LDAP の設定
この章では、Cisco NX-OS デバイス上で Lightweight Directory Access Protocol(LDAP)を設定する方法について説明します。
この章は、次の項で構成されています。
機能情報の確認
ご使用のソフトウェア リリースで、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の警告および機能情報については、https://tools.cisco.com/bugsearch/ の Bug Search Tool およびご使用のソフトウェア リリースのリリース ノートを参照してください。このモジュールに記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「新機能および変更された機能に関する情報」の章または以下の「機能の履歴」表を参照してください。
LDAP の概要
Lightweight Directory Access Protocol(LDAP)は、Cisco NX-OS デバイスにアクセスしようとするユーザの検証を集中的に行います。LDAP サービスは、通常 UNIX または Windows NT ワークステーション上で稼働する LDAP デーモンのデータベースで管理されます。Cisco NX-OS デバイスに設定した LDAP 機能を使用可能にするには、LDAP サーバにアクセスして設定しておく必要があります。
LDAP では、認証と認可のファシリティが別々に提供されます。LDAP では、1 つのアクセス コントロール サーバ(LDAP デーモン)が認証と認可の各サービスを個別に提供できます。各サービスを固有のデータベースに結合し、デーモンの機能に応じてそのサーバまたはネットワークで使用できる他のサービスを使用できます。
LDAP クライアント/サーバ プロトコルでは、トランスポート要件を満たすために、TCP(TCP ポート 389)を使用します。Cisco NX-OS デバイスは、LDAP プロトコルを使用して集中型の認証を行います。
LDAP 認証および許可
クライアントは、簡易バインド(ユーザ名とパスワード)を使用して LDAP サーバとの TCP 接続および認証セッションを確立します。許可プロセスの一環として、LDAP サーバはそのデータベースを検索し、ユーザ プロファイルやその他の情報を取得します。
バインドしてから検索する(認証を行ってから許可する)か、または検索してからバインドするように、バインド操作を設定できます。デフォルトでは、検索してからバインドする方式が使用されます。
検索してからバインドする方式の利点は、baseDN の前にユーザ名(cn 属性)を追加することで認定者名(DN)を形成するのではなく、検索結果で受け取った DN をバインディング時にユーザ DN として使用できることです。この方式は、ユーザ DN がユーザ名と baseDN の組み合わせとは異なる場合に特に役立ちます。ユーザ バインドのために、bindDN が baseDN + append-with-baseDN として構成されます。ここで、append-with-baseDN は cn=$userid のデフォルト値です。

(注) |
バインド方式の代わりに、比較方式を使用して LDAP 認証を確立することもできます。比較方式では、サーバでユーザ入力の属性値を比較します。たとえば、ユーザ パスワード属性を比較して認証を行うことができます。デフォルトのパスワード属性タイプは userPassword です。
|
ユーザ ログインにおける LDAP の動作
LDAP を使用する Cisco NX-OS デバイスに対して、ユーザがパスワード認証プロトコル(PAP)ログインを試みると、次の処理が行われます。

(注) |
LDAP では、デーモンがユーザを認証するために十分な情報を得られるまで、デーモンとユーザとの自由な対話を許可します。通常、デーモンはユーザ名とパスワードの組み合わせを入力するよう求めますが、他の項目を求めることもできます。
|

(注) |
LDAP では、認証の前に許可を行うことができます。
|
-
Cisco NX-OS デバイスは接続が確立されると、ユーザ名とパスワードを取得するために LDAP デーモンに接続します。
-
Cisco NX-OS デバイスは、最終的に LDAP デーモンから次のいずれかの応答を得ます。
- ACCEPT
- ユーザの認証に成功したので、サービスを開始します。Cisco NX-OS デバイスがユーザ許可を必要とする場合は、許可処理が始まります。
- REJECT
- ユーザの認証が失敗します。LDAP デーモンは、ユーザに対してそれ以上のアクセスを拒否するか、ログイン操作を再試行するように要求します。
- ERROR
- デーモンによる認証サービスの途中でエラーが発生したか、またはデーモンと Cisco NX-OS デバイスの間のネットワーク接続でエラーが発生しました。Cisco NX-OS デバイスは ERROR 応答を受信した場合、別の方法でユーザの認証を試行します。
認証が終了し、Cisco NX-OS デバイスで許可がイネーブルになっていれば、続いてユーザの許可フェーズに入ります。LDAP 許可に進むには、まず LDAP 認証を正常に終了する必要があります。
-
LDAP 許可が必要な場合、Cisco NX-OS デバイスは再び LDAP デーモンに接続します。デーモンから ACCEPT または REJECT 応答が返されます。ACCEPT 応答には、ユーザに対する EXEC または NETWORK セッションの送信に使用される属性が含まれます。また ACCEPT 応答により、ユーザがアクセス可能なサービスが決まります。
この場合のサービスは次のとおりです。
LDAP サーバのモニタリング
応答を返さない LDAP サーバがあると、AAA 要求の処理に遅延が発生することがあります。AAA 要求の処理時間を短縮するために、LDAP サーバを定期的にモニタして LDAP サーバが応答している(アライブ)かどうかを調べることができます。Cisco NX-OS デバイスは、応答の遅い LDAP サーバをデッド(dead)としてマークし、デッド LDAP サーバには AAA 要求を送信しません。Cisco NX-OS デバイスはデッド LDAP サーバを定期的にモニタし、応答があればアライブ状態に戻します。このモニタリング プロセスでは、実際の AAA 要求が送信される前に、LDAP サーバが稼働状態であることを確認します。LDAP サーバがデッドまたはアライブの状態に変わると簡易ネットワーク管理プロトコル(SNMP)トラップが生成され、Cisco NX-OS デバイスはパフォーマンスに影響が出る前に、障害が発生していることをエラー メッセージで表示します。
