Cisco UCS Manager CLI コンフィギュレーション ガイド、リリース 2.2
「Configuring Authentication」
「Configuring Authentication」

目次

「Configuring Authentication」

この章は、次の項で構成されています。

認証サービス

Cisco UCS では、ユーザ ログインを認証するために、2 種類の方法がサポートされています。

  • Cisco UCS Manager にローカルなユーザ アカウントによって

  • 次のいずれかのプロトコルによりリモートで

    • LDAP

    • RADIUS

    • TACACS+

リモート認証プロバイダーに関するガイドラインおよび推奨事項

システムを、サポートされているリモート認証サービスのいずれかに設定する場合は、そのサービス用のプロバイダーを作成して、Cisco UCS Manager がそのサービスと通信できるようにする必要があります。 また、ユーザ許可に影響する次のガイドラインに留意する必要があります。

リモート認証サービスのユーザ アカウント

ユーザ アカウントは、Cisco UCS Manager にローカルに設定したり、リモート認証サーバに設定することができます。

リモート認証サービスを介してログインしているユーザの一時的なセッションは、Cisco UCS Manager GUI または Cisco UCS Manager CLI で表示できます。

リモート認証サービスのユーザ ロール

リモート認証サーバでユーザ アカウントを作成する場合は、ユーザが Cisco UCS Manager で作業するために必要なロールをそれらのアカウントに含めること、およびそれらのロールの名前を Cisco UCS Manager で使用される名前と一致させることが必要です。 ロール ポリシーによっては、ユーザがログインできないことがあり、その場合は読み取り専用権限だけが付与されます。

リモート認証プロバイダーにおけるユーザ属性

RADIUS および TACACS+ 構成では、ユーザが Cisco UCS Manager へのログインに使用する各リモート認証プロバイダーに Cisco UCS 用のユーザ属性を設定する必要があります。 このユーザ属性には、各ユーザに割り当てられたロールとロケールが含まれています。


(注)  


この手順は、LDAP グループ マッピングを使用してロールとロケールを割り当てる LDAP 設定では必要ありません。


ユーザがログインすると、Cisco UCS Manager は以下を実行します。

  1. リモート認証サービスに問い合わせます。

  2. ユーザを検証します。

  3. ユーザが有効である場合は、そのユーザに割り当てられているロールとロケールをチェックします。

次の表は、Cisco UCS がサポートしているリモート認証プロバイダーのユーザ属性要件を比較して示しています。

表 1 リモート認証プロバイダー別のユーザ属性の比較
認証プロバイダー カスタム属性 スキーマの拡張 属性 ID 要件

LDAP

グループ マッピング使用時は不要

グループ マッピング不使用時は任意

オプション 次のいずれかを選択して実行できます。

  • LDAP スキーマを拡張せず、要件を満たす既存の未使用の属性を設定する。

  • LDAP スキーマを拡張して、CiscoAVPair などの一意の名前でカスタム属性を作成する。

シスコの LDAP の実装では、Unicode タイプの属性が必要です。

CiscoAVPair カスタム属性を作成する場合は、属性 ID として 1.3.6.1.4.1.9.287247.1 を使用します

サンプルの OID が次のセクションに示されています。

RADIUS

任意

オプション 次のいずれかを選択して実行できます。

  • RADIUS スキーマを拡張せず、要件を満たす既存の未使用属性を使用する。

  • RADIUS スキーマを拡張して、cisco-avpair などの一意の名前でカスタム属性を作成する。

シスコによる RADIUS の実装のベンダー ID は 009 であり、属性のベンダー ID は 001 です。

次の構文例は、cisco-avpair 属性を作成する場合に複数のユーザ ロールとロケールを指定する方法を示しています。shell:roles="admin,aaa" shell:locales="L1,abc"。 複数の値を区切るには、区切り文字としてカンマ「,」を使用します。

TACACS+

必須

必須です。 スキーマを拡張し、cisco-av-pair という名前のカスタム属性を作成する必要があります。

cisco-av-pair 名は、TACACS+ プロバイダーの属性 ID を提供する文字列です。

次の構文例は、cisco-av-pair 属性を作成するときに複数のユーザ ロールとロケールを指定する方法を示しています。cisco-av-pair=shell:roles="admin aaa" shell:locales*"L1 abc"。 cisco-av-pair 属性構文でアスタリスク(*)を使用すると、ロケールがオプションとして指定され、同じ認可プロファイルを使用する他のシスコ デバイスで認証の失敗を防ぐことができます。 複数の値を区切るには、区切り文字としてスペースを使用します。

LDAP ユーザ属性のサンプル OID

カスタム CiscoAVPair 属性のサンプル OID は、次のとおりです。

CN=CiscoAVPair,CN=Schema,
CN=Configuration,CN=X
objectClass: top
objectClass: attributeSchema
cn: CiscoAVPair
distinguishedName: CN=CiscoAVPair,CN=Schema,CN=Configuration,CN=X
instanceType: 0x4
uSNCreated: 26318654
attributeID: 1.3.6.1.4.1.9.287247.1
attributeSyntax: 2.5.5.12
isSingleValued: TRUE
showInAdvancedViewOnly: TRUE
adminDisplayName: CiscoAVPair
adminDescription: UCS User Authorization Field
oMSyntax: 64
lDAPDisplayName: CiscoAVPair
name: CiscoAVPair
objectCategory: CN=Attribute-Schema,CN=Schema,CN=Configuration,CN=X

二要素認証

Cisco UCS Manager は、ユーザ名とパスワードの組み合わせによるユーザ ログイン操作をサポートしています。 覚えやすいパスワードを設定するユーザもいますが、そのようなパスワードはマルウェア、スパイウェア、コンピュータ ウイルスに対して脆弱な恐れがあります。 保護されていないネットワークからシステムにリモート アクセスするユーザや安全ではないサービスを使用しているユーザは、パスワードがスヌーピング ソフトウェアによって侵害されている可能性があります。 フィッシング攻撃は、ユーザをだましてパスワードを暴露させるウイルス攻撃です。

ユーザ認証を強化する 1 つの方法は、ユーザ名とパスワードに加えて第 2 の要素を要求することです。 二要素認証では、3 つの認証要素のうち 2 つが必要になります。 二要素認証では、ユーザが知っているものの組み合わせ(パスワードまたは PIN と、証明書やトークンなどユーザが所有しているもの)が使用されます。 二要素認証はリモート ユーザに対してのみサポートされており、IPMI はサポートされません。

Cisco UCS Manager では、認証アプリケーションを使用して二要素認証を提供しています。このアプリケーションはトークン サーバを保持して、ログイン プロセス中にユーザ用のワンタイム トークンを生成します。 パスワードは AAA サーバに保存されるため、ログイン時、ユーザはユーザ名を入力してから、パスワード フィールドにトークンとパスワードの組み合わせを入力する必要があります。 ベンダー固有の属性を取得するために、リクエストがトークン サーバに送信されます。 Cisco UCS Manager は、トークン サーバがリクエストを AAA サーバに転送できるように、トークン サーバを AAA サーバと統合することを要求します。 パスワードとトークンは、AAA サーバによって同時に検証されます。 ユーザは、AAA サーバで設定されているのと同じ順序で、トークンとパスワードを入力する必要があります。

この機能は、RADIUS または TACACS+ プロバイダー グループを指定認証ドメインに関連付け、それらのドメインで二要素認証を有効にすることによってサポートされます。


(注)  


二要素認証は、認証レルムが LDAP、local、または none に設定されている場合はサポートされません。


Web セッションの更新および Web セッションのタイムアウト期限

Web セッションのタイムアウト期限は、アクティビティに関係なく、セッションの最長継続時間を制御します。 二要素認証を設定すると、Web セッションのタイムアウト期限もより大きいデフォルト値に設定されます。 Web セッションの更新期間が過ぎると、Cisco UCS Manager GUI クライアントはプロンプトを自動的に生成し、新しいトークンとパスワードの組み合わせを入力するようユーザに求めます。

Web セッションの更新期間は、ユーザの Web セッションの有効期間を制御します。 二要素認証が設定されている場合、ユーザは、Web セッションの更新期間が切れるたびに、トークンとパスワードの組み合わせを入力してログインする必要があります。 セッション タイムアウトが頻発して、ユーザに何度もトークンとパスワードの作り直しと再入力を要求することがないように、Web セッションの更新間隔は、二要素認証が有効化されると、より大きい初期デフォルト値に設定されます。 これにより、リモート ユーザは長時間アクティブ セッションを維持することができます。 無活動により Web セッションの更新が期限切れになった場合、ユーザは新しいトークンを生成して再度ログインするよう要求されます。

LDAP グループ ルール

LDAP グループ ルールは、リモート ユーザにユーザ ロールとロケールを割り当てるときに、Cisco UCS が LDAP グループを使用するかどうかを決定するために使用されます。

