この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章は、次の内容で構成されています。
Cisco UCS では、ユーザ ログインを認証するために、2 種類の方法がサポートされています。
システムを、サポートされているリモート認証サービスのいずれかに設定する場合は、そのサービス用のプロバイダーを作成して、Cisco UCS Manager がそのサービスと通信できるようにする必要があります。 また、ユーザ許可に影響する次のガイドラインに留意する必要があります。
ユーザ アカウントは、Cisco UCS Manager にローカルに存在するか、またはリモート認証サーバに存在することができます。
リモート認証サービスを介してログインしているユーザの一時的なセッションは、Cisco UCS Manager GUI または Cisco UCS Manager CLI で表示できます。
リモート認証サーバでユーザ アカウントを作成する場合は、ユーザが Cisco UCS Manager で作業するために必要なロールをそれらのアカウントに含めること、およびそれらのロールの名前を Cisco UCS Manager で使用される名前と一致させることが必要です。 ロール ポリシーによっては、ユーザがログインできない場合があり、その場合は読み取り専用権限だけが付与されます。
RADIUS および TACACS+ 設定の場合、ユーザが Cisco UCS Manager へのログインに使用する各リモート認証プロバイダー内の Cisco UCS のユーザ属性を設定する必要があります。 このユーザ属性は、各ユーザに割り当てられたロールとロケールを保持します。
(注) |
この手順は、LDAP グループ マッピングを使用してロールとロケールを割り当てる LDAP 設定では必要ありません。 |
ユーザがログインすると、Cisco UCS Manager は次を実行します。
カスタム CiscoAVPair 属性のサンプル OID は、次のとおりです。
CN=CiscoAVPair,CN=Schema, CN=Configuration,CN=X objectClass: top objectClass: attributeSchema cn: CiscoAVPair distinguishedName: CN=CiscoAVPair,CN=Schema,CN=Configuration,CN=X instanceType: 0x4 uSNCreated: 26318654 attributeID: 1.3.6.1.4.1.9.287247.1 attributeSyntax: 2.5.5.12 isSingleValued: TRUE showInAdvancedViewOnly: TRUE adminDisplayName: CiscoAVPair adminDescription: UCS User Authorization Field oMSyntax: 64 lDAPDisplayName: CiscoAVPair name: CiscoAVPair objectCategory: CN=Attribute-Schema,CN=Schema,CN=Configuration,CN=X
Cisco UCS Manager は、ユーザ名とパスワードの組み合わせによるユーザ ログイン アクションをサポートします。 ユーザには覚えやすいパスワードを設定する人がいますが、そのパスワードはマルウェア、スパイウェア、またはコンピュータ ウイルスに脆弱な可能性があります。 保護されていないネットワークからシステムにリモートからアクセスするユーザや、安全でないサービスを使用しているユーザは、パスワードがスヌーピング ソフトウェアによって侵害されている可能性があります。 フィッシング攻撃の中には、ユーザを操りパスワードを暴露させるウイルスがあります。
ユーザ認証を強化する方法は、ユーザ名とパスワードに加えて第 2 の要素を要求することです。 二要素認証では、3 つの認証要素のうち 2 つが必要になります。 それは、ユーザが知っているものの組み合わせ(たとえばパスワードや PIN、および証明書またはトークンなどのユーザが所有しているもの)を使用します。 二要素認証は、リモート ユーザに対してのみサポートされており、IPMI はサポートしません。
Cisco UCS Manager は、ログイン プロセス中にユーザにワンタイム トークンを生成するトークン サーバを保持する認証アプリケーションを使用して二要素認証を提供します。 パスワードは AAA サーバに保存されるため、ユーザがログインするときは、ユーザ名を入力し、次にパスワード フィールドにトークンとパスワードの組み合わせを入力する必要があります。 リクエストは、トークン サーバに送信されベンダー固有の属性が取得されます。 Cisco UCS Manager は、トークン サーバが AAA サーバ と統合されるように要求し、それがリクエストを AAA サーバに転送できるようにします。 パスワードとトークンは、AAA サーバによって同時に認証されます。 ユーザは、AAA サーバで設定されているものと同じ順序でトークンとパスワード文字列を入力する必要があります。
この機能は、RADIUS または TACACS+ プロバイダー グループを指定認証ドメインに関連付けることと、これらのドメインに対する 二要素認証をイネーブルにすることによってサポートされます。
(注) |
二要素認証は、認証レルムが LDAP、local、または none に設定されている場合は、サポートされません。 |
Web セッションのタイムアウト期限は、アクティビティに関係なく、セッションを維持する最長時間を制御します。 また、Web セッションのタイムアウト期限は、二要素認証を設定する場合はより大きいデフォルト値に設定します。 Web セッションの更新期間が過ぎると、Cisco UCS Manager GUI クライアントは新しいトークンとパスワードの組み合わせを入力するようユーザに促すプロンプトを自動的に生成します。
Web セッションの更新期間は、ユーザの Web セッションの有効期間を制御します。 二要素認証が設定されている場合、ユーザはトークンとパスワードの組み合わせを入力し、Web セッションの更新期間が切れるごとにログインしなければなりません。 ユーザにトークンとパスワードの作り直しと再入力を何度も要求する、セッション タイムアウトの頻発を避けるために、Web セッションの更新間隔は、二要素認証をイネーブルにする場合は初期デフォルト値が大きい値に設定されます。 これにより、リモート ユーザは長時間アクティブ セッションを維持することができます。 Web セッションの更新が非アクティブが原因で期限切れになると、ユーザは新しいトークンを生成し、再度ログインするよう促されます。
LDAP グループ ルールは、ユーザ ロールおよびロケールをリモート ユーザに割り当てるときに、Cisco UCS が LDAP グループを使用するかどうかを決定するために使用します。
(注) |
ネストされた LDAP の検索サポートは Microsoft Active Directory サーバに対してのみサポートされます。 サポートされているバージョンは Microsoft Windows 2003 SP3、Microsoft Windows 2008 R2、および Microsoft Windows 2012 です。 |
LDAP ネスティング機能を使用して、LDAP グループを他のグループおよびネスト グループのメンバとして追加し、メンバ アカウントを統合してトラフィックの重複を減らすことができます。
デフォルトでは、ユーザ権限は他のグループ内の LDAP グループをネストするときに継承されます。 たとえば、Group_2 のメンバとして Group_1 を作成する場合、Group_1 のユーザは Group_2 のメンバと同じ権限が与えられます。 その結果、Group_1 のメンバであるユーザを検索するときは、Group_1 と Group_2 を別々に検索するのではなく LDAP グループ マップの Group_2 を選択するだけで行うことができます。
このタスクで設定するプロパティは、Cisco UCS Manager で定義されたこのタイプのすべてのプロバイダー接続のデフォルト設定です。 個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Cisco UCS でその設定が使用され、デフォルト設定は無視されます。
Active Directory を LDAP サーバとして使用している場合は、Active Directory サーバで Cisco UCS にバインドするユーザ アカウントを作成します。 このアカウントには、期限切れにならないパスワードを設定します。
LDAP プロバイダーを作成します。
Cisco UCS Manager では、最大 16 の LDAP プロバイダーがサポートされます。
Active Directory を LDAP サーバとして使用している場合は、Active Directory サーバで Cisco UCS にバインドするユーザ アカウントを作成します。 このアカウントには、期限切れにならないパスワードを設定します。
LDAP グループを設定します。 LDAP グループには、ユーザのロールとロケール情報が含まれています。
Cisco UCS Manager のユーザ ロールとロケール情報を保持する属性をユーザに対して設定します。 この属性について LDAP スキーマを拡張するかどうかを選択できます。 スキーマを拡張しない場合は、既存の LDAP 属性を使用して Cisco UCS ユーザ ロールとロケールを保持します。 スキーマを拡張する場合は、CiscoAVPair 属性などのカスタム属性を作成します。
