ユーザ管理 - PDF Free Download

CHAPTER 7 この章では Cisco Secure ACS for Windows Server でユーザアカウントをセットアップおよび管理する方法について説明します ( 注 ) ユーザレベルでの設定はグループレベルでの設定よりも優先されます User Setup を設定する前に User Setup セクションの動作を理解しておく必要があります Cisco Secure ACS は AAA クライアントの設定や使用されるセキュリティプロトコルに従って User Setup セクションのインターフェイスをダイナミックに構築しますつまり User Setup に表示される内容は Network Configuration セクションと Interface Configuration セクションの両方の設定内容によって決まりますこの章は次の項で構成されています User Setup の機能について (P.7-2) ユーザデータベース (P.7-3) 基本ユーザ設定オプション (P.7-5) (P.7-27) (P.7-65) 7-1

User Setup の機能について User Setup の機能について Cisco Secure ACS HTML インターフェイスの User Setup セクションにはユーザアカウントの設定と管理に関するすべての操作が集中しています User Setup セクションから次のタスクを実行できます CiscoSecure ユーザデータベースにある全ユーザの一覧表示ユーザの検索ユーザの追加 Voice over IP(VoIP) グループを含むグループに対するユーザの割り当てユーザアカウント情報の編集ユーザ認証タイプの設定または変更ユーザのコールバック情報の設定ユーザのネットワークアクセス制限 (NAR) の設定高度な設定ユーザの同時最大セッション数 (Max Sessions) の設定ユーザアカウントの無効化または再有効化ユーザの削除 7-2

ユーザデータベースユーザデータベース Cisco Secure ACS は CiscoSecure ユーザデータベースを含むいくつかのデータベースのいずれかに対してユーザの認証を行いますデータベースのタイプにかかわらずユーザの認証時に使用するように Cisco Secure ACS を設定しすべてのユーザが CiscoSecure ユーザデータベース内にアカウントを持ちユーザの権限付与が常に CiscoSecure ユーザデータベース内のユーザレコードに対して実行されるようにします ACS で使用される基本ユーザデータベースの一覧と説明および各データベースに関する詳しい説明の参照先を次に示します CiscoSecure ユーザデータベース : ローカル CiscoSecure ユーザデータベースからユーザを認証します詳細については P.13-3 の CiscoSecure ユーザデータベースを参照してくださいヒント次の認証タイプは対応する外部ユーザデータベースが External User Databases セクションの Database Configuration 領域で設定されている場合に限り HTML インターフェイスに表示されます Windows Database: ローカルドメインまたは Windows ユーザデータベースに設定されたドメインにある Windows ユーザデータベース内にアカウントを持つユーザを認証します詳細については P.13-10 の Windows ユーザデータベースを参照してください Generic LDAP: 汎用 LDAP の外部ユーザデータベースからユーザを認証します詳細については P.13-38 の汎用 LDAP を参照してください Novell NDS:Novell NetWare Directory Services(NDS; ディレクトリサービス ) を使用してユーザを認証します詳細については P.13-57 の Novell NDS データベースを参照してください ODBC Database:Open Database Connectivity(ODBC) 準拠のデータベースサーバからユーザを認証します詳細については P.13-65 の ODBC データベースを参照してください LEAP Proxy RADIUS Server Database:LEAP Proxy RADIUS サーバからユーザを認証します詳細については P.13-87 の LEAP Proxy RADIUS サーバデータベースを参照してください 7-3

ユーザデータベース Token Server: トークンサーバデータベースからユーザを認証します Cisco Secure ACS はワンタイムパスワードによるセキュリティ強化に対応してさまざまなトークンサーバの使用をサポートしています詳細については P.13-91 のトークンサーバユーザデータベースを参照してください 7-4

基本ユーザ設定オプション基本ユーザ設定オプションここでは新規ユーザを設定するときに実行する基本的なアクティビティについて説明します最も基本的なレベルでは新規ユーザの設定に必要な手順は次の 3 つだけです名前を指定する外部ユーザデータベースまたはパスワードを指定する情報を送信するユーザアカウント設定を編集するための手順は基本的にはユーザアカウントを追加する手順と同じですが編集の場合は変更するフィールドに直接移動しますユーザアカウントに関連付けられた名前の変更はできませんユーザ名を編集するにはそのユーザアカウントを削除して別のアカウントを設定する必要があります新規ユーザアカウントの設定時に実行するその他の手順はネットワークの複雑さとどの程度詳細に制御を行いたいかという 2 つの要因によって決まりますこの項では次のトピックについて取り上げます基本ユーザアカウントの追加 (P.7-6) Supplementary User Information の設定 (P.7-8) 個別の CHAP/MS-CHAP/ARAP パスワードの設定 (P.7-9) ユーザをグループに割り当てる (P.7-10) ユーザコールバックオプションの設定 (P.7-11) ユーザをクライアント IP アドレスに割り当てる (P.7-13) ネットワークアクセス制限をユーザに対して設定する (P.7-14) 最大セッションオプションをユーザに対して設定する (P.7-19) User Usage Quotas オプションの設定 (P.7-21) ユーザアカウントの無効化オプションの設定 (P.7-24) ダウンロード可能 IP ACL をユーザに割り当てる (P.7-26) 7-5

基本ユーザ設定オプション基本ユーザアカウントの追加ここでは新規ユーザアカウントを CiscoSecure ユーザデータベースに追加する際に必要な最小限の手順を説明しますユーザアカウントを追加するには次の手順を実行しますナビゲーションバーの User Setup をクリックします User Setup Select ページが開きます User ボックスに名前を入力します ( 注 ) ユーザ名には最大で 64 文字まで使用できます名前には次の特殊文字は使用できません #? " * > < 先頭と末尾にスペースを置くことはできませんステップ 3 Add/Edit をクリックします User Setup Edit ページが開きます追加の対象となるユーザアカウントがページ上部に表示されますステップ 4 Account Disabled チェックボックスがオフになっていることを確認します ( 注 ) または Account Disabled チェックボックスをオンにして無効なユーザアカウントを作成し後で有効にすることもできますステップ 5 User Setup テーブルの Password Authentication で適用する認証タイプをリストから選択します 7-6

基本ユーザ設定オプションヒントここで表示される認証タイプには External User Databases セクションの Database Configuration 領域で設定したデータベースが反映されますステップ 6 Password ボックスおよび Confirm Password ボックスの最初の組に単一の CiscoSecure PAP パスワードを入力して指定します ( 注 ) Password ボックスと Confirm Password ボックスにはそれぞれ最大で 32 文字まで入力できますヒント Separate CHAP/MS-CHAP/ARAP チェックボックスがオフになっている場合は CHAP/MS-CHAP/ARAP についても CiscoSecure PAP パスワードが使用されますヒント最初に PAP パスワードを次に CHAP パスワードまたは MS-CHAP パスワードを要求するように AAA クライアントを設定するとユーザが PAP パスワードを使用してダイヤルインしたときに認証が行われますたとえば AAA クライアントコンフィギュレーションファイルに次の行を設定すると AAA クライアントでは PAP の後に CHAP がイネーブルになります ppp authentication pap chap ステップ 7 次のいずれか 1 つを実行しますユーザアカウントオプションの設定を終了してユーザアカウントを設定するには Submit をクリックします続けてユーザアカウントオプションを指定する場合はこの章の手順を必要に応じて実行します 7-7

基本ユーザ設定オプションヒント複雑なアカウント設定を行う場合は続行する前に Submit をクリックしますこれで予期しない問題が生じた場合でも入力済みの情報が失われません Supplementary User Information の設定 Supplementary User Information では最大 5 つのフィールドを設定して含めることができますデフォルト設定では Real Name と Description という 2 つのフィールドが用意されていますこれらのオプションフィールドの表示および設定方法については P.3-4 のユーザデータの設定オプションを参照してください Supplementary User Information テーブルにオプション情報を入力するには次の手順を実行します P.7-6 の基本ユーザアカウントの追加の ~ ステップ 3 を実行します User Setup Edit ページが開きます追加または編集の対象となるユーザ名がページ上部に表示されます Supplementary User Infomation テーブルに表示された各ボックスに必要な情報を入力します ( 注 ) Real Name ボックスと Description ボックスにはそれぞれ最大で 128 文字まで入力できます 7-8

基本ユーザ設定オプションステップ 3 次のいずれか 1 つを実行しますユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します続けてユーザアカウントオプションを指定する場合はこの章の手順を必要に応じて実行します個別の CHAP/MS-CHAP/ARAP パスワードの設定個別の CHAP/MS-CHAP/ARAP パスワードを設定すると Cisco Secure ACS 認証のセキュリティがさらに強化されますただし個別のパスワードを使用するには AAA クライアントを設定しておく必要がありますユーザが CiscoSecure ユーザデータベースの PAP パスワードの代わりに CHAP MS-CHAP または ARAP パスワードを使用して認証できるようにするには次の手順を実行します P.7-6 の基本ユーザアカウントの追加の ~ ステップ 3 を実行します User Setup Edit ページが開きます追加または編集の対象となるユーザ名がページ上部に表示されますステップ 3 User Setup テーブルの Separate CHAP/MS-CHAP/ARAP チェックボックスをオンにします Separate (CHAP/MS-CHAP/ARAP) チェックボックスの下にある Password/Confirm ボックスの 2 番目の組に使用する CHAP/MS-CHAP/ARAP パスワードをそれぞれ入力して指定します ( 注 ) Password ボックスと Confirm Password ボックスにはそれぞれ最大で 32 文字まで入力できます 7-9

