Cisco Secure ACS Solution Engine ユーザ ガイド Version 4.0
ユーザ データベース
ユーザ データベース
発行日;2012/01/10 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

ユーザ データベース

ACS 内部データベース

ACS 内部データベースについて

ユーザのインポートおよび作成

外部ユーザ データベースについて

外部ユーザ データベースを使用した認証

外部ユーザ データベースを使用した認証プロセス

Windows ユーザ データベース

Windows ユーザ データベース サポート

Windows ユーザ データベースを使用した認証

信頼関係

Windows ダイヤルアップ ネットワーキング クライアント

Domain フィールドを持つ Windows ダイヤルアップ ネットワーキング クライアント

Domain フィールドを持たない Windows ダイヤルアップ ネットワーキング クライアント

ユーザ名と Windows 認証

ユーザ名フォーマットと Windows 認証

ドメイン修飾されていないユーザ名

ドメイン修飾されたユーザ名

UPN ユーザ名

EAP および Windows 認証

EAP-TLS ドメインのストリッピング

マシン認証

Machine Access Restrictions

Microsoft Windows とマシン認証

マシン認証のイネーブル化

Windows ユーザ データベースを使用した、ユーザによる変更が可能なパスワード

Windows を使用したユーザ認証の準備

Remote Agents for Windows 認証の選択

Windows ユーザ データベース設定オプション

Windows 外部ユーザ データベースの設定

汎用 LDAP

汎用 LDAP ユーザ データベースを使用した ACS の認証プロセス

複数の LDAP インスタンス

LDAP の組織ユニットとグループ

ドメイン フィルタリング

LDAP フェールオーバー

プライマリ LDAP サーバによる以前の認証が成功した場合

プライマリ LDAP サーバによる以前の認証が失敗した場合

LDAP 管理者ログイン接続管理

認定者名のキャッシング

LDAP 設定オプション

汎用 LDAP 外部ユーザ データベースの設定

証明書データベースのダウンロード

LEAP Proxy RADIUS Server データベース

LEAP Proxy RADIUS Server 外部ユーザ データベースの設定

トークン サーバ ユーザ データベース

トークン サーバと ACS について

トークン サーバと ISDN

RADIUS 対応トークン サーバ

RADIUS 対応トークン サーバについて

トークン サーバの RADIUS 認証要求と応答の内容

RADIUS トークン サーバの外部ユーザ データベースの設定

外部ユーザ データベース設定の削除

ユーザ データベース

Cisco Secure Access Control Server Release 4.0 Solution Engine(以降は ACS と表記)は、その内部データベースを含むいくつかのデータベースのいずれかに対して、ユーザの認証を行います。複数のタイプのデータベースに対してユーザを認証するように、ACS を設定できます。この柔軟性により、個々の外部ユーザ データベースから ACS 内部データベースにユーザを明示的にインポートしなくても、異なる場所に収集されているユーザ アカウント データを使用することが可能になります。また、ネットワーク上のユーザ認可に関連付けられたセキュリティ要件に応じて、異なるデータベースを異なるタイプのユーザに適用することも可能です。たとえば、通常の設定として、標準のネットワーク ユーザの場合は Windows ユーザ データベースを使用し、ネットワーク管理者の場合はトークン サーバを使用するように設定できます。


) 未知ユーザ ポリシーとグループ マッピング機能については、第 16 章「未知ユーザ ポリシー」および第 17 章「ユーザ グループ マッピングと仕様」を参照してください。


この章は、次の項で構成されています。

「ACS 内部データベース」

「外部ユーザ データベースについて」

「Windows ユーザ データベース」

「汎用 LDAP」

「LEAP Proxy RADIUS Server データベース」

「トークン サーバ ユーザ データベース」

「外部ユーザ データベース設定の削除」

ACS 内部データベース

ACS 内部データベースは、次のものを使用して認証をサポートします。

American Standard Code for Information Interchange(ASCII; 米国規格協会情報交換標準コード)

Password Authentication Protocol(PAP; パスワード認証プロトコル)

Challenge Handshake Authentication Protocol(CHAP; チャレンジ ハンドシェーク認証プロトコル)

Microsoft-Challenge Handshake Authentication Protocol(MS-CHAP; マイクロソフト チャレンジ ハンドシェーク認証プロトコル)

AppleTalk Remote Access Protocol(ARAP)

Lightweight and Efficient Application Protocol(LEAP)

Extensible Authentication Protocol-Message Digest 5(EAP-MD5)

Extensible Authentication Protocol-Transport Layer Security(EAP-TLS)

Protected Extensible Authentication Protocol(PEAP)Extensible Authentication Protocol-Generic Token Card(EAP-GTC)

Protected Extensible Authentication Protocol(PEAP)Extensible Authetication Protocol-Microsoft-Challenge Handshake Authentication Protocol(EAP-MS-CHAPv2)

Extensible Authentication Protocol-Flexible Authentication via Secure Tunnelling(EAP-FAST)(フェーズ 0 と フェーズ 2)

ACS 内部データベースは、認可プロセスに不可欠です。ユーザが内部ユーザ データベースにより認証されたか、外部ユーザ データベースにより認証されたかには関係なく、ACS では、ACS 内部データベース内のグループ メンバーシップと特定のユーザ設定に基づいて、ユーザにネットワーク サービスを認可します。したがって、ユーザが外部ユーザ データベースによって認証された場合でも、ACS が認証したすべてのユーザは、ACS 内部データベースにアカウントがあります。

ACS 内部データベースについて

ACS 内部データベースを使用して認証されるユーザの場合、データベースにユーザ パスワードが格納されます(このデータベースは管理者パスワードで保護され、AES 128 アルゴリズムによって暗号化されています)。外部ユーザ データベースを使用して認証されるユーザの場合、ACS 内部データベースにパスワードは格納されません。

外部ユーザ データベースを使用してユーザを認証するように ACS を設定していない限り、ACS では、ACS 内部データベースのユーザ名とパスワードを使用して認証を行います。ユーザの認証に外部ユーザ データベースを指定する方法の詳細については、「基本ユーザ アカウントの追加」を参照してください。

ユーザのインポートおよび作成

ACS でユーザアカウントを作成する方法には、次の 4 つがあります。このうち、Relational Database Management System(RDBMS; リレーショナル データベース管理システム)同期化では、外部ソースからユーザ アカウントをインポートできます。

ACS Web インターフェイス :Web インターフェイスでは、一度に 1 人のユーザのアカウントを手動で作成できます。ユーザ アカウントの作成方法に関係なく、Web インターフェイスを使用してユーザ アカウントを編集できます。詳細な手順については、「基本ユーザ アカウントの追加」を参照してください。

未知ユーザ ポリシー :未知ユーザ ポリシーを使用すると、外部ユーザ データベース内にアカウントを持たないユーザが検出された場合に、そのユーザを自動的に追加できます。ACS にユーザ アカウントが作成されるのは、そのユーザがネットワークへのアクセスを試行し、外部ユーザ データベースによって問題なく認証された場合だけです。詳細については、 第 16 章「未知ユーザ ポリシー」 を参照してください。

未知ユーザ ポリシーを使用する場合は、未知ユーザ ポリシーによって ACS に追加されたユーザが認証されるたびにユーザ グループ割り当てがダイナミックに行われるように、グループ マッピングを設定することもできます。一部の外部ユーザ データベース タイプでは、外部ユーザ データベース内のグループ メンバーシップに基づいてユーザ グループ割り当てが行われます。また、他のデータベース タイプでは、所定のデータベースによって認証されたユーザがすべて、単一の ACS ユーザ グループに割り当てられます。グループ マッピングの詳細については、 第 17 章「ユーザ グループ マッピングと仕様」 を参照してください。

RDBMS 同期化 :RDBMS 同期化を使用すると、多数のユーザ アカウントを作成することや、ユーザ アカウントに多くの設定を行うことができます。ユーザを一括でインポートする必要がある場合は必ずこの機能を使用することをお勧めします。ただし、初めて RDBMS 同期化を設定する場合は、重要な決定をいくつか行う必要があり、その決定事項を実装する時間が必要となります。詳細については、「RDBMS 同期化」を参照してください。

データベース複製 :データベース複製を使用すると、セカンダリ ACS 上のすべての既存のユーザ アカウントをプライマリ ACS からのユーザ アカウントで上書きすることによって、セカンダリ ACS 上にユーザ アカウントが作成されます。この複製によって、セカンダリ ACS に固有のユーザ アカウントはすべて失われます。詳細については、「ACS 内部データベースの複製」を参照してください。

外部ユーザ データベースについて

ユーザの認証を 1 つまたは複数の外部ユーザ データベースに転送するように ACS を設定できます。ACS では、外部ユーザ データベースをサポートしているため、ユーザ データベースにユーザ エントリの複製を作成する必要がありません。相当な規模のユーザ データベースがすでに構築されている企業では、データベース構築に対する過去の投資結果をそのまま ACS で活用できます。新たな投資は必要ありません。

ネットワーク アクセスの認証に加えて、ACS では、外部ユーザ データベースを使用して TACACS+ イネーブル特権の認証も行うことができます。TACACS+ イネーブル パスワードの詳細については、「TACACS+ Enable Password オプションをユーザに対して設定する」を参照してください。


) 外部ユーザ データベースは、ユーザを認証するため、およびユーザを割り当てるグループを決定するためだけに使用できます。ACS 内部データベースは、すべての認可サービスを提供します。いくつかの例外を除いて、ACS では、外部ユーザ データベースから認可データを取得できません。例外については、この章の特定のデータベースの説明を参照してください。未知ユーザに対するグループ マッピングの詳細については、第 17 章「ユーザ グループ マッピングと仕様」を参照してください。


次のデータベースを使用して、ユーザを認証できます。

Windows ユーザ データベース(ACS for Windows または ACS Solution Engine Remote Agent for Windows 用)

汎用 Lightweight Directory Access Protocol(LDAP)

Novell NetWare Directory Services(NDS)(汎用 LDAP サポート経由)

LEAP Proxy Remote Access Dial-In User Service(RADIUS)サーバ

RADIUS 準拠トークン サーバ

ACS が外部ユーザ データベースと相互対話を行う場合は、ACS に、サードパーティ製の認証ソース用の API が必要になります。この API を使用して、外部ユーザ データベースと通信します。

外部ユーザ データベースを使用した認証

外部ユーザ データベースを使用してユーザを認証するには、ACS が外部ユーザ データベースと通信する設定以外にも設定が必要となります。この章に記載されている外部データベースのいずれか 1 つの設定手順を実行しても、それだけではそのデータベースを使用してユーザを認証するように ACS を設定したことにはなりません。

外部ユーザ データベースと通信するように ACS を設定した後で、次の 2 つの方法のいずれかで外部ユーザ データベースを使用してユーザを認証するように ACS を設定できます。

特定のユーザ割り当てによる方法 :外部ユーザ データベースを使用して特定のユーザを認証するように ACS を設定できます。この方法を実行するには、ユーザが ACS 内部データベースに存在し、User Setup の Password Authentication リストが、ACS がユーザの認証に使用する外部ユーザ データベースとして設定されている必要があります。

各ユーザ アカウントについて Password Authentication を設定するのは時間がかかりますが、外部ユーザ データベースを使用して認証するユーザを判別するこの方法は、外部ユーザ データベースを使用して誰を認証するかを明示的に定義する必要があるため安全です。また、ユーザは、希望する ACS グループに配置されるため、適用可能なアクセス プロファイルを受け取ります。

未知ユーザ ポリシーによる方法 :外部ユーザ データベースを使用して、ACS 内部データベースにいないユーザの認証を試みるように ACS を設定できます。この方法では、ACS 内部データベースに新しいユーザを定義する必要はありません。未知ユーザ ポリシーの詳細については、「未知ユーザ認証について」を参照してください。

上記 2 つの方法は相互排他的ではないため、両方の方法を使用して ACS を設定することもできます。

外部ユーザ データベースを使用した認証プロセス

ACS は、外部ユーザ データベースを使用してユーザ認証を試みるときに、ユーザ クレデンシャルを外部ユーザ データベースに転送します。外部ユーザ データベースは、ACS からの認証要求を成功または失敗させます。ACS は、外部ユーザ データベースからの応答を受信すると、外部ユーザ データベースからの応答に応じて、要求側 AAA クライアントにユーザ アクセスの許可または拒否を指示します。図13-1 に、外部ユーザ データベースのある AAA 構成を示します。

図13-1 単純な AAA のシナリオ

 

外部ユーザ データベースとの通信に使用される方法の詳細は、データベース タイプによって異なります。LDAP および Novell NDS の場合、ACS は TCP 接続を使用します。Windows ユーザ データベースの場合、ACS は、Windows オペレーティング システムによって提供された認証 API を使用します。ACS は、RADIUS を使用してトークン サーバと通信します。

詳細については、対象となるデータベース タイプに関する項を参照してください。

Windows ユーザ データベース

Windows ユーザ データベースを使用してユーザを認証するように ACS を設定できます。

この項では、次のトピックについて取り上げます。

「Windows ユーザ データベース サポート」

「Windows ユーザ データベースを使用した認証」

「信頼関係」

「Windows ダイヤルアップ ネットワーキング クライアント」

「Domain フィールドを持つ Windows ダイヤルアップ ネットワーキング クライアント」

「Domain フィールドを持たない Windows ダイヤルアップ ネットワーキング クライアント」

「ユーザ名と Windows 認証」

「ユーザ名フォーマットと Windows 認証」

「ドメイン修飾されていないユーザ名」

「ドメイン修飾されたユーザ名」

「UPN ユーザ名」

「EAP および Windows 認証」

「EAP-TLS ドメインのストリッピング」

「マシン認証」

「Machine Access Restrictions」

「Microsoft Windows とマシン認証」

「マシン認証のイネーブル化」

「Windows ユーザ データベースを使用した、ユーザによる変更が可能なパスワード」

「Windows を使用したユーザ認証の準備」

「Windows ユーザ データベース設定オプション」

「Windows 外部ユーザ データベースの設定」

Windows ユーザ データベース サポート

ACS は、次の機能について、Windows 外部ユーザ データベースの使用をサポートします。

ユーザ認証 :ACS は、Windows NT 4.0 Security Accounts Manager(SAM)データベースまたは Windows 2000 Active Directory データベースを使用した、ASCII、PAP、MS-CHAP(バージョン 1 および 2)、LEAP、PEAP(EAP-GTC)、PEAP(EAP-MS-CHAPv2)、および EAP-FAST(フェーズ 0 およびフェーズ 2)認証をサポートします。また、ACS は、Windows Active Directory データベースを使用した EAP-TLS 認証もサポートします。Windows 外部データベースは、他の認証プロトコルをサポートしていません。


) 別の外部ユーザ データベースは、Windows 外部ユーザ データベースでサポートされていない認証プロトコルをサポートしている場合があります。認証プロトコル、およびそのプロトコルをサポートする外部データベース タイプの詳細については、「認証プロトコルとデータベースの互換性」を参照してください。


マシン認証 :ACS は、EAP-TLS および PEAP(EAP-MS-CHAPv2)を使用したマシン認証をサポートします。詳細については、「EAP および Windows 認証」を参照してください。

