ldap-base-dn ~ log-adj-changes
コマンド
ldap-base-dn
許可要求を受信したサーバに検索を開始させる LDAP 階層の位置を指定するには、AAA サーバ ホスト コンフィギュレーション モードで ldap-base-dn コマンドを使用します。AAA サーバ ホスト コンフィギュレーション モードには、AAA サーバ プロトコル コンフィギュレーション モードからアクセスします。この指定を削除して、リストの先頭から検索が開始されるようにするには、このコマンドの no 形式を使用します。
ldap-base-dn string
no ldap-base-dn
シンタックスの説明
string |
許可要求を受信したサーバに検索を開始させる LDAP 階層の位置を指定する、最大 128 文字の文字列。大文字と小文字が区別されます。たとえば、OU=Cisco。文字列にスペースを含めることはできませんが、その他の特殊文字は使用できます。 |
コマンド モード
次の表に、コマンドを入力できるモードを示します。
使用上のガイドライン
このコマンドが有効なのは、LDAP サーバに限定されます。
例
次に、ホスト [1.2.3.4] 上の [svrgrp1] という LDAP AAA サーバを設定し、タイムアウトを 9 秒、再試行間隔を 7 秒、LDAP ベース DNを [starthere] にする例を示します。
hostname
(config)# aaa-server svrgrp1 protocol ldap
hostname
(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
hostname
(config-aaa-server-host)# timeout 9
hostname
(config-aaa-server-host)# retry 7
hostname(config-aaa-server-host)# ldap-base-dn starthere
hostname
(config-aaa-server-host)# exit
関連コマンド
|
|
aaa-server host |
AAA サーバ ホスト コンフィギュレーション モードを開始し、ホスト固有の AAA サーバ パラメータを設定できるようにします。 |
ldap-scope |
許可要求を受信したサーバに検索させる LDAP 階層の範囲を指定します。 |
ldap-naming-attribute |
LDAP サーバのエントリを一意のものとして特定する、Relative Distinguished Name(相対識別名)属性(複数可)を指定します。 |
ldap-login-dn |
バインド時にシステムに使用させるディレクトリ オブジェクト名を指定します。 |
ldap-login-password |
ログイン DN のパスワードを指定します。 |
ldap-defaults
LDAP のデフォルト値を定義するには、crl configure コンフィギュレーション モードで ldap-defaults コマンドを使用します。crl configure コンフィギュレーション モードには、crypto ca トラストポイント コンフィギュレーション モードからアクセスします。これらのデフォルト値が使用されるのは、LDAP サーバが要求した場合だけです。LDAP のデフォルト値を使用しないことを指定するには、このコマンドの no 形式を使用します。
ldap-defaults server [ port ]
no ldap-defaults
シンタックスの説明
port |
(任意)LDAP サーバ ポートを指定します。このパラメータを指定しなかった場合、FWSM は標準 LDAP ポート(389)を使用します。 |
server |
LDAP サーバの IP アドレスまたはドメイン名を指定します。CRL ディストリビューション ポイント内にすでに存在している場合は、この値が上書きされます。 |
コマンド モード
次の表に、コマンドを入力できるモードを示します。
|
|
|
|
|
|
|
|
|
crl configure コンフィギュレーション |
• |
• |
• |
• |
-- |
例
次に、デフォルト ポート(389)上で LDAP のデフォルト値を定義する例を示します。
hostname(config)# crypto ca trustpoint central
hostname(ca-trustpoint)# crl configure
hostname(ca-crl)# ldap-defaults ldapdomain4 8389
関連コマンド
|
|
crl configure |
ca-crl コンフィギュレーション モードを開始します。 |
crypto ca trustpoint |
トラストポイント コンフィギュレーション モードを開始します。 |
protocol ldap |
CRL の取得方式として LDAP を指定します。 |
ldap-dn
CRL 取得のための認証を要求する LDAP サーバに X.500 識別名およびパスワードを渡すには、crl configure コンフィギュレーション モードで ldap-dn コマンドを使用します。crl configure コンフィギュレーション モードには、crypto ca トラストポイント コンフィギュレーション モードからアクセスします。これらのパラメータが使用されるのは、LDAP サーバが要求した場合だけです。
