ACS 4.2 の新機能の設定

Size: px

Start display at page:

Download "ACS 4.2 の新機能の設定"

かずまさはぎにわ
4 years ago
Views:

CHAPTER 3 この章では ACS 4.2 で提供されるいくつかの新機能を設定する方法について説明します ACS for Windows および ACS SE の両方で提供される新機能については次の項を参照してくださいグローバル EAP-FAST 設定の新しいオプション (P.3-2) ネットワークアクセスプロファイルでの EAP-FAST PAC 処理の無効化 (P.

1 CHAPTER 3 この章では ACS 4.2 で提供されるいくつかの新機能を設定する方法について説明します ACS for Windows および ACS SE の両方で提供される新機能については次の項を参照してくださいグローバル EAP-FAST 設定の新しいオプション (P.3-2) ネットワークアクセスプロファイルでの EAP-FAST PAC 処理の無効化 (P.3-4) NetBIOS の無効化 (P.3-6) ACS 4.2 の拡張ロギング機能の設定 (P.3-7) NAP レベルのグループフィルタリングの設定 (P.3-8) ダイナミックユーザを記録 ( 保存 ) しないようにするオプション (P.3-9) Active Directory のマルチフォレストのサポート (P.3-10) ACS SE のみで提供される新機能については次の項を参照してください ACS 4.2 での syslog の時間形式の設定 (P.3-10) ACS SE の RSA サポート (P.3-11) ping のオン / オフ (P.3-20) 3-1

2 グローバル EAP-FAST 設定の新しいオプショングローバル EAP-FAST 設定の新しいオプション Global Authentication Setup セクションの EAP-FAST Configuration ページにいくつかの新しいオプションがあります図 3-1 に EAP-FAST Configuration ページの新しいオプションを示します図 3-1 グローバル EAP-FAST 設定の新しいオプション表 3-1 に EAP-FAST の新しい設定の説明を示します表 3-1 Release 4.2 で提供されるグローバル EAP-FAST 設定の新しいオプションオプション Allow Full TLS Renegotiation in Case of Invalid PAC Allow Anonymous In-band PAC Provisioning 説明このオプションでは PAC が無効または有効期限切れの場合が処理されますこの状況で EAP サーバは無効な PAC とともに通常使用される暗号とは異なる暗号を選択して完全な TLS ハンドシェークと認証を開始できます非常に古い証明書を使用して認証を試みる可能性のあるクライアントが存在する場合は Allow Full TLS Renegotiation in Case of Invalid PAC チェックボックスをオンにします ACS は EAP-FAST フェーズ 0 を使用してエンドユーザクライアントに PAC をプロビジョニングしますこのチェックボックスをオンにすると ACS はエンドユーザクライアントと安全な接続を確立してクライアントに新しい PAC を提供します 3-2

3 グローバル EAP-FAST 設定の新しいオプション表 3-1 Release 4.2 で提供されるグローバル EAP-FAST 設定の新しいオプション ( 続き ) オプション Enable anonymous TLS renegotiation 説明 Allow Anonymous in-band PAC Provisioning チェックボックスをオンにした場合は Enable anonymous TLS renegotiation チェックボックスもオンにすることができますネットワーク内に Vista クライアントが存在する場合は Enable anonymous TLS renegotiation チェックボックスをオンにして Vista ユーザがパスワードの入力を 2 回求められないようにします 3-3

4 ネットワークアクセスプロファイルでの EAP-FAST PAC 処理の無効化ネットワークアクセスプロファイルでの EAP-FAST PAC 処理の無効化 EAP-FAST を使用するがトンネルやマシンの PAC の発行や受け入れは行わないように ACS に指示する Network Access Profile(NAP; ネットワークアクセスプロファイル ) を NAP 設定の Protocols セクションで設定できるようになりました図 3-2 に ACS 4.2 の NAP Protocols ページの EAP-FAST セクションを示します図 3-2 Use PAC オプションと Do Not Use PAC オプション 3-4

