Cisco Secure ACS Appliance ユーザガイド 3.2
ユーザ管理
ユーザ管理
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

ユーザ管理

ユーザ セットアップの特長と機能

User Setup の基本オプション

基本ユーザ アカウントの追加

補足ユーザ情報の設定

別の CHAP/MS-CHAP/ARAP パスワードの設定

グループへのユーザの割り当て

ユーザ コールバック オプションの設定

クライアント IP アドレスへのユーザの割り当て

ユーザのネットワーク アクセス制限(NAR)の設定

ユーザの最大セッション数オプションの設定

ユーザの使用クォータ オプションの設定

ユーザ アカウントを使用不可にするオプションの設定

ユーザへのダウンロード可能な IP ACL の割り当て

高度なユーザ認証の設定

TACACS+ Settings(ユーザ)

ユーザの TACACS+ 設定の構成

ユーザのシェル コマンド許可セットの設定

ユーザの PIX コマンド許可セットの設定

ユーザのデバイス管理コマンド許可の設定

ユーザの未知のサービス設定の構成

Advanced TACACS+ Settings(ユーザ)

ユーザのイネーブル特権オプションの設定

ユーザの TACACS+ イネーブル パスワード オプションの設定

ユーザの TACACS+ 発信パスワードの設定

RADIUS Attributes

ユーザの IETF RADIUS パラメータの設定

ユーザの Cisco IOS/PIX RADIUS パラメータの設定

ユーザの Cisco Aironet RADIUS パラメータの設定

ユーザの Ascend RADIUS パラメータの設定

ユーザの Cisco VPN 3000 Concentrator RADIUS パラメータの設定

ユーザの Cisco VPN 5000 Concentrator RADIUS パラメータの設定

ユーザの Microsoft RADIUS パラメータの設定

ユーザの Nortel RADIUS パラメータの設定

ユーザの Juniper RADIUS パラメータの設定

ユーザの BBSM RADIUS パラメータの設定

ユーザのカスタム RADIUS アトリビュートの設定

ユーザ管理

すべてのユーザの一覧表示

ユーザの検索

ユーザ アカウントの使用不可設定

ユーザ アカウントの削除

ユーザのセッション クォータ カウンタのリセット

ログイン失敗後のユーザ アカウントのリセット

ユーザ設定の保存

ユーザ管理

この章では、Cisco Secure ACS Appliance でのユーザ アカウントのセットアップと管理について説明します。


) ユーザ レベルでの設定は、グループ レベルでの設定よりも優先されます。


User Setup セクションを設定する前に、このセクションの機能を理解しておく必要があります。Cisco Secure ACS では、使用している AAA クライアントとセキュリティ プロトコルの設定に応じて、User Setup セクションのインターフェイスが動的に構築されます。つまり、User Setup の表示は、Network Configuration セクションと Interface Configuration セクションの両方の設定によって影響を受けます。

この章では、次のトピックについて取り上げます。

「ユーザ セットアップの特長と機能」

「User Setup の基本オプション」

「高度なユーザ認証の設定」

「ユーザ管理」

ユーザ セットアップの特長と機能

ユーザ アカウントの設定と管理に関するすべての操作は、Cisco Secure ACS HTML インターフェイスの User Setup セクションで集中的に行います。

User Setup セクションでは、次の作業を行うことができます。

CiscoSecure ユーザ データベースのすべてのユーザのリスト表示

ユーザの検索

ユーザの追加

Voice-over-IP(VoIP)グループなどのグループへのユーザの割り当て

ユーザ アカウント情報の編集

ユーザの認証タイプの決定または変更

ユーザのコールバック情報の設定

ユーザの Network Access Restrictions(NAR; ネットワーク アクセス制限)の設定

高度な設定の構成

ユーザの同時セッションの最大数(Max Sessions)の設定

ユーザ アカウントの使用不可設定、または再度の使用可能設定

ユーザの削除

User Setup の基本オプション

このセクションでは、新しいユーザを設定するときに行う基本的な作業について説明します。最も基本的なレベルでは、次のような 3 つの手順だけで新規ユーザを設定できます。

名前を指定します。

外部ユーザ データベースまたはパスワードのいずれかを指定します。

情報を送信します。

ユーザ アカウント設定を編集する手順は、ユーザ アカウントを追加する場合に使用する手順とほとんど同じですが、編集するには、変更を加えるフィールドへ直接移動します。ユーザ アカウントに関連付けられた名前を編集することはできません。ユーザ名を変更するには、そのユーザ アカウントを削除してから、別のユーザ アカウントを作成する必要があります。

ネットワークの複雑さと必要な制御の細かさによっては、新規ユーザ アカウントの設定時にその他の手順を行います。

この項では、次のトピックについて取り上げます。

「基本ユーザ アカウントの追加」

「補足ユーザ情報の設定」

「別の CHAP/MS-CHAP/ARAP パスワードの設定」

「グループへのユーザの割り当て」

「ユーザ コールバック オプションの設定」

「クライアント IP アドレスへのユーザの割り当て」

「ユーザのネットワーク アクセス制限(NAR)の設定」

「ユーザの最大セッション数オプションの設定」

「ユーザの使用クォータ オプションの設定」

「ユーザ アカウントを使用不可にするオプションの設定」

「ユーザへのダウンロード可能な IP ACL の割り当て」

基本ユーザ アカウントの追加

この手順では、CiscoSecure ユーザ データベースに新規ユーザ アカウントを追加するために必要な最低限の手順について詳しく説明します。

ユーザ アカウントを追加するには、次の手順に従います。


ステップ 1 ナビゲーション バーの User Setup をクリックします。

User Setup Select ページが開きます。

ステップ 2 User ボックスに名前を入力します。


) ユーザ名は 64 文字まで入力できます。名前には次の特殊文字は使用できません。
# ? " * > <
また、先頭と末尾にスペースを付けることはできません。


ステップ 3 Add/Edit をクリックします。

User Setup Edit ページが開きます。追加しているユーザ名は、ページの上部に表示されます。

ステップ 4 Account Disabled チェックボックスがオフになっていることを確認します。


) または、Account Disabled チェックボックスをオンにして、使用不可なユーザ アカウントを作成し、後でそのアカウントを使用可能にすることもできます。


ステップ 5 User Setup テーブルの Password Authentication で、リストから適切な認証タイプを選択します。


ヒント 表示される認証タイプには、External User Databases セクションの Database Configuration 領域で設定したデータベースが反映されます。

ステップ 6 最初の Password ボックスと Confirm Password ボックスのセットに入力して、1 つの CiscoSecure PAP パスワードを指定します。


) Password ボックスと Confirm Password ボックスでは、それぞれ最大 32 文字まで入力できます。



ヒント Separate CHAP/MS-CHAP/ARAP チェックボックスがオフの場合には、CiscoSecure PAP パスワードは、CHAP/MS-CHAP/ARAP でも使用されます。


ヒント ユーザが PAP パスワードを使用してダイヤルインした場合に認証されるためには、最初に PAP パスワードを要求してから、CHAP または MS-CHAP パスワードを要求するように AAA クライアントを設定します。たとえば、AAA クライアント設定ファイルに次の行があると、AAA クライアントでは PAP の後で CHAP が使用可能になります。
ppp authentication pap chap

ステップ 7 次のいずれかの操作をします。

ユーザ アカウント オプションの設定を終了し、ユーザ アカウントを作成するには、 Submit をクリックします。

ユーザ アカウント オプションの指定を続けるには、必要に応じて、この章の各手順に従います。


ヒント アカウント設定に時間がかかる場合は、設定を続ける前に Submit をクリックします。これによって、予期しない問題が生じても、すでに入力した情報は失われません。


 

補足ユーザ情報の設定

補足ユーザ情報は、最大 5 つのフィールドを使用して設定できます。デフォルトの設定では、Real Name と Description の 2 つのフィールドがあります。

これらのオプション フィールドを表示および設定する方法については、「ユーザ データの設定オプション」を参照してください。

Supplementary User Information テーブルにオプション情報を入力するには、次の手順に従います。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 からステップ 3 に従います。

User Setup Edit ページが開きます。追加または編集しているユーザ名は、ページの上部に表示されます。

ステップ 2 Supplementary User Info テーブルに表示される各ボックスに入力します。


) Real Name ボックスと Description ボックスでは、それぞれ最大 128 文字まで入力できます。


ステップ 3 次のいずれかの操作をします。

ユーザ アカウント オプションの設定の終了後、 Submit をクリックして、オプションを記録します。

ユーザ アカウント オプションの指定を続けるには、必要に応じて、この章の各手順に従います。


 

別の CHAP/MS-CHAP/ARAP パスワードの設定

別の CHAP/MS-CHAP/ARAP パスワードを設定すると、Cisco Secure ACS 認証のセキュリティがさらに高まります。ただし、別のパスワードをサポートするには、AAA クライアントを設定する必要があります。

CiscoSecure ユーザ データベースで PAP パスワードの代わりに、CHAP、MS-CHAP、または ARAP パスワードを使用してユーザを認証できるようにするには、次の手順に従います。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 からステップ 3 に従います。

User Setup Edit ページが開きます。追加または編集しているユーザ名は、ページの上部に表示されます。

ステップ 2 User Setup テーブルで Separate CHAP/MS-CHAP/ARAP チェックボックスをオンにします。

ステップ 3 Separate(CHAP/MS-CHAP/ARAP)チェックボックスの 2 番目の Password/Confirm ボックスの各セットに入力して、使用する CHAP/MS-CHAP/ARAP パスワードを指定します。


) Password ボックスと Confirm Password ボックスでは、それぞれ最大 32 文字まで入力できます。



) Password ボックスと Confirm Password ボックスは、Cisco Secure ACS データベースによって認証のみのために要求されます。また、ユーザが VoIP(ヌル パスワード)グループに割り当てられ、オプションのパスワードもユーザ プロファイルに含まれている場合は、ユーザが VoIP 以外のグループに再割り当てされるまでパスワードは使用されません。


ステップ 4 次のいずれかの操作をします。

ユーザ アカウント オプションの設定の終了後、 Submit をクリックして、オプションを記録します。

ユーザ アカウント オプションの指定を続けるには、必要に応じて、この章の各手順に従います。


 

グループへのユーザの割り当て

Cisco Secure ACS では、ユーザは 1 つのグループだけに属することができます。ユーザはそのグループに割り当てられたアトリビュートと操作を継承します。ただし、設定が競合している場合は、ユーザ レベルの設定がグループ レベルの設定よりも優先されます。

デフォルトでは、ユーザは Default Group に割り当てられます。未知のユーザ方式で認証され、既存の Cisco Secure ACS グループに割り当てられていないユーザも、Default Group に割り当てられます。

または、特定のグループにユーザを割り当てず、外部認証システムによってグループを割り当てることもできます。Cisco Secure ACS がグループ情報を取得できる外部ユーザ データベースでは、外部ユーザ データベースでユーザに対して定義されたグループ メンバーシップを特定の Cisco Secure ACS グループに関連付けることができます。詳細については、「ユーザ グループのマッピングと仕様」を参照してください。

グループにユーザを割り当てるには、次の手順に従います。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 からステップ 3 に従います。

User Setup Edit ページが開きます。追加または編集しているユーザ名は、ページの上部に表示されます。

ステップ 2 User Setup テーブルのリストでユーザを割り当てたグループから、ユーザに割り当てるグループを選択します。


ヒント または、リストを上にスクロールして、Mapped By External Authenticator オプションを選択します。

ステップ 3 次のいずれかの操作をします。

ユーザ アカウント オプションの設定の終了後、 Submit をクリックして、オプションを記録します。

ユーザ アカウント オプションの指定を続けるには、必要に応じて、この章の各手順に従います。


 