ネストされた LDAP グループ

Cisco UCS Manager のリリース 2.1(2) 以降では、LDAP グループ マップで定義された他のグループ内にネストされた LDAP グループを検索できます。 この新しい機能を使用すると、Cisco UCS Manager のグループ マップでサブグループを常に作成する必要がなくなります。

(注)  


ネストされた LDAP の検索サポートは Microsoft Active Directory サーバに対してのみサポートされます。 サポート対象のバージョンは Microsoft Windows 2003 SP3、Microsoft Windows 2008 R2、および Microsoft Windows 2012 です。


LDAP ネスティング機能を使用して、LDAP グループを他のグループおよびネスト グループのメンバとして追加し、メンバ アカウントを統合してトラフィックの重複を減らすことができます。

デフォルトでは、ユーザ権限は他のグループ内の LDAP グループをネストするときに継承されます。 たとえば、Group_2 のメンバとして Group_1 を作成すると、Group_1 のユーザは Group_2 のメンバと同じ権限が与えられます。 その結果、Group_1 のメンバであるユーザを検索するときは、Group_1 と Group_2 を別々に検索するのではなく LDAP グループ マップの Group_2 を選択するだけで済みます。

LDAP プロバイダーの設定

LDAP プロバイダーのプロパティの設定

このタスクで設定するプロパティは、Cisco UCS Manager で定義されたこのタイプのすべてのプロバイダー接続のデフォルト設定です。 個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Cisco UCS でその設定が使用され、デフォルト設定は無視されます。

Active Directory を LDAP サーバとして使用している場合は、Active Directory サーバで Cisco UCS にバインドするユーザ アカウントを作成します。 このアカウントには、期限切れにならないパスワードを設定します。

手順
     コマンドまたはアクション目的
    ステップ 1UCS-A# scope security  

    セキュリティ モードを開始します。

     
    ステップ 2UCS-A /security # scope ldap  

    セキュリティ LDAP モードを開始します。

     
    ステップ 3UCS-A /security/ldap # set attribute attribute  

    指定された属性を含むレコードにデータベース検索を限定します。

     
    ステップ 4UCS-A /security/ldap # set basedn distinguished-name  

    指定された識別名を含むレコードにデータベース検索を限定します。

     
    ステップ 5UCS-A /security/ldap # set filter filter  

    指定されたフィルタを含むレコードにデータベース検索を限定します。

     
    ステップ 6UCS-A /security/ldap # set timeout seconds   (任意)

    システムがサーバをダウン状態として通知する前に、LDAP サーバからの応答を待つ時間間隔を設定します。

     
    ステップ 7UCS-A /security/ldap # commit-buffer  

    トランザクションをシステムの設定にコミットします。

     

    次の例は、LDAP 属性を CiscoAvPair に、ベース識別名を「DC=cisco-ucsm-aaa3,DC=qalab,DC=com」に、フィルタを「sAMAccountName=$userid」、タイムアウト間隔を 5 秒に設定し、トランザクションをコミットします。

    UCS-A# scope security
    UCS-A /security # scope ldap
    UCS-A /security/ldap # set attribute CiscoAvPair
    UCS-A /security/ldap* # set basedn "DC=cisco-ucsm-aaa3,DC=qalab,DC=com"
    UCS-A /security/ldap* # set filter sAMAccountName=$userid
    UCS-A /security/ldap* # set timeout 5
    UCS-A /security/ldap* # commit-buffer
    UCS-A /security/ldap # 
    

    (注)  


    ユーザ ログインは LDAP ユーザーの userdn が 255 文字を超えると失敗します。


    次の作業

    LDAP プロバイダーを作成します。

    LDAP プロバイダーの作成

    Cisco UCS Manager では、最大 16 の LDAP プロバイダーがサポートされます。

    はじめる前に

    Active Directory を LDAP サーバとして使用している場合は、Active Directory サーバで Cisco UCS にバインドするユーザ アカウントを作成します。 このアカウントには、期限切れにならないパスワードを設定します。

    • LDAP サーバで、次のいずれかの設定を行います。

      • LDAP グループを設定します。 LDAP グループには、ユーザのロールとロケール情報が含まれています。

      • Cisco UCS Manager のユーザ ロールとロケール情報を保持する属性をユーザに対して設定します。 この属性について LDAP スキーマを拡張するかどうかを選択できます。 スキーマを拡張しない場合は、既存の LDAP 属性を使用して Cisco UCS ユーザ ロールとロケールを保持します。 スキーマを拡張する場合は、CiscoAVPair 属性などのカスタム属性を作成します。

        シスコの LDAP の実装では、Unicode タイプの属性が必要です。

        CiscoAVPair カスタム属性を作成する場合は、属性 ID として 1.3.6.1.4.1.9.287247.1 を使用します

      • クラスタ設定では、両方のファブリック インターコネクトに対する管理ポートの IPv4 または IPv6 アドレスを追加します。 この設定では、1 つめのファブリック インターコネクトで障害が発生し、システムが 2 つめのファブリック インターコネクトにフェールオーバーしても、リモート ユーザは引き続きログインできることが保証されます。 ログイン要求はすべて、これらの IP アドレスから送信されます。Cisco UCS Manager により使用されている仮想 IPv4 または IPv6 アドレスではありません。

    • セキュアな通信を使用する場合は、LDAP サーバのルート認証局(CA)の証明書が格納されたトラスト ポイントを Cisco UCS Manager で作成します。

    手順
       コマンドまたはアクション目的
      ステップ 1UCS-A# scope security  

      セキュリティ モードを開始します。

       
      ステップ 2UCS-A /security # scope ldap  

      セキュリティ LDAP モードを開始します。

       
      ステップ 3UCS-A /security/ldap # create server server-name  

      LDAP サーバ インスタンスを作成し、セキュリティ LDAP サーバ モードを開始します。 SSL がイネーブルの場合、server-name は、通常 IP アドレスまたは FQDN となり、LDAP サーバのセキュリティ証明書内の Common Name(CN)と正確に一致している必要があります。 IP アドレスが指定されているのでない限り、DNS サーバは Cisco UCS Manager で設定する必要があります。

       
      ステップ 4UCS-A /security/ldap/server # set attribute attr-name   (任意)

      ユーザ ロールとロケールの値を保管する LDAP 属性。 このプロパティは、常に、名前と値のペアで指定されます。 システムは、ユーザ レコードで、この属性名と一致する値を検索します。

      LDAP スキーマを拡張しない場合は、既存の使用されていない LDAP 属性を Cisco UCS ロールとスケールに設定できます。 あるいは、属性 ID「1.3.6.1.4.1.9.287247.1」を持つ、CiscoAVPair という名前の属性をリモート認証サービスに作成できます。

      デフォルトの属性が LDAP の [General] タブで設定されていない場合は、この値が必要です。

       
      ステップ 5UCS-A /security/ldap/server # set basedn basedn-name   (任意)

      リモート ユーザがログインし、システムがそのユーザ名に基づいてユーザの DN の取得を試みるときに、サーバが検索を開始する LDAP 階層内の特定の識別名。 ベース DN は、最大 255 文字から CN= ユーザ名の長さを差し引いた長さに設定することができます。ユーザ名は、LDAP 認証により Cisco UCS Manager へのアクセスを試みているリモート ユーザの識別に使用されます。

      デフォルトのベース DN が LDAP の [General] タブで設定されていない場合は、この値が必要です。

       
      ステップ 6UCS-A /security/ldap/server # set binddn binddn-name   (任意)

      ベース DN のすべてのオブジェクトに対する読み取り権限と検索権限を持つ、LDAP データベース アカウントの識別名(DN)。

      サポートされるストリングの最大長は 255 文字(ASCII)です。

       
      ステップ 7UCS-A /security/ldap/server # set filter filter-value   (任意)

      LDAP 検索は、定義したフィルタと一致するユーザ名に限定されます。

      デフォルトのフィルタが LDAP の [General] タブで設定されていない場合は、この値が必要です。

       
      ステップ 8UCS-A /security/ldap/server # set password  

      [Bind DN] フィールドで指定した LDAP データベース アカウントのパスワード。 標準 ASCII 文字を入力できます。ただし、「§」(セクション記号)、「?」 (疑問符)、「=」(等号)は除きます。

      パスワードを設定するには、set password コマンドを入力してから Enter キーを押し、プロンプトでキー値を入力します。

       
      ステップ 9UCS-A /security/ldap/server # set order order-num   (任意)

      Cisco UCS でこのプロバイダーをユーザの認証に使用する順序。

       
      ステップ 10UCS-A /security/ldap/server # set port port-num   (任意)