基本ユーザ設定オプション ( 注 ) これらの Password ボックスおよび Confirm Password ボックスは Cisco Secure ACS データベースによる認証にだけ必要ですさらにあるユーザが VoIP( ヌルパスワード ) グループに割り当てられオプションのパスワードがそのユーザプロファイルにも含まれている場合はユーザが非 VoIP グループに再マッピングされるまでそのパスワードは使用されませんステップ 4 次のいずれか 1 つを実行しますユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します続けてユーザアカウントオプションを指定する場合はこの章の手順を必要に応じて実行しますユーザをグループに割り当てる Cisco Secure ACS ではユーザは 1 つのグループにだけ所属できますユーザは自分のグループに割り当てられているアトリビュートと操作を継承しますただし設定が矛盾する場合はグループレベルでの設定よりもユーザレベルでの設定が優先されますデフォルトではユーザは Default Group に割り当てられます既存の Cisco Secure ACS グループにマッピングされていないユーザおよび Unknown User 方式で認証されるユーザも同様に Default Group に割り当てられますまたはユーザを特定のグループにマップしないで外部の認証者にグループのマッピングを実行させることもできます Cisco Secure ACS がグループ情報を取得できる外部ユーザデータベースの場合は外部ユーザデータベース内のユーザに定義されているグループメンバーシップを特定の Cisco Secure ACS グループに関連付けることができます詳細については第 16 章ユーザグループマッピングと仕様を参照してくださいユーザをグループに割り当てるには次の手順を実行します 7-10

基本ユーザ設定オプション P.7-6 の基本ユーザアカウントの追加の ~ ステップ 3 を実行します User Setup Edit ページが開きます追加されたまたは編集されたユーザ名がページ上部に表示されます User Setup テーブルの Group to which user is assigned リストからユーザを割り当てるグループを選択しますヒントまたはリスト内を上の方向にスクロールし Mapped By External Authenticator オプションを選択しますステップ 3 次のいずれか 1 つを実行しますユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します続けてユーザアカウントオプションを指定する場合はこの章の手順を必要に応じて実行しますユーザコールバックオプションの設定コールバックとはアクセスサーバに返されるコマンド文字列ですモデムを起動するときにコールバック文字列を使用するとセキュリティの強化または着信課金のためにユーザが特定の番号にコールバックするように設定できますユーザコールバックオプションを設定するには次の手順を実行します P.7-6 の基本ユーザアカウントの追加の ~ ステップ 3 を実行します User Setup Edit ページが開きます追加されたまたは編集されたユーザ名がページ上部に表示されます 7-11

基本ユーザ設定オプション User Setup テーブルの Callback から適用するオプションを選択しますここで選択できる項目は次のとおりです Use group setting: ユーザにグループの設定を適用します No callback allowed: ユーザに対するコールバックをディセーブルにします Callback using this number: これを選択して必要に応じて市外局番も含めた電話番号を入力するとユーザへのコールバックにはその電話番号が常時使用されます ( 注 ) コールバック番号の文字列の長さは最大で 199 文字までです Dialup client specifies callback number:windows のダイヤルアップクライアントがコールバック番号を指定できます Use Windows Database callback settings:windows のコールバック用に指定された設定を使用しますユーザの Windows アカウントがリモートドメインにある場合 Microsoft Windows のコールバック設定がそのユーザに対して動作するためには Cisco Secure ACS が常駐するドメインとそのドメインとの間に双方向の信頼性が必要です ( 注 ) ダイヤルアップユーザはコールバックをサポートするソフトウェアを設定しておく必要がありますステップ 3 次のいずれか 1 つを実行しますユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します続けてユーザアカウントオプションを指定する場合はこの章の手順を必要に応じて実行します 7-12

基本ユーザ設定オプションユーザをクライアント IP アドレスに割り当てるユーザをクライアント IP アドレスに割り当てるには次の手順を実行します P.7-6 の基本ユーザアカウントの追加の ~ ステップ 3 を実行します User Setup Edit ページが開きます追加または編集の対象となるユーザ名がページ上部に表示されます User Setup テーブルの Client IP Address Assignment から適用するオプションを選択しますここで選択できる項目は次のとおりです ( 注 ) User Setup で IP アドレスを割り当てると Group Setup の IP アドレス割り当てが無効になります Use group settings:ip アドレスグループ割り当てを使用します No IP address assignment: クライアントから返される IP アドレスを必要としない場合はこのオプションを選択してグループ設定を無効にします Assigned by dialup client:ip アドレスのダイヤルアップクライアント割り当てを使用します Assign static IP address: ユーザに対して特定の IP アドレスを使用する必要がある場合はこのオプションを選択してボックスにその IP アドレス ( 最大 15 文字 ) を入力します ( 注 ) IP アドレスが IP アドレスプールからまたはダイヤルアップクライアントによって割り当てられる場合は Assign IP address ボックスをブランクのままにします Assigned by AAA client pool:aaa クライアントで設定された IP アドレスプールからこのユーザに IP アドレスを割り当てる場合はこのオプションを選択しボックスに AAA クライアント IP プール名を入力します 7-13

基本ユーザ設定オプション Assigned from AAA pool:aaa サーバで設定された IP アドレスプールからこのユーザに IP アドレスを割り当てる場合はこのオプションを選択しボックスに使用するプール名を入力します Available Pools リストで AAA サーバの IP プール名を選択し次に -->( 右矢印ボタン ) をクリックすると選択した名前が Selected Pools リストに移動します Selected Pools リストに複数のプールがある場合このグループ内のユーザはリストで最初に表示された使用可能なプールに割り当てられますリスト上のプールの位置を移動するにはプール名を選択し Up または Down をクリックしてプールを適切な位置に移動しますステップ 3 次のいずれか 1 つを実行しますユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します続けてユーザアカウントオプションを指定する場合はこの章の手順を必要に応じて実行しますネットワークアクセス制限をユーザに対して設定する User Setup の Advanced Settings 領域にある Network Access Restrictions テーブルでは次の 3 つの方法で NAR を設定できます名前を指定して既存の共有 NAR を適用する IP に基づいたアクセス制限を定義し IP 接続確立時に指定された AAA クライアントまたは AAA クライアントの指定ポートに対するユーザアクセスを許可または拒否する CLI/DNIS に基づいたアクセス制限を定義し使用される CLI/DNIS に基づいたユーザアクセスを許可または拒否する ( 注 ) また CLI/DNIS に基づいたアクセス制限領域を使用して別の値を指定できます詳細については P.5-19 のネットワークアクセス制限についてを参照してください 7-14

基本ユーザ設定オプション通常は Shared Components セクションから ( 共有 )NAR を定義することによりこれらの制限を複数のグループまたはユーザに適用します詳細については P.5-24 の共有ネットワークアクセス制限の追加を参照してください Interface Configuration セクションの Advanced Options ページにある User-Level Shared Network Access Restriction チェックボックスをオンにしこれらのオプションセットが HTML インターフェイスに表示されるようにしておく必要がありますただし Cisco Secure ACS では User Setup セクションから単一のユーザに対して NAR を定義および適用することもできます単一ユーザの IP に基づいたフィルタオプションおよび単一ユーザの CLI/DNIS に基づいたフィルタオプションを HTML インターフェイスに表示するには Interface Configuration セクションの Advanced Options ページで User-Level Network Access Restriction 設定をイネーブルにしておく必要があります ( 注 ) 認証要求がプロキシから Cisco Secure ACS サーバに転送されると TACACS+ 要求に使用されるすべての NAR は発信元の AAA クライアントの IP アドレスではなく転送先の AAA サーバの IP アドレスに適用されますアクセス制限をユーザごとに作成する場合 Cisco Secure ACS はアクセス数への制限も各アクセスの長さへの制限も適用しませんただし次の制限は適用します行項目それぞれのフィールド長の合計が 1024 文字を超えることはできない共有 NAR では文字サイズの合計が 16 KB を超えることはできないサポートされる行項目の数は行項目それぞれの長さによって異なりますたとえば CLI/DNIS ベースの NAR を作成する場合 AAA クライアント名が 10 文字ポート番号が 5 文字 CLI エントリが 15 文字 DNIS エントリが 20 文字のときは 16 KB 制限に達しない限り 450 行項目を追加できますユーザの NAR を設定するには次の手順を実行します P.7-6 の基本ユーザアカウントの追加の ~ ステップ 3 を実行します 7-15

基本ユーザ設定オプション User Setup Edit ページが開きます追加または編集の対象となるユーザ名がページ上部に表示されます事前に設定された共有 NAR をこのユーザに適用するには次の手順を実行します ( 注 ) 共有 NAR を適用するには Shared Profile Components セクションの Network Access Restrictions で該当する NAR を設定しておく必要があります詳細については P.5-24 の共有ネットワークアクセス制限の追加を参照してください a. Only Allow network access when チェックボックスをオンにします b. ユーザのアクセスを許可するために 1 つの共有 NAR またはすべての共有 NAR のどちらを適用するかを指定するには次の 2 つのオプションのいずれかを選択します All selected NARS result in permit Any one selected NAR results in permit c. NARs リストから共有 NAR 名を選択し次に -->( 右矢印ボタン ) をクリックしてその名前を Selected NARs リストに移動しますヒント適用することを選択した共有 NAR のサーバ詳細を表示するには View IP NAR または View CLID/DNIS NAR の該当する方をクリックしますステップ 3 IP アドレスまたは IP アドレスとポートに基づいてこの特定のユーザに対してユーザアクセスを許可または拒否する NAR を定義および適用するには次の手順を実行しますヒント複数のグループまたはユーザに適用する場合はほとんどの NAR を Shared Components セクションから定義する必要があります詳細については P.5-24 の共有ネットワークアクセス制限の追加を参照してください 7-16

基本ユーザ設定オプション a. Network Access Restrictions テーブルの Per User Defined Network Access Restrictions で Define IP-based access restrictions チェックボックスをオンにします b. 後続してリストに追加される IP アドレスを許可または拒否するかを指定するには Table Defines リストから次のいずれかを選択します Permitted Calling/Point of Access Locations Denied Calling/Point of Access Locations c. 次のボックスで情報を選択するかまたは入力します AAA Client:All AAA Clients を選択するかアクセスを許可または拒否するネットワークデバイスグループ (NDG) の名前または個々の AAA クライアントの名前を入力します Port: アクセスを許可または拒否するポートの番号を入力しますワイルドカードアスタリスク (*) を使用すると選択された AAA クライアント上のすべてのポートに対するアクセスを許可または拒否できます Address: アクセス制限の実行時に使用する IP アドレス ( 複数可 ) を入力しますワイルドカードアスタリスク (*) を使用できます ( 注 ) AAA Client リスト Port ボックスおよび Src IP Address ボックスの文字数の合計は 1024 を超えることができません NAR を追加する場合 Cisco Secure ACS は 1024 を超える文字を受け入れますが NAR は編集できずさらに Cisco Secure ACS が NAR をユーザに正確に適用できなくなります d. Enter キーを押します指定した AAA クライアントポートおよびアドレス情報が AAA Client リスト上部のテーブルに表示されますステップ 4 発信場所または設定された IP アドレス以外の値に基づいてこのユーザのアクセスを許可または拒否するには次の手順を実行します a. Define CLI/DNIS based access restrictions チェックボックスをオンにします b. 後続してリストに追加される値を許可するかまたは拒否するかを指定するには Table Defines リストから次のいずれかを選択します Permitted Calling/Point of Access Locations Denied Calling/Point of Access Locations 7-17

