Comments
Description
Transcript
Cisco Secure ACS Solution Engine ユーザガイド
Cisco Secure ACS Solution Engine ユーザ ガイド Release 4.2 February 2008 Text Part Number: OL-14386-01-J 【注意】シスコ製品をご使用になる前に、安全上の注意 (www.cisco.com/jp/go/safety_warning/)をご確認ください。 本書は、米国シスコシステムズ発行ドキュメントの参考和訳です。 米国サイト掲載ドキュメントとの差異が生じる場合があるため、正式な内容について は米国サイトのドキュメントを参照ください。 また、契約等の記述については、弊社販売パートナー、または、弊社担当者にご確認 ください。 このマニュアルに記載されている仕様および製品に関する情報は、予告なしに変更されることがあります。このマニュアルに記載されている表現、情報、 および推奨事項は、すべて正確であると考えていますが、明示的であれ黙示的であれ、一切の保証の責任を負わないものとします。このマニュアルに記 載されている製品の使用は、すべてユーザ側の責任になります。 対象製品のソフトウェア ライセンスおよび限定保証は、製品に添付された『Information Packet』に記載されています。見当たらない場合には、代理店に ご連絡ください。 シスコが採用している TCP ヘッダー圧縮機能は、UNIX オペレーティング システムの UCB(University of California, Berkeley)パブリック ドメイン バー ジョンとして、UCB が開発したプログラムを最適化したものです。All rights reserved.Copyright © 1981, Regents of the University of California. ここに記載されている他のいかなる保証にもよらず、すべてのマニュアルおよび上記各社のソフトウェアは、障害も含めて「現状のまま」として提供さ れます。シスコおよび上記各社は、商品性や特定の目的への適合性、権利を侵害しないことに関する、または取り扱い、使用、または取り引きによって 発生する、明示されたまたは黙示された一切の保証の責任を負わないものとします。 いかなる場合においても、シスコおよびその代理店は、このマニュアルの使用またはこのマニュアルを使用できないことによって起こる制約、利益の損 失、データの損傷など間接的で偶発的に起こる特殊な損害のあらゆる可能性がシスコまたは代理店に知らされていても、それらに対する責任を一切負い かねます。 CCDE, CCENT, Cisco Eos, Cisco Lumin, Cisco StadiumVision, the Cisco logo, DCE, and Welcome to the Human Network are trademarks; Changing the Way We Work, Live, Play, and Learn is a service mark; and Access Registrar, Aironet, AsyncOS, Bringing the Meeting To You, Catalyst, CCDA, CCDP, CCIE, CCIP, CCNA, CCNP, CCSP, CCVP, Cisco, the Cisco Certified Internetwork Expert logo, Cisco IOS, Cisco Press, Cisco Systems, Cisco Systems Capital, the Cisco Systems logo, Cisco Unity, Collaboration Without Limitation, EtherFast, EtherSwitch, Event Center, Fast Step, Follow Me Browsing, FormShare, GigaDrive, HomeLink, Internet Quotient, IOS, iPhone, iQ Expertise, the iQ logo, iQ Net Readiness Scorecard, iQuick Study, IronPort, the IronPort logo, LightStream, Linksys, MediaTone, MeetingPlace, MGX, Networkers, Networking Academy, Network Registrar, PCNow, PIX, PowerPanels, ProConnect, ScriptShare, SenderBase, SMARTnet, Spectrum Expert, StackWise, The Fastest Way to Increase Your Internet Quotient, TransPath, WebEx, and the WebEx logo are registered trademarks of Cisco Systems, Inc. and/or its affiliates in the United States and certain other countries. All other trademarks mentioned in this document or Website are the property of their respective owners.The use of the word partner does not imply a partnership relationship between Cisco and any other company.(0804R) Cisco Secure ACS Solution Engine ユーザ ガイド Copyright © 2003-2008 Cisco Systems, Inc. All rights reserved. Copyright © 2008, シスコシステムズ合同会社 . All rights reserved. CONTENTS このマニュアルについて xxvii 対象読者 xxvii マニュアルの構成 xxvii 表記法 xxix 製品マニュアル xxx 関連マニュアル xxxii 技術情報の入手方法およびサービス リクエストの発行 xxxii 通知事項 xxxiii OpenSSL および Open SSL Project xxxiii ライセンスの問題 xxxiii CHAPTER 1 概要 1-1 ACS の概要 1-2 ネットワーク アドミッション コントロール(NAC) 1-3 Identity-Based Networking Services(IBNS) 1-3 ACS の機能と概念 1-4 AAA サーバとしての ACS 1-4 AAA プロトコル:TACACS+ と RADIUS 1-4 TACACS+ 1-5 RADIUS 1-5 プラットフォーム 1-6 このリリースの追加機能 1-6 認証 1-7 認証方法の検討 1-8 認証とユーザ データベース 1-8 認証プロトコルとデータベースの互換性 1-8 パスワード 1-9 EAP のサポート 1-11 認証に関連するその他の機能 1-13 認可 1-13 最大セッション数 1-14 ダイナミックな使用割当量 1-14 共有プロファイル コンポーネント 1-15 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J iii Contents Cisco デバイス管理アプリケーションのサポート 1-15 認可に関連するその他の機能 1-16 アカウンティング 1-16 アカウンティングに関連するその他の機能 1-17 ACS の管理 1-18 Web インターフェイスのセキュリティ 1-18 Cisco Security Agent の統合(ACS SE のみ) 1-18 Cisco Security Agent のサービス管理 1-19 Cisco Security Agent のロギング 1-19 Cisco Security Agent の制限 1-19 Cisco Security Agent のポリシー 1-20 管理セッション用の HTTP ポートの割り当て 1-20 Web インターフェイスのレイアウト 1-21 Web インターフェイス用の URL 1-22 オンライン ヘルプとオンライン マニュアル 1-23 オンライン ヘルプの使用方法 1-23 オンライン ユーザ ガイドの使用方法 1-23 ACS の仕様 1-24 システム パフォーマンス仕様 1-24 ACS Windows サービス 1-25 オンライン マニュアル リファレンス 1-26 関連マニュアル 1-27 TACACS+ 関連マニュアル 1-27 ネットワーク アドミッション コントロール(NAC)関連マニュアル 1-27 Requests for Comments(RFC) 1-27 テクノロジーに関するホワイト ペーパー 1-27 質問と回答のページ 1-28 チュートリアル 1-28 ソフトウェアのダウンロード 1-28 CHAPTER 2 Web インターフェイスの使用方法 2-1 管理セッション 2-2 管理セッションと HTTP プロキシ 2-2 ファイアウォールを通した管理セッション 2-2 NAT ゲートウェイを通した管理セッション 2-3 Web インターフェイスへのアクセス 2-3 Web インターフェイスからのログオフ 2-4 ユーザ アクセスの設定 2-5 ユーザとグループの関係 2-5 Cisco Secure ACS Solution Engine ユーザ ガイド iv OL-14386-01-J Contents ネットワーク アクセス プロファイル(NAP) 2-5 ユーザごとの機能またはグループごとの機能 2-5 ユーザ データのカスタマイズ 2-6 高度なオプションの表示 2-7 TACACS+ 設定オプションの表示 2-8 RADIUS 設定オプションの表示 2-9 RADIUS(IETF)オプションの表示の指定 2-10 RADIUS(ベンダー固有)オプションの表示の指定 2-11 Interface Configuration リファレンス 2-13 Configure User Defined Fields ページ 2-13 TACACS+ Services 領域 2-14 高度な設定オプション(TACACS+ 用) 2-15 RADIUS プロトコル 2-16 高度なオプション(Interface Configuration 用) 2-18 CHAPTER 3 ネットワーク設定 3-1 ネットワーク構成について 3-2 分散システムにおける ACS について 3-3 分散システムにおける AAA サーバ 3-3 分散システムのデフォルト設定 3-3 分散システムにおけるプロキシ 3-4 プロキシ機能 3-4 例 3-4 Proxy Distribution Table 3-5 接続障害発生時のフォールバック 3-5 文字列 3-5 ストリッピング 3-6 アカウンティング パケットのリモート使用 3-6 分散システムによって使用可能になるその他の機能 3-7 ネットワーク デバイスの検索 3-8 ネットワーク デバイスの検索基準 3-8 ネットワーク デバイスの検索 3-8 AAA クライアントの設定 3-10 AAA クライアントの設定オプション 3-10 AAA クライアントの追加 3-14 AAA クライアントの編集 3-15 デフォルトの AAA クライアントの設定 3-16 AAA クライアントの削除 3-16 AAA サーバの設定 3-18 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J v Contents AAA サーバの設定オプション 3-18 AAA サーバの追加 3-20 AAA サーバの編集 3-21 AAA サーバの削除 3-22 リモート エージェントの設定(ACS SE のみ) 3-23 リモート エージェントについて 3-23 リモート エージェントの設定オプション 3-23 リモート エージェントの追加 3-24 リモート エージェントの設定の編集 3-26 リモート エージェントの設定の削除 3-27 ネットワーク デバイス グループの設定 3-28 ネットワーク デバイス グループの追加 3-28 未割り当ての AAA クライアントまたは AAA サーバの NDG への割り当て 3-30 AAA クライアントまたは AAA サーバの NDG への再割り当て 3-30 ネットワーク デバイス グループの編集 3-31 ネットワーク デバイス グループの削除 3-32 Proxy Distribution Table の設定 3-33 Proxy Distribution Table について 3-33 新しい Proxy Distribution Table エントリの追加 3-33 分散エントリの文字列照合順のソート 3-35 Proxy Distribution Table エントリの編集 3-35 Proxy Distribution Table エントリの削除 3-36 CHAPTER 4 共有プロファイル コンポーネント 4-1 共有プロファイル コンポーネントについて 4-2 802.1X のセットアップ例 4-2 ネットワーク アクセス フィルタ 4-4 ネットワーク アクセス フィルタについて 4-4 ネットワーク アクセス フィルタの追加 4-5 ネットワーク アクセス フィルタの編集 4-6 ネットワーク アクセス フィルタの削除 4-8 RADIUS 認可コンポーネント 4-9 RADIUS 認可コンポーネントについて 4-9 RAC および NAP について 4-9 ベンダー 4-10 アトリビュート タイプ 4-10 RADIUS 認可コンポーネントの使用を始める前に 4-11 RAC の使用のイネーブル化 4-11 Cisco Secure ACS Solution Engine ユーザ ガイド vi OL-14386-01-J Contents RADIUS 認可コンポーネントの追加 4-12 RADIUS 認可コンポーネントのクローニング 4-13 RADIUS 認可コンポーネントの編集 4-13 RADIUS 認可コンポーネントの削除 4-14 ダウンロード可能 IP ACL 4-17 ダウンロード可能 IP ACL について 4-17 ダウンロード可能 IP ACL の追加 4-19 ダウンロード可能 IP ACL の編集 4-21 ダウンロード可能 IP ACL の削除 4-22 ネットワーク アクセス制限 4-23 ネットワーク アクセス制限について 4-23 IP ベースの NAR フィルタについて 4-24 非 IP ベースの NAR フィルタについて 4-25 共有 NAR の追加 4-26 共有 NAR の編集 4-28 共有 NAR の削除 4-30 コマンド認可セット 4-31 コマンド認可セットについて 4-31 コマンド認可セットの説明 4-31 コマンド認可セットの割り当て 4-32 大文字小文字の区別とコマンド認可 4-33 引数とコマンド認可 4-33 パターン マッチングについて 4-34 コマンド認可セットの追加 4-34 コマンド認可セットの編集 4-36 コマンド認可セットの削除 4-37 CHAPTER 5 ユーザ グループ管理 5-1 ユーザ グループ セットアップの特長と機能 5-2 Default Group 5-2 グループ TACACS+ の設定 5-2 グループ RADIUS の設定 5-3 基本ユーザ グループの設定 5-4 グループの無効化 5-4 VoIP サポートをユーザ グループに対してイネーブルにする 5-5 デフォルトの時間帯アクセスをユーザ グループに対して設定する 5-6 コールバック オプションをユーザ グループに対して設定する 5-7 ネットワーク アクセス制限をユーザ グループに対して設定する 5-8 最大セッションをユーザ グループに対して設定する 5-11 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J vii Contents 使用割当量をユーザ グループに対して設定する 5-12 設定固有のユーザ グループ設定値 5-15 イネーブル特権オプションをユーザ グループに対して設定する 5-16 トークン カードをユーザ グループに対して設定する 5-17 ACS 内部データベースのパスワード エージングをイネーブルにする 5-18 ACS がサポートする多様なパスワード エージング 5-19 パスワード エージング機能の設定 5-20 パスワード エージングを Windows データベースのユーザに対してイネーブ ルにする 5-23 IP アドレス割り当て方式をユーザ グループに対して設定する 5-24 ダウンロード可能 IP ACL をグループに割り当てる 5-25 TACACS+ をユーザ グループに対して設定する 5-26 シェル コマンド認可セットをユーザ グループに対して設定する 5-28 PIX コマンド認可セットをユーザ グループに対して設定する 5-29 デバイス管理コマンド認可をユーザ グループに対して設定する 5-31 IETF RADIUS をユーザ グループに対して設定する 5-32 Cisco IOS/PIX 6.0 RADIUS をユーザ グループに対して設定する 5-33 高度な設定オプション 5-34 Cisco Airespace RADIUS をユーザ グループに対して設定する 5-34 Cisco Aironet RADIUS をユーザ グループに対して設定する 5-36 Ascend RADIUS をユーザ グループに対して設定する 5-37 VPN 3000/ASA/PIX v7.x+ RADIUS をユーザ グループに対して設定する 5-38 Cisco VPN 5000 Concentrator RADIUS をユーザ グループに対して設定する 5-40 Microsoft RADIUS をユーザ グループに対して設定する 5-41 Nortel RADIUS をユーザ グループに対して設定する 5-42 Juniper RADIUS をユーザ グループに対して設定する 5-43 3COMUSR RADIUS をユーザ グループに対して設定する 5-44 BBSM RADIUS をユーザ グループに対して設定する 5-46 カスタム RADIUS VSA をユーザ グループに対して設定する 5-47 グループ設定の管理 5-48 ユーザ グループ内のユーザのリスト表示 5-48 ユーザ グループの使用割当量カウンタのリセット 5-48 ユーザ グループの名前の変更 5-49 ユーザ グループ設定に対する変更の保存 5-49 CHAPTER 6 ユーザ管理 6-1 User Setup の機能について 6-2 ユーザ データベースについて 6-3 Cisco Secure ACS Solution Engine ユーザ ガイド viii OL-14386-01-J Contents 基本ユーザ設定オプション 6-4 基本ユーザ アカウントの追加 6-4 Supplementary User Information の設定 6-6 個別の CHAP/MS-CHAP/ARAP パスワードの設定 6-6 ユーザをグループに割り当てる 6-7 ユーザ コールバック オプションの設定 6-8 ユーザをクライアント IP アドレスに割り当てる 6-9 ネットワーク アクセス制限をユーザに対して設定する 6-10 最大セッション オプションをユーザに対して設定する 6-13 User Usage Quotas に設定するオプション 6-14 ユーザ アカウントの無効化オプションの設定 6-16 期限付きの代替グループの割り当て 6-17 ダウンロード可能 IP ACL をユーザに割り当てる 6-17 拡張ユーザ認証設定 6-19 TACACS+ 設定(ユーザ) 6-19 TACACS+ をユーザに対して設定する 6-20 シェル コマンド認可セットをユーザに対して設定する 6-21 PIX コマンド認可セットをユーザに対して設定する 6-23 デバイス管理コマンド認可をユーザに対して設定する 6-24 未知のサービスをユーザに対して設定する 6-26 高度な TACACS+ をユーザに対して設定する 6-26 Enable Privilege オプションをユーザに対して設定する 6-26 TACACS+ Enable Password オプションをユーザに対して設定する 6-28 TACACS+ 発信パスワードをユーザに対して設定する 6-29 RADIUS アトリビュート 6-29 IETF RADIUS パラメータをユーザに対して設定する 6-30 Cisco IOS/PIX 6.0 RADIUS パラメータをユーザに対して設定する 6-31 Cisco Airespace RADIUS パラメータをユーザに対して設定する 6-32 Cisco Aironet RADIUS パラメータをユーザに対して設定する 6-33 Ascend RADIUS パラメータをユーザに対して設定する 6-34 Cisco VPN 3000/ASA/PIX 7.x+ RADIUS パラメータをユーザに対して設定 する 6-36 Cisco VPN 5000 Concentrator RADIUS パラメータをユーザに対して設定 する 6-37 Microsoft RADIUS パラメータをユーザに対して設定する 6-38 Nortel RADIUS パラメータをユーザに対して設定する 6-40 Juniper RADIUS パラメータをユーザに対して設定する 6-41 3COMUSR RADIUS パラメータをユーザに対して設定する 6-42 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J ix Contents BBSM RADIUS パラメータをユーザに対して設定する 6-43 カスタム RADIUS アトリビュートをユーザに対して設定する 6-44 ユーザ管理 6-45 全ユーザのリスト表示 6-45 ユーザの検索 6-45 ユーザ アカウントの無効化 6-46 ユーザ アカウントの削除 6-47 ユーザ セッション割当量カウンタのリセット 6-48 ログイン失敗後のユーザ アカウントのリセット 6-48 ダイナミック ユーザの削除 6-49 ユーザ設定の保存 6-50 CHAPTER 7 システム設定:基本 7-1 サービス制御 7-2 ACS サービスのステータスの判断 7-2 サービスの停止、開始、再起動 7-2 サービス ログ ファイルのパラメータの設定 7-3 ロギング 7-3 日付形式と時刻形式の制御 7-4 日付形式と時刻形式の設定 7-4 ローカル パスワードの管理 7-5 TACACS+ を使用するデバイスからのユーザ パスワードの変更 7-6 ローカル パスワード管理の設定 7-7 新規パスワードの生成間隔の設定(ACS for Windows のみ) 7-8 ACS バックアップ 7-10 ACS バックアップについて 7-10 バックアップ ファイルの場所(ACS for Windows のみ) 7-11 ディレクトリ管理(ACS for Windows のみ) 7-11 バックアップされるコンポーネント 7-11 ACS バックアップのレポート 7-12 バックアップ オプション 7-12 手動による ACS バックアップの実行 7-13 ACS バックアップのスケジューリング 7-14 ACS バックアップのスケジューリングのディセーブル化 7-16 ACS システムの復元 7-17 ACS システムの復元について 7-17 バックアップ ファイルの名前と格納場所 7-17 復元されるコンポーネント 7-18 ACS 復元のレポート 7-19 Cisco Secure ACS Solution Engine ユーザ ガイド x OL-14386-01-J Contents バックアップ ファイルからの ACS の復元 7-19 ACS アクティブ サービス管理 7-22 システム モニタリング 7-22 システム モニタリング オプション 7-22 システム モニタリングのセットアップ 7-23 イベント ロギング 7-24 イベント ロギングのセットアップ 7-24 VoIP アカウンティングの設定 7-25 VoIP アカウンティングの設定 7-25 アプライアンスの設定 (ACS SE のみ) 7-26 CSAgent のイネーブル化またはディセーブル化 7-26 SNMP サポートの設定 7-27 システムの日時の設定 7-28 ACS のホスト名とドメイン名の設定 7-29 Support ページ 7-30 サポートの実行 7-30 システム情報のモニタリング 7-31 診断ログの表示またはダウンロード (ACS SE のみ) 7-32 アプライアンスのアップグレード機能(ACS SE のみ) 7-33 アプライアンスのアップグレードとパッチについて 7-33 配布サーバの要件 7-34 アプライアンスのアップグレード 7-35 アップグレード パッケージのアプライアンスへの転送 7-36 アップグレードのアプライアンスへの適用 7-39 CHAPTER 8 システム設定:高度 8-1 ACS 内部データベースの複製 8-2 ACS 内部データベース複製について 8-2 複製プロセス 8-3 複製の頻度 8-5 実装上で重要な検討事項 8-6 データベース複製とバックアップの比較 8-7 データベース複製のロギング 8-7 複製オプション 8-8 複製コンポーネント オプション 8-8 Outbound Replication オプション 8-10 Inbound Replication オプション 8-11 ACS のプライマリ複製セットアップとセカンダリ複製セットアップの実装 8-11 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J xi Contents セカンダリ ACS の設定 8-12 即時複製 8-14 複製のスケジューリング 8-15 ACS データベース複製のディセーブル化 8-17 自動パスワード変更複製の設定 8-18 データベース複製イベントのエラー 8-18 RDBMS 同期化 8-19 RDBMS 同期化について 8-19 RDBMS 同期化の呼び出し 8-20 ACS SE の RDBMS の設定 8-21 ACS for Windows の RDBMS 同期化の設定 8-21 RDBMS 同期化機能 8-22 RDBMS 同期化のユーザ関連のアクション 8-22 RDBMS 同期化のユーザ グループ関連のアクション 8-23 ユーザおよびユーザ グループの dACL の作成、アップデート、および削 除 8-23 ネットワーク設定 8-24 AAA クライアントのアクションの作成、読み取り、アップデート、およ び削除 8-25 dACL アトリビュートの作成、読み取り、アップデート、および削除 8-26 カスタム RADIUS ベンダーと VSA 8-29 RDBMS 同期化のコンポーネント 8-29 CSDBSync について 8-29 accountActions テーブルについて(ACS for Windows) 8-31 accountActions ファイルについて(ACS SE) 8-32 accountActions テーブルを使用する ACS データベースの復旧 8-32 レポートとイベント(エラー)の処理 8-33 RDBMS 同期化の使用準備 8-33 RDBMS 同期化のシステム DSN の設定(ACS for Windows) 8-34 RDBMS 同期化のオプション 8-35 RDBMS セットアップ オプション 8-36 Windows の accountActions ファイル用の RDBMS 同期化のセットアップ 8-36 SE の RDBMS 同期化の FTP セットアップ オプション 8-36 RDBMS 同期化のスクリプト可能なインターフェイス 8-36 同期化スケジューリング オプション 8-37 同期化パートナー オプション 8-37 RDBMS 同期化の実行 8-37 RDBMS 同期化のスケジューリング 8-39 Cisco Secure ACS Solution Engine ユーザ ガイド xii OL-14386-01-J Contents スケジューリング済み RDBMS 同期化のディセーブル化 8-40 RDBMS 同期化障害コード 8-41 IP プール サーバ 8-42 IP プール サーバについて 8-42 重複 IP プールの許可または固有プール アドレス範囲の強制 8-43 AAA Server IP Pools テーブルの更新 8-44 新しい IP プールの追加 8-44 IP プール定義の編集 8-45 IP プールのリセット 8-46 IP プールの削除 8-47 IP プール アドレスの復旧 8-48 IP プール アドレス復旧のイネーブル化 8-48 NAC Attribute Management(ACS SE のみ) 8-49 ポスチャ確認アトリビュート定義ファイル 8-49 アトリビュートの追加 8-52 アトリビュートの削除 8-53 アトリビュートのエクスポート(ダンプ) 8-56 デフォルトのポスチャ確認アトリビュート定義ファイル 8-57 CHAPTER 9 システム設定:認証と証明書 9-1 認証と EAP プロトコルについて 9-2 デジタル証明書 9-2 EAP-TLS 認証 9-2 EAP-TLS プロトコルについて 9-3 EAP-TLS と ACS 9-3 EAP-TLS での制限事項 9-5 EAP-TLS 認証のイネーブル化 9-5 NAC/NAP 環境での EAP-TLS および ACS 9-6 PEAP 認証 9-7 PEAP プロトコルについて 9-7 PEAP と ACS 9-8 PEAP と未知ユーザ ポリシー 9-9 PEAP 認証のイネーブル化 9-10 EAP-FAST 認証 9-10 EAP-FAST について 9-11 マスター キーについて 9-12 PAC について 9-14 プロビジョニング モード 9-14 PAC のタイプ 9-15 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J xiii Contents 匿名の TLS 再ネゴシエーション用の EAP-FAST 9-18 PAC Free EAP-FAST 9-18 EAP-FAST PKI 認可バイパス 9-18 マスター キーと PAC TTL 9-19 複製と EAP-FAST 9-19 EAP-FAST のイネーブル化 9-21 ステートレスなサーバ セッション再開 9-22 グローバル認証のセットアップ 9-24 認証オプションの設定 9-24 ACS 証明書のセットアップ 9-26 ACS サーバ証明書のインストール 9-26 認証局証明書の追加 9-30 証明書信頼リストの編集 9-32 証明書信頼リストからの証明書の削除 9-33 証明書失効リストの管理 9-33 証明書失効リストについて 9-34 証明書失効リストの設定オプション 9-34 証明書失効リスト発行元の編集 9-36 証明書署名要求の生成 9-36 自己署名証明書の使用 9-38 自己署名証明書について 9-38 自己署名証明書の設定オプション 9-39 自己署名証明書の生成 9-40 ACS 証明書のアップデートまたは置換 9-41 EAP-FAST PAC ファイルの生成(ACS SE) 9-42 PAC ファイルの生成オプション 9-42 PAC ファイルの生成 9-44 Advanced System Configuration ページ リファレンス 9-47 Global Authentication Setup ページ 9-47 EAP-FAST Configuration ページ 9-51 CHAPTER 10 ログとレポート 10-1 ACS ログとレポートについて 10-2 AAA 関連ログ 10-2 ACS 監査ログ 10-5 ACS ロギングの形式とターゲット 10-6 CSV ロガー 10-6 syslog ロガー 10-7 ODBC ロガー(ACS for Windows のみ) 10-9 Cisco Secure ACS Solution Engine ユーザ ガイド xiv OL-14386-01-J Contents ACS for Windows のリモート ロギング 10-10 ACS リモート エージェントによる ACS SE のリモート ロギング 10-11 ダイナミック管理レポート 10-12 エンタイトルメント レポート 10-12 サービス ログ 10-13 CSAuth 診断ログへのセッション ID の追加 10-14 CSAuth 診断ログのエラー コードの説明 10-15 ACS ログの設定 10-23 クリティカル ロガーの設定 10-23 CSV ログの設定 10-24 syslog ロギングの設定 10-25 ODBC ログの設定(ACS for Windows のみ) 10-25 リモート ロギングの設定とイネーブル化(ACS for Windows のみ) 10-26 リモート ロギング サーバの設定 10-27 ACS のリモート ロガーへのデータ送信設定 10-28 リモート エージェントへのロギングの設定(ACS SE のみ) 10-28 ACS SE のリモート エージェントへのデータ送信設定 10-29 設定プロバイダーでのリモート エージェント ログの設定 10-30 サービス ログの設定 10-30 カスタマー サポートへのサービス ログの提供 10-31 レポートの表示とダウンロード 10-33 CSV レポートの表示とダウンロード 10-33 CSV ログ ファイルの名前 10-33 CSV レポートの表示 10-34 CSV レポートのダウンロード 10-35 ダイナミック管理レポートの表示 10-36 Logged-in Users レポートの表示 10-36 Disabled Accounts レポートの表示 10-38 Appliance Status レポートの表示 10-38 エンタイトルメント レポートの表示とダウンロード 10-39 アカウンティング ログでのアップデート パケット 10-40 Logging Configuration ページのリファレンス 10-41 Logging Configuration ページ 10-41 Critical Loggers Configuration ページ 10-41 Remote Logging Setup ページ 10-42 Remote Agents Reports Configuration ページ(ACS SE のみ) 10-43 CSV log File Configuration ページ 10-43 Syslog log Configuration ページ 10-44 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J xv Contents ODBC log Configuration ページ(ACS for Windows のみ) 10-45 Service Control ページのリファレンス 10-47 Reports ページのリファレンス 10-48 監査ログのアトリビュート 10-50 CHAPTER 11 管理者と管理ポリシー 11-1 管理者アカウント 11-2 管理者アカウントについて 11-2 特権 11-2 Administration Control 特権 11-2 ポリシーの影響 11-3 グループ アクセス特権 11-3 パスワードの失効とアカウントのロックアウト 11-4 適合認定のサポート 11-5 ログイン 11-7 アカウントの追加、編集、および削除 11-8 アカウントの追加または編集 11-8 アカウントの削除 11-10 ポリシー オプションの設定 11-11 アクセス ポリシーの設定 11-11 セッション ポリシーの設定 11-12 パスワード ポリシーの設定 11-12 Administration Control ページのリファレンス 11-13 Administration Control ページ 11-13 Add Administrator ページと Edit Administrator ページ 11-14 Administrator Password Policy ページ 11-20 Access Policy Setup ページ 11-22 Session Policy Setup ページ 11-24 CHAPTER 12 ユーザ データベース 12-1 ACS 内部データベース 12-2 ACS 内部データベースについて 12-2 ユーザのインポートおよび作成 12-2 外部ユーザ データベースについて 12-3 外部ユーザ データベースを使用した認証 12-4 外部ユーザ データベースを使用した認証プロセス 12-5 Windows ユーザ データベース 12-6 Windows ユーザ データベース サポート 12-6 Windows ユーザ データベースを使用した認証 12-7 Cisco Secure ACS Solution Engine ユーザ ガイド xvi OL-14386-01-J Contents 信頼関係 12-7 Windows ダイヤルアップ ネットワーキング クライアント 12-8 Domain フィールドを持つ Windows ダイヤルアップ ネットワーキング ク ライアント 12-8 Domain フィールドを持たない Windows ダイヤルアップ ネットワーキン グ クライアント 12-8 ユーザ名と Windows 認証 12-8 ユーザ名フォーマットと Windows 認証 12-9 ドメイン修飾されていないユーザ名 12-9 ドメイン修飾されたユーザ名 12-10 UPN ユーザ名 12-11 EAP および Windows 認証 12-11 マシン認証 12-11 Machine Access Restrictions 12-13 Microsoft Windows とマシン認証 12-15 マシン認証のイネーブル化 12-16 Windows ユーザ データベースを使用した、ユーザによる変更が可能なパス ワード 12-18 Windows を使用したユーザ認証の準備 12-19 Remote Agents for Windows 認証の選択 (Solution Engine のみ) 12-19 Windows ユーザ データベース設定オプション 12-20 Windows 外部ユーザ データベースの設定 12-24 マルチフォレスト環境でのマシン認証のサポート 12-25 汎用 LDAP 12-26 汎用 LDAP ユーザ データベースを使用した ACS の認証プロセス 12-26 複数の LDAP インスタンス 12-26 LDAP の組織ユニットとグループ 12-27 ドメイン フィルタリング 12-27 LDAP フェールオーバー 12-28 プライマリ LDAP サーバによる以前の認証が成功した場合 12-28 プライマリ LDAP サーバによる以前の認証が失敗した場合 12-29 LDAP 管理者ログイン接続管理 12-29 認定者名のキャッシング 12-29 LDAP 設定オプション 12-29 汎用 LDAP 外部ユーザ データベースの設定 12-34 ODBC データベース(ACS for Windows のみ) 12-39 ODBC ユーザ データベースでサポートされている機能 12-40 ODBC 外部ユーザ データベースを使用した ACS の認証プロセス 12-40 ODBC 準拠リレーショナル データベースを使用したユーザ認証の準備 12-41 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J xvii Contents ODBC 認証のためのストアド プロシージャの実装 12-41 タイプの定義 12-42 Microsoft SQL Server およびパスワードの大文字と小文字の区別 12-43 PAP 認証 SQL プロシージャを作成するためのサンプル ルーチン 12-43 SQL CHAP 認証プロシージャを作成するためのサンプル ルーチン 12-44 EAP-TLS 認証プロシージャを作成するためのルーチン例 12-44 PAP 認証プロシージャの入力値 12-44 PAP プロシージャの出力値 12-45 CHAP/MS-CHAP/ARAP 認証プロシージャの入力値 12-45 CHAP/MS-CHAP/ARAP プロシージャの出力値 12-46 EAP-TLS 認証プロシージャの入力値 12-46 EAP-TLS プロシージャの出力値 12-47 結果コード 12-47 ODBC 外部ユーザ データベース用のシステム データ ソース名の設定 12-48 ODBC 外部ユーザ データベースの設定 12-49 証明書データベースのダウンロード(Solution Engine のみ) 12-52 LEAP Proxy RADIUS Server データベース(プラットフォーム共通) 12-54 LEAP Proxy RADIUS Server 外部ユーザ データベースの設定 12-54 トークン サーバ ユーザ データベース 12-56 トークン サーバと ACS について 12-56 トークン サーバと ISDN 12-57 RADIUS 対応トークン サーバ 12-57 RADIUS 対応トークン サーバについて 12-57 トークン サーバの RADIUS 認証要求と応答の内容 12-57 RADIUS トークン サーバの外部ユーザ データベースの設定 12-58 RSA トークン カード クライアント ソフトウェアの使用 12-60 LDAP グループ マッピングによる RSA 認証 12-62 外部ユーザ データベース設定の削除 12-65 CHAPTER 13 ポスチャ確認 13-1 ポスチャ確認とは 13-1 ネットワーク アクセス コントロールでのポスチャ確認 13-2 ポスチャ確認とネットワーク アクセス プロファイル 13-3 ポスチャ トークン 13-4 ポスチャ確認プロセス 13-5 ポリシーの概要 13-6 ポスチャのクレデンシャルとアトリビュートについて 13-6 拡張アトリビュート 13-7 Cisco Secure ACS Solution Engine ユーザ ガイド xviii OL-14386-01-J Contents ポスチャ確認アトリビュートのデータ タイプ 13-7 内部ポリシー 13-9 内部ポリシーについて 13-9 規則、規則要素、およびアトリビュートについて 13-9 外部ポリシー 13-10 外部ポスチャ確認監査サーバ 13-11 外部監査サーバについて 13-11 外部監査を呼び出す仕組み 13-12 免除リストのサポート 13-12 デバイス タイプの監査 13-12 ポリシーの構成 13-13 ユーザ グループとデバイス タイプ 13-13 グループの割り当て 13-13 グループ マッピングの規則 13-14 ネットワーク アクセス コントロールのレイヤ 2 監査 13-14 ACS での NAC の設定 13-15 NAC および NAP 環境の ACS の設定 13-17 ポリシーの設定 13-18 ポスチャ確認オプション 13-18 ポスチャ確認ポリシーの設定 13-19 内部ポリシーの作成 13-19 ポリシーの編集 13-22 ポリシーまたはポリシー規則のクローニング 13-23 ポリシーの名前の変更 13-24 ポリシーまたは規則の削除 13-24 条件コンポーネントまたは条件セットの削除 13-25 外部ポリシー サーバの設定 13-25 外部ポスチャ確認サーバの編集 13-26 外部ポスチャ確認サーバの削除 13-27 外部 AAA サーバの設定 13-27 外部ポスチャ AAA サーバの編集 13-28 外部ポスチャ AAA サーバの削除 13-29 外部ポスチャ確認監査サーバの設定 13-29 外部ポスチャ確認監査サーバの追加 13-30 外部ポスチャ確認監査サーバの編集 13-31 外部ポスチャ確認監査サーバの削除 13-32 MAC 認証バイパスを使用した監査処理 13-32 ワークフロー 13-32 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J xix Contents 処理 13-32 ポリシーの設定 13-33 Posture Validation ページのリファレンス 13-35 Posture Validation Components Setup ページ 13-35 Internal Posture Validation Setup ページ 13-35 Posture Validation Policies ページ 13-35 Posture Validation Policy ページ 13-36 Posture Validation Rules for <policy_name> ページ 13-36 Posture Validation Rule - <policy_name> ページ 13-37 Add/Edit Condition ページ 13-37 External Posture Validation Setup ページ 13-38 External Posture Validation Servers ページ 13-38 Add/Edit External Posture Validation Server ページ 13-38 External Posture Validation Audit Setup ページ 13-41 External Posture Validation Audit Server ページ 13-42 External Posture Validation Audit Server Setup ページ 13-42 CHAPTER 14 ネットワーク アクセス プロファイル 14-1 NAP の概要 14-2 アクセス要求の分類 14-2 NAF 14-3 プロトコル タイプ 14-3 高度なフィルタリング 14-3 プロファイルベースのポリシー 14-3 NAP とプロファイルベース ポリシーの設定ワークフロー 14-4 一致しないユーザ要求の処理 14-4 NAP の管理 14-5 プロファイルの追加 14-5 プロファイルの順序変更 14-6 プロファイルの編集 14-6 プロファイルのクローニング 14-7 プロファイルの削除 14-8 プロファイル テンプレートの使用 14-9 プロファイル テンプレートを使用する際の前提条件 14-9 プロファイル テンプレートによるプロファイルの作成 14-10 プロファイル テンプレート 14-10 NAC L3 IP 14-11 NAC L2 IP 14-13 NAC レイヤ 2 802.1x 14-16 Cisco Secure ACS Solution Engine ユーザ ガイド xx OL-14386-01-J Contents Microsoft IEEE 802.1x 14-18 無線(NAC L2 802.1x) 14-18 Agentless Host for L2(802.1x フォールバック) 14-18 Agentless Host for L3 14-19 Agentless Host for L2 and L3 14-20 プロファイル用ポリシーの設定 14-23 NAP のプロトコル設定 14-23 認証プロトコル 14-23 エージェントレス要求処理 14-24 NAP の EAP 設定 14-25 ポスチャ確認による EAP-FAST 14-26 RADIUS キー ラップありの EAP 認証 14-26 プロトコルの設定 14-26 NAP の認証ポリシー設定 14-27 クレデンシャル確認データベース 14-28 NAP レベルでのグループのフィルタリング 14-28 EAP-TLS 認証のオブジェクト ID チェック 14-28 認証ポリシーの設定 14-29 NAP のポスチャ確認ポリシー設定 14-29 ポスチャ確認規則について 14-30 ポスチャ確認ポリシーの設定 14-32 ポスチャ確認規則の削除 14-33 正常性ステートメントを処理するポスチャ確認ポリシーの設定 14-33 正常性ステートメントのポスチャ確認規則の削除 14-35 エージェントレス ホストに対するポスチャ確認の設定 14-35 NAP の認可ポリシーの設定 14-36 認可規則について 14-36 認可規則の設定 14-38 デフォルト認可規則の設定 14-39 認可規則の順序変更 14-40 認可規則の削除 14-40 プロファイルのトラブルシューティング 14-41 ポリシーの複製およびバックアップ 14-41 Network Access Profiles ページのリファレンス 14-42 Network Access Profiles ページ 14-42 Profile Setup ページ 14-43 Create Profile from Template ページ 14-45 Protocols Settings for profile_name ページ 14-45 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J xxi Contents Authentication for profile_name ページ 14-48 Posture Validation ページ 14-50 Posture Validation Rule for profile_name ページ 14-50 Select External Posture Validation Audit for Profile_name ページ 14-51 Authorization Rules for profile_name ページ 14-52 CHAPTER 15 未知ユーザ ポリシー 15-1 既知ユーザ、未知ユーザ、および検出ユーザ 15-2 認証と未知ユーザ 15-3 未知ユーザ認証について 15-3 未知ユーザの一般的な認証 15-3 未知ユーザの Windows 認証 15-4 ドメイン修飾された未知 Windows ユーザ 15-4 ドメイン修飾を使用した Windows 認証 15-5 複数ユーザ アカウントの作成 15-5 未知ユーザ認証のパフォーマンス 15-6 認証待ち時間の追加 15-6 AAA クライアントの認証タイムアウト値 15-6 未知ユーザの認可 15-6 未知ユーザ ポリシーのオプション 15-7 データベースの検索順序 15-8 未知ユーザ ポリシーの設定 15-9 未知ユーザ認証のディセーブル化 15-10 CHAPTER 16 ユーザ グループ マッピングと仕様 16-1 ユーザ グループ マッピングと仕様について 16-1 外部ユーザ データベースによるグループ マッピング 16-2 トークン サーバ、ODBC データベース、または LEAP Proxy RADIUS Sever データベースに対する ACS グループ マッピングの作成 16-2 グループ セット メンバーシップによるグループ マッピング 16-4 グループ マッピングの順序 16-4 グループ セット マッピングの非アクセス グループ 16-5 Windows のデフォルトのグループ マッピング 16-5 Windows または汎用 LDAP グループに対する ACS グループ マッピングの作 成 16-5 Windows または汎用 LDAP グループ セット マッピングの編集 16-7 Windows または汎用 LDAP グループ セット マッピングの削除 16-8 Windows ドメイン グループ マッピング設定の削除 16-9 グループ セット マッピング順序の変更 16-9 Cisco Secure ACS Solution Engine ユーザ ガイド xxii OL-14386-01-J Contents RADIUS ベースのグループ指定 16-11 APPENDIX A TACACS+ の AV ペア A-1 Cisco IOS AV ペア ディクショナリ A-2 TACACS+ AV ペア A-2 TACACS+ アカウンティング AV ペア A-3 APPENDIX B RADIUS アトリビュート B-1 RADIUS アトリビュートを使用する前に B-2 Cisco IOS RADIUS IETF ディクショナリ B-3 Cisco IOS/PIX 6.0 RADIUS VSA ディクショナリ B-5 cisco-av-pair RADIUS アトリビュートについて B-6 Cisco VPN 3000 Concentrator/ASA/PIX 7.x+ RADIUS VSA ディクショナリ B-8 Cisco VPN 5000 Concentrator RADIUS VSA ディクショナリ B-10 Cisco Building Broadband Service Manager RADIUS VSA ディクショナリ B-11 Cisco Airespace RADIUS VSA ディクショナリ B-11 IETF RADIUS IETF(AV ペア)ディクショナリ B-12 Microsoft MPPE RADIUS VSA ディクショナリ B-19 Ascend RADIUS AV ペア ディクショナリ B-21 Nortel RADIUS VSA ディクショナリ B-27 Juniper RADIUS VSA ディクショナリ B-27 3COMUSR RADIUS VSA ディクショナリ B-28 APPENDIX C CSUtil データベース ユーティリティ C-1 CSUtil.exe ファイルと関連ファイルの場所 C-2 CSUtil コマンドの構文 C-2 CSUtil.exe による ACS のバックアップ C-4 CSUtil.exe による ACS の復元 C-5 ACS 内部データベースの初期化 C-7 ACS 内部データベース ダンプ ファイルの作成 C-8 ダンプ ファイルからの ACS 内部データベースのロード C-9 ACS 内部データベースのクリーンアップ C-11 ユーザおよび AAA クライアントのインポート オプション C-13 ユーザ情報および AAA クライアント情報のインポート C-13 ユーザおよび AAA クライアントのインポート ファイル形式 C-14 ユーザおよび AAA クライアントのインポート ファイル形式について C-15 ONLINE 文または OFFLINE 文 C-15 ADD 文 C-15 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J xxiii Contents UPDATE 文 C-16 DELETE 文 C-17 ADD_NAS 文 C-18 DEL_NAS 文 C-19 インポート ファイルの例 C-19 テキスト ファイルへのユーザ リストのエクスポート C-20 テキスト ファイルへのグループ情報のエクスポート C-21 エラー番号のデコード C-22 ユーザ定義の RADIUS ベンダーと VSA のセット C-23 ユーザ定義の RADIUS ベンダーと VSA のセットについて C-23 カスタム RADIUS ベンダーと VSA のセットの追加 C-23 ユーザ定義ベンダーの拡張 VSA ID のサポート C-25 ユーザ定義ベンダーまたは VSA データの CSUtil.ini ファイルを使用したイ ンストール C-25 カスタム RADIUS ベンダーと VSA のセットの削除 C-26 カスタム RADIUS ベンダーの一覧表示 C-27 カスタム RADIUS ベンダーと VSA のセットのエクスポート C-27 RADIUS ベンダー /VSA インポート ファイル C-28 RADIUS ベンダー /VSA インポート ファイルについて C-28 ベンダーと VSA のセットの定義 C-29 アトリビュート定義 C-30 列挙の定義 C-31 RADIUS ベンダー /VSA インポート ファイル例 C-32 PAC ファイルの生成 C-33 PAC ファイルのオプションと例 C-33 PAC ファイルの生成 C-34 ポスチャ確認アトリビュート C-36 ポスチャ確認アトリビュート定義ファイル C-36 ポスチャ確認アトリビュート定義のエクスポート C-38 ポスチャ確認アトリビュート定義のインポート C-39 外部監査ポスチャ確認サーバのインポート C-41 ポスチャ確認アトリビュート定義の削除 C-41 拡張ポスチャ確認アトリビュート定義の削除 C-43 デフォルトのポスチャ確認アトリビュート定義ファイル C-43 外部監査デバイス タイプ アトリビュートの追加 C-48 CSUtil ユーティリティを使用したデバイスの追加および編集 C-48 APPENDIX D VPDN プロセス D-1 VPDN プロセス D-2 Cisco Secure ACS Solution Engine ユーザ ガイド xxiv OL-14386-01-J Contents APPENDIX E RDBMS 同期化機能インポートの定義 E-1 accountActions の仕様 E-2 accountActions のフォーマット E-2 accountActions の必須フィールド E-3 accountActions の処理順序 E-3 ODBC データ ソースをサポートするバージョン(ACS for Windows) E-4 アクション コード E-4 値の設定および削除に使用するアクション コード E-4 ユーザ アカウントの作成および変更に使用するアクション コード E-5 アクセス フィルタの初期化および変更に使用するアクション コード E-11 TACACS+ と RADIUS のグループおよびユーザ設定の変更に使用するアク ション コード E-13 ネットワーク設定の変更に使用するアクション コード E-19 ACS アトリビュートとアクション コード E-26 ユーザ固有アトリビュート E-26 ユーザ定義アトリビュート E-27 グループ固有アトリビュート E-28 ユーザ定義ベンダーまたは VSA データの RDBMS 同期化アクション コー ドを使用したインストール E-28 dACL アトリビュートのアクション コード E-29 dACL のサンプル ファイル形式:DumpDACL.txt E-31 ダンプした NAS のサンプル ファイル形式:DumpNAS.txt E-31 accountActions の例 E-32 APPENDIX F 内部アーキテクチャ F-1 Windows サービス F-2 Windows レジストリ(ACS for Windows のみ) F-2 SQL レジストリ F-3 Solution Engine のサービス F-4 ACS SE によって自動的に実行されるオペレーティング システム サービス F-4 ACS SE で実行されないオペレーティング システム サービス F-5 パケット フィルタリング F-7 CSAdmin F-8 CSAgent(ACS SE のみ) F-9 CSAgent ポリシー F-9 CSAuth F-10 CSDBSync F-10 CSLog F-10 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J xxv Contents CSMon F-11 モニタリング F-11 記録 F-12 通知 F-12 応答 F-12 CSTacacs および CSRadius F-13 NetBIOS のディセーブル化 F-13 INDEX 索引 Cisco Secure ACS Solution Engine ユーザ ガイド xxvi OL-14386-01-J このマニュアルについて 対象読者 このマニュアルは、ACS を使用したり、ネットワークやアプリケーションのセキュリティを管理し たりするセキュリティ管理者の方を対象としています。 マニュアルの構成 (注) このリリースのユーザ ガイドは、Windows プラットフォームと Solution Engine プラットフォームの 兼用になっています。必要に応じて、該当するプラットフォームを明記しています。 このマニュアルは、次の章と付録で構成されています。 • 第 1 章「概要」:ACS とその特徴、ネットワークの図解、およびシステム要件の概要について 説明します。 • 第 2 章「Web インターフェイスの使用方法」 :ACS の Interface Configuration セクションを使用 して HTML インターフェイスを構成する方法について、その概念と手順を説明します。 • 第 3 章「ネットワーク設定」:ACS によるネットワークの構成および分散システムの確立につ いて、概念と手順を説明します。 • 第 4 章「共有プロファイル コンポーネント」 :ACS 共有プロファイルのコンポーネント(ダウ ンロード可能 IP ACL、ネットワーク アクセス フィルタ、ネットワーク アクセス制限、および デバイス コマンド セット)について、概念と手順を説明します。 • 第 5 章「ユーザ グループ管理」 :ACS ユーザ グループの作成と管理について、概念と手順を説 明します。 • 第 6 章「ユーザ管理」 :ACS ユーザ アカウントの作成と管理について、概念と手順を説明します。 • 第 7 章「システム設定:基本」 :ACS の System Configuration セクションにある基本機能につい て、概念と手順を説明します。 • 第 8 章「システム設定:高度」 :ACS の System Configuration セクションにある RDBMS 同期化 機能、ACS 内部データベース複製機能、および IP プールについて、概念と手順を説明します。 • 第 9 章「システム設定:認証と証明書」 :ACS の System Configuration セクションにある Global Authentication ページと ACS Certificate Setup ページについて、概念と手順を説明します。 • 第 10 章「ログとレポート」:ACS のロギングとレポートについて、概念と手順を説明します。 • 第 11 章「管理者と管理ポリシー」 :ACS 管理者の作成と管理について、概念と手順を説明しま す。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J xxvii このマニュアルについて マニュアルの構成 • 第 12 章「ユーザ データベース」:ユーザ データベースの概念と、外部ユーザ データベースを 使用してユーザ認証を行うように ACS を設定する手順を説明します。 • 第 13 章「ポスチャ確認」:ポスチャ確認の実装(ネットワーク アドミッション コントロール (NAC)とも関連する)の概念と手順およびポスチャ確認ポリシーの設定を説明します。 • 第 14 章「ネットワーク アクセス プロファイル」 :ネットワーク アクセス プロファイルの作成 および ACS のプロファイル ベースのポリシーの実装について、概念と手順を説明します。 • 第 15 章「未知ユーザ ポリシー」 :ポスチャ確認や未知ユーザ認証での未知ユーザ ポリシーの 使用について、概念と手順を説明します。 • 第 16 章「ユーザ グループ マッピングと仕様」 :外部ユーザ データベースを使って認証された ユーザへのグループ割り当てについて、概念と手順を説明します。 • 付録 A「TACACS+ の AV ペア」 :サポート対象の TACACS+ AV ペアおよびアカウンティング AV ペアのリストを示します。 • 付録 B「RADIUS アトリビュート」 :サポート対象の RADIUS AV ペアおよびアカウンティング AV ペアのリストを示します。 • 付録 C「CSUtil データベース ユーティリティ」 :CSUtil.exe(ACS 内部データベースを操作する ためのコマンドライン ユーティリティ)を使用して、AAA クライアントとユーザのインポー ト、RADIUS ベンダーとアトリビュートの定義、および EAP-FAST クライアント用の Protected Access Credential(PAC)ファイルの生成を行う方法について説明します。 • 付録 D「VPDN プロセス」 :Virtual Private Dial-up Networks(VPDN; バーチャル プライベート ダ イヤルアップ ネットワーク)の概要(ストリッピングおよびトンネリングを含む)と、ACS 上 で VPDN をイネーブルにする方法について説明します。 • 付録 E「RDBMS 同期化機能インポートの定義」 :RDBMS 同期化機能に使用する、インポート 定義のリストを示します。 • 付録 F「内部アーキテクチャ」:ACS のアーキテクチャを構成するコンポーネントについて説 明します。 Cisco Secure ACS Solution Engine ユーザ ガイド xxviii OL-14386-01-J このマニュアルについて 表記法 表記法 このマニュアルでは、次の表記法に従います。 項目 表記法 手順の実行中に選択する必要があるコマンド、キーワード、 太字 専門用語、およびオプション ユーザが値を指定する変数、および新しい用語や重要な用語 イタリック体 セッション情報、システム情報、パス、およびファイル名の screen フォント 表示出力 ヒント ユーザが入力する情報 太字の screen フォント ユーザが入力する変数 イタリック体の screen フォント メニュー項目およびボタン名 太字 メニュー項目の選択順序 Option > Network Preferences ご使用の製品を有効活用するために役立つヒントを示しています。 (注) 「注釈」です。作業を続行する前に確認すべき重要な情報や役立つ情報、このマニュアル以外の参 照資料などを紹介しています。 注意 警告 「要注意」の意味です。機器の損傷、データの損失、またはネットワーク セキュリティの侵犯を予 防するための注意事項が記述されています。 怪我、ソフトウェアの破壊、または装置の損傷を防止するために留意すべき情報を示しています。 この記号がある場合、記載されている情報に従って慎重に作業しないと、明らかなセキュリティ侵 犯につながります。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J xxix このマニュアルについて 製品マニュアル 製品マニュアル (注) 初版発行後、印刷物または電子マニュアルのアップデートを行う場合があります。マニュアルの アップデートについては、Cisco.com で確認してください。 表 1 に、ご利用可能な製品マニュアルを示します。 表1 製品マニュアル マニュアル タイトル Documentation Guide for Cisco Secure ACS Release 4.2 ご利用形式 • 製品に付属している印刷マニュアル • 製品 CD に収録されている PDF • Cisco.com:(次の URL を参照) http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_ server_for_windows/4.2/roadmap/DGuide42.html Release Notes for Cisco Secure ACS Release 4.2 • Cisco.com(次の URL を参照) http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_ server_for_windows/4.2/release/notes/ACS42_RN.html Configuration Guide for Cisco Secure ACS Release 4.2 • ACS リカバリ CD に収録されている PDF • Cisco.com(次の URL を参照) http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_ server_for_windows/4.2/configuration/guide/acs42_config_guide.html Installation Guide for Cisco Secure ACS for Windows Release 4.2 • ACS リカバリ CD に収録されている PDF • Cisco.com(次の URL を参照) http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_ server_for_windows/4.2/installation/guide/windows/IGwn42.html Installation Guide for Cisco Secure ACS Solution Engine Release 4.2 • ACS リカバリ CD に収録されている PDF • Cisco.com(次の URL を参照) http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_ server_for_solution_engine/4.2/installation/guide/solution_engine/SE42.ht ml Cisco Secure ACS Solution Engine ユーザ ガイド • ACS リカバリ CD に収録されている PDF • Cisco.com(次の URL を参照) http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_ server_for_windows/4.2/user/guide/ACS4_2UG.html ACS ナビゲーション バーの Online Documentation をクリックして、 ユーザ ガイドにアクセスすることもできます。ユーザ ガイドの PDF は、このページの View PDF をクリックすると参照できます。 Regulatory Compliance and Safety Information for the Cisco Secure ACS Solution Engine Release 4.2 • 製品に付属している印刷マニュアル • 製品 CD に収録されている PDF • Cisco.com(次の URL を参照) http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_ server_for_solution_engine/4.2/regulatory/compliance/RCSI_42.html Cisco Secure ACS Solution Engine ユーザ ガイド xxx OL-14386-01-J このマニュアルについて 製品マニュアル 表1 製品マニュアル(続き) マニュアル タイトル Installation and Configuration Guide for Cisco Secure ACS Remote Agents Release 4.2 ご利用形式 • ACS リカバリ CD に収録されている PDF • Cisco.com(次の URL を参照) http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_ server_for_solution_engine/4.2/installation/guide/remote_agent/rmag42.ht ml Supported and Interoperable Devices and Software Tables for Cisco Secure ACS Solution Engine Release 4.2 Installation and User Guide for Cisco Secure ACS User-Changeable Passwords • ACS リカバリ CD に収録されている PDF • Cisco.com(次の URL を参照) http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_ server_for_windows/4.2/device/guide/sdt42.html • ACS リカバリ CD に収録されている PDF • Cisco.com(次の URL を参照) http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_ server_for_windows/4.2/installation/guide/user_passwords/ucp42.html Cisco Secure Access Control Server Troubleshooting Guide • Cisco.com(次の URL を参照) http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_ server_for_windows/4.2/trouble/guide/ACS_Troubleshooting.html オンライン マニュアル ACS の HTML インターフェイスで、Online Documentation をクリックし ます。 オンライン ヘルプ 機能を設定する際、ACS の HTML インターフェイスの右フレームに、オ ンライン ヘルプが表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J xxxi このマニュアルについて 関連マニュアル 関連マニュアル (注) 初版発行後、印刷物または電子マニュアルのアップデートを行う場合があります。マニュアルの アップデートについては、Cisco.com で確認してください。 ACS に関するホワイト ペーパーは、次の URL の Cisco.com で参照できます。 http://www.cisco.com/warp/public/cc/pd/sqsw/sq/tech/index.shtml ネットワーク アドミッション コントロール、さまざまな NAC コンポーネント、および ACS につ いては、次の URL を参照してください。 http://www.cisco.com/go/NAC 技術情報の入手方法およびサービス リクエストの発行 技術情報の入手、サービス リクエストの発行およびその他の情報収集に関する情報は、月刊の 『What’s New in Cisco Product Documentation』を参照してください。ここには、新規および改訂版の シスコの技術マニュアルもすべて記載されています。次の URL からアクセスできます。 http://www.cisco.com/en/US/docs/general/whatsnew/whatsnew.html 『What’s New in Cisco Product Documentation』を Really Simple Syndication(RSS)フィードに登録し、 リーダー アプリケーションによって直接デスクトップにコンテンツが配信されるように設定して ください。RSS フィードはフリー サービスです。シスコは現在 RSS バージョン 2.0 をサポートして います。 Cisco Secure ACS Solution Engine ユーザ ガイド xxxii OL-14386-01-J このマニュアルについて 通知事項 通知事項 ここでは、このソフトウェア ライセンスに関連する通知を示します。 OpenSSL および Open SSL Project この製品には、OpenSSL Toolkit で使用する目的で OpenSSL Project(http://www.openssl.org/)によっ て開発されたソフトウェアが含まれています。 この製品には、Eric Young([email protected])によって記述された暗号化ソフトウェアが含まれ ています。 この製品には、Tim Hudson([email protected])によって記述されたソフトウェアが含まれています。 ライセンスの問題 OpenSSL ツールキットは二重ライセンスされています。つまり、OpenSSL ライセンスおよびオリジ ナル SSLeay ライセンスの両方が、このツールキットに適用されます。実際のライセンスの文章に ついては、下を参照してください。実質的に、両方のライセンスは BSD 形式のオープン ソース ラ イセンスです。OpenSSL 関連のライセンスの問題が発生した場合は、[email protected] にご 連絡ください。 OpenSSL ライセンス © 1998-2007 The OpenSSL Project.All rights reserved. Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met: 1. Redistributions of source code must retain the copyright notice, this list of conditions and the following disclaimer. 2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions, and the following disclaimer in the documentation and/or other materials provided with the distribution. 3. All advertising materials mentioning features or use of this software must display the following acknowledgment: “This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit (http://www.openssl.org/)”. 4. The names “OpenSSL Toolkit” and “OpenSSL Project” must not be used to endorse or promote products derived from this software without prior written permission.For written permission, please contact [email protected]. 5. Products derived from this software may not be called “OpenSSL” nor may “OpenSSL” appear in their names without prior written permission of the OpenSSL Project. 6. Redistributions of any form whatsoever must retain the following acknowledgment: “This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit (http://www.openssl.org/)” THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT “AS IS”' AND ANY EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED.IN NO EVENT SHALL THE OpenSSL PROJECT OR ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J xxxiii このマニュアルについて 通知事項 この製品には、Eric Young([email protected])によって記述された暗号化ソフトウェアが含まれ ています。この製品には、Tim Hudson([email protected])によって記述されたソフトウェアが含 まれています。 オリジナル SSLeay ライセンス Copyright © 1995-1998 Eric Young ([email protected]).All rights reserved. This package is an SSL implementation written by Eric Young ([email protected]). The implementation was written so as to conform with Netscapes SSL. This library is free for commercial and non-commercial use as long as the following conditions are adhered to.The following conditions apply to all code found in this distribution, be it the RC4, RSA, lhash, DES, etc., code; not just the SSL code.The SSL documentation included with this distribution is covered by the same copyright terms except that the holder is Tim Hudson ([email protected]). Copyright remains Eric Young’s, and as such any Copyright notices in the code are not to be removed.If this package is used in a product, Eric Young should be given attribution as the author of the parts of the library used.This can be in the form of a textual message at program startup or in documentation (online or textual) provided with the package. Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met: 1. Redistributions of source code must retain the copyright notice, this list of conditions and the following disclaimer. 2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution. 3. All advertising materials mentioning features or use of this software must display the following acknowledgement: “This product includes cryptographic software written by Eric Young ([email protected])”. The word ‘cryptographic’ can be left out if the routines from the library being used are not cryptography-related. 4. If you include any Windows specific code (or a derivative thereof) from the apps directory (application code) you must include an acknowledgement: “This product includes software written by Tim Hudson ([email protected])”. THIS SOFTWARE IS PROVIDED BY ERIC YOUNG “AS IS” AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED.IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. このコードの公開バージョンまたは派生物のライセンスおよび配布条件は、変更できません。すな わち、このコードを単純にコピーして別の配布ライセンスに含めることはできません(GNU 公衆 使用許諾を含む)。 Cisco Secure ACS Solution Engine ユーザ ガイド xxxiv OL-14386-01-J C H A P T E R 1 概要 この章では、Cisco Secure Access Control Server Release 4.2(以降は ACS と表記)の概要を説明します。 この章は、次の内容で構成されています。 • ACS の概要(P.1-2) • ACS の機能と概念(P.1-4) • ACS の管理(P.1-18) • ACS の仕様(P.1-24) • オンライン マニュアル リファレンス(P.1-26) • 関連マニュアル(P.1-27) Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 1-1 第1章 概要 ACS の概要 ACS の概要 ACS は、パフォーマンスとスケーラビリティに優れた Remote Access Dial-In User Service(RADIUS) であると同時に、Terminal Access Controller Access Control System(TACACS+; ターミナル アクセス コントローラ アクセス コントロール システム)セキュリティ サーバです。企業ネットワークのす べてのユーザ、管理者、およびネットワーク インフラストラクチャ リソースの統合と制御を行い ます。ACS は、シスコのインテリジェント インフォメーション ネットワークに、包括的なアイデ ンティティ ネットワークアクセス コントロール ソリューションを提供します。 ACS では、従来の Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティン グ(読み方は「トリプル A」 ) )とポリシー コントロールを併用することによって、ネットワークア クセス セキュリティを強化しています。またネットワーク管理者や他のネットワーク ユーザに対 し、均一なネットワークアクセス セキュリティを適用します。 ACS では、AAA と、ID ベースの中央集中型ネットワーク フレームワークからのポリシー コント ロールを併用することによって、ネットワークアクセス セキュリティを強化しています。この組み 合せによって、企業ネットワークの柔軟性、可動性、およびセキュリティが強化され、ユーザ生産 性が向上します。 ACS は、次のようなシスコおよび他社のさまざまなネットワークアクセス デバイス(NAD)製品 をサポートします。NAD は、AAA クライアントとも呼ばれます。 • 有線および無線 LAN スイッチおよびアクセス ポイント • エッジ ルータおよびコア ルータ • ダイヤルアップ ターミネータおよびブロードバンド ターミネータ • コンテンツ デバイスおよびストレージ デバイス • Voice over IP (VoIP) • ファイアウォール • バーチャル プライベート ネットワーク(VPN) 図 1-1 に、従来のネットワーク アクセス コントロール /AAA サーバの役割を示します。 図 1-1 単純な AAA のシナリオ Cisco Secure ACS Solution Engine ユーザ ガイド 1-2 OL-14386-01-J 第1章 概要 ACS の概要 ネットワーク アドミッション コントロール(NAC) ACS は、Cisco Network Admission Control(NAC)フレームワークの重要なコンポーネントです。 Cisco NAC は、シスコシステムズが推進する業界のイニシアティブで、ネットワーク インフラスト ラクチャを使用して、ネットワーク コンピューティング リソースにアクセスするすべてのマシン にセキュリティ ポリシーを適用することによって、ウイルスやワームによる被害を最小限に食い止 めます。NAC を使用すると、セキュリティ ポリシーに準拠した信頼できる PC に対してだけネット ワーク アクセスを許可し、不適合なデバイスのアクセスを制限できます。図 1-2 を参照してくださ い。 NAC の ACS 拡張 NAD ACS AAA 138890 図 1-2 Identity-Based Networking Services(IBNS) ACS は、Cisco Identity-Based Networking Services(IBNS)アーキテクチャの重要なコンポーネント でもあります。Cisco IBNS は、Extensible Authentication Protocol(EAP)および IEEE 802.1x(ポー トベースのネットワークアクセス コントロールの標準)などのポートセキュリティ標準に基づいて おり、従来はネットワーク境界で管理されていたセキュリティ認証、認可、アカウンティングを、 LAN 内のすべての接続ポイントまで拡張しました。シスコ スイッチと無線アクセス ポイントが RADIUS プロトコルを介して ACS にクエリーを行うという拡張機能により、ユーザごとのリソー ス割り当て制限、仮想 LAN(VLAN)割り当て、およびアクセス コントロール リスト(ACL)な どの新しいポリシー コントロールを導入できます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 1-3 第1章 概要 ACS の機能と概念 ACS の機能と概念 ACS には、AAA サービスをネットワークアクセス デバイスに適用し、集中アクセスコントロール 機能を提供するための多くのテクノロジーが組み込まれています。 ここでは、次の項目について説明します。 • AAA サーバとしての ACS(P.1-4) • AAA プロトコル:TACACS+ と RADIUS(P.1-4) • このリリースの追加機能(P.1-6) • 認証(P.1-7) • 認可(P.1-13) • アカウンティング(P.1-16) AAA サーバとしての ACS ACS は、1 台以上の NAD の AAA サーバとして機能します。NAD は、ACS サーバの AAA クライ アントです。エンドユーザからホストへのアクセス要求を TACACS+ または RADIUS プロトコルを 使用して ACS に送信するように、クライアント NAD をそれぞれ設定する必要があります。 TACACS+ は、従来から、ネットワーク インフラストラクチャ自体の上でネットワーク管理操作を 行う認可を与えるために使用されるプロトコルです。一方、RADIUS は、エンドユーザからネット ワーク リソースへのアクセスを保護するために、広く一般に使用されています。 NAD は、基本的にはネットワークのゲートキーパーとして機能し、ユーザの代理としてアクセス 要求を ACS に送信します。ACS は、その内部データベースを使用するか、あらかじめ設定されて いる外部アイデンティティ ディレクトリのいずれかを使用して、ユーザ名、パスワード、および必 要に応じてその他のデータを確認します。ACS は、最終的に NAD に対して、access denied または access-accept メッセージと一連の認可アトリビュートによって応答します。ACS を NAC アーキテ クチャのコンテキストで使用すると、ユーザがネットワークへのアクセスを許可される前に、ポス チャと呼ばれるその他のマシン データも確認されます。 AAA プロトコル:TACACS+ と RADIUS ACS は、TACACS+ AAA プロトコルと RADIUS AAA プロトコルを使用できます。 表 1-1 に、この 2 つのプロトコルの比較を示します。 表 1-1 TACACS+ プロトコルと RADIUS プロトコルの比較 比較項目 TACACS+ 伝送プロトコル TCP:コネクション型トランスポート層プロ UDP:コネクションレス型トランスポート層プロト トコル、信頼性の高い全二重データ伝送 コル、確認応答も配送保証もないデータグラム交換 使用されるポート 49 認証および認可:1645 および 1812 アカウンティング:1646 および 1813 暗号化 完全なパケット暗号化 16 バイト以下のパスワードに限り暗号化 RADIUS AAA アーキテクチャ 認証、認可、アカウンティングの各サービス 認証および認可を 1 つのサービスとして統合 を独立制御 利用目的 デバイスの管理 ユーザ アクセスの制御 Cisco Secure ACS Solution Engine ユーザ ガイド 1-4 OL-14386-01-J 第1章 概要 ACS の機能と概念 TACACS+ ACS は、シスコシステムズがドラフト 1.78 に定義している TACACS+ プロトコルに準拠していま す。詳細については、Cisco IOS ソフトウェアのマニュアルまたは http://www.cisco.com を参照して ください。 RADIUS ACS は、1997 年 4 月発行のドラフトおよび次の Requests for Comments(RFC)に定義されている RADIUS プロトコルに準拠しています。 • RFC 2138, Remote Authentication Dial In User Service • RFC 2139, RADIUS Accounting • RFC 2284 • RFC 2865 • RFC 2866 • RFC 2867 • RFC 2868 • RFC 2869 認証およびアカウンティングに使用されるポートが、RADIUS RFC 文書では変わっています。新旧 の RFC をサポートするために、ACS は認証の要求をポート 1645 およびポート 1812 で受け入れま す。アカウンティングについては、アカウンティング パケットをポート 1646 および 1813 で受け入 れます。 標準 Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)RADIUS アトリ ビュート以外に、ACS は RADIUS Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)も サポートします。次の RADIUS VSA は、ACS で定義済みです。 • Cisco Airespace • Cisco Aironet • Cisco Building Broadband Service Manager(BBSM) • RADIUS(3COMUSR) • Cisco IOS/PIX 6.0 • Cisco VPN 3000/ASA/PIX 7.x+ • Cisco VPN 5000 • RADIUS IETF • RADIUS Ascend • RADIUS Juniper • RADIUS Nortel • RADIUS iPass ACS では、最大 10 の RADIUS VSA のユーザ定義が可能です。新しく定義した RADIUS VSA は、 ACS で定義済みの RADIUS VSA と同様に使用できます。ACS Web インターフェイスの Network Configuration セクションで AAA クライアントを設定して、ユーザ定義の RADIUS VSA を AAA プ ロトコルとして使用できます。Interface Configuration セクションでは、ユーザ レベルおよびグロー バル レベルのアトリビュートを、ユーザ定義の RADIUS VSA 用にイネーブルにできます。User Setup および Group Setup セクションでは、ユーザ定義の RADIUS VSA の使用可能なアトリビュー トに値を設定できます。 