Cisco Secure ACS Solution Engine ユーザ ガイド Version 4.0
RDBMS 同期化機能インポートの定義
RDBMS 同期化機能インポートの定義
発行日;2012/01/10 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

RDBMS 同期化機能インポートの定義

accountActions の仕様

accountActions のフォーマット

accountActions の必須フィールド

accountActions の処理順序

ODBC データ ソースをサポートするバージョン

アクション コード

値の設定および削除に使用するアクション コード

ユーザ アカウントの作成および変更に使用するアクション コード

アクセス フィルタの初期化および変更に使用するアクション コード

TACACS+ と RADIUS のグループおよびユーザ設定の変更に使用するアクション コード

ネットワーク設定の変更に使用するアクション コード

ACS アトリビュートとアクション コード

ユーザ固有アトリビュート

ユーザ定義アトリビュート

グループ固有アトリビュート

accountActions の例

RDBMS 同期化機能インポートの定義

RDBMS 同期化機能インポートの定義は、accountActions テーブルで使用可能なアクション コードのリストです。Cisco Secure Access Control Server Release 4.0 Solution Engine(以降は ACS と表記)の RDBMS 同期化機能では、ACS 内部データベースの自動または手動による更新情報の入力に、accountActions という名前のテーブルを使用します。RDBMS 同期化機能と accountActions の詳細については、「RDBMS 同期化」を参照してください。

この章は、次の項で構成されています。

「accountActions の仕様」

「ODBC データ ソースをサポートするバージョン」

「アクション コード」

「ACS アトリビュートとアクション コード」

「accountActions の例」

accountActions の仕様

テキスト エディタを使用して accountActions を手動で作成する場合も、accountActions に書き込みを行うサードパーティ製システムを使用して自動的に作成する場合も、accountActions の仕様に準拠し、「アクション コード」に説明のあるアクション コードだけを使用する必要があります。そうでない場合は、RDBMS 同期によって ACS 内部データベースに誤った情報がインポートされるか、この機能が動作しない可能性があります。

accountActions のフォーマット

accountActions の各行には 14 のフィールド(つまりカラム)があります。 表E-1 に、accountActions を構成するフィールドを示します。 表E-1 では、accountActions にフィールドが表示される順序も反映されています。

ニーモニック カラムにある 1 文字または 2 文字の省略形は、「アクション コード」の各アクション コードに必須のフィールドを示すために使用する省略表記です。

accountActions の例は、「accountActions の例」を参照してください。

 

表E-1 accountActions フィールド

フィールド名
ニーモニック
タイプ
サイズ(最大長)
コメント

SequenceId

SI

AutoNumber

32

一意のアクション ID。

Priority

P

Integer

1

このアップデートを処理するときの優先順位。ゼロ(0)が最も低い優先順位です。

UserName

UN

String

32

トランザクションが適用されるユーザの名前。

GroupName

GN

String

32

トランザクションが適用されるグループの名前。

Action

A

Number

0-2 16

必要なアクション(「アクション コード」 を参照)。

ValueName

VN

String

255

変更するパラメータの名前。

Value1

V1

String

255

新規の値(数値パラメータの場合、これは 10 進数文字列になります)。

Value2

V2

String

255

TACACS+ プロトコルの名前。たとえば、「ip」または RADIUS VSA ベンダー ID。

Value3

V3

String

255

TACACS+ サービスの名前。たとえば、「ppp」または RADIUS VSA のアトリビュート番号。

DateTime

DT

DateTime

--

アクションを作成した日付と時刻。

MessageNo

MN

Integer

--

監査を目的とした関連トランザクションの番号指定に使用します。

ComputerNames

CN

String

32

CSDBSync により予約済み。

AppId

AI

String

255

変更する設定パラメータのタイプ。

Status

S

Number

32

TRI-STATE:0=処理されない、1=処理済み、2=失敗。この値は、通常は 0 に設定します。

accountActions の必須フィールド

すべてのアクションに対して次のフィールドをブランクにすることはできません。有効な値を入力する必要があります。

Action

SequenceID

Status

上記の必須フィールドに加えて、DateTime フィールド、UserName フィールド、および GroupName フィールドにも、次のように有効な値が必要になる場合が多くあります。

トランザクションがユーザ アカウントで動作している場合は、UserName フィールドに有効な値が必要です。

トランザクションがグループで動作している場合は、GroupName フィールドに有効な値が必要です。

トランザクションが AAA クライアント設定で動作している場合は、UserName フィールドおよび GroupName フィールドに値は必要ありません。


) UserName フィールドと GroupName フィールドは、相互に排他的です。つまり、これら 2 つのフィールドのうち一方だけが値を持つことができ、どちらのフィールドも常に必須ではありません。


accountActions の処理順序

ACS は accountActions から行を読み取り、特定の順序で処理します。ACS では、最初に Priority フィールド(ニーモニック名 P)、次に Sequence ID フィールド(ニーモニック名 SI)の各値を使用して順序を決定します。ACS では、最も優先順位の高い Priority フィールドを持つ行を処理します。Priority フィールドの番号が小さいほど、優先順位が高くなります。たとえば、行 A がその Priority フィールドに値 1 を持ち、行 B がその Priority フィールドに値 2 を持つ場合、ACS は最初に行 A を処理します。この場合、行 B の Sequence ID が行 A よりも低いかどうかは関係ありません。同じ優先順位に設定された行があるときは、ACS はその Sequence ID を使用して、最も低い Sequence ID の行を最初に処理します。

このようにして、Priority フィールド(P)によって、ユーザの削除やパスワードの変更など、重要度が高いトランザクションから実行します。RDBMS 同期化機能の最も一般的な実装の場合、サードパーティ製のシステムでは、すべてのアクション(行)の優先順位をゼロ(0)に設定して、バッチ モードで accountActions に書き込みます。


) トランザクションの優先順位を変更するときは、正しい順序で優先順位が処理されるように注意してください。たとえば、ユーザ アカウントを作成してから、そのユーザのパスワードを割り当てる必要があります。


MessageNo フィールド(ニーモニック名 MN)を使用すると、関連するトランザクションを関連付けることができます。たとえば、ユーザを追加し、その後でパスワード値とステータスを設定するアクションを実行する場合などです。MessageNo フィールドを使用すると、accountActions に書き込みを行うサードパーティ製システムの監査証跡を作成できます。

