このドキュメントでは、Microsoft Active Directory と Cisco Secure Access Control System(ACS)5.x 以降を統合するための設定例について説明します。ACS は Microsoft Active Directory(AD)を外部 ID ストアとして使用して、ユーザ、マシン、グループ、属性などのリソースを格納します。ACS は、これらのリソースを AD に対して認証します。
この設定を行う前に、次の要件が満たされていることを確認します。
使用する Windows Active Directory ドメインはフル構成で操作可能である必要があります。
これらは ACS 5.x.でサポートされている、Microsoft Windows Server 2003 ドメイン、Microsoft Windows Server 2008 ドメイン、または Microsoft Windows Server 2008 R2 ドメインを使用します。
注:Microsoft Windows Server 2008 R2ドメインとACSの統合は、ACS 5.2以降でサポートされています。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
Cisco Secure ACS 5.3
Microsoft Windows Server 2003 ドメイン
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
ドキュメント表記の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。
Windows Active Directory は日常的なネットワークの使用における複数の機能を提供します。ACS 5.x の AD との統合により、既存の AD ユーザ、マシン、グループ マッピングを使用できます。
AD と統合された ACS 5.x では、次の機能を提供します:
マシン認証
許可のための属性取得
EAP-TLS 認証のための証明書取得
ユーザとマシン アカウントの制限
マシン アクセス制限
ダイヤルイン アクセス権の確認
ダイヤルイン ユーザのコールバック オプション
ダイヤルイン サポートの属性
AD に ACS 5.x を統合する前に、ACS のタイムゾーンおよび日付と時間が AD プライマリ ドメイン コントローラのものと必ず一致するようにします。また、ACS 5.x.のドメイン ネームを解決するには、ACS の DNS サーバを定義します。ACS 5.x Application Deployment Engine(ADE-OS)を設定するには、次の手順を実行してください:
ACS アプライアンスに SSH で接続して CLI クレデンシャルを入力します。
ドメイン コントローラのタイムゾーンに一致するように ACS のタイムゾーンを設定するために、次に示すようにコンフィギュレーション モードで clock timezone コマンドを実行します。
clock timezone Asia/Kolkata
注:アジア/コルカタは、このドキュメントで使用されているタイムゾーンです。EXEC モードで show timezones コマンドを実行すると指定したタイムゾーンを確認できます。
AD のドメイン コントローラがネットワークに存在する NTP サーバと同期する場合は、ACS で同じ NTP サーバを使用することを強く推奨します。NTPサーバがない場合は、ステップ4に進みます。NTPサーバを設定する手順は次のとおりです。
NTP サーバは、次に示すように設定モードで ntp server <ip address of the NTP server> コマンドを実行することにより設定できます。
ntp server 192.168.26.55 The NTP server was modified. If this action resulted in a clock modification, you must restart ACS.
NTP 設定の詳細については、『ACS 5.x:NTP のサーバとの Cisco ACS の同期の設定例』を参照してください。
手動で日時を設定するには、EXEC モードで clock set コマンドを使用します。次に例を示します。
clock set Jun 8 10:36:00 2012 Clock was modified. You must restart ACS. Do you want to restart ACS now? (yes/no) yes Stopping ACS. Stopping Management and View...................... Stopping Runtime...... Stopping Database.... Cleanup..... Starting ACS .... To verify that ACS processes are running, use the 'show application status acs' command.
