リモート認証

認証サービス

Cisco UCS では、ユーザ ログインを認証するために、次の 2 種類の方法がサポートされています。

  • ローカル ユーザ認証:ローカルに存在するユーザ アカウントを使用します。 Cisco UCS Manager

  • リモート ユーザ認証:次のいずれかのプロトコルを使用します。

    • LDAP

    • RADIUS

    • TACACS+

リモート認証プロバイダーに関する注意事項および推奨事項

サポートされているリモート認証サービスのいずれかを使用するようにシステムが構成されている場合、該当するサービス用のプロバイダーを作成して、Cisco UCS Managerがそのシステムと通信できるようにする必要があります。次のガイドラインは、ユーザ許可に影響します。

リモート認証サービスのユーザ アカウント

ユーザ アカウントは、Cisco UCS Managerにローカルに設定することも、リモート認証サーバに設定することもできます。

リモート認証サービスを介してログインしているユーザの一時的なセッションを、Cisco UCS Manager GUIまたは Cisco UCS Manager CLI で表示できます。

リモート認証サービスのユーザ ロール

リモート認証サーバでユーザ アカウントを作成する場合は、ユーザが Cisco UCS Manager で作業するために必要なロールをそれらのアカウントに含めること、およびそれらのロールの名前を Cisco UCS Manager で使用される名前と一致させることが必要です。ロール ポリシーに基づき、ユーザにはログインが許可されないこともあれば、読み取り専用の権限だけが付与されることもあります。

リモート認証プロバイダーのユーザ属性

RADIUS および TACACS+ 構成では、ユーザが Cisco UCS Manager へのログインに使用する各リモート認証プロバイダーに Cisco UCS 用のユーザ属性を構成する必要があります。このユーザ属性には、各ユーザに割り当てられたロールとロケールが含まれています。


(注)  

この手順は、LDAP グループ マッピングを使用してロールとロケールを割り当てる LDAP 構成では必要ありません。

ユーザがログインすると、Cisco UCS Managerは次を実行します。

  1. リモート認証サービスに問い合わせます。

  2. ユーザを検証します。

  3. ユーザが検証されると、そのユーザに割り当てられているロールとロケールをチェックします。

次の表に、Cisco UCSでサポートされているリモート認証プロバイダーのユーザ属性要件の比較を示します。

表 1. リモート認証プロバイダーによるユーザ属性の比較
認証プロバイダー カスタム属性 スキーマの拡張 属性 ID 要件

LDAP

グループ マッピング使用時は不要

グループ マッピング不使用時は任意

オプション。次のいずれかを実行するように選択できます。

  • LDAP スキーマを拡張せず、要件を満たす既存の未使用の属性を設定する。

  • LDAP スキーマを拡張して、CiscoAVPair などの一意の名前でカスタム属性を作成する。

シスコの LDAP の実装では、Unicode タイプの属性が必要です。

CiscoAVPair カスタム属性を作成する場合は、属性 ID として 1.3.6.1.4.1.9.287247.1 を使用します

次の項に、サンプル OID が記載されています。

RADIUS

オプション

オプション。次のいずれかを実行するように選択できます。

  • RADIUS スキーマを拡張せず、要件を満たす既存の未使用属性を使用する。

  • RADIUS スキーマを拡張して、cisco-avpair などの一意の名前でカスタム属性を作成する。

シスコによる RADIUS の実装のベンダー ID は 009 であり、属性のベンダー ID は 001 です。

次の構文例は、cisco-avpair 属性を作成する場合に複数のユーザ ロールとロケールを指定する方法を示しています。shell:roles="admin,aaa" shell:locales="L1,abc"。複数の値を区切るには、区切り文字としてカンマ「,」を使用します。

TACACS+

必須

必須。スキーマを拡張し、cisco-av-pair という名前のカスタム属性を作成する必要があります。

cisco-av-pair 名は、TACACS+ プロバイダーの属性 ID を提供する文字列です。

次の構文例は、cisco-av-pair 属性を作成するときに複数のユーザ ロールとロケールを指定する方法を示しています。cisco-av-pair=shell:roles="admin aaa" shell:locales*"L1 abc"。cisco-av-pair 属性構文でアスタリスク(*)を使用すると、ロケールがオプションとして指定され、同じ認可プロファイルを使用する他のシスコ デバイスで認証の失敗を防ぐことができます。複数の値を区切るには、区切り文字としてスペースを使用します。

LDAP ユーザ属性のサンプル OID

カスタム CiscoAVPair 属性のサンプル OID は、次のとおりです。 


CN=CiscoAVPair,CN=Schema,
CN=Configuration,CN=X
objectClass: top
objectClass: attributeSchema
cn: CiscoAVPair
distinguishedName: CN=CiscoAVPair,CN=Schema,CN=Configuration,CN=X
instanceType: 0x4
uSNCreated: 26318654
attributeID: 1.3.6.1.4.1.9.287247.1
attributeSyntax: 2.5.5.12
isSingleValued: TRUE
showInAdvancedViewOnly: TRUE
adminDisplayName: CiscoAVPair
adminDescription: UCS User Authorization Field
oMSyntax: 64
lDAPDisplayName: CiscoAVPair
name: CiscoAVPair
objectCategory: CN=Attribute-Schema,CN=Schema,CN=Configuration,CN=X

二要素認証

Cisco UCS Manager では、リモート ユーザのログインに二要素認証を適用します。これにより、アカウントのログインに対するセキュリティ レベルが追加されます。二要素認証のログインでは、ユーザ名とトークン、およびパスワードの組み合わせをパスワード フィールドに入力する必要があります。PIN、証明書、またはトークンを入力できます。

二要素認証で使われる認証アプリケーションは、ログイン プロセス中にユーザ用の 1 回限りのトークンを生成するトークン サーバを保守し、AAA サーバにパスワードを保存します。ベンダー固有の属性を取得するために、要求がトークン サーバに送信されます。Cisco UCS Manager は、トークン サーバが AAA サーバと統合されていることを想定するので、AAA サーバに要求を転送します。パスワードとトークンは、AAA サーバによって同時に検証されます。ユーザは、AAA サーバで設定されている順序でトークンとパスワードを入力する必要があります。

二要素認証をサポートするには、RADIUS または TACACS+ プロバイダー グループを指定の認証ドメインに関連付け、それらのドメインで二要素認証を有効にします。二要素認証は IPM をサポートせず、認証レルムが LDAP、local、または none に設定されている場合には二要素認証がサポートされません。

