Cisco Secure ACS Appliance ユーザガイド 3.2
共有プロファイル コンポーネ ント
共有プロファイル コンポーネント
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

共有プロファイル コンポーネント

共有プロファイル コンポーネントについて

ダウンロード可能な IP ACL

ダウンロード可能な IP ACL について

ダウンロード可能な IP ACL の追加

ダウンロード可能な IP ACL の編集

ダウンロード可能な IP ACL の削除

ネットワーク アクセス制限

ネットワーク アクセス制限について

共有ネットワーク アクセス制限の追加

共有ネットワーク アクセス制限の編集

共有ネットワーク アクセス制限の削除

コマンド許可セット

コマンド許可セットについて

コマンド許可セットの説明

コマンド許可セットの割り当て

大文字と小文字の区別およびコマンド許可

引数およびコマンド許可

パターン マッチングについて

コマンド許可セットの追加

コマンド許可セットの編集

コマンド許可セットの削除

共有プロファイル コンポーネント

この章では、HTML インターフェイスの共有プロファイル コンポーネント セクションにある Cisco Secure ACS Appliance 機能について説明します。

この章では、次のトピックについて取り上げます。

「共有プロファイル コンポーネントについて」

「ダウンロード可能な IP ACL」

「ネットワーク アクセス制限」

「コマンド許可セット」

共有プロファイル コンポーネントについて

Shared Profile Components セクションを使用すると、再使用可能な許可コンポーネントの共有セットを開発して命名できます。許可コンポーネントは、1 つまたは複数のユーザまたはユーザ グループに適用でき、そのユーザのプロファイル内の名前で参照できます。これらの共有セットには、ダウンロード可能な IP Access Control List(ACL; アクセス コントロール リスト)、Network Access Restriction(NAR; ネットワーク アクセス制限)、およびコマンド許可セットがあります。

Cisco Secure ACS の Shared Profile Components セクションでは、選択的な許可のスケーラビリティに重点が置かれています。共有プロファイル コンポーネントは、一度設定すれば、多数のユーザまたはグループに適用できます。この機能を使用しない場合、柔軟かつ総合的な許可を実現するには、想定されるすべてのデバイスで、想定されるすべてのコマンドに対して、各ユーザ グループの許可を明示的に設定する以外に方法はありません。これらの名前付き共有プロファイル コンポーネント(ACL、アクセス制限、およびコマンド セット)を作成して適用すると、ネットワーク アクセス パラメータを定義するときに、デバイスやコマンドの長いリストを何度も入力する必要がなくなります。

また、共有プロファイル コンポーネントを使用することで、Cisco Secure ACS が他のデバイスに代わってコマンドを許可することができます。このようなスケーラビリティによって、次の機能も実現できます。

ユーザがネットワーク内の 1 つまたは複数のデバイスに対して発行できるコマンドのリストを決定する機能

そのデバイス上で特定のユーザが特定のコマンドを実行できるデバイスのリストを決定する機能

ダウンロード可能な IP ACL

この項では、ダウンロード可能な ACL について説明した後で、その設定と管理について詳しく説明します。

この項では、次のトピックについて取り上げます。

「ダウンロード可能な IP ACL について」

「ダウンロード可能な IP ACL の追加」

「ダウンロード可能な IP ACL の編集」

「ダウンロード可能な IP ACL の削除」

ダウンロード可能な IP ACL について

ダウンロード可能な IP ACL を使用すると、多数のユーザやユーザ グループに適用できる ACL コマンドのセットを作成できます。Cisco Secure ACS は、ダウンロード可能な IP ACL が含まれたプロファイルを持つユーザにネットワーク アクセスを許可するときに、ユーザ セッションの RADIUS アクセス受け付けパケットの一部として、アトリビュートを名前付き ACL とともに返します。ネットワーク デバイスは、その ACL をそのユーザのセッションに適用します。Cisco Secure ACS は、そのネットワーク デバイスが最新の ACL バージョンをキャッシュしたことを保証するために、バージョニング スタンプを使用します。ネットワークから、キャッシュ内の名前付き ACL が現行バージョンではない(つまり、ACL が新規か変更されている)という応答が返された場合、Cisco Secure ACS は、更新した ACL をそのデバイスに送信します。そのネットワーク デバイスは、ダウンロード可能な IP ACL をユーザ セッションに適用します。

ダウンロード可能な IP ACL は、各ユーザまたはユーザ グループの RADIUS Cisco cisco-av-pair アトリビュート [26/9/1] に ACL を設定することの代替手段になります。RADIUS Cisco cisco-av-pair アトリビュートは ACL のサイズが 4 キロバイト以内に制限されていますが、ダウンロード可能な IP ACL の場合は、HTML インターフェイスの上限である 32 キロバイトまでのサイズが可能です。ダウンロード可能な IP ACL を一度作成して命名すると、その名前を参照することによって、そのダウンロード可能な IP ACL を該当の各ユーザまたはユーザ グループに割り当てることができます。これは、ユーザまたはユーザ グループのそれぞれに RADIUS Cisco cisco-av-pair アトリビュートを設定するよりも効率的な方法です。この方法は、各ネットワーク デバイスに ACL を直接入力するよりも、はるかに効率的です。Cisco Secure ACS から ダウンロード可能な IP ACL を使用するようにデバイスを設定した後は、ネットワーク デバイスの追加設定は必要ありません。ダウンロード可能な ACL は、管理者が設定したバックアップまたは複製の方法によって保護されます。