5 ネットワークアクセスプロファイルでの EAP-FAST PAC 処理の無効化表 3-2 に NAP Protocols ページの新しいオプションを示します表 3-2 NAP Protocols ページの新しいオプションオプション Use PACs Do Not Use PACs Require Client Certificate Disable Client Certificate Lookup and Comparisons Assign Group 説明この NAP を適用されたクライアントが PAC が有効の状態で EAP-FAST を使用して ACS で認証されるようにする場合は Use PACs オプションボタンをクリックします Use PACs オプションボタンをクリックするとグローバル EAP-FAST 設定で使用可能な EAP-FAST 設定オプションと同じものが使用可能になりますこの NAP を適用されたクライアントが PAC が無効の状態で EAP-FAST を使用して ACS で認証されるようにする場合は Do Not Use PACs オプションボタンをクリックします Do Not Use PACs オプションボタンをクリックすると Require Client Certificate オプションが使用可能になります EAP-FAST トンネルを確立するためにクライアント証明書を要求するにはこのオプションを選択します Do Not Use PACs オプションボタンをクリックした場合は Disable Client Certificate Lookup and Comparisons チェックボックスをオンにしてクライアント証明書の検索を無効にし EAP-FAST PKI 認可バイパスを有効にできます Disable Client Certificate Lookup and Comparisons チェックボックスをオンにすると ACS はユーザデータベース内のユーザグループデータまたは公開鍵インフラストラクチャ (PKI) 証明書に基づいてユーザを認可することなく ( その代わりにあらかじめ設定されているユーザグループにユーザをマッピングして ) EAP-FAST トンネルを確立します Disable Client Certificate Lookup and Comparisons チェックボックスをオンにした場合は Assign Group フィールドにあるユーザグループのドロップダウンリストからクライアントに適用するユーザグループを選択します 3-5

6 NetBIOS の無効化 NetBIOS の無効化 NetBIOS を無効にした方がよい場合があるので ACS 4.2 は NetBIOS を無効にして実行できるようになっています ACS SE 4.2 は Windows 2003 のサービスが全部ではなく一部だけ含まれている Windows 2003 のカスタマイズバージョンで動作します ( 注 ) Windows 2000 Windows XP および Windows Server 2003 を使用して NetBIOS over TCP/IP(NetBT) を無効にできますが多くの企業ネットワークでは無効にしていませんほとんどの場合企業ネットワークにはレガシー (Windows 9.x または Windows NT) マシンが残っているからですこのようなマシンは NetBIOS を使用してドメインへのログイン相互検出共有リソースへアクセスするためのセッションの確立を実行するのでネットワークで正常に機能するために NetBIOS が必要です Windows 2000 Windows XP または Windows 2003 で NetBIOS over TCP/IP を無効にするには次の手順を実行しますステップ 1 ステップ 2 ステップ 3 ステップ 4 ステップ 5 My Network Places を右クリックし Properties を選択します適切な Local Area Connection アイコンを右クリックし Properties をクリックします Internet Protocol (TCP/IP) をクリックし Properties を選択します Advanced をクリックし WINS タブをクリックします WINS タブで NetBIOS over TCP/IP を有効または無効にしますこの変更はシステムをリブートしなくてもすぐに反映されます NetBIOS 設定を DHCP オプションのタイプによって選択的に有効または無効にできる DHCP サーバを使用している場合は必要に応じて Use NetBIOS setting from the DHCP server を選択できます Windows 2000/2003 を実行しているコンピュータの NetBIOS over TCP/IP は Windows 2000/2003 DHCP Server サービスによってサポートされている拡張 DHCP オプションタイプを使用して無効にすることもできます ( 注 ) Windows 2000 より前のオペレーティングシステムを実行しているコンピュータからは NetBIOS を無効にしている Windows 2000/XP/2003 コンピュータに対するファイルの参照検索または作成および印刷共有接続を実行できません 3-6

