この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Cisco UCS では、ユーザ ログインを認証するための次の方法をサポートしています。
システムを、サポートされているリモート認証サービスのいずれかに設定する場合は、そのサービス用のプロバイダーを作成して、Cisco UCS Manager がそのシステムと通信できるようにする必要があります。ユーザ認証に影響する注意事項は次のとおりです。
ユーザ アカウントは、Cisco UCS Manager にローカルに存在するか、またはリモート認証サーバに存在することができます。
リモート認証サービスを介してログインしているユーザの一時的なセッションは、Cisco UCS Manager GUIと Cisco UCS Manager CLIで表示できます。
リモート認証サーバでユーザ アカウントを作成する場合は、ユーザが Cisco UCS Manager で作業するために必要なロールをそれらのアカウントに含めること、およびそれらのロールの名前を Cisco UCS Manager で使用される名前と一致させることが必要です。ロール ポリシーによっては、ユーザがログインできない場合や読み取り専用権限しか付与されない場合があります。
RADIUS および TACACS+ 構成では、ユーザが Cisco UCS Manager へのログインに使用する各リモート認証プロバイダーに Cisco UCS 用のユーザ属性を設定する必要があります。このユーザ属性には、各ユーザに割り当てられたロールとロケールが含まれています。
(注) | この手順は、LDAP グループ マッピングを使用してロールとロケールを割り当てる LDAP 設定では必要ありません。 |
ユーザがログインすると、Cisco UCS Manager は次を実行します。
カスタム CiscoAVPair 属性のサンプル OID は、次のとおりです。
CN=CiscoAVPair,CN=Schema, CN=Configuration,CN=X objectClass: top objectClass: attributeSchema cn: CiscoAVPair distinguishedName: CN=CiscoAVPair,CN=Schema,CN=Configuration,CN=X instanceType: 0x4 uSNCreated: 26318654 attributeID: 1.3.6.1.4.1.9.287247.1 attributeSyntax: 2.5.5.12 isSingleValued: TRUE showInAdvancedViewOnly: TRUE adminDisplayName: CiscoAVPair adminDescription: UCS User Authorization Field oMSyntax: 64 lDAPDisplayName: CiscoAVPair name: CiscoAVPair objectCategory: CN=Attribute-Schema,CN=Schema,CN=Configuration,CN=X
Cisco UCS Manager では、リモート ユーザのログインに二要素認証を使用して、アカウントのログインのセキュリティ レベルを高めています。二要素認証のログインでは、パスワード フィールドでユーザ名、トークン、パスワードの組み合わせが必要です。PIN、証明書、またはトークンを指定できます。
二要素認証では、認証アプリケーションを使用します。このアプリケーションはトークン サーバを保持して、ログイン プロセス中にユーザ用のワンタイム トークンを生成し、パスワードを AAA サーバに保存します。ベンダー固有の属性を取得するために、リクエストがトークン サーバに送信されます。Cisco UCS Manager は、トークン サーバがリクエストを AAA サーバに転送できるように、トークン サーバを AAA サーバと統合することを要求します。パスワードとトークンは、AAA サーバによって同時に検証されます。ユーザは、AAA サーバで設定されているのと同じ順序で、トークンとパスワードを入力する必要があります。
二要素認証は、RADIUS または TACACS+ プロバイダー グループを指定認証ドメインに関連付け、それらのドメインで二要素認証を有効にすることによってサポートされます。二要素認証では IPM をサポートしておらず、また認証レルムが LDAP、local、または none に設定されている場合はサポートされません。
[Web Session Refresh Period] は、Cisco UCS Manager GUI の Web セッションに対する更新要求間隔に許容される最大時間です。[Web Session Timeout] は、最後の更新要求後から Cisco UCS Manager GUI の Web セッションが非アクティブになるまでの最大経過時間です。