Web セッションの更新および Web セッションのタイムアウト期限

[Web セッション更新期間(Web Session Refresh Period)] では、Cisco UCS Manager GUIWeb セッションの更新要求間の最大許容時間を指定します。[Web セッション タイムアウト(Web Session Timeout)] では、最後のクッキー/トークン更新要求が失敗した時から Cisco UCS Manager GUI Web セッションを非アクティブにするまでの許容最大経過時間を指定します。

[Web セッション更新期間(Web Session Refresh Period)] に 60 秒より大きい値(最大 172800 秒)を指定すると、セッションの頻繁なタイムアウトを回避でき、トークンとパスワードの生成と入力を繰り返さなければならない状況を防止できます。デフォルト値は、二要素認証が有効にされている場合は 7200 秒、有効にされていない場合は 600 秒です。

[Web セッション タイムアウト(Web Session Timeout)] には、期間として 300 ~ 172800 の値を指定できます。デフォルト値は、二要素認証が有効にされている場合は 8000 秒、有効にされていない場合は 7200 秒です。

LDAP プロバイダーとグループ

ネストされた LDAP グループ

LDAP グループを別のグループのメンバーとして追加し、グループをネストして、メンバー アカウントを統合し、トラフィックの複製を減らすことができます。Cisco UCS Manager リリース2.1(2) 以降では、LDAP グループ マップで定義された別のグループ内にネストされている LDAP グループを検索できます。


(注)  

ネストされた LDAP の検索は Microsoft Active Directory サーバに関してのみサポートされます。サポートされているバージョンは Microsoft Windows 2003 SP3、Microsoft Windows 2008 R2、および Microsoft Windows 2012 です。

デフォルトでは、LDAP グループを別のグループ内にネストするとユーザ権限が継承されます。たとえば、Group_2 のメンバーとして Group_1 を作成すると、Group_1 のユーザには Group_2 のメンバーと同じ権限が与えられます。その結果、Group_1 のメンバであるユーザを検索するときは、Group_1 と Group_2 を別々に検索するのではなく LDAP グループ マップの Group_2 を選択するだけで済みます。

Cisco UCS Manager のグループ マップで必ずしもサブグループを作成する必要はありません。

LDAP グループ ルール

リモート ユーザにユーザ ロールとロケールを割り当てるときに、Cisco UCSが LDAP グループを使用するかどうかは、LDAP グループ ルールによって決まります。

LDAP プロバイダーのプロパティの設定

このタスクで設定するプロパティは、Cisco UCS Manager で定義されたこのタイプのすべてのプロバイダー接続のデフォルト設定です。個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Cisco UCS でその設定が使用され、デフォルト設定は無視されます。

始める前に

Active Directory を LDAP サーバとして使用している場合は、Active Directory サーバで Cisco UCS にバインドするユーザ アカウントを作成します。このアカウントに無期限のパスワードを付与します。

手順

ステップ 1

[ナビゲーション]ペインで、[管理者]をクリックします。

ステップ 2

[すべて] > [ユーザ管理] > [LDAP]を展開します。

ステップ 3

[プロパティ(Properties)] 領域で、すべてのフィールドに値を入力します。

(注)  

 

LDAP ユーザの userDn が 255 文字を超えている場合、ユーザ ログインは失敗します。

ステップ 4

[Save Changes]をクリックします。

次のタスク

LDAP プロバイダーを作成します。

LDAP プロバイダーの作成

Cisco UCS Manager は最大 16 の LDAP プロバイダーをサポートします。

始める前に

Active Directory を LDAP サーバとして使用している場合は、Active Directory サーバで Cisco UCS にバインドするユーザ アカウントを作成します。このアカウントに無期限のパスワードを付与します。

  • LDAP サーバで、次のいずれかの設定を行います。

    • LDAP グループを設定します。LDAP グループには、ユーザのロールとロケール情報が含まれています。

    • Cisco UCS Manager のユーザ ロールとロケール情報を保持する属性でユーザを設定します。この属性について LDAP スキーマを拡張するかどうかを選択できます。スキーマを拡張しない場合は、既存の LDAP 属性を使用して Cisco UCS ユーザ ロールとロケールを保持します。スキーマを拡張する場合は、CiscoAVPair 属性などのカスタム属性を作成します。

      シスコの LDAP の実装では、Unicode タイプの属性が必要です。

      CiscoAVPair カスタム属性を作成する場合は、属性 ID として 1.3.6.1.4.1.9.287247.1 を使用します

    • クラスタ設定では、両方のファブリック インターコネクトに対する管理ポートの IPv4 または IPv6 アドレスを追加します。この設定によって、1 台めのファブリック インターコネクトで障害が発生し、システムが 2 台めのファブリック インターコネクトにフェールオーバーした場合でも、リモート ユーザはログインを継続できます。ログイン要求はすべて、これらの IP アドレスから送信されます。Cisco UCS Manager で使用される仮想 IPv4 または IPv6 アドレスからではありません。

  • セキュア通信を使用するには、Cisco UCS Manager で LDAP サーバのルート認証局(CA)の証明書を含むトラスト ポイントを作成します。

  • LDAP プロバイダーを変更、追加、削除する必要がある場合、ドメインの認証レルムをローカルに変更し、必要に応じてプロバイダーを変更してから、ドメイン認証レルムを再び LDAP に変更します。


注目

バージョン 2.2(3a) 以降で稼働するシステムには、特殊文字を含む LDAP リモート ユーザ名ではログインできません。ユーザがログインできない理由は、Nexus OS 制限としてユーザ名に文字 !、%、^ を使用できないためです。

手順

ステップ 1

[ナビゲーション]ペインで、[管理者]をクリックします。

ステップ 2

[すべて] > [ユーザ管理] > [LDAP]を展開します。

ステップ 3

[Work] ペインで、[General] タブをクリックします。

ステップ 4

[アクション(Actions)] 領域で、[LDAP プロバイダーの作成(Create LDAP Provider)] をクリックします。

ステップ 5

ウィザードの [LDAP プロバイダーの作成(Create LDAP Provider)] ページで、すべてのフィールドに適切な LDAP サービス情報を入力します。