ユーザ定義の RADIUS VSA の作成方法については、P.8-25 の「AAA クライアントのアクションの 作成、読み取り、アップデート、および削除」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 1-5 第1章 概要 ACS の機能と概念 プラットフォーム ACS は ACS for Windows と ACS Solution Engine の 2 つのプラットフォームで使用できます。ACS for Windows は、ソフトウェア プラットフォームです。また、ACS Solution Engine(以降は ACS SE と表記)は、ネットワーク アプライアンスが必要なハードウェアおよびソフトウェア プラット フォームです。 これらのプラットフォームはほとんど同じです。ただし、Open Database Connectivity(ODBC; 開放 型データベース接続)データベースおよび CSUtil.exe データベース ユーティリティをサポートして いるのは Windows だけです。このマニュアルでは、一方のプラットフォームだけに関する情報を 「ACS for Windows のみ」または「ACS SE のみ」と区別しています。このような表記がない場合は、 両方のプラットフォームに共通の情報です。 このリリースの追加機能 ACS のこのリリースでは、次の機能によって、ネットワーク化されたビジネス システムを保護し ます。 • ACS SE 用オペレーティング システムの Windows 2003 への移行。 • ICMP ping のオン / オフ(ACS SE) :ACS SE で ICMP ping 応答をオン / オフに設定できます。 場合によっては、認証要求を送信する前に別のネットワーク デバイスで、有効な ICMP ping 応 答を受信する必要があります。 • ネイティブ RSA(ACS SE) :ACS SE 上で RSA 独自のインターフェイスを使用できるようにな りました。 • RDBMS 同期化のプログラム インターフェイスの向上:RDBMS 同期化に dACL の機能が追加 されました。RDBMS 同期化を使用して、ユーザ レベルおよびグループ レベルのダウンロード 可能 ACL を作成、更新、および削除できます。 • RDBMS 同期化での SSH クライアントのリモート呼び出しのイネーブル化(ACS SE) :リモー ト システムを使用した ACS 設定の変更に、コマンドライン インターフェイスが追加されまし た。ACS SE のサービスとして SSH サーバが追加されたため、任意の SSH クライアントから ACS SE に接続し、CSDBSync コマンドを使用してデータベースの同期化オプションを実行で きます。 • CLI を使用した RDBMS 同期化の呼び出しのイネーブル化(ACS for Windows)。 • NetBIOS のディセーブル化:ACS for Windows では現在、ACS for Windows を実行しているサー バから NetBIOS をディセーブルにできます。 • ロギングの拡張:CSV で生成されるログ メッセージが改良されています。認証の成功および失 敗のレポートには現在、Response Time、Session-ID、および Framed-IP-Address のアトリビュー トが含まれています。 • アップグレード機能:ACS には現在、ACS 4.1 のバックアップ情報を ACS 4.2 に復元できる新 しいメカニズムがあります。以前の ACS 設定は保持されます。この機能により、既存の ACS 4.1 の設定を ACS 4.2 にアップグレードするときに発生する問題を回避できます。 • LDAP 使用時における NAP レベルでのグループのフィルタリング:LDAP を使用して外部ユー ザ データベースにクエリーする場合、グループのフィルタリングを Network Access Profile (NAP; ネットワーク アクセス プロファイル)レベルで実行できます。ユーザの外部データベー スのグループ メンバーシップによって異なりますが、ACS では、グループのフィルタリング設 定に基づいてネットワークへのアクセスを拒否または許可できます。 • LDAP グループ マッピングを行う RSA 認証:ACS では、RSA を使用して認証を行うことがで きますが、同時に LDAP グループ マッピングを実行することができます。これにより、管理者 は現在、ユーザの LDAP グループ メンバーシップに基づいて認証を制御できます。 • EAP_FAST のオプション: − 匿名の TLS 再ネゴシエーションのための EAP-FAST の強化:ACS では、エンドユーザ ク ライアントと ACS の間で匿名の TLS ハンドシェイクが可能になります。EAP-MSCHAP は、 EAP-FAST のフェーズ 0 の唯一の内部方式として使用されます。 Cisco Secure ACS Solution Engine ユーザ ガイド 1-6 OL-14386-01-J 第1章 概要 ACS の機能と概念 − 無効な PAC のための EAP-FAST の強化:ACS には、無効な PAC を受信した場合に、ト ンネル PAC およびマシン PAC の発行または受け入れを行わずに EAP-FAST を実行するオ プションがあります。PAC の要求はすべて無視されます。ACS は、有効な PAC がなくて も Success-TLV で応答します。このオプションをオンにすると、PAC に関連するすべての オプションはディセーブルになります。 − EAP-TLS を処理する PAC や Active Directory のない EAP-TLS:ACS では、PAC がなくて も、つまりクライアント証明書を検索しなくても EAP-FAST トンネルを確立できます。 • ダイナミック ユーザのキャッシングをディセーブルにするオプション:管理者は、認証に外部 データベースを使用している間、ダイナミック ユーザの作成をディセーブルにするかどうかを 決定できます。ダイナミック ユーザのキャッシングがディセーブルになっている場合、パ フォーマンスの低下を最小限に抑えることができます。 • Active Directory のマルチフォレストのサポート:ACS では、マルチフォレスト環境での認証 をサポートしています。プライマリ ACS フォレストと要求されるドメインのフォレスト間に適 切な信頼関係があれば、Active Directory の認証は成功します。 • 時間の設定:ACS SE の時間帯をローカル時間帯または GMT 時間帯に設定できます。ログの表 示および syslog では、ローカル時間帯または GMT 時間帯のスタンプを受け取ることができま す。 • ユーザ特権の一時的な昇格:ACS では、管理者特権を一時的に別のユーザに与えることができ ます。 • EAP-TLS 認証のオブジェクト ID(OID)チェック:ACS では、OID と、ユーザ証明書の Enhanced Key Usage (EKU) フィールドを比較できます。 • ネットワーク アクセス コントロールのレイヤ 2 監査:ACS では、 レイヤ 2 Network Access Device (NAD; ネットワーク アクセス デバイス)に接続されたエージェントレス ホストを監査できま す。 • ACS for Windows に追加された CSSupport ユーティリティ。 • UTF-8 のサポート:ACS では、Active Directory を使用して認証する場合に限り、ユーザ名およ びパスワードに UTF-8(8 ビットの Universal Coded Character Set(UCS)/Unicode Transformation Format)を使用できます。 • CSUtil を使用したデバイスの追加:ACS では現在、CSUtil import.txt ファイルの使用がサポー トされており、認証、認可、アカウンティング(AAA)デバイスの追加および編集を行うこと ができます。 • ACS では現在、3COMUSR VSA をサポートしています。 • ユーザ定義ベンダーの拡張 VSA ID:CSUtil または RDBMS 同期化を使用して、VSA ID の拡張 が必要なベンダーのディクショナリ コンポーネントをインストールできます。 • Windows 認証のワークステーション名のカスタマイズ:ACS では現在、1 つの Active Directory ツリーを使用した複数の ACS 展開をサポートしています。 • 外部 ODBC データベースへの要求を拒否または破棄する ACS RADIUS サーバの設定。 • 診断ログの改善:診断ログ ファイルには、エラーを生成したソース コードの行番号が含まれ ています。CSAuth 診断ログには現在、セッション ID が含まれています。 • EAP コード デバッグ メッセージの改善:すべての EAP デバッグ メッセージは現在、CSAuth 診断ログに記録されます。 • RADIUS キー ラップは現在、すべての EAP プロトコルに拡張されています。 認証 認証とは、ユーザの ID を判別し、その情報を確認することです。従来の認証方式では、名前とあ る決まったパスワードが使用されていました。さらに安全で新しいテクノロジーには、Challenge Handshake Authentication Protocol(CHAP; チャレンジ ハンドシェイク認証プロトコル)や One-Time Password(OTP; ワンタイム パスワード)があります。ACS は、これらのさまざまな認証方式をサ ポートしています。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 1-7 第1章 概要 ACS の機能と概念 認証と認可には基本的な暗黙の関係があります。ユーザに与えられる認可特権が多くなればなるほ ど、それに応じて認証を強化する必要があります。ACS は、さまざまな認証方法を用意して、この 関係をサポートしています。 ここでは、次の項目について説明します。 • 認証方法の検討(P.1-8) • 認証とユーザ データベース(P.1-8) • 認証プロトコルとデータベースの互換性(P.1-8) • パスワード(P.1-9) • 認証に関連するその他の機能(P.1-13) 認証方法の検討 ユーザ名とパスワードは、最も一般的かつ単純で、低コストな認証方式です。この方式の欠点は、 ユーザ名やパスワードの情報が簡単に第三者に伝えられたり、推測または不正に取得されたりする 可能性がある点です。単純な暗号化されていないユーザ名とパスワードによる認証は確実な認証メ カニズムとは言えませんが、インターネット アクセスなどのように認可レベルまたは特権レベルが 低い場合は十分に対応可能です。 ネットワーク上でパスワードが不正に取得される危険性を低減するには、暗号化を使用する必要が あります。TACACS+ および RADIUS などのクライアント / サーバ アクセス制御プロトコルでは、 パスワードを暗号化して、ネットワーク内でパスワードが不正に取得される事態の発生を防止しま す。ただし、TACACS+ と RADIUS は AAA クライアントと ACS 間でだけ動作します。認証プロセ スにおいては、このポイントの前で、認可されていないユーザが暗号化されていないパスワードを 入手する可能性があります。たとえば、次のような場合です。 • 電話回線を介してダイヤルアップ接続を行うエンドユーザ クライアントとの間の通信 • ネットワークアクセス サーバで終端する Integrated Services Digital Network(ISDN; サービス総 合デジタル ネットワーク)回線 • エンドユーザ クライアントとホスティング デバイスの間の TELNET セッションを介して行わ れる通信 認証とユーザ データベース ACS は、さまざまなユーザ データベースをサポートしています。ACS 内部データベース以外にも、 次のような外部ユーザ データベースをサポートしています。 • Windows ユーザ データベース • 汎用 Lightweight Directory Access Protocol(LDAP) • LEAP プロキシ Remote Access Dial-In User Service(RADIUS)サーバ • トークン サーバ • Open Database Connectivity(ODBC)準拠リレーショナル データベース(ACS for Windows) 認証プロトコルとデータベースの互換性 ACS が認証用にサポートしている各種のパスワード プロトコルは、ACS がサポートしている各種 のデータベースによって同じようにサポートされているとは限りません。ACS がサポートしている パスワード プロトコルの詳細については、P.1-9 の「パスワード」を参照してください。 表 1-2 に、EAP 以外の認証プロトコルのサポートを示します。 Cisco Secure ACS Solution Engine ユーザ ガイド 1-8 OL-14386-01-J 第1章 概要 ACS の機能と概念 表 1-2 EAP 以外の認証プロトコルとユーザ データベースの互換性 データベース ASCII/PAP CHAP ARAP MS-CHAP v.1 MS-CHAP v.2 ACS Yes Yes Yes Yes Yes Windows SAM Yes No No Yes Yes Windows AD Yes No No Yes Yes LDAP Yes No No No No ODBC (ACS for Windows Yes のみ) Yes Yes Yes Yes LEAP プロキシ RADIUS サーバ Yes No No Yes Yes すべてのトークン サーバ Yes No No No No 表 1-3 に、EAP 認証プロトコルのサポートを示します。 表 1-3 EAP 認証プロトコルとユーザ データベースの互換性 データベース EAPPEAP PEAP PEAP EAPEAP- EAP- (EAP- (EAP-MS (EAP- FAST FAST LEAP MD5 TLS GTC) CHAPv2) TLS) フェーズ 0 フェーズ 2 ACS Yes Yes Yes Yes Yes Yes Yes Yes Windows SAM Yes No No Yes Yes No Yes Yes Windows AD Yes No Yes Yes Yes Yes Yes Yes LDAP No No Yes Yes No Yes No Yes ODBC (ACS for Windows のみ) Yes Yes Yes Yes Yes Yes Yes Yes LEAP プロキシ RADIUS サーバ Yes No No Yes Yes No Yes Yes すべてのトークン サーバ No No No Yes No No No No パスワード ACS は、次のような一般的なパスワード プロトコルを多数サポートしています。 • ASCII/Password Authentication Protocol(ASCII/PAP) • CHAP • MS-CHAP • Lightweight and Efficient Application Protocol(LEAP) • AppleTalk Remote Access Protocol(ARAP) • EAP-MD5 • EAP-TLS • PEAP(EAP-GTC) • PEAP(EAP-MSCHAPv2) • PEAP(EAP-TLS) • EAP-FAST Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 1-9 第1章 概要 ACS の機能と概念 パスワードの処理は、使用するセキュリティ制御プロトコルのバージョンと種類(たとえば RADIUS や TACACS+)および AAA クライアントとエンドユーザ クライアントの設定に応じて、 上記の認証プロトコルを使用して行うことができます。次の各項では、パスワード処理のさまざま な条件と機能の概要について説明します。 トークン サーバの場合、ACS はトークン サーバに対するクライアントとして動作し、トークン サー バに応じて、そのサーバ特有の API か RADIUS インターフェイスのいずれかを使用します。詳細に ついては、P.12-56 の「トークン サーバと ACS について」を参照してください。 ACS では、異なるセキュリティ レベルを同時に使用して、さまざまな要件に対応できます。ユー ザとネットワークの間の基本的なセキュリティ レベルは PAP です。PAP は、非暗号化セキュリティ ですが、クライアントにとって利便性が高く、シンプルです。PAP によって Windows データベー スに対する認証を行うことができます。PAP で認証されるように設定しておくと、ユーザは 1 回の 認証でデータベースにログインできます。エンドユーザ クライアントから AAA クライアントに通 信するときに CHAP を使用すると、パスワードが暗号化されるため、暗号化しない場合より高いセ キュリティ レベルが確保できます。CHAP は ACS 内部データベースで使用できます。ARAP のサ ポートには、Apple クライアントのサポートが必要です。 PAP、CHAP、ARAP の比較 PAP、CHAP、および ARAP は、パスワードを暗号化する認証プロトコルです。ただし、各プロト コルのセキュリティ レベルは異なります。表 1-4 は、各プロトコルに関連付けられているセキュリ ティを示します。 表 1-4 PAP、CHAP、ARAP プロトコル プロトコル セキュリティ PAP クリアテキストのパスワード(暗号化されていないパスワード)を使用する最もセ キュリティ レベルの低い認証プロトコルです。ユーザの認証に Windows ユーザ デー タベースを使用する場合は、PAP のパスワード暗号化または Microsoft-Challenge Handshake Authentication Protocol(MS-CHAP)を使用する必要があります。 CHAP 応答時に一方向の暗号化を使用するチャレンジ / レスポンス方式です。CHAP を使用 することで、ACS は、セキュリティ レベルの高い順からセキュリティ暗号化方式を ネゴシエートし、プロセス中に伝送されるパスワードを保護します。CHAP パスワー ドは再利用が可能です。ACS 内部データベースを認証に使用している場合は、PAP または CHAP のどちらかを使用できます。CHAP は、Windows ユーザ データベース では使用できません。 ARAP 双方向のチャレンジ/レスポンス方式を使用します。AAA クライアントはエンドユー ザ クライアントに対して自分自身の認証を要求し、エンドユーザ クライアントは AAA クライアントに対して自分自身の認証を要求します。 MS-CHAP ACS は、ユーザ認証用に MS-CHAP をサポートします。MS-CHAP と標準の CHAP の違いは次のと おりです。 • MS-CHAP Response パケットは、Microsoft Windows および LAN Manager 2.x と互換性のある形 式を使用しています。MS-CHAP 形式では、クリアテキストまたは復号化されたパスワードを 認証者が保存する必要はありません。 • MS-CHAP では、認証者が制御する認証再試行方式を使用します。 • MS-CHAP では、Failure packet Message フィールドに障害コードが追加されています。 MS-CHAP の詳細については、RFC 2433「Microsoft PPP CHAP Extensions」の「RADIUS Attributes for MS-CHAP Support」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド 1-10 OL-14386-01-J 第1章 概要 ACS の機能と概念 EAP のサポート EAP は、IETF 802.1x に基づいており、AAA クライアントの設定を変更しなくても認証タイプを作 成できるようにするエンドツーエンドのフレームワークです。EAP の詳細については、RFC 2284 「PPP Extensible Authentication Protocol(EAP) 」を参照してください。 ACS では、複数の EAP プロトコルをサポートしています。表 1-5 は、サポートされている各プロ トコルを示します。 表 1-5 EAP プロトコルのサポート EAP プロトコル 説明 EAP-MD5 相互認証をサポートしていない EAP プロトコル。 EAP-TLS トランスポート層セキュリティを含む EAP。詳細については、『EAP-TLS Deployment Guide for Wireless LAN Networks』および P.9-2 の「EAP-TLS 認証」 を参照してください。 LEAP Cisco Aironet ワイヤレス装置によって使用される EAP プロトコル。これは、相 互認証をサポートしています。 PEAP 保護された EAP。EAP-Generic Token Card(GTC) 、EAP-TLS および EAP-MS-CHAPv2 プロトコルを使用して実装されています。詳細については、 P.9-7 の「PEAP 認証」を参照してください。 EAP-FAST EAP 認証の暗号化を高速化する手段。EAP-GTC 認証をサポートしています。 詳細については、P.9-10 の「EAP-FAST 認証」を参照してください。 ACS のアーキテクチャは、EAP に関しては拡張可能であり、上記以外のさまざまな EAP プロトコ ルは、プロトコルの完成次第、サポートする予定です。 基本的なパスワード設定 基本的なパスワードの設定には、次の 3 つのタイプがあります。 (注) これらの設定はすべて、受信認証に分類されています。 • ASCII/PAP/CHAP/MS-CHAP/ARAP 用に 1 つのパスワードを使用:管理者がアカウントをセッ トアップする場合およびユーザが認証を取得する場合のどちらにも便利な方法です。しかし、 CHAP パスワードが PAP パスワードと同じで、ASCII/PAP のログイン時に PAP パスワードが クリアテキストで伝送されるため、CHAP パスワードが外部に漏れる可能性があります。 • ASCII/PAP 用と CHAP/MS-CHAP/ARAP 用に異なるパスワードを使用:セキュリティ レベル を高くするために、2 つの異なるパスワードをユーザに与えることができます。ASCII/PAP パ スワードが危険にさらされても、CHAP/ARAP パスワードの安全性は確保されます。 • 外部ユーザ データベースによる認証:外部ユーザ データベースによる認証では、ユーザはパ スワードを ACS 内部データベースに保存する必要はありません。代わりに、ACS は、ユーザ を認証するために照会する外部ユーザ データベースを記録します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 1-11 第1章 概要 ACS の機能と概念 高度なパスワード設定 ACS では、次に示す高度なパスワード設定をサポートしています。 • 受信パスワード:ほとんどの ACS ユーザによって使用されるパスワードです。受信パスワード をサポートするのは、TACACS+ プロトコルと RADIUS プロトコルです。このパスワードは ACS 内部データベースに保持されています。送信パスワードが設定されている場合、通常はこ のバスワードが外部の送信元に公表されることはありません。 • 送信パスワード:TACACS+ プロトコルは送信パスワードをサポートしています。送信パスワー ドは、たとえば、AAA クライアントを別の AAA クライアントおよびエンドユーザ クライアン トが認証する場合に使用できます。ACS 内部データベースからのパスワードは、その後すぐに、 2 番目の AAA クライアントおよびエンドユーザ クライアントに送信されます。 • トークン キャッシング:トークン キャッシングがイネーブルになっていると、ISDN ユーザは 最初の認証時に入力したものと同じ OTP を使用して、2 番目の B チャネルに接続できます(制 限時間内に限る)。セキュリティ レベルを高くするためには、AAA クライアントからの B チャ ネル認証要求では、ユーザ名の値に OTP を含める(たとえば、Fredpassword)と同時に、パス ワードの値に ASCII/PAP/ARAP パスワードを含めることが必要です。TACACS+ サーバと RADIUS サーバは、トークンがキャッシュされていることを確認し、着信したパスワードを、 ユーザが使用する設定に応じて、1 つの ASCII/PAP/ARAP パスワード、または別の CHAP/ARAP パスワードのいずれかと比較して検証します。 TACACS+ SENDAUTH 機能を使用すると、AAA クライアントは自分自身の認証を、他の AAA クライアントやエンドユーザ クライアントに対して、発信認証によって行うことができます。 発信認証では、PAP、CHAP または ARAP を使用できます。発信認証の場合は、ACS のパス ワードが公表されます。デフォルトでは、設定されている方法に応じて、ASCII/PAP パスワー ドまたは CHAP/ARAP パスワードが使用されます。しかし、ユーザに対して別の SENDAUTH パスワードを設定して、ACS の受信パスワードが外部に漏れないようにすることをシスコでは 推奨します。 送信パスワードを使用して、最高のセキュリティ レベルを維持する必要がある場合は、ACS 内部 ユーザ データベースのユーザに、受信パスワードとは異なる別の送信パスワードを設定することを 推奨します。 パスワードのエージング ACS では、パスワード エージングを適用するかどうか、および適用の方法を選択できます。パス ワード エージングの制御は、ACS 内部データベースまたは外部 Windows ユーザ データベースのい ずれかに備わっています。各パスワードのエージング方式は要件と設定によって異なります。 ACS 内部データベースが制御するパスワード エージング機能を使用すると、次のいずれかの条件 で、ユーザにパスワードの変更を強制できます。 • 日付が値(ある日付)を超えたとき • 指定ログイン回数を超えた後 • 新規ユーザの初回ログイン時 ACS 内部データベースが制御するパスワード エージング機能の要件と設定については、P.5-18 の 「ACS 内部データベースのパスワード エージングをイネーブルにする」を参照してください。 Windows ベースのパスワード エージング機能を使用すると、次のパスワード エージングのパラ メータを制御できます。 • パスワードの最大経過日数 • パスワードの最小経過日数 Windows のパスワード エージングの方法と機能は、Windows オペレーティング システムのリリー スによって異なります。Windows ベースのパスワード エージング機能の要件と設定については、 P.5-23 の「パスワード エージングを Windows データベースのユーザに対してイネーブルにする」お よび Windows システムのマニュアルを参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド 1-12 OL-14386-01-J 第1章 概要 ACS の機能と概念 ユーザが変更できるパスワード ACS では、別のプログラムをインストールして、ユーザが Web ベースのユーティリティを使用し て自分のパスワードを変更することが可能です。ユーザが変更できるパスワードのインストール の詳細については、http://www.cisco.com の『Installation and User Guide for Cisco Secure ACS User-Changeable Passwords』を参照してください。 認証に関連するその他の機能 この項で述べた認証に関連する機能に加えて、ACS は次の機能を提供します。 • 未知ユーザの認証に外部ユーザ データベースを使用する機能(P.15-3 の「未知ユーザ認証につ いて」を参照)。 • Microsoft Windows を実行しているコンピュータの認証(P.12-11 の「マシン認証」を参照)。 • Microsoft Windows Callback 機能のサポート(P.6-8 の「ユーザ コールバック オプションの設定」 を参照)。 • 外部データ ソースを使用して、パスワードを含むユーザ アカウントを設定する機能(P.8-19 の 「RDBMS 同期化について」を参照) 。 • 外部ユーザがイネーブル パスワードを使用して認証を行う機能(P.6-28 の「TACACS+ Enable Password オプションをユーザに対して設定する」を参照) 。 • 他の AAA サーバに対する認証要求の代理処理(P.3-4 の「分散システムにおけるプロキシ」を 参照)。 • 代理処理された認証要求からの設定可能文字列の除去(P.3-6 の「ストリッピング」を参照)。 • 自己署名サーバ証明書(P.9-38 の「自己署名証明書の使用」を参照) 。 • EAP-TLS 認証中の証明書失効リストの確認(P.9-33 の「証明書失効リストの管理」を参照) 。 認可 認可によって、ユーザが実行できる操作が決定されます。ACS は、ユーザ プロファイル ポリシー を AAA クライアントに送信して、そのユーザがアクセスできるネットワーク サービスを決定しま す。ユーザごとおよびグループごとに、異なるサービス レベルの認可を設定できます。たとえば、 標準的なダイヤルアップ ユーザに、重要なお客様やユーザと同じアクセス特権を持たせないように 設定できます。また、セキュリティ レベル、アクセス時間帯、およびサービスによって差別化する こともできます。 ACS のアクセス制限機能を使用して、時間帯および曜日に基づいてログインを許可または拒否でき ます。たとえば、一時アカウントのグループを作成し、指定した日付にログインを無効にできます。 このため、サービス プロバイダーは 30 日間の無料トライアルを提供することもできます。さらに、 同じ認可機能を使用して、ログインの許可を月曜日から金曜日の午前 9 時から午後 5 時に制限した、 コンサルタント用のテンポラリ アカウントを作成することもできます。 また、ユーザに次の制限を適用できます。 • 単一サービス • PPP、ARAP、Serial Line Internet Protocol(SLIP; シリアル ライン インターネット プロトコル)、 EXEC などのサービスの組み合せ。 • IP や IPX などのレイヤ 2 およびレイヤ 3 プロトコル • アクセス リスト ユーザごとまたはグループごとに基づいて、アクセス リストで次のユーザ アクセスを制限できま す。 • 重要な情報が格納されている一部のネットワーク Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 1-13 第1章 概要 ACS の機能と概念 • File Transfer Protocol(FTP; ファイル転送プロトコル)や Simple Network Management Protocol (SNMP; 簡易ネットワーク管理プロトコル)などの特定サービス サービス プロバイダーによって提供され、各企業の間で採用されて急速に普及しているサービスの 1 つが、Virtual Private Dial-Up Network(VPDN; バーチャル プライベート ダイヤルアップ ネット ワーク)のサービス認可です。ACS では、情報を特定ユーザ用のネットワーク デバイスに提供し、 インターネットなどの公衆ネットワークを介した安全なトンネルを設定できます。この情報は、お 客様の設備内でユーザを検証するアクセス サーバ(たとえば、そのユーザ用のホーム ゲートウェ イ)、または同じ目的のホーム ゲートウェイ ルータに提供されます。いずれの場合も、ACS は、 VPDN の各エンドとして使用できます。 ここでは、次の項目について説明します。 • 最大セッション数(P.1-14) • ダイナミックな使用割当量(P.1-14) • 共有プロファイル コンポーネント(P.1-15) • Cisco デバイス管理アプリケーションのサポート(P.1-15) • 認可に関連するその他の機能(P.1-16) 最大セッション数 最大セッションは、ユーザまたはグループのいずれかが利用できる同時セッション数の最大値を制 限するときに役立つ機能です。 • ユーザ最大セッション:たとえば、インターネット サービス プロバイダーは、アカウント保 持者それぞれに対してセッションを 1 つだけに制限できます。 • グループ最大セッション:たとえば、企業の管理者はリモート アクセス インフラストラクチャ をいくつかの部門間で同等に共有するように許可し、ある 1 つの部門のユーザ全員に対して同 時セッション数の最大値を制限できます。 単純なユーザ最大セッションとグループ最大セッションによる制御を有効にすることに加えて、 ACS では、管理者がグループ最大セッション数を指定して、グループベースのユーザ最大セッショ ン数を指定することもできます。つまり、ユーザのグループ メンバーシップに基づいてユーザ最大 セッション値を指定できます。たとえば、「営業」グループに対してグループ最大セッション数 50 を割り当て、さらにその「営業」グループの各メンバーに対して最大セッションをそれぞれ 5 セッ ションに制限することもできます。この場合、グループ アカウントのどのメンバーも一度に 5 セッ ションを超えて使用することはできませんが、グループでは 50 までのアクティブ セッションを使 用できます。 最大セッション機能の詳細については、P.5-11 の「最大セッションをユーザ グループに対して設定 する」および P.6-13 の「最大セッション オプションをユーザに対して設定する」を参照してくだ さい。 ダイナミックな使用割当量 ACS では、ユーザに対してネットワーク使用割当量を定義できます。使用割当量を使用して、グ ループ内の各ユーザまたは個別ユーザのネットワーク アクセスを制限します。割当量は、セッショ ン時間またはセッション総数で定義します。絶対時間数でも、毎日、毎週、毎月ベースでも定義で きます。割当量を超えてしまったユーザにアクセスを付与するために、必要に応じてセッション割 当量カウンタをリセットできます。 Cisco Secure ACS Solution Engine ユーザ ガイド 1-14 OL-14386-01-J 第1章 概要 ACS の機能と概念 時間に基づいた割当量をサポートするためには、すべての AAA クライアント上でアカウンティン グ アップデート パケットをイネーブルにすることを推奨します。アップデート パケットが使用で きない場合、割当量が更新されるのはユーザがログオフして、AAA クライアントからのアカウン ティング停止パケットが受信されたときだけです。ユーザがネットワークにアクセスするときに通 る AAA クライアントに障害が発生すると、セッション情報はアップデートされません。ISDN のよ うな複数セッションの場合は、すべてのセッションが終了するまで割当量はアップデートされない ため、ユーザに割り当てられている量を最初のチャネルが使い切っても、2 番目のチャネルは受け 付けられます。 使用割当量の詳細については、P.5-12 の「使用割当量をユーザ グループに対して設定する」および P.6-14 の「User Usage Quotas に設定するオプション」を参照してください。 共有プロファイル コンポーネント ACS は、複数のユーザ グループおよびユーザに適用できる認可プロファイル コンポーネントを指 定するための手段を提供しています。たとえば、まったく同じネットワーク アクセス制限を課して いるユーザ グループが複数あるとします。この場合、ネットワーク アクセス制限をグループごと に繰り返し設定するのではなく、Web インターフェイスの Shared Profile Components セクションに ネットワーク アクセス制限セットを設定した後で、そのネットワーク アクセス制限セットを使用 するように各グループを設定します。 ACS がサポートする共有プロファイル コンポーネントの種類については、P.4-2 の「共有プロファ イル コンポーネントについて」を参照してください。 Cisco デバイス管理アプリケーションのサポート ACS は、たとえば、管理アプリケーションを使用して管理対象ネットワーク デバイスを設定する ネットワーク ユーザに対してコマンド認可を提供することにより、Cisco デバイス管理アプリケー ションをサポートします。管理アプリケーションのユーザに対するコマンド認可のサポートは、認 可に ACS を使用するように設定されている各管理アプリケーション対して、固有のコマンド認可 セットを使用することで実現します。 ACS は、管理アプリケーションとの通信に TACACS+ を使用します。管理アプリケーションが ACS と通信できるようにするには、その管理アプリケーションを、ACS に TACACS+ を使用する AAA クライアントとして設定する必要があります。また、デバイス管理アプリケーションに有効な管理 者名とパスワードを与える必要があります。管理アプリケーションが最初に ACS と通信するとき、 これらの要件が通信の正当性を保証します。 さらに、管理アプリケーションが使用する管理者は、Create New Device Command Set Type 特権がイ ネーブルになっている必要があります。管理アプリケーションは、最初に ACS と通信するとき、 ACS に対してデバイス コマンド セット タイプの作成を指示します。このコマンド セット タイプ は、Web インターフェイスの Shared Profile Components セクションに表示されます。また、TACACS+ に対してカスタム サービスを認可するように指示します。カスタム サービスは、Web インターフェ イスの Interface Configuration セクションの TACACS+(Cisco IOS)ページに表示されます。TACACS+ サービスをイネーブルにする方法については、P.2-8 の「TACACS+ 設定オプションの表示」を参照 してください。管理アプリケーション用のデバイス コマンド認可セットについては、P.4-31 の「コ マンド認可セット」を参照してください。 管理アプリケーションがカスタム TACACS+ サービスおよびデバイス コマンド認可セット タイプ を ACS に指示した後、管理アプリケーションがサポートする各ロール用のコマンド認可セットを 設定して、それらのセットを、ネットワーク管理者が含まれているユーザ グループ、またはネット ワーク管理者である個人ユーザに対して適用できます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 1-15 第1章 概要 ACS の機能と概念 認可に関連するその他の機能 この項で述べた認可に関連する機能に加えて、ACS は次の機能を提供します。 • ユーザのグループ管理(第 5 章「ユーザ グループ管理」を参照) 。 • 外部ユーザ データベースからのユーザを特定の ACS グループにマッピングする機能(第 16 章 「ユーザ グループ マッピングと仕様」を参照) 。 • 管理者が指定したアクセス失敗回数を超えるとアカウントをディセーブルにする機能(P.6-16 の「ユーザ アカウントの無効化オプションの設定」を参照) 。 • 特定の日にアカウントをディセーブルにする機能(P.6-16 の「ユーザ アカウントの無効化オプ ションの設定」を参照)。 • ユーザのグループをディセーブルにする機能(P.5-4 の「グループの無効化」を参照) 。 • 時間帯と曜日でアクセスを制限する機能(P.5-6 の「デフォルトの時間帯アクセスをユーザ グ ループに対して設定する」を参照) 。 • リモート アドレスの Caller Line Identification(CLID; 発信番号識別)と Dialed Number Identification Service(DNIS; 着信番号識別サービス)に基づく Network Access Restriction(NAR; ネットワーク アクセス制限)(P.5-8 の「ネットワーク アクセス制限をユーザ グループに対し て設定する」を参照)。 • 集中モジュラ構造 ACL 管理を可能にする、ユーザまたはグループのダウンロード可能 ACL (P.4-17 の「ダウンロード可能 IP ACL」を参照) 。 • ネットワークへのユーザのエントリ ポイントに基づいてさまざまなダウンロード可能 ACL と NAR を適用できるようにするネットワーク アクセス フィルタ(P.4-4 の「ネットワーク アク セス フィルタ」を参照)。 • Network Access Profile の設定に応じて、ユーザをイネーブルまたはディセーブルにする機能 (P.14-36 の「NAP の認可ポリシーの設定」を参照) 。 • エンドユーザ クライアント ホストの IP アドレス設定に使用する IP プール(P.5-24 の「IP アド レス割り当て方式をユーザ グループに対して設定する」を参照) 。 • ユーザあたりおよびグループあたりの TACACS+ アトリビュートまたは RADIUS アトリ ビュート(P.2-7 の「高度なオプションの表示」を参照) 。 • VoIP のサポート。アカウンティング データを設定可能なロギングを含む(P.5-5 の「VoIP サ ポートをユーザ グループに対してイネーブルにする」を参照) 。 アカウンティング AAA クライアントは、RADIUS プロトコルおよび TACACS+ プロトコルが提供するアカウンティ ング機能を使用して、各ユーザ セッションに関するデータを AAA サーバに記録するために送りま す。アカウンティング ログ ファイルを一般的に使用されているデータベースや表計算アプリケー ションに簡単にインポートして、課金処理、セキュリティ監査、レポート作成などに利用できます。 サード パーティ製のレポート ツールを使用してアカウンティング データを管理することもできま す。 ACS は、設定に応じて、アカウンティングの記録を次の 1 つ以上のファイルに書き込みます。 • カンマ区切り形式(CSV)ログ ファイル • syslog ファイル • ODBC データベース(ACS for Windows のみ) 作成できるアカウンティング ログには、次の種類があります。 • TACACS+ Accounting:セッションの開始時刻と終了時刻の一覧表示、ユーザ名付き AAA ク ライアント メッセージの記録、発信番号識別情報の提供、および各セッションの継続時間の記 録を行います。 Cisco Secure ACS Solution Engine ユーザ ガイド 1-16 OL-14386-01-J 第1章 概要 ACS の機能と概念 • RADIUS Accounting:セッションの開始時刻と終了時刻の一覧表示、ユーザ名付き AAA クラ イアント メッセージの記録、発信番号識別情報の提供、および各セッションの継続時間の記録 を行います。 • VoIP Accounting:VoIP セッションの開始時刻と終了時刻、ユーザ名付き AAA クライアント メッセージ、Caller Line identification(CLID; 発信番号識別)情報、および VoIP セッション継 続時間を記録します。 ACS のロギング機能の詳細については、第 10 章「ログとレポート」を参照してください。 アカウンティングに関連するその他の機能 この項で述べたアカウンティングに関連する機能に加えて、ACS は次の機能を提供します。 • 次の集中ロギング − 複数の ACS インストールで、それぞれのアカウンティング データを単一のリモート ACS に転送できます。 − ACS SE では、集中ロギングにリモート エージェントを使用します。 詳細については、P.10-10 の「ACS for Windows のリモート ロギング」を参照してください。 • 設定可能な補助ユーザ ID フィールド。ログにある追加情報を取得するために使用します(P.2-6 の「ユーザ データのカスタマイズ」を参照)。 • 設定可能なログ。必要な情報を取得できます(P.10-2 の「AAA 関連ログ」を参照) 。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 1-17 第1章 概要 ACS の管理 ACS の管理 AAA の機能を設定、維持、保護するために、ACS では柔軟な管理方式が使用されています。ACS の管理タスクは、ほとんどすべてを Web インターフェイスを介して実行できます。Web インター フェイスを使用すると、LAN または WAN の任意の接続から ACS の設定を容易に変更して、その 設定を Web ブラウザで表示できます。サポートされているブラウザのリストについては、 http://www.cisco.com/en/US/products/sw/secursw/ps5338/prod_release_note09186a00805efcbc.html にある 最新バージョンの『Release Notes for Cisco Secure ACS Release 4.2』を参照してください。 Web インターフェイスでは、ユーザ情報とグループ情報を表示、編集できるだけでなく、サービス の再起動、リモート管理者の追加、AAA クライアント情報の変更、システムのバックアップ、ネッ トワーク上の任意の場所からのレポート表示なども実行できます。 この項では、ACS インターフェイスについて説明し、次のトピックについて取り上げます。 • Web インターフェイスのセキュリティ(P.1-18) • Cisco Security Agent の統合(ACS SE のみ) (P.1-18) • 管理セッション用の HTTP ポートの割り当て(P.1-20) • Web インターフェイスのレイアウト(P.1-21) • Web インターフェイス用の URL(P.1-22) • オンライン ヘルプとオンライン マニュアル(P.1-23) Web インターフェイスのセキュリティ Web インターフェイスにアクセスするには、有効な管理者名とパスワードが必要です。管理者のク レデンシャルは、ACS Login ページで暗号化されてから ACS に送信されます。 管理セッションは、一定のアイドル時間(設定可能)が経過するとタイムアウトします。それでも、 各セッションが終了したら Web インターフェイスからログアウトすることを推奨します。アイド ル タイムアウト機能の設定については、P.11-11 の「アクセス ポリシーの設定」および P.11-22 の 「Access Policy Setup ページ」を参照してください。 管理セッション用に Secure Sockets Layer(SSL)をイネーブルにできます。イネーブルにすると、 Web ブラウザと ACS との通信がすべて暗号化されます。ただし、ブラウザが SSL をサポートして いる必要があります。この機能は、Administration Control セクションの Access Policy Setup ページで イネーブルにできます。Web インターフェイスのセキュリティを確保するために SSL をイネーブ ルにする方法については、P.11-11 の「アクセス ポリシーの設定」および P.11-22 の「Access Policy Setup ページ」を参照してください。 Cisco Security Agent の統合(ACS SE のみ) CSA は ACS SE を保護します。ACS に CSA 更新を適用しているか、CSA が組み込まれたアプライ アンス ベース イメージを使用しているかにかかわらず、CSA はウイルス、ワーム、および攻撃か ら ACS を保護するのに役立ちます。ACS SE では、ACS が保護を行いながら正常に動作できるよう にシスコが設定したスタンドアロン モードで CSA は動作します。 (注) CSA が組み込まれた最初のアプライアンス ベース イメージのバージョンは、3.3.1.3 です。show コ ンソール コマンドか、Web インターフェイスの System Configuration セクションにある Appliance Upgrade Status ページを使用して、アプライアンス ベース イメージのバージョンを判別できます。 Cisco Secure ACS Solution Engine ユーザ ガイド 1-18 OL-14386-01-J 第1章 概要 ACS の管理 ここでは、次の項目について説明します。 • Cisco Security Agent のサービス管理(P.1-19) • Cisco Security Agent のロギング(P.1-19) • Cisco Security Agent の制限(P.1-19) • Cisco Security Agent のポリシー(P.1-20) Cisco Security Agent のサービス管理 CSA は、アプライアンスで CSAgent という名前の追加サービスとして動作します。 CSAgent を管理するには、アプライアンスのコンソールから start、stop、および restart コマンド を使用します。これらのコマンドの詳細については、 『Installation Guide for Cisco Secure ACS Solution Engine Release 4.2』を参照してください。 HTML インターフェイスから System Configuration セクションの Appliance Configuration ページを使 用すると、CSAgent をイネーブルまたはディセーブルにできます。詳細については、P.7-26 の「ア プライアンスの設定 (ACS SE のみ) 」を参照してください。 Cisco Security Agent のロギング CSA は、アプライアンスのハード ドライブに CSALog と CSASecurityLog の 2 つのログを書き込み ます。各ログの最大サイズは 1 MB です。CSA ログが 1 MB を超えると、CSA は新しいログ ファイ ルを生成します。ACS では、各 CSA ログの最新の 3 ファイルが保持されます。 アプライアンスのコンソールから exportlogs コマンドを使用すると、CSA ログを取得できます。 exportlogs コマンドまたはコンソールの使用方法については、 『Installation Guide for Cisco Secure ACS Solution Engine Release 4.2』を参照してください。 Web インターフェイスから System Configuration セクションの View Diagnostic Logs ページにあるリ ンクをクリックすると、CSA ログを表示できます。 Cisco Security Agent の制限 CSAgent がイネーブルの場合、CSA がアプライアンスに提供する保護によって次の制限が加えられ ます。 • Upgrade and Patch Restriction:System Configuration セクションの Appliance Upgrade Status ペー ジ、またはアプライアンスのコンソールで upgrade コマンドを使用してアップグレードやパッ チを適用することはできません。ACS をアップグレードしたり、パッチを適用したりするには、 最初に CSAgent をディセーブルにする必要があります。 • ping Restriction:CSA は、ACS SE が他のコンピュータから受信した ping 要求に応答すること を許可しません。ただし、アプライアンスのコンソールでの ping コマンドの使用には影響しま せん。CSAgent をディセーブルにして ACS SE が ping 要求に応答するのを許可する場合、 CSAgent がディセーブルである限り、CSA の保護は実行されません。 CSAgent のディセーブル化については、P.1-19 の「Cisco Security Agent のサービス管理」を参照し てください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 1-19 第1章 概要 ACS の管理 Cisco Security Agent のポリシー CSA には次のポリシーが設定されています。 • Application Control:CSA は ACS が正常に動作するために必要なアプリケーションの実行だけ を許可します。この保護のため、アップグレードまたはパッチを適用する前に CSA をディセー ブルにする必要があります。 • File Access Control:CSA は ACS が正常に動作するために必要なアプリケーションのみのファ イル システム アクセスを許可します。 • IP and Transport Control:CSA は次の保護を行います。 − 無効な IP ヘッダーの廃棄 − 無効な転送ヘッダーの廃棄 − TCP/UDP ポート スキャンの検出 − アプライアンスによるポート スキャン防止の非表示化 − TCP ブラインド セッション スプーフィングの防止 − TCP SYN フラッドの防止 − ICMP 変換チャネルのブロック − ping などの危険な ICMP メッセージのブロック − IP 送信元ルーティングの防止 − トレース ルーティングの防止 • E-mail Worm Protection:CSA は、電子メール ワームからアプライアンスを保護します。 • Registry Access Control:CSA は、アプライアンスが適切に動作するためにアクセスする必要の あるアプリケーションへのレジストリ アクセスだけを許可します。 • Kernel Protection:CSA は、システムの起動が完了した後にカーネル モジュールのロードを許 可しません。 • Trojan and Malicious Application Protection:CSA の保護により、アプリケーションは次の操作 を実行できません。 − 他のアプリケーションが所有しているスペースへのコードの書き込み − ActiveX コントロールのダウンロードおよび実行 − ダウンロードされたプログラムの自動実行 − オペレーティング システムのパスワード情報への直接アクセス − 他のプロセスが所有しているメモリへの書き込み − ネットワークへのアクセス時のキー入力の監視 管理セッション用の HTTP ポートの割り当て HTTP ポート割り当て機能を使用して、管理 HTTP セッション用に ACS が使用する TCP ポートの 範囲を設定できます。この範囲を HTTP ポート割り当て機能によって狭めることで、管理セッショ ンのために開いたポートによってネットワークへの不正なアクセスが発生するリスクが少なくな ります。 ACS をファイアウォールを通して管理することは、シスコでは推奨していません。ファイアウォー ルを通しての管理には、ACS が使用する HTTP 管理セッションのポート範囲全体で HTTP トラ フィックを許可するように、ファイアウォールを設定する必要があります。この範囲を狭くして不 正なアクセスによるリスクが減っても、ACS をファイアウォールの外から管理することを許可すれ ば、より大きな攻撃のリスクが残ります。ポート 2002 は、管理セッションの起動時に Web ブラウ ザがアクセスする必要があるため、ACS の管理ポート範囲外の HTTP トラフィックを許可するよう に設定されたファイアウォールは、このポートの HTTP トラフィックも許可する必要があります。 Cisco Secure ACS Solution Engine ユーザ ガイド 1-20 OL-14386-01-J 第1章 概要 ACS の管理 (注) HTTP ポート範囲を広くすると、セキュリティ上のリスクが高くなる可能性があります。不正な ユーザが偶然にアクティブな管理ポートを発見することを避けるため、HTTP ポート範囲はなるべ く狭くしてください。ACS は、各管理セッションに関連付けられた IP アドレスをトラッキングし ます。不正なユーザは、アクティブな管理セッションの HTTP ポートを悪用するために、正当なリ モート ホストの IP アドレスになりすます(スプーフィングを行う)ことがあります。 HTTP ポート割り当て機能の設定については、P.11-11 の「アクセス ポリシーの設定」および P.11-22 の「Access Policy Setup ページ」を参照してください。 Web インターフェイスのレイアウト Web インターフェイスには、縦割りの 3 つのパーティションがあり、これらはフレームと呼ばれま す。 • Navigation Bar:ブラウザ ウィンドウの左側にある灰色のフレームで、タスク ボタンを表示す るナビゲーション バーです。各ボタンは、コンフィギュレーション領域を ACS アプリケーショ ン固有のセクション、たとえば、User Setup セクションや Interface Configuration セクションに 変更します。このフレームの内容は変わらず、常に次のボタンが表示されています。 − User Setup:ユーザ プロファイルの追加や編集を行います。User Setup セクションの詳細 については、第 6 章「ユーザ管理」を参照してください。 − Group Setup:ユーザのグループ用にネットワーク サービスとプロトコルを設定します。 Group Setup セクションの詳細については、第 5 章「ユーザ グループ管理」を参照してく ださい。 − Shared Profile Components:ネットワーク アクセス制限およびコマンド認可セットの追加 や編集を行います。ユーザとグループに適用されます。Shared Profile Components セクショ ンの詳細については、第 4 章「共有プロファイル コンポーネント」を参照してください。 − Network Configuration:ネットワーク アクセス デバイスの追加や編集、分散システムの設 定を行います。Network Configuration セクションの詳細については、第 3 章「ネットワー ク設定」を参照してください。 − System Configuration:システム レベルの機能を設定します。Web インターフェイスのこ の大きなセクションについては、4 つの章で説明しています。バックアップのスケジュー リング、サービス制御などの基本機能については、第 7 章「システム設定:基本」を参照 してください。データベース複製などの高度な機能については、第 8 章「システム設定: 高度」を参照してください。認証プロトコルおよび証明書関連機能の設定については、第 9 章「システム設定:認証と証明書」を参照してください。ログとレポートの設定について は、第 10 章「ログとレポート」を参照してください。 − Interface Configuration:設定対象となる製品機能とオプションを表示したり非表示にした りします。Interface Configuration セクションの詳細については、第 2 章「Web インターフェ イスの使用方法」を参照してください。 − Administration Control:アクセス ポリシーの定義や設定を行います。Administration Control セクションの詳細については、第 11 章「管理者と管理ポリシー」を参照してください。 − External User Databases:データベース、未知ユーザ ポリシー、およびユーザ グループ マッピングを設定します。データベースを設定する方法については、第 12 章「ユーザ デー タベース」を参照してください。未知ユーザ ポリシーについては、第 15 章「未知ユーザ ポリシー」を参照してください。ユーザ グループ マッピングについては、第 16 章「ユー ザ グループ マッピングと仕様」を参照してください。 − Posture Validation:NAC を適用するよう設定された AAA クライアントを介してネット ワークにアクセスするコンピュータの、アクセス許可の程度を制御できます。ポスチャ確 認の詳細については、第 13 章「ポスチャ確認」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 1-21 第1章 概要 ACS の管理 − Network Access Profiles:ユーザがネットワークに接続できる条件を設定し、ネットワーク へのアクセス要求が適用される方法を指定します。ネットワーク アクセス プロファイルお よびプロファイルベースのポリシーを設定する方法の詳細については、第 14 章「ネット ワーク アクセス プロファイル」を参照してください。 − Reports and Activity:アカウンティング情報およびロギング情報を表示します。レポート の表示については、第 10 章「ログとレポート」を参照してください。 − Online Documentation:ユーザ ガイドを確認します。オンライン マニュアルの使用につい ては、P.1-23 の「オンライン ヘルプとオンライン マニュアル」を参照してください。 • Configuration Area:ブラウザ ウィンドウ中央のフレームはコンフィギュレーション領域で、ナ ビゲーション バーのボタンが表すセクションの 1 つに属する Web ページが表示されます。コ ンフィギュレーション領域で、情報を追加、編集、削除します。たとえば、User Setup Edit ペー ジのこのフレームで、ユーザ情報を設定します。 (注) ほとんどのウィンドウには、一番下に Submit ボタンがあります。変更内容を確定する には、Submit をクリックします。Submit をクリックしないと、変更内容は保存されま せん。 • Display Area:ブラウザ ウィンドウの右側にあるペインはディスプレイ領域で、次のオプショ ンのいずれかが表示されます。 − Online Help:コンフィギュレーション領域に現在表示されているページに関する基本的な ヘルプが表示されます。このヘルプはセクションの詳細情報ではなく、中央部のフレーム で実行できる作業に関する基本情報を表示します。オンライン ヘルプの詳細については、 P.1-23 の「オンライン ヘルプの使用方法」を参照してください。 − Reports or Lists:アカウンティング レポートを含む、リストまたはレポートが表示されま す。たとえば、User Setup では、特定の文字で始まるすべてのユーザ名を表示することが できます。特定の文字で始まるユーザ名のリストが、このセクションに表示されます。ユー ザは特定のユーザ設定にリンクするハイパーリンク形式で表示されるので、名前をクリッ クするだけでそのユーザの編集が可能になります。 − System Messages:誤ったデータまたは不完全なデータを入力して Submit をクリックする と、エラー メッセージが表示されます。たとえば、User Setup セクションで、Password ボッ クスに入力した情報と Confirm Password ボックスの情報とが一致しない場合、ACS はエ ラー メッセージを表示します。誤った情報はコンフィギュレーション領域に表示されたま まであるため、これを正しい情報を入力し直して、再提示できます。 Web インターフェイス用の URL 次の URL のいずれかを使用して、ACS Web インターフェイスにアクセスできます。 • http://IP address:2002 • http://hostname:2002 IP address には ACS が動作しているサーバのドット付き 10 進表記の IP アドレス、hostname にはホ スト名が入ります。ホスト名を使用している場合は、ネットワークで DNS が正しく機能している か、またはブラウザを実行しているコンピュータのローカル ホスト ファイルにホスト名が記載さ れている必要があります。 SSL を使用して管理セッションを保護するように ACS が設定されている場合は、URL で HTTPS プ ロトコルを指定する必要があります。 • https://IP address:2002 • https://hostname:2002 Cisco Secure ACS Solution Engine ユーザ ガイド 1-22 OL-14386-01-J 第1章 概要 ACS の管理 SSL がイネーブルになっている場合は、HTTPS を指定しなくても、ACS によって最初の要求が HTTPS へリダイレクトされます。SSL を使用してログイン ページにアクセスすると、管理者クレ デンシャルが保護されます。管理セッションを保護するための SSL のイネーブル化については、 P.11-11 の「アクセス ポリシーの設定」および P.11-22 の「Access Policy Setup ページ」を参照して ください。 ACS を実行しているコンピュータからは、次の URL も使用できます。 • http://127.0.0.1:2002 • http://localhost:2002 SSL がイネーブルになっている場合は、次のように URL で HTTP プロトコルを指定できます。 • https://127.0.0.1:2002 • https://localhost:2002 オンライン ヘルプとオンライン マニュアル Web インターフェイスから 2 つの情報源にアクセスできます。 • オンライン ヘルプ:コンフィギュレーション領域に表示されるページに関する基本情報です。 • オンライン マニュアル:ユーザ ガイド全体が確認できます。 オンライン ヘルプの使用方法 Web インターフェイスの各ページには、対応するオンライン ヘルプのページがあります。オンラ イン ヘルプの各ページには、現在の Web ページに対応するトピックがリストされます。 ACS のページには、次の 2 つのヘルプ アイコンが表示されます。 • Question Mark:コンフィギュレーション領域にあるページのサブセクションの多くに、疑問 符のアイコン(?)があります。オンライン ヘルプ ページの該当するトピックにジャンプする には、この疑問符アイコンをクリックします。 • Back to Help:Section Information アイコンでオンライン マニュアルページにジャンプすると、 コンフィギュレーション領域の対応するページに、Back to Help アイコンが表示されます。 Section Information アイコンをクリックしてオンライン マニュアルにアクセスしているとき、再 びオンライン ヘルプのページを表示するには、Back to Help アイコンをクリックします。 オンライン ユーザ ガイドの使用方法 ユーザ ガイドには、ACS の設定、動作、概念についての情報が記載されています。ユーザ ガイド のオンライン マニュアルに含まれる情報は、使用しているバージョンの ACS のリリース日時点の ものです。ACS の最新のマニュアルについては、http://www.cisco.com を参照してください。 オンライン マニュアルにアクセスするには、次の手順を実行します。 ステップ 1 ACS の Web インターフェイスで、Online Documentation をクリックします。オンライン マニュア ルの使用については、P.1-26 の「オンライン マニュアル リファレンス」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 1-23 第1章 概要 ACS の仕様 ACS の仕様 (注) ハードウェア、オペレーティング システム、サードパーティ ソフトウェア、およびネットワーク の要件については、 『Installation Guide for Cisco Secure ACS for Windows Release 4.2』 または 『Installation Guide for Cisco Secure ACS Solution Engine Release 4.2』を参照してください。 ここでは、次の項目について説明します。 • システム パフォーマンス仕様(P.1-24) • ACS Windows サービス(P.1-25) システム パフォーマンス仕様 ACS で実現されるパフォーマンスは、インストールされている Windows サーバ、ネットワーク ト ポロジとネットワーク管理、ユーザ データベースの選択、およびその他の要因に大きく依存しま す。たとえば、内部ユーザ データベースを使用し、使用可能な最高速のプロセッサとネットワーク インターフェイス カードを使用するコンピュータ上で動作している ACS は、外部ユーザ データ ベースを使用し、最小システム要件に適合するコンピュータ上で動作している CiscoSecure ACS よ りも、1 秒間に実行できる件数が多くなります(『Installation Guide for Cisco Secure ACS for Windows Release 4.2』または『Installation Guide for Cisco Secure ACS Solution Engine Release 4.2』を参照)。 システム パフォーマンスについて、よくある質問に対する一般的な回答を次に示します。使用する ネットワークにおける ACS のパフォーマンスは、そのネットワーク特有の環境および AAA 要件に よって異なります。 • ACS 内部データベースがサポートする最大ユーザ数:ACS 内部ユーザ データベースがサポー ト可能なユーザ数に、理論的な制限はありません。シスコでは 100,000 を超えるユーザのデー タベースで ACS をテスト済みです。実際には、1 台の ACS が内部および外部のデータベース 全部に対して認証できるユーザ数の上限は、300,000 ∼ 500,000 です。何台かの複製された ACS インスタンスに認証の負荷が分散されていると、この数は大幅に増加します。 • トランザクション件数 / 秒:1 秒あたりの認証トランザクションと認可トランザクションの件 数を決定する要素は数多くありますが、大部分は ACS の外部の要素です。たとえば、外部ユー ザ データベースとの通信時にネットワーク待ち時間が長くなると、ACS が処理できる 1 秒あた りのトランザクション件数が少なくなります。 • サポートされる最大 AAA クライアント数:ACS は、約 50,000 台の AAA クライアント設定に 対して AAA サービスをサポートできることがテストによって検証されています。この制限は、 主に ACS メモリの制限によるものです。 ネットワークが数万台の AAA クライアントで構成されている場合は、複数の ACS を使用して、 各 ACS に管理しやすい数の AAA クライアントを割り当てることを推奨します。たとえば、 80,000 台の AAA クライアントがある場合は、4 台の ACS サーバを使用して AAA クライアン トによる負荷を分散することで、管理する AAA クライアント設定の数が 40,000 台を超える ACS が 1 台もないようにできます。次に、バックアップの AAA サーバで AAA クライアント を重複してサポートすると、AAA クライアントの限界である 50,000 台を超えることはありま せん。複製を利用して、設定データを複数の ACS に拡大する場合、AAA クライアント データ は、同じ AAA クライアント セットにサービスを提供する ACS だけに複製してください。 Cisco Secure ACS Solution Engine ユーザ ガイド 1-24 OL-14386-01-J 第1章 概要 ACS の仕様 ACS Windows サービス ACS は、Microsoft Windows のサービスとして動作します。ACS をインストールすると、これらの Windows サービスがサーバに追加されます。これらのサービスは、ACS の中心となる機能を提供し ます。 ACS を実行しているコンピュータにおける ACS サービスは、次のとおりです。 • CSAdmin:ACS の管理用 Web インターフェイスを提供します。 • CSAuth:認証サービスを提供します。 • CSDBSync:ACS 内部データベースを外部 RDBMS アプリケーションに同期させます。 • CSLog:ロギング サービスを、アカウンティングとシステム アクティビティに対して提供しま す。 • CSMon:ACS のパフォーマンスと動作の監視、記録、および通知を行います。 • CSTacacs:TACACS+ AAA クライアントと CSAuth サービスの間の通信を提供します。 • CSRadius:RADIUS AAA クライアントと CSAuth サービスの間の通信を提供します。 各サービスの詳細については、付録 F「内部アーキテクチャ」を参照してください。 これらの各モジュールの開始および終了は、個別にシリアル コンソールおよび Microsoft Windows のコントロール パネルにあるサービスから行うことも、グループとしてシリアル コンソールまた は ACS Web インターフェイスから行うこともできます。シリアル コンソールを使用した ACS サー ビスの開始と終了については、 『Installation Guide for Cisco Secure ACS Solution Engine Release 4.2』を 参照してください。Web インターフェイスを使用した ACS サービスの開始と終了については、P.7-2 の「サービス制御」を参照してください。サービス ログやトラブルシューティング用のデータの収 集については、P.10-13 の「サービス ログ」を参照してください。 高度なレベルのセキュリティ サービスを提供するネットワーク管理者、およびパスワードの不正な 取得による不正アクセスの可能性を低減しようとする企業は、OTP を使用できます。ACS は、 Point-to-Point Protocol(PPP; ポイントツーポイント プロトコル)のリモート ノード ログインに対応 した Password Authentication Protocol(PAP; パスワード認証プロトコル)を含む、いくつかの種類の OTP ソリューションをサポートしています。その中でも最強の OTP 認証メカニズムの 1 つと考え られているのが、トークン カードです。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 1-25 第1章 概要 オンライン マニュアル リファレンス オンライン マニュアル リファレンス 表 1-6 は、オンライン マニュアル インターフェイスのオプションです。 表 1-6 オンライン マニュアル オプション 説明 Home オンライン マニュアルの先頭ページを開きます(ユーザ ガイド第 1 章の最初の ページ)。 Search Search ページを開きます。検索する文字列を入力します。Any Words を選択する と、検索文字列のいずれかの語が含まれるトピックのリストが表示されます。All Words を選択すると、検索文字のすべての語が含まれるトピックのリストが表示 されます。Using Search をクリックすると、検索の詳細が表示されます。 Using Help Using Help ページを開きます。このページには、ACS オンライン マニュアルの使 い方のヒントが表示されます。 Glossary インターネットワーキングの専門用語や略語に関するシスコのオンライン用語集 を開きます。 View PDF ユーザ ガイドを PDF 形式で表示します。 Contents ユーザ ガイドの全トピックの一覧が表示されます。適切なトピックをクリックす ると、対応するオンライン マニュアル ページが開きます。 Index ユーザ ガイドの全索引が表示されます。文字をクリックすると、索引の特定の項 に移動します。適切なトピック エントリをクリックすると、対応するオンライン マニュアル ページが開きます。 Cisco Secure ACS Solution Engine ユーザ ガイド 1-26 OL-14386-01-J 第1章 概要 関連マニュアル 関連マニュアル (注) 初版発行後、印刷物または電子マニュアルのアップデートを行う場合があります。マニュアルの アップデートについては、Cisco.com で確認してください。 次の項では、ACS および関連項目のさまざまな関連マニュアルを紹介します。 TACACS+ 関連マニュアル Cisco TACACS+ プロトコルの概要: http://www.cisco.com/en/US/tech/tk59/technologies_tech_note09186a0080094e99.shtml ネットワーク アドミッション コントロール(NAC)関連マニュアル NAC に関する一般的な情報、および NAC に関する補足 Web ページへのリンク: http://www.cisco.com/go/NAC NAC の技術マニュアルに関する情報: http://www.cisco.com/en/US/netsol/ns617/networking_solutions_documentation_roadmap09186a008066499 c.html Requests for Comments(RFC) ACS で使用されている一部のセキュリティ プロトコルに関する説明: • RFC 2865:Remote Authentication Dial In User Service(RADIUS) http://www.rfc-archive.org/getrfc.php?rfc=2865 • RFC 3748:PPP Extensible Authentication Protocol (EAP) http://www.rfc-archive.org/getrfc.php?rfc=3748 • RFC 4346:Transport Layer Security (TLS) Protocol Version 1.1 http://www.rfc-archive.org/getrfc.php?rfc=4346 • RFC PPP EAP TLS Authentication Protocol http://www.rfc-archive.org/getrfc.php?rfc=2716 テクノロジーに関するホワイト ペーパー Cisco.com および Cisco Connection Online(CCO)には、ネットワーク セキュリティの基本概念や、 ACS のインストールを計画、設定するための情報がまとめられたホワイト ペーパーが多数ありま す。 ACS 関連のホワイト ペーパー一覧: http://www.cisco.com/en/US/partner/products/sw/secursw/ps2086/prod_white_papers_list.html Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 1-27 第1章 概要 関連マニュアル 関連項目の補足ホワイト ペーパー: • Network Security Policy: Best Practices White Paper http://www.cisco.com/en/US/tech/tk869/tk769/technologies_white_paper09186a008014f945.shtml • Delivering End-to-End Security in Policy-Based Networks http://www.cisco.com/warp/public/cc/pd/nemnsw/cap/tech/deesp_wp.htm • Cisco IOS Security Configuration Guide http://www.cisco.com/univercd/cc/td/doc/product/software/ios121/121cgcr/secur_c/scdoverv.htm • Extensible Authentication Protocol Transport Layer Security Deployment Guide for Wireless LAN Networks http://www.cisco.com/en/US/products/hw/wireless/ps430/products_white_paper09186a008009256b.shtml 質問と回答のページ Cisco EAP-FAST に関する一般的な質問と回答は Cisco EAP-FAST Q&A ページを参照: http://www.cisco.com/en/US/products/hw/wireless/ps430/products_qanda_item09186a00802030dc.shtml チュートリアル 「ACS Primer」ACS 4.0 のトレーニング コース: http://www.cisco.com/application/pdf/en/us/guest/products/ps2086/c1161/cdccont_0900aecd8040daa7.pdf ソフトウェアのダウンロード Cisco Authentication Agent など、このマニュアルに記載されているシスコのソフトウェアは、Cisco Software Center からダウンロードできます。 http://www.cisco.com/public/sw-center/ Cisco Secure ACS Solution Engine ユーザ ガイド 1-28 OL-14386-01-J C H A P T E R 2 Web インターフェイスの使用方法 Cisco Secure Access Control Server Release 4.2(以降は ACS と表記)の Web インターフェイスは、使 いやすさに重点を置いた設計になっています。ACS は、ネットワーク セキュリティの複雑な概念 を管理者の視点から表します。ACS Web インターフェイスの設定は、ACS の Interface Configuration セクションを使用して行います。その際、使用しない機能を画面から隠し、実際の構成に応じて フィールドを追加することで、シンプルな画面になるようにインターフェイスを調整できます。 (注) ヒント このセクションに戻って、初期設定の見直しと確認を行うことを推奨します。ACS の設定は、正し くはインターフェイスの設定から始めますが、最初に非表示にする必要があると考えた Web イン ターフェイスのセクションが、後で設定が必要になる場合があります。 ACS Web インターフェイスの一部が表示されていなかったり、表示が正常でない場合は、Interface Configuration セクションに戻り、問題のある部分がアクティブになっているかどうかを確認してく ださい。 この章は、次の項で構成されています。 • 管理セッション(P.2-2) • ユーザ アクセスの設定(P.2-5) • ユーザ データのカスタマイズ(P.2-6) • 高度なオプションの表示(P.2-7) • TACACS+ 設定オプションの表示(P.2-8) • RADIUS 設定オプションの表示(P.2-9) • Interface Configuration リファレンス(P.2-13) Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 2-1 第2章 Web インターフェイスの使用方法 管理セッション 管理セッション 管理セッションを起動するときは、HTTP プロキシ サーバ、ブラウザと ACS 間のファイアウォー ル、およびブラウザと ACS 間の NAT ゲートウェイを使用しないことを推奨します。これらの制限 は現実的に不可能な場合もあるため、この項では、さまざまなネットワーク環境の問題が管理セッ ションに及ぼす影響について説明します。 ここでは、次の項目について説明します。 • 管理セッションと HTTP プロキシ(P.2-2) • ファイアウォールを通した管理セッション(P.2-2) • NAT ゲートウェイを通した管理セッション(P.2-3) • Web インターフェイスへのアクセス(P.2-3) • Web インターフェイスからのログオフ(P.2-4) 管理セッションと HTTP プロキシ ACS は、管理セッション用として HTTP プロキシをサポートしていません。管理セッションに使用 するブラウザがプロキシ サーバを使用するように設定されていると、ACS は、管理セッションが コンピュータの実際のアドレスではなくプロキシ サーバの IP アドレスから出ていると認識しま す。管理セッションのトラッキングは、固有の IP を持つコンピュータに各ブラウザがあることを 想定しています。 また、代理処理された管理セッションの IP フィルタリングは、コンピュータの IP アドレスではな くプロキシ サーバの IP アドレスに基づく必要があります。これは、コンピュータの実際の IP アド レスを使用する管理セッションの通信と衝突します。管理セッションの IP フィルタリングの詳細 については、P.11-11 の「アクセス ポリシーの設定」および P.11-22 の「Access Policy Setup ページ」 を参照してください。 これらの理由により、プロキシ サーバを使用するように設定した Web ブラウザを使用した管理 セッションの実行は推奨していません。プロキシ対応の Web ブラウザを使用した管理セッション については、テストを行っていません。Web ブラウザがプロキシ サーバを使用するように設定さ れている場合、ACS 管理セッションを行う際には、HTTP プロキシを無効にしてください。 ファイアウォールを通した管理セッション ファイアウォールが Network Address Translation(NAT; ネットワーク アドレス変換)を実行しない 場合、ファイアウォールを越えて管理セッションを行うには、ACS およびファイアウォールに設定 を追加する必要があります。これは、ACS が管理セッションの開始時にランダムに HTTP ポートを 割り当てるためです。 ACS を保護するファイアウォールの外にあるブラウザからの管理セッションでは、ACS で使用す るように設定したポート範囲全体で HTTP トラフィックを許可する必要があります。HTTP ポート の範囲は、HTTP ポート割り当て機能を使用して制御できます。HTTP ポート割り当て機能の詳細 については、P.1-20 の「管理セッション用の HTTP ポートの割り当て」を参照してください。 NAT を実行しないファイアウォールを通した ACS の管理は可能ですが、シスコでは推奨していま せん。詳細については、P.1-20 の「管理セッション用の HTTP ポートの割り当て」を参照してくだ さい。 Cisco Secure ACS Solution Engine ユーザ ガイド 2-2 OL-14386-01-J 第2章 Web インターフェイスの使用方法 管理セッション NAT ゲートウェイを通した管理セッション NAT を実行しているネットワーク デバイスを通して管理セッションを実行することは推奨しませ ん。NAT ゲートウェイの背後にあるコンピュータで管理者がブラウザを実行すると、ACS は、NAT デバイスのパブリック IP アドレスからの HTTP 要求を受信します。これは、HTTP 要求に含まれる コンピュータのプライベート IP アドレスと衝突します。ACS はこれを許可しません。 ACS が NAT ゲートウェイの背後にあり、Web インターフェイスへのアクセスに使用する URL が ACS をホスト名で指定している場合、管理セッションは正常に動作します。ただし、ネットワーク 上の DNS が正しく機能しているか、Web インターフェイスへのアクセスに使用しているコン ピュータの hosts ファイルに、ACS のエントリが存在している必要があります。 Web インターフェイスへのアクセスに使用する URL が ACS を IP アドレスで指定している場合は、 ポート 2002 へのすべての接続を同じポートを使用して ACS に転送するようにゲートウェイを設定 できます。さらに、HTTP ポート割り当て機能を使用できるポートはすべて、同様のマッピングが 可能です。シスコは、このような設定のテストは行っておらず、適用は推奨しません。 Web インターフェイスへのアクセス リモート管理セッションでは常に、Administration Control セクションに設定されている有効な管理 者名とパスワードでログインする必要があります。Administration Control セクションの Sessions Policy Setup ページで Allow automatic local login チェックボックスがオフになっていると、ACS は、 ACS を実行しているコンピュータ上のブラウザからの管理セッションに対して、有効な管理者名と パスワードを要求します。 始める前に Web インターフェイスへのアクセスに使用するコンピュータに、サポートされている Web ブラウ ザがインストールされているかどうかを確認します。インストールされていない場合は、サポート されている Web ブラウザをインストールするか、サポートされている Web ブラウザがすでにイン ストールされているコンピュータを使用します。サポートされているブラウザの一覧については、 『Release Notes for Cisco Secure ACS Release 4.2』を参照してください。リリース ノートの最新バー ジョンは、次の場所に掲示されています。 http://www.cisco.com/en/US/products/sw/secursw/ps5338/prod_release_note09186a00805efcbc.html Web インターフェイスはいくつかの場所で Java を使用するので、Web インターフェイスへのアク セスに使用する、ブラウザを実行しているコンピュータには、ブラウザで使用できる Java Virtual Machine が備わっている必要があります。 Web インターフェイスにアクセスするには、次の手順を実行します。 ステップ 1 Web ブラウザを開きます。サポートされている Web ブラウザについては、アクセスしているバー ジョンの ACS のリリース ノートを参照してください。リリース ノートの最新バージョンは、次の 場所に掲示されています。 http://www.cisco.com/en/US/products/sw/secursw/ps5338/prod_release_note09186a00805efcbc.html ステップ 2 Web ブラウザの Address バーまたは Location バーに、該当する URL を入力します。次の URL のい ずれかを使用して、ACS Web インターフェイスにアクセスできます。 • http://IP address:2002 • http://hostname:2002 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 2-3 第2章 Web インターフェイスの使用方法 管理セッション (注) IP address には ACS が動作しているサーバのドット付き 10 進表記の IP アドレス、hostname にはホスト名が入ります。ホスト名を使用している場合は、ネットワークで DNS が正しく 機能しているか、またはブラウザを実行しているコンピュータのローカル ホスト ファイル にホスト名が記載されている必要があります。 SSL を使用して管理セッションを保護するように ACS が設定されている場合は、URL で HTTPS プ ロトコルを指定する必要があります。 • https://IP address:2002 • https://hostname:2002 (注) SSL がイネーブルになっている場合は、HTTPS を指定しなくても、ACS によって最初の要 求が HTTPS へリダイレクトされます。SSL を使用してログイン ページにアクセスすると、 管理者クレデンシャルが保護されます。管理セッションを保護するための SSL のイネーブ ル化については、P.11-11 の「アクセス ポリシーの設定」および P.11-22 の「Access Policy Setup ページ」を参照してください。 ACS を実行しているコンピュータからは、次の URL も使用できます。 • http://127.0.0.1:2002 • http://localhost:2002 SSL がイネーブルになっている場合は、次のように URL で HTTPS プロトコルを指定できます。 ステップ 3 • https://127.0.0.1:2002 • https://localhost:2002 ACS のログイン ページが表示されたら、次の手順を実行します。 a. Username ボックスに、有効な ACS の管理者名を入力します。 b. Password ボックスに、指定した管理者名のパスワードを入力します。 c. Login をクリックします。 最初のページが表示され、ビルド情報と著作権情報が示されます。 Web インターフェイスからのログオフ Web インターフェイスの使用を終えたら、ログオフすることを推奨します。ACS は使用されていな い管理セッションをタイムアウトすることもできますが、ログオフすることによって、利用後のブ ラウザを使用して不正にアクセスされたり、管理セッションのサポート用に開かれたままの HTTP ポートを不正に利用されたりすることを防止できます。 ACS Web インターフェイスからログオフするには、画面の右上にある Logoff ボタン(X)をクリッ クします。 (注) Logoff(X)ボタンはブラウザ ウィンドウの右上隅に表示されていますが、最初のページでは、コ ンフィギュレーション領域の左上に表示されています。 Cisco Secure ACS Solution Engine ユーザ ガイド 2-4 OL-14386-01-J 第2章 Web インターフェイスの使用方法 ユーザ アクセスの設定 ユーザ アクセスの設定 ユーザ アクセスの設定は、重要な設定アクティビティです。 ここでは、ユーザ アクセスの設定について説明します。この項では、次のトピックについて取り上 げます ユーザとグループの関係(P.2-5) ネットワーク アクセス プロファイル(NAP) (P.2-5) ユーザごとの機能またはグループごとの機能(P.2-5) ユーザとグループの関係 ユーザが一度に 1 つのグループに所属するように設定できます。相反するアトリビュートがない限 り、ユーザはグループの設定を継承します。 (注) ユーザ プロファイルに、グループ プロファイルの同じアトリビュートと設定の異なるアトリ ビュートがある場合は、常にユーザ設定がグループ設定よりも優先されます。 ユーザに独自の設定要件がある場合は、そのユーザをグループの一部として User Setup ページでそ の独自の要件を設定するか、またはそのユーザをユーザ自身のグループに割り当てることができま す。詳細については、第 5 章「ユーザ グループ管理」および 第 6 章 「ユーザ管理」を参照してください。 ネットワーク アクセス プロファイル(NAP) NAP により、ユーザ設定やグループ設定だけに依存する必要がなくなりました。NAP を使用して 認可規則を設定することで、プロファイルの一部としてユーザ グループ、RAC、および DACL を 設定できます。詳細については、第 14 章「ネットワーク アクセス プロファイル」を参照してくだ さい。認可規則の詳細については、P.14-36 の「NAP の認可ポリシーの設定」を参照してください。 