Cisco Secure ACS HTML インターフェイスに ACL の定義を入力するときは、キーワードと名前エントリを使用しないでください。その他のすべての場合には、ダウンロード可能な IP ACL の適用対象となるネットワーク デバイスの標準 ACL コマンド構文およびセマンティクスを使用してください。Cisco Secure ACS に入力する ACL 定義は、1 つまたは複数の ACL コマンドから構成されます。コマンドは 1 行に 1 つずつ入力する必要があります。

ダウンロード可能な IP ACL を使用するには、ACL を適用する AAA クライアントに次の条件が必要です。

AAA クライアントは認証に RADIUS を使用すること

AAA クライアントはダウンロード可能な IP ACL をサポートしていること

IP ACL をサポートしている Cisco デバイスには、たとえば次のものがあります。

PIX Firewall

VPN 3000 シリーズ コンセントレータ

ACL Definitions ボックスに PIX Firewall ACL を入力するために使用するフォーマットの例を次に示します。

permit tcp any host 10.0.0.254
permit udp any host 10.0.0.254
permit icmp any host 10.0.0.254
permit tcp any host 10.0.0.253

ACL Definitions ボックスに VPN 3000 ACL を入力するために使用するフォーマットの例を次に示します。

permit ip 10.153.0.0 0.0.255.255 host 10.158.9.1
permit ip 10.154.0.0 0.0.255.255 10.158.10.0 0.0.0.255
permit 0 any host 10.159.1.22
deny ip 10.155.10.0 0.0.0.255 10.159.2.0 0.0.0.255 log
permit TCP any host 10.160.0.1 eq 80 log
permit TCP any host 10.160.0.2 eq 23 log
permit TCP any host 10.160.0.3 range 20 30
permit 6 any host HOSTNAME1
permit UDP any host HOSTNAME2 neq 53
deny 17 any host HOSTNAME3 lt 137 log
deny 17 any host HOSTNAME4 gt 138
deny ICMP any 10.161.0.0 0.0.255.255 log
permit TCP any host HOSTNAME5 neq 80

ACL 定義の詳細については、ご使用のデバイスの設定ガイドにあるコマンド リファレンスを参照してください。

ダウンロード可能な IP ACL の追加

ダウンロード可能な IP ACL を追加するには、次に手順に従います。


ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。

Shared Profile Components ページが表示されます。

ステップ 2 Downloadable IP ACLs をクリックします。


ヒント ダウンロード可能な IP ACL が Shared Profile Components ページに表示されない場合は、Interface Configuration セクションの Advanced Options ページで、User-Level Downloadable ACLs オプションと Group-Level Downloadable ACLs オプションの一方または両方を使用可能にする必要があります。

ステップ 3 Add をクリックします。

結果:Downloadable IP ACLs ページが表示されます。

ステップ 4 Name: ボックスに新規の IP ACL の名前を入力します。


) IP ACL の名前は 27 文字まで入力できます。名前にスペースを含めることはできますが、先頭または末尾にスペースを付けたり、複数のスペースを連続させたりすることはできません。また、「-」、「[」、「]」、「/」、「--」を使用することはできません


ステップ 5 Description: ボックスに新規の IP ACL の説明を入力します。

ステップ 6 ACL Definitions ボックスに新規の IP ACL の定義を入力します。


) 入力できるのは最大 32,000 文字です。



ヒント Cisco Secure ACS の HTML インターフェイスで ACL 定義を入力するときは、キーワード エントリと名前エントリは使用せずに、permit/deny キーワードで始めます。ACL の定義の正しいフォーマットの例については、「ダウンロード可能な IP ACL について」を参照してください。

ステップ 7 IP ACL の指定の終了後、 Submit をクリックします。

Cisco Secure ACS によって新規の IP ACL が登録され、ただちに有効になります。たとえば、その IP ACL が PIX Firewalls とともに使用される場合、ユーザ プロファイルまたはグループ プロファイルの一部にその ACL 名を持つユーザを認証しようとしている任意の PIX Firewall に、その IP ACL を送信できます。ダウンロード可能な IP ACL をユーザまたはユーザ グループに割り当てる方法については、「ユーザへのダウンロード可能な IP ACL の割り当て」または 「グループへのダウンロード可能 IP ACL の割り当て」を参照してください。


 

