Cisco Secure ACS Solution Engine ユーザ ガイド Version 4.0
ユーザ管理
ユーザ管理
発行日;2012/01/10 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

ユーザ管理

User Setup の機能について

ユーザ データベースについて

基本ユーザ設定オプション

基本ユーザ アカウントの追加

Supplementary User Information の設定

個別の CHAP/MS-CHAP/ARAP パスワードの設定

ユーザをグループに割り当てる

ユーザ コールバック オプションの設定

ユーザをクライアント IP アドレスに割り当てる

ネットワーク アクセス制限をユーザに対して設定する

最大セッション オプションをユーザに対して設定する

User Usage Quotas に設定するオプション

ユーザ アカウントの無効化オプションの設定

ダウンロード可能 IP ACL をユーザに割り当てる

拡張ユーザ認証設定

TACACS+ 設定(ユーザ)

TACACS+ をユーザに対して設定する

シェル コマンド認可セットをユーザに対して設定する

PIX コマンド認可セットをユーザに対して設定する

デバイス管理コマンド認可をユーザに対して設定する

未知のサービスをユーザに対して設定する

高度な TACACS+ をユーザに対して設定する

Enable Privilege オプションをユーザに対して設定する

TACACS+ Enable Password オプションをユーザに対して設定する

TACACS+ 発信パスワードをユーザに対して設定する

RADIUS アトリビュート

IETF RADIUS パラメータをユーザに対して設定する

Cisco IOS/PIX 6.0 RADIUS パラメータをユーザに対して設定する

Cisco Airespace RADIUS パラメータをユーザに対して設定する

Cisco Aironet RADIUS パラメータをユーザに対して設定する

Ascend RADIUS パラメータをユーザに対して設定する

Cisco VPN 3000/ASA/PIX 7.x+ RADIUS パラメータをユーザに対して設定する

Cisco VPN 5000 Concentrator RADIUS パラメータをユーザに対して設定する

Microsoft RADIUS パラメータをユーザに対して設定する

Nortel RADIUS パラメータをユーザに対して設定する

Juniper RADIUS パラメータをユーザに対して設定する

BBSM RADIUS パラメータをユーザに対して設定する

カスタム RADIUS アトリビュートをユーザに対して設定する

ユーザ管理

全ユーザのリスト表示

ユーザの検索

ユーザ アカウントの無効化

ユーザ アカウントの削除

ユーザ セッション割当量カウンタのリセット

ログイン失敗後のユーザ アカウントのリセット

ダイナミック ユーザの削除

ユーザ設定の保存

ユーザ管理

この章では、Cisco Secure Access Control Server Release 4.0 Solution Engine(以降は ACS と表記)のユーザ アカウントの設定と管理について説明します。

この章は、次の項で構成されています。

「User Setup の機能について」

「ユーザ データベースについて」

「基本ユーザ設定オプション」

「拡張ユーザ認証設定」

「ユーザ管理」


注意 ユーザ レベルでの設定は、グループ レベルでの設定よりも優先されます。

User Setup を設定する前に、User Setup セクションの動作を理解しておく必要があります。ACS は、Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)クライアントの設定や使用されるセキュリティ プロトコルに従って、User Setup セクションのインターフェイスをダイナミックに構築します。つまり、User Setup に表示される内容は、Network Configuration セクションと Interface Configuration セクションの設定内容によって決まります。

User Setup の機能について

ACS Web インターフェイスの User Setup セクションには、ユーザ アカウントの設定と管理に関するすべての操作が集中しています。

User Setup セクションから、次の操作を実行できます。

ACS 内部データベースにある全ユーザの一覧表示

ユーザの検索

ユーザの追加

Voice over IP(VoIP)グループを含むグループに対するユーザの割り当て

ユーザ アカウント情報の編集

ユーザ認証タイプの設定または変更

ユーザのコールバック情報の設定

ユーザのネットワーク アクセス制限(NAR)の設定

高度な設定

ユーザの同時最大セッション数(Max Sessions)の設定

ユーザ アカウントの無効化または再有効化

ユーザの削除

ユーザ データベースについて

ACS は、ACS 内部データベースを含むいくつかのデータベースのいずれかに対して、ユーザの認証を行います。データベースのタイプにかかわらずユーザの認証時に使用するように ACS を設定し、すべてのユーザが ACS 内部データベース内にアカウントを持ち、ユーザの認可が常に ACS 内部データベース内のユーザ レコードに対して実行されるようにします。ACS で使用される基本ユーザ データベースの一覧と説明、および各データベースに関する詳しい説明の参照先を次に示します。

ACS 内部データベース :ローカル ACS 内部データベースからユーザを認証します。詳細については、「ACS 内部データベース」を参照してください。


ヒント 次の認証タイプは、対応する外部ユーザ データベースが External User Databases セクションの Database Configuration 領域で設定されている場合に限り Web インターフェイスに表示されます。

Windows データベース :ローカル ドメインまたは Windows ユーザ データベースに設定されたドメインにある、Windows ユーザ データベース内にアカウントを持つユーザを認証します。詳細については、「Windows ユーザ データベース」を参照してください。

汎用 LDAP :汎用 LDAP の外部ユーザ データベース(Network Directory Services(NDS)ユーザを含む)からユーザを認証します。詳細については、「汎用 LDAP」を参照してください。

LEAP Proxy RADIUS サーバ データベース :Lightweight and Efficient Application Protocol(LEAP)Proxy Remote Access Dial-In User Service(RADIUS)サーバからユーザを認証します。詳細については、「LEAP Proxy RADIUS Server データベース」を参照してください。

トークン サーバ :トークン サーバ データベースからユーザを認証します。ACS は、ワンタイム パスワードによるセキュリティ強化に対応して、さまざまなトークン サーバの使用をサポートしています。詳細については、「トークン サーバ ユーザ データベース」を参照してください。

基本ユーザ設定オプション

ここでは、新規ユーザを設定するときに実行する基本的なタスクについて説明します。最も基本的なレベルでは、新規ユーザの設定に必要な手順は、次の 3 つだけです。


ステップ 1 名前を指定します。

ステップ 2 外部ユーザ データベースまたはパスワードを指定します。

ステップ 3 情報を送信します。

ユーザ アカウント設定を編集するための手順は、ユーザ アカウントを追加する手順とほぼ同じですが、編集の場合は変更するフィールドに直接移動します。ユーザ アカウントに関連付けられている名前を編集することはできません。ユーザ名を変更するには、ユーザ アカウントを削除してから別のアカウントを作成し直す必要があります。

新規ユーザ アカウントの設定時に実行するその他の手順は、ネットワークの複雑さと、どの程度詳細に制御を行う必要があるかによって決まります。

この項では、次のトピックについて取り上げます。

「基本ユーザ アカウントの追加」

「Supplementary User Information の設定」

「個別の CHAP/MS-CHAP/ARAP パスワードの設定」

「ユーザをグループに割り当てる」

「ユーザ コールバック オプションの設定」

「ユーザをクライアント IP アドレスに割り当てる」

「ネットワーク アクセス制限をユーザに対して設定する」

「最大セッション オプションをユーザに対して設定する」

「User Usage Quotas に設定するオプション」

「ユーザ アカウントの無効化オプションの設定」

「ダウンロード可能 IP ACL をユーザに割り当てる」

基本ユーザ アカウントの追加

ここでは、新規ユーザ アカウントを ACS 内部データベースに追加する際に必要な最小限の手順を説明します。

ユーザ アカウントを追加するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの User Setup をクリックします。

User Setup Select ページが開きます。

ステップ 2 User ボックスに名前を入力します。


) ユーザ名には、64 文字まで使用できます。名前には、シャープ記号(#)、疑問符(?)、引用符(")、アスタリスク(*)、右山カッコ(>)、左山カッコ(<)を含めることはできません。先頭と末尾にスペースを置くことはできません。


ステップ 3 Add/Edit をクリックします。

User Setup Edit ページが開きます。追加するユーザ名がページ上部に表示されます。

ステップ 4 Account Disabled チェックボックスがオフになっていることを確認します。


) または、Account Disabled チェックボックスをオンにして、無効なユーザ アカウントを作成し、後で有効にすることもできます。


ステップ 5 User Setup テーブルの Password Authentication で、適用する認証タイプをリストから選択します。


ヒント ここで表示される認証タイプには、External User Databases セクションの Database Configuration 領域で設定したデータベースが反映されます。

ステップ 6 Password ボックスおよび Confirm Password ボックスの最初の組に、単一の ACS Password Authentication Protocol(PAP; パスワード認証プロトコル)パスワードを入力します。


Password ボックスと Confirm Password ボックスには、それぞれ 32 文字まで入力できます。



ヒント Separate CHAP/MS-CHAP/ARAP チェックボックスがオフになっている場合は、CHAP/MS-CHAP/ARAP についても ACS PAP パスワードが使用されます。


ヒント 最初に PAP パスワードを、次に Challenge Handshake Authentication Protocol(CHAP)パスワードまたは Microsoft-Challenge Handshake Authentication Protocol(MS-CHAP)パスワードを要求するように AAA クライアントを設定すると、ユーザが PAP パスワードを使用してダイヤルインしたときに認証が行われます。たとえば、AAA クライアント コンフィギュレーション ファイルに次の行を設定すると、AAA クライアントでは PAP の後に CHAP がイネーブルになります。ppp authentication pap chap

ステップ 7 次のいずれかを実行します。

ユーザ アカウント オプションの設定を終了してユーザ アカウントを設定する場合は、 Submit をクリックします。

続けてユーザ アカウント オプションを指定する場合は、この章の手順を必要に応じて実行します。


ヒント 複雑なアカウント設定を行う場合は、続行する前に Submit をクリックします。このアクションによって、予期しない問題が生じた場合でも入力済みの情報は失われません。


 

Supplementary User Information の設定

Supplementary User Information では、最大 5 つのフィールドを設定して含めることができます。デフォルト設定では、Real Name と Description という 2 つのフィールドが用意されています。これらのオプション フィールドの表示および設定方法については、「ユーザ データの設定オプション」を参照してください。

Supplementary User Information テーブルにオプション情報を入力するには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。

ステップ 2 Supplementary User Infomation テーブルに表示された各ボックスに、必要な情報を入力します。


) Real Name ボックスと Description ボックスには、それぞれ 128 文字まで入力できます。


ステップ 3 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行します。必要に応じて、この項で説明する他の手順を参照してください。

ステップ 4 ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。


 

個別の CHAP/MS-CHAP/ARAP パスワードの設定

個別の CHAP/MS-CHAP/ARAP パスワードを設定すると、ACS 認証のセキュリティがさらに強化されます。ただし、個別のパスワードを使用するには、AAA クライアントを設定しておく必要があります。

ユーザが、ACS 内部データベースの PAP パスワードの代わりに CHAP、MS-CHAP、または Apple Talk Remote Access Protocol(ARAP)パスワードを使用して認証できるようにするには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。

ステップ 2 User Setup テーブルの Separate CHAP/MS-CHAP/ARAP チェックボックスをオンにします。

ステップ 3 Separate (CHAP/MS-CHAP/ARAP) チェックボックスの下にある Password ボックスと Confirm ボックスの 2 番目の組に、使用する CHAP/MS-CHAP/ARAP パスワードをそれぞれ入力します。


) Password ボックスと Confirm Password ボックスには、それぞれ 32 文字まで入力できます。



) これらの Password ボックスおよび Confirm Password ボックスは、ACS データベースによる認証だけに必要です。さらに、あるユーザが VoIP(ヌル パスワード)グループに割り当てられ、オプションのパスワードがそのユーザ プロファイルにも含まれている場合は、ユーザが非 VoIP グループに再マッピングされるまでそのパスワードは使用されません。