      Cisco UCS が LDAP データベースと通信するために使用するポート。 標準ポート番号は 389 です。

       
      ステップ 11UCS-A /security/ldap/server # set ssl {yes no}  

      LDAP サーバと通信するときの暗号化の使用をイネーブルまたはディセーブルにします。 オプションは次のとおりです。

      • yes:暗号化が必要です。 暗号化をネゴシエートできない場合は、接続に失敗します。

      • no:暗号化はディセーブルです。 認証情報はクリア テキストとして送信されます。

      LDAP では STARTTLS が使用されます。 これにより、ポート 389 を使用した暗号化通信が可能になります。

       
      ステップ 12UCS-A /security/ldap/server # set timeout timeout-num  

      LDAP データベースへの問い合わせがタイム アウトするまでの秒数。

      1 ~ 60 秒の整数を入力するか、0(ゼロ)を入力して LDAP の [General] で指定したタイムアウト値を使用します。 デフォルトは 30 秒です。

       
      ステップ 13UCS-A /security/ldap/server # set vendor {ms-ad | openldap} 

      LDAP サーバのネストされた LDAP グループ検索機能の使用をイネーブルまたはディセーブルにします。 オプションは次のとおりです。

      • [ms-ad]:ネストされた LDAP グループ検索は、このオプションでサポートされます。 ベンダーを [ms-ad](Microsoft Active Directory)に設定し、[ldap-group-rule] を有効にして [recursive] に設定すると、Cisco UCS Manager はネストされた LDAP グループを検索できます。

      • [openldap]:ネストされた LDAP グループ検索は、このオプションでサポートされません。 ベンダーを [openldap] に設定し、[ldap-group-rule] を有効にして [recursive] に設定すると、Cisco UCS Manager はネストされた LDAP グループを検索しません。 このオプションを選択すると、親グループがグループ マップにすでに設定されていても、Cisco UCS Manager で LDAP グループ マップとして各 LDAP サブグループを作成する必要があります。

      (注)     

      Cisco UCS Manager を旧バージョンからリリース 2.1(2) にアップグレードすると、LDAP プロバイダーのベンダー属性は [openldap] にデフォルトで設定され、LDAP 認証が正常に機能し続けます。

       
      ステップ 14UCS-A /security/ldap/server # commit-buffer  

      トランザクションをシステムの設定にコミットします。

       

      次の例では、10.193.169.246 という名前の LDAP サーバ インスタンスを作成し、binddn、パスワード、順序、ポート、SSL、ベンダー属性を設定し、トランザクションをコミットします。

      UCS-A# scope security
      UCS-A /security # scope ldap
      UCS-A /security/ldap* # create server 10.193.169.246
      UCS-A /security/ldap/server* # set binddn "cn=Administrator,cn=Users,DC=cisco-ucsm-aaa3,DC=qalab,DC=com"
      UCS-A /security/ldap/server* # set password
      Enter the password:
      Confirm the password:
      UCS-A /security/ldap/server* # set order 2
      UCS-A /security/ldap/server* # set port 389
      UCS-A /security/ldap/server* # set ssl yes
      UCS-A /security/ldap/server* # set timeout 30
      UCS-A /security/ldap/server* # set vendor ms-ad 
      UCS-A /security/ldap/server* # commit-buffer
      UCS-A /security/ldap/server # 

      次の例では、12:31:71:1231:45b1:0011:011:900 という名前の LDAP サーバ インスタンスを作成し、binddn、パスワード、順序、ポート、SSL、ベンダー属性を設定し、トランザクションをコミットします。

      UCS-A# scope security
      UCS-A /security # scope ldap
      UCS-A /security/ldap* # create server 12:31:71:1231:45b1:0011:011:900
      UCS-A /security/ldap/server* # set binddn "cn=Administrator,cn=Users,DC=cisco-ucsm-aaa3,DC=qalab,DC=com"
      UCS-A /security/ldap/server* # set password
      Enter the password:
      Confirm the password:
      UCS-A /security/ldap/server* # set order 1
      UCS-A /security/ldap/server* # set port 389
      UCS-A /security/ldap/server* # set ssl yes
      UCS-A /security/ldap/server* # set timeout 45
      UCS-A /security/ldap/server* # set vendor ms-ad 
      UCS-A /security/ldap/server* # commit-buffer
      UCS-A /security/ldap/server # 
      次の作業

      単一の LDAP データベースが関係する実装の場合は、認証サービスとして LDAP を選択します。

      複数の LDAP データベースが関係する実装の場合は、LDAP プロバイダー グループを設定します。

      LDAP プロバイダーの LDAP グループ ルールの変更

      手順
         コマンドまたはアクション目的
        ステップ 1 UCS-A# scope security  

        セキュリティ モードを開始します。

         
        ステップ 2 UCS-A /security # scope ldap  

        セキュリティ LDAP モードを開始します。

         
        ステップ 3 UCS-A /security/ldap # scope server ldap-provider  

        セキュリティ LDAP プロバイダー モードを開始します。

         
        ステップ 4 UCS-A /security/ldap/server # scope ldap-group-rule  

        LDAP グループ ルール モードを開始します。

         
        ステップ 5 UCS-A /security/ldap/server/ldap-group-rule # set authorization {enable | disable}  

        ユーザ ロールとロケールをリモート ユーザに割り当てるときに、Cisco UCS が LDAP グループを検索するかどうかを指定します。

        • [disable]Cisco UCS LDAP グループにアクセスしません。

        • [ enable]Cisco UCS は、この Cisco UCS ドメインにマッピングされた LDAP プロバイダー グループを検索します。 リモート ユーザが検出されると、Cisco UCS は、関連付けられた LDAP グループ マップで、その LDAP グループに定義されたユーザ ロールとロケールを割り当てます。

        (注)     

        ロールとロケールの割り当ては累積されます。 ユーザが複数のグループに含まれるか、LDAP 属性に指定されたロールまたはロケールを持つ場合、Cisco UCS はそのユーザを、それらのグループまたは属性のいずれかにマップされているすべてのロールおよびロケールに割り当てます。

         
        ステップ 6 UCS-A /security/ldap/server/ldap-group-rule # set member-of-attribute attr-name  

        Cisco UCS が LDAP データベース内のグループ メンバーシップを判別するために使用する属性。

        サポートされるストリングの長さは 63 文字です。 デフォルトの文字列は「memberOf」です。

         
        ステップ 7 UCS-A /security/ldap/server/ldap-group-rule # set traversal {non-recursive | recursive}  

        Cisco UCS がグループ メンバーの親グループの設定を引き継ぐかどうかを、必要に応じて指定します。 ここに表示される値は次のとおりです。

        • [ non-recursive]Cisco UCS は、ユーザが所属するグループだけを検索します。

        • [ recursive]Cisco UCS は、ユーザに属する継承元グループすべてを検索します。

         
        ステップ 8 UCS-A /security/ldap/server/ldap-group-rule # set use-primary-group {yes | no}  

        プライマリ グループをメンバーシップの検証のために Cisco UCS ドメイン内の LDAP グループ マップとして設定します。 Cisco UCS Manager をイネーブルにして、ユーザのプライマリ グループ メンバーシップをダウンロードして検証することが できます。

         
        ステップ 9 UCS-A /security/ldap/server/ldap-group-rule # commit-buffer  

        トランザクションをシステムの設定にコミットします。

         

        次の例は、権限をイネーブルにする LDAP グループ ルールを設定し、属性のメンバを memberOf に設定し、traversal を non-recursive に設定し、トランザクションをコミットします。

        UCS-A# scope security
        UCS-A /security # scope ldap
        UCS-A /security/ldap # scope server ldapprovider
        UCS-A /security/ldap/server # scope ldap-group-rule
        UCS-A /security/ldap/server/ldap-group-rule # set authorization enable
        UCS-A /security/ldap/server/ldap-group-rule* # set member-of-attribute memberOf
        UCS-A /security/ldap/server/ldap-group-rule* # set traversal non-recursive
        UCS-A /security/ldap/server/ldap-group-rule* # set use-primary-group yes
        UCS-A /security/ldap/server/ldap-group-rule* # commit-buffer
        UCS-A /security/ldap/server/ldap-group-rule #

        LDAP プロバイダーの削除

        手順
           コマンドまたはアクション目的
          ステップ 1 UCS-A# scope security  

          セキュリティ モードを開始します

           
          ステップ 2 UCS-A /security # scope ldap  

          セキュリティ LDAP モードを開始します

           
          ステップ 3 UCS-A /security/ldap # delete server serv-name  

          指定したサーバを削除します。

           
          ステップ 4 UCS-A /security/ldap # commit-buffer  

          トランザクションをシステムの設定にコミットします。

           

