Cisco UCS Central 認証ガイド リリース 1.4
リモート認証
リモート認証

リモート認証

認証サービス

Cisco UCS Central は、ユーザ ログインを認証するための次の方法をサポートします。

  • Cisco UCS Central でのローカルに存在するユーザ アカウントのローカル ユーザ認証

  • 次のプロトコルのいずれかを使用した登録済み UCS ドメインのリモート ユーザ認証

    • LDAP

    • RADIUS

    • TACACS+

リモート認証プロバイダーに関する注意事項および推奨事項

システムを、サポートされているリモート認証サービスのいずれかに設定する場合は、そのサービス用のプロバイダーを作成して、Cisco UCS Central がそのサービスと通信できるようにする必要があります。 また、ユーザ許可に影響する次のガイドラインに留意する必要があります。

リモート認証サービスのユーザ アカウント

ユーザ アカウントは、Cisco UCS Central にローカルに存在するか、またはリモート認証サーバに存在することができます。 リモート認証サービスを介してログインしているユーザの一時的なセッションは、Cisco UCS Central GUI または Cisco UCS Central CLI で表示できます。

リモート認証サービスのユーザ ロール

リモート認証サーバでユーザ アカウントを作成する場合は、ユーザが Cisco UCS Central で作業するために必要なロールをそれらのアカウントに含めること、およびそれらのロールの名前を Cisco UCS Central で使用される名前と一致させることが必要です。 ロール ポリシーによっては、ユーザがログインできない場合や読み取り専用権限しか付与されない場合があります。

ローカルおよびリモート ユーザ認証のサポート

Cisco UCS Central はリモート認証のために LDAP を使用しますが、このリリースでは RADIUS および TACACS+ 認証を除外します。 ただし、RADIUS、TACACS+、および LDAP 認証は、ローカルに管理される Cisco UCS ドメイン でサポートされています。

リモート認証プロバイダーのユーザ属性

ユーザがログインすると、Cisco UCS Central は次を実行します。

  1. リモート認証サービスに問い合わせます。

  2. ユーザを検証します。

  3. ユーザが検証されると、そのユーザに割り当てられているロールとロケールをチェックします。

次の表に、Cisco UCS Central によってサポートされるリモート認証プロバイダーのユーザ属性要件の比較を示します。

表 1 リモート認証プロバイダーによるユーザ属性の比較
認証プロバイダー カスタム属性 スキーマの拡張 属性 ID 要件

LDAP

任意

オプション。 次のいずれかを選択して実行できます。

  • LDAP スキーマを拡張せず、要件を満たす既存の未使用の属性を設定します。

  • LDAP スキーマを拡張して、CiscoAVPair などの一意の名前でカスタム属性を作成します。

シスコの LDAP の実装では、Unicode タイプの属性が必要です。

CiscoAVPair カスタム属性を作成する場合は、属性 ID として 1.3.6.1.4.1.9.287247.1 を使用します

次の項で、サンプル OID を示します。

LDAP ユーザ属性のサンプル OID

カスタム CiscoAVPair 属性のサンプル OID は、次のとおりです。

CN=CiscoAVPair,CN=Schema,
CN=Configuration,CN=X
objectClass: top
objectClass: attributeSchema
cn: CiscoAVPair
distinguishedName: CN=CiscoAVPair,CN=Schema,CN=Configuration,CN=X
instanceType: 0x4
uSNCreated: 26318654
attributeID: 1.3.6.1.4.1.9.287247.1
attributeSyntax: 2.5.5.12
isSingleValued: TRUE
showInAdvancedViewOnly: TRUE
adminDisplayName: CiscoAVPair
adminDescription: UCS User Authorization Field
oMSyntax: 64
lDAPDisplayName: CiscoAVPair
name: CiscoAVPair
objectCategory: CN=Attribute-Schema,CN=Schema,CN=Configuration,CN=X

LDAP プロバイダー

Cisco UCS Manager で LDAP ユーザを作成する場合と同様の方法で、リモート ユーザを設定し、Cisco UCS Central からロールとロケールを割り当てることができます。 常に Cisco UCS Central ドメイン グループ ルートから LDAP プロバイダーを作成してください。

LDAP グループ マップ

最大 28 の LDAP グループ マップを定義して、Active Directory で Cisco UCS Central 内のネスティングがサポートされるレベルまでそれらのマップをネストすることができます。 ネスト グループにプロバイダーを割り当てると、プロバイダーが異なる LDAP グループのメンバーであっても、親ネスト グループの認証メンバーになります。 認証中、プロバイダー グループ内のすべてのプロバイダーが順番に試行されます。