  1. 使用する LDAP サービスに関する情報を使用して、次のフィールドに値を入力します。

    名前 説明

    [Hostname/FDQN (or IP Address)] フィールド

    LDAP プロバイダーが存在するホスト名、または IP アドレス(IPv4 または IPv6)。SSL がイネーブルの場合、このフィールドは、LDAP データベースのセキュリティ証明書内の通常名(CN)と正確に一致している必要があります。

    (注)  

     

    IPv4 や IPv6 アドレスではなくホスト名を使用する場合、DNS サーバを設定する必要があります。Cisco UCS ドメインCisco UCS Central に登録されていないか、または DNS 管理が [ローカル(local)] に設定されている場合は、Cisco UCS Managerで DNS サーバを設定します。Cisco UCS ドメインCisco UCS Central に登録されていて、DNS 管理が [グローバル(global)] に設定されている場合は、Cisco UCS Central で DNS サーバを設定します。

    [順序(Order)] フィールド

    Cisco UCS でユーザの認証にこのプロバイダーを使用する順序。

    1 ~ 16 の範囲の整数を入力します。または、この Cisco UCSで定義されている他のプロバイダーに基づいて、次に使用できる順序を Cisco UCS ドメイン で自動的に割り当てる場合には、lowest-available または 0(ゼロ)と入力します。

    [バインド DN(Bind DN)] フィールド

    ベース DN のすべてのオブジェクトに対する読み取り権限と検索権限を持つ、LDAP データベース アカウントの識別名(DN)。

    サポートされるストリングの最大長は 255 文字の ASCII 文字です。

    [ベース DN(Base DN)] フィールド

    リモート ユーザがログインし、システムがそのユーザ名に基づいてユーザの DN の取得を試みるときに、サーバが検索を開始する LDAP 階層内の特定の識別名。ベース DN の長さは、最大 255 文字から CN= username の長さを差し引いた長さに設定することができます。ここで、username は、LDAP 認証を使用して Cisco UCS Manager へアクセスしようとしているリモート ユーザの識別に使用されます。

    デフォルトのベース DN が LDAP の [全般(General)] タブで設定されていない場合は、この値が必要です。

    [ポート(Port)] フィールド

    Cisco UCS が LDAP データベースと通信するために使用されるポート。標準ポート番号は 389 です。

    [Enable SSL] チェックボックス

    このチェックボックスをオンにすると、LDAP データベースとの通信に暗号化が必要になります。このチェックボックスをオフにすると、認証情報はクリア テキストで送信されます。

    LDAP では STARTTLS が使用されます。これにより、ポート 389 を使用した暗号化通信が可能になります。

    オンにした場合、ポートを 636 に変更せずに、389 のままにしてください。Cisco UCS は SSL 用のポート 636 で TLS セッションのネゴシエーションを行いますが、最初の接続は暗号化されずに 389 で開始されます。

    [フィルタ(Filter]) フィールド

    LDAP 検索は、定義したフィルタと一致するユーザ名に限定されます。

    デフォルトのフィルタが LDAP の [全般(General)] タブで設定されていない場合は、この値が必要です。

    [属性(Attribute)] フィールド

    ユーザ ロールとロケールの値を保管する LDAP 属性。このプロパティは、常に、名前と値のペアで指定されます。システムは、ユーザー レコードで、この属性名と一致する値を検索します。

    LDAP スキーマを拡張しない場合、既存の未使用 LDAP 属性を Cisco UCS ロールとロケールに設定できます。あるいは、属性 ID を 1.3.6.1.4.1.9.287247.1 に設定した、CiscoAVPair という名前の属性をリモート認証サービスに作成できます。

    デフォルトの属性が LDAP の [全般(General)] タブで設定されていない場合は、この値が必要です。

    [パスワード(Password)] フィールド

    [バインド DN(Bind DN)] フィールドで指定した LDAP データベース アカウントのパスワード。標準 ASCII 文字を入力できます。ただし、「§」(セクション記号)、「?」(疑問符)、「=」(等号)は使用できません。

    [パスワードの確認(Confirm Password)] フィールド

    確認のための LDAP データベース パスワードの再入力。

    [タイムアウト(Timeout)] フィールド

    LDAP データベースへの問い合わせがタイム アウトするまでの秒数。

    1 ~ 60 秒の整数を入力するか、0(ゼロ)を入力して LDAP の [全般(General)] タブで指定したグローバル タイムアウト値を使用します。デフォルトは 30 秒です。

    [Vendor] オプション ボタン

    使用する LDAP ベンダー。次のいずれかになります。

    • [Open Ldap]:LDAP プロトコルのオープン ソース実装。

    • [MS AD]:Microsoft Active Directory。

  2. [次へ(Next)] をクリックします。

ステップ 6

ウィザードの [LDAP グループ ルール(LDAP Group Rule)] ページで、すべてのフィールドに適切な LDAP グループ ルール情報を入力します。

(注)  

 

ロールとロケールの割り当ては累積されます。ユーザが複数のグループに含まれる、または LDAP 属性で指定されたロールやロケールがある場合、Cisco UCS はそのユーザに対し、それらのグループや属性のいずれかにマッピングされたすべてのロールとロケールを割り当てます。

次のタスク

単一の LDAP データベースが関係する実装の場合は、認証サービスとして LDAP を選択します。

複数の LDAP データベースが関係する実装の場合は、LDAP プロバイダー グループを設定します。

LDAP プロバイダーの LDAP グループ ルールの変更

手順

ステップ 1

[ナビゲーション]ペインで、[管理者]をクリックします。

ステップ 2

[すべて] > [ユーザ管理] > [LDAP]を展開します。

ステップ 3

[LDAP プロバイダー(LDAP Providers)] を展開し、グループ ルールを変更する LDAP プロバイダーを選択します。

ステップ 4

[Work] ペインで、[General] タブをクリックします。

ステップ 5

[LDAP グループ ルール(LDAP Group Rules)] 領域で、次のフィールドに値を入力します。

名前 説明

[グループ認証(Group Authorization)] フィールド

リモート ユーザを認証し、ユーザ ロールとロケールを割り当てる際に、Cisco UCS が LDAP グループも検索するかどうか。次のいずれかになります。

  • [無効化(Disable)]Cisco UCS はどの LDAP グループにもアクセスしません。

  • [有効化(Enable)]Cisco UCS はこの Cisco UCS ドメイン内でマッピングされたすべての LDAP グループを検索します。リモート ユーザが見つかると、Cisco UCS は関連する LDAP グループ マップでその LDAP グループに対して定義されているユーザ ロールとロケールを割り当てます。

