ユーザ管理

Transcription

1 CHAPTER 7 この章では Cisco Secure ACS for Windows Server でユーザアカウントをセットアップおよび管理する方法について説明します ( 注 ) ユーザレベルでの設定は グループレベルでの設定よりも優先されます User Setup を設定する前に User Setup セクションの動作を理解しておく必要があります Cisco Secure ACS は AAA クライアントの設定や使用されるセキュリティプロトコルに従って User Setup セクションのインターフェイスをダイナミックに構築します つまり User Setup に表示される内容は Network Configuration セクションと Interface Configuration セクションの両方の設定内容によって決まります この章は 次の項で構成されています User Setup の機能について (P.7-2) ユーザデータベース (P.7-3) 基本ユーザ設定オプション (P.7-5) (P.7-27) (P.7-65) 7-1

2 User Setup の機能について User Setup の機能について Cisco Secure ACS HTML インターフェイスの User Setup セクションには ユーザアカウントの設定と管理に関するすべての操作が集中しています User Setup セクションから 次のタスクを実行できます CiscoSecure ユーザデータベースにある全ユーザの一覧表示 ユーザの検索 ユーザの追加 Voice over IP(VoIP) グループを含むグループに対するユーザの割り当て ユーザアカウント情報の編集 ユーザ認証タイプの設定または変更 ユーザのコールバック情報の設定 ユーザのネットワークアクセス制限 (NAR) の設定 高度な設定 ユーザの同時最大セッション数 (Max Sessions) の設定 ユーザアカウントの無効化または再有効化 ユーザの削除 7-2

3 ユーザデータベース ユーザデータベース Cisco Secure ACS は CiscoSecure ユーザデータベースを含むいくつかのデータベースのいずれかに対して ユーザの認証を行います データベースのタイプにかかわらずユーザの認証時に使用するように Cisco Secure ACS を設定し すべてのユーザが CiscoSecure ユーザデータベース内にアカウントを持ち ユーザの権限付与が常に CiscoSecure ユーザデータベース内のユーザレコードに対して実行されるようにします ACS で使用される基本ユーザデータベースの一覧と説明 および各データベースに関する詳しい説明の参照先を次に示します CiscoSecure ユーザデータベース : ローカル CiscoSecure ユーザデータベースからユーザを認証します 詳細については P.13-3 の CiscoSecure ユーザデータベース を参照してください ヒント 次の認証タイプは 対応する外部ユーザデータベースが External User Databases セクションの Database Configuration 領域で設定されている場合に限り HTML インターフェイスに表示されます Windows Database: ローカルドメインまたは Windows ユーザデータベースに設定されたドメインにある Windows ユーザデータベース内にアカウントを持つユーザを認証します 詳細については P の Windows ユーザデータベース を参照してください Generic LDAP: 汎用 LDAP の外部ユーザデータベースからユーザを認証します 詳細については P の 汎用 LDAP を参照してください Novell NDS:Novell NetWare Directory Services(NDS; ディレクトリサービス ) を使用してユーザを認証します 詳細については P の Novell NDS データベース を参照してください ODBC Database:Open Database Connectivity(ODBC) 準拠のデータベースサーバからユーザを認証します 詳細については P の ODBC データベース を参照してください LEAP Proxy RADIUS Server Database:LEAP Proxy RADIUS サーバからユーザを認証します 詳細については P の LEAP Proxy RADIUS サーバデータベース を参照してください 7-3

4 ユーザデータベース Token Server: トークンサーバデータベースからユーザを認証します Cisco Secure ACS は ワンタイムパスワードによるセキュリティ強化に対応して さまざまなトークンサーバの使用をサポートしています 詳細については P の トークンサーバユーザデータベース を参照してください 7-4

5 基本ユーザ設定オプション 基本ユーザ設定オプション ここでは 新規ユーザを設定するときに実行する基本的なアクティビティについて説明します 最も基本的なレベルでは 新規ユーザの設定に必要な手順は 次の 3 つだけです 名前を指定する 外部ユーザデータベースまたはパスワードを指定する 情報を送信する ユーザアカウント設定を編集するための手順は 基本的にはユーザアカウントを追加する手順と同じですが 編集の場合は変更するフィールドに直接移動します ユーザアカウントに関連付けられた名前の変更はできません ユーザ名を編集するには そのユーザアカウントを削除して別のアカウントを設定する必要があります 新規ユーザアカウントの設定時に実行するその他の手順は ネットワークの複雑さと どの程度詳細に制御を行いたいかという 2 つの要因によって決まります この項では 次のトピックについて取り上げます 基本ユーザアカウントの追加 (P.7-6) Supplementary User Information の設定 (P.7-8) 個別の CHAP/MS-CHAP/ARAP パスワードの設定 (P.7-9) ユーザをグループに割り当てる (P.7-10) ユーザコールバックオプションの設定 (P.7-11) ユーザをクライアント IP アドレスに割り当てる (P.7-13) ネットワークアクセス制限をユーザに対して設定する (P.7-14) 最大セッションオプションをユーザに対して設定する (P.7-19) User Usage Quotas オプションの設定 (P.7-21) ユーザアカウントの無効化オプションの設定 (P.7-24) ダウンロード可能 IP ACL をユーザに割り当てる (P.7-26) 7-5

6 基本ユーザ設定オプション 基本ユーザアカウントの追加 ここでは 新規ユーザアカウントを CiscoSecure ユーザデータベースに追加する際に必要な最小限の手順を説明します ユーザアカウントを追加するには 次の手順を実行します ナビゲーションバーの User Setup をクリックします User Setup Select ページが開きます User ボックスに名前を入力します ( 注 ) ユーザ名には 最大で 64 文字まで使用できます 名前には 次の特殊文字は使用できません #? " * > < 先頭と末尾にスペースを置くことはできません ステップ 3 Add/Edit をクリックします User Setup Edit ページが開きます 追加の対象となるユーザアカウントがページ上部に表示されます ステップ 4 Account Disabled チェックボックスがオフになっていることを確認します ( 注 ) または Account Disabled チェックボックスをオンにして 無効なユーザアカウントを作成し 後で有効にすることもできます ステップ 5 User Setup テーブルの Password Authentication で 適用する認証タイプをリストから選択します 7-6

7 基本ユーザ設定オプション ヒント ここで表示される認証タイプには External User Databases セクションの Database Configuration 領域で設定したデータベースが反映されます ステップ 6 Password ボックスおよび Confirm Password ボックスの最初の組に 単一の CiscoSecure PAP パスワードを入力して指定します ( 注 ) Password ボックスと Confirm Password ボックスには それぞれ最大で 32 文字まで入力できます ヒント Separate CHAP/MS-CHAP/ARAP チェックボックスがオフになっている場合は CHAP/MS-CHAP/ARAP についても CiscoSecure PAP パスワードが使用されます ヒント 最初に PAP パスワードを 次に CHAP パスワードまたは MS-CHAP パスワードを要求するように AAA クライアントを設定すると ユーザが PAP パスワードを使用してダイヤルインしたときに認証が行われます たとえば AAA クライアントコンフィギュレーションファイルに次の行を設定すると AAA クライアントでは PAP の後に CHAP がイネーブルになります ppp authentication pap chap ステップ 7 次のいずれか 1 つを実行します ユーザアカウントオプションの設定を終了してユーザアカウントを設定するには Submit をクリックします 続けてユーザアカウントオプションを指定する場合は この章の手順を必要に応じて実行します 7-7

8 基本ユーザ設定オプション ヒント 複雑なアカウント設定を行う場合は 続行する前に Submit をクリックします これで 予期しない問題が生じた場合でも入力済みの情報が失われません Supplementary User Information の設定 Supplementary User Information では 最大 5 つのフィールドを設定して含めることができます デフォルト設定では Real Name と Description という 2 つのフィールドが用意されています これらのオプションフィールドの表示および設定方法については P.3-4 の ユーザデータの設定オプション を参照してください Supplementary User Information テーブルにオプション情報を入力するには 次の手順を実行します P.7-6 の 基本ユーザアカウントの追加 の ~ ステップ 3 を実行します User Setup Edit ページが開きます 追加または編集の対象となるユーザ名がページ上部に表示されます Supplementary User Infomation テーブルに表示された各ボックスに 必要な情報を入力します ( 注 ) Real Name ボックスと Description ボックスには それぞれ最大で 128 文字まで入力できます 7-8

9 基本ユーザ設定オプション ステップ 3 次のいずれか 1 つを実行します ユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します 続けてユーザアカウントオプションを指定する場合は この章の手順を必要に応じて実行します 個別の CHAP/MS-CHAP/ARAP パスワードの設定 個別の CHAP/MS-CHAP/ARAP パスワードを設定すると Cisco Secure ACS 認証のセキュリティがさらに強化されます ただし 個別のパスワードを使用するには AAA クライアントを設定しておく必要があります ユーザが CiscoSecure ユーザデータベースの PAP パスワードの代わりに CHAP MS-CHAP または ARAP パスワードを使用して認証できるようにするには 次の手順を実行します P.7-6 の 基本ユーザアカウントの追加 の ~ ステップ 3 を実行します User Setup Edit ページが開きます 追加または編集の対象となるユーザ名がページ上部に表示されます ステップ 3 User Setup テーブルの Separate CHAP/MS-CHAP/ARAP チェックボックスをオンにします Separate (CHAP/MS-CHAP/ARAP) チェックボックスの下にある Password/Confirm ボックスの 2 番目の組に 使用する CHAP/MS-CHAP/ARAP パスワードをそれぞれ入力して指定します ( 注 ) Password ボックスと Confirm Password ボックスには それぞれ最大で 32 文字まで入力できます 7-9

