Cisco Secure ACS Appliance ユーザガイド 3.2
RDBMS 同期インポートの定義
RDBMS 同期インポートの定義
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

RDBMS 同期インポートの定義

accountActions の仕様

accountActions のフォーマット

accountActions の必須フィールド

accountActions の処理順序

アクション コード

値の設定と削除のためのアクション コード

ユーザ アカウントの作成と修正のためのアクション コード

アクセス フィルタの初期化と修正のためのアクション コード

TACACS+ および RADIUS のグループおよびユーザ設定を修正するためのアクション コード

ネットワーク設定を修正するためのアクション コード

Cisco Secure ACS のアトリビュートとアクション コード

ユーザ固有のアトリビュート

ユーザ定義のアトリビュート

グループ固有のアトリビュート

accountActions の例

RDBMS 同期インポートの定義

RDBMS 同期インポート定義は、accountActions ファイルの中で許可されるアクション コードを一覧にしたものです。 Cisco Secure Access Control Server(ACS)Appliance の RDBMS 同期機能では、「accountActions」という名前の CSV ファイルを CiscoSecure ユーザ データベースの自動または手動アップデートの入力情報として使用します。 accountActions の各行は、最初の行を除いて 1 つのアクションを表します。最初の行は、同期イベントの期間には無視されます。 これにより、accountActions の最初の行をフィールドのヘッダーとして使用できます。

RDBMS 同期機能と accountActions の詳細については、「RDBMS の同期」を参照してください。

この章では、次のトピックについて取り上げます。

「accountActions の仕様」

「アクション コード」

「Cisco Secure ACS のアトリビュートとアクション コード」

「accountActions の例」

accountActions の仕様

accountActions をテキスト エディタによって手作業で作成する場合でも、accountActions に書き込みを行うサードパーティ製のシステムによって自動作成する場合でも、accountActions の仕様に従い、「アクション コード」に詳しく示されているアクション コードだけを使用する必要があります。そうでない場合は、RDBMS 同期で誤った情報が CiscoSecure ユーザ データベースにインポートされたり、障害が発生したりするおそれがあります。

accountActions のフォーマット

accountActions 内の各行には、14 個のフィールド(カラム)があります。 表E-1 は、accountActions を構成するフィールドの一覧です。 表E-1 内での順序は、accountActions 内でのフィールドの出現順と同じです。

ニーモニックのカラムに示されている英字 1 ~ 2 文字は、「アクション コード」 内の各アクション コードに必要なフィールドを示すために使用する省略形です。

accountActions の例については、「accountActions の例」を参照してください。

 

表E-1 accountActions のフィールド

フィールド名
ニーモニック
タイプ
サイズ
(最大長)
コメント

SequenceId

SI

AutoNumber

32

一意のアクション ID。

Priority

P

Integer

1

アップデートを処理するときの優先順位。0 が最も低い優先順位です。

UserName

UN

String

32

トランザクションの適用対象となるユーザの名前。

GroupName

GN

String

32

トランザクションの適用対象となるグループの名前。

Action

A

Number

0 ~ 2 16

必要なアクション(「アクション コード」参照)。

ValueName

VN

String

255

変更するパラメータの名前。

Value1

V1

String

255

新しい値(数値パラメータの場合は 10 進文字列です)。

Value2

V2

String

255

TACACS+ プロトコルの名前。たとえば、「ip」または RADIUS VSA ベンダー ID。

Value3

V3

String

255

TACACS+ サービスの名前。たとえば、「ppp」または RADIUS VSA アトリビュート番号。

DateTime

DT

DateTime

--

そのアクションが作成された日付と時刻。

MessageNo

MN

Integer

--

関連するトランザクションに監査の目的で番号を付けるために使用されます。

ComputerNames

CN

String

32

CSDBSync によって予約済みです。

AppId

AI

String

255

変更する設定パラメータのタイプ。

Status

S

Number

32

0= 未処理、1= 完了、2= 失敗、の 3 種類のステータス。通常は 0 に設定されます。

accountActions の必須フィールド

すべてのアクションで、次の 3 つのフィールドは空にできず、必ず有効な値を入力する必要があります。

Action

DateTime

SequenceID

これら 3 つの必須フィールドのほかに、多くの場合、UserName フィールドと GroupName フィールドにも有効な値を入力する必要があります。

ユーザ アカウントに対してアクションを実行するトランザクションの場合は、UserName フィールドに有効な値が必要です。

グループに対してアクションを実行するトランザクションの場合は、GroupName フィールドに有効な値が必要です。

AAA クライアントに対してアクションを実行するトランザクションの場合は、UserName フィールドや GroupName フィールドに値を入力する必要はありません。


) UserName フィールドと GroupName フィールドは相互に排他的であり、どちらか一方だけに値を指定できます。どちらのフィールドにも値を入力せずに済む場合もあります。


accountActions の処理順序

Cisco Secure ACS では、accountActions からの行の読み取りと処理に特定の順序があります。Cisco Secure ACS では、最初に Priority フィールド(ニーモニック:P)の値によって順序が決定され、それで順序が決まらなかった場合に、Sequence ID フィールド(ニーモニック:SI)の値が使用されます。Cisco Secure ACS では、Priority フィールドの優先順位が高い行から処理されます。Priority フィールドの数値が小さいほど、優先順位は高くなります。たとえば、行 A の Priority フィールドの値が 1 で、行 B の Priority フィールドの値が 2 の場合、Cisco Secure ACS では行 A が先に処理されます。行 B の Sequence ID が行 A より小さくても関係ありません。両方の行の優先順位が同じ場合は、Sequence ID の小さい方から順に処理されます。

このように、Priority フィールド(P)を使用すると、ユーザの削除やパスワードの変更など、より重要なトランザクションを先に実行できます。RDBMS 同期の最も一般的な実装では、サードパーティ製のシステムが accountActions にバッチ モードで書き込み、すべてのアクション(行)に優先順位ゼロ(0)が割り当てられます。


) トランザクションの優先順位を変更するときは、トランザクションが正しい順序で処理されるように注意してください。たとえば、ユーザにパスワードを割り当てる前に、ユーザ アカウントを作成しておく必要があります。


MessageNo フィールド(ニーモニック:MN)を使用すると、たとえばユーザを追加してその後でパスワード値とステータスを設定するというように、関連するアクションを関連付けることができます。また、MessageNo フィールドを使用して、accountActions に書き込みを行うサードパーティ製システム用の監査証跡を作成できます。

