Cisco MDS 9000 ファミリー トラブルシューティング ガイド Release 3.x
ユーザおよびロールのトラブルシュー ティング
ユーザおよびロールのトラブルシューティング
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

ユーザおよびロールのトラブルシューティング

概要

ユーザ アカウント

ロール ベースの認証

各ロールのルールと機能

ベスト プラクティス

ライセンスの要件

トラブルシューティングの初期チェックリスト

Fabric Manager の一般的なトラブルシューティング ツール

CLI の一般的なトラブルシューティング用コマンド

ユーザおよびロールの問題

ユーザがスイッチにログインできない

Device Manager を使用してユーザのログインをシステム メッセージで確認

CLI を使用してユーザのログインをシステム メッセージで確認

ユーザがロールを作成できない

Fabric Manager または Device Manager でユーザが他のユーザを作成できない

ユーザが特定の機能にアクセスできない

Device Manager によるロールの確認

CLI によるロールの確認

ユーザのアクセス権が過剰

ユーザが一部の VSAN を設定できない

Fabric Manager による VSAN 制限付きロールの確認

CLI による VSAN 制限付きロールの確認

ユーザが E ポートを設定できない

予想外のユーザがログに表示される

ユーザおよびロールの Cisco ACS によるトラブルシューティング

ユーザおよびロールのトラブルシューティング

この章では、Cisco MDS 9000 ファミリ スイッチ製品で作成および維持されているユーザとロールのトラブルシューティングを行う手順について説明します。この章で説明する内容は、次のとおりです。

「概要」

「ベスト プラクティス」

「ライセンスの要件」

「トラブルシューティングの初期チェックリスト」

「ユーザおよびロールの問題」

「ユーザおよびロールの Cisco ACS によるトラブルシューティング」

概要

Cisco MDS 9000 ファミリのすべてのスイッチで、CLI および SNMP は共通のロールを使用します。SNMP を使用して作成されたロールは、CLI を使用して修正できます。また、その逆も可能です。CLI を使用して設定されたユーザは、SNMP(たとえば、Fabric Manager または Device Manager)を使用してスイッチにアクセスできます。また、その逆も可能です。

ユーザ アカウント

Cisco MDS 9000 ファミリ スイッチでは、すべてのユーザのアカウント情報がシステムに保管されます。最大 256 個のユーザ アカウントをスイッチに追加できます。認証情報、ユーザ名、ユーザ パスワード、パスワードの有効期限、およびロール メンバシップが、ユーザ プロファイルに保存されます。

ユーザ アカウントで最も重要なことは、強力なパスワードを作成することです。パスワードをローカルで設定しようとする場合、または AAA サーバを使用して認証を試みる場合のいずれであっても、Cisco SAN-OS は弱いパスワードは許可しません。

強力なパスワードの条件は、次のとおりです。

最低 8 文字の長さであること。

多くの連続するアルファベット(abcd など)が含まれていないこと。

多くの同じアルファベットの繰り返し(aaabbb など)が含まれていないこと。

辞書にある単語が含まれていないこと。

固有名詞が含まれていないこと。

大文字と小文字の両方が含まれていること。

数字が含まれていること。

次の例は、強力なパスワードを示しています。

If2CoM18

2004AsdfLkj30

Cb1955S21

パスワードが簡潔である場合(短く、解読しやすい場合)、パスワード設定は拒否されます。パスワードでは、大文字と小文字が区別されます。すべての Cisco MDS 9000 ファミリ スイッチのデフォルト パスワードであった「admin」は、現在は使用されていません。強力なパスワードを明示的に設定する必要があります。


) クリア テキストのパスワードに含めることができるのは、アルファベット文字だけです。ドル記号($)またはパーセント記号(%)などの特殊文字は使用できません。



ヒント 次のワードは予約済みなので、ユーザ設定に使用することはできません。bin、daemon、adm、lp、sync、shutdown、halt、mail、news、uucp、operator、games、gopher、ftp、nobody、nscd、mailnull、rpc、rpcuser、xfs、gdm、mtsuser、ftpuser、man、および sys



注意 Cisco MDS SAN-OS では、パスワードが TACACS+ や RADIUS で作成されたかどうか、またはローカルで作成されたかどうかにかかわらず、すべてが数字のユーザ名はサポートしていません。ユーザ名がすべて数字のローカル ユーザを作成することはできません。数字だけのユーザ名が AAA サーバ 上に存在し、ログイン中に入力された場合、そのユーザはログインできません。