10 基本ユーザ設定オプション ( 注 ) これらの Password ボックスおよび Confirm Password ボックスは Cisco Secure ACS データベースによる認証にだけ必要です さらに あるユーザが VoIP( ヌルパスワード ) グループに割り当てられ オプションのパスワードがそのユーザプロファイルにも含まれている場合は ユーザが非 VoIP グループに再マッピングされるまでそのパスワードは使用されません ステップ 4 次のいずれか 1 つを実行します ユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します 続けてユーザアカウントオプションを指定する場合は この章の手順を必要に応じて実行します ユーザをグループに割り当てる Cisco Secure ACS では ユーザは 1 つのグループにだけ所属できます ユーザは 自分のグループに割り当てられているアトリビュートと操作を継承します ただし 設定が矛盾する場合は グループレベルでの設定よりもユーザレベルでの設定が優先されます デフォルトでは ユーザは Default Group に割り当てられます 既存の Cisco Secure ACS グループにマッピングされていないユーザおよび Unknown User 方式で認証されるユーザも同様に Default Group に割り当てられます または ユーザを特定のグループにマップしないで 外部の認証者にグループのマッピングを実行させることもできます Cisco Secure ACS がグループ情報を取得できる外部ユーザデータベースの場合は 外部ユーザデータベース内のユーザに定義されているグループメンバーシップを特定の Cisco Secure ACS グループに関連付けることができます 詳細については 第 16 章 ユーザグループマッピングと仕様 を参照してください ユーザをグループに割り当てるには 次の手順を実行します 7-10

11 基本ユーザ設定オプション P.7-6 の 基本ユーザアカウントの追加 の ~ ステップ 3 を実行します User Setup Edit ページが開きます 追加された または編集されたユーザ名がページ上部に表示されます User Setup テーブルの Group to which user is assigned リストから ユーザを割り当てるグループを選択します ヒント または リスト内を上の方向にスクロールし Mapped By External Authenticator オプションを選択します ステップ 3 次のいずれか 1 つを実行します ユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します 続けてユーザアカウントオプションを指定する場合は この章の手順を必要に応じて実行します ユーザコールバックオプションの設定 コールバックとは アクセスサーバに返されるコマンド文字列です モデムを起動するときにコールバック文字列を使用すると セキュリティの強化または着信課金のために ユーザが特定の番号にコールバックするように設定できます ユーザコールバックオプションを設定するには 次の手順を実行します P.7-6 の 基本ユーザアカウントの追加 の ~ ステップ 3 を実行します User Setup Edit ページが開きます 追加された または編集されたユーザ名がページ上部に表示されます 7-11

12 基本ユーザ設定オプション User Setup テーブルの Callback から 適用するオプションを選択します ここで選択できる項目は 次のとおりです Use group setting: ユーザにグループの設定を適用します No callback allowed: ユーザに対するコールバックをディセーブルにします Callback using this number: これを選択して 必要に応じて市外局番も含めた電話番号を入力すると ユーザへのコールバックには その電話番号が常時使用されます ( 注 ) コールバック番号の文字列の長さは 最大で 199 文字までです Dialup client specifies callback number:windows のダイヤルアップクライアントがコールバック番号を指定できます Use Windows Database callback settings:windows のコールバック用に指定された設定を使用します ユーザの Windows アカウントがリモートドメインにある場合 Microsoft Windows のコールバック設定がそのユーザに対して動作するためには Cisco Secure ACS が常駐するドメインとそのドメインとの間に双方向の信頼性が必要です ( 注 ) ダイヤルアップユーザは コールバックをサポートするソフトウェアを設定しておく必要があります ステップ 3 次のいずれか 1 つを実行します ユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します 続けてユーザアカウントオプションを指定する場合は この章の手順を必要に応じて実行します 7-12

13 基本ユーザ設定オプション ユーザをクライアント IP アドレスに割り当てる ユーザをクライアント IP アドレスに割り当てるには 次の手順を実行します P.7-6 の 基本ユーザアカウントの追加 の ~ ステップ 3 を実行します User Setup Edit ページが開きます 追加または編集の対象となるユーザ名がページ上部に表示されます User Setup テーブルの Client IP Address Assignment から 適用するオプションを選択します ここで選択できる項目は 次のとおりです ( 注 ) User Setup で IP アドレスを割り当てると Group Setup の IP アドレス割り当てが無効になります Use group settings:ip アドレスグループ割り当てを使用します No IP address assignment: クライアントから返される IP アドレスを必要としない場合は このオプションを選択してグループ設定を無効にします Assigned by dialup client:ip アドレスのダイヤルアップクライアント割り当てを使用します Assign static IP address: ユーザに対して特定の IP アドレスを使用する必要がある場合は このオプションを選択してボックスにその IP アドレス ( 最大 15 文字 ) を入力します ( 注 ) IP アドレスが IP アドレスプールから またはダイヤルアップクライアントによって割り当てられる場合は Assign IP address ボックスをブランクのままにします Assigned by AAA client pool:aaa クライアントで設定された IP アドレスプールからこのユーザに IP アドレスを割り当てる場合は このオプションを選択し ボックスに AAA クライアント IP プール名を入力します 7-13

14 基本ユーザ設定オプション Assigned from AAA pool:aaa サーバで設定された IP アドレスプールからこのユーザに IP アドレスを割り当てる場合は このオプションを選択し ボックスに使用するプール名を入力します Available Pools リストで AAA サーバの IP プール名を選択し 次に -->( 右矢印ボタン ) をクリックすると 選択した名前が Selected Pools リストに移動します Selected Pools リストに複数のプールがある場合 このグループ内のユーザは リストで最初に表示された使用可能なプールに割り当てられます リスト上のプールの位置を移動するには プール名を選択し Up または Down をクリックしてプールを適切な位置に移動します ステップ 3 次のいずれか 1 つを実行します ユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します 続けてユーザアカウントオプションを指定する場合は この章の手順を必要に応じて実行します ネットワークアクセス制限をユーザに対して設定する User Setup の Advanced Settings 領域にある Network Access Restrictions テーブルでは 次の 3 つの方法で NAR を設定できます 名前を指定して既存の共有 NAR を適用する IP に基づいたアクセス制限を定義し IP 接続確立時に 指定された AAA クライアントまたは AAA クライアントの指定ポートに対するユーザアクセスを許可または拒否する CLI/DNIS に基づいたアクセス制限を定義し 使用される CLI/DNIS に基づいたユーザアクセスを許可または拒否する ( 注 ) また CLI/DNIS に基づいたアクセス制限領域を使用して 別の値を指定できます 詳細については P.5-19 の ネットワークアクセス制限について を参照してください 7-14

15 基本ユーザ設定オプション 通常は Shared Components セクションから ( 共有 )NAR を定義することにより これらの制限を複数のグループまたはユーザに適用します 詳細については P.5-24 の 共有ネットワークアクセス制限の追加 を参照してください Interface Configuration セクションの Advanced Options ページにある User-Level Shared Network Access Restriction チェックボックスをオンにし これらのオプションセットが HTML インターフェイスに表示されるようにしておく必要があります ただし Cisco Secure ACS では User Setup セクションから単一のユーザに対して NAR を定義および適用することもできます 単一ユーザの IP に基づいたフィルタオプション および単一ユーザの CLI/DNIS に基づいたフィルタオプションを HTML インターフェイスに表示するには Interface Configuration セクションの Advanced Options ページで User-Level Network Access Restriction 設定をイネーブルにしておく必要があります ( 注 ) 認証要求がプロキシから Cisco Secure ACS サーバに転送されると TACACS+ 要求に使用されるすべての NAR は 発信元の AAA クライアントの IP アドレスではなく 転送先の AAA サーバの IP アドレスに適用されます アクセス制限をユーザごとに作成する場合 Cisco Secure ACS は アクセス数への制限も 各アクセスの長さへの制限も適用しません ただし 次の制限は適用します 行項目それぞれのフィールド長の合計が 1024 文字を超えることはできない 共有 NAR では 文字サイズの合計が 16 KB を超えることはできない サポートされる行項目の数は 行項目それぞれの長さによって異なります たとえば CLI/DNIS ベースの NAR を作成する場合 AAA クライアント名が 10 文字 ポート番号が 5 文字 CLI エントリが 15 文字 DNIS エントリが 20 文字のときは 16 KB 制限に達しない限り 450 行項目を追加できます ユーザの NAR を設定するには 次の手順を実行します P.7-6 の 基本ユーザアカウントの追加 の ~ ステップ 3 を実行します 7-15

16 基本ユーザ設定オプション User Setup Edit ページが開きます 追加または編集の対象となるユーザ名がページ上部に表示されます 事前に設定された共有 NAR をこのユーザに適用するには 次の手順を実行します ( 注 ) 共有 NAR を適用するには Shared Profile Components セクションの Network Access Restrictions で該当する NAR を設定しておく必要があります 詳細については P.5-24 の 共有ネットワークアクセス制限の追加 を参照してください a. Only Allow network access when チェックボックスをオンにします b. ユーザのアクセスを許可するために 1 つの共有 NAR またはすべての共有 NAR のどちらを適用するかを指定するには 次の 2 つのオプションのいずれかを選択します All selected NARS result in permit Any one selected NAR results in permit c. NARs リストから共有 NAR 名を選択し 次に -->( 右矢印ボタン ) をクリックして その名前を Selected NARs リストに移動します ヒント 適用することを選択した共有 NAR のサーバ詳細を表示するには View IP NAR または View CLID/DNIS NAR の該当する方をクリックします ステップ 3 IP アドレス または IP アドレスとポートに基づいて この特定のユーザに対してユーザアクセスを許可または拒否する NAR を定義および適用するには 次の手順を実行します ヒント 複数のグループまたはユーザに適用する場合は ほとんどの NAR を Shared Components セクションから定義する必要があります 詳細については P.5-24 の 共有ネットワークアクセス制限の追加 を参照してください 7-16

17 基本ユーザ設定オプション a. Network Access Restrictions テーブルの Per User Defined Network Access Restrictions で Define IP-based access restrictions チェックボックスをオンにします b. 後続してリストに追加される IP アドレスを許可または拒否するかを指定するには Table Defines リストから次のいずれかを選択します Permitted Calling/Point of Access Locations Denied Calling/Point of Access Locations c. 次のボックスで情報を選択するか または入力します AAA Client:All AAA Clients を選択するか アクセスを許可または拒否するネットワークデバイスグループ (NDG) の名前 または個々の AAA クライアントの名前を入力します Port: アクセスを許可または拒否するポートの番号を入力します ワイルドカードアスタリスク (*) を使用すると 選択された AAA クライアント上のすべてのポートに対するアクセスを許可または拒否できます Address: アクセス制限の実行時に使用する IP アドレス ( 複数可 ) を入力します ワイルドカードアスタリスク (*) を使用できます ( 注 ) AAA Client リスト Port ボックス および Src IP Address ボックスの文字数の合計は 1024 を超えることができません NAR を追加する場合 Cisco Secure ACS は 1024 を超える文字を受け入れますが NAR は編集できず さらに Cisco Secure ACS が NAR をユーザに正確に適用できなくなります d. Enter キーを押します 指定した AAA クライアント ポート およびアドレス情報が AAA Client リスト上部のテーブルに表示されます ステップ 4 発信場所 または設定された IP アドレス以外の値に基づいて このユーザのアクセスを許可または拒否するには 次の手順を実行します a. Define CLI/DNIS based access restrictions チェックボックスをオンにします b. 後続してリストに追加される値を許可するか または拒否するかを指定するには Table Defines リストから 次のいずれかを選択します Permitted Calling/Point of Access Locations Denied Calling/Point of Access Locations 7-17