(注)  

 

ロールとロケールの割り当ては累積されます。ユーザが複数のグループに含まれる、または LDAP 属性で指定されたロールやロケールがある場合、Cisco UCS はそのユーザに対し、それらのグループや属性のいずれかにマッピングされたすべてのロールとロケールを割り当てます。

[グループ再帰(Group Recursion)] フィールド

マッピングされたグループとその親グループの両方を Cisco UCS が検索するかどうか。次のいずれかになります。

  • [再帰なし(Non Recursive)]Cisco UCS はこの Cisco UCS ドメインでマッピングされたグループだけを検索します。どのグループにもユーザの認証プロパティを明示的に設定するユーザが含まれない場合、Cisco UCS はデフォルト設定を使用します。

  • [再帰(Recursive)]Cisco UCS はマッピングされた各グループとその親グループでユーザの認証プロパティを検索します。これらのプロパティは累積的です。したがって、Cisco UCS は明示的な認証プロパティ設定を検出した各グループについて、それらの設定を現在のユーザに適用します。それ以外の場合は、デフォルト設定が使用されます。

[ターゲット属性(Target Attribute)] フィールド

Cisco UCS が LDAP データベースのグループ メンバーシップを決定するのに使用する属性。

サポートされる文字列の長さは 63 文字です。デフォルトの文字列は memberOf です。

[プライマリ グループを使用(Use Primary Group)] フィールド

メンバーシップ検証用の LDAP グループ マップとしてプライマリ グループを設定できるかどうかを判断するために、Cisco UCS で使用される属性。このオプションを使用すると、Cisco UCS Manager はユーザのプライマリ グループ メンバーシップをダウンロードして検証できます。

ステップ 6

[Save Changes]をクリックします。

LDAP プロバイダーの削除

Procedure

Step 1

[ナビゲーション]ペインで、[管理者]をクリックします。

Step 2

[すべて] > [ユーザ管理] > [LDAP]を展開します。

Step 3

[LDAP プロバイダー(LDAP Providers)] を展開します。

Step 4

削除する LDAP プロバイダーを右クリックし、[削除(Delete)] を選択します。

Step 5

確認ダイアログボックスが表示されたら、[はい]をクリックします。

LDAP グループ マッピング

LDAP グループ マッピングを使用すると、LDAP ユーザ オブジェクトでロールやロケールの情報を定義する必要がなくなります。LDAP データベースへのアクセスを制限するために LDAP グループを使用する組織の場合、UCSM でグループ メンバーシップ情報を使用して、ログイン時にロールまたはロケールを LDAP ユーザに割り当てることができます。

ユーザが Cisco UCS Manager にログインするときに、LDAP グループ マップからそのユーザのロールとロケールに関する情報が取得されます。ロールとロケールの条件がポリシー内の情報と一致すると、アクセス権をユーザーに付与します。Cisco UCS Manager は、リリース バージョンに応じて、最大 28、128、または 160 の LDAP グループ マップをサポートします。


(注)  

Cisco UCS Manager リリース 3.1 (1) では最大 128 個の LDAP グループ マップ、リリース 3.1 (2) 以降では最大 160 個の LDAP グループ マップがサポートされます。

Cisco UCS Manager でローカルに構成したロールとロケールの定義が、LDAP ディレクトリの変更に応じて自動的に更新されることはありません。LDAP ディレクトリ内の LDAP グループを削除または名前変更するときには、その変更が反映されるよう Cisco UCS Manager も更新する必要があります。

LDAP グループ マップは、次のロールとロケールの組み合わせのいずれかを含むように設定できます。

  • ロールのみ

  • ロケールのみ

  • ロールとロケールの両方

たとえば、特定の場所のサーバ管理者グループを表す LDAP グループがあるとします。この場合、LDAP グループ マップには、サーバ プロファイルやサーバ機器などのユーザ ロールを含めることができます。特定の場所のサーバ管理者へのアクセスを制限するために、ロケールを特定のサイト名に設定することができます。

(注)  

Cisco UCS Manager には、すぐに使用可能な多くのユーザ ロールが含まれていますが、ロケールは含まれていません。LDAP プロバイダー グループをロケールにマッピングするには、カスタム ロケールを作成する必要があります。

LDAP グループ マップの作成

始める前に

  • LDAP サーバで LDAP グループを作成します。

  • LDAP サーバで LDAP グループの識別名を設定します。

  • Cisco UCS Manager でロケールを作成します(任意)。

  • Cisco UCS Manager でカスタム ロールを作成します(任意)。

手順

ステップ 1

[ナビゲーション]ペインで、[管理者]をクリックします。

ステップ 2

[すべて] > [ユーザ管理] > [LDAP]を展開します。

ステップ 3

[LDAP グループ マップ(LDAP Group Maps)] を右クリックし、[LDAP グループ マップの作成(Create LDAP Group Map)] を選択します。

ステップ 4

[LDAP グループ マップの作成(Create LDAP Group Map)] ダイアログボックスで、必要に応じてすべての LDAP グループ マップ情報を指定します。

重要

 
[LDAP グループ DN(LDAP Group DN)] フィールド で指定する名前は、LDAP データベース内の名前と一致する必要があります。

(注)  

 

[LDAP グループ DN(LDAP Group DN)] フィールドで特殊文字を使用する場合は、特殊文字の前にエスケープ文字 \(シングル バックスラッシュ)を付ける必要があります。

次のタスク

LDAP グループ ルールを設定します。

LDAP グループ マップの削除

手順

ステップ 1

[ナビゲーション]ペインで、[管理者]をクリックします。

ステップ 2

[すべて] > [ユーザ管理] > [LDAP]を展開します。

ステップ 3

[LDAP グループ マップ(LDAP Group Maps)] を展開します。

ステップ 4

削除する LDAP グループ マップを右クリックし、[削除(Delete)] を選択します。

ステップ 5

確認ダイアログボックスが表示されたら、[はい]をクリックします。

RADIUSプロバイダー

RADIUS プロバイダーのプロパティの設定

このタスクで設定するプロパティは、Cisco UCS Manager で定義されたこのタイプのすべてのプロバイダー接続のデフォルト設定です。個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Cisco UCS でその設定が使用され、デフォルト設定は無視されます。


(注)  