図 1. LDAP サーバの状態. 次の図に、LDAP サーバ モニタリングのサーバの状態を示します。

(注) |
アライブ サーバとデッド サーバのモニタリング間隔は異なります。これらはユーザが設定できます。LDAP サーバ モニタリングを実行するには、テスト認証要求を LDAP サーバに送信します。
|
LDAP のベンダー固有属性
Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)ドラフト標準には、ネットワーク アクセス サーバと LDAP サーバ間での Vendor-Specific Attribute(VSA; ベンダー固有属性)の通信方法が規定されています。IETF は属性 26 を使用します。ベンダーは VSA を使用して、一般的な用途には適さない独自の拡張属性をサポートできます。
LDAP 用の Cisco VSA 形式
シスコの LDAP 実装では、IETF 仕様で推奨される形式を使用したベンダー固有オプションを 1 つサポートしています。シスコのベンダー ID は 9、サポートされるオプションのベンダー タイプは 1(名前付き cisco-av-pair)です。値は次の形式のストリングです。
protocol : attribute separator value *
protocol は、特定の許可タイプを表すシスコの属性です。separator は、必須属性の場合は =(等号)、オプションの属性の場合は *(アスタリスク)です。
Cisco NX-OS デバイス上の認証に LDAP サーバを使用した場合、LDAP では LDAP サーバに対して、認証結果とともに権限付与情報などのユーザ属性を返すように指示します。この許可情報は、VSA で指定されます。
Cisco NX-OS ソフトウェアでは次の VSA プロトコル オプションをサポートしています。
- Shell
- ユーザ プロファイル情報を提供する access-accept パケットで使用されるプロトコル。
Cisco NX-OS ソフトウェアは、次の属性をサポートしています。
- ロール
-
ユーザが属するすべてのロールの一覧です。値フィールドは、スペースで区切られたロール名を一覧表示したストリングです。たとえば、ユーザが network-operator および vdc-admin のロールに属している場合、値フィールドは network-operator vdc-admin となります。このサブ属性は Access-Accept フレームの VSA 部分に格納され、LDAP サーバから送信されます。この属性はシェル プロトコル値とだけ併用できます。次に、Cisco ACS でサポートされるロール属性の例を示します。
shell:roles=network-operator vdc-admin
shell:roles*network-operator vdc-admin

(注) |
VSA を shell:roles*"network-operator vdc-admin" として指定した場合、この VSA はオプション属性としてフラグ設定され、他のシスコ デバイスはこの属性を無視します。
|
LDAP のバーチャライゼーション サポート
LDAP の設定と操作は、仮想デバイス コンテキスト(VDC)に対してローカルです。VDC の詳細については、『Cisco Nexus 7000 Series NX-OS Virtual Device Context Configuration Guide』を参照してください。
Cisco NX-OS デバイスは、仮想ルーティング/転送(VRF)インスタンスを使用して LDAP サーバにアクセスします。VRF の詳細情報については、『Cisco Nexus 7000 Series NX-OS Unicast Routing Configuration Guide』を参照してください。
LDAP のライセンス要件
次の表に、この機能のライセンス要件を示します。
製品
|
ライセンス要件
|
Cisco NX-OS
|
LDAP にはライセンスは必要ありません。ライセンス パッケージに含まれていない機能はすべて Cisco NX-OS システム イメージにバンドルされており、追加費用は一切発生しません。Cisco NX-OS ライセンス方式の詳細については、『Cisco NX-OS Licensing Guide』を参照してください。
|
LDAP の注意事項と制約事項
LDAP に関する注意事項と制約事項は次のとおりです。
-
Cisco NX-OS デバイス上には最大 64 の LDAP サーバを設定できます。
-
Cisco NX-OS は LDAP バージョン 3 だけをサポートします。
-
Cisco NX-OS は次の LDAP サーバだけをサポートします。
-
Secure Sockets Layer(SSL)上の LDAP は、SSL バージョン 3 および Transport Layer Security(TLS)バージョン 1 だけをサポートします。
-
ローカルの Cisco NX-OS デバイス上に設定されているユーザ アカウントが、AAA サーバ上のリモート ユーザ アカウントと同じ名前の場合、Cisco NX-OS ソフトウェアは、AAA サーバ上に設定されているユーザ ロールではなく、ローカル ユーザ アカウントのユーザ ロールをリモート ユーザに適用します。
LDAP のデフォルト設定
次の表に、LDAP パラメータのデフォルト設定を示します。
表 1 LDAP パラメータのデフォルト設定
パラメータ(Parameters)
|
デフォルト
|
LDAP
|
ディセーブル
|
LDAP 認証方式
|
検索してからバインド
|
LDAP 認証メカニズム
|
プレーン
|
デッドタイム間隔
|
0 分
|
タイムアウト間隔
