Cisco Secure ACS Appliance ユーザガイド 3.2
ユーザ グループ管理
ユーザ グループ管理
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

ユーザ グループ管理

ユーザ グループ セットアップの特長と機能について

デフォルト グループ

グループ TACACS+ の設定

基本的なユーザ グループ設定

ユーザ グループの VoIP サポートの使用可能設定

ユーザ グループのデフォルト時間帯アクセスの設定

ユーザ グループのコールバック オプションの設定

ユーザ グループのネットワーク アクセス制限の設定

ユーザ グループの最大セッション数の設定

ユーザ グループの使用クォータの設定

固有のユーザ グループ設定

ユーザ グループのトークン カード設定値の設定

ユーザ グループのイネーブル特権オプションの設定

CiscoSecure User Database のパスワード エージングの使用可能設定

Windows データベース内のユーザのパスワード エージングの使用可能設定

ユーザ グループの IP アドレス割り当て方式の設定

グループへのダウンロード可能 IP ACL の割り当て

ユーザ グループの TACACS+ 設定の構成

ユーザ グループのシェル コマンド許可セットの設定

ユーザ グループの PIX コマンド許可セットの設定

ユーザ グループのデバイス管理コマンド許可の設定

ユーザ グループの IETF RADIUS 設定の構成

ユーザ グループの Cisco IOS/PIX RADIUS 設定の構成

ユーザ グループの Cisco Aironet RADIUS 設定の構成

ユーザ グループの Ascend RADIUS 設定の構成

ユーザ グループの Cisco VPN 3000 Concentrator RADIUS 設定の構成

ユーザ グループの Cisco VPN 5000 Concentrator RADIUS 設定の構成

ユーザ グループの Microsoft RADIUS 設定の構成

ユーザ グループの Nortel RADIUS 設定の構成

ユーザ グループの Juniper RADIUS 設定の構成

ユーザ グループの BBSM RADIUS 設定の構成

ユーザ グループのカスタム RADIUS VSA 設定の構成

グループ設定の管理

ユーザ グループ内のユーザの一覧表示

ユーザ グループの使用クォータ カウンタのリセット

ユーザ グループの名前変更

ユーザ グループ設定への変更の保存

ユーザ グループ管理

この章では、Cisco Secure ACS Appliance でユーザ グループを設定して管理し、権限を制御する方法について説明します。Cisco Secure ACS を使用すると、ネットワーク ユーザをグループ化し、より効率的に管理できます。Cisco Secure ACS では、1 人のユーザは 1 つのグループだけに所属できます。最大 500 のグループを設定し、さまざまなレベルで許可を適用できます。

また、Cisco Secure ACS では、外部データベース グループのマッピングもサポートされています。したがって、外部ユーザ データベースでユーザ グループが区別されている場合は、それらのグループを Cisco Secure ACS にマッピングできます。また、外部データベースでグループがサポートされていない場合でも、そのデータベースからすべてのユーザを Cisco Secure ACS のユーザ グループへマッピングできます。外部データベースのマッピングについては、「ユーザ グループのマッピングと仕様」を参照してください。

Group Setup を設定する前に、このセクションの機能を理解しておく必要があります。Cisco Secure ACS では、使用しているネットワーク デバイスとセキュリティ プロトコルの設定に応じて、Group Setup セクションのインターフェイスが動的に構築されます。つまり、Group Setup の表示は、Network Configuration セクションと Interface Configuration セクションの両方の設定によって影響を受けます。

この章では、次のトピックについて取り上げます。

「ユーザ グループ セットアップの特長と機能について」

「基本的なユーザ グループ設定」

「固有のユーザ グループ設定」

「グループ設定の管理」

ユーザ グループ セットアップの特長と機能について

ユーザ グループの設定と管理に関する操作は、Cisco Secure ACS の HTML インターフェイスの Group Setup セクションで集中的に行います。Network Device Group(NDG; ネットワーク デバイス グループ)については、「ネットワーク デバイス グループの設定」を参照してください。

この項では、次のトピックについて取り上げます。

「デフォルト グループ」

「グループ TACACS+ の設定」

デフォルト グループ

外部ユーザ データベースにグループ マッピングを設定しなかった場合、Cisco Secure ACS では、未知のユーザ ポリシーによって認証されたユーザは最初にログインしたときにデフォルト グループへ割り当てられます。初回のユーザにはデフォルト グループ用の特権と制限が適用されます。前のバージョンの Cisco Secure ACS からアップグレードした場合、データベース情報を保持していると、アップグレード前に設定した Cisco Secure ACS のグループ マッピングが保持されます。

グループ TACACS+ の設定

Cisco Secure ACS では、TACACS+ の全範囲にわたるグループ レベルでの設定が可能です。AAA クライアントが TACACS+ をセキュリティ制御プロトコルとして使用するように設定されている場合は、特定のグループに属する各ユーザの許可に、PPP IP、PPP LCP、ARAP、SLIP、およびシェル(exec)など、標準のサービス プロトコルが適用されるように設定できます。


) ユーザ レベルでも TACACS+ の設定を構成できます。ユーザ レベルの設定は、常にグループ レベルの設定よりも優先されます。


Cisco Secure ACS を使用すると、新しい TACACS+ サービスを入力し、設定することもできます。新しい TACACS+ サービスを設定してグループ セットアップのページに表示する方法については、「TACACS+ のプロトコル設定オプション」を参照してください。

Cisco Secure ACS を Cisco デバイス管理アプリケーションと相互動作するように設定してある場合は、そのデバイス管理アプリケーションをサポートするために、必要に応じて新しい TACACS+ サービスが自動的に表示されます。Cisco Secure ACS とデバイス管理アプリケーションの相互動作の詳細については、「Cisco デバイス管理アプリケーションのサポート」を参照してください。

Shell Command Authorization Set 機能を使用して、TACACS+ のグループ設定を構成できます。この機能を使用すると、シェル コマンドを次の方法で特定のユーザ グループに適用できます。

あらかじめ設定してあるシェル コマンド許可セットを、任意のネットワーク デバイスに割り当てます。

あらかじめ設定してあるシェル コマンド許可セットを、特定の NDG に割り当てます。

特定のシェル コマンドを定義し、グループ単位で許可または拒否します。

シェル コマンド許可セットの詳細については、「共有プロファイル コンポーネント」を参照してください。

基本的なユーザ グループ設定

この項では、新しいユーザ グループを設定するときに行う基本的な作業について説明します。

この項では、次のトピックについて取り上げます。

「ユーザ グループの VoIP サポートの使用可能設定」

「ユーザ グループのデフォルト時間帯アクセスの設定」

「ユーザ グループのコールバック オプションの設定」

「ユーザ グループのネットワーク アクセス制限の設定」

「ユーザ グループの最大セッション数の設定」

「ユーザ グループの使用クォータの設定」

ユーザ グループの VoIP サポートの使用可能設定


) この機能が表示されない場合は、Interface ConfigurationAdvanced Options の順にクリックしてから、Voice-over-IP (VoIP) Group Settings チェックボックスをオンにしてください。


VoIP のヌル パスワード機能のサポートを使用可能にするには、この手順に従います。この手順を使用すると、ユーザはユーザ ID(電話番号)だけで(セッションまたは通話呼の)認証を受けることができます。

VoIP をグループ レベルで使用可能にすると、そのグループに属するすべてのユーザは VoIP ユーザとなり、ユーザ ID は電話番号と同じように扱われます。VoIP ユーザは、パスワードを入力しなくても認証を受けることができます。


注意 VoIP を使用可能にすると、パスワード認証と、ほとんどの高度な設定(パスワード エージングやプロトコルのアトリビュートなど)が使用不可になります。

あるグループについて VoIP サポートを使用可能にするには、次の手順に従います。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストから、VoIP サポートを設定するグループを選択し、 Edit Settings をクリックします。

Group Settings ページの上部に、そのグループの名前が表示されます。

ステップ 3 Voice-over-IP Support テーブルで、 This is a Voice-over-IP (VoIP) group - and all users of this group are VoIP users というラベルが付いたチェックボックスをオンにします。

ステップ 4 指定したグループ設定を保存するには、 Submit をクリックします。
詳細については、「ユーザ グループ設定への変更の保存」を参照してください。

ステップ 5 引き続き他のグループ設定を指定するには、必要に応じて、この章の各手順に従います。


 

ユーザ グループのデフォルト時間帯アクセスの設定


) この機能が表示されない場合は、Interface ConfigurationAdvanced Options の順にクリックしてから、Default Time-of-Day / Day-of-Week Specification チェックボックスをオンにします。


特定のグループのユーザがアクセスを許可または拒否される時刻を定義するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストからグループを選択し、 Edit Settings をクリックします。

Group Settings ページの上部に、そのグループの名前が表示されます。

ステップ 3 Default Time-of-Day Access Settings テーブルで、 Set as default Access Times チェックボックスをオンにします。


) 時刻または曜日に基づいてアクセスを制限するには、Set as default Access Times チェックボックスをオンにする必要があります。


アクセスを許可される時刻が、曜日と時間のマトリックス上に緑色で強調表示されます。


) デフォルトでは、すべての時間帯がアクセス可能に設定されています。


ステップ 4 曜日と時間のマトリックス上で、そのグループのメンバーにアクセスを許可しない時刻をクリックします。


ヒント このグラフ上で時間帯をクリックすると、その時刻が選択解除され、もう一度クリックすると、再び選択されます。
Clear All をクリックすると、すべての時間をクリアでき、Set All をクリックすると、すべての時間を選択できます。

ステップ 5 指定したグループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定への変更の保存」を参照してください。

ステップ 6 引き続き他のグループ設定を指定するには、必要に応じて、この章の各手順に従います。


 

ユーザ グループのコールバック オプションの設定

コールバックは、アクセス サーバへ返されるコマンド文字列です。コールバック文字列を使用すると、モデムから特定の番号のユーザへ電話を掛けなおすことで、セキュリティを強化したり、通話料を逆に課金することができます。次の 3 つのオプションがあります。

No callback allowed :このグループのユーザについて、コールバックを使用不可にします。これがデフォルト設定です。

Dialup client specifies callback number :ダイヤルアップ クライアントがコールバック番号を指定できるようにします。ダイヤルアップ クライアントは RFC 1570 の PPP LCP Extensions をサポートしている必要があります。

Use Windows Database callback settings (where possible) :Microsoft Windows のコールバック設定を使用します。ユーザの Windows アカウントがリモート ドメインに存在する場合、そのユーザに対して Microsoft Windows のコールバック設定が機能するためには、Cisco Secure ACS が存在するドメインに、リモート ドメインとの双方向の信頼が必要です。

ユーザ グループにコールバック オプションを設定するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストからグループを選択し、 Edit Settings をクリックします。

Group Settings ページの上部に、そのグループの名前が表示されます。

ステップ 3 Callback テーブルの中で、次の 3 つのオプションのいずれかを選択します。

No callback allowed

Dialup client specifies callback number

Use Windows Database callback settings (where possible)

ステップ 4 指定したグループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定への変更の保存」を参照してください。

ステップ 5 引き続き他のグループ設定を指定するには、必要に応じて、この章の各手順に従います。


 

ユーザ グループのネットワーク アクセス制限の設定

Group Setup の Network Access Restrictions テーブルを使用すると、次の 3 つの方法で Network Access Restrictions(NAR; ネットワーク アクセス制限)を適用できます。

既存の共有 NAR を名前で適用する。

IP ベースのグループ アクセス制限を定義し、IP 接続が確立された時点で、指定した AAA クライアントへのアクセス、または、AAA クライアント上の指定したポートへのアクセスを許可または拒否する。

