Cisco Security MARS Local Controller および Global Controller ユーザ ガイド リリース 6.x
外部 AAA サーバでの MARS アカウントの認 証
外部 AAA サーバでの MARS アカウントの認証
発行日;2012/02/06 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 12MB) | フィードバック

目次

外部 AAA サーバでの MARS アカウントの認証

外部 AAA サーバでの MARS ユーザ アカウントの認証に関する情報

サポートされる AAA プロトコルおよびサーバ

設定の概要

MARS アプライアンス AAA 設定タスクの概要

AAA サーバ設定タスクの概要

外部 AAA サーバでの Global Controller における考慮事項

認証ロックアウトの失敗(ログインの失敗)

認証およびログイン試行に関連したシステム イベント

認証方式に関連するシステム レポートと規則

システム レポート

システム規則

MARS AAA 機能の最初の設定手順

外部 AAA サーバの編集

外部 AAA サーバの削除

ログイン失敗後のアカウントのロックの解除

外部 AAA サーバでの MARS アカウントの認証

外部の Authentication, Authorization, and Auditing(AAA; 認証、認可、アカウンティング)サーバは、MARS アプライアンス GUI ログイン(ユーザ名およびパスワード)の認証メカニズムとして動作できます。これにより、すべての MARS アプライアンスで、認証および一元化されたパスワード管理を行えます。

 

表 14-1 MARS アプライアンスAAA 認証方式の機能の履歴

リリース
変更

4.3.1 および 5.3.1

この機能が導入されました。

この章では、MARS アプライアンスの認証、認可、アカウンティング(AAA)機能について説明します。この章は、次の項で構成されています。

この章は、次の内容で構成されています。

「外部 AAA サーバでの MARS ユーザ アカウントの認証に関する情報」

「MARS AAA 機能の最初の設定手順」

「外部 AAA サーバの編集」

「外部 AAA サーバの削除」

「ログイン失敗後のアカウントのロックの解除」

外部 AAA サーバでの MARS ユーザ アカウントの認証に関する情報

管理者は、外部 AAA サーバで、または、アプライアンスのローカル データベースに対するデフォルトの認証方式で、GUI ログイン試行を認証するよう、MARS を設定できます。

ここでは、次の内容について説明します。

「サポートされる AAA プロトコルおよびサーバ」

「設定の概要」

「外部 AAA サーバでの Global Controller における考慮事項」

「認証ロックアウトの失敗(ログインの失敗)」

「認証およびログイン試行に関連したシステム イベント」

「認証方式に関連するシステム レポートと規則」

サポートされる AAA プロトコルおよびサーバ

MARS によって使用される AAA プロトコルは、Remote Authentication Dial In User Service(RADIUS)プロトコルです。サポートされる RADIUS サーバは、次のとおりです。

Cisco Secure Access Control Server(ACS)for UNIX

Cisco Secure Access Control Server(ACS)for Windows

Microsoft Internet Authentication Service(IAS)Server

Juniper Steel belted RADIUS

設定の概要

次の概要では、Local Controller について説明します。Global Controller との違いは、「外部 AAA サーバでの Global Controller における考慮事項」で説明します。

MARS アプライアンス AAA 設定タスクの概要

1. MARS アプライアンスでユーザ アカウントを作成します。

ユーザがアクセスする必要がある各 MARS アプライアンスで、MARS 管理者は、そのユーザのユーザ アカウント(連絡先、グループ権限、ロール)を作成する必要があります。アカウントは、Local Controller 上に作成するか、または、Global Controller 上に作成して Local Controller にプッシュできます。

2. AAA 認証方式を使用するよう、すべての MARS アプライアンスを設定します。

各 MARS アプライアンスは、AAA 認証方式を実行するよう、個々に設定する必要があります。AAA の設定ページ([Admin] > [System Setup] > [Authentication Configuration])から、新しいホストに対するソフトウェア セキュリティ アプリケーションの追加手順に類似した手順で、外部 AAA サーバを手作業で追加します。