ロール ベースの認証

Cisco MDS 9000 ファミリ スイッチはロール ベースの認証を実行します。ロール ベースの許可は、ユーザにロールを割り当てることによってスイッチへのアクセスを制限します。このタイプの認証は、ユーザに割り当てられたロールに基づいて、ユーザの管理操作を制限します。

スイッチ操作へのアクセス権を持つユーザは、コマンドを実行、コマンドを完了、またはコンテキスト ヘルプを取得する場合に、処理を継続できます。

各ロールを複数のユーザに割り当てることができ、各ユーザは複数のロールに所属できます。1 人のユーザに複数のロールが割り当てられた場合、そのユーザはロールの組み合わせに対応したアクセス権を持つことになります。たとえば、role1 ユーザにはコンフィギュレーション コマンドへのアクセスだけが、role2 ユーザには デバッグ コマンドへのアクセスだけが許可されているとします。この場合、role1 と role2 の両方に所属しているユーザは、コンフィギュレーション コマンドと デバッグ コマンドの両方にアクセスできます。


) ユーザが複数のロールに所属している場合、そのユーザは各ロールで許可されているすべてのコマンドを実行できます。コマンドへのアクセス権は、そのコマンドへのアクセス拒否よりも優先されます。たとえば、TechDocs グループに属しているユーザが、コンフィギュレーション コマンドへのアクセスを拒否されているとします。ただし、このユーザはエンジニアリング グループにも属していて、コンフィギュレーション コマンドへのアクセス権を持っています。この場合、このユーザはコンフィギュレーション コマンドにアクセスできます。



ヒント ロールを作成した時点で、ユーザに対して、必要なコマンドへのアクセスが即時に許可されるわけではありません。管理者が各ロールに適切なルールを設定し、ユーザに対して、必要なコマンドへのアクセスを許可する必要があります。


各ロールのルールと機能

各ロールには、最大 16 個のルールを設定できます。ユーザ側で指定するルール番号によって、ルールが適用される順序が決まります。たとえば、rule 1 のあとに rule 2 が適用され、rule 3 以降が順に適用されます。network-admin ロールに属さないユーザは、ロールに関連したコマンドを実行できません。

たとえば、ユーザ A にすべての show コマンドの実行が許可されている場合でも、ユーザ A が network-admin のロールに属していなければ、ユーザ A は show role コマンドの出力を表示できません。

rule コマンドでは、特定のロールで実行できる操作を指定します。各ルールは、ルール番号、ルール タイプ(許可または拒否)、コマンド タイプ(たとえば、 config clear show exec debug )、およびオプション機能名(たとえば、FSPF、ゾーン、VSAN、fcping、またはインターフェイス)で構成されています。


) この場合、exec コマンドは EXEC モードのすべてのコマンドを指しているので、showdebug、およびclear に分類されることはありません。


ルールでは、適用する順序が重要です。たとえば、最初のルールがすべての config コマンドへのアクセスを許可し、また次のルールがユーザによる FSPF 設定を拒否しているとします。結果として、ユーザは、 fspf コンフィギュレーション コマンドを除くすべての config コマンドを実行できます。


) この 2 つのルールの順番を入れ替えた場合、最初に deny config feature fspf ルールが発効されて次に permit config ルールが発効されるので、ユーザはすべてのコンフィギュレーション コマンドを実行できます。これは、最初のルールすべてが 2 番めのルールによって上書きされるからです。


ベスト プラクティス

ここでは、Cisco SAN-OS 製品のユーザとロールを実装する際のベスト プラクティスについて説明します。

任意のユーザにロールを割り当てる前に、ロールおよびルールを作成してください。空のロールでは、ユーザはすべてのスイッチへのアクセスを拒否されます。

ユーザが制御を行うために、割り当てられている VSAN に基づいてアクセスできるスイッチ操作の範囲を、VSAN ベースのロールを割り当てることで制限してください。

複数のロールをユーザに割り当てることを制限して、スイッチ操作へのアクセス権が誤って割り当てられるのを防止してください。これは、アクセス権は拒否よりも優先されるために、複数のロールを割り当てられたユーザが、想定された範囲を超えるアクセス権を持ってしまうことがあるからです。