18 基本ユーザ設定オプション c. 次のボックスに必要な情報を入力します ( 注 ) 各ボックスに入力する必要があります 値の全体または一部にワイルドカードアスタリスク (*) を使用できます 使用する形式は AAA クライアントから受信する文字列の形式と一致している必要があります この形式は RADIUS アカウンティングログから判別できます AAA Client:All AAA Clients を選択するか アクセスを許可または拒否する NDG の名前 または個々の AAA クライアントの名前を入力します PORT: アクセスを許可または拒否するポート番号を入力します ワイルドカードアスタリスク (*) を使用すると すべてのポートに対するアクセスを許可または拒否できます CLI: アクセスを許可または拒否する CLI 番号を入力します ワイルドカードアスタリスク (*) を使用すると 番号の一部に基づいてアクセスを許可または拒否できます ヒント これは Cisco Aironet クライアントの MAC アドレスなど 他の値に基づいてアクセスを制限する場合にも選択します 詳細については P.5-19 の ネットワークアクセス制限について を参照してください DNIS: アクセスを許可または拒否する DNIS 番号を入力します これは ユーザがダイヤルする番号に基づいてアクセスを制限するために使用します ワイルドカードアスタリスク (*) を使用すると 番号の一部に基づいてアクセスを許可または拒否できます ヒント これは Cisco Aironet AP の MAC アドレスなど 他の値に基づいてアクセスを制限する場合にも選択します 詳細については P.5-19 の ネットワークアクセス制限について を参照してください 7-18

19 基本ユーザ設定オプション ( 注 ) AAA Client リスト Port ボックス CLI ボックス および DNIS ボックスの文字数の合計は 1024 を超えることができません NAR を追加する場合 Cisco Secure ACS は 1024 を超える文字を受け入れますが NAR は編集できず さらに Cisco Secure ACS が NAR をユーザに正確に適用できなくなります ステップ 5 d. Enter キーを押します AAA クライアント ポート CLI および DNIS を指定する情報が AAA Client リスト上部のテーブルに表示されます 次のいずれか 1 つを実行します ユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します 続けてユーザアカウントオプションを指定する場合は この章の手順を必要に応じて実行します 最大セッションオプションをユーザに対して設定する 最大セッション機能を使用することで ユーザに許可する同時コネクションの最大数を設定できます Cisco Secure ACS では セッションとは RADIUS または TACACS+ によってサポートされている任意のタイプのユーザコネクションを示し これには PPP Telnet ARAP などがあります ただし Cisco Secure ACS がセッションを認識するためには AAA クライアントでアカウンティングをイネーブルにする必要があります すべてのセッションカウントは ユーザ名とグループ名にだけ基づきます Cisco Secure ACS では セッションのタイプによる区別をサポートしていません すべてのセッションは 同じものとしてカウントされます たとえば 最大セッションカウントが 1 のユーザが PPP セッションで AAA クライアントにダイヤルインしている間は 同一の Cisco Secure ACS によってアクセスが制御されている場所に Telnet 接続を試みても その接続は拒否されます 7-19

20 基本ユーザ設定オプション ( 注 ) それぞれの Cisco Secure ACS は 独自の最大セッションカウントを保持しています Cisco Secure ACS が最大セッションカウントを複数の Cisco Secure ACS 間で共有するための方式は用意されていません したがって 2 つの Cisco Secure ACS がその間で負荷が分散されたミラーリングペアとして設定されている場合でも 最大セッションの合計数はまったく別個に表示されます ヒント Max Sessions テーブルが表示されない場合は Interface Configuration をクリックし 次に Advanced Options をクリックしてから Max Sessions チェックボックスをオンにします ユーザに対して Max Sessions オプションを設定するには 次の手順を実行します P.7-6 の 基本ユーザアカウントの追加 の ~ ステップ 3 を実行します User Setup Edit ページが開きます 追加または編集の対象となるユーザ名がページ上部に表示されます Max Sessions テーブルの Sessions available to user で 次の 3 つのオプションのいずれか 1 つを選択します Unlimited: ユーザの同時セッション数を無制限に許可します ( このオプションによって 最大セッションが実質的に無効になります ) n: ユーザに許可する同時セッションの最大数を入力します Use group setting: 最大セッション数の値をグループに対して適用します ( 注 ) デフォルト設定は Use group setting です 7-20

21 基本ユーザ設定オプション ( 注 ) ユーザの最大セッション数を設定すると グループの最大セッション設定が無効になります たとえば Sales というグループの最大セッション数の値が 10 しかない場合でも Sales グループのユーザである John に User Max Sessions の値として Unlimited が割り当てられていると John にはグループの設定値に関係なく無制限のセッション数が許可されます ステップ 3 次のいずれか 1 つを実行します ユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します 続けてユーザアカウントオプションを指定する場合は この章の手順を必要に応じて実行します User Usage Quotas オプションの設定 各ユーザに使用状況を割り当てることができます 次の 2 つの方法のいずれか または両方でユーザを制限できます 選択した期間内におけるセッションの合計時間 選択した期間内におけるセッションの合計数 Cisco Secure ACS では セッションとは RADIUS または TACACS+ によってサポートされている任意のタイプのユーザコネクションを示し これには PPP Telnet ARAP などがあります ただし Cisco Secure ACS がセッションを認識するためには AAA クライアントでアカウンティングをイネーブルにする必要があります Session Quotas セクションで個別に指定されていないユーザについては Cisco Secure ACS によって そのユーザが割り当てられているグループのセッション割当量が適用されます ( 注 ) User Usage Quotas 機能が表示されない場合は Interface Configuration をクリックし 次に Advanced Options をクリックしてから Usage Quotas チェックボックスをオンにします 7-21

22 基本ユーザ設定オプション ヒント User Setup Edit ページの User Usage Quotas テーブルの下にある Current Usage テーブルに 現在のユーザについての使用状況統計情報が表示されます Current Usage テーブルには そのユーザが使用したオンライン時間とセッション数の両方が 毎日 毎週 毎月 および合計使用量のカラムに表示されます Current Usage テーブルは 設定済みのユーザアカウントについてだけ表示されます したがって 最初のユーザ設定時には表示されません 割当量を超過したユーザについては そのユーザが次にセッションの開始を試みた時点で Cisco Secure ACS によってアクセスが拒否されます あるセッション中に割り当てを超えても Cisco Secure ACS は そのセッションの継続を許可します 使用割当量を超えたために無効になったユーザアカウントについては User Setup Edit ページに アカウントが無効になった理由を示すというメッセージが表示されます ユーザの User Setup ページでは セッション割当量カウンタをリセットできます 使用割当量カウンタのリセットの詳細については P.7-69 の ユーザセッション割当量カウンタのリセット を参照してください 時間に基づいた割当量をサポートするためには すべての AAA クライアント上でアカウンティングアップデートパケットをイネーブルにすることを推奨します アップデートパケットがイネーブルではない場合 割当量はユーザがログオフしたときだけアップデートされます ユーザがネットワークへのアクセスに使用している AAA クライアントに障害が発生すると 割当量はアップデートされません ISDN のような複数セッションの場合は すべてのセッションが終了するまで 割当量はアップデートされないため 最初のチャネルがユーザの割当量を使い切っていても 2 番目のチャネルが受け付けられることになります ユーザ使用割当量のオプションを設定するには 次の手順を実行します P.7-6 の 基本ユーザアカウントの追加 の ~ ステップ 3 を実行します User Setup Edit ページが開きます 追加または編集の対象となるユーザ名がページ上部に表示されます 7-22

23 基本ユーザ設定オプション Usage Quotas テーブルで Use these settings を選択します ステップ 3 セッションの期間に基づいた使用割当量を定義するには 次の手順を実行します a. Limit user to x hours of online time チェックボックスをオンにします b. Limit user to x hours of online time ボックスに ユーザを制限する時間数を入力します 分を表すには 小数を使用します たとえば 値 10.5 は 10 時間 30 分になります ( 注 ) このフィールドには 最大で 10 文字まで入力できます ステップ 4 c. 時間割当量を適用する期間を選択します per Day: 午前 12:01 から夜中の 12:00 まで per Week: 日曜の午前 12:01 から土曜の夜中の 12:00 まで per Month: 月の朔日 (1 日 ) の午前 12:01 から月の末日の夜中の 12:00 まで Absolute: 継続した無期限の時間カウント セッション数に基づいて使用割当量を定義するには 次の手順を実行します a. Limit user to x sessions チェックボックスをオンにします b. Limit user to x sessions ボックスに ユーザに対して制限するセッション回数 を入力します ( 注 ) このフィールドには 最大で 10 文字まで入力できます c. セッション割当量を適用する期間を選択します per Day: 午前 12:01 から夜中の 12:00 まで per Week: 日曜の午前 12:01 から土曜の夜中の 12:00 まで per Month: 月の朔日 (1 日 ) の午前 12:01 から月の末日の夜中の 12:00 まで 7-23

24 基本ユーザ設定オプション Absolute: 継続した無期限の時間カウント ユーザアカウントの無効化オプションの設定 Account Disable 機能では ユーザアカウントを無効にする状況を定義します ( 注 ) この機能は パスワードエージングによるアカウントの期限満了とは異なります パスワードエージングは個別のユーザに対してではなく グループに対してだけ定義されます また この機能は Account Disabled チェックボックスと異なることにも注意してください ユーザアカウントを無効にする方法については P.7-67 の ユーザアカウントの無効化 を参照してください ( 注 ) Windows のユーザデータベースを使用してユーザを認証する場合 この期限満了情報は Windows のユーザアカウント内の情報とは別に追加されます ここで変更を行っても Windows での設定内容は変更されません ユーザアカウントの無効化に関するオプションを設定するには 次の手順を実行します P.7-6 の 基本ユーザアカウントの追加 の ~ ステップ 3 を実行します User Setup Edit ページが開きます 追加または編集の対象となるユーザ名がページ上部に表示されます 次のいずれか 1 つを実行します a. ユーザアカウントを常に有効に保つ場合は Never オプションを選択します 7-24