ダウンロード可能な IP ACL の編集

ダウンロード可能な IP ACL を編集するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。

Shared Profile Components ページが表示されます。

ステップ 2 Downloadable IP ACLs をクリックします。

Downloadable IP ACL テーブルが表示されます。

ステップ 3 Name カラムで、編集する IP ACL をクリックします。

Downloadable IP ACL ページに、選択した ACL に関する情報が表示されます。

ステップ 4 必要に応じて、Name、Description、または ACL Definitions の情報を編集します。


) ACL Definitions ボックスに入力できるのは、最大 32,000 文字です。



ヒント ACL Definitions ボックスではキーワード エントリと名前エントリを使用せず、代わりに permit/deny キーワードで始めてください。ACL の定義の正しいフォーマットの例については、「ダウンロード可能な IP ACL について」を参照してください。

ステップ 5 IP ACL の情報の編集終了後、 Submit をクリックします。

Cisco Secure ACS によって、新しい情報が設定された IP ACL が再登録され、その IP ACL がただちに有効になります。


 

ダウンロード可能な IP ACL の削除

始める前に

IP ACL を削除する前に、ユーザ プロファイルまたはユーザ グループ プロファイルとのアソシエーションをすべて削除する必要があります。

IP ACL を削除するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。

Shared Profile Components ページが表示されます。

ステップ 2 Downloadable IP ACLs をクリックします。

ステップ 3 編集するダウンロード可能な IP ACL をクリックします。

Downloadable IP ACL ページに、選択した IP ACL に関する情報が表示されます。

ステップ 4 ページ下部の Delete をクリックします。

IP ACL が削除されることを警告するダイアログボックスが表示されます。

ステップ 5 IP ACL の削除を確定するには、 OK をクリックします。

選択した IP ACL が削除されます。


 

ネットワーク アクセス制限

この項では、Network Access Restrictions(NAR; ネットワーク アクセス制限)について説明し、共有 NAR の設定と管理の詳しい手順を示します。

この項では、次のトピックについて取り上げます。

「ネットワーク アクセス制限について」

「共有ネットワーク アクセス制限の追加」

「共有ネットワーク アクセス制限の編集」

「共有ネットワーク アクセス制限の削除」

ネットワーク アクセス制限について

NAR を使用すると、ユーザがネットワークにアクセスするために必要な許可条件および認証条件を追加で定義できます。Cisco Secure ACS は、AAA クライアントから送信されるアトリビュートの情報を利用して、これらの条件を適用します。NAR を設定する方法はいくつかありますが、どの方法も、AAA クライアントから送信されるアトリビュート情報のマッチングに基づいています。このため、NAR を効果的に利用するには、AAA クライアントが送信するアトリビュートの形式と内容を理解しておく必要があります。

NAR を設定するとき、フィルタを許可条件と拒否条件のどちらで動作させるかを選択できます。つまり、NAR に格納されている情報と一致する情報を送信してきた AAA クライアントに対してアクセスを許可するか、拒否するかを NAR に指定します。ただし、NAR が受信した情報に不備があった場合、デフォルトではアクセスが拒否されます。以上の内容を 表5-1 にまとめて示します。

 

表5-1 NAR における許可条件と拒否条件

 
一致
不一致
情報不足

許可

アクセスを許可

アクセスを拒否

アクセスを拒否

拒否

アクセスを拒否

アクセスを許可

アクセスを拒否

Cisco Secure ACS は、基本的な 2 種類の NAR をサポートしています。

IP ベースの制限。発信側要求が既存の IP アドレスに関連付けられます。

非 IP ベースのフィルタ。上記以外のすべての場合に、Automatic Number Identification(ANI; 自動番号識別)を使用できます。

IP ベースの制限は、AAA クライアントが使用するプロトコルに応じて、次のいずれかのアトリビュート フィールドに基づいて適用されます。

TACACS+ を使用している場合: rem_addr フィールドが使用されます。

RADIUS IETF を使用している場合: calling-station-id (アトリビュート 31)フィールドと called-station-id (アトリビュート 30)フィールドが使用されます。

十分な IP アドレス情報を提示しない AAA クライアント(たとえば、一部のタイプのファイアウォール)は、NAR の機能を完全にはサポートしません。

非 IP ベースの NAR は、許可または拒否される「発信側」または「アクセス ポイント」の位置のリストです。これは、IP ベースの接続が確立されていない場合に AAA クライアントを制限するために使用できます。一般に非 IP ベースの NAR では、Calling Line ID(CLI; 発信番号識別)の番号および Dialed Number Identification Service(DNIS; 着信番号識別サービス)の番号が使用されます。

ただし、AAA クライアントが CLI または DNIS をサポートする Cisco IOS リリースを使用していない場合でも、CLI の代わりに IP アドレスを入力することで、非 IP ベースのフィルタを使用できます。CLI の入力に関するもう 1 つの例外は、たとえば Cisco Aironet AAA クライアントを使用している場合で、許可または拒否する MAC アドレスを入力できます。同様に、DNIS の代わりに Cisco Aironet AP MAC アドレスを入力できます。CLI ボックスで指定する情報(CLI、IP アドレス、または MAC アドレス)は、AAA クライアントから受信する情報とフォーマットが一致している必要があります。このフォーマットは、RADIUS Accounting Log から判別できます。

