Cisco UCS Manager GUI コンフィギュレーション ガイド リリース 2.1
認証の設定
認証の設定

目次

認証の設定

この章の内容は、次のとおりです。

認証サービス

Cisco UCS では、ユーザ ログインを認証するために、2 種類の方法がサポートされています。

  • Cisco UCS Manager にローカルなユーザ アカウントによる

  • 次のいずれかのプロトコルによるリモート

    • LDAP

    • RADIUS

    • TACACS+

リモート認証プロバイダーに関する注意事項および推奨事項

システムを、サポートされているリモート認証サービスのいずれかに設定する場合は、そのサービス用のプロバイダーを作成して、Cisco UCS Manager がそのサービスと通信できるようにする必要があります。 また、ユーザ許可に影響する次のガイドラインに留意する必要があります。

リモート認証サービスのユーザ アカウント

ユーザ アカウントは、Cisco UCS Manager にローカルに、またはリモート認証サーバに存在することができます。

リモート認証サービスを介してログインしているユーザの一時的なセッションは、Cisco UCS Manager GUI または Cisco UCS Manager CLI で表示できます。

リモート認証サービスのユーザ ロール

リモート認証サーバでユーザ アカウントを作成する場合は、ユーザが Cisco UCS Manager で作業するために必要なロールをそれらのアカウントに含めること、およびそれらのロールの名前を Cisco UCS Manager で使用される名前と一致させることが必要です。 ロール ポリシーによっては、ユーザがログインできない可能性があります。または、読み取り専用の権限だけが許可されます。

リモート認証プロバイダーのユーザ属性

RADIUS および TACACS+ 設定の場合は、ユーザが Cisco UCS Manager にログインする各リモート認証プロバイダーの Cisco UCS にユーザ属性を設定する必要があります。 このユーザ属性は、各ユーザに割り当てられたロールとロケールを保持します。


(注)  


このステップは、ロールとロケールを割り当てるために LDAP グループ マッピングを使用する LDAP 設定には必要ありません。


ユーザがログインすると、Cisco UCS Manager は以下を実行します。

  1. リモート認証サービスを照会します。

  2. ユーザを検証します。

  3. ユーザが検証されると、そのユーザに割り当てられているロールとロケールをチェックします。

次の表に、Cisco UCS によってサポートされるリモート認証プロバイダーのユーザ属性要件の比較を示します。

表 1 リモート認証プロバイダー別のユーザ属性の比較
認証プロバイダー カスタム属性 スキーマ拡張 属性 ID の要件

LDAP

グループ マッピングを使用する場合は不要

グループ マッピングを使用しない場合はオプション

オプション 次のいずれかを実行するように選択できます。

  • LDAP スキーマを拡張せず、要件を満たす既存の未使用の属性を設定します。

  • LDAP スキーマを拡張して、CiscoAVPair などの一意の名前でカスタム属性を作成します。

シスコの LDAP 実装では Unicode タイプの属性が必要です。

CiscoAVPair のカスタム属性を作成する場合は、属性 ID として 1.3.6.1.4.1.9.287247.1 を使用します。

サンプル OID は、次の項で説明します。

RADIUS

オプション

オプション 次のいずれかを実行するように選択できます。

  • RADIUS スキーマを拡張せず、要件を満たす既存の未使用の属性を使用します。

  • RADIUS スキーマを拡張して、cisco-avpair などの一意の名前でカスタム属性を作成します。

Cisco RADIUS 実装のベンダー ID は 009 で、属性のベンダー ID は 001 です。

次の構文は、cisco-avpair 属性を作成する場合に、複数のユーザ ロールとロケールを指定する例を示しています:shell:roles="admin,aaa" shell:locales="L1,abc"。 複数の値を区切るには、デリミタとしてカンマ(,)を使用します。

TACACS+

Required

必須です。 スキーマを拡張して、cisco-av-pair という名前でカスタム属性を作成する必要があります。

cisco-av-pair の名前は、TACACS+ プロバイダーに属性 ID を指定する文字列です。

次の構文は、cisco-av-pair 属性を作成する場合に、複数のユーザ ロールとロケールを指定する方法を示しています:cisco-av-pair=shell:roles="admin aaa" shell:locales*"L1 abc"。 アスタリスク(*)を cisco-av-pair 属性構文内で使用することで、オプションとしてロケールにフラグを立て、同じ認証プロファイルを使用する他のシスコ デバイスに対する認証が失敗しないようにします。 複数の値を区切るには、デリミタとしてスペースを使用します。

LDAP ユーザ属性のサンプル OID

次に示すのは、カスタム CiscoAVPair 属性のサンプル OID です。

CN=CiscoAVPair,CN=Schema,
CN=Configuration,CN=X
objectClass: top
objectClass: attributeSchema
cn: CiscoAVPair
distinguishedName: CN=CiscoAVPair,CN=Schema,CN=Configuration,CN=X
instanceType: 0x4
uSNCreated: 26318654
attributeID: 1.3.6.1.4.1.9.287247.1
attributeSyntax: 2.5.5.12
isSingleValued: TRUE
showInAdvancedViewOnly: TRUE
adminDisplayName: CiscoAVPair
adminDescription: UCS User Authorization Field
oMSyntax: 64
lDAPDisplayName: CiscoAVPair
name: CiscoAVPair
objectCategory: CN=Attribute-Schema,CN=Schema,CN=Configuration,CN=X

LDAP グループ ルール

LDAP グループ ルールは、ユーザ ロールとロケールをリモート ユーザに割り当てるときに Cisco UCS が LDAP グループを使用するかどうかを決定するために使用します。

LDAP プロバイダーの設定

LDAP プロバイダーのプロパティの設定

このタスクで設定するプロパティは、Cisco UCS Manager で定義されているこのタイプのすべてのプロバイダー接続のデフォルト設定になります。 個々のプロバイダーにこれらのプロパティのいずれかの設定が含まれている場合、Cisco UCS はその設定を使用し、デフォルト設定を無視します。

はじめる前に

LDAP サーバとして Active Directory を使用する場合、Cisco UCS にバインドする Active Directory サーバでユーザ アカウントを作成します。 このアカウントには、期限切れにならないパスワードを設定する必要があります。