LDAP DN を使用しないことを指定するには、このコマンドの no 形式を使用します。
ldap-dn x.500-name password
no ldap-dn
シンタックスの説明
password |
この識別名に対応するパスワードを定義します。最大フィールド長は 128 文字です。 |
x.500-name |
この CRL データベースにアクセスするディレクトリ パスを定義します。例はcn=crl,ou=certs,o=CAName,c=US のように定義します。最大フィールド長は 128 文字です。 |
コマンド モード
次の表に、コマンドを入力できるモードを示します。
|
|
|
|
|
|
|
|
|
crl configure コンフィギュレーション |
• |
• |
• |
• |
-- |
例
次に、トラストポイント central に X.500 名として CN=admin,OU=devtest,O=engineering、パスワードとして xxyyzz を指定する例を示します。
hostname(config)# crypto ca trustpoint central
hostname(ca-trustpoint)# crl configure
hostname(ca-crl)# ldap-dn cn=admin,ou=devtest,o=engineering xxzzyy
関連コマンド
|
|
crl configure |
crl configure コンフィギュレーション モードを開始します。 |
crypto ca trustpoint |
ca トラストポイント コンフィギュレーション モードを開始します。 |
protocol ldap |
CRL の取得方式として LDAP を指定します。 |
ldap-login-dn
システムにバインドさせるディレクトリ オブジェクト名を指定するには、AAA サーバ ホスト モードで ldap-login-dn コマンドを使用します。AAA サーバ ホスト コンフィギュレーション モードには、AAA サーバ プロトコル コンフィギュレーション モードからアクセスします。この指定を削除するには、このコマンドの no 形式を使用します。
ldap-login-dn string
no ldap-login-dn
シンタックスの説明
string |
LDAP 階層のディレクトリ オブジェクト名を指定する、最大 128 文字の文字列。大文字と小文字が区別されます。文字列にスペースを含めることはできませんが、その他の特殊文字は使用できます。 |
デフォルト
このコマンドには、デフォルトの動作または値はありません。
コマンド モード
次の表に、コマンドを入力できるモードを示します。
使用上のガイドライン
このコマンドが有効なのは、LDAP サーバに限定されます。サポートされる文字列の最大長は 128 文字です。
Microsoft Active Directory サーバなど、一部の LDAP サーバは、FWSM が認証バインディングによってハンドシェイクを確立してからでなければ、その他の LDAP 操作要求を受け付けません。FWSM は Login DN フィールドをユーザ認証要求に結合することによって、認証バインディングで認証されるようにします。Login DN フィールドでは、FWSM の認証特性を記述します。これらの特性は、管理者の権限が与えられたユーザの特性と一致させる必要があります。
string 変数には、VPN Concentrator 認証バインディング用のディレクトリ オブジェクト名を入力します。例:cn=Administrator, cn=users, ou=people, dc=XYZ Corporation, dc=com。anonymous としてアクセスする場合は、このフィールドをブランクにしておきます。
例
次に、ホスト [1.2.3.4] 上の [svrgrp1] という RADIUS AAA サーバを設定し、タイムアウトを 9 秒、再試行間隔を 7 秒、LDAP ログイン DNを [myobjectname] にする例を示します。
hostname
(config)# aaa-server svrgrp1 protocol ldap
hostname
(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
hostname
(config-aaa-server-host)# timeout 9
hostname
(config-aaa-server-host))# retry 7
hostname(config-aaa-server-host))# ldap-login-dn myobjectname
hostname
(config-aaa-server-host))# exit
関連コマンド
|
|
aaa-server host |
AAA サーバ ホスト コンフィギュレーション モードを開始し、ホスト固有の AAA サーバ パラメータを設定できるようにします。 |
ldap-base-dn |
許可要求を受信したサーバに検索を開始させる、LDAP 階層の位置を指定します。 |
