Cisco UCS Central CLI コンフィギュレーション ガイド リリース 1.0
認証の設定
認証の設定
発行日;2013/04/26   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

認証の設定

この章の内容は、次のとおりです。

認証サービス

Cisco UCS Central はリモート認証のために LDAP を使用しますが、このリリースでは RADIUS および TACACS+ 認証を除外します。 ただし、RADIUS、TACACS+、および LDAP 認証は、ローカルに管理される Cisco UCS ドメイン でサポートされています。

リモート認証プロバイダーに関する注意事項および推奨事項

システムを、サポートされているリモート認証サービスのいずれかに設定する場合は、そのサービス用のプロバイダーを作成して、Cisco UCS Central がそのサービスと通信できるようにする必要があります。 また、ユーザ許可に影響する次のガイドラインに留意する必要があります。

リモート認証サービスのユーザ アカウント

ユーザ アカウントは、Cisco UCS Central にローカルに存在するか、またはリモート認証サーバに存在することができます。 リモート認証サービスを介してログインしているユーザの一時的なセッションは、Cisco UCS Central GUI または Cisco UCS Central CLI で表示できます。

リモート認証サービスのユーザ ロール

リモート認証サーバでユーザ アカウントを作成する場合は、ユーザが Cisco UCS Central で作業するために必要なロールをそれらのアカウントに含めること、およびそれらのロールの名前を Cisco UCS Central で使用される名前と一致させることが必要です。 ロール ポリシーによっては、ユーザがログインできない場合があり、その場合は読み取り専用権限だけが付与されます。

ローカルおよびリモート ユーザ認証のサポート

Cisco UCS Central はリモート認証のために LDAP を使用しますが、このリリースでは RADIUS および TACACS+ 認証を除外します。 ただし、RADIUS、TACACS+、および LDAP 認証は、ローカルに管理される Cisco UCS ドメイン でサポートされています。

リモート認証プロバイダーのユーザ属性

ユーザがログインすると、Cisco UCS Central は次を実行します。

  1. リモート認証サービスに問い合わせます。
  2. ユーザを検証します。
  3. ユーザが検証されると、そのユーザに割り当てられているロールとロケールをチェックします。
次の表に、Cisco UCS Central によってサポートされるリモート認証プロバイダーのユーザ属性要件の比較を示します。

表 1 リモート認証プロバイダーによるユーザ属性の比較
認証プロバイダー カスタム属性 スキーマの拡張 属性 ID 要件

LDAP

オプション

オプション 次のいずれかを選択して実行できます。

  • LDAP スキーマを拡張せず、要件を満たす既存の未使用の属性を設定します。
  • LDAP スキーマを拡張して、CiscoAVPair などの一意の名前でカスタム属性を作成します。

シスコの LDAP 実装では Unicode タイプの属性が必要です。

CiscoAVPair のカスタム属性を作成する場合は、属性 ID として 1.3.6.1.4.1.9.287247.1 を使用します。

次の項で、サンプル OID を示します。

LDAP ユーザ属性のサンプル OID

カスタム CiscoAVPair 属性のサンプル OID は、次のとおりです。

CN=CiscoAVPair,CN=Schema,
CN=Configuration,CN=X
objectClass: top
objectClass: attributeSchema
cn: CiscoAVPair
distinguishedName: CN=CiscoAVPair,CN=Schema,CN=Configuration,CN=X
instanceType: 0x4
uSNCreated: 26318654
attributeID: 1.3.6.1.4.1.9.287247.1
attributeSyntax: 2.5.5.12
isSingleValued: TRUE
showInAdvancedViewOnly: TRUE
adminDisplayName: CiscoAVPair
adminDescription: UCS User Authorization Field
oMSyntax: 64
lDAPDisplayName: CiscoAVPair
name: CiscoAVPair
objectCategory: CN=Attribute-Schema,CN=Schema,CN=Configuration,CN=X

LDAP グループ ルール

LDAP グループ ルールは、ユーザ ロールおよびロケールをリモート ユーザに割り当てる際に、Cisco UCS が LDAP グループを使用する必要があるかどうかを判断するために使用されます。

LDAP プロバイダーの設定

LDAP プロバイダーのプロパティの設定

このタスクで設定するプロパティは、Cisco UCS Central で定義されたこのタイプのすべてのプロバイダー接続のデフォルト設定です。 個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Cisco UCS でその設定が使用され、デフォルト設定は無視されます。

LDAP サーバとして Active Directory を使用する場合、Cisco UCS にバインドする Active Directory サーバでユーザ アカウントを作成します。 このアカウントには、期限切れにならないパスワードを設定する必要があります。

手順
     コマンドまたはアクション目的
    ステップ 1UCSC# connect policy-mgr  

    Policy Manager モードを開始します。

     
    ステップ 2UCSC(policy-mgr)# scope domain-group domain-group  

    ドメイン グループ ルート モードを開始し、(任意で)ドメイン グループ ルート下のドメイン グループを開始します。 ドメイン グループ ルート モードを開始するには、/domain-group として入力します。

     
    ステップ 3UCSC(policy-mgr) /domain-group # scope security  

    セキュリティ モードを開始します。

     
    ステップ 4UCSC(policy-mgr) /domain-group/security # scope ldap  

    セキュリティ LDAP モードを開始します。

     
    ステップ 5UCSC(policy-mgr) /domain-group/security/ldap # set attribute attribute  

    指定された属性を含むレコードにデータベース検索を限定します。

     
    ステップ 6UCSC(policy-mgr) /domain-group/security/ldap* # set basedn distinguished-name  

    指定された識別名を含むレコードにデータベース検索を限定します。

     
    ステップ 7UCSC(policy-mgr) /domain-group/security/ldap* # set filter filter  

    指定されたフィルタを含むレコードにデータベース検索を限定します。

     
    ステップ 8UCSC(policy-mgr) /domain-group/security/ldap* # set timeout seconds  

    システムがサーバをダウン状態として通知する前に、LDAP サーバからの応答を待つ時間間隔を設定します。

     
    ステップ 9UCSC(policy-mgr) /domain-group/security/ldap* # commit-buffer  

    トランザクションをシステムの設定にコミットします。

     

    次に、LDAP 属性を CiscoAvPair に、ベース識別名を "DC=cisco-ucsm-aaa3,DC=qalab,DC=com" に、フィルタを sAMAccountName=$userid に、タイムアウト間隔を 5 秒にそれぞれ設定し、トランザクションをコミットする例を示します。

    UCSC # connect policy-mgr
    UCSC(policy-mgr)# scope domain-group
    UCSC(policy-mgr) /domain-group # scope security
    UCSC(policy-mgr) /domain-group/security # scope ldap
    UCSC(policy-mgr) /domain-group/security/ldap # set attribute CiscoAvPair
    UCSC(policy-mgr) /domain-group/security/ldap* # set basedn "DC=cisco-ucsm-aaa3,DC=qalab,DC=com"
    UCSC(policy-mgr) /domain-group/security/ldap* # set filter sAMAccountName=$userid
    UCSC(policy-mgr) /domain-group/security/ldap* # set timeout 5
    UCSC(policy-mgr) /domain-group/security/ldap* # commit-buffer
    UCSC(policy-mgr) /domain-group/security/ldap # 
    
    次の作業

    LDAP プロバイダーを作成します。

    LDAP プロバイダーの作成

    Cisco UCS Central は最大 16 の LDAP プロバイダーをサポートします。

    はじめる前に

    LDAP サーバとして Active Directory を使用する場合、Cisco UCS にバインドする Active Directory サーバでユーザ アカウントを作成します。 このアカウントには、期限切れにならないパスワードを設定する必要があります。

    • LDAP サーバで、次のいずれかの設定を行います。
      • LDAP グループを設定します。 LDAP グループには、ユーザのロールとロケール情報が含まれています。
      • Cisco UCS Central のユーザ ロールとロケール情報を保持する属性でユーザを設定します。 この属性について LDAP スキーマを拡張するかどうかを選択できます。 スキーマを拡張しない場合は、既存の LDAP 属性を使用して Cisco UCS ユーザ ロールとロケールを保持します。 スキーマを拡張する場合は、CiscoAVPair 属性などのカスタム属性を作成します。 シスコの LDAP の実装では、Unicode タイプの属性が必要です。 CiscoAVPair カスタム属性を作成する場合は、属性 ID として 1.3.6.1.4.1.9.287247.1 を使用します
      • クラスタ設定では、両方のファブリック インターコネクトに対する管理ポート IP アドレスを追加します。 この設定では、1 つめのファブリック インターコネクトで障害が発生し、システムが 2 つめのファブリック インターコネクトにフェールオーバーしても、リモート ユーザは引き続きログインできることが保証されます。 ログイン要求はすべて、これらの IP アドレスから送信されます。Cisco UCS Central によって使用されている仮想 IP アドレスではありません。
    • セキュア通信を使用するには、Cisco UCS Central で LDAP サーバのルート認証局(CA)の証明書を含むトラスト ポイントを作成します。
    手順
       コマンドまたはアクション目的
      ステップ 1UCSC# connect policy-mgr  

      Policy Manager モードを開始します。

       
      ステップ 2UCSC(policy-mgr)# scope domain-group domain-group  

      ドメイン グループ ルート モードを開始し、(任意で)ドメイン グループ ルート下のドメイン グループを開始します。 ドメイン グループ ルート モードを開始するには、/domain-group として入力します。

       
      ステップ 3UCSC(policy-mgr) /domain-group # scope security  

      セキュリティ モードを開始します。

       
      ステップ 4UCSC(policy-mgr) /domain-group/security # scope ldap  

      セキュリティ LDAP モードを開始します。

       
      ステップ 5UCSC(policy-mgr) /domain-group/security/ldap # create server server-name  

      LDAP サーバ インスタンスを作成し、セキュリティ LDAP サーバ モードを開始します。 SSL がイネーブルの場合、server-name(通常は IP アドレスまたは FQDN)は、正確に LDAP サーバのセキュリティ証明書の通常名(CN)と一致する必要があります。 IP アドレスではなくホスト名を使用する場合、DNS サーバを設定する必要があります。 Cisco UCS ドメインCisco UCS Central に登録されていないか、DNS 管理が [local] に設定されている場合、DNS サーバを Cisco UCS Manager に設定します。 Cisco UCS ドメインCisco UCS Central に登録されており、DNS 管理が [global] に設定されている場合、DNS サーバを Cisco UCS Central に設定します。