          次に、ldap1 という名前の LDAP サーバを削除し、トランザクションをコミットする例を示します。

          UCS-A# scope security
          UCS-A /security # scope ldap
          UCS-A /security/ldap # delete server ldap1
          UCS-A /security/ldap* # commit-buffer
          UCS-A /security/ldap #

          LDAP グループ マッピング

          LDAP データベースへのアクセスを制限するためにすでに LDAP グループを使用している組織では、UCSM でグループ メンバーシップ情報を使用して、ログイン時に LDAP ユーザにロールやロケールを割り当てることができます。 これにより、Cisco UCS Manager を導入するときに、LDAP ユーザ オブジェクトでロールやロケール情報を定義する必要がなくなります。

          ユーザが Cisco UCS Manager にログインすると、ユーザのロールとロケールに関する情報が LDAP グループ マップから取り出されます。 ロールとロケールの基準がポリシー情報と一致する場合は、アクセスが許可されます。

          ロールとロケールの定義は Cisco UCS Manager でローカルに設定され、LDAP ディレクトリに対する変更に基づいて自動的に更新されることはありません。 LDAP ディレクトリ内の LDAP グループの削除や名前変更を行う場合は、変更に合わせて Cisco UCS Manager も更新する必要があります。

          LDAP グループ マップは、次のロールとロケールのいずれかの組み合わせを含むように設定できます。
          • ロールのみ

          • ロケールのみ

          • ロールとロケールの両方

          たとえば、特定の場所のサーバ管理者グループを表す LDAP グループがあるとします。 LDAP グループ マップは、server-profile や server-equipment などのユーザ ロールを含むように設定されることもあります。 特定の場所のサーバ管理者へのアクセスを制限するために、ロケールに特定のサイト名を設定することができます。

          (注)  


          Cisco UCS Manager にはすぐに使用できる多数のユーザ ロールが含まれていますが、ロケールは含まれていません。 LDAP プロバイダー グループをロケールにマッピングするには、カスタム ロケールを作成する必要があります。


          LDAP グループ マップの作成

          はじめる前に
          • LDAP サーバで LDAP グループを作成します。

          • LDAP サーバで LDAP グループの識別名を設定します。

          • Cisco UCS Manager でロケールを作成します(任意)。

          • Cisco UCS Manager でカスタム ロールを作成します(任意)。

          手順
             コマンドまたはアクション目的
            ステップ 1 UCS-A# scope security  

            セキュリティ モードを開始します。

             
            ステップ 2 UCS-A /security # scope ldap  

            セキュリティ LDAP モードを開始します。

             
            ステップ 3 UCS-A /security/ldap # create ldap-group group-dn  

            指定した DN 用の LDAP グループ マップを作成します。

            グループ DN の最大文字数は 240 です。  
            ステップ 4 UCS-A /security/ldap/ldap-group # create locale locale-name  

            指定されたロケールに LDAP グループをマッピングします。

             
            ステップ 5 UCS-A /security/ldap/ldap-group # create role role-name  

            指定されたロールに LDAP グループをマッピングします。

             
            ステップ 6 UCS-A /security/ldap/ldap-group # commit-buffer  

            トランザクションをシステムの設定にコミットします。

             

            次に、DN に LDAP グループをマッピングし、ロケールを pacific に設定し、ロールを admin に設定し、トランザクションをコミットする例を示します。

            UCS-A# scope security
            UCS-A /security # scope ldap
            UCS-A /security/ldap # create ldap-group cn=security,cn=users,dc=lab,dc=com
            UCS-A /security/ldap/ldap-group* # create locale pacific
            UCS-A /security/ldap/ldap-group* # create role admin
            UCS-A /security/ldap/ldap-group* # commit-buffer
            UCS-A /security/ldap/ldap-group #
            次の作業

            LDAP グループ ルールを設定します。

            LDAP グループ マップの削除

            手順
               コマンドまたはアクション目的
              ステップ 1 UCS-A# scope security  

              セキュリティ モードを開始します。

               
              ステップ 2 UCS-A /security # scope ldap  

              セキュリティ LDAP モードを開始します。

               
              ステップ 3 UCS-A /security/ldap # delete ldap-group group-dn  

              指定した DN 用の LDAP グループ マップを削除します。

               
              ステップ 4 UCS-A /security/ldap # commit-buffer  

              トランザクションをシステムの設定にコミットします。

               

              次に、LDAP グループ マップを削除し、トランザクションをコミットする例を示します。

              UCS-A# scope security
              UCS-A /security # scope ldap
              UCS-A /security/ldap # delete ldap-group cn=security,cn=users,dc=lab,dc=com
              UCS-A /security/ldap* # commit-buffer
              UCS-A /security/ldap #

              RADIUS プロバイダーの設定

              RADIUS プロバイダーのプロパティの設定

              このタスクで設定するプロパティは、Cisco UCS Manager で定義されたこのタイプのすべてのプロバイダー接続のデフォルト設定です。 個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Cisco UCS でその設定が使用され、デフォルト設定は無視されます。

              手順
                 コマンドまたはアクション目的
                ステップ 1UCS-A# scope security  

                セキュリティ モードを開始します。

                 
                ステップ 2UCS-A /security # scope radius  

                セキュリティ RADIUS モードを開始します。

                 
                ステップ 3UCS-A /security/radius # set retries retry-num   (任意)

                サーバをダウンとして通知する前に RADIUS サーバとの通信を再試行する回数を設定します。

                 
                ステップ 4UCS-A /security/radius # set timeout seconds   (任意)

                システムがサーバをダウン状態として通知する前に、RADIUS サーバからの応答を待つ時間間隔を設定します。

                 
                ステップ 5UCS-A /security/radius # commit-buffer  

                トランザクションをシステムの設定にコミットします。

                 

                次の例は、RADIUS リトライを 4 に設定し、タイムアウト間隔を 30 秒に設定し、トランザクションをコミットします。

                UCS-A# scope security
                UCS-A /security # scope radius
                UCS-A /security/radius # set retries 4
                UCS-A /security/radius* # set timeout 30
                UCS-A /security/radius* # commit-buffer
                UCS-A /security/radius # 
                
                次の作業

                RADIUS プロバイダーを作成します。

                RADIUS プロバイダーの作成

                Cisco UCS Manager では、最大 16 の RADIUS プロバイダーがサポートされます。

                はじめる前に

                RADIUS サーバで、次の設定を行います。

                • Cisco UCS Manager のユーザ ロールとロケール情報を保持する属性をユーザに対して設定します。 この属性について RADIUS スキーマを拡張するかどうかを選択できます。 スキーマを拡張しない場合は、既存の RADIUS 属性を使用して Cisco UCS ユーザ ロールとロケールを保持します。 スキーマを拡張する場合は、cisco-avpair 属性などのカスタム属性を作成します。

                  シスコによる RADIUS の実装のベンダー ID は 009 であり、属性のベンダー ID は 001 です。

                  次の構文例は、cisco-avpair 属性を作成する場合に複数のユーザ ロールとロケールを指定する方法を示しています。shell:roles="admin,aaa" shell:locales="L1,abc"。 複数の値を区切るには、区切り文字としてカンマ「,」を使用します。

                • クラスタ設定では、両方のファブリック インターコネクトに対する管理ポートの IPv4 または IPv6 アドレスを追加します。 この設定では、1 つめのファブリック インターコネクトで障害が発生し、システムが 2 つめのファブリック インターコネクトにフェールオーバーしても、リモート ユーザは引き続きログインできることが保証されます。 ログイン要求はすべて、これらの IP アドレスから送信されます。Cisco UCS Manager により使用されている仮想 IP アドレスではありません。

                手順
                   コマンドまたはアクション目的
                  ステップ 1UCS-A# scope security  

                  セキュリティ モードを開始します。

                   
                  ステップ 2UCS-A /security # scope radius  

                  セキュリティ RADIUS モードを開始します。

                   
                  ステップ 3UCS-A /security/radius # create server server-name  

                  RADIUS サーバ インスタンスを作成し、セキュリティ RADIUS サーバ モードを開始します

                   
                  ステップ 4UCS-A /security/radius/server # set authport authport-num   (任意)

                  RADIUS サーバとの通信に使用するポートを指定します。

                   
                  ステップ 5UCS-A /security/radius/server # set key  

                  RADIUS サーバ キーを設定します。 キー値を設定するには、set key コマンドを入力してから Enter キーを押し、プロンプトでキー値を入力します。

                   
                  ステップ 6UCS-A /security/radius/server # set order order-num   (任意)

                  このサーバが試行される順序を指定します。

                   
                  ステップ 7UCS-A /security/radius/server # set retries retry-num   (任意)

                  サーバをダウンとして通知する前に RADIUS サーバとの通信を再試行する回数を設定します。

                   
                  ステップ 8UCS-A /security/radius/server # set timeout seconds   (任意)