未知ユーザに対するグループ マッピング :ACS は、Windows ユーザ データベースにグループ メンバーシップ情報を要求することによって、未知ユーザに対するグループ マッピングをサポートします。Windows ユーザ データベースで認証されたユーザに対するグループ マッピングの詳細については、「グループ セット メンバーシップによるグループ マッピング」を参照してください。

パスワード エージング :ACS は、Windows ユーザ データベースによって認証されたユーザに対するパスワード エージングをサポートします。詳細については、「Windows ユーザ データベースを使用した、ユーザによる変更が可能なパスワード」を参照してください。

ダイヤルイン アクセス権 :ACS は、Windows ユーザ データベースからのダイヤルイン アクセス権の使用をサポートします。詳細については、「Windows を使用したユーザ認証の準備」を参照してください。

コールバック設定 :ACS は、Windows ユーザ データベースからのコールバック設定の使用をサポートします。Windows コールバック設定を使用するように ACS を設定する方法については、「ユーザ コールバック オプションの設定」を参照してください。

Windows ユーザ データベースを使用した認証

ACS は、リモート エージェントを実行しているコンピュータの Windows オペレーティング システムにユーザ クレデンシャルを渡すことによって、Windows データベースにユーザ クレデンシャルを転送します。Windows データベースは、ACS からの認証要求を成功または失敗させます。リモート エージェントは、Windows データベースからの応答を受信すると、ACS に応答を転送します。ACS は、Windows データベースからの応答に応じて、要求側 AAA クライアントにユーザ アクセスの許可または拒否を指示します。

ACS は、ユーザが割り当てられている ACS グループに基づいて、認可を与えます。ユーザが割り当てられているグループは Windows データベースからの情報によって判別可能ですが、認可特権を与えるのは ACS です。

ユーザにダイヤルインを許可する設定をチェックするように ACS を設定して、ユーザによるアクセスをさらに制御することもできます。この設定は、Windows NT では Grant dialin permission to user というラベルが付けられ、Windows 2000 および Windows 2003 の Remote Access Permission 領域では Allow access というラベルが付けられています。この機能がそのユーザに対してディセーブルになっている場合、ユーザ名とパスワードが正しく入力されてもアクセスは許可されません。

信頼関係

ACS は、Windows ドメイン間で確立された信頼関係を十分に活用できます。Windows リモート エージェントを実行しているコンピュータが含まれたドメインが別のドメインを信頼している場合、ACS は、別のドメインにアカウントが存在するユーザを認証できます。さらに、ACS は、信頼ドメイン間で Grant dialin permission to user の設定も参照できます。


) ACS Solution Engine リモート エージェントがドメイン コントローラ以外のメンバー サーバ上で動作している場合、信頼関係を活用できるかどうかは、リモート エージェントのインストール時に適切な設定を行ったかどうかによって異なります。詳細については、『Installation and Configuration Guide for Cisco Secure ACS Remote Agents 4.0』の「Configuring for Member Server Authentication」を参照してください。


ACS は、Windows 認証の間接信頼を活用できます。たとえば、Windows ドメインの A、B、および C が存在し、リモート エージェントがドメイン A のサーバに常駐しているときに、ドメイン A はドメイン B を信頼していますが、ドメイン A とドメイン C の間には信頼関係は確立されていないとします。ドメイン B がドメイン C を信頼している場合には、ドメイン A のリモート エージェントは、ドメイン C の間接信頼関係を利用して、ドメイン C にアカウントが存在するユーザを認証できます。

信頼関係の詳細については、Microsoft Windows マニュアルを参照してください。

Windows ダイヤルアップ ネットワーキング クライアント

Windows NT/2000/2003/XP Professional および Windows 95/98/Millennium Edition(ME)/XP Home のダイヤルアップ ネットワーキング クライアントは、ユーザをネットワークにリモート接続できるようにしますが、指定するフィールドは異なります。

Domain フィールドを持つ Windows ダイヤルアップ ネットワーキング クライアント

ユーザが Windows NT、Windows 2000、Windows 2003、または Windows XP Professional で提供されるダイヤルアップ ネットワーキング クライアントを使用してネットワークにダイヤルインする場合は、次の 3 つのフィールドが表示されます。

username :ユーザ名を入力します。

password :パスワードを入力します。

domain :有効なドメイン名を入力します。


) domain ボックスに入力する場合とブランクのまま残す場合の違いについては、「ドメイン修飾されていないユーザ名」を参照してください。


Domain フィールドを持たない Windows ダイヤルアップ ネットワーキング クライアント

ユーザが Windows 95、Windows 98、Windows ME、または Windows XP Home で提供されるダイヤルアップ ネットワーキング クライアントを使用してネットワークにアクセスする場合は、次の 2 つのフィールドが表示されます。

username :ユーザ名を入力します。


) ログインするドメイン名をユーザ名の前にプレフィックスとして付けることもできます。ユーザ名の前にドメイン名をプレフィックスとして付ける場合と付けない場合の違いについては、「ドメイン修飾されていないユーザ名」を参照してください。


password :パスワードを入力します。

ユーザ名と Windows 認証

この項では、次のトピックについて取り上げます。

「ユーザ名フォーマットと Windows 認証」

「ドメイン修飾されていないユーザ名」

「ドメイン修飾されたユーザ名」

「UPN ユーザ名」

ユーザ名フォーマットと Windows 認証

ACS は、さまざまなフォーマットのユーザ名に対する Windows 認証をサポートしています。ACS は、Windows 認証を試みる場合、まずユーザ名フォーマットを特定し、適切な方法で Windows にユーザ名を送信します。ACS による信頼性の高い Windows 認証を実装するには、ACS がユーザ名フォーマットを特定する方法、各フォーマットをサポートする方法、およびサポート タイプの関連性を理解する必要があります。

Windows 認証用に送信されたユーザ名のフォーマットを特定するために、ACS は、ユーザ名に次の 2 つの特殊文字が含まれるかどうかを調べます。

アットマーク(@)

バックスラッシュ(\)

ユーザ名にこれら 2 つの文字が含まれるかどうか、およびこれらの文字の位置に基づいて、ACS は次のようにユーザ名フォーマットを特定します。

1. ユーザ名にバックスラッシュ(\)もアットマーク(@)も含まれていない場合、ACS はそのユーザ名をドメイン修飾されていないと見なします。たとえば、ユーザ名 cyril.yang はドメイン修飾されていません。詳細については、「ドメイン修飾されていないユーザ名」を参照してください。

2. ユーザ名にバックスラッシュ(\)が含まれており、そのバックスラッシュの前にアットマーク(@)がない場合、ACS はそのユーザ名をドメイン修飾されていると見なします。たとえば、ACS は、次のユーザ名をドメイン修飾されていると見なします。

MAIN\cyril.yang

MAIN\cyril.yang@central-office

詳細については、「ドメイン修飾されたユーザ名」を参照してください。

3. ユーザ名にアットマーク(@)が含まれており、そのアットマークの前にバックスラッシュ(\)がない場合、ACS はそのユーザ名を User Principal Name(UPN)フォーマットであると見なします。たとえば、ACS は、次のユーザ名を UPN ユーザ名であると見なします。

cyril.yang@example.com

cyril.yang@main.example.com

cyril.yang@main

cyril.yang@central-office@example.com

cyril.yang@main\example.com

詳細については、「UPN ユーザ名」を参照してください。

ドメイン修飾されていないユーザ名

ACS は、ユーザ名にアットマーク(@)が含まれていない場合、ドメイン修飾されていないユーザ名の Windows 認証をサポートします。ユーザ名にアットマーク(@)が含まれるユーザは、UPN フォーマットまたはドメイン修飾フォーマットのいずれかでユーザ名を送信する必要があります。ドメイン修飾されていないユーザ名とは、 cyril.yang msmith などです。

複数のドメインを持つ Windows 環境では、ドメイン修飾されていないユーザ名の認証結果が異なることがあります。この不一致は、ACS ではなく Windows が、ドメイン修飾されていないユーザ名の認証に使用するドメインを決めるため発生します。Windows は、ローカル ドメイン データベース内でそのユーザ名を検出できない場合、すべての信頼ドメインをチェックします。リモート エージェントがメンバー サーバ上で動作しており、信頼ドメイン内でそのユーザ名が検出されない場合、Windows はローカル アカウント データベースもチェックします。Windows は、最初に検出したユーザ名を使用してユーザを認証しようとします。

ドメイン修飾されていないユーザ名の Windows 認証が成功した場合、認証によって割り当てられる特権は、ユーザ名とパスワードが一致した最初のドメインの Windows ユーザ アカウントに関連付けられているものです。また、このことから、ユーザ アカウントが必要でなくなった場合にドメインからユーザ名を削除することの重要性がわかります。


) ユーザによって送信されたクレデンシャルが、Windows が最初に検出したユーザ名に関連付けられているクレデンシャルと一致しない場合、認証は失敗します。したがって、異なるドメイン内の異なるユーザがまったく同じユーザ名を持っており、ドメイン修飾されていないユーザ名を使用してログインすると、認証が失敗することがあります。


Windows 認証をサポートするために Domain List の使用は必須ではありませんが、Domain List を使用すると、ドメイン修飾されていないユーザ名が原因で発生する認証の失敗を減らすことができます。External User Databases セクションの Windows User Database Configuration ページに Domain List が設定されている場合、ACS はユーザの認証に成功するまで、ユーザ名とパスワードをドメイン修飾フォーマットでリストの各ドメインに送信します。ACS が Domain List に設定されているすべてのドメインに認証を要求した場合、または Domain List に信頼ドメインが設定されていない場合には、ACS はユーザ認証の試行を停止して、そのユーザのアクセスを許可しません。


Domain List にドメインが含まれており、Windows Security Account Manager(SAM)または Active Directory ユーザ データベースが、数回試行に失敗するとユーザをロックアウトするように設定されている場合には、ACS は Domain List の各ドメインの認証を明示的に試行するため、ユーザが偶然ロックアウトされて、異なるドメインに存在する同一ユーザ名に対する認証が失敗することがあります。


ドメイン修飾されたユーザ名

特定ドメインでユーザを認証する最も確かな方法は、ユーザ名の認証を行うドメイン名をユーザ名と一緒に送信するよう要求することです。ドメイン修飾されたユーザ名の認証は、Windows が正しいドメインで認証を試行することにも、Domain List を使用して ACS にドメイン修飾フォーマットで繰り返しユーザ名を送信するように指示することにも依存せず、特定のドメインに転送されます。

ドメイン修飾されたユーザ名のフォーマットは、次のとおりです。

DOMAIN\user

たとえば、Domain10 のユーザ Mary Smith( msmith )のドメイン修飾されたユーザ名は Domain10\msmith となります。

cyril.yang@central-office のようにアットマーク(@)を含むユーザ名の場合、ドメイン修飾されたユーザ名フォーマットを使用する必要があります。たとえば、 MAIN\cyril.yang@central-office のようになります。アットマーク(@)を含むユーザ名を非ドメイン修飾フォーマットで受信した場合、ACS はそのユーザ名を UPN フォーマットであると見なします。詳細については、「UPN ユーザ名」を参照してください。

UPN ユーザ名

ACS は、 cyril.yang@example.com cyril.yang@central-office@example.com など、UPN フォーマットのユーザ名の認証をサポートしています。

デフォルトでは、認証プロトコルが EAP-TLS である場合、ACS はユーザ名を UPN フォーマットで Windows に送信します。ただし、最後のアットマーク(@)以降のすべての文字をユーザ名から削除するように ACS を設定できます。詳細については、「EAP-TLS ドメインのストリッピング」を参照してください。

Windows データベースでサポートできる他のすべての認証プロトコルの場合、ACS は、最後のアットマーク(@)以降のすべての文字を削除したユーザ名を Windows に送信します。この動作により、アットマーク(@)を含むユーザ名を使用できます。次の例を参考にしてください。

受信したユーザ名が cyril.yang@example.com である場合、ACS は、ユーザ名 cyril.yang を含む認証要求を Windows に送信します。

受信したユーザ名が cyril.yang@central-office@example.com である場合、ACS は、ユーザ名 cyril.yang@central-office を含む認証要求を Windows に送信します。


) ACS は、アットマーク(@)を含むドメイン修飾されていないユーザ名と、UPN ユーザ名を区別できません。バックスラッシュ(\)文字が前に置かれていないアットマーク(@)を含むユーザ名はすべて、最後のアットマーク(@)と後続の文字が削除されて Windows に送信されます。ユーザ名にアットマーク(@)が含まれるユーザは、UPN フォーマットまたはドメイン修飾フォーマットのいずれかでユーザ名を送信する必要があります。


EAP および Windows 認証

この項では、Windows User Database Configuration ページで設定できる、Windows 固有の EAP 機能について説明します。

この項では、次のトピックについて取り上げます。

「EAP-TLS ドメインのストリッピング」

「マシン認証」

「Machine Access Restrictions」

「Microsoft Windows とマシン認証」

「マシン認証のイネーブル化」

EAP-TLS ドメインのストリッピング

Windows Active Directory を使用して EAP-TLS でユーザを認証する場合、ACS では、ユーザ証明書の Subject Alternative Name (SAN) フィールドに保存されているユーザ名からドメイン名を削除(ストリッピング)できます。ドメイン名のストリッピングを実行すると、ユーザを認証する必要のあるドメインが SAN フィールドに表示されているドメインではない場合に、EAP-TLS 認証の速度が上がります。

たとえば、ユーザの SAN フィールドに jsmith@corporation.com と表示されている場合に、 jsmith engineering というサブドメインのドメイン コントローラを使用した認証が必要であるとします。ユーザ名から @corporation.com を削除することにより、 corporation.com ドメイン コントローラに対して jsmith を認証しようとする不必要な試みを省略できます。ドメイン名を削除しないと、ACS は、corporation.com 内に jsmith がないことを確認してから、Domain List を使用して engineering ドメイン内でユーザを検出します。そのために、数秒間、処理が遅くなる可能性があります。Domain List の詳細については、「ドメイン修飾されていないユーザ名」を参照してください。

EAP-TLS ドメイン名のストリッピングは、Windows User Database Configuration ページでイネーブルにできます。


) EAP-TLS ドメイン名ストリッピングは、UPN フォーマットのユーザ名のサポートとは無関係に機能します。UPN フォーマットのユーザ名の Windows 認証に対するサポートについては、「UPN ユーザ名」を参照してください。


マシン認証

ACS は、Windows XP Service Pack 1 など、EAP コンピュータ認証をサポートする Microsoft Windows オペレーティング システムを実行しているコンピュータの認証をサポートします。マシン認証は、コンピュータ認証とも呼ばれ、Active Directory に既知のコンピュータに対してだけネットワーク サービスを許可します。この機能は、物理的な作業設備外から権限のないユーザが無線アクセス ポイントにアクセスできる無線ネットワークで特に役立ちます。

マシン認証をイネーブルにした場合、3 つの異なる種類の認証が行われます。コンピュータを起動すると、次の順序で認証が行われます。

マシン認証 :ACS はユーザ認証の前にコンピュータを認証します。ACS は、Windows ユーザ データベースに対してコンピュータが与えたクレデンシャルを確認します。Active Directory を使用していて Active Directory 内の一致するコンピュータ アカウントに同じクレデンシャルがある場合、コンピュータは Windows ドメイン サービスへのアクセスを許可されます。