アクション コード

ここでは、accountActions の Action フィールド(ニーモニック:A)に使用できるアクション コードを示します。「必要」の欄には、必須フィールド以外に入力する必要があるフィールドを、フィールドのニーモニック名を使用して示しています。accountActions の各フィールドに付いたニーモニック名の詳細については、 表E-1 を参照してください。必須フィールドの詳細については、「accountActions の必須フィールド」を参照してください。

アクションをユーザまたはグループに適用できる場合は、「UN|GN」と表記し、縦線によって 2 つのフィールドのいずれかに入力する必要があることを示してあります。アクションの影響がユーザだけに及ぶようにするには、グループ名を空のまま残します。アクションの影響がグループだけに及ぶようにするには、ユーザ名を空のまま残します。

この項では、次のトピックについて取り上げます。

「値の設定と削除のためのアクション コード」

「ユーザ アカウントの作成と修正のためのアクション コード」

「アクセス フィルタの初期化と修正のためのアクション コード」

「TACACS+ および RADIUS のグループおよびユーザ設定を修正するためのアクション コード」

「ネットワーク設定を修正するためのアクション コード」

値の設定と削除のためのアクション コード

最も基本的なアクション コードは、 表E-2 で説明する SET_VALUE(アクション コード:1)と DELETE_VALUE(アクション コード:2)です。

表E-2 に示した SET_VALUE アクション(アクション コード:1)と
DELETE_VALUE アクション(アクション コード:2)は、RDBMS 同期に対し、Cisco Secure ACS の各種の内部アトリビュートに値を割り当てるように指示します。シスコの担当者からこれらのアクション コードを別の目的に使用するよう要請された場合を除き、これらのアクション コードは、ユーザ定義フィールド(「ユーザ固有のアトリビュート」参照)に値を割り当てるためにだけ使用できます。

 

表E-2 値の設定と削除のためのアクション コード

アクション コード
名前
必要
説明

1

SET_VALUE

UN|GN、AI、VN、V1、V2

アプリケーション ID(AI)に、値(V1)、タイプ(V2)、名前(VN)を設定します。

アプリケーション ID(AI)には、次のいずれかを指定できます。

APP_CSAUTH

APP_CSTACACS

APP_CSRADIUS

APP_CSADMIN

値のタイプ(V2)には、次のいずれかを指定できます。

TYPE_BYTE :単一の 8 ビットの数値

TYPE_SHORT :単一の 16 ビットの数値

TYPE_INT :単一の 32 ビット数の数値

TYPE_STRING :単一の文字列

TYPE_ENCRYPTED_STRING :暗号化して保存する単一の文字列

TYPE_MULTI_STRING :タブで区切った一連のサブ文字列

TYPE_MULTI_INT :タブで区切った一連の 32 ビットの数値

例:

UN = “fred”
AI = “APP_CSAUTH”
VN = “My Value”
V2 = “TYPE_MULTI_STRING”
V1 = “str1 tab str2 tab str3”

2

DELETE_VALUE

UN|GN、AI、VN

アプリケーション ID(AI)の値(VN)と、ユーザ(UN)またはグループ(GN)を削除します。

ユーザ アカウントの作成と修正のためのアクション コード

表E-3 は、ユーザ アカウントの作成、修正、および削除を行うためのアクション コードの一覧です。


) ユーザ アカウントの修正、たとえばパスワードの割り当てなどを行うには、事前にそのユーザ アカウントを HTML インターフェイス、または ADD_USER アクション(アクション コード:100)を使用して作成しておく必要があります。


これらのコードを使用したトランザクションは、HTML インターフェイスの User Setup セクションに表示される設定に影響を与えます。User Setup セクションの詳細については、「ユーザ管理」を参照してください。

 

表E-3 ユーザの作成と修正のためのアクション コード

アクション コード
名前
必要
説明

100

ADD_USER

UN|GN、V1

ユーザを作成します(最大 32 文字)。V1 は、初期パスワードとして使用されます。オプションとして、そのユーザをグループに割り当てることもできます。

101

DELETE_USER

UN

ユーザを削除します。

102

SET_PAP_PASS

UN、V1

ユーザの PAP パスワードを設定します(最大 64 ASCII 文字)。CHAP/ARAP のデフォルトも、これになります。

103

SET_CHAP_PASS

UN、V1

ユーザの CHAP/ARAP パスワードを設定します(最大 64 文字)。

104

SET_OUTBOUND_CHAP_PASS

UN、V1

ユーザの CHAP/ARAP パスワードを設定します(最大 32 文字)。

105

SET_T+_ENABLE_PASS

UN、VN、V1、V2、V3

TACACS+ のイネーブル パスワード(V1)(最大 32 文字)と最大特権レベル(V2)(0 ~ 15)を設定します。

イネーブル タイプ(V3)は、次のいずれかにする必要があります。

ENABLE_LEVEL_AS_GROUP :グループ設定から引き継がれた最大特権。

ENABLE_LEVEL_NONE :T+ イネーブルを設定しない。

ENABLE_LEVEL_STATIC :イネーブル レベル
チェックのときに、V2 に設定された値を使用する。

アクション 108 の SET_PASS_TYPE のように、VN を使用してイネーブル パスワードを外部の認証にリンクできます。

106

SET_GROUP

UN、GN

ユーザを Cisco Secure ACS グループに割り当てます。

108

SET_PASS_TYPE

UN|GN、V1

ユーザのパスワード タイプを設定します。次のように、CiscoSecure ユーザ データベースのいずれかのパスワード タイプ、またはサポートされている外部データベースのパスワード タイプを設定できます。

PASS_TYPE_CSDB :CSDB の内部パスワード

PASS_ TYPE_CSDB_UNIX :CSDB の内部パスワード(UNIX の暗号化)