ステップ 4 次のいずれかを実行します。

ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。

続けてユーザ アカウント オプションを指定する場合は、この章の手順を必要に応じて実行します。


 

ユーザをグループに割り当てる

ACS では、ユーザは 1 つのグループだけに所属できます。ユーザは、自分のグループに割り当てられているアトリビュートと操作を継承します。ただし、設定が矛盾する場合は、グループ レベルでの設定よりもユーザ レベルでの設定が優先されます。

デフォルトでは、ユーザは Default Group に割り当てられます。既存の ACS グループにマッピングされていないユーザおよび Unknown User 方式で認証されるユーザも同様に、Default Group に割り当てられます。

または、ユーザを特定のグループにマップしないで、外部の認証者にグループのマッピングを実行させることもできます。ACS がグループ情報を取得できる外部ユーザ データベースの場合は、外部ユーザ データベース内のユーザに定義されているグループ メンバーシップを特定の ACS グループに関連付けることができます。詳細については、 第 17 章「ユーザ グループ マッピングと仕様について」 を参照してください。

ユーザをグループに割り当てるには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。

ステップ 2 User Setup テーブルの Group to which user is assigned リストから、ユーザを割り当てるグループを選択します。


ヒント または、リスト内を上の方向にスクロールし、Mapped By External Authenticator オプションを選択します。

ステップ 3 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行します。必要に応じて、この項で説明する他の手順を参照してください。

ステップ 4 ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。


 

ユーザ コールバック オプションの設定

コールバックとは、アクセス サーバに返されるコマンド文字列です。モデムを起動するときにコールバック文字列を使用すると、セキュリティの強化または着信課金のために、ユーザが特定の番号にコールバックするように設定できます。

コールバック オプションを設定するには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。

ステップ 2 User Setup テーブルの Callback から、適用するオプションを選択します。次のオプションがあります。

Use group setting :ユーザにグループの設定を適用します。

No callback allowed :ユーザに対するコールバックをディセーブルにします。

Callback using this number :これを選択してから、必要に応じて市外局番も含めた電話番号を入力すると、ユーザへのコールバックには、その電話番号が常時使用されます。


) コールバック番号の長さは、199 文字までです。


Dialup client specifies callback number :Windows のダイヤルアップ クライアントがコールバック番号を指定できます。

Use Windows Database callback settings :Windows のコールバック用に指定された設定を使用します。ユーザの Windows アカウントがリモート ドメインにある場合、Microsoft Windows のコールバック設定がそのユーザに対して動作するためには、ACS が常駐するドメインとそのドメインとの間に双方向の信頼性が必要です。


) ダイヤルアップ ユーザは、コールバックをサポートする Windows ソフトウェアを設定しておく必要があります。



) Windows Database callback settings をイネーブルにする場合は、Windows Database
Configuration Settings で Windows Callback 機能もイネーブルにする必要があります。「Windows ユーザ データベース設定オプション」を参照してください。


ステップ 3 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行します。必要に応じて、この項で説明する他の手順を参照してください。

ステップ 4 ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。


 

ユーザをクライアント IP アドレスに割り当てる

ユーザをクライアントの IP アドレスに割り当てるには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。

ステップ 2 User Setup テーブルの Client IP Address Assignment から、適用するオプションを選択します。次のオプションがあります。


) User Setup で IP アドレスを割り当てると、Group Setup の IP アドレス割り当てが無効になります。


Use group settings :IP アドレス グループ割り当てを使用します。

No IP address assignment :クライアントから返される IP アドレスを必要としない場合は、このオプションを選択してグループ設定を無効にします。

Assigned by dialup client :IP アドレスのダイヤルアップ クライアント割り当てを使用します。

Assign static IP address :ユーザに対して特定の IP アドレスを使用する必要がある場合は、このオプションを選択してボックスにその IP アドレス(最大 15 文字)を入力します。


) IP アドレスが IP アドレス プールから、またはダイヤルアップ クライアントによって割り当てられる場合は、Assign static IP address ボックスをブランクのままにします。


Assigned by AAA client poolAAA クライアントで設定された IP アドレス プールからこのユーザに IP アドレスを割り当てる場合は、このオプションを選択し、ボックスに AAA クライアント IP プール名を入力します。

Assigned from AAA poolAAA サーバで設定された IP アドレス プールからこのユーザに IP アドレスを割り当てる場合は、このオプションを選択し、ボックスに使用するプール名を入力します。Available Pools リストで AAA サーバの IP プール名を選択し、次に、 --> (右矢印ボタン)をクリックすると、選択した名前が Selected Pools リストに移動します。Selected Pools リストに複数のプールがある場合、このグループ内のユーザは、リストで最初に表示された使用可能なプールに割り当てられます。リスト上のプールの位置を移動するには、プール名を選択し、 Up または Down をクリックしてプールを適切な位置に移動します。

ステップ 3 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行します。必要に応じて、この項で説明する他の手順を参照してください。

ステップ 4 ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。


 

ネットワーク アクセス制限をユーザに対して設定する

User Setup の Advanced Settings 領域にある Network Access Restrictions テーブルでは、次の 3 つの方法で NAR を設定します。

名前を指定して既存の共有 NAR を適用する。

IP に基づいたアクセス制限を定義し、IP 接続確立時に、指定された AAA クライアントまたは AAA クライアントの指定ポートに対するユーザ アクセスを許可または拒否する。

発信番号識別/着信番号識別サービス(CLI/DNIS)に基づいたアクセス制限を定義し、使用される CLI/DNIS に基づいたユーザ アクセスを許可または拒否する。


) また、CLI/DNIS に基づいたアクセス制限領域を使用して、別の値を指定できます。詳細については、「ネットワーク アクセス制限」を参照してください。


通常は、Shared Components セクションから(共有)NAR を定義することにより、これらの制限を複数のグループまたはユーザに適用します。詳細については、「共有 NAR の追加」を参照してください。Interface Configuration セクションの Advanced Options ページにある User-Level Network Access Restrictions チェックボックスをオンにし、これらのオプション セットが Web インターフェイスに表示されるようにしておく必要があります。

ただし、ACS では、User Setup セクションから単一のユーザに対して NAR を定義および適用することもできます。単一ユーザの IP に基づいたフィルタ オプション、および単一ユーザの CLI/DNIS に基づいたフィルタ オプションを Web インターフェイスに表示するには、Interface Configuration セクションの Advanced Options ページで User-Level Network Access Restrictions 設定をイネーブルにしておく必要があります。


) 認証要求がプロキシから ACS サーバに転送されると、Terminal Access Controller Access Control System(TACACS+; ターミナル アクセス コントローラ アクセス コントロール システム)要求に使用されるすべての NAR は、発信元の AAA クライアントの IP アドレスではなく、転送先の AAA サーバの IP アドレスに適用されます。


アクセス制限をユーザごとに作成する場合、ACS は、アクセス数への制限も、各アクセスの長さへの制限も適用しません。ただし、次の制限は適用します。

行項目それぞれのフィールド長の合計が 1024 文字を超えることはできない。

共有 NAR では、文字サイズの合計が 16 KB を超えることはできない。サポートされる行項目の数は、行項目それぞれの長さによって異なります。たとえば、CLI/DNIS ベースの NAR を作成する場合、AAA クライアント名が 10 文字、ポート番号が 5 文字、CLI エントリが 15 文字、DNIS エントリが 20 文字のときは、16 KB 制限に達しない限り、450 行項目を追加できます。

ユーザの NAR を設定するには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。

ステップ 2 事前に設定された共有 NAR をこのユーザに適用するには、次の手順を実行します。


) 共有 NAR を適用するには、Shared Profile Components セクションの Network Access
Restrictions で該当する NAR を設定しておく必要があります。詳細については、「共有 NAR の追加」を参照してください。


a. Only Allow network access when チェックボックスをオンにします。

b. ユーザのアクセスを許可するために、1 つの共有 NAR またはすべての共有 NAR のどちらを適用するかを指定するには、次のいずれかを選択します。

All selected NARS result in permit

Any one selected NAR results in permit

c. NARs リストから共有 NAR 名を選択し、次に --> (右矢印ボタン)をクリックして、その名前を Selected NARs リストに移動します。


ヒント 適用することを選択した共有 NAR のサーバ詳細を表示するには、View IP NAR、または View CLID/DNIS NAR の該当する方をクリックします。

ステップ 3 IP アドレス、または IP アドレスとポートに基づいて、この特定のユーザに対してユーザ アクセスを許可または拒否する NAR を定義および適用するには、次の手順を実行します。


ヒント 複数のグループまたはユーザに適用する場合は、ほとんどの NAR を Shared Components セクションから定義する必要があります。詳細については、「共有 NAR の追加」を参照してください。

a. Network Access Restrictions テーブルの Per User Defined Network Access Restrictions で、 Define IP-based access restrictions チェックボックスをオンにします。

b. 後続してリストに追加される IP アドレスを許可または拒否するかを指定するには、Table Defines リストから次のいずれかを選択します。

Permitted Calling/Point of Access Locations

Denied Calling/Point of Access Locations

c. 次のボックスで情報を選択するか、または入力します。

AAA Client All AAA Clients を選択するか、アクセスを許可または拒否する Network Device Group(NDG; ネットワーク デバイス グループ)の名前、または個々の AAA クライアントの名前を入力します。

Port :アクセスを許可または拒否するポートの番号を入力します。アスタリスク(*)をワイルドカードとして使用すると、選択された AAA クライアント上のすべてのポートに対するアクセスを許可または拒否できます。

Address :アクセス制限の実行時に使用する IP アドレス(複数可)を入力します。アスタリスク(*)ワイルドカードとしてを使用できます。


) AAA Client リスト、Port ボックス、および Src IP Address ボックスの文字数の合計は、1024 を超えることができません。NAR を追加する場合、ACS は 1024 を超える文字を受け入れますが、NAR を編集できず、また、ACS で NAR をユーザに正確に適用できなくなります。


d. Enter キーを押します。

指定した AAA クライアント、ポート、およびアドレス情報が、AAA Client リスト上部のテーブルに表示されます。

ステップ 4 発信場所、または設定された IP アドレス以外の値に基づいて、このユーザのアクセスを許可または拒否するには、次の手順を実行します。

a. Define CLI/DNIS based access restrictions チェックボックスをオンにします。

b. 後続してリストに追加される値を許可するか、または拒否するかを指定するには、Table Defines リストから、次のいずれかを選択します。

Permitted Calling/Point of Access Locations

Denied Calling/Point of Access Locations

c. 次のボックスに必要な情報を入力します。


) 各ボックスに入力する必要があります。値の全体または一部にアスタリスク(*)をワイルドカードとして使用できます。使用する形式は、AAA クライアントから受信する文字列の形式と一致している必要があります。この形式は、RADIUS アカウンティング ログから判別できます。


AAA Client All AAA Clients を選択するか、アクセスを許可または拒否する NDG の名前、または個々の AAA クライアントの名前を入力します。

PORT :アクセスを許可または拒否するポート番号を入力します。アスタリスク(*)をワイルドカードとして使用すると、すべてのポートに対するアクセスを許可または拒否できます。

CLI :アクセスを許可または拒否する CLI 番号を入力します。アスタリスク(*)をワイルドカードとして使用すると、番号の一部に基づいてアクセスを許可または拒否できます。