                  システムがサーバをダウン状態として通知する前に、RADIUS サーバからの応答を待つ時間間隔を設定します。

                  ヒント   

                  RADIUS プロバイダーに二要素認証を選択する場合は、より高いタイムアウト値を設定することを推奨します。

                   
                  ステップ 9UCS-A /security/radius/server # commit-buffer  

                  トランザクションをシステムの設定にコミットします。

                   

                  次の例は、radiusserv7 という名前のサーバ インスタンスを作成し、認証ポートを 5858 に設定し、キーを radiuskey321 に設定し、順序を 2 に設定し、再試行回数を 4 回に設定し、タイムアウトを 30 に設定し、二要素認証をイネーブルにし、トランザクションをコミットします。

                  UCS-A# scope security
                  UCS-A /security # scope radius
                  UCS-A /security/radius # create server radiusserv7
                  UCS-A /security/radius/server* # set authport 5858
                  UCS-A /security/radius/server* # set key
                  Enter the key: radiuskey321
                  Confirm the key: radiuskey321
                  UCS-A /security/radius/server* # set order 2
                  UCS-A /security/radius/server* # set retries 4
                  UCS-A /security/radius/server* # set timeout 30
                  UCS-A /security/radius/server* # commit-buffer
                  UCS-A /security/radius/server # 
                  
                  次の作業

                  単一の RADIUS データベースが関係する実装の場合は、RADIUS をプライマリ認証サービスとして選択します。

                  複数の RADIUS データベースが関係する実装の場合は、RADIUS プロバイダー グループを設定します。

                  RADIUS プロバイダーの削除

                  手順
                     コマンドまたはアクション目的
                    ステップ 1 UCS-A# scope security  

                    セキュリティ モードを開始します。

                     
                    ステップ 2 UCS-A /security # scope RADIUS  

                    セキュリティ RADIUS モードを開始します。

                     
                    ステップ 3 UCS-A /security/radius # delete server serv-name  

                    指定したサーバを削除します。

                     
                    ステップ 4 UCS-A /security/radius # commit-buffer  

                    トランザクションをシステムの設定にコミットします。

                     

                    次の例は、radius1 という RADIUS サーバを削除し、トランザクションをコミットします。

                    UCS-A# scope security
                    UCS-A /security # scope radius
                    UCS-A /security/radius # delete server radius1
                    UCS-A /security/radius* # commit-buffer
                    UCS-A /security/radius #

                    TACACS+ プロバイダーの設定

                    TACACS+ プロバイダーのプロパティの設定

                    このタスクで設定するプロパティは、Cisco UCS Manager で定義されたこのタイプのすべてのプロバイダー接続のデフォルト設定です。 個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Cisco UCS でその設定が使用され、デフォルト設定は無視されます。

                    手順
                       コマンドまたはアクション目的
                      ステップ 1UCS-A# scope security  

                      セキュリティ モードを開始します。

                       
                      ステップ 2UCS-A /security # scope tacacs  

                      セキュリティ TACACS+ モードを開始します。

                       
                      ステップ 3UCS-A /security/tacacs # set timeout seconds   (任意)

                      システムがサーバをダウン状態として通知する前に、TACACS+ サーバからの応答を待つ時間間隔を設定します。

                       
                      ステップ 4UCS-A /security/tacacs # commit-buffer  

                      トランザクションをシステムの設定にコミットします。

                       

                      次の例は、TACACS+ タイムアウト間隔を 45 秒に設定し、トランザクションをコミットします。

                      UCS-A# scope security
                      UCS-A /security # scope tacacs
                      UCS-A /security/tacacs # set timeout 45
                      UCS-A /security/tacacs* # commit-buffer
                      UCS-A /security/tacacs # 
                      
                      次の作業

                      TACACS+ プロバイダーを作成します。

                      TACACS+ プロバイダーの作成

                      Cisco UCS Manager では、最大 16 の TACACS+ プロバイダーがサポートされます。

                      はじめる前に

                      TACACS+ サーバで、次の設定を行います。

                      • cisco-av-pair 属性を作成します。 既存の TACACS+ 属性は使用できません。

                        cisco-av-pair 名は、TACACS+ プロバイダーの属性 ID を提供する文字列です。

                        次の構文例は、cisco-av-pair 属性を作成するときに複数のユーザ ロールとロケールを指定する方法を示しています。cisco-av-pair=shell:roles="admin aaa" shell:locales*"L1 abc"。 cisco-av-pair 属性構文でアスタリスク(*)を使用すると、ロケールがオプションとして指定され、同じ認可プロファイルを使用する他のシスコ デバイスで認証の失敗を防ぐことができます。 複数の値を区切るには、区切り文字としてスペースを使用します。

                      • クラスタ設定では、両方のファブリック インターコネクトに対する管理ポートの IPv4 または IPv6 アドレスを追加します。 この設定では、1 つめのファブリック インターコネクトで障害が発生し、システムが 2 つめのファブリック インターコネクトにフェールオーバーしても、リモート ユーザは引き続きログインできることが保証されます。 ログイン要求はすべて、これらの IP アドレスから送信されます。Cisco UCS Manager により使用されている仮想 IP アドレスではありません。

                      手順
                         コマンドまたはアクション目的
                        ステップ 1UCS-A# scope security  

                        セキュリティ モードを開始します。

                         
                        ステップ 2UCS-A /security # scope tacacs  

                        セキュリティ TACACS+ モードを開始します。

                         
                        ステップ 3UCS-A /security/tacacs # create server server-name  

                        TACACS+ サーバ インスタンスを作成し、セキュリティ TACACS+ サーバ モードを開始します

                         
                        ステップ 4UCS-A /security/tacacs/server # set key   (任意)

                        TACACS+ サーバ キーを設定します。 キー値を設定するには、set key コマンドを入力してから Enter キーを押し、プロンプトでキー値を入力します。

                         
                        ステップ 5UCS-A /security/tacacs/server # set order order-num   (任意)

                        このサーバが試行される順序を指定します。

                         
                        ステップ 6UCS-A /security/tacacs/server # set timeoutseconds  (任意)

                        システムがサーバをダウン状態として通知する前に、TACACS+ サーバからの応答を待つ時間間隔を設定します。

                        ヒント   

                        TACACS+ プロバイダーに二要素認証を選択する場合は、より高いタイムアウト値を設定することを推奨します。

                         
                        ステップ 7UCS-A /security/tacacs/server # set port port-num  

                        TACACS+ サーバとの通信に使用するポートを指定します。

                         
                        ステップ 8UCS-A /security/tacacs/server # commit-buffer  

                        トランザクションをシステムの設定にコミットします。

                         

                        次の例は、tacacsserv680 という名前のサーバ インスタンスを作成し、キーを tacacskey321 に設定してそのキーを確認し、順序を 4 に設定し、認証ポートを 5859 に設定し、トランザクションをコミットします。

                        UCS-A# scope security
                        UCS-A /security # scope tacacs
                        UCS-A /security/tacacs # create server tacacsserv680
                        UCS-A /security/tacacs/server* # set key
                        Enter the key: tacacskey321
                        Confirm the key: tacacskey321
                        UCS-A /security/tacacs/server* # set order 4
                        UCS-A /security/tacacs/server* # set port 5859
                        UCS-A /security/tacacs/server* # commit-buffer
                        UCS-A /security/tacacs/server # 
                        
                        次の作業

                        単一の TACACS+ データベースが関係する実装の場合は、TACACS+ をプライマリ認証サービスとして選択します。

                        複数の TACACS+ データベースが関係する実装の場合は、TACACS+ プロバイダー グループを設定します。

                        TACACS+ プロバイダーの削除

                        手順
                           コマンドまたはアクション目的
                          ステップ 1 UCS-A# scope security  

                          セキュリティ モードを開始します。

                           
                          ステップ 2 UCS-A /security # scope tacacs  

                          セキュリティ TACACS モードを開始します。

                           
                          ステップ 3 UCS-A /security/tacacs # delete server serv-name  

                          指定したサーバを削除します。

                           
                          ステップ 4 UCS-A /security/tacacs # commit-buffer  

                          トランザクションをシステムの設定にコミットします。

                           

                          次の例は、tacacs1 という TACACS サーバを削除し、トランザクションをコミットします。

                          UCS-A# scope security
                          UCS-A /security # scope tacacs
                          UCS-A /security/tacacs # delete server TACACS1
                          UCS-A /security/tacacs* # commit-buffer
                          UCS-A /security/tacacs #

                          マルチ認証システムの設定

                          マルチ認証システム

                          次の機能を実装して、Cisco UCS が複数の認証システムを使用するように設定することができます。

                          • プロバイダー グループ

                          • 認証ドメイン

                          プロバイダー グループと認証ドメインが Cisco UCS Manager で設定された後、Cisco UCS Manager CLI を使用して次の構文でシステムにログインできます: ucs: auth-domain \ user-name