ユーザごとの機能またはグループごとの機能 ほとんどの機能はユーザ レベルとグループ レベルの両方で設定可能ですが、次の例外があります。 • ユーザ レベルのみ:スタティック IP アドレス、パスワード、および有効期間 • グループ レベルのみ:パスワード エージングおよび時間帯または曜日による制限 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 2-5 第2章 Web インターフェイスの使用方法 ユーザ データのカスタマイズ ユーザ データのカスタマイズ Configure User Defined Fields ページで、各ユーザの情報を記録するフィールドを 5 つまで追加(ま た は 編 集)で き ま す。こ の 項 で 定 義 す る フ ィ ー ル ド は、User Setup ペ ー ジ の 一 番 上 に あ る Supplementary User Information セクションに表示されます。たとえば、ユーザの会社名、電話番号、 部門、請求コードなどを追加できます。これらのフィールドをアカウンティング ログに含めること もできます。アカウンティング ログの詳細については、P.10-2 の「ACS ログとレポートについて」 を参照してください。ユーザ データ オプションを構成するデータ フィールドについては、P.E-27 の「ユーザ定義アトリビュート」を参照してください。 ユーザ データ フィールドを定義または編集するには、次の手順を実行します。 ステップ 1 Interface Configuration をクリックし、次に User Data Configuration をクリックします。 ステップ 2 P.2-13 の「Configure User Defined Fields ページ」が表示されます。このページでは、User Setup ペー ジの一番上の Supplementary User Information セクションに表示されるフィールドをイネーブルに し、定義または編集します。 ステップ 3 Submit または Cancel をクリックします。 ヒント フィールドのタイトルを編集するには、Field Title ボックスのテキストを変更してから、 Submit をクリックします。 Cisco Secure ACS Solution Engine ユーザ ガイド 2-6 OL-14386-01-J 第2章 Web インターフェイスの使用方法 高度なオプションの表示 高度なオプションの表示 Advanced Options ページでは、ACS で表示される高度なオプションを決定できます。あるいは、使 用しない高度なオプションを非表示にして、ACS Web インターフェイスの他の領域に表示される ページをシンプルにできます。 ACS Web インターフェイスでの高度なオプションを設定するには、次の手順を実行します。 ステップ 1 Interface Configuration をクリックし、次に Advanced Options をクリックして Advanced Options ペー ジを表示します。 ステップ 2 ACS Web インターフェイスでイネーブルにするオプションをオンにします。P.2-18 の「高度なオプ ション(Interface Configuration 用)」を参照してください。 注意 高度なオプションを Interface Configuration セクションでディセーブルにしても、そのオプションが Web インターフェイスで表示されないだけで、他の影響はありません。高度なオプションが表示 されている間に行われた設定は、その高度なオプションが表示されなくなっても引き続き有効で す。さらに、高度なオプションは、デフォルト以外の設定である場合は、その高度なオプションを 非表示に設定してもインターフェイスに表示されます。後でそのオプションをディセーブルにした 場合、または設定を削除した場合、ACS はその高度なオプションを非表示にします。唯一の例外 は、Network Device Groups オプションです。Network Device Groups は、それらを利用しているかど うかにかかわらず、Advanced Options ページで適切なチェックボックスがオンにされていない場合 は非表示になります。 ステップ 3 Submit をクリックします。 ACS は、Web インターフェイスのさまざまなセクションの内容を、選択に従って変更します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 2-7 第2章 Web インターフェイスの使用方法 TACACS+ 設定オプションの表示 TACACS+ 設定オプションの表示 TACACS+ (Cisco) ページでは、TACACS+ を設定するための ACS Web インターフェイスの設定が詳 細に表示されています。インターフェイス設定を使用して、TACACS+ の管理オプションとアカウ ンティング オプションを表示または非表示にできます。使用しない機能を非表示にすることで、 Web インターフェイスを見やすくできます。 (注) 1 つ以上の AAA クライアントが特定のプロトコルをサポートするように設定されている場合、 Internet Configuration ページには TACACS+ または RADIUS セキュリティ プロトコルが表示されま す。たとえば、Network Configuration セクションで AAA クライアントが、クライアントの Authenticate Using リストの RADIUS (Cisco VPN 3000/ASA/PIX 7.x+) を含むように設定した場合、 RADIUS (Cisco VPN 3000/ASA/PIX 7.x+) が表示されます。 (注) ACS Web インターフェイスでは、イネーブルになっているプロトコル オプションや、デフォルト でない値のプロトコル オプションは、そのプロトコル オプションを非表示に設定しても表示され ます。後でそのオプションをディセーブルにした場合、またはオプションの値を削除した場合は、 プロトコル オプションを非表示に設定したときに、ACS は、そのプロトコル オプションを非表示 にします。これによって、ACS がアクティブな設定を非表示にすることを防止できます。 この手順は、TACACS+ の管理オプションとアカウンティング オプションを表示または非表示にす るために使用します。TACACS+ に用意されているサービスおよびプロトコルをすべて使用するこ とはほとんどありません。すべて表示すると、ユーザまたはグループのセットアップが煩雑になり ます。セットアップを簡単にするために、TACACS+ (Cisco IOS) Edit ページを使用して、表示され るサービスとプロトコルをカスタマイズします。 TACACS+ オプション用のユーザ インターフェイスを設定するには、次の手順を実行します。 ステップ 1 Interface Configuration をクリックし、次に、TACACS+ (Cisco IOS) をクリックして TACACA+ (Cisco) ページを表示します。 ステップ 2 「TACACS+ Services 領域」では、該当するセットアップ ページに表示する各 TACACS+ サービスを 定義できます。 ステップ 3 Advanced Configuration Options 領域では、高度なオプションの表示をイネーブルにできます。 「高度 な設定オプション(TACACS+ 用) 」を参照してください。 ステップ 4 Submit をクリックします。 ここでの選択によって、ACS は Web インターフェイスの他のセクションで表示される TACACS+ オプションを決定します。 Cisco Secure ACS Solution Engine ユーザ ガイド 2-8 OL-14386-01-J 第2章 Web インターフェイスの使用方法 RADIUS 設定オプションの表示 RADIUS 設定オプションの表示 すべてのプロトコルの利用可能なアトリビュートをすべてインストールすることは、実際には考え られません。すべて表示すると、ユーザまたはグループのセットアップが煩雑になります。セット アップを簡単にするには、この項のオプションを使用して、表示されるアトリビュートをカスタマ イズします。サポートされている RADIUS AV ペアおよびアカウンティング AV ペアのリストにつ いては、付録 B「RADIUS アトリビュート」を参照してください。 Interface Configuration ページには、設定した AAA クライアントまたはクライアントに応じて、さま ざまな RADIUS プロトコル設定の選択肢が表示されます。どの RADIUS AAA クライアントを設定 した場合でも、RADIUS Internet Engineering Task Force(IETF)設定は必ず表示されます。また、各 ベンダー固有の RADIUS タイプに関する追加の設定も表示されます。各種の AAA クライアント用 に表示される設定項目は、そのタイプのデバイスが使用できる設定によって決まります。これらの 組み合せは、表 2-1 で詳しく説明しています。 表 2-1 RADIUS インターフェイスのリスト 設定する AAA クラ イアントの タイプ Interface Configuration ページに表示される設定のタイプ RADIUS RADIUS RADIUS RADIUS RADIUS RADIUS RADIUS RADIUS (IETF) (Cisco (Cisco (BBSM)(Cisco (Micro (Ascend)(Cisco IOS/PIX soft) VPN Airespace) Aironet) 3000/ 6.0) ASA/PIX 7.x+} RADIUS (IETF)/ RADIUS (iPass) Yes RADIUS RADIUS RADIUS RADIUS (Cisco (Juniper) (Nortel)(3CO VPN MUSR) 5000) No No No No No No No No No No No RADIUS Yes (Cisco Airespace) Yes No No No No No No No No No No RADIUS Cisco (Aironet) Yes No Yes No Yes No No No No No No No RADIUS (BBSM) Yes No No Yes No No No No No No No No RADIUS (Cisco IOS/PIX 6.0) Yes No No No Yes Yes Yes No No No No No RADIUS Yes (Ascend) No No No No Yes Yes No No No No No RADIUS (Cisco VPN3000/ ASA/PIX 7.x+) Yes No No No Yes Yes No Yes No No No No RADIUS Yes (Cisco VPN 5000) No No No No No No No Yes No No No Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 2-9 第2章 Web インターフェイスの使用方法 RADIUS 設定オプションの表示 表 2-1 RADIUS インターフェイスのリスト(続き) 設定する AAA クラ イアントの タイプ Interface Configuration ページに表示される設定のタイプ RADIUS Yes (Juniper) No No No No No No No No Yes No No RADIUS (Nortel) No No No No No No No No No Yes No Yes RADIUS (3COMUSR) ヒント Yes Interface Configuration ページで設定のタイプを選択して詳細な設定を行うには、事前にネットワー ク デバイスを設定する必要があります。 Interface Configuration ページで、設定する RADIUS 設定のタイプを選択すると、Web インターフェ イス上に、そのタイプに対応する利用可能な RADIUS アトリビュートとそのアトリビュートに関連 付けられているチェックボックスのリストが表示されます。Interface Configuration の Advanced Options にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている場合は、 各アトリビュートの Group チェックボックスの横に User チェックボックスが表示されます。それ 以外の場合は、各アトリビュートの Group チェックボックスだけが表示されます。アトリビュート のリストにあるチェックボックスをオンまたはオフにすることで、そのチェックボックスに対応す る(IETF)RADIUS アトリビュートまたは Vendor-Specific Attribute(VSA; ベンダー固有アトリビュー ト)を、User Setup セクションおよび Group Setup セクションで設定できるかどうかが決まります。 ACS には、あらかじめパッケージ化されたこれらの VSA が付属していますが、まだ ACS に含まれ ていない任意の VSA セット用にカスタム アトリビュートを定義して設定することもできます。カ スタム VSA と対応する AAA クライアントを設定してあれば、Interface Configuration セクションか らそのカスタム VSA を選択し、その後で、特定のアトリビュートを設定可能なオプションとして User Setup ページまたは Group Setup ページに表示するためのオプションを設定できます。ユーザ定 義の RADIUS VSA の作成方法については、P.8-25 の「AAA クライアントのアクションの作成、読 み取り、アップデート、および削除」を参照してください。 RADIUS(IETF)オプションの表示の指定 この手順では、任意の標準 IETF RADIUS アトリビュートを ACS Web インターフェイスの他の部分 で設定するときに、表示または非表示にできます。 (注) Interface Configuration の Advanced Options にある Per-user TACACS+/RADIUS Attributes チェック ボックスがオンになっている場合は、各アトリビュートの Group チェックボックスに並んで User チェックボックスが表示されます。 IETF RADIUS アトリビュートのプロトコル設定オプションを設定するには、次の手順を実行しま す。 Cisco Secure ACS Solution Engine ユーザ ガイド 2-10 OL-14386-01-J 第2章 Web インターフェイスの使用方法 RADIUS 設定オプションの表示 ステップ 1 Interface Configuration をクリックし、次に、RADIUS (IETF) をクリックして RADIUS (IETF) ペー ジを表示します。 ステップ 2 設定可能なオプションとして User Setup ページまたは Group Setup ページに表示する各 IETF RADIUS アトリビュートに対して、対応するチェックボックスをオンにします。 「RADIUS プロト コル」を参照してください。 (注) 使用している RADIUS ネットワーク デバイスは、オンにした RADIUS アトリビュートをす べてサポートしている必要があります。 ステップ 3 User Setup ページおよび Group Setup ページでタグ付きアトリビュート用に表示する値の個数を指 定するには、Tags to Display Per Attribute オプションを選択し、次に対応するリストから値を選択 します。タグ付きアトリビュートの例としては、[064]Tunnel-Type および [069] Tunnel-Password があります。 ステップ 4 Submit をクリックします。 選択した各 IETF RADIUS アトリビュートが、設定可能なオプションとして User Setup ページまた は Group Setup ページに表示されます。 RADIUS(ベンダー固有)オプションの表示の指定 この手順では、さまざまな RADIUS VSA を ACS Web インターフェイスの User Setup セクションお よび Group Setup セクションで設定するときに、表示または非表示にできます。 RADIUS VSA のセットに対してプロトコル設定オプションを設定するには、次の手順を実行しま す。 ステップ 1 Interface Configuration をクリックします。 ステップ 2 RADIUS VSA セットの種類のいずれか 1 つをクリックします。たとえば、RADIUS (Ascend) をク リックします。 ステップ 3 利用可能な RADIUS VSA の選択したセットを一覧表示するページが表示されます。 「RADIUS プロ トコル」を参照してください。 (注) ステップ 4 Interface Configuration の Advanced Options にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている場合は、各アトリビュートの Group チェックボック スの横に User チェックボックスが表示されます。 User Setup ページまたは Group Setup ページに設定可能なオプションとして表示する各 RADIUS VSA に対して、対応するチェックボックスをオンにします。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 2-11 第2章 Web インターフェイスの使用方法 RADIUS 設定オプションの表示 (注) ステップ 5 使用している RADIUS ネットワーク デバイスは、オンにした RADIUS アトリビュートをす べてサポートしている必要があります。 ページの下部にある Submit をクリックします。 選択した内容に応じて、RADIUS VSA が、User Setup ページまたは Group Setup ページ、あるいは その両方に設定可能なオプションとして表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド 2-12 OL-14386-01-J 第2章 Web インターフェイスの使用方法 Interface Configuration リファレンス Interface Configuration リファレンス ナビゲーション バーの Interface Configuration ボタンをクリックして、Web インターフェイスの Interface Configuration セクションのトップ ページを表示します。 表 2-2 では、Interface Configuration ページのオプションについて説明します。 表 2-2 Interface Configuration ページ オプション 説明 Select User Data Configuration Configure User Defined Fields ページが表示されます。このページでは、User Setup ページに表示 する追加フィールドを設定できます。 関連する TACACS+ または RADIUS サービス、およびアトリビュート オプションを含むページ が表示されます。 <protocol> (注) 1 つ以上の AAA クライアントが特定のプロトコルをサポートするように設定されてい る場合、Internet Configuration ページには TACACS+ または RADIUS セキュリティ プロ トコルが表示されます。たとえば、Network Configuration セクションで AAA クライアン トが、クライアントの Authenticate Using リストの RADIUS (Cisco VPN 3000/ASA/PIX 7.x+) を含むように設定した場合、RADIUS (Cisco VPN 3000/ASA/PIX 7.x+) が表示されま す。 Advanced Options ページが表示されます。このページでは、ユーザ インターフェイスに表示す る追加オプションを選択できます。 Advanced Options Interface Configuration リファレンスには、次の項が含まれます。 • Configure User Defined Fields ページ • TACACS+ Services 領域 • 高度な設定オプション(TACACS+ 用) • RADIUS プロトコル • 高度なオプション(Interface Configuration 用) Configure User Defined Fields ページ 表 2-3 では、Configure User Defined Fields ページのオプションについて説明します。 表 2-3 Configure User Defined Fields ページ オプション 説明 Display このオプションをオンにすると、User Setup ページおよび特定の System Configuration: Logging ペー ジのフィールドの表示がイネーブルになります。 Field ID 各フィールドの ID 番号がリストで表示されます。 Field Name 新しいフィールド名を入力するか、または既存のフィールド名を編集します。フィールド名の長さ は 1 ∼ 126 文字で、英数字を使用できます。 (注) Display フィールドを必ずオンにしてください。 Submit 変更内容を送信して、Interface Configuration ページに戻ります。 Cancel 新しい変更内容を取り消して、Interface Configuration ページに戻ります。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 2-13 第2章 Web インターフェイスの使用方法 Interface Configuration リファレンス TACACS+ Services 領域 表 2-4 では、TACACS+ Services 領域について説明します。 表 2-4 TACACS+ Services 領域 オプション 説明 TACACS+ Services 最も広く使用される TACACS+ サービスとプロトコルのリストが表示されます。Group Setup ページ または User Setup ページで設定可能なオプションとして表示する TACACS+ サービスをそれぞれオ ンにします。 New Services (注) デフォルトのインターフェイス設定では 1 カラムのチェックボックスが、グループ レベル のみについて、TACACS+ Services Settings および New Service Settings の選択用に定義されま す。グループ レベルまたはユーザ レベルでの設定を可能にするために、2 カラムのチェッ クボックスを表示するには、Per-user TACACS+/RADIUS Attributes オプションを Interface Configuration セクションの Advanced Options ページでオンにしておく必要があります。 (注) ユーザ レベルでカスタマイズした設定は、グループ レベルの設定よりも優先されます。 この領域では、ネットワーク設定に特有のサービスおよびプロトコルを追加できます。適切なチェッ クボックスをオンにしてください。 (注) ACS は、他のシスコ製品用の管理アプリケーション、たとえば、ManagementCenter for Firewalls と連携動作するように設定した場合、新しい TACACS+ サービスをこれらのデバイ ス管理アプリケーションによって指定されたとおりに表示します。ACS、ACS と連携動作 するデバイス管理アプリケーション、およびそれらのアプリケーションが管理するシスコの ネットワーク デバイスを正常に機能させるには、自動的に生成される TACACS+ サービス タイプを変更したり、削除したりしないでください。 (注) ACS Web インターフェイスでは、イネーブルになっているプロトコル オプションや、デフォ ルトでない値のプロトコル オプションは、そのプロトコル オプションを非表示に設定して も表示されます。後でそのオプションをディセーブルにした場合、またはオプションの値を 削除した場合は、プロトコル オプションを非表示に設定したときに、ACS は、そのプロト コル オプションを非表示にします。これによって、ACS がアクティブな設定を非表示にす ることを防止できます。 Cisco Secure ACS Solution Engine ユーザ ガイド 2-14 OL-14386-01-J 第2章 Web インターフェイスの使用方法 Interface Configuration リファレンス 高度な設定オプション(TACACS+ 用) 表 2-5 では、TACACS+ の高度な設定オプションについて説明します。 表 2-5 表示可能な TACACS+ の高度なオプション オプション 説明 Advanced TACACS+ Features このオプションは、User Setup ページで Advanced TACACS+ Options セクショ ン を 表 示 ま た は 非 表 示 に し ま す。こ の オ プ シ ョ ン に は、ル ー タ な ど の SENDPASS クライアントおよび SENDAUTH クライアントに対する特権レベ ル認証および送信パスワード設定が含まれます。 Display a Time-of-Day access grid for every TACACS+ service where you can override the default Time-of-Day settings このオプションをオンにすると、User Setup ページにグリッドが表示され、 Group Setup ページの TACACS+ スケジューリング アトリビュートを上書き できます。 時間帯と曜日によって、各 TACACS+ サービスの使用を制限できます。たと えば、Exec (Telnet) アクセスを営業時間のみに制限するが、PPP-IP アクセス は常に許可することが可能です。 デフォルト設定では、認証の一部として全サービスの時間帯アクセスを制御 します。しかし、デフォルト設定を無効にして、すべてのサービスの時間帯 アクセス グリッドを表示することもできます。この設定によって、ユーザお よびグループのセットアップが管理しやすくなる一方で、この機能を最も複 雑な環境で利用できるようにします。この機能は、認証プロセスと認可プロ セスを分離できる TACACS+ に限り適用されます。RADIUS の時間帯アクセ スは、すべてのサービスに適用されます。TACACS+ と RADIUS を同時に使 用する場合は、両方にデフォルトの時間帯アクセスが適用されます。このデ フォルトを使用すると、アクセス制御プロトコルに関係なく、共通の方法で アクセスを制御できます。 Display a window for each service selected このオプションをオンにすると、User Setup ページと Group Setup ページにカ in which you can enter customized スタム TACACS+ アトリビュートを入力できる領域が表示されます。 TACACS+ attributes ACS では、各サービス用にカスタム コマンド フィールドを表示することも できます。このテキスト フィールドでは、あるグループのユーザの特別な サービスに対して、ダウンロード用の専用設定を作成できます。 この機能を使用して数多くの TACACS+ コマンドをサービス用としてアクセ ス デバイスに送信できます。ただし、デバイスが TACACS+ コマンドをサ ポートし、コマンドの構文が正しい場合に限ります。この機能はデフォルト ではディセーブルにされていますが、アトリビュートや時間帯アクセスをイ ネーブルにする場合と同様、簡単にイネーブルに設定できます。 Display enable Default (Undefined) Service このチェックボックスをオンにすると、User Setup ページと Group Setup ペー Configuration ジに、未知の TACACS+ サービス、たとえば、Cisco Discovery Protocol(CDP) を許可することのできる TACACS+ Unknown Services チェックボックスが 表示されます。 (注) このオプションは、上級のシステム管理者だけが使用するようにして ください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 2-15 第2章 Web インターフェイスの使用方法 Interface Configuration リファレンス RADIUS プロトコル 表 2-6 では、表示可能な RADIUS(IETF および非 IETF)プロトコルについて説明します。 表 2-6 表示可能な RADIUS 設定 RADIUS 設定 説明 RADIUS (IETF) RADIUS (IETF) Settings このページには、(IETF)RADIUS で使用できるアトリビュートが表示されます。 標準(IETF)RADIUS アトリビュートは、RADIUS 使用時に、どのネットワーク デ バイスの設定でも利用できます。IETF アトリビュート番号 26(VSA 用)を使用する 場合は、Interface Configuration を選択して、次に、使用するネットワーク デバイスの ベンダー用の RADIUS を選択します。ACS によってサポートされている RADIUS (IETF) のアトリビュートおよび各 RADIUS ネットワーク デバイス ベンダーの VSA が、User Setup または Group Setup に表示されます。 RADIUS (IETF) アトリビュートは、複数の RADIUS VSA が共有しています。RADIUS ベンダーに対して、RADIUS (IETF) で最初の RADIUS アトリビュートを設定する必 要があります。 Tags to Display Per Attribute オプション(Advanced Configuration Options の下にある) では、User Setup ページおよび Group Setup ページでタグ付きアトリビュートに対し て 表 示 す る 値 の 個 数 を 指 定 で き ま す。タ グ 付 き ア ト リ ビ ュ ー ト の 例 と し て は、 [064]Tunnel-Type および [069]Tunnel-Password があります。 詳細な手順については、P.2-10 の「RADIUS(IETF)オプションの表示の指定」を参 照してください。 RADIUS(非 IETF、アルファベット順) RADIUS (Ascend) Settings このセクションでは、RADIUS VSA を RADIUS(Ascend)用にイネーブルにできま す。このページは、RADIUS(Ascend)デバイスまたは RADIUS(Cisco IOS/PIX 6.0) デバイスを設定した場合に表示されます。手順の詳細については、P.2-11 の「RADIUS (ベンダー固有)オプションの表示の指定」を参照してください。 RADIUS (BBSM) Settings このセクションでは、the RADIUS VSA を RADIUS Building Broadband Service Manager (BBSM)用にイネーブルにできます。手順の詳細については、P.2-11 の「RADIUS (ベンダー固有)オプションの表示の指定」を参照してください。 RADIUS (Cisco Airespace) Settings このセクションでは、RADIUS VSA を RADIUS(Cisco Airespac)用にイネーブルに できます。このページは、RADIUS(Cisco Airespace)デバイスを設定した場合に表 示されます。手順の詳細については、P.2-11 の「RADIUS(ベンダー固有)オプショ ンの表示の指定」を参照してください。 RADIUS (Cisco Aironet) Settings このセクションは、廃止されました。セッション タイムアウト値は、専用の WLAN RADIUS Authorization Component(RAC)で使用できるようになりました。 既存の設定以外では、RADIUS Cisco Aironet 設定を使用して RADIUS (Cisco Aironet) の特定のアトリビュートをオンにすることは推奨しません。 ACS が Cisco Aironet Access Point からの認証要求に応答するときに、 Aironet-Session-Timeout アトリビュートが設定されていると、無線デバイスに対して、 この値が IETF Session-Timeout アトリビュートとして送信されます。この設定を利用 すると、無線エンドユーザ クライアントおよび有線エンドユーザ クライアントに対 して、それぞれ異なるセッション タイムアウト値を指定できます。WLAN RAC の セッション タイムアウト値を追加する手順については、P.4-12 の「RADIUS 認可コン ポーネントの追加」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド 2-16 OL-14386-01-J 第2章 Web インターフェイスの使用方法 Interface Configuration リファレンス 表 2-6 表示可能な RADIUS 設定 (続き) RADIUS 設定 説明 RADIUS (Cisco IOS/PIX 6.0) Settings このセクションでは、特定のアトリビュートを RADIUS(Cisco IOS/PIX 6.0)用にイ ネーブルにできます。RADIUS (Cisco IOS/PIX 6.0) に表示されている最初のアトリ ビュート(026/009/001)を選択すると、User Setup と Group Setup のいずれか、ある いは両方に入力フィールドが表示され、そこに任意の TACACS+ コマンドを入力し て、RADIUS 環境で TACACS+ を完全に有効利用できます。詳細な手順については、 P.2-11 の「RADIUS(ベンダー固有)オプションの表示の指定」を参照してください。 RADIUS (Cisco VPN 3000/ASA/PIX 7.x+) Settings このセクションでは、RADIUS VSA を RADIUS(Cisco VPN 3000/ASA/PIX 7.x+)用 にイネーブルにできます。手順の詳細については、P.2-11 の「RADIUS(ベンダー固 有)オプションの表示の指定」を参照してください。 RADIUS (Cisco VPN 5000) Settings このセクションでは、RADIUS VSA を RADIUS(Cisco VPN 5000)用にイネーブルに できます。手順の詳細については、P.2-11 の「RADIUS(ベンダー固有)オプション の表示の指定」を参照してください。 RADIUS (Juniper) Settings このセクションでは、RADIUS VSA を RADIUS(Juniper)用にイネーブルにできま す。手順の詳細については、P.2-11 の「RADIUS(ベンダー固有)オプションの表示 の指定」を参照してください。 RADIUS (Microsoft) Settings このセクションでは、RADIUS VSA を RADIUS(Microsoft)用にイネーブルにできま す。このページは、RADIUS(Ascend)デバイス、RADIUS(VPN 3000/ASA/PIX 7.x+) デバイス、または RADIUS(Cisco IOS/PIX 6.0)デバイスを設定した場合に表示され ます。手順の詳細については、P.2-11 の「RADIUS(ベンダー固有)オプションの表 示の指定」を参照してください。 RADIUS (Nortel) Settings このセクションでは、RADIUS VSA を RADIUS(Nortal)用にイネーブルにできます。 手順の詳細については、P.2-11 の「RADIUS(ベンダー固有)オプションの表示の指 定」を参照してください。 RADIUS (3COMUSR) Settings このセクションでは、RADIUS VSA を RADIUS(3COMUSR)用にイネーブルにでき ます。手順の詳細については、P.2-11 の「RADIUS(ベンダー固有)オプションの表 示の指定」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 2-17 第2章 Web インターフェイスの使用方法 Interface Configuration リファレンス 高度なオプション(Interface Configuration 用) 表 2-7 では、高度な Interface Configuration オプションについて説明します。 表 2-7 高度なオプション(Interface Configuration 用) オプション 説明 Per-User TACACS+/RADIUS Attributes このオプションをオンにすると、グループ レベルだけでなく、ユーザ レベルでも TACACS+/RADIUS アトリビュートの設定がイネーブルになります。このオプショ ン を イ ネ ー ブ ル に し た 場 合 は、Interface Configuration セ ク シ ョ ン で TACACS+ (Cisco IOS) ページまたは RADIUS ページを編集して、ユーザ アカウントに表示す るアトリビュートを指定する必要があります。この操作により、選択したアトリ ビュートがユーザ アカウントに表示され、設定できるようになります。ユーザ レ ベルで設定したアトリビュートは、グループ レベルで定義したアトリビュートよ りも優先されます。 User-Level Shared Network Access Restrictions このオプションをオンにすると、Shared Profile Component の Network Access Restriction(NAR; ネットワーク アクセス制限)オプションが User Setup ページで イネーブルになります。このオプションを使用すると、事前に設定された名前付 きの IP ベースおよび CLID/DNIS ベースの NAR がユーザ レベルで適用できます。 Shared Profile Components 内での NAR または NAR セットの定義については、P.4-26 の「共有 NAR の追加」を参照してください。 User-Level Network Access Restrictions このオプションをオンにすると、ユーザ レベルの IP ベースおよび CLI/DNIS ベー スの NAR を定義するための 2 セットのオプションが User Setup ページでイネーブ ルになります。 User-Level Downloadable ACLs このオプションをオンにすると、Downloadable ACLs (access control lists) セクショ ンが User Setup ページでイネーブルになります。 Default Time-of-Day/Day-of-Week Specification このオプションをオンにすると、デフォルトの時間帯 / 曜日アクセス設定のグリッ ドが Group Setup ページでイネーブルになります。 Group-Level Shared Network Access このオプションをオンにすると、Shared Profile Component の NAR オプションが Restrictions Group Setup ページでイネーブルになります。このオプションを使用すると、事前 に設定された名前付きの IP ベースおよび CLID/DNIS ベースの NAR がグループ レ ベルで適用できます。Shared Profile Components 内での NAR または NAR セットの 定義については、P.4-26 の「共有 NAR の追加」を参照してください。 Group-Level Network Access Restrictions このオプションをオンにすると、グループ レベルの IP ベースおよび CLI/DNIS ベースの NAR を定義するための 2 セットのオプションが Group Setup ページでイ ネーブルになります。 Group-Level Downloadable ACLs このオプションをオンにすると、Downloadable ACLs セクションが Group Setup ページでイネーブルになります。 Group-Level Password Aging このオプションをオンにすると、Password Aging セクションが Group Setup ページ でイネーブルになります。Password Aging オプションによって、ユーザにパスワー ドの変更を強制できます。 Network Access Filtering このオプションをオンにすると、Network Access Filtering (NAF) セクションが Shared Profiles Components ページでイネーブルになります。NAF オプションをオン にすると、AAA クライアント設定のグループ(複数のネットワーク デバイスに対 する設定も可能)、Network Device Group(NDG; ネットワーク デバイス グループ)、 または特定の AAA クライアント デバイスの IP アドレスを設定できます。NAF は、 ダウンロード可能な IP ACL およびネットワーク アクセス制限とともに使用して、 容易にデバイス別のアクセスを制御できます。これは、NAP の作成時に重要です。 Cisco Secure ACS Solution Engine ユーザ ガイド 2-18 OL-14386-01-J 第2章 Web インターフェイスの使用方法 Interface Configuration リファレンス 表 2-7 高度なオプション(Interface Configuration 用)(続き) オプション 説明 Max Sessions このオプションをオンにすると、Max Sessions セクションが User Setup ページおよ び Group Setup ページでイネーブルになります。Max Sessions オプションは、1 つ のグループまたは 1 人のユーザに対する同時接続数の最大値を設定します。 Usage Quotas このオプションをオンにすると、Usage Quotas セクションが User Setup ページおよ び Group Setup ページでイネーブルになります。Usage Quotas オプションは、1 つ のグループごとまたは 1 人のユーザごとに、使用割当量を 1 つ以上設定します。 Distributed System Settings このオプションをオンにすると、AAA サーバ テーブルとプロキシ テーブルが Network Interface ページに表示されます。このテーブルは、デフォルト値以外の情 報がある場合は常に表示されます。 (注) リモート ロギングの設定オプションと(ACS for Windows のみ)ODBC ロ ギング オプションを表示するために、Distributed System Settings フラグを オンにする必要はなくなりました。 ACS Internal Database Replication このオプションをオンにすると、ACS のデータベース複製情報が System Configuration ページでイネーブルになります。 RDBMS Synchronization このオプションをオンにすると、Relational Database Management System (RDBMS) Synchronization オプションが System Configuration ページでイネーブルになります。 RDBMS 同期化が設定されている場合は、このオプションは常に表示されます。 IP Pools このオプションをオンにすると、IP Pools Address Recovery オプションおよび IP Pools Server オプションが System Configuration ページでイネーブルになります。 Network Device Groups このオプションをオンにすると、NDG がイネーブルになります。NDG がイネーブ ルになっていると、Network Configuration セクション、および User Setup ページと Group Setup ページの一部が変化して、ネットワーク デバイス(AAA クライアン トまたは AAA サーバ)のグループを管理できるようになります。このオプション は多数のデバイスを管理する場合に役立ちます。 Voice-over-IP (VoIP) Group Settings このオプションをオンにすると、VoIP オプションが Group Setup ページでイネーブ ルになります。 Voice-over-IP (VoIP) Accounting Configuration このオプションをオンにすると、VoIP Accounting Configuration オプションが System Configuration ページでイネーブルになります。このオプションを使用して、 RADIUS VoIP アカウンティング パケットのロギング形式を決定します。 Microsoft Network Access Protection このオプションをオンにすると、Microsoft Network Access Protection(NAP; ネット Settings ワーク アクセス保護)機能が External Posture Validation Setup ページでイネーブ ルになります。このオプションを使用して、ネットワーク アクセス保護と ACS 全 体の設定をイネーブルにします。 Submit 変更内容を送信して、Interface Configuration ページに戻ります。 Cancel 新しい変更内容を取り消して、Interface Configuration ページに戻ります。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 2-19 第2章 Web インターフェイスの使用方法 Interface Configuration リファレンス Cisco Secure ACS Solution Engine ユーザ ガイド 2-20 OL-14386-01-J C H A P T E R 3 ネットワーク設定 この章では、Cisco Secure Access Control Server Release 4.2(以降は ACS と表記)の基本的な考え方 および手順について説明します。設定プロセスを使用して分散システムを確立し、Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)クライアントおよびサーバと の連携動作をセットアップします。ACS SE にリモート エージェントを設定することもできます。 この章は、次の項で構成されています。 • ネットワーク構成について(P.3-2) • 分散システムにおける ACS について(P.3-3) • 分散システムにおけるプロキシ(P.3-4) • ネットワーク デバイスの検索(P.3-8) • AAA クライアントの設定(P.3-10) • AAA サーバの設定(P.3-18) • リモート エージェントの設定(ACS SE のみ) (P.3-23) • ネットワーク デバイス グループの設定(P.3-28) • Proxy Distribution Table の設定(P.3-33) Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 3-1 第3章 ネットワーク設定 ネットワーク構成について ネットワーク構成について Network Configuration をクリックしたときに表示されるページは、Interface Configuration セクション で選択したネットワーク構成によって異なります。 次のテーブルのいずれかがこのセクションに表示されます。 • AAA Clients:このテーブルには、ネットワーク上に設定されている各 AAA クライアント、お よびその IP アドレスと関連プロトコルが表示されます。 Network Device Group(NDG; ネットワーク デバイス グループ)を使用している場合、このテー ブルは最初のページには表示されず、Network Device Group テーブルを通してアクセスされま す。このインターフェイス設定の詳細については、P.2-7 の「高度なオプションの表示」を参照 してください。 • AAA Servers:このテーブルには、ネットワーク上に設定されている各 AAA サーバと、その IP アドレスおよび関連タイプが表示されます。インストール後、このテーブルに、ACS がインス トールされているマシンが自動的に示されます。ACS SE の場合は、マシン名が self と表示さ れます。 ネットワーク デバイス グループ(NDG)を使用している場合、このテーブルは最初のページ には表示されず、Network Device Group テーブルを通してアクセスされます。このインターフェ イス設定の詳細については、P.2-7 の「高度なオプションの表示」を参照してください。 • Remote Agents(ACS SE) :このテーブルには、設定されている各リモート エージェント、お よびその IP アドレスと利用可能なサービスが表示されます。リモート エージェントの詳細に ついては、P.3-23 の「リモート エージェントについて」を参照してください。 (注) • Remote Agents テーブルは、Interface Configuration で分散システム設定機能をイネーブルに していない場合は表示されません。NDG を使用している場合、このテーブルは最初のペー ジには表示されず、Network Device Groups テーブルを通してアクセスされます。このイン ターフェイス設定の詳細については、P.2-7 の「高度なオプションの表示」を参照してくだ さい。 Network Device Groups:このテーブルには、設定されている各 NDG の名前、およびそれに割 り当てられている AAA クライアントと AAA サーバの個数が表示されます。NDG を使用して いる場合、AAA Clients テーブルおよび AAA Servers テーブルは、最初のページには表示されま せん。AAA クライアントまたは AAA サーバを設定するには、そのデバイスが割り当てられて いる NDG の名前をクリックする必要があります。新しく設定されたデバイスが NDG に割り当 てられていない場合、デバイスは (Not Assigned) グループに所属します。 このテーブルは、NDG を使用するようにインターフェイスを設定した場合に限り表示されま す。このインターフェイス設定の詳細については、P.2-7 の「高度なオプションの表示」を参照 してください。 • Proxy Distribution Table:このテーブルを使用して、ドメイン ストリッピングなどのプロキシ 機能を設定できます。詳細については、P.3-33 の「Proxy Distribution Table の設定」を参照して ください。 このテーブルは、Distributed Systems Settings を有効にするようにインターフェイスを設定した 場合に限り表示されます。このインターフェイス設定の詳細については、P.2-7 の「高度なオプ ションの表示」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド 3-2 OL-14386-01-J 第3章 ネットワーク設定 分散システムにおける ACS について 分散システムにおける ACS について ここでは、分散システムにおける ACS の使用方法について説明します。 • 分散システムにおける AAA サーバ(P.3-3) • 分散システムのデフォルト設定(P.3-3) 分散システムにおける AAA サーバ AAA サーバは Access Control Server(ACS; アクセス コントロール サーバ)の総称であり、この 2 つの用語はよく同じ意味で使用されます。複数の AAA サーバを設定して、相互にプライマリ シス テム、バックアップ システム、クライアント システム、ピア システムとして通信できます。分散 システムとして構成すると、次の機能が使用できます。 • プロキシ • 接続失敗時のフォールバック • ACS 内部データベースの複製 • リモート ロギングおよび集中ロギング AAA サーバは、ネットワークにアクセスできるユーザと、各ユーザに対して認可されているサー ビス内容の決定に使用されます。AAA サーバには、各ユーザごとの認証情報および認可情報を含 むプロファイルが格納されています。認証情報によってユーザが本人であると確認され、認可情報 によってユーザが使用できるネットワーク サービスの内容が決定されます。1 台の AAA サーバで、 多数のダイヤルアップ アクセス サーバ、ルータ、およびファイアウォールに対する AAA サービス を同時に提供できます。すべてのネットワーク デバイスを AAA サーバと通信するように設定でき ます。この設定によって、ダイヤルアップ アクセスを集中制御できるだけでなく、不正アクセスか らネットワーク デバイスを保護することもできます。 すべてのアクセス コントロールに、独自の認証要件と認可要件があります。ACS を利用すると、シ ステム管理者はさまざまな認可特権レベルで使用される各種の認証方式を使用できます。 AAA の機能を完全なものにするために、ACS サーバは、アカウンティング情報の中央リポジトリ としての役割を果たします。ACS が許可する各ユーザ セッションは、完全に把握され、そのアカ ウント情報はサーバに格納されます。課金、キャパシティ プラニングおよびセキュリティ監査にこ のアカウンティング情報を使用できます。 (注) この項で説明するフィールドが ACS Web インターフェイスに表示されない場合は、Interface Configuration > Advanced Options を選択します。次に、Distributed System Settings チェックボッ クスをオンにします。 分散システムのデフォルト設定 分散システムを作成するには、AAA Servers テーブルと Proxy Distribution Table を使用します。この 2 つのテーブル内に設定されているパラメータで作成される基本情報に基づいて、複数の ACS を連 携動作させることが可能です。テーブルにはそれぞれ、ACS エントリが格納されています。 AAA Servers テーブルに最初に 1 つだけ表示される AAA サーバは ACS 自身です(ACS SE の場合、 サーバ名は self と表示されます) 。Proxy Distribution Table には (Default) という初期エントリが表 示され、ローカル ACS が各認証要求をローカルに処理するための設定が表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 3-3 第3章 ネットワーク設定 分散システムにおけるプロキシ 追加された AAA サーバは、AAA Servers テーブルで設定できます。この設定によって、追加された AAA サーバは、Web インターフェイスに表示されるようになり、その他の分散機能、たとえば、プ ロキシ、ACS 内部データベースの複製、リモート ロギング、および RDBMS 同期化用に設定でき ます。追加された AAA サーバを設定する方法については、P.3-20 の「AAA サーバの追加」を参照 してください。 分散システムにおけるプロキシ プロキシは、複数の AAA サーバを使用するネットワークにおいて認証に ACS を使用できるように する機能です。ここでは、次の項目について説明します。 • プロキシ機能(P.3-4) • 接続障害発生時のフォールバック(P.3-5) • アカウンティング パケットのリモート使用(P.3-6) • 分散システムによって使用可能になるその他の機能(P.3-7) プロキシ機能 ACS は、プロキシを使用して、AAA サーバに AAA クライアントからの認証要求を自動的に転送し ます。この要求が問題なく認証されると、リモート AAA サーバでそのユーザに対して設定されて いる認可特権が元の ACS に返されます。この ACS では、AAA クライアントによって、そのセッ ションにユーザ プロファイル情報が適用されます。 プロキシは、通常使用しているネットワーク デバイス以外のネットワーク デバイスにダイヤルイ ンする出張者など、外部の AAA サーバから別の方法で認証を受けようとするユーザに対して有益 なサービスを提供します。プロキシを設定するには、Interface Configuration > Advanced Options を 選択します。次に、Distributed System Settings チェックボックスをオンにします。 例 ここでは、企業システムで採用されているプロキシの例について説明します。Mary はロサンゼル スに本社がある会社に勤務する社員です。Mary のユーザ名は [email protected] です。Mary は、 ネットワークにアクセスする必要があるとき、ネットワークにローカルでアクセスし、自分のユー ザ名とパスワードで認証を求めます。Mary はロサンゼルスのオフィスに勤務しているので、彼女 の認証特権と認可特権を定義しているユーザ プロファイルは、ロサンゼルスにあるローカル AAA サーバ上に常駐しています。 しかし、Mary はニューヨークにある会社の別の部門に出張することがあり、そこでも会社のネッ トワークにアクセスして、自分の電子メールや他のファイルを入手する必要があります。Mary は、 ニューヨークにいるときはニューヨーク オフィスにダイヤルインし、[email protected] として ログインします。ニューヨークの ACS は Mary のユーザ名を認識しませんが、Proxy Distribution Table には、@la.corporate.com というエントリが記入されているので、認証要求はロサンゼルスの ACS に転送されます。Mary のユーザ名とパスワード情報はロサンゼルスの AAA サーバ上に常駐してい るため、彼女が正しく認証された場合には、彼女に割り当てられている認可パラメータがニュー ヨーク オフィスの AAA クライアントによって適用されます。 Cisco Secure ACS Solution Engine ユーザ ガイド 3-4 OL-14386-01-J 第3章 ネットワーク設定 分散システムにおけるプロキシ Proxy Distribution Table 認証要求を転送するかどうか、およびその転送先は、Network Configuration ページの Proxy Distribution Table で 定 義 さ れ ま す。複 数 の ACS を ネ ッ ト ワ ー ク 全 体 で 使 用 で き ま す。Proxy Distribution Table の設定方法については、P.3-33 の「Proxy Distribution Table の設定」を参照してく ださい。 ACS は、管理者が定義する文字列を使用して、認証要求をローカルに処理するか、転送します。転 送する場合にはその転送先を決定します。エンド ユーザがネットワーク デバイスにダイヤルイン したときに、ACS が Proxy Distribution Table に定義されている文字列と一致していることを検出す ると、ACS は、関連付けられているリモート AAA サーバに認証要求を転送します。 (注) ACS サーバが、プロキシによって転送された TACACS+ 認証要求を受信すると、TACACS+ に対す るネットワーク アクセス制限の要求がすべて、発信した AAA クライアントの IP アドレスではな く、転送した AAA サーバの IP アドレスに適用されます。 (注) ACS が 2 番目の ACS のプロキシとして動作している場合、2 番目の ACS は、最初の ACS を AAA サーバとして認識しているときは、最初の ACS に対して IETF アトリビュートだけを使用し、VSA を使用せずに応答します。また、ACS が 2 番目の ACS から AAA クライアントとして認識される ように設定することもできます。この場合、2 番目の ACS の応答には、AAA クライアント定義テー ブル エントリで指定されている RADIUS ベンダーにはかかわりなく、RADIUS VSA が含まれてい ます。これは、他のすべての AAA クライアントと同様です。 地理的に分散したネットワークを扱う管理者は、自分に隣接した場所や建物にいる社員のユーザ プ ロファイルを設定および管理できます。これによって、管理者は隣接したユーザのポリシーだけを 管理し、社内の他のユーザから送信される認証要求をすべて該当する AAA サーバに転送する方法 によって、認証を実行することができるようになります。すべてのユーザ プロファイルがすべての AAA サーバ上にある必要はありません。これによって、管理時間およびサーバのスペースの節約 になり、接続されているアクセス デバイスに関係なく、エンド ユーザが同じ特権を簡単に受信で きるようになります。 接続障害発生時のフォールバック プライマリ AAA サーバとのネットワーク接続の障害発生時に、ACS がリモート AAA サーバを チェックする順序を設定できます。認証要求が、たとえばネットワーク障害のために、リストの最 初のサーバに送信できない場合は、リストの次のサーバがチェックされます。このチェックは、リ ストの上から下に、認証要求が AAA サーバによって処理されるまで続けられます(接続障害は、 指定したサーバが、指定時間内に応答しない障害として検出されます。つまり、要求がタイムアウ トになります)。ACS がリスト内のサーバのいずれにも接続できない場合、認証は失敗します。 文字列 ACS は、ピリオド(.)、スラッシュ(/)、およびハイフン(-)などのデリミタを 1 つ含む設定可能 な文字セットを使用して認証要求を転送します。ACS の文字列を設定するときは、文字列がプレ フィックスであるかサフィックスであるかを指定する必要があります。たとえば、domain.us は、 username*domain.us 内のサフィックス文字列として使用できます。ここでは、アスタリスク(*)は 任意のデリミタです。プレフィックス文字列の場合は、domain.*username となります。ここで、ア スタリスク(*)はスラッシュ(/)の検出のために使用されます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 3-5 第3章 ネットワーク設定 分散システムにおけるプロキシ ストリッピング ストリッピング機能を使用すると、ACS は、一致した文字列をユーザ名から削除、つまりストリッ ピングできます。ストリッピングをイネーブルにすると、ACS は各認証要求の中に一致情報がない かをチェックします。P.3-4 の「分散システムにおけるプロキシ」の例で説明したように、ACS は、 Proxy Distribution Table 内の文字列と一致するものを検出すると、ストリッピングがイネーブルに設 定されていれば、一致した文字列を取り除きます。たとえば、次のプロキシの例では、ユーザ名に 付けられた文字列によって、認証要求を他の AAA サーバに転送できるようになります。AAA サー バに正しく認証要求が転送されるように、ユーザが [email protected] というユーザ ID を入力す る必要がある場合、ACS は、@corporate.com 文字列が一致することを検出し、@corporate.com を取 り除いて、ユーザ名 mary を残します。このユーザ名は、宛先 AAA サーバが自分のデータベース内 の正しいエントリを特定するために必要なユーザ名フォーマットになります。 (注) 領域のストリッピングは、Protected Extensible Authentication Protocol(PEAP)や Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling(EAP-FAST)など、Extensible Authentication Protocol(EAP)ベースの認証プロトコルでは使用できません。たとえば、Protected Extensible Authentication Protocol Microsoft Challenge Handshake Authentication Protocol(PEAP MS-CHAP; PEAP マイクロソフト チャレンジ ハンドシェイク認証プロトコル)を使用している場 合、プロキシによって領域がストリッピングされると、認証が失敗します。 アカウンティング パケットのリモート使用 プロキシが使用されていると、ACS は、次の 3 つの方法のいずれかで AAA アカウンティング パ ケットを迅速に処理できます。 • ローカルにロギングする • 転送先 AAA サーバに転送する • ローカルにロギングし、コピーを転送先 AAA サーバに転送する アカウンティング パケットをリモート ACS に送信することには、いくつかの利点があります。 • ACS がリモート AAA サーバにアカウンティング パケットを送信するように設定されている場 合、リモート AAA サーバは、転送先サーバ上でそのセッションに対するアカウンティング レ ポートにエントリを記録します。ACS も、ユーザ接続情報をキャッシュし、List Logged on Users レポートにエントリを追加します。これによって、現在接続されているユーザに関する情報が 表示できるようになります。アカウンティング情報はリモート AAA サーバに送信中であるの で、接続に失敗しても、Failed Attempts レポートを表示して、接続障害のトラブルシューティ ングに役立てることができます。 • また、リモート AAA サーバにアカウンティング情報を送信することで、最大セッション機能 を利用できるようになります。最大セッション機能は、アカウンティング パケットの Start レ コードおよび Stop レコードを使用します。リモート AAA サーバが ACS であり、最大セッショ ン機能が実装されている場合は、各ユーザまたはグループに許可されたセッション数を追跡で きます。 • さらに、Voice over IP(VoIP)のアカウンティング情報をリモートでロギングするために、 RADIUS アカウンティング ログに追加するか、または別の VoIP アカウンティング ログに入力 するか、あるいはその両方を行うかを選択することもできます。 Cisco Secure ACS Solution Engine ユーザ ガイド 3-6 OL-14386-01-J 第3章 ネットワーク設定 分散システムにおけるプロキシ 分散システムによって使用可能になるその他の機能 基本的なプロキシ機能とフォールバック機能に加えて、各分散システムと連携動作するように ACS を設定することにより、この章の範囲外の機能がいくつか使用可能になります。その機能は次のと おりです。 • 複製:詳細については、P.8-2 の「ACS 内部データベースの複製」を参照してください。 • RDBMS 同期化:詳細については、P.8-19 の「RDBMS 同期化」を参照してください。 • リモート ロギングおよび集中ロギング:詳細については、P.10-10 の「ACS for Windows のリ モート ロギング」および P.10-11 の「ACS リモート エージェントによる ACS SE のリモート ロ ギング」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 3-7 第3章 ネットワーク設定 ネットワーク デバイスの検索 ネットワーク デバイスの検索 ACS Web インターフェイスの Network Configuration セクションで設定したネットワーク デバイス は、すべて検索の対象にできます。 ここでは、次の項目について説明します。 • ネットワーク デバイスの検索基準(P.3-8) • ネットワーク デバイスの検索(P.3-8) ネットワーク デバイスの検索基準 ネットワーク デバイスの検索では、検索基準を指定できます。ACS には、次の検索基準が用意さ れています。 • 名前:ACS でネットワーク デバイスに割り当てた名前。アスタリスク(*)をワイルドカード 文字として使用できます。たとえば、名前が M という文字で始まるデバイスをすべて検索する 場合は、M* または m* と入力します。名前を基準とする検索では、大文字と小文字が区別され ます。デバイス名を基準として検索しない場合は、Name ボックスは空欄のままにするか、ア スタリスク(*)だけを入力しておきます。 • IP アドレス:ACS でネットワーク デバイスに対して指定した IP アドレス。アドレス中の各オ クテットについては、次の 3 つの指定方法があります。 − 数値:10.3.157.98 のように数値を指定できます。 − 数値の範囲:オクテットの数値の範囲(下限と上限)を指定できます。範囲を表す数値は、 10.3.157.10-50 のようにハイフン(-)で区切ります。 − ワイルドカード:10.3.157.* のようにアスタリスク(*)を使用すると、そのオクテットの すべての数値を検索対象にできます。 ACS では、IP Address ボックスのどのオクテットにも、数値、数値の範囲、およびアスタリス ク(*)を使用できます。たとえば、172.16-31.*.* と指定できます。 • タイプ:デバイスのタイプ、つまりそのデバイスの AAA サーバの種類。そのデバイスが使用 するように設定されている AAA プロトコルによって指定されます。Solution Engine リモート エージェントを検索することもできます。デバイスのタイプを基準として検索対象を限定しな い場合は、Type リストから Any を選択します。 • デバイス グループ:検索対象となるデバイスが割り当てられている NDG。この検索基準は、 Interface Configuration セクションの Advanced Options ページにある Network Device Groups をイ ネーブルにした場合にだけ表示されます。NDG メンバーシップを基準として検索対象を限定し ない場合は、Device Group リストから Any を選択します。 ネットワーク デバイスの検索 ネットワーク デバイスを検索するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Network Configuration をクリックします。 Network Configuration ページが開きます。 ステップ 2 Search をクリックします。 Search for Network Devices ページが表示されます。このセッションで以前に検索を実行した場合は、 コンフィギュレーション領域内で、前回の検索結果の上部に、検索基準を設定するためのコント ロールが表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド 3-8 OL-14386-01-J 第3章 ネットワーク設定 ネットワーク デバイスの検索 ヒント ステップ 3 デバイスの検索基準を設定します。検索基準については、P.3-8 の「ネットワーク デバイスの検索 基準」を参照してください。 ヒント ステップ 4 Search for Network Devices ページから移動しても、現在の管理セッション継続中は検索基 準と検索結果が保持されます。ACS からログアウトするまで、Search for Network Devices ページに戻って最新の検索基準と検索結果を確認できます。 検索基準をリセットしてデフォルト設定に戻すには、Clear をクリックします。 Search をクリックします。 ACS に設定されている各ネットワーク デバイスのうち、指定した検索基準に一致するものがテー ブルに一覧表示されます。一致するネットワーク デバイスが見つからなかった場合は、No Search Results というメッセージが表示されます。 一致するネットワーク デバイスを一覧表示するテーブルには、デバイス名、IP アドレス、および デバイスのタイプが含まれています。Interface Configuration セクションの Advanced Options ページ にある Network Device Groups がイネーブルになっている場合、このテーブルには、検索基準に一致 した各ネットワーク デバイスの NDG も含まれています。 ヒント ステップ 5 このテーブルの行は、任意のカラムによって昇順または降順でソートできます。カラム のエントリによって昇順で行をソートするには、カラムのタイトルを一度クリックしま す。カラムのエントリによって降順で行をソートするには、カラムのタイトルを再度ク リックします。 検索で見つかったネットワーク デバイスの設定を表示するには、検索基準に一致するネットワーク デバイスが表示されているテーブルの Name カラムで、そのネットワーク デバイスの名前をクリッ クします。 ACS によって、該当する設定ページが表示されます。AAA Client Setup ページについては、P.3-10 の「AAA クライアントの設定オプション」を参照してください。AAA Server Setup ページについて は、P.3-18 の「AAA サーバの設定オプション」を参照してください。 ステップ 6 検索結果がカンマ区切り形式で含まれたファイルをダウンロードするには、Download をクリック し、ブラウザを使用して、そのファイルを任意の場所に任意の名前で保存します。 ステップ 7 別の検索基準を使用してもう一度検索する場合は、ステップ 3 とステップ 4 を繰り返します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 3-9 第3章 ネットワーク設定 AAA クライアントの設定 AAA クライアントの設定 このマニュアルでは、 「AAA クライアント」という用語は、サービス アクセスを行うときにそのア クセスが経由するデバイスおよびそのアクセスの対象となるデバイスを包括的に示すために使用 します。AAA クライアントは、RADIUS クライアント デバイスまたは TACACS+ クライアント デ バイスであり、Network Access Server(NAS; ネットワーク アクセス サーバ)、PIX Firewall、ルー タ、その他の RADIUS または TACACS+ のハードウェア / ソフトウェア クライアントが含まれる場 合もあります。 ここでは、次の項目について説明します。 • AAA クライアントの設定オプション(P.3-10) • AAA クライアントの追加(P.3-14) • AAA クライアントの編集(P.3-15) • AAA クライアントの削除(P.3-16) AAA クライアントの設定オプション AAA クライアントを設定することで、その設定が表すネットワーク デバイスと ACS が連携動作で きるようになります。対応する設定が ACS に用意されていないネットワーク デバイスや、ACS で の設定が誤っているネットワーク デバイスは、ACS から AAA サービスを受け取りません。 Add AAA Client ページと AAA Client Setup ページには、次のオプションがあります。 • AAA Client Hostname:AAA クライアント設定に割り当てる名前。AAA クライアント設定は、 複数のネットワーク デバイスを表すことができます。このため、ACS に設定する AAA クライ アントのホスト名は、ネットワーク デバイス上に設定されているホスト名と一致している必要 はありません。AAA クライアントのホスト名には、わかりやすく、一貫した命名規則を適用す ることを推奨します。AAA クライアントのホスト名の長さは、最大で 32 文字です。 (注) AAA クライアントのホスト名は、いったん送信した後は変更できません。AAA クライ アントに別の名前を使用する必要が生じた場合は、その AAA クライアント設定を削除 して、新しい名前で新しい AAA クライアント設定を作成してください。 • AAA Client IP Address:AAA クライアントの 1 つ以上の IP アドレス、または dynamic という キーワード。 IP アドレスを使用しないでキーワード dynamic だけを使用する場合、その AAA クライアント 設定の用途は、Management Center for Firewalls などの Cisco マルチデバイス管理アプリケーショ ンのコマンド認可に限定されます。ACS は、IP アドレスに基づいてデバイスに AAA サービス を提供するだけなので、Client IP Address ボックスに dynamic というキーワードだけが入力さ れた AAA クライアント設定に対応するデバイスからの要求は無視します。 ACS の 1 つの AAA クライアント設定で複数のネットワーク デバイスを表現する場合は、複数 の IP アドレスを指定します。各 IP アドレスは、Enter キーを押して区切ります。 指定する各 IP アドレス中の各オクテットについては、次の 3 つの指定方法があります。 − 数値:10.3.157.98 のように数値を指定できます。 − 数値の範囲:オクテットの数値の範囲(下限と上限)を指定できます。範囲を表す数値は、 10.3.157.10-50 のようにハイフン(-)で区切ります。 − ワイルドカード:10.3.157.* のようにアスタリスク(*)を使用すると、そのオクテットの すべての数値を検索対象にできます。 ACS では、IP Address ボックスのどのオクテットにも、数値、数値の範囲、およびアスタリス ク(*)を使用できます。たとえば、172.16-31.*.* と指定できます。 Cisco Secure ACS Solution Engine ユーザ ガイド 3-10 OL-14386-01-J 第3章 ネットワーク設定 AAA クライアントの設定 • Shared Secret:AAA クライアントの共有秘密鍵。AAA クライアントの秘密鍵の長さは、最大 で 64 文字です。 正しい動作を保証するには、AAA クライアントと ACS の秘密鍵が同一である必要があります。 秘密鍵では大文字と小文字が区別されます。共有秘密情報が一致していない場合、そのネット ワーク デバイスからのパケットはすべて ACS によって破棄されます。 • Network Device Group:この AAA クライアントが所属する NDG の名前。AAA クライアント を NDG から独立させるには、Not Assigned を選択します。 (注) このオプションは、NDG を使用するように ACS を設定していない場合は表示されませ ん。NDG をイネーブルにするには、Interface Configuration > Advanced Options を選択 します。次に、Network Device Groups チェックボックスをオンにします。 • RADIUS Key Wrap:PEAP、EAP-FAST、および EAP-TLS 認証における RADIUS キー ラップ の共有秘密鍵。それぞれの鍵は一意で、RADIUS 共有鍵とは明確に区別される必要があります。 これらの共有鍵は、AAA クライアントごと、および NDG ごとに設定できます。NDG 鍵の設 定は、AAA クライアントの設定よりも優先されます。 − Key Encryption Key (KEK):これは、Pairwise Master Key(PMK)の暗号化に使用されま す。ASCII モードでは、鍵の長さを正確に 16 文字で入力し、16 進数モードでは 32 文字で 入力します。 − Message Authentication Code Key (MACK):これは、RADIUS メッセージに対する鍵付き Hashed Message Authentication Code(HMAC)の計算に使用されます。ASCII モードでは、 鍵の長さを正確に 20 文字で入力し、16 進数モードでは 40 文字で入力します。 (注) キー ラップがイネーブルのときに鍵フィールドを未入力にすると、鍵に 0 だけが含ま れるようになります。 − Key Input Format:鍵を ASCII 文字列として入力するか、16 進数文字列として入力するか 指定します(デフォルトは ASCII) 。 (注) PEAP、EAP-FAST、および EAP-TLS 認証でこれらの共有鍵を実装するには、NAP Authentication Settings ページでキー ラップ機能をイネーブルにする必要があります。 • Authenticate Using:AAA クライアントとの通信に使用される AAA プロトコル。Authenticate Using リストには、Cisco IOS TACACS+ およびいくつかのベンダー固有 RADIUS 実装が含まれ ています。ユーザ定義の RADIUS ベンダーおよび VSA を設定した場合は、それらのベンダー 固有 RADIUS 実装もリストに表示されます。ユーザ定義の RADIUS VSA の作成方法について は、P.8-25 の「AAA クライアントのアクションの作成、読み取り、アップデート、および削 除」を参照してください。 Authenticate Using リストには、次の選択肢が常に含まれています。 − TACACS+ (Cisco IOS):Cisco IOS TACACS+ プロトコル。このプロトコルは、シスコ シス テムズのアクセス サーバ、ルータ、およびファイアウォールを使用しているときの標準的 な選択肢です。AAA クライアントが Management Center for Firewalls などの Cisco デバイス 管理アプリケーションである場合は、このオプションを使用する必要があります。 − RADIUS (Cisco Airespace):Cisco Airespace VSA を使用する RADIUS。ネットワーク デバ イスが、RADIUS 経由の認証をサポートする Cisco Airespace WLAN デバイスである場合は、 このオプションを選択します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 3-11 第3章 ネットワーク設定 AAA クライアントの設定 − RADIUS(Cisco Aironet) :Cisco Aironet VSA を使用する RADIUS。ネットワーク デバイス が、Lightweight and Efficient Application Protocol(LEAP)ま た は Extensible Authentication Protocol-Transport Layer Security(EAP-TLS)プロトコルを使用して認証を受けようとする ユーザによって使用される Cisco Aironet Access Point である場合、これらのプロトコルが System Configuration セクションの Global Authentication Setup ページでイネーブルになって いるときに、このオプションを選択します。 RADIUS(Cisco Aironet)AAA クライアントから認証要求が到着すると、ACS は、まず LEAP を使用した認証を試行します。この認証に失敗した場合は、EAP-TLS にフェールオー バーします。LEAP が Global Authentication Setup ページでイネーブルになっていない場合、 ACS はすぐに EAP-TLS 認証を試行します。LEAP も EAP-TLS も Global Authentication Setup ページでイネーブルになっていない場合、Cisco Aironet RADIUS クライアントから受信し た認証要求に対する試行はすべて失敗します。LEAP または EAP-TLS のイネーブル化の詳 細については、P.9-24 の「グローバル認証のセットアップ」を参照してください。 このオプションを使用すると、ACS は無線ネットワーク デバイスに対して、有線エンド ユーザ クライアントに送信するものとは別のユーザ セッション用セッション タイムアウ ト値を送信できるようになります。 Cisco Aironet ネットワーク デバイスを使用してネットワークにアクセスするユーザは、次 のデータベースに対してのみ認証できます。 − ACS 内部データベース − Windows ユーザ データベース − ODBC ユーザ データベース − MCIS データベース (注) 特定の Cisco Aironet Access Point からの認証要求が、すべて PEAP 要求または EAP-TLS 要 求である場合は、RADIUS(Cisco Aironet)ではなく RADIUS(IETF)を使用してください。 ACS は、RADIUS (Cisco Aironet) プロトコルを使用した PEAP 認証はサポートしていません。 − RADIUS (Cisco BBSM):Cisco Building Broadband Services Manager(BBSM)Vendor Specific Attributes(VSA; ベンダー固有アトリビュート)を使用する RADIUS。ネットワーク デバ イスが、RADIUS 経由の認証をサポートする Cisco BBSM ネットワーク デバイスである場 合は、このオプションを選択します。 − RADIUS (Cisco IOS/PIX 6.0):Cisco IOS/PIX 6.0 VSA を使用する RADIUS。このオプション によって、Cisco IOS AAA クライアントまたは Project Information Exchange(PIX)S 6.0 AAA クライアントに送信するコマンドをパックすることが可能になります。パックするコマン ドは Group Setup セクションで定義されます。主要な TACACS+ 機能が Cisco IOS 装置およ び PIX 装置のサポートに必要とされる RADIUS 環境に対して、このオプションを選択しま す。 − RADIUS (Cisco VPN 3000/ASA/PIX7.x+):Cisco VPN 3000 コンセントレータ、ASA デバイ ス、および PIX 7.x デバイス VSA を使用する RADIUS。ネットワーク デバイスが、RADIUS 経由の認証をサポートする Cisco VPN 3000 シリーズのコンセントレータ、ASA デバイス、 または PIX 7.x+ デバイスである場合は、このオプションを選択します。 − RADIUS (Cisco VPN 5000):Cisco VPN 5000 VSA を使用する RADIUS。ネットワーク デバ イスが Cisco VPN 5000 シリーズのコンセントレータである場合は、このオプションを選択 します。 − RADIUS (IETF):VSA を使用しない IETF 標準 RADIUS。AAA クライアントが、複数のベ ンダーで構成される複数の RADIUS 対応デバイスを表しており、標準の IETF RADIUS ア トリビュートを使用する場合は、このオプションを選択します。AAA クライアントが、認 証に PEAP または EAP-TLS を使用するユーザにだけ使用される Cisco Aironet Access Point を表している場合にも、このプロトコルを選択します。 Cisco Secure ACS Solution Engine ユーザ ガイド 3-12 OL-14386-01-J 第3章 ネットワーク設定 AAA クライアントの設定 − RADIUS (Ascend):Ascend RADIUS VSA を使用する RADIUS。ネットワーク デバイスが、 RADIUS 経由の認証をサポートする Ascend ネットワーク デバイスである場合は、このオ プションを選択します。 − RADIUS (Juniper):Juniper RADIUS VSA を使用する RADIUS。ネットワーク デバイスが、 RADIUS 経由の認証をサポートする Juniper ネットワーク デバイスである場合は、このオ プションを選択します。 − RADIUS (Nortel):Nortel RADIUS VSA を使用する RADIUS。ネットワーク デバイスが、 RADIUS 経由の認証をサポートする Nortel ネットワーク デバイスである場合は、このオプ ションを選択します。 − RADIUS (iPass):iPass RADIUS を使用する AAA クライアントのための RADIUS。ネット ワーク デバイスが、RADIUS 経由の認証をサポートする iPass ネットワーク デバイスであ る場合は、このオプションを選択します。iPass RADIUS は、IETF RADIUS と同一です。 − RADIUS (3COMUSR):3COMUSR RADIUS VSA を使用する RADIUS。ネットワーク デバ イスが、RADIUS 経由の認証をサポートする 3COMUSR ネットワーク デバイスである場合 は、このオプションを選択します。 • Single Connect TACACS+ AAA Client (Record stop in accounting on failure):Authenticate Using リストで TACACS+ (Cisco IOS) を選択する場合は、このオプションを使用すると、ACS に対し て、個々の TACACS+ 要求にそれぞれ新しい接続を 1 つ使用するのではなく、AAA クライアン トとのすべての TACACS+ 通信に単一の TCP 接続を使用するように指定できます。単一接続 モードでは、ネットワーク デバイスからの複数の要求は、1 つの TCP セッションで多重化され ます。デフォルトでは、このチェックボックスはオフになっています。 この機能が選択されている状態で接続に失敗すると、AAA クライアントを使用して接続してい る各ユーザの TACACS+ Accounting ログに停止レコードが送信されます。 (注) この機能は、ACS と AAA クライアント間の TCP 接続に信頼性がない場合は使用しな いでください。 • Log Update/Watchdog Packets from this AAA Client:アップデート(ウォッチドッグ)パケッ トのロギングをイネーブルにします。ウォッチドッグ パケットは、セッション中に周期的に送 信される仮パケットです。ウォッチドッグ パケットは、AAA クライアントの障害によって、 セッションの終了を示す停止パケットが受信されない場合に、おおよそのセッション長を提供 します。デフォルトでは、このチェックボックスはオフになっています。 • Log RADIUS Tunneling Packets from this AAA Client:RADIUS トンネリング アカウンティン グ パケットのロギングをイネーブルにします。パケットは、Reports and Activity の RADIUS Accounting レポートに記録されます。デフォルトでは、このチェックボックスはオフになって います。 • Replace RADIUS Port info with Username from this AAA Client:セッション ステートのトラッ キング用に、ポート番号ではなくユーザ名の使用をイネーブルにします。このオプションは、 Gateway GPRS Support Node(GGSN)のような AAA クライアントが一意のポート値を提供で きない場合に有用です。たとえば、ACS IP プール サーバを使用する場合、AAA クライアント がユーザごとに一意のポートを提供しないときは、ACS では、再使用されているポート番号が あると、以前のユーザ セッションが終了しているものと見なします。したがって、ACS は、一 意でないポート番号を使用して、以前割り当てられた IP アドレスをそのセッションに再度割り 当てる場合があります。デフォルトでは、このチェックボックスはオフになっています。 (注) このオプションがイネーブルの場合、ACS は、ユーザごとのユーザ セッション数を判 別できなくなります。セッションそれぞれが同一のセッション識別子(ユーザ名)を使 用します。したがって、最大セッション機能をイネーブルにしても、AAA クライアン ト経由でネットワークにアクセスするユーザには機能しません。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 3-13 第3章 ネットワーク設定 AAA クライアントの設定 • Match Framed-IP-Address with user IP address for accounting packets from this AAA Client:AAA クライアントで Cisco SSL Web VPN を使用する場合に、このオプションを選択します。これに より、2 人のユーザが Cisco SSL Web VPN クライアント経由でログインしたときに、ACS では、 それらのユーザに異なる IP アドレスを割り当てます。デフォルトでは、このチェックボックス はオフになっています。 AAA クライアントの追加 AAA クライアント設定を追加するには、次の手順を実行します。 始める前に ACS で AAA クライアントに AAA サービスを提供するには、AAA クライアントと ACS の中間に あるゲートウェイ デバイスにおいて、該当する AAA プロトコル(RADIUS または TACACS+)の サポートに必要なポートを介した通信が許可されている必要があります。AAA プロトコルが使用 するポートについては、P.1-4 の「AAA プロトコル:TACACS+ と RADIUS」を参照してください。 AAA クライアントを追加するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Network Configuration をクリックします。 Network Configuration ページが開きます。 ステップ 2 次のいずれか 1 つを実行します。 • NDG を使用している場合は、AAA クライアントを割り当てる NDG の名前をクリックします。 次に、AAA Clients テーブルの下の Add Entry をクリックします。 • NDG がイネーブルになっていない場合に AAA クライアントを追加するには、 AAA Clients テー ブルの下の Add Entry をクリックします。 Add AAA Client ページが表示されます。 ステップ 3 必要に応じて AAA クライアント設定値を入力します。AAA クライアントに利用できる設定オプ ションについては、P.3-10 の「AAA クライアントの設定オプション」を参照してください。 