ヒント この CLI エントリは、Cisco Aironet クライアントの MAC アドレスなど、他の値に基づいてアクセスを制限する場合にも選択します。詳細については、「ネットワーク アクセス制限について」を参照してください。

DNIS :アクセスを許可または拒否する DNIS 番号を入力します。このエントリは、ユーザがダイヤルする番号に基づいてアクセスを制限するために使用します。アスタリスク(*)をワイルドカードとして使用すると、番号の一部に基づいてアクセスを許可または拒否できます。


ヒント この DNIS の選択肢は、他の値、たとえば Cisco Aironet AP の MAC アドレスに基づいてアクセスを制限する場合にも使用されます。詳細については、「ネットワーク アクセス制限について」を参照してください。


) AAA Client リスト、Port ボックス、CLI ボックス、および DINS ボックスの文字数の合計は、1024 を超えることはできません。NAR を追加する際に ACS には 1024 を超える文字を入力できますが、NAR の編集ができなくなるため、ACS は NAR をユーザに正確に適用できなくなります。


d. Enter キーを押します。

AAA クライアント、ポート、CLI、および DNIS を指定する情報が、AAA Client リスト上部のテーブルに表示されます。

ステップ 5 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行します。必要に応じて、この項で説明する他の手順を参照してください。

ステップ 6 ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。


 

最大セッション オプションをユーザに対して設定する

最大セッション機能を使用して、ユーザに許可する同時接続数の最大値を設定します。ACS では、セッションとは RADIUS または TACACS+ がサポートする任意のタイプのユーザ接続を指し、これには Point-to-Point Protocol(PPP; ポイントツーポイント プロトコル)、Telnet、ARAP などがあります。ただし、ACS がセッションを認識するためには、AAA クライアントでアカウンティングをイネーブルにする必要があります。すべてのセッション カウントは、ユーザ名とグループ名にだけ基づきます。ACS では、セッションのタイプによる区別をサポートしていません。すべてのセッションは、同じものとしてカウントされます。たとえば、最大セッション カウントが 1 のユーザが PPP セッションで AAA クライアントにダイヤルインしている間は、同一の ACS によってアクセスが制御されている場所に Telnet 接続を試みても、その接続は拒否されます。


) それぞれの ACS は、独自の最大セッション カウントを保持しています。ACS が最大セッション カウントを複数の ACS 間で共有するための方式は用意されていません。したがって、2 つの ACS がその間で負荷が分散されたミラーリング ペアとして設定されている場合でも、最大セッションの合計数はまったく別個に表示されます。



ヒント Max Sessions テーブルが表示されない場合は、Interface Configuration > Advanced Options を選択します。次に、Max Sessions チェックボックスをオンにします。


ユーザの最大セッションのオプションを設定するには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。

ステップ 2 Max Sessions テーブルの Sessions available to user で次のいずれかを選択します。

Unlimited :ユーザの同時セッション数を無制限に許可します(このオプションによって、最大セッションが実質的に無効になります)。

n :ユーザに許可する同時セッションの最大数を入力します。

Use group setting :最大セッション数の値をグループに対して適用します。


) デフォルト設定は、Use group setting です。



) ユーザの最大セッション数を設定すると、グループの最大セッション設定が無効になります。たとえば、Sales というグループの最大セッション数の値が 10 しかない場合でも、Sales グループのユーザである John に User Max Sessions の値として Unlimited が割り当てられていると、John にはグループの設定値に関係なく無制限のセッション数が許可されます。


ステップ 3 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行します。必要に応じて、この項で説明する他の手順を参照してください。

ステップ 4 ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。


 

User Usage Quotas に設定するオプション

各ユーザに使用割当量を定義することができます。次の方法でユーザを制限できます。

選択した期間内におけるセッションの継続時間

選択した期間内におけるセッション数

ACS では、セッションとは RADIUS または TACACS+ がサポートする任意のタイプのユーザ接続を指し、これには PPP、Telnet、ARAP などがあります。ただし、ACS がセッションを認識するためには、AAA クライアントでアカウンティングをイネーブルにする必要があります。Session Quotas セクションで個別に指定されていないユーザについては、ACS によって、そのユーザが割り当てられているグループのセッション割当量が適用されます。


) User Usage Quotas 機能が表示されない場合は、Interface Configuration > Advanced Options を選択します。次に、Usage Quotas チェックボックスをオンにします。



ヒント User Setup Edit ページの User Usage Quotas テーブルの下にある Current Usage テーブルに、現在のユーザについての使用状況統計情報が表示されます。Current Usage テーブルには、そのユーザが使用したオンライン時間とセッション数が、毎日、毎週、毎月、および合計使用量のカラムに表示されます。Current Usage テーブルは、設定済みのユーザ アカウントについてだけ表示されます。したがって、最初のユーザ設定時には表示されません。


割当量を超過したユーザについては、そのユーザが次にセッションの開始を試みた時点で、ACS によってアクセスが拒否されます。あるセッション中に割当量が超過しても、ACS は、そのセッションの継続を許可します。使用割当量を超えたために無効になったユーザ アカウントについては、User Setup Edit ページに、アカウントが無効になった理由を示すというメッセージが表示されます。

ユーザの User Setup ページでは、セッション割当量カウンタをリセットできます。使用割当量カウンタのリセットの詳細については、「ユーザ セッション割当量カウンタのリセット」を参照してください。

時間に基づいた割当量をサポートするためには、すべての AAA クライアント上でアカウンティング アップデート パケットをイネーブルにすることを推奨します。アップデート パケットがイネーブルではない場合、割当量はユーザがログオフしたときだけアップデートされます。ユーザがネットワークへのアクセスに使用している AAA クライアントに障害が発生すると、割当量はアップデートされません。ISDN のような複数セッションの場合は、すべてのセッションが終了するまで、割当量はアップデートされないため、最初のチャネルがユーザの割当量を使い切っていても、2 番目のチャネルが受け付けられることになります。

ユーザの使用割当量のオプションを設定するには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。

ステップ 2 Usage Quotas テーブルで、 Use these settings を選択します。

ステップ 3 セッションの期間に基づいた使用割当量を定義するには、次の手順を実行します。

a. Limit user to x hours of online time チェックボックスをオンにします。

b. Limit user to x hours of online time ボックスに、ユーザを制限する時間数を入力します。分を表すには、小数を使用します。たとえば、値 10.5 は、10 時間 30 分になります。


) このフィールドには、10 文字まで入力できます。


c. 時間割当量を適用する期間を選択します。

per Day :午前 12:01 から夜中の 12:00 まで。

per Week :日曜の午前 12:01 から土曜の夜中の 12:00 まで。

per Month :月の朔日(1 日)の午前 12:01 から月の末日の夜中の 12:00 まで。

Absolute :継続した無期限の時間カウント。

ステップ 4 セッション数に基づいて使用割当量を定義するには、次の手順を実行します。

a. Limit user to x sessions チェックボックスをオンにします。

b. Limit user to x sessions ボックスに、ユーザに対して制限するセッション回数を入力します。


) このフィールドには、10 文字まで入力できます。


c. セッション割当量を適用する期間を選択します。

per Day :午前 12:01 から夜中の 12:00 まで。

per Week :日曜の午前 12:01 から土曜の夜中の 12:00 まで。

per Month :月の朔日(1 日)の午前 12:01 から月の末日の夜中の 12:00 まで。

Absolute :継続した無期限の時間カウント。

ステップ 5 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行します。必要に応じて、この項で説明する他の手順を参照してください。

ステップ 6 ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。


 

ユーザ アカウントの無効化オプションの設定

Account Disable 機能では、ユーザ アカウントを無効にする状況を定義します。


) この機能は、パスワード エージングによるアカウントの期限満了とは異なります。パスワード エージングは個別のユーザに対してではなく、グループに対してだけ定義されます。この機能は、Account Disabled チェックボックスとは異なります。ユーザ アカウントを無効にする方法については、「ユーザ アカウントの無効化」を参照してください。



) Windows のユーザ データベースを使用してユーザを認証する場合、この期限満了情報は、Windows のユーザ アカウント内の情報とは別に追加されます。ここで変更を行っても、Windows での設定内容は変更されません。


ユーザ アカウントの無効化に関するオプションを設定するには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。

ステップ 2 次のいずれかを実行します。

a. ユーザ アカウントを常に有効に保つ場合は、 Never オプションを選択します。


) これがデフォルト設定です。


b. 特定の条件下でアカウントを無効にするには、 Disable account if オプションを選択します。次に、後続のボックスで、状況のいずれかまたは両方を指定します。

Date exceeds Date exceeds: チェックボックスをオンにします。次に、アカウントを無効にする月を選択し、日付(2 文字)と年(4 文字)を入力します。


) デフォルト値は、ユーザの追加後 30 日です。


Failed attempts exceed Failed attempts exceed チェックボックスをオンにし、アカウントが無効になるまでに許可されるログインの連続失敗回数を入力します。


) デフォルト値は 5 です。


ステップ 3 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行します。必要に応じて、この項で説明する他の手順を参照してください。

ステップ 4 ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。


 

ダウンロード可能 IP ACL をユーザに割り当てる

Downloadable ACL 機能によって、IP Access Control リスト(ACL)をユーザ レベルで割り当てることができます。割り当てる前に、1 つ以上の IP ACL を設定しておく必要があります。ACS Web インターフェイスの Shared Profile Components セクションを使用してダウンロード可能 IP ACL を設定する方法については、「ダウンロード可能 IP ACL の追加」を参照してください。


) Downloadable ACLs テーブルは、イネーブルになっていない場合は表示されません。Downloadable ACLs テーブルをイネーブルにするには、Interface Configuration > Advanced Options をクリックし、次に User-Level Downloadable ACLs チェックボックスをオンにします。


ダウンロード可能 IP ACL をユーザ アカウントに割り当てるには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加および編集の対象となるユーザ名がページ上部に表示されます。

ステップ 2 Downloadable ACLs セクションの下にある Assign IP ACL: チェックボックスをオンにします。

ステップ 3 リストから IP ACL を選択します。

ステップ 4 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行します。必要に応じて、この項で説明する他の手順を参照してください。

ステップ 5 ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。


 

拡張ユーザ認証設定

ここでは、ユーザ レベルの TACACS+ および RADIUS のイネーブル パラメータを設定するために実行するアクティビティについて説明します。

この項では、次のトピックについて取り上げます。

「TACACS+ 設定(ユーザ)」

「TACACS+ をユーザに対して設定する」

「シェル コマンド認可セットをユーザに対して設定する」

「PIX コマンド認可セットをユーザに対して設定する」

「デバイス管理コマンド認可をユーザに対して設定する」

「未知のサービスをユーザに対して設定する」

「高度な TACACS+ をユーザに対して設定する」

「Enable Privilege オプションをユーザに対して設定する」

「TACACS+ Enable Password オプションをユーザに対して設定する」

「TACACS+ 発信パスワードをユーザに対して設定する」

「RADIUS アトリビュート」

「IETF RADIUS パラメータをユーザに対して設定する」

「Cisco IOS/PIX 6.0 RADIUS パラメータをユーザに対して設定する」

「Cisco Airespace RADIUS パラメータをユーザに対して設定する」

「Cisco Aironet RADIUS パラメータをユーザに対して設定する」

「Ascend RADIUS パラメータをユーザに対して設定する」

「Cisco VPN 3000/ASA/PIX 7.x+ RADIUS パラメータをユーザに対して設定する」

「Cisco VPN 5000 Concentrator RADIUS パラメータをユーザに対して設定する」

「Microsoft RADIUS パラメータをユーザに対して設定する」

「Nortel RADIUS パラメータをユーザに対して設定する」

「Juniper RADIUS パラメータをユーザに対して設定する」

「BBSM RADIUS パラメータをユーザに対して設定する」

「カスタム RADIUS アトリビュートをユーザに対して設定する」

TACACS+ 設定(ユーザ)