RADIUS 認証では、Password Authentication Protocol(PAP)を使用します。

手順

ステップ 1

[ナビゲーション]ペインで、[管理者]をクリックします。

ステップ 2

[ユーザ管理(User Management)] > [RADIUS] の順に選択します。

ステップ 3

[プロパティ(Properties)] 領域で、すべてのフィールドに値を入力します。

ステップ 4

[Save Changes]をクリックします。

次のタスク

RADIUS プロバイダーを作成します。

RADIUS プロバイダーの作成

Cisco UCS Manager は最大 16 の RADIUS プロバイダーをサポートします。

Before you begin

RADIUS サーバでは次のような設定を行います。

  • Cisco UCS Manager のユーザ ロールとロケール情報を保持する属性でユーザを設定します。この属性について RADIUS スキーマを拡張するかどうかを選択できます。スキーマを拡張しない場合は、既存の RADIUS 属性を使用して Cisco UCS ユーザ ロールとロケールを保持します。スキーマを拡張する場合は、cisco-avpair 属性などのカスタム属性を作成します。

    シスコによる RADIUS の実装のベンダー ID は 009 であり、属性のベンダー ID は 001 です。

    次の構文例は、cisco-avpair 属性を作成する場合に複数のユーザ ロールとロケールを指定する方法を示しています。shell:roles="admin,aaa" shell:locales="L1,abc"。複数の値を区切るには、区切り文字としてカンマ「,」を使用します。

  • クラスタ設定では、両方のファブリック インターコネクトに対する管理ポートの IPv4 または IPv6 アドレスを追加します。この設定によって、1 台めのファブリック インターコネクトで障害が発生し、システムが 2 台めのファブリック インターコネクトにフェールオーバーした場合でも、リモート ユーザはログインを継続できます。ログイン要求はすべて、これらの IP アドレスから送信されます。Cisco UCS Manager で使用されている仮想 IP アドレスからではありません。

Procedure

Step 1

[ナビゲーション]ペインで、[管理者]をクリックします。

Step 2

[すべて] > [ユーザ管理] > [RADIUS]を展開します。

Step 3

[RADIUS プロバイダーの作成(Create RADIUS Provider)] ダイアログボックスで、該当するすべての RADIUS サーバ情報を指定します。

Note

 

IPv4 または IPv6 のアドレスの代わりにホスト名を使用する場合、そのホスト名に対して DNS サーバが構成されていることを確認してください。

Step 4

[Save Changes]をクリックします。

What to do next

単一の RADIUS データベースが関係する実装の場合は、RADIUS をプライマリ認証サービスとして選択します。

複数の RADIUS データベースが関係する実装の場合は、RADIUS プロバイダー グループを設定します。

RADIUS プロバイダーの削除

Procedure

Step 1

[ナビゲーション]ペインで、[管理者]をクリックします。

Step 2

[ユーザ管理(User Management)] > [RADIUS] の順に選択します。

Step 3

削除する RADIUS プロバイダーを右クリックし、[削除(Delete)] を選択します。

Step 4

確認ダイアログボックスが表示されたら、[はい]をクリックします。

TACACS+ プロバイダー

TACACS+ プロバイダーのプロパティの設定


(注)  

このタスクで設定するプロパティは、Cisco UCS Manager で定義されたこのタイプのすべてのプロバイダー接続のデフォルト設定です。個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Cisco UCS でその設定が使用され、デフォルト設定は無視されます。

手順

ステップ 1

[ナビゲーション]ペインで、[管理者]をクリックします。

ステップ 2

[ユーザ管理(User Management)] > [TACACS +] の順に選択します。

ステップ 3

[プロパティ(Properties)] 領域で、[タイムアウト(Timeout)] フィールドに値を入力します。

ステップ 4

[Save Changes]をクリックします。

次のタスク

TACACS+ プロバイダーを作成します。

TACACS+ プロバイダーの作成

Cisco UCS Manager は最大 16 の TACACS+ プロバイダーをサポートします。

Before you begin

TACACS+ サーバでは次のような設定を行います。

  • cisco-av-pair 属性を作成します。既存の TACACS+ 属性は使用できません。

    cisco-av-pair 名は、TACACS+ プロバイダーの属性 ID を提供する文字列です。

    次の構文例は、cisco-av-pair 属性を作成するときに複数のユーザ ロールとロケールを指定する方法を示しています。cisco-av-pair=shell:roles="admin aaa" shell:locales*"L1 abc"。cisco-av-pair 属性構文でアスタリスク(*)を使用すると、ロケールがオプションとして指定され、同じ認可プロファイルを使用する他のシスコ デバイスで認証の失敗を防ぐことができます。複数の値を区切るには、区切り文字としてスペースを使用します。

  • クラスタ設定では、両方のファブリック インターコネクトに対する管理ポートの IPv4 または IPv6 アドレスを追加します。この設定によって、1 台めのファブリック インターコネクトで障害が発生し、システムが 2 台めのファブリック インターコネクトにフェールオーバーした場合でも、リモート ユーザはログインを継続できます。ログイン要求はすべて、これらの IP アドレスから送信されます。Cisco UCS Manager で使用されている仮想 IP アドレスからではありません。

Procedure

Step 1

[ナビゲーション]ペインで、[管理者]をクリックします。

Step 2

[すべて] > [ユーザ管理] > [TACACS+]を展開します。

Step 3

[全般(General)] タブの [アクション(Actions)] 領域で、[TACACS+ プロバイダーの作成( Create TACACS+ Provider )] をクリックします。

Step 4

[TACACS+ プロバイダーの作成( Create TACACS+ Provider )] ダイアログボックスで、次の操作を行います。

  1. 必要に応じてすべてのフィールドに TACACS+ サービス情報を入力します。

    Note

     

    IPv4 または IPv6 のアドレスの代わりにホスト名を使用する場合、そのホスト名に対して DNS サーバが構成されていることを確認してください。

  2. [OK] をクリックします。

Step 5

[Save Changes]をクリックします。

What to do next

単一の TACACS+ データベースが関係する実装の場合は、TACACS+ をプライマリ認証サービスとして選択します。

複数の TACACS+ データベースが関係する実装の場合は、TACACS+ プロバイダー グループを設定します。

TACACS+ プロバイダーの削除

Procedure

Step 1

[ナビゲーション]ペインで、[管理者]をクリックします。

Step 2

[ユーザ管理(User Management)] > [TACACS +] の順に選択します。

Step 3

削除する TACACS+ プロバイダーを右クリックし、[削除(Delete)] を選択します。

Step 4

確認ダイアログボックスが表示されたら、[はい]をクリックします。

プライマリ認証サービス

コンソール認証サービスの選択

Before you begin

システムでリモート認証サービスが使用されている場合は、その認証サービスに対するプロバイダーを作成します。Cisco UCS を通じたローカル認証のみを使用する場合は、最初にプロバイダーを作成する必要はありません。