LDAP グループ マップ

すでに LDAP グループを使用して LDAP データベースへのアクセスを制限している組織では、Cisco UCS ドメインでグループ メンバーシップ情報を使用することによって、ログイン中の LDAP ユーザにロールまたはロケールを割り当てることができます。 これにより、Cisco UCS Central の展開時に LDAP ユーザ オブジェクトでロールまたはロケール情報を定義する必要がなくなります。

Cisco UCS Central は、ユーザ ロールとロケールをリモート ユーザに割り当てるときに LDAP グループ ルールを使用して LDAP グループを決定します。 ユーザがログインすると、Cisco UCS Central が LDAP グループ マップからそのユーザのロールとロケールに関する情報を取得します。 ロールとロケールの条件がポリシー内の情報と一致すると、Cisco UCS Central がアクセス権をユーザに付与します。

ロールとロケールの定義は Cisco UCS Central でローカルに設定され、LDAP ディレクトリに対する変更に基づいて自動的には更新されません。 LDAP ディレクトリ内の LDAP グループを削除または名前を変更した場合は、Cisco UCS Central でその変更を更新してください。

LDAP グループ マップは、次のロールとロケールの組み合わせのいずれかを含むように設定できます。

  • ロールのみ

  • ロケールのみ

  • ロールとロケール

例:特定の場所にいるサーバ管理者のグループを表す LDAP グループに対する認証を設定する場合は、server-profile や server-equipment などのユーザ ロールをその LDAP グループに含めることができます。 特定の場所にいるサーバ管理者にアクセスを制限する場合は、特定のサイト名を含むロケールを指定できます。


(注)  


Cisco UCS Central には、すぐに使用可能なユーザ ロールが複数付属していますが、ロケールは付属していません。 そのため、LDAP プロバイダー グループをロケールにマッピングするカスタム ロケールを作成する必要があります。


ネストされた LDAP グループ

LDAP グループは、他のグループのメンバーとしてネストすることにより、アカウントを統合して複製を減らすことができます。

LDAP グループが別のグループ内でネストされている場合は、デフォルトで、ユーザの権限が継承されます。 たとえば、Group_2 のメンバとして Group_1 を作成する場合、Group_1 のユーザは Group_2 のメンバと同じ権限が与えられます。 その結果、Group_1 のメンバーであるユーザを検索するときは、LDAP グループ マップで Group_2 だけを選択します。Group_1 と Group_2 を別々に検索する必要はありません。

LDAP グループ マップで定義されたネストしたグループを検索できます。 グループをネストすることによって、サブグループの Cisco UCS Central グループ マップを作成する必要がなくなります。


(注)  


ネストした LDAP グループの検索は、Microsoft Active Directory サーバに対してのみサポートされます。 サポートされているバージョンは Microsoft Windows 2003 SP3、Microsoft Windows 2008 R2、および Microsoft Windows 2012 です。

ネストしたグループ名に特殊文字が含まれている場合は、次の例に示す構文を使用してそれらをエスケープする必要があります。

create ldap-group CN=test1\\(\\),CN=Users,DC=ucsm,DC=qasam-lab,DC=in

UCS Central 認証の管理


    ステップ 1   メニュー バーで、システム設定アイコンをクリックして、[Authentication] を選択します。

    これにより、[Manage Cisco UCS Central Authentication] ダイアログボックスが開きます。

    ステップ 2   [LDAP] で、以下のタブで要求される情報を入力します。
    1. [Basic] タブで、[Database Conection Timeout]、[Filter]、[Attribute]、および [Base DN] の値を入力します。
    2. [Providers] タブで、+(プラス)アイコンをクリックしてプロバイダーを追加し、[Basic] タブと [Group Rules] タブで必要な情報を入力します。

      Cisco UCS Central に対してサポートされる LDAP プロバイダーの最大数は 16 です。

    3. [Groups] タブで、+(プラス)アイコンをクリックしてプロバイダー グループを追加し、オプションで、それをプロバイダーに関連付けます。
      • Cisco UCS Central に対してサポートされる LDAP プロバイダー グループの最大数は 16 です。

      • 1 つのプロバイダー グループの Cisco UCS Central に対してサポートされる最大プロバイダー数は 8 です。

    4. [Group Maps] タブで、[Provider Group Map DN] を入力してから、オプションで、[Roles] と [Locales] を追加します。

      最大グループ マップ長は、Cisco UCS Central 内で 240 文字を超えないようにする必要があります。 次に例を示します。

      maximum group-map length:
      ---------------------------------
      CN=jeewan2,\
      OU=1-2-3-4-5-6-7-8-9-10-11-12-13-14-15-16-17-18-19-20-21-22-\
      23-24-1,\
      OU=1-2-3-4-5-6-7-8-9-10-11-12-13-14-15-16-17-18-19-20-21-22-\
      23-24-0,\
      OU=ou-01-11-1,\
      DC=ucsm,DC=qasam-lab,DC=in 
    ステップ 3   [TACACS+] で、必要に応じて次のセクションに値を入力します。
    1. [Basic] タブで、[Database Conection Timeout] と [Retry Count] の値を入力します。
    2. [Providers] タブで、+(プラス)アイコンをクリックしてプロバイダーを追加し、必要な設定情報を入力します。