TACACS+ Settings セクションでは、ユーザの認可に適用するサービスおよびプロトコル パラメータをイネーブル化および設定できます。

この項では、次のトピックについて取り上げます。

「TACACS+ をユーザに対して設定する」

「シェル コマンド認可セットをユーザに対して設定する」

「PIX コマンド認可セットをユーザに対して設定する」

「デバイス管理コマンド認可をユーザに対して設定する」

「未知のサービスをユーザに対して設定する」

TACACS+ をユーザに対して設定する

この手順では、次のサービスおよびプロトコルについてユーザ レベルの TACACS+ 設定を実行します。

PPP IP

PPP IPX

PPP Multilink

PPP Apple Talk

PPP VPDN

PPP LCP

ARAP

Shell (exec)

Project Information Exchange(PIX)PIX Shell(pixShell)

Serial Line Internet Protocol(SLIP; シリアル ライン インターネット プロトコル)

また、設定する任意の 新しい TACACS+ サービスもイネーブルにできます。すべてのサービス/プロトコル設定を User Setup セクションに表示すると煩雑になるため、どの設定を表示または非表示にするかを、インターフェイス設定時にユーザ レベルで選択します。ACS Web インターフェイスでの新規または既存の TACACS+ サービスの設定については、「TACACS+ のプロトコル設定オプション」を参照してください。

Cisco デバイス管理アプリケーションと連携動作するように ACS を設定した場合は、そのデバイス管理アプリケーションをサポートするための新しい TACACS+ サービスが、必要に応じて自動的に表示されます。ACS とデバイス管理アプリケーションとの連携動作の詳細については、「Cisco デバイス管理アプリケーションのサポート」を参照してください。

アトリビュートの詳細については、 付録 B「TACACS+ AV ペア」 または使用している AAA クライアントのマニュアルを参照してください。IP ACL の割り当てについては、「ダウンロード可能 IP ACL をユーザに割り当てる」を参照してください。

始める前に

TACACS+ サービス/プロトコル設定が表示されるようにするには、セキュリティ コントロール プロトコルとして TACACS+ を使用するように AAA クライアントを設定しておく必要があります。

Interface Configuration > Advanced Options で、Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっていることを確認します。

TACACS+ をユーザに対して設定するには、次の手順を実行します。


ステップ 1 Interface Configuration > TACACS+ (Cisco IOS) をクリックします。TACACS+ Services テーブルの User というヘッダーの下部で、設定するサービス/プロトコルのチェックボックスがオンになっていることを確認します。

ステップ 2 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。

ステップ 3 TACACS+ Settings テーブルを下にスクロールし、太字のサービス名のチェックボックスをオンにして、そのプロトコル(たとえば PPP IP など)をイネーブルにします。

ステップ 4 選択したサービス内の特定のパラメータをイネーブルにするには、そのパラメータの隣にあるチェックボックスをオンにし、必要に応じて次のいずれかを行います。

Enabled チェックボックスをオンにします。

対応するアトリビュートのボックスに値を入力します。

ACL および IP アドレス プールを指定するには、ACL またはプールの名前を AAA クライアントで定義されているとおりに入力します。デフォルト設定(AAA クライアントの定義による)を使用する場合は、ブランクのままにします。アトリビュートの詳細については、 付録 B「TACACS+ AV ペア」 または使用している AAA クライアントのマニュアルを参照してください。IP ACL の割り当てについては、「ダウンロード可能 IP ACL をユーザに割り当てる」を参照してください。


ヒント ACL は Cisco IOS コマンドのリストであり、ネットワーク上の他のデバイスやユーザへのアクセス、またはそれらのデバイスやユーザからのアクセスを制限するために使用されます。

ステップ 5 特定のサービスについてカスタム アトリビュートを使用するには、そのサービスの Custom attributes チェックボックスをオンにし、次にチェックボックスの下部にあるボックスにアトリビュートおよび値を入力します。

ステップ 6 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行します。必要に応じて、この項で説明する他の手順を参照してください。

ステップ 7 ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。


 

シェル コマンド認可セットをユーザに対して設定する

ユーザのシェル コマンド認可セット パラメータを指定するには、この手順を実行します。次のオプションから選択できます。

None :シェル コマンドは認可しません。

Group :グループ レベルのシェル コマンド認可セットをこのユーザに適用します。

Assign a Shell Command Authorization Set for any network device :1 つのシェル コマンド認可セットを割り当て、それをすべてのネットワーク デバイスに適用します。

Assign a Shell Command Authorization Set on a per Network Device Group Basis :特定のシェル コマンド認可セットを特定の NDG に適用します。このオプションを選択すると、どの NDG がどのシェル コマンド認可セットに関連付けられているかを示すテーブルが作成されます。

Per User Command Authorization :特定の Cisco IOS コマンドおよび引数を、ユーザ レベルで許可または拒否します。

始める前に

AAA クライアントが、セキュリティ コントロール プロトコルとして TACACS+ を使用するように設定されていることを確認します。

Interface Configuration > Advanced Options で、Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっていることを確認します。

Interface Configuration の TACACS+ (Cisco) セクションにある User カラムで Shell (exec) オプションが選択されていることを確認します。

1 つ以上のシェル コマンド認可セットを事前に設定してあることを確認します。詳細な手順については、「コマンド認可セットの追加」を参照してください。

ユーザのシェル コマンド認可セット パラメータを指定するには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。

ステップ 2 TACACS+ Settings テーブルにスクロール ダウンし、Shell Command Authorization Set 機能の領域を表示します。

ステップ 3 シェル コマンド認可セットを適用しない場合は、 None オプションを選択します(またはデフォルトをそのまま使用します)。

ステップ 4 シェル コマンド認可セットをグループ レベルで割り当てるには、 As Group オプションを選択します。

ステップ 5 設定済みの任意のネットワーク デバイスで、特定のシェル コマンド認可セットが有効になるように割り当てるには、次の手順を実行します。

a. Assign a Shell Command Authorization Set for any network device オプションを選択します。

b. 次に、そのオプションの直下にあるリストから、このユーザに適用するシェル コマンド認可セットを選択します。

ステップ 6 特定のシェル コマンド認可セットが、特定の NDG で有効になるように関連付けを作成するには、関連ごとに、次の手順を実行します。

a. Assign a Shell Command Authorization Set on a per Network Device Group Basis オプションを選択します。

b. Device Group と、関連付ける Command Set を選択します。

c. Add Association をクリックします。


ヒント 一覧に表示されていないネットワーク デバイス グループに対しても、適用するコマンド セットを選択できます。適用するコマンド セットを、NDG の <default> 項目に関連付けます。

NDG とそれに関連付けられたシェル コマンド認可セットが、テーブルにペアで表示されます。

ステップ 7 ユーザに特定の Cisco IOS コマンドおよび引数の使用を許可または拒否するよう定義するには、次の手順を実行します。


注意 このステップでは、強力で高度な機能を設定します。この機能は、Cisco IOS コマンドについて熟知している管理者だけが使用するようにしてください。構文を正しく入力することは、管理者の責任です。ACS が使用している、コマンド引数でのパターン マッチングについては、「パターン マッチングについて」を参照してください。

a. Per User Command Authorization オプションを選択します。

b. Unmatched Cisco IOS commands で、 Permit または Deny を選択します。

Permit を選択すると、ユーザはリストで指定されていないコマンドをすべて発行できます。Deny を選択すると、ユーザは listed.h で指定されたコマンドだけを発行できます。

c. 許可または拒否する特定のコマンドをリストに含めるには、 Command チェックボックスをオンにして、コマンドの名前を入力し、標準の permit または deny 構文を使用して引数を定義し、次にリストに含まれていない引数を許可するか拒否するかを選択します。


ヒント 複数のコマンドを入力するには、1 つのコマンドを入力するたびに、Submit をクリックする必要があります。入力済みのボックスの下に、新しいコマンド入力ボックスが表示されます。

ステップ 8 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行します。必要に応じて、この項で説明する他の手順を参照してください。

ステップ 9 ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。


 

PIX コマンド認可セットをユーザに対して設定する

ユーザの PIX コマンド認可セット パラメータを指定するには、この手順を実行します。オプションは次のとおりです。

None :PIX コマンドは認可しません。

Group :グループ レベルの PIX コマンド認可セットをこのユーザに適用します。

Assign a PIX Command Authorization Set for any network device :1 つの PIX コマンド認可セットを割り当て、それをすべてのネットワーク デバイスに適用します。

Assign a PIX Command Authorization Set on a per Network Device Group Basis :特定の PIX コマンド認可セットを特定の NDG に適用します。

始める前に

AAA クライアントが、セキュリティ コントロール プロトコルとして TACACS+ を使用するように設定されていることを確認します。

Interface Configuration > Advanced Options で、Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっていることを確認します。

Interface Configuration > TACACS+ (Cisco) の User カラムで PIX Shell (pixShell) オプションが選択されていることを確認します。

1 つ以上の PIX コマンド認可セットを事前に設定してあることを確認します。詳細な手順については、「コマンド認可セットの追加」を参照してください。

ユーザの PIX コマンド認可セット パラメータを指定するには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。

ステップ 2 TACACS+ Settings テーブルにスクロール ダウンし、PIX Command Authorization Set 機能の領域を表示します。

ステップ 3 PIX コマンド認可セットを適用しない場合は、 None オプションを選択します(またはデフォルトをそのまま使用します)。

ステップ 4 PIX コマンド認可セットをグループ レベルで割り当てるには、 As Group オプションを選択します。

ステップ 5 設定済みの任意のネットワーク デバイスで、特定の PIX コマンド認可セットが有効になるように割り当てるには、次の手順を実行します。

a. Assign a PIX Command Authorization Set for any network device オプションを選択します。

b. そのオプションの下部にあるリストから、このユーザに適用する PIX コマンド認可セットを選択します。

ステップ 6 特定の PIX コマンド認可セットが、特定の NDG で有効になるように関連付けを作成するには、関連ごとに、次の手順を実行します。

a. Assign a PIX Command Authorization Set on a per Network Device Group Basis オプションを選択します。

b. Device Group と、関連付ける Command Set を選択します。

c. Add Association をクリックします。

関連付けられた NDG と PIX コマンド認可セットが、テーブルに表示されます。

ステップ 7 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行します。必要に応じて、この項で説明する他の手順を参照してください。

ステップ 8 ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。


 

デバイス管理コマンド認可をユーザに対して設定する

この手順では、ユーザに対してデバイス管理コマンド認可セット パラメータを指定します。デバイス管理コマンド認可セットは、ACS を使用して認可するように設定されている Cisco デバイス管理アプリケーションにおけるタスクの認可をサポートしています。次のオプションから選択できます。

None :該当する Cisco デバイス管理アプリケーションで発行されたコマンドに対する認可は実行しません。

Group :このユーザには、該当するデバイス管理アプリケーションについてのグループ レベルのコマンド認可セットを適用します。

Assign a < device-management application> for any network device :該当するデバイス管理アプリケーションに 1 つのコマンド認可セットが割り当てられ、あらゆるネットワーク デバイスでの管理タスクに適用されます。