       
      ステップ 6UCSC(policy-mgr) /domain-group/security/ldap/server* # set attribute attribute   (任意)

      ユーザ ロールとロケールの値を保管する LDAP 属性。 このプロパティは、常に、名前と値のペアで指定されます。 システムは、ユーザ レコードで、この属性名と一致する値を検索します。

      LDAP スキーマを拡張しない場合、既存の、使用されていない LDAP 属性を Cisco UCS ロールとスケールに設定できます。 あるいは、CiscoAVPair という名前の属性を、属性 ID 1.3.6.1.4.1.9.287247.1 を指定してリモート認証サービスで作成できます。

      デフォルトの属性が LDAP の [General] タブで設定されていない場合は、この値が必要です。

       
      ステップ 7UCSC(policy-mgr) /domain-group/security/ldap/server* # set basedn basedn-name   (任意)

      リモート ユーザがログインして、システムがユーザ名に基づいてユーザの DN を取得しようとするときに、サーバが検索を開始する必要がある場合の、LDAP 階層内の特定の識別名。 サポートされるストリングの最大長は 127 文字です。

      デフォルトのベース DN が LDAP の [General] タブで設定されていない場合は、この値が必要です。

       
      ステップ 8UCSC(policy-mgr) /domain-group/security/ldap/server* # set binddn binddn-name   (任意)

      ベース DN の下にあるすべてのオブジェクトに対する読み取りおよび検索の権限を持つ LDAP データベース アカウントの識別名(DN)。

      サポートされるストリングの最大長は 127 文字の ASCII 文字です。

       
      ステップ 9UCSC(policy-mgr) /domain-group/security/ldap/server* # set filter filter-value   (任意)

      LDAP 検索は、定義したフィルタと一致するユーザ名に制限されます。

      デフォルトのフィルタが LDAP の [General] タブで設定されていない場合は、この値が必要です。

       
      ステップ 10UCSC(policy-mgr) /domain-group/security/ldap/server* # set password  

      [Bind DN] フィールドで指定した LDAP データベース アカウントのパスワード。 標準 ASCII 文字を入力できます。「§」(セクション記号)、「?」 (疑問符)、「=」(等号)は除きます。

      パスワードを設定するには、set password コマンドを入力してから Enter キーを押し、プロンプトでキー値を入力します。

       
      ステップ 11UCSC(policy-mgr) /domain-group/security/ldap/server* # set order order-num   (任意)

      Cisco UCS でこのプロバイダーをユーザの認証に使用する順序。

       
      ステップ 12UCSC(policy-mgr) /domain-group/security/ldap/server* # set port port-num   (任意)

      Cisco UCS が LDAP データベースと通信するために使用するポート。 標準ポート番号は 389 です。

       
      ステップ 13UCSC(policy-mgr) /domain-group/security/ldap/server* # set ssl {yes | no}  

      LDAP サーバと通信するときの暗号化の使用をイネーブルまたはディセーブルにします。 オプションは次のとおりです。

      • yes:暗号化が必要です。 暗号化をネゴシエートできない場合は、接続に失敗します。
      • no:暗号化はディセーブルです。 認証情報はクリア テキストとして送信されます。

      LDAP では STARTTLS が使用されます。 これにより、ポート 389 を使用した暗号化通信を行えます。

       
      ステップ 14UCSC(policy-mgr) /domain-group/security/ldap/server* # set timeout timeout-num  

      LDAP データベースへの問い合わせがタイム アウトするまでの秒数。

      1 ~ 60 秒の整数を入力するか、0(ゼロ)を入力して LDAP [General] タブに指定したグローバル タイムアウト値を使用します。 デフォルトは 30 秒です。

       
      ステップ 15UCSC(policy-mgr) /domain-group/security/ldap/server* # commit-buffer  

      トランザクションをシステムの設定にコミットします。

       

      次に、10.193.169.246 という LDAP サーバ インスタンスを作成し、binddn、パスワード、順序、ポート、SSL をそれぞれ設定し、トランザクションをコミットする例を示します。

      UCSC # connect policy-mgr
      UCSC(policy-mgr)# scope domain-group
      UCSC(policy-mgr) /domain-group # scope security
      UCSC(policy-mgr) /domain-group/security # scope ldap
      UCSC(policy-mgr) /domain-group/security/ldap # create server 10.193.169.246
      UCSC(policy-mgr) /domain-group/security/ldap/server* # set binddn "cn=Administrator,cn=Users,DC=cisco-ucsm-aaa3,DC=qalab,DC=com"
      UCSC(policy-mgr) /domain-group/security/ldap/server* # set password
      Enter the password:
      Confirm the password:
      UCSC(policy-mgr) /domain-group/security/ldap/server* # set order 2
      UCSC(policy-mgr) /domain-group/security/ldap/server* # set port 389
      UCSC(policy-mgr) /domain-group/security/ldap/server* # set ssl yes
      UCSC(policy-mgr) /domain-group/security/ldap/server* # set timeout 30
      UCSC(policy-mgr) /domain-group/security/ldap/server* # commit-buffer
      UCSC(policy-mgr) /domain-group/security/ldap/server # 
      
      次の作業

      • 1 つの LDAP データベースを含む実装では、認証サービスとして [LDAP] を選択します。
      • 複数の LDAP データベースを含む実装では LDAP プロバイダーのグループを設定します。

      LDAP プロバイダーの LDAP グループ ルールの変更

      手順
         コマンドまたはアクション目的
        ステップ 1UCSC# connect policy-mgr  

        Policy Manager モードを開始します。

         
        ステップ 2UCSC(policy-mgr)# scope domain-group domain-group  

        ドメイン グループ ルート モードを開始し、(任意で)ドメイン グループ ルート下のドメイン グループを開始します。 ドメイン グループ ルート モードを開始するには、/domain-group として入力します。

         
        ステップ 3UCSC(policy-mgr) /domain-group # scope security  

        セキュリティ モードを開始します。

         
        ステップ 4UCSC(policy-mgr) /domain-group/security # scope ldap  

        セキュリティ LDAP モードを開始します。

         
        ステップ 5UCSC(policy-mgr) /domain-group/security/ldap # scope server ldap-provider  

        セキュリティ LDAP プロバイダー モードを開始します。

         
        ステップ 6UCSC(policy-mgr) /domain-group/security/ldap/server # scope ldap-group-rule  

        LDAP グループ ルール モードを開始します。

         
        ステップ 7UCSC(policy-mgr) /domain-group/security/ldap/server/ldap-group-rule # set authorization {enable | disable}  

        ユーザ ロールとロケールをリモート ユーザに割り当てるときに、Cisco UCS が LDAP グループを検索するかどうかを指定します。

        • disable:Cisco UCS LDAP グループにアクセスしません。
        • enable:Cisco UCS は、この Cisco UCS ドメインにマッピングされた LDAP プロバイダー グループを検索します。 リモート ユーザが検出されると、Cisco UCS は、関連付けられた LDAP グループ マップで、その LDAP グループに定義されたユーザ ロールとロケールを割り当てます。
        (注)     

        ロールとロケールの割り当ては累積されます。 ユーザが複数のグループに含まれるか、LDAP 属性に指定されたロールまたはロケールを持つ場合、Cisco UCS はそのユーザを、それらのグループまたは属性のいずれかにマップされているすべてのロールおよびロケールに割り当てます。

         
        ステップ 8UCSC(policy-mgr) /domain-group/security/ldap/server/ldap-group-rule* # set member-of-attribute attr-name  

        属性 Cisco UCS が LDAP データベース内のグループ メンバーシップを判別するために使用します。

        サポートされるストリングの長さは 63 文字です。 デフォルトの文字列は memberOf です。

         
        ステップ 9UCSC(policy-mgr) /domain-group/security/ldap/server/ldap-group-rule* # set traversal {non-recursive | recursive}  

        Cisco UCS がグループ メンバーの親グループの設定を引き継ぐかどうかを、必要に応じて指定します。 ここに表示される値は次のとおりです。

        • non-recursive:Cisco UCS は、ユーザが所属するグループだけを検索します。
        • recursive:Cisco UCS は、ユーザに属する継承元グループすべてを検索します。
         
        ステップ 10UCSC(policy-mgr) /domain-group/security/ldap/server/ldap-group-rule* # commit-buffer  

        トランザクションをシステムの設定にコミットします。

         

        次に、認証をイネーブルにするよう LDAP グループ ルールを設定し、メンバー属性を memberOf に、トラバーサルを non-recursive に設定し、トランザクションをコミットする例を示します。

        UCSC # connect policy-mgr
        UCSC(policy-mgr)# scope domain-group
        UCSC(policy-mgr) /domain-group # scope security
        UCSC(policy-mgr) /domain-group/security # scope ldap
        UCSC(policy-mgr) /domain-group/security/ldap # scope server ldapprovider
        UCSC(policy-mgr) /domain-group/security/ldap/server # scope ldap-group-rule
        UCSC(policy-mgr) /domain-group/security/ldap/server/ldap-group-rule # set authorization enable
        UCSC(policy-mgr) /domain-group/security/ldap/server/ldap-group-rule* # set member-of-attribute memberOf
        UCSC(policy-mgr) /domain-group/security/ldap/server/ldap-group-rule* # set traversal non-recursive
        UCSC(policy-mgr) /domain-group/security/ldap/server/ldap-group-rule* # commit-buffer
        UCSC(policy-mgr) /domain-group/security/ldap/server/ldap-group-rule #

        LDAP プロバイダーの削除

        手順
           コマンドまたはアクション目的
          ステップ 1UCSC# connect policy-mgr  

          Policy Manager モードを開始します。

           
          ステップ 2UCSC(policy-mgr)# scope domain-group domain-group  

          ドメイン グループ ルート モードを開始し、(任意で)ドメイン グループ ルート下のドメイン グループを開始します。 ドメイン グループ ルート モードを開始するには、/domain-group として入力します。