ODBC データ ソースをサポートするバージョン

ODBC を通じて RDBMS 同期化をサポートするバージョンは、次のとおりです。

MS-SQL バージョン 3.80 以降

ODBC バージョン 3.80 以降

アクション コード

ここでは、accountActions の Action フィールド(ニーモニック名 A)での使用が有効なアクション コードについて説明します。必須というカラムでは、想定される必須フィールドを除いて、入力の必要なフィールドをフィールド ニーモニック名を使用して示します。accountActions フィールドのニーモニック名の詳細については、 表E-1 を参照してください。必須フィールドの詳細については、「accountActions の必須フィールド」を参照してください。

ユーザまたはグループにアクションを適用できる場合は、 UN|GN と表記し、パイプ(|)を使用して 2 つのフィールドのうちいずれかが必須であることを示しています。ユーザだけを対象としてアクションを適用するには、グループ名をブランクにします。グループだけを適用対象とする場合はユーザ名をブランクにします。

この項では、次のトピックについて取り上げます。

「値の設定および削除に使用するアクション コード」

「ユーザ アカウントの作成および変更に使用するアクション コード」

「アクセス フィルタの初期化および変更に使用するアクション コード」

「TACACS+ と RADIUS のグループおよびユーザ設定の変更に使用するアクション コード」

「ネットワーク設定の変更に使用するアクション コード」

値の設定および削除に使用するアクション コード

最も基本的な 2 つのアクション コードは、SET_VALUE(アクション コード 1)と DELETE_VALUE(アクション コード 2)です。詳細は、 表E-2 を参照してください。

表E-2 で説明されているように、SET_VALUE(アクション コード 1)と DELETE_VALUE(アクション コード 2)のアクションを使用して、ACS 内のさまざまな内部アトリビュートに値を割り当てるよう RDBMS 同期化機能に指示します。これらのアクション コードは、シスコ担当者が他の目的での使用を依頼しない限り、ユーザ定義フィールドに値を割り当てる場合にだけ使用できます(「ユーザ固有アトリビュート」を参照してください)。

 

表E-2 値の設定および削除に使用するアクション コード

アクション コード
名前
必須
説明

1

SET_VALUE

UN|GN、AI、VN、V1、V2

アプリケーション ID(AI)には、値の型(V2)の名前(VN)が付いた値(V1)を設定します。

アプリケーション ID(AI)は、次のいずれかです。

APP_CSAUTH

APP_CSTACACS

APP_CSRADIUS

APP_CSADMIN

値の型(V2)は、次のいずれかです。

TYPE_BYTE :単一の 8 ビットの数値

TYPE_SHORT :単一の 16 ビットの数値

TYPE_INT :単一の 32 ビットの数値

TYPE_STRING :単一の文字列

TYPE_ENCRYPTED_STRING :暗号化されて保存される単一の文字列

TYPE_MULTI_STRING :タブで区切られたサブ文字列のセット

TYPE_MULTI_INT :タブで区切られた 32 ビット数値のセット

次の例を参考にしてください。

UN = "fred"
AI = "APP_CSAUTH"
VN = "My Value"
V2 = "TYPE_MULTI_STRING"
V1 = "str1 tab str2 tab str3"

2

DELETE_VALUE

UN|GN、AI、VN

アプリケーション ID(AI)とユーザ(UN)またはグループ(GN)の値(VN)を削除します。

ユーザ アカウントの作成および変更に使用するアクション コード

表E-3 に、ユーザ アカウントの作成、変更、および削除を行うアクション コードを示します。


) パスワードの割り当てなど、ユーザ アカウントの変更を行う場合は、まず Web インターフェイスまたは ADD_USER アクション(アクション コード 100)を使用してユーザ アカウントを作成しておく必要があります。


これらのコードを使用したトランザクションは、Web インターフェイスの User Setup セクションで表示される設定に影響を与えます。User Setup セクションの詳細については、 第 7 章「ユーザ管理」 を参照してください。

 

表E-3 ユーザの作成および変更に使用するアクション コード

アクション コード
名前
必須
説明

100

ADD_USER

UN|GN、V1

ユーザを作成します(最大 32 文字)。V1 は初期パスワードとして使用されます。オプションで、ユーザをグループに割り当てることもできます。

101

DELETE_USER

UN

ユーザを削除します。

102

SET_PAP_PASS

UN、V1

ユーザの PAP パスワードを設定します(最大 64 ASCII 文字)。CHAP/ARAP もデフォルトでこの値になります。

103

SET_CHAP_PASS

UN、V1

ユーザの CHAP/ARAP パスワードを設定します(最大 64 文字)。

104

SET_OUTBOUND_CHAP_PASS

UN、V1

ユーザの CHAP/ARAP パスワードを設定します(最大 32 文字)。

105

SET_T+_ENABLE_PASS

UN、VN、V1、V2、V3

TACACS+ のイネーブル パスワード(V1)(最大 32 文字)と最大特権レベル(V2)(0-15)を設定します。

イネーブル タイプ(V3)には、次のいずれか 1 つを指定する必要があります。

ENABLE_LEVEL_AS_GROUP :このグループ設定から受け継がれる最大特権レベル

ENABLE_LEVEL_NONE :T+ イネーブルの設定なし

ENABLE_LEVEL_STATIC :イネーブル レベル チェック中に使用される V2 の値設定

VN を使用して、アクション 108 の SET_PASS_TYPE のように外部認証者にイネーブル パスワードをリンクできます。

106

SET_GROUP

UN、GN

ユーザの ACS グループ割り当てを設定します。

108

SET_PASS_TYPE

UN|GN、V1

ユーザのパスワード型を設定します。これは、ACS 内部データベースのパスワード型のいずれか、またはサポートされている外部データベースのパスワード型のいずれかになります。

PASS_TYPE_CSDB :CSDB 内部パスワード

PASS_ TYPE_CSDB_UNIX :CSDB 内部パスワード(暗号化 UNIX)