PASS_TYPE_NT :外部 Windows ユーザ データベースのパスワード

PASS_TYPE_NDS :外部 Novell データベースのパスワード

PASS_TYPE_LDAP :外部汎用 LDAP データベースのパスワード

PASS_TYPE_SDI :外部 RSA Security データベースのパスワード

PASS_TYPE_ANPI :外部 PassGo データベースのパスワード

PASS_TYPE_ENIGMA :外部 SafeWord データベースのパスワード

PASS_TYPE_CRYPTO :外部 CRYPTOCard データベースのパスワード

PASS_TYPE_LEAP :外部 LEAP プロキシ RADIUS サーバ データベースのパスワード

PASS_TYPE_ACTIVCARD :外部 ActivCard データベースのパスワード

PASS_TYPE_VASCO :外部 Vasco データベースのパスワード

PASS_TYPE_RADIUS_TOKEN :外部 RADIUS トークン サーバ データベースのパスワード

109

REMOVE_PASS_
STATUS

UN、V1

パスワード ステータス フラグを削除します。この結果、ステータスの状態が論理 XOR 条件でリンクされます。V1 には、次のいずれかが入っている必要があります。

PASS_STATUS_EXPIRES :パスワードは所定の日付に期限が満了します。

PASS_STATUS_NEVER :パスワードに期限はありません。

PASS_STATUS_WRONG :正しくないパスワードを使用したログイン試行が指定された回数に達すると、パスワードの期限が満了します。

PASS_STATUS_DISABLED :アカウントが使用不可になっています。

110

ADD_PASS_
STATUS

UN、V1

パスワードの期限が Cisco Secure ACS によって満了とされる方法を定義します。ユーザに複数のパスワード状態を設定するには、このアクションのインスタンスを複数使用します。この結果、ステータスの状態が論理 XOR 条件でリンクされます。V1 には、次のいずれかが入っている必要があります。

PASS_STATUS_EXPIRES :パスワードは所定の日付に期限が満了します。

PASS_STATUS_NEVER :パスワードに期限はありません。

PASS_STATUS_WRONG :正しくないパスワードを使用したログイン試行が指定された回数に達すると、パスワードの期限が満了します。

PASS_STATUS_RIGHT :正しいパスワードを使用したログイン試行回数が決められた回数に達すると、パスワードの期限が満了します。

PASS_STATUS_DISABLED :アカウントが使用不可になっています。

112

SET_PASS_
EXPIRY_WRONG

UN、V1

許容される不良認証の最大数(これを超えていなくても、正しいパスワードであれば自動的にリセットされる)を設定し、現行のカウントをリセットします。

113

SET_PASS_
EXPIRY_DATE

UN、V1

アカウントの期限が満了する日付を設定します。日付の形式は YYYYMMDD にする必要があります。

114

SET_MAX_
SESSIONS

UN|GN、V1

ユーザまたはグループの最大同時セッション数を設定します。V1 には次のいずれかの値が入っている必要があります。

MAX_SESSIONS_UNLIMITED

MAX_SESSIONS_AS_GROUP

1-65534

115

SET_MAX_
SESSIONS_
GROUP_USER

GN、V1

そのグループの 1 ユーザに許可する最大セッション数を次のいずれかの値に設定します。

MAX_SESSIONS_UNLIMITED

1-65534

260

SET_QUOTA

VN、V1、V2

ユーザまたはグループにクォータを設定します。

VN はクォータのタイプを定義します。次の値が有効です。

online time :V2 で定義された期間内にネットワークにログインした秒数によって、ユーザまたはグループのクォータを制限します。

sessions :V2 で定義された期間内のネットワーク上のセッション数によって、ユーザまたはグループのクォータを制限します。

V1 はクォータを定義します。VN が sessions に設定された場合、V1 は V2 で定義された期間内の最大セッション数です。VN が online time に設定された場合、V1 は最大秒数です。

V2 には、クォータの期間が保持されます。次の値が有効です。

QUOTA_PERIOD_DAILY :午前 12:01 から深夜 0 時までの 24 時間サイクル

QUOTA_PERIOD_WEEKLY :日曜日の午前 12:01 から土曜日の深夜 0 時までの 7 日サイクル

QUOTA_PERIOD_MONTHLY :月の初日の午前 12:01 から、月の末日の深夜 0 時までの 1 か月サイクル

QUOTA_PERIOD_ABSOLUTE :終わりのない継続的なサイクル

261

DISABLE_QUOTA

UN|GN、VN

グループまたはユーザの使用クォータを使用不可にします。

VN はクォータのタイプを定義します。次の値が有効です。

online time :V2 で定義された期間内にネットワークにログインした秒数によって、ユーザまたはグループのクォータを制限します。

sessions :V2 で定義された期間内のネットワーク上のセッション数によって、ユーザまたはグループのクォータを制限します。

262

RESET_
COUNTERS

UN|GN

ユーザまたはグループの使用クォータ カウンタをリセットします。

263

SET_QUOTA_
APPLY_TYPE

V1

ユーザの使用クォータがユーザ グループのクォータによって決まるのか、そのユーザに固有のクォータによって決まるのかを定義します。この指定は V1 で行います。V1 に有効な値は次のとおりです。

ASSIGNMENT_FROM_USER

ASSIGNMENT_FROM_GROUP

270

SET_DCS_TYPE

UN|GN、
VN、V1、オプションで V2

グループまたはユーザの Device Command Set(DCS; デバイス コマンド セット)許可のタイプを設定します。

VN はサービスを定義します。次のサービス タイプが有効です。

shell :Cisco IOS シェル コマンド許可

pixshell :Cisco PIX コマンド許可


) これ以外の DCS タイプを Cisco Secure ACS に追加してある場合は、TACACS+(Cisco IOS)の Interface Configuration ページで有効な値を確認できます。
有効な値は、たとえば PIX Shell (pixshell) のように、サービス名の後にカッコで囲んで表示されます。


V1 は割り当てタイプを定義します。V1 に有効な値は、次のとおりです。

none :ユーザまたはグループに DCS を設定しません。

as group :ユーザの場合にだけ使用され、指定されたサービスの ユーザ DCS の設定を、ユーザ グループ DCS の設定と同じものにすることを示します。

static :指定されたサービスのコマンド許可を実行できるすべてのデバイスについて、ユーザまたはグループに DCS を設定します。

V1 を static に設定した場合は、V2 を指定する必要があります。V2 には、所定のサービス用にユーザまたはグループに割り当てる DCS の名前を指定する必要があります。

ndg :ユーザまたはグループのコマンド許可を NDG 単位で行うことを指定します。アクション 271 を使用して、DCS をユーザまたはグループの NDG マッピングに追加してください。


) ユーザまたはグループの割り当てタイプ(V1)を変更すると、以前のデータは、NDG から DCS へのマッピング(アクション 271 で定義されたもの)も含めてクリアされます。


271

SET_DCS_NDG_MAP

UN|GN、VN、V1、V2

このアクション コードは、270 のアクション コードで指定した割り当てタイプが ndg のときに、デバイス コマンド セットと NDG の間でマッピングを行うために使用します。