|
5 秒
|
アイドル タイマー間隔
|
60 分
|
サーバの定期的モニタリングのユーザ名
|
test
|
サーバの定期的モニタリングのパスワード
|
シスコ
|
LDAP の設定
ここでは、Cisco NX-OS デバイスで LDAP を設定する手順を説明します。

(注) |
Cisco IOS の CLI に慣れている場合、この機能に対応する Cisco NX-OS コマンドは通常使用する Cisco IOS コマンドと異なる場合があるので注意してください。
|
LDAP サーバの設定プロセス
次の設定プロセスに従って、LDAP サーバを設定できます。
ステップ 1
| LDAP をイネーブルにします。 |
ステップ 2
| LDAP サーバと Cisco NX-OS デバイスの接続を確立します。 |
ステップ 3
| 必要に応じて、AAA 認証方式用に、LDAP サーバのサブセットを使用して LDAP サーバ グループを設定します。 |
ステップ 4
| (任意)TCP ポートを設定します。 |
ステップ 5
| (任意)LDAP サーバにデフォルト AAA 認証方式を設定します。 |
ステップ 6
| (任意)LDAP 検索マップを設定します。 |
ステップ 7
| (任意)必要に応じて、LDAP サーバの定期モニタリングを設定します。 |
LDAP のイネーブル化
デフォルトでは、Cisco NX-OS デバイスの LDAP 機能はディセーブルになっています。認証に関するコンフィギュレーション コマンドと検証コマンドを使用するには、LDAP 機能を明示的にイネーブルにする必要があります。
手順の概要
1.
configure terminal
2.
feature ldap
3.
exit
4.
(任意) copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 |
ステップ 1 | configure terminal
例:
switch# configure terminal
switch(config)#
|
グローバル コンフィギュレーション モードを開始します。
|
ステップ 2 | feature ldap
例:
switch(config)# feature ldap
|
LDAP をイネーブルにします。
|
ステップ 3 | exit
例:
switch(config)# exit
switch#
|
設定モードを終了します。
|
ステップ 4 | copy running-config startup-config
例:
switch# copy running-config startup-config
| (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
|
LDAP サーバ ホストの設定
リモートの LDAP サーバにアクセスするには、Cisco NX-OS デバイス上でその LDAP サーバの IP アドレスまたはホスト名を設定する必要があります。最大 64 の LDAP サーバを設定できます。

(注) |
デフォルトでは、LDAP サーバの IP アドレスまたはホスト名を Cisco NX-OS デバイスで設定すると、LDAP サーバがデフォルトの LDAP サーバ グループに追加されます。LDAP サーバを別の LDAP サーバ グループに追加することもできます。
|
はじめる前に
LDAP をイネーブルにします。
リモートの LDAP サーバの IPv4 または IPv6 アドレスまたはホスト名を取得します。
Secure Sockets Layer(SSL)プロトコルをイネーブルにする予定の場合は、Cisco NX-OS デバイスで LDAP サーバ証明書を手動で設定します。
手順の概要
1.
configure terminal
2.
[no] ldap-server host {ipv4-address | ipv6-address | host-name} [enable-ssl]
3.
exit
4.
(任意) show ldap-server
5.
(任意) copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 |
ステップ 1 | configure terminal
例:
switch# configure terminal
switch(config)#
|
グローバル コンフィギュレーション モードを開始します。
|
ステップ 2 | [no] ldap-server host {ipv4-address | ipv6-address | host-name} [enable-ssl]
例:
switch(config)# ldap-server host 10.10.2.2 enable-ssl
|
LDAP サーバの IPv4 または IPv6 アドレス、あるいはホスト名を指定します。
enable-ssl キーワードは、バインドまたは検索の要求を送信する前に LDAP クライアントに Secure Sockets Layer(SSL)セッションを確立させることにより、転送されたデータの整合性と機密性を確保します。
|
ステップ 3 | exit
例:
switch(config)# exit
switch#
|
設定モードを終了します。
|
ステップ 4 | show ldap-server
例:
switch# show ldap-server
| (任意)
LDAP サーバの設定を表示します。
|
ステップ 5 | copy running-config startup-config
例:
switch# copy running-config startup-config
| (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
|
LDAP サーバの rootDN の設定
LDAP サーバ データベースのルート指定名(DN)を設定できます。rootDN は、LDAP サーバにバインドしてそのサーバの状態を確認するために使用します。
はじめる前に
LDAP をイネーブルにします。
リモートの LDAP サーバの IPv4 または IPv6 アドレスまたはホスト名を取得します。
手順の概要
1.
configure terminal
2.