基本ユーザ設定オプション c. 次のボックスに必要な情報を入力します ( 注 ) 各ボックスに入力する必要があります値の全体または一部にワイルドカードアスタリスク (*) を使用できます使用する形式は AAA クライアントから受信する文字列の形式と一致している必要がありますこの形式は RADIUS アカウンティングログから判別できます AAA Client:All AAA Clients を選択するかアクセスを許可または拒否する NDG の名前または個々の AAA クライアントの名前を入力します PORT: アクセスを許可または拒否するポート番号を入力しますワイルドカードアスタリスク (*) を使用するとすべてのポートに対するアクセスを許可または拒否できます CLI: アクセスを許可または拒否する CLI 番号を入力しますワイルドカードアスタリスク (*) を使用すると番号の一部に基づいてアクセスを許可または拒否できますヒントこれは Cisco Aironet クライアントの MAC アドレスなど他の値に基づいてアクセスを制限する場合にも選択します詳細については P.5-19 のネットワークアクセス制限についてを参照してください DNIS: アクセスを許可または拒否する DNIS 番号を入力しますこれはユーザがダイヤルする番号に基づいてアクセスを制限するために使用しますワイルドカードアスタリスク (*) を使用すると番号の一部に基づいてアクセスを許可または拒否できますヒントこれは Cisco Aironet AP の MAC アドレスなど他の値に基づいてアクセスを制限する場合にも選択します詳細については P.5-19 のネットワークアクセス制限についてを参照してください 7-18

基本ユーザ設定オプション ( 注 ) AAA Client リスト Port ボックス CLI ボックスおよび DNIS ボックスの文字数の合計は 1024 を超えることができません NAR を追加する場合 Cisco Secure ACS は 1024 を超える文字を受け入れますが NAR は編集できずさらに Cisco Secure ACS が NAR をユーザに正確に適用できなくなりますステップ 5 d. Enter キーを押します AAA クライアントポート CLI および DNIS を指定する情報が AAA Client リスト上部のテーブルに表示されます次のいずれか 1 つを実行しますユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します続けてユーザアカウントオプションを指定する場合はこの章の手順を必要に応じて実行します最大セッションオプションをユーザに対して設定する最大セッション機能を使用することでユーザに許可する同時コネクションの最大数を設定できます Cisco Secure ACS ではセッションとは RADIUS または TACACS+ によってサポートされている任意のタイプのユーザコネクションを示しこれには PPP Telnet ARAP などがありますただし Cisco Secure ACS がセッションを認識するためには AAA クライアントでアカウンティングをイネーブルにする必要がありますすべてのセッションカウントはユーザ名とグループ名にだけ基づきます Cisco Secure ACS ではセッションのタイプによる区別をサポートしていませんすべてのセッションは同じものとしてカウントされますたとえば最大セッションカウントが 1 のユーザが PPP セッションで AAA クライアントにダイヤルインしている間は同一の Cisco Secure ACS によってアクセスが制御されている場所に Telnet 接続を試みてもその接続は拒否されます 7-19

基本ユーザ設定オプション ( 注 ) それぞれの Cisco Secure ACS は独自の最大セッションカウントを保持しています Cisco Secure ACS が最大セッションカウントを複数の Cisco Secure ACS 間で共有するための方式は用意されていませんしたがって 2 つの Cisco Secure ACS がその間で負荷が分散されたミラーリングペアとして設定されている場合でも最大セッションの合計数はまったく別個に表示されますヒント Max Sessions テーブルが表示されない場合は Interface Configuration をクリックし次に Advanced Options をクリックしてから Max Sessions チェックボックスをオンにしますユーザに対して Max Sessions オプションを設定するには次の手順を実行します P.7-6 の基本ユーザアカウントの追加の ~ ステップ 3 を実行します User Setup Edit ページが開きます追加または編集の対象となるユーザ名がページ上部に表示されます Max Sessions テーブルの Sessions available to user で次の 3 つのオプションのいずれか 1 つを選択します Unlimited: ユーザの同時セッション数を無制限に許可します ( このオプションによって最大セッションが実質的に無効になります ) n: ユーザに許可する同時セッションの最大数を入力します Use group setting: 最大セッション数の値をグループに対して適用します ( 注 ) デフォルト設定は Use group setting です 7-20

基本ユーザ設定オプション ( 注 ) ユーザの最大セッション数を設定するとグループの最大セッション設定が無効になりますたとえば Sales というグループの最大セッション数の値が 10 しかない場合でも Sales グループのユーザである John に User Max Sessions の値として Unlimited が割り当てられていると John にはグループの設定値に関係なく無制限のセッション数が許可されますステップ 3 次のいずれか 1 つを実行しますユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します続けてユーザアカウントオプションを指定する場合はこの章の手順を必要に応じて実行します User Usage Quotas オプションの設定各ユーザに使用状況を割り当てることができます次の 2 つの方法のいずれかまたは両方でユーザを制限できます選択した期間内におけるセッションの合計時間選択した期間内におけるセッションの合計数 Cisco Secure ACS ではセッションとは RADIUS または TACACS+ によってサポートされている任意のタイプのユーザコネクションを示しこれには PPP Telnet ARAP などがありますただし Cisco Secure ACS がセッションを認識するためには AAA クライアントでアカウンティングをイネーブルにする必要があります Session Quotas セクションで個別に指定されていないユーザについては Cisco Secure ACS によってそのユーザが割り当てられているグループのセッション割当量が適用されます ( 注 ) User Usage Quotas 機能が表示されない場合は Interface Configuration をクリックし次に Advanced Options をクリックしてから Usage Quotas チェックボックスをオンにします 7-21

基本ユーザ設定オプションヒント User Setup Edit ページの User Usage Quotas テーブルの下にある Current Usage テーブルに現在のユーザについての使用状況統計情報が表示されます Current Usage テーブルにはそのユーザが使用したオンライン時間とセッション数の両方が毎日毎週毎月および合計使用量のカラムに表示されます Current Usage テーブルは設定済みのユーザアカウントについてだけ表示されますしたがって最初のユーザ設定時には表示されません割当量を超過したユーザについてはそのユーザが次にセッションの開始を試みた時点で Cisco Secure ACS によってアクセスが拒否されますあるセッション中に割り当てを超えても Cisco Secure ACS はそのセッションの継続を許可します使用割当量を超えたために無効になったユーザアカウントについては User Setup Edit ページにアカウントが無効になった理由を示すというメッセージが表示されますユーザの User Setup ページではセッション割当量カウンタをリセットできます使用割当量カウンタのリセットの詳細については P.7-69 のユーザセッション割当量カウンタのリセットを参照してください時間に基づいた割当量をサポートするためにはすべての AAA クライアント上でアカウンティングアップデートパケットをイネーブルにすることを推奨しますアップデートパケットがイネーブルではない場合割当量はユーザがログオフしたときだけアップデートされますユーザがネットワークへのアクセスに使用している AAA クライアントに障害が発生すると割当量はアップデートされません ISDN のような複数セッションの場合はすべてのセッションが終了するまで割当量はアップデートされないため最初のチャネルがユーザの割当量を使い切っていても 2 番目のチャネルが受け付けられることになりますユーザ使用割当量のオプションを設定するには次の手順を実行します P.7-6 の基本ユーザアカウントの追加の ~ ステップ 3 を実行します User Setup Edit ページが開きます追加または編集の対象となるユーザ名がページ上部に表示されます 7-22

基本ユーザ設定オプション Usage Quotas テーブルで Use these settings を選択しますステップ 3 セッションの期間に基づいた使用割当量を定義するには次の手順を実行します a. Limit user to x hours of online time チェックボックスをオンにします b. Limit user to x hours of online time ボックスにユーザを制限する時間数を入力します分を表すには小数を使用しますたとえば値 10.5 は 10 時間 30 分になります ( 注 ) このフィールドには最大で 10 文字まで入力できますステップ 4 c. 時間割当量を適用する期間を選択します per Day: 午前 12:01 から夜中の 12:00 まで per Week: 日曜の午前 12:01 から土曜の夜中の 12:00 まで per Month: 月の朔日 (1 日 ) の午前 12:01 から月の末日の夜中の 12:00 まで Absolute: 継続した無期限の時間カウントセッション数に基づいて使用割当量を定義するには次の手順を実行します a. Limit user to x sessions チェックボックスをオンにします b. Limit user to x sessions ボックスにユーザに対して制限するセッション回数を入力します ( 注 ) このフィールドには最大で 10 文字まで入力できます c. セッション割当量を適用する期間を選択します per Day: 午前 12:01 から夜中の 12:00 まで per Week: 日曜の午前 12:01 から土曜の夜中の 12:00 まで per Month: 月の朔日 (1 日 ) の午前 12:01 から月の末日の夜中の 12:00 まで 7-23

基本ユーザ設定オプション Absolute: 継続した無期限の時間カウントユーザアカウントの無効化オプションの設定 Account Disable 機能ではユーザアカウントを無効にする状況を定義します ( 注 ) この機能はパスワードエージングによるアカウントの期限満了とは異なりますパスワードエージングは個別のユーザに対してではなくグループに対してだけ定義されますまたこの機能は Account Disabled チェックボックスと異なることにも注意してくださいユーザアカウントを無効にする方法については P.7-67 のユーザアカウントの無効化を参照してください ( 注 ) Windows のユーザデータベースを使用してユーザを認証する場合この期限満了情報は Windows のユーザアカウント内の情報とは別に追加されますここで変更を行っても Windows での設定内容は変更されませんユーザアカウントの無効化に関するオプションを設定するには次の手順を実行します P.7-6 の基本ユーザアカウントの追加の ~ ステップ 3 を実行します User Setup Edit ページが開きます追加または編集の対象となるユーザ名がページ上部に表示されます次のいずれか 1 つを実行します a. ユーザアカウントを常に有効に保つ場合は Never オプションを選択します 7-24