VN はサービスを定義します。次のサービス タイプが有効です。

shell :Cisco IOS シェル コマンド許可

pixshell :Cisco PIX コマンド許可


) これ以外の DCS タイプを Cisco Secure ACS に追加してある場合は、TACACS+(Cisco IOS)の Interface Configuration ページで有効な値を確認できます。
有効な値は、たとえば PIX Shell (pixshell) のように、サービス名の後にカッコで囲んで表示されます。


V1 は NDG の名前を定義します。HTML インターフェイスに表示される NDG の名前を使用してください。たとえば、「East Coast NASes」という名前の NDG を設定してある場合、アクション 271 を使用してその NDG に DCS を適用するには、V1 に「East Coast NASes」を指定する必要があります。

V2 は DCS の名前を定義します。HTML インターフェイスに表示される DCS の名前を使用してください。たとえば、「Tier2 PIX Admin DCS」という名前の DCS を設定してある場合、アクション 271 を使用してその DCS を NDG に適用するには、V2 に「Tier2 PIX Admin DCS」を指定する必要があります。

アクセス フィルタの初期化と修正のためのアクション コード

表E-4 は、AAA クライアント アクセス フィルタの初期化と修正を行うためのアクション コードの一覧です。AAA クライアント アクセス フィルタは、AAA クライアントへの Telnet アクセスを制御します。ダイヤル アクセス フィルタは、ダイヤルアップ ユーザによるアクセスを制御します。

これらのコードを使用したトランザクションは、HTML インターフェイスの User Setup セクションと Group Setup セクションに表示される設定に影響を与えます。 User Setup セクションの詳細については、「ユーザ管理」を参照してください。Group Setup セクションの詳細については、「ユーザ グループ管理」を参照してください。

 

表E-4 アクセス フィルタの初期化と修正のためのアクション コード

アクション コード
名前
必要
説明

120

INIT_NAS_
ACCESS_
CONTROL

UN|GN、V1

AAA クライアント アクセス フィルタのリストをクリアし、今後作成されるフィルタの permit/deny を初期化します。V1 は、次のいずれかの値にする必要があります。

ACCESS_PERMIT

ACCESS DENY

121

INIT_DIAL_
ACCESS_
CONTROL

UN|GN、V1

ダイヤルアップ アクセス フィルタのリストをクリアし、今後作成されるフィルタの permit/deny を初期化します。V1 は、次のいずれかの値にする必要があります。

ACCESS_PERMIT

ACCESS DENY

122

ADD_NAS_
ACCESS_FILTER

UN|GN、V1

ユーザまたはグループに AAA クライアント フィルタを追加します。

V1 には、次の例のように、単一の(AAA クライアント名、AAA クライアント ポート、リモート アドレス、CLID)タプルが入っている必要があります。

NAS01,tty0,0898-69696969

オプションとして、AAA クライアント名に「All AAA clients」を指定して設定済みのすべてのクライアントにフィルタを適用したり、アスタリスク(*)を指定してすべてのポートを表したりすることができます。

123

ADD_DIAL_
ACCESS_FILTER

UN|GN、V1、V2

ユーザまたはグループにダイヤルアップ フィルタを追加します。

V1 には次のいずれかの値が入っている必要があります。

発信側ステーション ID

着信側ステーション ID

次の例のような発信側と着信側のステーション ID

01732-875374,0898-69696969

次の例のような AAA クライアント IP アドレス、AAA クライアント ポート

10.45.6.123,tty0

V2 には、フィルタ タイプとして次のいずれかの値が入っている必要があります。

CLID :ユーザは発信側ステーション ID によってフィルタ処理されます。

DNIS :ユーザは着信側ステーション ID によってフィルタ処理されます。

CLID/DNIS :ユーザは発信側と着信側の両方のステーション ID によってフィルタ処理されます。

AAA client/PORT :ユーザは、AAA クライアントの IP アドレスおよびクライアント ポート アドレスによってフィルタ処理されます。

130

SET_TOKEN_
CACHE_SESSION

GN、V1

セッション全体について、トークン キャッシングを使用可能/使用不可にします。V1 は 0= 使用不可、1= 使用可能です。

131

SET_TOKEN_
CACHE_TIME

GN、V1

トークンをキャッシュする期間を設定します。V1 は秒単位のトークン キャッシュ期間です。

140

SET_TODDOW_
ACCESS

UN|GN、V1

アクセスが許可される期間を設定します。V1 には 168 文字の文字列が格納されます。1 文字が 1 時間を表し、168 文字で 1 週間です。「1」は許可される 1 時間を表し、「0」は拒否される 1 時間を表します。あるユーザについて、このパラメータを指定しなかった場合は、グループ設定が適用されます。デフォルトのグループ設定は、「111111111111...」(すべて 1)です。

150

SET_STATIC_IP

UN、V1、V2

ユーザに(TACACS+ および RADIUS の)IP アドレスを設定します。

V1 には、次のフォーマットで IP アドレスが格納されます。

xxx.xxx.xxx.xxx

V2 は、次のいずれかにする必要があります。

ALLOC_METHOD_STATIC :V1 の IP アドレスは xxx.xxx.xxx.xxx のフォーマットでユーザに割り当てられます。

ALLOC_METHOD_NAS_POOL :V1 で指定された IP プール(AAA クライアント上に設定されたもの)がユーザへ割り当てられます。

ALLOC_METHOD_AAA_POOL :V1 で指定された IP プール(AAA サーバ上に設定されたもの)がユーザへ割り当てられます。

ALLOC_METHOD_CLIENT :ダイヤルイン クライアントは、それ自体の IP アドレスを割り当てます。

ALLOC_METHOD_AS_GROUP :グループに設定された IP アドレスが使用されます。

151

SET_CALLBACK_NO

UN|GN、V1

ユーザまたはグループ(TACACS+ および RADIUS)のコールバック番号を設定します。V1 は、次のいずれかにする必要があります。

コールバック番号 :AAA クライアントがコールバックする電話番号。

none :コールバックは認められません。

roaming :ダイヤルアップ クライアントがコールバック番号を決めます。

as group :グループによって定義されたコールバックの文字列または方式を使用します。

TACACS+ および RADIUS のグループおよびユーザ設定を修正するためのアクション コード

表E-5 は、Cisco Secure ACS のグループとユーザについて、TACACS+ および RADIUS の設定を作成、修正、および削除するためのアクション コードの一覧です。Cisco Secure ACS のユーザ設定とグループ設定が矛盾する場合は、常にユーザ設定がグループ設定よりも優先されます。

これらのコードを使用したトランザクションは、HTML インターフェイスの User Setup セクションと Group Setup セクションに表示される設定に影響を与えます。 User Setup セクションの詳細については、「ユーザ管理」を参照してください。Group Setup セクションの詳細については、「ユーザ グループ管理」を参照してください。