[Web Session Refresh Period] を 60 秒より長く、最大で 172800 秒まで長くすると、トークンとパスワードを繰り返し生成および再入力する必要があるセッション タイムアウトが頻繁に起きるのを避けることができます。デフォルト値は、二要素認証がイネーブルの場合は 7200 秒、二要素認証がイネーブルでない場合は 600 秒です。
[Web Session Timeout Period] には 300 から 172800 の間の値を指定できます。デフォルト値は、二要素認証がイネーブルの場合は 8000 秒、二要素認証がイネーブルでない場合は 7200 秒です。
LDAP プロバイダーとグループ
LDAP グループを他のグループおよびネスト グループのメンバーとして追加し、メンバー アカウントを統合してトラフィックの重複を減らすことができます。Cisco UCS Manager のリリース 2.1(2) 以降では、LDAP グループ マップで定義された他のグループ内にネストされた LDAP グループを検索できます。
(注) | ネストされた LDAP の検索サポートは Microsoft Active Directory サーバに対してのみサポートされます。サポートされているバージョンは Microsoft Windows 2003 SP3、Microsoft Windows 2008 R2、および Microsoft Windows 2012 です。 |
デフォルトでは、LDAP グループを別のグループ内にネストするときにユーザ権限が継承されます。たとえば、Group_2 のメンバーとして Group_1 を作成する場合、Group_1 のユーザは Group_2 のメンバーと同じ権限が与えられます。その結果、Group_1 のメンバーであるユーザを検索するときは、LDAP グループ マップで Group_2 だけを選択します。Group_1 と Group_2 を別々に検索する必要はありません。
Cisco UCS Manager のグループ マップでサブグループを常に作成する必要がなくなります。
LDAP グループ ルールによって、ユーザ ロールおよびロケールをリモート ユーザに割り当てるときに Cisco UCS が LDAP グループを使用するかどうかが決まります。
このタスクで設定するプロパティは、Cisco UCS Manager で定義されたこのタイプのすべてのプロバイダー接続のデフォルト設定です。個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Cisco UCS でその設定が使用され、デフォルト設定は無視されます。
Active Directory を LDAP サーバとして使用している場合は、Active Directory サーバで Cisco UCS にバインドするユーザ アカウントを作成します。このアカウントには、期限切れにならないパスワードを設定します。
LDAP プロバイダーを作成します。
Cisco UCS Manager では、最大 16 の LDAP プロバイダーがサポートされます。
Active Directory を LDAP サーバとして使用している場合は、Active Directory サーバで Cisco UCS にバインドするユーザ アカウントを作成します。このアカウントには、期限切れにならないパスワードを設定します。
LDAP グループを設定します。LDAP グループには、ユーザのロールとロケール情報が含まれています。
Cisco UCS Manager のユーザ ロールとロケール情報を保持する属性をユーザに対して設定します。この属性について LDAP スキーマを拡張するかどうかを選択できます。スキーマを拡張しない場合は、既存の LDAP 属性を使用して Cisco UCS ユーザ ロールとロケールを保持します。スキーマを拡張する場合は、CiscoAVPair 属性などのカスタム属性を作成します。
シスコの LDAP の実装では、Unicode タイプの属性が必要です。
CiscoAVPair カスタム属性を作成する場合は、属性 ID として 1.3.6.1.4.1.9.287247.1 を使用します
クラスタ設定では、両方のファブリック インターコネクトに対する管理ポートの IPv4 または IPv6 アドレスを追加します。この設定では、1 つめのファブリック インターコネクトで障害が発生し、システムが 2 つめのファブリック インターコネクトにフェールオーバーしても、リモート ユーザは引き続きログインできることが保証されます。ログイン要求はすべて、これらの IP アドレスから送信されます。Cisco UCS Manager により使用されている仮想 IPv4 または IPv6 アドレスではありません。
セキュアな通信を使用する場合は、LDAP サーバのルート認証局(CA)の証明書が格納されたトラスト ポイントを Cisco UCS Manager で作成します。
