CSU for UNIX(Solaris)の設定

ダウンロード オプション

  • PDF     (496.5 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (184.0 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (371.9 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2009 年 5 月 14 日
Document ID:13842

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

はじめに

Cisco Secure ACS for UNIX(CSU)ソフトウェアは、ネットワークのセキュリティの確保、およびネットワークに正常に接続しているユーザのアクティビティを追跡するのに役立ちます。CSU は TACACS+ または RADIUS サーバとして機能し、認証、許可、およびアカウンティング(AAA)を使用してネットワークのセキュリティを提供します。

CSUでは、グループおよびユーザプロファイルとアカウンティング情報を保存するために、次のデータベースオプションがサポートされています。

  • SQLAnywhere(CSUに含まれる)

    このバージョンのSybase SQLAnywhereは、クライアント/サーバをサポートしていません。ただし、CSUを使用して重要なAAAサービスを実行するように最適化されています。

    caution 注意: SQLAnywhereデータベースオプションでは、5,000ユーザを超えるプロファイルデータベース、データベースサイト間でのプロファイル情報のレプリケーション、またはCisco Secure Distribute Session Manager(DSM)機能はサポートされていません。

  • OracleまたはSybase Relational Database Management System(RDBMS)。

    5,000ユーザ以上のCisco Secureプロファイルデータベース、データベースレプリケーション、またはCisco Secure DSM機能をサポートするには、Cisco Secureプロファイル情報を保持するためにOracle(バージョン7.3.2、7.3.3、または8.0.3)またはSybase SQL Server(バージョン11)のRDBMSを事前にインストールする必要があります。データベースレプリケーションでは、Cisco Secureのインストール完了後にRDBMSをさらに設定する必要があります。

  • 以前の(2.x)バージョンのCSUから既存のデータベースをアップグレードすること。

    Cisco Secureの以前の2.xバージョンからアップグレードする場合、Cisco Secureインストールプログラムは、UNIX用CSU 2.3と互換性を持つように、プロファイルデータベースを自動的にアップグレードします。

  • 既存のプロファイルデータベースをインポートしています。

    既存のフリーウェアのTACACS+またはRADIUSプロファイルデータベースやフラットファイルを、このバージョンのCSUで使用できるように変換できます。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、Cisco Secure ACS 2.3 for UNIXに基づくものです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

表記法

表記法の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。

CSUの設定

CSUを設定するには、次の手順を使用します。

Cisco Secure Administratorインターフェイスの起動

Cisco Secure Administratorにログインするには、次の手順を使用します。

  1. ACSにWeb接続している任意のワークステーションから、Webブラウザを起動します。

  2. Cisco Secure Administrator Webサイトの次のいずれかのURLを入力します。

    • ブラウザのセキュリティソケットレイヤ機能が有効になっていない場合は、次のように入力します。 

      http://your_server/cs

      ここで、 your_serverは、CSUをインストールしたSPARCstationのホスト名(またはホスト名とFQDNが異なる場合は完全修飾ドメイン名(FQDN))です。SPARCstationのIPアドレスをyour_serverに置き換えることもできます。

    • ブラウザのSecurity Socket Layer(SSL;セキュリティソケットレイヤ)機能が有効になっている場合は、ハイパーテキスト転送プロトコルとして「http」ではなく「https」を指定します。次のように入力します。 

      https://your_server/cs

      ここで、your_serverは、CSUをインストールしたSPARCstationのホスト名(またはホスト名とFQDNが異なる場合はFQDN)です。SPARCstationのIPアドレスをyour_serverに置き換えることもできます。

      注:URLとサーバ名では大文字と小文字が区別されます。大文字と小文字を正確に区別して入力する必要があります。

      CSUログオンページが表示されます。

      14a.gif

  3. ユーザ名とパスワードを入力します。[Submit] をクリックします。

    注:初期デフォルトのユーザ名は「superuser」です。 初期デフォルトパスワードは「changeme」です。 最初のログイン後、セキュリティを最大にするためにユーザ名とパスワードを即座に変更する必要があります。