ユーザ ドメイン認証 :マシン認証が成功すると、ユーザが Windows ドメインで認証されます。マシン認証が失敗すると、コンピュータは Windows ドメイン サービスへのアクセスを許可されず、ローカル オペレーティング システムに保持されているキャッシュ クレデンシャルを使用してユーザ クレデンシャルが認証されます。この場合、ユーザはローカル システムに限りログインできます。ドメインの代わりにキャッシュ クレデンシャルでユーザが認証された場合、コンピュータは、ドメインによって指示されたログイン スクリプトの実行などのドメイン ポリシーを適用しません。


ヒント ユーザ パスワードが最後に変更されてから、ユーザがまだコンピュータを使用してドメインに正常にログインしていない場合は、そのコンピュータのマシン認証が失敗すると、コンピュータ上のキャッシュ クレデンシャルは新規パスワードと一致しません。ユーザがこのコンピュータからドメインへ正常にログインしたことがあれば、キャッシュ クレデンシャルは古いパスワードと一致していることになります。

ユーザ ネットワーク認証 :ACS はユーザを認証し、ネットワーク接続を許可します。ユーザ プロファイルが存在する場合は、指定されたユーザ データベースがユーザの認証に使用されます。ユーザ データベースが Windows ユーザ データベースである必要はありませんが、ほとんどの Microsoft クライアントは、ユーザ ドメイン認証と同じクレデンシャルを使用してネットワーク認証を自動的に実行するように設定できます。この方法により、シングル サインオンが可能になります。


) また、Microsoft PEAP クライアントは、ユーザがログオフするたびにマシン認証を開始します。この機能は、次のユーザ ログインのネットワーク接続を準備するためです。Microsoft PEAP クライアントは、ユーザがログオフではなくコンピュータのシャットダウンや再起動を選択した場合にも、マシン認証を開始する場合があります。


ACS は、マシン認証で EAP-TLS と PEAP(EAP-MS-CHAPv2)をサポートしています。Windows User Database Configuration ページでそれぞれを個別にイネーブルにして、EAP-TLS または PEAP(EAP-MS-CHAPv2)で認証した複数のコンピュータを混合させることができます。マシン認証を実行する Microsoft オペレーティング システムでは、ユーザ認証プロトコルが、マシン認証に使用されたのと同じプロトコルに制限される場合があります。Microsoft オペレーティング システムとマシン認証の詳細については、「Microsoft Windows とマシン認証」を参照してください。

未知ユーザ ポリシーは、マシン認証をサポートしています。ACS にとって未知であったコンピュータは、ユーザの場合と同様に処理されます。未知ユーザ ポリシーがイネーブルで、Active Directory 外部ユーザ データベースが Configure Unknown User Policy ページの Selected Databases リストに組み込まれている場合は、Active Directory に対して示されたマシン クレデンシャルが有効であれば、マシン認証が成功します。

マシンの認証を実行するよう設定されているコンピュータでは、コンピュータの起動時にマシンの認証が行われます。AAA クライアントが RADIUS アカウンティング データを ACS に送信する場合、コンピュータが起動されると、ユーザがそのコンピュータにログインする前に、Reports and Activity セクションの Logged-In Users List にそのコンピュータが表示されます。ユーザの認証が開始されると、コンピュータは Logged-In Users List に表示されなくなります。

PEAP ベースのマシン認証では、PEAP(EAP-MS-CHAPv2)と、Microsoft Windows ドメインへの追加時に自動的に確立されたコンピュータのパスワードが使用されます。コンピュータは、名前をユーザ名として次のフォーマットで送信します。

host/computer.domain

computer はコンピュータの名前、 domain はコンピュータが属するドメインです。サブドメインも使用される場合、ドメイン セグメントにはサブドメインも含まれることがあります。その場合、フォーマットは次のようになります。

host/computer.subdomain.domain

認証されたコンピュータのユーザ名は ACS 内部データベースに表示されます。未知ユーザの処理をイネーブルにした場合は、コンピュータが正常に認証されると ACS によって自動的に追加されます。認証時にドメイン名は使用されません。

EAP-TLS ベースの認証では、EAP-TLS を使用して、クライアント証明書を使用するコンピュータを認証します。コンピュータが使用する証明書は、コンピュータがドメインに追加されたときに自動的にインストールされた証明書や、ローカル マシンのストレージに後から追加された証明書です。PEAP ベースのマシン認証と同様に、コンピュータ名がコンピュータ クライアント証明書に含まれる形で ACS 内部データベースに表示され、コンピュータ名に対応するユーザ プロファイルは、Windows 外部ユーザ データベースを使用して認証するよう設定されている必要があります。未知ユーザの処理をイネーブルにした場合は、コンピュータが正常に認証されると ACS によってコンピュータ名が自動的に ACS 内部データベースに追加されます。また、作成されたユーザ プロファイルが、ユーザが検出された外部ユーザ データベースを使用するように設定されます。マシン認証の場合、これは必ず Windows 外部ユーザ データベースになります。

Machine Access Restrictions

ネットワークへのアクセスに使用するコンピュータのマシン認証に基づき、Windows によって認証される EAP-TLS ユーザおよび Microsoft PEAP ユーザの認可を制御する追加手段として、Machine Access Restrictions(MAR)機能を使用できます。

この機能をイネーブルにすると、ACS は次のように動作します。

成功したマシン認証ごとに、ACS は、Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)RADIUS Calling-Station-Id アトリビュート(31) で受信した値を、その成功したマシン認証の証拠としてキャッシュします。ACS は、各 Calling-Station-Id アトリビュート値を、Windows User Database Configuration ページに指定されている期間(時間単位)保存した後、キャッシュから削除します。

ユーザが EAP-TLS または Microsoft PEAP エンドユーザ クライアントで認証する場合、ACS は、成功したマシン認証の Calling-Station-Id 値のキャッシュを検索して、ユーザ認証要求で受信した Calling-Station-Id 値を見つけようとします。ACS がキャッシュ内でユーザ認証 Calling-Station-Id 値を見つけるかどうかによって、ACS が、認証を要求しているユーザをユーザ グループに割り当てる方法が異なります。

Calling-Station-Id 値がキャッシュ内で見つかった場合 :ACS は、通常の方法で、ユーザをユーザ グループに割り当てます。その方法には、ユーザ プロファイルでのグループの手動指定、グループ マッピング、または RADIUS ベースのグループ指定があります。たとえば、認証に成功したコンピュータでユーザがログインし、ユーザ プロファイルによってそのユーザがグループ 137 のメンバーであることが示されている場合、ACS はグループ 137 に指定されている認可設定をユーザ セッションに適用します。

Calling-Station-Id 値がキャッシュ内で見つからなかった場合 :ACS は、 Group map for successful user authentication without machine authentication リストによって指定されているユーザ グループにユーザを割り当てます。これには、 <No Access> グループが含まれることもあります。


) ユーザ プロファイル設定は、グループ プロファイル設定よりも優先されます。Group map for successful user authentication without machine authentication リストで指定されているグループによって拒否されている認可がユーザ プロファイルによって与えられている場合、ACS はその認可を与えます。


MAR 機能は、完全な EAP-TLS および Microsoft PEAP 認証をサポートし、EAP-TLS および Microsoft PEAP の再開セッションや Microsoft PEAP の高速再接続もサポートします。

MAR 機能には、次の制限および要件があります。

マシン認証がイネーブルである必要がある。

ユーザが EAP-TLS または Microsoft PEAP クライアントで認証する必要がある。MAR は、EAP-FAST、LEAP、MS-CHAP など、他のプロトコルで認証されるユーザには適用されません。

AAA クライアントが IETF RADIUS Calling-Station-Id アトリビュート(31) で値を送信する必要がある。

ACS は、成功したマシン認証の Calling-Station-Id アトリビュート値のキャッシュを複製しない。

ダイヤルアップを使用している場合はマシン認証が行われないため、ダイヤルアップを通して認証されたユーザは、常に MAR 設定に基づいて取り扱われます。マシン認証が行われると、External User Databases > Database Group Mappings > Windows Database 設定で定義したように、ユーザは特定のグループにマップされます。グループ マッピングが設定されていない場合、ユーザはデフォルトのグループにマッピングされます。

MAR 例外リストのセットアップ

特定のユーザ(たとえば、マネージャや管理者)が、マシン認証に成功したかどうかにかかわらず、ネットワークにアクセスできるように設定するには、MAR 例外リストを設定する必要があります。この機能を使用すると、MAR から免除されるユーザ グループを選択できます。

始める前に

MAR 例外リストの一部としてユーザをすぐに認証できるようにするには、Windows データベースの設定を変更する前に、必要な数のグループと権限を設定する必要があります。グループ設定を管理するには、「グループ TACACS+ の設定」および 「ユーザ グループ内のユーザのリスト表示」を参照してください。

選択したユーザ グループの MAR 例外リストを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーで、External User Databases > Database Configuration > Windows Database を選択します。

ステップ 2 Configure をクリックします。

ステップ 3 Windows User Database Configuration ページで、正しいマシン認証設定をイネーブルにして、MAR 例外リストに含めるユーザ グループを Selected Groups リストに移動します。

ステップ 4 Submit をクリックします。

例外リストは、関連する NT グループがマッピングされる ACS ユーザ グループに基づいています。複数のユーザ グループに対して例外を作成し、各グループに異なる認可権限をマッピングできます。


 

Microsoft Windows とマシン認証

ACS は、Windows 2000 および 2003 の Active Directory でのマシン認証をサポートしています。Windows Active Directory でのマシン認証のサポートをイネーブルにするには、次のことが必要です。

1. Active Directory を実行しているコンピュータに Service Pack 4 を適用する。

2. Microsoft Knowledge Base 記事 306260『 Cannot Modify Dial-In Permission for Computers That Use Wireless Networking』 の手順を実行する。

マシン認証をサポートしているクライアント オペレーティング システムは、次のとおりです。

Microsoft Windows XP。Service Pack 1 が適用されている必要があります。

Microsoft Windows 2000。次のものが適用されている必要があります。

Service Pack 4

パッチ Q313664( Microsoft.com から入手できます)

Microsoft Windows 2003。

次のリストに、Cisco Aironet 350 無線アダプタを備えたクライアント コンピュータでマシン認証をイネーブルにする際の重要な詳細情報を示します。Microsoft Windows オペレーティング システムでのマシン認証のイネーブル化の詳細については、Microsoft 社のマニュアルを参照してください。

1. 無線ネットワーク アダプタが正しくインストールされていることを確認します。詳細については、無線ネットワーク アダプタに添付されているマニュアルを参照してください。

2. ACS サーバ証明書を発行した Certification Authority(CA; 認証局)の CA 証明書が、クライアント コンピュータのマシン ストレージに保存されていることを確認します。マシン認証中、ユーザ ストレージは使用できないので、CA 証明書がユーザ ストレージにある場合、マシン認証は失敗します。

3. 無線ネットワークを選択します。

Windows XP では、 Windows Network Connection > Properties > Network Connection Properties を選択できます。

Windows 2000 では、無線ネットワークの Service Set Identifier(SSID)を手動で入力できます。無線ネットワーク アダプタの properties ダイアログボックスの Advanced タブを使用します。

4. PEAP マシン認証をイネーブルにするには、Authentication タブを設定します。Windows XP では、無線ネットワークのプロパティから Authentication タブを使用できます。Windows 2000 では、無線ネットワーク接続のプロパティから使用できます。Authentication タブを設定するには、次の手順を実行します。

a. Enable network access control using IEEE 802.1X チェックボックスをオンにします。

b. Authenticate as computer when computer information is available チェックボックスをオンにします。

c. EAP type リストから、 Protected EAP (PEAP) を選択します。

d. Protected EAP Properties ダイアログボックスで Validate server certificate チェックボックスをオンにすることによって、ACS に有効なサーバ証明書を持たせることができます。このチェックボックスをオンにする場合は、適切な Trusted Root Certification Authorities も選択する必要があります。

e. また、PEAP properties ダイアログボックスを開き、 Select Authentication Method リストから Secured password (EAP-MS-CHAP v2) を選択します。

5. EAP-TLS マシン認証をイネーブルにするには、Authentication タブを設定します。Windows XP では、無線ネットワークのプロパティから Authentication タブを使用できます。Windows 2000 では、無線ネットワーク接続のプロパティから使用できます。

a. Enable network access control using IEEE 802.1X チェックボックスをオンにします。

b. Authenticate as computer when computer information is available チェックボックスをオンにします。

c. EAP type リストから、 Smart Card or other Certificate を選択します。

d. Smart Card or other Certificate Properties ダイアログボックスで、 Use a certificate on this computer オプションを選択します。

e. Smart Card or other Certificate Properties ダイアログボックスでは、 Validate server certificate チェックボックスをオンにすることによって、ACS に有効なサーバ証明書を持たせることもできます。このチェックボックスをオンにする場合は、適切な Trusted Root Certification Authorities も選択する必要があります。

ドメイン コントローラ上に Microsoft 認証局サーバが設定されているときは、ドメインにコンピュータが追加された際にクライアント証明書が自動的に作成されるように、Active Directory 内のポリシーを設定できます。詳細については、 Microsoft Knowledge Base 記事 313407『HOW TO: Create Automatic Certificate Requests with Group Policy in Windows』を参照してください。

マシン認証のイネーブル化

ここでは、マシン認証をサポートするように ACS を設定するために必要な手順について概説します。


) エンドユーザ クライアント コンピュータと該当する Active Directory がマシン認証をサポートするように設定されている必要があります。ここでは、ACS の設定だけを取り上げます。マシン認証をサポートするための Microsoft Windows オペレーティング システムの設定の詳細については、「Microsoft Windows とマシン認証」を参照してください。


始める前に

Windows 認証を行うには、ACS Remote Agent for Windows を少なくとも 1 つインストールして、「リモート エージェントの追加」の手順を完了しておく必要があります。ACS Remote Agent for Windows のインストールの詳細については、『 Installation and Configuration Guide for Cisco Secure ACS Remote Agents 4.0 』を参照してください。

ACS でマシン認証を実行できるようにするには、次の手順を実行します。


ステップ 1 ACS にサーバ証明書をインストールします。PEAP(EAP-MS-CHAPv2)および EAP-TLS にはサーバ証明書が必要です。ACS は、単一の証明書を使用して両方のプロトコルをサポートします。詳細な手順については、「ACS サーバ証明書のインストール」を参照してください。


) EAP-TLS または PEAP ユーザ認証をサポートするため、またはリモート ACS 管理の HTTPS 保護をサポートするために、すでに証明書をインストールしている場合は、このステップを実行する必要はありません。単一のサーバ証明書で、証明書ベースのすべての ACS サービスおよびリモート管理がサポートされます。


ステップ 2 EAP-TLS マシン認証では、ACS でサーバ証明書を発行した CA 以外の CA によってエンドユーザ クライアント上の証明書が発行された場合、その CA が信頼されるように証明書信頼リストを編集する必要があります。このステップを実行しないと、サーバ証明書の CA がエンドユーザ クライアント証明書の CA と異なる場合、EAP-TLS は正常に動作しますが、正しい CA が信頼されないため、EAP-TLS マシン認証は拒否されます。詳細な手順については、「証明書信頼リストの編集」を参照してください。