NAR を指定するときは、アスタリスク(*)を任意の値のワイルドカードとして使用したり、任意の値の一部として使用することで範囲を指定できます。NAR でアクセスを制限するためには、NAR 指定におけるすべての値および条件が合致する必要があります。つまり、値の「論理積」がとられます。


) 認証要求がプロキシから Cisco Secure ACS サーバに転送されると、TACACS+ 要求に使用されるすべての NAR は、発信元の AAA クライアントの IP アドレスではなく、転送先の AAA サーバの IP アドレスに適用されます。


NAR は、特定のユーザまたはユーザ グループに対して定義し、適用できます。詳細については、「ユーザのネットワーク アクセス制限(NAR)の設定」または 「ユーザ グループのネットワーク アクセス制限の設定」を参照してください。ただし、Cisco Secure ACS の Shared Profile Components セクションでは、ユーザやユーザ グループを直接指定しなくても、共有 NAR を作成し、命名できます。共有 NAR には、Cisco Secure ACS の HTML インターフェイスの別の部分で参照できる名前を付けます。ユーザまたはユーザ グループを設定するときには、共有制限を 1 つまたは複数適用することも、1 つも適用しないこともできます。ユーザまたはユーザ グループに複数の共有 NAR を適用する場合、「選択されているすべてのフィルタによって許可」、「選択されているフィルタのどれか 1 つによって許可」という 2 つのアクセス基準のどちらかを選択する必要があります。

共有アクセス制限は、CiscoSecure ユーザ データベースに保持されます。Cisco Secure ACS のバックアップ機能と復元機能を使用して、共有アクセス制限のバックアップと復元ができます。また、共有アクセス制限を他の設定データとともに複製して、セカンダリ Cisco Secure ACS を作成することもできます。

共有ネットワーク アクセス制限の追加

多数のアクセス制限が含まれた共有 NAR を作成できます。Cisco Secure ACS は、共有 NAR 内のアクセス制限の数を制限しておらず、各アクセス制限の長さも制限していません。ただし、次に示す厳密な制限があります。

各行項目のフィールドの組み合せは 1024 文字以内です。

共有 NAR に含まれる文字は 16 KB 以内です。サポートされる行項目の数は、各行項目の長さに応じて異なります。たとえば、AAA クライアント名が 10 文字、ポート番号が 5 文字、CLI エントリが 15 文字、DNIS エントリが 20 文字で CLI/DINIS ベースの NAR を作成する場合、450 個の行項目を追加すると、16KBになります。

共有 NAR を追加するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。

Shared Profile Components ページが表示されます。

ステップ 2 Network Access Restrictions をクリックします。

ステップ 3 Add をクリックします。

Network Access Restriction ページが表示されます。

ステップ 4 Name ボックスに新規の共有 NAR の名前を入力します。


) 名前は 31 文字まで入力できます。また、先頭と末尾にスペースを付けることはできません。また、「[」、「]」、「,」、「/」の 4文字は使用できません。


ステップ 5 Description ボックスに新規の 共有 NAR の説明を入力します。

ステップ 6 IP アドレッシングに基づいてアクセスを許可または拒否するには、次の手順に従います。


) この手順は、IP 接続が存在する場合に IP ベースの制限を行うために実行します。その他の種類の制限については、「ネットワーク アクセス制限について」を参照してください。


a. Define IP-based access descriptions チェックボックスをオンにします。

b. 許可または拒否するアドレスをリストに表示するかどうかを指定するには、Table Defines リストで該当の値を選択します。

c. 次のボックスのそれぞれで、該当する情報を選択または入力します。

AAA Client All AAA clients を選択するか、アクセスの許可または拒否の対象とする Network Device Group(NDG; ネットワーク デバイス グループ)の名前または個々の AAA クライアントの名前を入力します。

Port :アクセスの許可または拒否の対象とするポートの番号を入力します。ワイルドカードのアスタリスク(*)を使用すると、選択した AAA クライアント上のすべてのポートへのアクセスを許可または拒否できます。

Src IP Address :アクセス制限を実行するときにフィルタリングを行う IP アドレスを入力します。 ワイルドカードのアスタリスク(*)を使用して、すべての IP アドレスを指定できます。


) AAA Client リスト、Port ボックス、および Src IP Address ボックスに入力する文字の合計数は 1024 文字以内にする必要があります。Cisco Secure ACS は、NAR を追加するときに 1024 文字を超える文字を受け付けますが、その NAR は編集できず、Cisco Secure ACS は NAR をユーザに正確に適用できません。