手順
    ステップ 1   [Navigation] ペインの [Admin] タブをクリックします。
    ステップ 2   [Admin] タブで、[All] > [User Management] > [LDAP] を展開します。
    ステップ 3   [Properties] 領域の次のフィールドに値を入力します。
    名前 説明

    [Timeout] フィールド

    LDAP データベースへの問い合わせがタイム アウトするまでの秒数。

    1 ~ 60 秒の整数を入力します。 デフォルト値は 30 秒です。

    このプロパティは必須です。

    [Attribute] フィールド

    ユーザ ロールとロケールの値を保管する LDAP 属性。 このプロパティは、常に、名前と値のペアで指定されます。 システムは、ユーザ レコードで、この属性名と一致する値を検索します。

    LDAP スキーマを拡張しない場合、既存の、使用されていない LDAP 属性を Cisco UCS ロールとロケールで設定できます。 あるいは、CiscoAVPair という名前の属性を、属性 ID 1.3.6.1.4.1.9.287247.1 を使用してリモート認証サービスに作成できます。

    [Base DN] フィールド

    リモート ユーザがログインし、システムがユーザ名に基づいてユーザの DN を取得しようとするときに、サーバが検索を開始する必要のある LDAP 階層内の特定の識別名。 サポートされるストリングの最大長は 127 文字です。

    このプロパティは必須です。 このタブで Base DN を指定しない場合、この UCS ドメインに定義されている LDAP プロバイダーごとに、[General]Cisco UCS ドメインタブに任意の値を指定する必要があります。

    [Filter] フィールド

    LDAP 検索は、定義したフィルタと一致するユーザ名に制限されます。

    このプロパティは必須です。 このタブでフィルタを指定しない場合、この UCS ドメインに定義されている LDAP プロバイダーごとに、[General]Cisco UCS ドメインタブに任意のフィルタを指定する必要があります。

    ステップ 4   [Save Changes] をクリックします。

    次の作業

    LDAP プロバイダーを作成します。

    LDAP プロバイダーの作成

    Cisco UCS Manager は最大 16 の LDAP プロバイダーをサポートします。

    はじめる前に

    LDAP サーバとして Active Directory を使用する場合、Cisco UCS にバインドする Active Directory サーバでユーザ アカウントを作成します。 このアカウントには、期限切れにならないパスワードを設定する必要があります。

    • LDAP サーバで、次のいずれかの設定を行います。

      • LDAP グループを設定します。 LDAP グループにはユーザ ロールとロケール情報が含まれます。

      • Cisco UCS Manager のユーザ ロールとロケール情報を保持する属性を使用してユーザを設定します。 この属性の LDAP スキーマを拡張するかどうかを選択できます。 スキーマを拡張しない場合は、既存の LDAP 属性を使用して Cisco UCS ユーザ ロールとロケールを保持します。 スキーマを拡張する場合は、CiscoAVPair 属性など、カスタム属性を作成します。

        シスコの LDAP 実装では Unicode タイプの属性が必要です。

        CiscoAVPair のカスタム属性を作成する場合は、属性 ID として 1.3.6.1.4.1.9.287247.1 を使用します。

      • クラスタ設定では、両方のファブリック インターコネクトに対する管理ポート IP アドレスを追加します。 この設定では、1 つめのファブリック インターコネクトで障害が発生し、システムが 2 つめのファブリック インターコネクトにフェールオーバーしても、リモート ユーザは引き続きログインできることが保証されます。 ログイン要求はすべて、これらの IP アドレスから送信されます。Cisco UCS Manager によって使用されている仮想 IP アドレスではありません。

    • セキュアな通信を使用する場合は、Cisco UCS Manager で LDAP サーバのルート認証局(CA)証明書を含むトラスト ポイントを作成します。

    手順
      ステップ 1   [Navigation] ペインの [Admin] タブをクリックします。
      ステップ 2   [Admin] タブで、[All] > [User Management] > [LDAP] を展開します。
      ステップ 3   [Work] ペインの [General] タブをクリックします。
      ステップ 4   [Actions] エリアで、[Create LDAP Provider] をクリックします。
      ステップ 5   ウィザードの [Create LDAP Provider] ページで、次を実行します。
      1. 使用する LDAP サービスに関する情報を使用して、次のフィールドに値を入力します。
        名前 説明

        [Hostname] フィールド

        LDAP プロバイダーのホスト名または IP アドレス。 SSL がイネーブルの場合、このフィールドは、LDAP データベースのセキュリティ証明書内の Common Name(CN; 通常名)と正確に一致している必要があります。

        (注)     

        IP アドレスではなくホスト名を使用する場合、DNS サーバを設定する必要があります。 Cisco UCS ドメインCisco UCS Central に登録されていないか、DNS Management が [local] に設定されている場合、DNS サーバを Cisco UCS Manager に設定します。 Cisco UCS ドメインCisco UCS Central に登録されており、DNS Management が [global] に設定されている場合、DNS サーバを Cisco UCS Central に設定します。

        [Order] フィールド

        Cisco UCS でこのプロバイダーをユーザの認証に使用する順序。

        1 から 16 までの整数を入力するか、この Cisco UCS ドメインに定義されている他のプロバイダーに基づいて、次に使用できる順番を Cisco UCS で割り当てる場合は、使用可能な最も低い値または 0(ゼロ)を入力します。

        [Bind DN] フィールド

        ベース DN の下にあるすべてのオブジェクトに対する読み取りおよび検索の権限を持つ LDAP データベース アカウントの識別名(DN)。

        サポートされるストリングの最大長は 127 ASCII 文字です。

        [Base DN] フィールド

        リモート ユーザがログインし、システムがユーザ名に基づいてユーザの DN を取得しようとするときに、サーバが検索を開始する必要のある LDAP 階層内の特定の識別名。 サポートされるストリングの最大長は 127 文字です。

        デフォルトのベース DN が LDAP の [General] タブで設定されていない場合、この値は必要です。

        [Port] フィールド

        Cisco UCS が LDAP データベースと通信するためのポート。 標準ポート番号は 389 です。

        [Enable SSL] チェックボックス

        このチェックボックスをオンにすると、LDAP データベースとの通信に暗号化が必要になります。 このチェックボックスをオフにすると、認証情報はクリア テキストで送信されます。