Assign a < device-management application> on a per Network Device Group Basis :該当するデバイス管理アプリケーションのコマンド認可セットを特定の NDG に適用できます。コマンド認可セットは、その NDG に属するネットワーク デバイスでのすべての管理タスクに適用されます。

始める前に

AAA クライアントが、セキュリティ コントロール プロトコルとして TACACS+ を使用するように設定されていることを確認します。

Interface Configuration > Advanced Options で、Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっていることを確認します。

Interface Configuration > TACACS+ (Cisco) の New Services の下にある User カラムで、該当するデバイス管理アプリケーションに対応する新しい TACACS+ サービスが選択されていることを確認します。

コマンド認可セットを適用する場合は、デバイス管理コマンド認可セットを 1 つ以上設定しておく必要があります。詳細な手順については、「コマンド認可セットの追加」を参照してください。

デバイス管理アプリケーションのコマンド認可をユーザに対して指定するには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。

ステップ 2 TACACS+ Settings テーブルにスクロール ダウンし、該当するデバイス管理コマンド認可機能の領域を表示します。

ステップ 3 該当するデバイス管理アプリケーションで実行されるアクションにコマンド認可を適用しない場合は、 None オプションを選択します(またはデフォルトをそのまま使用します)。

ステップ 4 該当するデバイス管理アプリケーションに関するコマンド認可をグループ レベルで割り当てるには、 As Group オプションを選択します。

ステップ 5 任意のネットワーク デバイスでのデバイス管理アプリケーションのアクションに対して、特定のコマンド認可セットが有効になるように割り当てるには、次の手順を実行します。

a. Assign a < device-management application> for any network device オプションを選択します。

b. 次に、そのオプションの直下にあるリストから、このユーザに適用するコマンド認可セットを選択します。

ステップ 6 特定のコマンド認可セットが、特定の NDG でのデバイス管理アプリケーションのアクションに対して有効になるように関連付けを作成するには、関連ごとに、次の手順を実行します。

a. Assign a < device-management application> on a per Network Device Group Basis オプションを選択します。

b. Device Group と、関連付ける < device-management application > を選択します。

c. Add Association をクリックします。

関連付けられた NDG とコマンド認可セットが、テーブルに表示されます。

ステップ 7 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行します。必要に応じて、この項で説明する他の手順を参照してください。

ステップ 8 ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。


 

未知のサービスをユーザに対して設定する

TACACS+ AAA クライアントが未知のサービスを許可するように指定するには、Default (Undefined) Services チェックボックスをオンにします。このオプションをオンにすると、すべての未知のサービスが許可されます。

未知のサービスをユーザに対して設定するには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。

ステップ 2 スクロール ダウンして、PERMIT all UNKNOWN Services というヘッダーのテーブルを表示します。

ステップ 3 TACACS+ AAA クライアントがこのユーザに対して未知のサービスを許可するようにするには、 Default (Undefined) Services チェックボックスをオンにします。

ステップ 4 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行します。必要に応じて、この項で説明する他の手順を参照してください。

ステップ 5 ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。


 

高度な TACACS+ をユーザに対して設定する

ここで説明する内容は、AAA クライアントで TACACS+ を設定してある場合に適用されます。


ヒント Advanced TACACS+ Settings (User) テーブルが表示されない場合は、Interface Configuration > TACACS+ (Cisco IOS) を選択します。次に、Advanced TACACS+ Features を選択します。


この項では、次のトピックについて取り上げます。

「Enable Privilege オプションをユーザに対して設定する」

「TACACS+ Enable Password オプションをユーザに対して設定する」

「TACACS+ 発信パスワードをユーザに対して設定する」

Enable Privilege オプションをユーザに対して設定する

管理者のアクセスを制御するには、Exec セッションで TACACS+ Enable Control を使用します。一般的には、ルータの管理制御のために使用します。ユーザの特権レベルを選択および指定するオプションは次のとおりです。

Use Group Level Setting :グループ レベルで設定された特権と同等の特権を、このユーザに設定します。

No Enable Privilege :このユーザにはイネーブル特権を許可しません。


) No Enable Privilege がデフォルト設定です。


Max Privilege for any AAA Client :このユーザが認可される任意の AAA クライアント上で、このユーザに適用される最大特権レベルを、リストから選択できます。

Define Max Privilege on a per-Network Device Group Basis :1 つ以上の NDG でこのユーザに最大特権レベルを関連付けることができます。


) 特権レベルの詳細については、AAA クライアントのドキュメンテーションを参照してください。



ヒント ユーザ特権レベルを NDG に割り当てる前に、Interface Configuration でその NDG を設定しておく必要があります。


ユーザの特権レベルを選択および指定するには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。

ステップ 2 Advanced TACACS+ Settings テーブルの TACACS+ Enable Control で、次の 4 つの特権オプションのうち 1 つを選択します。

Use Group Level Setting

No Enable Privilege


No Enable Privilege がデフォルト設定です。新規ユーザ アカウントの設定時は、この特権が選択されています。


Max Privilege for Any Access Server

Define Max Privilege on a per-Network Device Group Basis

ステップ 3 ステップ 2 で Max Privilege for Any Access Server を選択した場合は、対応するリストから適用する特権レベルを選択します。

ステップ 4 ステップ 2 で Define Max Privilege on a per-Network Device Group Basis を選択した場合は、次の手順に従って、各 NDG で特権レベルを定義します。

a. Device Group リストから、デバイス グループを選択します。


) 事前に設定されていないデバイス グループは、このリストに表示されません。


b. Privilege リストから、選択したデバイス グループに関連付ける特権レベルを選択します。

c. Add Association をクリックします。

デバイス グループを特定の特権レベルに関連付けるエントリが、テーブルに表示されます。

d. このユーザに関連付けるデバイス グループのそれぞれについて、ステップ a ~ステップ c を繰り返します。


ヒント エントリを削除するには、そのエントリを選択して Remove Associate をクリックします。

ステップ 5 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行します。必要に応じて、この項で説明する他の手順を参照してください。

ステップ 6 ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。


 

TACACS+ Enable Password オプションをユーザに対して設定する

ユーザに TACACS+ Enable Password オプションを設定する場合は、次のオプションを使用できます。

ACS PAP password

External database password

A separate password

TACACS+ Enable password オプションを設定するには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。

ステップ 2 パスワードのオプションを選択します。

Password Authentication セクションで設定した情報を使用するには、 Use Cisco Secure PAP password を選択します。


) 基本パスワードの設定については、「基本ユーザ アカウントの追加」を参照してください。


外部データベース パスワードを使用するには、 Use external database password を選択し、次に、このユーザのイネーブル パスワードを認証するデータベースを選択します。


) データベースのリストには、すでに設定してあるデータベースだけが表示されます。詳細については、「外部ユーザ データベースについて」を参照してください。


個別のパスワードを使用するには、 Use separate password をクリックし、このユーザのコントロール パスワードを入力し、さらに確認のために再度入力します。このパスワードは、通常の認証に追加して使用します。

ステップ 3 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行します。必要に応じて、この項で説明する他の手順を参照してください。

ステップ 4 ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。


 

TACACS+ 発信パスワードをユーザに対して設定する

TACACS+ 発信パスワードを使用すると、AAA クライアントは、発信認証を通して別の AAA クライアントに対する自己認証を行うことができます。発信認証は PAP、CHAP、MS-CHAP または ARAP とすることができ、その結果として ACS パスワードが公表されることになります。デフォルトでは、ユーザの ASCII/PAP パスワードまたは CHAP/MS-CHAP/ARAP パスワードが使用されます。着信パスワードの効力低下を防ぐために、別の SENDAUTH パスワードを設定できます。


注意 発信パスワードは、TACACS+ SendAuth/OutBound パスワードの使用方法に精通している場合に限り使用するようにしてください。

ユーザの TACACS+ 発信パスワードを設定するには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。

ステップ 2 このユーザの TACACS+ 発信パスワードを入力し、確認のために再度入力します。

ステップ 3 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行します。必要に応じて、この項で説明する他の手順を参照してください。

ステップ 4 ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。


 

RADIUS アトリビュート

RADIUS 認証のためのユーザ アトリビュートについては、汎用のものを Internet Engineering Task Force(IETF)レベルで設定するか、またはベンダーごとに Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)を設定するかを選択できます。汎用アトリビュートについては、「IETF RADIUS パラメータをユーザに対して設定する」を参照してください。ACS には、出荷時に一般的な VSA が多数ロードされており、これらを設定および適用できます。追加のカスタム RADIUS VSA の作成については、「カスタム RADIUS ベンダーと VSA」を参照してください。


注意 Shared Radius Authorization Components(SRAC)を使用している場合は、ユーザ レベルまたはグループ レベルでの RADIUS アトリビュートのマージおよび上書きに関する問題に注意してください。RADIUS アトリビュートは個々のユーザに割り当てないでください(他の方法がない場合にだけ使用します)。RADIUS アトリビュートは、グループまたは SRAC を使用して、ユーザのグループ レベルまたはプロファイル レベルに割り当てます。

この項では、次のトピックについて取り上げます。

「IETF RADIUS パラメータをユーザに対して設定する」

「Cisco IOS/PIX 6.0 RADIUS パラメータをユーザに対して設定する」

「Cisco Aironet RADIUS パラメータをユーザに対して設定する」

「Ascend RADIUS パラメータをユーザに対して設定する」

「Cisco VPN 3000/ASA/PIX 7.x+ RADIUS パラメータをユーザに対して設定する」

「Cisco VPN 5000 Concentrator RADIUS パラメータをユーザに対して設定する」

「Microsoft RADIUS パラメータをユーザに対して設定する」

「Nortel RADIUS パラメータをユーザに対して設定する」

「Juniper RADIUS パラメータをユーザに対して設定する」

「BBSM RADIUS パラメータをユーザに対して設定する」

「カスタム RADIUS アトリビュートをユーザに対して設定する」

IETF RADIUS パラメータをユーザに対して設定する

RADIUS アトリビュートは、ACS から要求側の AAA クライアントにユーザのプロファイルとして送信されます。これらのパラメータは、次の場合に限り表示されます。

Network Configuration で、AAA クライアント(1 つ以上)が RADIUS プロトコルのいずれかを使用するように設定されている。

Interface Configuration> Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。

Interface Configuration > RADIUS (IETF) で、User-level IETF RADIUS アトリビュートがイネーブルになっている。


) これらのアトリビュートを Web インターフェイスで表示または非表示にする方法については、「RADIUS のプロトコル設定オプション」を参照してください。



) RADIUS アトリビュートのリストと説明については、付録 C「RADIUS アトリビュート」、または RADIUS を使用する特定のネットワーク デバイスのマニュアルを参照してください。


現在のユーザの認可として適用する IETF RADIUS アトリビュートを設定するには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。

ステップ 2 IETF RADIUS テーブルで、現在のユーザに認可する必要があるアトリビュートのそれぞれについて、アトリビュートの隣にあるチェックボックスをオンにし、さらにその隣のフィールド内でアトリビュートの認可を定義します。

ステップ 3 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行します。必要に応じて、この項で説明する他の手順を参照してください。

ステップ 4 ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。


 

Cisco IOS/PIX 6.0 RADIUS パラメータをユーザに対して設定する

Cisco IOS RADIUS パラメータは、次の条件をすべて満たす場合に限り表示されます。

Network Configuration で、AAA クライアント(1 つ以上)が RADIUS (Cisco IOS/PIX 6.0) を使用するように設定されている。

Interface Configuration> Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。

User-level RADIUS (Cisco IOS/PIX 6.0) アトリビュートが Interface Configuration > RADIUS (Cisco IOS/PIX 6.0) でイネーブルになっている。