25 基本ユーザ設定オプション ( 注 ) これがデフォルト設定です b. 特定の条件下でアカウントを無効にするには Disable account if オプションを選択します 次に 後続のボックスで 状況のいずれかまたは両方を指定します Date exceeds:date exceeds: チェックボックスをオンにします 次に アカウントを無効にする月を選択し 日付 (2 文字 ) と年 (4 文字 ) を入力します ( 注 ) デフォルト値は ユーザの追加後 30 日です Failed attempts exceed:failed attempts exceed チェックボックスをオンにし アカウントが無効になるまでに許可されるログインの連続失敗回数を入力します ( 注 ) デフォルト値は 5 です ステップ 3 次のいずれか 1 つを実行します ユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します 続けてユーザアカウントオプションを指定する場合は この章の手順を必要に応じて実行します 7-25

26 基本ユーザ設定オプション ダウンロード可能 IP ACL をユーザに割り当てる Downloadable ACL 機能によって IP Access Control リスト (ACL) をユーザレベルで割り当てることができます 割り当てる前に 1 つ以上の IP ACL を設定しておく必要があります Cisco Secure ACS HTML インターフェイスの Shared Profile Components セクションを使用してダウンロード可能 IP ACL を設定する方法については P.5-13 の ダウンロード可能 IP ACL の追加 を参照してください ( 注 ) Downloadable ACLs テーブルは イネーブルになっていない場合は表示されません Downloadable ACLs テーブルをイネーブルにするには Interface Configuration をクリックし 次に Advanced Options をクリックしてから User-Level Downloadable ACLs チェックボックスをオンにします ダウンロード可能 IP ACL をユーザアカウントに割り当てるには 次の手順を実行します P.7-6 の 基本ユーザアカウントの追加 の ~ ステップ 3 を実行します User Setup Edit ページが開きます 追加および編集の対象となるユーザ名がページ上部に表示されます ステップ 3 ステップ 4 Downloadable ACLs セクションの下にある Assign IP ACL: チェックボックスをオンにします リストから IP ACL を選択します 次のいずれか 1 つを実行します ユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します 続けてユーザアカウントオプションを指定する場合は この章の手順を必要に応じて実行します 7-26

27 ここでは ユーザレベルの TACACS+ および RADIUS のイネーブルパラメータを設定するために実行するアクティビティについて説明します この項では 次のトピックについて取り上げます TACACS+ 設定 ( ユーザ )(P.7-28) - TACACS+ をユーザに対して設定する (P.7-28) - シェルコマンド許可セットをユーザに対して設定する (P.7-31) - PIX コマンド許可セットをユーザに対して設定する (P.7-34) - デバイス管理コマンド許可をユーザに対して設定する (P.7-36) - Unknown Service をユーザに対して設定する (P.7-38) 高度な TACACS+ 設定 ( ユーザ )(P.7-39) - Enable Privilege オプションをユーザに対して設定する (P.7-39) - TACACS+ Enable Password オプションをユーザに対して設定する (P.7-42) - TACACS+ 発信パスワードをユーザに対して設定する (P.7-43) RADIUS アトリビュート (P.7-44) - IETF RADIUS パラメータをユーザに対して設定する (P.7-45) - Cisco IOS/PIX RADIUS パラメータをユーザに対して設定する (P.7-46) - Cisco Aironet RADIUS パラメータをユーザに対して設定する (P.7-48) - Ascend RADIUS パラメータをユーザに対して設定する (P.7-50) - Cisco VPN 3000 Concentrator RADIUS パラメータをユーザに対して設定する (P.7-52) - Cisco VPN 5000 Concentrator RADIUS パラメータをユーザに対して設定する (P.7-54) - Microsoft RADIUS パラメータをユーザに対して設定する (P.7-56) - Nortel RADIUS パラメータをユーザに対して設定する (P.7-58) - Juniper RADIUS パラメータをユーザに対して設定する (P.7-60) - BBSM RADIUS パラメータをユーザに対して設定する (P.7-61) - カスタム RADIUS アトリビュートをユーザに対して設定する (P.7-63) 7-27

28 TACACS+ 設定 ( ユーザ ) TACACS+ Settings セクションでは ユーザの権限付与に適用するサービス / プロトコルパラメータをイネーブル化および設定できます この項では 次のトピックについて取り上げます TACACS+ をユーザに対して設定する (P.7-28) シェルコマンド許可セットをユーザに対して設定する (P.7-31) PIX コマンド許可セットをユーザに対して設定する (P.7-34) デバイス管理コマンド許可をユーザに対して設定する (P.7-36) Unknown Service をユーザに対して設定する (P.7-38) TACACS+ をユーザに対して設定する この手順では 次のサービス / プロトコルについてユーザレベルの TACACS+ 設定を実行します PPP IP PPP IPX PPP Multilink PPP Apple Talk PPP VPDN PPP LCP ARAP Shell (exec) PIX Shell (pixshell) SLIP また 設定した任意の新しい TACACS+ サービスもイネーブルにできます すべてのサービス / プロトコル設定を User Setup セクションに表示すると煩雑になるため どの設定を表示または非表示にするかを インターフェイス設定時にユーザレベルで選択します Cisco Secure ACS HTML インターフェイスでの新規または既存の TACACS+ サービスの設定については P.3-10 の TACACS+ のプロトコル設定オプション を参照してください 7-28

29 Cisco デバイス管理アプリケーションと連係動作するように Cisco Secure ACS を設定した場合は そのデバイス管理アプリケーションをサポートするための新しい TACACS+ サービスが 必要に応じて自動的に表示されます Cisco Secure ACS とデバイス管理アプリケーションとの連係動作の詳細については P.1-22 の Cisco デバイス管理アプリケーションのサポート を参照してください アトリビュートの詳細については 付録 B TACACS+ の AV ペア または使用している AAA クライアントのマニュアルを参照してください IP ACL の割り当てについては P.7-26 の ダウンロード可能 IP ACL をユーザに割り当てる を参照してください 始める前に TACACS+ サービス / プロトコル設定が表示されるようにするには セキュリティコントロールプロトコルとして TACACS+ を使用するように AAA クライアントを設定しておく必要があります Interface Configuration の Advanced Options セクションにある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっていることを確認します ユーザに対して TACACS+ 設定を行うには 次の手順を実行します Interface Configuration TACACS+ (Cisco IOS) の順にクリックします TACACS+ Services テーブルの User というヘッダーの下部で 設定したいサービス / プロトコルのチェックボックスがオンになっていることを確認します P.7-6 の 基本ユーザアカウントの追加 の ~ ステップ 3 を実行します User Setup Edit ページが開きます 追加または編集の対象となるユーザ名がページ上部に表示されます ステップ 3 TACACS+ Settings テーブルを下にスクロールし 太字のサービス名のチェックボックスをオンにして そのプロトコルをイネーブルにします ( たとえば PPP IP など ) 7-29

30 ステップ 4 選択したサービス内の特定のパラメータをイネーブルにするには そのパラメータの隣にあるチェックボックスをオンにし 必要に応じて次のいずれかを行います Enabled チェックボックスをオンにします 対応するアトリビュートのボックスに値を指定します ACL および IP アドレスプールを指定するには ACL またはプールの名前を AAA クライアントで定義されているとおりに入力します デフォルト設定 (AAA クライアントの定義による ) を使用する場合は ブランクのままにします アトリビュートの詳細については 付録 B TACACS+ の AV ペア または使用している AAA クライアントのマニュアルを参照してください IP ACL の割り当てについては P.7-26 の ダウンロード可能 IP ACL をユーザに割り当てる を参照してください ヒント ACL は ネットワーク上の他のデバイスまたはユーザに対するアクセス または他のデバイスまたはユーザからのアクセスを制限するために使用される Cisco IOS コマンドのリストです ステップ 5 ステップ 6 特定のサービスについてカスタムアトリビュートを使用するには そのサービスの Custom attributes チェックボックスをオンにし 次にチェックボックスの下部にあるボックスにアトリビュート / 値を指定します 次のいずれか 1 つを実行します ユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します 続けてユーザアカウントオプションを指定する場合は この章の手順を必要に応じて実行します 7-30

31 シェルコマンド許可セットをユーザに対して設定する ユーザのシェルコマンド許可セットパラメータを指定するには この手順を実行します 次の 5 つのオプションから 1 つを選択できます None: シェルコマンドは許可しません Group: このユーザには グループレベルのシェルコマンド許可セットを適用します Assign a Shell Command Authorization Set for any network device:1 つのシェルコマンド許可セットを割り当て それをすべてのネットワークデバイスに適用します Assign a Shell Command Authorization Set on a per Network Device Group Basis: 特定のシェルコマンド許可セットを特定の NDG に適用します このオプションを選択すると どの NDG がどのシェルコマンド許可セットに関連付けられているかを示すテーブルが作成されます Per User Command Authorization: 特定の Cisco IOS コマンドおよび引数を ユーザレベルで許可または拒否できるようにします 始める前に AAA クライアントが セキュリティコントロールプロトコルとして TACACS+ を使用するように設定されていることを確認します Interface Configuration の Advanced Options セクションにある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっていることを確認します Interface Configuration の TACACS+ (Cisco) セクションにある User カラムで Shell (exec) オプションが選択されていることを確認します 1 つ以上のシェルコマンド許可セットを事前に設定してあることを確認します 詳細な手順については P.5-36 の コマンド許可セットの追加 を参照してください ユーザのシェルコマンド許可セットパラメータを指定するには 次の手順を実行します P.7-6 の 基本ユーザアカウントの追加 の ~ ステップ 3 を実行します User Setup Edit ページが開きます 追加または編集の対象となるユーザ名がページ上部に表示されます 7-31