ユーザ コールバック オプションの設定

コールバックとは、アクセス サーバに渡されるコマンド文字列です。コールバック文字列を使用すると、モデムから特定の番号のユーザへ電話を掛けなおすことで、セキュリティを強化したり、通話料を逆に課金することができます。

ユーザ コールバック オプションを設定するには、次の手順に従います。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 からステップ 3 に従います。

User Setup Edit ページが開きます。追加または編集しているユーザ名は、ページの上部に表示されます。

ステップ 2 User Setup テーブルの Callback でオプションを選択します。次のオプションがあります。

Use group setting :ユーザがグループの設定を使用する場合に選択します。

No callback allowed :ユーザのコールバックを使用不可にする場合に選択します。

Callback using this number :ユーザに常にコールバックする(必要に応じて市外局番を含む)番号を選択および入力します。


) コールバック番号の最大長は 199 文字です。


Dialup client specifies callback number :Windows ダイヤルアップ クライアントを使用可能にし、コールバック番号を指定する場合に選択します。

Use Windows Database callback settings :Windows コールバックで指定した設定を使用する場合に選択します。ユーザの Windows アカウントがリモート ドメインに存在する場合、そのユーザに対して Microsoft Windows のコールバック設定が機能するためには、Cisco Secure ACS が存在するドメインに、リモート ドメインとの双方向の信頼が必要です。


) ダイヤルイン ユーザは、コールバックをサポートしているソフトウェアを設定する必要があります。


ステップ 3 次のいずれかの操作をします。

ユーザ アカウント オプションの設定の終了後、 Submit をクリックして、オプションを記録します。

ユーザ アカウント オプションの指定を続けるには、必要に応じて、この章の各手順に従います。


 

クライアント IP アドレスへのユーザの割り当て

クライアント IP アドレスにユーザを割り当てるには、次の手順に従います。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 からステップ 3 に従います。

User Setup Edit ページが開きます。追加または編集しているユーザ名は、ページの上部に表示されます。

ステップ 2 User Setup テーブルの Client IP Address Assignment でオプションを選択します。次のオプションがあります。


) User Setup で割り当てた IP アドレスは、Group Setup で割り当てた IP アドレスよりも優先されます。


Use group settings :グループが割り当てる IP アドレスを使用するには、このオプションを選択します。

No IP address assignment :クライアントによって IP アドレスを返さない場合に、グループ設定を上書きするには、このオプションを選択します。

Assigned by dialup client :ダイヤルアップ クライアントが割り当てる IP アドレスを使用するには、このオプションを選択します。

Assign static IP address :ユーザに対して特定の IP アドレスを指定する場合は、このオプションを選択し、ボックスに(最大 15 文字の)IP アドレスを入力します。


) IP アドレスが IP アドレスのプールまたはダイヤルアップ クライアントによって割り当てられている場合は、Assign static IP address ボックスを空白のままにします。


Assigned by AAA client poolAAA クライアントで設定した IP アドレス プールによってユーザに IP アドレスを割り当てる場合は、このオプションを選択し、ボックスに AAA クライアントの IP プール名を入力します。

Assigned from AAA poolAAA サーバで設定した IP アドレス プールによってユーザに IP アドレスを割り当てる場合は、このオプションを選択し、ボックスに適切なプール名を入力します。Available Pools リストから AAA サーバの IP プール名を選択し、 --> (右矢印ボタン)をクリックして、その名前を Selected Pools リストに移動します。Selected Pools リストに複数のプールがある場合は、このグループのユーザはリストされている順番で、最初の利用可能なプールに割り当てられます。リスト内のプールの位置を移動するには、プール名を選択し、プールが適切な位置に移動するまで Up または Down をクリックします。

ステップ 3 次のいずれかの操作をします。

ユーザ アカウント オプションの設定の終了後、 Submit をクリックして、オプションを記録します。

ユーザ アカウント オプションの指定を続けるには、必要に応じて、この章の各手順に従います。


 

ユーザのネットワーク アクセス制限(NAR)の設定

User Setup の Advanced Settings 領域の Network Access Restrictions テーブルでは、3 種類の方法で NAR を設定できます。

既存の共有 NAR を名前で適用する。

IP ベースのアクセス制限を定義し、IP 接続が確立された時点で、指定した AAA クライアントまたは AAA クライアント上の指定したポートに対するユーザ アクセスを許可または拒否する。

CLI/DNIS ベースのアクセス制限を定義して、使用する CLI/DNIS に基づきユーザ アクセスを許可または拒否する。


) CLI/DNIS ベースのアクセス制限領域を使用して、その他の値を指定することもできます。詳細については、「ネットワーク アクセス制限について」を参照してください。


通常、(共有の)NAR は、複数のグループまたはユーザに制限を適用できるよう、Shared Components セクションの中から定義します。詳細については、「共有ネットワーク アクセス制限の追加」を参照してください。
このオプションのセットを HTML インターフェイスに表示するには、Interface Configuration セクションの Advanced Options ページで User-Level Shared Network Access Restriction チェックボックスがオンになっている必要があります。

ただし、Cisco Secure ACS では、User Setup セクションから 1 人のユーザに対して NAR を定義および適用することもできます。単一ユーザ IP ベースのフィルタ オプションと単一ユーザ CLI/DNIS ベースのフィルタ オプションを HTML インターフェイスに表示するには、Interface Configuration セクションの Advanced Options ページで User-Level Network Access Restriction 設定が使用可能になっている必要があります。


) 認証要求がプロキシから Cisco Secure ACS サーバに転送されると、TACACS+ 要求に使用されるすべての NAR は、発信元の AAA クライアントの IP アドレスではなく、転送先の AAA サーバの IP アドレスに適用されます。


ユーザごとにアクセス制限を作成する場合、Cisco Secure ACS では、アクセス制限の数や各アクセス制限の長さに制限はありません。ただし、次のような厳格な制限があります。

各行項目のフィールドを組み合せた長さは 1024 文字以内です。

共有 NAR に含まれる文字は 16 KB 以内です。サポートされる行項目の数は、各行項目の長さに応じて異なります。たとえば、CLI/DNIS ベースの NAR を作成し、AAA クライアント名が 10 文字、ポート番号が 5 文字、CLI エントリが 15 文字、DNIS エントリが 20 文字の場合は、16 KB の制限に達するまで、あと 450 の行項目を追加できます。

ユーザの NAR を設定するには、次の手順に従います。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 からステップ 3 に従います。

User Setup Edit ページが開きます。追加または編集しているユーザ名は、ページの上部に表示されます。

ステップ 2 以前に設定した共有 NAR をこのユーザに適用するには、次の手順に従います。


) 共有 NAR を適用するには、その NAR が、Shared Profile Components セクションの Network Access Restrictions ですでに設定されている必要があります。詳細については、「共有ネットワーク アクセス制限の追加」を参照してください。


a. Only Allow network access when チェックボックスをオンにします。

b. アクセスを許可するユーザに対して、1 つまたはすべての共有 NAR の適用を指定するには、場合に応じて、次の 2 つのいずれかのオプションを選択します。

All selected NARS result in permit

Any one selected NAR results in permit

c. NAR リストで共有 NAR 名を選択し、 --> (右矢印ボタン)をクリックして、その名前を Selected NAR リストに移動します。


ヒント 適用するために選択した共有 NAR のサーバの詳細は、必要に応じて View IP NAR または View CLID/DNIS NAR をクリックすると表示できます。

ステップ 3 IP アドレスまたは IP アドレスとポートに基づいてユーザ アクセスを許可または拒否する NAR を特定のユーザに対して定義および適用するには、次の手順に従います。


ヒント 複数のグループまたはユーザに制限を適用できるように、Shared Components セクションでほとんどの NAR を定義する必要があります。詳細については、「共有ネットワーク アクセス制限の追加」を参照してください。

a. Per User Defined Network Access Restrictions の下の Network Access Restrictions テーブルで、 Define IP-based access restrictions チェックボックスをオンにします。

b. 後続のリストによって指定されるものが、許可される IP アドレスなのか拒否される IP アドレスなのかを指定するために、Table Defines リストから次のいずれかを選択します。

Permitted Calling/Point of Access Locations

Denied Calling/Point of Access Locations

c. 次の各ボックスで情報を選択または入力します。

AAA Client :アクセスを許可または拒否する All AAA Clients 、Network Device Group(NDG; ネットワーク デバイス グループ)の名前、または個々の AAA クライアントの名前を選択します。

Port :アクセスを許可または拒否するポート番号を入力します。ワイルドカードのアスタリスク(*)を使用すると、選択した AAA クライアント上のすべてのポートへのアクセスを許可または拒否できます。

Address :アクセス制限を実行する場合に使用する 1 つ以上の IP アドレスを入力します。ワイルドカードのアスタリスク(*)を使用できます。


) AAA Client リスト、Port ボックス、および Src IP Address ボックスに入力する文字の合計数は 1024 文字以内にする必要があります。Cisco Secure ACS は、NAR を追加するときに 1024 文字を超える文字を受け付けますが、その NAR は編集できず、Cisco Secure ACS は NAR をユーザに正確に適用できません。


d. enter をクリックします。

指定した AAA クライアント、ポート、およびアドレス情報が、AAA Client リストの上のテーブルに表示されます。

ステップ 4 発信場所または確立された IP アドレス以外の値に基づいてユーザ アクセスを許可または拒否するには、次の手順に従います。

a. Define CLI/DNIS based access restrictions チェックボックスをオンにします。

b. 後続のリストで指定されるものが、許可される IP アドレスなのか拒否される IP アドレスなのかを指定するために、Table Defines リストから次のいずれかを選択します。

Permitted Calling/Point of Access Locations

Denied Calling/Point of Access Locations

c. 次のボックスに入力します。


) 各ボックスでエントリを作成する必要があります。値の全部または一部にワイルドカードのアスタリスク(*)を使用できます。使用するフォーマットは、AAA クライアントから受け取る文字列のフォーマットに一致する必要があります。このフォーマットは、RADIUS Accounting Log から判別できます。


AAA Client :アクセスを許可または拒否する All AAA Clients 、NDG の名前、または個々の AAA クライアントの名前を選択します。

PORT :アクセスを許可または拒否するポート番号を入力します。ワイルドカードのアスタリスク(*)を使用して、すべてのポートへのアクセスを許可または拒否できます。

CLI :アクセスを許可または拒否する CLI 番号を入力します。ワイルドカードのアスタリスク(*)を使用して、この番号の一部に基づいてアクセスを許可または拒否できます。


ヒント この選択項目は、Cisco Aironet クライアント MAC アドレスなど、その他の値に基づいてアクセスを制限する場合にも使用されます。詳細については、「ネットワーク アクセス制限について」を参照してください。

DNIS :アクセスを許可または拒否する DNIS 番号を入力します。ユーザがダイヤルする番号に基づいてアクセスを制限するには、このオプションを使用します。ワイルドカードのアスタリスク(*)を使用して、この番号の一部に基づいてアクセスを許可または拒否できます。


ヒント この選択項目は、Cisco Aironet AP MAC アドレスなど、その他の値に基づいてアクセスを制限する場合にも使用されます。詳細については、「ネットワーク アクセス制限について」を参照してください。