CLI/DNIS ベースのグループ NAR を定義し、使用された Calling Line ID(CLI発信番号識別)番号、Dialed Number Identification Service(DNIS; 着信番号識別サービス)番号、またはその両方へのアクセスを許可または拒否する。


) CLI/DNIS ベースのアクセス制限領域を使用して、その他の値を指定することもできます。詳細については、「ネットワーク アクセス制限について」を参照してください。


通常、(共有の)NAR は、複数のグループまたはユーザに制限を適用できるよう、Shared Components セクションの中から定義します。詳細については、「共有ネットワーク アクセス制限の追加」を参照してください。これらのオプションを Cisco Secure ACS の HTML インターフェイスに表示するには、Interface Configuration セクションの Advanced Options ページにある Group-Level Shared Network Access Restriction チェックボックスを使用可能にしておく必要があります。

ただし、Cisco Secure ACS では、Group Setup セクションの中から単一のグループに対して NAR を定義し、適用することもできます。単一グループの IP ベースのフィルタ オプションと単一グループの CLI/DNIS ベースのフィルタ オプションを Cisco Secure ACS の HTML インターフェイスに表示するには、Interface Configuration セクションの Advanced Options ページで Group-Level Network Access Restriction 設定を使用可能にしておく必要があります。


) 認証要求がプロキシから Cisco Secure ACS サーバへ転送されると、TACACS+ 要求についての NAR は、起点である AAA クライアントの IP アドレスでなく、転送を行う AAA サーバの IP アドレスに適用されます。


ユーザ グループに対して NAR を設定するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストからグループを選択し、 Edit Settings をクリックします。

Group Settings ページの上部に、そのグループの名前が表示されます。

ステップ 3 以前に設定した共有 NAR をこのグループに適用するには、次の手順に従います。


) 共有 NAR を適用するには、その NAR が、Shared Profile Components セクションの Network Access Restrictions ですでに設定されている必要があります。詳細については、「共有ネットワーク アクセス制限の追加」を参照してください。


a. Only Allow network access when チェックボックスをオンにします。

b. アクセスが許可されるグループのメンバーに 1 つまたはすべての共有 NAR を適用する必要があるかどうかを指定するには、次のいずれかのオプションを選択します。

All selected shared NARS result in permit

Any one selected shared NAR results in permit

c. Shared NAR リストから共有 NAR の名前を選択し、 --> (右矢印ボタン)を押してその名前を Selected Shared NAR リストへ移動します。


ヒント 適用するために選択した共有 NAR のサーバの詳細は、必要に応じて View IP NAR または View CLID/DNIS NAR をクリックすると表示できます。

ステップ 4 この特定のユーザ グループについて、IP アドレス、または IP アドレスとポートに基づいてこのグループへのアクセスを許可または拒否する NAR を定義し、適用するには、次の手順に従います。


ヒント ほとんどの場合、NAR は、複数のグループまたはユーザに制限を適用できるよう、Shared Components セクションの中から定義する必要があります。詳細については、「共有ネットワーク アクセス制限の追加」を参照してください。

a. Network Access Restrictions テーブルの Per Group Defined Network Access Restrictions セクションで、 Define IP-based access restrictions チェックボックスをオンにします。

b. 後続のリストで、許可される IP アドレスなのか拒否される IP アドレスなのかを指定するために、Table Defines リストから Permitted Calling/Point of Access Locations または Denied Calling/Point of Access Locations を選択します。

c. 次の各ボックスで情報を選択または入力します。

AAA Client :All AAA Clients を選択するか、アクセスを許可または拒否する NDG の名前または個別の AAA クライアントの名前を選択します。

Port :アクセスを許可または拒否するポート番号を入力します。ワイルドカードのアスタリスク(*)を使用すると、選択した AAA クライアント上のすべてのポートへのアクセスを許可または拒否できます。

Address :アクセス制限を行うときにフィルタリングする IP アドレス(単数または複数)を入力します。ワイルドカードのアスタリスク(*)を使用できます。


) AAA Client リスト、Port ボックス、および Src IP Address ボックスに入力する文字の合計数は 1024 文字以内にする必要があります。Cisco Secure ACS は、NAR を追加するときに 1024 文字を超える文字を受け付けますが、その NAR は編集できず、Cisco Secure ACS は NAR をユーザに正確に適用できません。


d. Enter をクリックします。

指定した AAA クライアント、ポート、およびアドレス情報が NAR Access Control リストに表示されます。

ステップ 5 このユーザ グループへのアクセスを、発信側の位置に基づいて、または確立された IP アドレス以外の値に基づいて許可または拒否するには、次の手順に従います。

a. Define CLI/DNIS-based access restrictions チェックボックスをオンにします。

b. 後続のリストで指定されるものが、許可される IP アドレスなのか拒否される IP アドレスなのかを指定するために、Table Defines リストから次のいずれかを選択します。

Permitted Calling/Point of Access Locations

Denied Calling/Point of Access Locations

c. AAA Client リストから、All AAA Clients を選択するか、アクセスを許可または拒否する NDG の名前または特定の AAA クライアントの名前を選択します。

d. 次のボックスに入力します。


) 各ボックスは、必ず入力する必要があります。値の全部または一部にワイルドカードのアスタリスク(*)を使用できます。使用するフォーマットは、AAA クライアントから受け取る文字列のフォーマットに一致する必要があります。このフォーマットは、RADIUS Accounting Log から判別できます。


PORT :アクセスを許可または拒否するポート番号を入力します。ワイルドカードのアスタリスク(*)を使用して、すべてのポートへのアクセスを許可または拒否できます。

CLI :アクセスを許可または拒否する CLI 番号を入力します。ワイルドカードのアスタリスク(*)を使用して、番号の一部または全部に基づいてアクセスを許可または拒否できます。


ヒント この選択項目は、Cisco Aironet クライアント MAC アドレスなど、その他の値に基づいてアクセスを制限する場合にも使用されます。詳細については、「ネットワーク アクセス制限について」を参照してください。

DNIS :ユーザのダイヤル先となる番号に基づいてアクセスを制限するための DNIS 番号を入力します。ワイルドカードのアスタリスク(*)を使用して、番号の一部または全部に基づいてアクセスを許可または拒否できます。


ヒント この選択項目は、Cisco Aironet AP MAC アドレスなど、その他の値に基づいてアクセスを制限する場合にも使用されます。詳細については、「ネットワーク アクセス制限について」を参照してください。


) AAA Client リスト、Port ボックス、CLI ボックス、および DNIS ボックスに入力する文字の合計数は 1024 文字以内にする必要があります。Cisco Secure ACS は、NAR を追加するときに 1024 文字を超える文字を受け付けますが、その NAR は編集できず、Cisco Secure ACS はその NAR をユーザに正確に適用できません。


e. Enter をクリックします。

指定した AAA クライアント、ポート、CLI、および DNIS を指定する情報がリストに表示されます。

ステップ 6 指定したグループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定への変更の保存」を参照してください。

ステップ 7 引き続き他のグループ設定を指定するには、必要に応じて、この章の各手順に従います。


 

ユーザ グループの最大セッション数の設定


) この機能が表示されない場合は、Interface ConfigurationAdvanced Options の順にクリックしてから、Max Sessions チェックボックスをオンにしてください。


グループ、グループ内の個々のユーザ、またはその両方が使用できるセッションの最大数を定義するには、この手順に従います。次の設定値があります。

Sessions available to group :グループ全体について、同時接続の最大数を設定します。

Sessions available to users of this group :このグループの個々のユーザについて、同時接続の最大合計数を設定します。


ヒント たとえば、Sessions available to group を 10、Sessions available to users of this group を 2 に設定したとします。各ユーザが最大 2 つの同時セッションを使用する場合、ログインできるのは最大 5 ユーザです。



) セッションとは、RADIUS または TACACS+ によってサポートされるあらゆるタイプの接続のことで、PPP、NAS プロンプト、Telnet、ARAP、IPX/SLIP などです。



) グループの Max Sessions のデフォルト設定値は、グループとグループ内のユーザのどちらについても Unlimited です。


ユーザ グループの最大セッション数を設定するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストからグループを選択し、 Edit Settings をクリックします。

Group Settings ページの上部に、そのグループの名前が表示されます。

ステップ 3 Max Sessions テーブルの Sessions available to group で、次のいずれかのオプションを選択します。

Unlimited :これを選択すると、このグループに無制限の同時セッション数が許可されます(このため、事実上 Max Sessions が使用不可になります)。

n :このグループに許可する最大同時セッション数を入力します。

ステップ 4 Max Sessions テーブルの下部にある Sessions available to users of this group で、次の 2 つのオプションのいずれかを選択します。

Unlimited :これを選択すると、このグループ内の個々のユーザに、無制限の同時セッション数が許可されます(このため、事実上 Max Sessions が使用不可になります)。

n :このグループ内の個々のユーザに許可する最大同時セッション数を入力します。


) User Setup での設定は、グループの設定よりも優先されます。詳細については、「ユーザの最大セッション数オプションの設定」を参照してください。


ステップ 5 指定したグループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定への変更の保存」を参照してください。

ステップ 6 引き続き他のグループ設定を指定するには、必要に応じて、この章の各手順に従います。


 

ユーザ グループの使用クォータの設定


) この機能が表示されない場合は、Interface ConfigurationAdvanced Options の順にクリックしてから、Usage Quotas チェックボックスをオンにしてください。


グループのメンバーの使用クォータを定義するには、この手順に従います。セッション クォータは、グループ全体でなく、グループの個々のユーザに影響を及ぼします。一定の期間についてクォータを設定するには、次の 2 つの方法があります。

セッションの合計継続時間による設定

セッションの合計数による設定

グループの Usage Quotas セクションで選択を行わなかった場合、そのグループに割り当てられているユーザに対して使用クォータが適用されません。ただし、個々のユーザに使用クォータを設定した場合を除きます。


) Group Settings ページの Usage Quotas セクションには、使用統計は表示されません。
使用統計は、個々のユーザについての設定ページにだけ表示されます。詳細については、「ユーザの使用クォータ オプションの設定」を参照してください。


自己のクォータを超えたユーザは、セッションを開始する際、Cisco Secure ACS によって拒否されます。セッション中にクォータを超えた場合、Cisco Secure ACS はセッションの継続を許可します。

Group Settings ページから、グループの全ユーザの使用クォータ カウンタをリセットできます。グループ全体について使用クォータ カウンタをリセットする方法の詳細については「ユーザ グループの使用クォータ カウンタのリセット」を参照してください。


ヒント 時間ベースのクォータをサポートするには、すべての AAA クライアント上でアカウンティング更新パケットを使用可能にすることを推奨します。アップデート パケットが使用可能でない場合、クォータはユーザがログオフしたときにアップデートされます。ユーザがネットワークへのアクセスに使用している AAA クライアントに障害が起きた場合、クォータはアップデートされません。ISDN のような複数セッションの場合、クォータはすべてのセッションが終了するまでアップデートされません。したがって、最初のチャネルでユーザのクォータが使い果たされた場合でも、2 番目のチャネルが許可されます。


ユーザ グループのユーザ使用クォータを設定するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストからグループを選択し、 Edit Settings をクリックします。