基本ユーザ設定オプション ( 注 ) これがデフォルト設定です b. 特定の条件下でアカウントを無効にするには Disable account if オプションを選択します次に後続のボックスで状況のいずれかまたは両方を指定します Date exceeds:date exceeds: チェックボックスをオンにします次にアカウントを無効にする月を選択し日付 (2 文字 ) と年 (4 文字 ) を入力します ( 注 ) デフォルト値はユーザの追加後 30 日です Failed attempts exceed:failed attempts exceed チェックボックスをオンにしアカウントが無効になるまでに許可されるログインの連続失敗回数を入力します ( 注 ) デフォルト値は 5 ですステップ 3 次のいずれか 1 つを実行しますユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します続けてユーザアカウントオプションを指定する場合はこの章の手順を必要に応じて実行します 7-25

基本ユーザ設定オプションダウンロード可能 IP ACL をユーザに割り当てる Downloadable ACL 機能によって IP Access Control リスト (ACL) をユーザレベルで割り当てることができます割り当てる前に 1 つ以上の IP ACL を設定しておく必要があります Cisco Secure ACS HTML インターフェイスの Shared Profile Components セクションを使用してダウンロード可能 IP ACL を設定する方法については P.5-13 のダウンロード可能 IP ACL の追加を参照してください ( 注 ) Downloadable ACLs テーブルはイネーブルになっていない場合は表示されません Downloadable ACLs テーブルをイネーブルにするには Interface Configuration をクリックし次に Advanced Options をクリックしてから User-Level Downloadable ACLs チェックボックスをオンにしますダウンロード可能 IP ACL をユーザアカウントに割り当てるには次の手順を実行します P.7-6 の基本ユーザアカウントの追加の ~ ステップ 3 を実行します User Setup Edit ページが開きます追加および編集の対象となるユーザ名がページ上部に表示されますステップ 3 ステップ 4 Downloadable ACLs セクションの下にある Assign IP ACL: チェックボックスをオンにしますリストから IP ACL を選択します次のいずれか 1 つを実行しますユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します続けてユーザアカウントオプションを指定する場合はこの章の手順を必要に応じて実行します 7-26

ここではユーザレベルの TACACS+ および RADIUS のイネーブルパラメータを設定するために実行するアクティビティについて説明しますこの項では次のトピックについて取り上げます TACACS+ 設定 ( ユーザ )(P.7-28) - TACACS+ をユーザに対して設定する (P.7-28) - シェルコマンド許可セットをユーザに対して設定する (P.7-31) - PIX コマンド許可セットをユーザに対して設定する (P.7-34) - デバイス管理コマンド許可をユーザに対して設定する (P.7-36) - Unknown Service をユーザに対して設定する (P.7-38) 高度な TACACS+ 設定 ( ユーザ )(P.7-39) - Enable Privilege オプションをユーザに対して設定する (P.7-39) - TACACS+ Enable Password オプションをユーザに対して設定する (P.7-42) - TACACS+ 発信パスワードをユーザに対して設定する (P.7-43) RADIUS アトリビュート (P.7-44) - IETF RADIUS パラメータをユーザに対して設定する (P.7-45) - Cisco IOS/PIX RADIUS パラメータをユーザに対して設定する (P.7-46) - Cisco Aironet RADIUS パラメータをユーザに対して設定する (P.7-48) - Ascend RADIUS パラメータをユーザに対して設定する (P.7-50) - Cisco VPN 3000 Concentrator RADIUS パラメータをユーザに対して設定する (P.7-52) - Cisco VPN 5000 Concentrator RADIUS パラメータをユーザに対して設定する (P.7-54) - Microsoft RADIUS パラメータをユーザに対して設定する (P.7-56) - Nortel RADIUS パラメータをユーザに対して設定する (P.7-58) - Juniper RADIUS パラメータをユーザに対して設定する (P.7-60) - BBSM RADIUS パラメータをユーザに対して設定する (P.7-61) - カスタム RADIUS アトリビュートをユーザに対して設定する (P.7-63) 7-27

TACACS+ 設定 ( ユーザ ) TACACS+ Settings セクションではユーザの権限付与に適用するサービス / プロトコルパラメータをイネーブル化および設定できますこの項では次のトピックについて取り上げます TACACS+ をユーザに対して設定する (P.7-28) シェルコマンド許可セットをユーザに対して設定する (P.7-31) PIX コマンド許可セットをユーザに対して設定する (P.7-34) デバイス管理コマンド許可をユーザに対して設定する (P.7-36) Unknown Service をユーザに対して設定する (P.7-38) TACACS+ をユーザに対して設定するこの手順では次のサービス / プロトコルについてユーザレベルの TACACS+ 設定を実行します PPP IP PPP IPX PPP Multilink PPP Apple Talk PPP VPDN PPP LCP ARAP Shell (exec) PIX Shell (pixshell) SLIP また設定した任意の新しい TACACS+ サービスもイネーブルにできますすべてのサービス / プロトコル設定を User Setup セクションに表示すると煩雑になるためどの設定を表示または非表示にするかをインターフェイス設定時にユーザレベルで選択します Cisco Secure ACS HTML インターフェイスでの新規または既存の TACACS+ サービスの設定については P.3-10 の TACACS+ のプロトコル設定オプションを参照してください 7-28

Cisco デバイス管理アプリケーションと連係動作するように Cisco Secure ACS を設定した場合はそのデバイス管理アプリケーションをサポートするための新しい TACACS+ サービスが必要に応じて自動的に表示されます Cisco Secure ACS とデバイス管理アプリケーションとの連係動作の詳細については P.1-22 の Cisco デバイス管理アプリケーションのサポートを参照してくださいアトリビュートの詳細については付録 B TACACS+ の AV ペアまたは使用している AAA クライアントのマニュアルを参照してください IP ACL の割り当てについては P.7-26 のダウンロード可能 IP ACL をユーザに割り当てるを参照してください始める前に TACACS+ サービス / プロトコル設定が表示されるようにするにはセキュリティコントロールプロトコルとして TACACS+ を使用するように AAA クライアントを設定しておく必要があります Interface Configuration の Advanced Options セクションにある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっていることを確認しますユーザに対して TACACS+ 設定を行うには次の手順を実行します Interface Configuration TACACS+ (Cisco IOS) の順にクリックします TACACS+ Services テーブルの User というヘッダーの下部で設定したいサービス / プロトコルのチェックボックスがオンになっていることを確認します P.7-6 の基本ユーザアカウントの追加の ~ ステップ 3 を実行します User Setup Edit ページが開きます追加または編集の対象となるユーザ名がページ上部に表示されますステップ 3 TACACS+ Settings テーブルを下にスクロールし太字のサービス名のチェックボックスをオンにしてそのプロトコルをイネーブルにします ( たとえば PPP IP など ) 7-29

ステップ 4 選択したサービス内の特定のパラメータをイネーブルにするにはそのパラメータの隣にあるチェックボックスをオンにし必要に応じて次のいずれかを行います Enabled チェックボックスをオンにします対応するアトリビュートのボックスに値を指定します ACL および IP アドレスプールを指定するには ACL またはプールの名前を AAA クライアントで定義されているとおりに入力しますデフォルト設定 (AAA クライアントの定義による ) を使用する場合はブランクのままにしますアトリビュートの詳細については付録 B TACACS+ の AV ペアまたは使用している AAA クライアントのマニュアルを参照してください IP ACL の割り当てについては P.7-26 のダウンロード可能 IP ACL をユーザに割り当てるを参照してくださいヒント ACL はネットワーク上の他のデバイスまたはユーザに対するアクセスまたは他のデバイスまたはユーザからのアクセスを制限するために使用される Cisco IOS コマンドのリストですステップ 5 ステップ 6 特定のサービスについてカスタムアトリビュートを使用するにはそのサービスの Custom attributes チェックボックスをオンにし次にチェックボックスの下部にあるボックスにアトリビュート / 値を指定します次のいずれか 1 つを実行しますユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します続けてユーザアカウントオプションを指定する場合はこの章の手順を必要に応じて実行します 7-30

シェルコマンド許可セットをユーザに対して設定するユーザのシェルコマンド許可セットパラメータを指定するにはこの手順を実行します次の 5 つのオプションから 1 つを選択できます None: シェルコマンドは許可しません Group: このユーザにはグループレベルのシェルコマンド許可セットを適用します Assign a Shell Command Authorization Set for any network device:1 つのシェルコマンド許可セットを割り当てそれをすべてのネットワークデバイスに適用します Assign a Shell Command Authorization Set on a per Network Device Group Basis: 特定のシェルコマンド許可セットを特定の NDG に適用しますこのオプションを選択するとどの NDG がどのシェルコマンド許可セットに関連付けられているかを示すテーブルが作成されます Per User Command Authorization: 特定の Cisco IOS コマンドおよび引数をユーザレベルで許可または拒否できるようにします始める前に AAA クライアントがセキュリティコントロールプロトコルとして TACACS+ を使用するように設定されていることを確認します Interface Configuration の Advanced Options セクションにある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっていることを確認します Interface Configuration の TACACS+ (Cisco) セクションにある User カラムで Shell (exec) オプションが選択されていることを確認します 1 つ以上のシェルコマンド許可セットを事前に設定してあることを確認します詳細な手順については P.5-36 のコマンド許可セットの追加を参照してくださいユーザのシェルコマンド許可セットパラメータを指定するには次の手順を実行します P.7-6 の基本ユーザアカウントの追加の ~ ステップ 3 を実行します User Setup Edit ページが開きます追加または編集の対象となるユーザ名がページ上部に表示されます 7-31