[no] ldap-server host {ipv4-address | ipv6-address | host-name} rootDNroot-name [passwordpassword] [porttcp-port [timeoutseconds] | [timeoutseconds]]
3.
exit
4.
(任意) show ldap-server
5.
(任意) copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 |
ステップ 1 | configure terminal
例:
switch# configure terminal
switch(config)#
|
グローバル コンフィギュレーション モードを開始します。
|
ステップ 2 | [no] ldap-server host {ipv4-address | ipv6-address | host-name} rootDNroot-name [passwordpassword] [porttcp-port [timeoutseconds] | [timeoutseconds]]
例:
switch(config)# ldap-server host 10.10.1.1 rootDN cn=manager,dc=acme,dc=com password Ur2Gd2BH timeout 60
|
LDAP サーバ データベースの rootDN を指定し、ルートのパスワードをバインドします。
任意で、サーバに送る LDAP メッセージに使用する TCP ポートを指定します。有効な範囲は 1 ~ 65535 です。デフォルトの TCP ポートはグローバル値です(グローバル値が設定されていない場合は 389)。また、サーバのタイムアウト間隔も指定します。値の範囲は 1 ~ 60 秒です。デフォルトのタイムアウト値はグローバル値です(グローバル値が設定されていない場合は 5 秒)。
|
ステップ 3 | exit
例:
switch(config)# exit
switch#
|
設定モードを終了します。
|
ステップ 4 | show ldap-server
例:
switch# show ldap-server
| (任意)
LDAP サーバの設定を表示します。
|
ステップ 5 | copy running-config startup-config
例:
switch# copy running-config startup-config
| (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
|
LDAP サーバ グループの設定
サーバ グループを使用して、1 台または複数台のリモート AAA サーバによるユーザ認証を指定することができます。グループのメンバはすべて、LDAP を使用するように設定する必要があります。設定した順序に従ってサーバが試行されます。
これらのサーバ グループはいつでも設定できますが、設定したグループを有効にするには、AAA サービスに適用する必要があります。
手順の概要
1.
configure terminal
2.
[no] aaa group server ldapgroup-name
3.
[no] server {ipv4-address | ipv6-address | host-name}
4.
(任意) [no] authentication {bind-first [append-with-baseDN DNstring] | compare [password-attribute password]}
5.
(任意) [no] enable user-server-group
6.
(任意) [no] enable Cert-DN-match
7.
(任意) [no] use-vrf vrf-name
8.
exit
9.
(任意) show ldap-server groups
10.
(任意) copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 |
ステップ 1 | configure terminal
例:
switch# configure terminal
switch(config)#
|
グローバル コンフィギュレーション モードを開始します。
|
ステップ 2 | [no] aaa group server ldapgroup-name
例:
switch(config)# aaa group server ldap LDAPServer1
switch(config-ldap)#
|
LDAP サーバ グループを作成し、そのグループの LDAP サーバ グループ コンフィギュレーション モードを開始します。
|
ステップ 3 | [no] server {ipv4-address | ipv6-address | host-name}
例:
switch(config-ldap)# server 10.10.2.2
|
LDAP サーバを、LDAP サーバ グループのメンバとして設定します。
指定した LDAP サーバが見つからない場合は、ldap-server host コマンドを使用してサーバを設定し、このコマンドをもう一度実行します。
|
ステップ 4 | [no] authentication {bind-first [append-with-baseDN DNstring] | compare [password-attribute password]}
例:
switch(config-ldap)# authentication compare password-attribute TyuL8r
| (任意)
バインド方式または比較方式を使用して LDAP 認証を実行します。デフォルトの LDAP 認証方式は、検索してからバインドするバインド方式です。
|
ステップ 5 | [no] enable user-server-group
例:
switch(config-ldap)# enable user-server-group
| (任意)
グループ検証をイネーブルにします。LDAP サーバでグループ名を設定する必要があります。ユーザは、ユーザ名が LDAP サーバで設定されたこのグループのメンバとして示されている場合にだけ、公開キー認証を通じてログインできます。
|
ステップ 6 | [no] enable Cert-DN-match
例:
switch(config-ldap)# enable Cert-DN-match
| (任意)
ユーザ プロファイルでユーザ証明書のサブジェクト DN がログイン可能と示されている場合にだけユーザがログインできるようにします。
|
ステップ 7 | [no] use-vrf vrf-name
例:
switch(config-ldap)# use-vrf vrf1
| (任意)
サーバ グループ内のサーバとの接続に使用する VRF を指定します。
(注)
|
このコマンドは、Cisco Nexus 7000 シリーズ スイッチでだけサポートされています。
|
|
ステップ 8 | exit
例:
switch(config-ldap)# exit
switch(config)#
|
LDAP サーバ グループ コンフィギュレーション モードを終了します。
|
ステップ 9 | show ldap-server groups
例:
switch(config)# show ldap-server groups
| (任意)
LDAP サーバ グループの設定を表示します。
|
ステップ 10 | copy running-config startup-config
例:
switch(config)# copy running-config startup-config
| (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
|
グローバルな LDAP タイムアウト間隔の設定
Cisco NX-OS デバイスがすべての LDAP サーバからの応答を待つ時間を決定するグローバル タイムアウト間隔を設定できます。これを過ぎるとタイムアウト エラーになります。
手順の概要
1.
