- はじめに
- Cisco WAAS の概要
- WAAS ネットワークの計画
- デバイス グループとデバイス位置の使用
- トラフィック代行受信の設定
- ネットワーク設定の構成
- 管理ログインの認証、許可、およびアカウン ティングの設定
- 管理者ユーザ アカウントおよびグループの作 成と管理
- WAAS デバイス用の IP ACL の作成および 管理
- その他のシステム設定の構成
- WAE Device Manager GUI の使用方法
- WAFS の設定
- アプリケーション アクセラレーションの設定
- WAAS レガシー印刷サービスの設定および 管理
- 仮想ブレードの設定
- WAAS システムの保守
- WAAS ネットワークのモニタリングおよび トラブルシューティング
- SNMP モニタリングの設定
- 定義済みのアプリケーション ポリシー
- トランザクション ログ形式
- 索引
Cisco Wide Area Application Services コンフィギュレーション ガイド(software version 4.2.1)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月29日
章のタイトル: 管理ログインの認証、許可、およびアカウン ティングの設定
管理ログインの認証、許可、およびアカウンティングの設定
この章では、Wide Area Application Service(WAAS)デバイス用の管理ログインの Authentication, Authorization, and Accounting(AAA; 認証、許可、アカウンティング)を設定する方法について説明します。
•
「WAAS デバイス用の AAA アカウンティングの設定」
WAAS Central Manager GUI を使用して、WAAS デバイス用の 2 種類の管理者ユーザ アカウント(デバイスに基づく CLI アカウントとロールに基づくアカウント)を一元的に作成し、管理します。詳細については、「管理者ユーザ アカウントおよびグループの作成と管理」を参照してください。
(注) この章では、ネットワークに存在する WAAS Central Manager と Wide Area Application Engine(WAE)を総称する用語として「WAAS デバイス」を使用します。WAE という用語は、WAE アプライアンス、WAE ネットワーク モジュール(NME-WAE ファミリのデバイス)、および WAAS を実行する SM-SRE モジュールを指します。
管理ログインの認証および許可について
WAAS ネットワークでは、管理的ログイン認証と許可を使用して、設定、モニタ、またはトラブルシューティング用に WAAS デバイスにアクセスしたい管理者からのログイン要求を制御します。
ログイン認証とは、WAAS デバイスが、デバイスにログインしようとしている管理者が有効なユーザ名とパスワード持っているかどうかを確認するプロセスです。ログインしようとする管理者は、デバイスに登録されたユーザ アカウントを持つ必要があります。ユーザ アカウント情報は、ユーザの管理ログインと設定特権を許可する役割を果たします。ユーザ アカウント情報は AAA データベースに保存され、AAA データベースが存在する特定の認証サーバにアクセスするように WAAS デバイスを設定する必要があります。ユーザがデバイスにログインしようとすると、デバイスは、そのユーザのユーザ名、パスワード、および特権レベルをデータベースに保存されたユーザ アカウント情報と比較します。
WAAS ソフトウェアは、外部アクセス サーバ(たとえば、RADIUS または TACACS+ サーバ)を持つユーザと AAA 機能を持つローカル アクセス データベースが必要なユーザに対して次の認証、許可、アカウンティング(AAA)サポートを提供します。
• 認証(またはログイン認証)は、ユーザが誰であるかを決定する処理です。ユーザ名とパスワードを検査します。
• 許可(または設定)は、ユーザが許可されていることを決定する処理です。ネットワーク内で認証されたユーザに対して権限を許可または拒否します。一般に、認証の後で許可が実行されます。ユーザがログインするには、認証と許可の両方が必要です。
• アカウンティングは、システム アカウンティングを目的に管理ユーザの作業を追跡する処理です。WAAS ソフトウェアでは、TACACS+ による AAA アカウンティングがサポートされています。詳細については、「WAAS デバイス用の AAA アカウンティングの設定」を参照してください。
(注) 管理者は、コンソール ポートまたは WAAS Central Manager GUI を使用して WAAS Central Manager デバイスにログインできます。管理者は、コンソール ポートまたは WAE Device Manager GUI を使用して、データセンター WAE またはブランチ オフィス WAE として機能する WAAS デバイスにログインできます。
認証と許可が設定される前にシステム管理者が WAAS デバイスにログインするとき、管理者は定義済みの superuser アカウントを使用して WAAS デバイスにアクセスできます(定義済みのユーザ名は admin、定義済みのパスワードは default です)。この定義済みの superuser アカウントを使用して WAAS デバイスにログインするとき、WAAS システム内のすべての WAAS サービスとエンティティへのアクセスが許可されます。
(注) WAAS デバイスごとに、ユーザ名が admin の 1 つの管理者アカウントが必要です。定義済みの superuser アカウントのユーザ名は変更できません。定義済みの superuser アカウントのユーザ名は admin である必要があります。
WAAS デバイスを初期設定した後で、各 WAAS デバイスで定義済みの superuser アカウント用のパスワードをただちに変更することを強く推奨します(定義済みのユーザ名は admin、パスワードは default、特権レベルは superuser、特権レベル 15 です)。
WAAS Central Manager デバイスでこの superuser アカウント用の定義済みのパスワードが変更されていない場合は、アカウントを使用して WAAS Central Manager GUI にログインするたびに、次のダイアログボックスが表示されます(図 6-1 を参照)。
図 6-1 superuser アカウント用の定義済みのパスワードを変更する必要があることを示すメッセージ
この superuser アカウント用の定義済みのパスワードが変更されていない場合は、アカウントを使用して WAAS デバイスの WAAS CLI にログインするたびに、コンソールに次のメッセージも表示されます。
Device is configured with a (well known) default username/password
for ease of initial configuration. This default username/password
should be changed in order to avoid unwanted access to the device.
System Initialization Finished.
waas-cm#
WAAS Central Manager GUI を使用して定義済みの superuser アカウント用のパスワードを変更する手順については、「自身のアカウントのパスワードの変更」を参照してください。
図 6-2 に、管理者が、コンソール ポートまたは WAAS GUI(WAAS Central Manager GUI または WAE Device Manager GUI)を使用して WAE にログインする方法を示します。WAAS デバイスが管理ログイン要求を受信すると、WAE は、ローカル データベースまたはリモート サードパーティ データベース(TACACS+、RADIUS、または Windows ドメイン データベース)をチェックし、ユーザ名とパスワードを確認し、管理者のアクセス特権を決定できます。
|
|
|
||
|
|
|
||
|
|
|
||
|
|
|
||
|
|
|
ユーザ アカウント情報は AAA データベースに保存され、AAA データベースが存在する特定の認証サーバにアクセスするように WAAS デバイスを設定する必要があります。WAAS デバイスへの管理ログイン アクセスを制御するために、次の認証および許可方式を任意に組み合わせて設定できます。
(注) 外部認証サーバを使用して認証を設定する場合は、「管理者ユーザ アカウントおよびグループの作成と管理」の説明に従って WAAS Central Manager でユーザ アカウントを作成する必要があります。ユーザ アカウントをローカル ユーザ アカウントにしないでください。つまり、アカウント作成時に [Local User] チェックボックスを選択しないでください。
デフォルトの AAA 設定の詳細については、「管理ログインの認証および許可のデフォルト設定」を参照してください。AAA 設定の詳細については、「管理ログインの認証および許可の設定」を参照してください。
管理ログインの認証および許可のデフォルト設定
デフォルトでは、WAAS デバイスはローカル データベースを使用して、管理ユーザのログイン認証および許可特権を取得します。
表 6-1 は、管理ログインの認証および許可のデフォルト設定を示しています。
(注) WAAS デバイス(RADIUS および TACACS+ クライアント)で RADIUS または TACACS+ キーを設定する場合は、必ず外部の RADIUS または TACACS+ サーバにも同一のキーを設定してください。
「管理ログインの認証および許可の設定」の説明に従い、WAAS Central Manager GUI を使用してこれらのデフォルト値を変更します。
WAAS ソフトウェアには、Windows ドメイン認証を設定できる複数の Windows ドメイン ユーティリティが含まれます。WAAS CLI からこれらのユーティリティにアクセスするには、 windows-domain diagnostics EXEC コマンドを使用します。
WAAS Central Manager GUI からこれらのユーティリティを起動する場合は、次の手順に従ってください。
ステップ 1 WAAS Central Manager GUI ナビゲーション ペインで、[My WAN] > [Manage Devices] を選択します。
ステップ 2 定義済みの順序でユーティリティを実行したいデバイスの横にある [Edit] アイコンをクリックします。
ステップ 3 ナビゲーション ペインで、[Configure] > [Security] > [AAA] > [Windows Domain] を選択します。
ステップ 4 表示されるウィンドウで、ウィンドウの一番下にある [Show Authentication Status] ボタンをクリックします。
管理ログインの認証および許可の設定
WAAS デバイスまたはデバイス グループ(WAE のグループ)用の管理ログイン認証および許可を一元的に設定する場合は、次の手順に従ってください。
ステップ 1 管理ログイン要求の認証時に WAAS デバイスで使用するよう設定するログイン認証方式を決定します(たとえば、ローカル データベースを 1 次ログイン データベースとして、RADIUS サーバを 2 次認証データベースとして使用します)。
ステップ 2 「WAAS デバイス用のログイン アクセス コントロール設定の構成」の説明に従って、WAAS デバイス用のログイン アクセス コントロール設定を構成します。
ステップ 3 WAAS デバイスで管理ログイン認証サーバ設定を構成します(リモート認証データベースを使用する場合)。たとえば、次の項の説明に従って、WAAS デバイスが管理ログイン要求を認証するために使用する必要がある、リモート RADIUS サーバ、TACACS+ サーバ、または Windows ドメイン サーバの IP アドレスを指定します。
ステップ 4 次のログイン認証設定方式の中から、WAAS デバイスが管理ログイン要求を処理するために使用する必要がある 1 つまたはすべての方式を指定します。
• 管理ログイン認証サーバのフェールオーバー方式を指定します(任意)。
たとえば、WAAS デバイスが管理ログイン要求を処理するときに、どの認証データベースをチェックする必要があるかを指定します。「WAAS デバイス用の管理ログイン認証および許可方式の有効化」を参照してください。