PASS_TYPE_NT :外部の Windows ユーザ データベースのパスワード

PASS_TYPE_NDS :外部の Novell データベースのパスワード

PASS_TYPE_LDAP :外部の汎用 LDAP データベースのパスワード

PASS_TYPE_LEAP :外部の LEAP プロキシ RADIUS サーバ データベースのパスワード

PASS_TYPE_RADIUS_TOKEN :外部の RADIUS トークン サーバ データベースのパスワード

109

REMOVE_PASS_STATUS

UN、V1

パスワードのステータス フラグを削除します。この処理により、論理 XOR 条件でリンクされているステータス状態になります。V1 には、次のいずれか 1 つが含まれている必要があります。

PASS_STATUS_EXPIRES :パスワードは指定された日付に有効期限が切れます。

PASS_STATUS_NEVER :パスワードは期限満了になりません。

PASS_STATUS_WRONG :不正なパスワードを使用して特定の回数だけログインが実行されると、パスワードの有効期限が切れます。

PASS_STATUS_DISABLED :アカウントが無効になっています。

110

ADD_PASS_STATUS

UN、V1

ACS によってパスワードを期限満了にする方法を定義します。1 つのユーザに対して複数のパスワード ステートを設定するには、このアクションの複数インスタンスを使用します。この処理により、論理 XOR 条件でリンクされているステータス状態になります。V1 には、次のいずれか 1 つが含まれている必要があります。

PASS_STATUS_EXPIRES :パスワードは指定された日付に有効期限が切れます。

PASS_STATUS_NEVER :パスワードは期限満了になりません。

PASS_STATUS_WRONG :不正なパスワードを使用して特定の回数だけログインが実行されると、パスワードの有効期限が切れます。

PASS_STATUS_RIGHT :正しいパスワードを使用して特定の回数だけログインが実行されると、パスワードの有効期限が切れます。

PASS_STATUS_DISABLED :アカウントが無効になっています。

112

SET_PASS_EXPIRY_WRONG

UN、V1

許容される認証の最大失敗回数を設定し(この回数を超えていなくても、適切なパスワード時には自動的にリセット)、現在のカウントをリセットします。

113

SET_PASS_EXPIRY_DATE

UN、V1

アカウントの有効期限が満了となる日付を設定します。日付の形式は、YYYYMMDD で指定します。

114

SET_MAX_SESSIONS

UN|GN
V1

ユーザまたはグループの最大同時セッション数を設定します。V1 には、次のいずれか 1 つの値が含まれている必要があります。

MAX_SESSIONS_UNLIMITED

MAX_SESSIONS_AS_GROUP

1-65534

115

SET_MAX_SESSIONS_GROUP_USER

GN、V1

グループの 1 つのユーザの最大セッション数を次のいずれか 1 つの値に設定します。

MAX_SESSIONS_UNLIMITED

1-65534

260

SET_QUOTA

VN、V1、V2

ユーザまたはグループの割当量を設定します。

VN は割当量のタイプを定義します。有効な値は次のとおりです。

online time :V2 で定義された期間にネットワークへログインした秒数による割当量でユーザまたはグループを制限します。

sessions :V2 で定義された期間のネットワークでのセッション数による割当量でユーザまたはグループを制限します。

V1 は割当量を定義します。VN が sessions に設定された場合、V1 は V2 で定義された期間での最大セッション数となります。VN が online time に設定された場合、V1 は最大秒数となります。

V2 は割当量の期間を保持します。有効な値は次のとおりです。

QUOTA_PERIOD_DAILY :午前 12:01 から夜中の 12:00 までの 24 時間周期で割当量が適用されます。

QUOTA_PERIOD_WEEKLY :日曜日の午前 12:01 から土曜日の夜中の 12:00 までの 7 日周期で割当量が適用されます。

QUOTA_PERIOD_MONTHLY :月の朔日(1 日)の午前 12:01 から月の末日の夜中の 12:00 までの月次周期で割当量が適用されます。

QUOTA_PERIOD_ABSOLUTE :終了の設定がなく、継続して割当量が適用されます。

261

DISABLE_QUOTA

UN|GN
VN

グループまたはユーザの割当量をディセーブルにします。

VN は割当量のタイプを定義します。有効な値は次のとおりです。

online time :V2 で定義された期間にネットワークへログインした秒数による割当量でユーザまたはグループを制限します。

sessions :V2 で定義された期間のネットワークでのセッション数による割当量でユーザまたはグループを制限します。

262

RESET_COUNTERS

UN|GN

ユーザまたはグループの使用状況割当量カウンタをリセットします。

263

SET_QUOTA_APPLY_TYPE

V1

ユーザ グループの割当量か、またはユーザに固有の割当量のどちらでユーザの使用状況割当量を判別するかを定義します。V1 でこの仕様を設定します。V1 の有効な値は次のとおりです。

ASSIGNMENT_FROM_USER

ASSIGNMENT_FROM_GROUP

270

SET_DCS_TYPE

UN|GN
VN、V1、オプションとしてV2

271

SET_DCS_NDG_MAP

UN|GN
VN、V1、V2

このアクション コードは、アクション コード 270 で指定した設定タイプが ndg である場合に、デバイス コマンド セットと NDG の間をマッピングするために使用します。

VN はサービスを定義します。有効なサービス タイプは次のとおりです。

shell :Cisco IOS シェル コマンド認可。

pixshell :Cisco PIX コマンド認可。


) 使用している ACS に別の DCS タイプが追加されている場合は、TACACS+(Cisco IOS)の Interface Configuration ページで有効な値を確認できます。有効な値は、PIX Shell (pixshell) のように、サービス名に後続するカッコ内に表示されます。


V1 は NDG の名前を定義します。Web インターフェイスに表示されている NDG の名前を使用してください。たとえば、 East Coast NASs という名前の NDG が設定されており、アクション 271 を使用して DCS をその NDG に割り当てる場合は、V1 を East Coast NASs にする必要があります。

V2 は DCS の名前を定義します。Web インターフェイスに表示されている DCS の名前を使用してください。たとえば、 Tier2 PIX Admin DCS という名前の DCS が設定されており、アクション 271 を使用してその DCS を NDG に割り当てる場合は、V2 を Tier2 PIX Admin DCS にする必要があります。