ステップ 3 ステップ 4 ステップ 5 TACACS+ Settings テーブルにスクロールダウンし Shell Command Authorization Set 機能の領域を表示しますシェルコマンド許可セットを適用しない場合は None オプションを選択します ( またはデフォルトをそのまま使用します ) シェルコマンド許可セットをグループレベルで割り当てるには As Group オプションを選択します設定済みの任意のネットワークデバイスで特定のシェルコマンド許可セットが有効になるように割り当てるには次の手順を実行します a. Assign a Shell Command Authorization Set for any network device オプションを選択します b. 次にそのオプションの直下にあるリストからこのユーザに適用するシェルコマンド許可セットを選択しますステップ 6 特定のシェルコマンド許可セットが特定の NDG で有効になるように関連付けを作成するには関連ごとに次の手順を実行します a. Assign a Shell Command Authorization Set on a per Network Device Group Basis オプションを選択します b. Device Group と関連付ける Command Set を選択します c. Add Association をクリックしますヒント一覧に表示されていないネットワークデバイスグループに対しても適用するコマンドセットを選択できます適用するコマンドセットを NDG の <default> 項目に関連付けます NDG とそれに関連付けられたシェルコマンド許可セットがテーブルにペアで表示されます 7-32

ステップ 7 ユーザに特定の Cisco IOS コマンドおよび引数の使用を許可または拒否するよう定義するには次の手順を実行します a. Per User Command Authorization オプションを選択します b. Unmatched Cisco IOS commands で Permit または Deny を選択します Permit を選択するとユーザはリストで指定されていないコマンドをすべて発行できます Deny を選択するとユーザはリストで指定されたコマンドだけを発行できます c. 許可または拒否する特定のコマンドをリストに含めるには Command チェックボックスをオンにしてコマンドの名前を入力し標準の permit または deny 構文を使用して引数を定義し次にリストに含まれていない引数を許可するか拒否するかを選択します注意これは高度な機能であるため Cisco IOS コマンドについて熟知している管理者が使用するようにしてください構文を正しく入力することは管理者の責任です Cisco Secure ACS が使用しているコマンド引数でのパターンマッチングについては P.5-36 のパターンマッチングについてを参照してくださいヒント複数のコマンドを入力するには 1 つのコマンドを指定するごとに Submit をクリックする必要があります入力済みのボックスの下に新しいコマンド入力ボックスが表示されますステップ 8 次のいずれか 1 つを実行しますユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します続けてユーザアカウントオプションを指定する場合はこの章の手順を必要に応じて実行します 7-33

PIX コマンド許可セットをユーザに対して設定するユーザの PIX コマンド許可セットパラメータを指定するにはこの手順を実行します次の 4 つのオプションがあります None:PIX コマンドは許可しません Group: このユーザにはグループレベルの PIX コマンド許可セットを適用します Assign a PIX Command Authorization Set for any network device:1 つの PIX コマンド許可セットを割り当てそれをすべてのネットワークデバイスに適用します Assign a PIX Command Authorization Set on a per Network Device Group Basis: 特定の PIX コマンド許可セットを特定の NDG に適用します始める前に AAA クライアントがセキュリティコントロールプロトコルとして TACACS+ を使用するように設定されていることを確認します Interface Configuration の Advanced Options セクションにある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっていることを確認します Interface Configuration の TACACS+ (Cisco) セクションで User カラムで PIX Shell (pixshell) オプションが選択されていることを確認します 1 つ以上の PIX コマンド許可セットを事前に設定してあることを確認します詳細な手順については P.5-36 のコマンド許可セットの追加を参照してくださいユーザの PIX コマンド許可セットパラメータを指定するには次の手順を実行します P.7-6 の基本ユーザアカウントの追加の ~ ステップ 3 を実行します User Setup Edit ページが開きます追加または編集の対象となるユーザ名がページ上部に表示されます TACACS+ Settings テーブルにスクロールダウンし PIX Command Authorization Set 機能の領域を表示します 7-34

ステップ 3 PIX コマンド許可セットを適用しない場合は None オプションを選択します ( またはデフォルトをそのまま使用します ) ステップ 4 PIX コマンド許可セットをグループレベルで割り当てるには As Group オプションを選択しますステップ 5 設定済みの任意のネットワークデバイスで特定の PIX コマンド許可セットが有効になるように割り当てるには次の手順を実行しますステップ 6 a. Assign a PIX Command Authorization Set for any network device オプションを選択します b. そのオプションの下部にあるリストからこのユーザに適用する PIX コマンド許可セットを選択します特定の PIX コマンド許可セットが特定の NDG で有効になるように関連付けを作成するには関連ごとに次の手順を実行しますステップ 7 a. Assign a PIX Command Authorization Set on a per Network Device Group Basis オプションを選択します b. Device Group と関連付ける Command Set を選択します c. Add Association をクリックします関連付けられた NDG と PIX コマンド許可セットがテーブルに表示されます次のいずれか 1 つを実行しますユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します続けてユーザアカウントオプションを指定する場合はこの章の手順を必要に応じて実行します 7-35

デバイス管理コマンド許可をユーザに対して設定するこの手順ではユーザに対してデバイス管理コマンド許可セットパラメータを指定しますデバイス管理コマンド許可セットは Cisco Secure ACS を使用して許可するように設定されている Cisco デバイス管理アプリケーションにおけるタスクの許可をサポートしています次の 4 つのオプションから 1 つを選択できます None: 該当する Cisco デバイス管理アプリケーションで発行されたコマンドに対する許可は実行しません Group: このユーザには該当するデバイス管理アプリケーションについてのグループレベルのコマンド許可セットを適用します Assign a device-management application for any network device: 該当するデバイス管理アプリケーションに 1 つのコマンド許可セットが割り当てられあらゆるネットワークデバイスでの管理タスクに適用されます Assign a device-management application on a per Network Device Group Basis: 該当するデバイス管理アプリケーションのコマンド許可セットを特定の NDG に適用できますコマンド許可セットはその NDG に属するネットワークデバイスでのすべての管理タスクに適用されます始める前に AAA クライアントがセキュリティコントロールプロトコルとして TACACS+ を使用するように設定されていることを確認します Interface Configuration の Advanced Options セクションにある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっていることを確認します Interface Configuration の TACACS+ (Cisco) セクションの New Services の下にある User カラムで該当するデバイス管理アプリケーションに対応する新しい TACACS+ サービスが選択されていることを確認しますコマンド許可セットを適用する場合はデバイス管理コマンド許可セットを 1 つ以上設定しておく必要があります詳細な手順については P.5-36 のコマンド許可セットの追加を参照してくださいデバイス管理アプリケーションのコマンド許可をユーザに対して指定するには次の手順を実行します 7-36

P.7-6 の基本ユーザアカウントの追加の ~ ステップ 3 を実行します User Setup Edit ページが開きます追加または編集の対象となるユーザ名がページ上部に表示されます TACACS+ Settings テーブルにスクロールダウンし該当するデバイス管理コマンド許可機能の領域を表示しますステップ 3 該当するデバイス管理アプリケーションで実行されるアクションにコマンド許可を適用しない場合は None オプションを選択します ( またはデフォルトをそのまま使用します ) ステップ 4 該当するデバイス管理アプリケーションに関するコマンド許可をグループレベルで割り当てるには As Group オプションを選択しますステップ 5 任意のネットワークデバイスでのデバイス管理アプリケーションのアクションに対して特定のコマンド許可セットが有効になるように割り当てるには次の手順を実行しますステップ 6 a. Assign a device-management application for any network device オプションを選択します b. 次にそのオプションの直下にあるリストからこのユーザに適用するコマンド許可セットを選択します特定のコマンド許可セットが特定の NDG でのデバイス管理アプリケーションのアクションに対して有効になるように関連付けを作成するには関連ごとに次の手順を実行します a. Assign a device-management application on a per Network Device Group Basis オプションを選択します b. Device Group と関連付ける device-management application を選択します c. Add Association をクリックします関連付けられた NDG とコマンド許可セットがテーブルに表示されます 7-37

ステップ 7 次のいずれか 1 つを実行しますユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します続けてユーザアカウントオプションを指定する場合はこの章の手順を必要に応じて実行します Unknown Service をユーザに対して設定する TACACS+ AAA クライアントが未知のサービスを許可する場合は Checking this option will PERMIT all UNKNOWN Services の下にある Default (Undefined) Services チェックボックスをオンにしますユーザの Unknown Service 設定を行うには次の手順を実行します P.7-6 の基本ユーザアカウントの追加の ~ ステップ 3 を実行します User Setup Edit ページが開きます追加または編集の対象となるユーザ名がページ上部に表示されますステップ 3 ステップ 4 スクロールダウンして Checking this option will PERMIT all UNKNOWN Services というヘッダーのテーブルを表示します TACACS+ AAA クライアントがこのユーザに対して未知のサービスを許可するようにするには Default (Undefined) Services チェックボックスをオンにします次のいずれか 1 つを実行しますユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します続けてユーザアカウントオプションを指定する場合はこの章の手順を必要に応じて実行します 7-38

高度な TACACS+ 設定 ( ユーザ ) ここで説明する内容は AAA クライアントで TACACS+ を設定してある場合に適用されますヒント Advanced TACACS+ Settings (User) テーブルが表示されない場合は Interface Configuration TACACS+ (Cisco IOS) Advanced TACACS+ Features の順にクリックしますこの項では次のトピックについて取り上げます Enable Privilege オプションをユーザに対して設定する (P.7-39) TACACS+ Enable Password オプションをユーザに対して設定する (P.7-42) TACACS+ 発信パスワードをユーザに対して設定する (P.7-43) Enable Privilege オプションをユーザに対して設定する管理者のアクセスを制御するには Exec セッションで TACACS+ Enable Control を使用します一般的にはルータの管理制御のために使用します次の 4 つのオプションからユーザに割り当てる特権レベルを選択して指定できます Use Group Level Setting: グループレベルで設定された特権をこのユーザに設定します No Enable Privilege: このユーザにはイネーブル特権を許可しません ( 注 ) これがデフォルト設定です Max Privilege for any AAA Client: このユーザが許可される任意の AAA クライアント上でこのユーザに適用される最大特権レベルをリストから選択できます Define Max Privilege on a per-network Device Group Basis:1 つ以上の NDG でこのユーザに最大特権レベルを関連付けることができます 7-39