           
          ステップ 3UCSC(policy-mgr) /domain-group # scope security  

          セキュリティ モードを開始します。

           
          ステップ 4UCSC(policy-mgr) /domain-group/security # scope ldap  

          セキュリティ LDAP モードを開始します。

           
          ステップ 5UCSC(policy-mgr) /domain-group/security/ldap # delete server serv-name  

          指定したサーバを削除します。

           
          ステップ 6UCSC(policy-mgr) /domain-group/security/ldap* # commit-buffer  

          トランザクションをシステムの設定にコミットします。

           

          次に、ldap1 という LDAP サーバを削除して、トランザクションをコミットする例を示します。

          UCSC # connect policy-mgr
          UCSC(policy-mgr)# scope domain-group
          UCSC(policy-mgr) /domain-group # scope security
          UCSC(policy-mgr) /domain-group/security # scope ldap
          UCSC(policy-mgr) /domain-group/security/ldap # delete server ldap1
          UCSC(policy-mgr) /domain-group/security/ldap* # commit-buffer
          UCSC(policy-mgr) /domain-group/security/ldap #

          LDAP グループ マッピング

          すでに LDAP グループを使用して LDAP データベースへのアクセスを制限している組織の場合、グループ メンバーシップ情報は、ログイン中にロールまたはロケールを LDAP ユーザに割り当てるために Cisco UCS ドメインで使用できます。 これにより、Cisco UCS Central が展開されるときに LDAP ユーザ オブジェクトのロールまたはロケール情報を定義する必要がなくなります。


          (注)  


          LDAP グループ マッピングは、このリリースの Cisco UCS Central ではサポートされません。 ただし、LDAP グループ マップは、Cisco UCS Central ドメイン グループ ルートからローカルに管理される Cisco UCS ドメインでサポートされています。


          ユーザが Cisco UCS Central にログインすると、ユーザのロールおよびロケールに関する情報が LDAP グループ マップからプルされます。 ロールとロケールの条件がポリシー情報と一致する場合、アクセスが許可されます。

          ロールとロケールの定義は Cisco UCS Central でローカルに設定され、LDAP ディレクトリへの変更に基づいて自動的に更新されません。 LDAP ディレクトリの LDAP グループを削除または名前変更する場合は、変更によって Cisco UCS Central を更新することが重要です。

          LDAP グループ マップは、次のロールとロケールのいずれかの組み合わせを含むように設定できます。
          • ロールのみ
          • ロケールのみ
          • ロールとロケールの両方
          たとえば、特定の場所のサーバ管理者のグループを表す LDAP グループがあるとします。 LDAP グループ マップは、server-profile と server-equipment などのユーザ ロールを含むように設定される場合があります。 特定の場所のサーバ管理者へのアクセスを制限するために、ロケールを特定のサイト名に設定できます。

          (注)  


          Cisco UCS Central には、すぐに使用可能な多くのユーザ ロールが含まれていますが、ロケールは含まれていません。 LDAP プロバイダー グループをロケールにマッピングするには、カスタム ロケールを作成する必要があります。


          LDAP グループ マップの作成

          はじめる前に
          • LDAP サーバで LDAP グループを作成します。
          • LDAP サーバで LDAP グループの識別名を設定します。
          • Cisco UCS Central でロケールを作成します(任意)。
          • Cisco UCS Central でカスタム ロールを作成します(任意)。
          手順
             コマンドまたはアクション目的
            ステップ 1UCSC# connect policy-mgr  

            Policy Manager モードを開始します。

             
            ステップ 2UCSC(policy-mgr)# scope domain-group domain-group  

            ドメイン グループ ルート モードを開始し、(任意で)ドメイン グループ ルート下のドメイン グループを開始します。 ドメイン グループ ルート モードを開始するには、/domain-group として入力します。

             
            ステップ 3UCSC(policy-mgr) /domain-group # scope security  

            セキュリティ モードを開始します。

             
            ステップ 4UCSC(policy-mgr) /domain-group/security # scope ldap  

            セキュリティ LDAP モードを開始します。

             
            ステップ 5UCSC(policy-mgr) /domain-group/security/ldap # create ldap-group group-dn  

            指定した DN 用の LDAP グループ マップを作成します。

             
            ステップ 6UCSC(policy-mgr) /domain-group/security/ldap/ldap-group* # create locale locale-name  

            指定されたロケールに LDAP グループをマッピングします。

             
            ステップ 7UCSC(policy-mgr) /domain-group/security/ldap/ldap-group* # create role role-name  

            指定されたロールに LDAP グループをマッピングします。

             
            ステップ 8UCSC(policy-mgr) /domain-group/security/ldap/ldap-group* # commit-buffer  

            トランザクションをシステムの設定にコミットします。

             

            次に、DN にマッピングされた LDAP グループをマッピングし、ロケールを pacific に設定し、ロールを admin に設定して、トランザクションをコミットする例を示します。

            UCSC # connect policy-mgr
            UCSC(policy-mgr)# scope domain-group
            UCSC(policy-mgr) /domain-group # scope security
            UCSC(policy-mgr) /domain-group/security # scope ldap
            UCSC(policy-mgr) /domain-group/security/ldap # create ldap-group cn=security,cn=users,dc=lab,dc=com
            UCSC(policy-mgr) /domain-group/security/ldap/ldap-group* # create locale pacific
            UCSC(policy-mgr) /domain-group/security/ldap/ldap-group* # create role admin
            UCSC(policy-mgr) /domain-group/security/ldap/ldap-group* # commit-buffer
            UCSC(policy-mgr) /domain-group/security/ldap/ldap-group #
            次の作業

            LDAP グループ ルールを設定します。

            LDAP グループ マップの削除

            手順
               コマンドまたはアクション目的
              ステップ 1UCSC# connect policy-mgr  

              Policy Manager モードを開始します。

               
              ステップ 2UCSC(policy-mgr)# scope domain-group domain-group  

              ドメイン グループ ルート モードを開始し、(任意で)ドメイン グループ ルート下のドメイン グループを開始します。 ドメイン グループ ルート モードを開始するには、/domain-group として入力します。

               
              ステップ 3UCSC(policy-mgr) /domain-group # scope security  

              セキュリティ モードを開始します。

               
              ステップ 4UCSC(policy-mgr) /domain-group/security # scope ldap  

              セキュリティ LDAP モードを開始します。

               
              ステップ 5UCSC(policy-mgr) /domain-group/security/ldap # delete ldap-group group-dn  

              指定した DN 用の LDAP グループ マップを削除します。

               
              ステップ 6UCSC(policy-mgr) /domain-group/security/ldap* # commit-buffer  

              トランザクションをシステムの設定にコミットします。

               

              次に、LDAP グループ マップを削除して、トランザクションをコミットする例を示します。

              UCSC # connect policy-mgr
              UCSC(policy-mgr)# scope domain-group
              UCSC(policy-mgr) /domain-group # scope security
              UCSC(policy-mgr) /domain-group/security # scope ldap
              UCSC(policy-mgr) /domain-group/security/ldap # delete ldap-group cn=security,cn=users,dc=lab,dc=com
              UCSC(policy-mgr) /domain-group/security/ldap* # commit-buffer
              UCSC(policy-mgr) /domain-group/security/ldap #

              RADIUS プロバイダーの設定

              RADIUS プロバイダーのプロパティの設定

              このタスクで設定するプロパティは、Cisco UCS Central で定義されたこのタイプのすべてのプロバイダー接続のデフォルト設定です。 個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Cisco UCS でその設定が使用され、デフォルト設定は無視されます。


              (注)  


              RADIUS ネイティブ認証は、このリリースではサポートされていません。また、ドメイン グループ ルートおよびドメイン グループ下の Cisco UCS Central のポリシーの作成には使用できません。 RADIUS は、Cisco UCS ドメイン のグローバル ポリシーの作成に使用される場合があります。


              手順
                 コマンドまたはアクション目的
                ステップ 1UCSC# connect policy-mgr  

                Policy Manager モードを開始します。

                 
                ステップ 2UCSC(policy-mgr)# scope domain-group domain-group  

                ドメイン グループ ルート モードを開始し、(任意で)ドメイン グループ ルート下のドメイン グループを開始します。 ドメイン グループ ルート モードを開始するには、/domain-group として入力します。

                 
                ステップ 3UCSC(policy-mgr) /domain-group # scope security  

                セキュリティ モードを開始します。

                 
                ステップ 4UCSC(policy-mgr) /domain-group/security # scope radius  

                セキュリティ RADIUS モードを開始します。

                 
                ステップ 5UCSC(policy-mgr) /domain-group/security/radius # set retries retry-num  

                サーバをダウンとして通知する前に RADIUS サーバとの通信を再試行する回数を設定します。

                 
                ステップ 6UCSC(policy-mgr) /domain-group/security/radius* # set timeout seconds  

                システムがサーバをダウン状態として通知する前に、RADIUS サーバからの応答を待つ時間間隔を設定します。

                 
                ステップ 7UCSC(policy-mgr) /domain-group/security/radius* # commit-buffer  

                トランザクションをシステムの設定にコミットします。

                 

                次に、RADIUS の再試行回数を 4 に設定し、タイムアウト間隔を 30 秒に設定し、トランザクションをコミットする例を示します。

                UCSC # connect policy-mgr
                UCSC(policy-mgr)# scope domain-group
                UCSC(policy-mgr) /domain-group # scope security
                UCSC(policy-mgr) /domain-group/security # scope radius
                UCSC(policy-mgr) /domain-group/security/radius # set retries 4
                UCSC(policy-mgr) /domain-group/security/radius* # set timeout 30
                UCSC(policy-mgr) /domain-group/security/radius* # commit-buffer
                UCSC(policy-mgr) /domain-group/security/radius # 
                
                次の作業

                RADIUS プロバイダーを作成します。

                RADIUS プロバイダーの作成

                Cisco UCS Central は最大 16 の RADIUS プロバイダーをサポートします。 RADIUS ネイティブ認証は、このリリースではサポートされていません。また、ドメイン グループ ルートおよびドメイン グループ下の Cisco UCS Central のポリシーの作成には使用できません。 RADIUS は、Cisco UCS ドメイン のグローバル ポリシーの作成に使用される場合があります。