シスコの LDAP の実装では、Unicode タイプの属性が必要です。
CiscoAVPair カスタム属性を作成する場合は、属性 ID として 1.3.6.1.4.1.9.287247.1 を使用します
クラスタ設定では、両方のファブリック インターコネクトに対する管理ポートの IPv4 または IPv6 アドレスを追加します。 この設定では、1 つめのファブリック インターコネクトで障害が発生し、システムが 2 つめのファブリック インターコネクトにフェールオーバーしても、リモート ユーザは引き続きログインできることが保証されます。 ログイン要求はすべて、これらの IP アドレスから送信されます。Cisco UCS Manager により使用されている仮想 IPv4 または IPv6 アドレスではありません。
セキュアな通信を使用する場合は、LDAP サーバのルート認証局(CA)の証明書が格納されたトラスト ポイントを Cisco UCS Manager で作成します。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [Work] ペインの [General] タブをクリックします。 |
ステップ 4 | [Actions] エリアで、[Create LDAP Provider] をクリックします。 |
ステップ 5 |
ウィザードの [Create LDAP Provider] ページで、次を実行します。
|
ステップ 6 |
ウィザードの [LDAP Group Rule] ページで、次を実行します。
|
単一の LDAP データベースが関係する実装の場合は、認証サービスとして LDAP を選択します。
複数の LDAP データベースが関係する実装の場合は、LDAP プロバイダー グループを設定します。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 | ||||||||||||
ステップ 2 | [Admin] タブで、 を展開します。 | ||||||||||||
ステップ 3 | [LDAP Providers] を展開し、グループ ルールを変更する LDAP プロバイダーを選択します。 | ||||||||||||
ステップ 4 | [Work] ペインの [General] タブをクリックします。 | ||||||||||||
ステップ 5 |
[LDAP Group Rules] 領域で、次のフィールドに値を入力します。
|
||||||||||||
ステップ 6 | [Save Changes] をクリックします。 |
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [LDAP Providers] を展開します。 |
ステップ 4 | 削除する LDAP プロバイダーを右クリックし、[Delete] を選択します。 |
ステップ 5 | Cisco UCS Manager GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。 |
LDAP データベースへのアクセスを制限するためにすでに LDAP グループを使用している組織の場合、ログイン中に LDAP ユーザにロールやロケールを割り当てるために、UCSM はグループ メンバーシップ情報を使用できます。 これにより、Cisco UCS Manager が展開されるときに LDAP ユーザ オブジェクトのロールまたはロケール情報を定義する必要がなくなります。
ユーザが Cisco UCS Manager にログインすると、ユーザのロールおよびロケールに関する情報が LDAP グループ マップからプルされます。 ロールとロケールの条件がポリシー情報と一致する場合、アクセスが許可されます。
ロールとロケール定義は Cisco UCS Manager でローカルに設定され、LDAP ディレクトリに対する変更に基づいた自動更新はされません。 LDAP ディレクトリの LDAP グループの削除や名前の変更を行う場合、変更とともに Cisco UCS Manager を更新するのが重要です。
(注) |
Cisco UCS Manager には、すぐに使用可能な多くのユーザ ロールが含まれていますが、ロケールは含まれていません。 LDAP プロバイダー グループをロケールにマッピングするには、カスタム ロケールを作成する必要があります。 |
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [LDAP Group Maps] を右クリックし、[Create LDAP Group Map] を選択します。 |
ステップ 4 |
[Create LDAP Group Map] ダイアログボックスで、次を実行します。
|
LDAP グループ ルールを設定します。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [LDAP Group Maps] を展開します。 |
ステップ 4 | 削除する LDAP グループ マップを右クリックし、[Delete] を選択します。 |
ステップ 5 | Cisco UCS Manager GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。 |
このタスクで設定するプロパティは、Cisco UCS Manager で定義されたこのタイプのすべてのプロバイダー接続のデフォルト設定です。 個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Cisco UCS でその設定が使用され、デフォルト設定は無視されます。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 | ||||||
ステップ 2 | [Admin] タブで、 を展開します。 | ||||||
ステップ 3 |
[Properties] 領域の次のフィールドに値を入力します。
|
||||||
ステップ 4 | [Save Changes] をクリックします。 |
RADIUS プロバイダーを作成します。
Cisco UCS Manager では、最大 16 の RADIUS プロバイダーがサポートされます。
RADIUS サーバで、次の設定を行います。
Cisco UCS Manager のユーザ ロールとロケール情報を保持する属性をユーザに対して設定します。 この属性について RADIUS スキーマを拡張するかどうかを選択できます。 スキーマを拡張しない場合は、既存の RADIUS 属性を使用して Cisco UCS ユーザ ロールとロケールを保持します。 スキーマを拡張する場合は、cisco-avpair 属性などのカスタム属性を作成します。
シスコによる RADIUS の実装のベンダー ID は 009 であり、属性のベンダー ID は 001 です。
次の構文例は、cisco-avpair 属性を作成する場合に複数のユーザ ロールとロケールを指定する方法を示しています。shell:roles="admin,aaa" shell:locales="L1,abc"。 複数の値を区切るには、区切り文字としてカンマ「,」を使用します。
クラスタ設定では、両方のファブリック インターコネクトに対する管理ポートの IPv4 または IPv6 アドレスを追加します。 この設定では、1 つめのファブリック インターコネクトで障害が発生し、システムが 2 つめのファブリック インターコネクトにフェールオーバーしても、リモート ユーザは引き続きログインできることが保証されます。 ログイン要求はすべて、これらの IP アドレスから送信されます。Cisco UCS Manager により使用されている仮想 IP アドレスではありません。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 |
[Create RADIUS Provider] ダイアログボックスで、次の手順を実行します。
|
ステップ 4 | [Save Changes] をクリックします。 |
単一の RADIUS データベースが関係する実装の場合は、RADIUS をプライマリ認証サービスとして選択します。
複数の RADIUS データベースが関係する実装の場合は、RADIUS プロバイダー グループを設定します。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | 削除する RADIUS プロバイダーを右クリックし、[Delete] を選択します。 |
ステップ 4 | Cisco UCS Manager GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。 |
このタスクで設定するプロパティは、Cisco UCS Manager で定義されたこのタイプのすべてのプロバイダー接続のデフォルト設定です。 個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Cisco UCS でその設定が使用され、デフォルト設定は無視されます。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 |