32 ステップ 3 ステップ 4 ステップ 5 TACACS+ Settings テーブルにスクロールダウンし Shell Command Authorization Set 機能の領域を表示します シェルコマンド許可セットを適用しない場合は None オプションを選択します ( またはデフォルトをそのまま使用します ) シェルコマンド許可セットをグループレベルで割り当てるには As Group オプションを選択します 設定済みの任意のネットワークデバイスで 特定のシェルコマンド許可セットが有効になるように割り当てるには 次の手順を実行します a. Assign a Shell Command Authorization Set for any network device オプションを選択します b. 次に そのオプションの直下にあるリストから このユーザに適用するシェルコマンド許可セットを選択します ステップ 6 特定のシェルコマンド許可セットが 特定の NDG で有効になるように関連付けを作成するには 関連ごとに 次の手順を実行します a. Assign a Shell Command Authorization Set on a per Network Device Group Basis オプションを選択します b. Device Group と 関連付ける Command Set を選択します c. Add Association をクリックします ヒント 一覧に表示されていないネットワークデバイスグループに対しても 適用するコマンドセットを選択できます 適用するコマンドセットを NDG の <default> 項目に関連付けます NDG とそれに関連付けられたシェルコマンド許可セットが テーブルにペアで表示されます 7-32

33 ステップ 7 ユーザに特定の Cisco IOS コマンドおよび引数の使用を許可または拒否するよう定義するには 次の手順を実行します a. Per User Command Authorization オプションを選択します b. Unmatched Cisco IOS commands で Permit または Deny を選択します Permit を選択すると ユーザはリストで指定されていないコマンドをすべて発行できます Deny を選択すると ユーザはリストで指定されたコマンドだけを発行できます c. 許可または拒否する特定のコマンドをリストに含めるには Command チェックボックスをオンにして コマンドの名前を入力し 標準の permit または deny 構文を使用して引数を定義し 次にリストに含まれていない引数を許可するか拒否するかを選択します 注意 これは高度な機能であるため Cisco IOS コマンドについて熟知している管理者が使用するようにしてください 構文を正しく入力することは 管理者の責任です Cisco Secure ACS が使用している コマンド引数でのパターンマッチングについては P.5-36 の パターンマッチングについて を参照してください ヒント複数のコマンドを入力するには 1 つのコマンドを指定するごとに Submit をクリックする必要があります 入力済みのボックスの下に 新しいコマンド入力ボックスが表示されます ステップ 8 次のいずれか 1 つを実行します ユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します 続けてユーザアカウントオプションを指定する場合は この章の手順を必要に応じて実行します 7-33

34 PIX コマンド許可セットをユーザに対して設定する ユーザの PIX コマンド許可セットパラメータを指定するには この手順を実行します 次の 4 つのオプションがあります None:PIX コマンドは許可しません Group: このユーザには グループレベルの PIX コマンド許可セットを適用します Assign a PIX Command Authorization Set for any network device:1 つの PIX コマンド許可セットを割り当て それをすべてのネットワークデバイスに適用します Assign a PIX Command Authorization Set on a per Network Device Group Basis: 特定の PIX コマンド許可セットを特定の NDG に適用します 始める前に AAA クライアントが セキュリティコントロールプロトコルとして TACACS+ を使用するように設定されていることを確認します Interface Configuration の Advanced Options セクションにある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっていることを確認します Interface Configuration の TACACS+ (Cisco) セクションで User カラムで PIX Shell (pixshell) オプションが選択されていることを確認します 1 つ以上の PIX コマンド許可セットを事前に設定してあることを確認します 詳細な手順については P.5-36 の コマンド許可セットの追加 を参照してください ユーザの PIX コマンド許可セットパラメータを指定するには 次の手順を実行します P.7-6 の 基本ユーザアカウントの追加 の ~ ステップ 3 を実行します User Setup Edit ページが開きます 追加または編集の対象となるユーザ名がページ上部に表示されます TACACS+ Settings テーブルにスクロールダウンし PIX Command Authorization Set 機能の領域を表示します 7-34

35 ステップ 3 PIX コマンド許可セットを適用しない場合は None オプションを選択します ( またはデフォルトをそのまま使用します ) ステップ 4 PIX コマンド許可セットをグループレベルで割り当てるには As Group オプションを選択します ステップ 5 設定済みの任意のネットワークデバイスで 特定の PIX コマンド許可セットが有効になるように割り当てるには 次の手順を実行します ステップ 6 a. Assign a PIX Command Authorization Set for any network device オプションを選択します b. そのオプションの下部にあるリストから このユーザに適用する PIX コマンド許可セットを選択します 特定の PIX コマンド許可セットが 特定の NDG で有効になるように関連付けを作成するには 関連ごとに次の手順を実行します ステップ 7 a. Assign a PIX Command Authorization Set on a per Network Device Group Basis オプションを選択します b. Device Group と 関連付ける Command Set を選択します c. Add Association をクリックします 関連付けられた NDG と PIX コマンド許可セットが テーブルに表示されます 次のいずれか 1 つを実行します ユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します 続けてユーザアカウントオプションを指定する場合は この章の手順を必要に応じて実行します 7-35

36 デバイス管理コマンド許可をユーザに対して設定する この手順では ユーザに対してデバイス管理コマンド許可セットパラメータを指定します デバイス管理コマンド許可セットは Cisco Secure ACS を使用して許可するように設定されている Cisco デバイス管理アプリケーションにおけるタスクの許可をサポートしています 次の 4 つのオプションから 1 つを選択できます None: 該当する Cisco デバイス管理アプリケーションで発行されたコマンドに対する許可は実行しません Group: このユーザには 該当するデバイス管理アプリケーションについてのグループレベルのコマンド許可セットを適用します Assign a device-management application for any network device: 該当するデバイス管理アプリケーションに 1 つのコマンド許可セットが割り当てられ あらゆるネットワークデバイスでの管理タスクに適用されます Assign a device-management application on a per Network Device Group Basis: 該当するデバイス管理アプリケーションのコマンド許可セットを特定の NDG に適用できます コマンド許可セットは その NDG に属するネットワークデバイスでのすべての管理タスクに適用されます 始める前に AAA クライアントが セキュリティコントロールプロトコルとして TACACS+ を使用するように設定されていることを確認します Interface Configuration の Advanced Options セクションにある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっていることを確認します Interface Configuration の TACACS+ (Cisco) セクションの New Services の下にある User カラムで 該当するデバイス管理アプリケーションに対応する新しい TACACS+ サービスが選択されていることを確認します コマンド許可セットを適用する場合は デバイス管理コマンド許可セットを 1 つ以上設定しておく必要があります 詳細な手順については P.5-36 の コマンド許可セットの追加 を参照してください デバイス管理アプリケーションのコマンド許可をユーザに対して指定するには 次の手順を実行します 7-36

37 P.7-6 の 基本ユーザアカウントの追加 の ~ ステップ 3 を実行します User Setup Edit ページが開きます 追加または編集の対象となるユーザ名がページ上部に表示されます TACACS+ Settings テーブルにスクロールダウンし 該当するデバイス管理コマンド許可機能の領域を表示します ステップ 3 該当するデバイス管理アプリケーションで実行されるアクションにコマンド許可を適用しない場合は None オプションを選択します ( またはデフォルトをそのまま使用します ) ステップ 4 該当するデバイス管理アプリケーションに関するコマンド許可をグループレベルで割り当てるには As Group オプションを選択します ステップ 5 任意のネットワークデバイスでのデバイス管理アプリケーションのアクションに対して 特定のコマンド許可セットが有効になるように割り当てるには 次の手順を実行します ステップ 6 a. Assign a device-management application for any network device オプションを選択します b. 次に そのオプションの直下にあるリストから このユーザに適用するコマンド許可セットを選択します 特定のコマンド許可セットが 特定の NDG でのデバイス管理アプリケーションのアクションに対して有効になるように関連付けを作成するには 関連ごとに 次の手順を実行します a. Assign a device-management application on a per Network Device Group Basis オプションを選択します b. Device Group と 関連付ける device-management application を選択します c. Add Association をクリックします 関連付けられた NDG とコマンド許可セットが テーブルに表示されます 7-37

38 ステップ 7 次のいずれか 1 つを実行します ユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します 続けてユーザアカウントオプションを指定する場合は この章の手順を必要に応じて実行します Unknown Service をユーザに対して設定する TACACS+ AAA クライアントが未知のサービスを許可する場合は Checking this option will PERMIT all UNKNOWN Services の下にある Default (Undefined) Services チェックボックスをオンにします ユーザの Unknown Service 設定を行うには 次の手順を実行します P.7-6 の 基本ユーザアカウントの追加 の ~ ステップ 3 を実行します User Setup Edit ページが開きます 追加または編集の対象となるユーザ名がページ上部に表示されます ステップ 3 ステップ 4 スクロールダウンして Checking this option will PERMIT all UNKNOWN Services というヘッダーのテーブルを表示します TACACS+ AAA クライアントがこのユーザに対して未知のサービスを許可するようにするには Default (Undefined) Services チェックボックスをオンにします 次のいずれか 1 つを実行します ユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します 続けてユーザアカウントオプションを指定する場合は この章の手順を必要に応じて実行します 7-38

39 高度な TACACS+ 設定 ( ユーザ ) ここで説明する内容は AAA クライアントで TACACS+ を設定してある場合に適用されます ヒント Advanced TACACS+ Settings (User) テーブルが表示されない場合は Interface Configuration TACACS+ (Cisco IOS) Advanced TACACS+ Features の順にクリックします この項では 次のトピックについて取り上げます Enable Privilege オプションをユーザに対して設定する (P.7-39) TACACS+ Enable Password オプションをユーザに対して設定する (P.7-42) TACACS+ 発信パスワードをユーザに対して設定する (P.7-43) Enable Privilege オプションをユーザに対して設定する 管理者のアクセスを制御するには Exec セッションで TACACS+ Enable Control を使用します 一般的には ルータの管理制御のために使用します 次の 4 つのオプションから ユーザに割り当てる特権レベルを選択して指定できます Use Group Level Setting: グループレベルで設定された特権を このユーザに設定します No Enable Privilege: このユーザにはイネーブル特権を許可しません ( 注 ) これがデフォルト設定です Max Privilege for any AAA Client: このユーザが許可される任意の AAA クライアント上で このユーザに適用される最大特権レベルを リストから選択できます Define Max Privilege on a per-network Device Group Basis:1 つ以上の NDG でこのユーザに最大特権レベルを関連付けることができます 7-39