AAA サーバの認証では、最大で 3 つの AAA サーバを選択できます。これらは、プライマリ サーバ、セカンダリ サーバ、ターシャリ サーバと呼ばれ、これは、AAA サーバのフェールオーバー シーケンスのランクを表します。


) 管理者が、MARS 認証方式をローカルから AAA に変更した場合、管理者以外のアカウントのすべてのパスワードが、ローカル ユーザ プロファイルから削除されます。AAA からローカルへの変更の場合、MARS 管理者は、各ローカル アカウントについて、パスワードを再作成する必要があります。


MARS アプライアンスで AAA 認証方式が運用される場合、管理者アカウント以外の各ログインは、外部 AAA サーバによって認証されます。

すべての認証方式の変更、ログインの成功、ログインの失敗は、イベント メッセージとして取り込まれます。

AAA サーバ設定タスクの概要

1. MARS アプライアンスを AAA サーバの AAA クライアントとして設定します。

2. AAA サーバの管理者は、各 MARS ユーザに対してログイン名およびログイン パスワードの認証のみを提供するために、外部 AAA サーバに MARS アカウントを作成する必要があります。

詳細は、使用している AAA サーバのユーザ ガイドを参照してください。

外部 AAA サーバでの Global Controller における考慮事項

Global Controller で AAA 認証方式を使用する場合、次の制限事項および推奨事項に注意してください。

同じユーザに対するグローバル アカウントとローカル アカウント

ローカル認証方式を使用すると、1 人のユーザが、1 つのアプライアンス上に、ログイン名が同じでパスワードが異なる 2 つのアカウントを持つことができます。たとえば、Global Controller に global:person1 を作成して Local Controller にプッシュし、また、Local Controller に local:person1 を作成することができます。AAA サーバでは、1 つのログイン名ごとに 1 つのパスワードのみが使用されるため、AAA 方式でローカル方式機能を管理するには、次の操作を実行します。

グローバル アカウントとローカル アカウントで同じパスワードを使用します。

異なる AAA サーバを使用して、グローバル ログイン名とローカル ログイン名を認証します。

Global Controller での AAA 認証方式への変更

Global Controller での AAA 認証方式の設定は、Local Controller での AAA の設定に類似していますが、Global Controller では AAA サーバの追加、編集、または削除ができない点が異なります。GUI で使用可能な AAA サーバの名前は、Global Controller に報告を行っている Local Controllers から生成されます。報告を行っている Local Controllers のホスト名は、AAA サーバの名前にプリペンドされます。Global Controller では、ネットワーク上で最も近い Local Controller から、AAA サーバを使用する必要があります。

すべての Global Controller および Local Controller での同じ認証方式の使用

ログイン問題を避けるための最適なシナリオは、すべての Local Controller および Global Controller で、すべてローカルまたはすべて AAA のいずれかの、同じ認証方式を使用することです。たとえば、Global Controller で AAA 方式が使用されている場合で、Local Controller でローカル方式が使用されている場合、Local Controller にプッシュされるすべてのグローバル ユーザ アカウントでは、パスワードは使用されていません。グローバル ユーザによる Local Controller に対するいかなるログインも、管理者がグローバル アカウントに対してパスワードを設定するまで、失敗します。

Local Controller によって使用されるすべての AAA サーバでの Global Controller ユーザのアカウントの設定

Global Controller および Local Controller で、認証に異なる AAA サーバが使用されている場合、Global Controller でのログイン名およびパスワードが Local Controller の AAA サーバの 1 つで設定される必要があります。この設定が行われていない場合、Global Controller ユーザは Local Controller にログインできません。

Local Controller での AAA サーバの削除

Global Controller で使用中の AAA サーバが Local Controller によって削除された場合、Global Controller は自動的にローカル認証に切り替えされます。Global Controller で AAA 認証を再確立するには、管理者は、Global Controller を AAA 認証方式に再設定し、別の AAA サーバを選択する必要があります。

Global Controller が認証する AAA サーバが使用されている Local Controller の場合、Global Controller から Local Controller が削除される直前に、警告メッセージが表示されます。