d. enter をクリックします。

AAA クライアント、ポート、およびアドレス情報が、テーブルの行項目として表示されます。

e. IP ベースの行項目をさらに入力するには、手順 c と手順 d を繰り返します。

ステップ 7 発信場所や、設定された IP アドレス以外の値に基づいてアクセスを許可または拒否するには、次の手順に従います。

a. Define CLI/DNIS based access restrictions チェックボックスをオンにします。

b. 許可または拒否するアドレスをリストに表示するかどうかを指定するには、Table Defines リストで該当の値を選択します。

c. この NAR を適用可能にするかどうかを指定するには、AAA Client リストで次のいずれかの値を選択します。

NDG の名前

AAA クライアントの名前

すべての AAA クライアント


ヒント すでに設定してある NDG だけがリストに表示されます。

d. この NAR がフィルタリングする情報を指定するには、必要に応じて次のボックスに値を入力します。


ヒント ワイルドカードとしてアスタリスク(*)を入力すると、値に「all」を指定したことになります。

Port :フィルタリングするポートの番号を入力します。

CLI :フィルタリングする CLI 番号を入力します。また、このボックスを使用して、IP アドレスや MAC アドレスなどの CLI 以外の値に基づいたアクセス制限を行うことができます。詳細については、「ネットワーク アクセス制限について」を参照してください。

DNIS :フィルタリングするダイヤルイン番号を入力します。


) AAA Client リスト、Port ボックス、CLI ボックス、および DNIS ボックスに入力する文字の合計数は 1024 文字以内にする必要があります。Cisco Secure ACS は、NAR を追加するときに 1024 文字を超える文字を受け付けますが、その NAR は編集できず、Cisco Secure ACS はその NAR をユーザに正確に適用できません。


e. enter をクリックします。

NAR 行項目を示した情報がテーブルに表示されます。

f. 非 IP ベースの NAR 行項目をさらに入力するには、手順 c から手順 e を繰り返します。

ステップ 8 共有 NAR の定義の終了後、 Submit をクリックします。

Cisco Secure ACS は、名前付き共有 NAR を Network Access Restriction テーブルに保存するとともにリストに表示します。


 

共有ネットワーク アクセス制限の編集

共有ネットワーク アクセス制限を編集するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。

Shared Profile Components ページが表示されます。

ステップ 2 Network Access Restrictions をクリックします。

Network Access Restriction テーブルが表示されます。

ステップ 3 Name カラムで、編集する共有 NAR をクリックします。

Network Access Restriction ページに、選択した NAR に関する情報が表示されます。

ステップ 4 フィルタの名前または説明を編集するには、必要に応じて情報を入力および削除します。

ステップ 5 IP ベースのアクセス制限テーブルの行項目を編集するには、次の手順に従います。

a. 編集する行項目をダブルクリックします。

その行項目の情報がテーブルから削除され、テーブルの下にあるボックスに表示されます。

b. 必要に応じて情報を編集します。


) AAA Client リスト、Port ボックス、および Src IP Address ボックスに入力する文字の合計数は 1024 文字以内にする必要があります。Cisco Secure ACS は、NAR を追加するときに 1024 文字を超える文字を受け付けますが、その NAR は編集できず、Cisco Secure ACS は NAR をユーザに正確に適用できません。


c. enter をクリックします。

この行項目の編集された情報が、IP ベースのアクセス制限テーブルに書き込まれます。

ステップ 6 IP ベースのアクセス制限テーブルから行項目を削除するには、次の手順に従います。

a. 行項目を選択します。

b. テーブルの下の remove をクリックします。

IP ベースのアクセス制限テーブルから行項目が削除されます。

ステップ 7 CLI/DNIS アクセス制限テーブルの行項目を編集するには、次の手順に従います。

a. 編集する行項目をダブルクリックします。

その行項目の情報がテーブルから削除され、テーブルの下にあるボックスに表示されます。

b. 必要に応じて情報を編集します。


) AAA Client リスト、Port ボックス、CLI ボックス、および DNIS ボックスに入力する文字の合計数は 1024 文字以内にする必要があります。Cisco Secure ACS は、NAR を追加するときに 1024 文字を超える文字を受け付けますが、その NAR は編集できず、Cisco Secure ACS はその NAR をユーザに正確に適用できません。


c. enter をクリックします。

この行項目の編集された情報が CLI/DNIS アクセス制限テーブルに書き込まれます。

ステップ 8 CLI/DNIS アクセス制限テーブルから行項目を削除するには、次の手順に従います。

a. 行項目を選択します。

b. テーブルの下の remove をクリックします。

CLI/DNIS アクセス制限テーブルから行項目が削除されます。

ステップ 9 フィルタを構成する行項目の編集の終了後、 Submit をクリックします。

Cisco Secure ACS によって、新しい情報が設定されたフィルタが再登録され、そのフィルタがただちに有効になります。


 

共有ネットワーク アクセス制限の削除

共有ネットワーク アクセス制限を削除するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。

Shared Profile Components ページが表示されます。

ステップ 2 Network Access Restrictions をクリックします。

ステップ 3 削除する共有 NAR の名前をクリックします。

Network Access Restriction ページに、選択した NAR に関する情報が表示されます。

ステップ 4 ページ下部の Delete をクリックします。

共有 NAR が削除されることを警告するダイアログボックスが表示されます。

ステップ 5 共有 NAR の削除を確定するには、 OK をクリックします。

選択した共有 NAR が削除されます。


 