アクセス フィルタの初期化および変更に使用するアクション コード

表E-4 に、AAA クライアント アクセス フィルタの初期化および変更を行うアクション コードを示します。AAA クライアント アクセス フィルタを使用して、AAA クライアントへの Telnet アクセスを制御します。ダイヤル アクセス フィルタを使用して、ダイヤルアップ ユーザによるアクセスを制御します。

これらのコードを使用したトランザクションは、Web インターフェイスの User Setup セクションと Group Setup セクションで表示される設定に影響を与えます。User Setup セクションの詳細については、 第 7 章「ユーザ管理」 を参照してください。Group Setup セクションの詳細については、 第 6 章「ユーザ グループ管理」 を参照してください。

 

表E-4 アクセス フィルタの初期化および変更に使用するアクション コード

アクション コード
名前
必須
説明

120

INIT_NAS_ACCESS_CONTROL

UN|GN、V1

AAA クライアントのアクセス フィルタ リストをクリアし、今後作成されるフィルタの許可または拒否を初期化設定します。V1 は、次のどちらか 1 つの値であることが必要です。

ACCESS_PERMIT

ACCESS DENY

121

INIT_DIAL_ACCESS_CONTROL

UN|GN、V1

ダイヤルアップ アクセス フィルタ リストをクリアし、今後作成されるフィルタの許可/拒否を初期化設定します。V1 は、次のどちらか 1 つの値であることが必要です。

ACCESS_PERMIT

ACCESS DENY

122

ADD_NAS_ACCESS_FILTER

UN|GN、V1

ユーザまたはグループの AAA クライアント フィルタを追加します。

V1 には、単一の(AAA クライアント名、AAA クライアント ポート、リモート アドレス、CLID)タプルが含まれている必要があります。たとえば、次のとおりです。

NAS01,tty0,0898-69696969

オプションとして AAA クライアント名を All AAA clients にすると、設定されたすべての AAA クライアントにフィルタが適用され、アスタリスク(*)にすると、すべてのポートにフィルタが適用されます。

123

ADD_DIAL_ACCESS_FILTER

UN|GN、V1、V2

ユーザ|グループのダイヤルアップ フィルタを追加します。

V1 には、次のいずれか 1 つの値が含まれている必要があります。

発信ステーション ID。

着信ステーション ID。

発信および着信のステーション ID。たとえば、次のとおりです。

01732-875374,0898-69696969

AAA クライアントの IP アドレス、AAA クライアントのポート。たとえば、次のとおりです。

10.45.6.123,tty0

V2 には、次のいずれか 1 つの値のフィルタ型が含まれている必要があります。

CLID :ユーザは発信ステーション ID によってフィルタリングされます。

DNIS :ユーザは着信ステーション ID によってフィルタリングされます。

CLID/DNIS :ユーザは発信および着信のステーション ID によってフィルタリングされます。

AAA client/PORT :ユーザは AAA クライアントの IP アドレスおよび AAA クライアントのポート アドレスによってフィルタリングされます。

130

SET_TOKEN_CACHE_SESSION

GN、V1

セッション全体のトークン キャッシングをイネーブルまたはディセーブルにします。V1 は 0 = ディセーブル、1 = イネーブルです。

131

SET_TOKEN_CACHE_TIME

GN、V1

トークンがキャッシュされる期間を設定します。V1 は、トークンがキャッシュされる秒単位の期間です。

140

SET_TODDOW_ACCESS

UN|GN、V1

アクセスが許可される期間を設定します。V1 には、168 文字の文字列が含まれます。各文字が、その週における 1 時間を表します。 1 は許可されている 1 時間を表し、 0 は拒否されている 1 時間を表します。このパラメータをユーザに対して指定しない場合は、グループでの設定が適用されます。デフォルトのグループ設定は、 111111111111 になります。

150

SET_STATIC_IP

UN、V1、V2

このユーザに対する(TACACS+ および RADIUS の)IP アドレス割り当てを設定します。

V1 には、次の形式の IP アドレスを保持します。

xxx.xxx.xxx.xxx

V2 は、次のいずれかの値であることが必要です。

ALLOC_METHOD_STATIC :V1 の IP アドレスは、xxx.xxx.xxx.xxx の形式でユーザに割り当てられます。

ALLOC_METHOD_NAS_POOL :V1 で指定された IP プール(AAA クライアント上で設定)がユーザに割り当てられます。

ALLOC_METHOD_AAA_POOL :V1 で指定された IP プール(AAA サーバ上で設定)がユーザに割り当てられます。

ALLOC_METHOD_CLIENT :ダイヤルイン クライアントは、その専用 IP アドレスを割り当てます。

ALLOC_METHOD_AS_GROUP :グループに対して設定された IP アドレスの設定が使用されます。

151

SET_CALLBACK_NO

UN|GN、V1

このユーザまたはグループのコールバック数を設定します(TACACS+ および RADIUS)。V1 は、次のいずれか 1 つである必要があります。

Callback number :AAA クライアントがコールバックする電話番号です。

none :コールバックはできません。

roaming :ダイヤルアップ クライアントがコールバック番号を決定します。

as group :グループで定義されたコールバックの文字列または方式を使用します。

TACACS+ と RADIUS のグループおよびユーザ設定の変更に使用するアクション コード

表E-5 に、ACS のグループとユーザについて、TACACS+ および RADIUS 設定の作成、変更、および削除を行うアクション コードを示します。衝突するユーザおよびグループの設定が ACS にある場合は、常にユーザ設定がグループ設定に優先します。

これらのコードを使用したトランザクションは、Web インターフェイスの User Setup セクションと Group Setup セクションで表示される設定に影響を与えます。User Setup セクションの詳細については、 第 7 章「ユーザ管理」 を参照してください。Group Setup セクションの詳細については、 第 6 章「ユーザ グループ管理」 を参照してください。

 

表E-5 TACACS+ と RADIUS のグループおよびユーザ設定の変更に使用するアクション コード

アクション コード
名前
必須
説明

161

DEL_RADIUS_ATTR

UN|GN、VN、オプションとして
V2、V3

グループまたはユーザの名前付き RADIUS アトリビュートを削除します。ここで、次を指定します。

VN = “Vendor-Specific”