WAAS Central Manager GUI または WAAS CLI を使用して、ローカルおよびリモート データベース(TACACS+、RADIUS、および Windows ドメイン)を有効または無効にすることができます。WAAS デバイスは、すべてのデータベースが無効になっているかどうかを確認し、無効な場合は、システムをデフォルトの状態に設定します( 表 6-1 を参照)。管理認証と許可用に 1 つまたは複数の外部のサードパーティ データベース(TACACS+、RADIUS、または Windows ドメイン認証)を使用するように WAAS デバイスを設定した場合は、WAAS デバイスでもローカル認証方式と許可方式が有効であり、最後のオプションとしてローカル方式が指定されていることを確認します。このように指定されていないと、WAAS デバイスで、指定した外部のサードパーティ データベースに到達できない場合に、デフォルトでローカル認証方式と許可方式の段階に進みません。
デフォルトでは、最初にローカル ログイン認証が有効になります。ローカル認証および許可は、ローカルで設定されたログインとパスワードを使用して、管理ログインの試行を認証します。ログインとパスワードは、各 WAAS デバイスに対してローカルであり、個々のユーザ名にはマッピングされません。ローカル認証が無効な場合に、その他のすべての認証方式を無効にすると、ローカル認証は自動的に再度有効になります。
ローカル ログイン認証は、他の 1 つまたは複数の管理ログイン認証方式を有効にした後でだけ無効にできます。ただし、ローカル ログイン認証が無効な場合は、他のすべての管理ログイン認証方式を無効にしたときに、ローカル ログイン認証が自動的に再度有効になります。コンソール接続と Telnet 接続に異なる管理ログイン認証方式を指定することはできません。
管理ログインの認証方式と許可方式を同じ順序で設定することを強く推奨します。たとえば、管理ログイン認証と許可の両方の 1 次ログイン方式として RADIUS を使用し、2 次ログイン方式として TACACS+ を使用し、3 次ログイン方式として Windows を使用し、4 次ログイン方式としてローカル方式を使用するように、WAAS デバイスを設定します。
(注) TACACS+ サーバは別の方式で認証されたユーザを許可しません。たとえば、Windows をプライマリ認証方式として設定し、TACACS+ をプライマリ許可方式として設定すると、TACACS+ 許可は失敗します。
ログイン認証方式と許可方式の優先順位リストの最後の方式として、ローカル方式を指定することを強く推奨します。この方法に従うと、指定した外部のサードパーティ サーバ(TACACS+、RADIUS、または Windows ドメイン サーバ)に到達可能できない場合でも、WAAS 管理者は、ローカル認証方式と許可方式を使用して WAAS デバイスにログインできます。
この項では、管理ログイン認証を一元的に設定する方法について説明します。内容は、次のとおりです。
• 「WAAS デバイス用のログイン アクセス コントロール設定の構成」
• 「WAAS デバイス用の管理ログイン認証および許可方式の有効化」
WAAS デバイス用のログイン アクセス コントロール設定の構成
この項では、WAAS デバイスまたはデバイス グループ用のリモート ログイン設定とアクセス コントロール設定を一元的に構成する方法について説明します。内容は、次のとおりです。
• 「WAAS デバイス用の Telnet サービスの無効化と再有効化」
WAAS デバイス用のセキュア シェル設定の構成
Secure Shell(SSH; セキュア シェル)は、サーバとクライアント プログラムから構成されます。Telnet のように、クライアント プログラムを使用して、SSH サーバが動作するマシンにリモートにログインできますが、Telnet と異なり、クライアントとサーバ間で伝達されるメッセージは暗号化されます。SSH の機能には、ユーザ認証、メッセージの暗号化、およびメッセージの認証があります。
(注) WAAS デバイスの SSH 機能はデフォルトで無効に設定されています。
WAAS Central Manager GUI の SSH 管理ウィンドウを使用すると、設定、モニタ、またはトラブルシューティングのために特定の WAAS デバイスまたはデバイス グループにログインするときの暗号キーの長さ、ログイン許容時間、およびパスワードの最大試行回数を指定できます。
WAAS デバイスまたはデバイス グループで SSH 機能を一元的に有効にするには、次の手順に従ってください。
ステップ 1 WAAS Central Manager GUI ナビゲーション ペインで、[My WAN] > [Manage Devices](または [Manage Device Groups])を選択します。
ステップ 2 SSH を有効にしたいデバイス(またはデバイス グループ)の横にある [Edit] アイコンをクリックします。
ステップ 3 ナビゲーション ペインで、[Configure] > [Network] > [Console] > [Access] > [SSH] を選択します。
[SSH Configuration] ウィンドウが表示されます(図 6-3 を参照)。
図 6-3 [SSH Configuration] ウィンドウ
ステップ 4 [Enable] チェックボックスを選択して、SSH 機能を有効にします。SSH は、安全で暗号化されたチャネルを通じて、選択した WAAS デバイス(またはデバイス グループ)へのログイン アクセスを可能にします。
ステップ 5 [Allow non-admin users] チェックボックスを選択して、非管理ユーザが SSH 経由で、選択したデバイス(またはデバイス グループ)にアクセスできるようにします。このオプションはデフォルトで無効になっています。
(注) 非管理ユーザとは、superuser ではない管理者です。superuser 以外の管理者はすべて、ログイン アカウントの特権レベルが 0 であるため、アクセスは WAAS デバイスだけに制限されています。superuser 管理者は、ログイン アカウントが最高の特権レベル、つまり特権レベル 15 であるため、WAAS デバイスへのフルアクセス権を持っています。
ステップ 6 [Length of key] フィールドで、SSH 暗号キーを作成するために必要なビット数を指定します。デフォルト値は、1024 です。
SSH を有効にするときは、クライアント プログラムがサーバの ID を確認するために使用する秘密キーとホストの公開キーの両方を必ず生成してください。SSH クライアントを使用して WAAS デバイスにログインすると、デバイスで動作する SSH デーモンの公開キーが、ホーム ディレクトリのクライアント マシン known_hosts ファイルに記録されます。その後に WAAS 管理者が [Length of key] フィールドにビット数を指定してホストの暗号キーを再生成する場合は、SSH クライアント プログラムを実行して WAAS デバイスにログインする前に、known_hosts ファイルから WAAS デバイスに関連する古い公開キー項目を削除する必要があります。古い項目を削除したあとで SSH クライアント プログラムを使用すると、known_hosts ファイルが WAAS デバイス用の新しい SSH 公開キーで更新されます。
ステップ 7 [Login grace time] フィールドで、クライアントとサーバ間のネゴシエーション(認証)フェーズ中に SSH セッションがタイムアウトする前にアクティブである時間(秒)を指定します。デフォルトは、300 秒です。
ステップ 8 [Maximum number of password guesses] フィールドで、1 接続当たりに許可する最大パスワード試行回数を指定します。デフォルト値は 3 です。
[Maximum number of password guesses] フィールドの値は、SSH サーバ側から許可するパスワード試行回数を指定しますが、SSH ログイン セッションの実際のパスワード試行回数は、SSH サーバと SSH クライアントが許可するパスワード試行回数の合計で決定されます。一部の SSH クライアントは、SSH サーバがもっと多くの試行回数を許可する場合でも、許容される最大パスワード試行回数を 3 回(場合によっては 1 回)に制限します。許可するパスワード試行回数に n を指定すると、特定の SSH クライアントはこの数字を n + 1 として解釈します。たとえば、特定のデバイスの試行回数を 2 に設定すると、SSH クライアントからの SSH セッションでは、3 回のパスワード試行が許可されます。
ステップ 9 クライアントが SSH プロトコルのバージョン 1 を使用して接続することを許可するか、またはバージョン 2 を使用して接続することを許可するかを指定します。
• バージョン 1 を指定するには、[Enable SSHv1] チェックボックスを選択します。
• バージョン 2 を指定するには、[Enable SSHv2] チェックボックスを選択します。
(注) SSH バージョン 1 とバージョン 2 を同時に有効にすることができます。あるいは、片方のバージョンだけを有効にすることができます。[Enable] チェックボックスの選択を解除して SSH 機能を無効にしない限り、両方の SSH バージョンを無効にすることはできません(ステップ 4 を参照)。
ステップ 10 [Submit] をクリックして、設定を保存します。
デフォルト設定またはデバイス グループ設定の適用後に保存されていない変更がある場合は、[Current Settings] 行に、「Click Submit to Save」メッセージが赤い色で表示されます。また、[Reset] ボタンをクリックすると、以前の設定に戻すことができます。[Reset] ボタンは、デフォルトまたはグループ設定を適用して現在のデバイス設定を変更し、まだ変更を送信していない場合にだけ表示されます。
変更した設定を保存せずにこのウィンドウを終了しようとすると、変更を送信するように警告するダイアログボックスが表示されます。このダイアログボックスは、Internet Explorer ブラウザを使用している場合にだけ表示されます。
CLI から SSH 設定を構成するには、 sshd および ssh-key-generate グローバル コンフィギュレーション コマンドを使用します。
WAAS デバイス用の Telnet サービスの無効化と再有効化
デフォルトでは、Telnet サービスは、WAAS デバイスで有効になっています。Telnet セッションでなく、コンソール接続を使用して、WAAS デバイス上のデバイス ネットワーク設定を定義する必要があります。ただし、コンソール接続を使用してデバイス ネットワーク設定を定義したあとに、Telnet セッションを使用してそれ以降の設定作業を行うことができます。
デバイスに Telnet で接続するために [Device Dashboard] ウィンドウで [Telnet] ボタンを使用する前に、Telnet サービスを有効にする必要があります。
(注) Telnet は、Internet Explorer 7 または 8 ではサポートされていません。[Device Dashboard] から [Telnet] ボタンを使用する場合は、Internet Explorer 6 または異なる Web ブラウザを使用してください。
WAAS デバイスまたはデバイス グループで Telnet サービスを一元的に無効にするには、次の手順に従ってください。
ステップ 1 WAAS Central Manager GUI ナビゲーション ペインで、[My WAN] > [Manage Devices](または [Manage Device Groups])を選択します。
ステップ 2 Telnet を無効にするデバイス(またはデバイス グループ)の横にある [Edit] アイコンをクリックします。
ステップ 3 ナビゲーション ペインで、[Configure] > [Network] > [Console Access] > [Telnet] を選択します。[Telnet Settings] ウィンドウが表示されます。
ステップ 4 選択したデバイス(またはデバイス グループ)用のリモート端末接続用の端末エミュレーション プロトコルを無効にするために、[Telnet Enable] チェックボックスの選択を解除します。