40 ( 注 ) 特権レベルの詳細については AAA クライアントのドキュメンテーションを参照してください ヒント ユーザ特権レベルを NDG に割り当てる前に Interface Configuration でその NDG を設定しておく必要があります ユーザの特権レベルを選択および指定するには 次の手順を実行します P.7-6 の 基本ユーザアカウントの追加 の ~ ステップ 3 を実行します User Setup Edit ページが開きます 追加または編集の対象となるユーザ名がページ上部に表示されます Advanced TACACS+ Settings テーブルの TACACS+ Enable Control で 次の 4 つの特権オプションのうち 1 つを選択します Use Group Level Setting No Enable Privilege ( 注 ) No Enable Privilege がデフォルト設定です 新規ユーザアカウントの設定時は これが選択されています Max Privilege for Any Access Server Define Max Privilege on a per-network Device Group Basis ステップ 3 で Max Privilege for Any Access Server を選択した場合は 対応するリストから適用する特権レベルを選択します 7-40

41 ステップ 4 で Define Max Privilege on a per-network Device Group Basis を選択した場合は 次の手順に従って NDG のそれぞれで特権レベルを定義します a. Device Group リストから デバイスグループを選択します ( 注 ) 事前に設定されていないデバイスグループは このリストに表示されません b. Privilege リストから 選択したデバイスグループに関連付ける特権レベルを選択します c. Add Association をクリックします デバイスグループを特定の特権レベルに関連付けるエントリが テーブルに表示されます d. このユーザに関連付けるデバイスグループのそれぞれについて ステップ a ~ステップ c を繰り返します ヒント エントリを削除するには そのエントリを選択して Remove Associate をクリックします ステップ 5 次のいずれか 1 つを実行します ユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します 続けてユーザアカウントオプションを指定する場合は この章の手順を必要に応じて実行します 7-41

42 TACACS+ Enable Password オプションをユーザに対して設定する ユーザに TACACS+ Enable Password オプションを設定する場合は 次の 3 つのオプションのいずれかを選択できます Use CiscoSecure PAP password Use external database password Use separate password TACACS+ Enable Password オプションを設定するには 次の手順を実行します P.7-6 の 基本ユーザアカウントの追加 の ~ ステップ 3 を実行します User Setup Edit ページが開きます 追加または編集の対象となるユーザ名がページ上部に表示されます 次のいずれか 1 つを実行します Password Authentication セクションで設定した情報を使用するには Use CiscoSecure PAP password を選択します ( 注 ) 基本パスワードの設定については P.7-6 の 基本ユーザアカウントの追加 を参照してください 外部データベースパスワードを使用するには Use external database password を選択し 次に このユーザのイネーブルパスワードを認証するデータベースをリストから選択します ( 注 ) データベースのリストには すでに設定してあるデータベースだけが表示されます 詳細については P.13-6 の 外部ユーザデータベースについて を参照してください 7-42

43 個別のパスワードを使用するには Use separate password をクリックし このユーザのコントロールパスワードを入力し さらに確認のために再度入力します このパスワードは 通常の認証に追加して使用します ステップ 3 次のいずれか 1 つを実行します ユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します 続けてユーザアカウントオプションを指定する場合は この章の手順を必要に応じて実行します TACACS+ 発信パスワードをユーザに対して設定する TACACS+ 発信パスワードを使用すると AAA クライアントは 発信認証を通して別の AAA クライアントに対する自己認証を行うことができます 発信認証は PAP CHAP MS-CHAP または ARAP とすることができ その結果として Cisco Secure ACS パスワードが公表されることになります デフォルトでは ユーザの ASCII/PAP パスワードまたは CHAP/MS-CHAP/ARAP パスワードが使用されます 着信パスワードの効力低下を防ぐために 別の SENDAUTH パスワードを設定できます 注意 発信パスワードは TACACS+ SendAuth/OutBound パスワードの使用方法に精通している場合に限り使用するようにしてください ユーザの TACACS+ 発信パスワードを設定するには 次の手順を実行します P.7-6 の 基本ユーザアカウントの追加 の ~ ステップ 3 を実行します User Setup Edit ページが開きます 追加または編集の対象となるユーザ名がページ上部に表示されます 7-43

44 ステップ 3 このユーザの TACACS+ 発信パスワードを入力し 確認のために再度入力します 次のいずれか 1 つを実行します ユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します 続けてユーザアカウントオプションを指定する場合は この章の手順を必要に応じて実行します RADIUS アトリビュート RADIUS 認証のためのユーザアトリビュートについては 汎用のものを IETF レベルで設定するか またはベンダーごとに Vendor-Specific アトリビュート (VSA) を設定するかを選択できます 汎用アトリビュートについては P.7-45 の IETF RADIUS パラメータをユーザに対して設定する を参照してください Cisco Secure ACS には 出荷時に一般的な VSA が多数ロードされており これらを設定および適用できます 追加のカスタム RADIUS VSA の作成については P.9-32 の カスタム RADIUS ベンダーと VSA を参照してください この項では 次のトピックについて取り上げます IETF RADIUS パラメータをユーザに対して設定する (P.7-45) Cisco IOS/PIX RADIUS パラメータをユーザに対して設定する (P.7-46) Cisco Aironet RADIUS パラメータをユーザに対して設定する (P.7-48) Ascend RADIUS パラメータをユーザに対して設定する (P.7-50) Cisco VPN 3000 Concentrator RADIUS パラメータをユーザに対して設定する (P.7-52) Cisco VPN 5000 Concentrator RADIUS パラメータをユーザに対して設定する (P.7-54) Microsoft RADIUS パラメータをユーザに対して設定する (P.7-56) Nortel RADIUS パラメータをユーザに対して設定する (P.7-58) Juniper RADIUS パラメータをユーザに対して設定する (P.7-60) 7-44

45 BBSM RADIUS パラメータをユーザに対して設定する (P.7-61) カスタム RADIUS アトリビュートをユーザに対して設定する (P.7-63) IETF RADIUS パラメータをユーザに対して設定する RADIUS アトリビュートは 要求を行っている AAA クライアントへ Cisco Secure ACS からユーザのプロファイルとして送信されます これらのパラメータは 次の条件をすべて満たす場合に限り表示されます Network Configuration で AAA クライアントが RADIUS プロトコルのいずれかを使用するように設定されている Interface Configuration セクションの Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている Interface Configuration セクションの RADIUS (IETF) で User-level IETF RADIUS アトリビュートがイネーブルになっている ( 注 ) これらのアトリビュートを HTML インターフェイスで表示または非表示にする方法については P.3-14 の RADIUS のプロトコル設定オプション を参照してください ( 注 ) RADIUS アトリビュートのリストと説明については 付録 C RADIUS アトリビュート または RADIUS を使用する特定のネットワークデバイスのドキュメンテーションを参照してください 現在のユーザの許可として適用される IETF RADIUS アトリビュートを設定するには 次の手順を実行します P.7-6 の 基本ユーザアカウントの追加 の ~ ステップ 3 を実行します User Setup Edit ページが開きます 追加または編集の対象となるユーザ名がページ上部に表示されます 7-45

46 ステップ 3 IETF RADIUS テーブルで 現在のユーザに許可する必要があるアトリビュートのそれぞれについて アトリビュートの隣にあるチェックボックスをオンにし さらにその隣のフィールド内でアトリビュートの許可を定義します 次のいずれか 1 つを実行します ユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します 続けてユーザアカウントオプションを指定する場合は この章の手順を必要に応じて実行します Cisco IOS/PIX RADIUS パラメータをユーザに対して設定する Cisco IOS RADIUS パラメータは 次の条件をすべて満たす場合に限り表示されます Network Configuration で AAA クライアントが RADIUS (Cisco IOS/PIX) を使用するように設定されている Interface Configuration セクションの Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている Interface Configuration の RADIUS (Cisco IOS/PIX) で User-level RADIUS (Cisco IOS/PIX) アトリビュートがイネーブルになっている ( 注 ) Cisco IOS RADIUS VSA を表示または非表示にする方法については P.3-20 の 非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定 を参照してください 特定のユーザに対する許可として適用される VSA は それに関連付けられている AAA クライアントを削除または置換しても保持されています ただし この ( ベンダー ) タイプの AAA クライアントが設定されていない場合 その VSA 設定はユーザ設定インターフェイスには表示されません 7-46

47 Cisco IOS RADIUS は Cisco IOS VSA だけを表します IETF RADIUS アトリビュートと Cisco IOS RADIUS アトリビュートの両方を設定する必要があります 現在のユーザの許可として適用される Cisco IOS RADIUS アトリビュートを設定してイネーブルにするには 次の手順を実行します P.7-6 の 基本ユーザアカウントの追加 の ~ ステップ 3 を実行します User Setup Edit ページが開きます 追加または編集の対象となるユーザ名がページ上部に表示されます Cisco IOS RADIUS アトリビュートを設定する前に IETF RADIUS アトリビュートが正しく設定されていることを確認します IETF RADIUS アトリビュートの設定の詳細については P.7-45 の IETF RADIUS パラメータをユーザに対して設定する を参照してください ステップ 3 [009\001] cisco-av-pair アトリビュートを使用して許可を指定する場合は アトリビュートの隣にあるチェックボックスをオンにし 次にテキストボックスにアトリビュートと値のペアを入力します 各アトリビュート値ペアは Enter キーを押して区切ります たとえば 現在のユーザプロファイルが Network Admission Control(NAC; ネットワークアドミッションコントロール ) クライアントに対応し Cisco Secure ACS が常に 該当するグループプロファイルに含まれる値とは異なっている必要のある status-query-timeout アトリビュート値を NAC クライアントに割り当てる場合は その値を次のように指定することもできます status-query-timeout=1200 ステップ 4 他の Cisco IOS/PIX RADIUS アトリビュートを使用する場合は 対応するチェックボックスをオンにし 隣にあるテキストボックスで必要な値を指定します 7-47