ステップ 4 変更を保存してすぐに適用するには、Submit + Apply をクリックします。 (注) ヒント サービスを再起動すると、Logged-in User レポートが消去され、すべての ACS サービスが 一時的に中断されます。これは、最大セッション カウンタに影響します。 変更を保存して後で適用するには、Submit を選択します。変更を実行する準備ができた ら、System Configuration > Service Control を選択します。次に、Restart を選択します。 Cisco Secure ACS Solution Engine ユーザ ガイド 3-14 OL-14386-01-J 第3章 ネットワーク設定 AAA クライアントの設定 AAA クライアントの編集 AAA クライアント設定の内容を編集するには、次の手順を実行します。 (注) AAA クライアントの名前は直接編集できません。まず、AAA クライアントのエントリを削除した 後で、訂正した名前でエントリを再作成する必要があります。AAA クライアント設定を削除する 手順については、P.3-16 の「AAA クライアントの削除」を参照してください。AAA クライアント 設定を作成する手順については、P.3-14 の「AAA クライアントの追加」を参照してください。 始める前に ACS で AAA クライアントに AAA サービスを提供するには、AAA クライアントと ACS の中間に あるゲートウェイ デバイスにおいて、該当する AAA プロトコル(RADIUS または TACACS+)を サポートするポートを介した通信が許可されている必要があります。AAA プロトコルが使用する ポートについては、P.1-4 の「AAA プロトコル:TACACS+ と RADIUS」を参照してください。 AAA クライアントを編集するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Network Configuration をクリックします。 Network Configuration ページが開きます。 ステップ 2 次のいずれか 1 つを実行します。 • NDG を使用している場合は、AAA クライアントが割り当てられている NDG の名前をクリッ クします。次に、AAA クライアントの名前をクリックします。 • NDG がイネーブルになっていない場合に AAA クライアントを編集するには、 AAA Clients テー ブルの AAA Client Hostname カラムで AAA クライアントの名前をクリックします。 AAA Client Setup For Name ページが表示されます。 ステップ 3 必要に応じて AAA クライアント設定値を変更します。AAA クライアントに利用できる設定オプ ションについては、P.3-10 の「AAA クライアントの設定オプション」を参照してください。 (注) ステップ 4 AAA クライアントの名前は直接編集できません。まず、AAA クライアントのエントリを削 除した後で、訂正した名前でエントリを再作成する必要があります。AAA クライアント エ ントリを削除する手順については、P.3-16 の「AAA クライアントの削除」を参照してくだ さい。AAA クライアント エントリを作成する手順については、P.3-14 の「AAA クライア ントの追加」を参照してください。 変更を保存してすぐに適用するには、Submit + Apply をクリックします。 ヒント 変更を保存して後で適用するには、Submit を選択します。変更を実行する準備ができた ら、System Configuration > Service Control を選択します。次に、Restart を選択します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 3-15 第3章 ネットワーク設定 AAA クライアントの設定 (注) サービスを再起動すると、Logged-in User レポートが消去され、すべての ACS サービスが 一時的に中断されます。これは、最大セッション カウンタに影響します。 デフォルトの AAA クライアントの設定 次の手順に従ってデフォルトの AAA クライアントを設定することで、認識されない AAA クライア ント(NAS)に対応できます。 ステップ 1 P.3-14 の「AAA クライアントの追加」の手順を実行します。 ステップ 2 AAA Client Hostname と AAA Client IP address を空白のままにします。 ステップ 3 その他のフィールドを入力し、残りの手順を実行して AAA クライアントを追加します。 (注) デフォルトの AAA クライアントを設定できるのは、TACACS+ だけです。クライアントのデフォ ルト名は Others、デフォルトの IP アドレスは 0.0.0.0 です。 AAA クライアントの削除 AAA クライアントを削除するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Network Configuration をクリックします。 Network Configuration ページが開きます。 ステップ 2 次のいずれか 1 つを実行します。 • NDG を使用している場合は、AAA クライアントが割り当てられている NDG の名前をクリッ クします。次に、AAA Clients テーブルで、AAA クライアントのホスト名をクリックします。 • NDG がディセーブルになっている場合に AAA クライアントを削除するには、 AAA Clients テー ブルで AAA クライアントのホスト名をクリックします。 AAA Client Setup for the Name ページが表示されます。 ステップ 3 AAA クライアントを削除した後、削除をすぐに有効にするには、Delete + Apply をクリックします。 (注) ACS サービスを再起動すると、Logged-in User レポートが消去され、すべての ACS サービ スが一時的に中断されます。AAA クライアントを削除したときに再起動する代わりに、 Delete をクリックできます。しかし、この操作を行うと、変更内容はシステムが再起動さ れるまで有効になりません。システムを再起動するには、System Configuration > Service Control を選択します。次に、Restart を選択します。 Cisco Secure ACS Solution Engine ユーザ ガイド 3-16 OL-14386-01-J 第3章 ネットワーク設定 AAA クライアントの設定 確認ダイアログボックスが表示されます。 ステップ 4 OK をクリックします。 ACS が AAA サービスを再起動し、AAA クライアントが削除されます。 AAA クライアントで RADIUS/TACACS source-interface コマンドを設定してある場合は、指定され たインターフェイスの IP アドレスを使用して ACS 上のクライアントが設定されていることを確認 してください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 3-17 第3章 ネットワーク設定 AAA サーバの設定 AAA サーバの設定 この項では、ACS Web インターフェイスで AAA サーバを設定する手順について説明します。AAA サーバの詳細については、P.3-3 の「分散システムにおける AAA サーバ」を参照してください。 所定の ACS に対して分散システム機能を設定するには、最初に他の AAA サーバを定義しておく必 要があります。たとえば、複製、リモート ロギング、認証プロキシ、および RDBMS 同期化に関連 するすべての ACS は、相互に AAA サーバ設定を持っている必要があります。持っていない場合、 未知の ACS からの着信通信は無視され、分散システム機能に障害が発生します。 ヒント AAA Servers テーブルが表示されない場合は、Interface Configuration > Advanced Options を選択し ます。次に、Distributed System Settings チェックボックスをオンにします。 ここでは、次の項目について説明します。 • AAA サーバの設定オプション(P.3-18) • AAA サーバの追加(P.3-20) • AAA サーバの編集(P.3-21) • AAA サーバの削除(P.3-22) AAA サーバの設定オプション AAA サーバを設定することで、その設定が表す AAA サーバと ACS が連携動作できるようになり ます。対応する設定が ACS に用意されていない AAA サーバや、ACS での設定が正しくない AAA サーバは、ACS から、プロキシ処理された認証要求、データベース複製通信、リモート ロギング、 および RDBMS 同期化などの AAA サービスを受け取りません。また、一部の分散システム機能で は、分散システムに含まれている他の ACS が AAA Servers テーブルに含まれていることが要件にな ります。分散システム機能の詳細については、P.3-3 の「分散システムにおける ACS について」を 参照してください。 インストール後、AAA Servers テーブルに、ACS がインストールされているマシンが自動的に表示 されます。また、このマシンは、Proxy Distribution テーブルにデフォルトのプロキシ サーバとして 定義され、デフォルトで RDBMS テーブルに表示されます。 (注) ACS SE の場合は、AAA サーバ テーブルにマシン名が self と表示されます。Proxy Distribution およ び RDBMS テーブルでは、アプライアンスのホスト名が表示されます。 Add AAA Server ページと AAA Server Setup ページには、次のオプションがあります。 • AAA Server Name:AAA サーバ設定に割り当てる名前。ACS に設定されている AAA サーバの ホスト名は、ネットワーク デバイス上に設定されているホスト名と一致している必要はありま せん。AAA サーバ名には、わかりやすく、一貫した命名規則を適用することを推奨します。 AAA サーバ名の長さは、最大で 32 文字です。 (注) AAA サーバ名は、いったん送信した後は変更できません。AAA サーバに別の名前を使 用する必要が生じた場合は、その AAA サーバ設定を削除して、新しい名前で AAA サー バ設定を作成する必要があります。 Cisco Secure ACS Solution Engine ユーザ ガイド 3-18 OL-14386-01-J 第3章 ネットワーク設定 AAA サーバの設定 • AAA Server IP Address:AAA サーバの IP アドレス(ドット区切り 4 オクテット形式)。たと えば、10.77.234.3 と指定します。 • Key:AAA サーバの共有秘密情報。AAA サーバの秘密鍵の長さは、最大で 64 文字です。 正しい動作を保証するには、リモート AAA サーバと ACS の秘密鍵を同一にする必要がありま す。秘密鍵では大文字と小文字が区別されます。共有秘密情報は同期化されないため、リモー ト AAA サーバおよび ACS に入力しますが、このときに間違えないようにしてください。共有 秘密情報が一致していない場合、そのリモート AAA サーバからのパケットはすべて ACS に よって破棄されます。 • Network Device Group:この AAA サーバが所属する NDG の名前。AAA サーバを NDG から独 立させるには、Not Assigned を選択します。 (注) このオプションは、NDG を使用するように ACS を設定していない場合は表示されませ ん。NDG をイネーブルにするには、Interface Configuration > Advanced Options を選択 します。次に、Network Device Groups チェックボックスをオンにします。 • Log Update/Watchdog Packets from this remote AAA Server:リモート AAA サーバからこの ACS に転送される、AAA クライアントからのアップデート(ウォッチドッグ)パケットのロギング をイネーブルにします。ウォッチドッグ パケットは、セッション中に周期的に送信される仮パ ケットです。ウォッチドッグ パケットは、AAA クライアントの障害によって、セッションの 終了を示す停止パケットが受信されない場合に、おおよそのセッション長を提供します。 • AAA Server Type:次の 3 つのタイプのいずれか 1 つを選択します。 − RADIUS:リモート AAA サーバが任意の種類の RADIUS プロトコルを使用するように設 定されている場合に、このオプションを選択します。 − TACACS+:リモート AAA サーバが TACACS+ プロトコルを使用するように設定されてい る場合に、このオプションを選択します。 − ACS:リモート AAA サーバがもう 1 台の ACS サーバである場合に、このオプションを選 択します。これによって、ACS 内部データベース複製やリモート ロギングなど、他の ACS だけで利用できる機能の設定が可能になります。 • Traffic Type:Traffic Type リストは、リモート AAA サーバで送受信されるトラフィックについ て、この ACS からのフローとして許可されている方向を定義します。このリストには、次のオ プションが含まれています。 − Inbound:リモート AAA サーバは、転送されてくる要求を受け付けますが、その要求を他 の AAA サーバには転送しません。リモート AAA サーバからの認証要求の転送を許可しな い場合は、このオプションを選択します。 − Outbound:リモート AAA サーバは認証要求を送信しますが、受信はしません。Proxy Distribution Table エントリが、Outbound として設定されている AAA サーバへの認証要求を 代理処理するように設定されている場合、認証要求は送信されません。 − Inbound/Outbound:リモート AAA サーバは認証要求の転送と受信の両方を行います。こ のオプションによって、選択しているサーバは分散テーブルに定義されているすべての方 法で認証要求を処理できます。 • AAA Server RADIUS Authentication Port: AAA サーバが認証要求を受け入れるポートを指定 します。標準ポートは 1812 で、他の最も広く使用されるポートは 1645 です。AAA Server Type フィールドで TACACS+ を選択すると、この RADIUS Authentication Port フィールドはグレー 表示になります。 • AAA Server RADIUS Accounting Port:AAA サーバがアカウンティング情報を受け入れるポー トを指定します。標準ポートは 1813 で、他の最も広く使用されるポートは 1646 です。AAA Server Type フィールドで TACACS+ を選択すると、この RADIUS Accounting Port フィールドは グレー表示になります。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 3-19 第3章 ネットワーク設定 AAA サーバの設定 AAA サーバの追加 始める前に リモート AAA サーバ設定を追加する際に利用できるオプションについては、P.3-18 の「AAA サー バの設定オプション」を参照してください。 ACS でリモート AAA サーバに AAA サービスを提供するには、リモート AAA サーバと ACS の中 間にあるゲートウェイ デバイスにおいて、該当する AAA プロトコル(RADIUS または TACACS+) をサポートするポートを介した通信が許可されている必要があります。AAA プロトコルが使用す るポートについては、P.1-4 の「AAA プロトコル:TACACS+ と RADIUS」を参照してください。 AAA サーバを追加および設定するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Network Configuration をクリックします。 Network Configuration ページが開きます。 ステップ 2 次のいずれか 1 つを実行します。 • NDG を使用している場合は、AAA サーバを割り当てる NDG の名前をクリックします。次に、 [name] AAA Servers テーブルの下の Add Entry をクリックします。 • NDG がイネーブルになっていない場合に AAA サーバを追加するには、AAA Servers テーブル の下の Add Entry をクリックします。 Add AAA Server ページが表示されます。 ステップ 3 必要に応じて AAA サーバ設定値を入力します。AAA サーバに利用できる設定オプションについて は、P.3-18 の「AAA サーバの設定オプション」を参照してください。 ステップ 4 変更を保存してすぐに適用するには、Submit + Apply をクリックします。 ヒント (注) 変更を保存して後で適用するには、Submit を選択します。変更を実行する準備ができた ら、System Configuration > Service Control を選択します。次に、Restart を選択します。 サービスを再起動すると、Logged-in User レポートが消去され、すべての ACS サービスが 一時的に中断されます。これによって、最大セッション カウンタが影響を受け、ゼロ(0) にリセットされます。 Cisco Secure ACS Solution Engine ユーザ ガイド 3-20 OL-14386-01-J 第3章 ネットワーク設定 AAA サーバの設定 AAA サーバの編集 次の手順で、すでに設定した AAA サーバの設定内容を編集できます。 (注) AAA サーバの名前を編集することはできません。AAA サーバの名前を変更するには、既存の AAA サーバ エントリを削除した後、サーバ エントリを新しい名前で追加します。 始める前に リモート AAA サーバ エントリを編集する際に利用できるオプションについては、P.3-18 の「AAA サーバの設定オプション」を参照してください。 ACS でリモート AAA サーバに AAA サービスを提供するには、リモート AAA サーバと ACS の中 間にあるゲートウェイ デバイスにおいて、該当する AAA プロトコル(RADIUS または TACACS+) をサポートするポートを介した通信が許可されている必要があります。AAA プロトコルが使用す るポートについては、P.1-4 の「AAA プロトコル:TACACS+ と RADIUS」を参照してください。 AAA サーバを編集するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Network Configuration をクリックします。 Network Configuration ページが開きます。 ステップ 2 次のいずれか 1 つを実行します。 • NDG を使用している場合は、AAA サーバが割り当てられている NDG の名前をクリックしま す。次に、AAA Servers テーブルで、編集する AAA サーバの名前をクリックします。 • NDG がイネーブルになっていない場合は、AAA Servers テーブルで、編集する AAA サーバの 名前をクリックします。 AAA Server Setup for X ページが表示されます。 ステップ 3 必要に応じて AAA サーバ設定値を入力または変更します。AAA サーバに利用できる設定オプショ ンについては、P.3-18 の「AAA サーバの設定オプション」を参照してください。 ステップ 4 変更を保存してすぐに適用するには、Submit + Apply をクリックします。 ヒント (注) 変更を保存して後で適用するには、Submit を選択します。変更を実行する準備ができた ら、System Configuration > Service Control を選択します。次に、Restart を選択します。 サービスを再起動すると、Logged-in User レポートが消去され、すべての ACS サービスが 一時的に中断されます。これによって、最大セッション カウンタが影響を受け、ゼロ(0) にリセットされます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 3-21 第3章 ネットワーク設定 AAA サーバの設定 AAA サーバの削除 AAA サーバを削除するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Network Configuration をクリックします。 Network Configuration ページが開きます。 ステップ 2 次のいずれか 1 つを実行します。 • NDG を使用している場合は、AAA サーバが割り当てられている NDG の名前をクリックしま す。次に、AAA Servers テーブルで、AAA サーバ名をクリックします。 • NDG がイネーブルになっていない場合は、AAA Servers テーブルで AAA サーバ名をクリック します。 AAA Server Setup for X ページが表示されます。 ステップ 3 AAA サーバを削除した後、削除をすぐに有効にするには、Delete + Apply をクリックします。 (注) サービスを再起動すると、Logged-in User レポートが消去され、すべての ACS サービスが 一時的に中断されます。AAA サーバを削除したときに再起動する代わりに、Delete をクリッ クできます。しかし、この操作を行うと、変更内容はシステムが再起動されるまで有効に なりません。システムを再起動するには、System Configuration > Service Control を選択し ます。次に、Restart を選択します。 確認ダイアログボックスが表示されます。 ステップ 4 OK をクリックします。 ACS が再起動し、AAA サーバが削除されます。 Cisco Secure ACS Solution Engine ユーザ ガイド 3-22 OL-14386-01-J 第3章 ネットワーク設定 リモート エージェントの設定(ACS SE のみ) リモート エージェントの設定(ACS SE のみ) この項では、リモート エージェント、および ACS Web インターフェイスでリモート エージェント を設定する手順について説明します。 ここでは、次の項目について説明します。 • リモート エージェントについて(P.3-23) • リモート エージェントの設定オプション(P.3-23) • リモート エージェントの追加(P.3-24) • リモート エージェントの設定の編集(P.3-26) • リモート エージェントの設定の削除(P.3-27) リモート エージェントについて ACS SE では、リモート ロギングと、Windows 外部ユーザ データベースを使用したユーザの認証に リモート エージェントを使用できます。リモート ロギングと、Windows 外部ユーザ データベース を使用した認証を設定する前に、Network Configuration セクションの Remote Agents テーブルに少な くとも 1 つ、リモート エージェントの設定を追加する必要があります。 インストールおよび設定方法を含む、リモート エージェントの詳細については、 『Installation Guide for Cisco Secure ACS Solution Engine Release 4.2』を参照してください。 リモート エージェントの設定オプション Add Remote Agent ページと Remote Agent Setup ページには、次のオプションがあります。 (注) • 対応する設定が ACS に用意されていないリモート エージェントや、ACS での設定が誤っ ているリモート エージェントは、ACS と通信して設定、ロギング データ、または Windows 認証要求を受け取ることができません。 Remote Agent Name:リモート エージェントの設定に割り当てる名前。リモート エージェント の名前を使用して、リモート エージェント ロギングおよび Windows 認証を設定します。リモー ト エージェントには、わかりやすく、一貫した命名規則を適用することを推奨します。たとえ ば、リモート エージェントを実行するサーバのホスト名と同じ名前を割り当てることができま す。リモート エージェント名の長さは、32 文字までです。 (注) リモート エージェント名は、いったん送信した後は変更できません。リモート エージェ ントに別の名前を使用する必要が生じた場合は、そのリモート エージェントの設定を 削除して、新しい名前でリモート エージェントの設定を作成し、リモート エージェン トを使用するリモート ロギングおよび Windows 認証設定を変更する必要があります。 • Remote Agent IP Address:リモート エージェントの IP アドレス(ドット付き 10 進形式) 。た とえば、10.77.234.3 と指定します。 • Remote Agent Port:リモート エージェントが ACS からの通信を受信する TCP ポート。TCP ポート番号の長さは、6 文字までです。Remote Agent Port は、0 ∼ 65535 の範囲の数値である必 要があります。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 3-23 第3章 ネットワーク設定 リモート エージェントの設定(ACS SE のみ) (注) 指定したポート番号が、受信用に設定したリモート エージェントのポートと一致しな い場合、ACS はリモート エージェントと通信できません。リモート エージェントの ポートの設定方法については、『Installation and Configuration Guide for Cisco Secure ACS Remote Agents Release 4.2』を参照してください。 • Network Device Group:このリモート エージェントが所属する NDG の名前。リモート エー ジェントを NDG から独立させるには、Not Assigned を選択します。 上記のリストのオプションに加えて、Remote Agent Setup ページには、次のオプションがあります。 • Running Status:リモート エージェントのステータスに関する情報。ACS がリモート エージェ ントに接続できる場合は、リモート エージェントの経過時間が表示されます。ACS がリモート エージェントに接続できない場合は、メッセージ Not responding が表示されます。 • Configuration Provider:リモート エージェントが設定を受け取る ACS。 ヒント • ACS 名をクリックして、リモート エージェントに設定データを送信する ACS の Web イ ンターフェイスにアクセスします。新しいブラウザ ウィンドウに、リモート エージェン トに設定データを送信する ACS の Web インターフェイスが表示されます。 Service Table:Configuration Provider の下にリモート エージェント サービスのテーブルが表示 されます。テーブルには以下のカラムがあります。 − Service:リモート エージェントが提供できるサービスのリモート ロギングおよび Windows 認証のリスト。 − Available:リモート エージェントが対応するサービスを現在提供できるかどうかを示しま す。 − Used by this ACS:ログインした ACS で対応するサービスが現在使用されているかどうか を示します。 リモート エージェントの追加 始める前に リモート エージェントの設定を追加する際に利用できるオプションについては、P.3-23 の「リモー ト エージェントの設定オプション」を参照してください。 ACS でリモート エージェントと通信するには、リモート エージェントと ACS の中間にあるゲート ウェイ デバイスにおいて、リモート エージェントで使用される TCP ポートを介した通信が許可さ れ て い る 必 要 が あ り ま す。リ モ ー ト エ ー ジ ェ ン ト で 使 用 さ れ る ポ ー ト の 詳 細 に つ い て は、 『Installation and Configuration Guide for Cisco Secure ACS Remote Agents Release 4.2』を参照してくだ さい。 リモート エージェントを追加して設定するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Network Configuration をクリックします。 Network Configuration セクションが開きます。 Cisco Secure ACS Solution Engine ユーザ ガイド 3-24 OL-14386-01-J 第3章 ネットワーク設定 リモート エージェントの設定(ACS SE のみ) ステップ 2 NDG を使用しているかどうかに基づいて、次のいずれかの手順を実行します。 a. NDG を使用している場合は、リモート エージェントを割り当てる NDG の名前をクリックしま す。次に、NDG Remote Agents テーブルで、Add Entry をクリックします。 b. NDG を使用していない場合は、Remote Agents テーブルで、Add Entry をクリックします。 Add Remote Agent ページが表示されます。 ステップ 3 Remote Agent Name ボックスに、このリモート エージェントの名前(最大 32 文字)を入力します。 ステップ 4 Remote Agent IP Address ボックスに、このリモート エージェントを実行するコンピュータの IP ア ドレスを入力します。 ステップ 5 Port ボックスに、リモート エージェントが ACS からの通信を受信する TCP ポートの番号(最大 6 桁)を入力します。デフォルトの TCP ポートは 2004 です。 (注) ステップ 6 Network Device Group リストから、このリモート エージェントが属する NDG を選択します。 (注) ステップ 7 このポート番号が、リモート エージェントが受信するように設定されているポートと一致 しない場合、ACS はリモート エージェントと通信できません。リモート エージェントが受 信する ポー ト番号 の設 定方 法につ いて は、『Installation and Configuration Guide for Cisco Secure ACS Remote Agents Release 4.2』を参照してください。 NDG がイネーブルになっている場合にのみ、Network Device Group リストが表示されます。 NDG をイネーブルにするには、Interface Configuration > Advanced Options をクリックし、 次に Network Device Groups をクリックします。 変更を保存してすぐに適用するには、Submit + Apply をクリックします。 ヒント (注) 変更を保存して後で適用するには、Submit をクリックします。変更を実装する準備がで きたら、System Configuration > Service Control をクリックし、次に Restart をクリック します。 サービスを再起動すると、Logged-in User レポートが消去され、すべての ACS サービスが 一時的に中断されます。最大セッション カウンタが 0 にリセットされます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 3-25 第3章 ネットワーク設定 リモート エージェントの設定(ACS SE のみ) リモート エージェントの設定の編集 次の手順で、すでに設定したリモート エージェントの設定内容を編集できます。 (注) リモート エージェントの名前を編集することはできません。リモート エージェントに別の名前を 使用する必要が生じた場合は、そのリモート エージェントの設定を削除して、新しい名前でリモー ト エージェントの設定を作成し、リモート エージェントを使用するリモート ロギングおよび Windows 認証設定を変更する必要があります。 始める前に リモート エージェントの設定を編集する際に利用できるオプションについては、P.3-23 の「リモー ト エージェントの設定オプション」を参照してください。 (注) ACS でリモート エージェントと通信するには、リモート エージェントと ACS の中間にあ るゲートウェイ デバイスにおいて、リモート エージェントで使用される TCP ポートを介し た通信が許可されている必要があります。リモート エージェントで使用されるポートの詳 細については、 『Installation and Configuration Guide for Cisco Secure ACS Remote Agents Release 4.2』を参照してください。 リモート エージェントの設定を編集するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Network Configuration をクリックします。 Network Configuration セクションが開きます。 ステップ 2 NDG を使用しているかどうかに基づいて、次のいずれかの手順を実行します。 a. NDG を使用している場合は、リモート エージェントが属している NDG の名前をクリックしま す。次に、NDG Remote Agents テーブルで、編集するリモート エージェントの設定の名前をク リックします。 b. NDG を使用していない場合は、Remote Agents テーブルで、編集するリモート エージェントの 名前をクリックします。 Remote Agent Setup for the agent ページが表示されます。 ステップ 3 次のオプションの 1 つ以上を選択するか、新しい設定値を入力します。 • Remote Agent IP Address • Port • Network Device Group(インターフェイス設定の Advanced Options でイネーブルになっている場 合に表示されます) (注) 現在ログインしている ACS でリモート エージェントの設定データが提供されない場合、オ プションは編集できません。Configuration Provider として表示される ACS の名前をクリッ クすると、リモート エージェントに設定データを送信する ACS の Web インターフェイス にアクセスできます。 Cisco Secure ACS Solution Engine ユーザ ガイド 3-26 OL-14386-01-J 第3章 ネットワーク設定 リモート エージェントの設定(ACS SE のみ) ステップ 4 変更を保存してすぐに適用するには、Submit + Apply をクリックします。 ヒント (注) 変更を保存して後で適用するには、Submit をクリックします。変更を実装する準備がで きたら、System Configuration > Service Control をクリックし、次に Restart をクリック します。 サービスを再起動すると、Logged-in User レポートが消去され、すべての ACS サービスが 一時的に中断されます。最大セッション カウンタが 0 にリセットされます。 リモート エージェントの設定の削除 (注) リモート ロギングまたは Windows 認証に使用するように設定したリモート エージェントは削除で きません。 リモート エージェントの設定を削除するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Network Configuration をクリックします。 Network Configuration セクションが開きます。 ステップ 2 NDG を使用しているかどうかに基づいて、次のいずれかの手順を実行します。 a. NDG を使用している場合は、リモート エージェントが属している NDG の名前をクリックしま す。次に、NDG Remote Agents テーブルで、削除するリモート エージェントの設定の名前をク リックします。 b. NDG を使用していない場合は、Remote Agents テーブルで、削除するリモート エージェントの 設定の名前をクリックします。 Remote Agent Setup for the agent ページが表示されます。 ステップ 3 リモート エージェントを削除した後、削除をすぐに有効にするには、Delete + Apply をクリックし ます。 (注) サービスを再起動すると、Logged-in User レポートが消去され、すべての ACS サービスが 一時的に中断されます。リモート エージェントを削除したときに再起動する代わりに、 Delete をクリックできます。しかし、この操作を行うと、変更内容はサービスが再起動さ れるまで有効になりません。サービスを再起動するには、System Configuration > Service Control > Restart をクリックします。 確認ダイアログボックスが表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 3-27 第3章 ネットワーク設定 ネットワーク デバイス グループの設定 ステップ 4 OK をクリックします。 ACS が AAA サービスを再起動し、リモート エージェントの設定が削除されます。 ネットワーク デバイス グループの設定 ネットワーク デバイス グループは、ネットワーク デバイスの集合を 1 つの論理的グループとして 表示および管理できる高度な機能です。管理を容易にするために、各グループに 1 つの名前を割り 当て、その名前を使用して、グループ内のデバイスすべてを参照できます。これによって、2 つの レベルのネットワーク デバイスが ACS の内部に作られます。2 つのレベルとは、独立したデバイ ス(個別のルータやネットワーク アクセス サーバ) と NDG (ルータまたは AAA サーバの集合)です。 注意 Web インターフェイスの Network Device Groups テーブルを参照するには、Interface Configuration セ クションの Advanced Options ページにある Network Device Groups オプションを選択しておく必要 があります。Interface Configuration セクションの他の領域とは異なり、Network Device Groups オプ ションの選択を解除すると、アクティブな NDG が非表示になります。このため、NDG の設定を 行う場合は、Advanced Option ページの Network Device Groups が選択された状態になっていること を確認してください。 ここでは、次の項目について説明します。 • ネットワーク デバイス グループの追加(P.3-28) • 未割り当ての AAA クライアントまたは AAA サーバの NDG への割り当て(P.3-30) • AAA クライアントまたは AAA サーバの NDG への再割り当て(P.3-30) • ネットワーク デバイス グループの編集(P.3-31) • ネットワーク デバイス グループの削除(P.3-32) ネットワーク デバイス グループの追加 ユーザまたはユーザ グループを NDG に割り当てることができます。詳細については、次のいずれ かの項を参照してください。 • TACACS+ Enable Password オプションをユーザに対して設定する(P.6-28) • イネーブル特権オプションをユーザ グループに対して設定する(P.5-16) NDG を追加するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Network Configuration をクリックします。 Network Configuration ページが開きます。 ステップ 2 Network Device Groups テーブルの下の Add Entry をクリックします。 ヒント Network Device Groups テーブルが表示されない場合は、Interface Configuration > Advanced Options を選択します。次に、Network Device Groups を選択します。 Cisco Secure ACS Solution Engine ユーザ ガイド 3-28 OL-14386-01-J 第3章 ネットワーク設定 ネットワーク デバイス グループの設定 ステップ 3 Network Device Group Name ボックスに新しい NDG の名前を入力します。 ヒント ステップ 4 名前の最大長は 24 文字です。引用符(")およびカンマ(,)は使用できません。スペー スは使用できます。 Shared Secret ボックスに、Network Device Group の秘密鍵を入力します。最大長は 64 文字です。 Network Device Group に割り当てられた各デバイスは、ここで入力した共有秘密鍵を使用します。 システムに追加されたときにデバイスに割り当てられた秘密鍵は無視されます。秘密鍵のエントリ がヌルの場合、AAA クライアントの秘密鍵が使用されます。P.3-10 の「AAA クライアントの設定 オプション」を参照してください。この機能により、デバイスの秘密鍵を簡単に管理できます。 ステップ 5 RADIUS Key Wrap セクションで、PEAP、EAP-FAST、および EAP-TLS 認証における RADIUS キー ラップの共有秘密鍵を入力します。 それぞれの鍵は一意で、RADIUS 共有鍵とは明確に区別される必要があります。これらの共有鍵は、 AAA クライアントごと、および NDG ごとに設定できます。NDG 鍵の設定は、AAA クライアント の設定よりも優先されます。秘密鍵のエントリがヌルの場合、AAA クライアントの秘密鍵が使用 されます。P.3-10 の「AAA クライアントの設定オプション」を参照してください。 • Key Encryption Key (KEK):これは、Pairwise Master Key(PMK)の暗号化に使用されます。 ASCII モードでは、鍵の長さを正確に 16 文字で入力し、16 進数モードでは 32 文字で入力しま す。 • Message Authentication Code Key (MACK) :これは、 RADIUS メッセージに対する鍵付き Hashed Message Authentication Code(HMAC)の計算に使用されます。ASCII モードでは、鍵の長さを 正確に 20 文字で入力し、16 進数モードでは 40 文字で入力します。 (注) • キー ラップがイネーブルのときに鍵フィールドを未入力にすると、鍵に 0 だけが含まれる ようになります。 Key Input Format:鍵を ASCII 文字列として入力するか、16 進数文字列として入力するか指定 します(デフォルトは ASCII)。 (注) PEAP、EAP-FAST、および EAP-TLS 認証でこれらの共有鍵を実装するには、NAP Authentication Settings ページでキー ラップ機能をイネーブルにする必要があります。 (注) Submit をクリックします。 Network Device Groups テーブルに、新しい NDG が表示されます。 ステップ 6 新しく作成した NDG に AAA クライアントまたは AAA サーバを読み込むには、必要に応じて、次 の手順のうち該当するものを実行します。 • AAA クライアントの追加(P.3-14) Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 3-29 第3章 ネットワーク設定 ネットワーク デバイス グループの設定 • AAA サーバの追加(P.3-20) • 未割り当ての AAA クライアントまたは AAA サーバの NDG への割り当て(P.3-30) • AAA クライアントまたは AAA サーバの NDG への再割り当て(P.3-30) 未割り当ての AAA クライアントまたは AAA サーバの NDG への割り当て 次の手順で、未割り当ての AAA クライアントまたは AAA サーバを NDG に割り当てることができ ます。前提条件として、AAA クライアントまたは AAA サーバの設定が終了し、Not Assigned AAA Clients テーブルまたは Not Assigned AAA Servers テーブルに表示されている必要があります。 NDG にネットワーク デバイスを割り当てるには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Network Configuration をクリックします。 Network Configuration ページが開きます。 ステップ 2 Network Device Groups テーブルで、Not Assigned をクリックします。 ヒント Network Device Groups テーブルが表示されない場合は、Interface Configuration > Advanced Options を選択します。次に、Network Device Groups チェックボックスをオンにします。 ステップ 3 NDG に割り当てるネットワーク デバイスの名前をクリックします。 ステップ 4 Network Device Groups リストから、AAA クライアントまたは AAA サーバを割り当てる NDG を選 択します。 ステップ 5 Submit をクリックします。 AAA クライアントまたは AAA サーバが NDG に割り当てられます。 AAA クライアントまたは AAA サーバの NDG への再割り当て AAA クライアントまたは AAA サーバを新しいグループに再度割り当てるには、次の手順を実行し ます。 ステップ 1 ナビゲーション バーの Network Configuration をクリックします。 Network Configuration ページが開きます。 ステップ 2 Network Device Groups テーブルで、ネットワーク デバイスの現在のグループ名をクリックします。 ステップ 3 必要に応じて、AAA Clients テーブルまたは AAA Servers テーブルで、新しい NDG に割り当てる AAA クライアントまたは AAA サーバの名前をクリックします。 Cisco Secure ACS Solution Engine ユーザ ガイド 3-30 OL-14386-01-J 第3章 ネットワーク設定 ネットワーク デバイス グループの設定 ステップ 4 Network Device Group リストで、ネットワーク デバイスを再度割り当てる NDG を選択します。 ステップ 5 Submit をクリックします。 ネットワーク デバイスが、選択した NDG に割り当てられます。 ネットワーク デバイス グループの編集 NDG の名前を変更したり、共有秘密情報およびキー ラップ設定を変更できます。 注意 NDG の名前を変更する場合は、元の NDG 名を呼び出す NAR またはその他の Shared Profile Component(SPC; 共有プロファイル コンポーネント)が存在しないことを確認します。ACS は、 元の NDG が呼び出されるかどうかを判断する自動確認を実行しません。ユーザの認証要求に、存 在しない(または名前が変更された)NDG を呼び出す SPC が組み込まれていた場合、その試行は 失敗し、ユーザは拒否されます。 NDG を削除するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Network Configuration をクリックします。 Network Configuration ページが開きます。 ステップ 2 Network Device Groups テーブルで、編集する NDG をクリックします。 ヒント Network Device Groups テーブルが表示されない場合は、Interface Configuration > Advanced Options を選択します。次に、Network Device Groups チェックボックスをオンにします。 ステップ 3 ページの下部にある Edit Properties をクリックします。 ステップ 4 必要に応じて、ネットワーク デバイス グループのプロパティを変更します。プロパティの詳細に ついては、P.3-28 の「ネットワーク デバイス グループの追加」を参照してください。 ステップ 5 Submit をクリックします。 NDG のプロパティが変更されます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 3-31 第3章 ネットワーク設定 ネットワーク デバイス グループの設定 ネットワーク デバイス グループの削除 NDG を削除する場合は、削除するグループに属する AAA クライアントと AAA サーバがすべて、 Not Assigned AAA Clients テーブルまたは Not Assigned AAA Servers テーブルに表示されます。 ヒント AAA クライアントおよび AAA サーバの NDG を空にしてから削除することが有用な場合がありま す。手動で空にするには、P.3-30 の「AAA クライアントまたは AAA サーバの NDG への再割り当 て」の手順を実行します。再度割り当てるデバイスが多数ある場合は、RDBMS 同期化機能を使用 します。 注意 NDG を削除する場合は、元の NDG 名を呼び出す NAR またはその他の SPC が存在しないことを確 認します。ACS は、元の NDG が呼び出されるかどうかを判断する自動確認を実行しません。ユー ザの認証要求に、存在しない(または名前が変更された)NDG を呼び出す SPC が組み込まれてい た場合、要求に対する試行は失敗し、ユーザは拒否されます。 NDG を削除するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Network Configuration をクリックします。 Network Configuration ページが開きます。 ステップ 2 Network Device Groups テーブルで、削除する NDG をクリックします。 ヒント ステップ 3 Network Device Groups テーブルが表示されない場合は、Interface Configuration > Advanced Options を選択します。次に、Network Device Groups チェックボックスをオンにします。 ページの下部にある Delete Group をクリックします。 確認ダイアログボックスが表示されます。 ステップ 4 OK をクリックします。 NDG が削除され、その NDG の名前が Network Device Groups テーブルから削除されます。その NDG に属していた AAA クライアントと AAA サーバはすべて、Not Assigned AAA Clients テーブルまた は Not Assigned AAA Servers テーブル内に存在するようになります。 Cisco Secure ACS Solution Engine ユーザ ガイド 3-32 OL-14386-01-J 第3章 ネットワーク設定 Proxy Distribution Table の設定 Proxy Distribution Table の設定 この項では、Proxy Distribution Table について説明します。 ここでは、次の項目について説明します。 • Proxy Distribution Table について(P.3-33) • 新しい Proxy Distribution Table エントリの追加(P.3-33) • 分散エントリの文字列照合順のソート(P.3-35) • Proxy Distribution Table エントリの編集(P.3-35) • Proxy Distribution Table エントリの削除(P.3-36) Proxy Distribution Table について Distributed Systems Settings がイネーブルである場合、Network Configuration をクリックすると、Proxy Distribution Table が表示されます。 ヒント ACS で Distributed Systems Settings をイネーブルにするには、Interface Configuration > Advanced Options を選択します。次に、Distributed System Settings チェックボックスをオンにします。 Proxy Distribution Table には複数のエントリが含まれており、このエントリがプロキシ処理を判定す る文字列、プロキシ処理先の AAA サーバ、文字列のストリッピングの有無、およびアカウンティ ング情報の送信先(ローカル / リモート、リモート、またはローカル)が表示されます。プロキシ 機能の詳細については、P.3-4 の「分散システムにおけるプロキシ」を参照してください。 Proxy Distribution Table 内に配置されて定義されているエントリは、ACS が AAA クライアントから 受信する各認証要求に対して、一度に 1 つずつ処理されます。Proxy Distribution Table における認証 要求は、その転送先に応じて定義されます。プロキシ情報を含む Proxy Distribution Table のエント リと一致することが検出されると、ACS は、その要求を該当する AAA サーバに転送します。 Proxy Distribution Table の Character String カラムには、常に (Default) というエントリが含まれてい ます。(Default) エントリは、ローカル ACS が受信した認証要求の中で、定義されている他の文字列 とは一致しない認証要求と一致します。(Default) エントリの文字列定義は変更できませんが、 (Default) エントリと一致する認証要求の配布は変更できます。インストール時に (Default) エントリ と関連付けられる AAA サーバは、ローカルの ACS です。リモートに処理される認証要求と一致す る文字列を定義する方法に比べて、ローカルに処理される認証要求と一致する文字列を定義する方 が簡単な場合があります。そのような場合は、リモート AAA サーバと (Default) エントリを関連付 けることによって、通常の方法より簡単に記述できるエントリを使用して Proxy Distribution Table を設定することが可能になります。 新しい Proxy Distribution Table エントリの追加 新しい Proxy Distribution Table エントリを作成するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Network Configuration をクリックします。 Network Configuration ページが開きます。 ステップ 2 Proxy Distribution Table の下の Add Entry をクリックします。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 3-33 第3章 ネットワーク設定 Proxy Distribution Table の設定 (注) ステップ 3 Proxy Distribution Table が表示されない場合は、Interface Configuration > Advanced Options を選択します。次に、Distributed System Settings チェックボックスをオンにします。 Character String ボックスに、ユーザが認証を受けるためにダイヤルインするときに転送の判断元と なる文字列を、デリミタも含めて入力します。たとえば、.uk と入力します。 (注) 山カッコ(<>)は使用できません。 ステップ 4 Position リストから、Prefix(入力した文字列がユーザ名の先頭に付く場合)、または Suffix(文字 列がユーザ名の最後に付く場合)を選択します。 ステップ 5 Strip リストから、Yes を選択してユーザ名から入力した文字列を取り除くか、No を選択してユー ザ名をそのままにします。 ステップ 6 AAA Servers カラムで、プロキシの代わりに使用する AAA サーバを選択します。-->(右矢印ボタ ン)をクリックして、選択した AAA サーバを Forward To カラムに移動します。 ステップ 7 ヒント 上位サーバに障害が発生した場合にバックアップ プロキシとして使用する予備の AAA サーバも選択できます。AAA サーバの順序を設定するには、Forward To カラムで対象の サーバの名前をクリックしてから、Up または Down をクリックして、適切な位置に移動 します。 ヒント 使用する AAA サーバがリストにない場合は、Network Configuration > AAA Servers を選 択します。次に、Add Entry を選択して、適切な情報を入力します。 Send Accounting Information リストで、アカウンティング情報の報告先となる場所を次の中から 1 つ 選択します。 • Local:アカウンティング パケットをローカルの ACS に保持します。 • Remote:アカウンティング パケットをリモートの ACS に送信します。 • Local/Remote:アカウンティング パケットをローカルの ACS に保持し、かつリモートの ACS にも送信します。 ヒント この情報は、ユーザに許可される接続数を制御するために最大セッション機能を使用し ている場合に特に重要になります。最大セッションは、アカウンティング開始レコード とアカウンティング停止レコードに依存し、アカウンティング情報の送信先によって最 大セッション カウンタを追跡する場所が決定されます。Failed Attempts ログおよび Logged in Users レポートも、アカウンティング レコードの送信先によって影響を受けま す。例については、P.3-6 の「アカウンティング パケットのリモート使用」を参照してく ださい。 Cisco Secure ACS Solution Engine ユーザ ガイド 3-34 OL-14386-01-J 第3章 ネットワーク設定 Proxy Distribution Table の設定 ステップ 8 操作が完了したら、Submit または Submit + Apply をクリックします。 分散エントリの文字列照合順のソート 次の手順では、ユーザがダイヤルインするときに、ACS が Proxy Distribution Table 内の文字列エン トリの検索に使用する優先順位を設定できます。 ACS が Proxy Distribution Table 内のエントリの検索に使用する順序を決定するには、次の手順を実 行します。 ステップ 1 ナビゲーション バーの Network Configuration をクリックします。 Network Configuration ページが開きます。 ステップ 2 Proxy Distribution Table で、Sort Entries をクリックします。 ヒント エントリをソートするには、(Default) テーブル エントリ以外に 2 つ以上の一意な Proxy Distribution Table エントリを設定してあることが必要です。 ステップ 3 順序を変更する文字列エントリを選択し、次に Up または Down をクリックして、検索順を反映す るようにその文字列エントリの位置を移動します。 ステップ 4 ソートが完了したら、Submit または Submit + Apply をクリックします。 Proxy Distribution Table エントリの編集 Proxy Distribution Table エントリを編集するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Network Configuration をクリックします。 Network Configuration ページが開きます。 ステップ 2 Proxy Distribution Table の Character String カラムで、編集する分散エントリをクリックします。 Edit Proxy Distribution Entry ページが表示されます。 ステップ 3 必要に応じて、エントリを編集します。 ヒント 分散エントリを構成するパラメータについては、P.3-33 の「新しい Proxy Distribution Table エントリの追加」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 3-35 第3章 ネットワーク設定 Proxy Distribution Table の設定 ステップ 4 エントリの編集が完了したら、Submit または Submit + Apply をクリックします。 Proxy Distribution Table エントリの削除 Proxy Distribution Table エントリを削除するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Network Configuration をクリックします。 Network Configuration ページが開きます。 ステップ 2 Proxy Distribution Table の Character String カラムで、削除する分散エントリをクリックします。 Edit Proxy Distribution Entry ページが表示されます。 ステップ 3 Delete をクリックします。 確認ダイアログボックスが表示されます。 ステップ 4 OK をクリックします。 分散エントリが Proxy Distribution Table から削除されます。 Cisco Secure ACS Solution Engine ユーザ ガイド 3-36 OL-14386-01-J C H A P T E R 4 共有プロファイル コンポーネント この章では、Cisco Secure Access Control Server Release 4.2(以降は ACS と表記)の Web インター フェイスの Shared Profile Components セクションにある機能について説明します。 この章は、次の項で構成されています。 • 共有プロファイル コンポーネントについて(P.4-2) • ネットワーク アクセス フィルタ(P.4-4) • RADIUS 認可コンポーネント(P.4-9) • ダウンロード可能 IP ACL(P.4-17) • ネットワーク アクセス制限(P.4-23) • コマンド認可セット(P.4-31) Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 4-1 第4章 共有プロファイル コンポーネント 共有プロファイル コンポーネントについて 共有プロファイル コンポーネントについて Shared Profile Components セクションを使用して、再利用可能な認可コンポーネントの共有セットを 作成および命名できます。このセットは、ユーザまたはユーザ グループに適用でき、ユーザのプロ ファイル内の名前で参照されます。共有セットには、Network Access Filter(NAF; ネットワーク ア クセス フィルタ)、RADIUS Authorization Components(RAC; RADIUS 認可コンポーネント)、ダウ ンロード可能 IP Access Control List(ACL; アクセス コントロール リスト) 、 Network Access Restriction (NAR; ネットワーク アクセス制限)、およびコマンド認可セットが含まれています。 Shared Profile Components セクションでは、認可を選択する際のスケーラビリティに重点が置かれて います。共有プロファイル コンポーネントは、一度設定すると多数のユーザまたはグループに適用 できます。この機能を使用しない場合、柔軟かつ総合的な認可を実現できる方法は、各デバイスで 各ユーザ グループの認可を明示的に設定する方法だけです。これらの名前付き共有プロファイル コンポーネント(ダウンロード可能 IP ACL、NAF、RAC、NAR、およびコマンド認可セット)を 作成して適用すると、ネットワーク アクセス パラメータを定義するときに、デバイスやコマンド の長いリストを繰り返し入力する必要がなくなります。 この項では、次のトピックについて取り上げます。 802.1X のセットアップ例(P.4-2) 802.1X のセットアップ例 表 4-1 では、SPC の配置方法を理解するために役立つシナリオ例を説明しています。たとえば、 802.1X および Network Admission Control(NAC; ネットワーク アドミッション コントロール)を配 置する場合は、次のように設定します。 表 4-1 802.1X の SPC シナリオ例 共有プロファイル コンポーネント 説明 注釈 ネ ッ ト ワ ー ク ア NAF は、所定のネットワーク サービスに クセス フィルタ 含 め る デ バ イ ス、し た が っ て、Network Access Profile(NAP; ネットワーク アクセ ス プロファイル)に含めるデバイスを定義 する最も一般的な方法です。 • NAC 用にスイッチまたはルータをアップグレード する場合は、NAF を使用して、NAC が可能なデバ イスと不可能なデバイスを区別できます。 • 地理的な配置を基にしたデバイス グループの Network Device Group(NDG; ネットワーク デバイ ス グループ)がある場合は、NAF を使用して NDG を集約できます。この場合、設定された NAP ごと に NAF をセットアップできます。 NAC は、アクセス制限が必要なクライア ントを管理するために ACL を使用します (たとえば、NAC サプリカントがない場合 や、アップグレード ポリシーを適用する場 合など)。 • ポスチャおよび NAC Agentless Host(NAH; NAC エージェントレス ホスト)に関連する ACL を作成 します。 • ACL は、ユーザ グループからマッピング可能な ネットワーク アプリケーション(営業、人事、経理 のソフトウェアなど)を実行しているサーバへのア クセスを制御するために使用します。たとえば、HR グループは HR ACL を取得します。 ACL Cisco Secure ACS Solution Engine ユーザ ガイド 4-2 OL-14386-01-J 第4章 共有プロファイル コンポーネント 共有プロファイル コンポーネントについて 表 4-1 802.1X の SPC シナリオ例 (続き) 共有プロファイル コンポーネント 説明 RAC NAR RAC は、サービスによって区別された RADIUS 認可の設定に使用します。 NAR は、ユーザがネットワークにアクセ スする前に満たす必要のある追加条件を 作成する際に使用します。ACS は、 Authentication, Authorization, and Accounting (AAA; 認証、認可、アカウンティング)ク ライアントから送信されたアトリビュー トの情報を使用して、これらの条件を適用 します。 注釈 • RAC は、ネットワーク サービス(VPN、WLAN、 ダイヤルなど)ごとに設定します。たとえば、VPN と WLAN に異なるセッション タイムアウトを設定 します。 • NAP テンプレートを使用すると、802.1X プロファ イルの設定にかかる時間を短縮できます。これらに は異なるプロビジョニングが必要なため、それぞれ に SRAC が必要です。 • ネットワークへのアクセスが許可されている、すべ ての非 NAC デバイス(プリンタやレガシー システ ムなど)の MAC アドレスを一覧表示する CLI/DNIS NAR を作成します。この方法によって、ネットワー クを保護できます。 • MAC アドレスと IP アドレスの例外処理の NAH シ ナリオに対して、 NAC とともに NAR を使用します。 MAC アドレスと IP アドレスには、ワイルドカード が使用できます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 4-3 第4章 共有プロファイル コンポーネント ネットワーク アクセス フィルタ ネットワーク アクセス フィルタ この項では、NAF について説明し、その作成と管理の手順を示します。 ここでは、次の項目について説明します。 • ネットワーク アクセス フィルタについて(P.4-4) • ネットワーク アクセス フィルタの追加(P.4-5) • ネットワーク アクセス フィルタの編集(P.4-6) • ネットワーク アクセス フィルタの削除(P.4-8) ネットワーク アクセス フィルタについて NAF は、次のネットワーク要素を 1 つ以上組み合せた名前付きグループです。 • IP アドレス • AAA クライアント(ネットワーク デバイス) • ネットワーク デバイス グループ(NDG) ユーザがネットワークのアクセスに使用する可能性のある AAA クライアントに基づき、NAF を使 用してダウンロード可能 IP ACL または NAR を指定すると、各 AAA クライアントを明示的にリス トする手間が省けます。NAF は、所定のネットワーク サービスに含めるデバイス、したがって、 Network Access Profile(NAP; ネットワーク アクセス プロファイル)に含めるデバイスを定義する 最も一般的な方法です。NAF には次のような特徴があります。 ヒント • ダウンロード可能 IP ACL の NAF:特定の ACL コンテンツと NAF を関連付けることができま す。ダウンロード可能 IP ACL は、単一の NAF または「All-AAA-Clients」 (デフォルト)のい ずれかに関連付けられた 1 つ以上の ACL コンテンツ(ACL 定義のセット)で構成されていま す。この NAF と ACL コンテンツの組み合せにより、ACS は、アクセス要求を行う AAA クラ イアントの IP アドレスを使用してダウンロードされる ACL コンテンツを判別できます。ダウ ンロード可能 IP ACL の NAF の使用方法の詳細については、P.4-17 の「ダウンロード可能 IP ACL について」を参照してください。 • 共有ネットワーク アクセス制限の NAF:ユーザ アクセスが許可または拒否される AAA クラ イアントを共有 NAR がリストするように指定する重要な部分です。共有 NAR を構成するすべ ての AAA クライアントをリストするのではなく、個別の AAA クライアントの代わりに、また は個別の AAA クライアントと組み合せて、1 つ以上の NAF を簡単にリストすることができま す。共有 NAR の NAF の使用方法の詳細については、P.4-23 の「ネットワーク アクセス制限に ついて」を参照してください。 共有 NAR には、NDG と NAF のいずれか、または両方を含めることができます。また、NAF には、 1 つ以上の NDG を含めることができます。 NDG、ネットワーク デバイス(AAA クライアント)、または IP アドレスの任意の組み合せを含む NAF を追加することができます。これらのネットワーク デバイスまたは NDG を選択可能にするに は、事前にそれらを ACS に設定しておく必要があります。 NAF を構成するネットワーク要素は、任意の順番に配置することができます。最高のパフォーマン スを得るには、最も広く使用される要素を Selected Items リストの先頭に配置します。たとえば、大 多数のユーザが NDG の「アカウンティング」を介してネットワークにアクセスすると同時に、IP アドレス 205.205.111.222 を持つ単一のテクニカル サポート AAA クライアントへのアクセスが許可 されている NAF では、ネットワーク要素のリストで NDG を最初に(より上位に)リストすると、 すべての NAF メンバーに対して、特定の IP アドレスに関する検査を実行する必要がなくなります。 Cisco Secure ACS Solution Engine ユーザ ガイド 4-4 OL-14386-01-J 第4章 共有プロファイル コンポーネント ネットワーク アクセス フィルタ ネットワーク アクセス フィルタの追加 NAF を追加するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。 Shared Profile Components ページが表示されます。 ステップ 2 Network Access Filtering をクリックします。 Network Access Filtering テーブル ページが表示されます。 ヒント ステップ 3 Shared Profile Components ページに Network Access Filtering が表示されず選択できない場 合 は、Interface Configuration セ ク シ ョ ン の Advanced Options ペ ー ジ で Network Access Filtering をイネーブルにする必要があります。 Add をクリックします。 Network Access Filtering 編集ページが表示されます。 ステップ 4 Name ボックスに、新しいネットワーク アクセス フィルタの名前を入力します。 (注) NAF の名前には、最大で 31 文字まで使用できます。スペースは使用できません。名前には 左角カッコ([)、右角カッコ(])、カンマ(,)、スラッシュ(/)、ダッシュ(–)、ハイフン (-)、引用符(“)、アポストロフィ(‘)、右山カッコ(>) 、左山カッコ(<)は使用できません。 ステップ 5 Description ボックスに、新しいネットワーク アクセス フィルタの説明を入力します。説明には、 最大で 1,000 文字まで使用できます。 ステップ 6 必要に応じて、NAF 定義にネットワーク要素を追加します。 a. NAF 定義に NDG を追加するには、Network Device Groups ボックスで NDG を選択してから、 ->(右矢印ボタン)をクリックして、選択した NDG を Selected Items ボックスに移動します。 b. NAF 定義に AAA クライアントを追加するには、Network Device Groups ボックスで該当する NDG を選択してから、Network Devices ボックスで追加する AAA クライアントを選択します。 最後に、-->(右矢印ボタン)をクリックして、選択した AAA クライアントを Selected Items ボックスに移動します。 ヒント NDG を使用している場合は、AAA クライアントが属している NDG を選択したときに限 り、AAA クライアントが Network Devices ボックスに表示されます。NDG を使用してい ない場合は、事前に NDG を選択することなく Network Devices ボックスから AAA クラ イアントを選択できます。 c. NAF 定義に IP アドレスを追加するには、IP Address ボックスに IP アドレスを入力します。--> (右矢印ボタン)をクリックして、入力した IP アドレスを Selected Items ボックスに移動します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 4-5 第4章 共有プロファイル コンポーネント ネットワーク アクセス フィルタ (注) ワイルドカード文字であるアスタリスク(*)を使用すると、IP アドレスの範囲を指定 できます。 ステップ 7 項目の順序が適切であることを確認します。項目の順序を変更するには、Selected Items ボックス で項目の名前をクリックしてから、Up または Down をクリックして、適切な位置にその項目を移 動します。 ヒント ステップ 8 項目を選択してから <--(左矢印ボタン)をクリックしてリストから項目を削除すること により、Selected Items ボックスから項目を削除することもできます。 NAF を保存してすぐに適用するには、Submit + Apply を選択します。 ヒント (注) NAF を保存して後で適用するには、Submit を選択します。変更を実装する準備ができた ら、System Configuration > Service Control を選択します。次に、Restart を選択します。 サービスを再起動すると、Logged-in User レポートが消去され、すべての ACS サービスが 一時的に中断されます。これによって、最大セッション カウンタが影響を受け、ゼロ(0) にリセットされます。 Network Access Filtering テーブル ページが表示され、新しい NAF の名前と説明が示されます。 ネットワーク アクセス フィルタの編集 NAF を編集するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。 Shared Profile Components ページが表示されます。 ステップ 2 Network Access Filtering をクリックします。 Network Access Filtering テーブルが表示されます。 ステップ 3 Name カラムで、編集する NAF をクリックします。 Network Access Filter ページに、選択した NAF に関する情報が表示されます。 ステップ 4 NAF の名前または説明を編集するには、必要に応じて情報を入力および削除します。説明には、最 大で 1,000 文字まで使用できます。 Cisco Secure ACS Solution Engine ユーザ ガイド 4-6 OL-14386-01-J 第4章 共有プロファイル コンポーネント ネットワーク アクセス フィルタ 注意 NAF の名前を変更して、その NAF への既存の参照をすべて無効にした場合、その NAF を使用す る NAR またはダウンロード可能 ACL に関連付けられたユーザまたはグループのアクセスが影響 を受ける可能性があります。 ステップ 5 NAF 定義に NDG を追加するには、Network Device Groups ボックスで追加する NDG を選択してか ら、-->(右矢印ボタン)をクリックして、選択した NDG を Selected Items ボックスに移動します。 ステップ 6 NAF 定義に AAA クライアントを追加するには、Network Device Groups ボックスで該当する NDG を選択し、Network Devices ボックスで追加する AAA クライアントを選択してから、-->(右矢印ボ タン)をクリックして、選択した AAA クライアントを Selected Items ボックスに移動します。 ヒント NDG を使用していない場合は、最初に Network Devices ボックスで AAA クライアントを 選択します。 ステップ 7 NAF 定義に IP アドレスを追加するには、IP Address ボックスに追加する IP アドレスを入力してか ら、-->(右矢印ボタン)をクリックして、入力した IP アドレスを Selected Items ボックスに移動し ます。 ステップ 8 IP アドレスを編集するには、Selected Items ボックスで IP アドレスを選択してから、<--(左矢印ボ タン)をクリックして、選択した IP アドレスを IP Address ボックスに移動します。IP アドレスへ の変更を入力したら、-->(右矢印ボタン)をクリックして、その IP アドレスを Selected Items ボッ クスに戻します。 ステップ 9 Selected Items ボックスから要素を削除するには、項目を選択してから、<--(左矢印ボタン)をク リックして、項目を削除します。 ステップ 10 項目の順序を変更するには、Selected Items ボックスで項目の名前をクリックしてから、Up または Down をクリックして、適切な位置にその項目を移動します。NAF の順序を変更する方法の詳細に ついては、P.4-4 の「ネットワーク アクセス フィルタについて」を参照してください。 ステップ 11 NAF への変更を保存してすぐに適用するには、Submit + Apply をクリックします。 ヒント (注) NAF を保存して後で適用するには、Submit をクリックします。変更を実行する準備がで きたら、System Configuration > Service Control を選択します。次に、Restart を選択しま す。 サービスを再起動すると、Logged-in User レポートが消去され、すべての ACS サービスが 一時的に中断されます。これによって、最大セッション カウンタが影響を受け、ゼロ(0) にリセットされます。 ACS によって新しい情報の NAF が再入力され、すぐに有効になります。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 4-7 第4章 共有プロファイル コンポーネント ネットワーク アクセス フィルタ ネットワーク アクセス フィルタの削除 始める前に NAF を削除する前に、その NAF を使用するすべての NAR、ダウンロード可能 IP ACL、またはネッ トワーク アクセス プロファイルとの関連付けを削除する必要があります。この処理を実行しない と、削除された NAF を参照する NAR、ウンロード可能 IP ACL、またはネットワーク アクセス プ ロファイルがすべて誤って設定され、エラーの原因となります。 NAF を削除するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Network Access Filtering をクリックします。 Network Access Filtering テーブル ページが表示されます。 ステップ 2 削除する NAF の名前をクリックします。 Network Access Filtering 編集ページが表示されます。 ステップ 3 Delete をクリックしてから、削除することを確認するために OK をクリックします。 Network Access Filtering テーブル ページが表示され、テーブルから削除された NAF の名前と説明が 示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド 4-8 OL-14386-01-J 第4章 共有プロファイル コンポーネント RADIUS 認可コンポーネント RADIUS 認可コンポーネント この項では、RADIUS 認可コンポーネント(RAC)について説明し、次にその設定方法と管理方法 を説明します。 ここでは、次の内容を説明します。 • RADIUS 認可コンポーネントについて(P.4-9) • RADIUS 認可コンポーネントの使用を始める前に(P.4-11) • RADIUS 認可コンポーネントの追加(P.4-12) • RADIUS 認可コンポーネントのクローニング(P.4-13) • RADIUS 認可コンポーネントの編集(P.4-13) • RADIUS 認可コンポーネントの削除(P.4-14) RADIUS 認可コンポーネントについて 共有 RADIUS 認可コンポーネント(RAC)は、ポリシーに基づいてユーザ セッションにダイナミッ クに割り当てることができる RADIUS アトリビュートのグループによって構成されています。ネッ トワーク アクセス プロファイル設定を使用すると、ネットワーク デバイス グループやポスチャな ど、設定条件付きのポリシー タイプを共有 RAC にマッピングできます。 RAC および NAP について ACS RAC には、単一のネットワーク デバイス、または複数のネットワーク デバイスに固有のアト リビュート(ネットワーク アクセス プロファイルともいう)のセットが含まれています。認可ポ リシーは、さまざまなグループやポスチャから RAC と ACL のセットにマッピングします。ネット ワーク アクセス プロファイルの設定の詳細については、第 14 章「ネットワーク アクセス プロファ イル」を参照してください。 ACS ユーザ グループはユーザのタイプ(管理者や請負業者など)に関連するアトリビュートを保 持しており、異なるネットワーク サービス(WLAN や VPN など)の認可を必要とするユーザの同 じグループには対応しません。 RAC は認可ポリシーを使用して、単一のネットワーク プロファイルに固有のアトリビュートを保 持します。RAC もまた、いくつかの異なるネットワーク プロファイルで使用できます。さまざま なグループおよびポスチャから RAC と ACL のセットにマッピングできます。RAC は、サービスに よって区別された RADIUS 認可が必要な場合に NAP と一緒に使用します。たとえば、VPN には数 日間のセッション タイムアウト、WLAN には数時間のセッション タイムアウトをそれぞれ設定す る必要がある場合です。 グループ アトリビュートを使用できるため、サービスに依存しないアトリビュートをグループのす べてのユーザに適用できます。各プロファイルの RAC をそれぞれ複製する必要はありません。次 の 3 つの場所で RADIUS アトリビュートを設定できます。 • RAC • グループ レベル • ユーザ レベル 認可ポリシーを使用して、グループ、ユーザ、または両方からアトリビュートを含めるかどうかを 指定できます。 ネットワーク計画でポリシー ベースのプロファイルを必要とする場合は、グループではなく RAC を使用することを推奨します。次の手順を実行して、適切なアクセス サービスとポリシーを定義す る必要があります。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 4-9 第4章 共有プロファイル コンポーネント RADIUS 認可コンポーネント • ユーザ グループとポスチャが取得する認可のレベルを計画する。 • 類似するすべての認可ケースを特定し、それらに対する RAC を作成する。 • 必要な場合は、ユーザ グループからレガシー アトリビュートを削除する。 • 適切なネットワーク アクセス ポリシーと規則を定義する。 グループ レベルでベース テンプレート認可を作成し、RAC を使用してプロファイル固有アト リビュートを指定することができます。たとえば、VPN と WLAN に異なる Session-Timeout を 設定する場合です。 ベンダー (注) AAA クライアントがこのセキュリティ プロトコルをサポートするように設定されている場合、こ のページには RADIUS セキュリティ プロトコルだけがオプションとして表示されます。たとえば、 Network Configuration で AAA クライアントが Authenticate Using リストの RADIUS (Cisco IOS/PIX 6.0) を指定するように設定した場合、RADIUS (Cisco IOS/PIX 6.0) だけが表示されます。 ACS がサポートする RADIUS Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)のセッ トは、次のとおりです。 • Cisco Aironet:Cisco Aironet Access Point 製品用の VSA です。共有 RAC ではサポートされてい ないため、代わりに IETF セッション タイムアウトを使用してください。 • Cisco Airespace:Cisco Airespace 無線 LAN デバイス用の VSA です。 • Cisco BBSM:Cisco Building Broadband Service Manager(BBSM)製品用の VSA です。 • Cisco IOS/PIX 6.0:6.0 リリース以前の Cisco IOS 製品および Cisco PIX Firewall 用の VSA です。 • Cisco VPN 3000/ASA/PIX 7.x+:7.x リリース以降の Cisco VPN 3000 シリーズ Concentrators、ASA デバイス、および PIX デバイス用の VSA です。 • Cisco VPN 5000:Cisco VPN 5000 シリーズ Concentrator 用の VSA です。 • Ascend:Ascend 製品用の VSA です。 • Microsoft:Microsoft Point-to-Point Encryption および Point-to-Point Compression 用の VSA です。 • Nortel:Nortel 製品用の VSA です。 • Juniper:Juniper 製品用の VSA です。 • 3COMUSR:3COMUSR 製品用の VSA です。 アトリビュート タイプ ベンダー固有アトリビュートは定義されていません。定義は、各ベンダーのソフトウェアのマニュ アルに記載されています。Cisco ベンダー固有アトリビュートについては、付録 B「RADIUS アト リビュート」を参照してください。 ACS for Windows CSUtil コマンド(付録 C「CSUtil データベース ユーティリティ」を参照)または RDBMS 同期化 (P.8-25 の「AAA クライアントのアクションの作成、読み取り、アップデート、および削除」を参 照)を使用して、ベンダー固有アトリビュートをインポートできます。 ACS SE RDBMS 同期化を使用して、ベンダー固有アトリビュートをインポートできます(P.8-25 の「AAA クライアントのアクションの作成、読み取り、アップデート、および削除」を参照) 。 Cisco Secure ACS Solution Engine ユーザ ガイド 4-10 OL-14386-01-J 第4章 共有プロファイル コンポーネント RADIUS 認可コンポーネント RADIUS 認可コンポーネントの使用を始める前に 共有プロファイル コンポーネントの RAC を使用する前に、ACS が正しくセットアップされている ことを確認してください。共有プロファイル コンポーネントを作成する際は、次のチェックリスト を確認してください。 ヒント ネットワーク アクセス プロファイル テンプレートを使用すると、作業時間を短縮できます。NAP テンプレートは、共有プロファイル コンポーネントのセットが設定されていない場合、自動的にこ れらを作成します。詳細については、P.14-9 の「プロファイル テンプレートの使用」を参照してく ださい。 1. ACS にデバイスを追加します。ACS が AAA クライアントおよびサーバと連携動作するために は、これらのネットワーク情報を追加する必要があります。ネットワーク設定を使用してデバ イスを追加する方法については、P.3-14 の「AAA クライアントの追加」を参照してください。 2. 使用するアトリビュート(VSA)をイネーブルにします。使用しないアトリビュートはディ セーブルにします。イネーブルになっていないアトリビュートは、RADIUS Authorization Components ページおよび Interface Configuration セットアップ ページに表示されません。VSA をイネーブルにする方法については、第 2 章「Web インターフェイスの使用方法」を参照して ください。 3. ネットワーク アクセス プロファイルの設計を計画します。プロビジョニングを必要とするネッ トワーク サービスを指定する必要があります。プロファイルごとに、少なくとも 1 つの Shared RADIUS Authorization Component(SRAC; 共有 RADIUS 認可コンポーネント)を指定すること になります。SRAC をプロファイルにリンクする方法については、P.14-2 の「アクセス要求の 分類」または P.14-9 の「プロファイル テンプレートの使用」を参照してください。 4. 作成するプロファイルごとに、ネットワーク アクセス要求の分類方法と例外ケース(たとえ ば、特別なユーザまたはグループ、不正なポスチャ ステータスなど)を指定し、それぞれに SRAC を作成します。P.4-9 の「RADIUS 認可コンポーネントについて」を参照してください。 5. アトリビュートが、ユーザ固有かグループ固有か(ネットワーク サービス固有ではない)を決 定します。ネットワーク サービスには関係なく、ユーザまたはグループにアトリビュートを割 り当てる必要がある場合、それらのアトリビュートをユーザ レコードまたはグループ レコー ドに追加し、ネットワーク アクセス プロファイルでアトリビュートのマージをイネーブルに します。アトリビュートのマージの詳細については、P.14-37 の「アトリビュートのマージ」を 参照してください。 RADIUS 認可コンポーネントをイネーブルにする場合の手順については、P.4-11 の「RAC の使用の イネーブル化」を参照してください。 RAC の使用のイネーブル化 RAC の使用をイネーブルにするには、次の手順を実行します。 ステップ 1 RADIUS 認可コンポーネントを設定する前に、使用するデバイスを Network Configuration で追加し、 適切なセキュリティ プロトコル(RADIUS Cisco VPN 3000/ASA/PIX 7.x+ など)を使用して認証す るように設定します。 Authenticate Using リストにアトリビュートが表示されない場合は、Interface Configuration または User Setup/Group Setup パラメータを確認します。 ステップ 2 ナビゲーション バーの Interface Configuration をクリックし、RADIUS (IETF) を選択します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 4-11 第4章 共有プロファイル コンポーネント RADIUS 認可コンポーネント (注) AAA クライアントがこのセキュリティ プロトコルをサポートするように設定されている 場合、このページには RADIUS セキュリティ プロトコルだけがオプションとして表示され ます。