configure terminal
2.
[no] ldap-server timeoutseconds
3.
exit
4.
(任意) show ldap-server
5.
(任意) copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 |
ステップ 1 | configure terminal
例:
switch# configure terminal
switch(config)#
|
グローバル コンフィギュレーション モードを開始します。
|
ステップ 2 | [no] ldap-server timeoutseconds
例:
switch(config)# ldap-server timeout 10
|
LDAP サーバのタイムアウト間隔を指定します。デフォルトのタイムアウト間隔は 5 秒です。有効な範囲は 1 ~ 60 秒です。
|
ステップ 3 | exit
例:
switch(config)# exit
switch#
|
設定モードを終了します。
|
ステップ 4 | show ldap-server
例:
switch# show ldap-server
| (任意)
LDAP サーバの設定を表示します。
|
ステップ 5 | copy running-config startup-config
例:
switch# copy running-config startup-config
| (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
|
LDAP サーバのタイムアウト間隔の設定
Cisco NX-OS デバイスが LDAP サーバからの応答を待つ時間を決定するタイムアウト間隔を設定できます。これを過ぎるとタイムアウト エラーになります。
手順の概要
1.
configure terminal
2.
[no] ldap-server host {ipv4-address | ipv6-address | host-name} timeoutseconds
3.
exit
4.
(任意) show ldap-server
5.
(任意) copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 |
ステップ 1 | configure terminal
例:
switch# configure terminal
switch(config)#
|
グローバル コンフィギュレーション モードを開始します。
|
ステップ 2 | [no] ldap-server host {ipv4-address | ipv6-address | host-name} timeoutseconds
例:
switch(config)# ldap-server host server1 timeout 10
|
特定のサーバのタイムアウト間隔を指定します。デフォルトはグローバル値です。
(注)
|
特定の LDAP サーバに指定したタイムアウト間隔は、すべての LDAP サーバで使用されるグローバルなタイムアウト間隔を上書きします。
|
|
ステップ 3 | exit
例:
switch(config)# exit
switch#
|
設定モードを終了します。
|
ステップ 4 | show ldap-server
例:
switch# show ldap-server
| (任意)
LDAP サーバの設定を表示します。
|
ステップ 5 | copy running-config startup-config
例:
switch# copy running-config startup-config
| (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
|
グローバル LDAP サーバ ポートの設定
クライアントが TCP 接続を開始するグローバル LDAP サーバ ポートを設定できます。デフォルトでは、Cisco NX-OS デバイスはすべての LDAP 要求に対しポート 389 を使用します。
手順の概要
1.
configure terminal
2.
[no] ldap-server porttcp-port
3.
exit
4.
(任意) show ldap-server
5.
(任意) copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 |
ステップ 1 | configure terminal
例:
switch# configure terminal
switch(config)#
|
グローバル コンフィギュレーション モードを開始します。
|
ステップ 2 | [no] ldap-server porttcp-port
例:
switch(config)# ldap-server port 2
|
サーバへの LDAP メッセージに使用するグローバル TCP ポートを指定します。デフォルトの TCP ポートは 389 です。有効な範囲は 1 ~ 65535 です。
(注)
|
このコマンドは、Cisco NX-OS Release 5.2 以降では推奨されません。
|
|
ステップ 3 | exit
例:
switch(config)# exit
switch#
|
設定モードを終了します。
|
ステップ 4 | show ldap-server
例:
switch# show ldap-server
| (任意)
LDAP サーバの設定を表示します。
|
ステップ 5 | copy running-config startup-config
例:
switch# copy running-config startup-config
| (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
|
TCP ポートの設定
別のアプリケーションとポート番号が競合している場合は、LDAP サーバ用に別の TCP ポートを設定できます。デフォルトでは、Cisco NX-OS デバイスはすべての LDAP 要求に対しポート 389 を使用します。
手順の概要
1.
configure terminal
2.