ldap-login-password |
ログイン DN のパスワードを指定します。このコマンドが有効なのは、LDAP サーバに限定されます。 |
ldap-naming-attribute |
LDAP サーバのエントリを一意のものとして特定する、Relative Distinguished Name(相対識別名)属性(複数可)を指定します。 |
ldap-scope |
許可要求を受信したサーバに検索させる LDAP 階層の範囲を指定します。 |
ldap-login-password
LDAP サーバのログイン パスワードを指定するには、AAA サーバ ホスト モードで
ldap-login-password コマンドを使用します。AAA サーバ ホスト コンフィギュレーション モードには、AAA サーバ プロトコル コンフィギュレーション モードからアクセスします。このパスワードを削除するには、このコマンドの no 形式を使用します。
ldap-login-password string
no ldap-login-password
シンタックスの説明
string |
最大 64 文字の英数字パスワード。大文字と小文字が区別されます。パスワードにスペースを含めることはできません。 |
デフォルト
このコマンドには、デフォルトの動作または値はありません。
コマンド モード
次の表に、コマンドを入力できるモードを示します。
使用上のガイドライン
このコマンドが有効なのは、LDAP サーバに限定されます。パスワードの最大長は 64 文字です。
例
次に、ホスト [1.2.3.4] 上の [svrgrp1] という RADIUS AAA サーバを設定し、タイムアウトを 9 秒、再試行間隔を 7 秒、LDAP ログイン パスワードを [obscurepassword] にする例を示します。
hostname
(config)# aaa-server svrgrp1 protocol ldap
hostname
(config)# aaa-server svrgrp1 host 1.2.3.4
hostname
(config-aaa-server)# timeout 9
hostname
(config-aaa-server)# retry 7
hostname(config-aaa-server)# ldap-login-password obscurepassword
hostname
(config-aaa-server)# exit
関連コマンド
|
|
aaa-server host |
AAA サーバ ホスト コンフィギュレーション モードを開始し、ホスト固有の AAA サーバ パラメータを設定できるようにします。 |
ldap-base-dn |
許可要求を受信したサーバに検索を開始させる、LDAP 階層の位置を指定します。 |
ldap-login-dn |
バインド時にシステムに使用させるディレクトリ オブジェクト名を指定します。 |
ldap-naming-attribute |
LDAP サーバのエントリを一意のものとして特定する、Relative Distinguished Name(相対識別名)属性(複数可)を指定します。 |
ldap-scope |
許可要求を受信したサーバに検索させる LDAP 階層の範囲を指定します。 |
ldap-naming-attribute
Relative Distinguished Name(相対性識別名)属性(複数可)を指定するには、AAA サーバ ホスト モードで ldap-naming-attribute コマンドを使用します。AAA サーバ ホスト コンフィギュレーション モードには、AAA サーバ プロトコル コンフィギュレーション モードからアクセスします。この指定を削除するには、このコマンドの no 形式を使用します。
ldap-naming-attribute string
no ldap-naming-attribute
シンタックスの説明
string |
LDAP サーバのエントリを一意のものとして特定する、英数字で最大 128 文字の Relative Distinguished Name 属性(複数可)。大文字と小文字が区別されます。文字列にスペースを含めることはできませんが、その他の特殊文字は使用できます。 |
デフォルト
このコマンドには、デフォルトの動作または値はありません。
コマンド モード
次の表に、コマンドを入力できるモードを示します。
使用上のガイドライン
LDAP サーバのエントリを一意のものとして特定する、Relative Distinguished Name 属性(複数可)を入力します。共通ネーミング属性は Common Name(cn)および User ID(uid)です。
このコマンドが有効なのは、LDAP サーバに限定されます。サポートされる文字列の最大長は 128 文字です。
例
次に、ホスト [1.2.3.4] 上の [svrgrp1] という RADIUS AAA サーバを設定し、タイムアウトを 9 秒、再試行間隔を 7 秒、LDAP ネーミング属性を [cn] にする例を示します。
hostname
(config)# aaa-server svrgrp1 protocol ldap
hostname
(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
hostname