コマンド許可セット

この項では、コマンド許可セットとパターン マッチングについて説明し、その設定と管理の詳しい手順を示します。

この項では、次のトピックについて取り上げます。

「コマンド許可セットについて」

「コマンド許可セットの説明」

「コマンド許可セットの割り当て」

「大文字と小文字の区別およびコマンド許可」

「引数およびコマンド許可」

「パターン マッチングについて」

「コマンド許可セットの追加」

「コマンド許可セットの編集」

「コマンド許可セットの削除」

コマンド許可セットの説明

コマンド許可セットは、指定されたネットワーク デバイス上で発行される各コマンドの許可を制御する中心的なメカニズムです。これによって、許可制限の設定のスケーラビリティと管理性が大きく向上します。Cisco Secure ACS には、デフォルトのコマンド許可セットとして、シェル コマンド許可セットと PIX コマンド許可セットがあります。Management Center for Firewalls(Firewall MC)などの Cisco デバイス管理アプリケーションでは、Cisco Secure ACS に追加のコマンド許可セットのタイプをサポートするよう指示できます。

TACACS+ を使用しているネットワーク デバイスは、デバイスでホストされた管理用 Telnet セッションをきめ細かく制御するために、各コマンドラインを実行する前に、そのコマンドラインに対する許可を要求できます。また、所定のデバイス上で特定のユーザによる実行が許可または拒否される、一連のコマンドを定義することができます。Cisco Secure ACS では、この機能が次のように強化されています。

Reusable Named Command Authorization Sets :ユーザまたはユーザ グループを直接指定しなくても、名前付きのコマンド許可セットを作成できます。コマンド許可セットを複数定義して、各セットがそれぞれ別のアクセス プロファイルを識別するようにできます。たとえば、コマンド許可セット「Help desk」は、「show run」などの上位レベルのブラウジング コマンドへのアクセスを許可するが、設定コマンドはすべて拒否します。コマンド許可セット「All network engineers」には、企業のすべてのネットワーク技術者に許可するコマンドの限定リストを含めることができます。コマンド許可セット「Local network engineers」は、IP アドレスの設定を含めたすべてのコマンドを許可します。

Fine Configuration Granularity :名前付きコマンド許可セットと NDG との間のアソシエーションを作成できます。それによって、ユーザがアクセスするネットワーク デバイスに応じて、ユーザに異なるアクセス プロファイルを定義できます。1 つの名前付きコマンド許可セットを複数の NDG に関連付け、複数のユーザ グループに対して使用できます。Cisco Secure ACS によって、データ整合性が強化されます。名前付きコマンド許可セットは、CiscoSecure ユーザ データベースに保持されます。Cisco Secure ACS のバックアップ機能と復元機能を使用して、共有アクセス制限のバックアップと復元ができます。さらに、コマンド許可セットを複製して、他の設定データを持つセカンダリ Cisco Secure ACS を作成することもできます。

Cisco デバイス管理アプリケーションをサポートしているタイプのコマンド許可セットでも、コマンド許可セットを使用することで得られる利点は同じです。デバイス管理アプリケーションにある各種の特権を許可するには、そのデバイス管理アプリケーションのユーザが含まれた Cisco Secure ACS グループにコマンド許可セットを適用します。この Cisco Secure ACS グループは、デバイス管理アプリケーションにある各種のロールに対応できるので、必要に応じて、各グループに異なるコマンド許可セットを適用できます。

コマンド許可セットの割り当て

コマンド許可セットの割り当てについては、次の手順を参照してください。

Shell Command Authorization Sets :次のいずれかを参照してください。

「ユーザ グループのシェル コマンド許可セットの設定」

「ユーザのシェル コマンド許可セットの設定」

PIX Command Authorization Sets :次のいずれかを参照してください。

「ユーザ グループの PIX コマンド許可セットの設定」

「ユーザの PIX コマンド許可セットの設定」

Device Management Command Authorization Sets :次のいずれかを参照してください。

「ユーザ グループのデバイス管理コマンド許可の設定」

「ユーザのデバイス管理コマンド許可の設定」

大文字と小文字の区別およびコマンド許可

Cisco Secure ACS は、コマンド許可を実行するとき、大文字と小文字を区別してコマンドおよび引数を判断します。コマンド許可を正常に行うには、大文字と小文字が区別されたコマンドと引数で、コマンド許可セットを設定する必要があります。

さらに面倒な問題として、ユーザがコマンド発行時に入力するコマンドおよび引数と、コマンド許可セットを要求するデバイスが送信するコマンドおよび引数との間で、大文字と小文字の区別の仕方が異なる場合があります。

たとえば、ルータでホストされたセッション中に、ユーザが次のコマンドを入力するとします。

interface FASTETHERNET 0/1

ルータは、そのコマンドと引数を Cisco Secure ACS に次のように送信する場合があります。

interface FastEthernet 0 1

interface コマンドで、コマンド許可セットが「fastethernet」というスペルの FastEthernet 引数を明示的に許可した場合、Cisco Secure ACS はそのコマンド許可要求を受け付けません。コマンド許可ルールが引数「FastEthernet」を許可する場合には、そのコマンド許可要求を受け付けます。コマンド許可セットで使用されるコマンドと、デバイスが送信するコマンドとの間で、大文字と小文字の区別の仕方が一致している必要があります。それが一致していれば、ユーザがコマンドを入力するときの文字の区別の仕方との一致は問題になりません。