) AAA Client リスト、Port ボックス、CLI ボックス、および DNIS ボックスに入力する文字の合計数は 1024 文字以内にする必要があります。Cisco Secure ACS は、NAR を追加するときに 1024 文字を超える文字を受け付けますが、その NAR は編集できず、Cisco Secure ACS はその NAR をユーザに正確に適用できません。


d. enter をクリックします。

AAA クライアント、ポート、CLI、および DNIS を指定する情報が、AAA Client リストの上のテーブルに表示されます。

ステップ 5 次のいずれかの操作をします。

ユーザ アカウント オプションの設定の終了後、 Submit をクリックして、オプションを記録します。

ユーザ アカウント オプションの指定を続けるには、必要に応じて、この章の各手順に従います。


 

ユーザの最大セッション数オプションの設定

Max Sessions 機能を使用すると、ユーザに許可する同時接続の最大数を設定できます。Cisco Secure ACS では、セッションは PPP、Telnet、または ARAP など、RADIUS または TACACS+ によってサポートされる任意の種類のユーザ接続とみなされます。ただし、Cisco Secure ACS でセッションを認識するには、AAA クライアントでアカウンティングを使用可能にする必要があることに注意してください。すべてのセッション カウントは、ユーザ名とグループ名のみに基づいています。Cisco Secure ACS は、セッションの種類による区別をサポートしていません。すべてのセッションは同じセッションとしてカウントされます。たとえば、PPP セッションで AAA クライアントにダイヤルインした Max Session カウント 1 のユーザは、同じ Cisco Secure ACS によってアクセスが制御されている場所に Telnet 接続しようとすると、接続を拒否されます。


) 各 Cisco Secure ACS は、独自の Max Sessions カウントを保持しています。Cisco Secure ACS が複数の Cisco Secure ACS 間で Max Sessions カウントを共有するメカニズムはありません。したがって、2 つの Cisco Secure ACS が負荷を分散するミラー ペアとしてセットアップされている場合は、それぞれ完全に独立した Max Sessions 合計のビューを持ちます。



ヒント Max Sessions テーブルが表示されない場合は、Interface Configuration をクリックし、Advanced Options をクリックしてから Max Sessions チェックボックスをオンにします。


ユーザの Max Sessions オプションを設定するには、次の手順に従います。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 からステップ 3 に従います。

User Setup Edit ページが開きます。追加または編集しているユーザ名は、ページの上部に表示されます。

ステップ 2 Max Sessions テーブルの Sessions available to user の下で、次の 3 つのいずれかのオプションを選択します。

Unlimited :これを選択すると、このユーザに無制限の同時セッション数が許可されます(このため、事実上 Max Sessions が使用不可になります)。

n :これを選択した場合、このユーザに許可する最大同時セッション数を入力します。

Use group setting :グループに対して Max Sessions 値を使用する場合に選択します。


) デフォルトの設定は、Use group setting です。



) ユーザの Max Sessions 設定は、グループの Max Sessions 設定よりも優先されます。たとえば、グループ Sales の Max Sessions 値が 10 しかなくても、グループ Sales のユーザ John に無制限のユーザ Max Sessions 値が設定されている場合、John には無制限のセッション数が許可されます。


ステップ 3 次のいずれかの操作をします。

ユーザ アカウント オプションの設定の終了後、 Submit をクリックして、オプションを記録します。

ユーザ アカウント オプションの指定を続けるには、必要に応じて、この章の各手順に従います。


 

ユーザの使用クォータ オプションの設定

個々のユーザに対して使用クォータを定義できます。次の 2 つの方法のいずれかまたは両方でユーザを制限できます。

選択した期間に対するセッションの合計時間

選択した期間に対するセッションの合計数

Cisco Secure ACS では、セッションは PPP、Telnet、または ARAP など、RADIUS または TACACS+ によってサポートされる任意の種類のユーザ接続とみなされます。ただし、Cisco Secure ACS でセッションを認識するには、AAA クライアントでアカウンティングを使用可能にする必要があることに注意してください。個々のユーザに対して Session Quotas セクションで何も選択しない場合、Cisco Secure ACS はユーザが割り当てられているグループのセッション クォータを適用します。


) User Usage Quotas 機能が表示されない場合は、Interface Configuration をクリックし、Advanced Options をクリックしてから、Usage Quotas チェックボックスをオンにします。



ヒント User Setup Edit ページの User Usage Quotas テーブルの下の Current Usage テーブルには、現在のユーザの使用統計情報が表示されます。Current Usage テーブルには、日、週、月、および使用合計のカラムに、ユーザによって使用されたオンライン時間とセッションの両方が一覧表示されます。Current Usage テーブルは、確立したユーザ アカウントのみについて表示されます。つまり、初期ユーザ セットアップ中には表示されません。


このクォータを超過したユーザに対して、Cisco Secure ACS は、そのユーザが次にセッションを開始しようとしたときにアクセスを拒否します。セッション中にクォータを超えた場合、Cisco Secure ACS はセッションの継続を許可します。ユーザが使用クォータを超過したためにユーザ アカウントが使用不可になった場合、User Setup Edit ページにはこの理由のためにアカウントが使用不可になったことを示すメッセージが表示されます。

User Setup ページで、ユーザに対するセッション クォータ カウンタをリセットできます。使用クォータ カウンタのリセットの詳細については、「ユーザのセッション クォータ カウンタのリセット」を参照してください。

時間ベースのクォータをサポートするには、すべての AAA クライアント上でアカウンティング更新パケットを使用可能にすることを推奨します。アップデート パケットが使用可能でない場合、クォータはユーザがログオフしたときだけアップデートされます。ユーザがネットワークへのアクセスに使用している AAA クライアントに障害が起きた場合、クォータはアップデートされません。ISDN などでの複数セッションの場合には、すべてのセッションが終了するまでクォータが更新されず、したがって、そのユーザに割り当てられているクォータが最初のチャネルで使い果たされた場合でも、2 番目のチャネルが許可されます。

ユーザの使用クォータ オプションを設定するには、次の手順に従います。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 からステップ 3 に従います。

User Setup Edit ページが開きます。追加または編集しているユーザ名は、ページの上部に表示されます。

ステップ 2 Usage Quotas テーブルで、 Use these settings を選択します。

ステップ 3 ユーザのセッション時間に基づいて使用クォータを定義するには、次の手順に従います。

a. Limit user to x hours of online time チェックボックスをオンにします。

b. Limit user to x hours of online time ボックスにそのユーザを制限する時間を入力します。分を示すには、小数値を使用します。たとえば、10.5 という値は 10 時間 30 分を表します。


) このフィールドには、最大 10 文字を入力できます。


c. 時間使用クォータを適用する期間を選択します。

per Day :午前 12:01 から深夜 12 時まで。

per Week :日曜日の午前 12:01 から土曜日の深夜 12 時まで。

per Month :毎月 1 日の午前 12:01 から、末日の深夜 12 時まで。

Absolute :期限のない継続的な時間のカウント。

ステップ 4 ユーザに対するセッション数に基づいて使用クォータを定義するには、次の手順に従います。

a. Limit user to x sessions チェックボックスをオンにします。

b. Limit user to x sessions ボックスにそのユーザを制限するセッション数を入力します。


) このフィールドには、最大 10 文字を入力できます。


c. セッション使用クォータを適用する期間を選択します。

per Day :午前 12:01 から深夜 12 時まで。

per Week :日曜日の午前 12:01 から土曜日の深夜 12 時まで。

per Month :毎月 1 日の午前 12:01 から、末日の深夜 12 時まで。

Absolute :期限のない継続的な時間のカウント。


 

ユーザ アカウントを使用不可にするオプションの設定

Account Disable 機能は、ユーザ アカウントを使用不可にする状況を定義します。


) この機能と、パスワードの有効期限によるアカウントの期限満了を混同しないでください。パスワードの有効期限は、個々のユーザではなく、グループのみに対して定義します。この機能は Account Disabled チェックボックスとも異なります。ユーザ アカウントを使用不可にする方法については、「ユーザ アカウントの使用不可設定」を参照してください。



) Windows ユーザ データベースでユーザを認証する場合、この期限満了情報は Windows ユーザ アカウントの情報に追加されます。ここでの変更によって、Windows の設定は変更されません。


ユーザ アカウントを使用不可にするオプションを設定するには、次の手順に従います。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 からステップ 3 に従います。

User Setup Edit ページが開きます。追加または編集しているユーザ名は、ページの上部に表示されます。

ステップ 2 次のいずれかの操作をします。

a. ユーザ アカウントを常に使用可能にするには、 Never オプションを選択します。


) これがデフォルト設定です。


b. 特定の状況の下でアカウントを使用不可にするには、 Disable account if オプションを選択します。次に、以下のボックスでいずれかまたは両方の状況を選択します。

Date exceeds Date exceeds: チェックボックスをオンにします。次に、アカウントを使用不可にする月を選択し、日付(2 文字)と年(4 文字)を入力します。


) デフォルトは、ユーザが追加されてから 30 日です。


Failed attempts exceed Failed attempts exceed チェックボックスをオンにして、アカウントを使用不可にするまでに許可する連続ログイン試行失敗の回数を入力します。


) デフォルトは 5 です。


ステップ 3 次のいずれかの操作をします。

ユーザ アカウント オプションの設定の終了後、 Submit をクリックして、オプションを記録します。

ユーザ アカウント オプションの指定を続けるには、必要に応じて、この章の各手順に従います。


 

ユーザへのダウンロード可能な IP ACL の割り当て

ダウンロード可能な ACL 機能を使用すると、ユーザ レベルで IP Access Control List(ACL; アクセス コントロール リスト)を割り当てることができます。割り当てる前に、1 つ以上の IP ACL を設定する必要があります。Cisco Secure ACS HTML インターフェイスの Shared Profile Components セクションを使用して、ダウンロード可能な IP ACL を設定する方法については、「ダウンロード可能な IP ACL の追加」を参照してください。


) Downloadable ACL テーブルは、使用可能にされていないと表示されません。
Downloadable ACL テーブルを使用可能にするには、Interface Configuration をクリックし、Advanced Options をクリックしてから、User-Level Downloadable ACLs チェックボックスをオンにします。


ユーザ アカウントにダウンロード可能な IP ACL を割り当てるには、次の手順に従います。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 からステップ 3 に従います。

User Setup Edit ページが開きます。追加および編集しているユーザ名は、ページの上部に表示されます。

ステップ 2 Downloadable ACLs セクションで、 Assign IP ACL: チェックボックスをクリックします。

ステップ 3 リストから IP ACL を選択します。

ステップ 4 次のいずれかの操作をします。

ユーザ アカウント オプションの設定の終了後、 Submit をクリックして、オプションを記録します。

ユーザ アカウント オプションの指定を続けるには、必要に応じて、この章の各手順に従います。


 

高度なユーザ認証の設定

ここでは、ユーザレベルの TACACS+ および RADIUS のイネーブル パラメータを設定するための操作について説明します。

この項では、次のトピックについて取り上げます。

「TACACS+ Settings(ユーザ)」

「ユーザの TACACS+ 設定の構成」

「ユーザのシェル コマンド許可セットの設定」

「ユーザの PIX コマンド許可セットの設定」

「ユーザのデバイス管理コマンド許可の設定」

「ユーザの未知のサービス設定の構成」

「Advanced TACACS+ Settings(ユーザ)」

「ユーザのイネーブル特権オプションの設定」

「ユーザの TACACS+ イネーブル パスワード オプションの設定」

「ユーザの TACACS+ 発信パスワードの設定」

「RADIUS Attributes」

「ユーザの IETF RADIUS パラメータの設定」

「ユーザの Cisco IOS/PIX RADIUS パラメータの設定」

「ユーザの Cisco Aironet RADIUS パラメータの設定」

「ユーザの Ascend RADIUS パラメータの設定」

「ユーザの Cisco VPN 3000 Concentrator RADIUS パラメータの設定」

「ユーザの Cisco VPN 5000 Concentrator RADIUS パラメータの設定」

「ユーザの Microsoft RADIUS パラメータの設定」

「ユーザの Nortel RADIUS パラメータの設定」

「ユーザの Juniper RADIUS パラメータの設定」

「ユーザの BBSM RADIUS パラメータの設定」

「ユーザのカスタム RADIUS アトリビュートの設定」

TACACS+ Settings(ユーザ)