ここで show clock コマンドを使用してタイムゾーンおよび日時を確認します。show clock コマンドの出力を次に示します:
acs51/admin# show clock Fri Jun 8 10:36:05 IST 2012
次に示すように、設定モードで <ip name-server <ip address of the DNS> コマンドの実行により ACS の DNS を設定します:
ip name-server 192.168.26.55
注:DNS IPアドレスは、Windowsドメイン管理者によって提供されます。
次に示すように、ドメイン名の到達可能性を検証するには、nslookup <domain name> コマンドを実行します。
acs51/admin#nslookup MCS55.com Trying "MCS55.com" ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60485 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1 ;; QUESTION SECTION: ;MCS55.com. IN ANY ;; ANSWER SECTION: MCS55.com. 600 IN A 192.168.26.55 MCS55.com. 3600 IN NS admin-zq2ttn9ux.MCS55.com. MCS55.com. 3600 IN SOA admin-zq2ttn9ux.MCS55.com. hostmaster.MCS55.com. 635 900 600 86400 3600 ;; ADDITIONAL SECTION: admin-zq2ttn9ux.MCS55.com. 3600 IN A 192.168.26.55 Received 136 bytes from 192.168.26.55#53 in 0 ms
注: ANSWER SECTIONが空の場合、Windowsドメイン管理者に連絡して、ドメインの正しいDNSサーバーを見つけてください。
次に示すように、ACS で DOMAIN-NAME を設定するには、ip domain-name <domain name> コマンドを実行します。
ip domain-name MCS55.com
次に示すように、ACS のホスト名を設定するには、hostname <hostname> コマンドを実行します:
hostname acs51
注:NETBIOSの制限により、ACSホスト名は15文字以下である必要があります。
ACS に設定を保存するには、write memory コマンドを実行します。
ACS5.x を AD に結合させるには、次の手順を実行してください:
[Users and Identity Stores] > [External Identity Stores] > [Active Directory] を選択し、ドメイン名、AD のアカウント(ユーザ名)とパスワードを指定し、[Test Connection] をクリックします。
注:ACSのドメインアクセスに必要なADアカウントには、次のいずれかが必要です。
対応するドメインのドメイン ユーザ権限にワークステーションを追加する。
ACS マシンのアカウントが ACS マシンをドメインに追加する前に作成される対象のコンピュータ コンテナに対して、コンピュータ オブジェクトを作成する権限またはコンピュータ オブジェクトを削除する権限。
注:ACSアカウントのロックアウトポリシーを無効にし、そのアカウントに誤ったパスワードが使用されている場合に管理者にアラートを送信するようにADインフラストラクチャを設定することをお勧めします。これは、誤ったパスワードを入力した場合、ACS が必要なときにマシン アカウントを作成および変更しないため、すべての認証が拒否されるためです。
注:ACSをADドメインに結合するWindows ADアカウントは、独自の組織単位(OU)に配置できます。 この AD アカウントは、作成時または後で独自の OU に置かれ、アプライアンス名が AD アカウント名に一致する必要があります。
このスクリーン ショットは、AD への接続テストが正常であることを示しています。次に [OK] をクリックします。
注:Centrify設定は影響を受け、ADドメインとのACS接続をテストする際にサーバからの応答が遅いと切断されることがあります。ただし、他のアプリケーションでは正常に動作します。
ACS に AD を結合するには、[Save Changes]をクリックします。
ACS が正常に AD のドメインを結合する場合、接続の状態が表示されます。
注:AD IDストアを設定すると、ACSは次の情報も作成します。
2 個の属性を持つ AD ID ストア用の新しいディクショナリ:[Directory Attributes] ページから取得した属性の ExternalGroups ともう 1 個の属性。
新しい属性 IdentityAccessRestricted。この属性のカスタム条件は手動で作成できます。
ExternalGroup 属性からのグループ マッピングに対するカスタム条件であるカスタム条件名「AD1:ExternalGroups」、および [Directory Attributes] ページで選択された各属性に対する別のカスタム条件(たとえば「AD1:cn」)。
ACS が新しく設定された AD の統合を使用できるようにアクセス サービスの設定を完了するには、次の手順を実行します。
ユーザを AD から認証するサービスを選択して、[Identity] をクリックします。ここで [Identity Source] フィールドの隣の [Select]をクリックします。
[AD1] を選択し、[OK] をクリックします。
[Save Changes] をクリックします。
AD の認証を確認するには、AD のクレデンシャルを使用して NAS からの認証要求を送信します。NAS が ACS で設定され、要求が前のセクションで設定したアクセス サービスによって処理されることを確認します。
NAS ログから ACS GUI への認証の成功後に、[Monitoring and Reports] > [AAA Protocol] > [TACACS+Authenticationn] を選択します。リストから正常な認証を識別し、次に示すように虫眼鏡の形の記号をオンにします。
ACS が AD に認証要求を送信したことをステップから確認できます。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
19-Jun-2012 |
初版 |