たとえば、Network Configuration で AAA クライアントが Authenticate Using リストの RADIUS (Cisco VPN 3000/ASA/PIX 7.x+) を指定するように設定した場合、RADIUS (Cisco VPN 3000/ASA/PIX 7.x+) だけが表示されます。 ステップ 3 目的の RADIUS アトリビュートを選択して Submit をクリックします。 ステップ 4 ネットワーク設定の RADIUS セキュリティ プロトコルごとに、ステップ 2 とステップ 3 を繰り返 します。 ステップ 5 Advanced Options で Tunneling RADIUS アトリビュートが選択されていることを確認します。 ステップ 6 • Interface Configuration > RADIUS (IETF) を選択します。 • Tunnel アトリビュートを選択します。 • Submit をクリックします。 ナビゲーション バーの Shared Profile Components をクリックし、 RADIUS Authorization Components を選択します。 RAC を追加する方法の詳細については、P.4-12 の「RADIUS 認可コンポーネントの追加」を参照し てください。RAC を変更する方法の詳細については、P.4-13 の「RADIUS 認可コンポーネントの編 集」を参照してください。ネットワーク アクセス プロファイルに RAC を追加する方法の詳細につ いては、P.14-38 の「認可規則の設定」を参照してください。 RADIUS 認可コンポーネントの追加 始める前に この手順を開始する前に、ACS で使用するすべての RADIUS オプションを設定しておく必要があ ります。設定する必要のあるオプションの詳細については、P.4-10 の「ベンダー」を参照してくだ さい。 RAC を追加するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。 Shared Profile Components ページが表示されます。 ステップ 2 RADIUS Authorization Components をクリックします。 RADIUS Authorization Components Table ページが表示されます。 ステップ 3 Add をクリックして、新しい RADIUS 認可コンポーネントを作成します。 Edit RADIUS Authorization Component ページが表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド 4-12 OL-14386-01-J 第4章 共有プロファイル コンポーネント RADIUS 認可コンポーネント ステップ 4 新しいアトリビュートを追加するには、ドロップダウン リストを使用して適切なベンダー アトリ ビュートを選択し、Add ボタンをクリックします。 RAC Attribute Add/Edit ページが表示されます。 (注) ステップ 5 選択可能なベンダーは、Network Configuration でデバイスが定義されているベンダーと、 Interface Configuration でアトリビュートを(グループ レベルまたはユーザ レベルで)表示 するように設定されているベンダーです。 アトリビュート値を選択して Submit をクリックします。 RADIUS 認可コンポーネントのクローニング クローン機能を使用して既存の RAC のコピーを作成するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。 Shared Profile Components ページが表示されます。 ステップ 2 RADIUS Authorization Components をクリックします。 RADIUS Authorization Components Table ページが表示されます。 ステップ 3 クローニングするコンポーネントの RAC 名を選択します。 Edit RADIUS Authorization Component ページが表示されます。 ステップ 4 すべてのアトリビュートとともに既存の RAC をクローニングするには、Clone をクリックします。 Copy of RACname という名前のクローンが Edit RADIUS Authorization Component ページに作成され ます。 ステップ 5 Submit to save the new RAC をクリックします。 RADIUS 認可コンポーネントの編集 既存の RAC を編集するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。 Shared Profile Components ページが表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 4-13 第4章 共有プロファイル コンポーネント RADIUS 認可コンポーネント ステップ 2 RADIUS Authorization Components をクリックします。 RADIUS Authorization Components Table ページが表示されます。 ステップ 3 編集するコンポーネントの RAC 名を選択します。 Edit RADIUS Authorization Component ページが表示されます。 ステップ 4 新しいアトリビュートを追加するには、ドロップダウン リストを使用して適切なベンダー アトリ ビュートを選択し、隣にある Add ボタンをクリックします。 ステップ 5 既存のアトリビュートを変更するには、Assigned Attributes で値を選択します。 RAC Attribute Add/Edit ページが表示されます。 アトリビュートとその値を削除するには、Delete をクリックします。 ステップ 6 アトリビュート値を選択して Submit をクリックします。 RADIUS 認可コンポーネントの削除 始める前に RAC を削除する前に、ネットワーク アクセス プロファイルとの関連付けを削除する必要がありま す。 RAC を削除するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。 Shared Profile Components ページが表示されます。 ステップ 2 RADIUS Authorization Components をクリックします。 RADIUS Authorization Components Table ページが表示されます。 ステップ 3 削除するコンポーネントの RAC 名を選択します。 Edit RADIUS Authorization Component ページが表示されます。 ステップ 4 Delete をクリックして、選択した RADIUS 認可コンポーネントを削除します。 ステップ 5 OK をクリックして、RADIUS 認可コンポーネントを削除します。 現在の設定が変更されます。新しい設定を適用するために、System Configuration > Service Control を選択して ACS を再起動するように指示するダイアログボックスが表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド 4-14 OL-14386-01-J 第4章 共有プロファイル コンポーネント RADIUS 認可コンポーネント RADIUS Authorization Components Table ページ このページで、定義された RAC をリストで表示したり、定義された RAC 設定を表示したり、また は RAC 名を追加します。このページのフィールドについては、表 4-2 を参照してください。 表 4-2 RAC 表示フィールド フィールド 説明 Name RAC の設定を表示する場合にクリックします。Edit RADIUS Authorization Component ページが表示されます。 Description RAC の説明が表示されます。説明には、最大で 1,000 文字まで使用できます。 Add 新しい RAC を追加する場合にクリックします。Edit RADIUS Authorization Component ページが表示されます。 Edit RADIUS Authorization Component ページ このページで、RAC を設定します。RAC の設定フィールドについては、表 4-3 を参照してください。 表 4-3 RAC の設定フィールド フィールド 説明 Name RADIUS 認可コンポーネントに割り当てる名前を入力します。 Description RAC の説明を入力します。説明には、最大で 1,000 文字まで使用できます。 Add New Attribute 新しいアトリビュート値を追加する場合は、Vendor and Service Type フィー ルドを使用します。 選択可能なベンダーは、Network Configuration でデバイスが定義されてい るベンダーと、Interface Configuration でアトリビュートを(グループ レベ ルで)表示するよう設定されているベンダーです。デバイスの設定の詳細 については、第 3 章「ネットワーク設定」を参照してください。インター フェイスの設定の詳細については、第 2 章「Web インターフェイスの使用 方法」を参照してください。ドロップダウン リストからベンダー アトリ ビュートを選択して Add をクリックします。これにより、P.4-16 の「RAC Attribute Add/Edit ページ」が開きます。 Assigned Attributes このテーブルは、認可コンポーネントに割り当てられている RADIUS アト リビュートのリストの表示、編集、および選択に使用します。割り当て済 みのアトリビュートを編集または削除するには、そのアトリビュート値を クリックします。P.4-16 の「RAC Attribute Add/Edit ページ」が開きます。 Vendor Attribute Value 割り当てられているアトリビュートがある場合に表示されます。アトリ ビュートを編集または削除するには、その値をクリックします。P.4-16 の 「RAC Attribute Add/Edit ページ」が開きます。 Submit RAC の設定を ACS に送信する場合にクリックします。 Delete 割り当てられているアトリビュートがある場合に表示されます。RAC を削 除する場合にクリックします。単一のアトリビュートを削除する場合は、 P.4-16 の「RAC Attribute Add/Edit ページ」に進みます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 4-15 第4章 共有プロファイル コンポーネント RADIUS 認可コンポーネント RAC Attribute Add/Edit ページ このページで、RAC アトリビュートを追加または編集します。このページのフィールドについて は、表 4-4 を参照してください。 表 4-4 RAC アトリビュート フィールドの追加または編集 フィールド 説明 RAC RADIUS 認可コンポーネントに割り当てられた名前です。 Vendor ベンダー固有アトリビュートを持つ組織の名前です。 Clone 既存の RAC アトリビュートを Copy of RAC name という名前の新しい RAC にコピーします。 Attribute RAC に定義されたアトリビュートです。 Type 整数またはテキストのアトリビュート タイプです。 Value ドロップダウン ボックスまたはテキスト値の設定です。 Submit RAC の設定を ACS に送信する場合にクリックします。 Delete 単一のアトリビュートを削除する場合にクリックします。 Cisco Secure ACS Solution Engine ユーザ ガイド 4-16 OL-14386-01-J 第4章 共有プロファイル コンポーネント ダウンロード可能 IP ACL ダウンロード可能 IP ACL この項では、ダウンロード可能 ACL について説明した後で、その設定と管理について詳述します。 ここでは、次の項目について説明します。 • ダウンロード可能 IP ACL について(P.4-17) • ダウンロード可能 IP ACL の追加(P.4-19) • ダウンロード可能 IP ACL の編集(P.4-21) • ダウンロード可能 IP ACL の削除(P.4-22) ダウンロード可能 IP ACL について ダウンロード可能 IP ACL を使用すると、多数のユーザまたはユーザ グループに適用可能な ACL 定 義のセットを作成できます。これらの ACL 定義のセットは、ACL コンテンツと呼ばれます。また、 NAF を組み込むことによって、ユーザがアクセスを求めている AAA クライアントに送信された ACL コンテンツを制御できます。つまり、ダウンロード可能 IP ACL は 1 つ以上の ACL コンテン ツ定義で構成され、各定義は NAF と関連付けられるか、または(デフォルトで)すべての AAA ク ライアントに関連付けられます(NAF は、AAA クライアントの IP アドレスに基づいて指定された ACL コンテンツの適用を制御します。NAF の詳細、および NAF によるダウンロード可能 IP ACL の調整方法の詳細については、P.4-4 の「ネットワーク アクセス フィルタについて」を参照してく ださい)。 ダウンロード可能 IP ACL は、次のように動作します。 1. ACS は、ネットワークへのユーザ アクセスを許可する場合、ダウンロード可能 IP ACL がその ユーザまたはそのユーザのグループに割り当てられているかどうかを判別します。 2. ACS は、ユーザまたはユーザのグループに割り当てられたダウンロード可能 IP ACL を確認す る場合、RADIUS 認証要求を送信した AAA クライアントに関連付けられた ACL コンテンツ エ ントリが存在するかどうかを判別します。 3. ACS は、ユーザ セッションの RADIUS アクセス受付パケットの一部として、名前付き ACL お よび名前付き ACL のバージョンを指定するアトリビュートを送信します。 4. AAA クライアントが、現行バージョンの ACL がキャッシュにない(つまり、ACL が新しいか、 変更されている)と応答すると、ACS は新しい ACL またはアップデートされた ACL をデバイ スに送信します。 また、各ユーザまたはユーザ グループの RADIUS Cisco cisco-av-pair アトリビュート [26/9/1] に ACL を設定する代わりに、ダウンロード可能 IP ACL を使用することもできます。ダウンロード可能 IP ACL を一度作成し、名前を付けます。次に、その名前を参照して、該当するユーザまたはユーザ グループそれぞれにダウンロード可能 IP ACL を割り当てます。ユーザまたはユーザ グループごと に RADIUS Cisco cisco-av-pair アトリビュートを設定するよりも、このほうが効率的です。 (注) ダウンロード可能 ACL は、PPP/DDR クライアントのユーザごとのプロファイルで使用するもので はありません。 さらに、NAF を使用することにより、同じユーザまたはユーザのグループに対して、使用している AAA クライアントに応じて異なる ACL コンテンツを適用できます。ACS からダウンロード可能 IP ACL を使用するように AAA クライアントを設定すれば、それ以外に AAA クライアントを設定す る必要はありません。ダウンロード可能 ACL は、確立されているバックアップ方式または複製方 式によって保護されます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 4-17 第4章 共有プロファイル コンポーネント ダウンロード可能 IP ACL ACS Web インターフェイスで ACL 定義を入力する場合は、キーワードと名前のエントリは使用し ません。その他すべてについては、ダウンロード可能 IP ACL の適用先となる AAA クライアントに 対する標準 ACL コマンド構文と意味を使用します。ACS に入力する ACL 定義は、1 つまたは複数 の ACL コマンドによって構成されます。各コマンドはそれぞれ別の行に入力されます。 ダウンロード可能 IP ACL には、名前付き ACL コンテンツを 1 つ以上追加できます。デフォルト で、各 ACL コンテンツはすべての AAA クライアントに適用されます。ただし、NAF を定義して いる場合は、関連付ける NAF にリストされた AAA クライアントへの各 ACL コンテンツの適用を 制限できます。つまり、NAF を使用することにより、単一のダウンロード可能 IP ACL 内で、ネッ トワーク セキュリティ計画に応じて複数の異なるネットワーク デバイスまたはネットワーク デバ イス グループに各 ACL コンテンツを適用することができます。NAF の詳細については、P.4-4 の 「ネットワーク アクセス フィルタについて」を参照してください。 また、ダウンロード可能 IP ACL 内にある ACL コンテンツの順序を変更することもできます。ACS は、テーブルの先頭から ACL コンテンツの検査を開始して、使用されている AAA クライアントを 含む NAF で最初に見つかった ACL コンテンツをダウンロードします。順序を設定する際には、最 も広く適用できる ACL コンテンツをリストの上位に配置することによって、システムの効率を確 保する必要があります。部分的に重複する AAA クライアントが NAF に含まれている場合には、よ り具体的な ACL コンテンツからより一般的な ACL コンテンツの順に配置しなければならないこと を認識する必要があります。たとえば、ACS は、All-AAA-Clients の NAF 設定に関連付けられた ACL コンテンツをすべてダウンロードし、リスト内のそれよりも下位の ACL コンテンツはすべて 無視します。 特定の AAA クライアントでダウンロード可能 IP ACL を使用するには、AAA クライアントが次の 要件を満たす必要があります。 • 認証に RADIUS を使用する。 • ダウンロード可能 IP ACL をサポートしている。 ダウンロード可能 IP ACL をサポートする Cisco デバイスの例を次に示します。 • PIX Firewall • VPN 3000 シリーズ Concentrator の ASA デバイスと PIX デバイス • IOS バージョン 12.3(8)T 以降を実行している Cisco デバイス 例 4-1 は、ACL Definitions ボックスで PIX Firewall ACL の入力に使用する必要がある形式を示して います。 例 4-1 permit permit permit permit tcp any host 10.0.0.254 udp any host 10.0.0.254 icmp any host 10.0.0.254 tcp any host 10.0.0.253 Cisco Secure ACS Solution Engine ユーザ ガイド 4-18 OL-14386-01-J 第4章 共有プロファイル コンポーネント ダウンロード可能 IP ACL 例 4-2 は、ACL Definitions ボックスで VPN 3000/ASA/PIX 7.x+ ACL の入力に使用する必要がある形 式を示しています。 例 4-2 permit ip 10.153.0.0 0.0.255.255 host 10.158.9.1 permit ip 10.154.0.0 0.0.255.255 10.158.10.0 0.0.0.255 permit 0 any host 10.159.1.22 deny ip 10.155.10.0 0.0.0.255 10.159.2.0 0.0.0.255 log permit TCP any host 10.160.0.1 eq 80 log permit TCP any host 10.160.0.2 eq 23 log permit TCP any host 10.160.0.3 range 20 30 permit 6 any host HOSTNAME1 permit UDP any host HOSTNAME2 neq 53 deny 17 any host HOSTNAME3 lt 137 log deny 17 any host HOSTNAME4 gt 138 deny ICMP any 10.161.0.0 0.0.255.255 log permit TCP any host HOSTNAME5 neq 80 ACL 定義の詳細については、デバイス コンフィギュレーション ガイドのコマンド リファレンスを 参照してください。 ダウンロード可能 IP ACL の追加 始める前に ダウンロード可能 IP ACL で使用する NAF をすべて設定しておく必要があります。 ダウンロード可能 IP ACL を追加するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。 Shared Profile Components ページが表示されます。 ステップ 2 Downloadable IP ACLs をクリックします。 ヒント ステップ 3 Downloadable IP ACLs が Shared Profile Components ページに表示されない場合は、Interface Configuration セクションの Advanced Options ページで、User-Level Downloadable ACLs オ プションまたは Group-Level Downloadable ACLs オプション、あるいはその両方をイネー ブルにする必要があります。 Add をクリックします。 Downloadable IP ACLs ページが表示されます。 ステップ 4 Name ボックスに、新しい IP ACL の名前を入力します。 (注) IP ACL の名前には、最大で 27 文字まで使用できます。名前には、空白、ハイフン(-) 、左 角カッコ([)、右角カッコ(])、スラッシュ(/)、バックスラッシュ(\)、引用符(")、左 山カッコ(<)、右山カッコ(>) 、ダッシュ(-)は使用できません。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 4-19 第4章 共有プロファイル コンポーネント ダウンロード可能 IP ACL ステップ 5 Description ボックスに、新しい IP ACL の説明を入力します。説明には、最大で 1,000 文字まで使 用できます。 ステップ 6 新しい IP ACL に ACL コンテンツを追加するには、Add をクリックします。 ステップ 7 Name ボックスに、新しい ACL コンテンツの名前を入力します。 (注) ステップ 8 ACL Definitions ボックスに、新しい ACL 定義を入力します。 ヒント ステップ 9 ACL コンテンツの名前には、最大で 27 文字まで使用できます。名前には、空白、ハイフン (-)、左角カッコ([)、右角カッコ(])、スラッシュ(/)、バックスラッシュ(\)、引用符 (") 、左山カッコ(<) 、右山カッコ(>) 、ダッシュ(-)は使用できません。 ACS Web インターフェイスで ACL 定義を入力するときは、キーワード エントリと名前 エントリは使用せずに、permit/deny キーワードで始めます。ACL 定義の正しい形式の例 については、例 4-1(P.4-18)および例 4-2(P.4-19)を参照してください。 ACL コンテンツを保存するには、Submit をクリックします。 Downloadable IP ACLs ページが表示され、新しい ACL コンテンツが ACL Contents カラムに名前順 で示されます。 ステップ 10 ACL コンテンツに NAF を関連付けるには、Network Access Filtering ボックスから新しい ACL コン テンツの右側に NAF を選択します。NAF の追加については、P.4-5 の「ネットワーク アクセス フィ ルタの追加」を参照してください。 (注) NAF を割り当てない場合、ACS は ACL コンテンツをすべてのネットワーク デバイスに関 連付けます。この処理がデフォルトです。 ステップ 11 新しい IP ACL を完全に指定するまで、ステップ 3 ∼ステップ 10 を繰り返します。 ステップ 12 ACL コンテンツの順序を設定するには、ACL 定義のオプション ボタンをクリックしてから、Up ま たは Down をクリックして、リスト内の ACL コンテンツの位置を変更します。 ヒント ACL コンテンツの順序は非常に重要です。ACS は先頭から順に検査を開始し、 All-AAA-Clients デフォルト設定(使用する場合)も含め、該当する NAF 設定を持つ最初 の ACL 定義だけをダウンロードします。通常、ACL コンテンツのリストは、最も具体的 な(限定された)NAF の ACL コンテンツから最も一般的な(All-AAA-Clients)NAF の ACL コンテンツの順に検査されます。 Cisco Secure ACS Solution Engine ユーザ ガイド 4-20 OL-14386-01-J 第4章 共有プロファイル コンポーネント ダウンロード可能 IP ACL ステップ 13 IP ACL を保存するには、Submit をクリックします。 ACS によって新しい IP ACL が入力され、すぐに有効になります。たとえば、IP ACL を PIX Firewall 用に使用する場合、ユーザ プロファイルまたはグループ プロファイルにそのダウンロード可能 IP ACL が割り当てられたユーザを認証しようとしている PIX Firewall すべてに対して、IP ACL を送信 できます。ダウンロード可能 IP ACL をユーザまたはユーザ グループに割り当てる方法については、 P.6-17 の「ダウンロード可能 IP ACL をユーザに割り当てる」または P.5-25 の「ダウンロード可能 IP ACL をグループに割り当てる」を参照してください。 ダウンロード可能 IP ACL の編集 始める前に ダウンロード可能 IP ACL の編集に使用する NAF をすべて設定しておく必要があります。 ダウンロード可能 IP ACL を編集するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。 Shared Profile Components ページが表示されます。 ステップ 2 Downloadable IP ACLs をクリックします。 Downloadable IP ACLs テーブルが表示されます。 ステップ 3 Name カラムで、編集する IP ACL をクリックします。 Downloadable IP ACLs ページが表示され、選択した ACL に関する情報が示されます。 ステップ 4 必要に応じて、Name または Description の情報を編集します。説明には、最大で 1,000 文字まで使 用できます。 ステップ 5 ACL コンテンツを編集するには、変更する ACL Contents エントリをクリックします。ACL 定義の 正しい形式の例については、例 4-1(P.4-18)および例 4-2(P.4-19)を参照してください。 Downloadable IP ACL Content ページが表示されます。 ステップ 6 必要に応じて、Name または ACL Definitions を編集します。 ヒント ステップ 7 ACL Definitions ボックスにはキーワード エントリおよび名前エントリを使用せず、代わ りに permit または deny キーワードで始めてください。ACL 定義の正しい形式の例につい ては、P.4-17 の「ダウンロード可能 IP ACL について」を参照してください。 編集した ACL 定義を保存するには、Submit をクリックします。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 4-21 第4章 共有プロファイル コンポーネント ダウンロード可能 IP ACL ステップ 8 ACL コンテンツに関連付けられた NAF を変更するには、対応する Network Access Filtering ボック スから新しい NAF 設定を選択します。ダウンロード可能 IP ACL の NAF の関連付けは、何回でも 変更することができます。NAF の詳細については、P.4-4 の「ネットワーク アクセス フィルタにつ いて」を参照してください。 ステップ 9 編集を完了するまで、ステップ 3 ∼ステップ 8 を繰り返します。 ステップ 10 ACL コンテンツの順序を変更するには、ACL 定義のオプション ボタンを選択してから、Up または Down をクリックして、リスト内の ACL コンテンツの位置を変更します。 ステップ 11 編集した IP ACL を保存するには、Submit をクリックします。 ACS によって新しい情報の IP ACL が保存され、すぐに有効になります。 ダウンロード可能 IP ACL の削除 始める前に IP ACL を削除する前に、ユーザ プロファイル、ユーザ グループ プロファイル、またはネットワー ク アクセス プロファイルとの関連付けをすべて削除する必要があります。 IP ACL を削除するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。 Shared Profile Components ページが表示されます。 ステップ 2 Downloadable IP ACLs をクリックします。 ステップ 3 削除するダウンロード可能 IP ACL の名前をクリックします。 Downloadable IP ACLs ページが表示され、選択した IP ACL に関する情報が示されます。 ステップ 4 ページの下部にある Delete をクリックします。 IP ACL の削除について警告するダイアログボックスが表示されます。 ステップ 5 IP ACL を削除することを確認するため、OK をクリックします。 選択した IP ACL が削除されます。 Cisco Secure ACS Solution Engine ユーザ ガイド 4-22 OL-14386-01-J 第4章 共有プロファイル コンポーネント ネットワーク アクセス制限 ネットワーク アクセス制限 この項では、ネットワーク アクセス制限(NAR)について説明した後で、共有 NAR の設定と管理 について詳述します。 ここでは、次の項目について説明します。 • ネットワーク アクセス制限について(P.4-23) • 共有 NAR の追加(P.4-26) • 共有 NAR の編集(P.4-28) • 共有 NAR の削除(P.4-30) ネットワーク アクセス制限について ネットワークアクセス制限(NAR)とは、ユーザがネットワークにアクセスする前に満たす必要が ある追加条件の定義であり、ACS で作成します。ACS は、AAA クライアントから送信されるアト リビュートの情報を利用して、これらの条件を適用します。NAR をセットアップする方法はいく つかありますが、どの方法も、AAA クライアントから送信されるアトリビュート情報の対応付け に基づいています。このため、NAR を効果的に利用するには、AAA クライアントが送信するアト リビュートの形式と内容を理解しておく必要があります。 NAR をセットアップするとき、フィルタを許可条件または拒否条件のどちらとして動作させるの かを選択できます。つまり、NAR では、AAA クライアントから送信された情報と NAR に格納さ れた情報との比較に基づいて、ネットワーク アクセスを許可または拒否するかどうかを指定しま す。ただし、NAR が動作するのに十分な情報を得られない場合、デフォルトではアクセスが拒否 されます。表 4-5 に、許可または拒否の条件を示しています。 表 4-5 NAR における許可条件と拒否条件 IP ベース 非 IP ベース 情報不足 許可 アクセスを許可 アクセスを拒否 アクセスを拒否 拒否 アクセスを拒否 アクセスを許可 アクセスを拒否 ACS は、次の 2 種類の NAR フィルタをサポートしています。 • IP ベースのフィルタ:IP ベースの NAR フィルタは、エンドユーザ クライアントおよび AAA クライアントの IP アドレスに基づいてアクセスを制限します。この NAR フィルタのタイプの 詳細については、P.4-24 の「IP ベースの NAR フィルタについて」を参照してください。 • 非 IP ベースのフィルタ:非 IP ベースの NAR フィルタは、AAA クライアントから送信された 値の単純な文字列比較に基づいてアクセスを制限します。この値は、Calling Line ID(CLI; 発 信番号識別)の番号、Dialed Number Identification Service(DNIS; 着信番号識別サービス)の番 号、MAC アドレス、またはクライアントから発信するその他の値になる場合があります。こ のタイプの NAR が動作するためには、NAR の説明にある値はクライアントから送信されてい る値(使用されている形式も含めて)と正確に一致する必要があります。たとえば、電話番号 (217) 555-4534 は 217-555-4534 とは一致しません。このタイプの NAR フィルタの詳細について は、P.4-25 の「非 IP ベースの NAR フィルタについて」を参照してください。 NAR は、特定のユーザまたはユーザ グループに対して定義し、適用できます。詳細については、 P.6-10 の「ネットワーク アクセス制限をユーザに対して設定する」または P.5-8 の「ネットワーク アクセス制限をユーザ グループに対して設定する」を参照してください。ただし、ACS の Shared Profile Components セクションでは、どのユーザやユーザ グループも直接引用せずに共有 NAR を作 成および命名できます。共有 NAR には、ACS Web インターフェイスの別の部分で参照できる名前 を付けます。次に、ユーザまたはユーザ グループをセットアップするときは、共有制限は 1 つ適用 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 4-23 第4章 共有プロファイル コンポーネント ネットワーク アクセス制限 することも、複数適用することも、まったく適用しないことも可能です。ユーザまたはユーザ グ ループに複数の共有 NAR を適用するように指定する場合、次の 2 つのアクセス基準のどちらかを 選択します。 • すべての選択されているフィルタが許可 • いずれかの選択されているフィルタが許可 異なるタイプの NAR に関連する優先順位を理解する必要があります。NAR フィルタリングの順序 を次に示します。 1. ユーザ レベルの共有 NAR 2. グループ レベルの共有 NAR 3. ユーザ レベルの非共有 NAR 4. グループ レベルの非共有 NAR また、すべてのレベルについて、アクセスの拒否は、アクセスを拒否しない別のレベルの設定に優 先することも理解する必要があります。これは、ユーザ レベルの設定がグループ レベルの設定よ りも優先されるというルールに対する ACS の 1 つの例外です。たとえば、あるユーザがユーザ レ ベルの NAR 制限を適用されていない場合でも、共有 NAR または非共有 NAR のどちらかによって 制限されたグループに属していれば、そのユーザはアクセスを拒否されます。 共有 NAR は、ACS 内部ユーザ データベースに保持されます。ACS のバックアップと復元機能を使 用して、バックアップすることも、復元することもできます。さらに、他の設定データとともにセ カンダリ ACS に複製することもできます。 IP ベースの NAR フィルタについて IP ベースの NAR フィルタに対して、ACS は認証要求の AAA プロトコルに応じて表 4-6 のアトリ ビュートを使用します。 表 4-6 IP ベースの NAR フィルタのアトリビュート プロトコル アトリビュート TACACS+ TACAS+ 開始パケット部の rem_addr フィールドが使用されます。 (注) RADIUS IETF (注) 認証要求がプロキシから ACS サーバに転送されると、TACACS+ 要求に使用されるすべての NAR は、発信元の AAA クライアント の IP アドレスではなく、転送先の AAA サーバの IP アドレスに適 用されます。 calling-station-id(アトリビュート 31)を使用する必要があります。 IP ベースの NAR フィルタは、ACS が Radius Calling-Station-Id(31)アトリビュートを受信する場 合にのみ機能します。Calling-Station-Id(31)には、有効な IP アドレスが含まれている必要があり ます。有効な IP アドレスが含まれていない場合は、DNIS 規則に当てはまりません。 十分な IP アドレス情報を提示しない AAA クライアント(たとえば、ある種のファイアウォール) は、NAR の機能を完全にはサポートしていません。 Cisco Secure ACS Solution Engine ユーザ ガイド 4-24 OL-14386-01-J 第4章 共有プロファイル コンポーネント ネットワーク アクセス制限 表 4-7 は、IP ベースの制限の追加アトリビュートをプロトコルごとに示しています。 表 4-7 IP ベースの制限のアトリビュート プロトコル アトリビュート TACACS+ ACS の各 NAR フィールドには次の値が使用されます。 • AAA client:NAS-IP-address が ACS と TACACS+ クライアント間のソ ケットの送信元アドレスから取得されます。 • Port:port フィールドは TACACS+ 開始パケット部から取得されます。 非 IP ベースの NAR フィルタについて 非 IP ベースの NAR フィルタ(つまり、DNIS/CLI ベースの NAR フィルタ)は、許可または拒否さ れる「呼び出し」または「アクセス ポイント」位置のリストです。これは、IP ベースの接続が確 立されていない場合に AAA クライアントの制限に使用できます。一般に非 IP ベースの NAR 機能 では、発信番号識別(CLI)の番号および着信番号識別サービス(DNIS)の番号が使用されます。 しかし、AAA クライアントが CLI または DNIS をサポートしている Cisco IOS リリースを使用して いない場合でも、CLI の代わりに IP アドレスを入力することで、非 IP ベースのフィルタを使用で きます。CLI 入力のもう 1 つの例外として、アクセスを許可または拒否する MAC アドレスの入力 があります。たとえば Cisco Aironet AAA クライアントを使用している場合です。同様に、DNIS の 代わりに Cisco Aironet AP MAC アドレスを入力できます。CLI ボックスで指定するものは、CLI、IP アドレス、または MAC アドレスのいずれであっても、その形式は、AAA クライアントから受信す る番号またはアドレスの形式と一致している必要があります。この形式は、RADIUS アカウンティ ング ログから判別できます。 表 4-8 に、DNIS/CLI ベースの制限のアトリビュートをプロトコルごとに示します。 表 4-8 DNIS/CLI ベースの制限のアトリビュート プロトコル アトリビュート TACACS+ NAR フィールドには、次の項目があります。 • AAA client:NAS-IP-address が ACS と TACACS+ クライアント間のソ ケットの送信元アドレスから取得されます。 • Port:TACACS+ 開始パケット部の port フィールドが使用されます。 • CLI:TACACS+ 開始パケット部の rem-addr フィールドが使用されます。 • DNIS:TACACS+ 開始パケット部から取得された rem-addr フィールドが 使用されます。rem-addr データがスラッシュ(/)で始まる場合、DNIS フィールドにはスラッシュ(/)なしの rem-addr データが含まれます。 (注) 認証要求がプロキシから ACS サーバに転送されると、TACACS+ 要求 に使用されるすべての NAR は、発信元の AAA クライアントの IP ア ドレスではなく、転送先の AAA サーバの IP アドレスに適用されま す。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 4-25 第4章 共有プロファイル コンポーネント ネットワーク アクセス制限 表 4-8 DNIS/CLI ベースの制限のアトリビュート(続き) プロトコル アトリビュート RADIUS NAR フィールドには、次の項目があります。 • AAA client:NAS-IP-address(アトリビュート 4)が使用されます。 NAS-IP-address が存在しない場合は、NAS-identifier(RADIUS アトリ ビュート 32)が使用されます。 • Port:NAS-port(アトリビュート 5)が使用されます。NAS-port が存在し ない場合は、NAS-port-ID(アトリビュート 87)が使用されます。 • CLI:calling-station-ID(アトリビュート 31)には、有効な IP アドレ スが含まれている必要があります。Calling-Station-Id(31)に有効な IP ア ドレスが含まれていない場合は、DNIS 規則に当てはまりません。 • DNIS:called-station-ID(アトリビュート 30)が使用されます。 NAR の指定時、アスタリスク(*)を任意の値のワイルドカードとして、または範囲設定のための 任意の値の一部として使用できます。NAR でアクセスを制限するためには、NAR の説明における すべての値または条件が合致する必要があります。つまり、値にはブール論理積が含まれています。 共有 NAR の追加 多数のアクセス制限を含む共有 NAR を作成できます。ACS Web インターフェイスは、共有 NAR のアクセス数への制限も、各アクセスの長さへの制限も適用しません。ただし、次の制限に従う必 要があります。 • 行項目それぞれのフィールド長の合計が 1024 文字を超えることはできない。 • 共有 NAR では、文字サイズの合計が 16 KB を超えることはできない。サポートされる行項目 の数は、行項目それぞれの長さによって異なります。たとえば、CLI/DNIS ベースの NAR を作 成する場合、AAA クライアント名が 10 文字、ポート番号が 5 文字、CLI エントリが 15 文字、 DNIS エントリが 20 文字のときは、16 KB 制限に達しない限り、450 行項目を追加できます。 始める前に NAR を定義する前に、NAR で使用する要素を確立したことを確認する必要があります。つまり、 すべての NAF と NDG を指定し、関連するすべての AAA クライアントを定義した後に、それらを NAR 定義に加える必要があります。詳細については、P.4-23 の「ネットワーク アクセス制限につ いて」を参照してください。 共有 NAR を追加するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。 Shared Profile Components ページが表示されます。 ステップ 2 Network Access Restrictions をクリックします。 ステップ 3 Add をクリックします。 Network Access Restriction ページが表示されます。 ステップ 4 Name ボックスに、新しい共有 NAR の名前を入力します。 Cisco Secure ACS Solution Engine ユーザ ガイド 4-26 OL-14386-01-J 第4章 共有プロファイル コンポーネント ネットワーク アクセス制限 (注) 名前には、最大で 31 文字まで使用できます。先頭と末尾にスペースを置くことはできませ ん。名前には、左角カッコ([) 、右角カッコ(]) 、カンマ(,)、スラッシュ(/)は使用できません。 ステップ 5 Description ボックスに、新しい共有 NAR の説明を入力します。説明には、最大で 1,000 文字まで 使用できます。 ステップ 6 IP アドレッシングに基づいてアクセスを許可または拒否する場合は、次の手順を実行します。 a. Define IP-based access descriptions チェックボックスをオンにします。 b. 許可または拒否するアドレスをリストするかどうかを指定するために、Table Defines リストで 該当する値を選択します。 c. 次のボックスで、それぞれ該当する情報を選択するか、または入力します。 • AAA Client:All AAA Clients を選択するか、アクセスを許可または拒否する NDG の名前、 NAF の名前、または個々の AAA クライアントの名前を入力します。 • Port:アクセスを許可または拒否するポートの番号を入力します。アスタリスク(*)をワ イルドカードとして使用すると、選択された AAA クライアント上のすべてのポートに対 するアクセスを許可または拒否できます。 • Src IP Address:アクセス制限を実行する場合に、フィルタリングを行う IP アドレスを入 力します。アスタリスク(*)をワイルドカードとして使用すると、すべての IP アドレス を指定できます。 (注) AAA Client リスト、Port ボックス、および Src IP Address ボックスの文字数の合計は、 1024 を超えることはできません。NAR を追加する際に ACS には 1024 を超える文字を 入力できますが、NAR の編集ができなくなるため、ACS は NAR をユーザに正確に適 用できなくなります。 d. Enter キーを押します。 AAA クライアント、ポート、およびアドレス情報が、テーブルの行項目として表示されます。 e. IP ベースの行項目を追加入力するには、c と d を繰り返します。 ステップ 7 発信場所や、IP アドレス以外の値に基づいてアクセスを許可または拒否する場合は、次の手順を実 行します。 a. Define CLI/DNIS based access restrictions チェックボックスをオンにします。 b. 許可または拒否する場所をリストするかどうかを指定するために、Table Defines リストで該当 する値を選択します。 c. この NAR を適用するクライアントを指定するために、AAA Client リストから、次のいずれか 1 つの値を選択します。 • NDG の名前 • 特定の AAA クライアントの名前 • すべての AAA クライアント ヒント すでに設定してある NDG だけが表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 4-27 第4章 共有プロファイル コンポーネント ネットワーク アクセス制限 d. この NAR がフィルタリングする情報を指定するには、必要に応じて次のボックスに値を入力 します。 ヒント ワイルドカードとしてアスタリスク(*)を入力すると、すべてを値として指定できます。 • Port:フィルタリングするポート番号を入力します。 • CLI:フィルタリングする CLI 番号を入力します。また、このボックスを使用して、CLI 以外の値、たとえば、IP アドレスや MAC アドレスに基づいてアクセスを制限できます。 詳細については、P.4-23 の「ネットワーク アクセス制限について」を参照してください。 • DNIS:フィルタリングするダイヤル番号を入力します。 (注) AAA Client リスト、Port ボックス、および Src IP Address ボックスの文字数の合計は、 1024 を超えることはできません。NAR を追加する際に ACS には 1024 を超える文字を 入力できますが、NAR の編集ができなくなるため、ACS は NAR をユーザに正確に適 用できなくなります。 e. Enter キーを押します。 NAR 行項目を指定する情報が、テーブルに表示されます。 f. 非 IP ベースの NAR 行項目を追加入力するには、c. ∼ e. の手順を繰り返します。 ステップ 8 共有 NAR 定義を保存するには、Submit をクリックします。 ACS は、共有 NAR を保存して、Network Access Restrictions テーブルにリストします。 共有 NAR の編集 共有 NAR を編集するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。 Shared Profile Components ページが表示されます。 ステップ 2 Network Access Restrictions をクリックします。 Network Access Restrictions テーブルが表示されます。 ステップ 3 Name カラムで、編集する共有 NAR をクリックします。 Network Access Restriction ページが表示され、選択した NAR に関する情報が表示されます。 ステップ 4 必要に応じて、NAR の名前または説明を編集します。説明には、最大で 1,000 文字まで使用できま す。 Cisco Secure ACS Solution Engine ユーザ ガイド 4-28 OL-14386-01-J 第4章 共有プロファイル コンポーネント ネットワーク アクセス制限 ステップ 5 IP ベースのアクセス制限テーブルの行項目を編集するには、次の手順を実行します。 a. 編集する行項目をダブルクリックします。 その行項目の情報がテーブルから削除され、テーブル下部のボックスに表示されます。 b. 必要に応じて情報を編集します。 (注) AAA Client リスト、Port ボックス、および Src IP Address ボックスの文字数の合計は、 1024 を超えることはできません。NAR を追加する際に ACS には 1024 を超える文字を 入力できますが、このような NAR は編集できなくなるため、ACS は NAR をユーザに 正確に適用できなくなります。 c. Enter キーを押します。 編集した行項目の情報が、IP ベースのアクセス制限テーブルに書き込まれます。 ステップ 6 IP ベースのアクセス制限テーブルから行項目を削除するには、次の手順を実行します。 a. 行項目を選択します。 b. テーブルの下の Remove をクリックします。 IP ベースのアクセス制限テーブルから、行項目が削除されます。 ステップ 7 CLI/DNIS アクセス制限テーブルの行項目を編集するには、次の手順を実行します。 a. 編集する行項目をダブルクリックします。 その行項目の情報がテーブルから削除され、テーブル下部のボックスに表示されます。 b. 必要に応じて情報を編集します。 (注) AAA Client リスト、Port ボックス、および DNIS ボックスの文字数の合計は、1024 を 超えることはできません。NAR を追加する際に ACS には 1024 を超える文字を入力で きますが、このような NAR は編集できなくなるため、ACS は NAR をユーザに正確に 適用できなくなります。 c. Enter キーを押します。 編集した行項目の情報が、CLI/DNIS アクセス制限テーブルに書き込まれます。 ステップ 8 CLI/DNIS アクセス制限テーブルから行項目を削除するには、次の手順を実行します。 a. 行項目を選択します。 b. テーブルの下の Remove をクリックします。 CLI/DNIS アクセス制限テーブルから、行項目が削除されます。 ステップ 9 変更を保存するには、Submit をクリックします。 ACS によって新しい情報のフィルタが再入力され、すぐに有効になります。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 4-29 第4章 共有プロファイル コンポーネント ネットワーク アクセス制限 共有 NAR の削除 始める前に 共有 NAR を削除する前に、すべてのユーザまたはグループに対するその NAR の関連付けを必ず削 除してください。 共有 NAR を削除するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。 Shared Profile Components ページが表示されます。 ステップ 2 Network Access Restrictions をクリックします。 ステップ 3 削除する共有 NAR の名前をクリックします。 Network Access Restriction ページが表示され、選択した NAR に関する情報が表示されます。 ステップ 4 ページの下部にある Delete をクリックします。 共有 NAR の削除について警告するダイアログボックスが表示されます。 ステップ 5 共有 NAR を削除することを確認するため、OK をクリックします。 選択した共有 NAR が削除されます。 Cisco Secure ACS Solution Engine ユーザ ガイド 4-30 OL-14386-01-J 第4章 共有プロファイル コンポーネント コマンド認可セット コマンド認可セット この項では、コマンド認可セットとパターン マッチングについて説明した後で、その設定と管理に ついて詳述します。 ここでは、次の項目について説明します。 • コマンド認可セットについて(P.4-31) − コマンド認可セットの説明(P.4-31) − コマンド認可セットの割り当て(P.4-32) − 大文字小文字の区別とコマンド認可(P.4-33) − 引数とコマンド認可(P.4-33) − パターン マッチングについて(P.4-34) • コマンド認可セットの追加(P.4-34) • コマンド認可セットの編集(P.4-36) • コマンド認可セットの削除(P.4-37) コマンド認可セットについて ここでは、次の項目について説明します。 • コマンド認可セットの説明(P.4-31) • コマンド認可セットの割り当て(P.4-32) • 大文字小文字の区別とコマンド認可(P.4-33) • 引数とコマンド認可(P.4-33) • パターン マッチングについて(P.4-34) コマンド認可セットの説明 コマンド認可セットは、所定のネットワーク デバイス上で発行された各コマンドの認可を制御する 中心的なメカニズムです。この機能は、認可制限を設定する規模を大きくし、管理も容易にします。 ACS では、デフォルトのコマンド認可セットにシェル コマンド認可セットと PIX コマンド認可セッ トがあります。Management Center for Firewalls などの Cisco デバイス管理アプリケーションでは、追 加のコマンド認可セット タイプをサポートするように ACS に指示できます。 (注) ヒント PIX コマンド認可セットでは、TACACS+ コマンド認可要求がサービスを pixshell として識別する 必要があります。ファイアウォールが使用する PIX OS のバージョンにこのサービスが実装されて いることを確認してください。実装されていない場合は、シェル コマンド認可セットを使用して PIX デバイスのコマンド認可を実行してください。詳細については、P.5-28 の「シェル コマンド認 可セットをユーザ グループに対して設定する」を参照してください。 PIX OS バージョン 6.3 では、pixshell サービスが実装されていません。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 4-31 第4章 共有プロファイル コンポーネント コマンド認可セット デバイス ホストの Telnet 管理セッションをきめ細かく制御するために、TACACS+ を使用している ネットワーク デバイスは、各コマンドラインに対する認可を要求し、その後で実行できます。一連 のコマンドを定義することで、そのコマンドが所定のデバイスで特定ユーザによる実行が許可また は拒否されるようにできます。ACS では、次のように、この機能がさらに強化されています。 • Reusable Named Command Authorization Sets:ユーザもユーザ グループも直接引用せずに、コ マンド認可の名前付きセットを作成できます。コマンド認可セットを複数定義して、各セット がそれぞれ別のアクセス プロファイルを表すようにできます。次の例を参考にしてください。 − コマンド認可セット Help desk は、show run などの上位レベルのブラウジング コマンドへ のアクセスを許可しますが、設定コマンドはすべて拒否します。 − コマンド認可セット All network engineers には、企業のすべてのネットワーク技術者に許 可するコマンドの限定リストを含めることができます。 − コマンド認可セット Local Network Engineers は、IP アドレスの設定など、すべてのコマン ドを許可できます。 • Fine Configuration Granularity:名前付きコマンド認可セットと NDG の間で関連付けを行うこ とができます。したがって、ユーザがアクセスするネットワーク デバイスに応じて、ユーザに 異なるアクセス プロファイルを定義できます。1 つの名前付きコマンド認可セットを複数の NDG に関連付け、複数のユーザ グループで使用できます。ACS では、データ整合性が強化さ れています。名前付きコマンド認可セットは、ACS 内部データベースに保持されます。ACS の バックアップ機能と復元機能を使用すると、バックアップや復元を実行できます。さらに、他 の設定データとともにセカンダリ ACS に複製することもできます。 Cisco デバイス管理アプリケーションをサポートしているコマンド認可セット タイプに対しても、 コマンド認可セットを使用する利点は同じです。デバイス管理アプリケーションにある各種の特権 は、そのデバイス管理アプリケーションのユーザを含む ACS グループにコマンド認可セットを適 用することで、認可できます。この ACS グループは、デバイス管理アプリケーションにある各種 のロールに対応できるので、必要に応じて、各グループに異なるコマンド認可セットを適用できま す。 ACS には、コマンド認可フィルタリングに関する一連の 3 つの段階があります。各コマンド認可要 求は、次の順序で評価されます。 1. Command Match:ACS は、実行されるコマンドが、コマンド認可セット内にリストされたコ マンドと一致するかどうかを判別します。一致するコマンドが見つからない場合、コマンド認 可は Unmatched Commands 設定が許可または拒否かどうかによって判別されます。一致するコ マンドが見つかった場合は、評価が続行されます。 2. Argument Match:ACS は、提示されたコマンド引数が、コマンド認可セット内にリストされ たコマンド引数と一致するかどうかを判別します。 − 一致しない引数がある場合、コマンド認可は Permit Unmatched Args オプションがイネーブ ルかどうかによって判別されます。一致しない引数が許可された場合は、コマンドが認可 されて評価が終了します。許可されない場合は、コマンドが認可されずに評価が終了しま す。 − すべての引数が一致した場合は、評価が続行されます。 3. Argument Policy:ACS は、評価されるコマンドの引数が、コマンド認可セット内にリストされ た引数と一致していることを確認した後に、各コマンド引数が明示的に許可されるかどうかを 判別します。すべての引数が明示的に許可される場合、ACS はコマンド許可を付与します。許 可されない引数がある場合、ACS はコマンド認可を拒否します。 コマンド認可セットの割り当て コマンド認可セットの割り当てについては、次の手順を参照してください。 • シェル コマンド認可セット:次のいずれかを参照してください。 − シェル コマンド認可セットをユーザ グループに対して設定する(P.5-28) Cisco Secure ACS Solution Engine ユーザ ガイド 4-32 OL-14386-01-J 第4章 共有プロファイル コンポーネント コマンド認可セット − シェル コマンド認可セットをユーザに対して設定する(P.6-21) • PIX コマンド認可セット:次のいずれかを参照してください。 − PIX コマンド認可セットをユーザ グループに対して設定する(P.5-29) − PIX コマンド認可セットをユーザに対して設定する(P.6-23) • デバイス管理コマンド認可セット:次のいずれかを参照してください。 − デバイス管理コマンド認可をユーザ グループに対して設定する(P.5-31) − デバイス管理コマンド認可をユーザに対して設定する(P.6-24) 大文字小文字の区別とコマンド認可 コマンド認可を実行する場合、ACS は、大文字小文字を区別しながら、コマンドと引数を評価しま す。コマンド認可は、コマンド認可セットを設定するときに、コマンドと引数の大文字と小文字を 区別しないと成功しません。 ここで問題になるのが、コマンド認可を要求するデバイスが送信してくるコマンドと引数の大文字 と小文字が、コマンド発行のために入力した大文字と小文字と異なる場合があるということです。 たとえば、ルータ ホスト セッションで次のコマンドを入力したとします。 interface FASTETHERNET 0/1 ルータは ACS に、次のコマンドと引数を送信する場合があります。 interface FastEthernet 0 1 interface コマンドに対して、コマンド認可セットが fastethernet というスペルを使用して FastEthernet 引数を明示的に許可すると、ACS はコマンド認可要求に失敗します。コマンド認可規 則が FastEthernet という引数を許可していれば、ACS はコマンド認可要求を許可します。コマンド 認可セットに使用する大文字と小文字は、デバイスの送信内容と一致する必要があります。ただし、 その送信内容は、コマンドを入力するときに使用した大文字や小文字と一致しない場合もありま す。 引数とコマンド認可 一致しない引数の許可を ACS に依存しないで、引数を明示的に許可または拒否する場合は、デバ イスが引数を ACS に送信する仕組みを把握しておく必要があります。コマンド認可を要求するデ バイスは、コマンド発行のためにユーザが入力した引数とは異なるものを送信する場合がありま す。 たとえば、ルータ ホスト セッションでユーザが次のコマンドを入力したとします。 interface FastEthernet0/1 ルータは ACS に、次のコマンドと引数を送信する場合があります。 01:44:53: 01:44:53: 01:44:53: 01:44:53: 01:44:53: tty2 tty2 tty2 tty2 tty2 AAA/AUTHOR/CMD(390074395): AAA/AUTHOR/CMD(390074395): AAA/AUTHOR/CMD(390074395): AAA/AUTHOR/CMD(390074395): AAA/AUTHOR/CMD(390074395): send send send send send AV AV AV AV AV cmd=interface cmd-arg=FastEthernet cmd-arg=0 cmd-arg=1 cmd-arg=<cr> この例では、ユーザがコマンドに続けてスペースを入れずに入力した 1 つの文字列を、ルータは複 数の引数と認識しています。さらにルータは、ユーザがコマンドを発行したときに 0 と 1 を区切っ たスラッシュ(/)を省略しています。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 4-33 第4章 共有プロファイル コンポーネント コマンド認可セット interface コマンドのコマンド認可規則が、FastEthernet0/1 というスペルを使用して FastEthernet 引 数を明示的に許可する場合、ACS はコマンド認可要求に失敗します。これは、ルータが ACS に送 信した内容がコマンド認可要求と一致していないためです。代わりに、コマンド認可規則が FastEthernet 0 1 という引数を許可していれば、ACS はコマンド認可要求を許可します。コマンド 認可セットに指定する引数の大文字と小文字は、デバイスの送信内容と一致する必要があります。 ただし、その送信内容は、引数を入力するときにユーザが使用した大文字や小文字と一致しない場 合もあります。 パターン マッチングについて ACS は、permit または deny コマンドの引数に、パターン マッチングを使用します。つまり、引数 permit wid は、文字列 wid を含む引数すべてと一致します。したがって、たとえば permit wid は wid だけでなく、anywid や widget という引数も許可します。 パターン マッチングの範囲を制限するため、次の式を追加できます。 • ドル記号($) :直前の文字で引数が終了することを示します。したがって、permit wid$ は wid や anywid とは一致しますが、widget とは一致しません。 • キャレット(^):直後の文字から引数が始まることを示します。したがって、permit ^wid は wid や widget とは一致しますが、anywid とは一致しません。 これらの式を組み合せると、完全一致を指定できます。ここの例で permit ^wid$ を使用すると、wid だけが許可され、anywid や widget は許可されません。 引数を持たないコマンドを許可または拒否するために、完全一致を使用してヌル引数条件を指定す ることができます。たとえば、引数を持たないコマンドを許可するには、permit ^$ を使用します。 また、permit <cr> と入力した場合も同じです。これらのどちらかの方法を使用すると、Permit Unmatched Args オプションがオフになっていれば、引数を持たないコマンドが一致し、そのコマ ンドを許可または拒否できます。 コマンド認可セットの追加 コマンド認可セットを追加するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。 Shared Profile Components ページに、利用可能なコマンド認可セットのタイプがリストされます。こ こには常に Shell Command Authorization Set が含まれていますが、その他のセット、たとえば、Cisco デバイス管理アプリケーションをサポートするコマンド認可セットのタイプが含まれていること もあります。 ステップ 2 必要に応じて、リストにあるコマンド認可セットのタイプの 1 つをクリックします。 選択した Command Authorization Sets テーブルが表示されます。 ステップ 3 Add をクリックします。 該当する Command Authorization Set ページが表示されます。このページの内容は、追加するコマン ド認可セット タイプによって変わります。Name ボックスと Description ボックスの下に、追加の ボックスや展開可能なチェックリスト ツリーが表示されます。展開可能なチェックリスト ツリー には、Cisco デバイス管理アプリケーションをサポートするデバイス コマンド セット タイプが表示 されます。 Cisco Secure ACS Solution Engine ユーザ ガイド 4-34 OL-14386-01-J 第4章 共有プロファイル コンポーネント コマンド認可セット ステップ 4 Name ボックスに、コマンド認可セットの名前を入力します。 (注) セットの名前には、最大で 27 文字まで使用できます。名前には、次の文字は使用できませ ん。 シャープ記号(#)、疑問符(?)、引用符(")、アスタリスク(*)、右山カッコ(>)、左山 カッコ(<) 。先頭と末尾にスペースを置くことはできません。 ステップ 5 Description ボックスに、コマンド認可セットの説明を入力します。説明には、最大で 1,000 文字ま で使用できます。 ステップ 6 Name ボックスと Description ボックスの下に展開可能なチェックリスト ツリーが表示されている場 合は、チェックリスト ツリーを使用して、このコマンド認可セットで許可するアクションを指定し ます。 a. チェックリスト ノードを展開するには、ノードの左側にあるプラス記号(+)をクリックします。 b. アクションをイネーブルにするには、アクションのチェックボックスをオンにします。たとえ ば、Device View アクションをイネーブルにするには、Device チェックリスト ノードの下にあ る View チェックボックスをオンにします。 ヒント 展開可能なチェックボックス ノードをオンにすると、そのノードに含まれているチェッ クボックスがすべてオンになります。チェックリスト ツリーの最初のチェックボックス をオンにすると、そのチェックリスト ツリーに含まれているチェックボックスがすべて オンになります。 c. このコマンド認可セットの他のアクションをイネーブルにするには、ステップ a とステップ b を必要に応じて繰り返します。 ステップ 7 Name ボックスと Description ボックスの下に追加のボックスが表示されている場合は、それらの ボックスを使用して、このコマンド認可セットで許可または拒否するコマンドと引数を指定しま す。 a. 一致しないコマンドを ACS が処理する方法を指定するには、必要に応じて Permit または Deny オプションを選択します。 (注) デフォルト設定は Deny です。 b. Add Command ボタンのすぐ上にあるボックスに、セットの一部とするコマンドを入力します。 注意 コマンドは完全な形で入力してください。コマンドの省略形を使用すると、認可の制御が機能しな いことがあります。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 4-35 第4章 共有プロファイル コンポーネント コマンド認可セット (注) ここには、コマンド / 引数文字列のコマンド部分だけを入力します。引数は、コマンド がリストされた後で追加します。たとえば、コマンド / 引数文字列が show run の場合、 ここではコマンド show だけを入力します。 c. Add Command をクリックします。 入力したコマンドが、コマンド リスト ボックスに追加されます。 d. コマンドに引数を追加するには、Command List ボックスでそのコマンドを選択し、コマンド の右側のボックスに引数を入力します。 (注) 引数の正しい形式は、<permit | deny> <argument> です。たとえば、コマンド show がす でにリストにあれば、引数として permit run を入力できます。 ヒント 引数と引数の間で Enter キーを押すと、1 つのコマンドに対して複数の引数をリストでき ます。 e. リストしていない引数をコマンドで許可するには、Permit Unmatched Args チェックボックス をオンにします。 f. このコマンド認可セットに他のコマンドを追加するには、ステップ a からステップ e を繰り返 します。 ステップ 8 コマンド認可セットを保存するには、Submit をクリックします。 ACS によって、新しいコマンド認可セットの名前と説明が、該当する Command Authorization Sets テーブルに表示されます。 コマンド認可セットの編集 コマンド認可セットを編集するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。 Shared Profile Components ページに、利用可能なコマンド認可セットのタイプがリストされます。 ステップ 2 該当するコマンド認可セット タイプをクリックします。 選択した Command Authorization Sets テーブルが表示されます。 ステップ 3 Name カラムで、変更するセットの名前をクリックします。 選択したセットに関する情報が、該当する Command Authorization Set ページに表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド 4-36 OL-14386-01-J 第4章 共有プロファイル コンポーネント コマンド認可セット ステップ 4 Name ボックスと Description ボックスの下に展開可能なチェックリスト ツリーが表示されている場 合は、次のいずれかまたはすべての操作を実行できます。 • チェックリスト ノードを展開するには、ノードの左側にあるプラス(+)記号をクリックしま す。展開したチェックリスト ノードを縮小するには、ノードの左側にあるマイナス(-)記号 をクリックします。 • アクションをイネーブルにするには、アクションのチェックボックスをオンにします。たとえ ば、Device View アクションをイネーブルにするには、Device チェックリスト ノードの下にあ る View チェックボックスをオンにします。 ヒント • ステップ 5 ステップ 6 展開可能なチェックボックス ノードをオンにすると、そのノードに含まれているチェッ クボックスがすべてオンになります。チェックリスト ツリーの最初のチェックボックス をオンにすると、そのチェックリスト ツリーに含まれているチェックボックスがすべて オンになります。 アクションをディセーブルにするには、アクションのチェックボックスをオフにします。たと えば、Device View アクションをディセーブルにするには、Device チェックリスト ノードの下 にある View チェックボックスをオフにします。 Name ボックスと Description ボックスの下に追加のボックスが表示されている場合は、次のいずれ かまたはすべての操作を実行できます。 • セットの名前または説明を変更するには、対応するボックスで編集します。説明には、最大で 1,000 文字まで使用できます。 • セットからコマンドを削除するには、Matched Commands リストでそのコマンドを選択し、次 に Remove Command をクリックします。 • コマンドの引数を編集するには、コマンド リスト ボックスでそのコマンドを選択し、コマン ド リスト ボックスの右側のボックスで引数に変更を加えます。 設定を保存するには、Submit をクリックします。 コマンド認可セットの削除 コマンド認可セットを削除するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。 Shared Profile Components ページに、利用可能なコマンド認可セットのタイプがリストされます。 ステップ 2 該当するコマンド認可セット タイプをクリックします。 選択した Command Authorization Sets テーブルが表示されます。 ステップ 3 Name カラムで、削除するコマンド セットの名前をクリックします。 選択したセットに関する情報が、該当する Command Authorization Set ページに表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 4-37 第4章 共有プロファイル コンポーネント コマンド認可セット ステップ 4 Delete をクリックします。 コマンド認可セットの削除について警告するダイアログボックスが表示されます。 ステップ 5 コマンド認可セットを削除することを確認するには、OK をクリックします。 ACS によって、該当する Command Authorization Sets テーブルが表示されます。削除したコマンド 認可セットは、このテーブルのリストには表示されていません。 Cisco Secure ACS Solution Engine ユーザ ガイド 4-38 OL-14386-01-J C H A P T E R 5 ユーザ グループ管理 この章では、Cisco Secure Access Control Server Release 4.2(以降は ACS と表記)で認可を制御する 場合のユーザ グループの設定および管理について説明します。ACS を使用してネットワーク ユー ザをグループ化すると、管理効率が向上します。ACS では、各ユーザは 1 つのグループだけに所属 できます。最大 500 個のグループを作成して、さまざまな認可レベルを実現できます。 ACS では、外部データベース グループ マッピングもサポートされています。つまり、外部ユーザ データベースがユーザ グループを識別している場合は、ユーザ グループを ACS にマッピングでき ます。外部データベースでグループがサポートされていない場合は、その外部データベースからす べてのユーザを 1 つの ACS ユーザ グループにマッピングできます。外部データベースのマッピン グについては、P.16-2 の「外部ユーザ データベースによるグループ マッピング」を参照してくだ さい。 注意 ACS 4.0 では、グループ認可の実行方法に影響を与える Network Access Profiles(NAP; ネットワー ク アクセス プロファイル)の概念を導入しました。NAP を使用していない場合、ACS 機能は以前 のバージョンと同じです。NAP の使用を計画している場合は、Remote Access Dial-in User Service (RADIUS)認可がグループ、ユーザ、および NAP(RAC 経由)の間でどのように分けられるかを 理解する必要があります。 この章は、次の項で構成されています。 • ユーザ グループ セットアップの特長と機能(P.5-2) • 基本ユーザ グループの設定(P.5-4) • 設定固有のユーザ グループ設定値(P.5-15) • グループ設定の管理(P.5-48) Group Setup を設定する前に、Group Setup セクションの動作を理解しておく必要があります。ACS は、実際のネットワーク デバイスと使用されているセキュリティ プロトコルの設定に従って、 Group Setup セクション インターフェイスを動的に構築します。つまり、Group Setup に表示される 内容は、Network Configuration セクションと Interface Configuration セクションの設定内容によって 決まります。また、ダウンロード可能な Downloadable Access-Control list(DACL; ダウンロード可能 アクセス コントロール リスト)および RADIUS Authorization Component(RAC; RADIUS 認可コン ポーネント)のグループ設定を、ネットワーク認可ポリシー(NAP)の設定と置換することもでき ます。ただし、アトリビュートのマージを実行する場合は、グループに追加した設定がすべて機能 するとは限りません。アトリビュートのマージの詳細については、P.4-9 の「RAC および NAP につ いて」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 5-1 第5章 ユーザ グループ管理 ユーザ グループ セットアップの特長と機能 ユーザ グループ セットアップの特長と機能 ACS Web インターフェイスの Group Setup セクションは、ユーザ グループの設定および管理に関連 する操作の集中管理ポイントです。Network Device Group(NDG; ネットワーク デバイス グループ) については、P.3-28 の「ネットワーク デバイス グループの設定」を参照してください。 ここでは、次の項目について説明します。 • Default Group(P.5-2) • グループ TACACS+ の設定(P.5-2) • グループ RADIUS の設定(P.5-3) Default Group 外部ユーザ データベース用のグループ マッピングを設定していない場合、ACS は、Unknown User Policy によって認証されるユーザを、初めてログインしたときに Default Group に割り当てます。初 回ユーザには、デフォルト グループ用の特権と制限が適用されます。ACS の以前のバージョンか らアップグレードし、データベース情報をそのまま維持している場合、ACS はアップグレード前に 設定したグループ マッピングを保持しています。 グループ TACACS+ の設定 ACS を使用すると、Terminal Access Controller Access Control System(TACACS+; ターミナル アクセ ス コントローラ アクセス コントロール システム)の全種類の範囲の設定をグループ レベルで作成 できます。Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)ク ライアントがセキュリティ制御プロトコルとして TACACS+ を使用するように設定している場合、 標準のサービス プロトコル、たとえば Point-to-Point Protocol(PPP IP; ポイントツーポイント プロ トコル)、Point-to-Point Protocol Link Control Protocol(PPP LCP; ポイントツーポイント リンク制御 プロトコル)、AppleTalk Remote Access Protocol(ARAP)、Serial Line Internet Protocol(SLIP; シリア ル ライン インターネット プロトコル)、および shell(exec)を、特定のグループに属している各 ユーザの認可に適用するように設定できます。 (注) TACACS+ 設定は、ユーザ レベルで行うこともできます。ユーザ レベルの設定は、グループ レベ ルの設定よりも優先されます。 ACS を使用すると、新しい TACACS+ サービスの入力と設定もできます。新しい TACACS+ サービ スを設定し、Group Setup ページに表示する方法については、P.2-8 の「TACACS+ 設定オプション の表示」を参照してください。 Cisco デバイス管理アプリケーションと連携動作するように ACS を設定した場合は、そのデバイス 管理アプリケーションをサポートするための新しい TACACS+ サービスが、必要に応じて自動的に 表示されます。ACS とデバイス管理アプリケーションとの連携動作の詳細については、P.1-15 の 「Cisco デバイス管理アプリケーションのサポート」を参照してください。 シェル コマンド認可セット機能を使用して、TACACS+ グループの設定を行います。この機能を使 用すると、次のように特定のユーザ グループにシェル コマンドを適用できます。 • 設定済みのシェル コマンド認可セットを任意のネットワーク デバイスに割り当てる。 • 設定済みのシェル コマンド認可セットを特定の NDG に割り当てる。 • 定義する特定のシェル コマンドをグループごとに許可または拒否する。 Cisco Secure ACS Solution Engine ユーザ ガイド 5-2 OL-14386-01-J 第5章 ユーザ グループ管理 ユーザ グループ セットアップの特長と機能 シェル コマンド認可セットの詳細については、P.4-31 の「コマンド認可セット」を参照してくださ い。 グループ RADIUS の設定 ACS には、グループ レベルでの RADIUS の全種類の設定が含まれています。AAA クライアントが セキュリティ制御プロトコルとして RADIUS を使用するように設定されている場合、標準のサービ ス プロトコル、たとえば Internet Engineering Task Force(IETF; インターネット技術特別調査委員 会)、Microsoft、および Ascend は、特定のグループに属している各ユーザの認可に適用されるよう に設定できます。 (注) RADIUS 設定は、ユーザ レベルで行うこともできます。ユーザ レベルの設定は、グループ レベル の設定よりも優先されます。 ACS を使用すると、新しい RADIUS サービスの入力と設定もできます。新しい RADIUS サービス を設定し、Group Setup ページに表示する方法については、P.2-9 の「RADIUS 設定オプションの表 示」を参照してください。 ACS でアトリビュート マージを使用すると、3 種類の RADIUS 設定(ユーザ、Shared Radius Authorization Component(SRAC; 共有 RADIUS 認可コンポーネント)、グループ)は、グループ ア トリビュート設定が有効になる前に、まずユーザ アトリビュートに上書きされ、次に共有 RADIUS 認可コンポーネント アトリビュートに上書きされます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 5-3 第5章 ユーザ グループ管理 基本ユーザ グループの設定 基本ユーザ グループの設定 この項では、新しいユーザ グループを設定する場合の基本的な操作について説明します。 ここでは、次の項目について説明します。 • グループの無効化(P.5-4) • VoIP サポートをユーザ グループに対してイネーブルにする(P.5-5) • VoIP サポートをユーザ グループに対してイネーブルにする(P.5-5) • デフォルトの時間帯アクセスをユーザ グループに対して設定する(P.5-6) • コールバック オプションをユーザ グループに対して設定する(P.5-7) • ネットワーク アクセス制限をユーザ グループに対して設定する(P.5-8) • 最大セッションをユーザ グループに対して設定する(P.5-11) • 使用割当量をユーザ グループに対して設定する(P.5-12) グループの無効化 この手順では、ユーザ グループを無効にし、無効化されたグループのメンバーが認証されないよう にします。 (注) グループの無効化は、ACS でユーザ レベルの設定よりもグループ レベルの設定が優先される唯一 の設定です。グループの無効化を設定すると、無効にされたグループ内のすべてのユーザの認証は 拒否されます。この場合、ユーザ アカウントが無効かどうかは関係ありません。ただし、ユーザ アカウントが無効になっている場合、対応するユーザ グループの無効化設定の状態が変化しても、 ユーザ アカウントは無効のままです。つまり、グループとユーザの無効化設定が異なる場合、ACS はデフォルトでネットワーク アクセスを回避します。 グループを無効化するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Group Setup をクリックします。 Group Setup Select ページが表示されます。 ステップ 2 Group リストで、無効にするグループを選択し、Edit Settings をクリックします。 Group Settings ページの一番上にそのグループの名前が表示されます。 ステップ 3 Group Disabled テーブルで、Members of this group will be denied access to the network というラベル のチェックボックスをオンにします。 ステップ 4 グループをすぐに無効にするには、Submit + Apply をクリックします。 詳細については、P.5-49 の「ユーザ グループ設定に対する変更の保存」を参照してください。 グループは無効になり、グループのすべてのメンバーも無効になります。 Cisco Secure ACS Solution Engine ユーザ ガイド 5-4 OL-14386-01-J 第5章 ユーザ グループ管理 基本ユーザ グループの設定 VoIP サポートをユーザ グループに対してイネーブルにする (注) この機能が表示されない場合は、Interface Configuration > Advanced Options を選択します。次に、 Voice-over-IP (VoIP) Group Settings チェックボックスをオンにします。 この手順を実行して、VoIP のヌル パスワード機能のサポートを有効にします。これで、ユーザは ユーザ ID(電話番号)だけに基づいて認証を受ける(セッションまたは通話について)ことができ ます。 グループ レベルで VoIP を有効にすると、そのグループ内のユーザすべてが VoIP ユーザとなり、 ユーザ ID は電話番号と同様に取り扱われます。VoIP ユーザは、認証を受けるためのパスワードを 入力しないでください。 注意 VoIP を有効にすると、パスワード認証や、パスワード エージングおよびプロトコル アトリビュー トなどの高度な設定のほとんどが使用できなくなります。VoIP ユーザ ID とともにパスワードを送 信すると、ACS の試行が失敗します。 VoIP サポートをグループに対して有効にするには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Group Setup をクリックします。 Group Setup Select ページが表示されます。 ステップ 2 Group リストで、VoIP サポートを設定するグループを選択し、Edit Settings をクリックします。 Group Settings ページの一番上にそのグループの名前が表示されます。 ステップ 3 Voice-over-IP Support テーブルで、This is a Voice-over-IP (VoIP) group - and all users of this group are VoIP users というラベルのチェックボックスをオンにします。 ステップ 4 グループ設定を保存するには、Submit をクリックします。 詳細については、P.5-49 の「ユーザ グループ設定に対する変更の保存」を参照してください。 ステップ 5 他のグループの設定を続ける場合は、必要に応じて、この章の手順を実行します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 5-5 第5章 ユーザ グループ管理 基本ユーザ グループの設定 デフォルトの時間帯アクセスをユーザ グループに対して設定する (注) この機能が表示されない場合は、Interface Configuration > Advanced Options を選択します。次に、 Default Time-of-Day / Day-of-Week Specification チェックボックスをオンにします。 特定のグループ内のユーザに対してアクセスを許可または拒否する時刻を定義するには、次の手順 を実行します。 ステップ 1 ナビゲーション バーの Group Setup をクリックします。 Group Setup Select ページが表示されます。 ステップ 2 Group リストでグループを選択し、Edit Settings をクリックします。 Group Settings ページの一番上にそのグループの名前が表示されます。 ステップ 3 Default Time-of-Day Access Settings テーブルで、Set as default Access Times チェックボックスをオン にします。 (注) 時間帯または曜日に基づいてアクセスを制限するには、Set as default Access Times チェッ クボックスをオンにする必要があります。 アクセスが許可される時間が、曜日と時間帯のマトリクス上で緑色に強調表示されます。 (注) ステップ 4 曜日と時間帯のマトリクス上で、このグループのメンバーのアクセスを拒否する時刻をクリックし ます。 ヒント ステップ 5 デフォルト設定では、アクセスは 1 日中許可されています。 曜日と時間帯のマトリクス上で時間をクリックすると、時間の選択が解除されます。再 度クリックすると、また選択状態に戻ります。 Clear All をクリックして全時間を解除するか、Set All をクリックして全時間を選択する こともできます。 グループ設定を保存するには、Submit をクリックします。 詳細については、P.5-49 の「ユーザ グループ設定に対する変更の保存」を参照してください。 ステップ 6 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。 Cisco Secure ACS Solution Engine ユーザ ガイド 5-6 OL-14386-01-J 第5章 ユーザ グループ管理 基本ユーザ グループの設定 コールバック オプションをユーザ グループに対して設定する コールバックとは、アクセス サーバに返されるコマンド文字列です。モデムを起動するときにコー ルバック文字列を使用すると、セキュリティの強化または着信課金のために、ユーザが特定の番号 にコールバックするように設定できます。次の 3 つのオプションがあります。 • No callback allowed:コールバックをこのグループのユーザに対してディセーブルにします。こ れがデフォルト設定です。 • Dialup client specifies callback number:ダイヤルアップ クライアントがコールバック番号を指 定できるようにします。ダイヤルアップ クライアントは RFC 1570、PPP LCP Extensions をサ ポートしている必要があります。 • Use Windows Database callback settings (where possible):Microsoft Windows のコールバック設 定を使用します。ユーザの Windows アカウントがリモート ドメインにある場合、Microsoft Windows のコールバック設定がそのユーザに対して動作するためには、ACS が常駐するドメイ ンとそのドメインとの間に双方向の信頼性が必要です。 (注) (注) Windows Database callback settings をイネーブルにする場合は、Windows Database Configuration Settings で Windows Callback 機能もイネーブルにする必要があります。P.12-20 の「Windows ユーザ データベース設定オプション」を参照してください。 コールバック機能を使用している場合、パスワード エージング機能は正常に動作しません。コー ルバックを使用していると、ユーザはログイン時にパスワード エージング メッセージを受信でき ません。 ユーザ グループに対してコールバック オプションを設定するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Group Setup をクリックします。 Group Setup Select ページが表示されます。 ステップ 2 Group リストでグループを選択してから、Edit Settings をクリックします。 Group Settings ページの一番上にそのグループの名前が表示されます。 