        LDAP では STARTTLS が使用されます。 これにより、ポート 389 を使用した暗号化通信を行えます。

        [Filter] フィールド

        LDAP 検索は、定義したフィルタと一致するユーザ名に制限されます。

        デフォルトのフィルタが LDAP の [General] タブで設定されていない場合、この値は必要です。

        [Attribute] フィールド

        ユーザ ロールとロケールの値を保管する LDAP 属性。 このプロパティは、常に、名前と値のペアで指定されます。 システムは、ユーザ レコードで、この属性名と一致する値を検索します。

        LDAP スキーマを拡張しない場合、既存の、使用されていない LDAP 属性を Cisco UCS ロールとロケールで設定できます。 あるいは、CiscoAVPair という名前の属性を、属性 ID 1.3.6.1.4.1.9.287247.1 を使用してリモート認証サービスに作成できます。

        デフォルトの属性が LDAP の [General] タブで設定されていない場合、この値は必要です。

        [Password] フィールド

        [Bind DN] フィールドで指定した LDAP データベース アカウントのパスワード。 スペース、§(セクション記号)、?(疑問符)、または =(等号)を除くすべての標準 ASCII 文字を入力できます。

        [Confirm Password] フィールド

        確認のための LDAP データベース パスワードの再入力。

        [Timeout] フィールド

        LDAP データベースへの問い合わせがタイム アウトするまでの秒数。

        LDAP の [General] タブでグローバル タイムアウト値を使用するには、1 ~ 60 秒の整数か、0(ゼロ)を入力します。 デフォルトは 30 秒です。

      2. [Next] をクリックします。
      ステップ 6   ウィザードの [LDAP Group Rule] ページで、次を実行します。
      1. 次のフィールドに入力します。
        名前 説明

        [Group Authorization] フィールド

        ユーザ ロールとロケールを認証して、それらをリモート ユーザに割り当てるときに、Cisco UCS が LDAP グループも検索するかどうか。 次のいずれかになります。

        • [Disable]:Cisco UCSCisco UCSは LDAP グループにアクセスしません。

        • [Enable]:Cisco UCS はこの Cisco UCS ドメイン内にマッピングされたすべての LDAP グループを検索します。 リモート ユーザが検出されると、Cisco UCS は関連付けられた LDAP グループ マップの LDAP グループに定義されたユーザ ロールとロケールを割り当てます。

        (注)     

        ロールとロケールの割り当ては累積されます。 ユーザが複数のグループに含まれているか、LDAP 属性に指定されているロールまたはロケールを持っている場合、Cisco UCS はそのユーザに、それらのグループまたは属性のいずれかにマップされているすべてのロールおよびロケールを割り当てます。

        [Group Recursion] フィールド

        Cisco UCS がマップされたグループとそれらの親グループの両方を検索するかどうか。 次のいずれかになります。

        • [Non Recursive]:Cisco UCS は、この Cisco UCS ドメインにマップされたグループのみを検索します。 ユーザが含まれているグループのいずれも明示的にユーザ認可プロパティを設定していない場合、Cisco UCS はデフォルト設定を使用します。

        • [Recursive]:Cisco UCS はマップされている各グループとそのすべての親グループに対して、ユーザの許可プロパティを検索します。 これらのプロパティは累積的であるため、各グループに対して、Cisco UCS は明示的な許可プロパティ設定を使用して検索し、それらの設定を現在のユーザに適用します。 それ以外の場合は、デフォルト設定を使用します。

        [Target Attribute] フィールド

        Cisco UCS で LDAP データベース内のグループ メンバーシップを決定する際に使用される属性。

        サポートされる文字列長は 63 文字です。 デフォルトの設定は memberOf です。

      2. [Finish] をクリックします。

      次の作業

      1 つの LDAP データベースを含む実装では、認証サービスとして [LDAP] を選択します。

      複数の LDAP データベースを含む実装では LDAP プロバイダーのグループを設定します。

      LDAP プロバイダーの LDAP グループ ルールの変更

      手順
        ステップ 1   [Navigation] ペインの [Admin] タブをクリックします。
        ステップ 2   [Admin] タブで、[All] > [User Management] > [LDAP] を展開します。
        ステップ 3   [LDAP Providers] を展開し、グループ ルールを変更する LDAP プロバイダーを選択します。
        ステップ 4   [Work] ペインの [General] タブをクリックします。
        ステップ 5   [LDAP Group Rules] 領域で、次のフィールドに値を入力します。
        名前 説明

        [Group Authorization] フィールド

        ユーザ ロールとロケールを認証して、それらをリモート ユーザに割り当てるときに、Cisco UCS が LDAP グループも検索するかどうか。 次のいずれかになります。

        • [Disable]:Cisco UCSCisco UCSは LDAP グループにアクセスしません。

        • [Enable]:Cisco UCS はこの Cisco UCS ドメイン内にマッピングされたすべての LDAP グループを検索します。 リモート ユーザが検出されると、Cisco UCS は関連付けられた LDAP グループ マップの LDAP グループに定義されたユーザ ロールとロケールを割り当てます。

        (注)     

        ロールとロケールの割り当ては累積されます。 ユーザが複数のグループに含まれているか、LDAP 属性に指定されているロールまたはロケールを持っている場合、Cisco UCS はそのユーザに、それらのグループまたは属性のいずれかにマップされているすべてのロールおよびロケールを割り当てます。

        [Group Recursion] フィールド

        Cisco UCS がマップされたグループとそれらの親グループの両方を検索するかどうか。 次のいずれかになります。

        • [Non Recursive]:Cisco UCS は、この Cisco UCS ドメインにマップされたグループのみを検索します。 ユーザが含まれているグループのいずれも明示的にユーザ認可プロパティを設定していない場合、Cisco UCS はデフォルト設定を使用します。

        • [Recursive]:Cisco UCS はマップされている各グループとそのすべての親グループに対して、ユーザの許可プロパティを検索します。 これらのプロパティは累積的であるため、各グループに対して、Cisco UCS は明示的な許可プロパティ設定を使用して検索し、それらの設定を現在のユーザに適用します。 それ以外の場合は、デフォルト設定を使用します。