ステップ 3 Global Authentication Setup ページで該当するプロトコルをイネーブルにします。

PEAP でのマシン認証をサポートするには、PEAP(EAP-MS-CHAPv2)プロトコルをイネーブルにします。

EAP-TLS でのマシン認証をサポートするには、EAP-TLS プロトコルをイネーブルにします。


) Network Access Profile(NAP)を使用している場合は、NAP 設定で同じプロトコルをイネーブルにする必要があります。


ステップ 1 を正常に完了した場合に限り、ACS を使用してこのステップを実行します。詳細な手順については、「認証オプションの設定」を参照してください。

ステップ 4 Windows User Database Configuration ページで Windows 外部ユーザ データベースを設定し、該当するマシン認証のタイプをイネーブルにします。

PEAP でのマシン認証をサポートするには、 Permit PEAP machine authentication チェックボックスをオンにします。

EAP-TLS でのマシン認証をサポートするには、 Permit EAP-TLS machine authentication チェックボックスをオンにします。

ユーザ認証に加えてマシン認証を要求するには、 Enable machine access restrictions チェックボックスをオンにします。


) Windows 外部ユーザ データベースをすでに設定してある場合は、その設定を変更して、該当するマシン認証のタイプをイネーブルにします。


詳細な手順については、「Windows 外部ユーザ データベースの設定」を参照してください。


) Windows 認証には、ACS Remote Agent for Windows が必要です。


ACS で、ACS 内部データベースに名前のあるコンピュータのマシン認証を実行できるようになります。

ステップ 5 Unknown User Policy をまだイネーブルにしていない場合、および Selected Databases リストに Windows 外部ユーザ データベースをまだ追加してない場合は、それらの操作を実行して ACS にとって未知のコンピュータを認証できるようにすることを検討します。詳細な手順については、「未知ユーザ ポリシーの設定」を参照してください。


) マシン認証をサポートするために未知ユーザ ポリシーをイネーブルにすると、ユーザ認証に対しても未知ユーザ ポリシーがイネーブルになります。ACS では、コンピュータとユーザでの未知ユーザのサポートは区別されません。


ステップ 6 マシン認証に成功しない場合でもネットワークへのアクセスをユーザに許可する必要がある場合は、MAR から免除されるユーザ グループのリストを設定できます。詳細な手順については、「Machine Access Restrictions」を参照してください。

ACS 内部データベースにコンピュータ名があるかどうかにかかわらず、ACS でコンピュータのマシン認証を実行できるようになります。


 

Windows ユーザ データベースを使用した、ユーザによる変更が可能なパスワード

ACS では、Windows ユーザ データベースで認証するネットワーク ユーザに対して、パスワード失効時にユーザによる変更が可能なパスワードをサポートします。この機能は、External User Databases セクションの Windows User Database Configuration ページにある MS-CHAP Settings テーブルおよび Windows EAP Settings テーブルでイネーブルにできます。この機能をネットワークで使用するには、次の条件を満たしている必要があります。

ユーザが Windows Active Directory または SAM ユーザ データベースに存在する。

ACS のユーザ アカウントが、認証に Windows ユーザ データベースを指定している。

エンドユーザ クライアントに、MS-CHAP、PEAP(EAP-GTC)、PEAP(EAP-MS-CHAPv2)、または EAP-FAST との互換性がある。

エンドユーザ クライアントが接続する AAA クライアントは、該当するプロトコルをサポートする。

MS-CHAP パスワード エージングのために、AAA クライアントが RADIUS ベースの MS-CHAP 認証をサポートする。

PEAP(EAP-MS-CHAPv2)、PEAP(EAP-GTC)、および EAP-FAST パスワード エージングのために、AAA クライアントが EAP をサポートする。

上記の条件が満たされ、この機能がイネーブルになっている場合には、パスワードの失効後、最初の正常な認証時に、ユーザに対してパスワードの変更を要求するダイアログボックスが表示されます。このダイアログボックスは、パスワードが失効したユーザが、リモート アクセス サーバ経由でネットワークにアクセスしたときに Windows が表示するダイアログボックスと同じです。

ACS でのパスワード エージング サポートの詳細については、「パスワード エージングを Windows データベースのユーザに対してイネーブルにする」を参照してください。

Windows を使用したユーザ認証の準備

Windows ユーザ データベースを認証に使用する前に、次の手順を実行します。


ステップ 1 ユーザ名が Windows ユーザ データベースに存在していることを確認します。

ステップ 2 Windows で、ユーザ アカウントごとに次の User Properties チェックボックスをオフにします。

User must change password at next logon

Account disabled

ステップ 3 Windows NT の内部からダイヤルイン アクセスを制御するには、 Dial-in をクリックして、
Grant dialin permission to user を選択します。Windows 2000 および Windows 2003 で User Properties ダイアログボックスを表示し、 Dial-In タブを選択して、Remote Access 領域の Allow access をクリックします。また、ACS の External User Databases セクションの Database Group Mapping で、この機能を参照するオプションも設定する必要があります。


 

Remote Agents for Windows 認証の選択

ACS が Windows 外部ユーザ データベースを使用してユーザを認証できるように設定する前に、Windows オペレーティング システムに認証要求を送るプライマリ リモート エージェントを選択する必要があります。プライマリ リモート エージェントが使用できない場合に備えて、ACS 用のセカンダリ リモート エージェントの選択も必要な場合があります。

始める前に

この手順を実行するには、ACS Remote Agent for Windows を少なくとも 1 つインストールして、「リモート エージェントの追加」の手順を完了しておく必要があります。

Windows 認証用のリモート エージェントを選択するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの External User Databases をクリックします。

ステップ 2 Database Configuration をクリックします。

使用可能な外部ユーザ データベース タイプのリストが表示されます。

ステップ 3 Windows Database をクリックします。

External User Database Configuration ページが表示されます。

ステップ 4 Configure をクリックします。

Windows Remote Agent Selection リストが表示されます。

ステップ 5 リモート エージェントが使用できる場合は、 Primary リストで、 ACS で常にユーザ認証に使用するリモート エージェントを選択します。

ステップ 6 Primary リストで選択されたリモート エージェントが使用できない場合に、ACS でユーザ認証に使用するリモート エージェントを Secondary リストから選択します。


) セカンダリ リモート エージェントを使用したくない場合は、Secondary リストで None を選択します。


ステップ 7 Submit をクリックします。

選択されているリモート エージェントが保存されます。Windows User Database Configuration ページが表示されます。


 

Windows ユーザ データベース設定オプション

Windows User Database Configuration ページには、次の設定オプションがあります。

Dialin Permission :Windows アカウントに Windows ダイヤルイン アクセス権があるユーザだけにネットワーク アクセスを許可できます。Grant dialin permission to user チェックボックスにより、この機能が制御されます。


) この機能は、Windows 外部ユーザ データベースを使用して ACS によって認証されるすべてのユーザに適用されます。機能の名前は Dialin Permission ですが、ダイヤルアップ クライアントでネットワークにアクセスするユーザだけではなく、クライアントのタイプに関係なく適用されます。たとえば、ACS を RADIUS サーバとして使用して Telnet セッションを認証するように PIX Firewall を設定した場合、Dialin Permission 機能がイネーブルで、Windows ユーザ アカウントにダイヤルイン アクセス権がないと、Windows 外部ユーザ データベースによって認証されるユーザは、PIX Firewall への Telnet アクセスを拒否されます。



ヒント Windows ダイヤルイン アクセス権は、Windows NT のユーザ プロパティの Dialin セクションおよび Windows 2000 や Windows 2003 のユーザ プロパティの Dial-in タブでイネーブルにできます。


Windows Callback :この設定をイネーブルにする必要があるのは、コールバックでのダイヤルアップ アクセスを必要とする Windows ユーザが存在し、User Setup コールバック設定または Group Setup コールバック設定が Windows Database Callback に設定されている場合です。コールバックでのダイヤルイン アクセスが必要でないか、または Windows Database Callback に設定されていない場合は、この設定をイネーブルにしません。


) Windows Callback オプションをディセーブルにする場合は、User Setup コールバック設定または Group Setup コールバック設定のコールバック オプションも必ずディセーブルにしてください。設定が一致していない場合、クライアントはコールバック番号を受信しません。


Unknown User Policy :未知ユーザ ポリシーに追加の外部データベースが含まれていて、
Windows データベースが Selected Databases リストの最後のデータベースでない場合、このオプションをイネーブルにすることができます。たとえば、Windows データベースにユーザが存在しないか、パスワードが正しく入力されていない場合、エラー 1326(bad username or password) が返されます。ACS はこのエラーを wrong password エラーとして扱い、他の外部データベースのデフォルトにしません。このオプションをイネーブルにする必要があるのは、追加の外部データベースが Selected Databases リストの Windows データベースの後に表示される場合です。このオプションがイネーブルになっている場合、ACS は他の外部データベースの未知ユーザを検索します。

Configure Domain List :Domain List により、ドメイン修飾されていないユーザ名に対するユーザ認証が要求された場合の ACS の動作が制御されます。Domain List にドメインが設定されておらず、Windows が最初のユーザ認証要求を拒否した場合、ACS はユーザ認証の試行を停止します。Domain List にドメインが設定されている場合、ACS は、各ドメインがユーザを拒否するまで、またはドメインの 1 つがユーザを認証するまで、Domain List 内のドメインごとに 1 回ずつ、ユーザ名をリスト内のドメインで修飾して、ドメイン修飾されたユーザ名を Windows に送信します。


) Domain List リストの設定はオプションです。Domain List の詳細については、「ドメイン修飾されていないユーザ名」を参照してください。



注意 Domain List にドメインが含まれており、Windows SAM または Active Directory ユーザ データベースが、数回試行に失敗するとユーザをロックアウトするように設定されている場合には、ACS は Domain List の各ドメインの認証を明示的に試行するため、ユーザが偶然ロックアウトされて、異なるドメインに存在する同一ユーザ名に対する認証が失敗することがあります。

Configure Domain List には、次の 2 つのリストが含まれます。

Available Domains :このリストは、ACS がドメイン修飾された認証要求を送信 しない ドメインを示します。

Domain List :このリストは、ACS がドメイン修飾された認証要求を送信 する ドメインを示します。

MS-CHAP Settings :ACS が Windows ユーザ アカウントに対して MS-CHAP ベースのパスワード変更をサポートするかどうかを制御できます。MS-CHAP バージョンの N チェックボックスをオンにして、MS-CHAP ACS がサポートしているバージョンを指定することで、Permit パスワード変更を使用できます。


) MS-CHAP Settings の下にあるチェックボックスは、Microsoft PEAP、EAP-FAST、およびマシン認証のパスワード エージングに影響を及ぼしません。


Windows パスワード変更の詳細については、「パスワード エージングを Windows データベースのユーザに対してイネーブルにする」を参照してください。

Windows EAP Settings

Enable password change inside PEAP or EAP-FAST Permit password change inside PEAP or EAP-FAST チェックボックスにより、ACS が Windows ユーザ アカウントに対して PEAP ベースまたは EAP-FAST ベースのパスワード変更をサポートするかどうかが制御されます。PEAP パスワード変更は、エンドユーザ クライアントがユーザ認証に PEAP
(EAP-MS-CHAPv2)を使用する場合にだけサポートされます。EAP-FAST の場合、ACS はフェーズ 0 とフェーズ 2 でパスワード変更をサポートします。

EAP-TLS Strip Domain Name EAP-TLS Strip Domain Name チェックボックスにより、ACS が、エンドユーザ証明書の Subject Alternative Name(SAN)フィールドから取得されたユーザ名からドメイン名を削除するかどうかが制御されます。

ドメイン名のストリッピングを実行すると、ユーザを認証する必要のあるドメインが SAN フィールドに表示されているドメインではない場合に、EAP-TLS 認証の速度が上がります。たとえば、ユーザの SAN フィールドに jsmith@corporation.com と表示されている場合に、 jsmith engineering というサブドメインのドメイン コントローラを使用した認証が必要であるとします。ユーザ名から @corporation.com を削除することにより、 corporation.com ドメイン コントローラに対して jsmith を認証しようとする不必要な試みを省略できます。ドメイン名を削除しないと、ACS は、 corporation.com 内に jsmith がないことを確認してから、Domain List を使用して engineering ドメイン内でユーザを検出します。そのために、数秒間、処理が遅くなる可能性があります。

Enable PEAP machine authentication :このチェックボックスにより、ACS が、PEAP
(EAP-MS-CHAPv2)でマシン名とパスワードを使用してマシン認証を実行するかどうかが制御されます。マシン認証の詳細については、「マシン認証」を参照してください。

Enable EAP-TLS machine authentication :このチェックボックスにより、ACS が、EAP-TLS でマシン名とパスワードを使用してマシン認証を実行するかどうかが制御されます。マシン認証の詳細については、「マシン認証」を参照してください。

EAP-TLS and PEAP machine authentication name prefix :このボックスにより、認証されるマシン名の先頭に ACS が追加する文字列が定義されます。デフォルトでは、エンドユーザ クライアントはマシン名にプレフィックス host/ を付けます。PEAP machine authentication name prefix ボックスにテキストがある場合、ACS はそのテキストをプレフィックスとしてマシン名に追加します。


) EAP-TLS and PEAP machine authentication name prefix ボックスに host/ 以外の文字列を入力すると、認証が失敗する場合があります。


Enable machine access restrictions :PEAP または EAP-TLS マシン認証をイネーブルにする場合、 Enable machine access restrictions チェックボックスにより、マシン認証に失敗するコンピュータでネットワークにアクセスするユーザのネットワーク アクセスを ACS が制限するかどうかが制御されます。MAR 機能の詳細については、「Machine Access Restrictions」を参照してください。


) Windows コンピュータが使用するように設定されているマシン認証のタイプ
(PEAP マシン認証または EAP-TLS 認証、あるいはその両方)をイネーブルにしたことを確認してください。MAR 機能がイネーブルであるのに、ACS がコンピュータのマシン認証を実行しない場合、そのコンピュータでネットワークにアクセスする EAP-TLS ユーザおよび Microsoft PEAP ユーザは Group map for successful user authentication without machine authentication リストに指定されているグループに割り当てられます。



ヒント Machine Access Restrictions をイネーブルにするには、Aging Time (hours) ボックスに 0 より大きい数値を指定する必要があります。

Aging time (hours) :このボックスにより、ACS が、MAR 機能で使用するために、成功したマシン認証の IETF RADIUS Calling-Station-Id アトリビュート値をキャッシュする期間(時間単位)が指定されます。デフォルト値は 12 時間です。これは、ACS が
Calling-Station-Id
値をキャッシュしないことを意味します。


Aging time (hours) ボックスの値を 0 以外に変更しない場合は、コンピュータがマシン認証を実行する EAP-TLS ユーザおよび Microsoft PEAP ユーザはすべて、Group map for successful user authentication without machine authentication リストに指定されているグループに割り当てられます。



ヒント Calling-Station-Id 値のキャッシュをクリアするには、Aging time (hours) ボックスに「0」と入力し、Submit をクリックします。


Group map for successful user authentication without machine authentication :このリストにより、ACS が、Aging time (hours) ボックスに指定されている期間(時間単位)内に、マシン認証に成功しなかったコンピュータからネットワークにアクセスしているユーザに適用するグループ プロファイルが指定されます。そのようなユーザがネットワークにアクセスすることを拒否するには、 <No Access> (デフォルト設定)を選択します。