アカウントのロック解除

ロック解除は、Global Controller と Local Controller との通信では複製されず、これは、ローカル アプライアンスに対してのみ適用されます。Global Controller でロックされているアカウントでは、ロックされたステータスは、Local Controller 上のグローバル アカウントには複製されません。2 つの異なるアプライアンスでロックされているグローバル アカウントは、各アプライアンスで手作業でロックを解除する必要があります。

認証ロックアウトの失敗(ログインの失敗)

ローカル認証方式または AAA 認証方式の両方で、ログインの失敗時には、アカウントに対する GUI アクセスは防止(ロック)されます。これは、1 つのログイン名について、指定された回数の不正確なパスワード エントリが行われた場合に発生します。

ロック前のパスワード試行の最大回数は、AAA 設定ページ([Admin] > [System Setup] > [Authentication Configuration])の [Account Lockout Policy] ボックスにある Maximum Login Failures パラメータによって設定されます。デフォルト設定は 5 回の試行です。管理者は、[Account Lockout Policy] を [Never Lock] に設定することによって、特定のアカウントを除くすべてのアカウントで、GUI ロッキングをディセーブルにできます。

ログインの失敗前の誤った入力試行の回数は、エージング アウトせず、ログイン成功の発生時にのみ、クリアされます。たとえば、ユーザが、誤ったパスワードの入力試行を 2 回行い、その後 1 日間試行を停止した場合、翌朝の 1 回目の試行でログインに成功しなかった場合、アカウントはロックされます。別のセッションのオープンを試行している同じユーザ アカウントで、ログインの失敗が発生した場合、実行中のセッションは強制終了されませんが、その後のすべてのログイン試行について、アカウントはロックされます。

アカウントが一度ロックされると、MARS 管理者がロックを解除する必要があります。GUI の [Admin] > [User Management] で表示されるページでは、ロックされたアカウントが表示されます。[Status] カラムでは、アカウントが [active]、[locked]、[password expired] のいずれかであるかが示されます。管理者は、User Management ページで、アカウントを選択して [Unlock] をクリックすることによって、アカウントのロックを解除できます。


ローカルから AAA への最初の変更により、非管理ローカル アカウントのすべてのパスワードが消去されたため、認証方式がローカルから AAA に変更され、次にローカルに戻された場合、アカウント パスワードは期限切れになります。パスワードは、User Management ページから各アカウントを編集することによって、リセットする必要があります。


コンソールまたは SSH を介する CLI アクセスは、ロックされません。 unlock CLI コマンドにより、一部またはすべてのアカウントの GUI アクセスのロックを解除できます。これは、管理者が GUI からロックアウトされた場合に使用できる手段になります。 unlock コマンドの詳細は、『 Cisco Security MARS Command Reference 』を参照してください。

認証およびログイン試行に関連したシステム イベント

表 14-2 に、ローカル認証方式および AAA 認証方式のアクションによってトリガーされるイベントのリストを示します。

 

表 14-2 MARS AAA 関連のイベント

イベント
未処理メッセージ

CS-MARS 管理者ユーザのログインの成功

GUI 未処理メッセージ: % MARS-3-400001 CS-MARS GUI login successful for admin user 'username(CS_MARS_LC)@LC42' from: <src-ip> using local authentication

GUI 未処理メッセージ: % MARS-3-400001 CS-MARS GUI login successful for admin user 'username(CS_MARS_GC)@GC41' from: <src-ip> using AAA authentication at server: <aaa-ip>

CS-MARS 管理者ユーザのログインの失敗

GUI 未処理メッセージ: %MARS-2-400002 CS-MARS GUI login failure for admin user 'username(CS_MARS_LC)@LC42' from: <src-ip> using local authentication

GUI 未処理メッセージ: %MARS-2-400002 CS-MARS GUI login failure for admin user 'username(CS_MARS_LC)@LC42' from: <src-ip> using AAA, reason: user information is not verified in local DB

GUI 未処理メッセージ: %MARS-2-400002 CS-MARS GUI login failure for admin user 'username(CS_MARS_GC)@GC41' from: <src-ip> using AAA authentication at server: <aaa-ip>, reason: invalid user or password