                          リモート認証サービスで複数の認証ドメインとネイティブ認証が設定されている場合は、次のいずれかの構文例を使用して SSH、Telnet または Putty でログインします。


                          (注)  


                          SSH ログインでは大文字と小文字が区別されます。


                          Linux 端末からは以下の SSH を使用します。

                          • ssh ucs-auth-domain\\username@{UCSM-ip-address|UCMS-ipv6-address}

                            ssh ucs-example\\jsmith@192.0.20.11
                            ssh ucs-example\\jsmith@2001::1
                          • ssh -l ucs-auth-domain\\username {UCSM-ip-address| UCSM-ipv6-address| UCSM-host-name}

                            ssh -l ucs-example\\jsmith 192.0.20.11
                            ssh -l ucs-example\\jsmith 2001::1
                          • ssh {UCSM-ip-address | UCSM-ipv6-address | UCSM-host-name} -l ucs-auth-domain\\username

                            ssh 192.0.20.11 -l ucs-example\\jsmith
                            ssh 2001::1 -l ucs-example\\jsmith
                          • ssh ucs-auth-domain\\username@{UCSM-ip-address|UCSM-ipv6-address}

                            ssh ucs-ldap23\\jsmith@192.0.20.11
                            ssh ucs-ldap23\\jsmith@2001::1

                          Linux 端末からは以下の Telnet を使用します。

                          • telnet ucs-UCSM-host-name ucs-auth-domain\username

                            telnet ucs-qa-10
                            login: ucs-ldap23\blradmin
                          • telnet ucs-{UCSM-ip-address|UCSM-ipv6-address}ucs-auth-domain\username

                            telnet 10.106.19.12 2052
                            ucs-qa-10-A login: ucs-ldap23\blradmin

                          Putty クライアントから:

                          • Login as: ucs-auth-domain\username

                            Login as: ucs-example\jsmith

                          マルチ認証システムの設定

                          プロバイダー グループ

                          プロバイダー グループは、認証プロセス中に Cisco UCS によって使用されるプロバイダーのセットです。 Cisco UCS Manager では、最大 16 のプロバイダー グループを作成でき、グループごとに最大 8 つのプロバイダーを含めることが可能です。

                          認証中は、プロバイダー グループ内のすべてのプロバイダーが順番に試行されます。 設定されているどのサーバも使用できない場合、またはどのサーバにも到達できない場合、Cisco UCS Manager は、ローカル ユーザ名とパスワードを使用して自動的にローカル認証方式にフォールバックします。

                          LDAP プロバイダー グループの作成

                          LDAP プロバイダー グループを作成すると、複数の LDAP データベースを使用して認証できます。

                          (注)  


                          単一の LDAP データベースを使用した認証では、LDAP プロバイダー グループを設定する必要はありません。


                          はじめる前に

                          1 つ以上の LDAP プロバイダーを作成します。

                          手順
                             コマンドまたはアクション目的
                            ステップ 1 UCS-A# scope security  

                            セキュリティ モードを開始します。

                             
                            ステップ 2 UCS-A /security # scope ldap  

                            セキュリティ LDAP モードを開始します。

                             
                            ステップ 3 UCS-A /security/ldap # create auth-server-group auth-server-group-name  

                            LDAP プロバイダー グループを作成し、認証サーバ グループの LDAP セキュリティ モードを開始します。

                             
                            ステップ 4 UCS-A /security/ldap/auth-server-group # create server-ref ldap-provider-name  

                            指定された LDAP プロバイダーを LDAP プロバイダー グループに追加し、サーバ参照認証サーバ グループの LDAP セキュリティ モードを開始します。

                             
                            ステップ 5 UCS-A /security/ldap/auth-server-group/server-ref # set order order-num  

                            Cisco UCS がこのプロバイダーをユーザの認証に使用する順序を指定します。

                            有効な値には no-value と 0 ~ 16 が含まれ、値が小さいほど優先度が高いことを示します。 順序を no-value に指定することは、そのサーバ参照の優先度を最高にするのと同じです。

                             
                            ステップ 6 UCS-A /security/ldap/auth-server-group/server-ref # commit-buffer  

                            トランザクションをシステムの設定にコミットします。

                             

                            次の例は、ldapgroup という名前の LDAP プロバイダー グループを作成し、プロバイダー グループに ldap1 および ldap2 という 2 種類の事前設定されたプロバイダーを追加し、順序を設定し、トランザクションをコミットします。

                            UCS-A# scope security
                            UCS-A /security # scope ldap
                            UCS-A /security/ldap # create auth-server-group ldapgroup
                            UCS-A /security/ldap/auth-server-group* # create server-ref ldap1
                            UCS-A /security/ldap/auth-server-group/server-ref* # set order 1
                            UCS-A /security/ldap/auth-server-group/server-ref* # up
                            UCS-A /security/ldap/auth-server-group* # create server-ref ldap2
                            UCS-A /security/ldap/auth-server-group/server-ref* # set order 2
                            UCS-A /security/ldap/auth-server-group/server-ref* # commit-buffer
                            UCS-A /security/ldap/auth-server-group/server-ref #
                            次の作業

                            認証ドメインを設定するか、デフォルト認証サービスを選択します。

                            LDAP プロバイダー グループの削除

                            はじめる前に

                            認証設定からプロバイダー グループを削除します。

                            手順
                               コマンドまたはアクション目的
                              ステップ 1 UCS-A# scope security  

                              セキュリティ モードを開始します。

                               
                              ステップ 2 UCS-A /security # scope ldap  

                              セキュリティ LDAP モードを開始します。

                               
                              ステップ 3 UCS-A /security/ldap # delete auth-server-group auth-server-group-name  

                              LDAP プロバイダー グループを削除します。

                               
                              ステップ 4 UCS-A /security/ldap # commit-buffer  

                              トランザクションをシステムの設定にコミットします。

                               

                              次に、ldapgroup という名前の LDAP プロバイダー グループを削除し、トランザクションをコミットする例を示します。

                              UCS-A# scope security
                              UCS-A /security # scope ldap
                              UCS-A /security/ldap # delete auth-server-group ldapgroup
                              UCS-A /security/ldap* # commit-buffer
                              UCS-A /security/ldap #

                              RADIUS プロバイダー グループの作成

                              RADIUS プロバイダー グループを作成すると、複数の RADIUS データベースを使用して認証できます。

                              (注)  


                              単一の RADIUS データベースを使用した認証では、RADIUS プロバイダー グループを設定する必要はありません。


                              はじめる前に

                              1 つ以上の RADIUS プロバイダーを作成します。

                              手順
                                 コマンドまたはアクション目的
                                ステップ 1 UCS-A# scope security  

                                セキュリティ モードを開始します。

                                 
                                ステップ 2 UCS-A /security # scope radius  

                                セキュリティ RADIUS モードを開始します。

                                 
                                ステップ 3 UCS-A /security/radius # create auth-server-group auth-server-group-name  

                                RADIUS プロバイダー グループを作成し、認証サーバ グループの RADIUS セキュリティ モードを開始します。

                                 
                                ステップ 4 UCS-A /security/RADIUS/auth-server-group # create server-ref radius-provider-name  

                                指定された RADIUS プロバイダーを RADIUS プロバイダー グループに追加し、サーバ参照認証サーバ グループの RADIUS セキュリティ モードを開始します。

                                 
                                ステップ 5 UCS-A /security/radius/auth-server-group/server-ref # set order order-num  

                                Cisco UCS がこのプロバイダーをユーザの認証に使用する順序を指定します。

                                有効な値には no-value と 0 ~ 16 が含まれ、値が小さいほど優先度が高いことを示します。 順序を no-value に指定することは、そのサーバ参照の優先度を最高にするのと同じです。

                                 
                                ステップ 6 UCS-A /security/radius/auth-server-group/server-ref # commit-buffer  

                                トランザクションをシステムの設定にコミットします。

                                 

                                次の例は、radiusgroup という名前の RADIUS プロバイダー グループを作成し、プロバイダー グループに radius1 と radius2 という 2 種類の事前設定されたプロバイダーを追加し、順序を設定し、トランザクションをコミットします。

                                UCS-A# scope security
                                UCS-A /security # scope radius
                                UCS-A /security/radius # create auth-server-group radiusgroup
                                UCS-A /security/radius/auth-server-group* # create server-ref radius1
                                UCS-A /security/radius/auth-server-group/server-ref* # set order 1
                                UCS-A /security/radius/auth-server-group/server-ref* # up
                                UCS-A /security/radius/auth-server-group* # create server-ref radius2
                                UCS-A /security/radius/auth-server-group/server-ref* # set order 2
                                UCS-A /security/radius/auth-server-group/server-ref* # commit-buffer
                                UCS-A /security/radius/auth-server-group/server-ref #
                                次の作業