) ユーザ プロファイル設定は、グループ プロファイル設定よりも優先されます。
Group map for successful user authentication without machine authentication リストで指定されているグループによって拒否されている認可がユーザ プロファイルによって与えられている場合、ACS はその認可を与えます。


User Groups that are exempt from passing machine authentication :Selected User Group リストにより、マシン認証が正常に完了しなかった場合の ACS の動作が制御されます。Selected User Group リストにグループが設定されておらず、Windows が最初のマシン認証を拒否した場合、ACS はユーザ認証の試行を停止します。Selected User Group リストにグループが設定されている場合、Active Directory にはそのグループのコンピュータが不明でも、ACS はそのグループ内での認証と特権をユーザに提供します。


) User Group リストの設定はオプションです。ユーザ グループ管理の詳細については、「ユーザ グループ管理」を参照してください。



注意 User Group リストにグループが含まれており、Windows SAM または Active Directory ユーザ データベースが、数回試行に失敗するとユーザをロックアウトするように設定されている場合には、ユーザが偶然ロックアウトされることがあります。グループ設定が正しく設定されていることを確認する必要があります。

Available User Groups :このリストは、ACS がマシン認証を行う必要があるユーザ グループを示します。

Selected User Groups :このリストは、ACS がネットワークへのエントリを取得するためにマシン認証を行う必要がないユーザ グループを示します。

Windows 外部ユーザ データベースの設定

始める前に

この手順を実行する前に、「Remote Agents for Windows 認証の選択」の手順を完了しておく必要があります。

Windows User Database Configuration ページで利用できるオプションについては、「Windows ユーザ データベース設定オプション」を参照してください。

ネットワークの信頼できるドメイン内の Windows ユーザ データベースに対して、ACS がユーザを認証するように設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの External User Databases をクリックします。

ステップ 2 Database Configuration をクリックします。

ACS が使用可能な外部ユーザ データベース タイプのリストを表示します。

ステップ 3 Windows Database をクリックします。

Windows データベースが設定されていない場合は、Database Configuration Creation テーブルが表示されます。設定されている場合は、External User Database Configuration ページが表示されます。

ステップ 4 Configure をクリックします。

Windows User Database Configuration ページが表示されます。

ステップ 5 必要に応じて、次のテーブルのオプションを設定します。

Dialin Permission

Windows Callback

Unknown User Policy

Domain List

MS-CHAP Settings

Windows EAP Settings

Windows User Database Configuration ページのオプションについては、「Windows ユーザ データベース設定オプション」を参照してください。


) Windows User Database Configuration ページのすべての設定はオプションであり、その設定がサポートしている特定の機能を許可および設定しない場合は、イネーブルにする必要はありません。


ステップ 6 Submit をクリックします。

作成した Windows ユーザ データベース設定が、ACS によって保存されます。これで、このデータベースは、未知ユーザ ポリシーに追加するか、または特定のユーザ アカウントに割り当てて認証に使用できます。未知ユーザ ポリシーの詳細については、「未知ユーザ認証について」を参照してください。このデータベースを使用して認証を行うようにユーザ アカウントを設定する方法の詳細については、 第 7 章「ユーザ管理」 を参照してください。


 

汎用 LDAP

ACS は、SunOne Directory Server などの汎用 Lightweight Directory Access Protocol(LDAP)データベース経由の ASCII、PAP、EAP-TLS、PEAP(EAP-GTC)、および EAP-FAST(フェーズ 2 のみ)認証をサポートします。他の認証プロトコルは、LDAP 外部ユーザ データベースでサポートされません。


) 別のタイプの外部ユーザ データベースにより、LDAP データベースでサポートされない認証プロトコルがサポートされる場合があります。認証プロトコル、およびそのプロトコルをサポートする外部データベース タイプの詳細については、「認証プロトコルとデータベースの互換性」を参照してください。


ACS は、LDAP ユーザ データベースにグループ メンバーシップ情報を要求することによって、未知ユーザに対するグループ マッピングをサポートします。LDAP ユーザ データベースで認証されたユーザに対するグループ マッピングの詳細については、「グループ セット メンバーシップによるグループ マッピング」を参照してください。

LDAP データベースで認証するように ACS を設定しても、LDAP データベースの設定には影響を与えません。使用している LDAP データベースを管理するには、そのデータベースのマニュアルを参照してください。

この項では、次のトピックについて取り上げます。

「汎用 LDAP ユーザ データベースを使用した ACS の認証プロセス」

「複数の LDAP インスタンス」

「LDAP の組織ユニットとグループ」

「ドメイン フィルタリング」

「LDAP フェールオーバー」

「LDAP 管理者ログイン接続管理」

「認定者名のキャッシング」

「LDAP 設定オプション」

「汎用 LDAP 外部ユーザ データベースの設定」

「証明書データベースのダウンロード」

汎用 LDAP ユーザ データベースを使用した ACS の認証プロセス

ACS は、指定されたポート上の Transmission Control Protocol(TCP; 伝送制御プロトコル)接続を使用して、ユーザ名とパスワードを LDAP データベースに転送します。LDAP データベースは、ACS からの認証要求を成功または失敗させます。ACS は、LDAP データベースからの応答を受信すると、LDAP サーバからの応答に応じて、要求側 AAA クライアントにユーザ アクセスの許可または拒否を指示します。

ACS は、ユーザが割り当てられている ACS グループに基づいて、認可を与えます。ユーザが割り当てられているグループは LDAP サーバからの情報によって判別可能ですが、認可特権を与えるのは ACS です。

複数の LDAP インスタンス

ACS に複数の LDAP 設定を作成できます。IP アドレスまたはポートの設定が異なる複数の LDAP 設定を作成することによって、異なる LDAP サーバを使用して、または同じ LDAP サーバ上の異なるデータベースを使用して認証するように ACS を設定できます。プライマリ サーバの各 IP アドレスおよびポートの設定は、セカンダリ サーバの IP アドレスおよびポートの設定とともに、ACS LDAP 設定インスタンスに対応する LDAP インスタンスを形成します。

ACS では、個々の LDAP インスタンスが一意の LDAP データベースに対応している必要はありません。複数の LDAP 設定を、同一のデータベースにアクセスするように設定できます。この方法は、LDAP データベースにユーザまたはグループのサブツリーが複数含まれている場合に役立ちます。各 LDAP 設定では、ユーザとグループに対してそれぞれ単一のサブツリー ディレクトリだけをサポートするため、ACS が認証要求を送信する必要があるユーザ ディレクトリ サブツリーとグループ ディレクトリ サブツリーの組み合せごとに、別々の LDAP インスタンスを設定する必要があるからです。

各 LDAP インスタンスについて、未知ユーザ ポリシーから設定を追加または除外できます。詳細については、「未知ユーザ認証について」を参照してください。

各 LDAP インスタンスについて、一意のグループ マッピングを設定できます。詳細については、「グループ セット メンバーシップによるグループ マッピング」を参照してください。

複数の LDAP インスタンスは、ドメイン フィルタリングを使用する場合にも重要です。詳細については、「ドメイン フィルタリング」を参照してください。

LDAP の組織ユニットとグループ

LDAP グループは、対応する ACS グループと同一の名前である必要はありません。LDAP グループには任意の名前を割り当てて、ACS グループにマッピングできます。LDAP データベースがグループ メンバーシップを処理する方法の詳細については、LDAP データベースのマニュアルを参照してください。LDAP グループのマッピングと ACS の詳細については、 第 17 章「ユーザ グループ マッピングと仕様」 を参照してください。

ドメイン フィルタリング

ドメイン フィルタリングを使用すると、ドメイン修飾されたユーザ名に基づいて、ユーザ認証に使用される LDAP インスタンスを制御できます。ドメイン フィルタリングは、認証のために送信されたユーザ名の先頭または末尾のいずれかの文字の分析に基づいて行われます。ドメイン フィルタリングにより、ACS が所定のユーザ認証要求を送信する先の LDAP インスタンスを、より強力に制御できるようになります。また、ドメイン修飾子を削除せずにユーザ名を LDAP サーバに送信するかどうかを制御できます。

たとえば、Windows XP クライアントが EAP-TLS 認証を開始する場合、ACS は username@domainname フォーマットでユーザ名を受信します。Cisco Aironet エンドユーザ クライアントによって PEAP 認証が開始される場合、ACS はドメイン修飾子のないユーザ名を受信します。両方のクライアントが、ドメイン修飾子のないユーザ名を格納する LDAP データベースで認証される場合、ACS はドメイン修飾子を削除(ストリッピング)できます。ドメイン修飾されたユーザ アカウントとドメイン修飾されていないユーザ アカウントの両方が LDAP データベースに格納されている場合、ACS は、ドメイン フィルタリングを行わずにユーザ名を LDAP データベースに渡すことができます。

ドメイン フィルタリングを利用する場合は、ACS に作成する各 LDAP 設定によって、次のいずれかの方法でドメイン フィルタリングを行うことができます。

Limiting users to one domain :ACS の LDAP 設定ごとに、ACS が特定のドメイン名で修飾されたユーザ名の認証だけを試みるように指定できます。これは、LDAP Configuration ページの Only process usernames that are domain qualified オプションに対応しています。このオプションの詳細については、「LDAP 設定オプション」を参照してください。

このオプションでは、各 LDAP 設定が 1 つのドメインおよび 1 つのタイプのドメイン修飾に制限されます。ユーザ名を LDAP サーバに送信する前に、ACS がドメイン修飾を削除するかどうかを指定できます。LDAP サーバがドメイン修飾フォーマットでユーザ名を格納する場合は、ドメイン修飾子を削除するように ACS を設定しないでください。

ユーザ コンテキストによって、またはユーザ名が ACS に格納される形式(ドメイン修飾されるか、ドメイン修飾されないか)によって、LDAP サーバがドメインごとに別々にユーザ名を格納する場合は、ユーザを 1 つのドメインに制限すると便利です。エンドユーザ クライアントまたは AAA クライアントは、ユーザ名をドメイン修飾フォーマットで ACS に送信する必要があります。このフォーマットで送信しない場合、ACS は、ユーザのドメインを特定できず、この形式のドメイン フィルタリングを使用する LDAP 設定でユーザの認証を試みません。

Allowing any domain but stripping domain qualifiers :ACS の LDAP 設定ごとに、共通のドメイン修飾子区切り文字に基づいてドメイン修飾子の削除を試みるように ACS を設定できます。この方法は、LDAP Configuration ページの Process all usernames after stripping domain name and delimiter オプションに対応しています。このオプションの詳細については、「LDAP 設定オプション」を参照してください。

ACS は、プレフィックス ドメイン修飾子とサフィックス ドメイン修飾子をサポートします。1 つの LDAP 設定で、プレフィックス ドメイン修飾子とサフィックス ドメイン修飾子の両方の削除を試みることができますが、プレフィックス ドメイン修飾子とサフィックス ドメイン修飾子には、それぞれ 1 つの区切り文字しか指定できません。複数のタイプのドメイン修飾子区切り文字をサポートするには、ACS に複数の LDAP 設定を作成します。

LDAP サーバではユーザ名を非ドメイン修飾フォーマットで格納し、AAA クライアントまたはエンドユーザ クライアントではユーザ名をドメイン修飾フォーマットで ACS に送信する場合は、Allowing usernames of any domain but stripping domain qualifiers オプションを使用すると便利です。


) このオプションを使用すると、ACS は、ドメイン修飾されていないユーザ名も送信します。LDAP サーバへの送信については、ユーザ名がドメイン修飾されている必要はありません。


LDAP フェールオーバー

ACS は、プライマリ LDAP サーバとセカンダリ LDAP サーバ間でのフェールオーバーをサポートします。ACS による LDAP 認証のコンテキストでは、ACS が LDAP サーバに接続できないために認証要求が失敗した場合(サーバがダウンした場合や ACS による接続ができない場合など)に、フェールオーバーが適用されます。この機能を使用するには、LDAP Database Configuration ページで、プライマリとセカンダリの LDAP サーバを定義する必要があります。また、 On Timeout Use Secondary チェックボックスもオンにする必要があります。LDAP 外部ユーザ データベースの設定の詳細については、「汎用 LDAP 外部ユーザ データベースの設定」を参照してください。

On Timeout Use Secondary チェックボックスがオンになっていて、ACS が接続しようとする最初の LDAP サーバに到達できない場合には、常に ACS は他の LDAP サーバへの接続を試みます。ACS が接続を試みる最初のサーバは、必ずしもプライマリ LDAP サーバとは限りません。ACS が接続を試みる最初の LDAP サーバは、その前に試みた LDAP 認証と、 Failback Retry Delay ボックスに入力する値によって決まります。

プライマリ LDAP サーバによる以前の認証が成功した場合

以前の LDAP 認証試行時にプライマリ LDAP サーバへの接続に成功していた場合、ACS はプライマリ LDAP サーバへの接続を試みます。プライマリ LDAP サーバに接続できない場合、ACS はセカンダリ LDAP サーバへの接続を試みます。

どちらの LDAP サーバにも接続できない場合、ACS はユーザの LDAP 認証試行を停止します。ユーザが未知のユーザの場合には、ACS は、Unknown User Policy リストにある次の外部ユーザ データベースを検索します。Unknown User Policy リストの詳細については、「未知ユーザ認証について」を参照してください。

プライマリ LDAP サーバによる以前の認証が失敗した場合

以前の LDAP 認証試行時にプライマリ LDAP サーバに接続できなかった場合、ACS が現在の認証について最初にプライマリ サーバへの接続を試みるか、セカンダリ LDAP サーバへの接続を試みるかは、Failback Retry Delay ボックスの値によって決定されます。Failback Retry Delay ボックスが 0(ゼロ)に設定されていると、ACS は常に最初にプライマリ LDAP サーバに接続を試みます。さらに、プライマリ LDAP サーバに接続できないときは、ACS は、次にセカンダリ LDAP サーバへの接続を試みます。

Failback Retry Delay ボックスがゼロ以外の数値に設定されていると、ACS は、プライマリ LDAP サーバを使用した認証試行を最後に実行してからの経過時間(分単位)を判別します。Failback Retry Delay ボックスに指定されている値よりも経過分数が長い場合には、ACS は最初にプライマリ LDAP サーバへの接続を試みます。さらに、プライマリ LDAP サーバに接続できないときは、ACS は、次にセカンダリ LDAP サーバへの接続を試みます。

Failback Retry Delay ボックスに指定されている値よりも経過分数が短い場合には、ACS は最初にセカンダリ LDAP サーバへの接続を試みます。さらに、セカンダリ LDAP サーバに接続できないときは、ACS は、次にプライマリ LDAP サーバへの接続を試みます。

どちらの LDAP サーバにも接続できないときには、ACS は、ユーザの LDAP 認証試行を停止します。ユーザが未知のユーザの場合には、ACS は、Unknown User Policy リストにある次の外部ユーザ データベースを検索します。Unknown User Policy リストの詳細については、「未知ユーザ認証について」を参照してください。

