AAA クライアントの作成、読み取り、更新、および削除
ステップ 4 : MAB のための LDAP サポートの設定
第6章 エージェントレス ホスト サポートの設定のシナリオ エージェントレス ホスト サポートの基本的な設定手順
第6章 エージェントレス ホスト サポートの設定のシナリオ
エージェントレス ホスト サポートの基本的な設定手順
例6-1 MAB をサポートするための LDAP スキーマの例
dn: ou=MAB Segment, o=mycorp ou: MAB Segment
objectClass: top
objectClass: organizationalUnit
description: MAC Authentication Bypass Sub-Tree dn: ou=MAC Addresses, ou=MAB Segment, o=mycorp ou: MAC Addresses
objectClass: top
objectClass: organizationalUnit
dn: ou=MAC Groups, ou=MAB Segment, o=mycorp ou: MAC Groups
objectClass: top
objectClass: organizationalUnit
dn: cn=user00-wxp.emea.mycorp.com,ou=MAC Addresses, ou=MAB Segment, o=mycorp ipHostNumber: 10.56.60.100
objectClass: top objectClass: ipHost objectClass: ieee802Device macAddress: 00:11:22:33:44:55 cn: user00-wxp.emea.mycorp.com
dn: cn=user11-wxp.emea.mycorp.com,ou=MAC Addresses, ou=MAB Segment, o=mycorp ipHostNumber: 10.56.60.111
objectClass: top objectClass: ipHost objectClass: ieee802Device macAddress: 11-22-33-44-55-66 cn: user11-wxp.emea.mycorp.com
dn: cn=Group_1_colon,ou=MAC Groups, ou=MAB Segment, o=mycorp objectClass: top
objectClass: groupofuniquenames
description: group of delimited MAC Addresses
uniqueMember: cn=user00-wxp.emea.mycorp.com, ou=MAC Addresses, ou=MAB Segment, o=mycorp
uniqueMember: cn=user77a-wxp.emea.mycorp.com, ou=MAC Addresses, ou=MAB Segment , o=mycorp
uniqueMember: cn=user88-wxp.emea.mycorp.com, ou=MAC Addresses, ou=MAB Segment, o=mycorp
cn: Group_1_colon
dn: cn=Group_2_dash,ou=MAC Groups, ou=MAB Segment, o=mycorp objectClass: top
objectClass: groupofuniquenames
description: group of - delimited MAC Addresses
uniqueMember: cn=user11-wxp.emea.mycorp.com, ou=MAC Addresses, ou=MAB Segment, o=mycorp
uniqueMember: cn=user77b-wxp.emea.mycorp.com, ou=MAC Addresses, ou=MAB Segment , o=mycorp
cn: Group_2_dash
第6章 エージェントレス ホスト サポートの設定のシナリオ エージェントレス ホスト サポートの基本的な設定手順
サンプル LDAP スキーマに含まれている設定値の説明
図6-5 は、例6-1 に示した LDAP スキーマのツリー構造を示しています。
図6-5 MAB をサポートする LDAP スキーマのツリー構造
サブツリーの機能
例6-1 に示したサンプル LDAP スキーマには、2 つのサブツリーを定義する次のコードが含まれて
います。
dn: ou=MAC Addresses, ou=MAB Segment, o=mycorp ou: MAC Addresses
objectClass: top
objectClass: organizationalUnit
dn: ou=MAC Groups, ou=MAB Segment, o=mycorp ou: MAC Groups
objectClass: top
objectClass: organizationalUnit
LDAP サブツリーの内容は、次のとおりです。
• MAC Addresses:エージェントレス ホスト(ACS によるエージェントレス ホスト認証が必要
な IEEE 802.1x デバイス)の MAC アドレスを指定したデバイス レコードを保持するためのユー ザ ディレクトリ サブツリー。
ACS ユーザ インターフェイスでの LDAP の設定でユーザ ディレクトリ サブツリーを指定する
ときに、LDAP スキーマ内のユーザ ディレクトリ サブツリーに割り当てられている名前を User
Directory Subtree テキストボックスに入力します。
• MAC Groups:デバイス レコードに記述により指定されている MAC デバイスから接続する