ライセンスの要件

VSAN ベースのアクセス コントロールでは、エンタープライズ パッケージ(ENTERPRISE_PKG)が必要です。他のすべてのユーザおよびロール機能は、Cisco MDS 9000 スイッチにバンドルされています。

トラブルシューティングの初期チェックリスト

ユーザおよびロールに関する問題のトラブルシューティングを開始するときは、次の事項について確認します。

 

チェックリスト
確認済み

すべてのユーザのパスワードが、強力なパスワードのためのガイドラインに従っていることを確認します。

 

ユーザ名が、予約済みワードまたはすべて数字になっていないことを確認します。

 

複数のロールが割り当てられているユーザに、予定以上のアクセス権が与えられていないことを確認します。

 

ユーザに空のロールが割り当てられていないことを確認します。

 

各ロールにおけるルールの順番を確認します。

 

Fabric Manager の一般的なトラブルシューティング ツール

Fabric Manager では、Switches > Security > Users and Roles を選択して、ユーザおよびロールの設定にアクセスします。

Device Manager では、次の手順を使用してユーザ、ロール、およびルールの設定にアクセスします。

Security > Users を選択して、ユーザ設定にアクセスします。

Security > Roles を選択して、ユーザ設定にアクセスします。

Roles ダイアログボックスでロールを選択し、Rules をクリックしてこのロール用のルールにアクセスします。


) ルールの設定には、Device Manager を使用する必要があります。


CLI の一般的なトラブルシューティング用コマンド

ユーザおよびロールに関する問題のトラブルシューティングでは、次の CLI コマンドを使用します。

show users

show user-account

show role

show role status

show role session status

ユーザおよびロールの問題

ここでは、ユーザおよびロールの問題について説明します。内容は、次のとおりです。

「ユーザがスイッチにログインできない」

「ユーザがロールを作成できない」

「Fabric Manager または Device Manager でユーザが他のユーザを作成できない」

「ユーザが特定の機能にアクセスできない」

「ユーザのアクセス権が過剰」

「ユーザが一部の VSAN を設定できない」

「ユーザが E ポートを設定できない」

「予想外のユーザがログに表示される」

ユーザがスイッチにログインできない

現象 ユーザがスイッチにログインできない。

 

表18-1 ユーザがスイッチにログインできない

現象
考えられる原因
解決方法

ユーザがスイッチにログインできない。

AAA サーバで弱いパスワードが設定されている。

強力なパスワードを作成してください。強力なパスワードのガイドラインについては、「ユーザ アカウント」を参照してください。

ユーザ名が、制限ワードまたはすべて数字になっている。

ユーザ名を変更します。許されるユーザ名のガイドラインについては、「ユーザ アカウント」を参照してください。

ユーザ アカウントが期限切れになった。

Fabric Manager で Switches > Security > Users を選択して、ユーザ アカウントの有効期限を表示します。

または、show user-account CLI コマンドを使用して、アカウントの有効期限を確認します。

必要であれば、ユーザを作成し直します。

Device Manager を使用してユーザのログインをシステム メッセージで確認

ユーザがスイッチへのログインを試みたときに、システム メッセージを取り込んでロギングするようにスイッチを設定する手順は、次のとおりです。


ステップ 1 Logs > Syslog > Setup を選択し、続いて Severity Levels タブを選択します。

ステップ 2 auth、authPriv、およびaaad の Severity Level ドロップダウン メニューから debug を選択します。Apply をクリックします。

スイッチは、これらの機能のデバッグ情報をログに記録するように設定されます。

ステップ 3 Switch Logging タブを選択し、続いて LogFileMsgSeverity のオプション ボタンから debug を選択して、Apply をクリックします。

スイッチは、デバッグ レベル以上のシステム メッセージをスイッチ ログ ファイルに保存するように設定されます。これ以降のログインの試行はログ ファイル内でトラッキングされるようになります。

ステップ 4 ログインを試みたあとで、Logs > Switch Resident > Syslogs > Since Reboot を選択し、Last Page をクリックして最新のメッセージを表示します。次のようなメッセージが表示されます。