7 ACS 4.2 の拡張ロギング機能の設定 ACS 4.2 の拡張ロギング機能の設定 ACS 4.2 ではいくつかの新しいロギング機能が提供されます CSV 形式の Failed Attempts レポートおよび Passed Authentications レポートを設定するときに次のフィールドを追加できるようになりました Response Time:ACS が認証要求を受信してからクライアントに応答するまでに要した時間の長さを示します Framed-IP-address:Access-Request メッセージを受信したときに IP アドレスを割り当てるように ACS が設定されている場合または着信 Access-Request に IP アドレスが含まれている場合にフレーム化された IP アドレスを示します Session-ID: ユーザセッションのセッション ID を示します CSV 形式の Failed Attempts レポートまたは Passed Authentications レポートにフィールドを追加するには次の手順を実行しますステップ 1 ステップ 2 ナビゲーションバーの System Configuration をクリックします Logging をクリックします Logging Configuration ページが開きますステップ 3 CSV カラムで設定するレポートの名前の隣にある Configure をクリックします選択したレポートの設定ページが開きますステップ 4 ステップ 5 レポートにフィールドを追加するには Attributes カラムでフィールド名をクリックし右矢印ボタンをクリックして Logged Attributes カラムに移動します Submit をクリックしてレポートの設定を保存します 3-7

8 NAP レベルのグループフィルタリングの設定 NAP レベルのグループフィルタリングの設定 ACS 4.2 を使用して LDAP データベースにより認証されたユーザに対しユーザが属する LDAP グループに基づいてアクセスを許可および拒否できますこの機能は NAP レベルのグループフィルタリングと呼ばれます NAP レベルのグループフィルタリングを設定するには次の手順を実行しますステップ 1 ステップ 2 ACS サーバに LDAP を設定しますネットワークアクセスプロファイルを設定します a. ナビゲーションバーの Network Access Profiles をクリックします Network Access Profile ページが開きます b. プロファイルの Authentication リンクをクリックします選択したプロファイルの Authentication ページが表示されます Authentication ページの上部に Group Filtering for LDAP database セクションがあります ( 図 3-3 を参照 ) 図 3-3 Group Filtering for LDAP Database の設定 c. LDAP データベースのドロップダウンリストからユーザアクセスのフィルタリングに使用する LDAP データベースを選択します d. Available Groups リストにある LDAP ユーザグループの一覧からアクセスを許可するグループを選択します Available Groups リストでグループを選択し右矢印 (-->) ボタンをクリックしてそのグループを Selected Groups のリストに移動します e. リストをソートするには Up ボタンまたは Down ボタンをクリックしてグループをリストの上方または下方に移動しますステップ 3 Submit をクリックします 3-8

9 ダイナミックユーザを記録 ( 保存 ) しないようにするオプションダイナミックユーザを記録 ( 保存 ) しないようにするオプション Active Directory や LDAP などの外部データベースを使用して ACS でユーザを認証する場合ユーザが外部データベースで正常に認証されるとデフォルトではそのユーザの情報が ACS 内部データベースに保存されますこの方法で作成されたユーザはダイナミックユーザと呼ばれます ACS 4.2 ではダイナミックユーザのデータを作成 ( 保存 ) しないように ACS を設定できます ACS 内部データベースへのダイナミックユーザの作成を無効にするには次の手順を実行しますステップ 1 ナビゲーションバーで External User Databases > Unknown User Policy を選択します Configure Unknown User Policy ページが開きますステップ 2 Configure Caching Unknown Users セクションまでスクロールダウンします ( 図 3-4 を参照 ) 図 3-4 ダイナミックユーザの作成の無効化ステップ 3 Disable Dynamic users チェックボックスをオンにしますステップ 4 Submit をクリックします 3-9