( 注 ) 特権レベルの詳細については AAA クライアントのドキュメンテーションを参照してくださいヒントユーザ特権レベルを NDG に割り当てる前に Interface Configuration でその NDG を設定しておく必要がありますユーザの特権レベルを選択および指定するには次の手順を実行します P.7-6 の基本ユーザアカウントの追加の ~ ステップ 3 を実行します User Setup Edit ページが開きます追加または編集の対象となるユーザ名がページ上部に表示されます Advanced TACACS+ Settings テーブルの TACACS+ Enable Control で次の 4 つの特権オプションのうち 1 つを選択します Use Group Level Setting No Enable Privilege ( 注 ) No Enable Privilege がデフォルト設定です新規ユーザアカウントの設定時はこれが選択されています Max Privilege for Any Access Server Define Max Privilege on a per-network Device Group Basis ステップ 3 で Max Privilege for Any Access Server を選択した場合は対応するリストから適用する特権レベルを選択します 7-40

ステップ 4 で Define Max Privilege on a per-network Device Group Basis を選択した場合は次の手順に従って NDG のそれぞれで特権レベルを定義します a. Device Group リストからデバイスグループを選択します ( 注 ) 事前に設定されていないデバイスグループはこのリストに表示されません b. Privilege リストから選択したデバイスグループに関連付ける特権レベルを選択します c. Add Association をクリックしますデバイスグループを特定の特権レベルに関連付けるエントリがテーブルに表示されます d. このユーザに関連付けるデバイスグループのそれぞれについてステップ a ~ステップ c を繰り返しますヒントエントリを削除するにはそのエントリを選択して Remove Associate をクリックしますステップ 5 次のいずれか 1 つを実行しますユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します続けてユーザアカウントオプションを指定する場合はこの章の手順を必要に応じて実行します 7-41

TACACS+ Enable Password オプションをユーザに対して設定するユーザに TACACS+ Enable Password オプションを設定する場合は次の 3 つのオプションのいずれかを選択できます Use CiscoSecure PAP password Use external database password Use separate password TACACS+ Enable Password オプションを設定するには次の手順を実行します P.7-6 の基本ユーザアカウントの追加の ~ ステップ 3 を実行します User Setup Edit ページが開きます追加または編集の対象となるユーザ名がページ上部に表示されます次のいずれか 1 つを実行します Password Authentication セクションで設定した情報を使用するには Use CiscoSecure PAP password を選択します ( 注 ) 基本パスワードの設定については P.7-6 の基本ユーザアカウントの追加を参照してください外部データベースパスワードを使用するには Use external database password を選択し次にこのユーザのイネーブルパスワードを認証するデータベースをリストから選択します ( 注 ) データベースのリストにはすでに設定してあるデータベースだけが表示されます詳細については P.13-6 の外部ユーザデータベースについてを参照してください 7-42

個別のパスワードを使用するには Use separate password をクリックしこのユーザのコントロールパスワードを入力しさらに確認のために再度入力しますこのパスワードは通常の認証に追加して使用しますステップ 3 次のいずれか 1 つを実行しますユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します続けてユーザアカウントオプションを指定する場合はこの章の手順を必要に応じて実行します TACACS+ 発信パスワードをユーザに対して設定する TACACS+ 発信パスワードを使用すると AAA クライアントは発信認証を通して別の AAA クライアントに対する自己認証を行うことができます発信認証は PAP CHAP MS-CHAP または ARAP とすることができその結果として Cisco Secure ACS パスワードが公表されることになりますデフォルトではユーザの ASCII/PAP パスワードまたは CHAP/MS-CHAP/ARAP パスワードが使用されます着信パスワードの効力低下を防ぐために別の SENDAUTH パスワードを設定できます注意発信パスワードは TACACS+ SendAuth/OutBound パスワードの使用方法に精通している場合に限り使用するようにしてくださいユーザの TACACS+ 発信パスワードを設定するには次の手順を実行します P.7-6 の基本ユーザアカウントの追加の ~ ステップ 3 を実行します User Setup Edit ページが開きます追加または編集の対象となるユーザ名がページ上部に表示されます 7-43

ステップ 3 このユーザの TACACS+ 発信パスワードを入力し確認のために再度入力します次のいずれか 1 つを実行しますユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します続けてユーザアカウントオプションを指定する場合はこの章の手順を必要に応じて実行します RADIUS アトリビュート RADIUS 認証のためのユーザアトリビュートについては汎用のものを IETF レベルで設定するかまたはベンダーごとに Vendor-Specific アトリビュート (VSA) を設定するかを選択できます汎用アトリビュートについては P.7-45 の IETF RADIUS パラメータをユーザに対して設定するを参照してください Cisco Secure ACS には出荷時に一般的な VSA が多数ロードされておりこれらを設定および適用できます追加のカスタム RADIUS VSA の作成については P.9-32 のカスタム RADIUS ベンダーと VSA を参照してくださいこの項では次のトピックについて取り上げます IETF RADIUS パラメータをユーザに対して設定する (P.7-45) Cisco IOS/PIX RADIUS パラメータをユーザに対して設定する (P.7-46) Cisco Aironet RADIUS パラメータをユーザに対して設定する (P.7-48) Ascend RADIUS パラメータをユーザに対して設定する (P.7-50) Cisco VPN 3000 Concentrator RADIUS パラメータをユーザに対して設定する (P.7-52) Cisco VPN 5000 Concentrator RADIUS パラメータをユーザに対して設定する (P.7-54) Microsoft RADIUS パラメータをユーザに対して設定する (P.7-56) Nortel RADIUS パラメータをユーザに対して設定する (P.7-58) Juniper RADIUS パラメータをユーザに対して設定する (P.7-60) 7-44

BBSM RADIUS パラメータをユーザに対して設定する (P.7-61) カスタム RADIUS アトリビュートをユーザに対して設定する (P.7-63) IETF RADIUS パラメータをユーザに対して設定する RADIUS アトリビュートは要求を行っている AAA クライアントへ Cisco Secure ACS からユーザのプロファイルとして送信されますこれらのパラメータは次の条件をすべて満たす場合に限り表示されます Network Configuration で AAA クライアントが RADIUS プロトコルのいずれかを使用するように設定されている Interface Configuration セクションの Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている Interface Configuration セクションの RADIUS (IETF) で User-level IETF RADIUS アトリビュートがイネーブルになっている ( 注 ) これらのアトリビュートを HTML インターフェイスで表示または非表示にする方法については P.3-14 の RADIUS のプロトコル設定オプションを参照してください ( 注 ) RADIUS アトリビュートのリストと説明については付録 C RADIUS アトリビュートまたは RADIUS を使用する特定のネットワークデバイスのドキュメンテーションを参照してください現在のユーザの許可として適用される IETF RADIUS アトリビュートを設定するには次の手順を実行します P.7-6 の基本ユーザアカウントの追加の ~ ステップ 3 を実行します User Setup Edit ページが開きます追加または編集の対象となるユーザ名がページ上部に表示されます 7-45

ステップ 3 IETF RADIUS テーブルで現在のユーザに許可する必要があるアトリビュートのそれぞれについてアトリビュートの隣にあるチェックボックスをオンにしさらにその隣のフィールド内でアトリビュートの許可を定義します次のいずれか 1 つを実行しますユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します続けてユーザアカウントオプションを指定する場合はこの章の手順を必要に応じて実行します Cisco IOS/PIX RADIUS パラメータをユーザに対して設定する Cisco IOS RADIUS パラメータは次の条件をすべて満たす場合に限り表示されます Network Configuration で AAA クライアントが RADIUS (Cisco IOS/PIX) を使用するように設定されている Interface Configuration セクションの Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている Interface Configuration の RADIUS (Cisco IOS/PIX) で User-level RADIUS (Cisco IOS/PIX) アトリビュートがイネーブルになっている ( 注 ) Cisco IOS RADIUS VSA を表示または非表示にする方法については P.3-20 の非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定を参照してください特定のユーザに対する許可として適用される VSA はそれに関連付けられている AAA クライアントを削除または置換しても保持されていますただしこの ( ベンダー ) タイプの AAA クライアントが設定されていない場合その VSA 設定はユーザ設定インターフェイスには表示されません 7-46

Cisco IOS RADIUS は Cisco IOS VSA だけを表します IETF RADIUS アトリビュートと Cisco IOS RADIUS アトリビュートの両方を設定する必要があります現在のユーザの許可として適用される Cisco IOS RADIUS アトリビュートを設定してイネーブルにするには次の手順を実行します P.7-6 の基本ユーザアカウントの追加の ~ ステップ 3 を実行します User Setup Edit ページが開きます追加または編集の対象となるユーザ名がページ上部に表示されます Cisco IOS RADIUS アトリビュートを設定する前に IETF RADIUS アトリビュートが正しく設定されていることを確認します IETF RADIUS アトリビュートの設定の詳細については P.7-45 の IETF RADIUS パラメータをユーザに対して設定するを参照してくださいステップ 3 [009\001] cisco-av-pair アトリビュートを使用して許可を指定する場合はアトリビュートの隣にあるチェックボックスをオンにし次にテキストボックスにアトリビュートと値のペアを入力します各アトリビュート値ペアは Enter キーを押して区切りますたとえば現在のユーザプロファイルが Network Admission Control(NAC; ネットワークアドミッションコントロール ) クライアントに対応し Cisco Secure ACS が常に該当するグループプロファイルに含まれる値とは異なっている必要のある status-query-timeout アトリビュート値を NAC クライアントに割り当てる場合はその値を次のように指定することもできます status-query-timeout=1200 ステップ 4 他の Cisco IOS/PIX RADIUS アトリビュートを使用する場合は対応するチェックボックスをオンにし隣にあるテキストボックスで必要な値を指定します 7-47