TACACS+ Settings セクションでは、ユーザの許可のために適用するサービスとプロトコルのパラメータを使用可能にし、設定することができます。

この項では、次のトピックについて取り上げます。

「ユーザの TACACS+ 設定の構成」

「ユーザのシェル コマンド許可セットの設定」

「ユーザの PIX コマンド許可セットの設定」

「ユーザのデバイス管理コマンド許可の設定」

「ユーザの未知のサービス設定の構成」

ユーザの TACACS+ 設定の構成

この手順を使用すると、次のサービスとプロトコルに対して、ユーザ レベルで TACACS+ を設定できます。

PPP IP

PPP IPX

PPP Multilink

PPP Apple Talk

PPP VPDN

PPP LCP

ARAP

Shell(exec)

PIX Shell(pixShell)

SLIP

設定済みの新しい TACACS+ サービスも使用可能にすることができます。User Setup セクションにすべてのサービスとプロトコルの設定を表示すると繁雑になるため、インターフェイスを設定するときに、ユーザ レベルで非表示または表示する設定を選択します。Cisco Secure ACS HTML インターフェイスで新規または既存の TACACS+ サービスを設定する方法の詳細については、「TACACS+ のプロトコル設定オプション」を参照してください。

Cisco Secure ACS を Cisco デバイス管理アプリケーションと相互動作するように設定してある場合は、そのデバイス管理アプリケーションをサポートするために、必要に応じて新しい TACACS+ サービスが自動的に表示されます。Cisco Secure ACS とデバイス管理アプリケーションの相互動作の詳細については、「Cisco デバイス管理アプリケーションのサポート」を参照してください。

アトリビュートの詳細については、 付録B「TACACS+ のアトリビュートと値のペア」 または使用している AAA クライアントのマニュアルを参照してください。IP ACL の割り当てについては、「ユーザへのダウンロード可能な IP ACL の割り当て」を参照してください。

始める前に

TACACS+ のサービスとプロトコルの設定を表示するには、セキュリティ制御プロトコルとして TACACS+ を使用するように AAA クライアントを設定する必要があります。

Interface Configuration の Advanced Options セクションで、Per-user TACACS+/RADIUS Attributes チェックボックスがオンであることを確認します。

ユーザの TACACS+ 設定を構成するには、次の手順に従います。


ステップ 1 Interface Configuration をクリックしてから、 TACACS+ (Cisco IOS) をクリックします。TACACS+ Services テーブルの見出し User の下で、設定する各サービスおよびプロトコルに対してチェックボックスがオンであることを確認します。

ステップ 2 「基本ユーザ アカウントの追加」のステップ 1 からステップ 3 に従います。

User Setup Edit ページが開きます。追加または編集しているユーザ名は、ページの上部に表示されます。

ステップ 3 TACACS+ Settings テーブルまでスクロールし、(PPP IP)など、太字のサービス名のチェックボックスをオンにして、そのプロトコルを使用可能にします。

ステップ 4 選択したサービス内で特定のパラメータを使用可能にするには、特定のパラメータの隣にあるチェックボックスをオンにして、場合に応じて次のいずれかの操作をします。

Enabled チェックボックスをオンにします。

対応するアトリビュート ボックスで値を指定します。

ACL および IP アドレス プールを指定するには、AAA クライアントで定義した ACL またはプールの名前を入力します。デフォルト(AAA クライアントで定義されたもの)を使用する場合は、ボックスを空のままにします。アトリビュートの詳細については、 付録B「TACACS+ のアトリビュートと値のペア」 または使用している AAA クライアントのマニュアルを参照してください。IP ACL の割り当てについては、「ユーザへのダウンロード可能な IP ACL の割り当て」を参照してください。


ヒント ACL とは、ネットワーク上の他のデバイスやユーザとの間のアクセスを制限するために使用する Cisco IOS コマンドのリストです。

ステップ 5 特定のサービスに対してカスタム アトリビュートを使用するには、そのサービスの Custom attributes チェックボックスをオンにしてから、そのチェックボックスの下のボックスでアトリビュートおよび値を指定します。

ステップ 6 次のいずれかの操作をします。

ユーザ アカウント オプションの設定の終了後、 Submit をクリックして、オプションを記録します。

ユーザ アカウント オプションの指定を続けるには、必要に応じて、この章の各手順に従います。


 

ユーザのシェル コマンド許可セットの設定

ユーザ用のシェル コマンド許可セット パラメータを指定するには、この手順を使用します。次の 5 つのオプションのいずれかを選択できます。

None :シェル コマンドは許可されません。

Group :このユーザに対して、グループレベルのシェル コマンド許可セットを適用します。

Assign a Shell Command Authorization Set for any network device :1 つのシェル コマンド許可セットが割り当てられ、それがすべてのネットワーク デバイスに適用します。

Assign a Shell Command Authorization Set on a per Network Device Group Basis :特定の NDG で特定のシェル コマンド許可セットが有効になります。このオプションを選択した場合は、NDG とシェル コマンド許可セットとの関連付けをリストするテーブルを作成します。

Per User Command Authorization :特定の Cisco IOS コマンドと引数をユーザ レベルで許可または拒否できます。

始める前に

AAA クライアントが TACACS+ をセキュリティ制御プロトコルとして使用するように設定されていることを確認します。

Interface Configuration の Advanced Options セクションで、Per-user TACACS+/RADIUS Attributes チェックボックスがオンであることを確認します。

Interface Configuration の TACACS+ (Cisco) セクションの User カラムで、Shell (exec) オプションが選択されていることを確認します。

1 つ以上のシェル コマンド許可セットがすでに設定されていることを確認します。詳しい手順については、「コマンド許可セットの追加」を参照してください。

ユーザに対してシェル コマンド許可セット パラメータを指定するには、次の手順に従います。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 からステップ 3 に従います。

User Setup Edit ページが開きます。追加または編集しているユーザ名は、ページの上部に表示されます。

ステップ 2 TACACS+ Settings テーブルとその中の Shell Command Authorization Set 機能領域までスクロールします。

ステップ 3 シェル コマンド許可セットが一切適用されないようにするには、 None オプションを選択します(またはデフォルトのままにします)。

ステップ 4 グループ レベルでシェル コマンド許可セットを割り当てるには、 As Group オプションを選択します。

ステップ 5 特定のシェル コマンド許可セットを、すべての設定済みネットワーク デバイス上で有効にするには、次の手順に従います。

a. Assign a Shell Command Authorization Set for any network device オプションを選択します。

b. 次に、そのオプションのすぐ下にあるリストから、そのユーザに適用するシェル コマンド許可セットを選択します。

ステップ 6 特定のシェル コマンド許可セットが特定の NDG 上で有効になるように割り当てる関連付けを作成するには、関連付けごとに、次の手順に従います。

a. Assign a Shell Command Authorization Set on a per Network Device Group Basis オプションを選択します。

b. Device Group と、それに対応する Command Set を選択します。

c. Add Association をクリックします。


ヒント コマンド セットと NDG <デフォルト> リストを関連付けるだけで、リストされていないネットワーク デバイス グループに適用するコマンド セットを選択することもできます。

1 つ以上の NDG および関連付けられたシェル コマンド許可セットがテーブルでペアになります。

ステップ 7 ユーザに対して許可または拒否される特定の Cisco IOS コマンドと引数を定義するには、次の手順に従います。

a. Per User Command Authorization オプションを選択します。

b. Unmatched Cisco IOS commands の下で、 Permit または Deny のどちらかを選択します。

Permit を選択すると、ユーザは特にリストされていないすべてのコマンドを発行できます。Deny を選択すると、ユーザはリストに示されているコマンドだけを発行できます。

c. 許可または拒否される特定のコマンドのリストを作成するには、 Command チェックボックスをオンにしてからコマンドの名前を入力し、標準の permit または deny 構文を使用してその引数を定義し、リストに示されなかった引数が許可されるのか拒否されるのかを選択します。


注意 これは強力で高度な機能であり、Cisco IOS コマンドに精通した管理者が使用する必要があります。その管理者は、正しい構文を使用する責任があります。Cisco Secure ACS で使用されるコマンド引数のパターン マッチングの方法については、「パターン マッチングについて」を参照してください。


ヒント 複数のコマンドを入力するには、コマンドを 1 つ入力するたびに Submit をクリックする必要があります。入力が完了したボックスの下に、新しいコマンド入力ボックスが表示されます。

ステップ 8 次のいずれかの操作をします。

ユーザ アカウント オプションの設定の終了後、 Submit をクリックして、オプションを記録します。

ユーザ アカウント オプションの指定を続けるには、必要に応じて、この章の各手順に従います。


 

ユーザの PIX コマンド許可セットの設定

この手順を使用して、ユーザに対して PIX コマンド許可セット パラメータを指定します。次の 4 つのオプションがあります。

None :PIX コマンドは許可されません。

Group :ユーザに対して、グループレベルの PIX コマンド許可セットを適用します。

Assign a PIX Command Authorization Set for any network device :1 つの PIX コマンド許可セットが割り当てられ、それがすべてのネットワーク デバイスに適用されます。

Assign a PIX Command Authorization Set on a per Network Device Group Basis :特定の PIX コマンド許可セットが特定の NDG に対して有効になります。

始める前に

セキュリティ制御プロトコルとして TACACS+ を使用するように AAA クライアントが設定されていることを確認します。

Interface Configuration の Advanced Options セクションで、 Per-user TACACS+/RADIUS Attributes チェックボックスがオンであることを確認します。

Interface Configuration の TACACS+ (Cisco) セクションの User カラムで、 PIX Shell (pixShell) オプションが選択されていることを確認します。

1 つ以上の PIX コマンド許可セットが設定されていることを確認します。詳しい手順については、「コマンド許可セットの追加」を参照してください。

ユーザに対して PIX コマンド許可セット パラメータを指定するには、次の手順に従います。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 からステップ 3 に従います。

User Setup Edit ページが開きます。追加または編集しているユーザ名は、ページの上部に表示されます。

ステップ 2 TACACS+ Settings テーブルとその中の PIX Command Authorization Set 機能領域までスクロールします。

ステップ 3 PIX コマンド許可セットが一切適用されないようにするには、 None オプションを選択します(デフォルトのままにします)。

ステップ 4 グループ レベルで PIX コマンド許可セットを割り当てるには、 As Group オプションを選択します。

ステップ 5 特定の PIX コマンド許可セットを、すべての設定済みネットワーク デバイス上で有効にするには、次の手順に従います。

a. Assign a PIX Command Authorization Set for any network device オプションを選択します。

b. そのオプションのすぐ下にあるリストから、そのユーザに適用する PIX コマンド許可セットを選択します。

ステップ 6 特定の PIX コマンド許可セットが特定の NDG 上で有効になるように割り当てる関連付けを作成するには、関連付けごとに、次の手順に従います。

a. Assign a PIX Command Authorization Set on a per Network Device Group Basis オプションを選択します。

b. Device Group と、それに対応する Command Set を選択します。

c. Add Association をクリックします。

関連付けられた NDG と PIX コマンド許可セットがテーブルに表示されます。

ステップ 7 次のいずれかの操作をします。

ユーザ アカウント オプションの設定の終了後、 Submit をクリックして、オプションを記録します。

ユーザ アカウント オプションの指定を続けるには、必要に応じて、この章の各手順に従います。


 