V2 = IETF ベンダー ID

V3 = VSA アトリビュート ID

たとえば、Cisco IOS/PIX ベンダー ID と Cisco AV ペアを指定する場合は、次のようになります。

VN = "Vendor-Specific"
V2 = "9"
V3 = "1"

163

ADD_RADIUS_ ATTR

UN|GN、VN、V1、オプションとして
V2、V3

名前付きアトリビュート(VN)にユーザまたはグループ(UN|GN)の値(V1)を追加します。たとえば、グループに対して IETF RADIUS Reply-Message アトリビュート(アトリビュート 18)を設定する場合は、次のようになります。

GN = "Group 1"
VN = "Reply-Message"
V1 = "Greetings"

また、ユーザに対して IETF RADIUS Framed-IP-Address アトリビュート(アトリビュート 9)を設定する場合は、次のようになります。

UN = "fred"
VN = "Framed-IP-Address"
V1 = "10.1.1.1"

Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)を追加するには、VN =「Vendor-Specific」を設定し、V2 および V3 を次のように使用します。

V2 = IETF ベンダー ID

V3 = VSA アトリビュート ID

たとえば、Cisco IOS/PIX RADIUS cisco-av-pair アトリビュートを値「addr-pool=pool1」で追加する場合は、次のようになります。

VN="Vendor-Specific"
V1 = "addr-pool=pool1"
V2 = "9"
V3 = "1"

RADIUS のアトリビュート値は、次のいずれかです。

INTEGER

TIME

IP ADDRESS

STRING

170

ADD_TACACS_SERVICE

UN|GN、VN、V1、V3、オプションとして V2

サービスをサービスのユーザまたはユーザ グループに対して許可します。次の例を参考にしてください。

GN = "Group 1"
V1 = "ppp"
V2 = "ip"

または

UN = "fred"
V1 = "ppp"
V2 = "ip"

または

UN = "fred"
V1 = "exec"

171

REMOVE_TACACS_SERVICE

UN|GN、V1

オプションとして V2

サービスをサービスのユーザまたはユーザ グループに対して拒否します。次の例を参考にしてください。

GN = "Group 1"
V1 = "ppp"
V2 = "ip"

または

UN = "fred"
V1 = "ppp"
V2 = "ip"

または

UN = "fred"
V1 = "exec"

これは、サービスについて有効なアトリビュートのリセットも行います。

172

ADD_TACACS_ATTR

UN|GN、VN、V1、V3

オプションとして V2

サービス特有のアトリビュートを設定します。Web インターフェイスまたはアクション 170 のいずれかによって、サービスがすでに許可されている必要があります。

GN = "Group 1"
VN = "routing"
V1 = "ppp"
V2 = "ip"
V3 = "true"

または

UN = "fred"
VN = "route"
V1 = "ppp"
V2 = "ip"
V3 = 10.2.2.2

173

REMOVE_TACACS_ATTR

UN|GN、VN、V1

オプションとして V2

サービス特有のアトリビュートを削除します。

GN = "Group 1"
V1 = "ppp"
V2 = "ip"
VN = "routing"

または

UN = "fred"
V1 = "ppp"
V2 = "ip"
VN = "route"

174

ADD_IOS_COMMAND

UN|GN、VN、V1

特定の Cisco IOS コマンドを認可し、コマンドに指定された引数が定義済みセットで検出されるか、または検出されないかを判別します。定義済みセットは、アクション 176 および 177 を使用して作成します。

GN = "Group 1"
VN = "telnet"
V1 = "permit"

または

UN = "fred"
VN = "configure"
V1 = "deny"

最初の例では、Group 1 のユーザに Telnet コマンドが認可されます。アクション 176 によって定義された引数と一致しない限り、任意の引数を Telnet コマンドに使用できます。

2 番目の例では、ユーザ fred に対して configure コマンドを認可していますが、指定された引数が一連のアクション 176 で定義されたフィルタによって許可されている場合に限ります。

175

REMOVE_IOS_COMMAND

UN|GN、VN

ユーザまたはグループのコマンド認可を削除します。

GN = "Group 1"
VN = "telnet"

または

UN = "fred"
VN = "configure"

Group 1 のユーザは、Cisco IOS telnet コマンドを使用できなくなります。

ユーザ fred は、 configure コマンドを使用できなくなります。

176

ADD_IOS_COMMAND_ARG

UN|GN、VN、V1、V2

VN に含まれている Cisco IOS コマンドについて許可または拒否されるコマンドラインの引数セットを指定します。アクション 174 を使用してコマンドをすでに追加している必要があります。

GN = "Group 1"
VN = "telnet"
V1 = "permit"
V2 = "10.1.1.2"

または

UN = "fred"
VN = "show"
V1 = "deny"
V2 = "run"

最初の例では、Group 1 のどのユーザも引数 10.1.1.2 の telnet コマンドを使用できます。

2 番目の例では、ユーザ fred は Cisco IOS コマンド show run を発行できません。

177

REMOVE_IOS_COMMAND_ARG

UN|GN、VN、V2

特定の Cisco IOS コマンド引数の許可エントリまたは拒否エントリを削除します。

GN = "Group 1"
VN = "telnet"
V2 = "10.1.1.1"

または

UN = "fred"
VN = "show"
V2 = "run"

178

SET_PERMIT_DENY_ UNMATCHED_IOS_COMMANDS

UN|GN、V1

一致しない Cisco IOS コマンドの動作を設定します。デフォルトでは、アクション 174 および 175 を組み合せて定義されていない Cisco IOS コマンドはすべて拒否されます。発行された Cisco IOS コマンドで、コマンド/コマンド引数ペアのどれにも一致しないものが認可されるように、この特性を変更できます。

GN = "Group 1"
V1 = "permit"

または

UN = "fred"
V1 = "deny"