 

表E-5 TACACS+ および RADIUS のグループおよびユーザ設定を修正するためのアクション コード

アクション コード
名前
必要
説明

161

DEL_RADIUS_
ATTR

UN|GN、VN、オプションとして V2、V3

グループまたはユーザに指定された RADIUS アトリビュートを削除します。

VN = 「Vendor-Specific」

V2 = IETF ベンダー ID

V3 = VSA アトリビュート ID

たとえば、Cisco IOS/PIX ベンダー ID と Cisco AV のペアを指定するには、次のようにします。

VN = “Vendor-Specific”
V2 = “9”
V3 = "1"

163

ADD_RADIUS_
ATTR

UN|GN、VN、V1、オプションとして V2、V3

番号付きアトリビュート(VN)をユーザまたはグループ(UN|GN)の値(V)に追加します。 たとえば、グループに IETF RADIUS Reply-Message アトリビュート(アトリビュート 18)を設定するには、次のようにします。

GN = “Group 1"
VN = “18”
V1 = “Greetings”

別の例として、ユーザに IETF RADIUS Framed-IP-Address アトリビュート(アトリビュート 9)を設定するには、次のようにします。

UN = “fred”
VN = "9"
V1 = “10.1.1.1”

ベンダー固有アトリビュート(VSA)を追加するには、次のように VN = 「26」を設定し、V2 と V3 を使用します。

V2 = IETF ベンダー ID

V3 = VSA アトリビュート ID

たとえば、Cisco IOS/PIX の RADIUS cisco-av-pair アトリビュートと「addr-pool=pool1」の値を追加するには、次のようにします。

V2 = “9”
V3 = "1"
V1 = “addr-pool=pool1”

RADIUS アトリビュートの値には、次のいずれかを指定できます。

INTEGER

TIME

IP ADDRESS

STRING

170

ADD_TACACS_
SERVICE

UN|GN、VN、V1、V3、オプションとして V2

ユーザまたはユーザ グループに対して、サービスを許可します。例:

GN = “Group 1"
V1 = “ppp”
V2 = “ip”

または

UN = “fred”
V1 = “ppp”
V2 = “ip”

または

UN = “fred”
V1 = “exec”

171

REMOVE_
TACACS_
SERVICE

UN|GN、V1

オプションとして V2

ユーザまたはユーザ グループに対して、サービスを拒否します。例:

GN = “Group 1"
V1 = “ppp”
V2 = “ip”

または

UN = “fred”
V1 = “ppp”
V2 = “ip”

または

UN = “fred”
V1 = “exec”

これによって、サービスの有効なアトリビュートもリセットされます。

172

ADD_TACACS_
ATTR

UN|GN、VN、V1、V3

オプションとして V2

サービス固有のアトリビュートを設定します。そのサービスは、すでに HTML インターフェイスを通じて、またはアクション 170 を使用して許可されている必要があります。

GN = “Group 1"
VN = “routing”
V1 = “ppp”
V2 = “ip”
V3 = “true”

または

UN = “fred”
VN = “route”
V1 = “ppp”
V2 = “ip”
V3 = 10.2.2.2

173

REMOVE_
TACACS_ATTR

UN|GN、VN、V1

オプションとして V2

サービス固有のアトリビュートを削除します。

GN = “Group 1"
V1 = “ppp”
V2 = “ip”
VN = “routing”

または

UN = “fred”
V1 = “ppp”
V2 = “ip”
VN = “route”

174

ADD_IOS_
COMMAND

UN|GN、VN、V1

特定の Cisco IOS コマンドを許可し、そのコマンドに対して指定される引数が、定義済みセットに含まれている必要があるかどうかを決定します。この定義済みセットは、アクション 176 と 177 を使用して作成します。

GN = “Group 1"
VN = “telnet”
V1 = “permit”

または

UN = “fred”
VN = “configure”
V1 = “deny”

最初の例は、Group 1 のユーザに Telnet コマンドの使用権限を許可します。Telnet コマンドには、アクション 176 で定義された引数に一致しない引数であれば、任意の引数を指定できます。

2 番目の例は、ユーザ fred に configure コマンドの使用権限を許可しますが、それは、指定される引数が一連のアクション 176 で定義されたフィルタによって許可されている場合に限ります。

175

REMOVE_IOS_
COMMAND

UN|GN、VN

ユーザまたはグループのコマンド許可を削除します。

GN = “Group 1"
VN = “telnet”

または

UN = “fred”
VN = “configure”

Group 1 のユーザは、Cisco IOS telnet コマンドを使用できなくなります。

ユーザ fred は configure コマンドを使用できなくなります。

176

ADD_IOS_
COMMAND_ARG

UN|GN、VN、V1、V2

VN に入っている Cisco IOS コマンドに許可または拒否される一連のコマンドライン引数を指定します。そのコマンドは、すでにアクション 174 によって追加されている必要があります。

GN = “Group 1"
VN = “telnet”
V1 = “permit”
V2 = "10.1.1.2"

または

UN = “fred”
VN = “show”
V1 = “deny”
V2 = “run”

最初の例は、Group 1 のすべてのユーザが引数 10.1.1.2 を使用して telnet コマンドを実行できるようにします。

2 番目の例は、ユーザ fred が Cisco IOS コマンド show run を発行できないようにします。

177

REMOVE_IOS_
COMMAND_ARG

UN|GN、VN、V2

指定された Cisco IOS コマンド引数について、permit または deny エントリを削除します。

GN = “Group 1"
VN = “telnet”
V2 = "10.1.1.1"

または

UN = “fred”
VN = “show”
V2 = “run”

178

SET_PERMIT_
DENY_
UNMATCHED_
IOS_COMMANDS

UN|GN、V1

定義に一致しない Cisco IOS コマンドの動作を設定します。デフォルトでは、アクション 174 と 175 で定義されていない Cisco IOS コマンドが拒否されます。コマンドとコマンド引数のペアを指定し、これに一致しない Cisco IOS コマンドを許可するように設定することもできます。

GN = “Group 1"
V1 = “permit”

または

UN = “fred”
V1 = “deny”