                はじめる前に

                RADIUS サーバで、次の設定を行います。

                • Cisco UCS Central のユーザ ロールとロケール情報を保持する属性でユーザを設定します。 この属性について RADIUS スキーマを拡張するかどうかを選択できます。 スキーマを拡張しない場合は、既存の RADIUS 属性を使用して Cisco UCS ユーザ ロールとロケールを保持します。 スキーマを拡張する場合は、cisco-avpair 属性などのカスタム属性を作成します。 シスコによる RADIUS の実装のベンダー ID は 009 であり、属性のベンダー ID は 001 です。 次の構文例は、cisco-avpair 属性を作成する場合に複数のユーザ ロールとロケールを指定する方法を示しています。shell:roles="admin,aaa" shell:locales="L1,abc"。 複数の値を区切るには、区切り文字としてカンマ「,」を使用します。
                • クラスタ設定では、両方のファブリック インターコネクトに対する管理ポート IP アドレスを追加します。 この設定では、1 つめのファブリック インターコネクトで障害が発生し、システムが 2 つめのファブリック インターコネクトにフェールオーバーしても、リモート ユーザは引き続きログインできることが保証されます。 ログイン要求はすべて、これらの IP アドレスから送信されます。Cisco UCS Central によって使用されている仮想 IP アドレスではありません。
                手順
                   コマンドまたはアクション目的
                  ステップ 1UCSC# connect policy-mgr  

                  Policy Manager モードを開始します。

                   
                  ステップ 2UCSC(policy-mgr)# scope domain-group domain-group  

                  ドメイン グループ ルート モードを開始し、(任意で)ドメイン グループ ルート下のドメイン グループを開始します。 ドメイン グループ ルート モードを開始するには、/domain-group として入力します。

                   
                  ステップ 3UCSC(policy-mgr) /domain-group # scope security  

                  セキュリティ モードを開始します。

                   
                  ステップ 4UCSC(policy-mgr) /domain-group/security # scope radius  

                  セキュリティ RADIUS モードを開始します。

                   
                  ステップ 5UCSC(policy-mgr) /domain-group/security/radius # create server server-name  

                  RADIUS サーバ インスタンスを作成し、セキュリティ RADIUS サーバ モードを開始します

                   
                  ステップ 6UCSC(policy-mgr) /domain-group/security/radius/server* # set authport authport-num   (任意)

                  RADIUS サーバとの通信に使用するポートを指定します。

                   
                  ステップ 7UCSC(policy-mgr) /domain-group/security/radius/server* # set key  

                  RADIUS サーバ キーを設定します。 キー値を設定するには、set key コマンドを入力してから Enter キーを押し、プロンプトでキー値を入力します。

                   
                  ステップ 8UCSC(policy-mgr) /domain-group/security/radius/server* # set order order-num   (任意)

                  このサーバが試行される順序を指定します。

                   
                  ステップ 9UCSC(policy-mgr) /domain-group/security/radius/server* # set retries retry-num   (任意)

                  サーバをダウンとして通知する前に RADIUS サーバとの通信を再試行する回数を設定します。

                   
                  ステップ 10UCSC(policy-mgr) /domain-group/security/radius/server* # set timeout seconds   (任意)

                  システムがサーバをダウン状態として通知する前に、RADIUS サーバからの応答を待つ時間間隔を設定します。

                   
                  ステップ 11UCSC(policy-mgr) /domain-group/security/radius/server* # commit-buffer  

                  トランザクションをシステムの設定にコミットします。

                   

                  次に、radiusserv7 という名前のサーバ インスタンスを作成し、認証ポートを 5858、キーを radiuskey321、順序を 2、再試行回数を 4、タイムアウトを 30 にそれぞれ設定して、トランザクションをコミットする例を示します。

                  UCSC # connect policy-mgr
                  UCSC(policy-mgr)# scope domain-group
                  UCSC(policy-mgr) /domain-group # scope security
                  UCSC(policy-mgr) /domain-group/security # scope radius
                  UCSC(policy-mgr) /domain-group/security/radius # create server radiusserv7
                  UCSC(policy-mgr) /domain-group/security/radius/server* # set authport 5858
                  UCSC(policy-mgr) /domain-group/security/radius/server* # set key
                  Enter the key: radiuskey321
                  Confirm the key: radiuskey321
                  UCSC(policy-mgr) /domain-group/security/radius/server* # set order 2
                  UCSC(policy-mgr) /domain-group/security/radius/server* # set retries 4
                  UCSC(policy-mgr) /domain-group/security/radius/server* # set timeout 30
                  UCSC(policy-mgr) /domain-group/security/radius/server* # commit-buffer
                  UCSC(policy-mgr) /domain-group/security/radius/server # 
                  
                  次の作業

                  • 1 つの RADIUS データベースを含む実装では、プライマリ認証サービスとして [RADIUS] を選択します。
                  • 複数の RADIUS データベースを含む実装では RADIUS プロバイダーのグループを設定します。

                  RADIUS プロバイダーの削除

                  手順
                     コマンドまたはアクション目的
                    ステップ 1UCSC# connect policy-mgr  

                    Policy Manager モードを開始します。

                     
                    ステップ 2UCSC(policy-mgr)# scope domain-group domain-group  

                    ドメイン グループ ルート モードを開始し、(任意で)ドメイン グループ ルート下のドメイン グループを開始します。 ドメイン グループ ルート モードを開始するには、/domain-group として入力します。

                     
                    ステップ 3UCSC(policy-mgr) /domain-group # scope security  

                    セキュリティ モードを開始します。

                     
                    ステップ 4UCSC(policy-mgr) /domain-group/security # scope radius  

                    セキュリティ RADIUS モードを開始します。

                     
                    ステップ 5UCSC(policy-mgr) /domain-group/security/radius # delete server serv-name  

                    指定したサーバを削除します。

                     
                    ステップ 6UCSC(policy-mgr) /domain-group/security/radius* # commit-buffer  

                    トランザクションをシステムの設定にコミットします。

                     

                    次に、radius1 という RADIUS サーバを削除し、トランザクションをコミットする例を示します。

                    UCSC # connect policy-mgr
                    UCSC(policy-mgr)# scope domain-group
                    UCSC(policy-mgr) /domain-group # scope security
                    UCSC(policy-mgr) /domain-group/security # scope radius
                    UCSC(policy-mgr) /domain-group/security/radius # delete server radius1
                    UCSC(policy-mgr) /domain-group/security/radius* # commit-buffer
                    UCSC(policy-mgr) /domain-group/security/radius #

                    TACACS+ プロバイダーの設定

                    TACACS+ プロバイダーのプロパティの設定

                    このタスクで設定するプロパティは、Cisco UCS Central で定義されたこのタイプのすべてのプロバイダー接続のデフォルト設定です。 個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Cisco UCS でその設定が使用され、デフォルト設定は無視されます。


                    (注)  


                    TACACS+ ネイティブ認証は、このリリースではサポートされていません。また、Cisco UCS Central でのポリシーの作成には使用できません。 TACACS+ は、Cisco UCS ドメイン のグローバル ポリシーの作成に使用される場合があります。


                    手順
                       コマンドまたはアクション目的
                      ステップ 1UCSC# connect policy-mgr  

                      Policy Manager モードを開始します。

                       
                      ステップ 2UCSC(policy-mgr)# scope domain-group domain-group  

                      ドメイン グループ ルート モードを開始し、(任意で)ドメイン グループ ルート下のドメイン グループを開始します。 ドメイン グループ ルート モードを開始するには、/domain-group として入力します。

                       
                      ステップ 3UCSC(policy-mgr) /domain-group # scope security  

                      セキュリティ モードを開始します。

                       
                      ステップ 4UCSC(policy-mgr) /domain-group/security # scope tacacs  

                      セキュリティ TACACS+ モードを開始します。 TACACS+ 関連設定はドメイン グループ ルートと子ドメイン グループ下の Cisco UCS ドメインだけに適用されます。

                       
                      ステップ 5UCSC(policy-mgr) /domain-group/security/tacacs # set key  

                      TACACS+ サーバ キーを設定します。 キー値を設定するには、set key コマンドを入力してから Enter キーを押し、プロンプトでキー値を入力します。

                       
                      ステップ 6UCSC(policy-mgr) /domain-group/security/tacacs* # set order order-num  

                      このサーバが試行される順序を指定します。

                       
                      ステップ 7UCSC(policy-mgr) /domain-group/security/tacacs* # set timeout seconds  

                      システムがサーバをダウン状態として通知する前に、TACACS+ サーバからの応答を待つ時間間隔を設定します。

                       
                      ステップ 8UCSC(policy-mgr) /domain-group/security/tacacs* # set port port-num  

                      TACACS+ サーバとの通信に使用するポートを指定します。

                       
                      ステップ 9UCSC(policy-mgr) /domain-group/security/tacacs* # commit-buffer  

                      トランザクションをシステムの設定にコミットします。

                       

                      次に、キーを tacacskey321、順番を 4、タイムアウト間隔を 45 秒、認証ポートを 5859 にそれぞれ設定してトランザクションをコミットする例を示します。

                      UCSC # connect policy-mgr
                      UCSC(policy-mgr)# scope domain-group
                      UCSC(policy-mgr) /domain-group # scope security
                      UCSC(policy-mgr) /domain-group/security # scope tacacs
                      UCSC(policy-mgr) /domain-group/security/tacacs # set key
                      Enter the key: tacacskey321
                      Confirm the key: tacacskey321
                      UCSC(policy-mgr) /domain-group/security/tacacs* # set order 4
                      UCSC(policy-mgr) /domain-group/security/tacacs* # set timeout 45
                      UCSC(policy-mgr) /domain-group/security/tacacs* # set port 5859
                      UCSC(policy-mgr) /domain-group/security/tacacs* # commit-buffer
                      UCSC(policy-mgr) /domain-group/security/tacacs # 
                      
                      次の作業

                      TACACS+ プロバイダーを作成します。

                      TACACS+ プロバイダーの作成

                      Cisco UCS Central は最大 16 の TACACS+ プロバイダーをサポートします。 TACACS+ ネイティブ認証は、このリリースではサポートされていません。また、Cisco UCS Central でのポリシーの作成には使用できません。 TACACS+ は、Cisco UCS ドメイン のグローバル ポリシーの作成に使用される場合があります。