[Properties] 領域で、 [Timeout] フィールド に値を入力します。 タイムアウトになるまで TACACS+ データベースとの接続が試みられる秒数。 1 ~ 60 秒の整数を入力するか、0(ゼロ)を入力して TACACS+ [General] タブに指定したグローバル タイムアウト値を使用します。 デフォルトは 5 秒です。 |
ステップ 4 | [Save Changes] をクリックします。 |
TACACS+ プロバイダーを作成します。
Cisco UCS Manager では、最大 16 の TACACS+ プロバイダーがサポートされます。
TACACS+ サーバで、次の設定を行います。
cisco-av-pair 属性を作成します。 既存の TACACS+ 属性は使用できません。
cisco-av-pair 名は、TACACS+ プロバイダーの属性 ID を提供する文字列です。
次の構文例は、cisco-av-pair 属性を作成するときに複数のユーザ ロールとロケールを指定する方法を示しています。cisco-av-pair=shell:roles="admin aaa" shell:locales*"L1 abc"。 cisco-av-pair 属性構文でアスタリスク(*)を使用すると、ロケールがオプションとして指定され、同じ認可プロファイルを使用する他のシスコ デバイスで認証の失敗を防ぐことができます。 複数の値を区切るには、区切り文字としてスペースを使用します。
クラスタ設定では、両方のファブリック インターコネクトに対する管理ポートの IPv4 または IPv6 アドレスを追加します。 この設定では、1 つめのファブリック インターコネクトで障害が発生し、システムが 2 つめのファブリック インターコネクトにフェールオーバーしても、リモート ユーザは引き続きログインできることが保証されます。 ログイン要求はすべて、これらの IP アドレスから送信されます。Cisco UCS Manager により使用されている仮想 IP アドレスではありません。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [General] タブの [Actions] 領域で、[Create TACACS+ Provider] をクリックします。 |
ステップ 4 |
[Create TACACS+ Provider] ダイアログボックスで、次の手順を実行します。
|
ステップ 5 | [Save Changes] をクリックします。 |
単一の TACACS+ データベースが関係する実装の場合は、TACACS+ をプライマリ認証サービスとして選択します。
複数の TACACS+ データベースが関係する実装の場合は、TACACS+ プロバイダー グループを設定します。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | 削除する TACACS+ プロバイダーを右クリックし、[Delete] を選択します。 |
ステップ 4 | Cisco UCS Manager GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。 |
次の機能を実装して、Cisco UCS がマルチ認証システムを使用するように設定することができます。
プロバイダー グループは、認証プロセス中に Cisco UCS によって使用されるプロバイダーのセットです。 Cisco UCS Manager では、グループごとに最大 8 個のプロバイダーが許可された、最大 16 個のプロバイダー グループを作成できます。
認証中、プロバイダー グループ内のすべてのプロバイダーが順番に試行されます。 設定されたすべてのサーバが使用できない場合、または到達不能な場合、Cisco UCS Manager は、ローカル ユーザ名とパスワードを使用して自動的にローカル認証方式にフォールバックします。
(注) |
単一の LDAP データベースを使用した認証では、LDAP プロバイダー グループを設定する必要はありません。 |
1 つ以上の LDAP プロバイダーを作成します。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [LDAP Provider Groups] を右クリックし、[Create LDAP Provider Group] を選択します。 |
ステップ 4 |
[Create LDAP Provider Group] ダイアログボックスで、次を実行します。
|
認証ドメインを設定するか、デフォルト認証サービスを選択します。
認証設定からプロバイダー グループを削除します。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [LDAP Provider Groups] を展開します。 |
ステップ 4 | 削除する LDAP プロバイダー グループを右クリックし、[Delete] を選択します。 |
ステップ 5 | Cisco UCS Manager GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。 |
(注) |
単一の RADIUS データベースを使用した認証では、RADIUS プロバイダー グループを設定する必要はありません。 |
1 つ以上の RADIUS プロバイダーを作成します。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [RADIUS Provider Groups] を右クリックし、[Create RADIUS Provider Group] を選択します。 |
ステップ 4 |
[Create RADIUS Provider Group] ダイアログボックスで、次を実行します。
|
認証ドメインを設定するか、デフォルト認証サービスを選択します。
認証設定で使用されているプロバイダー グループは削除できません。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [RADIUS Provider Groups] を展開します。 |
ステップ 4 | 削除する RADIUS プロバイダー グループを右クリックし、[Delete] を選択します。 |
ステップ 5 | Cisco UCS Manager GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。 |
(注) |
単一の TACACS+ データベースを使用した認証では、TACACS+ プロバイダー グループを設定する必要はありません。 |
1 つ以上の TACACS+ プロバイダーを作成します。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [TACACS+ Provider Groups] を右クリックし、[Create TACACS+ Provider Group] を選択します。 |
ステップ 4 |
[Create TACACS+ Provider Group] ダイアログボックスで、次を実行します。
|
認証設定で使用されているプロバイダー グループは削除できません。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [TACACS+ Provider Groups] を展開します。 |
ステップ 4 | 削除する TACACS+ プロバイダー グループを右クリックし、[Delete] を選択します。 |
ステップ 5 | Cisco UCS Manager GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。 |
認証ドメインは、マルチ認証システムを活用するために Cisco UCS Managerによって使用されます。 各認証ドメインは、ログイン中に指定および設定されます。 認証ドメインを指定しないと、デフォルトの認証サービス設定が使用されます。
最大 8 個の認証ドメインを作成できます。 各認証ドメインは、Cisco UCS Manager内のプロバイダー グループと領域に関連付けられています。 プロバイダー グループが指定されていない場合は、領域内のすべてのサーバが使用されます。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 | ||||||||||||||||||||
ステップ 2 | [Admin] タブで、 を展開します。 | ||||||||||||||||||||
ステップ 3 | [Authentication Domains] を右クリックし、[Create a Domain] を選択します。 | ||||||||||||||||||||
ステップ 4 |
[Create a Domain] ダイアログボックスで、次のフィールドに値を入力します。
|
||||||||||||||||||||
ステップ 5 | [OK] をクリックします。 |
システムでリモート認証サービスが使用されている場合は、その認証サービスに対するプロバイダーを作成します。 Cisco UCS を通じたローカル認証のみを使用する場合は、最初にプロバイダーを作成する必要はありません。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 | ||||||||||
ステップ 2 | [Admin] タブで、 を展開します。 | ||||||||||
ステップ 3 | [Native Authentication] をクリックします。 | ||||||||||
ステップ 4 | [Work] ペインの [General] タブをクリックします。 | ||||||||||