ユーザの LDAP ユーザ グループを保持するためのグループ ディレクトリ サブツリー。
158373
MAB
MAC MAC
802.1x n 802.1x n+1 LDAP
00
LDAP 11
第6章 エージェントレス ホスト サポートの設定のシナリオ
エージェントレス ホスト サポートの基本的な設定手順
LDAP ユーザ グループの機能
個々の LDAP ユーザグループレコードにより LDAP ユーザグループが設定されます。LDAP ユー ザ グループにより、指定されたグループにユーザ(1 台またはそれ以上のデバイスを通じて接続)
がマッピングされます。
次の例では、ホスト 10.56.60.100 およびその他の 2 つのホストから接続するユーザをマッピングす
るための LDAP ユーザグループが、cn=Group_1_colonという名前で設定されます。
dn: cn=Group_1_colon,ou=MAC Groups, ou=MAB Segment, o=mycorp objectClass: top
objectClass: groupofuniquenames
description: group of delimited MAC Addresses
uniqueMember: cn=user00-wxp.emea.mycorp.com, ou=MAC Addresses, ou=MAB Segment, o=mycorp
uniqueMember: cn=user77a-wxp.emea.mycorp.com, ou=MAC Addresses, ou=MAB Segment , o=mycorp
uniqueMember: cn=user88-wxp.emea.mycorp.com, ou=MAC Addresses, ou=MAB Segment, o=mycorp
cn: Group_1_colon
ACS は、指定された MAC アドレスのホストから接続するユーザの割り当て先となるユーザ グルー プを決定するために LDAP データベースに問い合せます。次に、指定された ACS ユーザグループ
(管理者が設定)に LDAP ユーザグループ内のユーザを ACS が割り当てます。
上のサンプル LDAP グループのアトリビュートについて、表6-1 で説明します。
表6-1 エージェントレス ホスト サポートのための LDAP ユーザ グループのアトリビュート
アトリビュート名 説明
objectClass この例に含まれている値は、このグループが「一意の名前を持つグループ」
であることを示します。ここに指定する値は、ACS での LDAP の設定で Common LDAP Configuration を 指 定 す る と き に GroupObjectClass テ キ ス ト ボックスで指定した名前と同じものにする必要があります。
LDAP を設定する方法については、P.6-12 の「MAB をサポートするための外
部 LDAP データベースの設定」を参照してください。
uniqueMember この例の値は、uniqueMember です。1 つまたはそれ以上の uniqueMember エ ントリを使用して、1 つまたはそれ以上のデバイスタイプレコードを指定し ます。デバイス タイプ レコードは、指定された MAC アドレスを持つエー ジェントレス ホストを定義するために LDAP スキーマ内に設定されていま す。上のコード例で示した LDAP ユーザグループの objectClass フィールドに は、user00、user77a、および user88 が含まれています。
このフィールドに指定する LDAP スキーマ内の名前は、ACS での LDAP の設 定で Common LDAP Configuration を指定するときに Group Attribute Name テキ ストボックスに入力した値と同じものにする必要があります。
LDAP を設定する方法については、P.6-12 の「MAB をサポートするための外
部 LDAP データベースの設定」を参照してください。
第6章 エージェントレス ホスト サポートの設定のシナリオ エージェントレス ホスト サポートの基本的な設定手順
ACS での 1 つまたはそれ以上の LDAP データベース設定の作成
MAB をサポートするための LDAP データベースを 1 つまたはそれ以上設定した後は、その LDAP データベースに対して問い合せを実行するように ACS を設定します。
次の手順で使用する設定は、前の項(P.6-12 の「MAB をサポートするための外部 LDAP データベー スの設定」)で説明した LDAP スキーマに基づいています。実際の ACS 環境では、使用している ネットワーク用に設定したスキーマに基づいて ACS を設定してください。
ACS で LDAP 設定を作成するには、次の手順を実行します。
ステップ 1 ナビゲーション バーの External User Databases をクリックします。
External User Databases ページが開きます。
ステップ 2 Database Configuration をクリックします。
External User Database Configuration ページが開きます。
ステップ 3 Generic LDAP をクリックします。
Database Configuration Creation テーブルが表示されます。LDAP 設定が存在する場合は、External User Database Configuration テーブルも表示されます。
ステップ 4 次のいずれか 1 つを実行します。
• 既存の LDAP データベース設定がない場合は、Create New Configuration をクリックします。
• External User Database テーブルが表示された場合は、Configure をクリックします。
ステップ 5 新しい LDAP 設定を作成する場合は、LDAP 全般に使用する新しい設定の名前を入力し、Submit を クリックします。