                      はじめる前に

                      TACACS+ サーバで、次の設定を行います。

                      • cisco-av-pair 属性を作成します。 既存の TACACS+ 属性は使用できません。 cisco-av-pair 名は、TACACS+ プロバイダーの属性 ID を提供する文字列です。 次の構文例は、cisco-av-pair 属性を作成するときに複数のユーザ ロールとロケールを指定する方法を示しています。cisco-av-pair=shell:roles="admin aaa" shell:locales*"L1 abc"。 cisco-av-pair 属性構文でアスタリスク(*)を使用すると、ロケールがオプションとして指定され、同じ認可プロファイルを使用する他のシスコ デバイスで認証の失敗を防ぐことができます。 複数の値を区切るには、区切り文字としてスペースを使用します。
                      • クラスタ設定では、両方のファブリック インターコネクトに対する管理ポート IP アドレスを追加します。 この設定では、1 つめのファブリック インターコネクトで障害が発生し、システムが 2 つめのファブリック インターコネクトにフェールオーバーしても、リモート ユーザは引き続きログインできることが保証されます。 ログイン要求はすべて、これらの IP アドレスから送信されます。Cisco UCS Central によって使用されている仮想 IP アドレスではありません。
                      手順
                         コマンドまたはアクション目的
                        ステップ 1UCSC# connect policy-mgr  

                        Policy Manager モードを開始します。

                         
                        ステップ 2UCSC(policy-mgr)# scope domain-group domain-group  

                        ドメイン グループ ルート モードを開始し、(任意で)ドメイン グループ ルート下のドメイン グループを開始します。 ドメイン グループ ルート モードを開始するには、/domain-group として入力します。

                         
                        ステップ 3UCSC(policy-mgr) /domain-group # scope security  

                        セキュリティ モードを開始します。

                         
                        ステップ 4UCSC(policy-mgr) /domain-group/security # scope tacacs  

                        セキュリティ TACACS+ モードを開始します。

                         
                        ステップ 5UCSC(policy-mgr) /domain-group/security/tacacs # create server server-name  

                        TACACS+ サーバ インスタンスを作成し、セキュリティ TACACS+ サーバ モードを開始します

                         
                        ステップ 6UCSC(policy-mgr) /domain-group/security/tacacs/server* # set key   (任意)

                        TACACS+ サーバ キーを設定します。 キー値を設定するには、set key コマンドを入力してから Enter キーを押し、プロンプトでキー値を入力します。

                         
                        ステップ 7UCSC(policy-mgr) /domain-group/security/tacacs/server* # set order order-num   (任意)

                        このサーバが試行される順序を指定します。

                         
                        ステップ 8UCSC(policy-mgr) /domain-group/security/tacacs/server* # set timeout seconds   (任意)

                        システムがサーバをダウン状態として通知する前に、TACACS+ サーバからの応答を待つ時間間隔を設定します。

                         
                        ステップ 9UCSC(policy-mgr) /domain-group/security/tacacs/server* # set port port-num  

                        TACACS+ サーバとの通信に使用するポートを指定します。

                         
                        ステップ 10UCSC(policy-mgr) /domain-group/security/tacacs/server* # commit-buffer  

                        トランザクションをシステムの設定にコミットします。

                         

                        次に、tacacsserv680 という名前のサーバ インスタンスを作成し、キーを tacacskey321、順番を 4、認証ポートを 5859 にそれぞれ設定してトランザクションをコミットする例を示します。

                        UCSC # connect policy-mgr
                        UCSC(policy-mgr)# scope domain-group
                        UCSC(policy-mgr) /domain-group # scope security
                        UCSC(policy-mgr) /domain-group/security # scope tacacs
                        UCSC(policy-mgr) /domain-group/security/tacacs # create server tacacsserv680
                        UCSC(policy-mgr) /domain-group/security/tacacs/server* # set key
                        Enter the key: tacacskey321
                        Confirm the key: tacacskey321
                        UCSC(policy-mgr) /domain-group/security/tacacs/server* # set order 4
                        UCSC(policy-mgr) /domain-group/security/tacacs/server* # set timeout 45
                        UCSC(policy-mgr) /domain-group/security/tacacs/server* # set port 5859
                        UCSC(policy-mgr) /domain-group/security/tacacs/server* # commit-buffer
                        UCSC(policy-mgr) /domain-group/security/tacacs/server # 
                        
                        次の作業

                        • 1 つの TACACS+ データベースを含む実装では、プライマリ認証サービスとして [TACACS+] を選択します。
                        • 複数の TACACS+ データベースを含む実装では TACACS+ プロバイダーのグループを設定します。

                        TACACS+ プロバイダーの削除

                        手順
                           コマンドまたはアクション目的
                          ステップ 1UCSC# connect policy-mgr  

                          Policy Manager モードを開始します。

                           
                          ステップ 2UCSC(policy-mgr)# scope domain-group domain-group  

                          ドメイン グループ ルート モードを開始し、(任意で)ドメイン グループ ルート下のドメイン グループを開始します。 ドメイン グループ ルート モードを開始するには、/domain-group として入力します。

                           
                          ステップ 3UCSC(policy-mgr) /domain-group # scope security  

                          セキュリティ モードを開始します。

                           
                          ステップ 4UCSC(policy-mgr) /domain-group/security # scope tacacs  

                          セキュリティ TACACS+ モードを開始します。

                           
                          ステップ 5UCSC(policy-mgr) /domain-group/security/tacacs # delete server serv-name  

                          指定したサーバを削除します。

                           
                          ステップ 6UCSC(policy-mgr) /domain-group/security/tacacs* # commit-buffer  

                          トランザクションをシステムの設定にコミットします。

                           

                          次に、tacacs1 という TACACS サーバを削除して、トランザクションをコミットする例を示します。

                          UCSC # connect policy-mgr
                          UCSC(policy-mgr)# scope domain-group
                          UCSC(policy-mgr) /domain-group # scope security
                          UCSC(policy-mgr) /domain-group/security # scope tacacs
                          UCSC(policy-mgr) /domain-group/security/tacacs # delete server TACACS1
                          UCSC(policy-mgr) /domain-group/security/tacacs* # commit-buffer
                          UCSC(policy-mgr) /domain-group/security/tacacs #

                          複数の認証システムの設定

                          複数の認証システム

                          Cisco UCS を設定して、次の機能を設定することによって複数の認証システムを使用できます。

                          • プロバイダー グループ
                          • 認証ドメイン

                          Cisco UCS Central GUI でプロバイダー グループと認証ドメインを設定すると、ucs- auth-domain 構文を使用して Cisco UCS Central CLI でシステムにログインできます。

                          リモート認証サービスで複数の認証ドメインおよびネイティブ認証が設定されている場合、次のいずれかの構文例を使用して SSH または Putty でログインします。

                          Linux ターミナルから:

                          • ssh ucs-auth-domain\\username@Cisco UCS domain-ip-address ssh ucs-example\\jsmith@192.0.20.11
                          • ssh -l ucs-auth-domain\\username {Cisco UCS domain-ip-address | Cisco UCS domain-host-name} ssh -l ucs-example\\jsmith 192.0.20.11
                          • ssh {Cisco UCS domain-ip-address | Cisco UCS domain-host-name} -l ucs-auth-domain\\username ssh 192.0.20.11 -l ucs-example\\jsmith

                          Putty クライアントから:

                          • Login as: ucs-auth-domain\\username Login as: ucs-example\\jsmith

                          SSH クライアントから:

                          • Host Name: Cisco UCS domain-ip-address User Name: ucs-auth-domain\\username Host Name: 192.0.20.11 User Name: ucs-example\\jsmith

                          プロバイダー グループ

                          プロバイダー グループは、認証プロセス中に Cisco UCS によって使用されるプロバイダーのセットです。 Cisco UCS Central では、グループごとに最大 8 個のプロバイダーが許可された、最大 16 個のプロバイダー グループを作成できます。

                          認証中、プロバイダー グループ内のすべてのプロバイダーが順番に試行されます。 設定されたすべてのサーバが使用できない場合、または到達不能な場合、Cisco UCS Central は、ローカル ユーザ名とパスワードを使用して自動的にローカル認証方式にフォールバックします。

                          LDAP プロバイダー グループの作成

                          LDAP プロバイダーのグループを作成すると、複数の LDAP データベースを使用して認証を行うことができます。

                          (注)  


                          単一の LDAP データベースでの認証では、LDAP プロバイダーのグループを設定する必要はありません。


                          はじめる前に

                          1 つ以上の LDAP プロバイダーを作成します。

                          手順
                             コマンドまたはアクション目的
                            ステップ 1UCSC# connect policy-mgr  

                            Policy Manager モードを開始します。

                             
                            ステップ 2UCSC(policy-mgr)# scope domain-group domain-group  

                            ドメイン グループ ルート モードを開始し、(任意で)ドメイン グループ ルート下のドメイン グループを開始します。 ドメイン グループ ルート モードを開始するには、/domain-group として入力します。

                             
                            ステップ 3UCSC(policy-mgr) /domain-group # scope security  

                            セキュリティ モードを開始します。

                             
                            ステップ 4UCSC(policy-mgr) /domain-group/security # scope ldap  

                            セキュリティ LDAP モードを開始します。

                             
                            ステップ 5UCSC(policy-mgr) /domain-group/security/ldap # create auth-server-group auth-server-group-name  

                            LDAP プロバイダー グループを作成し、認証サーバ グループの LDAP セキュリティ モードを開始します。

                             
                            ステップ 6UCSC(policy-mgr) /domain-group/security/ldap/auth-server-group* # create server-ref ldap-provider-name  

                            指定された LDAP プロバイダーを LDAP プロバイダー グループに追加し、サーバ参照認証サーバ グループの LDAP セキュリティ モードを開始します。

                             
                            ステップ 7UCSC(policy-mgr) /domain-group/security/ldap/auth-server-group* # set order order-num  