ステップ 3 ステップ 4 Callback テーブルで、次の 3 つのオプションから 1 つを選択します。 • No callback allowed • Dialup client specifies callback number • Use Windows Database callback settings (where possible) グループ設定を保存するには、Submit をクリックします。 詳細については、P.5-49 の「ユーザ グループ設定に対する変更の保存」を参照してください。 ステップ 5 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 5-7 第5章 ユーザ グループ管理 基本ユーザ グループの設定 ネットワーク アクセス制限をユーザ グループに対して設定する Group Setup の Network Access Restrictions テーブルで、次の 3 つの方法を使用して、Network Access Restriction(NAR; ネットワーク アクセス制限)を適用できます。 • 名前を指定して既存の共有 NAR を適用する。 • IP ベースのグループ アクセス制限を定義して、IP 接続が確立された時点で、指定された AAA クライアントまたは AAA クライアントの指定されたポートに対するアクセスを許可または拒 否する。 • CLI/DNIS ベースのグループ NAR を定義して、使用されている Calling Line ID(CLI; 発信番号 識別)の番号または Dialed Number Identification Service(DNIS; 着信番号識別サービス)の番号、 あるいはその両方に対するアクセスを許可または拒否する。 (注) また、CLI/DNIS に基づいたアクセス制限領域を使用して、別の値を指定できます。詳 細については、P.4-23 の「ネットワーク アクセス制限について」を参照してください。 通常は、Shared Components セクションから(共有)NAR を定義することにより、これらの制限を 複数のグループまたはユーザに適用します。詳細については、P.4-26 の「共有 NAR の追加」を参 照してください。これらのオプションが ACS Web インターフェイスに表示されるようにするには、 Interface Configuration セ ク シ ョ ン の Advanced Options ペ ー ジ で、Group-Level Shared Network Access Restriction チェックボックスをオンにする必要があります。 ただし、ACS では、Group Setup セクションで 1 つのグループに対して NAR を定義し、適用する こともできます。単一グループの IP に基づいたフィルタ オプション、および単一グループの CLI/DNIS に基づいたフィルタ オプションを ACS Web インターフェイスに表示するには、Interface Configuration セクションの Advanced Options ページで Group-Level Network Access Restrictions 設定 をイネーブルにしておく必要があります。 (注) 認証要求がプロキシから ACS サーバに転送されると、 RADIUS 要求に使用されるすべての NAR は、 発信元の AAA クライアントの IP アドレスではなく、転送先の AAA サーバの IP アドレスに適用さ れます。 ユーザ グループに対して NAR を設定するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Group Setup をクリックします。 Group Setup Select ページが表示されます。 ステップ 2 Group リストでグループを選択し、Edit Settings をクリックします。 Group Settings ページの一番上にそのグループの名前が表示されます。 ステップ 3 事前に設定された共有 NRA をこのグループに適用するには、次の手順を実行します。 (注) 共有 NAR を適用するには、Shared Profile Components セクションの Network Access Restrictions で該当する NAR を設定しておく必要があります。詳細については、P.4-26 の 「共有 NAR の追加」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド 5-8 OL-14386-01-J 第5章 ユーザ グループ管理 基本ユーザ グループの設定 a. Only Allow network access when チェックボックスをオンにします。 b. グループのメンバーにアクセスを許可するために、共有 NAR の 1 つまたはすべてが適用され るかどうかを指定するには、次のオプションのいずれかを選択します。 • All selected shared NARS result in permit • Any one selected shared NAR results in permit c. Shared NAR リストで、共有 NAR 名を 1 つ選択し、-->(右矢印ボタン)をクリックして、その 名前を Selected Shared NARs リストに移動します。 ヒント ステップ 4 適用した共有 NAR のサーバ詳細を表示するには、View IP NAR、または View CLID/DNIS NAR の該当する方をクリックします。 この特定のユーザ グループに対して、NAR を定義および適用して、そのグループへのアクセスを IP アドレスまたは IP アドレスとポートに基づいて許可または拒否するには、次の手順を実行しま す。 ヒント ほとんどの NAR を Shared Components セクションで定義して、複数のグループやユーザ に対して制限を適用できるようにします。詳細については、P.4-26 の「共有 NAR の追加」 を参照してください。 a. Network Access Restrictions テーブルの Per Group Defined Network Access Restrictions セクション で、Define IP-based access restrictions チェックボックスをオンにします。 b. すぐ後のリストで、Table Defines リストからの、許可または拒否される IP アドレスのどちらを 表すかを指定するために、Permitted Calling/Point of Access Locations または Denied Calling/Point of Access Locations を選択します。 c. 次のボックスで情報を選択するか、または入力します。 • AAA Client:All AAA Clients を選択するか、そこへのアクセスを許可または拒否する NDG の名前または個別の AAA クライアントの名前を選択します。 • Port:アクセスを許可または拒否するポートの番号を入力します。アスタリスク(*)をワ イルドカードとして使用すると、選択された AAA クライアント上のすべてのポートに対 するアクセスを許可または拒否できます。 • Address:アクセス制限を実行する場合に、フィルタリングを適用する IP アドレスを入力 します。アスタリスク(*)ワイルドカードとしてを使用できます。 (注) AAA Client リスト、Port ボックス、および Src IP Address ボックスの文字数の合計は、 1024 を超えることはできません。NAR を追加する際に ACS には 1024 を超える文字を 入力できますが、NAR の編集ができなくなるため、ACS は NAR をユーザに正確に適 用できなくなります。 d. Enter キーを押します。 指定した AAA クライアント、ポート、およびアドレス情報が、NAR Access Control リストに 表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 5-9 第5章 ユーザ グループ管理 基本ユーザ グループの設定 ステップ 5 このユーザ グループへのアクセスを、発信場所または確立されている IP アドレス以外の値に基づ いて許可または拒否するには、次の手順を実行します。 a. Define CLI/DNIS-based access restrictions チェックボックスをオンにします。 b. 後続してリストに追加される値を許可するか、または拒否するかを指定するには、Table Defines リストから、次のいずれかを選択します。 • Permitted Calling/Point of Access Locations • Denied Calling/Point of Access Locations c. AAA Client リストで、All AAA Clients を選択するか、そこへのアクセスを許可または拒否する NDG の名前または特定の AAA クライアントの名前を選択します。 d. 次のボックスに必要な情報を入力します。 (注) 各ボックスに入力する必要があります。値の全体または一部にアスタリスク(*)をワ イルドカードとして使用できます。使用する形式は、AAA クライアントから受信する 文字列の形式と一致している必要があります。この形式は、RADIUS アカウンティング ログから判別できます。 • PORT:アクセスを許可または拒否するポート番号を入力します。アスタリスク(*)をワ イルドカードとして使用すると、すべてのポートに対するアクセスを許可または拒否でき ます。 • CLI:アクセスを許可または拒否する CLI 番号を入力します。ワイルドカードとしてアス タリスク(*)を使用すると、番号の一部またはすべての番号に基づいてアクセスを許可ま たは拒否できます。 ヒント CLI は、他の値、たとえば Cisco Aironet クライアントの MAC アドレスに基づいてアクセ スを制限する場合にも使用されます。詳細については、P.4-23 の「ネットワーク アクセ ス制限について」を参照してください。 • DNIS:ユーザがダイヤルしている番号に基づいてアクセスを制限するために DNIS の番号 を入力します。ワイルドカードとしてアスタリスク(*)を使用すると、番号の一部または すべての番号に基づいてアクセスを許可または拒否できます。 ヒント CLI は、他の値、たとえば Cisco Aironet AP の MAC アドレスに基づいてアクセスを制限 する場合にも使用されます。詳細については、P.4-23 の「ネットワーク アクセス制限に ついて」を参照してください。 (注) AAA Client リスト、Port ボックス、および Src IP Address ボックスの文字数の合計は、 1024 を超えることはできません。NAR を追加する際に ACS には 1024 を超える文字を 入力できますが、NAR の編集ができなくなるため、ACS は NAR をユーザに正確に適 用できなくなります。 e. Enter キーを押します。 Cisco Secure ACS Solution Engine ユーザ ガイド 5-10 OL-14386-01-J 第5章 ユーザ グループ管理 基本ユーザ グループの設定 AAA クライアント、ポート、CLI、および DNIS を指定する情報が、リストに表示されます。 ステップ 6 グループ設定を保存するには、Submit をクリックします。 詳細については、P.5-49 の「ユーザ グループ設定に対する変更の保存」を参照してください。 ステップ 7 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。 最大セッションをユーザ グループに対して設定する (注) Max Sessions 機能が表示されない場合は、Interface Configuration > Advanced Options を選択しま す。次に、Max Sessions チェックボックスをオンにします。 グループおよびグループ内の各ユーザが利用できる最大セッション数を定義するには、次の手順を 実行します。設定は次のとおりです。 ヒント • Sessions available to group:グループ全体の同時接続数の最大値を設定します。 • Sessions available to users of this group:グループの各ユーザに対する同時接続数の最大値を設 定します。 たとえば、Sessions available to group に 10 が設定され、Sessions available to users of this group に 2 が 設定されているとします。その場合、各ユーザが同時セッションを最大 2 つ使用するとすれば、ロ グインできるユーザは 5 人までに限られます。 セッションは、RADIUS または TACACS+ がサポートしている接続の任意のタイプ、たとえば、PPP、 NAS プロンプト、Telnet、ARAP、IPX/SLI です。 グル ープ の最 大セ ッシ ョン のデ フォ ルト 設定 は、グ ルー プと グル ープ ユ ーザ 両方 に対 して Unlimited になっています。 ユーザ グループに対して最大セッション数を設定するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Group Setup をクリックします。 Group Setup Select ページが表示されます。 ステップ 2 Group リストでグループを選択し、Edit Settings をクリックします。 Group Settings ページの一番上にそのグループの名前が表示されます。 ステップ 3 Max Sessions テーブルの Sessions available to group で、次のオプションのいずれかを選択します。 • Unlimited:グループの同時セッション数を無制限に許可します(このオプションによって、最 大セッションが実質的に無効になります)。 • n:グループに許可する同時セッション数の最大値を入力します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 5-11 第5章 ユーザ グループ管理 基本ユーザ グループの設定 ステップ 4 Max Sessions テーブル の下にある Sessions available to users of this group で、次の 2 つのオプション のどちらかを選択します。 • Unlimited:グループ ユーザに対して同時セッションを無制限に許可します(このオプション によって、最大セッションが実質的に無効になります)。 • n:このグループの各ユーザに許可する同時セッション数の最大値を入力します。 (注) ステップ 5 User Setup で行う設定は、グループ設定よりも優先されます。詳細については、P.6-13 の 「最大セッション オプションをユーザに対して設定する」を参照してください。 グループ設定を保存するには、Submit をクリックします。 詳細については、P.5-49 の「ユーザ グループ設定に対する変更の保存」を参照してください。 ステップ 6 AAA クライアント デバイスに、最大セッション数のチェックがイネーブルになっているアカウン ティングがあることを確認します。アカウンティングがイネーブルになっていない場合、最大セッ ション数は有効になりません。 ステップ 7 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。 使用割当量をユーザ グループに対して設定する (注) この機能が表示されない場合は、Interface Configuration > Advanced Options を選択します。次に、 Usage Quotas チェックボックスをオンにします。 次の手順では、グループのメンバーに使用割当量を定義します。セッションの割当量は、グループ 全体ではなく、グループ ユーザに個別に影響します。ある期間の使用割当量は、次の 2 つの方法で 設定できます。 • セッション継続時間の合計 • セッションの総数 グループに対して、Usage Quotas セクションで何も選択しない場合は、そのグループ ユーザに対し ては使用割当量は適用されません。ただし、個々のユーザに対して使用割当量を設定している場合 を除きます。 (注) Group Settings ページの Usage Quotas セクションには、使用状況の統計情報は表示されません。使 用状況の統計値は、個別ユーザの設定ページだけで利用できます。詳細については、P.6-14 の「User Usage Quotas に設定するオプション」を参照してください。 ユーザは、使用割当量を超えた場合、セッションを開始しようとすると ACS からアクセス拒否さ れます。あるセッション中に割当量が超過しても、ACS は、そのセッションの継続を許可します。 Cisco Secure ACS Solution Engine ユーザ ガイド 5-12 OL-14386-01-J 第5章 ユーザ グループ管理 基本ユーザ グループの設定 Group Settings ページからグループ ユーザすべての使用割当量カウンタをリセットできます。グルー プ全体に対する使用割当量カウンタをリセットする方法の詳細については、P.5-48 の「ユーザ グ ループの使用割当量カウンタのリセット」を参照してください。 ヒント 時間に基づいた割当量をサポートするためには、すべての AAA クライアント上でアカウンティン グ アップデート パケットをイネーブルにすることを推奨します。アップデート パケットがイネー ブルになっていない場合、割当量は、ユーザがログオフしたときにアップデートされます。ユーザ がネットワークへのアクセスに使用している AAA クライアントに障害が発生すると、割当量は アップデートされません。Integrated Services Digital Network(ISDN; サービス総合デジタル ネット ワーク)のような複数セッションの場合は、すべてのセッションが終了するまで、割当量はアップ デートされません。このため、最初のチャネルがユーザに割り当てられている量を使い切っても、 2 番目のチャネルは受け付けられることになります。 ユーザ グループに対して使用割当量を設定するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Group Setup をクリックします。 Group Setup Select ページが表示されます。 ステップ 2 Group リストでグループを選択し、Edit Settings をクリックします。 Group Settings ページの一番上にそのグループの名前が表示されます。 ステップ 3 セッションの継続時間に基づいてユーザ使用割当量を定義するには、次の手順を実行します。 a. Usage Quotas テーブルで、Limit each user of this group to x hours of online time per time unit チェッ クボックスをオンにします。 b. to x hours ボックスに、グループ ユーザに対する制限時間を入力します。 分を表すには、小数を使用します。たとえば、値 10.5 は 10 時間 30 分になります。 (注) to x hours ボックスには、最大で 5 文字まで入力できます。 c. 割当量の有効期間を次の中から選択します。 ステップ 4 • per Day:午前 12:01 から夜中の 12:00 まで。 • per Week:日曜の午前 12:01 から土曜の夜中の 12:00 まで。 • per Month:月の朔日(1 日)の午前 12:01 から月の末日の夜中の 12:00 まで。 • Total:継続時間数で指定され、終了時点は指定されていない。 セッション数に基づいてユーザの使用割当量を定義するには、次の手順を実行します。 a. Usage Quotas テーブルで、Limit each user of this group to x sessions チェックボックスをオンに します。 b. to x sessions ボックスに、ユーザに対して制限するセッション回数を入力します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 5-13 第5章 ユーザ グループ管理 基本ユーザ グループの設定 (注) to x sessions ボックスには、最大で 5 文字まで入力できます。 c. セッション割当量の有効期間を次の中から選択します。 ステップ 5 • per Day:午前 12:01 から夜中の 12:00 まで。 • per Week:日曜の午前 12:01 から土曜の夜中の 12:00 まで。 • per Month:月の朔日(1 日)の午前 12:01 から月の末日の夜中の 12:00 まで。 • Total:継続セッション数で指定され、終了時点は指定されていない。 グループ設定を保存するには、Submit をクリックします。 詳細については、P.5-49 の「ユーザ グループ設定に対する変更の保存」を参照してください。 ステップ 6 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。 Cisco Secure ACS Solution Engine ユーザ ガイド 5-14 OL-14386-01-J 第5章 ユーザ グループ管理 設定固有のユーザ グループ設定値 設定固有のユーザ グループ設定値 この項では、特定のネットワーク セキュリティ設定に該当する場合に限り実行する手順について説 明します。たとえば、トークン サーバを設定していない場合は、各グループに対してトークン カー ド設定を行う必要はありません。 (注) ネットワーク デバイスがベンダー固有のさまざまな RADIUS を使用するように設定されている場 合は、RADIUS(IETF)アトリビュートが使用可能です。これは、RADIUS(IETF)アトリビュー トがアトリビュートの基本セットであり、すべての RADIUS ベンダーにより RADIUS IETF 仕様ご とに使用されるためです。 これらの手順に対応する Web インターフェイスの内容はダイナミックであり、次の 2 つの要因に 基づいて表示されます。 注意 • 特定のプロトコル(RADIUS または TACACS+)をリストするには、Web インターフェイスの Network Configuration セクションの最低 1 つの AAA クライアント エントリがそのプロトコル を使用している必要がある。詳細については、P.3-10 の「AAA クライアントの設定」を参照し てください。 • グループ プロファイル ページに特定のプロトコル アトリビュートを表示するには、Web イン ターフェイスの Interface Configuration セクションで、それらのアトリビュートの表示を有効に しておく必要がある。詳細については、P.2-8 の「TACACS+ 設定オプションの表示」または P.2-9 の「RADIUS 設定オプションの表示」を参照してください。 4.0 で SRAC を使用している場合は、ユーザまたはグループ レベルでの DACL および RADIUS ア トリビュートのマージおよび上書きに関する問題に注意してください。RADIUS アトリビュートは 個々のユーザに割り当てないでください(他の方法がない場合にだけ使用します)。RADIUS アト リビュートは、グループまたは SRAC を使用して、ユーザのグループ レベルまたはプロファイル レベルに割り当てます。RAC の選択方法、ネットワーク プロファイルのセットアップで使用する 認可規則の詳細については、P.14-38 の「認可規則の設定」を参照してください。 ここでは、次の項目について説明します。 • イネーブル特権オプションをユーザ グループに対して設定する(P.5-16) • イネーブル特権オプションをユーザ グループに対して設定する(P.5-16) • ACS 内部データベースのパスワード エージングをイネーブルにする(P.5-18) • パスワード エージングを Windows データベースのユーザに対してイネーブルにする(P.5-23) • IP アドレス割り当て方式をユーザ グループに対して設定する(P.5-24) • ダウンロード可能 IP ACL をグループに割り当てる(P.5-25) • TACACS+ をユーザ グループに対して設定する(P.5-26) • シェル コマンド認可セットをユーザ グループに対して設定する(P.5-28) • PIX コマンド認可セットをユーザ グループに対して設定する(P.5-29) • デバイス管理コマンド認可をユーザ グループに対して設定する(P.5-31) • IETF RADIUS をユーザ グループに対して設定する(P.5-32) • Cisco IOS/PIX 6.0 RADIUS をユーザ グループに対して設定する(P.5-33) • Cisco Airespace RADIUS をユーザ グループに対して設定する(P.5-34) • Cisco Aironet RADIUS をユーザ グループに対して設定する(P.5-36) Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 5-15 第5章 ユーザ グループ管理 設定固有のユーザ グループ設定値 • Ascend RADIUS をユーザ グループに対して設定する(P.5-37) • VPN 3000/ASA/PIX v7.x+ RADIUS をユーザ グループに対して設定する(P.5-38) • Cisco VPN 5000 Concentrator RADIUS をユーザ グループに対して設定する(P.5-40) • Microsoft RADIUS をユーザ グループに対して設定する(P.5-41) • Nortel RADIUS をユーザ グループに対して設定する(P.5-42) • Juniper RADIUS をユーザ グループに対して設定する(P.5-43) • BBSM RADIUS をユーザ グループに対して設定する(P.5-46) • カスタム RADIUS VSA をユーザ グループに対して設定する(P.5-47) イネーブル特権オプションをユーザ グループに対して設定する (注) このセクションが表示されない場合は、Interface Configuration> TACACS+ (Cisco) を選択します。 Advanced Configuration Options テーブルのページの一番下で、Advanced TACACS+ features チェッ クボックスをオンにします。 次の手順では、グループ レベルの TACACS+ イネーブル パラメータを設定します。TACACS+ イ ネーブル オプションとしては、次の 3 つのオプションがあります。 • No Enable Privilege:(デフォルト)このユーザにはイネーブル特権を許可しません。 • Max Privilege for Any AAA Client:ユーザ グループの最大特権レベルが、このグループが認可 されている AAA クライアントすべてに対して選択されます。 • Define max Privilege on a per-network device group basis:NDG に対して最大特権レベルを定義 します。このオプションを使用するには、デバイス グループと対応する最大特権レベルのリス トを作成します。特権レベルについては、AAA クライアントのマニュアルを参照してください。 (注) この方法でレベルを定義する場合は、Interface Configuration でオプションを設定してお く必要があります。設定していない場合は、Interface Configuration > Advanced Settings を選択します。次に、Network Device Groups チェックボックスをオンにします。 NDG を使用している場合に、このオプションを使用すると、グループの各ユーザに個別に設定 しなくても、NDG をイネーブル レベル マッピング対応に設定できます。 ユーザ グループに対してイネーブル特権オプションを設定するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Group Setup をクリックします。 Group Setup Select ページが表示されます。 ステップ 2 Group リストでグループを選択し、Edit Settings をクリックします。 Group Settings ページの一番上にそのグループの名前が表示されます。 ステップ 3 ページの一番上の Jump To リストで、Enable Options を選択します。 Cisco Secure ACS Solution Engine ユーザ ガイド 5-16 OL-14386-01-J 第5章 ユーザ グループ管理 設定固有のユーザ グループ設定値 ステップ 4 次のいずれか 1 つを実行します。 • イネーブル特権をこのユーザ グループに対して許可しないようにするには、No Enable Privilege オプションを選択します。 • このグループが許可されている ACS がある場合は、最大特権レベルをこのユーザ グループに 対して設定します。次のいずれかを選択します。 − Max Privilege for Any Access Server オプション − リスト内の最大特権レベル • 次の手順を使用して、このユーザ グループの最大 NDG 特権レベルを定義します。 − Define max Privilege on a per-network device group basis オプションを選択します。 − NDG と、対応する特権レベルをリストで選択します。 − Add Association をクリックします。 結果:NDG と最大特権レベルの対応関係がテーブルに表示されます。 ステップ 5 グループ設定を保存するには、Submit をクリックします。 詳細については、P.5-49 の「ユーザ グループ設定に対する変更の保存」を参照してください。 ステップ 6 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。 トークン カードをユーザ グループに対して設定する (注) このセクションが表示されない場合は、トークン サーバを設定してください。次に、External User Databases> Database Configuration を選択します。次に、該当するトークン カード サーバを追加し ます。 次の手順では、トークンをキャッシュします。つまり、ユーザは 2 番目の One-Time Password(OTP; ワンタイム パスワード)を入力する必要はなく、2 番目の B チャネルを使用できます。 注意 このオプションは、ISDN 端末アダプタ専用のトークン キャッシングで使用します。このオプショ ンを実装する前に、トークン キャッシングおよび ISDN の概念を十分に理解しておいてください。 トークン キャッシングを使用すると、各チャネル接続にトークンを割り当てることなく、複数の B チャネルに接続できます。トークン カード設定は、選択しているグループ内の全ユーザに適用 されます。 トークン キャッシングのオプションは次のとおりです。 • Session:セッション全体のトークンをキャッシュするには、Session を選択します。このオプ ションによって、2 番目の B チャネルをサービスにダイナミックに使用したりサービスを停止 したりできます。 • Duration:Duration を選択して、トークンをキャッシュしておく継続時間(最初の認証時点か らの時間)を指定します。この継続時間を過ぎると、ユーザは 2 番目の B チャネルを使用でき なくなります。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 5-17 第5章 ユーザ グループ管理 設定固有のユーザ グループ設定値 • Session and Duration:Session と Duration の両方を選択して、セッションが継続時間より長く続 いた場合、2 番目の B チャネルを開くために新しいトークンが必要となるように設定できます。 セッション全体を通してトークンがキャッシュできるだけの十分に大きな値を入力します。 セッションが継続時間よりも長く続いた場合、2 番目の B チャネルを開くために新しいトーク ンが必要になります。 ユーザ グループに対してトークン カードの設定を行うには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Group Setup をクリックします。 Group Setup Select ページが表示されます。 ステップ 2 Group リストでグループを選択し、Edit Settings をクリックします。 Group Settings ページの一番上にそのグループの名前が表示されます。 ステップ 3 ページの一番上の Jump To リストで、Token Cards を選択します。 ステップ 4 セッション全体に対してトークンをキャッシュするには、Token Card Settings テーブルで Session を 選択します。 ステップ 5 指定継続時間(最初の認証時点からの時間)のトークンをキャッシュするには、Token Card Settings テーブルで次の手順を実行します。 a. Duration を選択します。 b. ボックスに継続時間の長さを入力します。 c. 時間の単位として、Seconds、Minutes、Hours のいずれかを選択します。 ステップ 6 グループ設定を保存するには、Submit をクリックします。 詳細については、ユーザ グループ設定に対する変更の保存(P.5-49)を参照してください。 ステップ 7 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。 ACS 内部データベースのパスワード エージングをイネーブルにする ACS のパスワード エージング機能では、次に示す条件が少なくとも 1 つ満たされたとき、ユーザ に対して強制的にそのパスワードを変更できます。 • 指定日数が経過した後(日数によるエージング規則) • 指定ログイン回数に達した後(使用回数によるエージング規則) • 新規ユーザが最初にログインしたとき(パスワード変更規則) Cisco Secure ACS Solution Engine ユーザ ガイド 5-18 OL-14386-01-J 第5章 ユーザ グループ管理 設定固有のユーザ グループ設定値 ACS がサポートする多様なパスワード エージング ACS は、次の 4 つのパスワード エージング方式をサポートしています。 • Protected Extensible Authentication Protocol (PEAP) and Extensible Authentication Protocol-Flexible Authentication via Secure Tunnelling (EAP-FAST) Windows Password Aging (PEAP および EAP-FAST Windows パスワード エージング):ユーザが Windows ユーザ データ ベース内にあり、EAP をサポートする Microsoft クライアント(Windows XP など)を使用して いる必要があります。このパスワード エージング方式の要件と設定については、P.5-23 の「パ スワード エージングを Windows データベースのユーザに対してイネーブルにする」を参照し てください。 • RADIUS-based Windows Password Aging(RADIUS ベースの Windows パスワード エージング) : ユーザが Windows ユーザ データベース内にあり、Microsoft-Challenge Handshake Authentication Protocol(MS-CHAP; マイクロソフト チャレンジ ハンドシェイク認証プロトコル)を使用した パスワード変更をサポートする RADIUS クライアント / サプリカントを使用している必要があ ります。このパスワード エージング方式の要件と設定については、P.5-23 の「パスワード エー ジングを Windows データベースのユーザに対してイネーブルにする」を参照してください。 • Password Aging for Device-hosted Sessions(デバイス ホストのセッション用パスワード エージ ング) :ユーザが ACS 内部データベース内にあり、AAA クライアントが TACACS+ を実行して おり、接続に Telnet が使用されている必要があります。デバイス ホストの Telnet セッション中 に、ユーザがパスワードを変更できるかどうかを制御できます。また、この機能を使用して変 更されたパスワードを ACS が伝搬するかどうかを制御できます。詳細については、P.7-5 の 「ローカル パスワードの管理」を参照してください。 • Password Aging for Transit Sessions(中継セッション用パスワード エージング) :ユーザが ACS 内部データベースに存在する必要があります。また、PPP ダイヤルアップ クライアントを使用 している必要があります。さらに、エンドユーザ クライアントに Cisco Authentication Agent (CAA)がインストールされている必要があります。 ヒント CAA ソフトウェアは http://www.cisco.com から入手可能です。 さらに、中継セッション用パスワード エージングを実行するには、AAA クライアントは、 RADIUS または TACACS+ を実行します。それに加えて、Cisco IOS リリース 11.2.7 以降を使用 している必要があり、また、ウォッチドッグ アカウンティング パケット(aaa accounting )に発信局の IP アドレスを付け new-info update(aaa アカウンティング新情報アップデート) て送信するように設定されている必要があります(ウォッチドッグ パケットは、セッション中 に周期的に送信される仮パケットです。セッションの終了を示す停止パケットが受信されない 場合に、おおよそのセッションの長さが計算できるようにします)。 この機能を使用して変更されたパスワードを ACS が伝搬するかどうかを制御できます。詳細に ついては、P.7-5 の「ローカル パスワードの管理」を参照してください。 ACS は、MS CHAP バージョン 1 および 2 で RADIUS プロトコルを使用するパスワード エージング をサポートしています。ACS は、RADIUS プロトコルを使用する Telnet 接続でのパスワード エー ジングはサポートしていません。 注意 RADIUS 接続を使用しているユーザが、パスワード エージングの警告期間中または猶予期間中、あ るいはその期間以後に、AAA クライアントに対して Telnet 接続を行おうとすると、パスワード変 更オプションは表示されずに、ユーザ アカウントは失効します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 5-19 第5章 ユーザ グループ管理 設定固有のユーザ グループ設定値 パスワード エージング機能の設定 この項では、デバイス ホスト セッション用パスワード エージングおよび中継セッション用パス ワード エージングの 2 方式について詳しく説明します。Windows パスワード エージング方式につ いては、P.5-23 の「パスワード エージングを Windows データベースのユーザに対してイネーブル にする」を参照してください。ローカル パスワードの確認オプションの設定については、P.7-5 の 「ローカル パスワードの管理」を参照してください。 (注) コールバック機能を使用している場合、パスワード エージング機能は正常に動作しません。コー ルバックを使用していると、ユーザはログイン時にパスワード エージング メッセージを受信でき ません。 ACS のパスワード エージング機能には、次のようなオプションがあります。 • Apply age-by-date rules:ACS が日数によってパスワード エージングを決定するように設定し ます。日数によるエージング規則には、次のような設定値があります。 − Active period:ユーザは、この日数の間は普通にログインできますが、この期間が経過す ると、パスワードの変更を求めるプロンプトが表示されます。たとえば、20 を入力すると、 ユーザは 20 日間は、パスワードの変更を求めるプロンプトが表示されることなく、パス ワードを使用できます。Active period のデフォルト値は 20 日です。 − Warning period:パスワード変更の通知期間の日数です。ユーザは既存のパスワードを使 用できますが、ACS がパスワードの変更が必要であることを示し、パスワードが失効する までの残りの日数が表示されます。たとえば、このボックスに 5 を入力し、Active period ボックスに 20 を入力すると、ユーザは 21 日目から 25 日目まで、パスワードを変更するよ うに通知されます。 − Grace period:ユーザの猶予期間の日数です。猶予期間中、ユーザは 1 回だけログインし て、パスワードを変更できます。Active period および Warning period フィールドで指定され ている日数が経過しても、既存のパスワードは 1 回だけ使用できます。その時にはダイア ログボックスが表示され、パスワードを変更しないとアカウントが使用できなくなること をユーザに警告し、ユーザがパスワードを変更するようプロンプトで指示します。前の例 に続けて、5 日の猶予期間を許可した場合、アクティブ期間中と警告期間中にログインし なかったユーザは、30 日目まで(30 日目も含む)そのパスワードの変更が許されます。し かし、猶予期間として 5 日が設定されている場合でも、パスワードが猶予期間の状態に入っ ているときのパスワードの変更操作は 1 回しか認められていません。CiscoSecure ACS で は、「ラスト チャンス」を示す警告は 1 回しか表示されません。ユーザがパスワードを変 更しなかった場合でも、最後の 1 回のログインは許可されますが、パスワードが失効する ので、次回の認証は拒否されます。エントリは、Failed-Attempts ログにロギングされます。 アカウントを再度有効にするには、管理者に連絡する必要があります。 (注) • すべてのパスワードは、設定された日時ではなく、入力された日の夜中の 12 時に失効しま す。 Apply age-by-uses rules:ログイン回数によってパスワード エージングを決定するように ACS を設定します。使用回数によるエージング規則には、次のような設定値があります。 − Issue warning after x logins:ログイン回数がこの値に達すると、ACS はパスワードの変更 をプロンプトで指示します。たとえば、10 を入力すると、パスワード変更のプロンプトが 表示されずに、ユーザは 10 回までログインできます。11 回目のログイン時に、ユーザは パスワードの変更をプロンプトで要求されます。 Cisco Secure ACS Solution Engine ユーザ ガイド 5-20 OL-14386-01-J 第5章 ユーザ グループ管理 設定固有のユーザ グループ設定値 ヒント パスワードを変更せずに何回でもログインできるようにするには、-1 を入力します。 − Require change after x logins:ログイン回数がこの値に達した後、パスワードの変更が絶対 に必要であることがユーザに通知されます。この回数が 12 に設定されている場合、11 回 目と 12 回目にログインしようとしたときに、パスワードの変更を要求するプロンプトが ユーザに対して表示されます。13 回目にログインしようとしたときに、パスワードの変更 が絶対に必要であることを指示するプロンプトが表示されます。その時点で、ユーザがパ スワードを変更しない場合、そのアカウントは失効し、ログインできなくなります。この 値には、Issue warning after x login の回数よりも大きい値を指定する必要があります。 ヒント パスワードを変更せずに何回でもログインできるようにするには、-1 を入力します。 • Apply password change rule:新規ユーザが初めてログインしたときに、そのパスワードの変更 を強制します。 • Generate greetings for successful logins:ユーザが CAA クライアントを介してログインに成功し たときに、必ずグリーティング メッセージが表示されます。このメッセージには、このユーザ アカウント固有の最新のパスワード情報が含まれています。 パスワード エージング規則は、相互に排他的ではありません。つまり、オンになっているチェック ボックスそれぞれに対して規則が適用されます。たとえば、ユーザに対して、20 日ごとおよび 10 回のログインごとにパスワードを変更するように強制し、それに応じた適切な警告と猶予を与える ことができます。 どのオプションも選択されない場合は、パスワードが失効することはありません。 パスワード エージング パラメータは、ユーザ レベルに対応する設定を持つ他の多くのパラメータ とは異なり、グループ レベルでのみ設定されます。 ユーザは、自分のパスワードを変更せずに猶予期間が経過して認証に失敗すると、Failed Attempts ログにロギングされます。そのアカウントは失効し、Accounts Disabled リストに表示されます。 始める前に • 使用している AAA クライアントが、TACACS+ プロトコルまたは RADIUS プロトコルを実行 しているかどうか確認します(TACACS+ では、デバイス ホストのセッション用パスワード エージングだけがサポートされています)。 • 使用している AAA クライアントは、TACACS+ または RADIUS で、同じプロトコルを使用し て、認証およびアカウンティングを実行するようにセットアップします。 • パスワード確認オプションを設定したかどうかを確認します。詳細については、P.7-5 の「ロー カル パスワードの管理」を参照してください。 • 使用している AAA クライアントが、Cisco IOS リリース 11.2.7 以降を使用し、ウォッチドッグ アカウンティング パケット(aaa accounting new-info update(aaa アカウンティング新情報 アップデート))に発信局の IP アドレスを付けて送信するように設定します。 ユーザ グループに対してパスワード エージング規則を設定するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Group Setup をクリックします。 Group Setup Select ページが表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 5-21 第5章 ユーザ グループ管理 設定固有のユーザ グループ設定値 ステップ 2 Group リストでグループを選択し、Edit Settings をクリックします。 Group Settings ページの一番上にそのグループの名前が表示されます。 ステップ 3 ページの一番上の Jump To リストで、Password Aging を選択します。 Password Aging Rules テーブルが表示されます。 ステップ 4 日数によるパスワード エージングを設定するには、Apply age-by-date rules チェックボックスをオ ンにしてから、必要に応じて、次のオプションに日数を入力します。 • Active period • Warning period • Grace period (注) ステップ 5 各フィールドには、最大で 5 文字まで入力できます。 使用回数によるパスワード エージングを設定するには、Apply age-by-uses rules チェックボックス をオンにしてから、必要に応じて、次の各オプションにログイン回数を入力します。 • Issue warning after x logins • Require change after x logins (注) 各フィールドには、最大で 5 文字まで入力できます。 ステップ 6 管理者がパスワードを変更した後、ユーザが最初にログインしたときに、パスワードを強制的に変 更させるには、Apply password change rule チェックボックスをオンにします。 ステップ 7 グリーティング メッセージを表示するようにするには、Generate greetings for successful logins チェックボックスをオンにします。 ステップ 8 グループ設定を保存するには、Submit をクリックします。 詳細については、P.5-49 の「ユーザ グループ設定に対する変更の保存」を参照してください。 ステップ 9 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。 Cisco Secure ACS Solution Engine ユーザ ガイド 5-22 OL-14386-01-J 第5章 ユーザ グループ管理 設定固有のユーザ グループ設定値 パスワード エージングを Windows データベースのユーザに対してイネーブルにする ACS は、Windows データベース内のユーザ用に 2 つのタイプのパスワード エージングをサポート しています。どちらのタイプの Windows パスワード エージング方式も、他の ACS パスワード エー ジング方式とは関連のない、まったく別のものです。ACS 内部データベース内のユーザを制御する パスワード エージング方式の要件や設定については、P.5-18 の「ACS 内部データベースのパスワー ド エージングをイネーブルにする」を参照してください。 (注) Windows パスワード エージングと ACS の中継セッション用パスワード エージングは、ユーザがこ の 2 つのデータベースからそれぞれ認証されるという条件があれば、両方を同時に実行できます。 Windows データベース用のパスワード エージングのタイプを次に示します。 • RADIUS ベースのパスワード エージング:RADIUS ベースのパスワード エージングでは、 RADIUS AAA プロトコルを利用してパスワード変更メッセージを送受信します。RADIUS ベー スの Windows パスワード エージング方式の実装要件は次のとおりです。 − ACS と AAA クライアントの間の通信には、RADIUS を使用すること。 − AAA クライアントは、MS CHAP 認証に加えて、MS CHAP パスワード エージングもサポー トすること。 − ユーザが Windows ユーザ データベース内にあること。 − ユーザが Windows RADIUS クライアントを使用しており、サーバが MS-CHAP を使用した パスワード変更をサポートしていること。 − External User Databases セクション内の Windows configuration で、MS CHAP バージョン 1 ま たは MS CHAP バージョン 2、あるいはその両方をイネーブルにすること。 ヒント • パスワード変更のために MS CHAP をイネーブルにする方法については、P.12-24 の 「Windows 外部ユーザ データベースの設定」を参照してください。System Configuration で、MS CHAP をイネーブルにする方法については、P.9-24 の「グローバル認証のセット アップ」を参照してください。 PEAP パスワード エージング:PEAP パスワード エージングでは、PEAP(EAP-GTC)または PEAP(EAP-MSCHAPv2)認証プロトコルを利用してパスワード変更メッセージを送受信しま す。PEAP Windows パスワード エージング方式の実装要件は次のとおりです。 − AAA クライアントが EAP をサポートしていること。 − ユーザが Windows ユーザ データベース内にあること。 − ユーザが Microsoft PEAP クライアント、たとえば Windows XP を使用していること。 − System Configuration セクションの Global Authentication Configuration ページで、PEAP をイ ネーブルにすること。 ヒント System Configuration で PEAP をイネーブルにする方法については、P.9-24 の「グローバル 認証のセットアップ」を参照してください。 − External User Databases セクションの Windows Authentication Configuration ページで、PEAP パスワード変更をイネーブルにすること。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 5-23 第5章 ユーザ グループ管理 設定固有のユーザ グループ設定値 ヒント • PEAP パスワード変更をイネーブルにする方法については、P.12-6 の「Windows ユーザ データベース」を参照してください。 EAP-FAST パスワード エージング:パスワード エージングが EAP-FAST のフェーズ 0 で行わ れた場合、EAP-MSCHAPv2 を利用してパスワード変更メッセージを送受信します。パスワー ド エージングが EAP-FAST のフェーズ 2 で行われた場合、Extensible Authentication Protocol Generic Token Card(EAP-GTC)を 利 用 し て パ ス ワ ー ド 変 更 メ ッ セ ー ジ を 送 受 信 し ま す。 EAP-FAST Windows パスワード エージング方式の実装要件は次のとおりです。 − AAA クライアントが EAP をサポートしていること。 − ユーザが Windows ユーザ データベース内にあること。 − ユーザが EAP-FAST をサポートするクライアントを使用していること。 − System Configuration セクションの Global Authentication Configuration ページで、EAP-FAST をイネーブルにすること。 ヒント System Configuration で EAP-FAST をイネーブルにする方法については、P.9-24 の「グロー バル認証のセットアップ」を参照してください。 − External User Databases セクションの Windows Authentication Configuration ページで、 EAP-FAST パスワード変更をイネーブルにすること。 ヒント EAP-FAST パスワード変更をイネーブルにする方法については、P.12-6 の「Windows ユーザ データ ベース」を参照してください。 ユーザは、自分の Windows アカウントがリモート ドメイン(つまり、ACS がその中で動作してい ないドメイン)に常駐している場合、そのドメイン名を与えた場合に限り、Windows ベース パス ワード エージングを使用できます。 Windows パスワード エージングの方式と機能は、どの Microsoft Windows オペレーティング システ ムを使用しているか、および Active Directory(AD)または Security Accounts Manager(SAM)のど ちらを採用しているかによって異なります。Windows ユーザ データベース内のユーザに対してパス ワード エージングを設定することは、Windows でセキュリティ ポリシーを設定するというさらに 大きなタスクの一部に過ぎません。Windows 手順の包括的な説明については、使用している Windows システムのマニュアルを参照してください。 IP アドレス割り当て方式をユーザ グループに対して設定する この手順を実行して、ACS がグループ内のユーザに IP アドレスを割り当てる方法を設定してくだ さい。次の 4 つの方法があります。 • No IP address assignment:このグループには IP アドレスを割り当てません。 • Assigned by dialup client:ダイヤルアップ クライアント ネットワーク上で TCP/IP 用に設定さ れている IP アドレスを使用します。 • Assigned from AAA Client pool:IP アドレスは AAA クライアント上で割り当てられている IP アドレス プールによって割り当てられます。 • Assigned from AAA server pool:IP アドレスは AAA サーバ上で割り当てられている IP アドレ ス プールによって割り当てられます。 Cisco Secure ACS Solution Engine ユーザ ガイド 5-24 OL-14386-01-J 第5章 ユーザ グループ管理 設定固有のユーザ グループ設定値 ユーザ グループに対して IP アドレスの割り当て方式を設定するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Group Setup をクリックします。 Group Setup Select ページが表示されます。 ステップ 2 Group リストでグループを選択し、Edit Settings をクリックします。 Group Settings ページの一番上にそのグループの名前が表示されます。 ステップ 3 ページの一番上の Jump To リストで、IP Address Assignment を選択します。 ステップ 4 IP Assignment テーブルで、次のいずれかを選択します。 • No IP address assignment。 • Assigned by dialup client。 • Assigned from AAA Client pool。次に、AAA クライアント IP プール名を入力します。 • Assigned from AAA pool。次に、Available Pools リストで AAA サーバ IP プール名を選択してか ら、-->(右矢印ボタン)をクリックして、選択した名前を Selected Pools リストに移動します。 (注) Selected Pools リストに複数のプールがある場合、このグループ内のユーザは、リスト で最初に表示された使用可能なプールに割り当てられます。 ヒント ステップ 5 リスト内のプールの位置を移動するには、プール名をクリックしてから、プールが希望 する位置に移動するまで Up または Down をクリックします。 グループ設定を保存するには、Submit をクリックします。 詳細については、P.5-49 の「ユーザ グループ設定に対する変更の保存」を参照してください。 ステップ 6 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。 ダウンロード可能 IP ACL をグループに割り当てる ダウンロード可能 ACL 機能を使用して、グループ レベルで IP ACL を割り当てることができます。 (注) 割り当てる前に、1 つ以上の IP ACL を設定しておく必要があります。ACS Web インターフェイス の Shared Profile Components セクションを使用してダウンロード可能 IP ACL を追加する方法につ いては、P.4-19 の「ダウンロード可能 IP ACL の追加」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 5-25 第5章 ユーザ グループ管理 設定固有のユーザ グループ設定値 ヒント Downloadable ACLs テーブルは、イネーブルになっていない場合は表示されません。Downloadable ACLs テーブルをイネーブルにするには、Interface Configuration > Advanced Options を選択します。 次に、Group-Level Downloadable ACLs チェックボックスをオンにします。 グループにダウンロード可能 IP ACL を割り当てるには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Group Setup をクリックします。 Group Setup Select ページが表示されます。 ステップ 2 Group リストでグループを選択し、Edit Settings をクリックします。 Group Settings ページの一番上にそのグループの名前が表示されます。 ステップ 3 ページの一番上の Jump To リストで、Downloadable ACLs を選択します。 ステップ 4 Downloadable ACLs セクションの下にある Assign IP ACL チェックボックスをオンにします。 ステップ 5 リストから IP ACL を選択します。 ステップ 6 グループ設定を保存するには、Submit をクリックします。 詳細については、P.5-49 の「ユーザ グループ設定に対する変更の保存」を参照してください。 ステップ 7 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。 TACACS+ をユーザ グループに対して設定する グループに属している各ユーザの認可に適用するサービス パラメータまたはプロトコル パラメー タを設定および使用するには、この手順を実行します。Shell Command Authorization Set に対する設 定方法については、P.5-28 の「シェル コマンド認可セットをユーザ グループに対して設定する」を 参照してください。 (注) 追加サービスまたはプロトコルを表示または非表示にするには、Interface Configuration> TACACS+ (Cisco IOS) を選択してから、必要に応じて、グループ カラムの項目を選択するか、ク リアします。 TACACS+ をユーザ グループに対して設定するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Group Setup をクリックします。 Group Setup Select ページが表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド 5-26 OL-14386-01-J 第5章 ユーザ グループ管理 設定固有のユーザ グループ設定値 ステップ 2 Group リストでグループを選択し、Edit Settings をクリックします。 Group Settings ページの一番上にそのグループの名前が表示されます。 ステップ 3 ページの一番上の Jump To リストで、TACACS+ を選択します。 TACACS+ Settings テーブル セクションが表示されます。 ステップ 4 TACACS+ Settings テーブルで、グループに対して認可するサービスおよびプロトコルを設定するに は、次の手順を実行します。 a. サービスまたはプロトコルのチェックボックス(たとえば PPP IP や ARAP)を 1 つ以上オンに します。 b. ステップ a で選択した各サービスまたはプロトコルの下で、必要に応じてアトリビュートを選 択し、次に、対応する値を入力して、そのサービスまたはプロトコルの認可内容を詳細に定義 します。 特定のサービスについてカスタム アトリビュートを使用するには、そのサービスの Custom attributes チェックボックスをオンにし、次にチェックボックスの下にあるボックスにアトリ ビュートまたは値を指定する必要があります。 アトリビュートの詳細については、付録 A「TACACS+ の AV ペア」または使用している AAA クライアントのマニュアルを参照してください。 ヒント ACL および IP アドレス プールを指定するには、ACL またはプールの名前を AAA クライ アントで定義されているとおりに入力します(ACL は Cisco IOS コマンドのリストであ り、ネットワーク上の他のデバイスやユーザへのアクセス、またはそれらのデバイスや ユーザからのアクセスを制限するために使用されます)。 (注) デフォルト設定(AAA クライアント上に定義されている)を使用するには、アトリビュー ト値のボックスをブランクのままにします。 (注) ACL を定義し、ダウンロードできます。Interface Configuration> TACACS+ (Cisco IOS) を ク リ ッ ク し て か ら、Display a window for each service selected in which you can enter customized TACACS+ attributes を選択します。ACL を定義できるボックスが、各サービス またはプロトコルの下に開きます。 ステップ 5 特にリストされてディセーブルになっている場合を除き、すべてのサービスを許可できるようにす るた め に、Checking this option will PERMIT all UNKNOWN Services テ ー ブ ル の 下 に あ る Default (Undefined) Services チェックボックスをオンにします。 注意 Default (Undefined) Services オプションは高度な機能であるため、セキュリティの意味を熟知してい る管理者だけが使用するようにしてください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 5-27 第5章 ユーザ グループ管理 設定固有のユーザ グループ設定値 ステップ 6 グループ設定を保存するには、Submit をクリックします。 詳細については、P.5-49 の「ユーザ グループ設定に対する変更の保存」を参照してください。 ステップ 7 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。 シェル コマンド認可セットをユーザ グループに対して設定する この手順では、グループに対してシェル コマンド認可セット パラメータを指定します。次の 4 つ のオプションがあります。 (注) • None:シェル コマンドは認可しません。 • Assign a Shell Command Authorization Set for any network device:1 つのシェル コマンド認可 セットが割り当てられ、すべてのネットワーク デバイスに適用されます。 • Assign a Shell Command Authorization Set on a per Network Device Group Basis:特定のシェル コマンド認可セットを特定の NDG に関連付けます。 • Per Group Command Authorization:特定の Cisco IOS コマンドと引数をグループ レベルで許可 または拒否できます。 この機能では、すでにシェル コマンド認可セットを設定してあることが必要です。詳細な手順に ついては、P.4-34 の「コマンド認可セットの追加」を参照してください。 ユーザ グループのシェル コマンド認可セット パラメータを指定するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Group Setup をクリックします。 Group Setup Select ページが表示されます。 ステップ 2 Group リストでグループを選択し、Edit Settings をクリックします。 Group Settings ページの一番上にそのグループの名前が表示されます。 ステップ 3 ページの一番上の Jump To リストで、TACACS+ を選択します。 TACACS+ Settings テーブル セクションが表示されます。 ステップ 4 垂直スクロールバーを使用して、Shell Command Authorization Set 機能領域にスクロールします。 ステップ 5 シェル コマンド認可セットを適用しない場合は、None オプションを選択します(またはデフォル トをそのまま使用します)。 ステップ 6 設定済みの任意のネットワーク デバイスで、特定のシェル コマンド認可セットが有効になるよう に割り当てるには、次の手順を実行します。 a. Assign a Shell Command Authorization Set for any network device オプションを選択します。 b. そのオプションの下で、このグループに適用するシェル コマンド認可セットを選択します。 Cisco Secure ACS Solution Engine ユーザ ガイド 5-28 OL-14386-01-J 第5章 ユーザ グループ管理 設定固有のユーザ グループ設定値 ステップ 7 特定のシェル コマンド認可セットが、特定の NDG で有効になるように関連付けを作成するには、 関連ごとに、次の手順を実行します。 a. Assign a Shell Command Authorization Set on a per Network Device Group Basis オプションを選 択します。 b. Device Group と対応する Command Set を選択します。 ヒント すべての Device Groups に対して有効になる Command Set は、その Device Groups が異 なるように割り当てられていなければ、そのコマンド セットを <default> デバイス グルー プに割り当てることで、選択できます。 c. Add Association をクリックします。 関連付けられた NDG とシェル コマンド認可セットが、テーブルに表示されます。 ステップ 8 特定の Cisco IOS コマンドと引数がグループ レベルで許可または拒否されるように定義するには、 次の手順を実行します。 a. Per Group Command Authorization オプションを選択します。 b. Unmatched Cisco IOS commands で、Permit または Deny を選択します。 Permit を選択すると、ユーザは、特にリストに載っていないコマンドでもすべて発行できるよ うになります。Deny を選択すると、ユーザはリストに載っているコマンドだけを発行できます。 c. 許可または拒否する特定のコマンドをリストに載せるには、Command チェックボックスをオ ンにしてから、コマンドの名前を入力し、標準の Permit または Deny 構文を使用してその引数 を定義した後、リストに指定されていない引数を許可するか拒否するかを選択します。 注意 これは強力で高度な機能であるため、Cisco IOS コマンドを熟知している管理者だけが使用するよ うにしてください。構文を正しく入力することは、管理者の責任です。ACS が使用している、コ マンド引数でのパターン マッチングについては、P.4-34 の「パターン マッチングについて」を参 照してください。 ヒント 複数のコマンドを入力するには、1 つのコマンドを指定するごとに、Submit をクリックする必要が あります。入力済みのボックスの下に、新しいコマンド入力ボックスが表示されます。 PIX コマンド認可セットをユーザ グループに対して設定する この手順では、ユーザ グループに対して PIX コマンド認可セット パラメータを指定します。次の 3 つのオプションがあります。 • None:PIX コマンドは認可しません。 • Assign a PIX Command Authorization Set for any network device:1 つの PIX コマンド認可セッ トが割り当てられ、すべてのネットワーク デバイスに適用されます。 • Assign a PIX Command Authorization Set on a per Network Device Group Basis:特定の PIX コ マンド認可セットを特定の NDG に適用します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 5-29 第5章 ユーザ グループ管理 設定固有のユーザ グループ設定値 始める前に • AAA クライアントが、セキュリティ コントロール プロトコルとして TACACS+ を使用するよ うに設定されていることを確認します。 • Interface Configuration セクションの TACACS+ (Cisco) ページにある Group カラムで PIX Shell (pixShell) オプションが選択されていることを確認します。 • 1 つ以上の PIX コマンド認可セットを事前に設定してあることを確認します。詳細な手順につ いては、P.4-34 の「コマンド認可セットの追加」を参照してください。 ユーザ グループの PIX コマンド認可セット パラメータを指定するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Group Setup をクリックします。 Group Setup Select ページが表示されます。 ステップ 2 Group リストでグループを選択し、Edit Settings をクリックします。 Group Settings ページの一番上にそのグループの名前が表示されます。 ステップ 3 ページの一番上の Jump To リストで、TACACS+ を選択します。 TACACS+ Settings テーブル セクションが表示されます。 ステップ 4 TACACS+ Settings テーブル内の PIX Command Authorization Set 機能領域までスクロール ダウンしま す。 ステップ 5 PIX コマンド認可セットを適用しない場合は、None オプションを選択します(またはデフォルトを そのまま使用します)。 ステップ 6 設定済みの任意のネットワーク デバイスで、特定の PIX コマンド認可セットが有効になるように 割り当てるには、次の手順を実行します。 a. Assign a PIX Command Authorization Set for any network device オプションを選択します。 b. そのオプションの下で、このユーザ グループに適用する PIX コマンド認可セットを選択しま す。 ステップ 7 特定の PIX コマンド認可セットが、特定の NDG で有効になるように関連付けを作成するには、関 連ごとに、次の手順を実行します。 a. Assign a PIX Command Authorization Set on a per Network Device Group Basis オプションを選 択します。 b. Device Group と、関連付ける Command Set を選択します。 c. Add Association をクリックします。 関連付けられた NDG と PIX コマンド認可セットが、テーブルに表示されます。 (注) 既存の PIX コマンド認可セット関連付けを削除または編集するには、リストで関連付 けを選択し、Remove Association をクリックしてください。 Cisco Secure ACS Solution Engine ユーザ ガイド 5-30 OL-14386-01-J 第5章 ユーザ グループ管理 設定固有のユーザ グループ設定値 デバイス管理コマンド認可をユーザ グループに対して設定する この手順を使用して、グループに対してデバイス管理コマンド認可セット パラメータを指定してく ださい。デバイス管理コマンド認可セットは、ACS を使用して認可するように設定されている Cisco デバイス管理アプリケーションにおけるタスクの認可をサポートしています。次の 3 つのオプショ ンがあります。 (注) • None:該当する Cisco デバイス管理アプリケーションで発行されたコマンドに対する認可は実 行しません。 • Assign a device-management application for any network device:該当するデバイス管理アプリケー ションに 1 つのコマンド認可セットが割り当てられ、あらゆるネットワーク デバイスでの管理 タスクに適用されます。 • Assign a device-management application on a per Network Device Group Basis:該当するデバイス 管理アプリケーションのコマンド認可セットを特定の NDG に適用できます。コマンド認可 セットは、その NDG に属するネットワーク デバイスでのすべての管理タスクに適用されます。 この機能を利用するには、該当する Cisco デバイス管理アプリケーション用のコマンド認可セット を設定する必要があります。詳細な手順については、P.4-34 の「コマンド認可セットの追加」を参 照してください。 デバイス管理アプリケーションのコマンド認可をユーザ グループに対して指定するには、次の手順 を実行します。 ステップ 1 ナビゲーション バーの Group Setup をクリックします。 Group Setup Select ページが表示されます。 ステップ 2 Group リストでグループを選択し、Edit Settings をクリックします。 Group Settings ページの一番上にそのグループの名前が表示されます。 ステップ 3 ページの一番上の Jump To リストで、TACACS+ を選択します。 TACACS+ Settings テーブル セクションが表示されます。 ステップ 4 垂直スクロールバーを使用して、device-management application 機能領域にスクロールします。ここ で、device-management application は、該当する Cisco デバイス管理アプリケーションの名前です。 ステップ 5 該当するデバイス管理アプリケーションにコマンド認可セットを適用しない場合は、None オプ ションを選択します。 ステップ 6 任意のネットワーク デバイスでのデバイス管理アプリケーションのアクションに対して、特定のコ マンド認可セットが有効になるように割り当てるには、次の手順を実行します。 a. Assign a device-management application for any network device オプションを選択します。 b. 次に、そのオプションの下にあるリストで、このグループに適用するコマンド認可セットを選 択します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 5-31 第5章 ユーザ グループ管理 設定固有のユーザ グループ設定値 ステップ 7 特定のコマンド認可セットが、特定の NDG でのデバイス管理アプリケーションのアクションに対 して有効になるように関連付けを作成するには、関連ごとに、次の手順を実行します。 a. Assign a device-management application on a per Network Device Group Basis オプションを選択し ます。 b. Device Group と対応する device-management application を選択します。 c. Add Association をクリックします。 関連付けられた NDG とコマンド認可セットが、テーブルに表示されます。 IETF RADIUS をユーザ グループに対して設定する IETF RADIUS 設定パラメータは、次の条件が満たされる場合に限り表示されます。次のように設定 しておく必要があります。 • Network Configuration で、AAA クライアントが RADIUS プロトコルのいずれかを使用する。 • Web インターフェイスの Interface Configuration セクションの RADIUS (IETF) ページで、グルー プ レベルの RADIUS アトリビュートがイネーブルになっている。 RADIUS アトリビュートは、ACS から要求側の AAA クライアントに各ユーザ用のプロファイルと して送信されます。これらのアトリビュートを表示または非表示にする方法については、P.2-9 の 「RADIUS 設定オプションの表示」を参照してください。RADIUS アトリビュートの一覧表と説明 については、付録 B「RADIUS アトリビュート」を参照してください。AAA クライアントが RADIUS を使用する方法については、AAA クライアントのベンダーのマニュアルを参照してください。 現在のグループの各ユーザに対する認可として適用される IETF RADIUS アトリビュートを設定す るには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Group Setup をクリックします。 Group Setup Select ページが表示されます。 ステップ 2 Group リストでグループを選択し、Edit Settings をクリックします。 Group Settings ページの一番上にそのグループの名前が表示されます。 ステップ 3 ページの一番上の Jump To リストで、RADIUS (IETF) を選択します。 ステップ 4 各 IETF RADIUS アトリビュートに対して、現在のグループを認可する必要があります。アトリ ビュートの隣にあるチェックボックスをオンにしてから、そのフィールドまたはその次のフィール ドのアトリビュートに対する認可を定義します。 ステップ 5 グループ設定を保存してすぐに適用するには、Submit + Apply をクリックします。 ヒント グループ設定を保存して後で適用するには、Submit をクリックします。変更を実装する 準備ができたら、System Configuration > Service Control を選択します。次に、Restart を 選択します。 詳細については、P.5-49 の「ユーザ グループ設定に対する変更の保存」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド 5-32 OL-14386-01-J 第5章 ユーザ グループ管理 設定固有のユーザ グループ設定値 ステップ 6 ステップ 7 ACS がサポートしている RADIUS ネットワーク デバイス ベンダーに対して、Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)を設定するには、次の該当する項を参照してくださ い。 • Cisco IOS/PIX 6.0 RADIUS をユーザ グループに対して設定する(P.5-33) • Cisco Airespace RADIUS をユーザ グループに対して設定する(P.5-34) • Cisco Aironet RADIUS をユーザ グループに対して設定する(P.5-36) • Ascend RADIUS をユーザ グループに対して設定する(P.5-37) • VPN 3000/ASA/PIX v7.x+ RADIUS をユーザ グループに対して設定する(P.5-38) • Cisco VPN 5000 Concentrator RADIUS をユーザ グループに対して設定する(P.5-40) • Microsoft RADIUS をユーザ グループに対して設定する(P.5-41) • Nortel RADIUS をユーザ グループに対して設定する(P.5-42) • Juniper RADIUS をユーザ グループに対して設定する(P.5-43) • BBSM RADIUS をユーザ グループに対して設定する(P.5-46) 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。 Cisco IOS/PIX 6.0 RADIUS をユーザ グループに対して設定する Cisco IOS/PIX 6.x RADIUS パラメータは、次の条件が満たされる場合に限り表示されます。次のよ うに設定しておく必要があります。 • Network Configuration で、AAA クライアントが RADIUS (Cisco IOS/PIX 6.x) を使用する。 • Group-level RADIUS (Cisco IOS/PIX 6.x) アトリビュートが Interface Configuration の RADIUS (Cisco IOS/PIX 6.x) でイネーブルになっている。 Cisco IOS/PIX 6.x RADIUS は Cisco VSA だけを表示します。IETF RADIUS アトリビュートと Cisco IOS/PIX 6.x RADIUS アトリビュートの両方を設定する必要があります。 (注) Cisco IOS/PIX 6.x RADIUS アトリビュートを表示または非表示にする方法については、P.2-11 の 「RADIUS(ベンダー固有)オプションの表示の指定」を参照してください。特定のグループに対 する認可として適用される VSA は、それに関連付けられている AAA クライアントを削除したり置 き換えたりしても保持されています。しかし、この(ベンダー)タイプの AAA クライアントが設 定されていない場合は、その VSA 設定はグループ設定インターフェイスには表示されません。 現在のグループの各ユーザに対する認可として適用される Cisco IOS/PIX 6.x RADIUS アトリビュー トを設定してイネーブルにするには、次の手順を実行します。 ステップ 1 Cisco IOS/PIX 6.x RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが正しく 設定されていることを確認する必要があります。IETF RADIUS アトリビュートの設定の詳細につい ては、P.5-32 の「IETF RADIUS をユーザ グループに対して設定する」を参照してください。 ステップ 2 [009\001] cisco-av-pair アトリビュートを使用して認可を指定する場合、アトリビュートの隣にあ るチェックボックスをオンにして、テキスト ボックスにアトリビュートと値(AV)のペアを入力 します。各アトリビュート値のペアは、Enter キーを押して区切ります。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 5-33 第5章 ユーザ グループ管理 設定固有のユーザ グループ設定値 たとえば、ACS が Infected のシステム ポスチャ トークンを割り当てる先の Network Admission Control(NAC; ネットワーク アドミッション コントロール)クライアントへの認可の割り当てに現 在のグループが使用されている場合、url-redirect、posture-token、status-query-timeout の各 アトリビュートは次のように値を指定します。 url-redirect=http://10.1.1.1 posture-token=Infected status-query-timeout=150 ステップ 3 他の Cisco IOS/PIX 6.x RADIUS アトリビュートを使用する場合、対応するチェックボックスをオン にして、隣接するテキスト ボックスに必要な値を指定します。 ステップ 4 グループ設定を保存するには、Submit をクリックします。 詳細については、P.5-49 の「ユーザ グループ設定に対する変更の保存」を参照してください。 ステップ 5 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。 高度な設定オプション 認証済みのポート マッピングに対して cisco-av-pair をイネーブルにするには、Advanced Configuration Options セクションを使用します。 cisco-av-pair アトリビュートをイネーブルにすると、 次の文字列が Cisco IOS/PIX デバイスに送信 されます。 aaa:supplicant_name=username_attribute <User-Name アトリビュートの内容 > (注) cisco-av-pair に aaa:supplicant_name= という値がユーザ レベルまたはグループ レベル、または 両方のレベルで設定されていると、Enable Authenticated Port cisco-av-pair チェックボックスは無 視されます。 レイヤ 2 802.1X の認証済みポート マッピングの cisco-av-pair アトリビュートは、Cat OS を実行 している Catalyst 6000 デバイスでサポートされています。 Cisco Airespace RADIUS をユーザ グループに対して設定する Cisco Airespace RADIUS パラメータは、次の条件を満たす場合に限り表示されます。次のように設 定しておく必要があります。 • Network Configuration で、AAA クライアントが RADIUS(Cisco Airespace)を使用する。 • グループ レベルの RADIUS (Cisco Airespace) アトリビュートが、Interface Configuration > RADIUS (Cisco-Airespace) でイネーブルになっている。 Cisco Airespace RADIUS は、Cisco VSA だけを表示します。Interface Configuration には、IETF RADIUS アトリビュートと Cisco IOS/PIX 6.x RADIUS アトリビュートが表示されます。これらの固有のアト リビュートは手動で設定する必要があります。 Cisco Secure ACS Solution Engine ユーザ ガイド 5-34 OL-14386-01-J 第5章 ユーザ グループ管理 設定固有のユーザ グループ設定値 (注) Cisco Airespace RADIUS アトリビュートを表示または非表示にする方法については、P.2-11 の 「RADIUS(ベンダー固有)オプションの表示の指定」を参照してください。特定のグループに対 する認可として適用される VSA は、それに関連付けられている AAA クライアントを削除したり置 き換えたりしても保持されています。しかし、この(ベンダー)タイプの AAA クライアントが設 定されていない場合は、その VSA 設定はグループ設定インターフェイスには表示されません。 現在のグループの各ユーザに対する認可として適用される Cisco Airespace RADIUS アトリビュート を設定してイネーブルにするには、次の手順を実行します。 ステップ 1 IETF RADIUS アトリビュートが正しく設定されていることを確認します。IETF RADIUS アトリ ビュートの設定の詳細については、P.5-32 の「IETF RADIUS をユーザ グループに対して設定する」 を参照してください。 ACS では IETF の部分的なサポートはできないため、Cisco Airespace デバイスを(Network Config に)追加すると、Cisco IOS デバイスの追加と同様、自動的に IETF アトリビュートがイネーブルに なります。 ステップ 2 ナビゲーション バーの Group Setup をクリックします。 Group Setup Select ページが表示されます。 ステップ 3 Group リストでグループを選択し、Edit Settings をクリックします。 Group Settings ページの一番上にそのグループの名前が表示されます。 ステップ 4 ステップ 5 ステップ 6 ページの一番上の Jump To リストで、RADIUS (Cisco Airespace) を選択します。 Cisco Airespace RADIUS Attributes テーブルで、アトリビュートの隣にあるチェックボックスをオン にして、グループに対して認可するアトリビュートを設定します。その隣にあるフィールドで、必 ずアトリビュートに対する認可を定義してください。アトリビュートの詳細については、付録 B 「RADIUS アトリビュート」または使用している AAA クライアントのマニュアルを参照してくださ い。 グループ設定を保存するには、Submit をクリックします。 詳細については、P.5-49 の「ユーザ グループ設定に対する変更の保存」を参照してください。 ステップ 7 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 5-35 第5章 ユーザ グループ管理 設定固有のユーザ グループ設定値 Cisco Aironet RADIUS をユーザ グループに対して設定する 単一の Cisco Aironet RADIUS ベンダー固有アトリビュート(VSA) 、つまり Cisco-Aironet-Session-Timeout は、バーチャル VSA です。これは、RADIUS (Cisco Aironet) を使用す る AAA クライアントからの RADIUS 要求に応答する際に、ACS が使用する IETF RADIUS Session-Timeout アトリビュート(27)の特別実装です。したがって、これを使用すると、無線ア クセス デバイスと有線アクセス デバイス経由でネットワークにアクセスするユーザに対して、そ れぞれ異なるタイムアウト値を指定できます。WLAN 接続のタイムアウト値を指定すると、WLAN 接続(通常は分単位で計測)に対して標準のタイムアウト値(通常は時間単位で計測)を使用しな ければならない場合に起こり得る矛盾が回避されます。 ヒント ACS 3.3 では、Cisco-Aironet-Session-Timeout をイネーブルにして設定するのは、グループの一 部のメンバーまたはすべてのメンバーが、有線アクセス デバイスまたは無線アクセス デバイス経 由で接続する可能性がある場合だけです。グループのメンバーが常に Cisco Aironet Access Point(AP) 経由で接続する場合、または常に有線アクセス デバイス経由で接続する場合、 Cisco-Aironet-Session-Timeout を使用する必要はありませんが、代わりに RADIUS (IETF) アトリ ビュート 27、Session-Timeout を設定する必要があります。ACS 4.0 およびそれ以降のバージョンで は、ネットワーク アクセス プロファイルを使用して、無線固有のポリシーを作成するため、Aironet タイムアウト VSA は廃止されました。既存の設定に対してはこの VSA がサポートされているため、 設定が無効になることはありません。RAC はこの VSA をサポートしていません。 たとえば、あるユーザ グループに対して Cisco-Aironet-Session-Timeout を 600 秒(10 分)に、IETF RADIUS Session-Timeout を 3 時間に設定するとします。このグループのメンバーが VPN コンセン トレータ経由で接続すると、ACS はタイムアウト値として 3 時間を使用します。