ユーザのデバイス管理コマンド許可の設定

ユーザ用のデバイス管理コマンド許可セット パラメータを指定するには、この手順を使用します。デバイス管理コマンド許可セットは、許可に Cisco Secure ACS を使用するように設定された Cisco デバイス管理アプリケーションでのタスクの許可をサポートします。次の 4 つのオプションのいずれかを選択できます。

None :該当する Cisco デバイス管理アプリケーションで発行されるコマンドについて、許可が行われません。

Group :ユーザに対して、該当するデバイス管理アプリケーションのグループレベル コマンド許可セットを適用します。

Assign a device-management application for any network device:該当するデバイス管理アプリケーション用に 1 つのコマンド許可セットが割り当てられ、その許可セットがすべてのネットワーク デバイス上でのタスク管理に適用されます。

Assign a device-management application on a per Network Device Group Basis:このオプションを使用すると、該当するデバイス管理アプリケーションについて、特定の NDG にコマンド許可セットを適用できます。適用することで、その NDG に属するネットワーク デバイス上でのすべての管理タスクが、その許可セットの影響を受けます。

始める前に

セキュリティ制御プロトコルとして TACACS+ を使用するように AAA クライアントが設定されていることを確認します。

Interface Configuration の Advanced Options セクションで、Per-user TACACS+/RADIUS Attributes チェックボックスがオンであることを確認します。

Interface Configuration の TACACS+ (Cisco) セクションの New Services で、該当するデバイス管理アプリケーションに対応する新しい TACACS+ サービスが User カラムで選択されていることを確認します。

コマンド許可セットを適用する場合は、1 つ以上のデバイス管理コマンド許可セットが設定されていることを確認します。詳しい手順については、「コマンド許可セットの追加」を参照してください。

ユーザに対してデバイス管理アプリケーション コマンド許可を指定するには、次の手順に従います。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 からステップ 3 に従います。

User Setup Edit ページが開きます。追加または編集しているユーザ名は、ページの上部に表示されます。

ステップ 2 TACACS+ Settings テーブルとその中の該当するデバイス管理アプリケーションのコマンド許可機能領域までスクロールします。

ステップ 3 該当するデバイス管理アプリケーションで実行される操作に対してコマンド許可が一切適用されないようにするには、 None オプションを選択します(デフォルトのままにします)。

ステップ 4 該当するデバイス管理アプリケーションのコマンド許可をグループ レベルで割り当てるには、 As Group オプションを選択します。

ステップ 5 すべてのネットワーク デバイス上で、デバイス管理アプリケーションのアクションに影響を及ぼす特定のコマンド許可セットを割り当てるには、次の手順に従います。

a. Assign a device-management application for any network device オプションを選択します。

b. 次に、そのオプションのすぐ下にあるリストから、そのユーザに適用するコマンド許可セットを選択します。

ステップ 6 特定の NDG 上でデバイス管理アプリケーションのアクションに影響を及ぼす特定のコマンド許可セットが割り当てられるよう関連付けを作成するには、関連付けごとに、次の手順に従います。

a. Assign a device-management application on a per Network Device Group Basis オプションを選択します。

b. Device Group と、それに対応する device-management application を選択します。

c. Add Association をクリックします。

関連付けられた NDG とコマンド許可セットがテーブルに表示されます。

ステップ 7 次のいずれかの操作をします。

ユーザ アカウント オプションの設定の終了後、 Submit をクリックして、オプションを記録します。

ユーザ アカウント オプションの指定を続けるには、必要に応じて、この章の各手順に従います。


 

ユーザの未知のサービス設定の構成

TACACS+ AAA クライアントで未知のサービスを許可する場合は、Checking this option will PERMIT all UNKNOWN Services の下の Default (Undefined) Services チェックボックスをオンにします。

ユーザの未知のサービス設定を構成するには、次の手順に従います。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 からステップ 3 に従います。

User Setup Edit ページが開きます。追加または編集しているユーザ名は、ページの上部に表示されます。

ステップ 2 見出し Checking this option will PERMIT all UNKNOWN Services の下のテーブルまでスクロールします。

ステップ 3 TACACS+ AAA クライアントでユーザに対して未知のサービスを許可するには、 Default (Undefined) Services チェックボックスをオンにします。

ステップ 4 次のいずれかの操作をします。

ユーザ アカウント オプションの設定の終了後、 Submit をクリックして、オプションを記録します。

ユーザ アカウント オプションの指定を続けるには、必要に応じて、この章の各手順に従います。


 

Advanced TACACS+ Settings(ユーザ)

ここで示す情報は、TACACS+ を設定した AAA クライアントがある場合に適用されます。


ヒント Advanced TACACS+ Settings(ユーザ)テーブルが表示されない場合は、Interface ConfigurationTACACS+ (Cisco IOS)Advanced TACACS+ Features の順にクリックします。


この項では、次のトピックについて取り上げます。

「ユーザのイネーブル特権オプションの設定」

「ユーザの TACACS+ イネーブル パスワード オプションの設定」

「ユーザの TACACS+ 発信パスワードの設定」

ユーザのイネーブル特権オプションの設定

Exec セッションで TACACS+ Enable Control を使用して、管理者のアクセスを制御します。通常、これはルータ管理を制御するために使用します。次の 4 つのオプションから、ユーザに与える特権レベルを選択および指定できます。

Use Group Level Setting :グループ レベルで設定された特権をこのユーザに設定します。

No Enable Privilege :ユーザにイネーブル特権を許可しません。


) これがデフォルト設定です。


Max Privilege for any AAA Client :ユーザが許可される AAA クライアントで、そのユーザに適用する最大特権レベルをリストから選択できます。

Define Max Privilege on a per-Network Device Group Basis :1 つ以上の NDG で最大特権レベルをユーザに関連付けられます。


) 特権レベルについては、AAA クライアントのマニュアルを参照してください。



ヒント ユーザ特権レベルを NDG に割り当てる前に、Interface Configuration で NDG を設定する必要があります。


ユーザの特権レベルを選択および指定するには、次の手順に従います。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 からステップ 3 に従います。

User Setup Edit ページが開きます。追加または編集しているユーザ名は、ページの上部に表示されます。

ステップ 2 Advanced TACACS+ Settings テーブルの TACACS+ Enable Control で、次の 4 つの特権オプションのいずれかを選択します。

Use Group Level Setting

No Enable Privilege


) (No Enable Privilege はデフォルトの設定で、新規のユーザ アカウントを設定するときに、あらかじめ選択されています。)


Max Privilege for Any Access Server

Define Max Privilege on a per-Network Device Group Basis

ステップ 3 ステップ 2 で Max Privilege for Any Access Server を選択した場合は、対応するリストから特権レベルを選択します。

ステップ 4 ステップ 2 で Define Max Privilege on a per-Network Device Group Basis を選択した場合は、場合に応じて次の手順を実行し、各 NDG の特権レベルを定義します。

a. Device Group リストで、デバイス グループを選択します。


) このリストに表示されるためには、あらかじめそのデバイス グループを設定しておく必要があります。


b. Privilege リストで、選択したデバイス グループに関連付ける特権レベルを選択します。

c. Add Association をクリックします。

デバイス グループを特定の特権レベルと関連付けるエントリが、テーブルに表示されます。

d. ユーザに関連付けるデバイス グループごとに、手順 a から手順 c を繰り返します。


ヒント エントリを削除するには、そのエントリを選択してから、Remove Associate をクリックします。

ステップ 5 次のいずれかの操作をします。

ユーザ アカウント オプションの設定の終了後、 Submit をクリックして、オプションを記録します。

ユーザ アカウント オプションの指定を続けるには、必要に応じて、この章の各手順に従います。


 

ユーザの TACACS+ イネーブル パスワード オプションの設定

ユーザに対して TACACS+ のイネーブル パスワード オプションを設定するには、次の 3 つのオプションから選択します。

Use CiscoSecure PAP password.

Use external database password.

Use separate password.

TACACS+ のイネーブル パスワードのオプションを設定するには、次の手順に従います。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 からステップ 3 に従います。

User Setup Edit ページが開きます。追加または編集しているユーザ名は、ページの上部に表示されます。

ステップ 2 次のいずれかの操作をします。

Password Authentication セクションで設定した情報を使用するには、 Use CiscoSecure PAP password を選択します。


) 基本パスワードの設定については、「基本ユーザ アカウントの追加」を参照してください。


外部データベース パスワードを使用するには、 Use external database password を選択してから、ユーザに対してイネーブル パスワードを認証するデータベースをリストから選択します。


) データベースのリストには、設定済みのデータベースのみが表示されます。詳細については、「外部ユーザ データベースについて」を参照してください。


別のパスワードを使用するには、 Use separate password をクリックしてから、再入力してユーザの制御パスワードを確認します。このパスワードは、通常の認証に加えて使用されます。

ステップ 3 次のいずれかの操作をします。

ユーザ アカウント オプションの設定の終了後、 Submit をクリックして、オプションを記録します。

ユーザ アカウント オプションの指定を続けるには、必要に応じて、この章の各手順に従います。


 

ユーザの TACACS+ 発信パスワードの設定

TACACS+ 発信パスワードを使用すると、AAA クライアントは発信認証を通じて別の AAA クライアントに対して自らを認証できます。発信認証は PAP、CHAP、MS-CHAP、または ARAP にすることができ、Cisco Secure ACS パスワードは無効になります。デフォルトでは、ASCII/PAP または CHAP/MS-CHAP/ARAP パスワードが使用されます。信頼できない着信パスワードを防止するために、別の SENDAUTH パスワードを設定できます。


注意 発信パスワードは、TACACS+ SendAuth/OutBound パスワードの使用に精通している場合にのみ使用してください。

ユーザに対して TACACS+ 発信パスワードを設定するには、次の手順に従います。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 からステップ 3 に従います。

User Setup Edit ページが開きます。追加または編集しているユーザ名は、ページの上部に表示されます。

ステップ 2 ユーザの TACACS+ 発信パスワードを入力し、確認のために再入力します。

ステップ 3 次のいずれかの操作をします。

ユーザ アカウント オプションの設定の終了後、 Submit をクリックして、オプションを記録します。

ユーザ アカウント オプションの指定を続けるには、必要に応じて、この章の各手順に従います。


 

RADIUS Attributes

全般的に IETF レベルで、またはベンダーごとの Vendor-Secific Attributes(VSA; ベンダー固有アトリビュート)に対して、RADIUS 認証のユーザ アトリビュートを設定できます。全般的なアトリビュートについては、「ユーザの IETF RADIUS パラメータの設定」を参照してください。Cisco Secure ACS には、すでにロードされ、設定および適用できる多数の一般的な VSA が付属しています。追加のカスタム RADIUS VSA の作成については、「カスタム RADIUS ベンダーと VSA」を参照してください。

この項では、次のトピックについて取り上げます。

「ユーザの IETF RADIUS パラメータの設定」

「ユーザの Cisco IOS/PIX RADIUS パラメータの設定」

「ユーザの Cisco Aironet RADIUS パラメータの設定」

「ユーザの Ascend RADIUS パラメータの設定」

「ユーザの Cisco VPN 3000 Concentrator RADIUS パラメータの設定」

「ユーザの Cisco VPN 5000 Concentrator RADIUS パラメータの設定」

「ユーザの Microsoft RADIUS パラメータの設定」

「ユーザの Nortel RADIUS パラメータの設定」

「ユーザの Juniper RADIUS パラメータの設定」

「ユーザの BBSM RADIUS パラメータの設定」

「ユーザのカスタム RADIUS アトリビュートの設定」

ユーザの IETF RADIUS パラメータの設定

RADIUS アトリビュートは、ユーザのプロファイルとして、Cisco Secure ACS から要求側の AAA クライアントへ送信されます。

これらのパラメータは、次のすべてが満たされた場合にだけ表示されます。

Network Configuration で、いずれかの AAA クライアントが RADIUS プロトコルの 1 つを使用するように設定されている。

Interface Configuration セクションの Advanced Options で Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。