ステップ 5 |
[Console Authentication] 領域で、次のフィールドに値を入力します。
|
||||||||||
ステップ 6 | [Save Changes] をクリックします。 |
システムでリモート認証サービスが使用されている場合は、その認証サービスに対するプロバイダーを作成します。 Cisco UCS を通じたローカル認証のみを使用する場合は、最初にプロバイダーを作成する必要はありません。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 | ||||||||||||||||
ステップ 2 | [Admin] タブで、 を展開します。 | ||||||||||||||||
ステップ 3 | [Native Authentication] をクリックします。 | ||||||||||||||||
ステップ 4 | [Work] ペインの [General] タブをクリックします。 | ||||||||||||||||
ステップ 5 |
[Default Authentication] 領域で、次のフィールドに値を入力します。
|
||||||||||||||||
ステップ 6 | [Save Changes] をクリックします。 |
デフォルトでは、Cisco UCS Manager 読み取り専用アクセスのユーザ ロールが設定されていない場合、LDAP、RADIUS、TACACS プロトコルを使用してリモート サーバから Cisco UCS Manager にログインしているすべてのユーザに許可されます。 セキュリティ上の理由から、Cisco UCS Manager で確立されたユーザ ロールに一致するユーザへのアクセスを制限するのが望ましい場合があります。
ユーザ ロールに基づいて、Cisco UCS Manager へのユーザ アクセスを制限しません。 その他のユーザ ロールが Cisco UCS Manager で定義されていない限り、読み取り専用アクセス権がすべてのユーザに付与されます。
これはデフォルトの動作です。
ユーザ ロールに基づいて、Cisco UCS Manager へのユーザ アクセスを制限します。 リモート認証システムにユーザ ロールが割り当てられていない場合、アクセスが拒否されます。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [Native Authentication] をクリックします。 |
ステップ 4 | [Work] ペインの [General] タブをクリックします。 |
ステップ 5 |
[Role Policy for Remote Users] フィールドで、次のいずれかのオプション ボタンをクリックして、ユーザがログインを試行し、リモート認証プロバイダーがユーザ ロールに認証情報を与えない場合に何が起こるかを決定します。 |
ステップ 6 | [Save Changes] をクリックします。 |
目次
- 認証の設定
- 認証サービス
- リモート認証プロバイダーに関する注意事項および推奨事項
- リモート認証プロバイダーのユーザ属性
- 二要素認証
- LDAP グループ ルール
- ネストされた LDAP グループ
- LDAP プロバイダーの設定
- LDAP プロバイダーのプロパティの設定
- LDAP プロバイダーの作成
- LDAP プロバイダーの LDAP グループ ルールの変更
- LDAP プロバイダーの削除
- LDAP グループ マッピング
- LDAP グループ マップの作成
- LDAP グループ マップの削除
- RADIUS プロバイダーの設定
- RADIUS プロバイダーのプロパティの設定
- RADIUS プロバイダーの作成
- RADIUS プロバイダーの削除
- TACACS+ プロバイダーの設定
- TACACS+ プロバイダーのプロパティの設定
- TACACS+ プロバイダーの作成
- TACACS+ プロバイダーの削除
- マルチ認証システムの設定
- マルチ認証システム
- プロバイダー グループ
- LDAP プロバイダー グループの作成
- LDAP プロバイダー グループの削除
- RADIUS プロバイダー グループの作成
- RADIUS プロバイダー グループの削除
- TACACS+ プロバイダー グループの作成
- TACACS+ プロバイダー グループの削除
- 認証ドメイン
- 認証ドメインの作成
- プライマリ認証サービスの選択
- コンソール認証サービスの選択
- デフォルト認証サービスの選択
- リモート ユーザのロール ポリシー
- リモート ユーザのロール ポリシーの設定
この章は、次の内容で構成されています。
- 認証サービス
- リモート認証プロバイダーに関する注意事項および推奨事項
- リモート認証プロバイダーのユーザ属性
- 二要素認証
- LDAP グループ ルール
- ネストされた LDAP グループ
- LDAP プロバイダーの設定
- RADIUS プロバイダーの設定
- TACACS+ プロバイダーの設定
- マルチ認証システムの設定
- プライマリ認証サービスの選択
リモート認証プロバイダーに関する注意事項および推奨事項
システムを、サポートされているリモート認証サービスのいずれかに設定する場合は、そのサービス用のプロバイダーを作成して、Cisco UCS Manager がそのサービスと通信できるようにする必要があります。 また、ユーザ許可に影響する次のガイドラインに留意する必要があります。
リモート認証プロバイダーのユーザ属性
RADIUS および TACACS+ 設定の場合、ユーザが Cisco UCS Manager へのログインに使用する各リモート認証プロバイダー内の Cisco UCS のユーザ属性を設定する必要があります。 このユーザ属性は、各ユーザに割り当てられたロールとロケールを保持します。
(注)
この手順は、LDAP グループ マッピングを使用してロールとロケールを割り当てる LDAP 設定では必要ありません。
ユーザがログインすると、Cisco UCS Manager は次を実行します。
次の表に、Cisco UCS によってサポートされるリモート認証プロバイダーのユーザ属性要件の比較を示します。
表 1 リモート認証プロバイダーによるユーザ属性の比較認証プロバイダー カスタム属性 スキーマの拡張 属性 ID 要件 LDAP
グループ マッピング使用時は不要
グループ マッピング不使用時はオプション
オプション 次のいずれかを選択して実行できます。
シスコの LDAP の実装では、Unicode タイプの属性が必要です。
CiscoAVPair カスタム属性を作成する場合は、属性 ID として 1.3.6.1.4.1.9.287247.1 を使用します
次の項で、サンプル OID を示します。
RADIUS
任意
オプション 次のいずれかを選択して実行できます。
シスコによる RADIUS の実装のベンダー ID は 009 であり、属性のベンダー ID は 001 です。
次の構文例は、cisco-avpair 属性を作成する場合に複数のユーザ ロールとロケールを指定する方法を示しています。shell:roles="admin,aaa" shell:locales="L1,abc"。 複数の値を区切るには、区切り文字としてカンマ「,」を使用します。
TACACS+
必須
必須です。 スキーマを拡張し、cisco-av-pair という名前のカスタム属性を作成する必要があります。
cisco-av-pair 名は、TACACS+ プロバイダーの属性 ID を提供する文字列です。
次の構文例は、cisco-av-pair 属性を作成するときに複数のユーザ ロールとロケールを指定する方法を示しています。cisco-av-pair=shell:roles="admin aaa" shell:locales*"L1 abc"。 cisco-av-pair 属性構文でアスタリスク(*)を使用すると、ロケールがオプションとして指定され、同じ認可プロファイルを使用する他のシスコ デバイスで認証の失敗を防ぐことができます。 複数の値を区切るには、区切り文字としてスペースを使用します。
LDAP ユーザ属性のサンプル OID
カスタム CiscoAVPair 属性のサンプル OID は、次のとおりです。
CN=CiscoAVPair,CN=Schema, CN=Configuration,CN=X objectClass: top objectClass: attributeSchema cn: CiscoAVPair distinguishedName: CN=CiscoAVPair,CN=Schema,CN=Configuration,CN=X instanceType: 0x4 uSNCreated: 26318654 attributeID: 1.3.6.1.4.1.9.287247.1 attributeSyntax: 2.5.5.12 isSingleValued: TRUE showInAdvancedViewOnly: TRUE adminDisplayName: CiscoAVPair adminDescription: UCS User Authorization Field oMSyntax: 64 lDAPDisplayName: CiscoAVPair name: CiscoAVPair objectCategory: CN=Attribute-Schema,CN=Schema,CN=Configuration,CN=X二要素認証