ステップ 5 [Submit] をクリックして、設定を保存します。
デフォルトまたはデバイス グループ設定を適用したあとでまだ保存されていない変更があると、[Current Settings] 行の横に、「Click Submit to Save」メッセージが赤で表示されます。また、[Reset] ボタンをクリックすると、以前の設定に戻すことができます。[Reset] ボタンは、デフォルトまたはグループ設定を適用して現在のデバイス設定を変更し、まだ変更を送信していない場合にだけ表示されます。
変更した設定を保存せずにこのウィンドウを終了しようとすると、変更を送信するように警告するダイアログボックスが表示されます。このダイアログボックスは、Internet Explorer ブラウザを使用している場合にだけ表示されます。
あとでデバイス(またはデバイス グループ)で Telnet サービスを一元的に再有効化するには、[Telnet Settings] ウィンドウで [Telnet Enable] チェックボックスを選択し、[Submit] をクリックします。
CLI から Telnet を無効にするには、 no telnet enable グローバル コンフィギュレーション コマンドを使用できます。また、Telnet を有効にするには、 telnet enable グローバル コンフィギュレーション コマンドを使用できます。
WAAS デバイスに対する Message of the Day 設定
Message of the Day(MOTD)機能では、WAAS ネットワークの一部であるデバイスへのログイン時にユーザに情報を表示します。設定できるメッセージは、次の 3 種類です。
(注) SSH バージョン 1 クライアントを実行中でデバイスにログインしている場合、MOTD とログイン バナーは表示されません。デバイスへのログイン時にバナーを表示するには、SSH バージョン 2 を使用する必要があります。
ステップ 1 WAAS Central Manager GUI ナビゲーション ペインで、[My WAN] > [Manage Devices] を選択します。[Devices] ウィンドウが表示されます。
ステップ 2 Message of The Day を設定する WAAS デバイスの横にある [Edit] アイコンをクリックします。選択したデバイス用の [Device Dashboard] ウィンドウが表示されます。
ステップ 3 ナビゲーション ペインで、[Configure] > [Network] > [Console Access] > [Message of the day] を選択します。選択したデバイス用の [MOTD Configuration] ウィンドウが表示されます。
ステップ 4 MOTD 設定を有効にするために、[Enable] チェックボックスを選択します。Message of the Day(MOTD)バナー、EXEC プロセス作成バナー、およびログイン バナーのフィールドが有効になります。
ステップ 5 Message of the Day(MOTD)バナーのフィールドで、デバイスにユーザがログインしたあとに MOTD バナーとして表示する文字列を入力します。
(注) [Message of the Day (MOTD) Banner] フィールド、[EXEC Process Creation Banner] フィールド、および [Login Banner] フィールドには、最大 1024 文字を入力できます。改行文字(または Enter キー)は、システムで ¥n と解釈されるため、2 文字として数えられます。MOTD テキストでは、`、%、^、" などの特殊文字を使用できません。テキストにこれらの特殊文字が含まれる場合、WAAS ソフトウェアは MOTD 出力からその文字を削除します。
ステップ 6 [EXEC Process Creation Banner] フィールドで、ユーザがデバイスの EXEC シェルに入力したときに EXEC プロセス作成バナーとして表示される文字列を入力します。
ステップ 7 [Login Banner] フィールドで、ユーザがデバイスにログインするときに、MOTD バナーのあとに表示される文字列を入力します。
ステップ 8 設定を保存するために、[Submit] をクリックします。
WAAS デバイス用の実行タイムアウト設定の構成
WAAS デバイスまたはデバイス グループで非アクティブな Telnet セッションを開いておく時間の長さを一元的に設定するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager GUI ナビゲーション ペインで、[My WAN] > [Manage Devices](または [Manage Device Groups])を選択します。
ステップ 2 実行タイムアウトを設定したいデバイス(またはデバイス グループ)の横にある [Edit] アイコンをクリックします。
ステップ 3 ナビゲーション ペインで、[Configure] > [Network] > [Console Access] > [Exec Timeout] を選択します。
ステップ 4 [Exec Timeout] フィールドで、アクティブ セッションがタイムアウトする時間(分)を指定します。デフォルト値は、15 分です。
WAAS デバイスとの Telnet セッションは、このフィールドに指定した時間の間、非アクティブのまま開いておくことができます。実行タイムアウト時間が経過すると、WAAS デバイスは自動的に Telnet セッションを閉じます。
ステップ 5 [Submit] をクリックして、設定を保存します。
デフォルトまたはデバイス グループ設定を適用したあとでまだ保存されていない変更があると、[Current Settings] 行の横に、「Click Submit to Save」メッセージが赤で表示されます。また、[Reset] ボタンをクリックすると、以前の設定に戻すことができます。[Reset] ボタンは、デフォルトまたはグループ設定を適用して現在のデバイス設定を変更し、まだ変更を送信していない場合にだけ表示されます。
変更した設定を保存せずにこのウィンドウを終了しようとすると、変更を送信するように警告するダイアログボックスが表示されます。このダイアログボックスは、Internet Explorer ブラウザを使用している場合にだけ表示されます。
CLI から Telnet セッション タイムアウト を設定するには、 exec-timeout グローバル コンフィギュレーション コマンドを使用できます。
WAAS デバイス用の回線コンソール キャリア検出の設定
WAAS デバイスをモデムに接続して呼び出しを受信する場合は、キャリア検出を有効にする必要があります。
(注) デフォルトでは、この機能は、WAAS デバイスで無効になっています。
WAAS デバイスまたはデバイス グループ用のコンソール回線キャリア検出を一元的に有効にするには、次の手順に従ってください。
ステップ 1 WAAS Central Manager GUI ナビゲーション ペインで、[My WAN] > [Manage Devices](または [Manage Device Groups])を選択します。
ステップ 2 設定したいデバイス(またはデバイス グループ)の横にある [Edit] アイコンをクリックします。
ステップ 3 ナビゲーション ペインで、[Configure] > [Network] > [Console Access] > [Console Carrier Detect] を選択します。[Console Carrier Detect Settings] ウィンドウが表示されます。
ステップ 4 [Enable console line carrier detection before writing to the console] チェックボックスを選択して、設定するためのウィンドウを有効にします。
ステップ 5 [Submit] をクリックして、設定を保存します。
キャリア検知ピンが配線されていない空のモデム ケーブルを使用すると、キャリア検知信号が検出されるまで WAE がコンソールで応答しないように見えることを説明するメッセージが表示されます。構成の不具合から回復するには、WAE をリブートし、キャリア検出設定を無視するように 0x2000 起動フラグを設定する必要があります。
CLI からコンソール回線キャリア検出を設定するには、 line console carrier-detect グローバル コンフィギュレーション コマンドを使用できます。
WAAS デバイス用のリモート認証サーバ設定の構成
ログイン認証方式に 1 台または複数の外部認証サーバを含めることを決定した場合は、WAAS Central Manager GUI で認証方式を設定する前に、これらのサーバ設定を構成する必要があります。ここでは、次の内容について説明します。
RADIUS サーバ認証設定の構成
RADIUS は、Network Access Server(NAS; ネットワーク アクセス サーバ)が、ネットワーク デバイスに接続しようとしているユーザを認証するために使用するクライアント/サーバ認証および許可アクセス プロトコルです。NAS はクライアントとして機能し、ユーザ情報を 1 台以上の RADIUS サーバへ渡します。NAS は、1 台以上の RADIUS サーバから受信した応答に基づいて、ユーザにネットワーク アクセスを許可または拒否します。RADIUS は、RADIUS クライアントとサーバ間の転送に、User Datagram Protocol(UDP; ユーザ データグラム プロトコル)を使用します。
RADIUS 認証クライアントは、WAAS ソフトウェアを実行するデバイスに常駐します。有効にすると、これらのクライアントは認証要求を中央の RADIUS サーバへ送信します。RADIUS サーバには、ユーザ認証情報とネットワーク サービス アクセス情報が含まれています。
クライアントとサーバには、RADIUS キーを設定できます。クライアントにキーを設定する場合は、RADIUS サーバに設定されているキーと同じキーを設定する必要があります。RADIUS クライアントとサーバは、キーを使用して、送信されたすべての RADIUS パケットを暗号化します。RADIUS キーを設定しないと、パケットは暗号化されません。このキー自体は、ネットワーク経由で送信されません。
(注) RADIUS プロトコルの動作方法の詳細については、RFC2138、『Remote Authentication Dial In User Service(RADIUS)』を参照してください。
RADIUS 認証は、通常、管理者が、モニタ、設定、またはトラブルシューティングのためにデバイスを設定するために WAAS デバイスに最初にログインしたときに実行されます。RADIUS 認証は、デフォルトでは無効になっています。RADIUS 認証とその他の認証方式は同時に有効にすることができます。また、最初に使用する方式を指定することもできます。
複数の RADIUS サーバを設定できます。各サーバで順に認証試行が行われていきます。最初のサーバに到達不能の場合、ファーム内のその他のサーバでの認証試行が順に行われていきます。サーバに到達不能という以外の何らかの理由で認証に失敗した場合は、ファーム内の他のサーバでの認証試行は行われません。
ヒント WAAS Central Manager は、ユーザ認証情報をキャッシュしません。したがって、ユーザは、すべての要求について RADIUS サーバに対して再認証されます。多数の認証要求によるパフォーマンスの低下を防止するには、RADIUS サーバと同じ位置またはできるだけ近くに WAAS Central Manager デバイスを設置して、認証要求をできるだけ迅速に処理するようにします。
WAAS デバイスまたはデバイス グループ用の RADIUS サーバ設定を一元的に構成するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager GUI ナビゲーション ペインで、[My WAN] > [Manage Devices](または [Manage Device Groups])を選択します。
ステップ 2 設定したいデバイス(またはデバイス グループ)の横にある [Edit] アイコンをクリックします。
ステップ 3 ナビゲーション ペインで、[Configure] > [Security] > [AAA] > [RADIUS] を選択します。[RADIUS Server Settings] ウィンドウが表示されます(図 6-4 を参照)。