LDAP 管理者ログイン接続管理

ACS は、LDAP サーバ上でユーザの認証と認可を確認する際、LDAP 管理者アカウント権限で接続を使用します。この接続を使用して、Directory サブツリー上のユーザおよびユーザ グループを検索します。ACS は、連続使用が可能な管理者接続を保持しており、各認証要求に対して管理者バインドを追加する必要はありません。汎用 LDAP 外部 DB 設定(プライマリとセカンダリ)ごとに、同時管理者接続の最大数を制限できます。

認定者名のキャッシング

認証に予測できない要素が加えられることがあるため、検索が LDAP にとって負荷の高い動作となる場合があります。ACS は認証プロセスが指定するユーザ名を受け取り、未知のユーザに関して、深度が不明なサブツリー全体を検索するように LDAP サーバに依頼します。

認証が正常に終了すると、ACS は検索が返す Distinguished Name(DN; 認定者名)をキャッシュします。再認証は、キャッシュされた DN を使用してすぐにユーザの検索を実行します。

キャッシュされた DN は画面上に表示できません。キャッシュされた DN へのバインドが失敗すると、ACS は認証中のユーザのデータベース全体の検索にフォールバックします。

LDAP 設定オプション

LDAP Database Configuration ページでは、3 つのテーブルに数多くのオプションが用意されています。

Domain Filtering :このテーブルには、ドメイン フィルタリング用のオプションが用意されています。認証を処理するのがプライマリ LDAP サーバかセカンダリ LDAP サーバかに関係なく、このテーブル内の設定は、この設定を使用して行われるすべての LDAP 認証に影響を与えます。ドメイン フィルタリングの詳細については、「ドメイン フィルタリング」を参照してください。

このテーブルには次のフィールドがあります。

Process all usernames :このオプションを選択すると、ACS は、認証のためにユーザ名を LDAP サーバに送信する前に、ユーザ名のドメイン フィルタリングを行いません。

Only process usernames that are domain qualified :このオプションを選択すると、ACS は、単一のドメインによってドメイン修飾されたユーザ名の認証だけを試みます。 Qualified by オプションと Domain オプションでドメイン修飾子のタイプとドメインを指定する必要があります。 Qualified by オプションに指定した方法で修飾され、Domain Qualifier ボックスに指定したドメイン名で修飾されたユーザ名だけが送信されます。ユーザ名を LDAP サーバに送信する前にユーザ名からドメイン修飾子を削除するかどうかも指定できます。

Qualified by Only process usernames that are domain qualified を選択した場合は、このオプションでドメイン修飾のタイプを指定します。 Prefix を選択すると、Domain Qualifier ボックスに指定した文字で始まるユーザ名だけが処理されます。 Suffix を選択すると、Domain Qualifier ボックスに指定した文字で終わるユーザ名だけが処理されます。


) 選択するドメイン修飾子のタイプに関係なく、ドメイン名は、Domain Qualifier ボックスに指定するドメインと一致しなければなりません。


Domain Qualifier :Only process usernames that are domain qualified を選択した場合は、このオプションで、LDAP サーバに送信されるユーザ名を修飾するドメイン名と区切り文字を指定します。Domain ボックスには最大 512 文字入力できますが、使用できるのは、ドメイン名を 1 つとその区切り文字だけです。

たとえば、ドメイン名が mydomain、区切り文字がアットマーク(@)、Qualified by リストで Suffix を選択した場合、Domain ボックスには @mydomain と入力する必要があります。ドメイン名が yourdomain 、区切り文字がバックスラッシュ(\)、Qualified by リストで Prefix を選択した場合、Domain Qualifier ボックスには yourdomain\ と入力する必要があります。

Strip domain before submitting username to LDAP server :Only process usernames that are domain qualified を選択した場合は、このオプションで、ACS がユーザ名を LDAP サーバに送信する前にドメイン修飾子とその区切り文字を削除(ストリッピング)するかどうかを指定します。たとえば、ユーザ名が jwiedman@domain.com であれば、ストリッピングされたユーザ名は jwiedman になります。

Process all usernames after stripping domain name and delimiter :このオプションを選択すると、ACS は、ドメイン名の削除を試みてから、すべてのユーザ名を LDAP サーバに送信します。ドメイン修飾されていないユーザ名も処理されます。次の 2 つのオプションでの指定に従って、ドメイン名ストリッピングが行われます。

Strip starting characters through the last X character :Process all usernames after stripping domain name and delimiter を選択した場合は、このオプションで、ACS がプレフィックス ドメイン修飾子の削除を試みるように指定できます。ユーザ名の中で、 X ボックスに指定した区切り文字が検出されると、そのユーザ名の初めから区切り文字までのすべての文字が削除されます。ユーザ名に、 X ボックスに指定した文字が複数含まれている場合は、最後の区切り文字までの文字が削除されます。

たとえば、区切り文字がバックスラッシュ(\)で、ユーザ名が DOMAIN\echamberlain である場合、 echamberlain が LDAP サーバに送信されます。


X ボックスには、特殊文字であるシャープ記号(#)、疑問符(?)、引用符(")、アスタリスク(*)、右山カッコ(>)、および左山カッコ(<)を入力できません。ACS では、ユーザ名にこれらの文字を使用できません。X ボックスにこれらの文字のいずれかを入力すると、ストリッピングが失敗します。


Strip ending characters through the first Y character :Process all usernames after stripping domain name and delimiter を選択した場合は、このオプションで、ACS がサフィックス ドメイン修飾子の削除を試みるように指定できます。ユーザ名の中で、 Y ボックスに指定した区切り文字が検出されると、その区切り文字からユーザ名の末尾までのすべての文字が削除されます。ユーザ名に、 Y ボックスに指定した文字が複数含まれる場合は、最初の区切り文字から文字が削除されます。

たとえば、区切り文字がアットマーク(@)で、ユーザ名が jwiedman@domain である場合、 jwiedman が LDAP サーバに送信されます。


Y ボックスには、特殊文字であるシャープ記号(#)、疑問符(?)、引用符(")、アスタリスク(*)、右山カッコ(>)、および左山カッコ(<)を入力できません。ACS では、ユーザ名にこれらの文字を使用できません。Y ボックスにこれらの文字のいずれかを入力すると、ストリッピングが失敗します。


Common LDAP Configuration :このテーブルには、この設定を使用して行われるすべての LDAP 認証に適用されるオプションが用意されています。ACS は、認証がプライマリ LDAP サーバによって処理されるか、セカンダリ LDAP サーバによって処理されるかに関係なく、このセクションの設定を使用します。

このテーブルには次のフィールドがあります。

User Directory Subtree :すべてのユーザを含むサブツリーの認定者名(DN)。次の例を参考にしてください。

ou=organizational unit[,ou=next organizational unit]o=corporation.com

ユーザを含むツリーがベース DN である場合は、LDAP 設定に応じて次のように入力します。

o=corporation.com

または

dc=corporation,dc=com

詳細については、LDAP データベースに関するドキュメントを参照してください。

Group Directory Subtree :すべてのグループを含むサブツリーの DN。次の例を参考にしてください。

ou=organizational unit[,ou=next organizational unit]o=corporation.com

グループを含むツリーがベース DN である場合は、LDAP 設定に応じて次のように入力します。

o=corporation.com

または

dc=corporation,dc=com

詳細については、LDAP データベースに関するドキュメントを参照してください。

UserObjectType :ユーザ名を含むユーザ レコード内のアトリビュート名。このアトリビュート名は、ディレクトリ サーバから取得できます。詳細については、LDAP データベースに関するドキュメントを参照してください。ACS には、Netscape Directory Server のデフォルト設定が反映されたデフォルト値が含まれています。LDAP サーバの設定とマニュアルを使用して、これらのフィールドのすべての値を確認してください。

UserObjectClass :レコードをユーザとして識別する LDAP objectType アトリビュートの値。しばしば、ユーザ レコードの objectType アトリビュートには複数の値があり、ユーザに固有のものや、他のオブジェクト タイプと共有されているものがあります。このボックスには、共有されていない値を入力する必要があります。

GroupObjectType :グループ名を含むグループ レコード内のアトリビュート名。

GroupObjectClass :レコードをグループとして識別するグループ レコード内の LDAP objectType アトリビュートの値。

Group Attribute Name :グループのメンバーであるユーザ レコードのリストを含むグループ レコード内のアトリビュート名。

Server Timeout :LDAP サーバとの接続に失敗したと判断する前に ACS が LDAP サーバからの応答を待つ秒数。

On Timeout Use Secondary :ACS が LDAP 認証試行のフェールオーバーを行うかどうか。LDAP フェールオーバー機能の詳細については、「LDAP フェールオーバー」を参照してください。

Failback Retry Delay :プライマリ LDAP サーバがユーザ認証に失敗してから、初めて ACS がプライマリ LDAP サーバへの認証要求の送信を再開するまでの経過時間(分単位)。0(ゼロ)を入力すると、ACS は常にプライマリ LDAP サーバを最初に使用します。

Max. Admin Connections:特定の LDAP 設定に対して実行できる LDAP 管理者アカウント権限での同時接続の最大数(0 以上)。これらの接続は、User Directory Subtree および Group Directory Subtree の下にあるユーザおよびグループの Directory の検索に使用されます。

Primary LDAP Server および Secondary LDAP Server :Primary LDAP Server テーブルおよび Secondary LDAP Server テーブルでは、LDAP サーバを識別し、各サーバに固有の設定を行うことができます。LDAP フェールオーバーを使用しない場合は、Secondary LDAP Server テーブルに入力する必要はありません。これらのテーブルには、次のオプションが用意されています。

Hostname :LDAP ソフトウェアを実行しているサーバの名前または IP アドレス。ネットワーク上で DNS を使用している場合、IP アドレスの代わりにホスト名を入力できます。

Port :LDAP サーバが受信している TCP/IP ポート番号。デフォルトは、LDAP 仕様の記述に従って 389 です。ポート番号が不明な場合は、LDAP サーバ上にそれらのプロパティを表示することによって、ポート番号を取得できます。安全な認証を使用する場合、通常はポート 636 を使用します。

LDAP Version :LDAP データベースとの通信に、ACS が LDAP バージョン 3 とバージョン 2 のいずれを使用するか。このチェックボックスがオンの場合、ACS は LDAP バージョン 3 を使用します。このチェックボックスがオフの場合、ACS は LDAP バージョン 2 を使用します。

Security :LDAP サーバとの通信を暗号化するために、ACS が SSL を使用するかどうか。SSL がイネーブルになっていない場合、ユーザ クレデンシャルはクリア テキストで LDAP サーバに渡されます。このオプションがオンの場合、 Trusted Root CA または Certificate Database Path を選択する必要があります。ACS は、LDAP サーバを使用した SSL 通信のサーバ側の認証だけをサポートします。Port ボックスに、LDAP サーバ上の SSL に使用するポート番号が含まれていることを確認する必要があります。

Trusted Root CA:LDAP over SSL には、Netscape cert7.db ファイル以外の証明書データベース ファイルを使用する認証オプションがあります。このオプションは、ACS 環境における他の SSL インストールと同じメカニズムを使用します。LDAP サーバ上にインストールされたサーバ証明書を発行した認証局を選択します。

Certificate DB Path:このオプションを使用すると、Download Certificate Database ページへのリンクが示されます。ACS は、指定した LDAP サーバへの安全な通信をサポートするために Netscape cert7.db 証明書データベース ファイルがダウンロードされたかどうかについての情報を表示します。Download Certificate Database ページの詳細については、「証明書データベースのダウンロード」を参照してください。

SSL を使用して安全な認証を行うには、Netscape cert7.db 証明書データベース ファイルのパスを入力する必要があります。ACS は、SSL 接続を確立するために証明書データベースを必要とします。証明書データベースは ACS Solution Engine に対してローカルになっている必要があるため、FTP を使用して証明書データベースを ACS に転送する必要があります。

ACS では、設定する LDAP サーバごとに Netscape cert7.db 証明書データベース ファイルが必要です。たとえば、複数の LDAP ツリーに分散されたユーザをサポートするために、ACS に、同一の LDAP サーバと通信する 2 つの LDAP インスタンスを設定できます。各 LDAP インスタンスには、プライマリ LDAP サーバとセカンダリ LDAP サーバが指定されます。2 つの LDAP 設定が同一のプライマリ サーバを共有する場合でも、LDAP 設定ごとに、証明書データベース ファイルを ACS にダウンロードする必要があります。


) データベースは、cert7.db 証明書データベース ファイルでなければなりません。他のファイル名はサポートされません。


Admin DN :管理者の DN。つまり、User Directory Subtree 内の必要なすべてのユーザの検索が許されている LDAP アカウント。これには、LDAP サーバに関する次の情報が含まれている必要があります。

uid= user id ,[ou= organizational unit ,][ou= next organizational unit ]o= organization

user id はユーザ名、 organizational unit はツリーの一番下のレベル、 next organizational unit はツリーの次に高いレベルです。

次の例を参考にしてください。

uid=joesmith,ou=members,ou=administrators,o=cisco

匿名のクレデンシャルによる検索でグループ名アトリビュートが表示されるように LDAP サーバが設定されている場合は、管理者ユーザ名に匿名のクレデンシャルを使用できます。それ以外の場合は、検索でのグループ名アトリビュートの表示が許可された管理者ユーザ名を指定する必要があります。


) 指定した管理者ユーザ名に対して、検索でのグループ名アトリビュートの表示が許可されていない場合、LDAP が認証したユーザのグループ マッピングは失敗します。


Password Admin DN ボックスで指定した管理者アカウントのパスワード。大文字と小文字の区別は、LDAP サーバによって決定されます。

汎用 LDAP 外部ユーザ データベースの設定

汎用 LDAP 設定を作成することで、LDAP データベースに認証要求を渡すために必要な ACS 情報が提供されます。この情報は LDAP データベースの実装方法を示したもので、LDAP データベースの設定方法や機能を指示するものではありません。LDAP データベースについては、LDAP のマニュアルを参照してください。


ACS は、標準 LDAP を使用することにより Novell Directory Services(NDS)ユーザの認証をサポートします。


始める前に

LDAP Database Configuration ページのオプションについては、「LDAP 設定オプション」を参照してください。

LDAP ユーザ データベースを使用するように ACS を設定するか、または Novell NDS ユーザを認証するように LDAP を設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの External User Databases をクリックします。

ステップ 2 Database Configuration をクリックします。

ACS が使用可能な外部ユーザ データベース タイプのリストを表示します。

ステップ 3 Generic LDAP をクリックします。


) ユーザは、1 つだけの LDAP データベースと照合して認証されます。


LDAP データベースが設定されていない場合は、Database Configuration Creation テーブルが表示されます。設定されている場合は、Database Configuration Creation テーブルと External User Database Configuration テーブルが表示されます。

ステップ 4 設定を作成する場合は、次の手順を実行します。

a. Create New Configuration をクリックします。

b. 表示されたボックスに汎用 LDAP の新しい設定の名前を入力します。

c. Submit をクリックします。

ACS によって、新しい設定が External User Database Configuration テーブルに追加されます。

ステップ 5 External User Database Configuration ページで、設定する LDAP データベースの名前を選択します。


) LDAP 設定が 1 つだけ存在する場合は、リストではなく、その設定の名前が表示されます。ステップ 6 に進みます。


ステップ 6 Configure をクリックします。


注意 Delete をクリックすると、選択した LDAP データベースの設定が削除されます。

ステップ 7 ACS が LDAP 認証要求をユーザ名によってフィルタリングしないように設定するには、Domain Filtering で、 Process all usernames を選択します。