CS-MARS 非管理者ユーザのログインの成功

GUI 未処理メッセージ: %MARS-3-400003 CS-MARS GUI login successful for non-admin user 'username(CS_MARS_LC)@LC42' from: <src-ip> using local authentication"

GUI 未処理メッセージ: %MARS-3-400003 CS-MARS GUI login successful for non-admin user 'username(CS_MARS_GC)@GC41' from: <src-ip> using AAA authentication at server: <aaa-ip>

CS-MARS 非管理者ユーザのログインの失敗

GUI 未処理メッセージ: %MARS-2-400004 CS-MARS GUI login failure for non-admin user 'username(CS_MARS_LC)@LC42' from: <src-ip> using local authentication

GUI 未処理メッセージ: %MARS-2-400004 CS-MARS GUI login failure for non-admin user 'username(CS_MARS_LC)@LC42' from: <src-ip> using AAA authentication, reason: user information is not verified in local DB

GUI 未処理メッセージ: %MARS-2-400004 CS-MARS GUI login failure for non-admin user 'username(CS_MARS_GC)@GC41' from: <src-ip> using AAA authentication at server: <aaa-ip>, reason: invalid user or password

CS-MARS による AAA サーバへの接続障害

GUI 未処理メッセージ: %MARS-2-400005 CS-MARS GUI failed to connect to AAA server at: <aaa-ip> for authenticating admin user 'username(CS_MARS_LC)@LC42', reason: <reason-string>

GUI 未処理メッセージ: %MARS-2-400005 CS-MARS GUI failed to connect to AAA server at: <aaa-ip> for authenticating non-admin user 'username(CS_MARS_LC)@LC42', reason: <reason-string>

CS-MARS pnadmin ユーザのパスワードの変更

GUI 未処理メッセージ: %MARS-2-401001 CS-MARS 'pnadmin(CS_MARS_LC)@LC42' user password has changed from GUI at <src-ip>

GUI 未処理メッセージ: %MARS-2-401001 CS-MARS 'pnadmin(CS_MARS_LC)@LC42' user password has changed from CLI at <src-ip>

CS-MARS pnadmin ユーザのパスワードがデフォルトのまま

未処理メッセージ: '%MARS-2-401002 CS-MARS 'pnadmin(CS_MARS_LC)@LC42' user password remains default for the past 24 hours

CS-MARS 管理者ユーザ アカウントのロック

未処理メッセージ: %MARS-2-402001 CS-MARS locked admin user account 'username(CS_MARS_LC)@LC42' after <number> login failures.The current login attempt originated from: <src-ip> with local authentication

未処理メッセージ: %MARS-2-402001 CS-MARS locked admin user account 'username(CS_MARS_LC)@LC42' after <number> login failures.The current login attempt originated from: <src-ip> with AAA authentication at server: <aaa-ip>

未処理メッセージ: %MARS-2-402001 CS-MARS locked admin user account 'username(CS_MARS_LC)@LC42' after <number> login failures.The current login attempt originated from: <src-ip> with AAA authentication but failed in local user verification

CS-MARS 管理者ユーザ アカウントのロック解除

GUI 未処理メッセージ: %MARS-3-402003 CS-MARS unlocked admin user account 'username(CS_MARS_LC)@LC42' from GUI by admin user 'adminuser(CS_MARS_LC)@LC42' while logged in from: <src-ip>

GUI 未処理メッセージ: %MARS-3-402003 CS-MARS unlocked admin user account 'username(CS_MARS_LC)@LC42' from CLI by admin user 'pnadmin(CS_MARS_LC)@LC42' while logged in from: <src-ip>

CS-MARS 非管理者ユーザ アカウントのロック解除

未処理メッセージ: %MARS-2-402002 CS-MARS locked non-admin user account 'username(CS_MARS_LC)@LC42' after <number> login failures.The current login attempt originated from: <src-ip> with local authentication

未処理メッセージ: %MARS-2-402002 CS-MARS locked non-admin user account 'username(CS_MARS_LC)@LC42' after <number> login failures.The current login attempt originated from: <src-ip> with AAA authentication at server: <aaa-ip>