10 Active Directory のマルチフォレストのサポート Active Directory のマルチフォレストのサポート ACS はマルチフォレスト環境でのマシン認証をサポートしますマシン認証はプライマリ ACS フォレストと要求されたドメインのフォレストとの間に適切な信頼関係が存在する限り成功します要求されたユーザまたはマシンのドメインが信頼できるフォレストに含まれている場合マシン認証は成功します ACS は EAP-FAST バージョン 1a(PEAP MSPEAP を使用 ) および EAP-TLS に対して複数のフォレスト間のユーザ認証をサポートします ( 注 ) マルチフォレスト機能はユーザ名にドメイン情報が含まれている場合に限り機能します ACS 4.2 での syslog の時間形式の設定 ACS SE 4.2 では ACS が syslog サーバへのメッセージの送信に使用する時間形式を設定するための新しいオプションが提供されます以前のリリースでは ACS SE デバイスはデバイス自身に設定されている現地時間を使用してのみ syslog メッセージを送信できましたリリース 4.2 では現地時間の設定またはグリニッジ標準時 (GMT) を使用して syslog メッセージを送信するように ACS SE を設定できます syslog サーバに送信されるイベントで使用される時間形式を設定するには次の手順を実行しますステップ 1 ナビゲーションバーで System Configuration > Date Format Control を選択します Date Format Control ページが開きますステップ 2 Time Zone Selection for syslog セクションで syslog サーバに送信されるイベントの日付形式を指定します次のようにして指定します現地時間を使用する場合は Use Local Time オプションボタンをクリックします GMT 時間を使用する場合は Use GMT Time オプションボタンをクリックしますステップ 3 Submit and Restart をクリックします 3-10

11 ACS SE の RSA サポート ACS SE の RSA サポート ACS 4.2 では RSA トークンサーバに対するサポートを ACS SE に追加できますこのサポートを追加するには次の手順を実行しますステップ 1 ナビゲーションバーの External User Databases をクリックします External User Databases ページが開きますステップ 2 Database Configuration をクリックします External User Databases Configuration ページが開きます ( 図 3-5 を参照 ) 図 3-5 External User Databases Configuration ページ (ACS SE) ステップ 3 RSA SecureID Token Server をクリックします Database Configuration Creation ページが表示されますステップ 4 Create New Configuration をクリックします Create a New External Database Configuration ページが表示されます ( 図 3-6 を参照 ) 3-11

12 ACS SE の RSA サポート図 3-6 Create a New External Database Configuration ページステップ 5 RSA SecureID トークンサーバの名前を入力し Submit をクリックしますトークンサーバで実行する処理を選択するように求められますステップ 6 Configure をクリックします sdconf.rec ファイルをアップロードするように求められますステップ 7 Upload scconf.rec をクリックしますステップ 8 Cisco Secure ACS to RSA SecurID Configuration ページが表示されます ( 図 3-7 を参照 ) 図 3-7 Cisco Secure ACS to RSA SecurID Configuration ページステップ 9 Cisco Secure ACS to RSA SecurID Configuration ページで表 3-3 に示されている情報を入力します 3-12

13 ACS SE の RSA サポート表 3-3 RSA SecureID サーバの設定フィールド FTP Server: Login: Password: Directory: 説明 sdconf.rec ファイルがある FTP サーバの IP アドレスこのファイルは RSA TokenID インストレーションの設定ファイルです FTP サーバ用のログイン名 FTP サーバ用のパスワード sdconf.rec ファイルがある FTP サーバ上のディレクトリステップ 10 Submit をクリックします RSA ノードシークレットファイルの消去 RSA トークンサーバの設定を変更した場合は既存のノードシークレットファイルを消去する必要がありますノードシークレットファイルを消去するには次の手順を実行しますステップ 1 ナビゲーションバーの External User Databases をクリックします External User Databases ページが開きますステップ 2 Database Configuration をクリックします External User Databases Configuration ページが開きますステップ 3 RSA SecurID Token Server をクリックします External User Database Configuration ページが開きますステップ 4 Configure をクリックします Cisco Secure ACS to RSA SecurID Configuration ページが開きますステップ 5 Purge Node Secret をクリックします RSA SecurID トークンと LDAP グループマッピングの設定認証はネイティブモードの RSA で実行することも LDAP グループマッピングを RSA と併用して実行することもできます RSA と LDAP グループマッピングを使用する場合はユーザの LDAP グループメンバーシップによって認可が制御されます RSA ネイティブモードでの認証が成功すると LDAP でグループマッピングが実行されますユーザのグループはグループマッピングの設定に基づいて適用されます 3-13