ステップ 5 次のいずれか 1 つを実行しますユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します続けてユーザアカウントオプションを指定する場合はこの章の手順を必要に応じて実行します Cisco Aironet RADIUS パラメータをユーザに対して設定する単一の Cisco Aironet RADIUS VSA つまり Cisco-Aironet-Session-Timeout はバーチャル VSA です Cisco Aironet Access Point からの要求に応答するときに IETF RADIUS Session-Timeout アトリビュート (27) の特別実装 ( つまり再マッピング ) として機能しますこれを使用すると無線デバイス経由と有線デバイス経由の両方でユーザが接続できるようにする必要がある場合に異なるセッションタイムアウト値を指定できますこの機能を使用して WLAN 接続向けに第 2 のタイムアウト値を指定すると WLAN 接続 ( 通常は分単位で計測 ) に対して標準のタイムアウト値 ( 通常は時間単位で計測 ) を使用しなければならない場合に起こり得る問題が回避されます常に Cisco Aironet Access Point だけで接続する特定のユーザに対しては Cisco-Aironet-Session-Timeout を使用する必要はありませんこの設定は有線クライアント経由と無線クライアント経由の両方で接続する可能性があるユーザに対して使用しますたとえばあるユーザに対して Cisco-Aironet-Session-Timeout を 600 秒 (10 分 ) に IETF RADIUS Session-Timeout を 3 時間に設定するとしますこのユーザが VPN 経由で接続すると Cisco Secure ACS はタイムアウト値として 3 時間を使用します一方このユーザが Cisco Aironet Access Point 経由で接続すると Cisco Secure ACS は Aironet AP からの認証要求に応答し IETF RADIUS Session-Timeout アトリビュートに 600 秒を送信しますこのように Cisco-Aironet-Session-Timeout アトリビュートが設定されていればエンドユーザクライアントが無線デバイスと Cisco Aironet Access Point のどちらであるかに応じて異なるタイムアウト値を送信できます Cisco Aironet RADIUS パラメータは次の条件をすべて満たす場合に限り User Setup ページに表示されます 7-48

Network Configuration で AAA クライアントが RADIUS (Cisco Aironet) を使用するように設定されている Interface Configuration セクションの Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている Interface Configuration セクションの RADIUS (Cisco Aironet) で User-level RADIUS (Cisco Aironet) アトリビュートがイネーブルになっている ( 注 ) Cisco Aironet RADIUS VSA を表示または非表示にする方法については P.3-20 の非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定を参照してください特定のユーザに対する許可として適用される VSA はそれに関連付けられている AAA クライアントを削除または置換しても保持されていますただしこの ( ベンダー ) タイプの AAA クライアントが設定されていない場合その VSA 設定はユーザ設定インターフェイスには表示されません現在のユーザの許可として適用される Cisco Aironet RADIUS アトリビュートを設定してイネーブルにするには次の手順を実行します P.7-6 の基本ユーザアカウントの追加の ~ ステップ 3 を実行します User Setup Edit ページが開きます追加または編集の対象となるユーザ名がページ上部に表示されますステップ 3 Cisco Aironet RADIUS アトリビュートを設定する前に IETF RADIUS アトリビュートが正しく設定されていることを確認します IETF RADIUS アトリビュートの設定の詳細については P.7-45 の IETF RADIUS パラメータをユーザに対して設定するを参照してください Cisco Aironet RADIUS Attributes テーブルで [5842\001] Cisco-Aironet-Session-Timeout チェックボックスをオンにします 7-49

ステップ 4 [5842\001] Cisco-Aironet-Session-Timeout ボックスにセッションタイムアウト値を秒単位で入力しますこの値は AAA クライアントが RADIUS(Cisco Aironet) 認証オプションを使用するように Network Configuration で設定されている場合に Cisco Secure ACS によって IETF RADIUS Session-Timeout (27) アトリビュートとして送信されます推奨値は 600 秒です IETF RADIUS Session-Timeout アトリビュートの詳細については付録 C RADIUS アトリビュートまたは使用している AAA クライアントのマニュアルを参照してくださいステップ 5 次のいずれか 1 つを実行しますユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します続けてユーザアカウントオプションを指定する場合はこの章の手順を必要に応じて実行します Ascend RADIUS パラメータをユーザに対して設定する Ascend RADIUS パラメータは次の条件をすべて満たす場合に限り表示されます Network Configuration で AAA クライアントが RADIUS (Ascend) を使用するように設定されている Interface Configuration セクションの Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている Interface Configuration セクションの RADIUS (Ascend) で適用する User-level RADIUS (Ascend) アトリビュートがイネーブルになっている RADIUS (Ascend) は Ascend 独自のアトリビュートを表します IETF RADIUS アトリビュートと Ascend RADIUS アトリビュートの両方を設定する必要がありますこのような独自アトリビュートを選択すると IETF アトリビュートが無効になります RADIUS について表示されるデフォルトのアトリビュート設定は Ascend-Remote-Addr です 7-50

( 注 ) Ascend RADIUS アトリビュートを表示または非表示にする方法については P.3-20 の非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定を参照してください特定のユーザに対する許可として適用される VSA はそれに関連付けられている AAA クライアントを削除または置換しても保持されていますただしこの ( ベンダー ) タイプの AAA クライアントが設定されていない場合その VSA 設定はユーザ設定インターフェイスには表示されません現在のユーザの許可として適用される Ascend RADIUS アトリビュートを設定してイネーブルにするには次の手順を実行します P.7-6 の基本ユーザアカウントの追加の ~ ステップ 3 を実行します User Setup Edit ページが開きます追加または編集の対象となるユーザ名がページ上部に表示されますステップ 3 Ascend RADIUS アトリビュートを設定する前に IETF RADIUS アトリビュートが正しく設定されていることを確認します IETF RADIUS アトリビュートの設定の詳細については P.7-45 の IETF RADIUS パラメータをユーザに対して設定するを参照してください Ascend RADIUS Attributes テーブルでユーザに許可するアトリビュートを指定するには次の手順を実行します a. 特定のアトリビュートの隣にあるチェックボックスをオンにします b. さらに隣のフィールドでそのアトリビュートに対する認証を定義します c. 必要に応じてアトリビュートの選択と定義を続けますアトリビュートの詳細については付録 C RADIUS アトリビュートまたは使用している AAA クライアントのマニュアルを参照してください 7-51

ステップ 4 次のいずれか 1 つを実行しますユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します続けてユーザアカウントオプションを指定する場合はこの章の手順を必要に応じて実行します Cisco VPN 3000 Concentrator RADIUS パラメータをユーザに対して設定する Cisco VPN 3000 シリーズのコンセントレータ経由でネットワークにアクセスするユーザの Microsoft MPPE 設定値を制御するには CVPN3000-PPTP-Encryption (VSA 20) アトリビュートと CVPN3000-L2TP-Encryption (VSA 21) アトリビュートを使用します CVPN3000-PPTP-Encryption (VSA 20) と CVPN3000-L2TP-Encryption (VSA 21) の設定値は Microsoft MPPE RADIUS 設定値よりも優先されますこのどちらかのアトリビュートがイネーブルになっている場合 Cisco Secure ACS は送信 RADIUS (Microsoft) アトリビュートに送信する値を決定して RADIUS (Cisco VPN 3000) アトリビュートと一緒に送信しますこの動作は RADIUS (Microsoft) アトリビュートが Cisco Secure ACS HTML インターフェイスでイネーブルになっているかどうかということやこれらのアトリビュートの設定内容には依存しません Cisco VPN 3000 Concentrator RADIUS アトリビュートは次の条件をすべて満たす場合に限り表示されます Network Configuration で AAA クライアントが RADIUS (Cisco VPN 3000) を使用するように設定されている Interface Configuration セクションの Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている Interface Configuration セクションの RADIUS (Cisco VPN 3000) で適用する User-level RADIUS (Cisco VPN 3000) アトリビュートがイネーブルになっている Cisco VPN 3000 Concentrator RADIUS は Cisco VPN 3000 Concentrator VSA だけを表します IETF RADIUS アトリビュートと Cisco VPN 3000 Concentrator RADIUS アトリビュートの両方を設定する必要があります 7-52

( 注 ) Cisco VPN 5000 Concentrator RADIUS アトリビュートを表示または非表示にする方法については P.3-20 の非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定を参照してください特定のユーザに対する許可として適用される VSA はそれに関連付けられている AAA クライアントを削除または置換しても保持されていますただしこの ( ベンダー ) タイプの AAA クライアントが設定されていない場合その VSA 設定はユーザ設定インターフェイスには表示されません現在のユーザの許可として適用される Cisco VPN 3000 Concentrator RADIUS アトリビュートを設定してイネーブルにするには次の手順を実行します P.7-6 の基本ユーザアカウントの追加の ~ ステップ 3 を実行します User Setup Edit ページが開きます追加または編集の対象となるユーザ名がページ上部に表示されます Cisco VPN 3000 Concentrator RADIUS アトリビュートを設定する前に IETF RADIUS アトリビュートが正しく設定されていることを確認します IETF RADIUS アトリビュートの設定の詳細については P.7-45 の IETF RADIUS パラメータをユーザに対して設定するを参照してくださいステップ 3 Cisco VPN 3000 Concentrator Attribute テーブルでユーザに許可するアトリビュートを指定するには次の手順を実行します a. 特定のアトリビュートの隣にあるチェックボックスをオンにします b. さらに隣のフィールドでそのアトリビュートに対する認証を定義します c. 必要に応じてアトリビュートの選択と定義を続けますアトリビュートの詳細については付録 C RADIUS アトリビュートまたは使用している AAA クライアントのマニュアルを参照してください 7-53

ステップ 4 次のいずれか 1 つを実行しますユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します続けてユーザアカウントオプションを指定する場合はこの章の手順を必要に応じて実行します Cisco VPN 5000 Concentrator RADIUS パラメータをユーザに対して設定する Cisco VPN 5000 Concentrator RADIUS アトリビュートは次の条件をすべて満たす場合に限り表示されます Network Configuration で AAA クライアントが RADIUS (Cisco VPN 5000) を使用するように設定されている Interface Configuration セクションの Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている Interface Configuration セクションの RADIUS (Cisco VPN 5000) で適用する User-level RADIUS (Cisco VPN 5000) アトリビュートがイネーブルになっている Cisco VPN 5000 Concentrator RADIUS は Cisco VPN 5000 Concentrator VSA だけを表します IETF RADIUS アトリビュートと Cisco VPN 5000 Concentrator RADIUS アトリビュートの両方を設定する必要があります ( 注 ) Cisco VPN 5000 Concentrator RADIUS アトリビュートを表示または非表示にする方法については P.3-20 の非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定を参照してください特定のユーザに対する許可として適用される VSA はそれに関連付けられている AAA クライアントを削除または置換しても保持されていますただしこの ( ベンダー ) タイプの AAA クライアントが設定されていない場合その VSA 設定はユーザ設定インターフェイスには表示されません 7-54