未処理メッセージ: %MARS-2-402002 CS-MARS locked non-admin user account 'username(CS_MARS_LC)@LC42' after <number> login failures.The current login attempt originated from: <src-ip> with AAA authentication but failed in local user verification

CS-MARS によるすべてのアカウントのロックを解除

CLI 未処理メッセージ: %MARS-3-402005 CS-MARS unlocked all accounts while logged in from: <src-ip>

CS-MARS 認証方式がローカルから AAA に変更

GUI 未処理メッセージ: %MARS-2-403001 CS-MARS Authentication method was changed from Local to AAA by admin user 'username(CS_MARS_LC)@LC42' while logged in from: <src-ip>

CS-MARS 認証方式が AAA からローカルに変更

GUI 未処理メッセージ: %MARS-2-403002 CS-MARS Authentication method was changed from AAA to Local by admin user 'username(CS_MARS_LC)@LC42' while logged in from: <src-ip>'

認証方式に関連するシステム レポートと規則

MARS レポートおよび規則の説明は、 付録 E「システム規則とレポート」 を参照してください。

システム レポート

次の 6 つのレポートでは、認証イベントが公開されます。すべてのレポートには、カスタム カラムがあり、1 日の時間範囲で、オンデマンドでのみ実行されます。

アクティビティ:CS-MARS でのログインの失敗

アクティビティ:CS-MARS でのログインの成功

アクティビティ:CS-MARS でロックされたアカウント

アクティビティ:CS-MARS でロックが解除されたアカウント

アクティビティ:CS-MARS 認証方式の変更

アクティビティ:CS-MARS pnadmin ユーザのパスワード ステータス

システム規則

次の 3 つの規則では、認証方式の設定アクションが取り込まれます。

システム規則:CS-MARS 認証方式の変更: AAA からローカル

システム規則:CS-MARS ログイン障害: 管理者ユーザ

システム規則:CS-MARS ログイン障害: 非管理者ユーザ

次のシステム規則は、イベントのグループ化の状況によってトリガーされます。

システム規則:見つけられた脆弱なホスト(イベント: CS-MARS pnadmin ユーザのパスワードがデフォルトのまま)

MARS でのログインの成功および失敗は、イベント グループにグループ化されるため、次の各規則に説明されているように、MARS Local Controller も攻撃のターゲットである場合、次の規則が起動します。

システム規則:ローカル攻撃: 試行

システム規則:ローカル攻撃: 正常であるかのように見える場合

システム規則:パスワード攻撃: システム: 試行

システム規則:パスワード攻撃: システム: 正常であるかのように見える場合

システム規則:パスワード攻撃: システム: 正常であるかのように見える場合

ログイン イベント グループ: Info/SuccessfulLogin/System/Root、Info/SuccessfulLogin/System/Non-root、Penetrate/GuessPassword/System/Root、および Penetrate/GuessPassword/System/Non-root

MARS AAA 機能の最初の設定手順

この手順では、MARS アプライアンスで AAA 認証方式の最初の設定について説明します。

手順の要約

1. 新しい外部 AAA サーバの追加

2. AAA 認証の選択

3. アカウント ロックアウト ポリシーの設定(任意)

始める前に

AAA 認証方式の設定には、次の前提条件が必要です。

各 MARS アプライアンスに、ユーザ プロファイルが作成されていること(ロールおよび連絡先の関連者は、それぞれ対象となるユーザ)

MARS が外部 AAA サーバで AAA クライアントとして設定されていること


ヒント Cisco Secure ACS では、MARS は AAA クライアントとして設定されている必要があります。ポート 1812 を認証ポートとして、ポート 1813 をアカウンティング ポートとして、それぞれ使用している Vendor-specific Attribute(VSA; ベンダー固有属性)設定を、選択することができます。Cisco VPN3000/ASA/PIX 7.x+ VSA を推奨します。詳細は、『User Guide for Cisco Secure Access Control Server 4.1』を参照してください。