特殊文字が含まれる LDAP リモート ユーザ名では、バージョン 2.2(3a) 以降を実行しているシステムにログインできません。ユーザがログインできない理由は、Nexus OS では特殊文字 !、%、^ をユーザ名に対してサポートしていないという制限があるためです。
単一の LDAP データベースが関係する実装の場合は、認証サービスとして LDAP を選択します。
複数の LDAP データベースが関係する実装の場合は、LDAP プロバイダー グループを設定します。
ステップ 1 | [Navigation] ペインで [Admin] をクリックします。 | ||||||||||||
ステップ 2 | の順に展開します。 | ||||||||||||
ステップ 3 | [LDAP Providers] を展開し、グループ ルールを変更する LDAP プロバイダーを選択します。 | ||||||||||||
ステップ 4 | [Work] ペインで、[General] タブをクリックします。 | ||||||||||||
ステップ 5 | [LDAP Group Rules] 領域で、次のフィールドに値を入力します。
| ||||||||||||
ステップ 6 | [Save Changes] をクリックします。 |
LDAP グループ マッピングにより、LDAP ユーザ オブジェクトのロールまたはロケール情報を定義する必要がなくなります。LDAP データベースへのアクセスを制限する LDAP グループを使用している組織にログインする際、UCSM はグループ メンバーシップ情報を使用してロールとロケールを LDAP ユーザに割り当てます。
ユーザが Cisco UCS Manager にログインする際、LDAP グループ マップはユーザのロールとロケールに関する情報を取り出します。ロールとロケールの基準がポリシー情報と一致する場合は、アクセスが許可されます。Cisco UCS Manager は、リリース バージョンに応じて最大 28、128、または 160 の LDAP グループ マップをサポートします。
(注) | Cisco UCS Manager リリース 3.1(1) は最大 128 の LDAP グループ マップをサポートし、リリース 3.1(2) 以降は最大 160 の LDAP グループ マップをサポートします。 |
Cisco UCS Manager でローカルに設定したロールとロケール定義に対しては、LDAP ディレクトリに対する変更に基づいた自動更新は行われません。LDAP ディレクトリ内の LDAP グループの削除や名前変更を行う場合は、その変更に合わせて Cisco UCS Manager も更新する必要があります。
(注) | Cisco UCS Manager にはすぐに使用できるユーザ ロールが含まれていますが、ロケールは含まれていません。LDAP プロバイダー グループをロケールにマッピングするには、カスタム ロケールを作成する必要があります。 |
ステップ 1 | [Navigation] ペインで [Admin] をクリックします。 | ||
ステップ 2 | の順に展開します。 | ||
ステップ 3 | [LDAP Group Maps] を右クリックし、[Create LDAP Group Map] を選択します。 | ||
ステップ 4 | [Create LDAP Group Map] ダイアログボックスで、必要に応じてすべての LDAP グループ マップ情報を指定します。
|
LDAP グループ ルールを設定します。
RADIUS プロバイダー
このタスクで設定するプロパティは、Cisco UCS Manager で定義されたこのタイプのすべてのプロバイダー接続のデフォルト設定です。個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Cisco UCS でその設定が使用され、デフォルト設定は無視されます。
RADIUS プロバイダーを作成します。
Cisco UCS Manager では、最大 16 の RADIUS プロバイダーがサポートされます。
RADIUS サーバで、次の設定を行います。
Cisco UCS Manager のユーザ ロールとロケール情報を保持する属性をユーザに対して設定します。この属性について RADIUS スキーマを拡張するかどうかを選択できます。スキーマを拡張しない場合は、既存の RADIUS 属性を使用して Cisco UCS ユーザ ロールとロケールを保持します。スキーマを拡張する場合は、cisco-avpair 属性などのカスタム属性を作成します。
シスコによる RADIUS の実装のベンダー ID は 009 であり、属性のベンダー ID は 001 です。
次の構文例は、cisco-avpair 属性を作成する場合に複数のユーザ ロールとロケールを指定する方法を示しています。shell:roles="admin,aaa" shell:locales="L1,abc"。複数の値を区切るには、区切り文字としてカンマ「,」を使用します。