        [Target Attribute] フィールド

        Cisco UCS で LDAP データベース内のグループ メンバーシップを決定する際に使用される属性。

        サポートされる文字列長は 63 文字です。 デフォルトの設定は memberOf です。

        ステップ 6   [Save Changes] をクリックします。

        LDAP プロバイダーの削除

        手順
          ステップ 1   [Navigation] ペインの [Admin] タブをクリックします。
          ステップ 2   [Admin] タブで、[All] > [User Management] > [LDAP] を展開します。
          ステップ 3   [LDAP Providers] を展開します。
          ステップ 4   削除する LDAP プロバイダーを右クリックし、[Delete] を選択します。
          ステップ 5   Cisco UCS Manager GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。

          LDAP グループ マッピング

          すでに LDAP グループを使用して LDAP データベースへのアクセスを制限している組織では、ログイン時に LDAP ユーザにロールまたはロケールを割り当てるために UCSM がグループ メンバーシップ情報を使用できます。 このため、Cisco UCS Manager が導入されるときに LDAP ユーザ オブジェクトにロールまたはロケール情報を定義する必要はありません。

          ユーザが Cisco UCS Manager にログインすると、ユーザのロールおよびロケールに関する情報が LDAP グループ マップから取り出されます。 ロールとロケールの条件がポリシー情報と一致する場合、アクセスが許可されます。

          ロールとロケールの定義は UCSCisco UCS Manager でローカルに設定され、LDAP ディレクトリに対する変更に基づいて自動的に更新されることはありません。 LDAP ディレクトリの LDAP グループを削除するか、ファイルの名前を変更する場合、その変更で Cisco UCS Manager を更新することが重要です。

          LDAP グループ マップはロールとロケールの次の組み合わせを含むように設定できます。
          • ロールのみ

          • ロケールのみ

          • ロールとロケール両方

          たとえば、特定の場所でサーバ管理者グループを表す LDAP グループを考慮します。 LDAP グループ マップは server-profile および server-equipment などのユーザ ロールを含むように設定されている場合があります。 特定の場所でサーバ管理者へのアクセスを制限するには、ロケールを特定のサイト名に設定できます。

          (注)  


          Cisco UCS Manager には、多くのアウトオブザボックスのユーザ ロールが含まれていますが、ロケールはまったく含まれません。 ロケールへ LDAP プロバイダー グループをマッピングするには、カスタム ロケールを作成する必要があります。


          LDAP グループ マップの作成

          はじめる前に
          • LDAP サーバで LDAP グループを作成します。

          • LDAP サーバで LDAP グループの識別名を設定します。

          • Cisco UCS Manager でロケールを作成します(任意)。

          • Cisco UCS Manager でカスタム ロールを作成します(任意)。

          手順
            ステップ 1   [Navigation] ペインの [Admin] タブをクリックします。
            ステップ 2   [Admin] タブで、[All] > [User Management] > [LDAP] を展開します。
            ステップ 3   [LDAP Group Maps] を右クリックし、[Create LDAP Group Map] を選択します。
            ステップ 4   [Create LDAP Group Map] ダイアログボックスで、次を実行します。
            1. [LDAP Group DN][LDAP Group DN] フィールドフィールドに、LDAP データベースのグループの識別名を入力します。
              重要:

              この名前は、LDAP データベース名と正確に一致する必要があります。

            2. [Roles] テーブルで、グループ マップに含まれているユーザに割り当てるすべてのロールのチェックボックスをオンにします。
            3. [Locales] テーブルで、グループ マップに含まれているユーザに割り当てるすべてのロケールのチェックボックスをオンにします。
            4. [OK] をクリックします。

            次の作業

            LDAP グループ ルールを設定します。

            LDAP グループ マップの削除

            手順
              ステップ 1   [Navigation] ペインの [Admin] タブをクリックします。
              ステップ 2   [Admin] タブで、[All] > [User Management] > [LDAP] を展開します。
              ステップ 3   [LDAP Group Maps] を展開します。
              ステップ 4   削除する LDAP グループ マップを右クリックし、[Delete] を選択します。
              ステップ 5   Cisco UCS Manager GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。

              RADIUS プロバイダーの設定

              RADIUS プロバイダーのプロパティの設定

              このタスクで設定するプロパティは、Cisco UCS Manager で定義されているこのタイプのすべてのプロバイダー接続のデフォルト設定になります。 個々のプロバイダーにこれらのプロパティのいずれかの設定が含まれている場合、Cisco UCS はその設定を使用し、デフォルト設定を無視します。

              手順
                ステップ 1   [Navigation] ペインの [Admin] タブをクリックします。
                ステップ 2   [Admin] タブで、[User Management] > [RADIUS] を展開します。
                ステップ 3   [Properties] 領域の次のフィールドに値を入力します。
                名前 説明

                [Timeout] フィールド

                RADIUS データベースへの問い合わせがタイム アウトするまでの秒数。

                1 ~ 60 秒の整数を入力するか、または 0(ゼロ)を入力して RADIUS の [General] タブで指定されたグローバル タイムアウト値を使用します。 デフォルトは 5 秒です。

                [Retries] フィールド

                要求が失敗したと見なされるまでの接続の再試行の回数。

                ステップ 4   [Save Changes] をクリックします。

                次の作業

                RADIUS プロバイダーを作成します。

                RADIUS プロバイダーの作成

                Cisco UCS Manager は最大 16 の RADIUS プロバイダーをサポートします。

                はじめる前に

                RADIUS サーバで、次の設定を行います。

                • Cisco UCS Manager のユーザ ロールとロケール情報を保持する属性を使用してユーザを設定します。 この属性の RADIUS スキーマを拡張するかどうかを選択できます。 スキーマを拡張しない場合は、既存の RADIUS 属性を使用して Cisco UCS ユーザ ロールとロケールを保持します。 スキーマを拡張する場合は、cisco-avpair 属性などのカスタム属性を作成します。

                  Cisco RADIUS 実装のベンダー ID は 009 で、属性のベンダー ID は 001 です。

                  次の構文は、cisco-avpair 属性を作成する場合に、複数のユーザ ロールとロケールを指定する例を示しています:shell:roles="admin,aaa" shell:locales="L1,abc"。 複数の値を区切るには、デリミタとしてカンマ(,)を使用します。