ログイン名およびパスワードの認証のみを提供している外部 AAA サーバで、MARS ユーザ アカウントが作成されていること


MARS アプライアンスのログイン名では、大文字と小文字が区別されますが、Cisco Secure ACS User Setup ユーザ名では、大文字と小文字は区別されません。たとえば、MARS ログイン名の Victor、victor、および VICTOR は、Cisco Secure ACS ユーザ名の "victor" に一致します。したがって、3 人の MARS ユーザで、同じパスワードが共有される場合があります。MARS ログイン名と Cisco Secure ACS ユーザ名は、1 対 1 で対応させることを推奨します。


(Local Controller のみ)MARS で必要な AAA サーバの設定は、次のとおりです。

アクセスとレポーティング IP アドレス

インターフェイス アドレス

共有秘密鍵の文字列

認証ポート(デフォルトは 1812)

アカウンティング ポート(デフォルトは 1813)

MARS AAA 機能を設定するには、次の手順を実行します。


ステップ 1 [Admin] タブをクリックして、[System Setup] ページにナビゲートします。

図 14-1 [Admin] > [System Setup] ページ

 

ステップ 2 [Authentication Configuration] をクリックして、AAA 設定ページを表示します(図 14-2 を参照)。

Global Controller を設定する場合は、ステップ 10 に進んでください。

図 14-2 AAA 設定ページ

 

外部 AAA サーバの追加

ステップ 3 [AAA Server Configuration] ボックスで、[Add] をクリックします。

[Add Reporting Device] ページが表示されます(図 14-3 を参照)。

図 14-3 [Add Reporting Device] ページ

 

ステップ 4 設定情報を入力し、[Next] をクリックします。

レポーティング アプリケーション ダイアログが表示されます(図 14-4 を参照)。

設定フィールドの使用上のガイドラインは、監視デバイスの追加と同じです。


) [Done] ボタンおよび [Apply] ボタンは、最初の設定時ではなく、設定の編集時使用されます。[Done] をクリックして、[AAA Configuration] ページに戻ります。


図 14-4 [Reporting Application] ダイアログ

 

ステップ 5 [Generic AAA Server] を選択して、[Add] をクリックします。

[AAA Server Configuration] ポップアップ ウィンドウが表示されます(図 14-5 を参照)。

図 14-5 [AAA Server Configuration] ポップアップ ウィンドウ

 

ステップ 6 [AAA Server configuration information] を入力します。

デフォルトの認証および認可ポートは 1812 です。

デフォルトのアカウンティング ポートは 1813 です。

ステップ 7 [Test Connectivity] をクリックします。

成功または失敗のポップアップ ウィンドウが表示されます(図 14-6 および図 14-7 を参照)。


) AAA サーバの管理者によって、[AAA Server Configuration] フィールドの値が指定されます。


図 14-6 [Connectivity Succeeds] ポップアップ ウィンドウ

 

図 14-7 [Connectivity Fails] ポップアップ ウィンドウ

 

ステップ 8 接続テストに成功した場合、AAA サーバで MARS に対して設定されている [User Name] および [Password] を入力し、[Submit] をクリックして、追加された外部 AAA サーバで、MARS アカウントに対してユーザが正しく認証されていることを確認します。

[AAA Configuration] ページに戻ります(図 14-2 を参照)。

接続に失敗した場合、[AAA Server Configuration] ポップアップ ウィンドウに戻ります(図 14-5 を参照)。接続が成功するまで、AAA サーバの接続のトラブルシューティングを実行します。

ステップ 9 管理者の要件にしたがって、セカンダリまたはターシャリの AAA サーバを追加します。

AAA 認証の選択

ステップ 10 [AAA Configuration] ページの [Authentication Method] ボックスで、[AAA Server] ラジオ ボタンをクリックし、ドロップダウン リストからプライマリ AAA サーバを選択します。必要に応じ、使用しているネットワークにセカンダリ サーバおよびターシャリ サーバを選択します。

Global Controller を設定する場合、Global Controller に最も近い AAA サーバを選択します。

図 14-8 新たに追加する AAA サーバのドロップダウン リストからの選択

 

アカウント ロックアウト ポリシーの設定(任意)

[Account Lockout Policy] ボックスで、最大のログイン失敗しきい値を設定するか、または、[Never Lock] ラジオ ボタンをクリックします。