図 6-4 [RADIUS Server Settings] ウィンドウ
ステップ 4 [Time to Wait] フィールドに、デバイスまたはデバイス グループが、タイムアウトするまで RADIUS サーバから応答を待つ必要がある時間を指定します。範囲は、1 ~ 20 秒です。デフォルト値は 5 秒です。
ステップ 5 [Number of Retransmits] フィールドに、RADIUS サーバに接続するときに許可する再試行回数を指定します。デフォルト値は 2 回です。
ステップ 6 [Shared Encryption Key] フィールドに、RADIUS サーバと通信するために使用する秘密キーを入力します。
(注) WAAS デバイス(RADIUS クライアント)で RADIUS キーを設定する場合は、必ず、外部の RADIUS サーバにも同一のキーを設定してください。左一重引用符(`)、二重引用符(")、パイプ(|)、閉じ角カッコ(])、または数字記号(#)の文字を使用しないでください。
ステップ 7 [Server Name] フィールドに、RADIUS サーバの IP アドレスまたはホスト名を入力します。5 つの異なるホストが許可されます。
ステップ 8 [Server Port] フィールドに、RADIUS サーバを受信する UDP ポート番号を入力します。少なくとも 1 つのポートを指定する必要があります。5 つの異なるポートが許可されます。
ステップ 9 [Submit] をクリックして、設定を保存します。
これで、「WAAS デバイス用の管理ログイン認証および許可方式の有効化」の説明に従って、この WAAS デバイスまたはデバイス グループ用の管理ログイン認証および許可方式として、RADIUS を有効にすることができます。
CLI から RADIUS 設定を構成するには、 radius-server グローバル コンフィギュレーション コマンドを使用できます。
TACACS+ サーバ認証設定について
TACACS+ は、ネットワーク デバイスと中央集中型データベースとの間で NAS 情報を交換し、ユーザまたはエンティティの ID を判断することで、ネットワーク デバイスへのアクセスを制御します。TACACS+ は、TACACS の拡張版であり、RFC1492 で規定されている UDP ベースのアクセス コントロール プロトコルです。TACACS+ は、TCP を使用して TACACS+ サーバとネットワーク デバイス上の TACACS+ デーモンとの間のすべてのトラフィックの安定した配信と暗号化を保証します。
TACACS+ は、固定パスワード、ワンタイム パスワード、チャレンジレスポンス認証などの多数のタイプの認証と連携して動作します。TACACS+ 認証は、通常、管理者が、モニタ、設定、またはトラブルシューティングに対して WAE を設定するために WAAS デバイスに最初にログインしたときに実行されます。
ユーザが限定されたサービスを要求した場合、TACACS+ は MD5 暗号化アルゴリズムを使用してユーザ パスワード情報を暗号化し、TACACS+ パケット ヘッダーに追加します。このヘッダー情報は、送信されたパケットのタイプ(たとえば、認証パケット)、パケットのシーケンス番号、使用されている暗号化タイプ、パケット長の合計を示しています。次に、TACACS+ プロトコルはパケットを TACACS+ サーバへ転送します。
TACACS+ サーバは、AAA 機能を提供できます。このサービスは、すべて TACACS+ の一部ですが、互いに独立しているため、特定の TACACS+ 設定では、3 つのサービスのいずれか、またはすべてを使用できます。
TACACS+ サーバは、パケットを受信すると、次のように処理します。
• ユーザ情報を認証し、ログイン認証が成功したか失敗したかどうかを、クライアントに通知します。
• 認証を続行することと、クライアントが追加情報を提供する必要があることを、クライアントに通知します。このチャレンジレスポンス プロセスは、ログイン認証が成功するか失敗するまで、何度も繰り返し実行できます。
クライアントとサーバには、TACACS+ キーを設定できます。WAAS デバイスで暗号キーを設定する場合は、TACACS+ サーバで設定した暗号キーと同じ暗号キーを設定する必要があります。TACACS+ クライアントとサーバは、暗号キーを使用して、送信されたすべての TACACS+ パケットを暗号化します。TACACS+ キーを設定しないと、パケットは暗号化されません。
TACACS+ 認証は、デフォルトでは無効になっています。TACACS+ 認証とローカル認証は同時に有効にすることができます。
1 つのプライマリ TACACS+ サーバと 2 つのバックアップ TACACS+ サーバを設定できます。まず、プライマリ サーバで認証試行が行われます。プライマリ サーバに到達不能の場合、ファーム内のその他のサーバでの認証試行が順に行われていきます。サーバに到達不能という以外の何らかの理由で認証に失敗した場合は、ファーム内の他のサーバでの認証試行は行われません。
TACACS+ データベースは、ユーザが WAAS デバイスにアクセスする前にユーザを検査します。TACACS+ は、Department of Defense(DoD; 米国国防総省)(RFC 1492)の原案から派生したものであり、シスコシステムズは非特権モードと特権モードのアクセス制御を強化するために TACACS+ を使用しています。WAAS ソフトウェアは、TACACS+ だけをサポートしています。TACACS や拡張 TACACS は、サポートしていません。
ユーザ認証に TACACS+ を使用している場合は、TACACS+ サーバで定義したユーザ グループと一致する WAAS ユーザ グループ名を作成できます。その後、TACACS+ サーバで定義したグループのメンバシップに基づいて、WAAS でユーザに動的にロールとドメインを割り当てることができます(「アカウントの操作」を参照)。TACACS+ 設定ファイルで、次のように各ユーザに関連グループ名を指定する必要があります。
各ユーザの属するグループを、グループごとにカンマで区切って waas_rbac_groups 属性に表示します。
外部ユーザ グループに基づいてロールおよびドメインをダイナミックに割り当てるには、シェルのカスタム属性をサポートする TACACS+ サーバが必要です。たとえば、これらの属性は Cisco ACS 4.x でサポートされていますが、5.0 ではサポートされていません。
ヒント WAAS Central Manager はユーザ認証情報をキャッシュしないので、ユーザはすべての要求について TACACS に対して再認証されます。多数の認証要求によるパフォーマンスの低下を防止するには、TACACS+ サーバと同じ場所またはできるだけ近くの場所に WAAS Central Manager デバイスを設置して、認証要求をできるだけ迅速に処理するようにします。
(注) TACACS+ ユーザ認証を使用する場合は、ユーザ名を数字で始めたり、ユーザ名に数字だけを使用したりすることはできません。ユーザ名をこのように指定すると、ログインに失敗します。
TACACS+ サーバ設定の構成
WAAS ソフトウェアの CLI EXEC モードでは、システム動作の設定、表示、およびテストを実行できます。このモードは、ユーザと特権の 2 つのアクセス レベルに分かれます。特権レベルの EXEC モードにアクセスするには、ユーザ アクセス レベルのプロンプトで enable EXEC コマンドを入力し、パスワードの入力が求められたら特権 EXEC パスワード(superuser または admin 相当のパスワード)を指定します。
TACACS+ には、管理者が、管理レベルのユーザごとに異なる有効化パスワードを定義できる有効化パスワード機能があります。管理レベルのユーザが、管理者(admin)または管理者相当のユーザ アカウント(特権レベル 15)ではなく、通常レベルのユーザ カウント(特権レベル 0)で WAAS デバイスにログインした場合、そのユーザは、特権レベル EXEC モードにアクセスするために admin パスワードを入力する必要があります。
(注) このことは、WAAS ユーザがログイン認証に TACACS+ を使用している場合にも適用されます。
WAAS デバイスまたはデバイス グループ用の TACACS+ サーバ設定を一元的に構成するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager GUI ナビゲーション ペインで、[My WAN] > [Manage Devices](または [Manage Device Groups])を選択します。
ステップ 2 設定したいデバイス(またはデバイス グループ)の横にある [Edit] アイコンをクリックします。
ステップ 3 ナビゲーション ペインで、[Configure] > [Security] > [AAA] > [TACACS+] を選択します。[TACACS+ Server Settings] ウィンドウが表示されます
(注) AAA Command Authorization が有効になっている場合は、TACACS+ サーバの設定を変更したり削除したりすることはできません。
ステップ 4 認証用に ASCII 形式のパスワードを使用するために、[Use ASCII Password Authentication] チェックボックスを選択します。
デフォルトのパスワード タイプは、Password Authentication Protocol(PAP; パスワード認証プロトコル)です。ただし、認証パケットを ASCII クリアテキストで送信する場合は、パスワード タイプを ASCII に変更できます。
ステップ 5 [Time to Wait] フィールドで、デバイスがタイムアウトを待つ時間の長さを指定します。範囲は、1 ~ 20 秒です。デフォルト値は 5 秒です。
ステップ 6 [Number of Retransmits] フィールドに、TACACS+ サーバに接続するときに許可する再試行回数を指定します。範囲は、1 ~ 3 回です。デフォルト値は 2 回です。
ステップ 7 [Security Word] フィールドに、TACACS+ サーバと通信するために使用する秘密キーを入力します。
(注) WAAS デバイス(TACACS+ クライアント)で TACACS+ キーを設定する場合は、必ず、外部の TACACS+ サーバにも同一のキーを設定してください。左一重引用符(`)、二重引用符(")、パイプ(|)、閉じ角カッコ(])、または数字記号(#)の文字を使用しないでください。
ステップ 8 [Primary Server] フィールドに、TACACS+サーバの IP アドレスまたはホスト名を入力します。
ステップ 9 [Secondary Server] フィールドに、TACACS+サーバの IP アドレスまたはホスト名を入力します。
ステップ 10 [Tertiary Server] フィールドに、TACACS+ サーバの IP アドレスまたはホスト名を入力します。
(注) 最大 2 台のバックアップ TACACS+ サーバを指定できます。
ステップ 11 [Submit] をクリックして、設定を保存します。
これで、「WAAS デバイス用の管理ログイン認証および許可方式の有効化」の説明に従って、この WAAS デバイスまたはデバイス グループ用の管理ログイン認証および許可方式として、TACACS+ を有効にすることができます。
CLI から TACACS+ 設定を構成するには、 tacacs グローバル コンフィギュレーション コマンドを使用できます。
Windows ドメイン サーバ認証設定の構成
Windows ドメイン コントローラは、チャレンジ/レスポンスまたは共有秘密認証方式を使用して WAAS ソフトウェア サービスへのアクセスを制御するように設定できます。システム管理者は、FTP、SSH、または Telnet セッションを使用して、あるいは 1 つのユーザ アカウント(ユーザ名/パスワード/特権)でコンソールまたは WAAS Central Manager GUI を使用して、WAAS デバイスにログインできます。Windows ドメイン認証では、RADIUS および TACACS+ 認証方式を同時に設定できます。Windows ドメイン認証を有効にすると、さまざまな認証ログイン統計情報をログに記録するように設定できます。ログ ファイル、統計カウンタ、および関連情報は、いつでも消去できます。