クラスタ設定では、両方のファブリック インターコネクトに対する管理ポートの IPv4 または IPv6 アドレスを追加します。この設定では、1 つめのファブリック インターコネクトで障害が発生し、システムが 2 つめのファブリック インターコネクトにフェールオーバーしても、リモート ユーザは引き続きログインできることが保証されます。ログイン要求はすべて、これらの IP アドレスから送信されます。Cisco UCS Manager により使用されている仮想 IP アドレスではありません。
単一の RADIUS データベースが関係する実装の場合は、RADIUS をプライマリ認証サービスとして選択します。
複数の RADIUS データベースが関係する実装の場合は、RADIUS プロバイダー グループを設定します。
TACACS+ プロバイダー
(注) | このタスクで設定するプロパティは、Cisco UCS Manager で定義されたこのタイプのすべてのプロバイダー接続のデフォルト設定です。個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Cisco UCS でその設定が使用され、デフォルト設定は無視されます。 |
TACACS+ プロバイダーを作成します。
Cisco UCS Manager では、最大 16 の TACACS+ プロバイダーがサポートされます。
TACACS+ サーバで、次の設定を行います。
cisco-av-pair 属性を作成します。既存の TACACS+ 属性は使用できません。
cisco-av-pair 名は、TACACS+ プロバイダーの属性 ID を提供する文字列です。
次の構文例は、cisco-av-pair 属性を作成するときに複数のユーザ ロールとロケールを指定する方法を示しています。cisco-av-pair=shell:roles="admin aaa" shell:locales*"L1 abc"。cisco-av-pair 属性構文でアスタリスク(*)を使用すると、ロケールがオプションとして指定され、同じ認可プロファイルを使用する他のシスコ デバイスで認証の失敗を防ぐことができます。複数の値を区切るには、区切り文字としてスペースを使用します。
クラスタ設定では、両方のファブリック インターコネクトに対する管理ポートの IPv4 または IPv6 アドレスを追加します。この設定では、1 つめのファブリック インターコネクトで障害が発生し、システムが 2 つめのファブリック インターコネクトにフェールオーバーしても、リモート ユーザは引き続きログインできることが保証されます。ログイン要求はすべて、これらの IP アドレスから送信されます。Cisco UCS Manager により使用されている仮想 IP アドレスではありません。
単一の TACACS+ データベースが関係する実装の場合は、TACACS+ をプライマリ認証サービスとして選択します。
複数の TACACS+ データベースが関係する実装の場合は、TACACS+ プロバイダー グループを設定します。
プライマリ認証サービス
システムでリモート認証サービスが使用されている場合は、その認証サービスに対するプロバイダーを作成します。Cisco UCS を通じたローカル認証のみを使用する場合は、最初にプロバイダーを作成する必要はありません。
ステップ 1 | [Navigation] ペインで [Admin] をクリックします。 | ||||||||||
ステップ 2 | の順に展開します。 | ||||||||||
ステップ 3 | [Native Authentication] をクリックします。 | ||||||||||
ステップ 4 | [Work] ペインで、[General] タブをクリックします。 | ||||||||||
ステップ 5 | [Console Authentication] 領域で、次のフィールドに入力します。
| ||||||||||
ステップ 6 | [Save Changes] をクリックします。 |
システムでリモート認証サービスが使用されている場合は、その認証サービスに対するプロバイダーを作成します。Cisco UCS を通じたローカル認証のみを使用する場合は、最初にプロバイダーを作成する必要はありません。
ステップ 1 | [Navigation] ペインで [Admin] をクリックします。 | ||||||||||||||||
ステップ 2 | の順に展開します。 | ||||||||||||||||
ステップ 3 | [Native Authentication] をクリックします。 | ||||||||||||||||
ステップ 4 | [Work] ペインで、[General] タブをクリックします。 | ||||||||||||||||
ステップ 5 | [Default Authentication] 領域で、次のフィールドに入力します。
| ||||||||||||||||