14 ACS SE の RSA サポート ( 注 ) LDAP グループマッピングを使用する RSA 認証を設定する前にこのタイプの外部データベースをサポートするために必要なサードパーティ DLL が適切にインストールまたは設定されていることを確認してください LDAP グループマッピングを使用する RSA 認証を設定するには次の手順を実行しますステップ 1 ステップ 2 ステップ 3 P.3-11 の ACS SE の RSA サポートの説明に従って RSA サポートを有効にしますナビゲーションバーの External User Databases をクリックします Database Configuration をクリックします選択できる外部ユーザデータベースタイプがすべてリストされますステップ 4 RSA SecurID Token and LDAP Group Mapping をクリックします External Database Configuration ページが表示されますステップ 5 Configure をクリックします LDAP Native RSA Configuration ページが開きますステップ 6 Configure LDAP をクリックします RSA SecurID Token and LDAP Group Mapping Configuration ページが開きます ( 図 3-8 を参照 ) 3-14

15 ACS SE の RSA サポート図 3-8 RSA SecurID Token and LDAP Group Mapping Configuration ページステップ 7 LDAP 認証要求に対してユーザ名によるフィルタリングを ACS が行わないようにするには Domain Filtering の Process all usernames を選択します 3-15

16 ACS SE の RSA サポートステップ 8 この LDAP 設定によって処理される認証を特定のドメイン修飾を持つユーザ名に制限するには次の手順を実行します ( 注 ) ドメインフィルタリングについては User Guide for Cisco Secure ACS, 4.2 の第 12 章の Domain Filtering を参照してください a. Domain Filtering の Only process usernames that are domain qualified オプションボタンをクリックします b. Qualified by リストから適切なドメイン修飾タイプ (Suffix または Prefix) を選択しますサポートされるドメイン修飾タイプは 1 つの LDAP 設定につき 1 つだけですたとえばこの LDAP 設定を使用して特定のドメイン名で始まるユーザ名を認証する場合は Prefix を選択しますこの LDAP 設定を使用して特定のドメイン名で終わるユーザ名を認証する場合は Suffix を選択します c. Domain Qualifier ボックスにこの LDAP 設定でユーザ名を認証するドメインの名前を入力しますユーザ ID とドメイン名を区切るデリミタを含めますデリミタが適切な位置にあることを確認してください Qualified by リストで Prefix を選択した場合はドメイン名の終わりに Qualified by リストで Suffix を選択した場合はドメイン名の始めに置く必要がありますサポートされるドメイン名は 1 つの LDAP 設定につき 1 つだけです 512 文字まで入力できます d. LDAP データベースに送信する前にドメイン修飾子を削除するように ACS を設定するには Strip domain before submitting username to LDAP server チェックボックスをオンにします e. ドメイン修飾子を削除せずにユーザ名を LDAP データベースに渡すように ACS を設定するには Strip domain before submitting username to LDAP server チェックボックスをオフにしますステップ 9 ACS がユーザ名からドメイン修飾子を削除してから LDAP サーバにユーザ名を送信できるようにするには次の手順を実行します ( 注 ) ドメインフィルタリングについては User Guide for Cisco Secure ACS, 4.2 の第 12 章の Domain Filtering を参照してください a. Domain Filtering の Process all usernames after stripping domain name and delimiter オプションボタンをクリックします b. 前に置かれたドメイン修飾子を削除するように ACS を設定するには Strip starting characters through the last X character チェックボックスをオンにしドメイン修飾子デリミタを X ボックスに入力します ( 注 ) ポンド記号 (#) 疑問符 (?) 引用符 ( ) アスタリスク (*) 右山カッコ (>) および左山カッコ (<) は X ボックスに入力できません ACS ではこれらの文字をユーザ名に使用できませんこれらの文字のいずれかが X ボックスに入力されていると削除が失敗します c. 後ろに置かれたドメイン修飾子を削除するように ACS を設定するには Strip ending characters from the first X character チェックボックスをオンにしドメイン修飾子デリミタを X ボックスに入力します 3-16