                • クラスタ設定では、両方のファブリック インターコネクトに対する管理ポート IP アドレスを追加します。 この設定では、1 つめのファブリック インターコネクトで障害が発生し、システムが 2 つめのファブリック インターコネクトにフェールオーバーしても、リモート ユーザは引き続きログインできることが保証されます。 ログイン要求はすべて、これらの IP アドレスから送信されます。Cisco UCS Manager によって使用されている仮想 IP アドレスではありません。

                手順
                  ステップ 1   [Navigation] ペインの [Admin] タブをクリックします。
                  ステップ 2   [Admin] タブで、[All] > [User Management] > [RADIUS] を展開します。
                  ステップ 3   [Create RADIUS Provider] ダイアログボックスで、次の手順を実行します。
                  1. 使用する RADIUS サービスに関する情報を使用して、次のフィールドに値を入力します。
                    名前 説明

                    [Hostname] フィールド

                    RADIUS プロバイダーが存在する場所のホスト名または IP アドレス。

                    (注)     

                    IP アドレスではなくホスト名を使用する場合、DNS サーバを設定する必要があります。 Cisco UCS ドメインCisco UCS Central に登録されていないか、DNS Management が [local] に設定されている場合、DNS サーバを Cisco UCS Manager に設定します。 Cisco UCS ドメインCisco UCS Central に登録されており、DNS Management が [global] に設定されている場合、DNS サーバを Cisco UCS Central に設定します。

                    [Order] フィールド

                    Cisco UCS でこのプロバイダーをユーザの認証に使用する順序。

                    1 から 16 までの整数を入力するか、この Cisco UCS ドメインに定義されている他のプロバイダーに基づいて、次に使用できる順番を Cisco UCS で割り当てる場合は、使用可能な最も低い値または 0(ゼロ)を入力します。

                    [Key] フィールド

                    データベースの Secure Socket Layer(SSL; セキュア ソケット レイヤ)暗号キー。

                    [Confirm Key] フィールド

                    確認のための SSL 暗号キーの再入力。

                    [Authorization Port] フィールド

                    Cisco UCS が RADIUS データベースと通信するために使用するポート。

                    [Timeout] フィールド

                    RADIUS データベースへの問い合わせがタイム アウトするまでの秒数。

                    1 ~ 60 秒の整数を入力するか、または 0(ゼロ)を入力して RADIUS の [General] タブで指定されたグローバル タイムアウト値を使用します。 デフォルトは 5 秒です。

                    [Retries] フィールド

                    要求が失敗したと見なされるまでの接続の再試行の回数。

                    必要に応じて、0 ~ 5 の整数を入力します。 値を指定しない場合、Cisco UCS は、RADIUS の [General] タブで指定された値を使用します。

                  2. [OK] をクリックします。
                  ステップ 4   [Save Changes] をクリックします。

                  次の作業

                  1 つの RADIUS データベースを含む実装では、プライマリ認証サービスとして [RADIUS] を選択します。

                  複数の RADIUS データベースを含む実装では RADIUS プロバイダーのグループを設定します。

                  RADIUS プロバイダーの削除

                  手順
                    ステップ 1   [Navigation] ペインの [Admin] タブをクリックします。
                    ステップ 2   [Admin] タブで、[User Management] > [RADIUS] を展開します。
                    ステップ 3   削除する RADIUS プロバイダーを右クリックし、[Delete] を選択します。
                    ステップ 4   Cisco UCS Manager GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。

                    TACACS+ プロバイダーの設定

                    TACACS+ プロバイダーのプロパティの設定

                    このタスクで設定するプロパティは、Cisco UCS Manager で定義されているこのタイプのすべてのプロバイダー接続のデフォルト設定になります。 個々のプロバイダーにこれらのプロパティのいずれかの設定が含まれている場合、Cisco UCS はその設定を使用し、デフォルト設定を無視します。

                    手順
                      ステップ 1   [Navigation] ペインの [Admin] タブをクリックします。
                      ステップ 2   [Admin] タブで、[User Management] > [TACACS+] を展開します。
                      ステップ 3   [Properties] 領域で、 [Timeout] フィールドに値を入力します。

                      タイムアウトになるまで TACACS+ データベースとの接続が試みられる秒数。

                      1 ~ 60 秒の整数を入力するか、または 0(ゼロ)を入力して TACACS+ の [General] タブで指定したグローバル タイムアウト値を使用します。 デフォルトは 5 秒です。

                      ステップ 4   [Save Changes] をクリックします。

                      次の作業

                      TACACS+ プロバイダーを作成します。

                      TACACS+ プロバイダーの作成

                      Cisco UCS Manager は最大 16 の TACACS+ プロバイダーをサポートします。

                      はじめる前に

                      TACACS+ サーバで、次の設定を行います。

                      • cisco-av-pair 属性を作成します。 既存の TACACS+ 属性は使用できません。

                        cisco-av-pair の名前は、TACACS+ プロバイダーに属性 ID を指定する文字列です。

                        次の構文は、cisco-av-pair 属性を作成する場合に、複数のユーザ ロールとロケールを指定する方法を示しています:cisco-av-pair=shell:roles="admin aaa" shell:locales*"L1 abc"。 アスタリスク(*)を cisco-av-pair 属性構文内で使用することで、オプションとしてロケールにフラグを立て、同じ認証プロファイルを使用する他のシスコ デバイスに対する認証が失敗しないようにします。 複数の値を区切るには、デリミタとしてスペースを使用します。

                      • クラスタ設定では、両方のファブリック インターコネクトに対する管理ポート IP アドレスを追加します。 この設定では、1 つめのファブリック インターコネクトで障害が発生し、システムが 2 つめのファブリック インターコネクトにフェールオーバーしても、リモート ユーザは引き続きログインできることが保証されます。 ログイン要求はすべて、これらの IP アドレスから送信されます。Cisco UCS Manager によって使用されている仮想 IP アドレスではありません。