Group Settings ページの上部に、そのグループの名前が表示されます。

ステップ 3 セッションの継続時間に基づいて使用クォータを定義するには、次の手順に従います。

a. Usage Quotas テーブルで、 Limit each user of this group to x hours of online time per time unit チェックボックスをオンにします。

b. グループ メンバーに設定する制限時間数を to x hours ボックスに入力します。
分を示すには、小数値を使用します。たとえば、10.5 という値は 10 時間 30 分を表します。


x の時間数のボックスには、5 文字まで入力できます。


c. クォータが有効な期間を、次の中から選択します。

per Day :午前 12:01 から深夜 12 時まで。

per Week :日曜日の午前 12:01 から土曜日の深夜 12 時まで。

per Month :毎月 1 日の午前 12:01 から、末日の深夜 12 時まで。

Total :継続的にカウントされる時間数(制限なし)。

ステップ 4 セッション数に基づいてユーザ セッションのクォータを定義するには、次の手順に従います。

a. Usage Quotas テーブルで、 Limit each user of this group to x sessions チェックボックスをオンにします。

b. ユーザに設定するセッション数の限度を to x sessions ボックスに入力します。


x のセッション数のボックスには、5 文字まで入力できます。


c. セッション クォータが有効な期間を、次の中から選択します。

per Day :午前 12:01 から深夜 12 時まで。

per Week :日曜日の午前 12:01 から土曜日の深夜 12 時まで。

per Month :毎月 1 日の午前 12:01 から、末日の深夜 12 時まで。

Total :継続的にカウントされるセッション数(制限なし)。

ステップ 5 指定したグループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定への変更の保存」を参照してください。

ステップ 6 引き続き他のグループ設定を指定するには、必要に応じて、この章の各手順に従います。


 

固有のユーザ グループ設定

この項では、使用している特定のネットワーク セキュリティ設定だけに適用できる手順について詳しく説明します。たとえば、トークン サーバを設定しなかった場合、各グループにトークン カード設定値を設定する必要はありません。


) ベンダー固有の各種の RADIUS がネットワーク デバイスで使用されるように設定されている場合は、RADIUS(IETF)アトリビュートが使用可能です。なぜなら、これらのアトリビュートは基本アトリビュート セットであり、すべての RADIUS ベンダーが RADIUS IETF 仕様に従って使用されるからです。


これらの手順に対応する HTML インターフェイスの内容は動的であり、その表示内容は次の 2 つの要素に基づいています。

特定のプロトコル(RADIUS または TACACS+)をリストに表示するには、HTML インターフェイスの Network Configuration セクションの少なくとも 1 つの AAA クライアントのエントリでそのプロトコルが使用されている必要があります。詳細については、「AAA クライアントの設定」を参照してください。

特定のプロトコル アトリビュートをグループ プロファイル ページに表示するには、HTML インターフェイスの Interface Configuration セクションで、それらのアトリビュートの表示を有効にする必要があります。詳細については、「TACACS+ のプロトコル設定オプション」または 「RADIUS のプロトコル設定オプション」を参照してください。

この項では、次のトピックについて取り上げます。

「ユーザ グループのトークン カード設定値の設定」

「ユーザ グループのイネーブル特権オプションの設定」

「CiscoSecure User Database のパスワード エージングの使用可能設定」

「Windows データベース内のユーザのパスワード エージングの使用可能設定」

「ユーザ グループの IP アドレス割り当て方式の設定」

「グループへのダウンロード可能 IP ACL の割り当て」

「ユーザ グループの TACACS+ 設定の構成」

「ユーザ グループのシェル コマンド許可セットの設定」

「ユーザ グループの PIX コマンド許可セットの設定」

「ユーザ グループのデバイス管理コマンド許可の設定」

「ユーザ グループの IETF RADIUS 設定の構成」

「ユーザ グループの Cisco IOS/PIX RADIUS 設定の構成」

「ユーザ グループの Cisco Aironet RADIUS 設定の構成」

「ユーザ グループの Ascend RADIUS 設定の構成」

「ユーザ グループの Cisco VPN 3000 Concentrator RADIUS 設定の構成」

「ユーザ グループの Cisco VPN 5000 Concentrator RADIUS 設定の構成」

「ユーザ グループの Microsoft RADIUS 設定の構成」

「ユーザ グループの Nortel RADIUS 設定の構成」

「ユーザ グループの Juniper RADIUS 設定の構成」

「ユーザ グループの BBSM RADIUS 設定の構成」

「ユーザ グループのカスタム RADIUS VSA 設定の構成」

ユーザ グループのトークン カード設定値の設定


) このセクションが表示されない場合は、トークン サーバを設定してください。その後、External User DatabasesDatabase Configuration の順にクリックしてから、該当するトークン カード サーバを追加します。


トークン カードをキャッシュできるようにするには、この手順に従います。ユーザが One-Time Password(OTP)を再入力しなくても、2 番目の B チャネルを使用できるようになります。


注意 このオプションは、ISDN ターミナルアダプタのトークン キャッシングだけに使用できます。このオプションを実装する前に、トークン キャッシングと、ISDN の概念および原理を完全に理解しておく必要があります。トークン キャッシングを使用すると、チャネル接続ごとにトークンを提供しなくても、複数の B チャネルに接続できます。トークン カードの設定は、選択されたグループ内のすべてのユーザに適用されます。

トークン キャッシングには、次のオプションがあります。

Session :Session を選択すると、セッション全体についてトークンをキャッシュできます。キャッシュすると、2 番目の B チャネルのサービスを動的にオンまたはオフにできます。

Duration :Duration を選択し、トークンをキャッシュしておく(最初の認証時からの)期間を指定できます。この期間が満了すると、ユーザは 2 番目の B チャネルを開始できなくなります。

Session and Duration :Session と Duration の両方を選択し、セッションが Duration の値より長く実行された場合は、新しいトークンがないと 2 番目の B チャネルを開けなくなるようにすることができます。セッション全体についてトークンをキャッシュできるだけの十分な値を入力してください。セッションが Duration 値より長く実行された場合は、2 番目の B チャネルを開くのに新しいトークンが必要になります。

ユーザ グループに対してトークン カード設定値を設定するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストからグループを選択し、 Edit Settings をクリックします。

Group Settings ページの上部に、そのグループの名前が表示されます。

ステップ 3 ページの上部にある Jump To リストから Token Cards を選択します。

ステップ 4 Token Card Settings テーブルで、セッション全体についてトークンをキャッシュするには、 Session を選択します。

ステップ 5 やはり Token Card Settings テーブルで、特定の(最初の認証時から計測した)期間についてトークンをキャッシュするには、次の手順に従います。

a. Duration を選択します。

b. 継続時間をボックスに入力します。

c. 単位として、Seconds、Minutes、Hours のいずれかを選択します。

ステップ 6 指定したグループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定への変更の保存」を参照してください。

ステップ 7 引き続き他のグループ設定を指定するには、必要に応じて、この章の各手順に従います。


 

ユーザ グループのイネーブル特権オプションの設定


) このセクションが表示されない場合は、Interface Configuration をクリックしてから、TACACS+ (Cisco) をクリックします。ページの下部の Advanced Configuration Options テーブルで、Advanced TACACS+ features チェックボックスをオンにしてください。


グループ レベルの TACACS+ イネーブル パラメータを設定するには、この手順に従います。TACACS+ イネーブル オプションには、次の 3 つがあります。

No Enable Privilege :(デフォルト)このユーザ グループにイネーブル特権を許可しない場合は、このオプションを選択します。

Max Privilege for Any AAA Client :このユーザ グループが許可されているすべての AAA クライアントについて、このグループの最大特権レベルを選択するには、このオプションを選択します。

Define max Privilege on a per-network device group basis :NDG について最大特権レベルを定義するには、このオプションを選択します。このオプションを使用するには、デバイス グループとそれに対応する最大特権レベルのリストを作成します。特権レベルについては、AAA クライアントのマニュアルを参照してください。


) この方法でレベルを定義するには、Interface Configuration でこのオプションを設定しておく必要があります。まだ設定していない場合は、Interface ConfigurationAdvanced Settings の順にクリックしてから、Network Device Groups チェックボックスをオンにします。


NDG を使用している場合は、このオプションで NDG をイネーブル レベルのマッピング用に設定でき、グループ内のユーザごとに設定する必要がありません。

ユーザ グループにイネーブル特権オプションを設定するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストからグループを選択し、 Edit Settings をクリックします。

Group Settings ページの上部に、そのグループの名前が表示されます。

ステップ 3 ページの上部にある Jump To リストから Enable Options を選択します。

ステップ 4 次のいずれかの操作をします。

このユーザ グループにイネーブル特権を許可しない場合は、 No Enable Privilege オプションを選択します。

このユーザ グループが許可されているすべての ACS について、このグループの最大特権レベルを設定するには、 Max Privilege for Any Access Server オプションを選択します。その後、リストから最大特権レベルを選択します。

このユーザ グループに最大 NDG 特権レベルを定義するには、 Define max Privilege on a per-network device group basis オプションを選択します。その後、リストから NDG とそれに対応する特権レベルを選択します。最後に、 Add Association をクリックします。

結果: テーブルに NDG と最大特権レベルの関連付けが表示されます。

ステップ 5 指定したグループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定への変更の保存」を参照してください。

ステップ 6 引き続き他のグループ設定を指定するには、必要に応じて、この章の各手順に従います。


 

CiscoSecure User Database のパスワード エージングの使用可能設定

Cisco Secure ACS のパスワード エージング機能を使用すると、次の 1 つまたは複数の条件下で、ユーザにパスワードの変更を強制できます。

指定した日数が経過した後(日付によるエージング規則)。

指定したログイン回数が終了した後(使用回数によるエージング規則)。

新しいユーザが初めてログインしたとき(パスワード変更規則)。

Cisco Secure ACS でサポートされる各種のパスワード エージング

Cisco Secure ACS では、4 つのパスワード エージング メカニズムがサポートされています。

PEAP および EAP-FAST Windows パスワード エージング :ユーザは Windows ユーザ データベースに入っている必要があり、Windows XP など、EAP をサポートする Microsoft クライアントを使用している必要があります。このパスワード エージング メカニズムの要件と設定方法については、「Windows データベース内のユーザのパスワード エージングの使用可能設定」を参照してください。

RADIUS ベースの Windows パスワード エージング :ユーザは Windows ユーザ データベースに入っている必要があり、Windows の Dial-up Networking(DUN; ダイヤルアップ ネットワーク)クライアントを使用している必要があります。このパスワード エージング メカニズムの要件と設定方法については、「Windows データベース内のユーザのパスワード エージングの使用可能設定」 を参照してください。

デバイスでホストされたセッションのパスワード エージングユーザは CiscoSecure ユーザ データベースに入っている必要があり、AAA クライアントで TACACS+ が実行されており、接続に Telnet が使用されている必要があります。このエージングでは、ユーザがデバイスでホストされた Telnet セッションでパスワードを変更できるかどうかを制御できます。また、この機能によって変更されたパスワードを Cisco Secure ACS で伝搬できるかどうかも制御できます。詳細については、「ローカル パスワード管理」を参照してください。

遷移セッションのパスワード エージング :ユーザは CiscoSecure ユーザ データベースに入っている必要があります。また、ユーザは PPP ダイヤルアップ クライアントを使用している必要があります。さらに、エンドユーザ クライアントに CiscoSecure Authentication Agent(CAA)がインストールされている必要があります。


ヒント CAA ソフトウェアは、http://www.cisco.com で入手できます。


また、遷移セッション用のパスワード エージングを実行するには、AAA クライアントで RADIUS または TACACS+ を実行でき、AAA クライアントで Cisco IOS Release 11.2.7 以降が使用されており、AAA クライアントがウォッチドッグ アカウンティング パケット(aaa アカウンティング新情報アップデート)を発信側ステーションの IP アドレスと一緒に送信するように設定されている必要があります(ウォッチドッグ パケットは、セッションの中で定期的に送信される暫定的なパケットです。これらのパケットにより、セッションの終了マークである停止パケットが受信されなかった場合でも、セッションのおおよその長さがわかります)。