User-level IETF RADIUS アトリビュートが、Interface Configuration セクションの RADIUS (IETF) で使用可能になっている。


) HTML インターフェイスでこれらのアトリビュートを表示または非表示にするには、「RADIUS のプロトコル設定オプション」を参照してください。



) RADIUS アトリビュートのリストと説明については、付録C「RADIUS アトリビュート」または RADIUS を使用するネットワーク デバイスのマニュアルを参照してください。


現在のユーザの許可として適用する IETF RADIUS アトリビュートを設定するには、次の手順に従います。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 からステップ 3 に従います。

User Setup Edit ページが開きます。追加または編集しているユーザ名は、ページの上部に表示されます。

ステップ 2 IETF RADIUS テーブルで、現在のユーザに対して許可する必要がある各アトリビュートの隣にあるチェックボックスをオンにしてから、場合に応じて、その隣にある 1 つ以上のボックスでアトリビュートの許可をさらに定義します。

ステップ 3 次のいずれかの操作をします。

ユーザ アカウント オプションの設定の終了後、 Submit をクリックして、オプションを記録します。

ユーザ アカウント オプションの指定を続けるには、必要に応じて、この章の各手順に従います。


 

ユーザの Cisco IOS/PIX RADIUS パラメータの設定

Cisco IOS RADIUS パラメータは、次のすべてが満たされた場合にだけ表示されます。

Network Configuration で、いずれかの AAA クライアントが RADIUS(Cisco IOS/PIX)を使用するように設定されている。

Interface Configuration セクションの Advanced Options で Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。

User-level RADIUS (Cisco IOS/PIX) アトリビュートが、Interface Configuration セクションの RADIUS (Cisco IOS/PIX) で使用可能になっている。


) Cisco IOS RADIUS VSA を表示または非表示にするには、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のユーザへの許可として適用されている VSA は、それに関連した AAA クライアントが削除されるか置き換えられても残ります。ただし、この(ベンダー)タイプの AAA クライアントが 1 つも設定されていないと、ユーザ設定インターフェイスに VSA 設定が表示されません。


Cisco IOS RADIUS は、Cisco IOS VSA のみを表します。IETF RADIUS アトリビュートと Cisco IOS RADIUS アトリビュートの両方を設定する必要があります。

現在のユーザの許可として適用する Cisco IOS RADIUS アトリビュートを設定し、使用可能にするには、次の手順に従います。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 からステップ 3 に従います。

User Setup Edit ページが開きます。追加または編集しているユーザ名は、ページの上部に表示されます。

ステップ 2 Cisco IOS RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが適切に設定されていることを確認します。IETF RADIUS アトリビュートの設定方法の詳細については、「ユーザの IETF RADIUS パラメータの設定」を参照してください。

ステップ 3 Cisco IOS/PIX RADIUS Attributes テーブルで、ユーザに対して許可するアトリビュートを指定するには、次の手順に従います。

a. [009\001] cisco-av-pair アトリビュート チェックボックスをオンにします。

b. RADIUS VSA としてパックする(TACACS+ コマンドなどの)コマンドを入力します。

c. 必要に応じて、アトリビュートの選択と定義を続けます。

ステップ 4 次のいずれかの操作をします。

ユーザ アカウント オプションの設定の終了後、 Submit をクリックして、オプションを記録します。

ユーザ アカウント オプションの指定を続けるには、必要に応じて、この章の各手順に従います。


 

ユーザの Cisco Aironet RADIUS パラメータの設定

ただ 1 つの Cisco Aironet RADIUS VSA である Cisco-Aironet-Session-Timeout は、仮想 VSA です。これは、IETF RADIUS Session-Timeout アトリビュート(27)専用の実装(再マッピング)として機能し、Cisco Aironet Access Point からの要求に応答します。これは、ユーザが無線デバイスと有線デバイスの両方で接続する必要がある場合に、さまざまなタイムアウト値を提供するために使用されます。特に WLAN 接続に対して 2 番目のタイムアウト値を提供するこの機能により、WLAN 接続(通常は分単位)に対して標準タイムアウト値(通常は時間単位)を使用する必要がある場合に生じる問題を回避できます。特定のユーザが Cisco Aironet Access Point のみで接続する場合は、Cisco-Aironet-Session-Timeout を使用する必要はありません。この設定は、ユーザが有線クライアントまたは無線クライアントで接続する場合に使用します。

たとえば、ユーザの Cisco-Aironet-Session-Timeout が 600 秒(10 分)に設定され、同じユーザの IETF RADIUS Session-Timeout が 3 時間に設定されているとします。そのユーザが VPN で接続した場合に、Cisco Secure ACS はタイムアウト値として 3 時間を使用します。しかし、その同じユーザが Cisco Aironet Access Point を介して接続した場合、Cisco Secure ACS では Aironet AP からの認証要求に対する応答として、IETF RADIUS Session-Timeout アトリビュートの中で 600 秒が送信されます。このように、Cisco-Aironet-Session-Timeout アトリビュートが設定されていると、エンドユーザ クライアントが有線デバイスと Cisco Aironet Access Point のどちらであるかに応じて、異なるセッション タイムアウト値を送信できます。

Cisco Aironet RADIUS パラメータは、次のすべてが満たされる場合にだけ、User Setup ページに表示されます。

Network Configuration で、いずれかの AAA クライアントが RADIUS(Cisco Aironet)を使用するように設定されている。

Interface Configuration セクションの Advanced Options で Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。

User-level RADIUS (Cisco Aironet) アトリビュートが、Interface Configuration セクションの RADIUS (Cisco Aironet) で使用可能になっている。


) Cisco Aironet RADIUS VSA を表示または非表示にするには、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のユーザへの許可として適用されている VSA は、それに関連した AAA クライアントが削除されるか置き換えられても残ります。ただし、この(ベンダー)タイプの AAA クライアントが 1 つも設定されていないと、ユーザ設定インターフェイスに VSA 設定が表示されません。


現在のユーザの許可として適用する Cisco Aironet RADIUS アトリビュートを設定し、使用可能にするには、次の手順に従います。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 からステップ 3 に従います。

User Setup Edit ページが開きます。追加または編集しているユーザ名は、ページの上部に表示されます。

ステップ 2 Cisco Aironet RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが適切に設定されていることを確認します。IETF RADIUS アトリビュートの設定方法の詳細については、「ユーザの IETF RADIUS パラメータの設定」を参照してください。

ステップ 3 Cisco Aironet RADIUS Attributes テーブルで、 [5842\001] Cisco-Aironet-Session-Timeout チェックボックスをオンにします。

ステップ 4 [5842\001] Cisco-Aironet-Session-Timeout ボックスにセッション タイムアウト値(秒単位)を入力します。この値は、AAA クライアントが RADIUS(Cisco Aironet)認証オプションを使用するように Network Configuration で設定されているときに、Cisco Secure ACS によって IETF RADIUS Session-Timeout(27)アトリビュートとして送信されます。推奨値は 600 秒です。

IETF RADIUS Session-Timeout アトリビュートの詳細については、 付録C「RADIUS アトリビュート」 または AAA クライアントのマニュアルを参照してください。

ステップ 5 次のいずれかの操作をします。

ユーザ アカウント オプションの設定の終了後、 Submit をクリックして、オプションを記録します。

ユーザ アカウント オプションの指定を続けるには、必要に応じて、この章の各手順に従います。


 

ユーザの Ascend RADIUS パラメータの設定

Ascend RADIUS パラメータは、次のすべてが満たされた場合にだけ表示されます。

Network Configuration で RADIUS (Ascend) を使用するように、AAA クライアントが設定されている。

Interface Configuration セクションの Advanced Options で Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。

適用する User-level RADIUS (Ascend) アトリビュートが、Interface Configuration セクションの RADIUS (Ascend) で使用可能になっている。

Ascend RADIUS は、Ascend 独自のアトリビュートを表しています。IETF RADIUS と Ascend RADIUS の両方のアトリビュートを設定する必要があります。独自のアトリビュートは、IETF アトリビュートよりも優先されます。

RADIUS に対して表示されるデフォルトのアトリビュート設定は、 Ascend-Remote-Addr です。


) Ascend RADIUS アトリビュートを表示または非表示にするには、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のユーザへの許可として適用されている VSA は、それに関連した AAA クライアントが削除されるか置き換えられても残ります。ただし、この(ベンダー)タイプの AAA クライアントが 1 つも設定されていないと、ユーザ設定インターフェイスに VSA 設定が表示されません。


現在のユーザの許可として適用する Ascend RADIUS アトリビュートを設定し、使用可能にするには、次の手順に従います。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 からステップ 3 に従います。

User Setup Edit ページが開きます。追加または編集しているユーザ名は、ページの上部に表示されます。

ステップ 2 Ascend RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが適切に設定されていることを確認します。IETF RADIUS アトリビュートの設定方法の詳細については、「ユーザの IETF RADIUS パラメータの設定」を参照してください。

ステップ 3 Ascend RADIUS Attributes テーブルで、ユーザに対して許可するアトリビュートを指定するには、次の手順に従います。

a. アトリビュートの隣にあるチェックボックスをオンにします。

b. さらに、その隣にあるボックスでアトリビュートの許可を定義します。

c. 必要に応じて、アトリビュートの選択と定義を続けます。

アトリビュートの詳細については、 付録C「RADIUS アトリビュート」 または使用している AAA クライアントのマニュアルを参照してください。

ステップ 4 次のいずれかの操作をします。

ユーザ アカウント オプションの設定の終了後、 Submit をクリックして、オプションを記録します。

ユーザ アカウント オプションの指定を続けるには、必要に応じて、この章の各手順に従います。


 

ユーザの Cisco VPN 3000 Concentrator RADIUS パラメータの設定

Cisco VPN 3000 シリーズ コンセントレータを経由してネットワークにアクセスするユーザに対する Microsoft MPPE 設定値を制御するには、
CVPN3000-PPTP-Encryption(VSA 20)アトリビュートおよび
CVPN3000-L2TP-Encryption(VSA 21)アトリビュートを使用します。
CVPN3000-PPTP-Encryption(VSA 20)および CVPN3000-L2TP-Encryption(VSA 21)の設定値が Microsoft MPPE RADIUS 設定値よりも優先されます。これらのアトリビュートのどちらかが使用可能になっている場合は、Cisco Secure ACS の HTML インターフェイス内で RADIUS(Microsoft)アトリビュートが使用可能になっているかどうか、またこれらのアトリビュートの設定値が何であるかにかかわらず、Cisco Secure ACS によって送信 RADIUS(Microsoft)アトリビュートで送信する値が決定され、RADIUS(Cisco VPN 3000)アトリビュートとともに送信されます。

Cisco VPN 3000 Concentrator RADIUS アトリビュートの設定は、次のすべてが満たされた場合にだけ表示されます。

Network Configuration で、いずれかの AAA クライアントが RADIUS(Cisco VPN 3000)を使用するように設定されている。

Interface Configuration セクションの Advanced Options で Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。

適用する User-level RADIUS (Cisco VPN 3000) アトリビュートが、Interface Configuration セクションの RADIUS (Cisco VPN 3000) で使用可能になっている。