[no] ldap-server host {ipv4-address | ipv6-address | host-name} port tcp-port [timeout seconds]
3.
exit
4.
(任意) show ldap-server
5.
(任意) copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 |
ステップ 1 | configure terminal
例:
switch# configure terminal
switch(config)#
|
グローバル コンフィギュレーション モードを開始します。
|
ステップ 2 | [no] ldap-server host {ipv4-address | ipv6-address | host-name} port tcp-port [timeout seconds]
例:
switch(config)# ldap-server host 10.10.1.1 port 200 timeout 5
|
サーバに送る LDAP メッセージに使用する TCP ポートを指定します。デフォルトの TCP ポートは 389 です。有効な範囲は 1 ~ 65535 です。任意でサーバのタイムアウト間隔を指定します。値の範囲は 1 ~ 60 秒です。デフォルトのタイムアウト値はグローバル値です(グローバル値が設定されていない場合は 5 秒)。
(注)
|
特定の LDAP サーバに指定したタイムアウト間隔は、すべての LDAP サーバで使用されるグローバルなタイムアウト間隔を上書きします。
|
|
ステップ 3 | exit
例:
switch(config)# exit
switch#
|
設定モードを終了します。
|
ステップ 4 | show ldap-server
例:
switch# show ldap-server
| (任意)
LDAP サーバの設定を表示します。
|
ステップ 5 | copy running-config startup-config
例:
switch# copy running-config startup-config
| (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
|
LDAP 検索マップの設定
検索クエリーを LDAP サーバに送信するように LDAP 検索マップを設定できます。サーバはそのデータベースで、検索マップで指定された基準を満たすデータを検索します。
手順の概要
1.
configure terminal
2.
ldap search-mapmap-name
3.
(任意) [userprofile | trustedCert | CRLLookup | user-certdn-match | user-pubkey-match | user-switch-bind] attribute-name attribute-name search-filter filter base-DN base-DN-name
4.
exit
5.
(任意) show ldap-search-map
6.
(任意) copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 |
ステップ 1 | configure terminal
例:
switch# configure terminal
switch(config)#
|
グローバル コンフィギュレーション モードを開始します。
|
ステップ 2 | ldap search-mapmap-name
例:
switch(config)# ldap search-map map1
switch(config-ldap-search-map)#
|
LDAP 検索マップを設定します。
|
ステップ 3 | [userprofile | trustedCert | CRLLookup | user-certdn-match | user-pubkey-match | user-switch-bind] attribute-name attribute-name search-filter filter base-DN base-DN-name
例:
switch(config-ldap-search-map)# userprofile attribute-name att-name search-filter (&(objectClass=inetOrgPerson)(cn=$userid)) base-DN dc=acme,dc=com
| (任意)
ユーザ プロファイル、信頼できる証明書、CRL、証明書 DN 一致、公開キー一致、または user-switchgroup ルックアップ検索操作の属性名、検索フィルタ、およびベース DN を設定します。これらの値は、検索クエリーを LDAP サーバに送信するために使用されます。
attribute-name 引数は Nexus ロール定義を含む LDAP サーバ属性の名前です。
|
ステップ 4 | exit
例:
switch(config-ldap-search-map)# exit
switch(config)#
|
LDAP 検索マップ コンフィギュレーション モードを終了します。
|
ステップ 5 | show ldap-search-map
例:
switch(config)# show ldap-search-map
| (任意)
設定された LDAP 検索マップを表示します。
|
ステップ 6 | copy running-config startup-config
例:
switch(config)# copy running-config startup-config
| (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
|
LDAP サーバの定期的モニタリングの設定
LDAP サーバの可用性をモニタリングできます。設定パラメータには、サーバに対して使用するユーザ名とパスワード、サーバにバインドして状態を確認するための rootDN、およびアイドル タイマーがあります。アイドル タイマーには、LDAP サーバで何の要求も受信されない状態の時間を指定します。これを過ぎると Cisco NX-OS デバイスはテスト パケットを送信します。このオプションを設定して定期的にサーバをテストしたり、1 回だけテストを実行したりできます。

(注) |
ネットワークのセキュリティを保護するために、LDAP データベースの既存のユーザ名と同じものを使用しないことを推奨します。
|
手順の概要
1.
configure terminal
2.
[no] ldap-server host {ipv4-address | ipv6-address | host-name} test rootDN root-name [idle-timeminutes | passwordpassword [idle-timeminutes] | usernamename [passwordpassword [idle-timeminutes]]]
3.
[no] ldap-server deadtimeminutes
4.
exit
5.
(任意) show ldap-server
6.