この機能によって変更されたパスワードを Cisco Secure ACS で伝搬するかどうかを制御できます。詳細については、「ローカル パスワード管理」を参照してください。

Cisco Secure ACS では、MS CHAP バージョン 1 および 2 で、RADIUS プロトコルを使用したパスワード エージングがサポートされます。Cisco Secure ACS では、RADIUS プロトコルを使用した Telnet 接続でのパスワード エージングはサポートされません。


注意 RADIUS 接続のユーザが、パスワード エージングの警告期間または猶予期間の最中かその後に AAA クライアントへの Telnet 接続を試みた場合、パスワード変更オプションは表示されず、そのユーザ アカウントは期限満了となります。

パスワード エージング機能の設定

この項では、デバイス ホステッド セッション用のパスワード エージングと遷移セッション用のパスワード エージングのメカニズムだけに絞って、詳しく説明します。Windows のパスワード エージング メカニズムについては、「Windows データベース内のユーザのパスワード エージングの使用可能設定」を参照してください。ローカル パスワードの検証オプションの設定方法については、「ローカル パスワード管理」を参照してください。

Cisco Secure ACS のパスワード エージング機能には、次のオプションがあります。

Apply age-by-date rules :このチェックボックスをオンにすると、Cisco Secure ACS は日付によってパスワード エージングを判別するように設定されます。日付によるエージング規則には、次の設定が含まれます。

Active period :ユーザがパスワードの変更を求められることなく、ログインを許可される日数です。たとえば 20 を入力すると、ユーザは 20 日間パスワードを使用でき、その間、パスワードの変更を求めるプロンプトは表示されません。デフォルトの Active period は 20 日です。

Warning period :ユーザがパスワードを変更するよう通知を受けるまでの日数です。それまでのパスワードを使用できますが、パスワードの変更が必要であることを示す警告とパスワードが期限満了となるまでの残り日数が Cisco Secure ACS に表示されます。たとえば、このボックスに 5 を入力し、Active period ボックスに 20 を入力した場合、ユーザは 21 ~ 25 日目に、パスワードを変更するよう通知を受けます。

Grace period :ユーザ猶予期間として与えられる日数です。猶予期間には、ユーザは一度だけパスワードを変更するためのログインが許可されます。それまでのパスワードは、Active period フィールドと Warning period フィールドで指定された日数が経過した後、最後に 1 回だけ使用できます。その場合、パスワードを変更しないとアカウントが使用不可になることを警告するダイアログボックスが表示され、ユーザはパスワードを変更できます。前に述べた例の場合、5 日の猶予期間を許可すると、Active period と Warning period の期間中にログインしなかったユーザでも、30 日目まで(30 日目を含む)パスワードの変更が許可されます。ただし、猶予期間が 5 日に設定されていても、パスワードが猶予期間内である場合、ユーザがパスワードの変更を試みることができるのは 1 回だけです。Cisco Secure ACS では、「最後のチャンス」の警告は 1 回しか表示されません。ユーザがパスワードを変更しなかった場合、そのときのログインは許可されますが、パスワードは期限満了となり、次回の認証は拒否されます。Failed-Attempts ログインにエントリが記録され、そのユーザは管理者に連絡してアカウントを回復する必要があります。


) パスワードはすべて、設定された時刻でなく、深夜 12 時に期限が満了します。


Apply age-by-uses rulesこのチェックボックスをオンにすると、Cisco Secure ACS はログイン回数によってパスワード エージングを判別するように設定されます。使用回数によるエージング規則には、次の設定が含まれます。

Issue warning after x loginsCisco Secure ACS でユーザにパスワードの変更を求めるプロンプトの表示を開始するまでのログイン回数です。たとえば、10 を入力した場合、ユーザはパスワード変更プロンプトなしに 10 回までログインを許可されます。11 回目のログインのときには、パスワードの変更を求めるプロンプトが表示されます。


ヒント ユーザがパスワードを変更しないで何度でもログインできるようにするには、-1 を入力します。


Require change after x logins :パスワードの変更が必要なことをユーザに通知するプロンプトを表示するまでのログイン回数です。前に述べた例の場合、この数値を 12 に設定すると、ユーザが 11 回目と 12 回目にログインを試みたときに、パスワードの変更を要求するプロンプトが表示されます。13 回目にログインを試みると、パスワードの変更が必要であることを告げるプロンプトが表示されます。 このときにパスワードを変更しないと、そのユーザのアカウントは期限満了となり、ログインできません。この数値は、 Issue warning after x login の数値よりも大きくする必要があります。


ヒント ユーザがパスワードを変更しないで何度でもログインできるようにするには、-1 を入力します。


Apply password change rule :このチェックボックスをオンにすると、新しいユーザは初回ログイン時にパスワードの変更を強制されます。

Generate greetings for successful logins :このチェックボックスをオンにすると、ユーザが CAA クライアントを介してログインに成功すると必ずグリーティング メッセージが表示されます。メッセージには、そのユーザ アカウントに固有の最新のパスワード情報が含まれています。

パスワード エージング規則は相互に排他的ではなく、チェックボックスをオンするごとに規則が適用されます。たとえば、20 日ごと、しかも 10 回のログインごとにユーザにパスワードの変更を強制し、それぞれの警告と猶予期間を与えることもできます。

オプションを何も選択しなければ、パスワードは無期限に有効です。

他のほとんどのパラメータには、ユーザ レベルでも対応する設定が存在しますが、パスワード エージング パラメータはグループ単位でだけ設定されます。

パスワードを変更しなかったために認証を受けられず、猶予期間を過ぎたユーザは、Failed Attempts ログに記録されます。アカウントは期限満了となり、Accounts Disabled リストに入ります。

始める前に

使用している AAA クライアント上で TACACS+ または RADIUS プロトコルが稼動していることを確認します(TACACS+ では、デバイスでホストされたセッションについてだけ、パスワード エージングがサポートされます)。

認証 および アカウンティングが同じプロトコル(TACACS+ または RADIUS)を使用して行われるよう、AAA クライアントを設定します。

パスワード検証オプションを設定してあることを確認してください。詳細については、「ローカル パスワード管理」を参照してください。

AAA クライアントで、Cisco IOS Release 11.2.7 以降が使用され、ウォッチドッグ アカウンティング パケット(aaa アカウンティング新情報アップデート)が発信側ステーションの IP アドレスと一緒に送信されるようにセットアップします。

ユーザ グループに対してパスワード エージング規則を設定するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストからグループを選択し、 Edit Settings をクリックします。

Group Settings ページの上部に、そのグループの名前が表示されます。

ステップ 3 ページの上部にある Jump To リストから Password Aging を選択します。

Password Aging Rules テーブルが表示されます。

ステップ 4 日付によるパスワード エージングを設定するには、 Apply age-by-date rules チェックボックスをオンにし、必要に応じて次の各オプションに日数を入力します。

Active period

Warning period

Grace period


) 各フィールドには、最大 5 文字まで入力できます。


ステップ 5 使用回数によるパスワード エージングを設定するには、 Apply age-by-uses rules チェックボックスをオンにし、必要に応じて次の各オプションにログイン回数を入力します。

Issue warning after x logins

Require change after x logins


) 各フィールドには、最大 5 文字まで入力できます。


ステップ 6 管理者がパスワードを変更した後、ユーザの最初のログイン時にパスワードの変更を強制するには、 Apply password change rule チェックボックスをオンにします。

ステップ 7 グリーティング メッセージが表示されるようにするには、 Generate greetings for successful logins チェックボックスをオンにします。

ステップ 8 指定したグループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定への変更の保存」を参照してください。

ステップ 9 引き続き他のグループ設定を指定するには、必要に応じて、この章の各手順に従います。


 

Windows データベース内のユーザのパスワード エージングの使用可能設定

Cisco Secure ACS では、Windows データベース内のユーザについて、2 つのタイプのパスワード エージングがサポートされています。どちらのタイプの Windows パスワード エージング メカニズムも、他の Cisco Secure ACS パスワード エージング メカニズムとは切り離されており、異なっています。CiscoSecure ユーザ データベース内のユーザを制御するパスワード エージング メカニズムの要件と設定については、「CiscoSecure User Database のパスワード エージングの使用可能設定」を参照してください。


) Windows パスワード エージング メカニズムと Cisco Secure ACS の遷移セッション用パスワード エージング メカニズムの両方を同時に実行することもできますが、その場合は、ユーザが 2 つの異なるデータベースから認証を受けている必要があります。


Windows データベースにおける 2 つのタイプのパスワード エージングは、次のとおりです。

RADIUS ベースのパスワード エージング :RADIUS ベースのパスワード エージングでは、RADIUS AAA プロトコルに従ってパスワード変更メッセージの送受信が行われます。RADIUS ベースのパスワード エージング メカニズムを実装するための要件は、次のとおりです。

Cisco Secure ACS と AAA クライアントの間の通信に RADIUS を使用する必要があります。

AAA クライアントは、MS CHAP 認証に加えて、MS CHAP パスワード エージングもサポートしている必要があります。

ユーザは Windows ユーザ データベースに入っている必要があります。

ユーザは Windows DUN クライアントを使用している必要があります。

External User Databases セクション内の Windows 設定で、MS CHAP バージョン 1、MS CHAP バージョン 2、またはその両方を使用可能にする必要があります。


ヒント MS CHAP をパスワード変更用に使用可能にする方法については、「Windows 認証の設定」を参照してください。System Configuration で MS CHAP を使用可能にする方法については、「グローバル認証のセットアップ」を参照してください。


PEAP パスワード エージング :PEAP パスワード エージングでは、PEAP(EAP-GTC)または PEAP(EAP-MSCHAPv2)認証プロトコルに従ってパスワード変更メッセージの送受信が行われます。PEAP Windows パスワード エージング メカニズムを実装するための要件は、次のとおりです。

AAA クライアントが EAP をサポートしている必要があります。

ユーザは Windows ユーザ データベースに入っている必要があります。

ユーザは Microsoft PEAP クライアント、たとえば Windows XP などを使用している必要があります。

System Configuration セクション内の Global Authentication Configuration ページで PEAP を使用可能にする必要があります。


ヒント System Configuration で PEAP を使用可能にする方法については、「グローバル認証のセットアップ」を参照してください。


External User Databases セクション内の Windows Authentication Configuration ページで PEAP パスワード変更を使用可能にする必要があります。


ヒント PEAP パスワード変更を使用可能にする方法については、「Windows 認証の設定」を参照してください。


Windows アカウントが「リモート」ドメイン内に存在する(つまり Cisco Secure ACS が実行されているドメイン内に存在しない)ユーザは、ドメイン名を提供した場合にだけ、Windows ベースのパスワード エージングを使用できます。

Windows パスワード エージングの方式と機能は、使用されている Microsoft Windows オペレーティング システムによって異なり、Active Directory(AD)と Security Accounts Manager(SAM)のどちらを採用しているかによっても異なります。Windows ユーザ データベース内のユーザにパスワード エージングを設定することは、Windows でセキュリティ ポリシーを設定するという、より大きな作業の一部にすぎません。Windows での手順の総合的な説明については、使用している Windows システムのマニュアルを参照してください。