最初の例では、アクション 174 で定義されていないコマンドがすべて許可されます。

179

REMOVE_ALL_IOS_COMMANDS

UN|GN

このアクションは、特定のユーザまたはグループに対して定義された Cisco IOS コマンドすべてを削除します。

210

RENAME_GROUP

GN、V1

既存のグループの名前を V 1 で指定された名前に変更します。

211

RESET_GROUP

GN

工場出荷時のデフォルト設定にグループをリセットします。

212

SET_VOIP

GN、V1

次のように、名前付きグループについて Voice over IP(VoIP)のサポートをイネーブルまたはディセーブルにします。

GN = グループ名

V1 = ENABLE または DISABLE

ネットワーク設定の変更に使用するアクション コード

表E-6 に、AAA クライアント、AAA サーバ、ネットワーク デバイス グループ、およびプロキシ テーブル エントリの追加を行うアクション コードを示します。これらのコードを使用したトランザクションは、Web インターフェイスの Network Configuration セクションで表示される設定に影響を与えます。Network Configuration セクションの詳細については、 第 4 章「ネットワーク設定」 を参照してください。

 

表E-6 ネットワーク設定の変更に使用するアクション コード

アクション コード
名前
必須
説明

220

ADD_NAS

VN、V1、V2、V3

IP アドレス(V1)、共有秘密鍵(V2)、ベンダー(V3)を使用して、新しい AAA クライアント(VN で名前を指定)を追加します。有効なベンダーは次のとおりです。

VENDOR_ID_IETF_RADIUS :IETF RADIUS の場合

VENDOR_ID_CISCO_RADIUS :Cisco IOS/PIX RADIUS の場合

VENDOR_ID_CISCO_TACACS :Cisco TACACS+ の場合

VENDOR_ID_AIRESPACE_RADIUS :Cisco Airespace RADIUS の場合

VENDOR_ID_ASCEND_RADIUS :Ascend RADIUS の場合

VENDOR_ID_ALTIGA_RADIUS :Cisco 3000/ASA/PIX 7.x+ RADIUS の場合

VENDOR_ID_AIRONET_RADIUS :Cisco Aironet RADIUS の場合

VENDOR_ID_NORTEL_RADIUS :Nortel RADIUS の場合

VENDOR_ID_JUNIPER_RADIUS :Juniper RADIUS の場合

VENDOR_ID_CBBMS_RADIUS :Cisco BBMS RADIUS の場合

次の例を参考にしてください。

VN = AS5200-11
V1 = 192.168.1.11
V2 = byZantine32
V3 = VENDOR_ID_CISCO_RADIUS

221

SET_NAS_FLAG

VN、V1

名前付き AAA クライアント(VN)に対して、AAA クライアント単位のフラグ(V1)の 1 つを設定します。必要とされるフラグごとにこのアクションを 1 度使用します。AAA クライアント単位のフラグに有効な値は、次のとおりです。

FLAG_SINGLE_CONNECT

FLAG_LOG_KEEP_ALIVE

FLAG_LOG_TUNNELS

222

DEL_HOST

VN

名前付き AAA クライアント(VN)を削除します。

223

ADD_NAS_BY_IETF_CODE

VN、V1、V2、V3

IP アドレス(V1)、共有秘密鍵(V2)、ベンダーのエンタープライズ コード(V3)を使用して、新しい AAA クライアント(VN で名前を指定)を追加します。

230

ADD_AAA_SERVER

VN、V1、V2

IP アドレス(V1)、共有秘密鍵(V2)を使用して新しい名前付き AAA サーバ(VN)を追加します。

231

SET_AAA_TYPE

VN、V1

サーバ(VN)に対応する AAA サーバのタイプを V1 の値に設定します。値は次のいずれかにする必要があります。

TYPE_ACS

TYPE_TACACS

TYPE_RADIUS

デフォルトは、AAA_SERVER_TYPE_ACS です。

232

SET_AAA_FLAG

VN、V1

名前付き AAA サーバ(VN)に対して、AAA クライアント単位のフラグ(V1)の 1 つを設定します。

FLAG_LOG_KEEP_ALIVE

FLAG_LOG_TUNNELS

必要とされるフラグごとにこのアクションを 1 度使用します。

233

SET_AAA_TRAFFIC_TYPE

VN、V1

名前付き AAA サーバ(VN)に対して、適切なトラフィック タイプ(V1)を設定します。

TRAFFIC_TYPE_INBOUND

TRAFFIC_TYPE_OUTBOUND

TRAFFIC_TYPE_BOTH

デフォルトは TRAFFIC_TYPE_BOTH です。

234

DEL_AAA_SERVER

VN

名前付き AAA サーバ(VN)を削除します。

240

ADD_PROXY

VN、V1、V2、V3

マークアップ タイプ(V1)、ストリップ マークアップ フラグ(V2)およびアカウンティング フラグ(V3)を使用して、新しいプロキシ マークアップ(VN)を追加します。

マークアップ タイプ(V1)は、次のどちらか 1 つにする必要があります。

MARKUP_TYPE_PREFIX

MARKUP_TYPE_SUFFIX

転送前にマークアップをユーザ名から削除する必要がある場合は、マークアップ ストリップ フラグを TRUE にしてください。

アカウンティング フラグ(V3)は、次のいずれか 1 つにする必要があります。

ACCT_FLAG_LOCAL

ACCT_FLAG_REMOTE

ACCT_FLAG_BOTH

241

ADD_PROXY_TARGET

VN、V1

242

DEL_PROXY

VN

名前付きプロキシ マークアップ(VN)を削除します。

250

ADD_NDG

VN

名前付き(VN)ネットワーク デバイス グループ(NDG)を作成します。

251

DEL_NDG

VN

名前付き NDG を削除します。

252

ADD_HOST_TO_NDG

VN、V1

名前付き AAA クライアントまたは AAA サーバ(VN)に NDG(V1)を追加します。

270

SET_DCS_ASSIGNMENT

--

--

271

ADD_NDG_TO_DCS_MAPPING

--

--

300

RESTART_PROTO_MODULES

--

CSRadius サービスおよび CSTacacs サービスを再起動して、新しい設定を適用します。

350

ADD_UDV

VN、V1、V2

ACS ベンダー データベースに RADIUS ベンダーを追加します。この方法により ACS に追加されたベンダーは、User-Defined Vendor(UDV; ユーザ定義済みベンダー)と呼ばれます。

VN にはベンダーの名前が格納されます。


) ACS は、Variable Name フィールドに入力されている名前に RADIUS(...) を追加します。たとえば、MyCo という名前を入力すると、ACS は Web インターフェイスに RADIUS (MyCo) と表示します。