                            Cisco UCS がこのプロバイダーをユーザの認証に使用する順序を指定します。

                            有効な値には no-value と 0 ~ 16 が含まれ、値が小さいほど優先度が高いことを示します。 順序を no-value に指定することは、そのサーバ参照の優先度を最高にするのと同じです。

                             
                            ステップ 8UCSC(policy-mgr) /domain-group/security/ldap/auth-server-group* # commit-buffer  

                            トランザクションをシステムの設定にコミットします。

                             

                            次に、ldapgroup という LDAP プロバイダー グループを作成し、ldap1 および ldap2 という 2 つの設定済みプロバイダーをプロバイダー グループに追加し、順序を設定して、トランザクションをコミットする例を示します。

                            UCSC # connect policy-mgr
                            UCSC(policy-mgr)# scope domain-group
                            UCSC(policy-mgr) /domain-group # scope security
                            UCSC(policy-mgr) /domain-group/security # scope ldap
                            UCSC(policy-mgr) /domain-group/security/ldap # create auth-server-group ldapgroup
                            UCSC(policy-mgr) /domain-group/security/ldap/auth-server-group* # create server-ref ldap1
                            UCSC(policy-mgr) /domain-group/security/ldap/auth-server-group/server-ref* # set order 1
                            UCSC(policy-mgr) /domain-group/security/ldap/auth-server-group/server-ref* # up
                            UCSC(policy-mgr) /domain-group/security/ldap/auth-server-group* # create server-ref ldap2
                            UCSC(policy-mgr) /domain-group/security/ldap/auth-server-group/server-ref* # set order 2
                            UCSC(policy-mgr) /domain-group/security/ldap/auth-server-group/server-ref* # commit-buffer
                            UCSC(policy-mgr) /domain-group/security/ldap/auth-server-group/server-ref #
                            次の作業

                            認証ドメインを設定するか、デフォルトの認証サービスを選択します。

                            LDAP プロバイダー グループの削除

                            はじめる前に

                            認証設定からプロバイダー グループを削除します。

                            手順
                               コマンドまたはアクション目的
                              ステップ 1UCSC# connect policy-mgr  

                              Policy Manager モードを開始します。

                               
                              ステップ 2UCSC(policy-mgr)# scope domain-group domain-group  

                              ドメイン グループ ルート モードを開始し、(任意で)ドメイン グループ ルート下のドメイン グループを開始します。 ドメイン グループ ルート モードを開始するには、/domain-group として入力します。

                               
                              ステップ 3UCSC(policy-mgr) /domain-group # scope security  

                              セキュリティ モードを開始します。

                               
                              ステップ 4UCSC(policy-mgr) /domain-group/security # scope ldap  

                              セキュリティ LDAP モードを開始します。

                               
                              ステップ 5UCSC(policy-mgr) /domain-group/security/ldap # delete auth-server-group auth-server-group-name  

                              LDAP プロバイダー グループを削除します。

                               
                              ステップ 6UCSC(policy-mgr) /domain-group/security/ldap* # commit-buffer  

                              トランザクションをシステムの設定にコミットします。

                               

                              次に、ldapgroup という LDAP プロバイダー グループを削除し、トランザクションをコミットする例を示します。

                              UCSC # connect policy-mgr
                              UCSC(policy-mgr)# scope domain-group
                              UCSC(policy-mgr) /domain-group # scope security
                              UCSC(policy-mgr) /domain-group/security # scope ldap
                              UCSC(policy-mgr) /domain-group/security/ldap # delete auth-server-group ldapgroup
                              UCSC(policy-mgr) /domain-group/security/ldap* # commit-buffer
                              UCSC(policy-mgr) /domain-group/security/ldap #

                              RADIUS プロバイダー グループの作成

                              RADIUS プロバイダーのグループを作成すると、複数の RADIUS データベースを使用して認証を行うことができます。

                              (注)  


                              単一の RADIUS データベースでの認証では、RADIUS プロバイダーのグループを設定する必要はありません。


                              はじめる前に

                              1 つ以上の RADIUS プロバイダーを作成します。

                              手順
                                 コマンドまたはアクション目的
                                ステップ 1UCSC# connect policy-mgr  

                                Policy Manager モードを開始します。

                                 
                                ステップ 2UCSC(policy-mgr)# scope domain-group domain-group  

                                ドメイン グループ ルート モードを開始し、(任意で)ドメイン グループ ルート下のドメイン グループを開始します。 ドメイン グループ ルート モードを開始するには、/domain-group として入力します。

                                 
                                ステップ 3UCSC(policy-mgr) /domain-group # scope security  

                                セキュリティ モードを開始します。

                                 
                                ステップ 4UCSC(policy-mgr) /domain-group/security # scope radius  

                                セキュリティ RADIUS モードを開始します。

                                 
                                ステップ 5UCSC(policy-mgr) /domain-group/security/radius # create auth-server-group auth-server-group-name  

                                RADIUS プロバイダー グループを作成し、認証サーバ グループの RADIUS セキュリティ モードを開始します。

                                 
                                ステップ 6UCSC(policy-mgr) /domain-group/security/radius/auth-server-group* # create server-ref ldap-provider-name  

                                指定された RADIUS プロバイダーを RADIUS プロバイダー グループに追加し、サーバ参照認証サーバ グループの RADIUS セキュリティ モードを開始します。

                                 
                                ステップ 7UCSC(policy-mgr) /domain-group/security/radius/auth-server-group* # set order order-num  

                                Cisco UCS がこのプロバイダーをユーザの認証に使用する順序を指定します。

                                有効な値には no-value と 0 ~ 16 が含まれ、値が小さいほど優先度が高いことを示します。 順序を no-value に指定することは、そのサーバ参照の優先度を最高にするのと同じです。

                                 
                                ステップ 8UCSC(policy-mgr) /domain-group/security/radius/auth-server-group* # commit-buffer  

                                トランザクションをシステムの設定にコミットします。

                                 

                                次に、radiusgroup という RADIUS プロバイダー グループを作成し、radius1 および radius2 という 2 つの設定済みプロバイダーをプロバイダー グループに追加し、順序を設定して、トランザクションをコミットする例を示します。

                                UCSC # connect policy-mgr
                                UCSC(policy-mgr)# scope domain-group
                                UCSC(policy-mgr) /domain-group # scope security
                                UCSC(policy-mgr) /domain-group/security # scope radius
                                UCSC(policy-mgr) /domain-group/security/radius # create auth-server-group radiusgroup
                                UCSC(policy-mgr) /domain-group/security/radius/auth-server-group* # create server-ref radius1
                                UCSC(policy-mgr) /domain-group/security/radius/auth-server-group/server-ref* # set order 1
                                UCSC(policy-mgr) /domain-group/security/radius/auth-server-group/server-ref* # up
                                UCSC(policy-mgr) /domain-group/security/radius/auth-server-group* # create server-ref radius2
                                UCSC(policy-mgr) /domain-group/security/radius/auth-server-group/server-ref* # set order 2
                                UCSC(policy-mgr) /domain-group/security/radius/auth-server-group/server-ref* # commit-buffer
                                UCSC(policy-mgr) /domain-group/security/radius/auth-server-group/server-ref #
                                次の作業

                                認証ドメインを設定するか、デフォルトの認証サービスを選択します。

                                RADIUS プロバイダー グループの削除

                                認証設定からプロバイダー グループを削除します。

                                手順
                                   コマンドまたはアクション目的
                                  ステップ 1UCSC# connect policy-mgr  

                                  Policy Manager モードを開始します。

                                   
                                  ステップ 2UCSC(policy-mgr)# scope domain-group domain-group  

                                  ドメイン グループ ルート モードを開始し、(任意で)ドメイン グループ ルート下のドメイン グループを開始します。 ドメイン グループ ルート モードを開始するには、/domain-group として入力します。

                                   
                                  ステップ 3UCSC(policy-mgr) /domain-group # scope security  

                                  セキュリティ モードを開始します。

                                   
                                  ステップ 4UCSC(policy-mgr) /domain-group/security # scope radius  

                                  セキュリティ RADIUS モードを開始します。

                                   
                                  ステップ 5UCSC(policy-mgr) /domain-group/security/radius # delete auth-server-group auth-server-group-name  

                                  RADIUS プロバイダー グループを削除します。

                                   
                                  ステップ 6UCSC(policy-mgr) /domain-group/security/radius* # commit-buffer  

                                  トランザクションをシステムの設定にコミットします。

                                   

                                  次に、radiusgroup という RADIUS プロバイダー グループを削除し、トランザクションをコミットする例を示します。

                                  UCSC # connect policy-mgr
                                  UCSC(policy-mgr)# scope domain-group
                                  UCSC(policy-mgr) /domain-group # scope security
                                  UCSC(policy-mgr) /domain-group/security # scope radius
                                  UCSC(policy-mgr) /domain-group/security/radius # delete auth-server-group radiusgroup
                                  UCSC(policy-mgr) /domain-group/security/radius* # commit-buffer
                                  UCSC(policy-mgr) /domain-group/security/radius #

                                  TACACS+ プロバイダー グループの作成

                                  TACACS+ プロバイダーのグループを作成すると、複数の TACACS+ データベースを使用して認証を行うことができます。

                                  (注)  


                                  単一の TACACS+ データベースでの認証では、TACACS+ プロバイダーのグループを設定する必要はありません。


                                  はじめる前に

                                  TACACS+ プロバイダーを作成します。

                                  手順
                                     コマンドまたはアクション目的
                                    ステップ 1UCSC# connect policy-mgr  

                                    Policy Manager モードを開始します。

                                     
                                    ステップ 2UCSC(policy-mgr)# scope domain-group domain-group  

                                    ドメイン グループ ルート モードを開始し、(任意で)ドメイン グループ ルート下のドメイン グループを開始します。 ドメイン グループ ルート モードを開始するには、/domain-group として入力します。

                                     
                                    ステップ 3UCSC(policy-mgr) /domain-group # scope security  

                                    セキュリティ モードを開始します。

                                     
                                    ステップ 4UCSC(policy-mgr) /domain-group/security # scope tacacs  

                                    セキュリティ TACACS+ モードを開始します。

                                     
                                    ステップ 5UCSC(policy-mgr) /domain-group/security/tacacs # create auth-server-group auth-server-group-name  