) Cisco IOS RADIUS VSA を表示または非表示にする方法については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のユーザに対する認可として適用される VSA は、それに関連付けられている AAA クライアントを削除または置換しても保持されています。ただし、この(ベンダー)タイプの AAA クライアントが設定されていない場合、その VSA 設定はユーザ設定インターフェイスには表示されません。


Cisco IOS RADIUS は、Cisco IOS VSA だけを表します。IETF RADIUS アトリビュートと Cisco IOS RADIUS アトリビュートを設定する必要があります。

現在のユーザの認可として適用される Cisco IOS RADIUS アトリビュートを設定してイネーブルにするには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。

ステップ 2 Cisco IOS RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが正しく設定されていることを確認します。IETF RADIUS アトリビュートの設定の詳細については、「IETF RADIUS パラメータをユーザに対して設定する」を参照してください。

ステップ 3 [009\001] cisco-av-pair アトリビュートを使用して認可を指定する場合、アトリビュートの隣にあるチェックボックスをオンにして、テキスト ボックスにアトリビュートと値(AV)のペアを入力します。各アトリビュート値ペアは、Enter キーを押して区切ります。

たとえば、現在のユーザ プロファイルが Network Admission Control(NAC; ネットワーク アドミッション コントロール)クライアントに対応し、ACS が常に、該当するグループ プロファイルに含まれる値とは異なっている必要のある status-query-timeout アトリビュート値を NAC クライアントに割り当てる場合は、その値を次のように指定することもできます。

status-query-timeout=1200

ステップ 4 他の Cisco IOS/PIX 6.0 RADIUS アトリビュートを使用する場合、対応するチェックボックスをオンにして、隣接するテキスト ボックスに必要な値を指定します。

ステップ 5 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行します。必要に応じて、この項で説明する他の手順を参照してください。

ステップ 6 ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。


 

Cisco Airespace RADIUS パラメータをユーザに対して設定する

Cisco Airespace RADIUS パラメータは、次の条件をすべて満たす場合に限り表示されます。

Network Configuration で、AAA クライアント(1 つ以上)が RADIUS (Cisco Airespace) を使用するように設定されている。

Interface Configuration> Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。

適用する User-level RADIUS (Cisco Airespace) アトリビュートが Interface Configuration> RADIUS (Cisco Airespace) でイネーブルになっている。

Cisco Airespace RADIUS は、Cisco Airespace 独自のアトリビュートだけを表示します。使用する IETF RADIUS アトリビュートおよび Cisco Airespace RADIUS アトリビュートを設定する必要があります。


) Cisco Airespace RADIUS アトリビュートを表示または非表示にする方法については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のユーザに対する認可として適用される VSA は、それに関連付けられている AAA クライアントを削除または置換しても保持されています。ただし、この(ベンダー)タイプの AAA クライアントが設定されていない場合、その VSA 設定はユーザ設定インターフェイスには表示されません。


現在のユーザの認可として適用される Cisco Airespace RADIUS アトリビュートを設定してイネーブルにするには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。

ステップ 2 Cisco Airespace RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが正しく設定されていることを確認します。IETF RADIUS アトリビュートの設定の詳細については、「IETF RADIUS パラメータをユーザに対して設定する」を参照してください。

ステップ 3 Cisco Airespace RADIUS Attributes テーブルで、ユーザに認可するアトリビュートを指定するには、次の手順を実行します。

a. 特定のアトリビュートの隣にあるチェックボックスをオンにします。

b. さらに、隣のフィールドで、そのアトリビュートに対する認可を定義します。

c. 必要に応じて、アトリビュートの選択と定義を続けます。

アトリビュートの詳細については、 付録 C「RADIUS アトリビュート」 または使用している AAA クライアントのマニュアルを参照してください。

ステップ 4 次のいずれかを実行します。

ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。

続けてユーザ アカウント オプションを指定する場合は、この章の手順を必要に応じて実行します。


 

Cisco Aironet RADIUS パラメータをユーザに対して設定する

単一の Cisco Aironet RADIUS VSA、つまり Cisco-Aironet-Session-Timeout は、バーチャル VSA です。この VSA は、Cisco Aironet Access Point からの要求に応答する際に、IETF RADIUS Session-Timeout アトリビュート(27)の特別実装(つまり、再マッピング)として機能します。
Cisco-Aironet-Session-Timeout アトリビュートは、無線デバイス経由と有線デバイス経由の両方でユーザが接続する必要がある場合に、異なるタイムアウト値を指定するために使用します。この機能を使用して WLAN 接続向けに第 2 のタイムアウト値を指定すると、WLAN 接続(通常は分単位で計測)に対して標準のタイムアウト値(通常は時間単位で計測)を使用しなければならない場合に起こり得る問題が回避されます。常に Cisco Aironet Access Point だけで接続する特定のユーザに対しては、Cisco-Aironet-Session-Timeout を使用する必要はありません。この設定は、有線クライアント経由と無線クライアント経由の両方で接続する可能性があるユーザに対して使用します。

たとえば、あるユーザに対して Cisco-Aironet-Session-Timeout を 600 秒(10 分)に、IETF RADIUS Session-Timeout を 3 時間に設定するとします。このユーザが VPN 経由で接続すると、ACS はタイムアウト値として 3 時間を使用します。一方、このユーザが Cisco Aironet Access Point 経由で接続すると、ACS は、Aironet AP からの認証要求に応答し、IETF RADIUS Session-Timeout アトリビュートに 600 秒を送信します。このように、Cisco-Aironet-Session-Timeout アトリビュートが設定されていると、エンドユーザ クライアントが無線デバイスと Cisco Aironet Access Point のどちらであるかに応じて、異なるタイムアウト値を送信できます。

Cisco Aironet RADIUS パラメータは、次の条件をすべて満たす場合に限り、User Setup ページに表示されます。

Network Configuration で、AAA クライアント(1 つ以上)が RADIUS (Cisco Aironet) を使用するように設定されている。

Interface Configuration> Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。

Interface Configuration > RADIUS (Cisco Aironet) で、User-level RADIUS (Cisco Aironet) アトリビュートがイネーブルになっている。


) Cisco Aironet RADIUS VSA を表示または非表示にする方法については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のユーザに対する認可として適用される VSA は、それに関連付けられている AAA クライアントを削除または置換しても保持されています。ただし、この(ベンダー)タイプの AAA クライアントが設定されていない場合、その VSA 設定はユーザ設定インターフェイスには表示されません。


現在のユーザの認可として適用される Cisco Aironet RADIUS アトリビュートを設定してイネーブルにするには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。

ステップ 2 Cisco Aironet RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが正しく設定されていることを確認します。IETF RADIUS アトリビュートの設定の詳細については、「IETF RADIUS パラメータをユーザに対して設定する」を参照してください。

ステップ 3 Cisco Aironet RADIUS Attributes テーブルで、 [5842\001] Cisco-Aironet-Session-Timeout チェックボックスをオンにします。

ステップ 4 [5842\001] Cisco-Aironet-Session-Timeout ボックスに、セッション タイムアウト値を秒単位で入力します。この値は、AAA クライアントが RADIUS(Cisco Aironet)認証オプションを使用するように Network Configuration で設定されている場合に、ACS によって IETF RADIUS Session-Timeout(27)アトリビュートとして送信されます。推奨値は 600 秒です。

IETF RADIUS Session-Timeout アトリビュートの詳細については、 付録 C「RADIUS アトリビュート」 または使用している AAA クライアントのマニュアルを参照してください。

ステップ 5 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行します。必要に応じて、この項で説明する他の手順を参照してください。

ステップ 6 ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。


 

Ascend RADIUS パラメータをユーザに対して設定する

Ascend RADIUS パラメータは、次の条件をすべて満たす場合に限り表示されます。

Network Configuration で、AAA クライアント(1 つ以上)が RADIUS (Ascend) を使用するように設定されている。

Interface Configuration> Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。

Interface Configuration > RADIUS (Ascend) で、適用する User-level RADIUS (Ascend) アトリビュートがイネーブルになっている。

RADIUS (Ascend) は、Ascend 独自のアトリビュートを表します。IETF RADIUS アトリビュートと Ascend RADIUS アトリビュートを設定する必要があります。このような独自アトリビュートを選択すると、IETF アトリビュートが無効になります。

RADIUS について表示されるデフォルトのアトリビュート設定は、 Ascend-Remote-Addr です。


) Ascend RADIUS アトリビュートを表示または非表示にする方法については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のユーザに対する認可として適用される VSA は、それに関連付けられている AAA クライアントを削除または置換しても保持されています。ただし、この(ベンダー)タイプの AAA クライアントが設定されていない場合、その VSA 設定はユーザ設定インターフェイスには表示されません。


現在のユーザの認可として使用される Ascend RADIUS アトリビュートを設定してイネーブルにするには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。

ステップ 2 Ascend RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが正しく設定されていることを確認します。IETF RADIUS アトリビュートの設定の詳細については、「IETF RADIUS パラメータをユーザに対して設定する」を参照してください。

ステップ 3 Ascend RADIUS Attributes テーブルで、ユーザに認可するアトリビュートを指定するには、次の手順を実行します。

a. 特定のアトリビュートの隣にあるチェックボックスをオンにします。

b. さらに、隣のフィールドで、そのアトリビュートに対する認可を定義します。

c. 必要に応じて、アトリビュートの選択と定義を続けます。

アトリビュートの詳細については、 付録 C「RADIUS アトリビュート」 または使用している AAA クライアントのマニュアルを参照してください。

ステップ 4 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行します。必要に応じて、この項で説明する他の手順を参照してください。

ステップ 5 ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。


 

Cisco VPN 3000/ASA/PIX 7.x+ RADIUS パラメータをユーザに対して設定する

Cisco VPN 3000 シリーズのコンセントレータの Adaptive Security Appliance(ASA)または PIX Security Appliance バージョン 7.x+ 経由でネットワークにアクセスするユーザの Microsoft Point-to-Point Encryption(MPPE)設定を制御するには、CVPN3000-PPTP-Encryption (VSA 20) アトリビュートと CVPN3000-L2TP-Encryption (VSA 21) アトリビュートを使用します。CVPN3000-PPTP-Encryption (VSA 20) と CVPN3000-L2TP-Encryption (VSA 21) の設定値は、Microsoft MPPE RADIUS 設定値よりも優先されます。このどちらかのアトリビュートがイネーブルになっている場合、ACS は、送信 RADIUS (Microsoft) アトリビュートに送信する値を決定して、RADIUS (Cisco VPN 3000/ASA/PIX 7.x+) アトリビュートと一緒に送信します。この動作は、RADIUS (Microsoft) アトリビュートが ACS Web インターフェイスでイネーブルになっているかどうかということや、これらのアトリビュートの設定内容には依存しません。

Cisco VPN 3000/ASA/PIX 7.x+ RADIUS アトリビュートは、次の条件をすべて満たす場合に限り表示されます。

Network Configuration で AAA クライアント(1 つ以上)が RADIUS (Cisco VPN 3000/ASA/PIX 7.x+) を使用するように設定されている。

Interface Configuration> Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。

適用する User-level RADIUS (Cisco VPN 3000/ASA/PIX 7.x+) アトリビュートが Interface Configuration > RADIUS (Cisco VPN 3000/ASA/PIX 7.x+) でイネーブルになっている。

Cisco VPN 3000/ASA/PIX 7.x+ RADIUS は、Cisco VPN 3000/ASA/PIX 7.x+ VSA だけを表します。IETF RADIUS アトリビュートと Cisco VPN 3000/ASA/PIX 7.x+ RADIUS アトリビュートを設定する必要があります。