WAAS ネットワークでは、次の場合に Windows ドメイン認証を使用します。
• WAAS Central Manager GUI へのログイン
• WAE Device Manager GUI へのログイン
WAAS Central Manager デバイス、個別の WAAS デバイス、またはデバイスのグループ用の Windows 認証を設定できます。WAAS デバイスで Windows ドメイン認証を設定するには、一連の Windows ドメイン認証設定を構成する必要があります。
(注) Windows ドメイン認証は、WAAS デバイスに Windows ドメイン サーバが設定されていない限り、実行されません。デバイスが正しく登録されていない場合、認証と許可は実行されません。WAAS は、Windows Server 2000 または Windows Server 2003 だけで稼動している Windows ドメイン コントローラによる認証をサポートします。
NTLM 認証を使用している場合は、Windows 2000 よりも前のオペレーティング システムをサポートするオプションを使用して Windows ドメイン サーバをインストールする必要があります(Windows サーバの dcpromo ウィザードの [installation Permissions] 画面で、[Permissions compatible with pre-Windows 2000 server operating systems.] を選択します)。
• 「WAAS デバイス上の Windows ドメイン サーバ設定の構成」
WAAS デバイス上の Windows ドメイン サーバ設定の構成
認証に使用する Windows ドメイン コントローラの名前と IP アドレス、またはホスト名を知っている必要があります。
WAAS デバイスまたはデバイス グループ用の Windows ドメイン サーバ設定を構成するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager GUI ナビゲーション ペインで、[My WAN] > [Manage Devices](または [Manage Device Groups])を選択します。
ステップ 2 設定したいデバイス(またはデバイス グループ)の横にある [Edit] アイコンをクリックします。
ステップ 3 ナビゲーション ペインで、[Configure] > [Security] > [AAA] > [Windows Domain] を選択します。[Windows Domain Server Settings] ウィンドウが表示されます(図 6-5 を参照)。
図 6-5 [Windows Domain Server Settings] ウィンドウ
(注) 選択したデバイス(またはデバイス グループ)用に関連する WINS サーバおよびワークグループまたはドメイン名が定義されていない場合、図 6-5 に示すように、このウィンドウの一番上に、関連する設定が定義されていないことを知らせる情報メッセージが表示されます。これらの設定を定義するには、[Configure] > [Network] > [WINS] を選択します。
ステップ 4 [Administrative group for normal users] フィールドにグループの名前を入力して、選択したデバイス(またはデバイス グループ)へのアクセスに制限がある特権レベルが 0 の通常のユーザ(superuser でない管理者)用の管理グループを指定します。
(注) デフォルトでは、WAE で設定された Windows ドメイン許可用のユーザ グループは、事前に定義されません。
ステップ 5 [Administrative group for superusers] フィールドにグループの名前を入力して、選択したデバイス(またはデバイス グループ)に完全にアクセスできる特権レベルが 15 の特権ユーザ(superuser である管理者)用の管理グループを指定します。
(注) WAE で Windows ドメイン管理グループを設定することに加えて、Microsoft Windows 2000 または 2003 サーバで Windows ドメイン管理グループを設定する必要があります。Windows ドメイン管理特権ユーザ グループと通常のユーザ グループを作成する必要があります。特権ユーザ グループのグループ スコープが global に設定されていることを確認し、新しく作成した管理グループにユーザ メンバを割り当て、Windows ドメイン特権ユーザ グループにユーザ アカウント(たとえば、winsuper ユーザ)を追加します。Windows サーバで Windows ドメイン管理グループを設定する方法については、Microsoft 社のマニュアルを参照してください。
ユーザが Telnet セッション、FTP、または SSH セッションを使用してこの WAE にアクセスしようとすると、WAE は Active Directory ユーザ データベースを使用して管理アクセス要求を認証するように設定されます。
ステップ 6 次のように、選択したデバイス(またはデバイス グループ)への管理ログイン用の安全な共有認証方式として NTLM または Kerberos を選択します。
(注) ユーザがドメイン アカウントにログインする Windows 2000 以上が動作する Windows システムには、Kerberos バージョン 5 が使用されます。
• NTLM を有効にするには、[NTLM enabled] チェックボックスを選択します。
• NTML バージョン 1 を選択するには、[NTLM enabled] チェックボックスを選択します。デフォルトでは、NTLM バージョン 1 が選択されます。
NTLM バージョン 1 は、Active Directory を使用する Windows 98 や Windows NT などの従来のシステム、および Windows 2000、Windows XP、Windows 2003 などの最近の Windows システムを含むすべての Windows システムで使用されます。Windows 2000 SP4 または Windows 2003 のドメイン コントローラを使用する場合は、Kerberos の使用を推奨します。
• NTLM バージョン 2 を選択するには、ドロップダウン リストから[V2] を選択します。
NTLM バージョン 2 は、Windows 98 と Active Directory を実行している Windows システム、Windows NT 4.0(Service Pack 4 以降)、Windows XP、Windows 2000、および Windows 2003 で使用されます。WAAS プリント サーバの NTLM バージョン 2 のサポートを有効にすると、NTLM または LM を使用するクライアントにアクセスできなくなります。
• Kerberos を選択するには、[Kerberos enabled] チェックボックスを選択します。[Realm] フィールドに、WAAS デバイスが存在する領域の完全修飾名を入力します。[Key Distribution center] フィールドに、Kerberos 暗号キー配信局の完全修飾名または IP アドレスを入力します。必要に応じて、[Organizational Unit] フィールドに組織単位の名前を入力します。
すべての Windows 2000 ドメインは、Kerberos 領域です。Windows 2000 ドメイン名は DNS ドメイン名でもあるため、Windows 2000 ドメイン名用の Kerberos 領域名は常に大文字です。この大文字の使用は、Kerberos バージョン 5 プロトコル資料(RFC-4120)での領域名として DNS 名を使用する勧告に従っており、Kerberos に基づく他の環境との相互運用性だけに影響します。
ステップ 7 [Domain Controller] フィールドに、Windows ドメイン コントローラの名前を入力します。
[Submit] をクリックすると、Central Manager が WAAS デバイスに要求を送って(バージョン 4.2.x 以上の場合)ドメイン コントローラ名を解決することにより、この名前を検証します。ドメイン コントローラが解決できない場合は、有効な名前を送信するように求められます。デバイスがオフラインの場合は、デバイスの接続を確認するように求められます。デバイス グループを設定している場合、このページが受け付けられるまでは各デバイスでのドメイン コントローラ名の検証は行われず、デバイス上で解決できない場合は、このページでの設定変更はそのデバイスには適用されません。
(注) [Submit] をクリックし、指定した変更が WAAS Central Manager データベースにコミットされたことを確認してください。ステップ 9 で入力するドメイン管理者のユーザ名とパスワードは、WAAS Central Manager のデータベースに格納されません。
ステップ 9 選択したデバイス(またはデバイス グループ)を Windows ドメイン コントローラに登録するには、次の手順に従ってください。
a. [Domain Administrator username] フィールドに、指定した Windows ドメイン コントローラの管理ユーザ名(domain¥username またはドメイン名とユーザ名)を入力します。
b. [Domain Administrator password] フィールドに、指定した Windows ドメイン コントローラの管理パスワードを入力します。
c. [Confirm password] フィールドに、指定した Windows ドメイン コントローラの管理パスワードを入力します。
(注) [Register] ボタンをクリックすると、WAAS Central Manager は、SSH を使用して、すぐに WAAS デバイス(またはデバイス グループ)へ登録要求を送信します(指定したドメイン管理者パスワードは、SSH で暗号化されます)。登録要求は、指定したドメイン管理者のユーザ名とパスワードを使用して、指定した Windows ドメイン コントローラへのドメイン登録を実行するように、デバイスに指示します。デバイスにアクセスできる場合(NAT の背後にあり、外部 IP アドレスを持っている場合)、登録要求はデバイス(またはデバイス グループ)によって実行されます。
e. 登録要求のステータスを確認するには、「WAAS デバイス用の管理ログイン認証および許可方式の有効化」 の説明に従って Windows をデバイスに対する認証および許可方式として設定し、数分経ってから [Show Authentication Status] ボタンをクリックします。
[Show Authentication Status] ボタンをクリックする前に、[Refresh Authentication Status] チェックボックスを選択できます。このボックスを選択すると、WAAS Central Manager は、ドメイン登録ステータスの更新をデバイスに問い合わせます。選択を外すと、Central Manager のローカル キャッシュのステータスが取得されます。
[Show Authentication Status] ボタンをクリックすると、認証要求ステータスを表示するかどうかを尋ねるダイアログ ボックスが表示されます(図 6-6 を参照)。
f. [OK] をクリックして続行するか、[Cancel] をクリックして要求を取り消します。
要求が失敗した場合は、エラー ダイアログを受け取ります。数分経ってから、再試行して更新された認証ステータスを参照してください。
要求が正常に終了した場合、ドメイン登録ステータスは、図 6-5 の下部にある [Windows Authentication] と [Domain Registration] の見出しのすぐ下に表示されます。さらに、ウィンドウ認証と切断モードのステータスもこの部分に表示されます。
Windows のドメイン設定後に、Windows の認証を有効にするプロセスを完了するには、「WAAS デバイス用の管理ログイン認証および許可方式の有効化」の説明に従って、[Authentication Methods] ウィンドウを使用して、Windows をデバイスに対する認証および許可方式としてと設定する必要があります。