48 ステップ 5 次のいずれか 1 つを実行します ユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します 続けてユーザアカウントオプションを指定する場合は この章の手順を必要に応じて実行します Cisco Aironet RADIUS パラメータをユーザに対して設定する 単一の Cisco Aironet RADIUS VSA つまり Cisco-Aironet-Session-Timeout は バーチャル VSA です Cisco Aironet Access Point からの要求に応答するときに IETF RADIUS Session-Timeout アトリビュート (27) の特別実装 ( つまり 再マッピング ) として機能します これを使用すると 無線デバイス経由と有線デバイス経由の両方でユーザが接続できるようにする必要がある場合に 異なるセッションタイムアウト値を指定できます この機能を使用して WLAN 接続向けに第 2 のタイムアウト値を指定すると WLAN 接続 ( 通常は分単位で計測 ) に対して標準のタイムアウト値 ( 通常は時間単位で計測 ) を使用しなければならない場合に起こり得る問題が回避されます 常に Cisco Aironet Access Point だけで接続する特定のユーザに対しては Cisco-Aironet-Session-Timeout を使用する必要はありません この設定は 有線クライアント経由と無線クライアント経由の両方で接続する可能性があるユーザに対して使用します たとえば あるユーザに対して Cisco-Aironet-Session-Timeout を 600 秒 (10 分 ) に IETF RADIUS Session-Timeout を 3 時間に設定するとします このユーザが VPN 経由で接続すると Cisco Secure ACS はタイムアウト値として 3 時間を使用します 一方 このユーザが Cisco Aironet Access Point 経由で接続すると Cisco Secure ACS は Aironet AP からの認証要求に応答し IETF RADIUS Session-Timeout アトリビュートに 600 秒を送信します このように Cisco-Aironet-Session-Timeout アトリビュートが設定されていれば エンドユーザクライアントが無線デバイスと Cisco Aironet Access Point のどちらであるかに応じて 異なるタイムアウト値を送信できます Cisco Aironet RADIUS パラメータは 次の条件をすべて満たす場合に限り User Setup ページに表示されます 7-48

49 Network Configuration で AAA クライアントが RADIUS (Cisco Aironet) を使用するように設定されている Interface Configuration セクションの Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている Interface Configuration セクションの RADIUS (Cisco Aironet) で User-level RADIUS (Cisco Aironet) アトリビュートがイネーブルになっている ( 注 ) Cisco Aironet RADIUS VSA を表示または非表示にする方法については P.3-20 の 非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定 を参照してください 特定のユーザに対する許可として適用される VSA は それに関連付けられている AAA クライアントを削除または置換しても保持されています ただし この ( ベンダー ) タイプの AAA クライアントが設定されていない場合 その VSA 設定はユーザ設定インターフェイスには表示されません 現在のユーザの許可として適用される Cisco Aironet RADIUS アトリビュートを設定してイネーブルにするには 次の手順を実行します P.7-6 の 基本ユーザアカウントの追加 の ~ ステップ 3 を実行します User Setup Edit ページが開きます 追加または編集の対象となるユーザ名がページ上部に表示されます ステップ 3 Cisco Aironet RADIUS アトリビュートを設定する前に IETF RADIUS アトリビュートが正しく設定されていることを確認します IETF RADIUS アトリビュートの設定の詳細については P.7-45 の IETF RADIUS パラメータをユーザに対して設定する を参照してください Cisco Aironet RADIUS Attributes テーブルで [5842\001] Cisco-Aironet-Session-Timeout チェックボックスをオンにします 7-49

50 ステップ 4 [5842\001] Cisco-Aironet-Session-Timeout ボックスに セッションタイムアウト値を秒単位で入力します この値は AAA クライアントが RADIUS(Cisco Aironet) 認証オプションを使用するように Network Configuration で設定されている場合に Cisco Secure ACS によって IETF RADIUS Session-Timeout (27) アトリビュートとして送信されます 推奨値は 600 秒です IETF RADIUS Session-Timeout アトリビュートの詳細については 付録 C RADIUS アトリビュート または使用している AAA クライアントのマニュアルを参照してください ステップ 5 次のいずれか 1 つを実行します ユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します 続けてユーザアカウントオプションを指定する場合は この章の手順を必要に応じて実行します Ascend RADIUS パラメータをユーザに対して設定する Ascend RADIUS パラメータは 次の条件をすべて満たす場合に限り表示されます Network Configuration で AAA クライアントが RADIUS (Ascend) を使用するように設定されている Interface Configuration セクションの Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている Interface Configuration セクションの RADIUS (Ascend) で 適用する User-level RADIUS (Ascend) アトリビュートがイネーブルになっている RADIUS (Ascend) は Ascend 独自のアトリビュートを表します IETF RADIUS アトリビュートと Ascend RADIUS アトリビュートの両方を設定する必要があります このような独自アトリビュートを選択すると IETF アトリビュートが無効になります RADIUS について表示されるデフォルトのアトリビュート設定は Ascend-Remote-Addr です 7-50

51 ( 注 ) Ascend RADIUS アトリビュートを表示または非表示にする方法については P.3-20 の 非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定 を参照してください 特定のユーザに対する許可として適用される VSA は それに関連付けられている AAA クライアントを削除または置換しても保持されています ただし この ( ベンダー ) タイプの AAA クライアントが設定されていない場合 その VSA 設定はユーザ設定インターフェイスには表示されません 現在のユーザの許可として適用される Ascend RADIUS アトリビュートを設定してイネーブルにするには 次の手順を実行します P.7-6 の 基本ユーザアカウントの追加 の ~ ステップ 3 を実行します User Setup Edit ページが開きます 追加または編集の対象となるユーザ名がページ上部に表示されます ステップ 3 Ascend RADIUS アトリビュートを設定する前に IETF RADIUS アトリビュートが正しく設定されていることを確認します IETF RADIUS アトリビュートの設定の詳細については P.7-45 の IETF RADIUS パラメータをユーザに対して設定する を参照してください Ascend RADIUS Attributes テーブルで ユーザに許可するアトリビュートを指定するには 次の手順を実行します a. 特定のアトリビュートの隣にあるチェックボックスをオンにします b. さらに 隣のフィールドで そのアトリビュートに対する認証を定義します c. 必要に応じて アトリビュートの選択と定義を続けます アトリビュートの詳細については 付録 C RADIUS アトリビュート または使用している AAA クライアントのマニュアルを参照してください 7-51

52 ステップ 4 次のいずれか 1 つを実行します ユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します 続けてユーザアカウントオプションを指定する場合は この章の手順を必要に応じて実行します Cisco VPN 3000 Concentrator RADIUS パラメータをユーザに対して設定する Cisco VPN 3000 シリーズのコンセントレータ経由でネットワークにアクセスするユーザの Microsoft MPPE 設定値を制御するには CVPN3000-PPTP-Encryption (VSA 20) アトリビュートと CVPN3000-L2TP-Encryption (VSA 21) アトリビュートを使用します CVPN3000-PPTP-Encryption (VSA 20) と CVPN3000-L2TP-Encryption (VSA 21) の設定値は Microsoft MPPE RADIUS 設定値よりも優先されます このどちらかのアトリビュートがイネーブルになっている場合 Cisco Secure ACS は 送信 RADIUS (Microsoft) アトリビュートに送信する値を決定して RADIUS (Cisco VPN 3000) アトリビュートと一緒に送信します この動作は RADIUS (Microsoft) アトリビュートが Cisco Secure ACS HTML インターフェイスでイネーブルになっているかどうかということや これらのアトリビュートの設定内容には依存しません Cisco VPN 3000 Concentrator RADIUS アトリビュートは 次の条件をすべて満たす場合に限り表示されます Network Configuration で AAA クライアントが RADIUS (Cisco VPN 3000) を使用するように設定されている Interface Configuration セクションの Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている Interface Configuration セクションの RADIUS (Cisco VPN 3000) で 適用する User-level RADIUS (Cisco VPN 3000) アトリビュートがイネーブルになっている Cisco VPN 3000 Concentrator RADIUS は Cisco VPN 3000 Concentrator VSA だけを表します IETF RADIUS アトリビュートと Cisco VPN 3000 Concentrator RADIUS アトリビュートの両方を設定する必要があります 7-52

53 ( 注 ) Cisco VPN 5000 Concentrator RADIUS アトリビュートを表示または非表示にする方法については P.3-20 の 非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定 を参照してください 特定のユーザに対する許可として適用される VSA は それに関連付けられている AAA クライアントを削除または置換しても保持されています ただし この ( ベンダー ) タイプの AAA クライアントが設定されていない場合 その VSA 設定はユーザ設定インターフェイスには表示されません 現在のユーザの許可として適用される Cisco VPN 3000 Concentrator RADIUS アトリビュートを設定してイネーブルにするには 次の手順を実行します P.7-6 の 基本ユーザアカウントの追加 の ~ ステップ 3 を実行します User Setup Edit ページが開きます 追加または編集の対象となるユーザ名がページ上部に表示されます Cisco VPN 3000 Concentrator RADIUS アトリビュートを設定する前に IETF RADIUS アトリビュートが正しく設定されていることを確認します IETF RADIUS アトリビュートの設定の詳細については P.7-45 の IETF RADIUS パラメータをユーザに対して設定する を参照してください ステップ 3 Cisco VPN 3000 Concentrator Attribute テーブルで ユーザに許可するアトリビュートを指定するには 次の手順を実行します a. 特定のアトリビュートの隣にあるチェックボックスをオンにします b. さらに 隣のフィールドで そのアトリビュートに対する認証を定義します c. 必要に応じて アトリビュートの選択と定義を続けます アトリビュートの詳細については 付録 C RADIUS アトリビュート または使用している AAA クライアントのマニュアルを参照してください 7-53

54 ステップ 4 次のいずれか 1 つを実行します ユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します 続けてユーザアカウントオプションを指定する場合は この章の手順を必要に応じて実行します Cisco VPN 5000 Concentrator RADIUS パラメータをユーザに対して設定する Cisco VPN 5000 Concentrator RADIUS アトリビュートは 次の条件をすべて満たす場合に限り表示されます Network Configuration で AAA クライアントが RADIUS (Cisco VPN 5000) を使用するように設定されている Interface Configuration セクションの Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている Interface Configuration セクションの RADIUS (Cisco VPN 5000) で 適用する User-level RADIUS (Cisco VPN 5000) アトリビュートがイネーブルになっている Cisco VPN 5000 Concentrator RADIUS は Cisco VPN 5000 Concentrator VSA だけを表します IETF RADIUS アトリビュートと Cisco VPN 5000 Concentrator RADIUS アトリビュートの両方を設定する必要があります ( 注 ) Cisco VPN 5000 Concentrator RADIUS アトリビュートを表示または非表示にする方法については P.3-20 の 非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定 を参照してください 特定のユーザに対する許可として適用される VSA は それに関連付けられている AAA クライアントを削除または置換しても保持されています ただし この ( ベンダー ) タイプの AAA クライアントが設定されていない場合 その VSA 設定はユーザ設定インターフェイスには表示されません 7-54