                      手順
                        ステップ 1   [Navigation] ペインの [Admin] タブをクリックします。
                        ステップ 2   [Admin] タブで、[All] > [User Management] > [TACACS+] を展開します。
                        ステップ 3   [General] タブの [Actions] 領域で、[Create TACACS+ Provider] をクリックします。
                        ステップ 4   [Create TACACS+ Provider] ダイアログボックスで、次の手順を実行します。
                        1. 使用する TACACS+ サービスに関する情報を使用して、フィールドに値を入力します。
                          名前 説明

                          [Hostname] フィールド

                          LDAP プロバイダーが存在する場所のホスト名または IP アドレス。

                          (注)     

                          IP アドレスではなくホスト名を使用する場合、DNS サーバを設定する必要があります。 Cisco UCS ドメインCisco UCS Central に登録されていないか、DNS Management が [local] に設定されている場合、DNS サーバを Cisco UCS Manager に設定します。 Cisco UCS ドメインCisco UCS Central に登録されており、DNS Management が [global] に設定されている場合、DNS サーバを Cisco UCS Central に設定します。

                          [Order] フィールド

                          Cisco UCS でこのプロバイダーをユーザの認証に使用する順序。

                          1 から 16 までの整数を入力するか、この Cisco UCS ドメインに定義されている他のプロバイダーに基づいて、次に使用できる順番を Cisco UCS で割り当てる場合は、使用可能な最も低い値または 0(ゼロ)を入力します。

                          [Key] フィールド

                          データベースの Secure Socket Layer(SSL; セキュア ソケット レイヤ)暗号キー。

                          [Confirm Key] フィールド

                          確認のための SSL 暗号キーの再入力。

                          [Port] フィールド

                          Cisco UCS が TACACS+ データベースと通信するために使用するポート。

                          1 ~ 65535 の整数を入力します。 デフォルト ポートは 49 です。

                          [Timeout] フィールド

                          タイムアウトになるまで TACACS+ データベースとの接続が試みられる秒数。

                          1 ~ 60 秒の整数を入力するか、または 0(ゼロ)を入力して TACACS+ の [General] タブで指定したグローバル タイムアウト値を使用します。 デフォルトは 5 秒です。

                        2. [OK] をクリックします。
                        ステップ 5   [Save Changes] をクリックします。

                        次の作業

                        1 つの TACACS+ データベースを含む実装では、プライマリ認証サービスとして [TACACS+] を選択します。

                        複数の TACACS+ データベースを含む実装では TACACS+ プロバイダーのグループを設定します。

                        TACACS+ プロバイダーの削除

                        手順
                          ステップ 1   [Navigation] ペインの [Admin] タブをクリックします。
                          ステップ 2   [Admin] タブで、[User Management] > [TACACS+] を展開します。
                          ステップ 3   削除する TACACS+ プロバイダーを右クリックし、[Delete] を選択します。
                          ステップ 4   Cisco UCS Manager GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。

                          マルチ認証システムの設定

                          マルチ認証システム

                          次の機能を設定して、複数の認証システムを使用するように Cisco UCS を設定できます。

                          • プロバイダー グループ

                          • 認証ドメイン

                          プロバイダー グループ

                          プロバイダー グループは、認証プロセス中に Cisco UCS が使用する一連のプロバイダーです。 Cisco UCS Manager Cisco UCS Manager では、グループごとに最大 8 プロバイダーが許可されるプロバイダー グループを最大 16 作成できます。

                          認証中、プロバイダー グループ内のすべてのプロバイダーは順番に試行されます。 設定されたサーバがすべて使用できないか、到達不能の場合、Cisco UCS Manager はローカル ユーザ名とパスワードを使用してローカル認証方式に自動的にフォールバックします。

                          LDAP プロバイダー グループの作成

                          LDAP プロバイダーのグループを作成すると、複数の LDAP データベースを使用して認証を行うことができます。

                          (注)  


                          単一の LDAP データベースでの認証では、LDAP プロバイダーのグループを設定する必要はありません。


                          はじめる前に

                          1 つ以上の LDAP プロバイダーを作成します。

                          手順
                            ステップ 1   [Navigation] ペインの [Admin] タブをクリックします。
                            ステップ 2   [Admin] タブで、[All] > [User Management] > [LDAP] を展開します。
                            ステップ 3   [LDAP Provider Groups] を右クリックし、[Create LDAP Provider Group] を選択します。
                            ステップ 4   [Create LDAP Provider Group] ダイアログボックスで、次を実行します。
                            1. [Name] フィールドに、グループの一意の名前を入力します。

                              この名前には、1 から 127 個の文字を使用できます。

                            2. [LDAP Providers] テーブルで、グループに含める一つ以上のプロバイダーを選択します。
                            3. [>>] ボタンをクリックして、[Included Providers] テーブルにプロバイダーを追加します。

                              グループからプロバイダーを削除するには、[<<] ボタンを使用できます。

                            4. 必要なすべてのプロバイダーをプロバイダー グループへ追加した後で、[OK] をクリックします。

                            次の作業

                            認証ドメインを設定するか、デフォルトの認証サービスを選択します。

                            LDAP プロバイダー グループの削除

                            はじめる前に

                            認証設定からプロバイダー グループを削除します。

                            手順
                              ステップ 1   [Navigation] ペインの [Admin] タブをクリックします。
                              ステップ 2   [Admin] タブで、[All] > [User Management] > [LDAP] を展開します。
                              ステップ 3   [LDAP Provider Groups] を展開します。
                              ステップ 4   削除する LDAP プロバイダー グループを右クリックし、[Delete] を選択します。
                              ステップ 5   Cisco UCS Manager GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。

                              RADIUS プロバイダー グループの作成

                              RADIUS プロバイダーのグループを作成すると、複数の RADIUS データベースを使用して認証を行うことができます。

                              (注)  


                              単一の RADIUS データベースでの認証では、RADIUS プロバイダーのグループを設定する必要はありません。


                              はじめる前に

                              1 つ以上の RADIUS プロバイダーを作成します。

                              手順
                                ステップ 1   [Navigation] ペインの [Admin] タブをクリックします。
                                ステップ 2   [Admin] タブで、[All] > [User Management] > [RADIUS] を展開します。
                                ステップ 3   [RADIUS Provider Groups] を右クリックし、[Create RADIUS Provider Group] を選択します。
                                ステップ 4   [Create RADIUS Provider Group] ダイアログボックスで、次を実行します。
                                1. [Name] フィールドに、グループの一意の名前を入力します。