Cisco VPN 3000 Concentrator RADIUS は、Cisco VPN 3000 Concentrator VSA だけを表しています。IETF RADIUS と Cisco VPN 3000 Concentrator RADIUS の両方のアトリビュートを設定する必要があります。


) Cisco VPN 5000 Concentrator RADIUS アトリビュートを表示または非表示にするには、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のユーザへの許可として適用されている VSA は、それに関連した AAA クライアントが削除されるか置き換えられても残ります。ただし、この(ベンダー)タイプの AAA クライアントが 1 つも設定されていないと、ユーザ設定インターフェイスに VSA 設定が表示されません。


現在のユーザの許可として適用する Cisco VPN 3000 Concentrator RADIUS アトリビュートを設定し、使用可能にするには、次の手順に従います。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 からステップ 3 に従います。

User Setup Edit ページが開きます。追加または編集しているユーザ名は、ページの上部に表示されます。

ステップ 2 Cisco VPN 3000 Concentrator RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが適切に設定されていることを確認します。

IETF RADIUS アトリビュートの設定方法の詳細については、「ユーザの IETF RADIUS パラメータの設定」を参照してください。

ステップ 3 Cisco VPN 3000 Concentrator Attribute テーブルで、ユーザに対して許可するアトリビュートを指定するには、次の手順に従います。

a. アトリビュートの隣にあるチェックボックスをオンにします。

b. さらに、その隣にあるボックスでアトリビュートの許可を定義します。

c. 必要に応じて、アトリビュートの選択と定義を続けます。

アトリビュートの詳細については、 付録C「RADIUS アトリビュート」 または使用している AAA クライアントのマニュアルを参照してください。

ステップ 4 次のいずれかの操作をします。

ユーザ アカウント オプションの設定の終了後、 Submit をクリックして、オプションを記録します。

ユーザ アカウント オプションの指定を続けるには、必要に応じて、この章の各手順に従います。


 

ユーザの Cisco VPN 5000 Concentrator RADIUS パラメータの設定

Cisco VPN 5000 Concentrator RADIUS アトリビュートの設定は、次のすべてが満たされた場合にだけ表示されます。

Network Configuration で、いずれかの AAA クライアントが RADIUS(Cisco VPN 5000)を使用するように設定されている。

Interface Configuration セクションの Advanced Options で Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。

適用する User-level RADIUS (Cisco VPN 5000) アトリビュートが、Interface Configuration セクションの RADIUS (Cisco VPN 5000) で使用可能になっている。

Cisco VPN 5000 Concentrator RADIUS は、Cisco VPN 5000 Concentrator VSA だけを表しています。IETF RADIUS と Cisco VPN 5000 Concentrator RADIUS の両方のアトリビュートを設定する必要があります。


) Cisco VPN 5000 Concentrator RADIUS アトリビュートを表示または非表示にするには、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のユーザへの許可として適用されている VSA は、それに関連した AAA クライアントが削除されるか置き換えられても残ります。ただし、この(ベンダー)タイプの AAA クライアントが 1 つも設定されていないと、ユーザ設定インターフェイスに VSA 設定が表示されません。


現在のユーザの許可として適用する Cisco VPN 5000 Concentrator RADIUS アトリビュートを設定し、使用可能にするには、次の手順に従います。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 からステップ 3 に従います。

User Setup Edit ページが開きます。追加または編集しているユーザ名は、ページの上部に表示されます。

ステップ 2 Cisco VPN 5000 Concentrator RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが適切に設定されていることを確認します。IETF RADIUS アトリビュートの設定方法の詳細については、「ユーザの IETF RADIUS パラメータの設定」を参照してください。

ステップ 3 Cisco VPN 5000 Concentrator Attribute テーブルで、ユーザに対して許可するアトリビュートを指定するには、次の手順に従います。

a. アトリビュートの隣にあるチェックボックスをオンにします。

b. さらに、その隣にあるボックスでアトリビュートの許可を定義します。

c. 必要に応じて、アトリビュートの選択と定義を続けます。

アトリビュートの詳細については、 付録C「RADIUS アトリビュート」 または使用している AAA クライアントのマニュアルを参照してください。

ステップ 4 次のいずれかの操作をします。

ユーザ アカウント オプションの設定の終了後、 Submit をクリックして、オプションを記録します。

ユーザ アカウント オプションの指定を続けるには、必要に応じて、この章の各手順に従います。


 

ユーザの Microsoft RADIUS パラメータの設定

Microsoft RADIUS は、Microsoft Point-to-Point Encryption(MPPE)をサポートしている VSA を提供します。MPPE は、ポイントツーポイント(PPP)リンクを暗号化するために Microsoft によって開発された暗号化技術です。PPP 接続は、ダイヤルイン回線または Virtual Private Network(VPN; バーチャル プライベート ネットワーク)トンネルを通じて確立できます。

Cisco VPN 3000 シリーズ コンセントレータを経由してネットワークにアクセスするユーザに対する Microsoft MPPE 設定値を制御するには、
CVPN3000-PPTP-Encryption(VSA 20)アトリビュートおよび
CVPN3000-L2TP-Encryption(VSA 21)アトリビュートを使用します。
CVPN3000-PPTP-Encryption(VSA 20)および CVPN3000-L2TP-Encryption(VSA 21)の設定値が Microsoft MPPE RADIUS 設定値よりも優先されます。これらのアトリビュートのどちらかが使用可能になっている場合は、Cisco Secure ACS の HTML インターフェイス内で RADIUS(Microsoft)アトリビュートが使用可能になっているかどうか、またこれらのアトリビュートの設定値が何であるかにかかわらず、Cisco Secure ACS によって送信 RADIUS(Microsoft)アトリビュートで送信する値が決定され、RADIUS(Cisco VPN 3000)アトリビュートとともに送信されます。

Microsoft RADIUS アトリビュートの設定は、次のすべてが満たされた場合にだけ表示されます。

Network Configuration で、いずれかの AAA クライアントが、Microsoft RADIUS VSA をサポートする RADIUS プロトコルを使用するように設定されている。

Interface Configuration セクションの Advanced Options で Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。

適用する User-level RADIUS (Microsoft) アトリビュートが、Interface Configuration セクションの RADIUS (Microsoft) で使用可能になっている。

次の Cisco Secure ACS RADIUS プロトコルでは、Microsoft RADIUS VSA がサポートされています。

Cisco IOS

Cisco VPN 3000

Cisco VPN 5000

Ascend

Microsoft RADIUS は、Microsoft VSA だけを表しています。IETF RADIUS と Microsoft RADIUS の両方のアトリビュートを設定する必要があります。


) Microsoft RADIUS アトリビュートを表示または非表示にするには、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のユーザへの許可として適用されている VSA は、それに関連した AAA クライアントが削除されるか置き換えられても残ります。ただし、この(ベンダー)タイプの AAA クライアントが 1 つも設定されていないと、ユーザ設定インターフェイスに VSA 設定が表示されません。


現在のユーザの許可として適用する Microsoft RADIUS アトリビュートを設定し、使用可能にするには、次の手順に従います。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 からステップ 3 に従います。

User Setup Edit ページが開きます。追加または編集しているユーザ名は、ページの上部に表示されます。

ステップ 2 Cisco IOS RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが適切に設定されていることを確認します。IETF RADIUS アトリビュートの設定方法の詳細については、「ユーザの IETF RADIUS パラメータの設定」を参照してください。

ステップ 3 Microsoft RADIUS Attributes テーブルで、ユーザに対して許可するアトリビュートを指定するには、次の手順に従います。

a. アトリビュートの隣にあるチェックボックスをオンにします。

b. さらに、その隣にあるボックスでアトリビュートの許可を定義します。

c. 必要に応じて、アトリビュートの選択と定義を続けます。

アトリビュートの詳細については、 付録C「RADIUS アトリビュート」 または使用している AAA クライアントのマニュアルを参照してください。


) MS-CHAP-MPPE-Keys アトリビュートの値は Cisco Secure ACS で自動生成されるため、HTML インターフェイスで設定する値はありません。


ステップ 4 次のいずれかの操作をします。

ユーザ アカウント オプションの設定の終了後、 Submit をクリックして、オプションを記録します。

ユーザ アカウント オプションの指定を続けるには、必要に応じて、この章の各手順に従います。


 

ユーザの Nortel RADIUS パラメータの設定

Nortel RADIUS パラメータは、次のすべてが満たされた場合にだけ表示されます。

Network Configuration で RADIUS (Nortel) を使用するように、AAA クライアントが設定されている。

Interface Configuration セクションの Advanced Options で Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。

適用する User-level RADIUS (Nortel) アトリビュートが、Interface Configuration セクションの RADIUS (Nortel) で使用可能になっている。

Nortel RADIUS は、Nortel 独自のアトリビュートだけを表しています。IETF RADIUS と Nortel RADIUS の両方のアトリビュートを設定する必要があります。独自のアトリビュートは、IETF アトリビュートよりも優先されます。


) Nortel RADIUS アトリビュートを表示または非表示にするには、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のユーザへの許可として適用されている VSA は、それに関連した AAA クライアントが削除されるか置き換えられても残ります。ただし、この(ベンダー)タイプの AAA クライアントが 1 つも設定されていないと、ユーザ設定インターフェイスに VSA 設定が表示されません。


現在のユーザの許可として適用する Nortel RADIUS アトリビュートを設定し、使用可能にするには、次の手順に従います。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 からステップ 3 に従います。

User Setup Edit ページが開きます。追加または編集しているユーザ名は、ページの上部に表示されます。

ステップ 2 Nortel RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが適切に設定されていることを確認します。IETF RADIUS アトリビュートの設定方法の詳細については、「ユーザの IETF RADIUS パラメータの設定」を参照してください。

ステップ 3 Nortel RADIUS Attributes テーブルで、ユーザに対して許可するアトリビュートを指定するには、次の手順に従います。

a. アトリビュートの隣にあるチェックボックスをオンにします。

b. さらに、その隣にあるボックスでアトリビュートの許可を定義します。

c. 必要に応じて、アトリビュートの選択と定義を続けます。

アトリビュートの詳細については、 付録C「RADIUS アトリビュート」 または使用している AAA クライアントのマニュアルを参照してください。

ステップ 4 次のいずれかの操作をします。

ユーザ アカウント オプションの設定の終了後、 Submit をクリックして、オプションを記録します。

ユーザ アカウント オプションの指定を続けるには、必要に応じて、この章の各手順に従います。


 

ユーザの Juniper RADIUS パラメータの設定

Juniper RADIUS パラメータは、次のすべてが満たされた場合にだけ表示されます。

Network Configuration で RADIUS (Juniper) を使用するように、AAA クライアントが設定されている。

Interface Configuration セクションの Advanced Options で Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。

適用する User-level RADIUS (Juniper) アトリビュートが、Interface Configuration セクションの RADIUS (Juniper) で使用可能になっている。

Juniper RADIUS は、Juniper 独自のアトリビュートだけを表しています。IETF RADIUS と Juniper RADIUS の両方のアトリビュートを設定する必要があります。独自のアトリビュートは、IETF アトリビュートよりも優先されます。


) Juniper RADIUS アトリビュートを表示または非表示にするには、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のユーザへの許可として適用されている VSA は、それに関連した AAA クライアントが削除されるか置き換えられても残ります。ただし、この(ベンダー)タイプの AAA クライアントが 1 つも設定されていないと、ユーザ設定インターフェイスに VSA 設定が表示されません。


現在のユーザの許可として適用する Juniper RADIUS アトリビュートを設定し、使用可能にするには、次の手順に従います。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 からステップ 3 に従います。

