボックスも表示されます。


ステップ 3 User Setup ページまたは Group Setup ページに設定可能なオプションとして表示する各 RADIUS VSA について、対応するチェックボックスをオンにします。


) 選択するアトリビュートは、使用する RADIUS ネットワーク デバイスでサポートされている必要があります。


ステップ 4 ページの下部にある Submit をクリックします。

選択内容に応じて、User Setup ページまたは Group Setup ページ、または両方に RADIUS VSA が設定可能なオプションとして表示されます。