      上矢印と下矢印を使用して、プロバイダーの順序を変更できます。

    3. [Groups] タブで、+(プラス)アイコンをクリックしてプロバイダー グループを追加し、オプションで、それをプロバイダーに関連付けます。
    ステップ 4   [RADIUS] で、必要に応じて次のセクションに値を入力します。
    1. [Basic] タブで、[Database Conection Timeout] と [Retry Count] の値を入力します。
    2. [Providers] タブで、+(プラス)アイコンをクリックしてプロバイダーを追加し、必要な設定情報を入力します。

      上矢印と下矢印を使用して、プロバイダーの順序を変更できます。

    3. [Groups] タブで、+(プラス)アイコンをクリックしてプロバイダー グループを追加し、オプションで、それをプロバイダーに関連付けます。
    ステップ 5   [Authentication Domains] で、ネイティブまたはコンソール デフォルト ドメインを設定、追加、または削除します。

    Cisco UCS Central でサポートされる認証ドメインの最大数は 8 です。

    ステップ 6   [Native(Default)] をクリックして、次の手順を実行します。
    1. [Default Behavior for Remote Users] を選択します。
    2. [Web Session Refresh Period(Seconds)] に、選択した Cisco UCS Central ドメイン グループに含まれる Cisco UCS ドメインにアクセスしているユーザの更新要求間の最大許容時間を入力します。

      この時間制限を超えると、Cisco UCS Central は Web セッションを非アクティブと見なしますが、そのセッションを終了することはありません。

      60 ~ 172800 を指定します。 デフォルトは 600 秒です。

    3. [Web Session Timeout(Seconds)] に、最後の更新要求後から CiscoCisco UCS Central で Web セッションが終了したと見なされるまでの最大経過時間を入力します。 この時間制限を超えると、Cisco UCS Central は自動的に Web セッションを終了します。

      60 ~ 172800 を指定します。 デフォルト値は 7200 秒です。

    4. [Authentication] を [Enabled] にするか、[Disabled] にするかを選択します。
    5. [Enabled] を選択した場合は、[Authentication Realm] を [LDAP] にするか、[Local] にするかを選択します。
      • [LDAP]:ユーザを Cisco UCS Central で指定された LDAP サーバ上で定義する必要があります。

      • [Local]:ユーザ アカウントを Cisco UCS Central または Cisco UCS ドメインでローカルに定義する必要があります。

    6. [LDAP] を選択した場合は、[Provider Group] ドロップダウン リストから関連するプロバイダー グループを選択できます。
    ステップ 7   [Console(Default)] をクリックして、次の手順を実行します。
    1. [Authentication] を [Enabled] にするか、[Disabled] にするかを選択します。
    2. [Enabled] を選択した場合は、[Authentication Realm] を [Local] にするか、[LDAP] にするかを選択します。
    3. [LDAP] を選択した場合は、[Provider Group] を選択します。
    ステップ 8   +(プラス)アイコンをクリックして、新しい認証ドメインを追加します。
    1. 認証ドメインの名前を入力します。

      この名前には、1 ~ 16 文字の英数字を使用できます。 -(ハイフン)、_(アンダースコア)、:(コロン)、および . (ピリオド)以外の特殊文字またはスペースを使用できません。

      優先認証プロトコルとして RADIUS を使用しているシステムでは、認証ドメイン名がユーザ名の一部と見なされ、ローカルに作成されたユーザ名の 32 文字の制限が考慮されます。 Cisco UCS では書式設定用として 5 文字が予約されているため、ドメイン名とユーザー名で 27 文字を超えることができません。

    2. [Web Session Refresh Period(Seconds)] を入力します。
    3. [Web Session Timeout(Seconds)] を入力します。
    4. [Authentication Realm] が [LDAP] に設定されている場合は、[Provider Group] を選択します。
    ステップ 9   [Save] をクリックします。 認証ドメインを作成したら、設定を編集したり、認証ドメインを削除したりできます。

    ドメイン グループ認証の管理


      ステップ 1   ドメイン グループ ナビゲーション アイコンをクリックして、ルートを選択します。

      これにより、[root Domain Group] ページが表示されます。

      ステップ 2   [Settings] で、認証詳細アイコンをクリックして、ドメイン グループの認証を設定する次の手順を実行します。
      ステップ 3   [LDAP]で、以下のタブで要求される情報を入力します。
      1. [Basic] タブで、[Database Conection Timeout]、[Filter]、[Attribute]、および [Base DN] の値を入力します。
      2. [Providers] タブで、+(プラス)アイコンをクリックしてプロバイダーを追加し、[Basic] タブと [Group Rules] タブで必要な情報を入力します。