一方、このユーザ が Cisco Aironet AP 経由で接続すると、ACS は、Aironet AP からの認証要求に応答し、IETF RADIUS Session-Timeout アトリビュートに 600 秒を送信します。このように、Cisco-Aironet-Session-Timeout アトリビュートが設定されていれば、エンドユーザ クライアントが有線アクセス デバイスと Cisco Aironet AP のどちらであるかに応じて、異なるタイムアウト値を送信できます。 Cisco-Aironet-Session-Timeout VSA は、次の条件を満たす場合に限り、Group Setup ページに表示さ れます。次のように設定しておく必要があります。 (注) • Network Configuration で、AAA クライアントが RADIUS (Cisco Aironet) を使用する。 • グループ レベルの RADIUS (Cisco Aironet) アトリビュートが、Interface Configuration > RADIUS (Cisco Aironet) でイネーブルになっている。 Cisco Aironet RADIUS VSA を表示または非表示にする方法については、P.2-11 の「RADIUS(ベン ダー固有)オプションの表示の指定」を参照してください。特定のグループに対する認可として適 用される VSA は、それに関連付けられている AAA クライアントを削除したり置き換えたりしても 保持されています。しかし、RADIUS(Cisco Aironet)を使用するように設定されている AAA クラ イアントがない場合は、その VSA 設定はグループ設定インターフェイスには表示されません。 現在のグループの各ユーザに対する認可として適用される Cisco Aironet RADIUS アトリビュートを 設定してイネーブルにするには、次の手順を実行します。 ステップ 1 IETF RADIUS アトリビュートが正しく設定されていることを確認します。IETF RADIUS アトリ ビュートの設定の詳細については、P.5-32 の「IETF RADIUS をユーザ グループに対して設定する」 を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド 5-36 OL-14386-01-J 第5章 ユーザ グループ管理 設定固有のユーザ グループ設定値 ステップ 2 ナビゲーション バーの Group Setup をクリックします。 Group Setup Select ページが表示されます。 ステップ 3 Group リストでグループを選択し、Edit Settings をクリックします。 Group Settings ページの一番上にそのグループの名前が表示されます。 ステップ 4 ページの一番上の Jump To リストで、RADIUS (Cisco Aironet) を選択します。 ステップ 5 Cisco Aironet RADIUS Attributes テーブルで、[5842\001] Cisco-Aironet-Session-Timeout チェックボッ クスをオンにします。 ステップ 6 [5842\001] Cisco-Aironet-Session-Timeout ボックスに、セッション タイムアウト値を秒単位で入力 します。この値は、AAA クライアントが RADIUS(Cisco Aironet)認証オプションを使用するよう に Network Configuration で設定されている場合に、ACS によって IETF RADIUS Session-Timeout (27)アトリビュートとして送信されます。推奨値は 600 秒です。 IETF RADIUS Session-Timeout (27) アトリビュートの詳細については、付録 B「RADIUS アトリ ビュート」または使用している AAA クライアントのマニュアルを参照してください。 ステップ 7 グループ設定を保存するには、Submit をクリックします。 詳細については、P.5-49 の「ユーザ グループ設定に対する変更の保存」を参照してください。 ステップ 8 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。 Ascend RADIUS をユーザ グループに対して設定する Ascend RADIUS パラメータは、次の条件が満たされる場合に限り表示されます。次のように設定し ておく必要があります。 • AAA クライアントが RADIUS (Ascend) または RADIUS (Cisco IOS/PIX) を使用するように Network Configuration で設定されている。 • Interface Configuration の RADIUS (Ascend) 内の Group-level RADIUS (Ascend) アトリビュートが イネーブルになっている。 RADIUS (Ascend) は、Ascend 独自のアトリビュートを表します。IETF RADIUS アトリビュートと Ascend RADIUS アトリビュートを設定する必要があります。このような独自アトリビュートを選択 すると、IETF アトリビュートが無効になります。 RADIUS のデフォルトのアトリビュート設定は、Ascend-Remote-Addr です。 (注) Ascend RADIUS アトリビュートを表示または非表示にする方法については、P.2-11 の「RADIUS (ベンダー固有)オプションの表示の指定」を参照してください。特定のグループに対する認可と して適用される VSA は、それに関連付けられている AAA クライアントを削除したり置き換えたり しても保持されています。しかし、この(ベンダー)タイプの AAA クライアントが設定されてい ない場合は、その VSA 設定はグループ設定インターフェイスには表示されません。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 5-37 第5章 ユーザ グループ管理 設定固有のユーザ グループ設定値 現在のグループの各ユーザに対する認可として適用される Ascend RADIUS アトリビュートを設定 してイネーブルにするには、次の手順を実行します。 ステップ 1 IETF RADIUS アトリビュートが正しく設定されていることを確認します。IETF RADIUS アトリ ビュートの設定の詳細については、P.5-32 の「IETF RADIUS をユーザ グループに対して設定する」 を参照してください。 ステップ 2 ナビゲーション バーの Group Setup をクリックします。 Group Setup Select ページが表示されます。 ステップ 3 Group リストでグループを選択し、Edit Settings をクリックします。 Group Settings ページの一番上にそのグループの名前が表示されます。 ステップ 4 ページの一番上の Jump To リストで、RADIUS (Ascend) を選択します。 ステップ 5 Ascend RADIUS Attributes テーブルで、アトリビュートの隣にあるチェックボックスをオンにして、 グループに対して認可するアトリビュートを決定します。その隣にあるフィールドで、必ずアトリ ビュートに対する認可を定義してください。アトリビュートの詳細については、付録 B「RADIUS アトリビュート」または使用している AAA クライアントのマニュアルを参照してください。 ステップ 6 グループ設定を保存するには、Submit をクリックします。 詳細については、P.5-49 の「ユーザ グループ設定に対する変更の保存」を参照してください。 ステップ 7 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。 VPN 3000/ASA/PIX v7.x+ RADIUS をユーザ グループに対して設定する Cisco VPN 3000 コンセントレータ経由でネットワークにアクセスするユーザの Microsoft Point-to-Point Encryption(MPPE)設定値を制御するには、たとえば、CVPN3000-PPTP-Encryption (VSA 20) アトリビュートと CVPN3000-L2TP-Encryption (VSA 21) アトリビュートを使用します。 CVPN3000-PPTP-Encryption (VSA 20) と CVPN3000-L2TP-Encryption (VSA 21) の設定値は、 Microsoft MPPE RADIUS 設定値よりも優先されます。 このどちらかのアトリビュートがイネーブルになっている場合、ACS は、送信 RADIUS (Microsoft) アトリビュートに送信する値を決定して、RADIUS (Cisco VPN 3000) アトリビュートと一緒に送信 します。この動作は、RADIUS (Microsoft) アトリビュートが ACS Web インターフェイスでイネー ブルになっているかどうかということや、これらのアトリビュートの設定内容には依存しません。 VPN 3000/ASA/PIX v7.x+ RADIUS アトリビュートの設定値は、次の条件が満たされる場合に限り表 示されます。次のように設定しておく必要があります。 • Network Configuration で、AAA クライアントが RADIUS (Cisco VPN 3000/ASA/PIX v7.x+) を使 用する。 • Interface Configuration セクションの RADIUS (VPN 3000/ASA/PIX v7.x+) ページの Group-level RADIUS (Cisco VPN 3000/ASA/PIX v7.x+) アトリビュートがイネーブルになっている。 Cisco Secure ACS Solution Engine ユーザ ガイド 5-38 OL-14386-01-J 第5章 ユーザ グループ管理 設定固有のユーザ グループ設定値 Cisco VPN 3000/ASA/PIX v7.x+ RADIUS は、Cisco VPN 3000/ASA/PIX v7.x+ VSA だけを表示します。 IETF RADIUS アトリビュートと VPN 3000/ASA/PIX v7.x+ RADIUS アトリビュートの両方を設定す る必要があります。 (注) VPN 3000/ASA/PIX v7.x+ RADIUS アトリビュートを表示または非表示にする方法については、 P.2-11 の「RADIUS(ベンダー固有)オプションの表示の指定」を参照してください。特定のグルー プに対する認可として適用される VSA は、それに関連付けられている AAA クライアントを削除し たり置き換えたりしても保持されています。しかし、この(ベンダー)タイプの AAA クライアン トが設定されていない場合は、その VSA 設定はグループ設定インターフェイスには表示されませ ん。 現在のグループの各ユーザに対する認可として適用される VPN 3000/ASA/PIX v7.x+VPN 3000/ASA/PIX v7.x+ RADIUS アトリビュートを設定してイネーブルにするには、次の手順を実行し ます。 ステップ 1 IETF RADIUS アトリビュートが正しく設定されていることを確認します。 IETF RADIUS アトリビュートの設定の詳細については、P.5-32 の「IETF RADIUS をユーザ グルー プに対して設定する」を参照してください。 ステップ 2 ナビゲーション バーの Group Setup をクリックします。 Group Setup Select ページが表示されます。 ステップ 3 Group リストでグループを選択し、Edit Settings をクリックします。 Group Settings ページの一番上にそのグループの名前が表示されます。 ステップ 4 ページの一番上の Jump To リストで、RADIUS (Cisco VPN 3000/ASA/PIX v7.x+) を選択します。 ステップ 5 Cisco VPN 3000/ASA/PIX v7.x+ RADIUS Attributes テーブルで、アトリビュートの隣にあるチェック ボックスをオンにして、グループに対して認可するアトリビュートを決定します。その隣にある フィールドで、必ずアトリビュートに対する認可を詳細に定義してください。 アトリビュートの詳細については、付録 B「RADIUS アトリビュート」または RADIUS を使用して いるネットワーク デバイスのマニュアルを参照してください。 ステップ 6 グループ設定を保存するには、Submit をクリックします。 詳細については、P.5-49 の「ユーザ グループ設定に対する変更の保存」を参照してください。 ステップ 7 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 5-39 第5章 ユーザ グループ管理 設定固有のユーザ グループ設定値 Cisco VPN 5000 Concentrator RADIUS をユーザ グループに対して設定する Cisco VPN 5000 Concentrator RADIUS アトリビュートの設定値は、次の条件が満たされる場合に限 り表示されます。次のように設定しておく必要があります。 • Network Configuration でネットワーク デバイスが RADIUS (Cisco VPN 5000) を使用する。 • Interface Configuration セクション の RADIUS (Cisco VPN 5000) ページの Group-level RADIUS (Cisco VPN 5000) アトリビュートがイネーブルになっている。 Cisco VPN 5000 Concentrator RADIUS は Cisco VPN 5000 Concentrator VSA だけを表します。IETF RADIUS アトリビュートと Cisco VPN 5000 Concentrator RADIUS アトリビュートを設定する必要が あります。 (注) Cisco VPN 5000 Concentrator RADIUS アトリビュートを表示または非表示にする方法については、 P.2-11 の「RADIUS(ベンダー固有)オプションの表示の指定」を参照してください。特定のグルー プに対する認可として適用される VSA は、それに関連付けられている AAA クライアントを削除し たり置き換えたりしても保持されています。しかし、この(ベンダー)タイプの AAA クライアン トが設定されていない場合は、その VSA 設定はグループ設定インターフェイスには表示されませ ん。 現在のグループの各ユーザに対する認可として適用される Cisco VPN 5000 Concentrator RADIUS ア トリビュートを設定してイネーブルにするには、次の手順を実行します。 ステップ 1 IETF RADIUS アトリビュートが正しく設定されていることを確認します。 IETF RADIUS アトリビュートの設定の詳細については、P.5-32 の「IETF RADIUS をユーザ グルー プに対して設定する」を参照してください。 ステップ 2 ナビゲーション バーの Group Setup をクリックします。 Group Setup Select ページが表示されます。 ステップ 3 Group リストでグループを選択し、Edit Settings をクリックします。 Group Settings ページの一番上にそのグループの名前が表示されます。 ステップ 4 ページの一番上の Jump To リストで、RADIUS (Cisco VPN 5000) を選択します。 ステップ 5 Cisco VPN 5000 Concentrator RADIUS Attributes テーブルで、アトリビュートの隣にあるチェックボッ クスをオンにして、グループに対して認可するアトリビュートを選択します。各アトリビュートに 対する認可をその隣にあるフィールドで、詳細に定義します。 アトリビュートの詳細については、付録 B「RADIUS アトリビュート」または RADIUS を使用して いるネットワーク デバイスのマニュアルを参照してください。 ステップ 6 グループ設定を保存するには、Submit をクリックします。 詳細については、P.5-49 の「ユーザ グループ設定に対する変更の保存」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド 5-40 OL-14386-01-J 第5章 ユーザ グループ管理 設定固有のユーザ グループ設定値 ステップ 7 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。 Microsoft RADIUS をユーザ グループに対して設定する Microsoft RADIUS は、MPPE をサポートする VSA を提供します。これは、PPP リンクを暗号化し ます。このような PPP 接続は、ダイヤルイン回線または VPN トンネルを経由します。 Cisco VPN 3000 シリーズのコンセントレータ経由でネットワークにアクセスするユーザの Microsoft MPPE 設定値を制御するには、たとえば、CVPN3000-PPTP-Encryption (VSA 20) アトリビュートと CVPN3000-L2TP-Encryption (VSA 21) アトリビュートを使用します。CVPN3000-PPTP-Encryption (VSA 20) と CVPN3000-L2TP-Encryption (VSA 21) の設定値は、Microsoft MPPE RADIUS 設定値より も優先されます。このどちらかのアトリビュートがイネーブルになっている場合、ACS は、送信 RADIUS (Microsoft) アトリビュートに送信する値を決定して、RADIUS (Cisco VPN 3000/ASA/PIX v7.x+) アトリビュートと一緒に送信します。この動作は、RADIUS (Microsoft) アトリビュートが ACS Web インターフェイスでイネーブルになっているかどうかということや、これらのアトリビュート の設定内容には依存しません。 Microsoft RADIUS アトリビュートの設定値は、次の条件が満たされる場合に限り表示されます。次 のように設定しておく必要があります。 • Microsoft RADIUS VSA をサポートしている RADIUS プロトコルを使用するネットワーク デバ イスが、Network Configuration で設定されている。 • Group-level Microsoft RADIUS アトリビュートが Interface Configuration セクション の RADIUS (Microsoft) ページでイネーブルになっている。 次の ACS RADIUS プロトコルは、Microsoft RADIUS VSA をサポートします。 • Cisco IOS/PIX 6.0 • Cisco VPN 3000/ASA/PIX v7.x+ • Ascend • Cisco Airespace Microsoft RADIUS は Microsoft VSA だけを表します。IETF RADIUS アトリビュートと Microsoft RADIUS アトリビュートを設定する必要があります。 (注) Microsoft RADIUS アトリビュートを表示または非表示にする方法については、P.2-11 の「RADIUS (ベンダー固有)オプションの表示の指定」を参照してください。特定のグループに対する認可と して適用される VSA は、それに関連付けられている AAA クライアントを削除したり置き換えたり しても保持されています。しかし、この(ベンダー)タイプの AAA クライアントが設定されてい ない場合は、その VSA 設定はグループ設定インターフェイスには表示されません。 現在のグループの各ユーザに対する認可として適用される Microsoft RADIUS アトリビュートを設 定してイネーブルにするには、次の手順を実行します。 ステップ 1 IETF RADIUS アトリビュートが正しく設定されていることを確認します。 IETF RADIUS アトリビュートの設定の詳細については、P.5-32 の「IETF RADIUS をユーザ グルー プに対して設定する」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 5-41 第5章 ユーザ グループ管理 設定固有のユーザ グループ設定値 ステップ 2 ナビゲーション バーの Group Setup をクリックします。 Group Setup Select ページが表示されます。 ステップ 3 Group リストでグループを選択し、Edit Settings をクリックします。 Group Settings ページの一番上にそのグループの名前が表示されます。 ステップ 4 ステップ 5 ページの一番上の Jump To リストで、RADIUS (Microsoft) を選択します。 Microsoft RADIUS Attributes テーブルで、アトリビュートの隣にあるチェックボックスをオンにし て、グループに対して認可するアトリビュートを指定します。必要に応じて、さらに隣のフィール ドで、そのアトリビュートに対する認可を定義します。アトリビュートの詳細については、付録 B 「RADIUS アトリビュート」または RADIUS を使用しているネットワーク デバイスのマニュアルを 参照してください。 (注) ステップ 6 MS-CHAP-MPPE-Keys アトリビュート値は ACS によって自動生成されます。Web インター フェイスで設定する値はありません。 グループ設定を保存するには、Submit をクリックします。 詳細については、P.5-49 の「ユーザ グループ設定に対する変更の保存」を参照してください。 ステップ 7 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。 Nortel RADIUS をユーザ グループに対して設定する Nortel RADIUS アトリビュートの設定値は、次の条件が満たされる場合に限り表示されます。次の ように設定しておく必要があります。 • Nortel RADIUS VSA をサポートしている RADIUS プロトコルを使用するネットワーク デバイ スが、Network Configuration で設定されている。 • Interface Configuration セクション の RADIUS (Nortel) ページの Group-level Nortel RADIUS アト リビュートがイネーブルになっている。 Microsoft RADIUS は Nortel VSA だけを表します。IETF RADIUS アトリビュートと Nortel RADIUS アトリビュートの両方を設定する必要があります。 (注) Nortel RADIUS アトリビュートを表示または非表示にする方法については、P.2-11 の「RADIUS(ベ ンダー固有)オプションの表示の指定」を参照してください。特定のグループに対する認可として 適用される VSA は、それに関連付けられている AAA クライアントを削除したり置き換えたりして も保持されています。しかし、この(ベンダー)タイプの AAA クライアントが設定されていない 場合は、その VSA 設定はグループ設定インターフェイスには表示されません。 現在のグループの各ユーザに対する認可として適用される Nortel RADIUS アトリビュートを設定し てイネーブルにするには、次の手順を実行します。 Cisco Secure ACS Solution Engine ユーザ ガイド 5-42 OL-14386-01-J 第5章 ユーザ グループ管理 設定固有のユーザ グループ設定値 ステップ 1 IETF RADIUS アトリビュートが正しく設定されていることを確認します。 IETF RADIUS アトリビュートの設定の詳細については、P.5-32 の「IETF RADIUS をユーザ グルー プに対して設定する」を参照してください。 ステップ 2 ナビゲーション バーの Group Setup をクリックします。 Group Setup Select ページが表示されます。 ステップ 3 Group リストでグループを選択し、Edit Settings をクリックします。 Group Settings ページの一番上にそのグループの名前が表示されます。 ステップ 4 ステップ 5 ページの一番上の Jump To リストで、RADIUS (Nortel) を選択します。 Nortel RADIUS Attributes テーブルで、アトリビュートの隣にあるチェックボックスをオンにして、 グループに対して認可するアトリビュートを指定します。必要に応じて、さらに隣のフィールドで、 そのアトリビュートに対する認可を定義します。アトリビュートの詳細については、付録 B 「RADIUS アトリビュート」または RADIUS を使用しているネットワーク デバイスのマニュアルを 参照してください。 (注) ステップ 6 MS-CHAP-MPPE-Keys アトリビュート値は ACS によって自動生成されます。Web インター フェイスで設定する値はありません。 グループ設定を保存するには、Submit をクリックします。 詳細については、P.5-49 の「ユーザ グループ設定に対する変更の保存」を参照してください。 ステップ 7 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。 Juniper RADIUS をユーザ グループに対して設定する Juniper RADIUS は Juniper VSA だけを表します。IETF RADIUS アトリビュートと Juniper RADIUS アトリビュートを設定する必要があります。 (注) Juniper RADIUS アトリビュートを表示または非表示にする方法については、P.2-11 の「RADIUS (ベンダー固有)オプションの表示の指定」を参照してください。特定のグループに対する認可と して適用される VSA は、それに関連付けられている AAA クライアントを削除したり置き換えたり しても保持されています。しかし、この(ベンダー)タイプの AAA クライアントが設定されてい ない場合は、その VSA 設定はグループ設定インターフェイスには表示されません。 現在のグループの各ユーザに対する認可として適用される Juniper RADIUS アトリビュートを設定 してイネーブルにするには、次の手順を実行します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 5-43 第5章 ユーザ グループ管理 設定固有のユーザ グループ設定値 ステップ 1 IETF RADIUS アトリビュートが正しく設定されていることを確認します。 IETF RADIUS アトリビュートの設定の詳細については、P.5-32 の「IETF RADIUS をユーザ グルー プに対して設定する」を参照してください。 ステップ 2 ナビゲーション バーの Group Setup をクリックします。 Group Setup Select ページが表示されます。 ステップ 3 Group リストでグループを選択し、Edit Settings をクリックします。 Group Settings ページの一番上にそのグループの名前が表示されます。 ステップ 4 ステップ 5 ページの一番上の Jump To リストで、RADIUS (Juniper) を選択します。 Juniper RADIUS Attributes テーブルで、アトリビュートの隣にあるチェックボックスをオンにして、 グループに対して認可するアトリビュートを指定します。必要に応じて、さらに隣のフィールドで、 そのアトリビュートに対する認可を定義します。アトリビュートの詳細については、付録 B 「RADIUS アトリビュート」または RADIUS を使用しているネットワーク デバイスのマニュアルを 参照してください。 (注) ステップ 6 MS-CHAP-MPPE-Keys アトリビュート値は ACS によって自動生成されます。Web インター フェイスで設定する値はありません。 グループ設定を保存するには、Submit をクリックします。 詳細については、P.5-49 の「ユーザ グループ設定に対する変更の保存」を参照してください。 ステップ 7 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。 3COMUSR RADIUS をユーザ グループに対して設定する 3COMUSR RADIUS は 3COMUSR VSA だけを表します。 IETF RADIUS アトリビュートと 3COMUSR RADIUS アトリビュートを設定する必要があります。 3COMUSR VSA には 32 ビット拡張 Vendor-Type フィールドがあり、長さのフィールドがないとい う点で、3COMUSR VSA の形式は他の VSA とは異なります。 (注) 3Com/USR VSA は、HiperARC カードだけでなくこれらの VSA を使用するすべてのデバイスに使 用する必要があります。 Cisco Secure ACS Solution Engine ユーザ ガイド 5-44 OL-14386-01-J 第5章 ユーザ グループ管理 設定固有のユーザ グループ設定値 3COMUSR RADIUS アトリビュートを表示または非表示にする方法については、P.2-11 の「RADIUS (ベンダー固有)オプションの表示の指定」を参照してください。特定のグループに対する認可と して適用される VSA は、それに関連付けられている AAA クライアントを削除したり置き換えたり しても保持されています。しかし、この(ベンダー)タイプの AAA クライアントが設定されてい ない場合は、その VSA 設定はグループ設定インターフェイスには表示されません。 現在のグループの各ユーザに対する認可として適用される 3COMUSR RADIUS アトリビュートを 設定してイネーブルにするには、次の手順を実行します。 ステップ 1 IETF RADIUS アトリビュートが正しく設定されていることを確認します。 IETF RADIUS アトリビュートの設定の詳細については、P.5-32 の「IETF RADIUS をユーザ グルー プに対して設定する」を参照してください。 ステップ 2 ナビゲーション バーの Group Setup をクリックします。 Group Setup Select ページが表示されます。 ステップ 3 Group リストでグループを選択し、Edit Settings をクリックします。 Group Settings ページの一番上にそのグループの名前が表示されます。 ステップ 4 ステップ 5 ページの一番上の Jump To リストで、RADIUS (3COMUSR) を選択します。 3COMUSR RADIUS Attributes テーブルで、アトリビュートの隣にあるチェックボックスをオンにし て、グループに対して認可するアトリビュートを指定します。必要に応じて、さらに隣のフィール ドで、そのアトリビュートに対する認可を定義します。アトリビュートの詳細については、付録 B 「RADIUS アトリビュート」または RADIUS を使用しているネットワーク デバイスのマニュアルを 参照してください。 (注) ステップ 6 MS-CHAP-MPPE-Keys アトリビュート値は ACS によって自動生成されます。Web インター フェイスで設定する値はありません。 グループ設定を保存するには、Submit をクリックします。 詳細については、P.5-49 の「ユーザ グループ設定に対する変更の保存」を参照してください。 ステップ 7 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 5-45 第5章 ユーザ グループ管理 設定固有のユーザ グループ設定値 BBSM RADIUS をユーザ グループに対して設定する BBSM RADIUS は BBSM RADIUS VSA だけを表します。IETF RADIUS アトリビュートと BBSM RADIUS アトリビュートを設定する必要があります。 (注) BBSM RADIUS アトリビュートを表示または非表示にする方法については、P.2-11 の「RADIUS(ベ ンダー固有)オプションの表示の指定」を参照してください。特定のグループに対する認可として 適用される VSA は、それに関連付けられている AAA クライアントを削除したり置き換えたりして も保持されています。しかし、この(ベンダー)タイプの AAA クライアントが設定されていない 場合は、その VSA 設定はグループ設定インターフェイスには表示されません。 現在のグループの各ユーザに対する認可として適用される BBSM RADIUS アトリビュートを設定 してイネーブルにするには、次の手順を実行します。 ステップ 1 IETF RADIUS アトリビュートが正しく設定されていることを確認します。 IETF RADIUS アトリビュートの設定の詳細については、P.5-32 の「IETF RADIUS をユーザ グルー プに対して設定する」を参照してください。 ステップ 2 ナビゲーション バーの Group Setup をクリックします。 Group Setup Select ページが表示されます。 ステップ 3 Group リストでグループを選択し、Edit Settings をクリックします。 Group Settings ページの一番上にそのグループの名前が表示されます。 ステップ 4 ステップ 5 ページの一番上の Jump To リストで、RADIUS (BBSM) を選択します。 BBSM RADIUS Attributes テーブルで、アトリビュートの隣にあるチェックボックスをオンにして、 グループに対して認可するアトリビュートを指定します。必要に応じて、さらに隣のフィールドで、 そのアトリビュートに対する認可を定義します。アトリビュートの詳細については、付録 B 「RADIUS アトリビュート」または RADIUS を使用しているネットワーク デバイスのマニュアルを 参照してください。 (注) ステップ 6 MS-CHAP-MPPE-Keys アトリビュート値は ACS によって自動生成されます。Web インター フェイスで設定する値はありません。 グループ設定を保存するには、Submit をクリックします。 詳細については、P.5-49 の「ユーザ グループ設定に対する変更の保存」を参照してください。 ステップ 7 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。 Cisco Secure ACS Solution Engine ユーザ ガイド 5-46 OL-14386-01-J 第5章 ユーザ グループ管理 設定固有のユーザ グループ設定値 カスタム RADIUS VSA をユーザ グループに対して設定する ユーザ定義のカスタム Radius VSA の設定値は、次の条件がすべて満たされる場合に限り表示され ます。 • カスタム RADIUS VSA を定義および設定してある(ユーザ定義の RADIUS VSA の作成につい ては、P.8-25 の「AAA クライアントのアクションの作成、読み取り、アップデート、および削 除」を参照してください)。 • カスタム VSA をサポートする RADIUS プロトコルを使用する ネットワーク デバイスが、 Network Configuration で設定されている。 • Interface Configuration セクション の RADIUS (Name) ページの Group-level custom RADIUS アト リビュートがイネーブルになっている。 IETF RADIUS アトリビュートと カスタム RADIUS アトリビュートを設定する必要があります。 現在のグループの各ユーザに対する認可として適用されるカスタム RADIUS アトリビュートを設 定してイネーブルにするには、次の手順を実行します。 ステップ 1 IETF RADIUS アトリビュートが正しく設定されていることを確認します。 IETF RADIUS アトリビュートの設定の詳細については、P.5-32 の「IETF RADIUS をユーザ グルー プに対して設定する」を参照してください。 ステップ 2 ナビゲーション バーの Group Setup をクリックします。 Group Setup Select ページが表示されます。 ステップ 3 Group リストでグループを選択し、Edit Settings をクリックします。 Group Settings ページの一番上にそのグループの名前が表示されます。 ステップ 4 ページの一番上の Jump To リストで、RADIUS (custom name) を選択します。 ステップ 5 RADIUS (custom name) Attributes テーブルで、アトリビュートの隣にあるチェックボックスをオン にして、グループに対して認可するアトリビュートを指定します。必要に応じて、さらに隣のフィー ルドで、そのアトリビュートに対する認可を定義します。アトリビュートの詳細については、付 録 B「RADIUS アトリビュート」または RADIUS を使用しているネットワーク デバイスのマニュア ルを参照してください。 (注) ステップ 6 MS-CHAP-MPPE-Keys アトリビュート値は ACS によって自動生成されます。Web インター フェイスで設定する値はありません。 グループ設定を保存するには、Submit をクリックします。 詳細については、P.5-49 の「ユーザ グループ設定に対する変更の保存」を参照してください。 ステップ 7 他のグループ設定を続ける場合は、必要に応じて、この章の手順を実行します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 5-47 第5章 ユーザ グループ管理 グループ設定の管理 グループ設定の管理 この項では、Group Setup セクションを使用して、さまざまな管理タスクを実行する方法について 説明します。 ここでは、次の項目について説明します。 • ユーザ グループ内のユーザのリスト表示(P.5-48) • ユーザ グループの使用割当量カウンタのリセット(P.5-48) • ユーザ グループの名前の変更(P.5-49) • ユーザ グループ設定に対する変更の保存(P.5-49) ユーザ グループ内のユーザのリスト表示 指定したグループのユーザすべてをリスト表示するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Group Setup をクリックします。 Group Setup Select ページが表示されます。 ステップ 2 Group リストでグループを選択します。 ステップ 3 Users in Group をクリックします。 選択した特定のグループの User List ページが表示領域に開きます。 ステップ 4 ユーザ アカウントを開く(ユーザの表示、修正、削除を行う)には、User List 内でユーザの名前を クリックします。 選択した特定のユーザ アカウントの User Setup ページが表示されます。 ユーザ グループの使用割当量カウンタのリセット グループの全メンバーに対して、使用割当量カウンタをリセットできます。これは、使用割当量を 超える前でも超えた後でも可能です。 グループの全メンバーに対して使用割当量カウンタをリセットするには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Group Setup をクリックします。 Group Setup Select ページが表示されます。 ステップ 2 Group リストでグループを選択し、Edit Settings をクリックします。 ステップ 3 Usage Quotas セクションで、On submit reset all usage counters for all users of this group チェックボッ クスをオンにします。 Cisco Secure ACS Solution Engine ユーザ ガイド 5-48 OL-14386-01-J 第5章 ユーザ グループ管理 グループ設定の管理 ステップ 4 ブラウザ ページの下部にある Submit をクリックします。 グループの全ユーザの使用割当量カウンタがリセットされます。Group Setup Select ページが表示さ れます。 ユーザ グループの名前の変更 ユーザ グループの名前を変更するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Group Setup をクリックします。 Group Setup Select ページが表示されます。 ステップ 2 Group リストでグループを選択します。 ステップ 3 Rename Group をクリックします。 The Renaming Group: Group Name ページが表示されます。 ステップ 4 Group フィールドに新しい名前を入力します。グループ名に山カッコ(< >)を使用することはで きません。 ステップ 5 Submit をクリックします。 (注) グループは、リスト内の同じ位置に留まります。既存のグループの番号が、この新しいグ ループ名に関連付けられます。データベース インポート ユーティリティなど一部のユー ティリティでは、グループに関連した番号を使用します。 Select ページが、新しいグループ名が選択された状態で開きます。 ユーザ グループ設定に対する変更の保存 グループの設定が完了したら、内容を保存する必要があります。 現在のグループの設定を保存するには、次の手順を実行します。 ステップ 1 変更を保存してすぐに適用するには、Submit + Apply をクリックします。クリックすると、ACS サービスが再起動され、変更が適用されます。 再起動による影響をネットワークに与えたくない場合は、Submit ボタンだけをクリックします。 ステップ 2 変更を保存して後で適用するには、Submit をクリックします。変更を実装する準備ができたら、 System Configuration > Service Control を選択します。次に、Restart を選択します。 グループのアトリビュートが適用され、サービスが再起動されます。Edit ページが開きます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 5-49 第5章 ユーザ グループ管理 グループ設定の管理 (注) ステップ 3 サービスを再起動すると、Logged-in User Report の内容がクリアされ、ACS サービスがすべ て一時的に中断されます。これは、最大セッション カウンタに影響します。 変更が適用されたことを確認するには、グループを選択してから、Edit Settings をクリックします。 設定値を表示します。 Cisco Secure ACS Solution Engine ユーザ ガイド 5-50 OL-14386-01-J C H A P T E R 6 ユーザ管理 この章では、Cisco Secure Access Control Server Release 4.2(以降は ACS と表記)のユーザ アカウン トの設定および管理について説明します。 この章は、次の項で構成されています。 注意 • User Setup の機能について(P.6-2) • ユーザ データベースについて(P.6-3) • 基本ユーザ設定オプション(P.6-4) • 拡張ユーザ認証設定(P.6-19) • ユーザ管理(P.6-45) ユーザ レベルでの設定は、グループ レベルでの設定よりも優先されます。 User Setup を設定する前に、User Setup セクションの動作を理解しておく必要があります。ACS は、 Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)クライアント の設定や使用されるセキュリティ プロトコルに従って、User Setup セクションのインターフェイス をダイナミックに構築します。つまり、User Setup に表示される内容は、Network Configuration セク ションと Interface Configuration セクションの設定内容によって決まります。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 6-1 第6章 ユーザ管理 User Setup の機能について User Setup の機能について ACS Web インターフェイスの User Setup セクションには、ユーザ アカウントの設定と管理に関す るすべての操作が集中しています。 User Setup セクションから、次の操作を実行できます。 • ACS 内部データベースにある全ユーザの一覧表示 • ユーザの検索 • ユーザの追加 • Voice over IP(VoIP)グループを含むグループに対するユーザの割り当て • ユーザ アカウント情報の編集 • ユーザ認証タイプの設定または変更 • ユーザのコールバック情報の設定 • ユーザのネットワーク アクセス制限(NAR)の設定 • 高度な設定 • ユーザの同時最大セッション数(Max Sessions)の設定 • ユーザ アカウントの無効化または再有効化 • ユーザの削除 Cisco Secure ACS Solution Engine ユーザ ガイド 6-2 OL-14386-01-J 第6章 ユーザ管理 ユーザ データベースについて ユーザ データベースについて ACS は、ACS 内部データベースを含むいくつかのデータベースのいずれかに対して、ユーザの認 証を行います。データベースのタイプにかかわらずユーザの認証時に使用するように ACS を設定 し、すべてのユーザが ACS 内部データベース内にアカウントを持ち、ユーザの認可が常に ACS 内 部データベース内のユーザ レコードに対して実行されるようにします。 ACS で使用される基本ユー ザ データベースの一覧と説明、および各データベースに関する詳しい説明の参照先を次に示しま す。 • ACS 内部データベース:ローカル ACS 内部データベースからユーザを認証します。詳細につ いては、P.12-2 の「ACS 内部データベース」を参照してください。 ヒント 次の認証タイプは、対応する外部ユーザ データベースが External User Databases セクショ ンの Database Configuration 領域で設定されている場合に限り Web インターフェイスに表 示されます。 • Windows データベース:ローカル ドメインまたは Windows ユーザ データベースに設定された ドメインにある、Windows ユーザ データベース内にアカウントを持つユーザを認証します。詳 細については、P.12-6 の「Windows ユーザ データベース」を参照してください。 • 汎用 LDAP:汎用 LDAP の外部ユーザ データベース(Network Directory Services(NDS)ユー ザを含む)からユーザを認証します。詳細については、P.12-26 の「汎用 LDAP」を参照してく ださい。 • ODBC Database(ACS for Windows のみ):ユーザを Open Database Connectivity 準拠のデータ ベース サーバから認証します。詳細については、P.12-39 の「ODBC データベース(ACS for Windows のみ) 」を参照してください。 • LEAP Proxy RADIUS サーバ データベース:Lightweight and Efficient Application Protocol (LEAP) Proxy Remote Access Dial-In User Service(RADIUS)サーバからユーザを認証します。詳細につ いては、P.12-54 の「LEAP Proxy RADIUS Server データベース(プラットフォーム共通) 」を参 照してください。 • トークン サーバ:トークン サーバ データベースからユーザを認証します。ACS は、ワンタイ ム パスワードによるセキュリティ強化に対応して、さまざまなトークン サーバの使用をサポー トしています。詳細については、P.12-56 の「トークン サーバ ユーザ データベース」を参照し てください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 6-3 第6章 ユーザ管理 基本ユーザ設定オプション 基本ユーザ設定オプション ここでは、新規ユーザを設定するときに実行する基本的なタスクについて説明します。最も基本的 なレベルでは、新規ユーザの設定に必要な手順は、次の 3 つだけです。 ステップ 1 名前を指定します。 ステップ 2 外部ユーザ データベースまたはパスワードを指定します。 ステップ 3 情報を送信します。 ユーザ アカウント設定を編集するための手順は、ユーザ アカウントを追加する手順とほぼ同じで すが、編集の場合は変更するフィールドに直接移動します。ユーザ アカウントに関連付けられてい る名前を編集することはできません。ユーザ名を変更するには、ユーザ アカウントを削除してから 別のアカウントを作成し直す必要があります。 新規ユーザ アカウントの設定時に実行するその他の手順は、ネットワークの複雑さと、どの程度詳 細に制御を行う必要があるかによって決まります。 ここでは、次の項目について説明します。 • 基本ユーザ アカウントの追加(P.6-4) • Supplementary User Information の設定(P.6-6) • 個別の CHAP/MS-CHAP/ARAP パスワードの設定(P.6-6) • ユーザをグループに割り当てる(P.6-7) • ユーザ コールバック オプションの設定(P.6-8) • ユーザをクライアント IP アドレスに割り当てる(P.6-9) • ネットワーク アクセス制限をユーザに対して設定する(P.6-10) • 最大セッション オプションをユーザに対して設定する(P.6-13) • User Usage Quotas に設定するオプション(P.6-14) • ユーザ アカウントの無効化オプションの設定(P.6-16) • 期限付きの代替グループの割り当て(P.6-17) • ダウンロード可能 IP ACL をユーザに割り当てる(P.6-17) 基本ユーザ アカウントの追加 ここでは、新規ユーザ アカウントを ACS 内部データベースに追加する際に必要な最小限の手順を 説明します。 ユーザ アカウントを追加するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの User Setup をクリックします。 User Setup Select ページが開きます。 ステップ 2 User ボックスに名前を入力します。 (注) ユーザ名には、64 文字まで使用できます。名前には、シャープ記号(#)、疑問符(?)、引 用符(")、アスタリスク(*) 、右山カッコ(>) 、左山カッコ(<)を含めることはできませ ん。先頭と末尾にスペースを置くことはできません。 Cisco Secure ACS Solution Engine ユーザ ガイド 6-4 OL-14386-01-J 第6章 ユーザ管理 基本ユーザ設定オプション ステップ 3 Add/Edit をクリックします。 User Setup Edit ページが開きます。追加するユーザ名がページ上部に表示されます。 ステップ 4 Account Disabled チェックボックスがオフになっていることを確認します。 (注) ステップ 5 User Setup テーブルの Password Authentication で、適用する認証タイプをリストから選択します。 ヒント ステップ 6 ここで表示される認証タイプには、External User Databases セクションの Database Configuration 領域で設定したデータベースが反映されます。 Password ボックスおよび Confirm Password ボックスの最初の組に、単一の ACS Password Authentication Protocol(PAP; パスワード認証プロトコル)パスワードを入力します。 (注) ステップ 7 または、Account Disabled チェックボックスをオンにして、無効なユーザ アカウントを作 成し、後で有効にすることもできます。 Password ボックスと Confirm Password ボックスには、それぞれ 32 文字まで入力できます。 ヒント Separate CHAP/MS-CHAP/ARAP チェックボックスがオフになっている場合は、 CHAP/MS-CHAP/ARAP についても ACS PAP パスワードが使用されます。 ヒント 最初に PAP パスワードを、次に Challenge Handshake Authentication Protocol(CHAP)パス ワードまたは Microsoft-Challenge Handshake Authentication Protocol(MS-CHAP)パスワー ドを要求するように AAA クライアントを設定すると、ユーザが PAP パスワードを使用 してダイヤルインしたときに認証が行われます。たとえば、AAA クライアント コンフィ ギュレーション ファイルに ppp authentication pap chap を指定すると、AAA クライアン トでは PAP の後に CHAP がイネーブルになります。 次のいずれかを実行します。 • ユーザ アカウント オプションの設定を終了してユーザ アカウントを設定する場合は、Submit をクリックします。 • 続けてユーザ アカウント オプションを指定する場合は、この章の手順を必要に応じて実行し ます。 ヒント 複雑なアカウント設定を行う場合は、続行する前に Submit をクリックします。このアク ションによって、予期しない問題が生じた場合でも入力済みの情報は失われません。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 6-5 第6章 ユーザ管理 基本ユーザ設定オプション Supplementary User Information の設定 Supplementary User Information では、最大 5 つのフィールドを設定して含めることができます。デ フォルト設定では、Real Name と Description という 2 つのフィールドが用意されています。これら のオプション フィールドの表示および設定方法については、P.2-6 の「ユーザ データのカスタマイ ズ」を参照してください。 Supplementary User Information テーブルにオプション情報を入力するには、次の手順を実行します。 ステップ 1 P.6-4 の「基本ユーザ アカウントの追加」のステップ 1 ∼ステップ 3 を実行します。 User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。 ステップ 2 Supplementary User Infomation テーブルに表示された各ボックスに、必要な情報を入力します。 (注) Real Name ボックスと Description ボックスには、それぞれ 128 文字まで入力できます。 ステップ 3 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行 します。必要に応じて、この項で説明する他の手順を参照してください。 ステップ 4 ユーザ アカウント オプションの設定が完了したら、Submit をクリックしてオプションを記録しま す。 個別の CHAP/MS-CHAP/ARAP パスワードの設定 個別の CHAP/MS-CHAP/ARAP パスワードを設定すると、ACS 認証のセキュリティがさらに強化さ れます。ただし、個別のパスワードを使用するには、AAA クライアントを設定しておく必要があ ります。 ユーザが、ACS 内部データベースの PAP パスワードの代わりに CHAP、MS-CHAP、または Apple Talk Remote Access Protocol(ARAP)パスワードを使用して認証できるようにするには、次の手順 を実行します。 ステップ 1 P.6-4 の「基本ユーザ アカウントの追加」のステップ 1 ∼ステップ 3 を実行します。 User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。 ステップ 2 User Setup テーブルの Separate CHAP/MS-CHAP/ARAP チェックボックスをオンにします。 ステップ 3 Separate (CHAP/MS-CHAP/ARAP) チェックボックスの下にある Password ボックスと Confirm ボックスの 2 番目の組に、使用する CHAP/MS-CHAP/ARAP パスワードをそれぞれ入力します。 (注) Password ボックスと Confirm Password ボックスには、それぞれ 32 文字まで入力できます。 Cisco Secure ACS Solution Engine ユーザ ガイド 6-6 OL-14386-01-J 第6章 ユーザ管理 基本ユーザ設定オプション (注) ステップ 4 これらの Password ボックスおよび Confirm Password ボックスは、ACS データベースによ る認証だけに必要です。さらに、あるユーザが VoIP(ヌル パスワード)グループに割り当 てられ、オプションのパスワードがそのユーザ プロファイルにも含まれている場合は、ユー ザが非 VoIP グループに再マッピングされるまでそのパスワードは使用されません。 次のいずれかを実行します。 • ユーザ アカウント オプションの設定が完了したら、Submit をクリックしてオプションを記録 します。 • 続けてユーザ アカウント オプションを指定する場合は、この章の手順を必要に応じて実行し ます。 ユーザをグループに割り当てる ACS では、ユーザは 1 つのグループだけに所属できます。ユーザは、自分のグループに割り当てら れているアトリビュートと操作を継承します。ただし、設定が矛盾する場合は、グループ レベルで の設定よりもユーザ レベルでの設定が優先されます。 デフォルトでは、ユーザは Default Group に割り当てられます。既存の ACS グループにマッピング されていないユーザおよび Unknown User 方式で認証されるユーザも同様に、Default Group に割り 当てられます。 または、ユーザを特定のグループにマップしないで、外部の認証者にグループのマッピングを実行 させることもできます。ACS がグループ情報を取得できる外部ユーザ データベースの場合は、外 部ユーザ データベース内のユーザに定義されているグループ メンバーシップを特定の ACS グルー プに関連付けることができます。詳細については、第 16 章「ユーザ グループ マッピングと仕様」 を参照してください。 ユーザをグループに割り当てるには、次の手順を実行します。 ステップ 1 P.6-4 の「基本ユーザ アカウントの追加」のステップ 1 ∼ステップ 3 を実行します。 User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。 ステップ 2 User Setup テーブルの Group to which user is assigned リストから、ユーザを割り当てるグループを選 択します。 ヒント または、リスト内を上の方向にスクロールし、Mapped By External Authenticator オプ ションを選択します。 ステップ 3 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行 します。必要に応じて、この項で説明する他の手順を参照してください。 ステップ 4 ユーザ アカウント オプションの設定が完了したら、Submit をクリックしてオプションを記録しま す。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 6-7 第6章 ユーザ管理 基本ユーザ設定オプション ユーザ コールバック オプションの設定 コールバックとは、アクセス サーバに返されるコマンド文字列です。モデムを起動するときにコー ルバック文字列を使用すると、セキュリティの強化または着信課金のために、ユーザが特定の番号 にコールバックするように設定できます。 コールバック オプションを設定するには、次の手順を実行します。 ステップ 1 P.6-4 の「基本ユーザ アカウントの追加」のステップ 1 ∼ステップ 3 を実行します。 User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。 ステップ 2 User Setup テーブルの Callback から、適用するオプションを選択します。次のオプションがありま す。 • Use group setting:ユーザにグループの設定を適用します。 • No callback allowed:ユーザに対するコールバックをディセーブルにします。 • Callback using this number:これを選択してから、必要に応じて市外局番も含めた電話番号を 入力すると、ユーザへのコールバックには、その電話番号が常時使用されます。 (注) コールバック番号の長さは、199 文字までです。 • Dialup client specifies callback number:Windows のダイヤルアップ クライアントがコールバッ ク番号を指定できます。 • Use Windows Database callback settings:Windows のコールバック用に指定された設定を使用し ます。ユーザの Windows アカウントがリモート ドメインにある場合、Microsoft Windows のコー ルバック設定がそのユーザに対して動作するためには、ACS が常駐するドメインとそのドメイ ンとの間に双方向の信頼性が必要です。 (注) ダイヤルアップ ユーザは、コールバックをサポートする Windows ソフトウェアを設定 しておく必要があります。 (注) Windows Database callback settings をイネーブルにする場合は、Windows Database Configuration Settings で Windows Callback 機能もイネーブルにする必要があります。 P.12-20 の「Windows ユーザ データベース設定オプション」を参照してください。 ステップ 3 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行 します。必要に応じて、この項で説明する他の手順を参照してください。 ステップ 4 ユーザ アカウント オプションの設定が完了したら、Submit をクリックしてオプションを記録しま す。 Cisco Secure ACS Solution Engine ユーザ ガイド 6-8 OL-14386-01-J 第6章 ユーザ管理 基本ユーザ設定オプション ユーザをクライアント IP アドレスに割り当てる ユーザをクライアントの IP アドレスに割り当てるには、次の手順を実行します。 ステップ 1 P.6-4 の「基本ユーザ アカウントの追加」のステップ 1 ∼ステップ 3 を実行します。 User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。 ステップ 2 User Setup テーブルの Client IP Address Assignment から、適用するオプションを選択します。次の オプションがあります。 (注) User Setup で IP アドレスを割り当てると、Group Setup の IP アドレス割り当てが無効になり ます。 • Use group settings:IP アドレス グループ割り当てを使用します。 • No IP address assignment:クライアントから返される IP アドレスを必要としない場合は、この オプションを選択してグループ設定を無効にします。 • Assigned by dialup client:IP アドレスのダイヤルアップ クライアント割り当てを使用します。 • Assign static IP address:ユーザに対して特定の IP アドレスを使用する必要がある場合は、こ のオプションを選択してボックスにその IP アドレス(最大 15 文字)を入力します。 (注) IP アドレスが IP アドレス プールから、またはダイヤルアップ クライアントによって割 り当てられる場合は、Assign static IP address ボックスをブランクのままにします。 • Assigned by AAA client pool:AAA クライアントで設定された IP アドレス プールからこのユー ザに IP アドレスを割り当てる場合は、このオプションを選択し、ボックスに AAA クライアン ト IP プール名を入力します。 • Assigned from AAA pool:AAA サーバで設定された IP アドレス プールからこのユーザに IP ア ドレスを割り当てる場合は、このオプションを選択し、ボックスに使用するプール名を入力し ます。Available Pools リストで AAA サーバの IP プール名を選択し、次に、-->(右矢印ボタン) をクリックすると、選択した名前が Selected Pools リストに移動します。Selected Pools リスト に複数のプールがある場合、このグループ内のユーザは、リストで最初に表示された使用可能 なプールに割り当てられます。リスト上のプールの位置を移動するには、プール名を選択し、 Up または Down をクリックしてプールを適切な位置に移動します。 ステップ 3 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行 します。必要に応じて、この項で説明する他の手順を参照してください。 ステップ 4 ユーザ アカウント オプションの設定が完了したら、Submit をクリックしてオプションを記録しま す。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 6-9 第6章 ユーザ管理 基本ユーザ設定オプション ネットワーク アクセス制限をユーザに対して設定する User Setup の Advanced Settings 領域にある Network Access Restrictions テーブルでは、次の 3 つの方 法で NAR を設定します。 • 名前を指定して既存の共有 NAR を適用する。 • IP に基づいたアクセス制限を定義し、IP 接続確立時に、指定された AAA クライアントまたは AAA クライアントの指定ポートに対するユーザ アクセスを許可または拒否する。 • 発信番号識別 / 着信番号識別サービス(CLI/DNIS)に基づいたアクセス制限を定義し、使用さ れる CLI/DNIS に基づいたユーザ アクセスを許可または拒否する。 (注) また、CLI/DNIS に基づいたアクセス制限領域を使用して、別の値を指定できます。詳 細については、P.4-23 の「ネットワーク アクセス制限」を参照してください。 通常は、Shared Components セクションから(共有)NAR を定義することにより、これらの制限を 複数のグループまたはユーザに適用します。詳細については、P.4-26 の「共有 NAR の追加」を参 照してください。Interface Configuration セクションの Advanced Options ページにある User-Level Network Access Restrictions チェックボックスをオンにし、これらのオプション セットが Web イン ターフェイスに表示されるようにしておく必要があります。 ただし、ACS では、User Setup セクションから単一のユーザに対して NAR を定義および適用する こともできます。単一ユーザの IP に基づいたフィルタ オプション、および単一ユーザの CLI/DNIS に基づいたフィルタ オプションを Web インターフェイスに表示するには、Interface Configuration セ クションの Advanced Options ページで User-Level Network Access Restrictions 設定をイネーブルに しておく必要があります。 (注) 認証要求がプロキシから ACS サーバに転送されると、Terminal Access Controller Access Control System(TACACS+; ターミナル アクセス コントローラ アクセス コントロール システム)要求に 使用されるすべての NAR は、発信元の AAA クライアントの IP アドレスではなく、転送先の AAA サーバの IP アドレスに適用されます。 アクセス制限をユーザごとに作成する場合、ACS は、アクセス数への制限も、各アクセスの長さへ の制限も適用しません。ただし、次の制限は適用します。 • 行項目それぞれのフィールド長の合計が 1024 文字を超えることはできない。 • 共有 NAR では、文字サイズの合計が 16 KB を超えることはできない。サポートされる行項目 の数は、行項目それぞれの長さによって異なります。たとえば、CLI/DNIS ベースの NAR を作 成する場合、AAA クライアント名が 10 文字、ポート番号が 5 文字、CLI エントリが 15 文字、 DNIS エントリが 20 文字のときは、16 KB 制限に達しない限り、450 行項目を追加できます。 ユーザの NAR を設定するには、次の手順を実行します。 ステップ 1 P.6-4 の「基本ユーザ アカウントの追加」のステップ 1 ∼ステップ 3 を実行します。 User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。 ステップ 2 事前に設定された共有 NAR をこのユーザに適用するには、次の手順を実行します。 Cisco Secure ACS Solution Engine ユーザ ガイド 6-10 OL-14386-01-J 第6章 ユーザ管理 基本ユーザ設定オプション (注) 共有 NAR を適用するには、Shared Profile Components セクションの Network Access Restrictions で該当する NAR を設定しておく必要があります。詳細については、P.4-26 の 「共有 NAR の追加」を参照してください。 a. Only Allow network access when チェックボックスをオンにします。 b. ユーザのアクセスを許可するために、1 つの共有 NAR またはすべての共有 NAR のどちらを適 用するかを指定するには、次のいずれかを選択します。 − All selected NARS result in permit − Any one selected NAR results in permit c. NARs リストから共有 NAR 名を選択し、次に -->(右矢印ボタン)をクリックして、その名前 を Selected NARs リストに移動します。 ヒント ステップ 3 適用することを選択した共有 NAR のサーバ詳細を表示するには、View IP NAR、または View CLID/DNIS NAR の該当する方をクリックします。 IP アドレス、または IP アドレスとポートに基づいて、この特定のユーザに対してユーザ アクセス を許可または拒否する NAR を定義および適用するには、次の手順を実行します。 ヒント 複数のグループまたはユーザに適用する場合は、ほとんどの NAR を Shared Components セクションから定義する必要があります。詳細については、P.4-26 の「共有 NAR の追加」 を参照してください。 a. Network Access Restrictions テーブルの Per User Defined Network Access Restrictions で、Define IP-based access restrictions チェックボックスをオンにします。 b. 後続してリストに追加される IP アドレスを許可または拒否するかを指定するには、Table Defines リストから次のいずれかを選択します。 − Permitted Calling/Point of Access Locations − Denied Calling/Point of Access Locations c. 次のボックスで情報を選択するか、または入力します。 − AAA Client:All AAA Clients を選択するか、アクセスを許可または拒否する Network Device Group(NDG; ネットワーク デバイス グループ)の名前、または個々の AAA クライアント の名前を入力します。 − Port:アクセスを許可または拒否するポートの番号を入力します。アスタリスク(*)をワ イルドカードとして使用すると、選択された AAA クライアント上のすべてのポートに対 するアクセスを許可または拒否できます。 − Address:アクセス制限の実行時に使用する IP アドレス(複数可)を入力します。アスタ リスク(*)ワイルドカードとしてを使用できます。 (注) AAA Client リスト、Port ボックス、および Src IP Address ボックスの文字数の合計は、 1024 を超えることができません。NAR を追加する場合、ACS は 1024 を超える文字を 受け入れますが、NAR を編集できず、また、ACS で NAR をユーザに正確に適用でき なくなります。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 6-11 第6章 ユーザ管理 基本ユーザ設定オプション d. Enter キーを押します。 指定した AAA クライアント、ポート、およびアドレス情報が、AAA Client リスト上部のテー ブルに表示されます。 ステップ 4 発信場所、または設定された IP アドレス以外の値に基づいて、このユーザのアクセスを許可また は拒否するには、次の手順を実行します。 a. Define CLI/DNIS based access restrictions チェックボックスをオンにします。 b. 後続してリストに追加される値を許可するか、または拒否するかを指定するには、Table Defines リストから、次のいずれかを選択します。 − Permitted Calling/Point of Access Locations − Denied Calling/Point of Access Locations c. 次のボックスに必要な情報を入力します。 (注) 各ボックスに入力する必要があります。値の全体または一部にアスタリスク(*)をワ イルドカードとして使用できます。使用する形式は、AAA クライアントから受信する 文字列の形式と一致している必要があります。この形式は、RADIUS アカウンティング ログから判別できます。 − AAA Client:All AAA Clients を選択するか、アクセスを許可または拒否する NDG の名前、 または個々の AAA クライアントの名前を入力します。 − PORT:アクセスを許可または拒否するポート番号を入力します。アスタリスク(*)をワ イルドカードとして使用すると、すべてのポートに対するアクセスを許可または拒否でき ます。 − CLI:アクセスを許可または拒否する CLI 番号を入力します。アスタリスク(*)をワイル ドカードとして使用すると、番号の一部に基づいてアクセスを許可または拒否できます。 ヒント この CLI エントリは、Cisco Aironet クライアントの MAC アドレスなど、他の値に基づい てアクセスを制限する場合にも選択します。詳細については、P.4-23 の「ネットワーク アクセス制限について」を参照してください。 − DNIS:アクセスを許可または拒否する DNIS 番号を入力します。このエントリは、ユーザ がダイヤルする番号に基づいてアクセスを制限するために使用します。アスタリスク(*) をワイルドカードとして使用すると、番号の一部に基づいてアクセスを許可または拒否で きます。 ヒント この DNIS の選択肢は、他の値、たとえば Cisco Aironet AP の MAC アドレスに基づいて アクセスを制限する場合にも使用されます。詳細については、P.4-23 の「ネットワーク アクセス制限について」を参照してください。 (注) AAA Client リスト、Port ボックス、CLI ボックス、および DINS ボックスの文字数の 合計は、1024 を超えることはできません。NAR を追加する際に ACS には 1024 を超え る文字を入力できますが、NAR の編集ができなくなるため、ACS は NAR をユーザに 正確に適用できなくなります。 Cisco Secure ACS Solution Engine ユーザ ガイド 6-12 OL-14386-01-J 第6章 ユーザ管理 基本ユーザ設定オプション d. Enter キーを押します。 AAA クライアント、ポート、CLI、および DNIS を指定する情報が、AAA Client リスト上部の テーブルに表示されます。 ステップ 5 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行 します。必要に応じて、この項で説明する他の手順を参照してください。 ステップ 6 ユーザ アカウント オプションの設定が完了したら、Submit をクリックしてオプションを記録しま す。 最大セッション オプションをユーザに対して設定する 最大セッション機能を使用して、ユーザに許可する同時接続数の最大値を設定します。ACS では、 セッションとは RADIUS または TACACS+ がサポートする任意のタイプのユーザ接続を指し、これ には Point-to-Point Protocol(PPP; ポイントツーポイント プロトコル)、Telnet、ARAP などがありま す。ただし、ACS がセッションを認識するためには、AAA クライアントでアカウンティングをイ ネーブルにする必要があります。すべてのセッション カウントは、ユーザ名とグループ名にだけ基 づきます。ACS では、セッションのタイプによる区別をサポートしていません。すべてのセッショ ンは、同じものとしてカウントされます。たとえば、最大セッション カウントが 1 のユーザが PPP セッションで AAA クライアントにダイヤルインしている間は、同一の ACS によってアクセスが制 御されている場所に Telnet 接続を試みても、その接続は拒否されます。 (注) ヒント それぞれの ACS は、独自の最大セッション カウントを保持しています。ACS が最大セッション カ ウントを複数の ACS 間で共有するための方式は用意されていません。したがって、2 つの ACS が その間で負荷が分散されたミラーリング ペアとして設定されている場合でも、最大セッションの 合計数はまったく別個に表示されます。 Max Sessions テーブルが表示されない場合は、Interface Configuration > Advanced Options を選択し ます。次に、Max Sessions チェックボックスをオンにします。 ユーザの最大セッションのオプションを設定するには、次の手順を実行します。 ステップ 1 P.6-4 の「基本ユーザ アカウントの追加」のステップ 1 ∼ステップ 3 を実行します。 User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。 ステップ 2 Max Sessions テーブルの Sessions available to user で次のいずれかを選択します。 • Unlimited:ユーザの同時セッション数を無制限に許可します(このオプションによって、最大 セッションが実質的に無効になります)。 • n:ユーザに許可する同時セッションの最大数を入力します。 • Use group setting:最大セッション数の値をグループに対して適用します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 6-13 第6章 ユーザ管理 基本ユーザ設定オプション (注) デフォルト設定は、Use group setting です。 (注) ユーザの最大セッション数を設定すると、グループの最大セッション設定が無効になりま す。たとえば、Sales というグループの最大セッション数の値が 10 しかない場合でも、Sales グループのユーザである John に User Max Sessions の値として Unlimited が割り当てられて いると、John にはグループの設定値に関係なく無制限のセッション数が許可されます。 ステップ 3 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行 します。必要に応じて、この項で説明する他の手順を参照してください。 ステップ 4 ユーザ アカウント オプションの設定が完了したら、Submit をクリックしてオプションを記録しま す。 User Usage Quotas に設定するオプション 各ユーザに使用割当量を定義することができます。次の方法でユーザを制限できます。 • 選択した期間内におけるセッションの継続時間 • 選択した期間内におけるセッション数 ACS では、セッションとは RADIUS または TACACS+ がサポートする任意のタイプのユーザ接続 を指し、これには PPP、Telnet、ARAP などがあります。ただし、ACS がセッションを認識するた めには、AAA クライアントでアカウンティングをイネーブルにする必要があります。Session Quotas セクションで個別に指定されていないユーザについては、ACS によって、そのユーザが割り当てら れているグループのセッション割当量が適用されます。 (注) ヒント User Usage Quotas 機能が表示されない場合は、Interface Configuration > Advanced Options を選択 します。次に、Usage Quotas チェックボックスをオンにします。 User Setup Edit ページの User Usage Quotas テーブルの下にある Current Usage テーブルに、現在の ユーザについての使用状況統計情報が表示されます。Current Usage テーブルには、そのユーザが使 用したオンライン時間とセッション数が、毎日、毎週、毎月、および合計使用量のカラムに表示さ れます。Current Usage テーブルは、設定済みのユーザ アカウントについてだけ表示されます。した がって、最初のユーザ設定時には表示されません。 割当量を超過したユーザについては、そのユーザが次にセッションの開始を試みた時点で、ACS に よってアクセスが拒否されます。あるセッション中に割当量が超過しても、ACS は、そのセッショ ンの継続を許可します。使用割当量を超えたために無効になったユーザ アカウントについては、 User Setup Edit ページに、アカウントが無効になった理由を示すというメッセージが表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド 6-14 OL-14386-01-J 第6章 ユーザ管理 基本ユーザ設定オプション ユーザの User Setup ページでは、セッション割当量カウンタをリセットできます。使用割当量カウ ンタのリセットの詳細については、P.6-48 の「ユーザ セッション割当量カウンタのリセット」を参 照してください。 時間に基づいた割当量をサポートするためには、すべての AAA クライアント上でアカウンティン グ アップデート パケットをイネーブルにすることを推奨します。アップデート パケットがイネー ブルではない場合、割当量はユーザがログオフしたときだけアップデートされます。ユーザがネッ トワークへのアクセスに使用している AAA クライアントに障害が発生すると、割当量はアップ デートされません。ISDN のような複数セッションの場合は、すべてのセッションが終了するまで、 割当量はアップデートされないため、最初のチャネルがユーザの割当量を使い切っていても、2 番 目のチャネルが受け付けられることになります。 ユーザの使用割当量のオプションを設定するには、次の手順を実行します。 ステップ 1 P.6-4 の「基本ユーザ アカウントの追加」のステップ 1 ∼ステップ 3 を実行します。 User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。 ステップ 2 Usage Quotas テーブルで、Use these settings を選択します。 ステップ 3 セッションの期間に基づいた使用割当量を定義するには、次の手順を実行します。 a. Limit user to x hours of online time チェックボックスをオンにします。 b. Limit user to x hours of online time ボックスに、ユーザを制限する時間数を入力します。分を表 すには、小数を使用します。たとえば、値 10.5 は、10 時間 30 分になります。このフィールド には、10 文字まで入力できます。 c. 時間割当量を適用する期間を選択します。 ステップ 4 • per Day:午前 12:01 から夜中の 12:00 まで。 • per Week:日曜の午前 12:01 から土曜の夜中の 12:00 まで。 • per Month:月の朔日(1 日)の午前 12:01 から月の末日の夜中の 12:00 まで。 • Absolute:継続した無期限の時間カウント。 セッション数に基づいて使用割当量を定義するには、次の手順を実行します。 a. Limit user to x sessions チェックボックスをオンにします。 b. Limit user to x sessions ボックスに、ユーザに対して制限するセッション回数を入力します。こ のフィールドには、10 文字まで入力できます。 c. セッション割当量を適用する期間を選択します。 ステップ 5 • per Day:午前 12:01 から夜中の 12:00 まで。 • per Week:日曜の午前 12:01 から土曜の夜中の 12:00 まで。 • per Month:月の朔日(1 日)の午前 12:01 から月の末日の夜中の 12:00 まで。 • Absolute:継続した無期限の時間カウント。 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行 します。必要に応じて、この項で説明する他の手順を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 6-15 第6章 ユーザ管理 基本ユーザ設定オプション ステップ 6 ユーザ アカウント オプションの設定が完了したら、Submit をクリックしてオプションを記録しま す。 ユーザ アカウントの無効化オプションの設定 Account Disable 機能では、ユーザ アカウントを無効にする状況を定義します。 (注) この機能は、パスワード エージングによるアカウントの期限満了とは異なります。パスワード エー ジングは個別のユーザに対してではなく、グループに対してだけ定義されます。この機能は、 Account Disabled チェックボックスとは異なります。ユーザ アカウントを無効にする方法について は、P.6-46 の「ユーザ アカウントの無効化」を参照してください。 (注) Windows のユーザ データベースを使用してユーザを認証する場合、この期限満了情報は、Windows のユーザ アカウント内の情報とは別に追加されます。ここで変更を行っても、Windows での設定 内容は変更されません。 ユーザ アカウントの無効化に関するオプションを設定するには、次の手順を実行します。 ステップ 1 P.6-4 の「基本ユーザ アカウントの追加」のステップ 1 ∼ステップ 3 を実行します。 User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。 ステップ 2 次のいずれかを実行します。 a. ユーザ アカウントを常に有効に保つ場合は、Never オプションを選択します。これがデフォル ト設定です。 b. 特定の条件下でアカウントを無効にするには、Disable account if オプションを選択します。次 に、後続のボックスで、状況のいずれかまたは両方を指定します。 • Date exceeds:Date exceeds: チェックボックスをオンにします。次に、アカウントを無効に する月を選択し、日付(2 文字)と年(4 文字)を入力します。デフォルト値は、ユーザの 追加後 30 日です。 • Failed attempts exceed:Failed attempts exceed チェックボックスをオンにし、アカウント が無効になるまでに許可されるログインの連続失敗回数を入力します。デフォルト値は 5 です。 ステップ 3 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行 します。必要に応じて、この項で説明する他の手順を参照してください。 ステップ 4 ユーザ アカウント オプションの設定が完了したら、Submit をクリックしてオプションを記録しま す。 Cisco Secure ACS Solution Engine ユーザ ガイド 6-16 OL-14386-01-J 第6章 ユーザ管理 基本ユーザ設定オプション 期限付きの代替グループの割り当て この機能を使用すると、別のユーザを代替管理者として指定できます。代替管理者は、開始日、終 了日、および時間で制限される範囲内で管理特権を持ちます。 代替管理者を設定するには、次の手順を実行します。 ステップ 1 Enable Time Bound Alternate Group チェックボックスをオンにします。 ステップ 2 開始日の月を選択して日付および年を入力します。 ステップ 3 代替管理者に特権を与える時間(hh:mm)を入力します。 ステップ 4 終了日の月を選択して日付および年を入力します。 ステップ 5 代替管理者の管理特権を放棄する時間(hh:mm)を入力します。 ステップ 6 ドロップダウン リストから管理特権を与える 代替グループを選択します。 ステップ 7 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行 します。必要に応じて、この項で説明する他の手順を参照してください。 ステップ 8 ユーザ アカウント オプションの設定が完了したら、Submit をクリックしてオプションを記録しま す。 ダウンロード可能 IP ACL をユーザに割り当てる Downloadable ACL 機能によって、IP Access Control リスト(ACL)をユーザ レベルで割り当てるこ とができます。割り当てる前に、1 つ以上の IP ACL を設定しておく必要があります。ACS Web イ ンターフェイスの Shared Profile Components セクションを使用してダウンロード可能 IP ACL を設定 する方法については、P.4-19 の「ダウンロード可能 IP ACL の追加」を参照してください。 (注) Downloadable ACLs テーブルは、イネーブルになっていない場合は表示されません。Downloadable ACLs テーブルをイネーブルにするには、Interface Configuration > Advanced Options をクリック し、次に User-Level Downloadable ACLs チェックボックスをオンにします。 ダウンロード可能 IP ACL をユーザ アカウントに割り当てるには、次の手順を実行します。 ステップ 1 P.6-4 の「基本ユーザ アカウントの追加」のステップ 1 ∼ステップ 3 を実行します。 User Setup Edit ページが開きます。追加および編集の対象となるユーザ名がページ上部に表示され ます。 ステップ 2 Downloadable ACLs セクションの下にある Assign IP ACL: チェックボックスをオンにします。 ステップ 3 リストから IP ACL を選択します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 6-17 第6章 ユーザ管理 基本ユーザ設定オプション ステップ 4 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行 します。必要に応じて、この項で説明する他の手順を参照してください。 ステップ 5 ユーザ アカウント オプションの設定が完了したら、Submit をクリックしてオプションを記録しま す。 Cisco Secure ACS Solution Engine ユーザ ガイド 6-18 OL-14386-01-J 第6章 ユーザ管理 拡張ユーザ認証設定 拡張ユーザ認証設定 ここでは、ユーザ レベルの TACACS+ および RADIUS のイネーブル パラメータを設定するために 実行するアクティビティについて説明します。 ここでは、次の項目について説明します。 • TACACS+ 設定(ユーザ)(P.6-19) − TACACS+ をユーザに対して設定する(P.6-20) − シェル コマンド認可セットをユーザに対して設定する(P.6-21) − PIX コマンド認可セットをユーザに対して設定する(P.6-23) − デバイス管理コマンド認可をユーザに対して設定する(P.6-24) − 未知のサービスをユーザに対して設定する(P.6-26) • 高度な TACACS+ をユーザに対して設定する(P.6-26) − Enable Privilege オプションをユーザに対して設定する(P.6-26) − TACACS+ Enable Password オプションをユーザに対して設定する(P.6-28) − TACACS+ 発信パスワードをユーザに対して設定する(P.6-29) • RADIUS アトリビュート(P.6-29) − IETF RADIUS パラメータをユーザに対して設定する(P.6-30) − Cisco IOS/PIX 6.0 RADIUS パラメータをユーザに対して設定する(P.6-31) − Cisco Airespace RADIUS パラメータをユーザに対して設定する(P.6-32) − Cisco Aironet RADIUS パラメータをユーザに対して設定する(P.6-33) − Ascend RADIUS パラメータをユーザに対して設定する(P.6-34) − Cisco VPN 3000/ASA/PIX 7.x+ RADIUS パラメータをユーザに対して設定する(P.6-36) − Cisco VPN 5000 Concentrator RADIUS パラメータをユーザに対して設定する(P.6-37) − Microsoft RADIUS パラメータをユーザに対して設定する(P.6-38) − Nortel RADIUS パラメータをユーザに対して設定する(P.6-40) − Juniper RADIUS パラメータをユーザに対して設定する(P.6-41) − BBSM RADIUS パラメータをユーザに対して設定する(P.6-43) − カスタム RADIUS アトリビュートをユーザに対して設定する(P.6-44) TACACS+ 設定(ユーザ) TACACS+ Settings セクションでは、ユーザの認可に適用するサービスおよびプロトコル パラメー タをイネーブル化および設定できます。 