ユーザ グループの IP アドレス割り当て方式の設定

Cisco Secure ACS で、グループ内のユーザに IP アドレスを割り当てる方法を設定するには、この手順に従います。次の 4 つの方式を使用できます。

No IP address assignment :このグループに IP アドレスを割り当てません。

Assigned by dialup client :TCP/IP 用のダイヤルアップ クライアントのネットワーク設定で構成された IP アドレスを使用します。

Assigned from AAA Client pool :AAA クライアント上で割り当てられた IP アドレス プールによって IP アドレスが割り当てられます。

Assigned from AAA server pool :AAA サーバ上で割り当てられた IP アドレス プールによって IP アドレスが割り当てられます。

ユーザ グループに IP アドレス割り当て方式を設定するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストからグループを選択し、 Edit Settings をクリックします。

Group Settings ページの上部に、そのグループの名前が表示されます。

ステップ 3 ページの上部にある Jump To リストから IP Address Assignment を選択します。

ステップ 4 IP Assignment テーブルで、次のいずれかの操作をします。

No IP address assignment を選択します。

Assigned by dialup client を選択します。

Assigned from AAA Client pool を選択します。その後、AAA クライアント IP プール名を入力します。

Assigned from AAA pool を選択します。その後、Available Pools リスト内の AAA サーバ IP プール名を入力して --> (右矢印ボタン)をクリックし、その名前を Selected Pools リストへ移動します。


) Selected Pools リストに複数のプールがある場合は、このグループのユーザはリストされている順番で、最初の利用可能なプールに割り当てられます。



ヒント リスト内のプールの位置を変更するには、プール名を選択し、そのプールが求める位置に収まるまで、繰り返し Up または Down をクリックします。

ステップ 5 指定したグループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定への変更の保存」を参照してください。

ステップ 6 引き続き他のグループ設定を指定するには、必要に応じて、この章の各手順に従います。


 

グループへのダウンロード可能 IP ACL の割り当て

ダウンロード可能な ACL 機能を使用すると、グループ レベルで IP ACL を割り当てることができます。


) 割り当てる前に、1 つ以上の IP ACL を設定しておく必要があります。Cisco Secure ACS の HTML インターフェイスの Shared Profile Components セクションを使用してダウンロード可能な IP ACL を追加する方法については、「ダウンロード可能な IP ACL の追加」を参照してください。



ヒント Downloadable ACLs テーブルは、使用可能にされていないと表示されません。
Downloadable ACLs テーブルを使用可能にするには、Interface ConfigurationAdvanced Options の順にクリックしてから、Group-Level Downloadable ACLs チェックボックスをオンにします。


グループにダウンロード可能な IP ACL を割り当てるには、次の手順に従います。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストからグループを選択し、 Edit Settings をクリックします。

Group Settings ページの上部に、そのグループの名前が表示されます。

ステップ 3 ページの上部にある Jump To リストから Downloadable ACLs を選択します。

ステップ 4 Downloadable ACLs セクションで、 Assign IP ACL チェックボックスをオンにします。

ステップ 5 リストから IP ACL を選択します。

ステップ 6 指定したグループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定への変更の保存」を参照してください。

ステップ 7 引き続き他のグループ設定を指定するには、必要に応じて、この章の各手順に従います。


 

ユーザ グループの TACACS+ 設定の構成

グループの各ユーザの許可に適用するサービス/プロトコル パラメータを設定して使用可能にするには、この手順に従います。Shell Command Authorization Set の設定を構成する方法については、「ユーザ グループのシェル コマンド許可セットの設定」を参照してください。


) 追加のサービスまたはプロトコルを表示するか非表示にするには、Interface ConfigurationTACACS+ (Cisco IOS) の順にクリックしてから、グループ カラム内の項目を必要に応じて選択するかクリアします。


ユーザ グループの TACACS+ 設定を構成するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストからグループを選択し、 Edit Settings をクリックします。

Group Settings ページの上部に、そのグループの名前が表示されます。

ステップ 3 ページの上部にある Jump To リストから TACACS+ を選択します。

TACACS+ Settings テーブル セクションが表示されます。

ステップ 4 グループに許可するサービスとプロトコルを TACACS+ Settings テーブルで設定するには、次の手順に従います。

a. 1 つまたは複数のサービスとプロトコルのチェックボックス(PPP IP または ARAP など)をオンにします。

b. 手順 a で選択した各サービスまたはプロトコルの下で、アトリビュートを選択して適当な値を入力し、そのサービスまたはプロトコルについての許可を詳しく定義します。

特定のサービスにカスタム アトリビュートを使用するには、そのサービスの下で Custom attributes チェックボックスをオンにして、チェックボックスの下にあるボックスでアトリビュートと値を指定する必要があります。

アトリビュートの詳細については、 付録B「TACACS+ のアトリビュートと値のペア」 または使用している AAA クライアントのマニュアルを参照してください。


ヒント ACL と IP アドレス プールの場合は、AAA クライアント上で定義されている ACL またはプールの名前を入力する必要があります(ACL は、ネットワーク上にある他のデバイスやユーザとの間のアクセスを制限するための Cisco IOS コマンドのリストです)。


) デフォルト(AAA クライアント上で定義されたもの)を使用する場合は、アトリビュート値のボックスをブランクのままにします。



) ACL は定義とダウンロードが可能です。Interface ConfigurationTACACS+ (Cisco IOS) の順にクリックしてから、Display a window for each service selected in which you can enter customized TACACS+ attributes を選択します。各サービスまたはプロトコルの下にボックスが表示され、その中で ACL を定義できます。


ステップ 5 リストに示して使用不可にしたもの以外、すべてのサービスを許可する場合は、Checking this option will PERMIT all UNKNOWN Services テーブルの下の Default (Undefined) Services チェックボックスをオンにします。


注意 これは高度な機能であり、セキュリティの意味を理解している管理者だけが使用してください。

ステップ 6 指定したグループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定への変更の保存」を参照してください。

ステップ 7 引き続き他のグループ設定を指定するには、必要に応じて、この章の各手順に従います。


 

ユーザ グループのシェル コマンド許可セットの設定

グループ用のシェル コマンド許可セット パラメータを指定するには、この手順を使用します。次の 4 つのオプションがあります。

None :シェル コマンドは許可されません。

Assign a Shell Command Authorization Set for any network device :1 つのシェル コマンド許可セットが割り当てられ、それがすべてのネットワーク デバイスに適用されます。

Assign a Shell Command Authorization Set on a per Network Device Group Basis :特定のシェル コマンド許可セットが特定の NDG に対して有効となるよう、関連付けることができます。

Per Group Command Authorization :特定の Cisco IOS コマンドと引数をグループ レベルで許可または拒否できます。


) この機能を使用するには、事前にシェル コマンド許可セットを設定しておく必要があります。詳しい手順については、「コマンド許可セットの追加」を参照してください。


ユーザ グループにシェル コマンド許可セット パラメータを指定するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストからグループを選択し、 Edit Settings をクリックします。

Group Settings ページの上部に、そのグループの名前が表示されます。

ステップ 3 ページの上部にある Jump To リストから TACACS+ を選択します。

TACACS+ Settings テーブル セクションが表示されます。

ステップ 4 垂直スクロールバーを使用して Shell Command Authorization Set 機能の領域までスクロールします。

ステップ 5 シェル コマンド許可セットが一切適用されないようにするには、 None オプションを選択します(またはデフォルトのままにします)。

ステップ 6 特定のシェル コマンド許可セットを、すべての設定済みネットワーク デバイス上で有効にするには、次の手順に従います。

a. Assign a Shell Command Authorization Set for any network device オプションを選択します。

b. 次に、そのオプションのすぐ下にあるリストから、そのグループに適用するシェル コマンド許可セットを選択します。

ステップ 7 特定のシェル コマンド許可セットが特定の NDG 上で有効になるように割り当てる関連付けを作成するには、関連付けごとに、次の手順に従います。

a. Assign a Shell Command Authorization Set on a per Network Device Group Basis オプションを選択します。

b. Device Group と、それに対応する Command Set を選択します。


ヒント 他に割り当てを受けていないすべての Device Groups に有効となる Command Set を選択することもできます。そのためには、そのセットを <default> Device Group に割り当てます。

c. Add Association をクリックします。

関連付けられた NDG とシェル コマンド許可セットがテーブルに表示されます。

ステップ 8 グループ レベルで許可または拒否される特定の Cisco IOS コマンドと引数を定義するには、次の手順に従います。

a. Per Group Command Authorization オプションを選択します。

b. Unmatched Cisco IOS commands の下で、 Permit または Deny のどちらかを選択します。

Permit を選択すると、ユーザは特にリストに示されていないすべてのコマンドを発行できます。Deny を選択すると、ユーザはリストに示されているコマンドだけを発行できます。

c. 許可または拒否される特定のコマンドのリストを作成するには、 Command チェックボックスをオンにしてからコマンドの名前を入力し、標準の permit または deny 構文を使用して引数を定義し、リストに示されなかった引数が許可されるのか拒否されるのかを選択します。


注意 これは強力で高度な機能であり、Cisco IOS コマンドに精通した管理者が使用する必要があります。その管理者は、正しい構文を使用する責任があります。Cisco Secure ACS で使用されるコマンド引数のパターン マッチングの方法については、「パターン マッチングについて」を参照してください。


ヒント 複数のコマンドを入力するには、コマンドを 1 つ入力するたびに
Submit
をクリックする必要があります。入力が完了したボックスの下に、新しいコマンド入力ボックスが表示されます。


 

ユーザ グループの PIX コマンド許可セットの設定

ユーザ グループ用の PIX コマンド許可セット パラメータを指定するには、この手順を使用します。次の 3 つのオプションがあります。

None :PIX コマンドは許可されません。

Assign a PIX Command Authorization Set for any network device :1 つの PIX コマンド許可セットが割り当てられ、それがすべてのネットワーク デバイスに適用されます。

Assign a PIX Command Authorization Set on a per Network Device Group Basis :特定の PIX コマンド許可セットが特定の NDG に対して有効になります。

始める前に

AAA クライアントが TACACS+ をセキュリティ制御プロトコルとして使用するように設定されていることを確認します。

Interface Configuration セクションの TACACS+ (Cisco) ページで、Group カラムに PIX Shell (pixShell) オプションが選択されていることを確認します。

すでに 1 つまたは複数の PIX コマンド許可セットが設定されていることを確認します。詳しい手順については、「コマンド許可セットの追加」を参照してください。

ユーザ グループの PIX コマンド許可セット パラメータを指定するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストからグループを選択し、 Edit Settings をクリックします。

Group Settings ページの上部に、そのグループの名前が表示されます。

ステップ 3 ページの上部にある Jump To リストから TACACS+ を選択します。

TACACS+ Settings テーブル セクションが表示されます。

ステップ 4 TACACS+ Settings テーブルの PIX Command Authorization Set 機能領域までスクロールします。

ステップ 5 PIX コマンド許可セットが一切適用されないようにするには、 None オプションを選択します(デフォルトのままにします)。

ステップ 6 特定の PIX コマンド許可セットを、すべての設定済みネットワーク デバイス上で有効にするには、次の手順に従います。

a. Assign a PIX Command Authorization Set for any network device オプションを選択します。

b. そのオプションのすぐ下にあるリストから、そのユーザ グループに適用する PIX コマンド許可セットを選択します。

ステップ 7 特定の PIX コマンド許可セットが特定の NDG 上で有効になるように割り当てる関連付けを作成するには、関連付けごとに、次の手順に従います。

a. Assign a PIX Command Authorization Set on a per Network Device Group Basis オプションを選択します。

b. Device Group と、それに対応する Command Set を選択します。

c. Add Association をクリックします。

関連付けられた NDG と PIX コマンド許可セットがテーブルに表示されます。


) 既存の PIX コマンド許可セットの関連付けを削除または編集するには、リストからその関連付けを選択し、Remove Association をクリックします。