                                    TACACS+ プロバイダー グループを作成し、認証サーバ グループの TACACS+ セキュリティ モードを開始します。

                                     
                                    ステップ 6UCSC(policy-mgr) /domain-group/security/tacacs/auth-server-group* # create server-ref ldap-provider-name  

                                    指定された TACACS+ プロバイダーを TACACS+ プロバイダー グループに追加し、サーバ参照認証サーバ グループの TACACS+ セキュリティ モードを開始します。

                                     
                                    ステップ 7UCSC(policy-mgr) /domain-group/security/tacacs/auth-server-group* # set order order-num  

                                    Cisco UCS がこのプロバイダーをユーザの認証に使用する順序を指定します。

                                    有効な値には no-value と 0 ~ 16 が含まれ、値が小さいほど優先度が高いことを示します。 順序を no-value に指定することは、そのサーバ参照の優先度を最高にするのと同じです。

                                     
                                    ステップ 8UCSC(policy-mgr) /domain-group/security/tacacs/auth-server-group* # commit-buffer  

                                    トランザクションをシステムの設定にコミットします。

                                     

                                    次に、tacacsgroup という TACACS+ プロバイダー グループを作成し、tacacs1 および tacacs2 という 2 つの設定済みプロバイダーをプロバイダー グループに追加し、順序を設定して、トランザクションをコミットする例を示します。

                                    UCSC # connect policy-mgr
                                    UCSC(policy-mgr)# scope domain-group
                                    UCSC(policy-mgr) /domain-group # scope security
                                    UCSC(policy-mgr) /domain-group/security # scope tacacs
                                    UCSC(policy-mgr) /domain-group/security/tacacs # create auth-server-group tacacsgroup
                                    UCSC(policy-mgr) /domain-group/security/tacacs/auth-server-group* # create server-ref tacacs1
                                    UCSC(policy-mgr) /domain-group/security/tacacs/auth-server-group/server-ref* # set order 1
                                    UCSC(policy-mgr) /domain-group/security/tacacs/auth-server-group/server-ref* # up
                                    UCSC(policy-mgr) /domain-group/security/tacacs/auth-server-group* # create server-ref tacacs2
                                    UCSC(policy-mgr) /domain-group/security/tacacs/auth-server-group/server-ref* # set order 2
                                    UCSC(policy-mgr) /domain-group/security/tacacs/auth-server-group/server-ref* # commit-buffer
                                    UCSC(policy-mgr) /domain-group/security/tacacs/auth-server-group/server-ref #
                                    次の作業

                                    認証ドメインを設定するか、デフォルトの認証サービスを選択します。

                                    TACACS+ プロバイダー グループの削除

                                    認証設定からプロバイダー グループを削除します。

                                    手順
                                       コマンドまたはアクション目的
                                      ステップ 1UCSC# connect policy-mgr  

                                      Policy Manager モードを開始します。

                                       
                                      ステップ 2UCSC(policy-mgr)# scope domain-group domain-group  

                                      ドメイン グループ ルート モードを開始し、(任意で)ドメイン グループ ルート下のドメイン グループを開始します。 ドメイン グループ ルート モードを開始するには、/domain-group として入力します。

                                       
                                      ステップ 3UCSC(policy-mgr) /domain-group # scope security  

                                      セキュリティ モードを開始します。

                                       
                                      ステップ 4UCSC(policy-mgr) /domain-group/security # scope tacacs  

                                      セキュリティ TACACS+ モードを開始します。

                                       
                                      ステップ 5UCSC(policy-mgr) /domain-group/security/tacacs # delete auth-server-group auth-server-group-name  

                                      TACACS+ プロバイダー グループを削除します。

                                       
                                      ステップ 6UCSC(policy-mgr) /domain-group/security/tacacs* # commit-buffer  

                                      トランザクションをシステムの設定にコミットします。

                                       

                                      次に、tacacsgroup という TACACS+ プロバイダー グループを削除し、トランザクションをコミットする例を示します。

                                      UCSC # connect policy-mgr
                                      UCSC(policy-mgr)# scope domain-group
                                      UCSC(policy-mgr) /domain-group # scope security
                                      UCSC(policy-mgr) /domain-group/security # scope tacacs
                                      UCSC(policy-mgr) /domain-group/security/tacacs # delete auth-server-group tacacsgroup
                                      UCSC(policy-mgr) /domain-group/security/tacacs* # commit-buffer
                                      UCSC(policy-mgr) /domain-group/security/tacacs #

                                      認証ドメイン

                                      認証ドメインは、複数の認証システムを活用するために Cisco UCS ドメインによって使用されます。 各認証ドメインは、ログイン中に指定および設定されます。 認証ドメインを指定しないと、デフォルトの認証サービス設定が使用されます。

                                      最大 8 個の認証ドメインを作成できます。 各認証ドメインは、Cisco UCS ドメイン内のプロバイダー グループと領域に関連付けられています。 プロバイダー グループが指定されていない場合は、領域内のすべてのサーバが使用されます。


                                      (注)  


                                      LDAP の認証ドメインは、このリリースの Cisco UCS Central ではサポートされていません。 ただし、認証ドメインは、Cisco UCS Central ドメイン グループ ルートから管理対象 Cisco UCS ドメインでサポートされています。


                                      認証ドメインの作成

                                      手順
                                         コマンドまたはアクション目的
                                        ステップ 1UCSC# connect policy-mgr  

                                        Policy Manager モードを開始します。

                                         
                                        ステップ 2UCSC(policy-mgr)# scope domain-group domain-group  

                                        ドメイン グループ ルート モードを開始し、(任意で)ドメイン グループ ルート下のドメイン グループを開始します。 ドメイン グループ ルート モードを開始するには、/domain-group として入力します。

                                         
                                        ステップ 3UCSC(policy-mgr) /domain-group # scope security  

                                        セキュリティ モードを開始します。

                                         
                                        ステップ 4UCSC(policy-mgr) /domain-group/security # scope auth-realm  

                                        認証レルム モードを開始します。

                                         
                                        ステップ 5UCSC(policy-mgr) /domain-group/security/auth-realm # create auth-domain domain-name  

                                        認証ドメインを作成し、認証ドメイン モードを開始します。 Radius 関連設定はドメイン グループ ルートと子ドメイン グループ下の Cisco UCS ドメインだけに適用されます。

                                        (注)     

                                        優先する認証プロトコルとして RADIUS を使用するシステムの場合、認証ドメイン名はユーザ名の一部と見なされ、ローカルに作成されたユーザ名の 32 文字の制限に対して考慮されます。 Cisco UCS はフォーマット用に 5 文字を挿入するため、認証はユーザ名とドメイン名を組み合わせた合計が 27 文字を超えると失敗します。

                                         
                                        ステップ 6UCSC(policy-mgr) /domain-group/security/auth-realm/auth-domain* # set refresh-period seconds   (任意)

                                        Web クライアントが Cisco UCS Central に接続するとき、Web セッションをアクティブに保つため、クライアントは Cisco UCS Central に更新要求を送信する必要があります。 このオプションは、このドメインのユーザについてリフレッシュ要求間に許容される最大時間を指定します。

                                        この時間制限を超えると、Cisco UCS Central は Web セッションを非アクティブであると見なしますが、セッションの終了は行いません。

                                        60 ~ 172800 の整数を指定します。 デフォルトは 600 秒です。

                                         
                                        ステップ 7UCSC(policy-mgr) /domain-group/security/auth-realm/auth-domain* # set session-timeout seconds   (任意)

                                        Cisco UCS Central が Web セッションを終了したと見なすまでに、最後の更新要求の後、経過できる最大時間。 この時間制限を超えた場合、Cisco UCS Central は自動的に Web セッションを終了します。

                                        60 ~ 172800 の整数を指定します。 デフォルトは 7200 秒です。

                                         
                                        ステップ 8UCSC(policy-mgr) /domain-group/security/auth-realm/auth-domain* # create default-auth   (任意)

                                        選択した認証ドメインのデフォルト認証を作成します。

                                         
                                        ステップ 9UCSC(policy-mgr) /domain-group/security/auth-realm/auth-domain/default-auth* # set auth-server-group auth-serv-group-name   (任意)

                                        指定した認証ドメインにプロバイダー グループを指定します。

                                         
                                        ステップ 10UCSC(policy-mgr) /domain-group/security/auth-realm/auth-domain/default-auth* # set realm {ldap | local | radius | tacacs}  

                                        指定した認証ドメインにレルムを指定します。

                                         
                                        ステップ 11UCSC(policy-mgr) /domain-group/security/auth-realm/auth-domain/default-auth* # commit-buffer  

                                        トランザクションをシステムの設定にコミットします。

                                         
                                        次に、Web リフレッシュ期間を 3600 秒(1 時間)、セッション タイムアウト期間を 14400 秒(4 時間)にそれぞれ設定した domain1 という名前の認証ドメインを作成し、ldapgroup1 内のプロバイダーを使用するよう domain1 を設定し、レルム タイプを ldap に設定して、トランザクションをコミットする例を示します。
                                        UCSC # connect policy-mgr
                                        UCSC(policy-mgr)# scope domain-group
                                        UCSC(policy-mgr) /domain-group # scope security
                                        UCSC(policy-mgr) /domain-group/security # scope auth-realm
                                        UCSC(policy-mgr) /domain-group/security/auth-realm # create auth-domain domain1
                                        UCSC(policy-mgr) /domain-group/security/auth-realm/auth-domain* # set refresh-period 3600
                                        UCSC(policy-mgr) /domain-group/security/auth-realm/auth-domain* # set session-timeout 14400
                                        UCSC(policy-mgr) /domain-group/security/auth-realm/auth-domain* # create default-auth
                                        UCSC(policy-mgr) /domain-group/security/auth-realm/auth-domain/default-auth* # set auth-server-group ldapgroup1
                                        UCSC(policy-mgr) /domain-group/security/auth-realm/auth-domain/default-auth* # set realm ldap
                                        UCSC(policy-mgr) /domain-group/security/auth-realm/auth-domain/default-auth* # commit-buffer
                                        UCSC(policy-mgr) /domain-group/security/auth-realm/auth-domain/default-auth #