                                  この名前には、1 ~ 127 文字の ASCII 文字を使用できます。

                                2. [RADIUS Providers] テーブルで、グループに含める一つ以上のプロバイダーを選択します。
                                3. [>>] ボタンをクリックして、[Included Providers] テーブルにプロバイダーを追加します。

                                  グループからプロバイダーを削除するには、[<<] ボタンを使用できます。

                                4. 必要なすべてのプロバイダーをプロバイダー グループへ追加した後で、[OK] をクリックします。

                                次の作業

                                認証ドメインを設定するか、デフォルトの認証サービスを選択します。

                                RADIUS プロバイダー グループの削除

                                認証設定によって使用されているプロバイダーのグループは削除できません。

                                手順
                                  ステップ 1   [Navigation] ペインの [Admin] タブをクリックします。
                                  ステップ 2   [Admin] タブで、[All] > [User Management] > [RADIUS] を展開します。
                                  ステップ 3   [RADIUS Provider Groups] を展開します。
                                  ステップ 4   削除する RADIUS プロバイダー グループを右クリックし、[Delete] を選択します。
                                  ステップ 5   Cisco UCS Manager GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。

                                  TACACS+ プロバイダー グループの作成

                                  TACACS+ プロバイダーのグループを作成すると、複数の TACACS+ データベースを使用して認証を行うことができます。

                                  (注)  


                                  単一の TACACS+ データベースでの認証では、TACACS+ プロバイダーのグループを設定する必要はありません。


                                  はじめる前に

                                  1 つ以上の TACACS+ プロバイダーを作成します。

                                  手順
                                    ステップ 1   [Navigation] ペインの [Admin] タブをクリックします。
                                    ステップ 2   [Admin] タブで、[All] > [User Management] > [TACACS+] を展開します。
                                    ステップ 3   [TACACS+ Provider Groups] を右クリックし、[Create TACACS+ Provider Group] を選択します。
                                    ステップ 4   [Create TACACS+ Provider Group] ダイアログボックスで、次を実行します。
                                    1. [Name] フィールドに、グループの一意の名前を入力します。

                                      この名前には、1 ~ 127 文字の ASCII 文字を使用できます。

                                    2. [TACACS+ Providers] テーブルで、グループに含める一つ以上のプロバイダーを選択します。
                                    3. [>>] ボタンをクリックして、[Included Providers] テーブルにプロバイダーを追加します。

                                      グループからプロバイダーを削除するには、[<<] ボタンを使用できます。

                                    4. 必要なすべてのプロバイダーをプロバイダー グループへ追加した後で、[OK] をクリックします。

                                    TACACS+ プロバイダー グループの削除

                                    認証設定によって使用されているプロバイダーのグループは削除できません。

                                    手順
                                      ステップ 1   [Navigation] ペインの [Admin] タブをクリックします。
                                      ステップ 2   [Admin] タブで、[All] > [User Management] > [TACACS+] を展開します。
                                      ステップ 3   [TACACS+ Provider Groups] を展開します。
                                      ステップ 4   削除する TACACS+ プロバイダー グループを右クリックし、[Delete] を選択します。
                                      ステップ 5   Cisco UCS Manager GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。

                                      認証ドメイン

                                      認証ドメインは、マルチ認証システムを活用するために Cisco UCS Manager によって使用されます。 各認証ドメインは、ログイン時に指定および設定されます。 認証ドメインが指定されない場合、デフォルトの認証サービス設定が使用されます。

                                      最大 8 個の認証ドメインを作成できます。 各認証ドメインは、Cisco UCS Manager のプロバイダー グループとレルムに関連付けられます。 プロバイダー グループが指定されていない場合、レルム内のすべてのサーバが使用されます。

                                      認証ドメインの作成

                                      手順
                                        ステップ 1   [Navigation] ペインの [Admin] タブをクリックします。
                                        ステップ 2   [Admin] タブで、[All] > [User Management] > [Authentication] を展開します。
                                        ステップ 3   [Authentication Domains] を右クリックし、[Create a Domain] を選択します。
                                        ステップ 4   [Create a Domain] ダイアログボックスで、次のフィールドに値を入力します。
                                        名前 説明

                                        [Name] フィールド

                                        ドメインの名前。

                                        この名前には、1 ~ 16 文字の英数字を使用できます。 -(ハイフン)、_(アンダースコア)、:(コロン)、および .(ピリオド)以外の特殊文字またはスペースは使用できません。また、オブジェクトを保存した後、この名前を変更することはできません。

                                        (注)     

                                        優先する認証プロトコルとして RADIUS を使用するシステムの場合、認証ドメイン名はローカルに作成されたユーザ名に最大 32 文字のユーザ名および番号の一部と見なされます。 Cisco UCS はフォーマット用に 5 文字を挿入するため、ドメイン名とユーザ名を組み合わせた総数が 27 文字を超えると認証が失敗します。

                                        [Web Session Refresh Period] フィールド

                                        Web クライアントが Cisco UCS Manager に接続する場合、クライアントはリフレッシュ要求を Cisco UCS Manager に送信して Web セッションをアクティブに保つ必要があります。 このオプションによって、このドメイン内のユーザに対するリフレッシュ要求の間に許容される最大時間が指定されます。

                                        この時間制限を超えると、Cisco UCS Manager は Web セッションが非アクティブであると見なしますが、セッションは終了されません。

                                        60 ~ 172800 の整数を指定します。 デフォルトは 600 秒です。

                                        [Web Session Timeout] フィールド

                                        Cisco UCS Manager が、Web セッションが終了したと見なす前提となる最終リフレッシュ要求後の最大経過時間。 この時間制限を超えると、Cisco UCS Manager は自動的に Web セッションを終了します。