引数およびコマンド許可

Cisco Secure ACS が自動的に不一致の引数を許可するのを避けるために、ユーザが明示的に引数を許可または拒否する場合には、デバイスが Cisco Secure ACS にどのように引数を送信するかを十分に知っておく必要があります。コマンド許可を要求するデバイスは、ユーザがコマンドを発行するときに入力した引数とは異なる引数を送信する場合があります。

たとえば、ルータでホストされたセッション中に、ユーザが次のコマンドを入力したとします。

interface FastEthernet0/1

ルータは、そのコマンドと引数を Cisco Secure ACS に次のように送信する可能性があります。

01:44:53: tty2 AAA/AUTHOR/CMD(390074395): send AV cmd=interface
01:44:53: tty2 AAA/AUTHOR/CMD(390074395): send AV cmd-arg=FastEthernet
01:44:53: tty2 AAA/AUTHOR/CMD(390074395): send AV cmd-arg=0
01:44:53: tty2 AAA/AUTHOR/CMD(390074395): send AV cmd-arg=1
01:44:53: tty2 AAA/AUTHOR/CMD(390074395): send AV cmd-arg=<cr>

この例では、ルータは、ユーザがコマンドの後に複数の引数をスペースなしで一続きに入力したと判断しています。さらに、ユーザがコマンドの発行時に 0 と 1 を区切るために入力したスラッシュ文字を無視しています。

interface コマンドに対するコマンド許可ルールが「FastEthernet0/1」というスペルの FastEthernet 引数を明示的に許可する場合、Cisco Secure ACS は、そのコマンド許可要求を受け付けません。その引数は、ルータが Cisco Secure ACS に送信した引数と一致しないからです。コマンド許可ルールが引数「FastEthernet 0 1」を許可する場合には、そのコマンド許可要求を受け付けます。コマンド許可セットで指定された引数と、デバイスが送信する引数との間で、大文字と小文字の区別の仕方が一致している必要があります。それが一致していれば、ユーザがその引数を入力するときの文字の区別の仕方との一致は問題になりません。

パターン マッチングについて

Cisco Secure ACS は、permit/deny コマンドの引数にパターン マッチングを適用します。つまり、引数 permit wid は、文字列 wid を含む引数すべてと一致します。したがって、たとえば、 permit wid は、引数 wid だけではなく、引数 anywid widget も許可します。

パターン マッチングの範囲を制限するため、次の式を追加できます。

ドル記号($) :記号の前にある文字列が引数の末尾であることを示します。したがって、 permit wid$ wid anywid とは一致しますが、 widget とは一致しません。

キャレット(^) :記号の後にある文字列が引数の先頭であることを示します。したがって、 permit ^wid は、 wid widget とは一致しますが、 anywid とは一致しません。

これらの式を組み合せると、完全一致を指定できます。上記の例で、 permit ^wid$ を使用すると、 wid だけが許可され、 anywid widget は許可されません。

コマンド許可セットの追加

コマンド許可セットを追加するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。

Shared Profile Components ページに、利用可能なコマンド許可セットのタイプがリスト表示されます。これらのタイプには常に Shell Command Authorization Set が含まれていますが、それ以外にも、たとえば、Cisco デバイス管理アプリケーションをサポートするコマンド許可セットのタイプが含まれることもあります。

ステップ 2 必要に応じて、リスト表示されているコマンド許可セットのタイプのいずれかをクリックします。

選択した Command Authorization Sets テーブルが表示されます。

ステップ 3 Add をクリックします。

該当する Command Authorization Set ページが表示されます。このページの内容は、追加するコマンド許可セット タイプによって変わります。Name ボックスと Description ボックスの下に、追加のボックスや展開可能なチェックリスト ツリーが表示されます。展開可能なチェックリスト ツリーには、Cisco デバイス管理アプリケーションをサポートするデバイス コマンド セット タイプが表示されます。

ステップ 4 Name ボックスにコマンド許可セットの名前を入力します。


) セットの名前は 27 文字まで入力できます。名前には、「#」、「?」、「"」、「*」、「>」、「<」は使用できません。
また、先頭と末尾にスペースを付けることはできません。


ステップ 5 Description ボックスにコマンド許可セットの説明を入力します。

ステップ 6 Name ボックスと Description ボックスの下に展開可能なチェックリスト ツリーが表示されている場合は、チェックリスト ツリーを使用して、このコマンド許可セットで許可するアクションを指定します。これを行うには、次の手順に従います。

a. チェックリスト ノードを展開するには、ノードの左側にあるプラス(+)記号をクリックします。

b. アクションを使用可能にするには、そのアクションのチェックボックスをオンにします。たとえば、Device View アクションを使用可能にするには、Device チェックリスト ノードの下にある View チェックボックスをオンにします。