                                        プライマリ認証サービスの選択

                                        コンソール認証サービスの選択

                                        はじめる前に

                                        システムでリモート認証サービスが使用されている場合は、その認証サービスに対するプロバイダーを作成します。 システムが Cisco UCS を介してローカル認証のみを使用する場合は、最初にプロバイダーを作成する必要はありません。

                                        手順
                                           コマンドまたはアクション目的
                                          ステップ 1UCSC# connect policy-mgr  

                                          Policy Manager モードを開始します。

                                           
                                          ステップ 2UCSC(policy-mgr)# scope domain-group domain-group  

                                          ドメイン グループ ルート モードを開始し、(任意で)ドメイン グループ ルート下のドメイン グループを開始します。 ドメイン グループ ルート モードを開始するには、/domain-group として入力します。

                                           
                                          ステップ 3UCSC(policy-mgr) /domain-group # scope security  

                                          セキュリティ モードを開始します。

                                           
                                          ステップ 4UCSC(policy-mgr) /domain-group/security # scope auth-realm  

                                          認証レルム セキュリティ モードを開始します。

                                           
                                          ステップ 5UCSC(policy-mgr) /domain-group/security/auth-realm # scope console-auth  

                                          コンソール認証セキュリティ モードを開始します。

                                           
                                          ステップ 6UCSC(policy-mgr) /domain-group/security/auth-realm/console-auth # set realm auth-type  

                                          コンソール認証を指定します。auth-type 引数は次のいずれかのキーワードです。

                                          • ldap:LDAP 認証を指定します
                                          • local:ローカル認証を指定します
                                          • none:ローカル ユーザがパスワードを指定せずにログインできるようにします
                                          • radius:RADIUS 認証を指定します
                                          • tacacs:TACACS+ 認証を指定します
                                           
                                          ステップ 7UCSC(policy-mgr) /domain-group/security/auth-realm/console-auth* # set auth-server-group auth-serv-group-name  

                                          関連付けられたプロバイダー グループ(存在する場合)。

                                           
                                          ステップ 8UCSC(policy-mgr) /domain-group/security/auth-realm/console-auth* # commit-buffer  

                                          トランザクションをシステムの設定にコミットします。

                                           

                                          次に、LDAP に認証を設定し、コンソール認証プロバイダー グループを provider1 に設定して、トランザクションをコミットする例を示します。

                                          UCSC # connect policy-mgr
                                          UCSC(policy-mgr)# scope domain-group
                                          UCSC(policy-mgr) /domain-group # scope security
                                          UCSC(policy-mgr) /domain-group/security # scope auth-realm
                                          UCSC(policy-mgr) /domain-group/security/auth-realm # scope console-auth
                                          UCSC(policy-mgr) /domain-group/security/auth-realm/console-auth # set realm local
                                          UCSC(policy-mgr) /domain-group/security/auth-realm/console-auth* # set auth-server-group provider1
                                          UCSC(policy-mgr) /domain-group/security/auth-realm/console-auth* # commit-buffer
                                          UCSC(policy-mgr) /domain-group/security/auth-realm/console-auth # 
                                          

                                          デフォルトの認証サービスの選択

                                          手順
                                             コマンドまたはアクション目的
                                            ステップ 1UCSC# connect policy-mgr  

                                            Policy Manager モードを開始します。

                                             
                                            ステップ 2UCSC(policy-mgr)# scope domain-group domain-group  

                                            ドメイン グループ ルート モードを開始し、(任意で)ドメイン グループ ルート下のドメイン グループを開始します。 ドメイン グループ ルート モードを開始するには、/domain-group として入力します。

                                             
                                            ステップ 3UCSC(policy-mgr) /domain-group # scope security  

                                            セキュリティ モードを開始します。

                                             
                                            ステップ 4UCSC(policy-mgr) /domain-group/security # scope auth-realm  

                                            認証レルム セキュリティ モードを開始します。

                                             
                                            ステップ 5UCSC(policy-mgr) /domain-group/security/auth-realm # scope default-auth  

                                            デフォルト認証セキュリティ モードを開始します。

                                             
                                            ステップ 6UCSC(policy-mgr) /domain-group/security/auth-realm/default-auth # set realm auth-type  

                                            デフォルト認証を指定します。auth-type は次のキーワードのいずれかです。

                                            • ldap:LDAP 認証を指定します
                                            • local:ローカル認証を指定します
                                            • none:ローカル ユーザがパスワードを指定せずにログインできるようにします
                                            • radius:RADIUS 認証を指定します
                                            • tacacs:TACACS+ 認証を指定します
                                             
                                            ステップ 7UCSC(policy-mgr) /domain-group/security/auth-realm/default-auth* # set auth-server-group auth-serv-group-name   (任意)

                                            関連付けられたプロバイダー グループ(存在する場合)。

                                             
                                            ステップ 8UCSC(policy-mgr) /domain-group/security/auth-realm/default-auth* # set refresh-period seconds   (任意)

                                            Web クライアントが Cisco UCS Central に接続するとき、Web セッションをアクティブに保つため、クライアントは Cisco UCS Central に更新要求を送信する必要があります。 このオプションは、このドメインのユーザについてリフレッシュ要求間に許容される最大時間を指定します。

                                            この時間制限を超えると、Cisco UCS Central は Web セッションを非アクティブであると見なしますが、セッションの終了は行いません。

                                             
                                            ステップ 9UCSC(policy-mgr) /domain-group/security/auth-realm/default-auth* # set session-timeout seconds   (任意)

                                            Cisco UCS Central が Web セッションを終了したと見なすまでに、最後の更新要求の後、経過できる最大時間。 この時間制限を超えた場合、Cisco UCS Central は自動的に Web セッションを終了します。

                                            60 ~ 172800 の整数を指定します。 デフォルトは 7200 秒です。

                                             
                                            ステップ 10UCSC(policy-mgr) /domain-group/security/auth-realm/default-auth* # commit-buffer  

                                            トランザクションをシステムの設定にコミットします。

                                             

                                            次に、デフォルト認証を LDAP、デフォルト認証プロバイダー グループを provider1、リフレッシュ期間を 7200 秒(2 時間)、セッション タイムアウト時間を 28800 秒(8 時間)にそれぞれ設定し、トランザクションをコミットする例を示します。

                                            UCSC # connect policy-mgr
                                            UCSC(policy-mgr)# scope domain-group
                                            UCSC(policy-mgr) /domain-group # scope security
                                            UCSC(policy-mgr) /domain-group/security # scope auth-realm
                                            UCSC(policy-mgr) /domain-group/security/auth-realm # scope default-auth
                                            UCSC(policy-mgr) /domain-group/security/default-auth # set realm ldap
                                            UCSC(policy-mgr) /domain-group/security/default-auth* # set auth-server-group provider1
                                            UCSC(policy-mgr) /domain-group/security/default-auth* # set refresh-period 7200
                                            UCSC(policy-mgr) /domain-group/security/default-auth* # set session-timeout 28800
                                            UCSC(policy-mgr) /domain-group/security/default-auth* # commit-buffer
                                            UCSC(policy-mgr) /domain-group/security/default-auth # 
                                            

                                            リモート ユーザのロール ポリシー

                                            デフォルトでは、ユーザ ロールが Cisco UCS Central で設定されていない場合、LDAP プロトコル(このリリースでは RADIUS および TACACS+ 認証を除く)を使用して、リモート サーバから Cisco UCS Central にログインしたすべてのユーザに読み取り専用アクセス権が付与されます。


                                            (注)  


                                            RADIUS、TACACS+、および LDAP 認証は、ローカルに管理された Cisco UCS ドメインでサポートされています。


                                            リモート ユーザのロール ポリシーは、次の方法で設定できます。
                                            • assign-default-role ユーザ ロールに基づいて、Cisco UCS Central へのユーザ アクセスを制限しません。 その他のユーザ ロールが Cisco UCS Central で定義されていない限り、読み取り専用アクセス権がすべてのユーザに付与されます。 これはデフォルトの動作です。
                                            • no-login ユーザ ロールに基づいて、Cisco UCS Central へのユーザ アクセスを制限します。 リモート認証システムにユーザ ロールが割り当てられていない場合、アクセスが拒否されます。

                                            セキュリティ上の理由から、Cisco UCS Central で確立されたユーザ ロールに一致するユーザへのアクセスを制限するのが望ましい場合があります。

                                            リモート ユーザのロール ポリシーの設定

                                            手順
                                               コマンドまたはアクション目的
                                              ステップ 1UCSC# connect policy-mgr  

                                              Policy Manager モードを開始します。

                                               
                                              ステップ 2UCSC(policy-mgr)# scope domain-group domain-group  

                                              ドメイン グループ ルート モードを開始し、(任意で)ドメイン グループ ルート下のドメイン グループを開始します。 ドメイン グループ ルート モードを開始するには、/domain-group として入力します。

                                               
                                              ステップ 3UCSC(policy-mgr) /domain-group # scope security  

                                              セキュリティ モードを開始します。

                                               
                                              ステップ 4UCSC(policy-mgr) /domain-group/security # scope auth-realm  

                                              認証レルム セキュリティ モードを開始します。

                                               
                                              ステップ 5UCSC(policy-mgr) /domain-group/security/auth-realm # set remote-user default-role {assign-default-role | no-login}  

                                              Cisco UCS Central へのユーザ アクセスがユーザ ロールに基づいて制限されるかどうかを指定します。

                                               
                                              ステップ 6UCSC(policy-mgr) /domain-group/security/auth-realm* # commit-buffer  

                                              トランザクションをシステムの設定にコミットします。

                                               
                                              次に、リモート ユーザのロール ポリシーを設定し、トランザクションをコミットする例を示します。
                                              UCSC # connect policy-mgr
                                              UCSC(policy-mgr)# scope domain-group
                                              UCSC(policy-mgr) /domain-group # scope security
                                              UCSC(policy-mgr) /domain-group/security # scope auth-realm
                                              UCSC(policy-mgr) /domain-group/security/auth-realm # set remote-user default-role assign-default-role
                                              UCSC(policy-mgr) /domain-group/security/auth-realm* # commit-buffer
                                              UCSC(policy-mgr) /domain-group/security/auth-realm #