V1 には、ユーザ定義のベンダー スロット番号、つまり AUTO_ASSIGN_SLOT が含まれます。ACS には、0 ~ 9 までの番号を使用する 10 個のベンダー スロットがあります。AUTO_ASSIGN_SLOT を指定すると、ACS はベンダーが次に使用できるスロットを選択します。


) ACS 間で UDV を複製する場合には、両方の ACS 上の同じスロット番号に UDV を割り当てる必要があります。


V2 には、ベンダーに IANA が割り当てたエンタープライズ コードが含まれます。

351

DEL_UDV

V1

352

ADD_VSA

VN、V1、V2、V3

V1 でベンダー IETF コードによって指定されているベンダーに新しい VSA を追加します。

VN は VSA 名です。ベンダー名が MyCo でアトリビュートがグループ ID に割り当てられている場合には、ベンダー名または省略形をすべての VSA の先頭に付けることを推奨します。たとえば、VSA は MyCo-Assigned-Group-Id のようになります。


) VSA 名は、ベンダーに対しても ACS ディクショナリに対しても一意である必要があります。たとえば、MyCo-Framed-IP-Address は可能ですが、
Framed-IP-Address は許容されません。これは、
Framed-IP-Address が 8 RADIUS アトリビュートの IETF アクション コード 8 によって使用されるためです。


V2 は VSA 番号です。これは 0 ~ 255 の範囲内でなければなりません。

V3 は、次のいずれか 1 つの値をとる VSA タイプです。

INTEGER

STRING

IPADDR

デフォルトでは、VSA は送信(または認可)アトリビュートであることが想定されています。VSA が複数インスタンスであるか、またはアカウンティング メッセージで使用される場合には、SET_VSA_PROFILE(アクション コード 353)を使用します。

353

SET_VSA_PROFILE

V1、V2、V3

VSA の受信/発信プロファイルを設定します。プロファイルで指定される使用状況は、アカウントの場合は IN、認可の場合は OUT、または RADIUS メッセージごとに複数インスタンスが許可される場合は MULTI になります。これらを組み合せることもできます。

V1 にはベンダー IETF コードが含まれています。

V2 には VSA 番号が含まれています。

V3 には、次のいずれかのプロファイルが含まれています。

IN
OUT
IN OUT
MULTI OUT
MULTI IN OUT

354

ADD_VSA_ENUM

VN、V1、V2、V3

VSA アトリビュートが列挙されている場合は、意味のある列挙値を設定します。ACS Web インターフェイスの User Setup セクションに、列挙型文字列が一覧表示されます。

VN には VSA Enum Name が含まれています。

V1 にはベンダー IETF コードが含まれています。

V2 には VSA 番号が含まれています。

V3 には VSA Enum Value が含まれています。

例:

VN = Disabled
V1 = 9034
V2 = MyCo-Encryption
V3 = 0

または

VN = Enabled
V1 = 9034
V2 = MyCo-Encryption
V3 = 1

355

ADOPT_NEW_UDV_OR_VSA

--

CSAdmin、CSRadius、および CSLog の各サービスを再起動します。これらのサービスを再起動してからでないと、新しい UDV または VSA は使用できません。

ACS アトリビュートとアクション コード

この項では、逆引きの参照を示すことによって前の項を補足します。この項のトピックには、ACS アトリビュート、そのデータ型と制限、および ACS アトリビュートで動作する使用可能なアクション コードの表があります。

この項では、次のトピックについて取り上げます。

「ユーザ固有アトリビュート」

「ユーザ定義アトリビュート」

「グループ固有アトリビュート」

ユーザ固有アトリビュート

表E-7 に、ACS ユーザを定義するアトリビュートを示します。これには、データ型、制限、およびデフォルト値が含まれます。また、accountActions で使用することで、各アトリビュートに影響を与えるアクション コードも示します。使用できるアクションが多数ある場合でも、ユーザの追加に必要なトランザクションは ADD_USER だけです。他のユーザ アトリビュートについては、デフォルト値のまま使用できます。NULL は単にブランクの文字列ではなく、値が設定されない、つまり値が処理されないことを意味します。一部の機能は、値が割り当てられている場合に限り処理されます。アクション コードの詳細については、「アクション コード」を参照してください。

 

表E-7 ユーザ固有アトリビュート

アトリビュート
アクション
論理型
制限
デフォルト

Username

100, 101

String

1 ~ 64 文字

--

ASCII/PAP Password

100, 102

String

4 ~ 32 文字

ランダム文字列

CHAP Password

103

String

4 ~ 32 文字

ランダム文字列

Outbound CHAP Password

104

String

4 ~ 32 文字

NULL

TACACS+ Enable Password

105

文字列パスワード

4 ~ 32 文字

NULL

Integer privilege level

0 ~ 15 文字

NULL

Group

106

String

0 ~ 100 文字

Default Group

Password Supplier

107

Enum

表E-3 を参照してください。

LIBRARY_CSDB

Password Type

108

Enum

表E-3 を参照してください。

PASS_TYPE_CSCB(パスワードはクリアテキスト PAP)

Password Expiry Status

109, 110

ビット処理 Enum

表E-3 を参照してください。

PASS_STATUS_NEVER(有効期限が満了しない)