) Cisco VPN 5000 Concentrator RADIUS アトリビュートを表示または非表示にする方法については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のユーザに対する認可として適用される VSA は、それに関連付けられている AAA クライアントを削除または置換しても保持されています。ただし、この(ベンダー)タイプの AAA クライアントが設定されていない場合、その VSA 設定はユーザ設定インターフェイスには表示されません。


現在のユーザの認可として適用される Cisco VPN 3000/ASA/PIX 7.x+ RADIUS アトリビュートを設定してイネーブルにするには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。

ステップ 2 Cisco VPN 3000/ASA/PIX 7.x+ RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが正しく設定されていることを確認します。

IETF RADIUS アトリビュートの設定の詳細については、「IETF RADIUS パラメータをユーザに対して設定する」を参照してください。

ステップ 3 Cisco VPN 3000/ASA/PIX 7.x+ Attribute テーブルで、ユーザに認可するアトリビュートを指定するには、次の手順を実行します。

a. 特定のアトリビュートの隣にあるチェックボックスをオンにします。

b. さらに、隣のフィールドで、そのアトリビュートに対する認可を定義します。

c. 必要に応じて、アトリビュートの選択と定義を続けます。

アトリビュートの詳細については、 付録 C「RADIUS アトリビュート」 または使用している AAA クライアントのマニュアルを参照してください。

ステップ 4 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行します。必要に応じて、この項で説明する他の手順を参照してください。

ステップ 5 ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。


 

Cisco VPN 5000 Concentrator RADIUS パラメータをユーザに対して設定する

Cisco VPN 5000 Concentrator RADIUS アトリビュートは、次の条件をすべて満たす場合に限り表示されます。

Network Configuration で、AAA クライアント(1 つ以上)が RADIUS(Cisco VPN 5000)を使用するように設定されている。

Interface Configuration> Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。

適用する User-level RADIUS (Cisco VPN 5000) アトリビュートが Interface Configuration > RADIUS (Cisco VPN 5000) で、イネーブルになっている。

Cisco VPN 5000 Concentrator RADIUS は Cisco VPN 5000 Concentrator VSA だけを表します。IETF RADIUS アトリビュートと Cisco VPN 5000 Concentrator RADIUS アトリビュートを設定する必要があります。


) Cisco VPN 5000 Concentrator RADIUS アトリビュートを表示または非表示にする方法については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のユーザに対する認可として適用される VSA は、それに関連付けられている AAA クライアントを削除または置換しても保持されています。ただし、この(ベンダー)タイプの AAA クライアントが設定されていない場合、その VSA 設定はユーザ設定インターフェイスには表示されません。


現在のユーザの認可として適用される Cisco VPN 5000 Concentrator RADIUS アトリビュートを設定してイネーブルにするには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。

ステップ 2 Cisco VPN 5000 Concentrator RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが正しく設定されていることを確認します。IETF RADIUS アトリビュートの設定の詳細については、「IETF RADIUS パラメータをユーザに対して設定する」を参照してください。

ステップ 3 Cisco VPN 5000 Concentrator Attribute テーブルで、ユーザに認可するアトリビュートを指定するには、次の手順を実行します。

a. 特定のアトリビュートの隣にあるチェックボックスをオンにします。

b. さらに、隣のフィールドで、そのアトリビュートに対する認可を定義します。

c. 必要に応じて、アトリビュートの選択と定義を続けます。

アトリビュートの詳細については、 付録 C「RADIUS アトリビュート」 または使用している AAA クライアントのマニュアルを参照してください。

ステップ 4 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行します。必要に応じて、この項で説明する他の手順を参照してください。

ステップ 5 ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。


 

Microsoft RADIUS パラメータをユーザに対して設定する

Microsoft RADIUS では、Point-to-Point(PPP; ポイントツーポイント)リンクを暗号化するために Microsoft によって開発された暗号化技術である、Microsoft Point-to-Point Encryption(MPPE)をサポートする VSA が提供されます。これらの PPP 接続は、ダイヤルイン回線または Virtual Private Network(VPN; バーチャル プライベート ネットワーク)トンネル経由で可能です。

Cisco VPN 3000 シリーズのコンセントレータ経由でネットワークにアクセスするユーザの Microsoft MPPE 設定値を制御するには、CVPN3000-PPTP-Encryption (VSA 20) アトリビュートと CVPN3000-L2TP-Encryption (VSA 21) アトリビュートを使用します。CVPN3000-PPTP-Encryption (VSA 20) と CVPN3000-L2TP-Encryption (VSA 21) の設定値は、Microsoft MPPE RADIUS 設定値よりも優先されます。このどちらかのアトリビュートがイネーブルになっている場合、ACS は、送信 RADIUS (Microsoft) アトリビュートに送信する値を決定して、 RADIUS (Cisco VPN 3000) アトリビュートと一緒に送信します。この動作は、RADIUS (Microsoft) アトリビュートが ACS Web インターフェイスでイネーブルになっているかどうかということや、これらのアトリビュートの設定内容には依存しません。

Microsoft RADIUS アトリビュートは、次の条件をすべて満たす場合に限り表示されます。

Microsoft RADIUS VSA をサポートする RADIUS プロトコルを使用する AAA クライアント(1 つ以上)が、 Network Configuration 内で設定されている。

Interface Configuration> Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。

Interface Configuration > RADIUS (Microsoft) で、適用する User-level RADIUS (Microsoft) アトリビュートがイネーブルになっている。

次の ACS RADIUS プロトコルは、Microsoft RADIUS VSA をサポートします。

Cisco IOS/PIX 6.0

Cisco VPN 3000/ASA/PIX 7.x+

Cisco VPN 5000

Ascend

Cisco Airespace

Microsoft RADIUS は Microsoft VSA だけを表します。IETF RADIUS アトリビュートと Microsoft RADIUS アトリビュートを設定する必要があります。


) Microsoft RADIUS アトリビュートを表示または非表示にする方法については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のユーザに対する認可として適用される VSA は、それに関連付けられている AAA クライアントを削除または置換しても保持されています。ただし、この(ベンダー)タイプの AAA クライアントが設定されていない場合、その VSA 設定はユーザ設定インターフェイスには表示されません。


現在のユーザの認可として使用される Microsoft RADIUS アトリビュートを設定してイネーブルにするには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。

ステップ 2 Cisco IOS RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが正しく設定されていることを確認します。IETF RADIUS アトリビュートの設定の詳細については、「IETF RADIUS パラメータをユーザに対して設定する」を参照してください。

ステップ 3 Microsoft RADIUS Attributes テーブルで、ユーザに認可するアトリビュートを指定するには、次の手順を実行します。

a. 特定のアトリビュートの隣にあるチェックボックスをオンにします。

b. さらに、隣のフィールドで、そのアトリビュートに対する認可を定義します。

c. 必要に応じて、アトリビュートの選択と定義を続けます。

アトリビュートの詳細については、 付録 C「RADIUS アトリビュート」 または使用している AAA クライアントのマニュアルを参照してください。


MS-CHAP-MPPE-Keys アトリビュート値は ACS によって自動生成されます。Web インターフェイスで設定する値はありません。


ステップ 4 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行します。必要に応じて、この項で説明する他の手順を参照してください。

ステップ 5 ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。


 

Nortel RADIUS パラメータをユーザに対して設定する

Nortel RADIUS パラメータは、次の条件をすべて満たす場合に限り表示されます。

Network Configuration で、AAA クライアント(1 つ以上)が RADIUS (Nortel) を使用するように設定されている。

Interface Configuration> Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。

Interface Configuration > RADIUS (Nortel) で、適用する User-level RADIUS (Nortel) アトリビュートがイネーブルになっている。

RADIUS は Nortel 所有のアトリビュートを表します。Internet Engineering Task Force(IETF)RADIUS アトリビュートと Nortel RADIUS アトリビュートを設定する必要があります。このような独自アトリビュートを選択すると、IETF アトリビュートが無効になります。


) Nortel RADIUS アトリビュートを表示または非表示にする方法については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のユーザに対する認可として適用される VSA は、それに関連付けられている AAA クライアントを削除または置換しても保持されています。ただし、この(ベンダー)タイプの AAA クライアントが設定されていない場合、その VSA 設定はユーザ設定インターフェイスには表示されません。


現在のユーザの認可として使用される Nortel RADIUS アトリビュートを設定してイネーブルにするには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。

ステップ 2 Nortel RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが正しく設定されていることを確認します。IETF RADIUS アトリビュートの設定の詳細については、「IETF RADIUS パラメータをユーザに対して設定する」を参照してください。

ステップ 3 Nortel RADIUS Attributes テーブルで、ユーザに認可するアトリビュートを指定するには、次の手順を実行します。

a. 特定のアトリビュートの隣にあるチェックボックスをオンにします。

b. さらに、隣のフィールドで、そのアトリビュートに対する認可を定義します。

c. 必要に応じて、アトリビュートの選択と定義を続けます。

アトリビュートの詳細については、 付録 C「RADIUS アトリビュート」 または使用している AAA クライアントのマニュアルを参照してください。

ステップ 4 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行します。必要に応じて、この項で説明する他の手順を参照してください。

ステップ 5 ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。


 

Juniper RADIUS パラメータをユーザに対して設定する

Juniper RADIUS パラメータは、次の条件をすべて満たす場合に限り表示されます。

Network Configuration で、AAA クライアント(1 つ以上)が RADIUS (Juniper) を使用するように設定されている。

Interface Configuration> Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。

Interface Configuration > RADIUS (Juniper) で、適用する User-level RADIUS (Juniper) アトリビュートがイネーブルになっている。

Juniper RADIUS は Juniper 独自のアトリビュートを表します。IETF RADIUS アトリビュートと Juniper RADIUS アトリビュートを設定する必要があります。このような独自アトリビュートを選択すると、IETF アトリビュートが無効になります。


) Juniper RADIUS アトリビュートを表示または非表示にする方法については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のユーザに対する認可として適用される VSA は、それに関連付けられている AAA クライアントを削除または置換しても保持されています。ただし、この(ベンダー)タイプの AAA クライアントが設定されていない場合、その VSA 設定はユーザ設定インターフェイスには表示されません。


現在のユーザの認可として使用される Juniper RADIUS アトリビュートを設定してイネーブルにするには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。

ステップ 2 Juniper RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが正しく設定されていることを確認します。IETF RADIUS アトリビュートの設定の詳細については、「IETF RADIUS パラメータをユーザに対して設定する」を参照してください。

ステップ 3 Juniper RADIUS Attributes テーブルで、ユーザに認可するアトリビュートを指定するには、次の手順を実行します。

a. 特定のアトリビュートの隣にあるチェックボックスをオンにします。

b. さらに、隣のフィールドで、そのアトリビュートに対する認可を定義します。

c. 必要に応じて、アトリビュートの選択と定義を続けます。

アトリビュートの詳細については、 付録 C「RADIUS アトリビュート」 または使用している AAA クライアントのマニュアルを参照してください。

ステップ 4 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行します。必要に応じて、この項で説明する他の手順を参照してください。

ステップ 5 ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。


 

BBSM RADIUS パラメータをユーザに対して設定する

Building Broadband Services Manager (BBSM) RADIUS パラメータは、次の条件をすべて満たす場合に限り表示されます。

Network Configuration で、AAA クライアント(1 つ以上)が RADIUS (BBSM) を使用するように設定されている。

Interface Configuration> Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。

Interface Configuration > RADIUS (BBSM) で、適用する User-level RADIUS (BBSM) アトリビュートがイネーブルになっている。