Procedure

Step 1

[ナビゲーション]ペインで、[管理者]をクリックします。

Step 2

[すべて] > [ユーザ管理] > [認証]を展開します。

Step 3

[ネイティブ認証(Native Authentication)] をクリックします。

Step 4

[Work] ペインで、[General] タブをクリックします。

Step 5

[コンソール認証(Console Authentication)] 領域で、次のフィールドに値を入力します。

名前 説明

[レルム(Realm)] フィールド

コンソールにログインするユーザが認証される方法。次のいずれかになります。

  • [ローカル(Local)]:ユーザ アカウントをこの Cisco UCS ドメイン内でローカルに定義する必要があります。

  • [Radius]:この Cisco UCS ドメインに対して指定された Radius サーバでユーザを定義する必要があります。

  • [Tacacs]:この Cisco UCS ドメインに対して指定された Tacacs サーバでユーザを定義する必要があります。

  • [Ldap]:この Cisco UCS ドメインに対して指定された LDAP サーバでユーザを定義する必要があります。

  • [なし(None)]:ユーザ アカウントがこの Cisco UCS ドメインにローカルである場合、ユーザがコンソールにログインするときにパスワードは必要ありません。

[プロバイダー グループ(Provider Group)] ドロップダウンリスト

ユーザがコンソールにログインするときに認証に使われるプロバイダー グループ。

Note

 

[プロバイダー グループ(Provider Group)] ドロップダウンリストは、ユーザを認証する方法として [Ldap]、[Radius]、または [Tacacs] を選択した場合に表示されます。

二要素認証

二要素認証は、[レルム(Realm)] が [Radius] または [Tacacs] に設定されている場合にのみ使用できます。このチェックボックスをオンにすると、コンソールは、RADIUS または TACACS サーバによって認証されるアカウントを持つユーザにトークンとパスワードを入力してログインするように求めます。

Step 6

[Save Changes]をクリックします。

デフォルトの認証サービスの選択

始める前に

システムでリモート認証サービスが使用されている場合は、その認証サービスに対するプロバイダーを作成します。Cisco UCS を通じたローカル認証のみを使用する場合は、最初にプロバイダーを作成する必要はありません。

手順

ステップ 1

[ナビゲーション]ペインで、[管理者]をクリックします。

ステップ 2

[すべて] > [ユーザ管理] > [認証]を展開します。

ステップ 3

[ネイティブ認証(Native Authentication)] をクリックします。

ステップ 4

[Work] ペインで、[General] タブをクリックします。

ステップ 5

[デフォルト認証(Default Authentication)] 領域で、次のフィールドに値を入力します。

名前 説明

[レルム(Realm)] ドロップダウンリスト

リモート ログイン中にユーザが認証されるデフォルトの方法。次のいずれかになります。

  • [ローカル(Local)]:ユーザ アカウントをこの Cisco UCS ドメイン内でローカルに定義する必要があります。

  • [Radius]:この Cisco UCS ドメインに関して指定された Radius サーバでユーザ アカウントを定義する必要があります。

  • [Tacacs]:この Cisco UCS ドメインに関して指定された Tacacs サーバでユーザ アカウントを定義する必要があります。

  • [Ldap]:この Cisco UCS ドメインに関して指定された LDAP サーバでユーザ アカウントを定義する必要があります。

  • [なし(None)]:ユーザ アカウントがこの Cisco UCS ドメインにローカルである場合、ユーザがリモートでログインするときにパスワードは必要ありません。

[プロバイダー グループ(Provider Group)] ドロップダウンリスト

リモート ログイン中にユーザを認証するために使用するデフォルト プロバイダー グループ。

(注)  

 

[プロバイダー グループ(Provider Group)] ドロップダウンは、ユーザを認証する方法として [Ldap]、[Radius]、または [Tacacs] を選択した場合に表示されます。

Web セッションの更新期間(秒)(Web Session Refresh Period (sec))

Web クライアントが Cisco UCS Manager に接続する際は、Web セッションをアクティブ状態に維持するために、クライアントは Cisco UCS Manager に更新要求を送信する必要があります。このオプションを使用して、このドメインのユーザに許可する更新要求間隔の最大時間数を指定します。

この時間制限を超えると、Cisco UCS Managerは Web セッションを非アクティブであると見なしますが、セッションを強制終了することはしません。

60 ~ 172800 の整数を指定します。デフォルト値は、二要素認証が有効にされていない場合は 600 秒、有効にされている場合は 7200 秒です。

Web セッション タイムアウト(秒)(Web Session Timeout (sec))

最後のクッキー/トークン更新要求時が失敗した後、 Cisco UCS Manager が Web セッションを非アクティブとして見なすまでの最大経過時間。この時間制限を超えた場合、Cisco UCS Manager は自動的に Web セッションを終了します。

300 ~ 172800 の整数を指定します。デフォルト値は、二要素認証が有効にされていない場合は 7200 秒、有効にされている場合は 8000 秒です。

[二要素認証(Two Factor Authentication)] チェックボックス

二要素認証は、[レルム(Realm)] が [Radius] または [Tacacs] に設定されている場合にのみ使用できます。このチェックボックスをオンにした場合、Cisco UCS Manager と KVM 起動マネージャは、Radius または Tacacs サーバでアカウント認証されるユーザがトークンとパスワードを入力してログインすることを要求します。[Web セッション更新期間(Web SessionRefresh Period)] の満了まで残り 60 秒になった場合、ユーザがセッションを続行するには新しいトークンを生成して、そのトークンとパスワードを入力する必要があります。

(注)  

 

二要素要素認証を有効にして、デフォルト設定を保存すると、デフォルトの Web セッションの更新期間(秒)(Web Session Refresh Period (sec))が 7200 に、デフォルトの Web セッション タイムアウト(秒)(Web Session Timeout (sec)) が 8000 に変更されます。