ステップ 8 この LDAP 設定によって処理される認証が、特定のドメイン修飾を持つユーザ名にだけ実行されるようにする場合は、次の手順を実行します。


) ドメイン フィルタリングについては、「ドメイン フィルタリング」を参照してください。


a. Domain Filtering で、 Only process usernames that are domain qualified を選択します。

b. Qualified by リストから、適切なドメイン修飾タイプ(Suffix または Prefix)を選択します。LDAP 設定ごとに 1 つのタイプのドメイン修飾だけがサポートされます。

たとえば、この LDAP 設定で、特定のドメイン名で始まるユーザ名を認証する場合は、 Prefix を選択します。この LDAP 設定で、特定のドメイン名で終わるユーザ名を認証する場合は、 Suffix を選択します。

c. Domain Qualifier ボックスに、この LDAP 設定で認証するユーザ名のドメイン名を入力します。ユーザ ID とドメイン名を分離する区切り文字を含めます。必ず区切り文字を適切な位置に入力してください。 Qualified by リストで Prefix を選択した場合はドメイン名の末尾に、Qualified by リストで Suffix を選択した場合はドメイン名の初めに区切り文字を入力します。

LDAP 設定ごとに 1 つのドメイン名だけがサポートされます。最大 512 文字入力できます。

d. ユーザ名を LDAP データベースに送信する前に、ACS がドメイン修飾子を削除するように設定するには、 Strip domain before submitting username to LDAP server チェックボックスをオンにします。

e. ACS がドメイン修飾子を削除せずにユーザ名を LDAP データベースに渡すように設定するには、 Strip domain before submitting username to LDAP server チェックボックスをオフにします。

ステップ 9 ユーザ名を LDAP サーバに送信する前に、ACS がユーザ名からドメイン修飾子を削除できるようにするには、次の手順を実行します。


) ドメイン フィルタリングについては、「ドメイン フィルタリング」を参照してください。


a. Domain Filtering で、 Process all usernames after stripping domain name and delimiter を選択します。

b. ACS がプレフィックス ドメイン修飾子を削除するように設定するには、
Strip starting characters through the last X character チェックボックスをオンにしてから、 X ボックスにドメイン修飾子区切り文字を入力します。


X ボックスには、特殊文字であるシャープ記号(#)、疑問符(?)、引用符(")、アスタリスク(*)、右山カッコ(>)、および左山カッコ(<)を入力できません。ACS では、ユーザ名にこれらの文字を使用できません。X ボックスにこれらの文字のいずれかを入力すると、ストリッピングが失敗します。


c. ACS がサフィックス ドメイン修飾子を削除するように設定するには、 Strip ending characters from the first X character チェックボックスをオンにしてから、 X ボックスにドメイン修飾子区切り文字を入力します。


X ボックスには、特殊文字であるシャープ記号(#)、疑問符(?)、引用符(")、アスタリスク(*)、右山カッコ(>)、および左山カッコ(<)を入力できません。ACS では、ユーザ名にこれらの文字を使用できません。X ボックスにこれらの文字のいずれかを入力すると、ストリッピングが失敗します。


ステップ 10 Common LDAP Configuration の User Directory Subtree ボックスに、すべてのユーザを含むツリーの DN を入力します。

Novell NDS ユーザを認証中の場合は、UserDirectorySubtree を o=lab に設定します。

ステップ 11 Group Directory Subtree ボックスに、すべてのグループを含むサブツリーの DN を入力します。

Novell NDS ユーザを認証中の場合は、GroupDirectorySubtree を o=lab に設定します。

ステップ 12 User Object Type ボックスに、ユーザ名を格納したユーザ レコード内のアトリビュート名を入力します。このアトリビュート名は、ディレクトリ サーバから取得できます。詳細については、LDAP データベースに関するドキュメントを参照してください。


) UserObjectType とその後のフィールド内のデフォルト値は、Netscape Directory Server のデフォルト設定を示しています。LDAP サーバの設定とマニュアルを使用して、これらのフィールドのすべての値を確認してください。


Novell NDS ユーザを認証中の場合は、User Object Type を cn に設定します。

ステップ 13 User Object Class ボックスに、レコードをユーザとして識別する LDAP objectType アトリビュートの値を入力します。しばしば、ユーザ レコードの objectType アトリビュートには複数の値があり、ユーザに固有のものや、他のオブジェクト タイプと共有されているものがあります。共有されていない値を選択します。

ステップ 14 GroupObjectType ボックスに、グループ名を格納しているグループ レコード内のアトリビュート名を入力します。

ステップ 15 GroupObjectClass ボックスに、レコードをグループとして識別するグループ レコード内の LDAP objectType アトリビュートの値を入力します。

Novell NDS ユーザを認証中の場合は、 GroupObjectClass groupOfNames に設定します。

ステップ 16 GroupAttributeName ボックスに、グループのメンバーであるユーザ レコードのリストを格納しているグループ レコード内のアトリビュート名を入力します。

ステップ 17 Server Timeout ボックスに、LDAP サーバとの接続に失敗したと判断する前に ACS が LDAP サーバからの応答を待つ秒数を入力します。

ステップ 18 LDAP 認証試行のフェールオーバーをイネーブルにするには、 On Timeout Use Secondary チェックボックスをオンにします。LDAP フェールオーバー機能の詳細については、「LDAP フェールオーバー」を参照してください。

ステップ 19 Failback Retry Delay ボックスに、プライマリ LDAP サーバがユーザ認証に失敗してから、初めて ACS がプライマリ LDAP サーバへの認証要求の送信を再開するまでの経過時間を分単位で入力します。


) ACS が常にプライマリ LDAP サーバを最初に使用するように指定するには、Failback Retry Delay ボックスに 0(ゼロ)を入力します。


ステップ 20 Max. Admin Connection ボックスに、LDAP 管理者アカウント権限を使用して同時に接続できる最大数を入力します。

ステップ 21 Primary LDAP Server テーブルおよび Secondary LDAP Server テーブルについて、次の手順を実行します。


) On Timeout Use Secondary チェックボックスをオンにしなかった場合は、Secondary LDAP Server テーブルのオプションを入力する必要はありません。


a. Hostname ボックスに、LDAP ソフトウェアを実行しているサーバの名前または IP アドレスを入力します。ネットワーク上で DNS を使用している場合、IP アドレスの代わりにホスト名を入力できます。

b. Port ボックスに、LDAP サーバが受信している TCP/IP ポート番号を入力します。デフォルトは、LDAP 仕様の記述に従って 389 です。ポート番号が不明な場合は、LDAP サーバ上にそれらのプロパティを表示することによって、ポート番号を取得できます。安全な認証を使用する場合、通常はポート 636 を使用します。

c. LDAP データベースと通信するために ACS が LDAP バージョン 3 を使用するよう指定するには、 LDAP Version チェックボックスを選択します。LDAP Version チェックボックスがオンになっていないときは、ACS では、LDAP バージョン 2 が使用されます。

d. SSL を使用して ACS を LDAP サーバに接続する場合、 Use secure authentication チェックボックスをオンにして、次の 3 つのステップを実行します。SSL を使用しない場合、ユーザ名とパスワード認証は、通常、ネットワークを介して LDAP ディレクトリにクリアテキストで渡されます。

e. Use Secure authentication チェックボックスをオンにした場合、次のいずれかの手順を実行します。

Trusted Root CA チェックボックスをオンにして、隣接するドロップダウン リストで Trusted Root CA を選択します。

Certificate Database Path チェックボックスをオンにして、 cert7.db ファイルをダウンロードします。


cert7.db 証明書データベース ファイルを ACS にダウンロードするには、「証明書データベースのダウンロード」の手順を実行して、ステップ f から作業を続けます。証明書データベースは後でダウンロードできます。現在の LDAP サーバに証明書データベースがダウンロードされるまで、この LDAP サーバに対するセキュアな認証は失敗します。


f. Use Secure authentication チェックボックスをオンにした場合、次のいずれかの手順を実行します。

Trusted Root CA ボタンをクリックして、隣接するドロップダウン リストで Trusted Root CA を選択します。

Certificate Database Path ボタンをクリックして、隣接するボックスに、クエリーされるサーバと信頼できる CA の証明が格納された Netscape cert7.db ファイルのパスを入力します。

g. Admin DN ボックスでは、管理者の完全修飾名(DN)が必要です。つまり、User Directory Subtree 内の必要なすべてのユーザの検索が許されている LDAP アカウントです。

Admin DN ボックスに、LDAP サーバから次の情報を入力します。

uid=user id,[ou=organizational unit,]
[ou=next organizational unit]o=organization

user id はユーザ名です。

organizational unit はツリーの一番下のレベルです。

next organizational unit はツリーの次に高いレベルです。

次の例を参考にしてください。

uid=joesmith,ou=members,ou=administrators,o=cisco

ヒント LDAP ソフトウェアとして Netscape DS を使用している場合は、この情報を Netscape コンソールからコピーできます。

Novell NDS サーバの例を次に示します。

uid=admin.ou=Chicago.o=Corporation
 

匿名のクレデンシャルによる検索でグループ名アトリビュートが表示されるように Novell NDS サーバを設定している場合は、管理者ユーザ名に匿名のクレデンシャルを使用できます。それ以外の場合は、検索でのグループ名アトリビュートの表示が許可された管理者ユーザ名を指定する必要があります。

指定された管理者ユーザ名に検索でのグループ名アトリビュートの表示が許可されていない場合、Novell NDS によって認証されたユーザのグループ マッピングは失敗します。

詳細については、特定の LDAP データベースに関するドキュメントを参照してください。

h. Password ボックスに、Admin DN ボックスで指定されている管理者アカウントのパスワードを入力します。パスワードの大文字と小文字の区別は、サーバによって決定されます。

ステップ 22 Submit をクリックします。

作成した汎用 LDAP 設定が、ACS によって保存されます。これで、このデータベースは、未知ユーザ ポリシーに追加するか、または特定のユーザ アカウントに割り当てて認証に使用できます。未知ユーザ ポリシーの詳細については、「未知ユーザ認証について」を参照してください。このデータベースを使用して認証を行うようにユーザ アカウントを設定する方法の詳細については、 第 7 章「ユーザ管理」 を参照してください。


 

証明書データベースのダウンロード

始める前に

データベースは、Netscape Web ブラウザが生成する Netscape cert7.db 証明書データベース ファイルでなければなりません。他のファイル名はサポートされません。Netscape cert7.db ファイルを生成する方法については、Netscape のマニュアルを参照してください。

プライマリ LDAP サーバまたはセカンダリ LDAP サーバの証明書データベースをダウンロードするには、次の手順を実行します。


証明書データベースのダウンロードは、LDAP 外部ユーザ データベースを設定するプロセスの一部です。詳細については、「汎用 LDAP 外部ユーザ データベースの設定」を参照してください。



ステップ 1 Download Certificate Database ページにアクセスするには、次の手順を実行します。

a. ダウンロードする証明書データベースファイルを持つ LDAP サーバの情報が含まれた LDAP Database Configuration ページを開きます。


) すでに該当する LDAP Database Configuration ページが表示されている場合は、ステップ b に進みます。


b. ダウンロードする証明書データベース ファイルを持つ LDAP サーバで、 Download Certificate Database をクリックします。


) 各 LDAP データベース設定のプライマリ LDAP サーバとセカンダリ LDAP サーバがリストされます。両方のサーバに対するセキュアな認証をサポートするには、証明書データベース ファイルをプライマリ LDAP サーバで 1 度、セカンダリ LDAP サーバで 1 度、合わせて 2 度ダウンロードする必要があります。


ステップ 2 FTP Server ボックスに、FTP サーバの IP アドレスまたはホスト名を入力します。FTP Server ボックスには最大で 512 文字まで入力できます。


) ホスト名を入力するには、使用しているネットワークで DNS が正常に動作している必要があります。


ステップ 3 Login ボックスに有効なユーザ名を入力すると、FTP サーバにアクセスできるようになります。Login ボックスには最大で 512 文字まで入力できます。

ステップ 4 Password ボックスに、Login ボックスで入力したユーザ名のパスワードを入力します。Password ボックスには最大で 512 文字まで入力できます。

ステップ 5 Directory ボックスに、Netscape cert7.db ファイルへのパスを入力します。このパスは、FTP サーバへのログイン時の開始ディレクトリからの相対パスです。

たとえば、Netscape cert7.db ファイルが c:\ACS-files\LDAPcertdb に存在し、Login ボックスに入力したユーザがその FTP セッションを c:\ で開始する場合は、 ACS-files\LDAPcertdb と入力します。

Directory ボックスには最大で 512 文字まで入力できます。

ステップ 6 Download をクリックします。

Netscape cert7.db ファイルが FTP サーバからダウンロードされます。LDAP Database Configuration ページが表示されます。


 

LEAP Proxy RADIUS Server データベース

Cisco Aironet デバイス経由でネットワークにアクセスする ACS 認証済みユーザについて、ACS は、プロキシ RADIUS サーバを使用した PAP ベースの MAC 例外処理、LEAP、および EAP-FAST(フェーズ 0 およびフェーズ 2)認証をサポートします。他の認証プロトコルは、LEAP Proxy RADIUS Server データベースでサポートされません。この機能は、独自の RADIUS ベースのユーザ データベースが MS-CHAP をサポートできても、LEAP/EAP-FAST をサポートできない場合に役立ちます。ACS は、LEAP/EAP-FAST プロトコル処理を管理し、MS-CHAP 認証だけをサーバに転送します。


) LEAP Proxy RADIUS Server データベースでサポートされない認証プロトコルは、別のタイプのユーザ データベースでサポートされる場合があります。認証プロトコル、およびそのプロトコルをサポートする外部データベース タイプの詳細については、「認証プロトコルとデータベースの互換性」を参照してください。


ACS では、LEAP Proxy RADIUS Server 認証に MS-CHAP バージョン 1 を使用します。LEAP プロキシの場合、MS-CHAP 認証だけが別個の RADIUS アクセス要求内のリモート サーバにプロキシされます。プロキシ RADIUS データベースを管理するには、RADIUS データベースのマニュアルを参照してください。

LEAP Proxy RADIUS Server 認証を使用すると、MS-CHAP 認証をサポートする既存の Kerberos データベースに対してユーザを認証できます。LEAP Proxy RADIUS Server データベースを使用すると、MS-CHAP 認証をサポートするすべてのサードパーティ製 RADIUS サーバでユーザを認証できます。


) サードパーティ製 RADIUS サーバは、Microsoft RADIUS Vendor-Specific アトリビュート(VSA)MS-CHAP-MPPE-Keys (VSA 12) にある Microsoft Point-to-Point Encryption (MPPE) キーを返す必要があります。サードパーティ製 RADIUS サーバによって MPPE キーが返されないと、認証は失敗し、Failed Attempts ログにロギングされます。


ACS は、LEAP Proxy RADIUS Server データベースにより認証されたユーザに対する RADIUS ベースのグループ指定をサポートします。RADIUS に基づいたグループ指定は、グループ マッピングより優先されます。詳細については、「RADIUS ベースのグループ指定」を参照してください。