ステップ 6 | [Save Changes] をクリックします。 |
デフォルトでは、Cisco UCS Manager でユーザ ロールが設定されていない場合は、LDAP、RADIUS、または TACACS プロトコルを使用してリモート サーバから Cisco UCS Manager にログインしているすべてのユーザに読み取り専用アクセス権が付与されます。セキュリティ上の理由から、Cisco UCS Manager で確立されたユーザ ロールに一致するユーザへのアクセスを制限するのが望ましい場合があります。
ユーザ ロールに基づいて、Cisco UCS Manager へのユーザ アクセスを制限しません。その他のユーザ ロールが Cisco UCS Manager で定義されていない限り、読み取り専用アクセス権がすべてのユーザに付与されます。
これはデフォルトの動作です。
ユーザ ロールに基づいて、Cisco UCS Manager へのユーザ アクセスを制限します。リモート認証システムにユーザ ロールが割り当てられていない場合、アクセスは拒否されます。
ステップ 1 | [Navigation] ペインで [Admin] をクリックします。 |
ステップ 2 | の順に展開します。 |
ステップ 3 | [Native Authentication] をクリックします。 |
ステップ 4 | [Work] ペインで、[General] タブをクリックします。 |
ステップ 5 | [Role Policy for Remote Users] フィールド では、ユーザがログインを試行した際に、リモート認証プロバイダーが認証情報を伴うユーザ ロールを提供しない場合にどのように処理するかを決定するために、次のオプション ボタンのいずれかをクリックします。 |
ステップ 6 | [Save Changes] をクリックします。 |
マルチ認証サービスの設定
次の機能を実装して、Cisco UCS が複数の認証サービスを使用するよう設定することができます。
プロバイダー グループは、認証プロセス中に Cisco UCS がアクセスするプロバイダーのセットです。プロバイダー グループ内のすべてのプロバイダーが、ユーザの認証に Cisco UCS プロバイダーが使用する順にアクセスされます。設定されたすべてのサーバが使用できない場合、または到達不能な場合、Cisco UCS Manager は、ローカル ユーザ名とパスワードを使用して自動的にローカル認証方式にフォールバックします。
Cisco UCS Manager では、最大 16 のプロバイダー グループを作成でき、グループごとに最大 8 つのプロバイダーを含めることができます。
LDAP プロバイダー グループを作成すると、複数の LDAP データベースを使用して認証できます。
1 つ以上の LDAP プロバイダーを作成します。
認証ドメインを設定するか、デフォルト認証サービスを選択します。
認証設定からプロバイダー グループを削除します。
RADIUS プロバイダー グループを作成すると、複数の RADIUS データベースを使用して認証できます。
1 つ以上の RADIUS プロバイダーを作成します。
認証ドメインを設定するか、デフォルト認証サービスを選択します。
別の認証設定がプロバイダー グループを使用している場合、そのプロバイダー グループを削除することはできません。
TACACS+ プロバイダー グループを作成すると、複数の TACACS+ データベースを使用して認証できます。
1 つ以上の TACACS+ プロバイダーを作成します。
別の認証設定がプロバイダー グループを使用している場合、そのプロバイダー グループを削除することはできません。
Cisco UCS Manager では、複数の認証システムを活用するために認証ドメインを使用しています。各認証ドメインはログイン時に指定および設定できます。これを行わない場合、Cisco UCS Manager はデフォルトの認証サービス設定を使用します。
最大 8 個の認証ドメインを作成できます。各認証ドメインは、Cisco UCS Manager 内のプロバイダー グループと領域に関連付けられています。プロバイダー グループを指定しないと、Cisco UCS Manager では領域内のすべてのサーバを使用します。
ステップ 1 | [Navigation] ペインで [Admin] をクリックします。 | ||||||||||||||||||||
ステップ 2 | の順に展開します。 | ||||||||||||||||||||
ステップ 3 | [Authentication Domains] を右クリックし、[Create a Domain] を選択します。 | ||||||||||||||||||||
ステップ 4 | [Create a Domain] ダイアログボックスで、次のフィールドに値を入力します。
| ||||||||||||||||||||
ステップ 5 | [OK] をクリックします。 |