ステップ 6

[Save Changes]をクリックします。

リモート ユーザのロール ポリシー

デフォルトでは、Cisco UCS Managerでユーザ ロールが設定されていない場合は、LDAP、RADIUS、または TACACS プロトコルを使用してリモート サーバから Cisco UCS Manager にログインしているすべてのユーザに読み取り専用アクセス権が付与されます。セキュリティ上の理由から、Cisco UCS Managerで確立されたユーザ ロールに一致するユーザへのアクセスを制限するのが望ましい場合があります。

リモート ユーザのロール ポリシーは、次の方法で設定できます。
assign-default-role

Cisco UCS Manager へのユーザ アクセスをユーザ ロールに基づいて制限しません。その他のユーザ ロールが Cisco UCS Manager で定義されていない限り、すべてのユーザに読み取り専用アクセス権が付与されます。

これはデフォルトの動作です。

no-login

Cisco UCS Manager へのユーザ アクセスをユーザ ロールに基づいて制限します。リモート認証システムにユーザ ロールが割り当てられていない場合、アクセスは拒否されます。

リモート ユーザのロール ポリシーの設定

手順

ステップ 1

[ナビゲーション]ペインで、[管理者]をクリックします。

ステップ 2

[すべて] > [ユーザ管理] > [認証]を展開します。

ステップ 3

[ネイティブ認証(Native Authentication)] をクリックします。

ステップ 4

[Work] ペインで、[General] タブをクリックします。

ステップ 5

[リモート ユーザのロール ポリシー(Role Policy for Remote Users)] フィールド で、ユーザがログインを試行した際にリモート認証プロバイダーが認証情報を伴うユーザ ロールを提供しない場合、どのように処理するかを決定する次のオプション ボタンのいずれかをクリックします。

  • [ログイン禁止(No-Login)]:ユーザ名とパスワードが正しい場合でも、ユーザはシステムにログインできません。

  • [デフォルト ロールの割り当て(Assign Default Role)]:ユーザは、読み取り専用ユーザ ロールでログインできます。

ステップ 6

[Save Changes]をクリックします。

複数の認証サービスの構成

複数の認証サービス

複数の認証サービスを使用するように Cisco UCS を構成するには、次の機能を構成します。

  • プロバイダー グループ

  • 認証ドメイン

プロバイダー グループ

プロバイダー グループは、認証プロセス中に Cisco UCS がアクセスするプロバイダーのセットです。プロバイダー グループ内のすべてのプロバイダーが、ユーザーの認証に Cisco UCS プロバイダーが使用する順にアクセスされます。設定されたすべてのサーバが使用できない場合、または到達不能な場合、Cisco UCS Manager は、ローカル ユーザ名とパスワードを使用して自動的にローカル認証方式にフォールバックします。

Cisco UCS Manager では、最大 16 個のプロバイダー グループを作成でき、各グループに最大 8 つのプロバイダーを含めることができます。

LDAP プロバイダー グループの作成

LDAP プロバイダー グループを作成すると、複数の LDAP データベースを使用して認証できます。

始める前に

1 つ以上の LDAP プロバイダーを作成します。

手順

ステップ 1

[ナビゲーション]ペインで、[管理者]をクリックします。

ステップ 2

[すべて] > [ユーザ管理] > [LDAP]を展開します。

ステップ 3

[LDAP プロバイダー グループ(LDAP Provider Groups)] を右クリックし、[LDAP プロバイダー グループの作成(Create LDAP Provider Group)] を選択します。

(注)  

 

IPv4 または IPv6 のアドレスの代わりにホスト名を使用する場合、そのホスト名に対して DNS サーバが構成されていることを確認してください。

ステップ 4

[LDAP プロバイダー グループの作成(Create LDAP Provider Group)] ダイアログボックスで、適切なすべての LDAP プロバイダー グループ情報を指定します。

次のタスク

認証ドメインを設定するか、デフォルト認証サービスを選択します。

LDAP プロバイダー グループの削除

始める前に

認証設定からプロバイダー グループを削除します。

手順

ステップ 1

[ナビゲーション]ペインで、[管理者]をクリックします。

ステップ 2

[すべて] > [ユーザ管理] > [LDAP]を展開します。

ステップ 3

[LDAP プロバイダー グループ(LDAP Provider Groups)] を展開します。

ステップ 4

削除する LDAP プロバイダーを右クリックし、[削除(Delete)] を選択します。

ステップ 5

確認ダイアログボックスが表示されたら、[はい]をクリックします。

RADIUS プロバイダー グループの作成

RADIUS プロバイダー グループを作成すると、複数の RADIUS データベースを使用して認証できます。

始める前に

1 つ以上の RADIUS プロバイダーを作成します。

手順

ステップ 1

[ナビゲーション]ペインで、[管理者]をクリックします。

ステップ 2

[すべて] > [ユーザ管理] > [RADIUS]を展開します。

ステップ 3

[RADIUS プロバイダー グループ(RADIUS Provider Groups)] を右クリックし、[RADIUS プロバイダー グループの作成(Create RADIUS Provider Group)] を選択します。

ステップ 4

[RADIUS プロバイダー グループの作成(Create RADIUS Provider Group)] ダイアログボックスで、次の操作を行います。

  1. [名前(Name)] フィールドに、グループの一意の名前を入力します。

    この名前には、1 ~ 127 の ASCII 文字を使用できます。

  2. [RADIUS プロバイダー(RADIUS Providers)] テーブルで、グループに含める 1 つ以上のプロバイダーを選択します。

  3. [>>] ボタン をクリックして、[含まれるプロバイダー(Included Providers)] テーブル にプロバイダーを追加します。

    [<<] ボタンを使用して、グループからプロバイダーを排除できます。

  4. (任意)RADIUS プロバイダーがプロバイダーを認証するときの順序を変更するには、[含まれるプロバイダー(Included Providers)] リストの [上へ移動(Move Up)] または [下へ移動(Move Down)] の矢印を使用します。