(config-aaa-server-host)# timeout 9
hostname
(config-aaa-server-host)# retry 7
hostname(config-aaa-server-host)# ldap-naming-attribute cn
hostname
(config-aaa-server-host)# exit
関連コマンド
|
|
aaa-server host |
AAA サーバ ホスト コンフィギュレーション モードを開始し、ホスト固有の AAA サーバ パラメータを設定できるようにします。 |
ldap-base-dn |
許可要求を受信したサーバに検索を開始させる、LDAP 階層の位置を指定します。 |
ldap-login-dn |
バインド時にシステムに使用させるディレクトリ オブジェクト名を指定します。 |
ldap-login-password |
ログイン DN のパスワードを指定します。このコマンドが有効なのは、LDAP サーバに限定されます。 |
ldap-scope |
許可要求を受信したサーバに検索させる LDAP 階層の範囲を指定します。 |
ldap-scope
許可要求を受信したサーバに検索させる LDAP 階層の範囲を指定するには、AAA サーバ ホスト コンフィギュレーション モードで ldap-scope コマンドを使用します。AAA サーバ ホスト コンフィギュレーション モードには、AAA サーバ プロトコル コンフィギュレーション モードからアクセスします。この指定を削除するには、このコマンドの no 形式を使用します。
ldap-scope scope
no ldap-scope
シンタックスの説明
scope |
許可要求を受信したサーバに検索させる LDAP 階層のレベル数。有効値は次のとおりです。 • onelevel ― ベース DN の 下位の 1 レベルだけを検索します。 • subtree ― ベース DN の下位レベルをすべて検索します。 |
デフォルト
デフォルト値は onelevel です。
コマンド モード
次の表に、コマンドを入力できるモードを示します。
使用上のガイドライン
scope として onelevel を指定すると、ベース DN の下位の 1 レベルだけが検索されるので、短時間で検索できます。 subtree を指定すると、ベース DN の下位レベルがすべて検索されるので、時間がかかります。
このコマンドが有効なのは、LDAP サーバに限定されます。
例
次に、ホスト [1.2.3.4] 上の [svrgrp1] という RADIUS AAA サーバを設定し、タイムアウトを 9 秒、再試行間隔を 7 秒、サブツリー レベルが含まれる LDAP スコープにする例を示します。
hostname
(config)# aaa-server svrgrp1 protocol ldap
hostname
(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
hostname
(config-aaa-server-host# timeout 9
hostname
(config-aaa-server-host)# retry 7
hostname(config-aaa-serve-host)# ldap-scope subtree
hostname
(config-aaa-server-host)# exit
関連コマンド
|
|
aaa-server host |
AAA サーバ ホスト コンフィギュレーション モードを開始し、ホスト固有の AAA サーバ パラメータを設定できるようにします。 |
ldap-base-dn |
許可要求を受信したサーバに検索を開始させる、LDAP 階層の位置を指定します。 |
ldap-login-dn |
バインド時にシステムに使用させるディレクトリ オブジェクト名を指定します。 |
ldap-login-password |
ログイン DN のパスワードを指定します。このコマンドが有効なのは、LDAP サーバに限定されます。 |
ldap-naming-attribute |
LDAP サーバのエントリを一意のものとして特定する、Relative Distinguished Name(相対識別名)属性(複数可)を指定します。 |
leap-bypass
LEAP バイパスをイネーブルにするには、グループ ポリシー コンフィギュレーション モードで leap-bypass enable コマンドを使用します。LEAP バイパスをディセーブルにするには、 leap-bypass disable コマンドを使用します。実行コンフィギュレーションから LEAP バイパス属性を削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、別のグループ ポリシーから LEAP バイパスの値を継承できます。
LEAP バイパスがイネーブルの場合、VPN ハードウェア クライアントの背後のワイヤレス デバイスから送信された LEAP パケットは、ユーザ認証の前に VPN トンネルを通過します。このようにすると、シスコのワイヤレス アクセス ポイント デバイスを使用するワークステーションで LEAP 認証を確立できます。その後、ユーザ認証ごとに再認証します。