Cisco UCS Manager は、ユーザ名とパスワードの組み合わせによるユーザ ログイン アクションをサポートします。 ユーザには覚えやすいパスワードを設定する人がいますが、そのパスワードはマルウェア、スパイウェア、またはコンピュータ ウイルスに脆弱な可能性があります。 保護されていないネットワークからシステムにリモートからアクセスするユーザや、安全でないサービスを使用しているユーザは、パスワードがスヌーピング ソフトウェアによって侵害されている可能性があります。 フィッシング攻撃の中には、ユーザを操りパスワードを暴露させるウイルスがあります。
ユーザ認証を強化する方法は、ユーザ名とパスワードに加えて第 2 の要素を要求することです。 二要素認証では、3 つの認証要素のうち 2 つが必要になります。 それは、ユーザが知っているものの組み合わせ(たとえばパスワードや PIN、および証明書またはトークンなどのユーザが所有しているもの)を使用します。 二要素認証は、リモート ユーザに対してのみサポートされており、IPMI はサポートしません。
Cisco UCS Manager は、ログイン プロセス中にユーザにワンタイム トークンを生成するトークン サーバを保持する認証アプリケーションを使用して二要素認証を提供します。 パスワードは AAA サーバに保存されるため、ユーザがログインするときは、ユーザ名を入力し、次にパスワード フィールドにトークンとパスワードの組み合わせを入力する必要があります。 リクエストは、トークン サーバに送信されベンダー固有の属性が取得されます。 Cisco UCS Manager は、トークン サーバが AAA サーバ と統合されるように要求し、それがリクエストを AAA サーバに転送できるようにします。 パスワードとトークンは、AAA サーバによって同時に認証されます。 ユーザは、AAA サーバで設定されているものと同じ順序でトークンとパスワード文字列を入力する必要があります。
この機能は、RADIUS または TACACS+ プロバイダー グループを指定認証ドメインに関連付けることと、これらのドメインに対する 二要素認証をイネーブルにすることによってサポートされます。
(注)
二要素認証は、認証レルムが LDAP、local、または none に設定されている場合は、サポートされません。
Web セッションの更新および Web セッションのタイムアウト期限
Web セッションのタイムアウト期限は、アクティビティに関係なく、セッションを維持する最長時間を制御します。 また、Web セッションのタイムアウト期限は、二要素認証を設定する場合はより大きいデフォルト値に設定します。 Web セッションの更新期間が過ぎると、Cisco UCS Manager GUI クライアントは新しいトークンとパスワードの組み合わせを入力するようユーザに促すプロンプトを自動的に生成します。
Web セッションの更新期間は、ユーザの Web セッションの有効期間を制御します。 二要素認証が設定されている場合、ユーザはトークンとパスワードの組み合わせを入力し、Web セッションの更新期間が切れるごとにログインしなければなりません。 ユーザにトークンとパスワードの作り直しと再入力を何度も要求する、セッション タイムアウトの頻発を避けるために、Web セッションの更新間隔は、二要素認証をイネーブルにする場合は初期デフォルト値が大きい値に設定されます。 これにより、リモート ユーザは長時間アクティブ セッションを維持することができます。 Web セッションの更新が非アクティブが原因で期限切れになると、ユーザは新しいトークンを生成し、再度ログインするよう促されます。
LDAP グループ ルール
LDAP グループ ルールは、ユーザ ロールおよびロケールをリモート ユーザに割り当てるときに、Cisco UCS が LDAP グループを使用するかどうかを決定するために使用します。
ネストされた LDAP グループ
Cisco UCS Manager のリリース 2.1(2) 以降では、LDAP グループ マップで定義される他のグループ内にネストされた LDAP グループを検索できます。 この新しい機能を使用すると、 Cisco UCS Manager のグループ マップでサブグループを常に作成する必要がなくなります。
(注)
ネストされた LDAP の検索サポートは Microsoft Active Directory サーバに対してのみサポートされます。 サポートされているバージョンは Microsoft Windows 2003 SP3、Microsoft Windows 2008 R2、および Microsoft Windows 2012 です。
LDAP ネスティング機能を使用して、LDAP グループを他のグループおよびネスト グループのメンバとして追加し、メンバ アカウントを統合してトラフィックの重複を減らすことができます。
デフォルトでは、ユーザ権限は他のグループ内の LDAP グループをネストするときに継承されます。 たとえば、Group_2 のメンバとして Group_1 を作成する場合、Group_1 のユーザは Group_2 のメンバと同じ権限が与えられます。 その結果、Group_1 のメンバであるユーザを検索するときは、Group_1 と Group_2 を別々に検索するのではなく LDAP グループ マップの Group_2 を選択するだけで行うことができます。
LDAP プロバイダーのプロパティの設定
このタスクで設定するプロパティは、Cisco UCS Manager で定義されたこのタイプのすべてのプロバイダー接続のデフォルト設定です。 個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Cisco UCS でその設定が使用され、デフォルト設定は無視されます。
はじめる前に手順Active Directory を LDAP サーバとして使用している場合は、Active Directory サーバで Cisco UCS にバインドするユーザ アカウントを作成します。 このアカウントには、期限切れにならないパスワードを設定します。
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [Properties] 領域の次のフィールドに値を入力します。
名前 説明 [Timeout] フィールド
LDAP データベースへの問い合わせがタイム アウトするまでの秒数。
1 ~ 60 秒の整数を入力します。 デフォルト値は 30 秒です。
このプロパティは必須です。
[Vendor] フィールド
この選択により、LDAP プロバイダーまたはサーバの詳細を提供するベンダーが識別されます。
LDAP プロバイダーが Microsoft Active Directory の場合、[MS-AD] を選択します。
LDAP プロバイダーが Microsoft Active Directory でない場合は、[Open Ldap] を選択します。
デフォルトは [Open Ldap] です。
(注) ベンダー選択が [MS-AD] で、ldap-group-rule がイネーブルかつ再帰検索に設定されている場合、Cisco UCS Manager はネストされた LDAP グループを検索できます。 ネストされた LDAP 検索は Active Directory でのみサポートされます。 サポートされているバージョンは Windows 2003 Sp2、 Windows 2008 R2、および Windows 2012 です。
[Attribute] フィールド
ユーザ ロールとロケールの値を保管する LDAP 属性。 このプロパティは、常に、名前と値のペアで指定されます。 システムは、ユーザ レコードで、この属性名と一致する値を検索します。
LDAP スキーマを拡張しない場合、既存の、使用されていない LDAP 属性を Cisco UCS ロールとスケールに設定できます。 あるいは、CiscoAVPair という名前の属性を、属性 ID 1.3.6.1.4.1.9.287247.1 を指定してリモート認証サービスで作成できます。
[Base DN] フィールド
リモート ユーザがログインして、システムがユーザ名に基づいてユーザの DN を取得しようとするときに、サーバが検索を開始する必要がある場合の、LDAP 階層内の特定の識別名。 ベース DN の長さは、最大 255 文字 + CN= ユーザ名の長さに設定することができます。ユーザ名により、LDAP 認証を使用して Cisco UCS Manager にアクセスしようとするリモート ユーザが識別されます。
このプロパティは必須です。 このタブにベース DN を指定しない場合は、この Cisco UCS ドメインに定義されている各 LDAP プロバイダーの [General] タブに値を指定する必要があります。
[Filter] フィールド
LDAP 検索は、定義したフィルタと一致するユーザ名に制限されます。
このプロパティは必須です。 このタブにフィルタを指定しない場合は、この Cisco UCS ドメインに定義されている各 LDAP プロバイダーの [General] タブに値を指定する必要があります。
(注) ユーザ ログインは LDAP ユーザの userdn が 255 文字を超えると失敗します。
ステップ 4 [Save Changes] をクリックします。
次の作業
LDAP プロバイダーを作成します。
LDAP プロバイダーの作成
はじめる前に手順Active Directory を LDAP サーバとして使用している場合は、Active Directory サーバで Cisco UCS にバインドするユーザ アカウントを作成します。 このアカウントには、期限切れにならないパスワードを設定します。