 

ユーザ グループのデバイス管理コマンド許可の設定

グループ用のデバイス管理コマンド許可セット パラメータを指定するには、この手順を使用します。デバイス管理コマンド許可セットは、許可に Cisco Secure ACS を使用するように設定された Cisco デバイス管理アプリケーションでのタスクの許可をサポートします。次の 3 つのオプションがあります。

None :該当する Cisco デバイス管理アプリケーションで発行されるコマンドについて、許可が行われません。

Assign a device-management application for any network device:該当するデバイス管理アプリケーション用に 1 つのコマンド許可セットが割り当てられ、その許可セットがすべてのネットワーク デバイス上でのタスク管理に適用されます。

Assign a device-management application on a per Network Device Group Basis:このオプションを使用すると、該当するデバイス管理アプリケーションについて、特定の NDG にコマンド許可セットを適用できます。適用することで、その NDG に属するネットワーク デバイス上でのすべての管理タスクが、その許可セットの影響を受けます。


) この機能を使用するには、該当する Cisco デバイス管理アプリケーション用にコマンド許可セットを設定しておく必要があります。詳しい手順については、「コマンド許可セットの追加」を参照してください。


ユーザ グループに対してデバイス管理アプリケーション コマンド許可を指定するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストからグループを選択し、 Edit Settings をクリックします。

Group Settings ページの上部に、そのグループの名前が表示されます。

ステップ 3 ページの上部にある Jump To リストから TACACS+ を選択します。

TACACS+ Settings テーブル セクションが表示されます。

ステップ 4 垂直スクロールバーを使用して device-management application 機能領域までスクロールします。ただし、 device-management application は、該当する Cisco デバイス管理アプリケーションの名前です。

ステップ 5 該当するデバイス管理アプリケーションに対してコマンド許可セットが一切適用されないようにするには、 None オプションを選択します。

ステップ 6 すべてのネットワーク デバイス上で、デバイス管理アプリケーションのアクションに影響を及ぼす特定のコマンド許可セットを割り当てるには、次の手順に従います。

a. Assign a device-management application for any network device オプションを選択します。

b. 次に、そのオプションのすぐ下にあるリストから、そのグループに適用するコマンド許可セットを選択します。

ステップ 7 特定の NDG 上でデバイス管理アプリケーションのアクションに影響を及ぼす特定のコマンド許可セットが割り当てられるよう関連付けを作成するには、関連付けごとに、次の手順に従います。

a. Assign a device-management application on a per Network Device Group Basis オプションを選択します。

b. Device Group と、それに対応する device-management application を選択します。

c. Add Association をクリックします。

関連付けられた NDG とコマンド許可セットがテーブルに表示されます。


 

ユーザ グループの IETF RADIUS 設定の構成

これらのパラメータは、次の 2 つの条件が満たされた場合にだけ表示されます。

Network Configuration で、いずれかの AAA クライアントが RADIUS プロトコルの 1 つを使用するように設定されている。

HTML インターフェイスの Interface Configuration セクションにある RADIUS (IETF) ページで、グループ レベルの RADIUS アトリビュートが使用可能になっている。

RADIUS アトリビュートは、個々のユーザのプロファイルとして、Cisco Secure ACS から要求側の AAA クライアントへ送信されます。これらのアトリビュートを表示するか非表示にする方法については、「RADIUS のプロトコル設定オプション」を参照してください。 RADIUS アトリビュートのリストと説明については、 付録C「RADIUS アトリビュート」 を参照してください。AAA クライアントで RADIUS がどのように使用されるかの詳細については、AAA クライアントのベンダーのマニュアルを参照してください。

現行グループ内の各ユーザに許可として適用する IETF RADIUS アトリビュート設定を構成するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストからグループを選択し、 Edit Settings をクリックします。

Group Settings ページの上部に、そのグループの名前が表示されます。

ステップ 3 ページの上部にある Jump To リストから RADIUS (IETF) を選択します。

ステップ 4 現行グループ用に許可する必要がある IETF RADIUS アトリビュートごとに、アトリビュートの隣にあるチェックボックスをオンにして、そのフィールド内またはそれに続く各フィールドでアトリビュートについての許可を定義します。

ステップ 5 指定したグループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定への変更の保存」を参照してください。

ステップ 6 Cisco Secure ACS でサポートされている RADIUS ネットワーク デバイス ベンダーの VSA を設定するには、次の各セクションを参照してください。

「ユーザ グループの Cisco IOS/PIX RADIUS 設定の構成」

「ユーザ グループの Cisco Aironet RADIUS 設定の構成」

「ユーザ グループの Ascend RADIUS 設定の構成」

「ユーザ グループの Cisco VPN 3000 Concentrator RADIUS 設定の構成」

「ユーザ グループの Cisco VPN 5000 Concentrator RADIUS 設定の構成」

「ユーザ グループの Microsoft RADIUS 設定の構成」

「ユーザ グループの Nortel RADIUS 設定の構成」

「ユーザ グループの Juniper RADIUS 設定の構成」

「ユーザ グループの BBSM RADIUS 設定の構成」

ステップ 7 引き続き他のグループ設定を指定するには、必要に応じて、この章の各手順に従います。


 

ユーザ グループの Cisco IOS/PIX RADIUS 設定の構成

Cisco IOS/PIX RADIUS パラメータは、次の両方の条件が満たされた場合にだけ表示されます。

Network Configuration で、いずれかの AAA クライアントが RADIUS(Cisco IOS/PIX)を使用するように設定されている。

Interface Configuration: RADIUS (Cisco IOS/PIX) でグループ レベルの RADIUS(Cisco IOS/PIX)アトリビュートが使用可能になっている。

Cisco IOS/PIX RADIUS は、Cisco VSA だけを表しています。IETF RADIUS と Cisco IOS/PIX RADIUS の両方のアトリビュートを設定する必要があります。


) Cisco IOS/PIX RADIUS アトリビュートを表示または非表示にするには、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のグループへの許可として適用されている VSA は、それに関連した AAA クライアントが削除されるか置き換えられても残ります。ただし、この(ベンダー)タイプの AAA クライアントが 1 つも設定されていないと、グループ設定インターフェイスに VSA 設定が表示されません。


現行グループ内の各ユーザに許可の 1 つとして適用する Cisco IOS/PIX RADIUS アトリビュートを設定し、使用可能にするには、次の手順に従います。


ステップ 1 Cisco IOS/PIX RADIUS アトリビュートを設定する前に、必ず IETF RADIUS アトリビュートを正しく設定しておきます。IETF RADIUS アトリビュートの設定方法の詳細については、「ユーザ グループの IETF RADIUS 設定の構成」を参照してください。

ステップ 2 Cisco アトリビュートについて、グループに対して許可されるアトリビュートを決定するには、アトリビュートの隣にあるチェックボックスをオンにして、RADIUS VSA としてパックするコマンド(TACACS+ コマンドなど)を入力します。

ステップ 3 指定したグループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定への変更の保存」を参照してください。

ステップ 4 引き続き他のグループ設定を指定するには、必要に応じて、この章の各手順に従います。


 

ユーザ グループの Cisco Aironet RADIUS 設定の構成

ただ 1 つの Cisco Aironet RADIUS VSA である Cisco-Aironet-Session-Timeout は、仮想 VSA です。 IETF RADIUS Session-Timeout アトリビュート(27)専用の実装形態で、Cisco Secure ACS では、RADIUS(Cisco Aironet)を使用して AAA クライアントから RADIUS 要求に応答する場合にのみ使用されます。 これにより、無線および有線のアクセス デバイスを使用してネットワークにアクセスするユーザに異なるタイムアウト値を指定することができます。特に WLAN 接続に対してタイムアウト値を指定することにより、WLAN 接続(通常は分単位)に対して標準タイムアウト値(通常は時間単位)を使用する必要がある場合に生じる問題を回避できます。


ヒント グループの一部またはすべてのメンバーが無線または有線のアクセス デバイスを使用して接続する場合にのみ、Cisco-Aironet-Session-Timeout を使用可能にして設定してください。 グループのメンバーが常に Cisco Aironet Access Point(AP)を使用して接続する場合、または常に有線アクセス デバイスを使用して接続する場合は、Cisco-Aironet-Session-Timeout を使用する必要がありませんが、代わりに RADIUS(IETF)アトリビュート 27、Session-Timeout を設定してください。


たとえば、ユーザ グループの Cisco-Aironet-Session-Timeout が 600 秒(10 分)に設定されており、同じユーザ グループの IETF RADIUS Session-Timeout が 3 時間に設定されているとします。この場合、このグループのメンバーが VPN コンセントレータを介して接続すると、Cisco Secure ACS ではタイムアウト値として 3 時間が使用されます。しかし、その同じユーザが Cisco Aironet AP を介して接続した場合、Cisco Secure ACS では Aironet AP からの認証要求に対する応答として、IETF RADIUS Session-Timeout アトリビュートの中で 600 秒が送信されます。このように、Cisco-Aironet-Session-Timeout アトリビュートが設定されていると、エンドユーザ クライアントが有線アクセス デバイスと Cisco Aironet AP のどちらであるかに応じて、異なるセッション タイムアウト値を送信できます。

Cisco-Aironet-Session-Timeout VSA は、次の両方の条件が満たされた場合にだけ Group Setup ページに表示されます。

Network Configuration で、いずれかの AAA クライアントが RADIUS(Cisco Aironet)を使用するように設定されている。

Interface Configuration: RADIUS (Cisco Aironet) でグループ レベルの RADIUS(Cisco Aironet)アトリビュートが使用可能になっている。


) Cisco Aironet RADIUS VSA を表示または非表示にするには、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のグループへの許可として適用されている VSA は、それに関連した AAA クライアントが削除されるか置き換えられても残ります。ただし、RADIUS(Cisco Aironet)を使用するように設定された AAA クライアントが存在しない場合は、グループ設定インターフェイスに VSA 設定が表示されません。


現行グループ内の各ユーザに許可の 1 つとして適用する Cisco Aironet RADIUS アトリビュートを設定し、使用可能にするには、次の手順に従います。


ステップ 1 IETF RADIUS アトリビュートが正しく設定されていることを確認します。IETF RADIUS アトリビュートの設定方法の詳細については、「ユーザ グループの IETF RADIUS 設定の構成」を参照してください。

ステップ 2 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 3 Group リストからグループを選択し、 Edit Settings をクリックします。

Group Settings ページの上部に、そのグループの名前が表示されます。

ステップ 4 ページの上部にある Jump To リストから RADIUS (Cisco Aironet) を選択します。

ステップ 5 Cisco Aironet RADIUS Attributes テーブルで、 [5842\001] Cisco-Aironet-Session-Timeout チェックボックスをオンにします。

ステップ 6 [5842\001] Cisco-Aironet-Session-Timeout ボックスにセッション タイムアウト値(秒単位)を入力します。この値は、AAA クライアントが RADIUS(Cisco Aironet)認証オプションを使用するように Network Configuration で設定されているときに、Cisco Secure ACS によって IETF RADIUS Session-Timeout(27)アトリビュートとして送信されます。推奨値は 600 秒です。

IETF RADIUS Session-Timeout アトリビュートの詳細については、 付録C「RADIUS アトリビュート」 または AAA クライアントのマニュアルを参照してください。

ステップ 7 指定したグループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定への変更の保存」を参照してください。

ステップ 8 引き続き他のグループ設定を指定するには、必要に応じて、この章の各手順に従います。


 