Expiry Data

112, 113

Short wrong max/current

0-32,767

--

Expiry date

--

--

Max Sessions

114

符号なしショート

0-65535

MAX_SESSIONS_AS_GROUP

TODDOW Restrictions

140

String

168 文字

111111111111

NAS Access Control

120, 122

ブール イネーブル

T/F

NULL

Bool permit/deny

T/F

ACL String( 表E-4 を参照)。

0 ~ 31KB

Dial-Up Access Control

121, 123

ブール イネーブル

T/F

NULL

Bool permit/deny

T/F

NULL

ACL String( 表E-4 を参照)。

0 ~ 31KB

NULL

Static IP Address

150

Enum スキーム

表E-4 を参照)。

クライアント

String IP/Pool name

0 ~ 31KB

NULL

Callback Number

151

String

0 ~ 31KB

NULL

TACACS Attributes

160, 162

フォーマット化文字列

0 ~ 31KB

NULL

RADIUS Attributes

170, 173

フォーマット化文字列

0 ~ 31KB

NULL

UDF 1

1, 2

文字列リアル名

0 ~ 31KB

NULL

UDF 2

1, 2

文字列記述

0 ~ 31KB

NULL

UDF 3

1, 2

String

0 ~ 31KB

NULL

UDF 4

1, 2

String

0 ~ 31KB

NULL

UDF 5

1, 2

String

0 ~ 31KB

NULL

ユーザ定義アトリビュート

ユーザ定義アトリビュート(UDA)は、社会保障番号、部門名、電話番号など、すべての任意のデータを含めることができる文字列です。ユーザ アクティビティに関するアカウンティング ログに UDA を含めるように ACS を設定できます。UDA 設定の詳細については、「ユーザ データの設定オプション」を参照してください。

RDBMS 同期化機能では、SET_VALUE アクション(コード 1)を使用して UDA を設定し、
USER_DEFINED_FIELD_0 または USER_DEFINED_FIELD_1 という値を作成できます。UDA の値を定義する accountActions 行については、AppId(AI)フィールドに APP_ CSAUTH を含め、Value2(V2)フィールドに TYPE_STRING を含める必要があります。

表E-8 に、UDA を定義するデータ フィールドを示します。アクション コードの詳細については、「アクション コード」を参照してください。

 

表E-8 ユーザ定義アトリビュート

Action
Username(UN)
ValueName(VN)
Value1(V1)
Value2(V2)
AppId(AI)

1

fred

USER_DEFINED_FIELD_0

SS123456789

TYPE_STRING

APP_CSAUTH

1

fred

USER_DEFINED_FIELD_1

Engineering

TYPE_STRING

APP_CSAUTH

1

fred

USER_DEFINED_FIELD_2

949-555-1111

TYPE_STRING

APP_CSAUTH


) 3 つ以上の UDA が作成された場合は、最初の 2 つだけがアカウンティング ログに渡されます。


グループ固有アトリビュート

表E-9 に、ACS グループを定義するアトリビュートを示します。ここには、データ型、制限、およびデフォルト値が含まれます。また、accountActions テーブルで使用すると、各フィールドに影響があるアクション コードも示します。アクション コードの詳細については、「アクション コード」を参照してください。

 

表E-9 グループ固有アトリビュート

アトリビュート
アクション
論理型
制限
デフォルト

Max Sessions

114

符号なしショート

0-65534

MAX_SESSIONS_UNLIMITED

Max Sessions for user of group

115

符号なしショート

0-65534

MAX_SESSIONS_UNLIMITED

Token caching for session

130

ブール

T/F

NULL

Token caching for duration

131

秒単位の整数時間

0-65535

NULL

TODDOW Restrictions

140

String

168 文字

111111111111

NAS Access Control

120, 122

ブール イネーブル

T/F

NULL

Bool permit/deny

T/F

ACL String( 表E-4 を参照)。

0 ~ 31KB

Dial-Up Access Control

121, 123

ブール イネーブル

T/F

NULL

Bool permit/deny

T/F

NULL

ACL String( 表E-4 を参照)。

0 ~ 31KB

NULL

Static IP Address

150

Enum スキーム

表E-4 を参照)。

クライアント

String IP/Pool name

0 ~ 31KB

NULL

TACACS Attributes

160, 162

フォーマット化文字列

0 ~ 31KB

NULL

RADIUS Attributes

170, 173

フォーマット化文字列

0 ~ 31KB

NULL

VoIP Support

212

ブール ディセーブル

T/F

NULL

accountActions の例

表E-10 は、「アクション コード」で説明したいくつかのアクション コードを含む
accountActions のインスタンス例です。最初にユーザ fred が作成され、それとともに特権レベル 10 の TACACS_ イネーブル パスワードを含むパスワードが作成されます。Fred は、 Group 2 に割り当てられます。このアカウントは、1999 年 12 月 31 日を過ぎるか、または 10 回認証に失敗すると期限満了になります。Group 2 のアトリビュートには時間帯および曜日のアクセス制限、トークン キャッシング、およびいくつかの RADIUS アトリビュートが含まれています。


) この例では、すべての accountActions テーブルに表示される列がいくつか省略されています。省略されている列は、Sequence ID(SI)、Priority(P)、DateTime(DT)、および MessageNo(MN)です。


 

表E-10 accountActions テーブルの例

Action
User name(UN)
Group Name(GN)
Value Name(VN)
Value1(V1)
Value2(V2)
Value3(V3)
AppId(AI)

100

fred

--

--

fred

--

--

--

102

fred

--

--

freds_password

--

--

--

103

fred

--

--

freds_chap_password

--

--

--

104

fred

--

--

freds_outbound_password

--

--

--

105

fred

--

--

freds_enable_password

10

--

--

106

fred

Group 2

--

--

--

--

--

150

fred

--

--

123.123.123.123

--

--

--

151

fred

--

--

01832-123900

--

--

--

109

fred

--

--

PASS_STATUS_NEVER

--

--

--

110

fred

--

--

PASS_STATUS_WRONG

--

--

--

110

fred

--

--

PASS_STATUS_EXPIRES

--

--

--

112

fred

--

--

10

--

--

--

113

fred

--

--

19991231

--

--

--

114

fred

--

--

50

--

--

--

115

fred

--

--

50

--

--

--

120

fred

--

--

ACCESS_PERMIT

--

--

--

121

fred

--

--

ACCESS_DENY

--

--

--

122

fred

--

--

NAS01、tty0、01732-975374

--

--

--

123

fred

--

--

01732-975374,01622-123123

CLID/DNIS

--

--

1

fred

--

USER_DEFINED_FIELD_0

Fred Jones

TYPE_
STRING

--

APP_
CSAUTH

140

--

Group 2

--

[168 個の 1 から成る文字列]

--

--

--

130

--

Group 2

--

DISABLE

--

--

--

131

--

Group 2

--

61

--

--

--

163

--

Group 2

Reply-Message

Welcome to Your Internet Service

--

--

--

163

--

Group 2

Vendor-Specific

addr-pool=pool2

9

1

--