ACS は、LEAP Proxy RADIUS Server データベースにより認証された未知ユーザに対するグループ マッピングをサポートします。RADIUS ベースのグループ指定が行われなかった場合にだけ、未知ユーザにグループ マッピングが適用されます。LEAP Proxy RADIUS Server データベースで認証されたユーザに対するグループ マッピングの詳細については、「外部ユーザ データベースによるグループ マッピング」を参照してください。

LEAP Proxy RADIUS Server 外部ユーザ データベースの設定

ACS でユーザを認証するように設定する前に、プロキシ RADIUS サーバをインストールして設定する必要があります。プロキシ RADIUS サーバのインストール方法については、RADIUS サーバに付属するマニュアルを参照してください。

LEAP プロキシ RADIUS 認証を設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの External User Databases をクリックします。

ステップ 2 Database Configuration をクリックします。

ACS によって、使用可能な外部ユーザ データベース タイプが一覧表示されます。

ステップ 3 LEAP Proxy RADIUS Server をクリックします。

LEAP Proxy RADIUS Server が設定されていない場合は、Database Configuration Creation テーブルだけが表示されます。設定されている場合は、Database Configuration Creation テーブルと External User Database Configuration テーブルが表示されます。

ステップ 4 設定を作成する場合は、次の手順を実行します。

a. Create New Configuration をクリックします。

b. 表示されたボックスに LEAP Proxy RADIUS Server 用の新しい設定名を入力するか、ボックスに表示されたデフォルト名を採用します。

c. Submit をクリックします。

ACS によって、新しい設定が External User Database Configuration テーブルに追加されます。

ステップ 5 External User Database Configuration テーブルで、設定する LEAP Proxy RADIUS Server データベースの名前を選択します。


) LEAP Proxy RADIUS Server の設定が 1 つだけ存在する場合は、リストではなく、その設定の名前が表示されます。ステップ 6 に進みます。


ステップ 6 Configure をクリックします。

ステップ 7 次のボックスに必要な情報を入力します。

Primary Server Name/IP :プライマリ プロキシ RADIUS サーバの IP アドレス。

Secondary Server Name/IP :セカンダリ プロキシ RADIUS サーバの IP アドレス。

Shared Secret :プロキシ RADIUS サーバの共有秘密鍵。これは、プロキシ RADIUS サーバを設定するときに使用した共有秘密鍵と同一である必要があります。

Authentication Port :プロキシ RADIUS サーバが認証セッションを実行する UDP ポート。LEAP Proxy RADIUS サーバが ACS と同一の Windows サーバにインストールされている場合、このポートには、ACS が RADIUS 認証に使用するポートと同一のポートを使用しないでください。ACS が RADIUS に使用するポートの詳細については、「RADIUS」を参照してください。

Timeout (seconds): :認証試行がタイムアウトするまでの ACS の待機時間(秒単位)で、この時間が経過するとユーザにタイムアウト通知を送信します。

Retries :ACS が認証を試行する回数。この回数を超えるとセカンダリ プロキシ RADIUS サーバにフェールオーバーします。

Failback Retry Delay (minutes) :認証に失敗したプライマリ プロキシ RADIUS サーバを使用して ACS が認証を試行するまでの経過時間(分単位)。


) プライマリ サーバとセカンダリ サーバで認証に失敗した場合は、ACS は、一方のサーバが応答するまで、サーバ間で交互に認証を試行します。


ステップ 8 Submit をクリックします。

作成したプロキシ RADIUS トークン サーバ データベース設定が、ACS によって保存されます。このデータベースを未知ユーザ ポリシーに追加するか、または特定のユーザ アカウントに割り当てて認証に使用できます。未知ユーザ ポリシーの詳細については、「未知ユーザ認証について」を参照してください。このデータベースを使用して認証を行うようにユーザ アカウントを設定する方法の詳細については、 第 7 章「ユーザ管理」 を参照してください。


 

トークン サーバ ユーザ データベース

ACS では、セキュリティを強化するために One-Time Password(OTP; ワンタイム パスワード)によって提供されるトークン サーバの使用をサポートします。

この項では、次のトピックについて取り上げます。

「トークン サーバと ACS について」

「RADIUS 対応トークン サーバ」

トークン サーバと ACS について

ACS では、トークン サーバを使用した ASCII、PAP、および PEAP(EAP-GTC)認証を実行できます。他の認証プロトコルは、トークン サーバ データベースでサポートされません。


) トークン サーバ データベースでサポートされない認証プロトコルは、別のタイプの外部ユーザ データベースでサポートされる場合があります。認証プロトコル、およびそのプロトコルをサポートする外部データベース タイプの詳細については、「認証プロトコルとデータベースの互換性」を参照してください。


AAA クライアントからの要求は、最初に ACS に送られます。ACS がトークン サーバに対して認証するように設定されていて、ユーザ名が検出された場合は、認証要求がトークン サーバに転送されます。ユーザ名が検出されなければ、ACS は、未知のユーザを認証するように設定されているデータベースをチェックします。認証要求が渡されると、承認された認証情報とともに該当する認可情報が AAA クライアントに転送されます。その後、ACS はアカウンティング情報を保守します。

ACS は、このトークン サーバのクライアントとして動作します。すべてのトークン サーバで、ACS はトークン サーバの RADIUS インターフェイスを使用してクライアントとして動作します。ACS が RADIUS インターフェイスを使用してトークン サーバをサポートする方法の詳細については、「RADIUS 対応トークン サーバ」を参照してください。

トークン サーバと ISDN

ACS は、ISDN ターミナル アダプタとルータのトークン キャッシュをサポートします。ISDN を使用した OTP 認証にトークン カードを使用する際の不便な点は、各 B チャネルにそれぞれ専用の OTP が必要になることです。したがって、ユーザは少なくとも 2 つの OTP に加えて、それ以外のログイン パスワード、たとえば Windows ネットワーキング用パスワードなどを入力する必要があります。端末アダプタが 2 番目の B チャネルのオン/オフ切り替え機能をサポートしている場合は、2 番目の B チャネルが使用されるたびに、ユーザは多数の OTP の入力が必要になる場合があります。

ACS は、ユーザが簡単に OTP を作成できるように、トークンをキャッシュします。つまり、最初の B チャネル上でトークン カードを使用してユーザが認証されると、別の OTP を入力しなくても 2 番目の B チャネルを使用できる特定の期間を設定できます。2 番目の B チャネルがアップしている時間を制限することにより、2 番目の B チャネルへの不正アクセスのリスクが軽減されます。さらに、最初のログイン時に入力された CHAP パスワードを使用するように 2 番目の B チャネルを設定することで、セキュリティ上の問題が発生する可能性をさらに減少できます。最初の B チャネルが終了すると、キャッシュ トークンは消去されます。

RADIUS 対応トークン サーバ

この項では、標準の RADIUS インターフェイスを提供するトークン サーバに対するサポートについて説明します。

この項では、次のトピックについて取り上げます。

「RADIUS 対応トークン サーバについて」

「トークン サーバの RADIUS 認証要求と応答の内容」

「RADIUS トークン サーバの外部ユーザ データベースの設定」

RADIUS 対応トークン サーバについて

ACS は、トークン サーバに組み込まれた RADIUS サーバを使用して、トークン サーバをサポートします。ACS は、ベンダー固有の API を使用する代わりに、標準の RADIUS 認証要求をトークン サーバ上の RADIUS 認証ポートに送信します。この機能により、ACS は、IETF RFC 2865 に準拠したどのトークン サーバでもサポートできます。

RADIUS トークン サーバの複数のインスタンスを作成できます。上記のトークン サーバのいずれかを使用してユーザを認証するように ACS を設定する方法については、「RADIUS トークン サーバの外部ユーザ データベースの設定」を参照してください。

ACS は、RADIUS 対応トークン サーバからの RADIUS 応答において、ユーザ グループ割り当てを指定する手段を提供します。グループ指定は、常にグループ マッピングより優先されます。詳細については、「RADIUS ベースのグループ指定」を参照してください。

ACS は、RADIUS 対応トークン サーバによって認証されたユーザを、単一グループにマッピングすることもできます。グループ マッピングは、グループ指定がない場合にだけ行われます。詳細については、「外部ユーザ データベースによるグループ マッピング」を参照してください。

トークン サーバの RADIUS 認証要求と応答の内容

ACS が RADIUS 対応トークン サーバに認証要求を転送する場合、RADIUS 認証要求には次のアトリビュートが含まれます。

User-Name (RADIUS アトリビュート 1)

User-Password (RADIUS アトリビュート 2)

NAS-IP-Address (RADIUS アトリビュート 4)

NAS-Port (RADIUS アトリビュート 5)

NAS-Identifier (RADIUS アトリビュート 32)

ACS では、次の 3 つの応答のうちのいずれか 1 つの受信を要求します。

access-accept :アトリビュートは必要ありませんが、ユーザを割り当てる必要がある ACS グループを応答によって示すことができます。詳細については、「RADIUS ベースのグループ指定」を参照してください。

access-reject :アトリビュートは必要ありません。

access-challenge :IETF RFC に準拠した、次のようなアトリビュートが必要です。

State (RADIUS アトリビュート 24)

Reply-Message (RADIUS アトリビュート 18)

RADIUS トークン サーバの外部ユーザ データベースの設定

次の手順を使用して、RADIUS トークン サーバの外部ユーザ データベースを設定します。

始める前に

ACS でユーザ認証の設定を行う前に、RADIUS トークン サーバをインストールして設定する必要があります。RADIUS トークン サーバのインストール方法については、トークン サーバに付属するマニュアルを参照してください。

RADIUS トークン サーバを使用してユーザを認証するように ACS を設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの External User Databases をクリックします。

ステップ 2 Database Configuration をクリックします。

ACS によって、使用可能な外部ユーザ データベース タイプが一覧表示されます。

ステップ 3 RADIUS Token Server をクリックします。

Database Configuration Creation テーブルが表示されます。少なくとも 1 つの RADIUS トークン サーバ設定が存在する場合は、External User Database Configuration テーブルも表示されます。

ステップ 4 設定を作成する場合は、次の手順を実行します。

a. Create New Configuration をクリックします。

b. 表示されたボックスに RADIUS 対応トークン サーバ用の新しい設定名を入力するか、ボックスに表示されたデフォルト名を採用します。

c. Submit をクリックします。

ACS によって、新しい設定が External User Database Configuration テーブルに追加されます。

ステップ 5 External User Database Configuration テーブルで、設定する RADIUS 対応トークン サーバの名前を選択します。


) RADIUS 対応トークン サーバ 設定が 1 つだけ存在する場合は、リストではなく、その設定の名前が表示されます。ステップ 6 に進みます。


ステップ 6 Configure をクリックします。

ステップ 7 RADIUS Configuration テーブルで、次のボックスに必要な情報を入力します。

Primary Server Name/IP :プライマリ RADIUS トークン サーバのホスト名または IP アドレス。ホスト名を指定する場合は、DNS で解決可能なホスト名を使用します。

Secondary Server Name/IP :セカンダリ RADIUS トークン サーバのホスト名または IP アドレス。ホスト名を指定する場合は、DNS で解決可能なホスト名を使用します。

Shared Secret :RADIUS サーバの共有秘密鍵。これは、RADIUS トークン サーバを設定するときに使用した共有秘密鍵と同一である必要があります。

Authentication Port :RADIUS サーバが認証セッションを実行する UDP ポート。RADIUS トークン サーバが ACS と同じ Windows サーバにインストールされている場合、このポートには、ACS が RADIUS 認証に使用するポートと同一のポートを使用しないでください。ACS が RADIUS に使用するポートの詳細については、「RADIUS」を参照してください。


) ACS が RADIUS OTP メッセージを RADIUS 対応トークン サーバに送信するには、RADIUS 対応トークン サーバと ACS の間のゲートウェイ デバイスが、Authentication Port ボックスで指定された UDP ポートを介した通信を許可するように設定されている必要があります。


Timeout (seconds): :ACS が RADIUS トークン サーバからの応答を待つ時間(秒単位)。この時間が経過すると、認証要求を再試行します。

Retries :ACS が認証を試行する回数。この回数を超えるとセカンダリ RADIUS トークン サーバにフェールオーバーします。

Failback Retry Delay (minutes) :プライマリ サーバが認証に失敗したときに、ACS がセカンダリ サーバに認証要求を送信するまでの時間(分単位)。この時間が経過すると、ACS はプライマリ サーバに対する認証要求の送信に戻ります。


) プライマリ サーバとセカンダリ サーバで認証に失敗した場合は、ACS は、一方のサーバが応答するまで、サーバ間で交互に認証を試行します。


ステップ 8 TACACS+ AAA クライアントへの shell ログインを行うトークン ユーザをサポートする場合は、TACACS+ Shell Configuration テーブル内のオプションを設定する必要があります。次のいずれか 1 つの手順を実行します。

トークンのカスタム プロンプトを表示するように設定するには、 Static (sync and async tokens) を選択してから、 Prompt ボックスに、ACS が表示するプロンプトを入力します。

たとえば、 Prompt ボックスに Enter your PassGo token と入力すると、パスワード プロンプトではなく Enter your PassGo token プロンプトがユーザに表示されます。


) このサーバに送信されるトークンの一部が同期トークンの場合は、Static (sync and async tokens) オプションをクリックする必要があります。


ACS がトークン サーバにパスワードを送信してチャレンジをトリガーするように設定するには、 From Token Server (async tokens only) を選択してから、 Password ボックスに、ACS がトークン サーバに転送するパスワードを入力します。

たとえば、チャレンジを呼び出すためにトークン サーバが文字列 challengeme を要求する場合は、 Password ボックスに、 challengeme と入力する必要があります。ユーザには、ユーザ名プロンプトとチャレンジ プロンプトが表示されます。


ヒント ほとんどのトークン サーバは、チャレンジ プロンプトを送信するトリガーとしてブランク パスワードを受け入れます。


) このトークン サーバに送信されるすべてのトークンが非同期トークンである場合にだけ、From Token Server (async tokens only) オプションをクリックします。


ステップ 9 Submit をクリックします。

作成した RADIUS トークン サーバ データベース設定が、ACS によって保存されます。このデータベースを未知ユーザ ポリシーに追加するか、または特定のユーザ アカウントに割り当てて認証に使用できます。未知ユーザ ポリシーの詳細については、「未知ユーザ認証について」を参照してください。このデータベースを使用して認証を行うようにユーザ アカウントを設定する方法の詳細については、 第 7 章「ユーザ管理」 を参照してください。


 

外部ユーザ データベース設定の削除

特定の外部ユーザ データベース設定が必要でなくなった場合は、ACS から削除できます。

外部ユーザ データベース設定を削除するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの External User Databases をクリックします。

ステップ 2 Database Configuration をクリックします。

ACS によって、使用可能な外部ユーザ データベース タイプが一覧表示されます。

ステップ 3 設定を削除する外部ユーザ データベース タイプをクリックします。

External User Database Configuration テーブルが表示されます。

ステップ 4 リストが External User Database Configuration テーブルに表示された場合は、削除する設定を選択します。表示されない場合は、ステップ 5 に進みます。

ステップ 5 Delete をクリックします。

確認ダイアログボックスが表示されます。

ステップ 6 OK をクリックして、選択した外部ユーザ データベース設定を削除することを確認します。

選択した外部ユーザ データベース設定が ACS から削除されます。