WAAS CLI ではなく、WAAS Central Manager GUI を使用して、Windows ドメイン サーバ設定を構成することを推奨します。ただし、CLI を使用したい場合は、 『Cisco Wide Area Application Services Command Reference 』 で windows-domain および kerberos (共有されたセキュアな認証方式として Kerberos を使用する場合)のコマンドを参照してください。
次に、次のコマンド(Kerberos 認証の場合)を使用して、設定した Windows ドメイン サーバに WAAS デバイスを登録し、検査します。
最後に、次のコマンドを使用して、管理ログイン認証および許可設定として Windows ドメインを有効にします。
切断モードで内容要求の認証を有効にするには、 authentication content-request windows-domain disconnected-mode enable コンフィギュレーション コマンドを使用します。
Windows ドメイン コントローラからの WAE の登録解除
Windows ドメイン コントローラから WAE デバイスを登録解除する場合、Kerberos 共有認証方式を使用している場合は、WAAS Central Manager から直接登録解除を行うことができます。NTLM メソッドを使用している場合、WAAS Central Manager を使用して WAE を登録解除できません。ドメイン コントローラにログインし、デバイス登録を手動で削除する必要があります。
デバイスを登録解除する前に、デバイスに対するウィンドウズ認証を無効にする必要があります。
WAE デバイスを登録解除するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager GUI ナビゲーション ペインで、[My WAN] > [Manage Devices](または [Manage Device Groups])を選択します。
ステップ 2 登録解除したいデバイス(またはデバイス グループ)の横にある [Edit] アイコンをクリックします。
ステップ 3 ナビゲーション ペインで、[Configure] > [Security] > [AAA] > [Authentication Methods] を選択します。[Authentication and Authorization Methods] ウィンドウが表示されます(図 6-7 を参照)。
ステップ 4 [Authentication Login Methods] と [Authorization Methods] セクションの下で、WINDOWS に設定されたそれぞれのドロップダウン リストを別のものに変更します。設定の変更の詳細については、「WAAS デバイス用の管理ログイン認証および許可方式の有効化」を参照してください。
ステップ 5 [Submit] をクリックして、設定を保存します。
ステップ 6 ナビゲーション ペインで、[Configure] > [Security] > [AAA] > [Windows Domain] を選択します。[Windows Domain Server Settings] ウィンドウが表示されます(図 6-5 を参照)。
ステップ 7 (任意)管理者のユーザ名とパスワードを [Domain administrator username] フィールド、[Domain administrator password] フィールド、および [Confirm password] フィールドに入力します。ユーザ名とパスワードは必須ではありませんが、登録解除を行うためにドメイン コントローラで必要となる場合があります。
ステップ 8 スクロール ダウンして [Unregister] ボタンをクリックします。
(注) [Unregister] ボタンをクリックすると、WAAS Central Manager は SSH を使用してすぐに登録解除要求を WAAS デバイス(またはデバイス グループ)に送信します。登録解除要求によって、デバイスは指定された Windows ドメイン コントローラから登録解除するよう指示されます。
a. 登録解除要求のステータスを確認するには、数分経ってから [Show Authentication Status] ボタンをクリックします。認証要求のステータスを表示するためにこの要求を続行するかどうかを確認するダイアログボックスが表示されます(図 6-6 を参照)。
b. [OK] をクリックして続行するか、[Cancel] をクリックして要求を取り消します。
CLI を使用して WAE デバイスを登録解除する場合、まず次のコマンドを使用して Windows 認証を無効にする必要があります。
次に、次のコマンドを使用して WAAS デバイスを Windows ドメイン サーバから登録解除します(Kerberos 認証の場合)。
Edge WAE 用の自動マシン アカウント パスワード変更の無効化
認証用に Windows ドメイン コントローラが設定され、WAFS レガシー モードで動作している Edge WAE で切断モードが有効になっている WAAS ネットワークでは、WAN の障害時にドメイン コントローラは内容要求を認証します。デフォルトで、Windows ドメイン コントローラは、認証プロセスの一環として自動マシン アカウント パスワード変更を実行します。Edge WAE 用のマシン アカウント パスワードは 7 日周期で Edge WAE とドメイン コントローラの間で自動的にネゴシエートされ、変更されます。ただし、認証サービスが停止している場合、このプロセスは実行されず、Edge WAE 用のマシン アカウント パスワードは失効します。
この状況を回避するために、Edge WAE 用の自動マシン アカウント パスワード変更を無効にすることを推奨します。次の手順は、グループ ポリシー エディタを使用して、Windows XP および Windows Server 2003 用の自動マシン アカウント パスワード変更を無効にする方法を示しています。他の Windows オペレーティング システム用の自動マシン アカウント パスワード変更を無効にする方法の詳細については、Microsoft 社の [Help and Support] ページを参照してください。
グループ ポリシー エディタを使用して Edge WAE 用の自動的なマシン アカウント パスワード変更を無効にするには、次の手順に従ってください。
ステップ 1 Windows ドメイン コントローラで、[Start] をクリックし、[Run] を選択します。
ステップ 2 プロンプトで「 Gpedit 」と入力し、[OK] をクリックします。
ステップ 3 [Local Computer Policy]、[Windows Settings]、[Security Settings]、[Local Policies]、[Security Settings]、[Local Policies]、[Security] オプションを展開します。
ステップ 4 [Domain Member: Disable machine account password changes (DisablePasswordChange)] 設定を構成します。
LDAP サーバ署名
LDAP サーバ署名は、Microsoft Windows Server のネットワーク セキュリティ設定の設定オプションです。このオプションは、Lightweight Directory Access Protocol(LDAP)クライアント用の署名要件を制御します。LDAP 署名は、LDAP パケットがネットワークの途中で改変されていないことを確認し、パッケージ データが既知の送信元から送信されたことを保証するために使用されます。Windows Server 2003 の管理ツールは、LDAP 署名を使用して、管理ツールの実行インスタンスと管理対象サーバ間の通信の安全を確保します。
トランスポート レイヤ セキュリティ(TLS、RFC 2830)プロトコルを使用してインターネット通信のプライバシーを保護することで、クライアント/サーバアプリケーションは、盗聴、改変、またはメッセージの偽造を防止して通信できます。TLS v1 は、Secure Sockets Layer(SSL)に似ています。TLS は、通常の LDAP 接続(ldap//:389)で SSL と同じ暗号化を提供し、安全な接続(ldaps://:636)で動作します。TLS プロトコルは、サーバ証明書を使用して、暗号化された安全な接続を LDAP サーバに提供します。クライアント認証には、クライアント証明書と 1 組の暗号キーが必要です。
WAAS ソフトウェアでは、ドメイン セキュリティ ポリシー用の LDAP サーバ署名要求 オプションを「Require signing(署名が必要)」に設定すると、Windows 2003 ドメインでのログイン認証がサポートされます。LDAP サーバ署名機能により、WAE はドメインに参加してユーザを安全に認証できます。
(注) Windows ドメイン コントローラで LDAP 署名が必要となるように設定するときは、クライアント WAE でも LDAP 署名を設定する必要があります。LDAP 署名を使用するようにクライアントを設定しないと、サーバとの通信が影響を受け、ユーザ認証、グループ ポリシー設定、およびログイン スクリプトが失敗する場合があります。サーバの証明書を持つ Microsoft サーバに認証局サービスをインストールします([Programs] > [Administrative Tools] > [Certification Authority])。Microsoft サーバで LDAP サーバ署名要件プロパティを有効にします([Start] > [Programs] > [Administrative Tools] > [Domain Controller Security Policy])。表示されるウィンドウで、ドロップダウン リストから [Require signing] を選択し、[OK] をクリックします。
Windows ドメイン コントローラで LDAP 署名が必要となるように設定する方法については、Microsoft 社のマニュアルを参照してください。
クライアント WAE 上での LDAP 署名の設定
Windows 2003 ドメイン コントローラで、クライアント(WAE など)に LDAP 要求に署名することを要求するセキュリティ設定を構成できます。署名のないネットワーク トラフィックは、途中で傍受されたり、改変される可能性があり、一部の組織は、LDAP サーバでの中間者攻撃を防止するために LDAP サーバ署名を義務付けています。LDAP 署名は、個別の WAE 単位で設定できます。システム レベルでは設定できません。さらに、WAAS CLI を使用して WAE 上の LDAP 署名を設定する必要があります。WAAS GUI(WAAS Central Manager GUI または WAE Device Manager GUI)では、LDAP 署名を設定できません。
デフォルトで、LDAP サーバ署名は、WAE で無効になっています。WAE でこの機能を有効にするには、次の手順に従ってください。
ステップ 1 WAE で LDAP サーバ署名を有効にします。
ステップ 3 WAE で、現在動作している LDAP クライアントの設定を確認します。
ステップ 4 WAE を Windows ドメインに登録します。
ステップ 5 WAE でユーザ ログイン認証を有効にします。
ステップ 6 WAE でユーザ ログイン許可を有効にします。
ステップ 7 WAE でログインの認証と許可の現在の設定を確認します。
Login Authentication: Console/Telnet/Ftp/SSH Session
----------------------------- ------------------------------
local enabled (secondary)
Windows domain enabled (primary)
Radius disabled
Tacacs+ disabled
Configuration Authentication: Console/Telnet/Ftp/SSH Session
----------------------------- ------------------------------
local enabled (primary)
Windows domain enabled (primary)
Radius disabled
Tacacs+ disabled