    ログインすると、上部にメインメニューバーがあるCSUのメインページが表示されます。CSUのメインメニューページは、ユーザが管理者レベルの権限を持つ名前とパスワードを入力した場合にのみ表示されます。ユーザレベルの権限のみを持つ名前とパスワードをユーザが入力すると、別の画面が表示されます。

    14b.gif

高度な設定プログラムの起動

任意のCSU Administrator Webページから、JavaベースのCisco Secure Administrator Advanced Configurationプログラムを起動します。CSUのWebインターフェイスのメニューバーで、Advancedをクリックし、さらにAdvancedをクリックします。

Cisco Secure Administrator Advanced Configurationプログラムが表示されます。ロードには数分かかる場合があります。

14c.gif

グループプロファイルの作成

グループプロファイルを作成および設定するには、Cisco Secure Administrator Advanced Configurationプログラムを使用します。Ciscoでは、同様のユーザが多数存在する場合に詳細なAAA要件を設定するために、グループプロファイルを作成することを推奨します。グループプロファイルを定義した後、CSUのAdd a User Webページを使用して、グループプロファイルにユーザプロファイルをすばやく追加します。グループに設定された高度な要件は、各メンバーユーザに適用されます。

グループプロファイルを作成するには、次の手順を実行します。

  1. Cisco Secure Administrator Advanced Configurationプログラムで、Membersタブを選択します。ナビゲータペインでBrowseチェックボックスをオフにします。Create New Profileアイコンが表示されます。

  2. ナビゲータペインで、次のいずれかの操作を行います。

    • 親のないグループプロファイルを作成するには、[ルート]フォルダアイコンを見つけてクリックします。

    • グループプロファイルを別のグループプロファイルの子として作成するには、親にするグループを見つけてクリックします。

    • 親にするグループが子グループの場合は、その親グループのフォルダをクリックして表示します。

  3. Create New Profileをクリックします。[新規プロファイル]ダイアログボックスが表示されます。

  4. Groupチェックボックスを選択し、作成するグループの名前を入力して、OKをクリックします。新しいグループがツリーに表示されます。

  5. グループプロファイルを作成した後、TACACS+属性またはRADIUS属性を割り当てて、特定のAAAプロパティを設定します。

    14d.gif

拡張設定モードでのユーザプロファイルの作成

ユーザプロファイルを作成および設定するには、Cisco Secure Administrator Advanced Configurationモードを使用します。これにより、ユーザプロファイルの許可およびアカウンティング関連の属性を、「ユーザの追加」ページよりも詳細にカスタマイズできます。

ユーザプロファイルを作成するには、次の手順を実行します。

  1. Cisco Secure Administrator Advanced Configurationプログラムで、Membersタブを選択します。ナビゲータペインで、Browseを見つけて選択解除します。Create New Profileアイコンが表示されます。

  2. ナビゲータペインで、次のいずれかの操作を行います。

    • ユーザが属するグループを見つけてクリックします。

    • ユーザをグループに所属させない場合は、[ルート]フォルダアイコンをクリックします。

  3. Create Profileをクリックします。[新規プロファイル]ダイアログボックスが表示されます。

  4. Groupチェックボックスがオフになっていることを確認します。

  5. 作成するユーザの名前を入力し、OKをクリックします。新しいユーザがツリーに表示されます。

  6. ユーザプロファイルを作成した後、特定のTACACS+属性またはRADIUS属性を割り当てて、特定のAAAプロパティを設定します。

属性を適用する方法

CSUグループプロファイル機能とTACACS+およびRADIUS属性を使用して、CSUによるネットワークユーザの認証と許可を実装します。

グループとユーザーのプラン属性

CSUのグループプロファイル機能を使用すると、多数のユーザに対して共通のAAA要件セットを定義できます。

一連のTACACS+またはRADIUS属性値をグループプロファイルに割り当てることができます。グループに割り当てられたこれらの属性値は、そのグループのメンバーであるユーザ、またはそのグループのメンバーとして追加されたユーザに適用されます。