現在のユーザの許可として適用される Cisco VPN 5000 Concentrator RADIUS アトリビュートを設定してイネーブルにするには次の手順を実行します P.7-6 の基本ユーザアカウントの追加の ~ ステップ 3 を実行します User Setup Edit ページが開きます追加または編集の対象となるユーザ名がページ上部に表示されます Cisco VPN 5000 Concentrator RADIUS アトリビュートを設定する前に IETF RADIUS アトリビュートが正しく設定されていることを確認します IETF RADIUS アトリビュートの設定の詳細については P.7-45 の IETF RADIUS パラメータをユーザに対して設定するを参照してくださいステップ 3 Cisco VPN 5000 Concentrator Attribute テーブルでユーザに許可するアトリビュートを指定するには次の手順を実行しますステップ 4 a. 特定のアトリビュートの隣にあるチェックボックスをオンにします b. さらに隣のフィールドでそのアトリビュートに対する認証を定義します c. 必要に応じてアトリビュートの選択と定義を続けますアトリビュートの詳細については付録 C RADIUS アトリビュートまたは使用している AAA クライアントのマニュアルを参照してください次のいずれか 1 つを実行しますユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します続けてユーザアカウントオプションを指定する場合はこの章の手順を必要に応じて実行します 7-55

Microsoft RADIUS パラメータをユーザに対して設定する Microsoft RADIUS では Point-to-Point(PPP; ポイントツーポイント ) リンクを暗号化するために Microsoft によって開発された暗号化技術である Microsoft Point-to-Point Encryption(MPPE) をサポートする VSA が提供されますこれらの PPP 接続はダイヤルイン回線または Virtual Private Network(VPN; バーチャルプライベートネットワーク ) トンネル経由で可能です Cisco VPN 3000 シリーズのコンセントレータ経由でネットワークにアクセスするユーザの Microsoft MPPE 設定値を制御するには CVPN3000-PPTP-Encryption (VSA 20) アトリビュートと CVPN3000-L2TP-Encryption (VSA 21) アトリビュートを使用します CVPN3000-PPTP-Encryption (VSA 20) と CVPN3000-L2TP- Encryption (VSA 21) の設定値は Microsoft MPPE RADIUS 設定値よりも優先されますこのどちらかのアトリビュートがイネーブルになっている場合 Cisco Secure ACS は送信 RADIUS (Microsoft) アトリビュートに送信する値を決定して RADIUS (Cisco VPN 3000) アトリビュートと一緒に送信しますこの動作は RADIUS (Microsoft) アトリビュートが Cisco Secure ACS HTML インターフェイスでイネーブルになっているかどうかということやこれらのアトリビュートの設定内容には依存しません Microsoft RADIUS アトリビュートは次の条件をすべて満たす場合に限り表示されます Microsoft RADIUS VSA をサポートする RADIUS プロトコルを使用する AAA クライアントが Network Configuration 内で設定されている Interface Configuration セクションの Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている Interface Configuration セクションの RADIUS (Microsoft) で適用する User-level RADIUS (Microsoft) アトリビュートがイネーブルになっている次の Cisco Secure ACS RADIUS プロトコルは Microsoft RADIUS VSA をサポートします Cisco IOS Cisco VPN 3000 Cisco VPN 5000 Ascend 7-56

Microsoft RADIUS は Microsoft VSA だけを表します IETF RADIUS アトリビュートと Microsoft RADIUS アトリビュートの両方を設定する必要があります ( 注 ) Microsoft RADIUS アトリビュートを表示または非表示にする方法については P.3-20 の非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定を参照してください特定のユーザに対する許可として適用される VSA はそれに関連付けられている AAA クライアントを削除または置換しても保持されていますただしこの ( ベンダー ) タイプの AAA クライアントが設定されていない場合その VSA 設定はユーザ設定インターフェイスには表示されません現在のユーザの許可として適用される Microsoft RADIUS アトリビュートを設定してイネーブルにするには次の手順を実行します P.7-6 の基本ユーザアカウントの追加の ~ ステップ 3 を実行します User Setup Edit ページが開きます追加または編集の対象となるユーザ名がページ上部に表示されますステップ 3 Cisco IOS RADIUS アトリビュートを設定する前に IETF RADIUS アトリビュートが正しく設定されていることを確認します IETF RADIUS アトリビュートの設定の詳細については P.7-45 の IETF RADIUS パラメータをユーザに対して設定するを参照してください Microsoft RADIUS Attributes テーブルでユーザに許可するアトリビュートを指定するには次の手順を実行します a. 特定のアトリビュートの隣にあるチェックボックスをオンにします b. さらに隣のフィールドでそのアトリビュートに対する認証を定義します c. 必要に応じてアトリビュートの選択と定義を続けますアトリビュートの詳細については付録 C RADIUS アトリビュートまたは使用している AAA クライアントのマニュアルを参照してください 7-57

( 注 ) MS-CHAP-MPPE-Keys アトリビュート値は Cisco Secure ACS によって自動生成されます HTML インターフェイスで設定する値はありませんステップ 4 次のいずれか 1 つを実行しますユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します続けてユーザアカウントオプションを指定する場合はこの章の手順を必要に応じて実行します Nortel RADIUS パラメータをユーザに対して設定する Nortel RADIUS パラメータは次の条件をすべて満たす場合に限り表示されます Network Configuration で AAA クライアントが RADIUS (Nortel) を使用するように設定されている Interface Configuration セクションの Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている Interface Configuration セクションの RADIUS (Nortel) で適用する User-level RADIUS (Nortel) アトリビュートがイネーブルになっている RADIUS は Nortel 所有のアトリビュートを表します IETF RADIUS アトリビュートと Nortel RADIUS アトリビュートの両方を設定する必要がありますこのような独自アトリビュートを選択すると IETF アトリビュートが無効になります ( 注 ) Nortel RADIUS アトリビュートを表示または非表示にする方法については P.3-20 の非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定を参照してください特定のユーザに対する許可として適用される VSA はそれに関連付けられている AAA クライアントを削除または置換しても保持されていますただしこの ( ベンダー ) タイプの AAA クライアントが設定されていない場合その VSA 設定はユーザ設定インターフェイスには表示されません 7-58

現在のユーザの許可として適用される Nortel RADIUS アトリビュートを設定してイネーブルにするには次の手順を実行します P.7-6 の基本ユーザアカウントの追加の ~ ステップ 3 を実行します User Setup Edit ページが開きます追加または編集の対象となるユーザ名がページ上部に表示されます Nortel RADIUS アトリビュートを設定する前に IETF RADIUS アトリビュートが正しく設定されていることを確認します IETF RADIUS アトリビュートの設定の詳細については P.7-45 の IETF RADIUS パラメータをユーザに対して設定するを参照してくださいステップ 3 Nortel RADIUS Attributes テーブルでユーザに許可するアトリビュートを指定するには次の手順を実行しますステップ 4 a. 特定のアトリビュートの隣にあるチェックボックスをオンにします b. さらに隣のフィールドでそのアトリビュートに対する認証を定義します c. 必要に応じてアトリビュートの選択と定義を続けますアトリビュートの詳細については付録 C RADIUS アトリビュートまたは使用している AAA クライアントのマニュアルを参照してください次のいずれか 1 つを実行しますユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します続けてユーザアカウントオプションを指定する場合はこの章の手順を必要に応じて実行します 7-59

Juniper RADIUS パラメータをユーザに対して設定する Juniper RADIUS パラメータは次の条件をすべて満たす場合に限り表示されます Network Configuration で AAA クライアントが RADIUS (Juniper) を使用するように設定されている Interface Configuration セクションの Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている Interface Configuration セクションの RADIUS (Juniper) で適用する User-level RADIUS (Juniper) アトリビュートがイネーブルになっている Juniper RADIUS は Juniper 独自のアトリビュートを表します IETF RADIUS アトリビュートと Juniper RADIUS アトリビュートの両方を設定する必要がありますこのような独自アトリビュートを選択すると IETF アトリビュートが無効になります ( 注 ) Juniper RADIUS アトリビュートを表示または非表示にする方法については P.3-20 の非 IETF RADIUS アトリビュートのプロトコル設定オプションの設定を参照してください特定のユーザに対する許可として適用される VSA はそれに関連付けられている AAA クライアントを削除または置換しても保持されていますただしこの ( ベンダー ) タイプの AAA クライアントが設定されていない場合その VSA 設定はユーザ設定インターフェイスには表示されません現在のユーザの許可として適用される Juniper RADIUS アトリビュートを設定してイネーブルにするには次の手順を実行します P.7-6 の基本ユーザアカウントの追加の ~ ステップ 3 を実行します User Setup Edit ページが開きます追加または編集の対象となるユーザ名がページ上部に表示されます 7-60

Juniper RADIUS アトリビュートを設定する前に IETF RADIUS アトリビュートが正しく設定されていることを確認します IETF RADIUS アトリビュートの設定の詳細については P.7-45 の IETF RADIUS パラメータをユーザに対して設定するを参照してくださいステップ 3 Juniper RADIUS Attributes テーブルでユーザに許可するアトリビュートを指定するには次の手順を実行しますステップ 4 a. 特定のアトリビュートの隣にあるチェックボックスをオンにします b. さらに隣のフィールドでそのアトリビュートに対する認証を定義します c. 必要に応じてアトリビュートの選択と定義を続けますアトリビュートの詳細については付録 C RADIUS アトリビュートまたは使用している AAA クライアントのマニュアルを参照してください次のいずれか 1 つを実行しますユーザアカウントオプションの設定が完了したら Submit をクリックしてオプションを記録します続けてユーザアカウントオプションを指定する場合はこの章の手順を必要に応じて実行します BBSM RADIUS パラメータをユーザに対して設定する BBSM RADIUS パラメータは次の条件をすべて満たす場合に限り表示されます Network Configuration で AAA クライアントが RADIUS (BBSM) を使用するように設定されている Interface Configuration セクションの Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている Interface Configuration セクションの RADIUS (BBSM) で適用する User-level RADIUS (BBSM) アトリビュートがイネーブルになっている 7-61