この時点で、WAE は、Active Directory ユーザを認証するように設定されています。Active Directory ユーザは、Telnet、FTP、または SSH を使用して WAE に接続できます。また、WAAS GUI(WAAS CentralManager GUI または WAE Device Manager GUI)を使用して WAE にアクセスできます。
ステップ 8 Windows ドメイン ユーザ認証に関連する統計情報を表示します。ユーザ認証が行われるたびに、統計情報が追加されます。
ステップ 9 WAE に関する統計情報を消去するには、 clear statistics EXEC コマンドを使用します。
• すべてのログイン認証統計情報を消去するには、 clear statistics authentication EXEC コマンドを入力します。
• Windows ドメイン認証に関連する統計情報だけを消去するには、 clear statistics windows-domain EXEC コマンドを入力します。
• すべての統計情報を消去するには、 clear statistics all EXEC コマンドを入力します。
クライアント WAE 上の LDAP サーバ署名の無効化
WAE 上の LDAP サーバ署名を無効にするには、次の手順に従ってください。
ステップ 1 Windows ドメインから WAE の登録を解除します。
ステップ 3 WAE で LDAP サーバ署名を無効にします。
WAAS デバイス用の管理ログイン認証および許可方式の有効化
この項では、WAAS デバイスまたはデバイス グループ用のさまざまな管理ログイン認証および許可方式(認証設定)を一元的に有効にする方法について説明します。
デフォルトで、WAAS デバイスは、ローカル データベースを使用して、管理ログイン要求を認証し、アクセス権を許可します。WAAS デバイスは、すべての認証データベースが無効であるかどうかを確認し、そうである場合は、システムをデフォルトの状態に設定します。このデフォルトの状態の詳細については、「管理ログインの認証および許可のデフォルト設定」を参照してください。
(注) これらの設定を構成し、送信する前に、WAAS デバイス(またはデバイス グループ)用の TACACS+、RADIUS、または Windows サーバ設定を構成する必要があります。WAAS デバイスまたはデバイス グループでこれらのサーバ設定を構成する方法については、「TACACS+ サーバ認証設定について」、「RADIUS サーバ認証設定の構成」、および「Windows ドメイン サーバ認証設定の構成」を参照してください。
デフォルトでは、WAAS デバイスは、何らかの理由でプライマリ方式の管理ログイン認証が失敗した場合に、セカンダリ方式の管理ログイン認証にフェールオーバーします。WAAS Central Manager GUI を使用して、このデフォルトのログイン認証フェールオーバー方式を変更します。
• WAAS デバイスのデフォルト値を変更するために、[My WAN] > [Manage Devices] を選択します。デフォルトのログイン認証フェールオーバー方式を変更する WAAS デバイスの名前の横にある [Edit] アイコンをクリックし、ナビゲーション ペインで [Configure] > [Security] > [AAA] > [Authentication Methods] を選択します。表示されるウィンドウで [Failover to next available authentication method] チェックボックスを選択し、[Submit] をクリックします。
• デバイス グループのデフォルト値を変更するために、[My WAN] > [Manage Device Groups] を選択します。デフォルトのログイン認証フェールオーバー方式を変更するデバイス グループの名前の横にある [Edit] アイコンをクリックし、ナビゲーション ペインで [Configure] > [Security] > [AAA] > [Authentication Methods] を選択します。表示されるウィンドウで [Failover to next available authentication method] チェックボックスを選択し、[Submit] をクリックします。
[failover to next available authentication method] オプションを有効にすると、WAAS デバイス(またはデバイス グループ内のデバイス)は、認証が何らかの別の理由で失敗した場合ではなく、管理ログイン認証サーバに到達できない場合にだけ、次の認証方式を照会します。
複数の TACACS+ サーバまたは RADIUS サーバを設定できる場合は、まずプライマリ サーバで認証が試みられます。プライマリ サーバに到達できなければ、TACACS+ ファームまたは RADIUS ファーム内のその他のサーバでの認証試行が順に行われていきます。サーバに到達不能という以外の何らかの理由で認証に失敗した場合は、ファーム内の他のサーバでの認証試行は行われません。このプロセスは、[Failover to next available authentication method] チェックボックスの設定に関係なく適用されます。
(注) ログイン認証フェールオーバー機能を使用するには、TACACS+、RADIUS、または Windows ドメインをプライマリ認証方式として、ローカルをセカンダリ ログイン認証方式として設定する必要があります。
[failover to next available authentication method] オプションが enabled (有効)の場合は、次のガイドラインに従ってください。
• WAAS デバイスに設定できるログイン認証方式は 2 つ(プライマリおよびセカンダリ方式)だけです。
• WAAS デバイス(またはデバイス グループ内のデバイス)は、指定した認証サーバが到達不能な場合にだけ、プライマリ認証方式からセカンダリ認証方式へフェールオーバーします。
• 認証と許可(設定)の両方のセカンダリ方式として、ローカル データベース方式を設定します。
たとえば、[failover to next available authentication method] オプションが有効で、RADIUS がプライマリ ログイン認証方式、ローカルがセカンダリ ログイン認証方式として設定されている場合は、次のように処理されます。
1. WAAS デバイス(またはデバイス グループ内のデバイス)は、管理ログイン要求を受信すると、外部の RADIUS 認証サーバを照会します。
a. RADIUS サーバが到達可能である場合、WAAS デバイス(またはデバイス グループ内のデバイス)は、この RADIUS データベースを使用して管理者を認証します。
b. RADIUS サーバが到達不能な場合、WAAS デバイスはセカンダリ認証方式を使用して(つまり、ローカル認証データベースを照会して)、管理者の認証を試みます。
(注) ローカル データベースは、この RADIUS サーバが使用できない場合にだけ、認証のためにアクセスされます。それ以外の場合(たとえば、RADIUS サーバでの認証に失敗した場合)は、認証のためにローカル データベースはアクセスされません。
逆に、[failover to next available authentication method] オプションが disabled (無効)の場合は、WAAS デバイス(またはデバイス グループ内のデバイス)は、プライマリ認証データベースで認証に失敗した理由に関係なく、セカンダリ認証データベースにアクセスします。
すべての認証データベースの使用が有効になっている場合は、フェールオーバーの理由に基づき、選択された優先順位で、すべてのデータベースが照会されます。フェールオーバーの理由が指定されていない場合は、すべてのデータベースがその優先順位で照会されます。たとえば、最初にプライマリ認証データベースが照会され、次にセカンダリ認証データベースが照会され、最後に第 3 のデータベースが照会されます。
WAAS デバイスまたはデバイス グループ用のログイン認証および許可方式を指定するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager GUI ナビゲーション ペインで、[My WAN] > [Manage Devices](または [Manage Device Groups])を選択します。
ステップ 2 設定したいデバイス(またはデバイス グループ)の横にある [Edit] アイコンをクリックします。
ステップ 3 ナビゲーション ペインで、[Configure] > [Security] > [AAA] > [Authentication Methods] を選択します。[Authentication and Authorization Methods] ウィンドウが表示されます(図 6-7 を参照)。
図 6-7 [Authentication and Authorization Methods] ウィンドウ
ステップ 4 [Failover to next available authentication method] チェックボックスを選択して、1 次認証サーバに到達できない場合にだけ 2 次認証データベースを照会します。このチェックボックスが選択解除されている場合は、何らかの理由でプライマリ認証方式が失敗すると、他の認証方式が試行されます。
この機能を使用するには、TACACS+、RADIUS、または Windows ドメインをプライマリ認証方式として、ローカルをセカンダリ ログイン認証方式として設定する必要があります。認証と許可(設定)の両方の 2 次方式として、必ず、ローカル方式を設定してください。
ステップ 5 [Authentication Login Methods] チェックボックスを選択して、ローカル、TACACS+、RADIUS、または Windows データベースを使用して認証特権を有効にします。
ステップ 6 選択したデバイスまたはデバイス グループが使用するログイン認証方式の順序を指定します。
a. [Primary Login Method] ドロップダウン リストから、[local]、[TACACS+]、[RADIUS]、または [WINDOWS] を選択します。このオプションは、選択したデバイス(またはデバイス グループ)が、管理ログイン認証に使用する必要がある最初の方式を指定します。
b. [Secondary Login Method] ドロップダウン リストから、[local]、[TACACS+]、[RADIUS]、または [Windows] を選択します。このオプションは、最初の方式が失敗した場合に、選択したデバイス(またはデバイス グループ)が管理ログイン認証に使用する必要がある方式を指定します。
c. [Tertiary Login Method] ドロップダウン リストから、[local]、[TACACS+]、[RADIUS]、または [Windows] を選択します。このオプションは、最初の方式と第 2 の方式が失敗した場合に、選択したデバイス(またはデバイス グループ)が管理ログイン認証に使用する必要がある方式を指定します。
d. [Quaternary Login Method] ドロップダウン リストから、[local]、[TACACS+]、[RADIUS]、または [Windows] を選択します。このオプションは、最初の方式、第 2 の方式、および第 3 の方式が失敗した場合に、選択したデバイス(またはデバイス グループ)が管理ログイン認証に使用する必要がある方式を指定します。
(注) ログイン認証方式と許可方式の優先順位リストの最後の方式として、ローカル方式を指定することを強く推奨します。この方法に従うことで、指定した外部のサードパーティ サーバ(TACACS+、RADIUS、または Windows ドメイン サーバ)に到達可能できない場合でも、WAAS 管理者は、ローカル認証方式と許可方式を使用して WAAS デバイスにログインできます。
ステップ 7 [Authentication Methods] チェックボックスを選択して、ローカル、TACACS+、RADIUS、または Windows データベースを使用して認証特権を有効にします。
(注) 許可特権は、コンソールと Telnet の接続試行、安全な FTP(SFTP)セッション、およびセキュア シェル(SSH、バージョン 1 およびバージョン 2)セッションに適用されます。
ステップ 8 選択したデバイス(またはデバイス グループ)が使用する必要があるログイン許可(設定)方式の順序を指定します。