                                認証ドメインを設定するか、デフォルト認証サービスを選択します。

                                RADIUS プロバイダー グループの削除

                                認証設定からプロバイダー グループを削除します。

                                手順
                                   コマンドまたはアクション目的
                                  ステップ 1 UCS-A# scope security  

                                  セキュリティ モードを開始します。

                                   
                                  ステップ 2 UCS-A /security # scope radius  

                                  セキュリティ RADIUS モードを開始します。

                                   
                                  ステップ 3 UCS-A /security/radius # delete auth-server-group auth-server-group-name  

                                  RADIUS プロバイダー グループを削除します。

                                   
                                  ステップ 4 UCS-A /security/radius # commit-buffer  

                                  トランザクションをシステムの設定にコミットします。

                                   

                                  次の例は、radiusgroup という RADIUS プロバイダー グループを削除し、トランザクションをコミットします。

                                  UCS-A# scope security
                                  UCS-A /security # scope radius
                                  UCS-A /security/radius # delete auth-server-group radiusgroup
                                  UCS-A /security/radius* # commit-buffer
                                  UCS-A /security/radius #

                                  TACACS プロバイダー グループの作成

                                  TACACS+ プロバイダー グループを作成すると、複数の TACACS+ データベースを使用して認証できます。

                                  (注)  


                                  単一の TACACS+ データベースを使用した認証では、TACACS+ プロバイダー グループを設定する必要はありません。


                                  はじめる前に

                                  TACACS プロバイダーを作成します。

                                  手順
                                     コマンドまたはアクション目的
                                    ステップ 1 UCS-A# scope security  

                                    セキュリティ モードを開始します。

                                     
                                    ステップ 2 UCS-A /security # scope tacacs  

                                    セキュリティ TACACS モードを開始します。

                                     
                                    ステップ 3 UCS-A /security/tacacs # create auth-server-group auth-server-group-name  

                                    TACACS プロバイダー グループを作成し、認証サーバ グループのセキュリティ TACACS モードを開始します。

                                     
                                    ステップ 4 UCS-A /security/tacacs/auth-server-group # create server-ref tacacs-provider-name  

                                    指定した TACACS プロバイダーを TACACS プロバイダー グループに追加し、サーバ参照認証サーバ グループ セキュリティ TACACS モードを開始します。

                                     
                                    ステップ 5 UCS-A /security/tacacs/auth-server-group/server-ref # set order order-num  

                                    Cisco UCS がこのプロバイダーをユーザの認証に使用する順序を指定します。

                                    有効な値には no-value と 0 ~ 16 が含まれ、値が小さいほど優先度が高いことを示します。 順序を no-value に指定することは、そのサーバ参照の優先度を最高にするのと同じです。

                                     
                                    ステップ 6 UCS-A /security/tacacs/auth-server-group/server-ref # commit-buffer  

                                    トランザクションをシステムの設定にコミットします。

                                     

                                    次の例は、tacacsgroup という名前の TACACS プロバイダー グループを作成し、プロバイダー グループに tacacs1 と tacacs2 という 2 種類の事前設定されたプロバイダーを追加し、順序を設定し、トランザクションをコミットします。

                                    UCS-A# scope security
                                    UCS-A /security # scope tacacs
                                    UCS-A /security/tacacs # create auth-server-group tacacsgroup
                                    UCS-A /security/tacacs/auth-server-group* # create server-ref tacacs1
                                    UCS-A /security/tacacs/auth-server-group/server-ref* # set order 1
                                    UCS-A /security/tacacs/auth-server-group/server-ref* # up
                                    UCS-A /security/tacacs/auth-server-group* # create server-ref tacacs2
                                    UCS-A /security/tacacs/auth-server-group/server-ref* # set order 2
                                    UCS-A /security/tacacs/auth-server-group/server-ref* # commit-buffer
                                    UCS-A /security/tacacs/auth-server-group/server-ref #
                                    次の作業

                                    認証ドメインを設定するか、デフォルト認証サービスを選択します。

                                    TACACS プロバイダー グループの削除

                                    認証設定からプロバイダー グループを削除します。

                                    手順
                                       コマンドまたはアクション目的
                                      ステップ 1 UCS-A# scope security  

                                      セキュリティ モードを開始します。

                                       
                                      ステップ 2 UCS-A /security # scope tacacs  

                                      セキュリティ TACACS モードを開始します。

                                       
                                      ステップ 3 UCS-A /security/tacacs # delete auth-server-group auth-server-group-name  

                                      TACACS プロバイダー グループを削除します。

                                       
                                      ステップ 4 UCS-A /security/tacacs # commit-buffer  

                                      トランザクションをシステムの設定にコミットします。

                                       

                                      次の例は、tacacsgroup という TACACS プロバイダー グループを削除し、トランザクションをコミットします。

                                      UCS-A# scope security
                                      UCS-A /security # scope tacacs
                                      UCS-A /security/tacacs # delete auth-server-group tacacsgroup
                                      UCS-A /security/tacacs* # commit-buffer
                                      UCS-A /security/tacacs #

                                      認証ドメイン

                                      認証ドメインは、複数の認証システムを活用するために Cisco UCS Manager によって使用されます。 各認証ドメインは、ログイン中に指定および設定されます。 認証ドメインを指定しないと、デフォルトの認証サービス設定が使用されます。

                                      最大 8 個の認証ドメインを作成できます。 各認証ドメインは、Cisco UCS Manager 内のプロバイダー グループと領域に関連付けられています。 プロバイダー グループが指定されていない場合は、領域内のすべてのサーバが使用されます。

                                      認証ドメインの作成

                                      手順
                                         コマンドまたはアクション目的
                                        ステップ 1 UCS-A# scope security  

                                        セキュリティ モードを開始します。

                                         
                                        ステップ 2 UCS-A /security # create auth-domain domain-name  

                                        認証ドメインを作成し、認証ドメイン モードを開始します。

                                        (注)     

                                        リモート認証プロトコルを使用するシステムの場合、認証ドメイン名はユーザ名の一部と見なされ、ローカルに作成されたユーザ名に対して 32 文字の制限が適用されます。 Cisco UCS ではフォーマットに 5 文字が挿入されるため、ドメイン名とユーザ名の合計が 27 文字を超えると、認証に失敗します。

                                         
                                        ステップ 3 UCS-A /security/auth-domain # set refresh-period seconds   (任意)

                                        Cisco UCS Manager に接続している場合、Web クライアントは、Web セッションをアクティブに保つために、Cisco UCS Manager に更新要求を送信する必要があります。 このオプションを使用して、このドメインのユーザに許可する更新要求間隔の最大時間数を指定します。

                                        この時間制限を超えると、Cisco UCS Manager は Web セッションを非アクティブであると見なしますが、セッションの終了は行いません。

                                        60 ~ 172800 の整数を指定します。 デフォルトは 600 秒です。

                                        (注)     

                                        [Web Session Refresh Period] に設定する秒数は、[Web Session Timeout] に設定する秒数未満である必要があります。 [Web Session Refresh Period] に [Web Session Timeout] と同じ値を設定しないでください。

                                         
                                        ステップ 4 UCS-A /security/auth-domain # set session-timeout seconds   (任意)

                                        最後の更新要求から Cisco UCS Manager が Web セッションが終了したと見なすまでの最大経過時間。 この時間制限を超えると、Cisco UCS Manager は自動的に Web セッションを終了させます。

                                        60 ~ 172800 の整数を指定します。 デフォルトは 7200 秒です。

                                        (注)     

                                        RADIUS または TACACS+ レルムに対して二要素認証を設定する場合は、リモート ユーザが頻繁に再認証する必要がないよう、 [セッションの更新] 時間および [セッションのタイムアウト] 時間を増やすことを検討してください。

                                         
                                        ステップ 5 UCS-A /security/auth-domain # create default-auth   (任意)

                                        認証ドメインのデフォルト認証を作成します。

                                         
                                        ステップ 6 UCS-A /security/auth-domain/default-auth # set auth-server-group auth-serv-group-name   (任意)

                                        認証ドメインのプロバイダー グループを設定します。

                                         
                                        ステップ 7 UCS-A /security/auth-domain/default-auth # set realm {ldap | local | radius | tacacs}  

                                        認証ドメインのレルムを設定します。

                                         
                                        ステップ 8 UCS-A /security/auth-domain/default-auth # set use-2-factor yes   (任意) レルムの二要素認証に認証方式を設定します。
                                        (注)     