(任意) copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 |
ステップ 1 | configure terminal
例:
switch# configure terminal
switch(config)#
|
グローバル コンフィギュレーション モードを開始します。
|
ステップ 2 | [no] ldap-server host {ipv4-address | ipv6-address | host-name} test rootDN root-name [idle-timeminutes | passwordpassword [idle-timeminutes] | usernamename [passwordpassword [idle-timeminutes]]]
例:
switch(config)# ldap-server host 10.10.1.1 test rootDN root1 username user1 password Ur2Gd2BH idle-time 3
|
サーバ モニタリング用のパラメータを指定します。デフォルトのユーザ名は test、デフォルトのパスワードは Cisco です。アイドル タイマーのデフォルト値は 60 分です。有効な範囲は 1 ~ 1,440 分です。
(注)
|
LDAP サーバ データベースの既存のユーザでないユーザを指定することを推奨します。
|
|
ステップ 3 | [no] ldap-server deadtimeminutes
例:
switch(config)# ldap-server deadtime 5
|
以前に応答の遅かった LDAP サーバを Cisco NX-OS デバイスがチェックを始めるまでの分数を指定します。デフォルト値は 0 分です。有効な範囲は 0 ~ 60 分です。
|
ステップ 4 | exit
例:
switch(config)# exit
switch#
|
設定モードを終了します。
|
ステップ 5 | show ldap-server
例:
switch# show ldap-server
| (任意)
LDAP サーバの設定を表示します。
|
ステップ 6 | copy running-config startup-config
例:
switch# copy running-config startup-config
| (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
|
LDAP デッド タイム間隔の設定
すべての LDAP サーバのデッド タイム間隔を設定できます。デッド タイム間隔では、Cisco NX-OS デバイスが LDAP サーバをデッドであると宣言した後、そのサーバがアライブになったかどうかを確認するためにテスト パケットを送信するまでの時間を指定します。

(注) |
デッド タイム間隔に 0 分を設定すると、LDAP サーバは、応答を返さない場合でも、デッドとしてマークされません。デッド タイム間隔はグループ単位で設定できます。
|
手順の概要
1.
configure terminal
2.
[no] ldap-server deadtime minutes
3.
exit
4.
(任意) show ldap-server
5.
(任意) copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 |
ステップ 1 | configure terminal
例:
switch# configure terminal
switch(config)#
|
グローバル コンフィギュレーション モードを開始します。
|
ステップ 2 | [no] ldap-server deadtime minutes
例:
switch(config)# ldap-server deadtime 5
|
グローバルなデッド タイム間隔を設定します。デフォルト値は 0 分です。範囲は 1 ~ 60 分です。
|
ステップ 3 | exit
例:
switch(config)# exit
switch#
|
設定モードを終了します。
|
ステップ 4 | show ldap-server
例:
switch# show ldap-server
| (任意)
LDAP サーバの設定を表示します。
|
ステップ 5 | copy running-config startup-config
例:
switch# copy running-config startup-config
| (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
|
LDAP サーバでの AAA 許可の設定
LDAP サーバのデフォルトの AAA 許可方式を設定できます。
手順の概要
1.
configure terminal
2.
aaa authorization {ssh-certificate | ssh-publickey} default {groupgroup-list | local}
3.
exit
4.
(任意) show aaa authorization [all]
5.
(任意) copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 |
ステップ 1 | configure terminal
例:
switch# configure terminal
switch(config)#
|
グローバル コンフィギュレーション モードを開始します。
|
ステップ 2 | aaa authorization {ssh-certificate | ssh-publickey} default {groupgroup-list | local}
例:
switch(config)# aaa authorization ssh-certificate
default group LDAPServer1 LDAPServer2
|
LDAP サーバのデフォルトの AAA 許可方式を設定します。
ssh-certificate キーワードは、証明書認証を使用した LDAP 許可またはローカル許可を設定し、ssh-publickey キーワードは、SSH 公開キーを使用した LDAP 認可またはローカル認可を設定します。デフォルトの許可は、ユーザに割り当てたロールに対して許可されたコマンドのリストであるローカル許可です。
group-list 引数には、LDAP サーバ グループ名をスペースで区切ったリストを指定します。このグループに属するサーバに対して、AAA 許可のためのアクセスが行われます。local 方式では、許可にローカル データベースが使用されます。
|
ステップ 3 | exit
例:
switch(config)# exit
switch#
|
グローバル コンフィギュレーション モードを終了します。
|
ステップ 4 | show aaa authorization [all]
例:
switch(config)# show aaa authorization
| (任意)
AAA 認可設定を表示します。all キーワードは、デフォルト値を表示します。
|
ステップ 5 | copy running-config startup-config
例:
switch(config)# copy running-config
startup-config
| (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
|
LDAP のディセーブル化
LDAP をディセーブルにできます。

注意 |
LDAP をディセーブルにすると、関連するすべての設定が自動的に廃棄されます。
|
手順の概要
1.
configure terminal
2.
no feature ldap
3.
exit
4.