ユーザ グループの Ascend RADIUS 設定の構成

Ascend RADIUS パラメータは、次の両方の条件が満たされた場合にだけ表示されます。

Network Configuration で、いずれかの AAA クライアントが RADIUS(Ascend)または RADIUS(Cisco IOS/PIX)を使用するように設定されている。

Interface Configuration: RADIUS (Ascend) でグループ レベルの RADIUS(Ascend)アトリビュートが使用可能になっている。

Ascend RADIUS は、Ascend 独自のアトリビュートを表しています。IETF RADIUS と Ascend RADIUS の両方のアトリビュートを設定する必要があります。独自のアトリビュートは、IETF アトリビュートよりも優先されます。

RADIUS の場合に表示されるデフォルトのアトリビュート設定は、 Ascend-Remote-Addr です。


) Ascend RADIUS アトリビュートを表示または非表示にするには、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のグループへの許可として適用されている VSA は、それに関連した AAA クライアントが削除されるか置き換えられても残ります。ただし、この(ベンダー)タイプの AAA クライアントが 1 つも設定されていないと、グループ設定インターフェイスに VSA 設定が表示されません。


現行グループ内の各ユーザに許可の 1 つとして適用する Ascend RADIUS アトリビュートを設定し、使用可能にするには、次の手順に従います。


ステップ 1 IETF RADIUS アトリビュートが正しく設定されていることを確認します。IETF RADIUS アトリビュートの設定方法の詳細については、「ユーザ グループの IETF RADIUS 設定の構成」を参照してください。

ステップ 2 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 3 Group リストからグループを選択し、 Edit Settings をクリックします。

Group Settings ページの上部に、そのグループの名前が表示されます。

ステップ 4 ページの上部にある Jump To リストから RADIUS (Ascend) を選択します。

ステップ 5 Ascend RADIUS Attributes テーブルで、アトリビュートの隣にあるチェックボックスをオンにして、グループに許可するアトリビュートを決定します。その隣にあるフィールドで、必ずそのアトリビュートについての許可を定義してください。アトリビュートの詳細については、 付録C「RADIUS アトリビュート」 または使用している AAA クライアントのマニュアルを参照してください。

ステップ 6 指定したグループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定への変更の保存」を参照してください。

ステップ 7 引き続き他のグループ設定を指定するには、必要に応じて、この章の各手順に従います。


 

ユーザ グループの Cisco VPN 3000 Concentrator RADIUS 設定の構成

Cisco VPN 3000 シリーズ コンセントレータを経由してネットワークにアクセスするユーザに対する Microsoft MPPE 設定値を制御するには、
CVPN3000-PPTP-Encryption(VSA 20)アトリビュートおよび
CVPN3000-L2TP-Encryption(VSA 21)アトリビュートを使用します。
CVPN3000-PPTP-Encryption(VSA 20)および CVPN3000-L2TP-Encryption(VSA 21)の設定値が Microsoft MPPE RADIUS 設定値よりも優先されます。これらのアトリビュートのどちらかが使用可能になっている場合は、Cisco Secure ACS の HTML インターフェイス内で RADIUS(Microsoft)アトリビュートが使用可能になっているかどうか、またこれらのアトリビュートの設定値が何であるかにかかわらず、Cisco Secure ACS によって送信 RADIUS(Microsoft)アトリビュートで送信する値が決定され、RADIUS(Cisco VPN 3000)アトリビュートとともに送信されます。

Cisco VPN 3000 Concentrator RADIUS アトリビュートの設定は、次の両方の条件が満たされた場合にだけ表示されます。

Network Configuration で、いずれかの AAA クライアントが RADIUS(Cisco VPN 3000)を使用するように設定されている。

Interface Configuration セクションの RADIUS (Cisco VPN 3000) ページで、グループ レベルの RADIUS(Cisco VPN 3000)アトリビュートが使用可能になっている。

Cisco VPN 3000 Concentrator RADIUS は、Cisco VPN 3000 Concentrator VSA だけを表しています。IETF RADIUS と Cisco VPN 3000 Concentrator RADIUS の両方のアトリビュートを設定する必要があります。


) Cisco VPN 3000 Concentrator RADIUS アトリビュートを表示または非表示にするには、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のグループへの許可として適用されている VSA は、それに関連した AAA クライアントが削除されるか置き換えられても残ります。ただし、この(ベンダー)タイプの AAA クライアントが 1 つも設定されていないと、グループ設定インターフェイスに VSA 設定が表示されません。


現行グループ内の各ユーザに許可の 1 つとして適用する Cisco VPN 3000 Concentrator RADIUS アトリビュートを設定し、使用可能にするには、次の手順に従います。


ステップ 1 IETF RADIUS アトリビュートが正しく設定されていることを確認します。

IETF RADIUS アトリビュートの設定方法の詳細については、「ユーザ グループの IETF RADIUS 設定の構成」を参照してください。

ステップ 2 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 3 Group リストからグループを選択し、 Edit Settings をクリックします。

Group Settings ページの上部に、そのグループの名前が表示されます。

ステップ 4 ページの上部にある Jump To リストから RADIUS (Cisco VPN 3000) を選択します。

ステップ 5 Cisco VPN 3000 Concentrator RADIUS Attributes テーブルで、アトリビュートの隣にあるチェックボックスをオンにして、グループに許可するアトリビュートを決定します。さらに、その隣にあるフィールドで、そのアトリビュートについての許可を定義します。

アトリビュートの詳細については、 付録C「RADIUS アトリビュート」 、または RADIUS を使用するネットワーク デバイスのマニュアルを参照してください。

ステップ 6 指定したグループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定への変更の保存」を参照してください。

ステップ 7 引き続き他のグループ設定を指定するには、必要に応じて、この章の各手順に従います。


 

ユーザ グループの Cisco VPN 5000 Concentrator RADIUS 設定の構成

Cisco VPN 5000 Concentrator RADIUS アトリビュートの設定は、次の両方の条件が満たされた場合にだけ表示されます。

Network Configuration で、いずれかのネットワーク デバイスが RADIUS(Cisco VPN 5000)を使用するように設定されている。

Interface Configuration セクションの RADIUS (Cisco VPN 5000) ページで、グループ レベルの RADIUS(Cisco VPN 5000)アトリビュートが使用可能になっている。

Cisco VPN 5000 Concentrator RADIUS は、Cisco VPN 5000 Concentrator VSA だけを表しています。IETF RADIUS と Cisco VPN 5000 Concentrator RADIUS の両方のアトリビュートを設定する必要があります。


) Cisco VPN 5000 Concentrator RADIUS アトリビュートを表示または非表示にするには、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のグループへの許可として適用されている VSA は、それに関連した AAA クライアントが削除されるか置き換えられても残ります。ただし、この(ベンダー)タイプの AAA クライアントが 1 つも設定されていないと、グループ設定インターフェイスに VSA 設定が表示されません。


現行グループ内の各ユーザに許可の 1 つとして適用する Cisco VPN 5000 Concentrator RADIUS アトリビュートを設定し、使用可能にするには、次の手順に従います。


ステップ 1 IETF RADIUS アトリビュートが正しく設定されていることを確認します。

IETF RADIUS アトリビュートの設定方法の詳細については、「ユーザ グループの IETF RADIUS 設定の構成」を参照してください。

ステップ 2 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 3 Group リストからグループを選択し、 Edit Settings をクリックします。

Group Settings ページの上部に、そのグループの名前が表示されます。

ステップ 4 ページの上部にある Jump To リストから RADIUS (Cisco VPN 5000) を選択します。

ステップ 5 Cisco VPN 5000 Concentrator RADIUS Attributes テーブルで、アトリビュートの隣にあるチェックボックスをオンにして、グループに許可するアトリビュートを選択します。さらに、その隣にあるフィールドで、そのアトリビュートについての許可を定義します。

アトリビュートの詳細については、 付録C「RADIUS アトリビュート」 、または RADIUS を使用するネットワーク デバイスのマニュアルを参照してください。

ステップ 6 指定したグループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定への変更の保存」を参照してください。

ステップ 7 引き続き他のグループ設定を指定するには、必要に応じて、この章の各手順に従います。


 

ユーザ グループの Microsoft RADIUS 設定の構成

Microsoft RADIUS は、MPPE をサポートする VSA を提供します。MPPE は、Microsoft が PPP リンクの暗号化のために開発した暗号化テクノロジーです。それらの PPP 接続には、ダイヤルイン回線か VPN トンネルを使用できます。

Cisco VPN 3000 シリーズ コンセントレータを経由してネットワークにアクセスするユーザに対する Microsoft MPPE 設定値を制御するには、
CVPN3000-PPTP-Encryption(VSA 20)アトリビュートおよび
CVPN3000-L2TP-Encryption(VSA 21)アトリビュートを使用します。
CVPN3000-PPTP-Encryption(VSA 20)および CVPN3000-L2TP-Encryption(VSA 21)の設定値が Microsoft MPPE RADIUS 設定値よりも優先されます。これらのアトリビュートのどちらかが使用可能になっている場合は、Cisco Secure ACS の HTML インターフェイス内で RADIUS(Microsoft)アトリビュートが使用可能になっているかどうか、またこれらのアトリビュートの設定値が何であるかにかかわらず、Cisco Secure ACS によって送信 RADIUS(Microsoft)アトリビュートで送信する値が決定され、RADIUS(Cisco VPN 3000)アトリビュートとともに送信されます。

Microsoft RADIUS アトリビュートの設定は、次の両方の条件が満たされた場合にだけ表示されます。

Network Configuration で、いずれかのネットワーク デバイスが、Microsoft RADIUS VSA をサポートする RADIUS プロトコルを使用するように設定されている。

Interface Configuration セクションの RADIUS(Microsoft)ページで、グループ レベルの Microsoft RADIUS アトリビュートが使用可能になっている。

次の Cisco Secure ACS RADIUS プロトコルでは、Microsoft RADIUS VSA がサポートされています。

Cisco IOS/PIX

Cisco VPN 3000

Ascend

Microsoft RADIUS は、Microsoft VSA だけを表しています。IETF RADIUS と Microsoft RADIUS の両方のアトリビュートを設定する必要があります。


) Microsoft RADIUS アトリビュートを表示または非表示にするには、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のグループへの許可として適用されている VSA は、それに関連した AAA クライアントが削除されるか置き換えられても残ります。ただし、この(ベンダー)タイプの AAA クライアントが 1 つも設定されていないと、グループ設定インターフェイスに VSA 設定が表示されません。


現行グループ内の各ユーザに許可の 1 つとして適用する Microsoft RADIUS アトリビュートを設定し、使用可能にするには、次の手順に従います。


ステップ 1 IETF RADIUS アトリビュートが正しく設定されていることを確認します。

IETF RADIUS アトリビュートの設定方法の詳細については、「ユーザ グループの IETF RADIUS 設定の構成」を参照してください。

ステップ 2 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 3 Group リストからグループを選択し、 Edit Settings をクリックします。

Group Settings ページの上部に、そのグループの名前が表示されます。

ステップ 4 ページの上部にある Jump To リストから RADIUS (Microsoft) を選択します。

ステップ 5 Microsoft RADIUS Attributes テーブルで、アトリビュートの隣にあるチェックボックスをオンにして、グループに許可するアトリビュートを指定します。さらに、該当する場合は、その隣にあるフィールドで、そのアトリビュートについての許可を定義します。アトリビュートの詳細については、 付録C「RADIUS アトリビュート」 、または RADIUS を使用するネットワーク デバイスのマニュアルを参照してください。


) MS-CHAP-MPPE-Keys アトリビュートの値は Cisco Secure ACS で自動生成されるため、HTML インターフェイスで設定する値はありません。