  5. 必要なすべてのプロバイダーをプロバイダー グループに追加したら、[OK] をクリックします。

次のタスク

認証ドメインを設定するか、デフォルト認証サービスを選択します。

RADIUS プロバイダー グループの削除

別の認証設定がプロバイダーグループを使用している場合、そのプロバイダーグループは削除できません。

手順

ステップ 1

[ナビゲーション]ペインで、[管理者]をクリックします。

ステップ 2

[すべて] > [ユーザ管理] > [RADIUS]を展開します。

ステップ 3

[RADIUS プロバイダー グループ(RADIUS Provider Groups)] を展開します。

ステップ 4

削除する RADIUS プロバイダー グループを右クリックし、[削除(Delete)] を選択します。

ステップ 5

確認ダイアログボックスが表示されたら、[はい]をクリックします。

TACACS+ プロバイダー グループの作成

TACACS+ プロバイダー グループを作成すると、複数の TACACS+ データベースを使用して認証できます。

始める前に

1 つ以上の TACACS+ プロバイダーを作成します。

手順

ステップ 1

[ナビゲーション]ペインで、[管理者]をクリックします。

ステップ 2

[すべて] > [ユーザ管理] > [TACACS+]を展開します。

ステップ 3

[TACACS+ プロバイダー グループ(TACACS+ Provider Groups)] を右クリックし、[TACACS+ プロバイダー グループの作成(Create TACACS+ Provider Group)] を選択します。

ステップ 4

[TACACS+ プロバイダー グループの作成(Create TACACS+ Provider Group)] ダイアログボックスで、必要に応じてすべての TACACS+ プロバイダー グループ情報を指定します。

TACACS+ プロバイダー グループの削除

別の認証設定がプロバイダーグループを使用している場合、そのプロバイダーグループは削除できません。

手順

ステップ 1

[ナビゲーション]ペインで、[管理者]をクリックします。

ステップ 2

[すべて] > [ユーザ管理] > [TACACS+]を展開します。

ステップ 3

[TACACS+ プロバイダー グループ(TACACS+ Provider Groups)] を展開します。

ステップ 4

削除する TACACS+ プロバイダー グループを右クリックし、[削除(Delete)] を選択します。

ステップ 5

確認ダイアログボックスが表示されたら、[はい]をクリックします。

認証ドメイン

Cisco UCS Manager では、複数の認証システムを活用するために認証ドメインを使用しています。各認証ドメインはログイン時に指定および設定できます。これを行わない場合、Cisco UCS Managerはデフォルトの認証サービス設定を使用します。

最大 8 個の認証ドメインを作成できます。各認証ドメインは、Cisco UCS Manager内のプロバイダー グループと領域に関連付けられています。プロバイダー グループを指定しないと、Cisco UCS Managerはレルム内のすべてのサーバを使用します。

認証ドメインの作成

手順

ステップ 1

[ナビゲーション]ペインで、[管理者]をクリックします。

ステップ 2

[すべて] > [ユーザ管理] > [認証]を展開します。

ステップ 3

[認証ドメイン(Authentication Domains)] を右クリックし、[ドメインの作成(Create a Domain)] を選択します。

ステップ 4

[ドメインの作成(Create a Domain)] ダイアログボックスで、次のフィールドに値を入力します。

名前 説明

名前

ドメインの名前。

この名前には、1 ~ 16 文字の英数字を使用できます。スペースや (ハイフン)、_(アンダースコア) 以外の特殊文字は使用できません。(ピリオド)は使用できますが、それ以外の特殊文字とスペースは使用できません。また、オブジェクトが保存された後にこの名前を変更することはできません。

(注)  

 

リモート認証プロトコルを使用するシステムの場合、認証ドメイン名はユーザ名の一部と見なされ、ローカルに作成されたユーザ名に対して 32 文字の制限が適用されます。Cisco UCS ではフォーマット用に 5 文字が挿入されるため、ドメイン名とユーザ名の合計が 27 文字を超える場合には認証が失敗します。

Web セッションの更新期間(秒)(Web Session Refresh Period (sec))

Web クライアントが Cisco UCS Manager に接続する際は、Web セッションをアクティブ状態に維持するために、クライアントは Cisco UCS Manager に更新要求を送信する必要があります。このオプションを使用して、このドメインのユーザに許可する更新要求間隔の最大時間数を指定します。

この時間制限を超えると、Cisco UCS Managerは Web セッションを非アクティブであると見なしますが、セッションを強制終了することはしません。

60 ~ 172800 の整数を指定します。デフォルト値は、二要素認証が有効にされていない場合は 600 秒、有効にされている場合は 7200 秒です。

(注)  

 

[Web セッションの更新期間(Web Session Refresh Period)] に設定する秒数は、[Web セッション タイムアウト(Web Session Timeout)] に設定する秒数未満である必要があります。[Web セッションの更新期間(Web Session Refresh Period)] に [Web セッション タイムアウト(Web Session Timeout)] と同じ値を設定しないでください。

Web セッション タイムアウト(秒)(Web Session Timeout (sec))

最後のクッキー/トークン更新要求時が失敗した後、 Cisco UCS Manager が Web セッションを非アクティブとして見なすまでの最大経過時間。この時間制限を超えた場合、Cisco UCS Manager は自動的に Web セッションを終了します。

300 ~ 172800 の整数を指定します。デフォルト値は、二要素認証が有効にされていない場合は 7200 秒、有効にされている場合は 8000 秒です。

レルム

このドメイン内のユーザに適用する認証プロトコル。次のいずれかになります。

  • [ローカル(Local)]:ユーザ アカウントをこの Cisco UCS ドメイン内でローカルに定義する必要があります。

  • [Radius]:この Cisco UCS ドメインに対して指定された Radius サーバでユーザを定義する必要があります。

  • [Tacacs]:この Cisco UCS ドメインに対して指定された Tacacs サーバでユーザを定義する必要があります。

  • [Ldap]:この Cisco UCS ドメインに対して指定された LDAP サーバでユーザを定義する必要があります。

プロバイダー グループ(Provider Group)

リモート ログイン中にユーザを認証するために使用するデフォルト プロバイダー グループ。

(注)  

 

[プロバイダー グループ(Provider Group)]ドロップダウンリストは、ユーザを認証する方法として Ldap、Radius、または Tacacs を選択した場合に表示されます。

二要素認証

二要素認証は、[レルム(Realm)] が [Radius] または [Tacacs] に設定されている場合にのみ使用できます。このチェックボックスをオンにした場合、Cisco UCS Manager と KVM 起動マネージャは、Radius または Tacacs サーバでアカウント認証されるユーザがトークンとパスワードを入力してログインすることを要求します。[Web セッション更新期間(Web SessionRefresh Period)] の満了まで残り 60 秒になった場合、ユーザがセッションを続行するには新しいトークンを生成して、そのトークンとパスワードを入力する必要があります。

ステップ 5

[OK] をクリックします。