ヒント 展開可能なチェックボックス ノードをオンにすると、そのノードに含まれているチェックボックスがすべてオンになります。チェックリスト ツリーの最初のチェックボックスをオンにすると、そのチェックリスト ツリーに含まれているチェックボックスがすべてオンになります。

c. このコマンド許可セットの他のアクションを使用可能にするには、手順 a と手順 b を必要に応じて繰り返します。

ステップ 7 Name ボックスと Description ボックスの下にボックスが表示されている場合は、それらのボックスを使用して、このコマンド許可セットで許可または拒否するコマンドと引数を指定します。これを行うには、次の手順に従います。

a. 一致しないコマンドを Cisco Secure ACS が処理する方法を指定するには、必要に応じて、 Permit オプションまたは Deny オプションを選択します。


) デフォルト設定は Deny です。


b. Add Command ボタンのすぐ上にあるボックスに、セットに含めるコマンドを入力します。


注意 コマンドの文字列は完全な形で入力してください。省略形を使用すると、許可の制御が機能しないことがあります。


) ここには、コマンドと引数文字列のコマンド部分だけを入力します。引数を追加するのは、コマンドがリストに表示されてからです。たとえば、コマンドと引数文字列が「show run」の場合、コマンド show だけを入力します。


c. Add Command をクリックします。

入力したコマンドが、コマンド リスト ボックスに追加されます。

d. コマンドに引数を追加するには、コマンド リスト ボックスでそのコマンドを選択し、コマンドの右側のボックスに引数を入力します。


) 引数の正しいフォーマットは、<permit | deny> <argument> です。たとえば、コマンド show がすでにリストに表示されていれば、引数として permit run を入力します。



ヒント 引数と引数の間で Enter キーを押すと、1 つのコマンドに対して複数の引数をリストできます。

e. リストしていない引数がこのコマンドで有効になるようにするには、 Permit Unmatched Args チェックボックスをオンにします。

f. このコマンド許可セットに他のコマンドを追加するには、手順 a から手順 e を繰り返します。

ステップ 8 コマンド許可セットの作成の終了後、 Submit をクリックします。

新しいコマンド許可セットの名前と説明が、該当する Command Authorization Sets テーブルに表示されます。


 

コマンド許可セットの編集

コマンド許可セットを編集するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。

Shared Profile Components ページに、利用可能なコマンド許可セットのタイプがリスト表示されます。

ステップ 2 該当するコマンド許可セット タイプをクリックします。

選択した Command Authorization Sets テーブルが表示されます。

ステップ 3 Name カラムで、変更するセットの名前をクリックします。

選択したセットに関する情報が、該当する Command Authorization Set ページに表示されます。

ステップ 4 Name ボックスと Description ボックスの下に展開可能なチェックリスト ツリーが表示されている場合は、次のいずれかまたはすべての操作を実行できます。

チェックリスト ノードを展開するには、ノードの左側にあるプラス(+)記号をクリックします。展開したチェックリスト ノードを縮小するには、ノードの左側にあるマイナス(-)記号をクリックします。

アクションを使用可能にするには、そのアクションのチェックボックスをオンにします。たとえば、Device View アクションを使用可能にするには、Device チェックリスト ノードの下にある View チェックボックスをオンにします。


ヒント 展開可能なチェックボックス ノードをオンにすると、そのノードに含まれているチェックボックスがすべてオンになります。チェックリスト ツリーの最初のチェックボックスをオンにすると、そのチェックリスト ツリーに含まれているチェックボックスがすべてオンになります。

アクションを無効にするには、そのアクションのチェックボックスをオフにします。たとえば、Device View アクションを無効にするには、Device チェックリスト ノードの下にある View チェックボックスをオフにします。

ステップ 5 Name ボックスと Description ボックスの下に追加のボックスが表示されている場合は、次のいずれかまたはすべての操作を実行できます。

セットの名前または説明を変更するには、対応するボックスで編集します。

セットからコマンドを削除するには、Matched Commands リストでそのコマンドを選択し、次に Remove Command をクリックします。

コマンドの引数を編集するには、コマンド リスト ボックスでそのコマンドを選択し、コマンド リスト ボックスの右側のボックスで引数を変更します。

ステップ 6 セットの編集の終了後、 Submit をクリックします。


 

コマンド許可セットの削除

コマンド許可セットを削除するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。

Shared Profile Components ページに、利用可能なコマンド許可セットのタイプがリスト表示されます。

ステップ 2 該当するコマンド許可セット タイプをクリックします。

選択した Command Authorization Sets テーブルが表示されます。

ステップ 3 Name カラムで、削除するコマンド セットの名前をクリックします。

選択したセットに関する情報が、該当する Command Authorization Set ページに表示されます。

ステップ 4 Delete をクリックします。

コマンド許可セットが削除されることを警告するダイアログボックスが表示されます。

ステップ 5 そのコマンド許可セットの削除を確定するには、 OK をクリックします。

該当する Command Authorization Sets テーブルが表示されます。削除したコマンド許可セットが、リストに表示されなくなります。