2006 Mar 2 22:08:44 v_190 %AUTHPRIV-6-SYSTEM_MSG: START: telnet pid=10654 from=
::ffff:161.44.67.125
2006 Mar 3 03:08:49 v_190 %AUTHPRIV-7-SYSTEM_MSG: Got user name <testUser>
2006 Mar 3 03:08:53 v_190 %AUTHPRIV-7-SYSTEM_MSG: user testUser authenticated
2006 Mar 3 03:08:53 v_190 %AUTHPRIV-7-SYSTEM_MSG: PAM login: updating snmpv3 US
M for user testUser
2006 Mar 3 03:08:53 v_190 %AUTHPRIV-7-SYSTEM_MSG: PAM login: snmpv3 attribute v
alue (null)
2006 Mar 3 03:08:53 v_190 %AUTHPRIV-7-SYSTEM_MSG: PAM login: updating snmpv3 US
M success for user testUser
2006 Mar 3 03:08:53 v_190 %AUTH-6-SYSTEM_MSG: (login) session opened for user t
estFoo by (uid=0)
2006 Mar 3 03:08:53 v_190 %AAA-6-AAA_ACCOUNTING_MESSAGE: start:/dev/pts/1_161.4
4.67.125:testUser:
 


 

CLI を使用してユーザのログインをシステム メッセージで確認

ユーザがスイッチへのログインを試みたときに、システム メッセージを取り込んでロギングするようにスイッチを設定する手順は、次のとおりです。


ステップ 1 logging level コマンドを使用して、auth、authPriv、および aaad のレベルを 7(デバッグ)に変更します。

switch(config)# logging level aaa 7
 

スイッチは、これらの機能のデバッグ情報をログに記録するように設定されます。

ステップ 2 logging logfile コマンドを使用して、指定されたログ ファイルに保存されるシステム メッセージのログレベルを 7(デバッグ)に設定します。

switch(config)# logging logfile TestFile 7
 

スイッチは、デバッグ レベル以上のシステム メッセージをスイッチの TestFile ログ ファイルを保存するように設定されます。これ以降のログインの試行はログ ファイル内でトラッキングされるようになります。

ステップ 3 ログインを試みたあとで、show logging logfile | last コマンドを使用して、最新のメッセージを表示します。次のようなメッセージが表示されます。

2006 Mar 2 22:08:44 v_190 %AUTHPRIV-6-SYSTEM_MSG: START: telnet pid=10654 from=
::ffff:161.44.67.125
2006 Mar 3 03:08:49 v_190 %AUTHPRIV-7-SYSTEM_MSG: Got user name <testUser>
2006 Mar 3 03:08:53 v_190 %AUTHPRIV-7-SYSTEM_MSG: user testUser authenticated
2006 Mar 3 03:08:53 v_190 %AUTHPRIV-7-SYSTEM_MSG: PAM login: updating snmpv3 US
M for user testUser
2006 Mar 3 03:08:53 v_190 %AUTHPRIV-7-SYSTEM_MSG: PAM login: snmpv3 attribute v
alue (null)
2006 Mar 3 03:08:53 v_190 %AUTHPRIV-7-SYSTEM_MSG: PAM login: updating snmpv3 US
M success for user testUser
2006 Mar 3 03:08:53 v_190 %AUTH-6-SYSTEM_MSG: (login) session opened for user t
estFoo by (uid=0)
2006 Mar 3 03:08:53 v_190 %AAA-6-AAA_ACCOUNTING_MESSAGE: start:/dev/pts/1_161.4
4.67.125:testUser:
 


 

ユーザがロールを作成できない

現象 ユーザがロールを作成できない。

 

表18-2 ユーザがロールを作成できない

現象
考えられる原因
解決方法

ユーザがロールを作成できない。

ユーザに network-admin のロールが割り当てられていない。

ユーザに network-admin のロールを割り当てます。詳細については、「Device Manager によるロールの確認」および「CLI によるロールの確認」を参照してください。

Fabric Manager または Device Manager でユーザが他のユーザを作成できない

現象 Fabric Manager または Device Manager でユーザが他のユーザを作成できません。

 

表18-3 Fabric Manager または Device Manager でユーザが他のユーザを作成できない

現象
考えられる原因
解決方法

ユーザが他のユーザを作成できない。

ユーザは、プライバシーパスワードを使用しないで Fabric Manager または Device Manager にログインしている。

パスワードおよびプライバシーパスワードを使用して、Fabric Manager または Device Manager にログインします。

ユーザが特定の機能にアクセスできない

現象 ユーザが特定の機能にアクセスできない。

 