55 現在のユーザの許可として適用される Cisco VPN 5000 Concentrator RADIUS アトリビュートを設定してイネーブルにするには 次の手順を実行します P.7-6 の 基本ユーザアカウントの追加 の ~ ステップ 3 を実行します User Setup Edit ページが開きます 追加または編集の対象となるユーザ名がページ上部に表示されます Cisco VPN 5000 Concentrator RADIUS アトリビュートを設定する前に IETF RADIUS アトリビュートが正しく設定されていることを確認します IETF RADIUS アトリビュートの設定の詳細については P.7-45 の IETF RADIUS パラメータをユーザに対して設定する を参照してください ステップ 3 Cisco VPN 5000 Concentrator Attribute テーブルで ユーザに許可するアトリビュートを指定するには 次の手順を実行します ステップ 4 a. 特定のアトリビュートの隣にあるチェックボックスをオンにします b. さらに 隣のフィールドで そのアトリビュートに対する認証を定義します c. 必要に応じて アトリビュートの選択と定義を続けます アトリビュートの詳細については 付録 C RADIUS アトリビュート または使用している AAA クライアントのマニュアルを参照してください 次のいずれか 1 つを実行します ユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します 続けてユーザアカウントオプションを指定する場合は この章の手順を必要に応じて実行します 7-55

56 Microsoft RADIUS パラメータをユーザに対して設定する Microsoft RADIUS では Point-to-Point(PPP; ポイントツーポイント ) リンクを暗号化するために Microsoft によって開発された暗号化技術である Microsoft Point-to-Point Encryption(MPPE) をサポートする VSA が提供されます これらの PPP 接続は ダイヤルイン回線または Virtual Private Network(VPN; バーチャルプライベートネットワーク ) トンネル経由で可能です Cisco VPN 3000 シリーズのコンセントレータ経由でネットワークにアクセスするユーザの Microsoft MPPE 設定値を制御するには CVPN3000-PPTP-Encryption (VSA 20) アトリビュートと CVPN3000-L2TP-Encryption (VSA 21) アトリビュートを使用します CVPN3000-PPTP-Encryption (VSA 20) と CVPN3000-L2TP- Encryption (VSA 21) の設定値は Microsoft MPPE RADIUS 設定値よりも優先されます このどちらかのアトリビュートがイネーブルになっている場合 Cisco Secure ACS は 送信 RADIUS (Microsoft) アトリビュートに送信する値を決定して RADIUS (Cisco VPN 3000) アトリビュートと一緒に送信します この動作は RADIUS (Microsoft) アトリビュートが Cisco Secure ACS HTML インターフェイスでイネーブルになっているかどうかということや これらのアトリビュートの設定内容には依存しません Microsoft RADIUS アトリビュートは 次の条件をすべて満たす場合に限り表示されます Microsoft RADIUS VSA をサポートする RADIUS プロトコルを使用する AAA クライアントが Network Configuration 内で設定されている Interface Configuration セクションの Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている Interface Configuration セクションの RADIUS (Microsoft) で 適用する User-level RADIUS (Microsoft) アトリビュートがイネーブルになっている 次の Cisco Secure ACS RADIUS プロトコルは Microsoft RADIUS VSA をサポートします Cisco IOS Cisco VPN 3000 Cisco VPN 5000 Ascend 7-56

57 Microsoft RADIUS は Microsoft VSA だけを表します IETF RADIUS アトリビュートと Microsoft RADIUS アトリビュートの両方を設定する必要があります ( 注 ) Microsoft RADIUS アトリビュートを表示または非表示にする方法については P.3-20 の 非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定 を参照してください 特定のユーザに対する許可として適用される VSA は それに関連付けられている AAA クライアントを削除または置換しても保持されています ただし この ( ベンダー ) タイプの AAA クライアントが設定されていない場合 その VSA 設定はユーザ設定インターフェイスには表示されません 現在のユーザの許可として適用される Microsoft RADIUS アトリビュートを設定してイネーブルにするには 次の手順を実行します P.7-6 の 基本ユーザアカウントの追加 の ~ ステップ 3 を実行します User Setup Edit ページが開きます 追加または編集の対象となるユーザ名がページ上部に表示されます ステップ 3 Cisco IOS RADIUS アトリビュートを設定する前に IETF RADIUS アトリビュートが正しく設定されていることを確認します IETF RADIUS アトリビュートの設定の詳細については P.7-45 の IETF RADIUS パラメータをユーザに対して設定する を参照してください Microsoft RADIUS Attributes テーブルで ユーザに許可するアトリビュートを指定するには 次の手順を実行します a. 特定のアトリビュートの隣にあるチェックボックスをオンにします b. さらに 隣のフィールドで そのアトリビュートに対する認証を定義します c. 必要に応じて アトリビュートの選択と定義を続けます アトリビュートの詳細については 付録 C RADIUS アトリビュート または使用している AAA クライアントのマニュアルを参照してください 7-57

58 ( 注 ) MS-CHAP-MPPE-Keys アトリビュート値は Cisco Secure ACS によって自動生成されます HTML インターフェイスで設定する値はありません ステップ 4 次のいずれか 1 つを実行します ユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します 続けてユーザアカウントオプションを指定する場合は この章の手順を必要に応じて実行します Nortel RADIUS パラメータをユーザに対して設定する Nortel RADIUS パラメータは 次の条件をすべて満たす場合に限り表示されます Network Configuration で AAA クライアントが RADIUS (Nortel) を使用するように設定されている Interface Configuration セクションの Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている Interface Configuration セクションの RADIUS (Nortel) で 適用する User-level RADIUS (Nortel) アトリビュートがイネーブルになっている RADIUS は Nortel 所有のアトリビュートを表します IETF RADIUS アトリビュートと Nortel RADIUS アトリビュートの両方を設定する必要があります このような独自アトリビュートを選択すると IETF アトリビュートが無効になります ( 注 ) Nortel RADIUS アトリビュートを表示または非表示にする方法については P.3-20 の 非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定 を参照してください 特定のユーザに対する許可として適用される VSA は それに関連付けられている AAA クライアントを削除または置換しても保持されています ただし この ( ベンダー ) タイプの AAA クライアントが設定されていない場合 その VSA 設定はユーザ設定インターフェイスには表示されません 7-58

59 現在のユーザの許可として適用される Nortel RADIUS アトリビュートを設定してイネーブルにするには 次の手順を実行します P.7-6 の 基本ユーザアカウントの追加 の ~ ステップ 3 を実行します User Setup Edit ページが開きます 追加または編集の対象となるユーザ名がページ上部に表示されます Nortel RADIUS アトリビュートを設定する前に IETF RADIUS アトリビュートが正しく設定されていることを確認します IETF RADIUS アトリビュートの設定の詳細については P.7-45 の IETF RADIUS パラメータをユーザに対して設定する を参照してください ステップ 3 Nortel RADIUS Attributes テーブルで ユーザに許可するアトリビュートを指定するには 次の手順を実行します ステップ 4 a. 特定のアトリビュートの隣にあるチェックボックスをオンにします b. さらに 隣のフィールドで そのアトリビュートに対する認証を定義します c. 必要に応じて アトリビュートの選択と定義を続けます アトリビュートの詳細については 付録 C RADIUS アトリビュート または使用している AAA クライアントのマニュアルを参照してください 次のいずれか 1 つを実行します ユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します 続けてユーザアカウントオプションを指定する場合は この章の手順を必要に応じて実行します 7-59

60 Juniper RADIUS パラメータをユーザに対して設定する Juniper RADIUS パラメータは 次の条件をすべて満たす場合に限り表示されます Network Configuration で AAA クライアントが RADIUS (Juniper) を使用するように設定されている Interface Configuration セクションの Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている Interface Configuration セクションの RADIUS (Juniper) で 適用する User-level RADIUS (Juniper) アトリビュートがイネーブルになっている Juniper RADIUS は Juniper 独自のアトリビュートを表します IETF RADIUS アトリビュートと Juniper RADIUS アトリビュートの両方を設定する必要があります このような独自アトリビュートを選択すると IETF アトリビュートが無効になります ( 注 ) Juniper RADIUS アトリビュートを表示または非表示にする方法については P.3-20 の 非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定 を参照してください 特定のユーザに対する許可として適用される VSA は それに関連付けられている AAA クライアントを削除または置換しても保持されています ただし この ( ベンダー ) タイプの AAA クライアントが設定されていない場合 その VSA 設定はユーザ設定インターフェイスには表示されません 現在のユーザの許可として適用される Juniper RADIUS アトリビュートを設定してイネーブルにするには 次の手順を実行します P.7-6 の 基本ユーザアカウントの追加 の ~ ステップ 3 を実行します User Setup Edit ページが開きます 追加または編集の対象となるユーザ名がページ上部に表示されます 7-60

61 Juniper RADIUS アトリビュートを設定する前に IETF RADIUS アトリビュートが正しく設定されていることを確認します IETF RADIUS アトリビュートの設定の詳細については P.7-45 の IETF RADIUS パラメータをユーザに対して設定する を参照してください ステップ 3 Juniper RADIUS Attributes テーブルで ユーザに許可するアトリビュートを指定するには 次の手順を実行します ステップ 4 a. 特定のアトリビュートの隣にあるチェックボックスをオンにします b. さらに 隣のフィールドで そのアトリビュートに対する認証を定義します c. 必要に応じて アトリビュートの選択と定義を続けます アトリビュートの詳細については 付録 C RADIUS アトリビュート または使用している AAA クライアントのマニュアルを参照してください 次のいずれか 1 つを実行します ユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します 続けてユーザアカウントオプションを指定する場合は この章の手順を必要に応じて実行します BBSM RADIUS パラメータをユーザに対して設定する BBSM RADIUS パラメータは 次の条件をすべて満たす場合に限り表示されます Network Configuration で AAA クライアントが RADIUS (BBSM) を使用するように設定されている Interface Configuration セクションの Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている Interface Configuration セクションの RADIUS (BBSM) で 適用する User-level RADIUS (BBSM) アトリビュートがイネーブルになっている 7-61