LDAP グループを設定します。 LDAP グループには、ユーザのロールとロケール情報が含まれています。
Cisco UCS Manager のユーザ ロールとロケール情報を保持する属性をユーザに対して設定します。 この属性について LDAP スキーマを拡張するかどうかを選択できます。 スキーマを拡張しない場合は、既存の LDAP 属性を使用して Cisco UCS ユーザ ロールとロケールを保持します。 スキーマを拡張する場合は、CiscoAVPair 属性などのカスタム属性を作成します。
シスコの LDAP の実装では、Unicode タイプの属性が必要です。
CiscoAVPair カスタム属性を作成する場合は、属性 ID として 1.3.6.1.4.1.9.287247.1 を使用します
クラスタ設定では、両方のファブリック インターコネクトに対する管理ポートの IPv4 または IPv6 アドレスを追加します。 この設定では、1 つめのファブリック インターコネクトで障害が発生し、システムが 2 つめのファブリック インターコネクトにフェールオーバーしても、リモート ユーザは引き続きログインできることが保証されます。 ログイン要求はすべて、これらの IP アドレスから送信されます。Cisco UCS Manager により使用されている仮想 IPv4 または IPv6 アドレスではありません。
セキュアな通信を使用する場合は、LDAP サーバのルート認証局(CA)の証明書が格納されたトラスト ポイントを Cisco UCS Manager で作成します。
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [Work] ペインの [General] タブをクリックします。 ステップ 4 [Actions] エリアで、[Create LDAP Provider] をクリックします。 ステップ 5 ウィザードの [Create LDAP Provider] ページで、次を実行します。
ステップ 6 ウィザードの [LDAP Group Rule] ページで、次を実行します。
次の作業
単一の LDAP データベースが関係する実装の場合は、認証サービスとして LDAP を選択します。
複数の LDAP データベースが関係する実装の場合は、LDAP プロバイダー グループを設定します。
LDAP プロバイダーの LDAP グループ ルールの変更
手順
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [LDAP Providers] を展開し、グループ ルールを変更する LDAP プロバイダーを選択します。 ステップ 4 [Work] ペインの [General] タブをクリックします。 ステップ 5 [LDAP Group Rules] 領域で、次のフィールドに値を入力します。
名前 説明 [Group Authorization] フィールド
Cisco UCS が、ユーザ ロールとロケールを認証してリモート ユーザに割り当てるときに、LDAP グループも検索するかどうか。 次のいずれかになります。
[Disable]:Cisco UCS UCS は LDAP グループにアクセスしません。
[Enable]:Cisco UCS は、この Cisco UCS ドメインにマッピングされたすべての LDAP グループを検索します。 リモート ユーザが検出されると、Cisco UCS は、関連付けられた LDAP グループ マップで、その LDAP グループに定義されたユーザ ロールとロケールを割り当てます。
(注) ロールとロケールの割り当ては累積されます。 ユーザが複数のグループに含まれるか、LDAP 属性に指定されたロールまたはロケールを持つ場合、Cisco UCS はそのユーザを、それらのグループまたは属性のいずれかにマップされているすべてのロールおよびロケールに割り当てます。
[Group Recursion] フィールド
Cisco UCS が、マッピングされたグループとそれらの親グループの両方を検索するかどうか。 次のいずれかになります。
[Non Recursive]:Cisco UCS は、この Cisco UCS ドメインでマッピングされたグループだけを検索します。 ユーザを含むいずれのグループもユーザの認証プロパティを明示的に設定していない場合、Cisco UCS はデフォルトの設定を使用します。
[Recursive]:Cisco UCS はマップされた各グループと、そのすべての親グループに対してユーザの認証プロパティを検索します。 これらのプロパティは累積的であるため、明示的に認証プロパティを設定して Cisco UCS が検出するグループごとに、現在のユーザにこれらの設定が適用されます。 それ以外の場合、デフォルト設定が使用されます。
[Target Attribute] フィールド
[Use Primary Group] フィールド
Cisco UCSが、プライマリ グループを、メンバーシップの検証のために、LDAP グループ マップとして設定できるかどうかを判断するために使用する属性。 このオプションを使用すると、Cisco UCS Manager は、ユーザのプライマリ グループ メンバーシップをダウンロードして確認できます。
ステップ 6 [Save Changes] をクリックします。
LDAP グループ マッピング
LDAP データベースへのアクセスを制限するためにすでに LDAP グループを使用している組織の場合、ログイン中に LDAP ユーザにロールやロケールを割り当てるために、UCSM はグループ メンバーシップ情報を使用できます。 これにより、Cisco UCS Manager が展開されるときに LDAP ユーザ オブジェクトのロールまたはロケール情報を定義する必要がなくなります。
ユーザが Cisco UCS Manager にログインすると、ユーザのロールおよびロケールに関する情報が LDAP グループ マップからプルされます。 ロールとロケールの条件がポリシー情報と一致する場合、アクセスが許可されます。
ロールとロケール定義は Cisco UCS Manager でローカルに設定され、LDAP ディレクトリに対する変更に基づいた自動更新はされません。 LDAP ディレクトリの LDAP グループの削除や名前の変更を行う場合、変更とともに Cisco UCS Manager を更新するのが重要です。
たとえば、特定の場所のサーバ管理者のグループを表す LDAP グループがあるとします。 LDAP グループ マップは、server-profile と server-equipment などのユーザ ロールを含むように設定される場合があります。 特定の場所のサーバ管理者へのアクセスを制限するために、ロケールを特定のサイト名に設定できます。
(注)
Cisco UCS Manager には、すぐに使用可能な多くのユーザ ロールが含まれていますが、ロケールは含まれていません。 LDAP プロバイダー グループをロケールにマッピングするには、カスタム ロケールを作成する必要があります。
LDAP グループ マップの作成
RADIUS プロバイダーのプロパティの設定
手順このタスクで設定するプロパティは、Cisco UCS Manager で定義されたこのタイプのすべてのプロバイダー接続のデフォルト設定です。 個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Cisco UCS でその設定が使用され、デフォルト設定は無視されます。
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [Properties] 領域の次のフィールドに値を入力します。 ステップ 4 [Save Changes] をクリックします。
次の作業
RADIUS プロバイダーを作成します。
RADIUS プロバイダーの作成
はじめる前に手順RADIUS サーバで、次の設定を行います。
Cisco UCS Manager のユーザ ロールとロケール情報を保持する属性をユーザに対して設定します。 この属性について RADIUS スキーマを拡張するかどうかを選択できます。 スキーマを拡張しない場合は、既存の RADIUS 属性を使用して Cisco UCS ユーザ ロールとロケールを保持します。 スキーマを拡張する場合は、cisco-avpair 属性などのカスタム属性を作成します。
シスコによる RADIUS の実装のベンダー ID は 009 であり、属性のベンダー ID は 001 です。
次の構文例は、cisco-avpair 属性を作成する場合に複数のユーザ ロールとロケールを指定する方法を示しています。shell:roles="admin,aaa" shell:locales="L1,abc"。 複数の値を区切るには、区切り文字としてカンマ「,」を使用します。
クラスタ設定では、両方のファブリック インターコネクトに対する管理ポートの IPv4 または IPv6 アドレスを追加します。 この設定では、1 つめのファブリック インターコネクトで障害が発生し、システムが 2 つめのファブリック インターコネクトにフェールオーバーしても、リモート ユーザは引き続きログインできることが保証されます。 ログイン要求はすべて、これらの IP アドレスから送信されます。Cisco UCS Manager により使用されている仮想 IP アドレスではありません。
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [Create RADIUS Provider] ダイアログボックスで、次の手順を実行します。