17 ACS SE の RSA サポート ( 注 ) ポンド記号 (#) 疑問符 (?) 引用符 ( ) アスタリスク (*) 右山カッコ (>) および左山カッコ (<) は X ボックスに入力できません ACS ではこれらの文字をユーザ名に使用できませんこれらの文字のいずれかが X ボックスに入力されていると削除が失敗しますステップ 10 Common LDAP Configuration の User Directory Subtree ボックスにすべてのユーザが含まれているツリーの DN を入力しますステップ 11 Group Directory Subtree ボックスにすべてのグループが含まれているサブツリーの DN を入力しますステップ 12 UserObjectType ボックスにユーザ名を含むユーザレコード内のアトリビュートの名前を入力しますこのアトリビュート名はディレクトリサーバから入手できます詳細についてはご使用の LDAP データベースのマニュアルを参照してください ( 注 ) UserObjectType と後続のフィールドのデフォルト値には Netscape Directory Server のデフォルト設定が反映されます LDAP サーバの設定とマニュアルを参照してこれらのフィールドの値をすべて確認しますステップ 13 UserObjectClass ボックスにレコードをユーザとして識別する LDAP objecttype アトリビュートの値を入力しますしばしばユーザレコードの objecttype アトリビュートには複数の値がありユーザに固有のものや他のオブジェクトタイプと共有されているものがあります共有されていない値を選択しますステップ 14 GroupObjectType ボックスにグループ名を含むグループレコード内のアトリビュートの名前を入力しますステップ 15 GroupObjectClass ボックスにレコードをグループとして識別するグループレコード内の LDAP objecttype アトリビュートの値を入力しますステップ 16 GroupAttributeName ボックスにそのグループのメンバーであるユーザレコードのリストを含むグループレコードのアトリビュートの名前を入力しますステップ 17 Server Timeout ボックスに ACS が LDAP サーバとの接続に失敗したと判断するまでに ACS が LDAP サーバからの応答を待つ秒数を入力しますステップ 18 LDAP 認証試行のフェールオーバーを有効にするには On Timeout Use Secondary チェックボックスをオンにしますステップ 19 Failback Retry Delay ボックスにプライマリ LDAP サーバがユーザ認証に失敗してからプライマリ LDAP サーバへ先に認証要求を送信するのを ACS が再開するまでの経過時間 ( 分単位 ) を入力します ( 注 ) ACS が常にプライマリ LDAP サーバを先に使用するように指定するには Failback Retry Delay ボックスにゼロ (0) を入力します 3-17