leap-bypass { enable | disable }
no leap-bypass
シンタックスの説明
disable |
LEAP バイパスをディセーブルにします。 |
enable |
LEAP バイパスをイネーブルにします。 |
デフォルト
LEAP バイパスはディセーブルです。
コマンド モード
次の表に、コマンドを入力できるモードを示します。
|
|
|
|
|
|
|
|
|
グループ ポリシー コンフィギュレーション |
• |
-- |
• |
-- |
-- |
使用上のガイドライン
対話式ハードウェア クライアント認証をイネーブルにしている場合、この機能は予期した動作になりません。
詳細については、『 Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Configuration Guide 』を参照してください。
(注) 認証を受けていないトラフィックがトンネルを通過することには、セキュリティ リスクが伴います。
例
次に、 [FirstGroup] というグループ ポリシーに対して LEAP Bypass を設定する例を示します。
hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# leap-bypass enable
関連コマンド
|
|
secure-unit-authentication |
VPN ハードウェア クライアントがトンネルを開始するたびに、ユーザ名とパスワードによる認証を要求します。 |
user-authentication |
VPN ハードウェア クライアントの背後のユーザに、FWSM の認証を受けてから接続することを要求します。 |
limit-resource
マルチコンテキスト モードにおけるクラスのリソース限度を指定するには、クラス コンフィギュレーション モードで limit-resource コマンドを使用します。限度をデフォルトに戻すには、このコマンドの no 形式を使用します。FWSM は、リソース クラスにコンテキストを割り当てることによってリソースを管理します。各コンテキストは、クラスによって設定されたリソース限度を使用します。
limit-resource { all { number % | 0 } | [ rate ] resource_name number [ % ] | 0 }
no limit-resource { all | [ rate ] resource_name }
シンタックスの説明
0 |
リソースを無制限(システム限界)に設定します。 |
all |
すべてのリソースに対し、割合または無制限として限度を設定します。 |
number [ % ] |
1 以上の固定値として、またはシステム限界に対する割合として(パーセント記号 [%] と組み合わせた場合)、リソース限度を指定します。デバイスをオーバーサブスクライブさせる場合は、100% を超えて割り当てることができます。 すべて のリソースに対して設定できるのは、割合または無制限を意味する 0 だけです。 |
rate |
レートまたは絶対限度を設定できるリソースについて、レート/秒を設定することを指定します。レート/秒を設定できるリソースについては、 表18-1 を参照してください。 |
resource_name |
限度を設定するリソースの名前を指定します。この限度によって、 all として設定した限度が上書きされます。 |
デフォルト
次の限度だけは、コンテキストで許容される最大値にデフォルトで設定されますが、それ以外のリソースはすべて無制限に設定されます。
• Telnet セッション ― 5 セッション
• SSH セッション ― 5 セッション
• IPSec セッション ― 5 セッション
• MAC アドレス ― 65,535 エントリ
コマンド モード
次の表に、コマンドを入力できるモードを示します。
|
|
|
|
|
|
|
|
|
クラス コンフィギュレーション |
該当なし |
該当なし |
-- |
-- |
• |
使用上のガイドライン
クラスに対してリソースを制限した場合、FWSM がそのクラスに割り当てられた各コンテキストにリソースの一部を取り置くことはありません。FWSM は、コンテキストに対して最大限度を設定します。リソースをオーバースクライブさせた場合、または一部のリソースを無制限にした場合は、少数のコンテキストでこれらのリソースを使い果たしてしまい、他のコンテキストのサービスが悪影響を受ける可能性があります。
表18-1 に、リソース タイプおよび限度を示します。 show resource types コマンドの項も参照してください。
表18-1 リソース名および限度
|
|
|
|
mac-addresses |
該当なし |
同時に 65 K |
トランスペアレント ファイアウォール モードの場合、MAC アドレス テーブルで許容される MAC アドレス数 |
conns |
該当なし |
同時に 999,900 102,400/秒(レート) |
1 つのホストと複数の他のホスト間を含め、任意の 2 つのホスト間の TCP または UDP 接続