ステップ 4 [Save Changes] をクリックします。
次の作業
単一の RADIUS データベースが関係する実装の場合は、RADIUS をプライマリ認証サービスとして選択します。
複数の RADIUS データベースが関係する実装の場合は、RADIUS プロバイダー グループを設定します。
TACACS+ プロバイダーのプロパティの設定
手順このタスクで設定するプロパティは、Cisco UCS Manager で定義されたこのタイプのすべてのプロバイダー接続のデフォルト設定です。 個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Cisco UCS でその設定が使用され、デフォルト設定は無視されます。
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [Properties] 領域で、 [Timeout] フィールド に値を入力します。 タイムアウトになるまで TACACS+ データベースとの接続が試みられる秒数。
1 ~ 60 秒の整数を入力するか、0(ゼロ)を入力して TACACS+ [General] タブに指定したグローバル タイムアウト値を使用します。 デフォルトは 5 秒です。
ステップ 4 [Save Changes] をクリックします。
次の作業
TACACS+ プロバイダーを作成します。
TACACS+ プロバイダーの作成
はじめる前に手順TACACS+ サーバで、次の設定を行います。
cisco-av-pair 属性を作成します。 既存の TACACS+ 属性は使用できません。
cisco-av-pair 名は、TACACS+ プロバイダーの属性 ID を提供する文字列です。
次の構文例は、cisco-av-pair 属性を作成するときに複数のユーザ ロールとロケールを指定する方法を示しています。cisco-av-pair=shell:roles="admin aaa" shell:locales*"L1 abc"。 cisco-av-pair 属性構文でアスタリスク(*)を使用すると、ロケールがオプションとして指定され、同じ認可プロファイルを使用する他のシスコ デバイスで認証の失敗を防ぐことができます。 複数の値を区切るには、区切り文字としてスペースを使用します。
クラスタ設定では、両方のファブリック インターコネクトに対する管理ポートの IPv4 または IPv6 アドレスを追加します。 この設定では、1 つめのファブリック インターコネクトで障害が発生し、システムが 2 つめのファブリック インターコネクトにフェールオーバーしても、リモート ユーザは引き続きログインできることが保証されます。 ログイン要求はすべて、これらの IP アドレスから送信されます。Cisco UCS Manager により使用されている仮想 IP アドレスではありません。
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [General] タブの [Actions] 領域で、[Create TACACS+ Provider] をクリックします。 ステップ 4 [Create TACACS+ Provider] ダイアログボックスで、次の手順を実行します。
ステップ 5 [Save Changes] をクリックします。
次の作業
単一の TACACS+ データベースが関係する実装の場合は、TACACS+ をプライマリ認証サービスとして選択します。
複数の TACACS+ データベースが関係する実装の場合は、TACACS+ プロバイダー グループを設定します。
プロバイダー グループ
プロバイダー グループは、認証プロセス中に Cisco UCS によって使用されるプロバイダーのセットです。 Cisco UCS Manager では、グループごとに最大 8 個のプロバイダーが許可された、最大 16 個のプロバイダー グループを作成できます。
認証中、プロバイダー グループ内のすべてのプロバイダーが順番に試行されます。 設定されたすべてのサーバが使用できない場合、または到達不能な場合、Cisco UCS Manager は、ローカル ユーザ名とパスワードを使用して自動的にローカル認証方式にフォールバックします。
LDAP プロバイダー グループの作成
手順LDAP プロバイダー グループを作成すると、複数の LDAP データベースを使用して認証できます。
(注)
単一の LDAP データベースを使用した認証では、LDAP プロバイダー グループを設定する必要はありません。
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [LDAP Provider Groups] を右クリックし、[Create LDAP Provider Group] を選択します。 ステップ 4 [Create LDAP Provider Group] ダイアログボックスで、次を実行します。
次の作業
認証ドメインを設定するか、デフォルト認証サービスを選択します。
RADIUS プロバイダー グループの作成
手順RADIUS プロバイダー グループを作成すると、複数の RADIUS データベースを使用して認証できます。
(注)
単一の RADIUS データベースを使用した認証では、RADIUS プロバイダー グループを設定する必要はありません。
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [RADIUS Provider Groups] を右クリックし、[Create RADIUS Provider Group] を選択します。 ステップ 4 [Create RADIUS Provider Group] ダイアログボックスで、次を実行します。
次の作業
認証ドメインを設定するか、デフォルト認証サービスを選択します。
TACACS+ プロバイダー グループの作成
手順TACACS+ プロバイダー グループを作成すると、複数の TACACS+ データベースを使用して認証できます。
(注)
単一の TACACS+ データベースを使用した認証では、TACACS+ プロバイダー グループを設定する必要はありません。
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [TACACS+ Provider Groups] を右クリックし、[Create TACACS+ Provider Group] を選択します。 ステップ 4 [Create TACACS+ Provider Group] ダイアログボックスで、次を実行します。
認証ドメイン
認証ドメインは、マルチ認証システムを活用するために Cisco UCS Managerによって使用されます。 各認証ドメインは、ログイン中に指定および設定されます。 認証ドメインを指定しないと、デフォルトの認証サービス設定が使用されます。
最大 8 個の認証ドメインを作成できます。 各認証ドメインは、Cisco UCS Manager内のプロバイダー グループと領域に関連付けられています。 プロバイダー グループが指定されていない場合は、領域内のすべてのサーバが使用されます。
認証ドメインの作成
手順
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [Authentication Domains] を右クリックし、[Create a Domain] を選択します。 ステップ 4 [Create a Domain] ダイアログボックスで、次のフィールドに値を入力します。
名前 説明 この名前には、1 ~ 16 文字の英数字を使用できます。 -(ハイフン)、_(アンダースコア)、:(コロン)、および . (ピリオド)は使用できますが、それ以外の特殊文字とスペースは使用できません。また、オブジェクトが保存された後で、この名前を変更することはできません。
(注) リモート認証プロトコルを使用するシステムの場合、認証ドメイン名はユーザ名の一部と見なされ、ローカルに作成されたユーザ名の 32 文字の制限に対して考慮されます。 Cisco UCS はフォーマットに 5 文字を挿入するため、ドメイン名とユーザ名を合わせた合計が 27 文字を超えると、認証は失敗します。
Web クライアントが Cisco UCS Manager に接続すると、Web セッションをアクティブに保つには、クライアントが Cisco UCS Manager に更新要求を送信する必要があります。 このオプションは、このドメインのユーザについてリフレッシュ要求間に許容される最大時間を指定します。
この時間制限を超えると、Cisco UCS Manager は Web セッションを非アクティブであると見なしますが、セッションの終了は行いません。
60 ~ 172800 の整数を指定します。 デフォルトは 600 秒です。
(注) [Web Session Refresh Period] に設定された秒数は、[Web Session Timeout] に設定された秒数未満である必要があります。 [Web Session Refresh Period] に [Web Session Timeout] と同じ値を設定しないでください。
Cisco UCS Manager が Web セッションを終了したと見なすまでに、最後の更新要求の後、経過できる最大時間。 この時間制限を超えた場合、Cisco UCS Manager は自動的に Web セッションを終了します。
このドメインのユーザに適用される認証プロトコル。 次のいずれかになります。