                                        二要素認証は、RADIUS および TACACS+ レルムにのみ適用されます。

                                         
                                        ステップ 9 UCS-A /security/auth-domain/default-auth # commit-buffer  

                                        トランザクションをシステムの設定にコミットします。

                                         
                                        次の例では、Web の更新時間が 3600 秒(1 時間)およびセッションのタイムアウト時間が 14400 秒(4 時間)の domain1 と呼ばれる認証ドメインを作成します。 次に、radius1 でプロバイダーを使用するように domain1 を設定し、レルム タイプを radius に設定し、二要素認証を有効にし、トランザクションをコミットします。
                                        UCS-A# scope security
                                        UCS-A /security # create auth-domain domain1
                                        UCS-A /security/auth-domain* # set refresh-period 3600
                                        UCS-A /security/auth-domain* # set session-timeout 14400
                                        UCS-A /security/auth-domain* # create default-auth
                                        UCS-A /security/auth-domain/auth-domain* # set auth-server-group radius1
                                        UCS-A /security/auth-domain/auth-domain* # set realm radius
                                        UCS-A /security/auth-domain/auth-domain* # set user-2-factor yes
                                        UCS-A /security/auth-domain/auth-domain* # commit-buffer
                                        UCS-A /security/auth-domain/auth-domain #

                                        プライマリ認証サービスの選択

                                        コンソール認証サービスの選択

                                        はじめる前に

                                        システムでリモート認証サービスが使用されている場合は、その認証サービスに対するプロバイダーを作成します。 Cisco UCS を通じたローカル認証のみを使用する場合は、最初にプロバイダーを作成する必要はありません。

                                        手順
                                           コマンドまたはアクション目的
                                          ステップ 1UCS-A# scope security  

                                          セキュリティ モードを開始します。

                                           
                                          ステップ 2UCS-A /security # scope console-auth  

                                          コンソール認証セキュリティ モードを開始します。

                                           
                                          ステップ 3UCS-A /security/console-auth # set realm auth-type  

                                          コンソール認証を指定します。auth-type 引数は次のいずれかのキーワードです。

                                          • ldap:LDAP 認証を指定します

                                          • local:ローカル認証を指定します

                                          • none:ローカル ユーザがパスワードを指定せずにログインできるようにします

                                          • radius:RADIUS 認証を指定します

                                          • tacacs:TACACS+ 認証を指定します

                                           
                                          ステップ 4UCS-A /security/console-auth # set auth-server-group auth-serv-group-name   (任意)

                                          関連付けられたプロバイダー グループ(存在する場合)。

                                           
                                          ステップ 5 UCS-A /security/default-auth # set use-2-factor yes  (任意) レルムの二要素認証に認証方式を設定します。
                                          (注)     

                                          二要素認証は、RADIUS および TACACS+ レルムにのみ適用されます。

                                           
                                          ステップ 6UCS-A /security/console-auth # commit-buffer  

                                          トランザクションをシステムの設定にコミットします。

                                           

                                          次の例では、認証レルムを TACACS+ に設定し、コンソール認証プロバイダー グループを provider1 に設定し、二要素認証を有効にし、トランザクションをコミットします。

                                          UCS-A# scope security
                                          UCS-A /security # scope console-auth
                                          UCS-A /security/console-auth # set realm tacacs
                                          UCS-A /security/console-auth # set auth-server-group provider1
                                          UCS-A /security/console-auth* # set use-2-factor yes
                                          UCS-A /security/console-auth* # commit-buffer
                                          UCS-A /security/console-auth # 
                                          

                                          デフォルト認証サービスの選択

                                          手順
                                             コマンドまたはアクション目的
                                            ステップ 1UCS-A# scope security  

                                            セキュリティ モードを開始します。

                                             
                                            ステップ 2UCS-A /security # scope default-auth  

                                            デフォルト認証セキュリティ モードを開始します。

                                             
                                            ステップ 3UCS-A /security/default-auth # set realm auth-type  

                                            デフォルト認証を指定します。auth-type は次のキーワードのいずれかです。

                                            • ldap:LDAP 認証を指定します

                                            • local:ローカル認証を指定します

                                            • none:ローカル ユーザがパスワードを指定せずにログインできるようにします

                                            • radius:RADIUS 認証を指定します

                                            • tacacs:TACACS+ 認証を指定します

                                             
                                            ステップ 4UCS-A /security/default-auth # set auth-server-group auth-serv-group-name   (任意)

                                            関連付けられたプロバイダー グループ(存在する場合)。

                                             
                                            ステップ 5 UCS-A /security/default-auth # set refresh-period seconds   (任意)

                                            Cisco UCS Manager に接続している場合、Web クライアントは、Web セッションをアクティブに保つために、Cisco UCS Manager に更新要求を送信する必要があります。 このオプションを使用して、このドメインのユーザに許可する更新要求間隔の最大時間数を指定します。

                                            この時間制限を超えると、Cisco UCS Manager は Web セッションを非アクティブであると見なしますが、セッションの終了は行いません。

                                            60 ~ 172800 の整数を指定します。 デフォルトは 600 秒です。

                                             
                                            ステップ 6 UCS-A /security/default-auth # set session-timeout seconds   (任意)

                                            最後の更新要求から Cisco UCS Manager が Web セッションが終了したと見なすまでの最大経過時間。 この時間制限を超えると、Cisco UCS Manager は自動的に Web セッションを終了させます。

                                            60 ~ 172800 の整数を指定します。 デフォルトは 7200 秒です。

                                            (注)     

                                            RADIUS または TACACS+ レルムに対して二要素認証を設定する場合は、リモート ユーザが頻繁に再認証する必要がないよう、セッションの更新時間およびセッションのタイムアウト時間を増やすことを検討してください。

                                             
                                            ステップ 7 UCS-A /security/default-auth # set use-2-factor yes  (任意) レルムの二要素認証に認証方式を設定します。
                                            (注)     

                                            二要素認証は、RADIUS および TACACS+ レルムにのみ適用されます。

                                             
                                            ステップ 8 UCS-A /security/default-auth # commit-buffer  

                                            トランザクションをシステムの設定にコミットします。

                                             

                                            次の例では、デフォルトの認証を RADIUS に設定し、デフォルトの認証プロバイダー グループを provider1 に設定し、二要素認証をイネーブルにし、更新間隔を 7200 秒(2 時間)に設定し、セッションのタイムアウト間隔を 28800 秒(8 時間)に設定し、二要素認証をイネーブルにします。 そして、トランザクションをコミットします。

                                            UCS-A# scope security
                                            UCS-A /security # scope default-auth
                                            UCS-A /security/default-auth # set realm radius
                                            UCS-A /security/default-auth* # set auth-server-group provider1
                                            UCS-A /security/default-auth* # set use-2-factor yes
                                            UCS-A /security/default-auth* # set refresh-period 7200
                                            UCS-A /security/default-auth* # set session-timeout 28800
                                            UCS-A /security/default-auth* # commit-buffer
                                            UCS-A /security/default-auth # 
                                            

                                            リモート ユーザのロール ポリシー

                                            デフォルトでは、Cisco UCS Manager でユーザ ロールが設定されていない場合は、LDAP、RADIUS、または TACACS プロトコルを使用してリモート サーバから Cisco UCS Manager にログインしているすべてのユーザに読み取り専用アクセス権が付与されます。 セキュリティ上の理由から、Cisco UCS Manager で確立されたユーザ ロールに一致するユーザだけにアクセスを限定するのが望ましい場合もあります。

                                            リモート ユーザのロール ポリシーは、次の方法で設定できます。
                                            assign-default-role

                                            Cisco UCS Manager へのユーザ アクセスをユーザ ロールに基づいて制限しません。 その他のユーザ ロールが Cisco UCS Manager で定義されていない限り、すべてのユーザに読み取り専用アクセス権が付与されます。

                                            これはデフォルトの動作です。

                                            no-login

                                            Cisco UCS Manager へのユーザ アクセスをユーザ ロールに基づいて制限します。 リモート認証システムにユーザ ロールが割り当てられていない場合、アクセスは拒否されます。

                                            リモート ユーザのロール ポリシーの設定

                                            手順
                                               コマンドまたはアクション目的
                                              ステップ 1 UCS-A# scope security  

                                              セキュリティ モードを開始します。

                                               
                                              ステップ 2 UCS-A /security # set remote-user default-role {assign-default-role | no-login}  

                                              ユーザ ロールに基づいて Cisco UCS Manager へのアクセスが制限されるかどうかを指定します。

                                               
                                              ステップ 3 UCS-A /security # commit-buffer  

                                              トランザクションをシステムの設定にコミットします。

                                               
                                              次の例では、リモート ユーザのロール ポリシーを設定し、トランザクションをコミットします。
                                              UCS-A# scope security
                                              UCS-A /security # set remote-user default-role assign-default-role
                                              UCS-A /security* # commit-buffer
                                              UCS-A /security #