グループプロファイル機能の効果的な使用

複雑なAAA要件を持つ多数のさまざまなタイプのユーザを管理するようにCSUを設定するには、Cisco Secure Administrator Advanced Configurationプログラムの機能を使用して、グループプロファイルを作成および設定することを推奨します。

グループプロファイルには、ユーザに固有でないすべての属性を含める必要があります。これは通常、パスワード以外のすべての属性を意味します。その後、Cisco Secure AdministratorのAdd a Userページを使用して、パスワード属性を持つ簡単なユーザプロファイルを作成し、そのユーザプロファイルを適切なグループプロファイルに割り当てることができます。特定のグループに対して定義された機能と属性値は、そのグループのメンバー・ユーザーに適用されます。

親グループと子グループ

グループの階層を作成できます。グループプロファイル内では、子グループプロファイルを作成できます。親グループプロファイルに割り当てられた属性値は、子グループプロファイルのデフォルト値です。

グループレベル管理

Cisco Secureシステム管理者は、個々のCisco Secureユーザグループ管理者ステータスを割り当てることができます。グループ管理者の状態を使用すると、個々のユーザーは、自分のグループに従属する子グループプロファイルおよびユーザープロファイルを管理できます。ただし、グループの階層に属さないグループやユーザーを管理することはできません。したがって、システム管理者は、大規模なネットワークを管理するタスクを、他のユーザに対して均等な権限を付与することなく分配します。

個々のユーザに定義する属性

ユーザ名、パスワード、パスワードタイプ、およびWeb権限を定義する属性など、ユーザに固有の基本的な認証属性値を個々のユーザに割り当てることを推奨します。CSUのEdit a UserページまたはAdd a Userページを使用して、基本的な認証属性値をユーザに割り当てます。

グループプロファイルに定義する属性

認定、認可、アカウンティング関連の属性をグループレベルで定義することをお勧めします。

14e.gif

この例では、「Dial-In Users」という名前のグループプロファイルに、Frame-Protocol=PPPおよびService-Type=Framedという属性と値のペアが割り当てられています。

絶対属性とは

CSUのTACACS+およびRADIUS属性のサブセットには、グループプロファイルレベルで絶対ステータスを割り当てることができます。グループプロファイルレベルで絶対ステータスに対して有効になっている属性値は、子グループプロファイルまたはメンバーユーザプロファイルレベルで競合する属性値よりも優先されます。

複数レベルのグループ管理者を持つマルチレベルネットワークでは、絶対属性を使用して、システム管理者が選択したグループ属性値を設定できます。このグループ属性値は、下位レベルのグループ管理者がオーバーライドすることはできません。

絶対的なステータスを割り当てることができる属性には、Cisco Secure Administrator Advanced ConfigurationプログラムのAttributesボックスにあるAbsoluteチェックボックスが表示されます。このチェックボックスをオンにすると、絶対ステータスが有効になります。

14f.gif

グループ属性値とユーザ属性値が競合する可能性があるか

親グループプロファイル、子グループプロファイル、およびメンバーユーザプロファイルに割り当てられた属性値間の競合解決は、属性値が絶対値であるか、TACACS+属性またはRADIUS属性であるかによって異なります。

  • 絶対ステータスを持つグループプロファイルに割り当てられたTACACS+またはRADIUS属性値は、子グループまたはユーザプロファイルレベルで設定された競合する属性値を上書きします。

  • TACACS+属性値の絶対ステータスがグループプロファイルレベルで有効になっていない場合は、子グループまたはユーザプロファイルレベルで設定された競合する属性値によって上書きされます。

  • RADIUS属性値の絶対ステータスが親グループ・レベルで有効になっていない場合、子グループで設定されている属性値の競合が発生すると、予期しない結果になります。グループとそのメンバーユーザに対してRADIUS属性値を定義する場合は、ユーザプロファイルとグループプロファイルの両方に同じ属性を割り当てないようにしてください。