                                        60 ~ 172800 の整数を指定します。 デフォルトは 7200 秒です。

                                        [Realm] フィールド

                                        このドメインのユーザに適用される認証プロトコル。 次のいずれかになります。

                                        • [Local]:ユーザ アカウントはこの Cisco UCS ドメインでローカルで定義する必要があります。

                                        • [Radius]:ユーザは、この Cisco UCS ドメインに指定された RADIUS サーバで定義する必要があります。

                                        • [Tacacs]:ユーザは、この Cisco UCS ドメインに定義された TACACS+ サーバで定義する必要があります。

                                        • [Ldap]:ユーザは、この Cisco UCS ドメインに指定された LDAP サーバで定義する必要があります。

                                        [Provider Group] ドロップダウン リスト

                                        [Realm] が [Local] 以外に設定されている場合、このフィールドを使用して、関連するプロバイダー グループ(ある場合)を選択できます。

                                        ステップ 5   [OK] をクリックします。

                                        プライマリ認証サービスの選択

                                        コンソール認証サービスの選択

                                        はじめる前に

                                        システムでリモート認証サービスが使用されている場合は、その認証サービスに対するプロバイダーを作成します。 システムが Cisco UCS を介してローカル認証のみを使用する場合は、最初にプロバイダーを作成する必要はありません。

                                        手順
                                          ステップ 1   [Navigation] ペインの [Admin] タブをクリックします。
                                          ステップ 2   [Admin] タブで、[All] > [User Management] > [Authentication] を展開します。
                                          ステップ 3   [Native Authentication] をクリックします。
                                          ステップ 4   [Work] ペインの [General] タブをクリックします。
                                          ステップ 5   [Console Authentication] タブ領域で、次のフィールドに値を入力します。
                                          名前 説明

                                          [Realm] フィールド

                                          コンソールにログインするユーザが認証される方法。 次のいずれかになります。

                                          • [Local]:ユーザ アカウントはこの Cisco UCS ドメインでローカルで定義する必要があります。

                                          • [Radius]:ユーザは、この Cisco UCS ドメインに指定された RADIUS サーバで定義する必要があります。

                                          • [Tacacs]:ユーザは、この Cisco UCS ドメインに定義された TACACS+ サーバで定義する必要があります。

                                          • [Ldap]:ユーザは、この Cisco UCS ドメインに指定された LDAP サーバで定義する必要があります。

                                          • [None]:ユーザ アカウントがこの Cisco UCS ドメインに対してローカルである場合、ユーザがコンソールにログインするときにパスワードは必要ありません。

                                          [Provider Group] ドロップダウン リスト

                                          コンソールにログインするユーザの認証に使用するプロバイダーのグループ。

                                          ステップ 6   [Save Changes] をクリックします。

                                          デフォルトの認証サービスの選択

                                          はじめる前に

                                          システムでリモート認証サービスが使用されている場合は、その認証サービスに対するプロバイダーを作成します。 システムが Cisco UCS を介してローカル認証のみを使用する場合は、最初にプロバイダーを作成する必要はありません。

                                          手順
                                            ステップ 1   [Navigation] ペインの [Admin] タブをクリックします。
                                            ステップ 2   [Admin] タブで、[All] > [User Management] > [Authentication] を展開します。
                                            ステップ 3   [Native Authentication] をクリックします。
                                            ステップ 4   [Work] ペインの [General] タブをクリックします。
                                            ステップ 5   [Default Authentication] タブ領域で、次のフィールドに値を入力します。
                                            名前 説明

                                            [Realm] ドロップダウン リスト

                                            リモート ログイン中にユーザが認証されるデフォルトの方法。 次のいずれかになります。

                                            • [Local]:ユーザ アカウントはこの Cisco UCS ドメインでローカルで定義する必要があります。

                                            • [Radius]:ユーザは、この Cisco UCS ドメインに指定された RADIUS サーバで定義する必要があります。

                                            • [Tacacs]:ユーザは、この Cisco UCS ドメインに定義された TACACS+ サーバで定義する必要があります。

                                            • [Ldap]:ユーザは、この Cisco UCS ドメインに指定された LDAP サーバで定義する必要があります。

                                            • [None]:ユーザ アカウントがこの Cisco UCS ドメインインスタンスに対してローカルである場合、ユーザがリモートでログインするときにパスワードは必要ありません。

                                            [Provider Group] ドロップダウン リスト

                                            リモート ログイン中にユーザを認証するために使用するデフォルト プロバイダーのグループ。

                                            ステップ 6   [Save Changes] をクリックします。

                                            リモート ユーザのロール ポリシー

                                            デフォルトでは、Cisco UCS Manager でユーザ ロールが設定されていない場合、読み取り専用アクセスが LDAP、RADIUS、または TACACS プロトコルを使用してリモート サーバから Cisco UCS Manager にログインしているすべてのユーザに許可されます。 セキュリティ上の理由から、Cisco UCS Manager で確立されたユーザ ロールに一致しているユーザへアクセスを制限するのが望ましい場合があります。

                                            リモート ユーザのロール ポリシーは次の方法で設定可能です。
                                            assign-default-role

                                            ユーザ ロールに基づいて Cisco UCS Manager へのユーザ アクセスを制限しません。 Cisco UCS Manager でその他のユーザ ロールが定義されていない場合、すべてのユーザに読み取り専用アクセスが許可されます。

                                            これはデフォルトの動作です。

                                            no-login

                                            ユーザ ロールに基づいて Cisco UCS Manager へのユーザ アクセスを制限します。 ユーザ ロールがリモート認証システムに割り当てられていない場合、アクセスは拒否されます。

                                            リモート ユーザのロール ポリシーの設定

                                            手順
                                              ステップ 1   [Navigation] ペインの [Admin] タブをクリックします。
                                              ステップ 2   [Admin] タブで、[All] > [User Management] > [Authentication] を展開します。
                                              ステップ 3   [Native Authentication] をクリックします。
                                              ステップ 4   [Work] ペインの [General] タブをクリックします。
                                              ステップ 5   [Role Policy for Remote Users] フィールドでは、ユーザがログインしようとして、リモート認証プロバイダーでユーザ ロールに認証情報が提供されていないときに何が発生するかを決定するには次のいずれかのオプション ボタンをクリックします。
                                              • [No Login]:ユーザ名とパスワードが正しくても、ユーザはシステムにログインできません。

                                              • [Assign Default Role]:ユーザは、読み取り専用ユーザ ロールでログインできます。

                                              ステップ 6   [Save Changes] をクリックします。