ステップ 6 Configure をクリックします。
次の 4 つのセクションで構成された Generic LDAP Configuration ページが表示されます。
• Domain Filtering:オプション設定であるドメイン フィルタリングを設定する場合に使用しま
す。
• Common LDAP Configuration:このセクションでは、ACS が LDAP データベースに問い合せ るための設定情報を指定します。
• Primary LDAP Server:このセクションでは、プライマリ LDAP サーバを指定します。
• Secondary LDAP Server:LDAP フェールバックを設定する場合は、このセクションに値を設定 します。
ステップ 7 ドメインフィルタリングを設定する場合は、『User Guide for Cisco Secure Access Control Server 4.2』 の第 12 章にある「Configuring a Generic LDAP External User Database」の項を参照してください。
ステップ 8 一般的な LDAP 設定を指定します。
第6章 エージェントレス ホスト サポートの設定のシナリオ
エージェントレス ホスト サポートの基本的な設定手順
図6-6 Common LDAP Configuration セクション
次の値を指定する必要があります。
• User Directory Subtree:すべてのユーザを含むユーザ ディレクトリ サブツリーの認定者名
(DN)を入力します。MAB 設定の場合、ユーザは実際にはホスト デバイスです。
例 6-1 に 示 し た LDAP ス キ ー マ で は、ユ ー ザ デ ィ レ ク ト リ サ ブ ツ リ ー の DN は ou=MAC Addresses, ou=MAB Segment, o=mycorp です。
• Group Directory Subtree:LDAP スキーマで定義されたすべてのユーザ グループを保持する、
グループ ディレクトリ サブツリーの DN を入力します。MAB 設定の場合、ユーザ グループの メンバーは、実際には一連の MAC アドレスです。
例 6-1 に示した LDAP スキーマでは、グループ ディレクトリ サブツリーの DN は ou=MAC Groups, ou=MAB Segment, o=cisco です。
• UserObjectType:LDAP スキーマで定義されたユーザ オブジェクト タイプの名前を入力しま
す。例6-1 に示した LDAP スキーマでは、ユーザ オブジェクト タイプに macAddress が指定さ れています。
• UserObjectClass:ユーザを示すレコードであることを指定する LDAP objectType アトリビュー トの値。しばしば、ユーザ レコードの objectType アトリビュートには複数の値があり、ユー ザに固有のものや、他のオブジェクト タイプと共有されているものがあります。例6-1 に示し た LDAP スキーマでは、ユーザ オブジェクト クラスに ieee802Device が指定されています。
• GroupObjectType:グループ名を含むグループレコード内のアトリビュート名。例6-1 に示し
た LDAP スキーマでは、この値はcnです。
• GroupObjectClass:MAB 設定の場合は、LDAP スキーマ内に設定したデバイス レコードの名 前を指定します。たとえば、例6-1 の場合、グループ オブジェクト クラスは ieee802Deviceです。
• GroupAttributeName:MAB 設定の場合は、LDAP ユーザ グループを指定する LDAP アトリ ビュートの名前を指定します。たとえば、例6-1 の場合、LDAP ユーザグループの各メンバー
第6章 エージェントレス ホスト サポートの設定のシナリオ エージェントレス ホスト サポートの基本的な設定手順
− Failback Retry Delay:プライマリ LDAP サーバがユーザ認証に失敗してから、プライマリ
LDAP サーバへ先に認証要求を送信するのを ACS が再開するまでの経過時間(分単位)。0
(ゼロ)を入力すると、ACS は常にプライマリ LDAP サーバを先に使用します。
− Max. Admin Connections:特定の LDAP 設定に対して実行できる LDAP 管理者アカウント 権限での同時接続の最大数(0 以上)。これらの接続は、User Directory Subtree および Group
Directory Subtree の下にあるユーザおよびグループのディレクトリの検索に使用されます。
次に、LDAP サーバの設定情報を指定します。
図6-7 に、Primary LDAP Server および Secondary LDAP Server の設定セクションを示します。
図6-7 LDAP Server Configuration セクション
a. プライマリ LDAP サーバについて、次の値を指定します。
− Hostname:LDAP ソフトウェアを実行しているサーバの名前または IP アドレス。ネット
ワーク上で DNS を使用している場合、IP アドレスの代わりにホスト名を入力できます。
− Port:LDAP サーバが受信している TCP/IP ポート番号。デフォルトは、LDAP 仕様の記述
に従って 389 です。ポート番号が不明な場合は、LDAP サーバ上にそれらのプロパティを 表示することによって、ポート番号を取得できます。安全な認証を使用する場合、ポート 636 がデフォルトです。
− LDAP Version:ACS は、LDAP データベースとの通信に LDAP バージョン 3 とバージョン 2 のいずれかを使用します。このチェックボックスがオンの場合、ACS は LDAP バージョ