リモート ログイン中にユーザを認証するために使用するデフォルト プロバイダー グループ。
(注) [Provider Group] ドロップダウン リストは、ユーザを認証する方法として [Ldap]、[Radius]、または [Tacacs] を選択した場合に表示されます。
[Two Factor Authentication] は、[Realm] が [Radius] または [Tacacs] に設定されている場合にのみ使用できます。 このチェックボックスを選択すると、Cisco UCS Manager と KVM launch manager は、アカウントが RADIUS または TACACS サーバによって認証されるユーザにトークンとパスワードを入力してログインするように求めます。 [Web Session Refresh Period] の期限が切れると、ユーザはセッションを続行するために新しいトークンを作成し、そのトークンとパスワードを入力する必要があります。
ステップ 5 [OK] をクリックします。
コンソール認証サービスの選択
はじめる前に手順システムでリモート認証サービスが使用されている場合は、その認証サービスに対するプロバイダーを作成します。 Cisco UCS を通じたローカル認証のみを使用する場合は、最初にプロバイダーを作成する必要はありません。
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [Native Authentication] をクリックします。 ステップ 4 [Work] ペインの [General] タブをクリックします。 ステップ 5 [Console Authentication] 領域で、次のフィールドに値を入力します。
名前 説明 [Realm] フィールド
コンソールにログインするユーザが認証される方法。 次のいずれかになります。
[Local]:ユーザ アカウントはこの Cisco UCS ドメインでローカルで定義する必要があります。
[Radius]:ユーザは、この Cisco UCS ドメインに指定された RADIUS サーバで定義する必要があります。
[Tacacs]:ユーザは、この Cisco UCS ドメインに指定された TACACS+ サーバで定義する必要があります。
[Ldap]:ユーザは、この Cisco UCS ドメインに指定された LDAP サーバで定義する必要があります。
[None]:ユーザ アカウントがこの Cisco UCS ドメインに対してローカルである場合、ユーザがコンソールにログインするときにパスワードは必要ありません。
[Provider Group] ドロップダウン リスト コンソールにログインするユーザを認証する際に使用するプロバイダー グループ。
(注) [Provider Group] ドロップダウン リストは、ユーザを認証する方法として [Ldap]、[Radius]、または [Tacacs] を選択した場合に表示されます。
[Two-factor authentication] は、[Realm] が [Radius] または [Tacacs] に設定されている場合にのみ使用できます。 このチェックボックスを選択すると、コンソールは、アカウントが RADIUS または TACACS サーバによって認証されるユーザにトークンとパスワードを入力してログインするように求めます。
ステップ 6 [Save Changes] をクリックします。
デフォルト認証サービスの選択
はじめる前に手順システムでリモート認証サービスが使用されている場合は、その認証サービスに対するプロバイダーを作成します。 Cisco UCS を通じたローカル認証のみを使用する場合は、最初にプロバイダーを作成する必要はありません。
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [Native Authentication] をクリックします。 ステップ 4 [Work] ペインの [General] タブをクリックします。 ステップ 5 [Default Authentication] 領域で、次のフィールドに値を入力します。
名前 説明 [Realm] ドロップダウン リスト
リモート ログイン中にユーザが認証されるデフォルトの方法。 次のいずれかになります。
[Local]:ユーザ アカウントはこの Cisco UCS ドメインでローカルで定義する必要があります。
[Radius]:ユーザ アカウントは、この Cisco UCS ドメインに指定された RADIUS サーバで定義する必要があります。
[Tacacs]:ユーザ アカウントは、この Cisco UCS ドメインに指定された TACACS+ サーバで定義する必要があります。
[Ldap]:ユーザ アカウントは、この Cisco UCS ドメインに指定された LDAP サーバで定義する必要があります。
[None]:ユーザ アカウントがこの Cisco UCS ドメインに対してローカルである場合、ユーザがリモートでログインするときにパスワードは必要ありません。
[Provider Group] ドロップダウン リスト リモート ログイン中にユーザを認証するために使用するデフォルト プロバイダー グループ。
(注) [Provider Group] ドロップダウンは、ユーザを認証する方法として [Ldap]、[Radius]、または [Tacacs] を選択した場合に表示されます。
[Web Session Refresh Period (sec)] フィールド
Web クライアントが Cisco UCS Manager に接続すると、Web セッションをアクティブに保つには、クライアントが Cisco UCS Manager に更新要求を送信する必要があります。 このオプションは、このドメインのユーザについてリフレッシュ要求間に許容される最大時間を指定します。
この時間制限を超えると、Cisco UCS Manager は Web セッションを非アクティブであると見なしますが、セッションの終了は行いません。
60 ~ 172800 の整数を指定します。 デフォルトは 600 秒です。
[Web Session Timeout (sec)] フィールド
Cisco UCS Manager が Web セッションを終了したと見なすまでに、最後の更新要求の後、経過できる最大時間。 この時間制限を超えた場合、Cisco UCS Manager は自動的に Web セッションを終了します。
60 ~ 172800 の整数を指定します。 デフォルトは 7200 秒です。
[Two Factor Authentication] チェックボックス
[Two Factor Authentication] は、[Realm] が [Radius] または [Tacacs] に設定されている場合にのみ使用できます。 このチェックボックスを選択すると、Cisco UCS Manager と KVM launch manager は、アカウントが RADIUS または TACACS サーバによって認証されるユーザにトークンとパスワードを入力してログインするように求めます。 [Web Session Refresh Period] の期限が切れると、ユーザはセッションを続行するために新しいトークンを作成し、そのトークンとパスワードを入力する必要があります。
(注) 2 つの要素認証をイネーブルにし、設定を保存すると、デフォルトの [Web Session Refresh Period (sec)] フィールドが 7200 に変更され、デフォルトの [Web Session Timeout (sec)] フィールドが 8000 に変更されます。
ステップ 6 [Save Changes] をクリックします。
リモート ユーザのロール ポリシー
デフォルトでは、Cisco UCS Manager 読み取り専用アクセスのユーザ ロールが設定されていない場合、LDAP、RADIUS、TACACS プロトコルを使用してリモート サーバから Cisco UCS Manager にログインしているすべてのユーザに許可されます。 セキュリティ上の理由から、Cisco UCS Manager で確立されたユーザ ロールに一致するユーザへのアクセスを制限するのが望ましい場合があります。
リモート ユーザのロール ポリシーは、次の方法で設定できます。
- assign-default-role
ユーザ ロールに基づいて、Cisco UCS Manager へのユーザ アクセスを制限しません。 その他のユーザ ロールが Cisco UCS Manager で定義されていない限り、読み取り専用アクセス権がすべてのユーザに付与されます。
これはデフォルトの動作です。
- no-login
ユーザ ロールに基づいて、Cisco UCS Manager へのユーザ アクセスを制限します。 リモート認証システムにユーザ ロールが割り当てられていない場合、アクセスが拒否されます。
リモート ユーザのロール ポリシーの設定
手順
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [Native Authentication] をクリックします。 ステップ 4 [Work] ペインの [General] タブをクリックします。 ステップ 5 [Role Policy for Remote Users] フィールドで、次のいずれかのオプション ボタンをクリックして、ユーザがログインを試行し、リモート認証プロバイダーがユーザ ロールに認証情報を与えない場合に何が起こるかを決定します。
ステップ 6 [Save Changes] をクリックします。