18 ACS SE の RSA サポートステップ 20 Max. Admin Connection ボックスに LDAP 管理者アカウント権限での同時接続の最大数を入力しますステップ 21 Primary LDAP Server テーブルおよび Secondary LDAP Server テーブルで次の手順を実行します ( 注 ) On Timeout Use Secondary チェックボックスをオンにしなかった場合は Secondary LDAP Server テーブルのオプションを設定する必要はありません a. Hostname ボックスに LDAP ソフトウェアを実行しているサーバの名前または IP アドレスを入力しますネットワーク上で DNS を使用している場合 IP アドレスの代わりにホスト名を入力できます b. Port ボックスに LDAP サーバが受信している TCP/IP ポート番号を入力しますデフォルトは LDAP 仕様の記述に従って 389 ですポート番号が不明な場合は LDAP サーバ上にそれらのプロパティを表示することによってポート番号を取得できます安全な認証を使用する場合通常はポート 636 が使用されます c. ACS が LDAP バージョン 3 を使用して LDAP データベースと通信するように指定するには LDAP Version チェックボックスをオンにします LDAP Version チェックボックスをオンにしない場合 ACS では LDAP バージョン 2 が使用されます d. SSL を使用して LDAP サーバに接続するように ACS を設定するには Use secure authentication チェックボックスをオンにし次の 3 つのステップを実行します SSL を使用しない場合ユーザ名とパスワードのクレデンシャルは通常クリアテキストでネットワークを経由して LDAP ディレクトリに渡されます e. ACS SE のみ :Use Secure Authentication チェックボックスをオンにした場合は次のいずれかの手順を実行しますまず次のチェックボックスをオンにします - - Trusted Root CA チェックボックス次に隣のドロップダウンリストで信頼できるルート CA を選択します Certificate Database Path チェックボックス次に cert7.db ファイルをダウンロードします ( 注 ) cert7.db 証明書データベースファイルを ACS に今すぐダウンロードするには User Guide for Cisco Secure ACS, 4.2 の第 12 章の Downloading a Certificate Database (Solution Engine Only) の手順を完了してからステップ f に進みます証明書データベースは後でダウンロードすることもできます現在の LDAP サーバ用の証明書データベースがダウンロードされていないとこの LDAP サーバでの安全な認証は失敗します f. ACS for Windows のみ :Use Secure authentication チェックボックスをオンにした場合は次のいずれかの手順を実行しますまず次のボタンをクリックします - Trusted Root CA オプションボタン次に隣のドロップダウンリストで信頼できるルート CA を選択します - Certificate Database Path オプションボタン次に隣のボックスに Netscape cert7.db ファイルへのパスを入力しますこのファイルには照会されるサーバおよび信頼できる CA の証明書が含まれています g. Admin DN ボックスには管理者の完全修飾認定者名 (DN) つまり User Directory Subtree 内の必要なすべてのユーザの検索が許されている LDAP アカウントを入力する必要があります Admin DN ボックスに LDAP サーバにある次の情報を入力します uid=user id,[ou=organizational unit,] [ou=next organizational unit]o=organization 3-18

19 ACS SE の RSA サポート user id はユーザ名です organizational unit はツリーの一番下のレベルです next organizational unit はツリーの 1 つ上のレベルです次の例を参考にしてください uid=joesmith,ou=members,ou=administrators,o=cisco ヒント Netscape DS を LDAP ソフトウェアとして使用している場合はこの情報を Netscape コンソールからコピーできます h. Password ボックスに Admin DN ボックスで指定した管理者アカウントのパスワードを入力します大文字と小文字の区別はサーバによって決定されますステップ 22 Submit をクリックします ( 注 ) 作成した全般的な LDAP 設定は ACS によって保存されますこの時点で設定を Unknown User Policy に追加するか特定のユーザアカウントを割り当てることによりこのデータベースを認証に使用できます 3-19

20 ping のオン / オフ ping のオン / オフ ACS 4.2 では ACS SE デバイスの ping を有効または無効にできますリリース 4.2 より前のリリースではリモートデバイスが ping 要求を SE デバイスに送信すると ping は常に拒否されましたデフォルトでは Cisco Security Agent(CSA) が ACS SE デバイス上で実行されているからです CSA はリモート ping 要求を自動的に拒否します ACS 4.2 では CSA のポリシーを更新することによって ping をオンまたはオフにする次のソフトウェアパッチが提供されます Ping Turn On Patch: このパッチにより CSA の ping オプションがオンにされますその結果 ACS SE への ping が可能になります Ping Turn Off Patch: このパッチにより CSA の ping オプションがオフにされますその結果 ACS SE は ping を拒否するようになりますこれらのパッチのインストール方法の詳細は Installation Guide for Cisco Secure ACS Solution Engine, 4.2 の Installing and Configuring Cisco Secure ACS Solution Engine 4.2 の Turning Ping On and Off を参照してください 3-20

RADIUS サーバを使用して NT のパスワード期限切れ機能をサポートするための Cisco VPN 3000 シリーズコンセントレータの設定

RADIUS サーバを使用して NT のパスワード期限切れ機能をサポートするための Cisco VPN 3000 シリーズコンセントレータの設定目次概要前提条件要件使用するコンポーネントネットワーク図 VPN 3000 コンセントレータの設定グループの設定 RADIUS の設定 Cisco Secure NT RADIUS サーバの設定 VPN 3000 コンセントレータ用のエントリの設定 NT