(注) 同時接続に関して、FWSM は接続を受け付ける 2 つのNetwork Processor(NP; ネットワーク プロセッサ)のそれぞれに、限度の半分ずつを割り当てます。接続は通常、NP 間で均等に分割されます。ただし、状況によっては、接続が均等に分割されず、一方の NP が最大接続限度に達しないうちに、他方の NP が最大数に達する可能性があります。この場合、使用できる最大接続数は設定した限度を下回ります。NP の分配は、アルゴリズムに基づいてスイッチが制御します。ユーザ側では、スイッチ上でこのアルゴリズムを調整することも、または不均衡を考慮して接続限度を上方修正することもできます。
|
fixups |
該当なし |
10,000/秒(レート) |
アプリケーション検査 |
hosts |
該当なし |
同時に 256 K |
FWSM 経由で接続できるホスト |
ipsec |
最小 1 同時に最大 5 |
同時に 10 |
IPSec セッション |
asdm |
最小 1 同時に最大 5 |
同時に 32 |
ASDM 管理セッション
(注) ASDM セッションでは、HTTPS 接続を 2 つ使用します。モニタリング用に 1 つ(常に存在)、設定変更用に 1 つ(変更時に限定して存在)です。たとえば、32 の PDM セッションというシステム限界の場合、64 の HTTPS セッションが限度になります。
|
ssh |
最小 1 同時に最大 5 |
同時に 100 |
SSH セッション |
syslogs |
該当なし |
30,000/秒(レート) |
システム メッセージ
(注) FWSM の端末またはバッファにメッセージを送信する場合、FWSM は 30,000 メッセージ/秒をサポートできます。Syslog サーバにメッセージを送信する場合、FWSM は 25,000/秒をサポートします。
|
telnet |
最小 1 同時に最大 5 |
同時に 100 |
Telnet セッション |
xlates |
該当なし |
同時に 256 K |
NAT 変換 |
例
次に、conns のデフォルト クラス限度を無制限ではなく、10% に設定する例を示します。
hostname(config)# class default
hostname(config-class)# limit-resource conns 10%
その他のすべてのリソースは無制限のままです。
fixups だけは 10% に設定し、それ以外のリソースはすべて 5% に設定して、gold というクラスを追加する場合、次のコマンドを入力します。
hostname(config)# class gold
hostname(config-class)# limit-resource all 5%
hostname(config-class)# limit-resource fixups 10%
Syslog メッセージだけは 500/秒に設定し、それ以外のリソースはすべて 3% に設定して、silver というクラスを追加する場合、次のコマンドを入力します。
hostname(config)# class silver
hostname(config-class)# limit-resource all 3%
hostname(config-class)# limit-resource rate syslogs 500
関連コマンド
|
|
class |
リソース クラスを作成します。 |
context |
セキュリティ コンテキストを設定します。 |
member |
リソース クラスにコンテキストを割り当てます。 |
show resource allocation |
各クラスのリソース割り当てを表示します。 |
show resource types |
制限を設定できるリソース タイプを表示します。 |
log-adj-changes
Open Shortest Path First(OSPF)ネイバーの起動時または停止時に Syslog メッセージを送信するようにルータを設定するには、ルータ コンフィギュレーション モードで log-adj-changes コマンドを使用します。この機能をオフにするには、このコマンドの no 形式を使用します。
log-adj-changes [ detail ]
no log-adj-changes [ detail ]
シンタックスの説明
detail |
(任意)ネイバーが起動または停止したときでなく、状態が変化するたびに、Syslog メッセージを送信します。 |
デフォルト
このコマンドは、デフォルトでイネーブルです。
コマンド モード
次の表に、コマンドを入力できるモードを示します。
|
|
|
|
|
|
|
|
|
ルータ コンフィギュレーション |
• |
-- |
• |
-- |
-- |
使用上のガイドライン
log-adj-changes コマンドはデフォルトでイネーブルです。このコマンドの no 形式を使用して削除しないかぎり、実行コンフィギュレーションに含まれます。
例
次に、OSPF ネイバーの起動時または停止時に、Syslog メッセージが送信されないようにする例を示します。
hostname(config)# router ospf 5
hostname(config-router)# no log-adj-changes
関連コマンド
|
|
router ospf |
ルータ コンフィギュレーション モードを開始します。 |
show ospf |
OSPF ルーティング プロセスに関する一般的な情報を表示します。 |