表18-4 ユーザが特定の機能にアクセスできない

現象
考えられる原因
解決方法

ユーザが特定の機能にアクセスできない。

ユーザに不正なロールが割り当てられている。

RADIUS の場合は、 Cisco-AVPair = "shell: roles = "<rolename> " " を使用して、サーバ上でロールのベンダー固有属性を設定します。

TACACS+ の場合は、 roles=“vsan-admin storage-admin ” を使用して、サーバ上でロールの属性と値のペアを設定します。

詳細については、「Device Manager によるロールの確認」および「CLI によるロールの確認」を参照してください。

ロールが適切なアクセス用に設定されていない。

詳細については、「Device Manager によるロールの確認」および「CLI によるロールの確認」を参照してください。

Device Manager によるロールの確認

Device Manager を使用してユーザ ロール ベースのアクセスを確認する手順は、次のとおりです。


ステップ 1 Security > Users... を選択して、ユーザに割り当てられているロールを表示します。

ステップ 2 ユーザを右クリックして Delete を選択し、ユーザを削除します。

ステップ 3 Create をクリックしてユーザを作成します。Create User ダイアログボックスが表示されます。

ステップ 4 ユーザ名およびパスワードのフィールドを設定します。

ステップ 5 ユーザに割り当てる各ロールの role チェックボックスをオンにし、Create をクリックしてユーザを作成します。

ステップ 6 Security > Roles... を選択して、ロールを表示します。

ステップ 7 ロールを右クリックして Rules を選択し、ロールに割り当てるルールを表示または修正します。

ステップ 8 このロールがアクセスする機能の feature チェックボックスをオンにし、Apply をクリックしてこれらの変更を保存します。


 

CLI によるロールの確認

CLI を使用してユーザのロール ベースのアクセスを確認する手順は、次のとおりです。


ステップ 1 show user-account コマンドを使用して、ユーザに割り当てられているロールを表示します。

switch# show user-account user1
user:user1
this user account has no expiry date
roles:sangroup vsan-admin
no password set. local login not allowed
Remote login through RADIUS is possible
 

ステップ 2 username コマンドを使用して、ユーザに割り当てられているロールを修正します。

switch# no username user1 role vsan-admin
 

ステップ 3 show role コマンドを使用して、ロールに割り当てられているルールを表示します。

switch# show role sangroup
Role: sangroup
Description: SAN management group
vsan policy: permit
 
---------------------------------------------
Rule Type Command-type Feature
---------------------------------------------
1. permit config *
2. deny config fspf
3. permit debug zone
4. permit exec fcping
 

ステップ 4 role コマンドを使用して、ロールに割り当てられているルールを修正します。

switch# role name sangroup
switch(config-role)# no rule 4
switch(config-role)# rule 4 deny exec feature fcping
 


 

ユーザのアクセス権が過剰

現象 ユーザに過剰なアクセス権が割り当てられている。

 

表18-5 ユーザのアクセス権が過剰

現象
考えられる原因
解決方法

ユーザに過剰なアクセス権が割り当てられている。

ユーザに不正なロールが、または重複したロールが割り当てられている。

RADIUS の場合は、 Cisco-AVPair = "shell: roles = "<rolename> " " を使用して、サーバ上でロールのベンダー固有属性を設定します。

TACACS+ の場合は、 roles=“vsan-admin storage-admin ” を使用して、サーバ上でロールの属性と値のペアを設定します。

詳細については、「Device Manager によるロールの確認」および「CLI によるロールの確認」を参照してください。

ロールが適切なアクセス用に設定されていない。

詳細については、「Device Manager によるロールの確認」および「CLI によるロールの確認」を参照してください。

ユーザが一部の VSAN を設定できない

現象 ユーザが一部の VSAN を設定できない。

 

表18-6 ユーザが一部の VSAN を設定できない

現象
考えられる原因
解決方法

ユーザが一部の VSAN を設定できない。

ユーザに VSAN 制限付きロールが割り当てられている。

詳細については、「Fabric Manager による VSAN 制限付きロールの確認」および「CLI による VSAN 制限付きロールの確認」を参照してください。

Fabric Manager による VSAN 制限付きロールの確認

Fabric Manager を使用してユーザのロール ベースのアクセスを確認する手順は、次のとおりです。


ステップ 1 Switches > Security > Users and Roles を選択し、続いて Roles タブを選択してロールを表示します。

ステップ 2 Scope Enableチェックボックスをオンにして、ロールに VSAN 制限を設定します。

ステップ 3 Scope VSAN Id List フィールドに、このロールで設定できる VSAN の範囲を追加します。

ステップ 4 Apply Changes をクリックし、これらの変更を保存します。

ステップ 5 Roles CFS タブを選択し、続いて Config Action ドロップダウン メニューから commit を選択します。

ステップ 6 Apply Changesをクリックして、これらの変更をファブリック全体に配信します。


 