禁止オプションと許可オプションの使用

TACACS+の場合、サービス仕様にキーワードprohibitまたはpermitをプレフィックスすることで、継承されたサービス値の可用性を上書きします。permitキーワードは、指定したサービスを許可します。prohibitキーワードは、指定されたサービスを禁止します。これらのキーワードを組み合わせて使用すると、「以外のすべて」の設定を構築できます。たとえば、次の設定ではX.25以外のすべてのサービスからのアクセスが許可されています。 

default service = permit
prohibit service = x25

グループまたはユーザプロファイルへのTACACS+属性の割り当て

グループまたはユーザプロファイルに特定のTACACS+サービスと属性を割り当てるには、次の手順を実行します。

  1. Cisco Secure Administrator Advanced Configurationプログラムで、Membersタブを選択します。ナビゲータペインで、TACACS+属性が割り当てられているグループまたはユーザプロファイルのアイコンをクリックします。

  2. 必要に応じて、プロファイルペインでProfileアイコンをクリックして展開します。

    選択したプロファイルまたはサービスに適用できる属性を含むリストまたはダイアログボックスが、画面右下のウィンドウに表示されます。このウィンドウの情報は、[プロファイル]ペインで選択したプロファイルまたはサービスに基づいて変わります。

  3. 追加するサービスまたはプロトコルをクリックし、Applyをクリックします。サービスがプロファイルに追加されます。

  4. 「属性」ウィンドウで必要なテキストを入力または選択します。

    有効なエントリについては、『CSU 2.3 for UNIX Reference Guide』の「Strategies for Applying Attributes」セクションを参照してください。

    注意:属性値をグループ・プロファイル・レベルで割り当て、指定した属性に「絶対」チェック・ボックスが表示されている場合は、このチェック・ボックスを選択して値の絶対ステータスを割り当てます。値が割り当てられた絶対ステータスは、下位のグループ・プロファイル・レベルまたはユーザー・プロファイル・レベルで割り当てられた競合する値によって上書きできません。

  5. 追加する必要があるサービスまたはプロトコルごとに、ステップ1 ~ 1を繰り返します。

  6. すべての変更が完了したら、Submitをクリックします。

    14g.gif

グループまたはユーザプロファイルへのRADIUS属性の割り当て

特定のRADIUS属性をグループまたはユーザプロファイルに割り当てるには、次の手順を実行します。

  1. RADIUSディクショナリをグループプロファイルに割り当てます。

    1. Cisco Secure Administrator Advanced ConfigurationプログラムのMembersページで、GroupアイコンまたはUserアイコンをクリックしてから、ProfilesペインでProfileアイコンをクリックします。[属性]ペインに、[オプション]メニューが表示されます。

    2. Optionsメニューで、グループまたはユーザが使用するRADIUSディクショナリの名前をクリックします。(たとえば、RADIUS - Cisco)。 [APPLY] をクリックします。

      14h.gif

  2. 必要なCheck Items属性とReply属性をRADIUSプロファイルに追加します。

    注:チェック項目は、ユーザIDやパスワードなど、認証に必要な属性です。返信属性は、プロファイルが認証手順を通過した後にネットワークアクセスサーバ(NAS)に送信される属性です(Framed-Protocolなど)。Check Items属性とReply Attributeのリストと説明については、『CSU 2.3 for UNIX Reference Guide』の「RADIUS Attribute-Value Pairs and Dictionary Management」を参照してください。

    1. Profileウィンドウで、RADIUS - dictionarynameフォルダアイコンをクリックします。(RADIUSフォルダを展開するには、プロファイルの+記号をクリックする必要があります)。 「属性グループ」ウィンドウに「アイテムのチェック」オプションと「返信属性」オプションが表示されます。