        Cisco UCS Central に対してサポートされる LDAP プロバイダーの最大数は 16 です。

      3. [Groups] タブで、+(プラス)アイコンをクリックしてプロバイダー グループを追加し、オプションで、それをプロバイダーに関連付けます。
        • Cisco UCS Central に対してサポートされる LDAP プロバイダー グループの最大数は 16 です。

        • 1 つのプロバイダー グループの Cisco UCS Central に対してサポートされる最大プロバイダー数は 8 です。

      4. [Group Maps] タブで、[Provider Group Map DN] を入力してから、オプションで、[Roles] と [Locales] を追加します。

        Cisco UCS Central でサポートされる最大グループ マップ長は 240 です。

        maximum group-map length:
        ---------------------------------
        CN=jeewan2,OU=1-2-3-4-5-6-7-8-9-10-11-12-13-14-15-16-\
        17-18-19-20-21-22-23-24-1,OU=1-2-3-4-5-6-7-8-9-10-11-\
        12-13-14-15-16-17-18-19-20-21-22-23-24-0,OU=ou-01-11-1,\
        DC=ucsm,DC=qasam-lab,DC=in 
      ステップ 4   [TACACS+] で、必要に応じて次のセクションに値を入力します。
      1. [Basic] タブで、[Database Conection Timeout] と [Retry Count] の値を入力します。
      2. [Providers] タブで、+(プラス)アイコンをクリックしてプロバイダーを追加し、必要な設定情報を入力します。

        上矢印と下矢印を使用して、プロバイダーの順序を変更できます。

      3. [Groups] タブで、+(プラス)アイコンをクリックしてプロバイダー グループを追加し、オプションで、それをプロバイダーに関連付けます。
      ステップ 5   [RADIUS] で、必要に応じて次のセクションに値を入力します。
      1. [Basic] タブで、[Database Conection Timeout] と [Retry Count] の値を入力します。
      2. [Providers] タブで、+(プラス)アイコンをクリックしてプロバイダーを追加し、必要な設定情報を入力します。

        上矢印と下矢印を使用して、プロバイダーの順序を変更できます。

      3. [Groups] タブで、+(プラス)アイコンをクリックしてプロバイダー グループを追加し、オプションで、それをプロバイダーに関連付けます。
      ステップ 6   [Authentication Domains] で、必要に応じて次のセクションに値を入力します。
      1. +(プラス)アイコンをクリックして、親グループから継承された設定をオーバーライドする、選択したユーザ作成ドメイン グループの認証ポリシーを作成します。

        Cisco UCS Central でサポートされる認証ドメインの最大数は 8 です。

      2. 認証ドメインの名前を入力します。

        この名前には、1 ~ 16 文字の英数字を使用できます。 優先する認証プロトコルとして RADIUS を使用するシステムの場合、認証ドメイン名はユーザ名の一部と見なされ、ローカルに作成されたユーザ名の 32 文字の制限に対して考慮されます。 Cisco UCS はフォーマット用に 5 文字を挿入するため、認証はユーザ名とドメイン名を組み合わせた合計が 27 文字を超えると失敗します。

      3. [Web Session Refresh Period(Seconds)] に、選択した Cisco UCS Central ドメイン グループに含まれる Cisco UCS ドメインにアクセスしているユーザの更新要求間の最大許容時間を入力します。

        この時間制限を超えると、Cisco UCS Manager は Web セッションを非アクティブと見なしますが、そのセッションを終了することはありません。

        60 ~ 172800 の整数を指定します。 デフォルトは 600 秒です。

      4. [Web Session Timeout(Seconds)] に、最後の更新要求後から Cisco UCS Manager で Web セッションが終了したと見なされるまでの最大経過時間を入力します。 この時間制限を超えると、Cisco UCS Manager は自動的に Web セッションを終了します。

        60 ~ 172800 の整数を指定します。 デフォルト値は 7200 秒です。

      5. ドメイン内のユーザに適用される [Authentication Realm] を選択します。

        次のいずれかになります。

        • [LDAP]:ユーザを Cisco UCS Central で指定された LDAP サーバ上で定義する必要があります。

        • [Local]:ユーザ アカウントを Cisco UCS Central または Cisco UCS ドメイン内でローカルに定義する必要があります。

        • [RADIUS]:ユーザを Cisco UCS Central で指定された RADIUS サーバ上で定義する必要があります。

        • [TACACS+]:ユーザを Cisco UCS Central で指定された TACACS+ サーバ上で定義する必要があります。

      ステップ 7   [Save] をクリックします。