User Setup Edit ページが開きます。追加または編集しているユーザ名は、ページの上部に表示されます。

ステップ 2 Juniper RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが適切に設定されていることを確認します。IETF RADIUS アトリビュートの設定方法の詳細については、「ユーザの IETF RADIUS パラメータの設定」を参照してください。

ステップ 3 Juniper RADIUS Attributes テーブルで、ユーザに対して許可するアトリビュートを指定するには、次の手順に従います。

a. アトリビュートの隣にあるチェックボックスをオンにします。

b. さらに、その隣にあるボックスでアトリビュートの許可を定義します。

c. 必要に応じて、アトリビュートの選択と定義を続けます。

アトリビュートの詳細については、 付録C「RADIUS アトリビュート」 または使用している AAA クライアントのマニュアルを参照してください。

ステップ 4 次のいずれかの操作をします。

ユーザ アカウント オプションの設定の終了後、 Submit をクリックして、オプションを記録します。

ユーザ アカウント オプションの指定を続けるには、必要に応じて、この章の各手順に従います。


 

ユーザの BBSM RADIUS パラメータの設定

BBSM RADIUS パラメータは、次のすべてが満たされた場合にだけ表示されます。

Network Configuration で RADIUS (BBSM) を使用するように、AAA クライアントが設定されている。

Interface Configuration セクションの Advanced Options で Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。

適用する User-level RADIUS (BBSM) アトリビュートが、Interface Configuration セクションの RADIUS (BBSM) で使用可能になっている。

BBSM RADIUS は、BBSM 独自のアトリビュートだけを表しています。IETF RADIUS と BBSM RADIUS の両方のアトリビュートを設定する必要があります。独自のアトリビュートは、IETF アトリビュートよりも優先されます。


) BBSM RADIUS アトリビュートを表示または非表示にするには、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のユーザへの許可として適用されている VSA は、それに関連した AAA クライアントが削除されるか置き換えられても残ります。ただし、この(ベンダー)タイプの AAA クライアントが 1 つも設定されていないと、ユーザ設定インターフェイスに VSA 設定が表示されません。


現在のユーザの許可として適用する BBSM RADIUS アトリビュートを設定し、使用可能にするには、次の手順に従います。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 からステップ 3 に従います。

User Setup Edit ページが開きます。追加または編集しているユーザ名は、ページの上部に表示されます。

ステップ 2 BBSM RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが適切に設定されていることを確認します。IETF RADIUS アトリビュートの設定方法の詳細については、「ユーザの IETF RADIUS パラメータの設定」を参照してください。

ステップ 3 BBSM RADIUS Attributes テーブルで、ユーザに対して許可するアトリビュートを指定するには、次の手順に従います。

a. アトリビュートの隣にあるチェックボックスをオンにします。

b. さらに、その隣にあるボックスでアトリビュートの許可を定義します。

c. 必要に応じて、アトリビュートの選択と定義を続けます。

アトリビュートの詳細については、 付録C「RADIUS アトリビュート」 または使用している AAA クライアントのマニュアルを参照してください。

ステップ 4 次のいずれかの操作をします。

ユーザ アカウント オプションの設定の終了後、 Submit をクリックして、オプションを記録します。

ユーザ アカウント オプションの指定を続けるには、必要に応じて、この章の各手順に従います。


 

ユーザのカスタム RADIUS アトリビュートの設定

カスタム RADIUS パラメータは、次のすべてが満たされた場合にだけ表示されます。

カスタム RADIUS VSA が定義され、設定されている(ユーザ定義 RADIUS VSA の作成方法については、「カスタム RADIUS ベンダーと VSA」を参照してください)。

Network Configuration で、いずれかの AAA クライアントが、カスタム VSA をサポートする RADIUS プロトコルを使用するように設定されている。

Interface Configuration セクションの Advanced Options で Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。

適用する User-level RADIUS ( custom name ) アトリビュートが、Interface Configuration セクションの RADIUS ( custom name ) で使用可能になっている。

IETF RADIUS とカスタム RADIUS の両方のアトリビュートを設定する必要があります。独自のアトリビュートは、IETF アトリビュートよりも優先されます。

現在のユーザの許可として適用するカスタム RADIUS アトリビュートを設定し、使用可能にするには、次の手順に従います。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 からステップ 3 に従います。

User Setup Edit ページが開きます。追加または編集しているユーザ名は、ページの上部に表示されます。

ステップ 2 カスタム RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが適切に設定されていることを確認します。IETF RADIUS アトリビュートの設定方法の詳細については、「ユーザの IETF RADIUS パラメータの設定」を参照してください。

ステップ 3 RADIUS custom name Attributes テーブルで、ユーザに対して許可するアトリビュートを指定するには、次の手順に従います。

a. アトリビュートの隣にあるチェックボックスをオンにします。

b. 必要に応じて、その隣にあるボックスでアトリビュートの許可をさらに定義します。

c. 必要に応じて、アトリビュートの選択と定義を続けます。

アトリビュートの詳細については、 付録C「RADIUS アトリビュート」 または使用している AAA クライアントのマニュアルを参照してください。

ステップ 4 次のいずれかの操作をします。

ユーザ アカウント オプションの設定の終了後、 Submit をクリックして、オプションを記録します。

ユーザ アカウント オプションの指定を続けるには、必要に応じて、この章の各手順に従います。


 

ユーザ管理

ここでは、User Setup セクションを使用して、さまざまなユーザ アカウント管理タスクを実行する方法について説明します。

この項では、次のトピックについて取り上げます。

「すべてのユーザの一覧表示」

「ユーザの検索」

「ユーザ アカウントの使用不可設定」

「ユーザ アカウントの削除」

「ユーザのセッション クォータ カウンタのリセット」

「ログイン失敗後のユーザ アカウントのリセット」

「ユーザ設定の保存」

すべてのユーザの一覧表示

User List には、すべてのユーザ アカウント(使用可能および使用不可)が表示されます。このリストには、各ユーザについて、ユーザ名、ステータス、そのユーザが属するグループが示されます。

ユーザ名は、データベースに入力された順序で表示されます。このリストをソートすることはできません。

すべてのユーザ アカウントのリストを表示するには、次の手順に従います。


ステップ 1 ナビゲーション バーの User Setup をクリックします。

User Setup Select ページが開きます。

ステップ 2 List All Users をクリックします。

右側の表示領域に、User List が表示されます。

ステップ 3 個々のユーザの情報を表示または編集するには、右のウィンドウでユーザ名をクリックします。

ユーザ アカウント情報が表示されます。


 

ユーザの検索

ユーザを検索するには、次の手順に従います。


ステップ 1 ナビゲーション バーの User Setup をクリックします。

User Setup Select ページが開きます。

ステップ 2 User ボックスに名前を入力してから、 Find をクリックします。


ヒント このボックスでは、ワイルドカード文字(*)を使用できます。


ヒント 特定の文字または番号で始まるユーザ名のリストを表示するには、英数字リストで文字または番号をクリックします。名前がその文字または番号で始まるユーザのリストが、右側の表示領域に表示されます。

ユーザ名、ステータス(使用可能または使用不可)、およびそのユーザが属するグループが右側の表示領域に表示されます。

ステップ 3 ユーザの情報を表示または編集するには、右側の表示領域でユーザ名をクリックします。

ユーザ アカウント情報が表示されます。


 

ユーザ アカウントの使用不可設定

この手順では、CiscoSecure ユーザ データベースでユーザ アカウントを手動で使用不可にする方法について詳しく説明します。


) ユーザ アカウントを自動的に使用不可にする条件を設定するには、「ユーザ アカウントを使用不可にするオプションの設定」を参照してください。



) この機能と、パスワードの有効期限によるアカウントの期限満了を混同しないでください。パスワードの有効期限は、個々のユーザではなく、グループのみに対して定義します。


ユーザ アカウントを使用不可にするには、次の手順に従います。


ステップ 1 ナビゲーション バーの User Setup をクリックします。

User Setup Select ページが開きます。

ステップ 2 User ボックスに、アカウントを使用不可にするユーザの名前を入力します。

ステップ 3 Add/Edit をクリックします。

User Setup Edit ページが開きます。編集しているユーザ名は、ページの上部に表示されます。

ステップ 4 Account Disabled チェックボックスをオンにします。

ステップ 5 ページの下部にある Submit をクリックします。

指定したユーザ アカウントが使用不可になります。


 

ユーザ アカウントの削除


注意 未知のユーザ ポリシーを使用して認証している場合は、外部ユーザ データベースからもユーザ アカウントを削除する必要があります。これによって、ユーザが次にログインしようとしたときに、ユーザ名が CiscoSecure ユーザ データベースに自動的に再追加されなくなります。

ユーザ アカウントを削除するには、次の手順に従います。


ステップ 1 User Setup をクリックします。

HTML インターフェイスの User Setup Select ページが表示されます。

ステップ 2 User ボックスに、削除するユーザの完全な名前を入力します。


) または、List All Users をクリックし、表示されるリストからユーザを選択します。


ステップ 3 Add/Edit をクリックします。

ステップ 4 User Setup ページの下部で、 Delete をクリックします。


) Delete ボタンは、ユーザ名を追加しているときではなく、ユーザ情報を編集しているときにのみ表示されます。


ユーザの削除の確認を要求するポップアップ ウィンドウが表示されます。

ステップ 5 OK をクリックします。

そのユーザ アカウントは、CiscoSecure ユーザ データベースから削除されます。


 

ユーザのセッション クォータ カウンタのリセット

ユーザがクォータを超過する前または後で、ユーザのセッション クォータ カウンタをリセットできます。

ユーザの使用クォータ カウンタをリセットするには、次の手順に従います。


ステップ 1 User Setup をクリックします。

HTML インターフェイスの Select ページが表示されます。

ステップ 2 User ボックスに、セッション クォータ カウンタをリセットするユーザの完全なユーザ名を入力します。


) または、List All Users をクリックし、表示されるリストからユーザを選択します。


ステップ 3 Add/Edit をクリックします。

ステップ 4 Session Quotas セクションで、 Reset All Counters on submit チェックボックスをオンにします。

ステップ 5 ブラウザ ページの下部にある Submit をクリックします。

ユーザのセッション クォータ カウンタがリセットされます。User Setup Select ページが表示されます。


 

ログイン失敗後のユーザ アカウントのリセット

ユーザによるログイン失敗時に試行失敗カウントを超過したために、アカウントが使用不可になった場合は、この手順に従います。

ログイン失敗後にユーザ アカウントをリセットするには、次の手順に従います。


ステップ 1 User Setup をクリックします。

HTML インターフェイスの User Setup Select ページが表示されます。

ステップ 2 User ボックスに、リセットするアカウントの完全なユーザ名を入力します。


) または、List All Users をクリックし、表示されるリストからユーザを選択します。


ステップ 3 Add/Edit をクリックします。

ステップ 4 Account Disable テーブルで、 Reset current failed attempts count on submit チェックボックスをオンにしてから、 Submit をクリックします。

The Failed attempts since last successful login: カウンタが 0(ゼロ)にリセットされ、そのアカウントは再び使用可能になります。


) このカウンタは、ユーザがログインに最後に成功した後で、ログイン試行に失敗した回数を示します。



) Windows ユーザ データベースでユーザを認証する場合、この期限満了情報は Windows ユーザ アカウントの情報に追加されます。ここでの変更によって、Windows の設定は変更されません。



 

ユーザ設定の保存

ユーザの設定の完了後は、必ずその作業内容を保存してください。

現在のユーザの設定を保存するには、次の手順に従います。


ステップ 1 ユーザ アカウント設定を保存するには、 Submit をクリックします。

ステップ 2 変更が適用されたことを確認するには、 User ボックスにユーザ名を入力し、 Add/Edit をクリックして、設定を表示します。