    2. これらの属性を使用するには、使用する属性をクリックして、Applyをクリックします。一度に複数の属性を追加できます。

    3. RADIUS – ディクショナリ名の+記号をクリックして、フォルダを展開します。

      注:RADIUS-Cisco11.3オプションを選択する場合は、接続するNASにCisco IOS®ソフトウェアリリース11.3.3(T)以降がインストールされていることを確認し、新しいコマンドラインをNAS設定に追加します。『CSU 2.3 for UNIX Reference Guide』の「Fully Enabling the RADIUS-Cisco11.3 Dictionary」を参照してください。

  3. 追加したCheck Items属性とReply Attributesの値を指定します。

    caution 注意: RADIUSプロトコルの場合、継承は階層型とは対照的に付加的です。(TACACS+プロトコルは階層的な継承を使用します)。たとえば、同じ応答属性をユーザプロファイルとグループプロファイルの両方に割り当てた場合、NASが受信する属性の数が2倍になるため、認可は失敗します。応答アトリビュートを理解できません。グループプロファイルとユーザプロファイルの両方に同じチェックアイテムまたは返信属性を割り当てないでください。

    1. Check ItemsまたはReply Attributesをクリックするか、あるいは両方をクリックします。右下のウィンドウに、適用可能なチェックアイテムと返信属性の値のリストが表示されます。+記号をクリックして、フォルダを展開します。

    2. 割り当てる値をクリックして、Applyをクリックします。値の詳細については、『CSU 2.3 for UNIX Reference Guide』の「RADIUS Attribute-Value Pairs and Dictionary Management」を参照してください。

      注意:グループ・プロファイル・レベルで属性値を割り当て、指定した属性に「絶対」チェック・ボックスが表示されている場合は、そのチェック・ボックスを選択して値の絶対ステータスを割り当てます。絶対的ステータスを割り当てられた値は、下位のグループプロファイルレベルまたはユーザプロファイルレベルで割り当てられた競合する値によって上書きすることはできません。

    3. 変更を終了したら、Submitをクリックします。

      14i.gif

  4. これらの属性を使用するには、使用する属性をクリックして、Applyをクリックします。一度に複数の属性を適用できます。

アクセス制御特権レベルの割り当て

スーパーユーザ管理者は、Web権限属性を使用して、Cisco Secureユーザにアクセスコントロール権限のレベルを割り当てます。

  1. Cisco Secure Administrator Advanced Configurationプログラムで、アクセス制御権限を割り当てるユーザをクリックし、ProfilesペインのProfileアイコンをクリックします。

  2. OptionsメニューでWeb Privilegeをクリックし、次のいずれかの値を選択します。

    • 0:ユーザのCisco Secureパスワードを変更する機能を含むアクセスコントロール権限をユーザに拒否します。

    • 1:CSUser Webページへのアクセスをユーザに許可します。これにより、Cisco SecureユーザはCisco Secureパスワードを変更できます。パスワードの変更方法の詳細については、『簡易ユーザおよびACS管理』の「ユーザレベルの機能(パスワードの変更)」を参照してください。

    • 12:ユーザグループに管理者権限を付与します。

    • 15:ユーザシステムの管理者権限を付与します。

    注意: 0以外のWeb権限オプションを選択した場合は、パスワードも指定する必要があります。Web権限パスワードの要件を満たすには、最小限のスペースしか空けません。

CSUの開始と停止

通常、CSUは、インストールされているSPARCstationを起動または再起動すると自動的に起動します。ただし、CSUを手動で起動したり、SPARCStation全体をシャットダウンせずにシャットダウンしたりできます。

CSUをインストールしたSPARCStationに[Root]としてログインします。

CSUを手動で起動するには、次のように入力します。

# /etc/rc2.d/S80CiscoSecure

CSUを手動で停止するには、次のように入力します。 

# /etc/rc0.d/K80CiscoSecure

確認

現在、この設定に使用できる確認手順はありません。

トラブルシュート

現在、この設定に関する特定のトラブルシューティング情報はありません。

関連情報

更新履歴

改定 発行日 コメント
1.0
10-Dec-2001
初版

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