(任意) copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 |
ステップ 1 | configure terminal
例:
switch# configure terminal
switch(config)#
|
グローバル コンフィギュレーション モードを開始します。
|
ステップ 2 | no feature ldap
例:
switch(config)# no feature ldap
|
LDAP をディセーブルにします。
|
ステップ 3 | exit
例:
switch(config)# exit
switch#
|
設定モードを終了します。
|
ステップ 4 | copy running-config startup-config
例:
switch# copy running-config startup-config
| (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
|
LDAP サーバのモニタリング
Cisco NX-OS デバイスが保持している LDAP サーバのアクティビティに関する統計情報をモニタリングできます。
はじめる前に
Cisco NX-OS デバイスに LDAP サーバを設定します。
手順の概要
1.
show ldap-server statistics {hostname | ipv4-address | ipv6-address}
手順の詳細
| コマンドまたはアクション | 目的 |
ステップ 1 | show ldap-server statistics {hostname | ipv4-address | ipv6-address}
例:
switch# show ldap-server statistics 10.10.1.1
|
LDAP 統計情報を表示します。
|
LDAP サーバ統計情報のクリア
Cisco NX-OS デバイスが保持している LDAP サーバのアクティビティに関する統計情報を表示します。
はじめる前に
Cisco NX-OS デバイスに LDAP サーバを設定します。
手順の概要
1.
(任意) show ldap-server statistics {hostname | ipv4-address | ipv6-address}
2.
clear ldap-server statistics {hostname | ipv4-address | ipv6-address}
手順の詳細
| コマンドまたはアクション | 目的 |
ステップ 1 | show ldap-server statistics {hostname | ipv4-address | ipv6-address}
例:
switch# show ldap-server statistics 10.10.1.1
| (任意)
Cisco NX-OS デバイスでの LDAP サーバ統計情報を表示します。
|
ステップ 2 | clear ldap-server statistics {hostname | ipv4-address | ipv6-address}
例:
switch# clear ldap-server statistics 10.10.1.1
|
LDAP サーバ統計情報をクリアします。
|
LDAP 設定の確認
LDAP 設定情報を表示するには、次のいずれかの作業を行います。
コマンド
|
目的
|
show running-config ldap [all]
|
実行コンフィギュレーションの LDAP 設定を表示します。
|
show startup-config ldap
|
スタートアップ コンフィギュレーションの LDAP 設定を表示します。
|
show ldap-server
|
LDAP 設定情報を表示します。
|
show ldap-server groups
|
LDAP サーバ グループの設定情報を表示します。
|
show ldap-server statistics {host-name | ipv4-address | ipv6-address}
|
LDAP 統計情報を表示します。
|
show ldap-search-map
|
設定されている LDAP 属性マップに関する情報を表示します。
|
このコマンドの出力フィールドの詳細については、『Cisco Nexus 7000 Series NX-OS Security Command Reference』を参照してください。
LDAP の設定例
次に、LDAP サーバ ホストおよびサーバ グループを設定する例を示します。
feature ldap
ldap-server host 10.10.2.2 enable-ssl
aaa group server ldap LdapServer
server 10.10.2.2
exit
show ldap-server
show ldap-server groups
次に、LDAP 検索マップを設定する例を示します。
ldap search-map s0
userprofile attribute-name description search-filter (&(objectClass=inetOrgPerson)(cn=$userid)) base-DN dc=acme,dc=com
exit
show ldap-search-map
次に、LDAP サーバに対する証明書認証を使用して AAA 許可を設定する例を示します。
aaa authorization ssh-certificate default group LDAPServer1 LDAPServer2
exit
show aaa authorization
次の作業
これで、サーバ グループも含めて AAA 認証方式を設定できるようになります。
LDAP に関する追加情報
ここでは、LDAP の実装に関する追加情報について説明します。
関連資料
関連項目 |
マニュアル タイトル
|
Cisco NX-OS のライセンス
|
『Cisco NX-OS Licensing Guide』
|
コマンド リファレンス
|
『Cisco Nexus 7000 Series NX-OS Security Command Reference』
|
VRF コンフィギュレーション
|
『Cisco Nexus 7000 Series NX-OS Unicast Routing Configuration Guide』
|
標準
標準
|
Title
|
この機能でサポートされる新規の標準または変更された標準はありません。また、既存の標準のサポートは変更されていません。
|
—
|
LDAP の機能の履歴
次の表に、この機能のリリースの履歴を示します。
表 2 LDAP の機能の履歴
機能名
|
リリース
|
機能情報
|
LDAP
|
6.0(1)
|
Release 5.2 以降、変更はありません。
|
LDAP
|
5.2(1)
|
ldap-server port コマンドが非推奨になりました。
|
LDAP
|
5.1(1)
|
Release 5.0 以降、変更はありません。
|
LDAP
|
5.0(2)
|
この機能が導入されました。
|