最初の例は、アクション 174 によって定義されていないすべてのコマンドを許可します。

179

REMOVE_ALL_
IOS_COMMANDS

UN|GN

特定のユーザまたはグループに定義されたすべての Cisco IOS コマンドを削除します。

210

RENAME_GROUP

GN、V1

既存のグループの名前を V1 で指定された名前に変更します。

211

RESET_GROUP

GN

グループの設定を工場出荷時のデフォルトに戻します。

212

SET_VOIP

GN、V1

指定されたグループについて、Voice over IP(VoIP)サポートを使用可能または使用不可にします。

GN = グループの名前

V1 = ENABLE または DISABLE

ネットワーク設定を修正するためのアクション コード

表E-6 は、AAA クライアント、AAA サーバ、ネットワーク デバイス グループ、およびプロキシ テーブル エントリを追加するためのアクション コードの一覧です。これらのコードを使用したトランザクションは、HTML インターフェイスの Network Configuration セクションに表示される設定に影響を与えます。Network Configuration セクションの詳細については、「ネットワーク設定」を参照してください。

 

表E-6 ネットワーク設定を修正するためのアクション コード

アクション コード
名前
必要
説明

220

ADD_NAS

VN、V1、V2、V3

新しい AAA クライアント(VN で名前を指定)を、IP アドレス(V1)、共有秘密キー(V2)、およびベンダー(V3)を指定して追加します。次のベンダーが有効です。

VENDOR_ID_IETF_RADIUS :IETF RADIUS の場合

VENDOR_ID_CISCO_RADIUS :Cisco IOS/PIX RADIUS の場合

VENDOR_ID_CISCO_TACACS :Cisco TACACS+ の場合

VENDOR_ID_ASCEND_RADIUS :Ascend RADIUS の場合

VENDOR_ID_ALTIGA_RADIUS :Cisco VPN 3000 RADIUS の場合

VENDOR_ID_COMPATIBLE_RADIUS :Cisco VPN 5000 RADIUS の場合

VENDOR_ID_AIRONET_RADIUS :Cisco Aironet RADIUS の場合

VENDOR_ID_NORTEL_RADIUS :Nortel RADIUS の場合

VENDOR_ID_JUNIPER_RADIUS :Juniper RADIUS の場合

VENDOR_ID_CBBMS_RADIUS :Cisco BBMS RADIUS の場合

例:

VN = AS5200-11
V1 = 192.168.1.11
V2 = byZantine32
V3 = VENDOR_ID_CISCO_RADIUS

221

SET_NAS_FLAG

VN、V1

指定された各 AAA クライアント(VN)に対して、フラグ(V1)を 1 つずつ設定します。必要なフラグごとに、このアクションを繰り返します。AAA クライアントのフラグに有効な値は次のとおりです。

FLAG_SINGLE_CONNECT

FLAG_LOG_KEEP_ALIVE

FLAG_LOG_TUNNELS

222

DEL_HOST

VN

指定された AAA クライアント(VN)を削除します。

223

ADD_NAS_BY_
IETF_CODE

VN、V1、V2、V3

新しい AAA クライアント(VN で名前を指定)を、IP アドレス(V1)、共有秘密キー(V2)、およびベンダーのエンタープライズ コード(V3)を指定して追加します。

230

ADD_AAA_
SERVER

VN、V1、V2

新しい AAA サーバを、名前(VN)、IP アドレス(V1)、共有秘密キー(V2)を指定して追加します。

231

SET_AAA_TYPE

VN、V1

サーバ(VN)の AAA サーバ タイプを V1 の値に設定します。V1 は次のいずれかにする必要があります。

TYPE_ACS

TYPE_TACACS

TYPE_RADIUS

デフォルトは AAA_SERVER_TYPE_ACS

232

SET_AAA_FLAG

VN、V1

指定された各 AAA サーバ(VN)に対して、フラグ(V1)を 1 つずつ設定します。

FLAG_LOG_KEEP_ALIVE

FLAG_LOG_TUNNELS

必要なフラグごとに、このアクションを繰り返します。

233

SET_AAA_
TRAFFIC_TYPE

VN、V1

指定された AAA サーバ(VN)に適切なトラフィック タイプ(V1)を設定します。

TRAFFIC_TYPE_INBOUND

TRAFFIC_TYPE_OUTBOUND

TRAFFIC_TYPE_BOTH

デフォルトは TRAFFIC_TYPE_BOTH です。

234

DEL_AAA_
SERVER

VN

指定された AAA サーバ(VN)を削除します。

240

ADD_PROXY

VN、V1、V2、V3

新しいプロキシ マークアップ(VN)を、マークアップ タイプ(V1)、ストリップ マークアップ フラグ(V2)、およびアカウンティング フラグ(V3)を指定して追加します。

マークアップ タイプ(V1)は次のいずれかにする必要があります。

MARKUP_TYPE_PREFIX

MARKUP_TYPE_SUFFIX

マークアップを転送前にユーザ名から削除する場合は、マークアップ ストリップ フラグを TRUE に設定する必要があります。

アカウンティング フラグ(V3)は次のいずれかにする必要があります。

ACCT_FLAG_LOCAL

ACCT_FLAG_REMOTE

ACCT_FLAG_BOTH

241

ADD_PROXY_
TARGET

VN、V1

指定されたプロキシ マークアップ(VN)にホスト名(V1)を追加します。そのホストは、すでに Cisco Secure ACS 上で設定されている必要があります。


) プロキシ ホストを追加する順序によって、プロキシ ホストの検索順序が決まります。最初に追加されたホストは最初にプロキシされ、2 番目以降も同様になります。この順序を変更するには、HTML インターフェイスを使用する必要があります。


242

DEL_PROXY

VN

指定されたプロキシ マークアップ(VN)を削除します。

250

ADD_NDG

VN

指定された NDG(VN)を作成します。

251

DEL_NDG

VN

指定された NDG を削除します。

252

ADD_HOST_
TO_NDG

VN、V1

指定された AAA クライアントまたは AAA サーバ(VN)に NDG(V1)を追加します。

270

SET_DCS_
ASSIGNMENT

--

--

271

ADD_NDG_TO_
DCS_MAPPING

--

--

300

RESTART_
PROTO_
MODULES

--

新しい設定を適用するために、CSRadius サービスと CSTacacs サービスを再起動します。

350

ADD_UDV

VN、V1、V2

RADIUS ベンダーを Cisco Secure ACS ベンダー データベースに追加します。この方法で Cisco Secure ACS に追加されたベンダーは、User-Defined Vendors(UDV; ユーザ定義ベンダー)として認識されます。

VN には、ベンダーの名前が格納されます。


) Cisco Secure ACS は Variable Name フィールドに入力された名前に「RADIUS(...)」を追加します。たとえば、「MyCo」という名前を入力すると、Cisco Secure ACS の HTML インターフェイスに「RADIUS (MyCo)」と表示されます。