CLI による VSAN 制限付きロールの確認

CLI を使用してユーザのロール ベースのアクセスを確認する手順は、次のとおりです。


ステップ 1 show user-account コマンドを使用して、ユーザに割り当てられているロールを表示します。

switch# show user-account user1
user:user1
this user account has no expiry date
roles:sangroup vsan-admin
no password set. local login not allowed
Remote login through RADIUS is possible
 

ステップ 2 show role コマンドを使用して、ロールに割り当てられているルールを表示します。

switch# show role sangroup
Role: sangroup
Description: SAN management group
vsan policy: deny
Permitted vsans: 10-30
 
---------------------------------------------
Rule Type Command-type Feature
---------------------------------------------
1. permit config *
2. deny config fspf
3. permit debug zone
4. permit exec fcping
 

ステップ 3 role コマンドを使用して、ロールの VSAN ポリシーを修正します。

switch# role name sangroup
switch(config-role)# vsan policy deny
switch(config-role)# permit vsan 1 - 30
 


 

ユーザが E ポートを設定できない

現象 ユーザが E ポートを設定できない。

 

表18-7 ユーザが E ポートを設定できない

現象
考えられる原因
解決方法

ユーザが E ポートを設定できない。

ユーザに VSAN 制限付きロールが割り当てられている。

詳細については、「Fabric Manager による VSAN 制限付きロールの確認」および「CLI による VSAN 制限付きロールの確認」を参照してください。

予想外のユーザがログに表示される

現象 予想外のユーザがログに表示される。

 

表18-8 予想外のユーザがログに表示される

現象
考えられる原因
解決方法

予想外のユーザがログに表示される。

SNMP、Fabric Manager、または Device Manager によって、一時ユーザが作成された。

Fabric Manager、Device Manager、または SNMP を使用するその他のアプリケーションによって、一時ユーザが作成されています。これは、正常な動作です。これらの一時ユーザの有効期限は、1 時間です。異なる特徴を持つ予想外のユーザが存在する場合は、そのユーザを調査するか、または clear user CLI コマンドを使用してそのユーザ セッションを終了します。

ユーザおよびロールの Cisco ACS によるトラブルシューティング

Cisco ACS を使用して ユーザおよびロールに関する問題のトラブルシューティングを行う手順は、次のとおりです。


ステップ 1 Cisco ACS で Network Configuration を選択して AAA Clients テーブルを表示し、Cisco SAN-OS スイッチが Cisco ACS 上で AAA クライアントとして設定されていることを確認します。

ステップ 2 User Setup > User Data Configuration を選択して、ユーザが設定されていることを確認します。

ステップ 3 ユーザの Cisco IOS/PIX RADIUS Attributes フィールドを表示します。AVペアで、ユーザに正しいロールが割り当てられていることを確認します。たとえば、 shell:roles="network-admin" です。


) Cisco IOS/PIX RADIUS Attributes フィールドでは、大文字と小文字が区別されます。AVペアに表示されているロールが Cisco SAN-OS スイッチ上に存在していることを確認します。


ステップ 4 Cisco IOS/PIX RADIUS Attributes フィールドが表示されない場合は、次の手順に従います。

a. Interface > RADIUS (Cisco IOS/PIX) を選択します。

b. cisco-av-pair オプションの User チェックボックスおよび Group チェックボックスをオンし、Submit をクリックします。

c. User Setup > User Data Configuration を選択して AVペアを追加し、各ユーザに正しいロールを割り当てます。

ステップ 5 System Configuration > Logging を選択してログを有効にし、認証の試みが失敗した原因を調べます。

ステップ 6 Reports and Activity を選択して、生成されたログを表示します。

ステップ 7 Cisco SAN-OS スイッチ上で show radius-server コマンドを使用して、RADIUS サーバのタイムアウト値が 5 秒以上に設定されていることを確認します。


 

詳細については、次の Web サイトで『User guide for Cisco Secure ACS』を参照してください。

http://cisco.com/en/US/products/sw/secursw/ps2086/products_user_guide_list.html