ステップ 6 指定したグループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定への変更の保存」を参照してください。

ステップ 7 引き続き他のグループ設定を指定するには、必要に応じて、この章の各手順に従います。


 

ユーザ グループの Nortel RADIUS 設定の構成

Nortel RADIUS アトリビュートの設定は、次の両方の条件が満たされた場合にだけ表示されます。

Network Configuration で、いずれかのネットワーク デバイスが、Nortel RADIUS VSA をサポートする RADIUS プロトコルを使用するように設定されている。

Interface Configuration セクションの RADIUS (Nortel) ページで、グループ レベルの Nortel RADIUS アトリビュートが使用可能になっている。

Nortel RADIUS は、Nortel VSA だけを表しています。IETF RADIUS と Nortel RADIUS の両方のアトリビュートを設定する必要があります。


) Nortel RADIUS アトリビュートを表示または非表示にするには、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のグループへの許可として適用されている VSA は、それに関連した AAA クライアントが削除されるか置き換えられても残ります。ただし、この(ベンダー)タイプの AAA クライアントが 1 つも設定されていないと、グループ設定インターフェイスに VSA 設定が表示されません。


現行グループ内の各ユーザに許可の 1 つとして適用する Nortel RADIUS アトリビュートを設定し、使用可能にするには、次の手順に従います。


ステップ 1 IETF RADIUS アトリビュートが正しく設定されていることを確認します。

IETF RADIUS アトリビュートの設定方法の詳細については、「ユーザ グループの IETF RADIUS 設定の構成」を参照してください。

ステップ 2 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 3 Group リストからグループを選択し、 Edit Settings をクリックします。

Group Settings ページの上部に、そのグループの名前が表示されます。

ステップ 4 ページの上部にある Jump To リストから RADIUS (Nortel) を選択します。

ステップ 5 Nortel RADIUS Attributes テーブルで、アトリビュートの隣にあるチェックボックスをオンにして、グループに許可するアトリビュートを指定します。さらに、該当する場合は、その隣にあるフィールドで、そのアトリビュートについての許可を定義します。アトリビュートの詳細については、 付録C「RADIUS アトリビュート」 、または RADIUS を使用するネットワーク デバイスのマニュアルを参照してください。


) MS-CHAP-MPPE-Keys アトリビュートの値は Cisco Secure ACS で自動生成されるため、HTML インターフェイスで設定する値はありません。


ステップ 6 指定したグループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定への変更の保存」を参照してください。

ステップ 7 引き続き他のグループ設定を指定するには、必要に応じて、この章の各手順に従います。


 

ユーザ グループの Juniper RADIUS 設定の構成

Juniper RADIUS は Juniper VSA だけを表しています。IETF RADIUS と Juniper RADIUS の両方のアトリビュートを設定する必要があります。


) Juniper RADIUS アトリビュートを表示または非表示にするには、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のグループへの許可として適用されている VSA は、それに関連した AAA クライアントが削除されるか置き換えられても残ります。ただし、この(ベンダー)タイプの AAA クライアントが 1 つも設定されていないと、グループ設定インターフェイスに VSA 設定が表示されません。


現行グループ内の各ユーザに許可の 1 つとして適用する Juniper RADIUS アトリビュートを設定し、使用可能にするには、次の手順に従います。


ステップ 1 IETF RADIUS アトリビュートが正しく設定されていることを確認します。

IETF RADIUS アトリビュートの設定方法の詳細については、「ユーザ グループの IETF RADIUS 設定の構成」を参照してください。

ステップ 2 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 3 Group リストからグループを選択し、 Edit Settings をクリックします。

Group Settings ページの上部に、そのグループの名前が表示されます。

ステップ 4 ページの上部にある Jump To リストから RADIUS (Juniper) を選択します。

ステップ 5 Juniper RADIUS Attributes テーブルで、アトリビュートの隣にあるチェックボックスをオンにして、グループに許可するアトリビュートを指定します。さらに、該当する場合は、その隣にあるフィールドで、そのアトリビュートについての許可を定義します。アトリビュートの詳細については、 付録C「RADIUS アトリビュート」 、または RADIUS を使用するネットワーク デバイスのマニュアルを参照してください。


) MS-CHAP-MPPE-Keys アトリビュートの値は Cisco Secure ACS で自動生成されるため、HTML インターフェイスで設定する値はありません。


ステップ 6 指定したグループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定への変更の保存」を参照してください。

ステップ 7 引き続き他のグループ設定を指定するには、必要に応じて、この章の各手順に従います。


 

ユーザ グループの BBSM RADIUS 設定の構成

BBSM RADIUS は BBSM RADIUS VSA だけを表しています。IETF RADIUS と BBSM RADIUS の両方のアトリビュートを設定する必要があります。


) BBSM RADIUS アトリビュートを表示または非表示にするには、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のグループへの許可として適用されている VSA は、それに関連した AAA クライアントが削除されるか置き換えられても残ります。ただし、この(ベンダー)タイプの AAA クライアントが 1 つも設定されていないと、グループ設定インターフェイスに VSA 設定が表示されません。


現行グループ内の各ユーザに許可の 1 つとして適用する BBSM RADIUS アトリビュートを設定し、使用可能にするには、次の手順に従います。


ステップ 1 IETF RADIUS アトリビュートが正しく設定されていることを確認します。

IETF RADIUS アトリビュートの設定方法の詳細については、「ユーザ グループの IETF RADIUS 設定の構成」を参照してください。

ステップ 2 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 3 Group リストからグループを選択し、 Edit Settings をクリックします。

Group Settings ページの上部に、そのグループの名前が表示されます。

ステップ 4 ページの上部にある Jump To リストから RADIUS (BBSM) を選択します。

ステップ 5 BBSM RADIUS Attributes テーブルで、アトリビュートの隣にあるチェックボックスをオンにして、グループに許可するアトリビュートを指定します。さらに、該当する場合は、その隣にあるフィールドで、そのアトリビュートについての許可を定義します。アトリビュートの詳細については、 付録C「RADIUS アトリビュート」 、または RADIUS を使用するネットワーク デバイスのマニュアルを参照してください。


) MS-CHAP-MPPE-Keys アトリビュートの値は Cisco Secure ACS で自動生成されるため、HTML インターフェイスで設定する値はありません。


ステップ 6 指定したグループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定への変更の保存」を参照してください。

ステップ 7 引き続き他のグループ設定を指定するには、必要に応じて、この章の各手順に従います。


 

ユーザ グループのカスタム RADIUS VSA 設定の構成

ユーザ定義のカスタム Radius VSA 設定は、次のすべての条件が満たされた場合にだけ表示されます。

カスタム RADIUS VSA が定義され、設定されている(ユーザ定義 RADIUS VSA の作成方法については、「カスタム RADIUS ベンダーと VSA」を参照してください)。

Network Configuration で、いずれかのネットワーク デバイスが、カスタム VSA をサポートする RADIUS プロトコルを使用するように設定されている。

Interface Configuration セクションの RADIUS ( Name ) ページで、グループ レベルのカスタム RADIUS アトリビュートが使用可能になっている。

IETF RADIUS とカスタム RADIUS の両方のアトリビュートを設定する必要があります。

現行グループ内の各ユーザに許可の 1 つとして適用するカスタム RADIUS アトリビュートを設定し、使用可能にするには、次の手順に従います。


ステップ 1 IETF RADIUS アトリビュートが正しく設定されていることを確認します。

IETF RADIUS アトリビュートの設定方法の詳細については、「ユーザ グループの IETF RADIUS 設定の構成」を参照してください。

ステップ 2 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 3 Group リストからグループを選択し、 Edit Settings をクリックします。

Group Settings ページの上部に、そのグループの名前が表示されます。

ステップ 4 ページの上部にある Jump To リストから RADIUS ( custom name ) を選択します。

ステップ 5 RADIUS ( custom name ) Attributes テーブルで、アトリビュートの隣にあるチェックボックスをオンにして、グループに許可するアトリビュートを指定します。さらに、該当する場合は、その隣にあるフィールドで、そのアトリビュートについての許可を定義します。アトリビュートの詳細については、 付録C「RADIUS アトリビュート」 、または RADIUS を使用するネットワーク デバイスのマニュアルを参照してください。


) MS-CHAP-MPPE-Keys アトリビュートの値は Cisco Secure ACS で自動生成されるため、HTML インターフェイスで設定する値はありません。


ステップ 6 指定したグループ設定を保存するには、 Submit をクリックします。

詳細については、「ユーザ グループ設定への変更の保存」を参照してください。

ステップ 7 引き続き他のグループ設定を指定するには、必要に応じて、この章の各手順に従います。


 

グループ設定の管理

ここでは、Group Setup セクションを使用して各種の管理タスクを行う方法について説明します。

この項では、次のトピックについて取り上げます。

「ユーザ グループ内のユーザの一覧表示」

「ユーザ グループの使用クォータ カウンタのリセット」

「ユーザ グループの名前変更」

「ユーザ グループ設定への変更の保存」

ユーザ グループ内のユーザの一覧表示

指定したグループのすべてのユーザを一覧表示するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストからグループを選択します。

ステップ 3 Users in Group をクリックします。

そのグループの User List ページが表示領域に表示されます。

ステップ 4 ユーザ アカウントを(ユーザの表示、修正、削除のために)開くには、User List でユーザの名前をクリックします。

選択したユーザ アカウントの User Setup ページが表示されます。


 

ユーザ グループの使用クォータ カウンタのリセット

グループの全メンバーについて、使用クォータ カウンタをリセットできます。これは、使用クォータを超える前でも、超えた後でも行うことができます。

ユーザ グループの全メンバーについて使用クォータ カウンタをリセットするには、次の手順に従います。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストからグループを選択します。

ステップ 3 Usage Quotas セクションで、 On submit reset all usage counters for all users of this group チェックボックスをオンにします。

ステップ 4 ブラウザ ページの下部にある Submit をクリックします。

そのグループに属する全メンバーの使用クォータ カウンタがリセットされます。Group Setup Select ページが表示されます。


 

ユーザ グループの名前変更

ユーザ グループの名前を変更するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Group Setup をクリックします。

Group Setup Select ページが表示されます。

ステップ 2 Group リストからグループを選択します。

ステップ 3 Rename Group をクリックします。

Renaming Group: Group Name ページが表示されます。

ステップ 4 新しい名前を Group フィールドに入力します。グループ名に不等号記号(< または >)は使用できません。

ステップ 5 Submit をクリックします。


) リスト内でのグループの位置は変化しません。グループの番号値は、そのグループ名に関連付けられたままになります。データベース インポート ユーティリティなど、一部のユーティリティでは、グループに関連付けられた番号値が使用されます。


新しいグループ名が選択された状態で、Select ページが表示されます。


 

ユーザ グループ設定への変更の保存

グループの設定の完了後は、必ずその作業内容を保存してください。

現行グループについての設定を保存するには、次の手順に従います。


ステップ 1 変更内容を保存して、後で適用する場合は、 Submit をクリックします。変更を実装する準備ができたら、 System Configuration Service Control Restart の順にクリックします。


ヒント 変更内容を保存して、すぐに適用する場合は、Submit + Restart をクリックします。

グループ アトリビュートが適用され、サービスが再起動されます。Edit ページが表示されます。


) サービスが再起動されると、Logged-in User Report がクリアされ、すべての Cisco Secure ACS サービスが一時的に中断されます。これは、Max Sessions カウンタに影響します。


ステップ 2 変更が適用されたかどうかを確認するには、グループを選択し、 Edit Settings をクリックします。設定が表示されます。