V1 には、ユーザ定義ベンダー スロット番号または AUTO_ASSIGN_SLOT が格納されます。 Cisco Secure ACS には 10 個のベンダー スロットがあり、0 ~ 9 の番号が付いています。AUTO_ASSIGN_SLOT を指定した場合は、次に使用可能なベンダーのスロットが Cisco Secure ACS によって選択されます。


) Cisco Secure ACS 間で UDV を複製する場合は、両方の Cisco Secure ACS 上で UDV を同じスロット番号に割り当てる必要があります。


V2 には、IANA によって割り当てられたベンダーのエンタープライズ コードが格納されます。

351

DEL_UDV

V1

V1 で指定された IETF コードを持つベンダーと、定義済みの VSA を削除します。


) アクション コード 351 では、
Cisco Secure ACS のグループまたはユーザへ割り当てられた VSA のインスタンスは削除されません。Cisco Secure ACS に、V1 で指定された UDV を使用して設定された AAA クライアントが存在する場合、削除操作は失敗します。


352

ADD_VSA

VN、V1、V2、V3

V1 のベンダー IETF コードによって指定されたベンダーに、新しい VSA を割り当てます。

VN は VSA 名です。ベンダー名が MyCo で、このアトリビュートがグループ ID に割り当てられている場合は、すべての VSA にベンダー名または省略形をプレフィックスとして付けることを推奨します。たとえば、VSA は
「MyCo-Assigned-Group-Id」のようになります。


) VSA 名は、ベンダーと Cisco Secure ACS ディクショナリの両方に対して一意であることが必要です。たとえば、「MyCo-Framed-IP-Address」は許されますが、「Framed-IP-Address」は許されません。「Framed-IP-Address」は、RADIUS アトリビュートの IETF アクション コード 8 によって使用されているからです。


V2 は VSA 番号です。これは 0 ~ 255 の範囲内にする必要があります。

V3 は VSA タイプで、次のいずれかの値です。

INTEGER

STRING

IPADDR

デフォルトでは、VSA は送信(または許可)アトリビュートであると想定されます。VSA がマルチインスタンスであるか、アカウンティング メッセージ内で使用されている場合は、SET_VSA_PROFILE(アクション コード 353)を使用してください。

353

SET_VSA_
PROFILE

V1、V2、V3

VSA の受信/送信プロファイルを設定します。このプロファイルの使用状況は、アカウンティングの場合は「IN」、許可の場合は「OUT」、RADIUS メッセージ単位で複数のインスタンスが許容される場合は「MULTI」を指定します。これらの組み合せも使用できます。

V1 にはベンダー IETF コードが格納されます。

V2 には VSA 番号が格納されます。

V3 にはプロファイルが格納され、次のいずれかになります。

IN
OUT
IN OUT
MULTI OUT
MULTI IN OUT

354

ADD_VSA_ENUM

VN、V1、V2、V3

VSA アトリビュートが列挙型の場合、意味のある列挙値を設定します。Cisco Secure ACS HTML インターフェイスでは、User Setup セクションに列挙文字列のリストが表示されます。

VN には VSA Enum Name が格納されます。

V1 にはベンダー IETF コードが格納されます。

V2 には VSA 番号が格納されます。

V3 には VSA Enum Value が格納されます。

例:

VN = Disabled
V1 = 9034
V2 = MyCo-Encryption
V3 = 0

または

VN = Enabled
V1 = 9034
V2 = MyCo-Encryption
V3 = 1

355

ADOPT_
NEW_UDV_OR_VSA

--

CSAdmin、CSRadius、および CSLog サービスを再起動します。新しい UDV または VSA を使用可能にするには、事前にこれらのサービスを再起動する必要があります。

Cisco Secure ACS のアトリビュートとアクション コード

この項では、前の項の補足として逆引きの参照を示します。次のトピックに、Cisco Secure ACS のアトリビュート、アトリビュートのデータ型と制限、および Cisco Secure ACS アトリビュートを操作するために使用できるアクション コードの一覧表を示します。

この項では、次のトピックについて取り上げます。

「ユーザ固有のアトリビュート」

「ユーザ定義のアトリビュート」

「グループ固有のアトリビュート」

ユーザ固有のアトリビュート

表E-7 に、Cisco Secure ACS ユーザを定義するアトリビュートのデータ型、制限、およびデフォルト値を示します。この表には、各アトリビュートを修正するために accountActions で使用できるアクション コードも示してあります。多数のアクションを使用できますが、ユーザの追加に必要なのは、ADD_USR というトランザクションだけです。その他のユーザ アトリビュートは、デフォルト値のままで問題ありません。NULL は、単なる空の文字列ではなく、設定されないという意味です。つまり、この値は処理されません。一部の機能は、値が割り当てられている場合にだけ処理されます。アクション コードの詳細については、「アクション コード」を参照してください。

 

表E-7 ユーザ固有のアトリビュート

アトリビュート
アクション
論理型
制限
デフォルト

Username

100, 101

String

1 ~ 64 文字

--

ASCII/PAP Password

100, 102

String

4 ~ 32 文字

ランダムな文字列

CHAP Password

103

String

4 ~ 32 文字

ランダムな文字列

Outbound CHAP Password

104

String

4 ~ 32 文字

NULL

TACACS+ Enable Password

105

String のパスワード

4 ~ 32 文字

NULL

Integer の特権レベル

0 ~ 15 文字

NULL

Group

106

String

0 ~ 100 文字

「Default Group」

Password Supplier

107

Enum

表E-3 を参照してください。

LIBRARY_CSDB

Password Type

108

Enum

表E-3 を参照してください。

PASS_TYPE_CSDB(パスワードはクリア テキストの PAP)

Password Expiry Status

109, 110

ビット単位の Enum

表E-3 を参照してください。

PASS_STATUS_
NEVER(期限なし)

Expiry Data

112, 113

Short の最大不良認証数と現行カウント

0-32,767

--

期限満了日

--

--

Max Sessions

114

符号なし Short

0-65535

MAX_SESSIONS_
AS_GROUP

TODDOW Restrictions

140

String

168 文字

111111111111

NAS Access Control

120, 122

Bool の enabled

T/F

NULL

Bool の permit/deny

T/F

ACL String( 表E-4 参照)

0 ~ 31 KB

Dial-Up Access Control

121, 123

Bool の enabled

T/F

NULL

Bool の permit/deny

T/F

ACL String( 表E-4 参照)