(注) 管理ログインの認証方式と許可方式を同じ順序で設定することを強く推奨します。たとえば、管理ログイン認証と許可の両方の 1 次ログイン方式として RADIUS を使用し、2 次ログイン方式として TACACS+ を使用し、第 3 の方式として Windows を使用し、第 4 の方式としてローカル方式を使用するように、WAAS デバイスを設定します。
a. [Primary Configuration Method] ドロップダウン リストから、[local]、[TACACS+]、[RADIUS]、または [WINDOWS] を選択します。このオプションは、選択したデバイス(またはデバイス グループ)が、管理特権を決定するために使用する必要がある最初の方式を指定します。
(注) (ステップ 4 で)[Failover to next available authentication method] チェックボックスを選択した場合は、必ず、[Primary Configuration Method] ドロップダウン リストから [TACACS+] または [RADIUS] を選択して、1 次許可(設定)方式として TACACS+ または RADIUS 方式を設定してください。
b. [Secondary Configuration Method] ドロップダウン リストから、[local]、[TACACS+]、[RADIUS]、または [WINDOWS] を選択します。このオプションは、最初の方式が失敗した場合に、選択したデバイス(またはデバイス グループ)が管理特権を決定するために使用する必要がある方式を指定します。
(注) (ステップ 4 で)[Failover to next available authentication method] チェックボックスを選択した場合は、必ず、[Secondary Configuration Method] ドロップダウン リストから [local] を選択して、2 次許可(設定)方式として ローカル方式を設定してください。
c. [Tertiary Configuration Method] ドロップダウン リストから、[local]、[TACACS+]、[RADIUS]、または [WINDOWS] を選択します。このオプションは、最初の方式と第 2 の方式が失敗した場合に、選択したデバイス(またはデバイス グループ)が管理特権を決定するために使用する必要がある方式を指定します。
d. [Quaternary Configuration Method] ドロップダウン リストから、[local]、[TACACS+]、[RADIUS]、または [WINDOWS] を選択します。このオプションは、最初の方式、第 2 の方式、および第 3 の方式が失敗した場合に、選択したデバイス(またはデバイス グループ)が管理特権を決定するために使用する必要がある方式を指定します。
ステップ 9 [Windows authentication for WAN Failure (Disconnected Mode)] チェックボックスを選択して、切断モードでの内容要求認証を有効にします。切断モードは、WAFS レガシー モードを使用している場合にだけ使用できます。
この機能を有効にすると、Windows ドメイン サーバは、切断モードで内容要求を認証します。デフォルトでは、この機能は、WAE で無効になっています。
この機能を有効にする場合は、WAE 用の自動アカウント パスワード変更を無効にすることを推奨します。詳細については、「Edge WAE 用の自動マシン アカウント パスワード変更の無効化」を参照してください。
(注) 切断モードに対する Windows 認証は、「Windows ドメイン サーバ認証設定の構成」の説明に従って、NTLM を [Windows Domain setting] ウィンドウで共有認証方式として選択した場合にだけ動作します。
ステップ 10 [Submit] をクリックして、設定を保存します。
(注) Windows の認証または許可方式を有効にしていた場合は、Central Manager が WAE に問い合わせて、それが Windows ドメインに登録されていることを確認します。これには、[Submit] をクリックした後、最大で 1 分間かかる場合があります。このプロセスについて確認を求めるメッセージが表示され、[OK] をクリックしなければ先に進みません。デバイス グループの設定を行っている場合は、Central Manager が個々の WAE に問い合わせることはなく、各 WAE が正常に登録されていることを管理者が確認する必要があります。システムの動作は不明である(WAE が登録されていない場合)ことを知らせるメッセージが表示され、[OK] をクリックしなければ先に進みません。
(注) Windows 認証方式を有効にした場合は、アクティブになるまで約 15 秒かかります。Windows 認証ステータスの確認や、Windows 認証が必要な操作を実行するまでに、少なくとも 15 秒待ってください。
CLI からログイン認証および許可方式を設定するには、 authentication グローバル コンフィギュレーション コマンドを使用できます。デバイスに対して Windows ドメイン認証および許可方式を有効にする前に、デバイスを Windows ドメイン コントローラで登録する必要があります。
AAA コマンド許可の設定
コマンド許可は、外部 AAA サーバを通じて、CLI ユーザによって実行された各コマンドの許可を行います。CLI ユーザによって実行されたコマンドはすべて、許可されなければ実行されません。RADIUS ユーザ、Windows ドメイン ユーザ、およびローカル ユーザは、影響を受けません。
(注) CLI インターフェイスを通じて実行されたコマンドだけが、コマンド許可の対象となります。
コマンド許可が有効になっている場合、許可されたコマンドが引数なしで実行されるようにするには、TACACS+ サーバ上で "permit null" を指定する必要があります。
WAAS デバイスまたはデバイス グループのコマンド許可を設定するには、次の手順を実行します。
ステップ 1 WAAS Central Manager GUI ナビゲーション ペインで、[My WAN] > [Manage Devices](または [Manage Device Groups])を選択します。
ステップ 2 設定したいデバイス(またはデバイス グループ)の横にある [Edit] アイコンをクリックします。
ステップ 3 ナビゲーション ペインで、[Configure] > [Security] > [AAA] > [Command Authorization] を選択します。[Command Authorization] ウィンドウが表示されます(図 6-8を参照)。
図 6-8 [Command Authorization] 設定ウィンドウ
ステップ 4 必要なレベルの [Command Authorization Level] チェックボックスをオンにします。
• レベル 0:ユーザのレベル(通常ユーザかスーパー ユーザか)に関係なく、EXEC コマンドだけが実行される前に TACACS+ サーバによって許可されます。グローバル コンフィギュレーション コマンドは許可されません。
• レベル 15:ユーザのレベル(通常ユーザかスーパー ユーザか)に関係なく、EXEC コマンドとグローバル コンフィギュレーション レベルのコマンドの両方が、実行される前に TACACS+ サーバによって許可されます。
(注) コマンド許可を設定するには、その前に TACACS+ サーバを設定しておく必要があります。
ステップ 5 [Submit] をクリックして、設定を保存します。
WAAS デバイス用の AAA アカウンティングの設定
アカウンティングは、すべてのユーザの操作と操作が行われた日時を追跡します。監査証跡または接続時間やリソース使用量(転送バイト数)の課金に使用できます。デフォルトで、アカウンティングは無効になっています。
WAAS アカウンティング機能は、TACACS+ サーバ ログ機能を使用します。アカウンティング情報は、TACACS+ サーバだけに送信されます。コンソールや他のデバイスには送信されません。WAAS デバイスの syslog ファイルは、アカウンティング イベントをローカルに記録します。syslog に保存されるイベントの形式は、アカウンティング メッセージの形式と異なります。
TACACS+ プロトコルを使用すると、WAAS デバイスと中央サーバの間で、AAA 情報を効率的に通信できます。TACACS+ プロトコルは、TCP を使用して、クライアントとサーバの間に信頼できる接続を確立します。WAAS デバイスは、認証および許可要求とアカウンティング情報を TACACS+サーバへ送信します。
(注) WAAS デバイス用の AAA アカウンティング設定を構成する前に、WAAS デバイス用の TACACS+ サーバ設定を構成する必要があります(「TACACS+ サーバ認証設定について」を参照)。
(注) デバイスに対して AAA アカウンティングを有効にする場合は、コマンド処理中の遅延を回避するために TACACS+ サーバへのアクセスを許可する IP ACL 条件を最初のエントリ位置に作成することを強く推奨します。IP ACL については、「WAAS デバイス用の IP ACL の作成および管理」を参照してください。
WAAS デバイスまたはデバイス グループ用の AAA アカウンティング設定を一元的に構成するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager GUI ナビゲーション ペインで、[My WAN] > [Manage Devices](または [Manage Device Groups])を選択します。
ステップ 2 設定したいデバイス(またはデバイス グループ)の横にある [Edit] アイコンをクリックします。
ステップ 3 ナビゲーション ペインで、[Configure] > [Security] > [AAA] > [AAA Accounting] を選択します。[AAA Accounting Settings] ウィンドウが表示されます
ステップ 4 [System Events] ドロップダウン リストから、選択したデバイス(またはデバイス グループ)がリロードなどのユーザに関連しないシステム レベル イベントをいつ追跡するかを指定し、イベント用のアカウンティングをアクティブにするキーワードを選択します。
ステップ 5 [Exec Shell and Login/Logout Events] ドロップダウン リストから、選択したデバイス(またはデバイス グループ)が EXEC シェルとユーザ ログインおよびログアウトに関するイベントをいつ追跡するかを指定し、EXEC モード プロセス用のアカウンティングをアクティブにするキーワードを選択します。レポートには、ユーザ名、日付、開始時刻と終了時刻、および WAAS デバイスの IP アドレスが記載されます。
ステップ 6 [Normal User Commands] ドロップダウン リストから、選択したデバイス(またはデバイス グループ)が通常のユーザ特権レベル(特権レベル 0)ですべてのコマンドをいつ追跡するかを指定し、superuser でない管理(通常のユーザ)レベルですべてのコマンドのアカウンティングをアクティブにするキーワードを選択します。
ステップ 7 [Administrative User Commands] ドロップダウン リストから、選択したデバイス(またはデバイス グループ)が superuser 特権レベル(特権レベル 15)ですべてのコマンドをいつ追跡するかを指定し、superuser 管理ユーザ レベルですべてのコマンドのアカウンティングをアクティブにするキーワードを選択します。
表 6-2 で、イベントの種類のオプションについて説明します。
ステップ 8 [Submit] をクリックして、設定を保存します。
CLI から AAA アカウンティング設定を構成するには、 aaa accounting グローバル コンフィギュレーション コマンドを使用できます。
監査証跡ログの表示
WAAS Central Manager デバイスは、システムでのユーザの操作をログに記録します。ログに記録される唯一の操作は、WAAS ネットワークを変更する操作です。WAAS システムでユーザの操作の記録を表示する詳細については、「監査証跡ログの表示」を参照してください。
フィードバック