BBSM RADIUS は BBSM 独自のアトリビュートを表します。IETF RADIUS アトリビュートと BBSM RADIUS アトリビュートを設定する必要があります。このような独自アトリビュートを選択すると、IETF アトリビュートが無効になります。


) BBSM RADIUS アトリビュートを表示または非表示にする方法については、「非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定」を参照してください。特定のユーザに対する認可として適用される VSA は、それに関連付けられている AAA クライアントを削除または置換しても保持されています。ただし、この(ベンダー)タイプの AAA クライアントが設定されていない場合、その VSA 設定はユーザ設定インターフェイスには表示されません。


現在のユーザの認可として使用される BBSM RADIUS アトリビュートを設定してイネーブルにするには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。

ステップ 2 BBSM RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが正しく設定されていることを確認します。IETF RADIUS アトリビュートの設定の詳細については、「IETF RADIUS パラメータをユーザに対して設定する」を参照してください。

ステップ 3 BBSM RADIUS Attributes テーブルで、ユーザに認可するアトリビュートを指定するには、次の手順を実行します。

a. 特定のアトリビュートの隣にあるチェックボックスをオンにします。

b. さらに、隣のフィールドで、そのアトリビュートに対する認可を定義します。

c. 必要に応じて、アトリビュートの選択と定義を続けます。

アトリビュートの詳細については、 付録 C「RADIUS アトリビュート」 または使用している AAA クライアントのマニュアルを参照してください。

ステップ 4 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行します。必要に応じて、この項で説明する他の手順を参照してください。

ステップ 5 ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。


 

カスタム RADIUS アトリビュートをユーザに対して設定する

RADIUS パラメータは、次の条件をすべて満たす場合に限り表示されます。

カスタム RADIUS VSA を定義および設定してある(ユーザ定義の RADIUS VSA の作成については、「カスタム RADIUS ベンダーと VSA」を参照してください)。

カスタム VSA をサポートする RADIUS プロトコルを使用する AAA クライアント(1 つ以上)が、 Network Configuration 内で設定されている。

Interface Configuration> Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。

Interface Configuration セクションの RADIUS ( custom name ) で、適用する User-level RADIUS ( custom name ) アトリビュートがイネーブルになっている。

IETF RADIUS アトリビュートと カスタム RADIUS アトリビュートを設定する必要があります。このような独自アトリビュートを選択すると、IETF アトリビュートが無効になります。

現在のユーザの認可として使用されるカスタム RADIUS アトリビュートを設定してイネーブルにするには、次の手順を実行します。


ステップ 1 「基本ユーザ アカウントの追加」のステップ 1 ~ステップ 3 を実行します。

User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。

ステップ 2 カスタム RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが正しく設定されていることを確認します。IETF RADIUS アトリビュートの設定の詳細については、「IETF RADIUS パラメータをユーザに対して設定する」を参照してください。

ステップ 3 RADIUS custom name Attributes テーブルで、ユーザに認可するアトリビュートを指定するには、次の手順を実行します。

a. 特定のアトリビュートの隣にあるチェックボックスをオンにします。

b. さらに、隣のフィールドで、必要に応じてそのアトリビュートに対する認可を定義します。

c. 必要に応じて、アトリビュートの選択と定義を続けます。

アトリビュートの詳細については、 付録 C「RADIUS アトリビュート」 または使用している AAA クライアントのマニュアルを参照してください。

ステップ 4 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行します。必要に応じて、この項で説明する他の手順を参照してください。

ステップ 5 ユーザ アカウント オプションの設定が完了したら、 Submit をクリックしてオプションを記録します。


 

ユーザ管理

ここでは、User Setup セクションを使用して、さまざまなユーザ アカウント管理タスクを実行する方法について説明します。

この項では、次のトピックについて取り上げます。

「全ユーザのリスト表示」

「ユーザの検索」

「ユーザ アカウントの無効化」

「ユーザ アカウントの削除」

「ユーザ セッション割当量カウンタのリセット」

「ログイン失敗後のユーザ アカウントのリセット」

「ダイナミック ユーザの削除」

「ユーザ設定の保存」

全ユーザのリスト表示

User リストには、すべてのユーザ アカウント(有効のものと無効のもの)が表示されます。このリストには、ユーザごとに、ユーザ名、ステータス、およびそのユーザが属するグループが表示されます。

ユーザ名は、データベースに入力された順序で表示されます。このリストはソートできません。

すべてのユーザ アカウントのリストを表示するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの User Setup をクリックします。

User Setup Select ページが開きます。

ステップ 2 List All Users をクリックします。

右側の表示領域に、User リストが表示されます。

ステップ 3 個々のユーザの情報を表示または編集するには、右側のウィンドウでユーザ名をクリックします。

そのユーザのアカウント情報が表示されます。


 

ユーザの検索

ユーザを検索するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの User Setup をクリックします。

User Setup Select ページが開きます。

ステップ 2 User ボックスに名前を入力し、 Find をクリックします。


ヒント このボックスでは、アスタリスク(*)をワイルドカードとして使用できます。


ヒント 特定の文字または数値で始まるユーザ名のリストを表示するには、英数字リストから文字または数値をクリックします。名前がその文字または数値で始まるユーザのリストが、右側の表示領域に表示されます。

ユーザ名、ステータス(イネーブルまたはディセーブル)、およびこのユーザが属するグループが、右側の表示領域に表示されます。

ステップ 3 ユーザに関する情報を表示または編集するには、右側の表示領域でそのユーザ名をクリックします。

そのユーザのアカウント情報が表示されます。


 

ユーザ アカウントの無効化

ACS 内部データベースのユーザ アカウントを手動で無効にするには、次の手順を実行します。


) ユーザ アカウントを自動的に無効にする条件の設定については、「ユーザ アカウントの無効化オプションの設定」を参照してください。



) この手順は、パスワード エージングによるアカウントの期限満了とは異なります。パスワード エージングは個別のユーザに対してではなく、グループに対してだけ定義されます。


ユーザ アカウントを無効にするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの User Setup をクリックします。

User Setup Select ページが開きます。

ステップ 2 User ボックスに、そのアカウントを無効にするユーザの名前を入力します。

ステップ 3 Add/Edit をクリックします。

User Setup Edit ページが開きます。編集の対象となるユーザ名がページ上部に表示されます。

ステップ 4 Account Disabled チェックボックスをオンにします。

ステップ 5 ページの下部にある Submit をクリックします。

指定したユーザ アカウントが無効になります。


 

ユーザ アカウントの削除

Web インターフェイスを使用してユーザ アカウントを 1 つずつ削除できます。


) Unknown User ポリシーを使用して認証を行い、ユーザ アカウントを削除することによりユーザ アクセスを拒否する場合は、外部ユーザ データベースからユーザ アカウントを削除する必要もあります。この操作によって、ユーザが次回にログインを試みたときに ACS 内部データベースにユーザ名が自動的に追加されることが防止されます。



ヒント ユーザ アカウントのバッチを削除する場合は、アクション コード 101 の Relational Database
Management System(RDBMS; リレーショナル データベース管理システム)同期化機能を使用します(詳細については、「RDBMS 同期化」を参照してください)。


ユーザ アカウントを削除するには、次の手順を実行します。


ステップ 1 User Setup をクリックします。

Web インターフェイスの User Setup Select ページが表示されます。

ステップ 2 User ボックスで、削除するユーザ名を完全な形式で入力します。


) または、List All Users をクリックし、表示されたリストからユーザを選択することもできます。


ステップ 3 Add/Edit をクリックします。

ステップ 4 User Setup ページの一番下にある Delete をクリックします。


) Delete ボタンは、ユーザ情報の編集時にだけ表示されます。ユーザ名を追加するときには表示されません。


ユーザの削除を確認するポップアップ ウィンドウが表示されます。

ステップ 5 OK をクリックします。

ユーザ アカウントが ACS 内部データベースから削除されます。


 

ユーザ セッション割当量カウンタのリセット

ユーザがセッションの割当量を超過する前または後に、そのユーザのセッション割当量カウンタをリセットできます。

現在のユーザの使用割当量カウンタをリセットするには、次の手順を実行します。


ステップ 1 User Setup をクリックします。

Web インターフェイスの Select ページが表示されます。

ステップ 2 User ボックスに、セッション割当量カウンタをリセットするユーザのユーザ名を完全な形式で入力します。


) または、List All Users をクリックし、表示されたリストからユーザを選択することもできます。


ステップ 3 Add/Edit をクリックします。

ステップ 4 Session Quotas セクションで、 Reset All Counters on submit チェックボックスをオンにします。

ステップ 5 ブラウザ ページの下部にある Submit をクリックします。

このユーザのセッション割当量カウンタがリセットされます。User Setup Select ページが表示されます。


 

ログイン失敗後のユーザ アカウントのリセット

ユーザのログインが成功しないうちにログイン失敗カウントを超過したために、アカウントが無効になった場合は、この手順を使用してください。

ログイン失敗後にユーザ アカウントをリセットするには、次の手順を実行します。


ステップ 1 User Setup をクリックします。

Web インターフェイスの User Setup Select ページが表示されます。

ステップ 2 User ボックスに、アカウントをリセットするユーザ名を完全な形式で入力します。


) または、List All Users をクリックし、表示されたリストからユーザを選択することもできます。


ステップ 3 Add/Edit をクリックします。

ステップ 4 Account Disable テーブルで、 Reset current failed attempts count on submit チェックボックスをオンにし、次に Submit をクリックします。

Failed attempts since last successful login :カウンタが 0(ゼロ)にリセットされ、システムによってアカウントが再度有効にされます。


) このカウンタには、このユーザが最後にログインに成功して以降、失敗したログイン試行回数が表示されます。



) Windows のユーザ データベースを使用してユーザが認証される場合、この期限満了情報は、Windows のユーザ アカウント内の情報とは別に追加されます。ここで変更を行っても、Windows での設定内容は変更されません。



 

ダイナミック ユーザの削除

外部ソースからダイナミック ユーザの ID および他の関連プロパティを管理できます。外部ソースに対する認証が成功すると、ACS 内部データベースにダイナミック ユーザが作成されます。

ダイナミックにマッピングされるユーザは、グループ マッピング設定が Disable caching of dynamically mapped users に設定されているグループに変更された場合でも、ダイナミックにマッピングされます。

キャッシュされたユーザ グループのダイナミック ユーザは削除できます。


) ダイナミック ユーザがデータベースから削除される間、すべての CSAuth アクティビティは一時停止します。


ダイナミック ユーザを削除するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの User Setup をクリックします。

User Setup Select ページが表示されます。

ステップ 2 Remove Dynamic Users をクリックします。

削除されたダイナミック ユーザの数を示すメッセージ、またはエラーが発生したかどうかを示すメッセージが右ペインに表示されます。


) ACS の複製、アップグレード、またはオーバーインストールを実行する場合は、ダイナミックにマッピングされたユーザは保存されません。ACS をバックアップまたは復元する場合は、ダイナミックにマッピングされたユーザは保存されます


ユーザ設定の保存

ユーザの設定が完了したら、設定を保存する必要があります。

現在のユーザの設定を保存するには、次の手順を実行します。


ステップ 1 ユーザ アカウント設定を保存するには、 Submit をクリックします。

ステップ 2 変更が適用されたことを確認するには、 User ボックスにユーザ名を入力し、 Add/Edit をクリックして、表示された設定で確認を行います。