0 ~ 31 KB

Static IP Address

150

Enum のスキーム

表E-4 参照)。

クライアント

String IP/Pool 名

0 ~ 31 KB

 

NULL

Callback Number

151

String

0 ~ 31 KB

NULL

TACACS Attributes

160, 162

フォーマット済み String

0 ~ 31 KB

NULL

RADIUS Attributes

170, 173

フォーマット済み String

0 ~ 31 KB

NULL

UDF 1

1, 2

String の実名

0 ~ 31 KB

NULL

UDF 2

1, 2

String の説明

0 ~ 31 KB

NULL

UDF 3

1, 2

String

0 ~ 31 KB

NULL

UDF 4

1, 2

String

0 ~ 31 KB

NULL

UDF 5

1, 2

String

0 ~ 31 KB

NULL

ユーザ定義のアトリビュート

User-Defined Attribute(UDA; ユーザ定義アトリビュート)は、たとえば社会保障番号、部門名、電話番号など、任意のデータを含めることができる文字列値です。Cisco Secure ACS では、ユーザ アクティビティに関するアカウンティング ログに UDA を含めるように設定できます。UDA の設定方法の詳細については、「ユーザ データの設定オプション」を参照してください。

RDBMS 同期では、SET_VALUE アクション(コード 1)を使用して
「USER_DEFINED_FIELD_0」または「USER_DEFINED_FIELD_1」という値を作成することにより、UDA を設定できます。UDA 値を定義する accountActions の行では、AppId(AI)フィールドに「APP_ CSAUTH」、Value2(V2)フィールドに「TYPE_STRING」が入っている必要があります。

表E-8 は、UDA を定義するデータ フィールドの一覧です。アクション コードの詳細については、「アクション コード」を参照してください。

 

表E-8 ユーザ定義のアトリビュート

Action
Username(UN)
ValueName(VN)
Value1(V1)
Value2(V2)
AppId(AI)

1

fred

USER_DEFINED_FIELD_0

SS123456789

TYPE_STRING

APP_CSAUTH

1

fred

USER_DEFINED_FIELD_1

Engineering

TYPE_STRING

APP_CSAUTH

1

fred

USER_DEFINED_FIELD_2

949-555-1111

TYPE_STRING

APP_CSAUTH


) 3 つ以上の UDA が作成された場合は、最初の 2 つだけがアカウンティング ログへ渡されます。


グループ固有のアトリビュート

表E-9 に、Cisco Secure ACS グループを定義するアトリビュートのデータ型、制限、およびデフォルト値を示します。この表には、各フィールドを修正するために accountActions で使用できるアクション コードも示してあります。アクション コードの詳細については、「アクション コード」を参照してください。

 

表E-9 グループ固有のアトリビュート

アトリビュート
アクション
論理型
制限
デフォルト

Max Sessions

114

符号なし Short

0-65534

MAX_SESSIONS_
UNLIMITED

Max Sessions for user of group

115

符号なし Short

0-65534

MAX_SESSIONS_
UNLIMITED

Token caching for session

130

Bool

T/F

NULL

Token caching for duration

131

Integer の時間(秒単位)

0-65535

NULL

TODDOW Restrictions

140

String

168 文字

111111111111

NAS Access Control

120, 122

Bool の enabled

T/F

NULL

Bool の permit/deny

T/F

ACL String( 表E-4 参照)

0 ~ 31 KB

Dial-Up Access Control

121, 123

Bool の enabled

T/F

NULL

Bool の permit/deny

T/F

ACL String( 表E-4 参照)

0 ~ 31 KB

Static IP Address

150

Enum のスキーム

表E-4 参照)。

クライアント

String IP/Pool 名

0 ~ 31 KB

NULL

TACACS Attributes

160, 162

フォーマット済み String

0 ~ 31 KB

NULL

RADIUS Attributes

170, 173

フォーマット済み String

0 ~ 31 KB

NULL

VoIP Support

212

Bool の enabled

T/F

NULL

accountActions の例

表E-10 は、「アクション コード」で説明したアクション コードによる accountActions の一例です。最初に、ユーザ「fred」が、特権レベル 10 の TACACS_ Enable パスワードを含むいくつかのパスワードと一緒に作成されます。フレッドは「Group 2」に割り当てられます。 fred のアカウントは、1999 年 12 月 31 日を過ぎるか、不正な認証の試行が 10 回を超えた場合、期限満了となります。Group 2 のアトリビュートには、時間帯と曜日による制限、トークン キャッシング、およびいくつかの RADIUS アトリビュートが含まれています。


) この例では、すべての accountActions テーブルに存在するいくつかのカラムが省略されています。省略されたカラムは、Sequence ID(SI)、Priority(P)、DateTime(DT)、および MessageNo(MN)です。


 

表E-10 accountActions テーブルの例

Action
User name(UN)
Group Name(GN)
Value Name(VN)
Value1(V1)
Value2(V2)
Value3(V3)
AppId(AI)

100

fred

--

--

fred

--

--

--

102

fred

--

--

freds_password

--

--

--

103

fred

--

--

freds_chap_password

--

--

--

104

fred

--

--

freds_outbound_password

--

--

--

105

fred

--

--

freds_enable_password

10

--

--

106

fred

Group 2

--

--

--

--

--

150

fred

--

--

123.123.123.123

--

--

--

151

fred

--

--

01832-123900

--

--

--

109

fred

--

--

PASS_STATUS_NEVER

--

--

--

110

fred

--

--

PASS_STATUS_WRONG

--

--

--

110

fred

--

--

PASS_STATUS_EXPIRES

--

--

--

112

fred

--

--

10

--

--

--

113

fred

--

--

19991231

--

--

--

114

fred

--

--

50

--

--

--

115

fred

--

--

50

--

--

--

120

fred

--

--

ACCESS_PERMIT

--

--

--

121

fred

--

--

ACCESS_DENY

--

--

--

122

fred

--

--

NAS01、tty0、
01732-975374

--

--

--

123

fred

--

--

01732-975374,01622-123123

CLID/
DNIS

--

--

1

fred

--

USER_
DEFINED_FIELD_0

Fred Jones

TYPE_
STRING

--

APP_
CSAUTH

140

--

Group 2

--

[168 個の 1 からなる文字列]

--

--

--

130

--

Group 2

--

DISABLE

--

--

--

131

--

Group 2

--

61

--

--

--

163

--

Group 2

Reply-
Message

Welcome to Your Internet Service

--

--

--

163

--

Group 2

Vendor-
Specific

addr-pool=pool2

9

1

--