図 14-9 Maximum Login Failure パラメータ

 

ステップ 11 [Submit] をクリックします。

認証方式が、ローカルから AAA サーバに変更された場合、(管理者を除く)すべてのユーザ パスワードが MARS ローカル データベースから削除されます。認証方式を AAA サーバからローカルに戻す場合、すべてのユーザ パスワードを MARS GUI([Management] > [User Management])で再設定する必要があります。

MARS 認証が AAA サーバ モードに設定されている場合、[MARS User Management] ページでは、ユーザ パスワードの追加または編集は行えません。

「MARS AAA 機能の最初の設定手順」を終了します。


 

外部 AAA サーバの編集


ステップ 1 [Admin] タブをクリックして、[System Setup] ページにナビゲートします。

ステップ 2 [Authentication Configuration] をクリックして、AAA 設定ページを表示します(図 14-2 を参照)。

ステップ 3 [AAA Server Configuration] ボックスで、編集する外部 AAA サーバを選択します。

ステップ 4 [Edit] をクリックします。[Edit Server] ページが表示されます(図 14-10 を参照)。

図 14-10 [Edit Server] ページ

 

ステップ 5 変更する [Device Type] のチェックボックスをクリックし、[Edit] をクリックします。[Server Configuration] ポップアップ ウィンドウが表示されます(図 14-5 を参照)。

ステップ 6 変更を行い、[Test Connectivity] をクリックします。

ステップ 7 接続テストに成功した場合、ユーザの [User Name] および [Password] を入力し、[Submit] をクリックして、追加された外部 AAA サーバで、使用する MARS アカウントに対してユーザが正しく認証されていることを確認します。

[AAA Configuration] ページに戻ります(図 14-2 を参照)。

接続に失敗した場合、[AAA Server Configuration] ポップアップ ウィンドウに戻ります(図 14-5 を参照)。接続が成功するまで、AAA サーバの接続のトラブルシューティングを実行します。

ステップ 8 [Submit] をクリックします。[AAA Configuration] ページに戻ります。

「外部 AAA サーバの編集」を終了します。


 

外部 AAA サーバの削除


ステップ 1 [Admin] タブをクリックして、[System Setup] ページにナビゲートします。

ステップ 2 [Authentication Configuration] をクリックして、AAA 設定ページを表示します(図 14-2 を参照)。

ステップ 3 [AAA Server Configuration] ボックスで、削除する外部 AAA サーバを選択します。

ステップ 4 [Delete] をクリックします。削除確認のポップアップ ウィンドウが表示されます(図 14-11 を参照)。

図 14-11 サーバ削除の確認

 

ステップ 5 [Submit] をクリックします。[AAA Configuration] ページに戻ります。

削除される AAA サーバが Global Controller によって使用されるプライマリ サーバの場合、Global Controller では、ローカル認証方式に自動的に切り替えられますので、管理者は、必要に応じて、Global Controller を AAA 方式に再設定し、別の AAA サーバを選択する必要があります。

「外部 AAA サーバの削除」を終了します。


 

ログイン失敗後のアカウントのロックの解除

次の手順、非管理 Local Controller アカウントまたは非管理 Global Controller アカウントのロックを解除するために必要な手順の詳細を示します。管理者のアカウントのロックを解除するには、 unlock CLI コマンドを使用します(『 Cisco Security MARS Command Reference 』を参照)。

MARS GUI に対するログインの失敗では、Login Failure メッセージによってシグナルが送信されます(図 14-12 を参照)。

図 14-12 Login Failure メッセージ

 


ステップ 1 管理者アカウントにログインします。

ステップ 2 ([Management] > [User Management] で)[User Management] サブタブにナビゲートします(図 14-2 を参照)。

ステータス カラムに、ロックされているアカウントが示されます。

ロックを解除するユーザ アカウントのチェックボックスをクリックします。

図 14-13 ロックされているユーザ アカウントのロックの解除

 

ステップ 3 [Unlock] をクリックします。ユーザ アカウントの [Status] が、[Locked] から [Active] に変更されます。

「ログイン失敗後のアカウントのロックの解除」を終了します。