ここでは、次の項目について説明します。 • TACACS+ をユーザに対して設定する(P.6-20) • シェル コマンド認可セットをユーザに対して設定する(P.6-21) • PIX コマンド認可セットをユーザに対して設定する(P.6-23) • デバイス管理コマンド認可をユーザに対して設定する(P.6-24) • 未知のサービスをユーザに対して設定する(P.6-26) Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 6-19 第6章 ユーザ管理 拡張ユーザ認証設定 TACACS+ をユーザに対して設定する この手順では、次のサービスおよびプロトコルについてユーザ レベルの TACACS+ 設定を実行しま す。 • PPP IP • PPP IPX • PPP Multilink • PPP Apple Talk • PPP VPDN • PPP LCP • ARAP • Shell (exec) • Project Information Exchange(PIX)PIX Shell(pixShell) • Serial Line Internet Protocol(SLIP; シリアル ライン インターネット プロトコル) また、設定する任意の新しい TACACS+ サービスもイネーブルにできます。すべてのサービス / プ ロトコル設定を User Setup セクションに表示すると煩雑になるため、どの設定を表示または非表示 にするかを、インターフェイス設定時にユーザ レベルで選択します。ACS Web インターフェイス での新規または既存の TACACS+ サービスの設定については、P.2-8 の「TACACS+ 設定オプション の表示」を参照してください。 Cisco デバイス管理アプリケーションと連携動作するように ACS を設定した場合は、そのデバイス 管理アプリケーションをサポートするための新しい TACACS+ サービスが、必要に応じて自動的に 表示されます。ACS とデバイス管理アプリケーションとの連携動作の詳細については、P.1-15 の 「Cisco デバイス管理アプリケーションのサポート」を参照してください。 アトリビュートの詳細については、付録 A「TACACS+ の AV ペア」または使用している AAA クラ イアントのマニュアルを参照してください。IP ACL の割り当てについては、P.6-17 の「ダウンロー ド可能 IP ACL をユーザに割り当てる」を参照してください。 始める前に • TACACS+ サービス / プロトコル設定が表示されるようにするには、セキュリティ コントロー ル プロトコルとして TACACS+ を使用するように AAA クライアントを設定しておく必要があ ります。 • Interface Configuration > Advanced Options で、Per-user TACACS+/RADIUS Attributes チェッ クボックスがオンになっていることを確認します。 TACACS+ をユーザに対して設定するには、次の手順を実行します。 ステップ 1 Interface Configuration > TACACS+ (Cisco IOS) をクリックします。TACACS+ Services テーブルの User というヘッダーの下部で、設定するサービス / プロトコルのチェックボックスがオンになって いることを確認します。 ステップ 2 P.6-4 の「基本ユーザ アカウントの追加」のステップ 1 ∼ステップ 3 を実行します。 User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。 ステップ 3 TACACS+ Settings テーブルを下にスクロールし、太字のサービス名のチェックボックスをオンにし て、そのプロトコル(たとえば PPP IP など)をイネーブルにします。 Cisco Secure ACS Solution Engine ユーザ ガイド 6-20 OL-14386-01-J 第6章 ユーザ管理 拡張ユーザ認証設定 ステップ 4 選択したサービス内の特定のパラメータをイネーブルにするには、そのパラメータの隣にある チェックボックスをオンにし、必要に応じて次のいずれかを行います。 • Enabled チェックボックスをオンにします。 • 対応するアトリビュートのボックスに値を入力します。 ACL および IP アドレス プールを指定するには、ACL またはプールの名前を AAA クライアン トで定義されているとおりに入力します。デフォルト設定(AAA クライアントの定義による) を使用する場合は、ブランクのままにします。アトリビュートの詳細については、付録 A 「TACACS+ の AV ペア」または使用している AAA クライアントのマニュアルを参照してくだ さい。IP ACL の割り当てについては、P.6-17 の「ダウンロード可能 IP ACL をユーザに割り当 てる」を参照してください。 ヒント ACL は Cisco IOS コマンドのリストであり、ネットワーク上の他のデバイスやユーザへ のアクセス、またはそれらのデバイスやユーザからのアクセスを制限するために使用さ れます。 ステップ 5 特定のサービスについてカスタム アトリビュートを使用するには、そのサービスの Custom attributes チェックボックスをオンにし、次にチェックボックスの下部にあるボックスにアトリ ビュートおよび値を入力します。 ステップ 6 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行 します。必要に応じて、この項で説明する他の手順を参照してください。 ステップ 7 ユーザ アカウント オプションの設定が完了したら、Submit をクリックしてオプションを記録しま す。 シェル コマンド認可セットをユーザに対して設定する ユーザのシェル コマンド認可セット パラメータを指定するには、この手順を実行します。次のオ プションから選択できます。 • None:シェル コマンドは認可しません。 • Group:グループ レベルのシェル コマンド認可セットをこのユーザに適用します。 • Assign a Shell Command Authorization Set for any network device:1 つのシェル コマンド認可 セットを割り当て、それをすべてのネットワーク デバイスに適用します。 • Assign a Shell Command Authorization Set on a per Network Device Group Basis:特定のシェル コマンド認可セットを特定の NDG に適用します。このオプションを選択すると、どの NDG が どのシェル コマンド認可セットに関連付けられているかを示すテーブルが作成されます。 • Per User Command Authorization:特定の Cisco IOS コマンドおよび引数を、ユーザ レベルで 許可または拒否します。 始める前に • AAA クライアントが、セキュリティ コントロール プロトコルとして TACACS+ を使用するよ うに設定されていることを確認します。 • Interface Configuration > Advanced Options で、Per-user TACACS+/RADIUS Attributes チェッ クボックスがオンになっていることを確認します。 • Interface Configuration の TACACS+ (Cisco) セクションにある User カラムで Shell (exec) オプショ ンが選択されていることを確認します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 6-21 第6章 ユーザ管理 拡張ユーザ認証設定 • 1 つ以上のシェル コマンド認可セットを事前に設定してあることを確認します。詳細な手順に ついては、P.4-34 の「コマンド認可セットの追加」を参照してください。 ユーザのシェル コマンド認可セット パラメータを指定するには、次の手順を実行します。 ステップ 1 P.6-4 の「基本ユーザ アカウントの追加」のステップ 1 ∼ステップ 3 を実行します。 User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。 ステップ 2 TACACS+ Settings テーブルにスクロール ダウンし、Shell Command Authorization Set 機能の領域を 表示します。 ステップ 3 シェル コマンド認可セットを適用しない場合は、None オプションを選択します(またはデフォル トをそのまま使用します)。 ステップ 4 シェル コマンド認可セットをグループ レベルで割り当てるには、As Group オプションを選択しま す。 ステップ 5 設定済みの任意のネットワーク デバイスで、特定のシェル コマンド認可セットが有効になるよう に割り当てるには、次の手順を実行します。 a. Assign a Shell Command Authorization Set for any network device オプションを選択します。 b. 次に、そのオプションの直下にあるリストから、このユーザに適用するシェル コマンド認可 セットを選択します。 ステップ 6 特定のシェル コマンド認可セットが、特定の NDG で有効になるように関連付けを作成するには、 関連ごとに、次の手順を実行します。 a. Assign a Shell Command Authorization Set on a per Network Device Group Basis オプションを選 択します。 b. Device Group と、関連付ける Command Set を選択します。 c. Add Association をクリックします。 ヒント 一覧に表示されていないネットワーク デバイス グループに対しても、適用するコマンド セットを選択できます。適用するコマンド セットを、NDG の <default> 項目に関連付け ます。 NDG とそれに関連付けられたシェル コマンド認可セットが、テーブルにペアで表示されます。 ステップ 7 ユーザに特定の Cisco IOS コマンドおよび引数の使用を許可または拒否するよう定義するには、次 の手順を実行します。 注意 このステップでは、強力で高度な機能を設定します。この機能は、Cisco IOS コマンドについて熟 知している管理者だけが使用するようにしてください。構文を正しく入力することは、管理者の責 任です。ACS が使用している、コマンド引数でのパターン マッチングについては、P.4-34 の「パ ターン マッチングについて」を参照してください。 a. Per User Command Authorization オプションを選択します。 Cisco Secure ACS Solution Engine ユーザ ガイド 6-22 OL-14386-01-J 第6章 ユーザ管理 拡張ユーザ認証設定 b. Unmatched Cisco IOS commands で、Permit または Deny を選択します。 Permit を選択すると、ユーザはリストで指定されていないコマンドをすべて発行できます。 Deny を選択すると、ユーザは listed.h で指定されたコマンドだけを発行できます。 c. 許可または拒否する特定のコマンドをリストに含めるには、Command チェックボックスをオ ンにして、コマンドの名前を入力し、標準の permit または deny 構文を使用して引数を定義し、 次にリストに含まれていない引数を許可するか拒否するかを選択します。 ヒント 複数のコマンドを入力するには、1 つのコマンドを入力するたびに、Submit をクリック する必要があります。入力済みのボックスの下に、新しいコマンド入力ボックスが表示 されます。 ステップ 8 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行 します。必要に応じて、この項で説明する他の手順を参照してください。 ステップ 9 ユーザ アカウント オプションの設定が完了したら、Submit をクリックしてオプションを記録しま す。 PIX コマンド認可セットをユーザに対して設定する ユーザの PIX コマンド認可セット パラメータを指定するには、この手順を実行します。オプショ ンは次のとおりです。 • None:PIX コマンドは認可しません。 • Group:グループ レベルの PIX コマンド認可セットをこのユーザに適用します。 • Assign a PIX Command Authorization Set for any network device:1 つの PIX コマンド認可セッ トを割り当て、それをすべてのネットワーク デバイスに適用します。 • Assign a PIX Command Authorization Set on a per Network Device Group Basis:特定の PIX コ マンド認可セットを特定の NDG に適用します。 始める前に • AAA クライアントが、セキュリティ コントロール プロトコルとして TACACS+ を使用するよ うに設定されていることを確認します。 • Interface Configuration > Advanced Options で、Per-user TACACS+/RADIUS Attributes チェッ クボックスがオンになっていることを確認します。 • Interface Configuration > TACACS+ (Cisco) の User カラムで PIX Shell (pixShell) オプションが 選択されていることを確認します。 • 1 つ以上の PIX コマンド認可セットを事前に設定してあることを確認します。詳細な手順につ いては、P.4-34 の「コマンド認可セットの追加」を参照してください。 ユーザの PIX コマンド認可セット パラメータを指定するには、次の手順を実行します。 ステップ 1 P.6-4 の「基本ユーザ アカウントの追加」のステップ 1 ∼ステップ 3 を実行します。 User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。 ステップ 2 TACACS+ Settings テーブルにスクロール ダウンし、PIX Command Authorization Set 機能の領域を表 示します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 6-23 第6章 ユーザ管理 拡張ユーザ認証設定 ステップ 3 PIX コマンド認可セットを適用しない場合は、None オプションを選択します(またはデフォルトを そのまま使用します)。 ステップ 4 PIX コマンド認可セットをグループ レベルで割り当てるには、As Group オプションを選択します。 ステップ 5 設定済みの任意のネットワーク デバイスで、特定の PIX コマンド認可セットが有効になるように 割り当てるには、次の手順を実行します。 a. Assign a PIX Command Authorization Set for any network device オプションを選択します。 b. そのオプションの下部にあるリストから、このユーザに適用する PIX コマンド認可セットを選 択します。 ステップ 6 特定の PIX コマンド認可セットが、特定の NDG で有効になるように関連付けを作成するには、関 連ごとに、次の手順を実行します。 a. Assign a PIX Command Authorization Set on a per Network Device Group Basis オプションを選 択します。 b. Device Group と、関連付ける Command Set を選択します。 c. Add Association をクリックします。 関連付けられた NDG と PIX コマンド認可セットが、テーブルに表示されます。 ステップ 7 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行 します。必要に応じて、この項で説明する他の手順を参照してください。 ステップ 8 ユーザ アカウント オプションの設定が完了したら、Submit をクリックしてオプションを記録しま す。 デバイス管理コマンド認可をユーザに対して設定する この手順では、ユーザに対してデバイス管理コマンド認可セット パラメータを指定します。デバイ ス管理コマンド認可セットは、ACS を使用して認可するように設定されている Cisco デバイス管理 アプリケーションにおけるタスクの認可をサポートしています。次のオプションから選択できま す。 • None:該当する Cisco デバイス管理アプリケーションで発行されたコマンドに対する認可は実 行しません。 • Group:このユーザには、該当するデバイス管理アプリケーションについてのグループ レベル のコマンド認可セットを適用します。 • Assign a <device-management application> for any network device:該当するデバイス管理アプリ ケーションに 1 つのコマンド認可セットが割り当てられ、あらゆるネットワーク デバイスでの 管理タスクに適用されます。 • Assign a <device-management application> on a per Network Device Group Basis:該当するデバイス 管理アプリケーションのコマンド認可セットを特定の NDG に適用できます。コマンド認可 セットは、その NDG に属するネットワーク デバイスでのすべての管理タスクに適用されます。 始める前に • AAA クライアントが、セキュリティ コントロール プロトコルとして TACACS+ を使用するよ うに設定されていることを確認します。 Cisco Secure ACS Solution Engine ユーザ ガイド 6-24 OL-14386-01-J 第6章 ユーザ管理 拡張ユーザ認証設定 • Interface Configuration > Advanced Options で、Per-user TACACS+/RADIUS Attributes チェッ クボックスがオンになっていることを確認します。 • Interface Configuration > TACACS+ (Cisco) の New Services の下にある User カラムで、該当す るデバイス管理アプリケーションに対応する新しい TACACS+ サービスが選択されていること を確認します。 • コマンド認可セットを適用する場合は、デバイス管理コマンド認可セットを 1 つ以上設定して おく必要があります。詳細な手順については、P.4-34 の「コマンド認可セットの追加」を参照 してください。 デバイス管理アプリケーションのコマンド認可をユーザに対して指定するには、次の手順を実行し ます。 ステップ 1 P.6-4 の「基本ユーザ アカウントの追加」のステップ 1 ∼ステップ 3 を実行します。 User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。 ステップ 2 TACACS+ Settings テーブルにスクロール ダウンし、該当するデバイス管理コマンド認可機能の領 域を表示します。 ステップ 3 該当するデバイス管理アプリケーションで実行されるアクションにコマンド認可を適用しない場 合は、None オプションを選択します(またはデフォルトをそのまま使用します)。 ステップ 4 該当するデバイス管理アプリケーションに関するコマンド認可をグループ レベルで割り当てるに は、As Group オプションを選択します。 ステップ 5 任意のネットワーク デバイスでのデバイス管理アプリケーションのアクションに対して、特定のコ マンド認可セットが有効になるように割り当てるには、次の手順を実行します。 a. Assign a <device-management application> for any network device オプションを選択します。 b. 次に、そのオプションの直下にあるリストから、このユーザに適用するコマンド認可セットを 選択します。 ステップ 6 特定のコマンド認可セットが、特定の NDG でのデバイス管理アプリケーションのアクションに対 して有効になるように関連付けを作成するには、関連ごとに、次の手順を実行します。 a. Assign a <device-management application> on a per Network Device Group Basis オプションを選択 します。 b. Device Group と、関連付ける <device-management application> を選択します。 c. Add Association をクリックします。 関連付けられた NDG とコマンド認可セットが、テーブルに表示されます。 ステップ 7 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行 します。必要に応じて、この項で説明する他の手順を参照してください。 ステップ 8 ユーザ アカウント オプションの設定が完了したら、Submit をクリックしてオプションを記録しま す。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 6-25 第6章 ユーザ管理 拡張ユーザ認証設定 未知のサービスをユーザに対して設定する TACACS+ AAA クライアントが未知のサービスを許可するように指定するには、Default (Undefined) Services チェックボックスをオンにします。このオプションをオンにすると、すべての未知のサー ビスが許可されます。 未知のサービスをユーザに対して設定するには、次の手順を実行します。 ステップ 1 P.6-4 の「基本ユーザ アカウントの追加」のステップ 1 ∼ステップ 3 を実行します。 User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。 ステップ 2 スクロール ダウンして、PERMIT all UNKNOWN Services というヘッダーのテーブルを表示します。 ステップ 3 TACACS+ AAA クライアントがこのユーザに対して未知のサービスを許可するようにするには、 Default (Undefined) Services チェックボックスをオンにします。 ステップ 4 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行 します。必要に応じて、この項で説明する他の手順を参照してください。 ステップ 5 ユーザ アカウント オプションの設定が完了したら、Submit をクリックしてオプションを記録しま す。 高度な TACACS+ をユーザに対して設定する ここで説明する内容は、AAA クライアントで TACACS+ を設定してある場合に適用されます。 ヒント Advanced TACACS+ Settings (User) テーブルが表示されない場合は、Interface Configuration > TACACS+ (Cisco IOS) を選択します。次に、Advanced TACACS+ Features を選択します。 ここでは、次の項目について説明します。 • Enable Privilege オプションをユーザに対して設定する(P.6-26) • TACACS+ Enable Password オプションをユーザに対して設定する(P.6-28) • TACACS+ 発信パスワードをユーザに対して設定する(P.6-29) Enable Privilege オプションをユーザに対して設定する 管理者のアクセスを制御するには、Exec セッションで TACACS+ Enable Control を使用します。一 般的には、ルータの管理制御のために使用します。ユーザの特権レベルを選択および指定するオプ ションは次のとおりです。 • Use Group Level Setting:グループ レベルで設定された特権と同等の特権を、このユーザに設 定します。 • No Enable Privilege:このユーザにはイネーブル特権を許可しません。 Cisco Secure ACS Solution Engine ユーザ ガイド 6-26 OL-14386-01-J 第6章 ユーザ管理 拡張ユーザ認証設定 (注) No Enable Privilege がデフォルト設定です。 • Max Privilege for any AAA Client:このユーザが認可される任意の AAA クライアント上で、こ のユーザに適用される最大特権レベルを、リストから選択できます。 • Define Max Privilege on a per-Network Device Group Basis:1 つ以上の NDG でこのユーザに最 大特権レベルを関連付けることができます。 (注) 特権レベルの詳細については、AAA クライアントのドキュメンテーションを参照して ください。 ヒント ユーザ特権レベルを NDG に割り当てる前に、Interface Configuration でその NDG を設定しておく必 要があります。 ユーザの特権レベルを選択および指定するには、次の手順を実行します。 ステップ 1 P.6-4 の「基本ユーザ アカウントの追加」のステップ 1 ∼ステップ 3 を実行します。 User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。 ステップ 2 Advanced TACACS+ Settings テーブルの TACACS+ Enable Control で、次の 4 つの特権オプションの うち 1 つを選択します。 • Use Group Level Setting • No Enable Privilege (注) No Enable Privilege がデフォルト設定です。新規ユーザ アカウントの設定時は、この特 権が選択されています。 • Max Privilege for Any Access Server • Define Max Privilege on a per-Network Device Group Basis ステップ 3 ステップ 2 で Max Privilege for Any Access Server を選択した場合は、対応するリストから適用する 特権レベルを選択します。 ステップ 4 ステップ 2 で Define Max Privilege on a per-Network Device Group Basis を選択した場合は、次の手 順に従って、各 NDG で特権レベルを定義します。 a. Device Group リストから、デバイス グループを選択します。 (注) 事前に設定されていないデバイス グループは、このリストに表示されません。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 6-27 第6章 ユーザ管理 拡張ユーザ認証設定 b. Privilege リストから、選択したデバイス グループに関連付ける特権レベルを選択します。 c. Add Association をクリックします。 デバイス グループを特定の特権レベルに関連付けるエントリが、テーブルに表示されます。 d. このユーザに関連付けるデバイス グループのそれぞれについて、ステップ a ∼ステップ c を繰 り返します。 ヒント エントリを削除するには、そのエントリを選択して Remove Associate をクリックします。 ステップ 5 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行 します。必要に応じて、この項で説明する他の手順を参照してください。 ステップ 6 ユーザ アカウント オプションの設定が完了したら、Submit をクリックしてオプションを記録しま す。 TACACS+ Enable Password オプションをユーザに対して設定する ユーザに TACACS+ Enable Password オプションを設定する場合は、次のオプションを使用できま す。 • ACS PAP password • External database password • A separate password TACACS+ Enable password オプションを設定するには、次の手順を実行します。 ステップ 1 P.6-4 の「基本ユーザ アカウントの追加」のステップ 1 ∼ステップ 3 を実行します。 User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。 ステップ 2 パスワードのオプションを選択します。 • Password Authentication セクションで設定した情報を使用するには、Use Cisco Secure PAP password を選択します。 (注) 基本パスワードの設定については、P.6-4 の「基本ユーザ アカウントの追加」を参照し てください。 • 外部データベース パスワードを使用するには、Use external database password を選択し、次に、 このユーザのイネーブル パスワードを認証するデータベースを選択します。 (注) データベースのリストには、すでに設定してあるデータベースだけが表示されます。詳 細については、P.12-3 の「外部ユーザ データベースについて」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド 6-28 OL-14386-01-J 第6章 ユーザ管理 拡張ユーザ認証設定 • 個別のパスワードを使用するには、Use separate password をクリックし、このユーザのコント ロール パスワードを入力し、さらに確認のために再度入力します。このパスワードは、通常の 認証に追加して使用します。 ステップ 3 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行 します。必要に応じて、この項で説明する他の手順を参照してください。 ステップ 4 ユーザ アカウント オプションの設定が完了したら、Submit をクリックしてオプションを記録しま す。 TACACS+ 発信パスワードをユーザに対して設定する TACACS+ 発信パスワードを使用すると、AAA クライアントは、発信認証を通して別の AAA クラ イアントに対する自己認証を行うことができます。発信認証は PAP、CHAP、MS-CHAP または ARAP とすることができ、その結果として ACS パスワードが公表されることになります。デフォ ルトでは、ユーザの ASCII/PAP パスワードまたは CHAP/MS-CHAP/ARAP パスワードが使用されま す。着信パスワードの効力低下を防ぐために、別の SENDAUTH パスワードを設定できます。 注意 発信パスワードは、TACACS+ SendAuth/OutBound パスワードの使用方法に精通している場合に限 り使用するようにしてください。 ユーザの TACACS+ 発信パスワードを設定するには、次の手順を実行します。 ステップ 1 P.6-4 の「基本ユーザ アカウントの追加」のステップ 1 ∼ステップ 3 を実行します。 User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。 ステップ 2 このユーザの TACACS+ 発信パスワードを入力し、確認のために再度入力します。 ステップ 3 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行 します。必要に応じて、この項で説明する他の手順を参照してください。 ステップ 4 ユーザ アカウント オプションの設定が完了したら、Submit をクリックしてオプションを記録しま す。 RADIUS アトリビュート RADIUS 認証のためのユーザ アトリビュートについては、汎用のものを Internet Engineering Task Force(IETF)レベルで設定するか、またはベンダーごとに Vendor-Specific Attribute(VSA; ベンダー 固有アトリビュート)を設定するかを選択できます。汎用アトリビュートについては、P.6-30 の 「IETF RADIUS パラメータをユーザに対して設定する」を参照してください。ACS には、出荷時に 一般的な VSA が多数ロードされており、これらを設定および適用できます。追加のカスタム RADIUS VSA の作成については、P.8-25 の「AAA クライアントのアクションの作成、読み取り、 アップデート、および削除」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 6-29 第6章 ユーザ管理 拡張ユーザ認証設定 注意 Shared Radius Authorization Components(SRAC)を使用している場合は、ユーザ レベルまたはグ ループ レベルでの RADIUS アトリビュートのマージおよび上書きに関する問題に注意してくださ い。RADIUS アトリビュートは個々のユーザに割り当てないでください(他の方法がない場合にだ け使用します)。RADIUS アトリビュートは、グループまたは SRAC を使用して、ユーザのグルー プ レベルまたはプロファイル レベルに割り当てます。 ここでは、次の項目について説明します。 • IETF RADIUS パラメータをユーザに対して設定する(P.6-30) • Cisco IOS/PIX 6.0 RADIUS パラメータをユーザに対して設定する(P.6-31) • Cisco Aironet RADIUS パラメータをユーザに対して設定する(P.6-33) • Ascend RADIUS パラメータをユーザに対して設定する(P.6-34) • Cisco VPN 3000/ASA/PIX 7.x+ RADIUS パラメータをユーザに対して設定する(P.6-36) • Cisco VPN 5000 Concentrator RADIUS パラメータをユーザに対して設定する(P.6-37) • Microsoft RADIUS パラメータをユーザに対して設定する(P.6-38) • Nortel RADIUS パラメータをユーザに対して設定する(P.6-40) • Juniper RADIUS パラメータをユーザに対して設定する(P.6-41) • BBSM RADIUS パラメータをユーザに対して設定する(P.6-43) • カスタム RADIUS アトリビュートをユーザに対して設定する(P.6-44) IETF RADIUS パラメータをユーザに対して設定する ACS は、要求側の AAA クライアントに RADIUS アトリビュートをユーザ プロファイルとして送信 します。これらのパラメータは、次の場合に限り表示されます。 • Network Configuration で、AAA クライアント(1 つ以上)が RADIUS プロトコルのいずれか を使用するように設定されている。 • Interface Configuration > Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。 • Interface Configuration > RADIUS (IETF) で、User-level IETF RADIUS アトリビュートがイネー ブルになっている。 (注) これらのアトリビュートを Web インターフェイスで表示または非表示にする方法については、 P.2-9 の「RADIUS 設定オプションの表示」を参照してください。 (注) RADIUS アトリビュートのリストと説明については、付録 B「RADIUS アトリビュート」、または RADIUS を使用する特定のネットワーク デバイスのマニュアルを参照してください。 現在のユーザの認可として適用する IETF RADIUS アトリビュートを設定するには、次の手順を実 行します。 ステップ 1 P.6-4 の「基本ユーザ アカウントの追加」のステップ 1 ∼ステップ 3 を実行します。 User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド 6-30 OL-14386-01-J 第6章 ユーザ管理 拡張ユーザ認証設定 ステップ 2 IETF RADIUS テーブルで、現在のユーザに認可する必要があるアトリビュートのそれぞれについ て、アトリビュートの隣にあるチェックボックスをオンにし、さらにその隣のフィールド内でアト リビュートの認可を定義します。 ステップ 3 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行 します。必要に応じて、この項で説明する他の手順を参照してください。 ステップ 4 ユーザ アカウント オプションの設定が完了したら、Submit をクリックしてオプションを記録しま す。 Cisco IOS/PIX 6.0 RADIUS パラメータをユーザに対して設定する Cisco IOS RADIUS パラメータは、次の条件をすべて満たす場合に限り表示されます。 (注) • Network Configuration で、AAA クライアント(1 つ以上)が RADIUS (Cisco IOS/PIX 6.0) を 使用するように設定されている。 • Interface Configuration > Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。 • User-level RADIUS (Cisco IOS/PIX 6.0) アトリビュートが Interface Configuration > RADIUS (Cisco IOS/PIX 6.0) でイネーブルになっている。 Cisco IOS RADIUS VSA を表示または非表示にする方法については、P.2-11 の「RADIUS(ベンダー 固有)オプションの表示の指定」を参照してください。特定のユーザに対する認可として適用され る VSA は、それに関連付けられている AAA クライアントを削除または置換しても保持されていま す。ただし、この(ベンダー)タイプの AAA クライアントが設定されていない場合、その VSA 設 定はユーザ設定インターフェイスには表示されません。 Cisco IOS RADIUS は、Cisco IOS VSA だけを表します。IETF RADIUS アトリビュートと Cisco IOS RADIUS アトリビュートを設定する必要があります。 現在のユーザの認可として適用される Cisco IOS RADIUS アトリビュートを設定してイネーブルに するには、次の手順を実行します。 ステップ 1 P.6-4 の「基本ユーザ アカウントの追加」のステップ 1 ∼ステップ 3 を実行します。 User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。 ステップ 2 Cisco IOS RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが正しく設定さ れていることを確認します。IETF RADIUS アトリビュートの設定の詳細については、P.6-30 の「IETF RADIUS パラメータをユーザに対して設定する」を参照してください。 ステップ 3 [009\001] cisco-av-pair アトリビュートを使用して認可を指定する場合、アトリビュートの隣にあ るチェックボックスをオンにして、テキスト ボックスにアトリビュートと値(AV)のペアを入力 します。各アトリビュート値ペアは、Enter キーを押して区切ります。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 6-31 第6章 ユーザ管理 拡張ユーザ認証設定 たとえば、現在のユーザ プロファイルが Network Admission Control(NAC; ネットワーク アドミッ ション コントロール)クライアントに対応し、ACS が常に、該当するグループ プロファイルに含 まれる値とは異なっている必要のある status-query-timeout アトリビュート値を NAC クライア ントに割り当てる場合は、その値を次のように指定することもできます。 status-query-timeout=1200 ステップ 4 他の Cisco IOS/PIX 6.0 RADIUS アトリビュートを使用する場合、対応するチェックボックスをオン にして、隣接するテキスト ボックスに必要な値を指定します。 ステップ 5 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行 します。必要に応じて、この項で説明する他の手順を参照してください。 ステップ 6 ユーザ アカウント オプションの設定が完了したら、Submit をクリックしてオプションを記録しま す。 Cisco Airespace RADIUS パラメータをユーザに対して設定する Cisco Airespace RADIUS パラメータは、次の条件をすべて満たす場合に限り表示されます。 • Network Configuration で、AAA クライアント(1 つ以上)が RADIUS (Cisco Airespace) を使 用するように設定されている。 • Interface Configuration > Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。 • 適用する User-level RADIUS (Cisco Airespace) アトリビュートが Interface Configuration > RADIUS (Cisco Airespace) でイネーブルになっている。 Cisco Airespace RADIUS は、Cisco Airespace 独自のアトリビュートだけを表示します。使用する IETF RADIUS アトリビュートおよび Cisco Airespace RADIUS アトリビュートを設定する必要がありま す。 (注) Cisco Airespace RADIUS アトリビュートを表示または非表示にする方法については、P.2-11 の 「RADIUS(ベンダー固有)オプションの表示の指定」を参照してください。特定のユーザに対す る認可として適用される VSA は、それに関連付けられている AAA クライアントを削除または置換 しても保持されています。ただし、この(ベンダー)タイプの AAA クライアントが設定されてい ない場合、その VSA 設定はユーザ設定インターフェイスには表示されません。 現在のユーザの認可として適用される Cisco Airespace RADIUS アトリビュートを設定してイネーブ ルにするには、次の手順を実行します。 ステップ 1 P.6-4 の「基本ユーザ アカウントの追加」のステップ 1 ∼ステップ 3 を実行します。 User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。 ステップ 2 Cisco Airespace RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが正しく設 定されていることを確認します。IETF RADIUS アトリビュートの設定の詳細については、P.6-30 の 「IETF RADIUS パラメータをユーザに対して設定する」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド 6-32 OL-14386-01-J 第6章 ユーザ管理 拡張ユーザ認証設定 ステップ 3 Cisco Airespace RADIUS Attributes テーブルで、ユーザに認可するアトリビュートを指定するには、 次の手順を実行します。 a. 特定のアトリビュートの隣にあるチェックボックスをオンにします。 b. さらに、隣のフィールドで、そのアトリビュートに対する認可を定義します。 c. 必要に応じて、アトリビュートの選択と定義を続けます。 アトリビュートの詳細については、付録 B「RADIUS アトリビュート」または使用している AAA クライアントのマニュアルを参照してください。 ステップ 4 次のいずれかを実行します。 • ユーザ アカウント オプションの設定が完了したら、Submit をクリックしてオプションを記録 します。 • 続けてユーザ アカウント オプションを指定する場合は、この章の手順を必要に応じて実行し ます。 Cisco Aironet RADIUS パラメータをユーザに対して設定する 単一の Cisco Aironet RADIUS VSA、つまり Cisco-Aironet-Session-Timeout は、バーチャル VSA です。 この VSA は、Cisco Aironet Access Point からの要求に応答する際に、IETF RADIUS Session-Timeout アトリビュート(27)の特別実装(つまり、再マッピング)として機能します。 Cisco-Aironet-Session-Timeout アトリビュートは、無線デバイス経由と有線デバイス経由の両方で ユーザが接続する必要がある場合に、異なるタイムアウト値を指定するために使用します。この機 能を使用して WLAN 接続向けに第 2 のタイムアウト値を指定すると、WLAN 接続(通常は分単位 で計測)に対して標準のタイムアウト値(通常は時間単位で計測)を使用しなければならない場合 に起こり得る問題が回避されます。常に Cisco Aironet Access Point だけで接続する特定のユーザに 対しては、Cisco-Aironet-Session-Timeout を使用する必要はありません。この設定は、有線クライア ント経由と無線クライアント経由の両方で接続する可能性があるユーザに対して使用します。 たとえば、あるユーザに対して Cisco-Aironet-Session-Timeout を 600 秒(10 分)に、IETF RADIUS Session-Timeout を 3 時間に設定するとします。このユーザが VPN 経由で接続すると、ACS はタイ ムアウト値として 3 時間を使用します。一方、このユーザが Cisco Aironet Access Point 経由で接続 すると、ACS は、Aironet AP からの認証要求に応答し、IETF RADIUS Session-Timeout アトリビュー トに 600 秒を送信します。このように、Cisco-Aironet-Session-Timeout アトリビュートが設定され ていると、エンドユーザ クライアントが無線デバイスと Cisco Aironet Access Point のどちらである かに応じて、異なるタイムアウト値を送信できます。 Cisco Aironet RADIUS パラメータは、次の条件をすべて満たす場合に限り、User Setup ページに表 示されます。 • Network Configuration で、AAA クライアント(1 つ以上)が RADIUS (Cisco Aironet) を使用 するように設定されている。 • Interface Configuration > Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。 • Interface Configuration > RADIUS (Cisco Aironet) で、User-level RADIUS (Cisco Aironet) アトリ ビュートがイネーブルになっている。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 6-33 第6章 ユーザ管理 拡張ユーザ認証設定 (注) Cisco Aironet RADIUS VSA を表示または非表示にする方法については、P.2-11 の「RADIUS(ベン ダー固有)オプションの表示の指定」を参照してください。特定のユーザに対する認可として適用 される VSA は、それに関連付けられている AAA クライアントを削除または置換しても保持されて います。ただし、この(ベンダー)タイプの AAA クライアントが設定されていない場合、その VSA 設定はユーザ設定インターフェイスには表示されません。 現在のユーザの認可として適用される Cisco Aironet RADIUS アトリビュートを設定してイネーブル にするには、次の手順を実行します。 ステップ 1 P.6-4 の「基本ユーザ アカウントの追加」のステップ 1 ∼ステップ 3 を実行します。 User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。 ステップ 2 Cisco Aironet RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが正しく設定 されていることを確認します。IETF RADIUS アトリビュートの設定の詳細については、P.6-30 の 「IETF RADIUS パラメータをユーザに対して設定する」を参照してください。 ステップ 3 Cisco Aironet RADIUS Attributes テーブルで、[5842\001] Cisco-Aironet-Session-Timeout チェックボッ クスをオンにします。 ステップ 4 [5842\001] Cisco-Aironet-Session-Timeout ボックスに、セッション タイムアウト値を秒単位で入力 します。この値は、AAA クライアントが RADIUS(Cisco Aironet)認証オプションを使用するよう に Network Configuration で設定されている場合に、ACS によって IETF RADIUS Session-Timeout(27) アトリビュートとして送信されます。推奨値は 600 秒です。 IETF RADIUS Session-Timeout アトリビュートの詳細については、付録 B「RADIUS アトリビュー ト」または使用している AAA クライアントのマニュアルを参照してください。 ステップ 5 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行 します。必要に応じて、この項で説明する他の手順を参照してください。 ステップ 6 ユーザ アカウント オプションの設定が完了したら、Submit をクリックしてオプションを記録しま す。 Ascend RADIUS パラメータをユーザに対して設定する Ascend RADIUS パラメータは、次の条件をすべて満たす場合に限り表示されます。 • Network Configuration で、AAA クライアント(1 つ以上)が RADIUS (Ascend) を使用するよ うに設定されている。 • Interface Configuration > Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。 • Interface Configuration > RADIUS (Ascend) で、適用する User-level RADIUS (Ascend) アトリ ビュートがイネーブルになっている。 Cisco Secure ACS Solution Engine ユーザ ガイド 6-34 OL-14386-01-J 第6章 ユーザ管理 拡張ユーザ認証設定 RADIUS (Ascend) は、Ascend 独自のアトリビュートを表します。IETF RADIUS アトリビュートと Ascend RADIUS アトリビュートを設定する必要があります。このような独自アトリビュートを選択 すると、IETF アトリビュートが無効になります。 RADIUS について表示されるデフォルトのアトリビュート設定は、Ascend-Remote-Addr です。 (注) Ascend RADIUS アトリビュートを表示または非表示にする方法については、P.2-11 の「RADIUS (ベンダー固有)オプションの表示の指定」を参照してください。特定のユーザに対する認可とし て適用される VSA は、それに関連付けられている AAA クライアントを削除または置換しても保持 されています。ただし、この(ベンダー)タイプの AAA クライアントが設定されていない場合、 その VSA 設定はユーザ設定インターフェイスには表示されません。 現在のユーザの認可として使用される Ascend RADIUS アトリビュートを設定してイネーブルにす るには、次の手順を実行します。 ステップ 1 P.6-4 の「基本ユーザ アカウントの追加」のステップ 1 ∼ステップ 3 を実行します。 User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。 ステップ 2 Ascend RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが正しく設定され ていることを確認します。IETF RADIUS アトリビュートの設定の詳細については、P.6-30 の「IETF RADIUS パラメータをユーザに対して設定する」を参照してください。 ステップ 3 Ascend RADIUS Attributes テーブルで、ユーザに認可するアトリビュートを指定するには、次の手 順を実行します。 a. 特定のアトリビュートの隣にあるチェックボックスをオンにします。 b. さらに、隣のフィールドで、そのアトリビュートに対する認可を定義します。 c. 必要に応じて、アトリビュートの選択と定義を続けます。 アトリビュートの詳細については、付録 B「RADIUS アトリビュート」または使用している AAA クライアントのマニュアルを参照してください。 ステップ 4 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行 します。必要に応じて、この項で説明する他の手順を参照してください。 ステップ 5 ユーザ アカウント オプションの設定が完了したら、Submit をクリックしてオプションを記録しま す。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 6-35 第6章 ユーザ管理 拡張ユーザ認証設定 Cisco VPN 3000/ASA/PIX 7.x+ RADIUS パラメータをユーザに対して設定する Cisco VPN 3000 シリーズのコンセントレータの Adaptive Security Appliance (ASA) または PIX Security Appliance バージョン 7.x+ 経由でネットワークにアクセスするユーザの Microsoft Point-to-Point Encryption(MPPE)設定を制御するには、CVPN3000-PPTP-Encryption (VSA 20) アトリビュートと CVPN3000-L2TP-Encryption (VSA 21) アトリビュートを使用します。CVPN3000-PPTP-Encryption (VSA 20) と CVPN3000-L2TP-Encryption (VSA 21) の設定値は、Microsoft MPPE RADIUS 設定値よ りも優先されます。このどちらかのアトリビュートがイネーブルになっている場合、ACS は、送信 RADIUS (Microsoft) アトリビュートに送信する値を決定して、RADIUS (Cisco VPN 3000/ASA/PIX 7.x+) アトリビュートと一緒に送信します。この動作は、RADIUS (Microsoft) アトリビュートが ACS Web インターフェイスでイネーブルになっているかどうかということや、これらのアトリビュート の設定内容には依存しません。 Cisco VPN 3000/ASA/PIX 7.x+ RADIUS アトリビュートは、次の条件をすべて満たす場合に限り表示 されます。 • Network Configuration で AAA クライアント(1 つ以上)が RADIUS (Cisco VPN 3000/ASA/PIX 7.x+) を使用するように設定されている。 • Interface Configuration > Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。 • 適用する User-level RADIUS (Cisco VPN 3000/ASA/PIX 7.x+) アトリビュートが Interface Configuration > RADIUS (Cisco VPN 3000/ASA/PIX 7.x+) でイネーブルになっている。 Cisco VPN 3000/ASA/PIX 7.x+ RADIUS は、Cisco VPN 3000/ASA/PIX 7.x+ VSA だけを表します。IETF RADIUS アトリビュートと Cisco VPN 3000/ASA/PIX 7.x+ RADIUS アトリビュートを設定する必要 があります。 (注) Cisco VPN 5000 Concentrator RADIUS アトリビュートを表示または非表示にする方法については、 P.2-11 の「RADIUS(ベンダー固有)オプションの表示の指定」を参照してください。特定のユー ザに対する認可として適用される VSA は、それに関連付けられている AAA クライアントを削除ま たは置換しても保持されています。ただし、この(ベンダー)タイプの AAA クライアントが設定 されていない場合、その VSA 設定はユーザ設定インターフェイスには表示されません。 現在のユーザの認可として適用される Cisco VPN 3000/ASA/PIX 7.x+ RADIUS アトリビュートを設 定してイネーブルにするには、次の手順を実行します。 ステップ 1 P.6-4 の「基本ユーザ アカウントの追加」のステップ 1 ∼ステップ 3 を実行します。 User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。 ステップ 2 Cisco VPN 3000/ASA/PIX 7.x+ RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュー トが正しく設定されていることを確認します。 IETF RADIUS アトリビュートの設定の詳細については、P.6-30 の「IETF RADIUS パラメータをユー ザに対して設定する」を参照してください。 ステップ 3 Cisco VPN 3000/ASA/PIX 7.x+ Attribute テーブルで、ユーザに認可するアトリビュートを指定するに は、次の手順を実行します。 a. 特定のアトリビュートの隣にあるチェックボックスをオンにします。 Cisco Secure ACS Solution Engine ユーザ ガイド 6-36 OL-14386-01-J 第6章 ユーザ管理 拡張ユーザ認証設定 b. さらに、隣のフィールドで、そのアトリビュートに対する認可を定義します。 c. 必要に応じて、アトリビュートの選択と定義を続けます。 アトリビュートの詳細については、付録 B「RADIUS アトリビュート」または使用している AAA クライアントのマニュアルを参照してください。 ステップ 4 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行 します。必要に応じて、この項で説明する他の手順を参照してください。 ステップ 5 ユーザ アカウント オプションの設定が完了したら、Submit をクリックしてオプションを記録しま す。 Cisco VPN 5000 Concentrator RADIUS パラメータをユーザに対して設定する Cisco VPN 5000 Concentrator RADIUS アトリビュートは、次の条件をすべて満たす場合に限り表示 されます。 • Network Configuration で、AAA クライアント(1 つ以上)が RADIUS(Cisco VPN 5000)を使 用するように設定されている。 • Interface Configuration > Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。 • 適用する User-level RADIUS (Cisco VPN 5000) アトリビュートが Interface Configuration > RADIUS (Cisco VPN 5000) で、イネーブルになっている。 Cisco VPN 5000 Concentrator RADIUS は Cisco VPN 5000 Concentrator VSA だけを表します。IETF RADIUS アトリビュートと Cisco VPN 5000 Concentrator RADIUS アトリビュートを設定する必要が あります。 (注) Cisco VPN 5000 Concentrator RADIUS アトリビュートを表示または非表示にする方法については、 P.2-11 の「RADIUS(ベンダー固有)オプションの表示の指定」を参照してください。特定のユー ザに対する認可として適用される VSA は、それに関連付けられている AAA クライアントを削除ま たは置換しても保持されています。ただし、この(ベンダー)タイプの AAA クライアントが設定 されていない場合、その VSA 設定はユーザ設定インターフェイスには表示されません。 現在のユーザの認可として適用される Cisco VPN 5000 Concentrator RADIUS アトリビュートを設定 してイネーブルにするには、次の手順を実行します。 ステップ 1 P.6-4 の「基本ユーザ アカウントの追加」のステップ 1 ∼ステップ 3 を実行します。 User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。 ステップ 2 Cisco VPN 5000 Concentrator RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュー トが正しく設定されていることを確認します。IETF RADIUS アトリビュートの設定の詳細について は、P.6-30 の「IETF RADIUS パラメータをユーザに対して設定する」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 6-37 第6章 ユーザ管理 拡張ユーザ認証設定 ステップ 3 Cisco VPN 5000 Concentrator Attribute テーブルで、ユーザに認可するアトリビュートを指定するに は、次の手順を実行します。 a. 特定のアトリビュートの隣にあるチェックボックスをオンにします。 b. さらに、隣のフィールドで、そのアトリビュートに対する認可を定義します。 c. 必要に応じて、アトリビュートの選択と定義を続けます。 アトリビュートの詳細については、付録 B「RADIUS アトリビュート」または使用している AAA クライアントのマニュアルを参照してください。 ステップ 4 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行 します。必要に応じて、この項で説明する他の手順を参照してください。 ステップ 5 ユーザ アカウント オプションの設定が完了したら、Submit をクリックしてオプションを記録しま す。 Microsoft RADIUS パラメータをユーザに対して設定する Microsoft RADIUS では、Point-to-Point(PPP; ポイントツーポイント)リンクを暗号化するために Microsoft によって開発された暗号化技術である、Microsoft Point-to-Point Encryption(MPPE)をサ ポートする VSA が提供されます。これらの PPP 接続は、ダイヤルイン回線または Virtual Private Network(VPN; バーチャル プライベート ネットワーク)トンネル経由で可能です。 Cisco VPN 3000 シリーズのコンセントレータ経由でネットワークにアクセスするユーザの Microsoft MPPE 設定値を制御するには、CVPN3000-PPTP-Encryption (VSA 20) アトリビュートと CVPN3000-L2TP-Encryption (VSA 21) アトリビュートを使用します。CVPN3000-PPTP-Encryption (VSA 20) と CVPN3000-L2TP-Encryption (VSA 21) の設定値は、Microsoft MPPE RADIUS 設定値よ りも優先されます。このどちらかのアトリビュートがイネーブルになっている場合、ACS は、送信 RADIUS (Microsoft) アトリビュートに送信する値を決定して、RADIUS (Cisco VPN 3000) アトリ ビュートと一緒に送信します。この動作は、RADIUS (Microsoft) アトリビュートが ACS Web イン ターフェイスでイネーブルになっているかどうかということや、これらのアトリビュートの設定内 容には依存しません。 Microsoft RADIUS アトリビュートは、次の条件をすべて満たす場合に限り表示されます。 • Microsoft RADIUS VSA をサポートする RADIUS プロトコルを使用する AAA クライアント(1 つ以上)が、Network Configuration 内で設定されている。 • Interface Configuration > Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。 • Interface Configuration > RADIUS (Microsoft) で、適用する User-level RADIUS (Microsoft) アト リビュートがイネーブルになっている。 次の ACS RADIUS プロトコルは、Microsoft RADIUS VSA をサポートします。 • Cisco IOS/PIX 6.0 • Cisco VPN 3000/ASA/PIX 7.x+ • Cisco VPN 5000 • Ascend • Cisco Airespace Microsoft RADIUS は Microsoft VSA だけを表します。IETF RADIUS アトリビュートと Microsoft RADIUS アトリビュートを設定する必要があります。 Cisco Secure ACS Solution Engine ユーザ ガイド 6-38 OL-14386-01-J 第6章 ユーザ管理 拡張ユーザ認証設定 (注) Microsoft RADIUS アトリビュートを表示または非表示にする方法については、P.2-11 の「RADIUS (ベンダー固有)オプションの表示の指定」を参照してください。特定のユーザに対する認可とし て適用される VSA は、それに関連付けられている AAA クライアントを削除または置換しても保持 されています。ただし、この(ベンダー)タイプの AAA クライアントが設定されていない場合、 その VSA 設定はユーザ設定インターフェイスには表示されません。 現在のユーザの認可として使用される Microsoft RADIUS アトリビュートを設定してイネーブルに するには、次の手順を実行します。 ステップ 1 P.6-4 の「基本ユーザ アカウントの追加」のステップ 1 ∼ステップ 3 を実行します。 User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。 ステップ 2 Cisco IOS RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが正しく設定さ れていることを確認します。IETF RADIUS アトリビュートの設定の詳細については、P.6-30 の「IETF RADIUS パラメータをユーザに対して設定する」を参照してください。 ステップ 3 Microsoft RADIUS Attributes テーブルで、ユーザに認可するアトリビュートを指定するには、次の 手順を実行します。 a. 特定のアトリビュートの隣にあるチェックボックスをオンにします。 b. さらに、隣のフィールドで、そのアトリビュートに対する認可を定義します。 c. 必要に応じて、アトリビュートの選択と定義を続けます。 アトリビュートの詳細については、付録 B「RADIUS アトリビュート」または使用している AAA クライアントのマニュアルを参照してください。 (注) MS-CHAP-MPPE-Keys アトリビュート値は ACS によって自動生成されます。Web イ ンターフェイスで設定する値はありません。 ステップ 4 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行 します。必要に応じて、この項で説明する他の手順を参照してください。 ステップ 5 ユーザ アカウント オプションの設定が完了したら、Submit をクリックしてオプションを記録しま す。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 6-39 第6章 ユーザ管理 拡張ユーザ認証設定 Nortel RADIUS パラメータをユーザに対して設定する Nortel RADIUS パラメータは、次の条件をすべて満たす場合に限り表示されます。 • Network Configuration で、AAA クライアント(1 つ以上)が RADIUS (Nortel) を使用するよう に設定されている。 • Interface Configuration > Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。 • Interface Configuration > RADIUS (Nortel) で、適用する User-level RADIUS (Nortel) アトリ ビュートがイネーブルになっている。 RADIUS は Nortel 所有のアトリビュートを表します。Internet Engineering Task Force(IETF)RADIUS アトリビュートと Nortel RADIUS アトリビュートを設定する必要があります。このような独自アト リビュートを選択すると、IETF アトリビュートが無効になります。 (注) Nortel RADIUS アトリビュートを表示または非表示にする方法については、P.2-11 の「RADIUS(ベ ンダー固有)オプションの表示の指定」を参照してください。特定のユーザに対する認可として適 用される VSA は、それに関連付けられている AAA クライアントを削除または置換しても保持され ています。ただし、この(ベンダー)タイプの AAA クライアントが設定されていない場合、その VSA 設定はユーザ設定インターフェイスには表示されません。 現在のユーザの認可として使用される Nortel RADIUS アトリビュートを設定してイネーブルにする には、次の手順を実行します。 ステップ 1 P.6-4 の「基本ユーザ アカウントの追加」のステップ 1 ∼ステップ 3 を実行します。 User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。 ステップ 2 Nortel RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが正しく設定されて いることを確認します。IETF RADIUS アトリビュートの設定の詳細については、P.6-30 の「IETF RADIUS パラメータをユーザに対して設定する」を参照してください。 ステップ 3 Nortel RADIUS Attributes テーブルで、ユーザに認可するアトリビュートを指定するには、次の手順 を実行します。 a. 特定のアトリビュートの隣にあるチェックボックスをオンにします。 b. さらに、隣のフィールドで、そのアトリビュートに対する認可を定義します。 c. 必要に応じて、アトリビュートの選択と定義を続けます。 アトリビュートの詳細については、付録 B「RADIUS アトリビュート」または使用している AAA クライアントのマニュアルを参照してください。 ステップ 4 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行 します。必要に応じて、この項で説明する他の手順を参照してください。 ステップ 5 ユーザ アカウント オプションの設定が完了したら、Submit をクリックしてオプションを記録しま す。 Cisco Secure ACS Solution Engine ユーザ ガイド 6-40 OL-14386-01-J 第6章 ユーザ管理 拡張ユーザ認証設定 Juniper RADIUS パラメータをユーザに対して設定する Juniper RADIUS パラメータは、次の条件をすべて満たす場合に限り表示されます。 • Network Configuration で、AAA クライアント(1 つ以上)が RADIUS (Juniper) を使用するよ うに設定されている。 • Interface Configuration > Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。 • Interface Configuration > RADIUS (Juniper) で、適用する User-level RADIUS (Juniper) アトリ ビュートがイネーブルになっている。 Juniper RADIUS は Juniper 独自のアトリビュートを表します。IETF RADIUS アトリビュートと Juniper RADIUS アトリビュートを設定する必要があります。このような独自アトリビュートを選択 すると、IETF アトリビュートが無効になります。 (注) Juniper RADIUS アトリビュートを表示または非表示にする方法については、P.2-11 の「RADIUS (ベンダー固有)オプションの表示の指定」を参照してください。特定のユーザに対する認可とし て適用される VSA は、それに関連付けられている AAA クライアントを削除または置換しても保持 されています。ただし、この(ベンダー)タイプの AAA クライアントが設定されていない場合、 その VSA 設定はユーザ設定インターフェイスには表示されません。 現在のユーザの認可として使用される Juniper RADIUS アトリビュートを設定してイネーブルにす るには、次の手順を実行します。 ステップ 1 P.6-4 の「基本ユーザ アカウントの追加」のステップ 1 ∼ステップ 3 を実行します。 User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。 ステップ 2 Juniper RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが正しく設定され ていることを確認します。IETF RADIUS アトリビュートの設定の詳細については、P.6-30 の「IETF RADIUS パラメータをユーザに対して設定する」を参照してください。 ステップ 3 Juniper RADIUS Attributes テーブルで、ユーザに認可するアトリビュートを指定するには、次の手 順を実行します。 a. 特定のアトリビュートの隣にあるチェックボックスをオンにします。 b. さらに、隣のフィールドで、そのアトリビュートに対する認可を定義します。 c. 必要に応じて、アトリビュートの選択と定義を続けます。 アトリビュートの詳細については、付録 B「RADIUS アトリビュート」または使用している AAA クライアントのマニュアルを参照してください。 ステップ 4 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行 します。必要に応じて、この項で説明する他の手順を参照してください。 ステップ 5 ユーザ アカウント オプションの設定が完了したら、Submit をクリックしてオプションを記録しま す。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 6-41 第6章 ユーザ管理 拡張ユーザ認証設定 3COMUSR RADIUS パラメータをユーザに対して設定する 3COMUSR RADIUS パラメータは、次の条件をすべて満たす場合に限り表示されます。 • Network Configuration で、AAA クライアント(1 つ以上)が RADIUS (3COMUSR) を使用す るように設定されている。 • Interface Configuration > Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。 • Interface Configuration > RADIUS (3COMUSR) で、適用する User-level RADIUS (3COMUSR) アトリビュートがイネーブルになっている。 3COMUSRRADIUS は 3COMUSR 独自のアトリビュートを表します。IETF RADIUS アトリビュート と 3COMUSR RADIUS アトリビュートを設定する必要があります。このような独自アトリビュート を選択すると、IETF アトリビュートが無効になります。 (注) 3COMUSR RADIUS アトリビュートを表示または非表示にする方法については、P.2-11 の「RADIUS (ベンダー固有)オプションの表示の指定」を参照してください。特定のユーザに対する認可とし て適用される VSA は、それに関連付けられている AAA クライアントを削除または置換しても保持 されています。ただし、この(ベンダー)タイプの AAA クライアントが設定されていない場合、 その VSA 設定はユーザ設定インターフェイスには表示されません。 現在のユーザの認可として使用される 3COMUSR RADIUS アトリビュートを設定してイネーブル にするには、次の手順を実行します。 ステップ 1 P.6-4 の「基本ユーザ アカウントの追加」のステップ 1 ∼ステップ 3 を実行します。 User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。 ステップ 2 3COMUSR RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが正しく設定さ れていることを確認します。IETF RADIUS アトリビュートの設定の詳細については、P.6-30 の「IETF RADIUS パラメータをユーザに対して設定する」を参照してください。 ステップ 3 3COMUSR RADIUS Attributes テーブルで、ユーザに認可するアトリビュートを指定するには、次の 手順を実行します。 a. 特定のアトリビュートの隣にあるチェックボックスをオンにします。 b. さらに、隣のフィールドで、そのアトリビュートに対する認可を定義します。 c. 必要に応じて、アトリビュートの選択と定義を続けます。 アトリビュートの詳細については、付録 B「RADIUS アトリビュート」または使用している AAA クライアントのマニュアルを参照してください。 ステップ 4 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行 します。必要に応じて、この項で説明する他の手順を参照してください。 ステップ 5 ユーザ アカウント オプションの設定が完了したら、Submit をクリックしてオプションを記録しま す。 Cisco Secure ACS Solution Engine ユーザ ガイド 6-42 OL-14386-01-J 第6章 ユーザ管理 拡張ユーザ認証設定 BBSM RADIUS パラメータをユーザに対して設定する Building Broadband Services Manager (BBSM) RADIUS パラメータは、次の条件をすべて満たす場合 に限り表示されます。 • Network Configuration で、AAA クライアント(1 つ以上)が RADIUS (BBSM) を使用するよ うに設定されている。 • Interface Configuration > Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。 • Interface Configuration > RADIUS (BBSM) で、適用する User-level RADIUS (BBSM) アトリ ビュートがイネーブルになっている。 BBSM RADIUS は BBSM 独自のアトリビュートを表します。IETF RADIUS アトリビュートと BBSM RADIUS アトリビュートを設定する必要があります。このような独自アトリビュートを選択する と、IETF アトリビュートが無効になります。 (注) BBSM RADIUS アトリビュートを表示または非表示にする方法については、P.2-11 の「RADIUS(ベ ンダー固有)オプションの表示の指定」を参照してください。特定のユーザに対する認可として適 用される VSA は、それに関連付けられている AAA クライアントを削除または置換しても保持され ています。ただし、この(ベンダー)タイプの AAA クライアントが設定されていない場合、その VSA 設定はユーザ設定インターフェイスには表示されません。 現在のユーザの認可として使用される BBSM RADIUS アトリビュートを設定してイネーブルにす るには、次の手順を実行します。 ステップ 1 P.6-4 の「基本ユーザ アカウントの追加」のステップ 1 ∼ステップ 3 を実行します。 User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。 ステップ 2 BBSM RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが正しく設定されて いることを確認します。IETF RADIUS アトリビュートの設定の詳細については、P.6-30 の「IETF RADIUS パラメータをユーザに対して設定する」を参照してください。 ステップ 3 BBSM RADIUS Attributes テーブルで、ユーザに認可するアトリビュートを指定するには、次の手順 を実行します。 a. 特定のアトリビュートの隣にあるチェックボックスをオンにします。 b. さらに、隣のフィールドで、そのアトリビュートに対する認可を定義します。 c. 必要に応じて、アトリビュートの選択と定義を続けます。 アトリビュートの詳細については、付録 B「RADIUS アトリビュート」または使用している AAA クライアントのマニュアルを参照してください。 ステップ 4 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行 します。必要に応じて、この項で説明する他の手順を参照してください。 ステップ 5 ユーザ アカウント オプションの設定が完了したら、Submit をクリックしてオプションを記録しま す。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 6-43 第6章 ユーザ管理 拡張ユーザ認証設定 カスタム RADIUS アトリビュートをユーザに対して設定する RADIUS パラメータは、次の条件をすべて満たす場合に限り表示されます。 • カスタム RADIUS VSA を定義および設定してある(ユーザ定義の RADIUS VSA の作成につい ては、P.8-25 の「AAA クライアントのアクションの作成、読み取り、アップデート、および削 除」を参照してください)。 • カスタム VSA をサポートする RADIUS プロトコルを使用する AAA クライアント(1 つ以上) が、Network Configuration 内で設定されている。 • Interface Configuration > Advanced Options の下にある Per-user TACACS+/RADIUS Attributes チェックボックスがオンになっている。 • Interface Configuration セクションの RADIUS (custom name) で、適用する User-level RADIUS (custom name) アトリビュートがイネーブルになっている。 IETF RADIUS アトリビュートと カスタム RADIUS アトリビュートを設定する必要があります。こ のような独自アトリビュートを選択すると、IETF アトリビュートが無効になります。 現在のユーザの認可として使用されるカスタム RADIUS アトリビュートを設定してイネーブルに するには、次の手順を実行します。 ステップ 1 P.6-4 の「基本ユーザ アカウントの追加」のステップ 1 ∼ステップ 3 を実行します。 User Setup Edit ページが開きます。追加または編集するユーザ名がページ上部に表示されます。 ステップ 2 カスタム RADIUS アトリビュートを設定する前に、IETF RADIUS アトリビュートが正しく設定さ れていることを確認します。IETF RADIUS アトリビュートの設定の詳細については、P.6-30 の「IETF RADIUS パラメータをユーザに対して設定する」を参照してください。 ステップ 3 RADIUS custom name Attributes テーブルで、ユーザに認可するアトリビュートを指定するには、次 の手順を実行します。 a. 特定のアトリビュートの隣にあるチェックボックスをオンにします。 b. さらに、隣のフィールドで、必要に応じてそのアトリビュートに対する認可を定義します。 c. 必要に応じて、アトリビュートの選択と定義を続けます。 アトリビュートの詳細については、付録 B「RADIUS アトリビュート」または使用している AAA クライアントのマニュアルを参照してください。 ステップ 4 続けて他のユーザ アカウント オプションを指定する場合は、そのオプションに必要な手順を実行 します。必要に応じて、この項で説明する他の手順を参照してください。 ステップ 5 ユーザ アカウント オプションの設定が完了したら、Submit をクリックしてオプションを記録しま す。 Cisco Secure ACS Solution Engine ユーザ ガイド 6-44 OL-14386-01-J 第6章 ユーザ管理 ユーザ管理 ユーザ管理 ここでは、User Setup セクションを使用して、さまざまなユーザ アカウント管理タスクを実行する 方法について説明します。 ここでは、次の項目について説明します。 • 全ユーザのリスト表示(P.6-45) • ユーザの検索(P.6-45) • ユーザ アカウントの無効化(P.6-46) • ユーザ アカウントの削除(P.6-47) • ユーザ セッション割当量カウンタのリセット(P.6-48) • ログイン失敗後のユーザ アカウントのリセット(P.6-48) • ダイナミック ユーザの削除(P.6-49) • ユーザ設定の保存(P.6-50) 全ユーザのリスト表示 User リストには、すべてのユーザ アカウント(有効のものと無効のもの)が表示されます。この リストには、ユーザごとに、ユーザ名、ステータス、およびそのユーザが属するグループが表示さ れます。 ユーザ名は、データベースに入力された順序で表示されます。このリストはソートできません。 すべてのユーザ アカウントのリストを表示するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの User Setup をクリックします。 User Setup Select ページが開きます。 ステップ 2 List All Users をクリックします。 右側の表示領域に、User リストが表示されます。 ステップ 3 個々のユーザの情報を表示または編集するには、右側のウィンドウでユーザ名をクリックします。 そのユーザのアカウント情報が表示されます。 ユーザの検索 ユーザを検索するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの User Setup をクリックします。 User Setup Select ページが開きます。 ステップ 2 User ボックスに名前を入力し、Find をクリックします。 ヒント このボックスでは、アスタリスク(*)をワイルドカードとして使用できます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 6-45 第6章 ユーザ管理 ユーザ管理 ヒント 特定の文字または数値で始まるユーザ名のリストを表示するには、英数字リストから文 字または数値をクリックします。名前がその文字または数値で始まるユーザのリストが、 右側の表示領域に表示されます。 ユーザ名、ステータス(イネーブルまたはディセーブル)、およびこのユーザが属するグループが、 右側の表示領域に表示されます。 ステップ 3 ユーザに関する情報を表示または編集するには、右側の表示領域でそのユーザ名をクリックしま す。 そのユーザのアカウント情報が表示されます。 ユーザ アカウントの無効化 ACS 内部データベースのユーザ アカウントを手動で無効にするには、次の手順を実行します。 (注) ユーザ アカウントを自動的に無効にする条件の設定については、P.6-16 の「ユーザ アカウントの 無効化オプションの設定」を参照してください。 (注) この手順は、パスワード エージングによるアカウントの期限満了とは異なります。パスワード エー ジングは個別のユーザに対してではなく、グループに対してだけ定義されます。 ユーザ アカウントを無効にするには、次の手順を実行します。 ステップ 1 ナビゲーション バーの User Setup をクリックします。 User Setup Select ページが開きます。 ステップ 2 User ボックスに、そのアカウントを無効にするユーザの名前を入力します。 ステップ 3 Add/Edit をクリックします。 User Setup Edit ページが開きます。編集の対象となるユーザ名がページ上部に表示されます。 ステップ 4 Account Disabled チェックボックスをオンにします。 ステップ 5 ページの下部にある Submit をクリックします。 指定したユーザ アカウントが無効になります。 Cisco Secure ACS Solution Engine ユーザ ガイド 6-46 OL-14386-01-J 第6章 ユーザ管理 ユーザ管理 ユーザ アカウントの削除 Web インターフェイスを使用してユーザ アカウントを 1 つずつ削除できます。 (注) ヒント Unknown User ポリシーを使用して認証を行い、ユーザ アカウントを削除することによりユーザ ア クセスを拒否する場合は、外部ユーザ データベースからユーザ アカウントを削除する必要もあり ます。この操作によって、ユーザが次回にログインを試みたときに ACS 内部データベースにユー ザ名が自動的に追加されることが防止されます。 ユーザ アカウントのバッチを削除する場合は、アクション コード 101 の Relational Database Management System(RDBMS; リレーショナル データベース管理システム)同期化機能を使用しま す(詳細については、P.8-19 の「RDBMS 同期化」を参照してください)。 ユーザ アカウントを削除するには、次の手順を実行します。 ステップ 1 User Setup をクリックします。 Web インターフェイスの User Setup Select ページが表示されます。 ステップ 2 User ボックスで、削除するユーザ名を完全な形式で入力します。 (注) または、List All Users をクリックし、表示されたリストからユーザを選択することもでき ます。 ステップ 3 Add/Edit をクリックします。 ステップ 4 User Setup ページの一番下にある Delete をクリックします。 (注) Delete ボタンは、ユーザ情報の編集時にだけ表示されます。ユーザ名を追加するときには 表示されません。 ユーザの削除を確認するポップアップ ウィンドウが表示されます。 ステップ 5 OK をクリックします。 ユーザ アカウントが ACS 内部データベースから削除されます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 6-47 第6章 ユーザ管理 ユーザ管理 ユーザ セッション割当量カウンタのリセット ユーザがセッションの割当量を超過する前または後に、そのユーザのセッション割当量カウンタを リセットできます。 現在のユーザの使用割当量カウンタをリセットするには、次の手順を実行します。 ステップ 1 User Setup をクリックします。 Web インターフェイスの Select ページが表示されます。 ステップ 2 User ボックスに、セッション割当量カウンタをリセットするユーザのユーザ名を完全な形式で入力 します。 (注) または、List All Users をクリックし、表示されたリストからユーザを選択することもでき ます。 ステップ 3 Add/Edit をクリックします。 ステップ 4 Session Quotas セクションで、Reset All Counters on submit チェックボックスをオンにします。 ステップ 5 ブラウザ ページの下部にある Submit をクリックします。 このユーザのセッション割当量カウンタがリセットされます。User Setup Select ページが表示されま す。 ログイン失敗後のユーザ アカウントのリセット ユーザのログインが成功しないうちにログイン失敗カウントを超過したために、アカウントが無効 になった場合は、この手順を使用してください。 ログイン失敗後にユーザ アカウントをリセットするには、次の手順を実行します。 ステップ 1 User Setup をクリックします。 Web インターフェイスの User Setup Select ページが表示されます。 ステップ 2 User ボックスに、アカウントをリセットするユーザ名を完全な形式で入力します。 (注) ステップ 3 または、List All Users をクリックし、表示されたリストからユーザを選択することもでき ます。 Add/Edit をクリックします。 Cisco Secure ACS Solution Engine ユーザ ガイド 6-48 OL-14386-01-J 第6章 ユーザ管理 ユーザ管理 ステップ 4 Account Disable テーブルで、Reset current failed attempts count on submit チェックボックスをオン にし、次に Submit をクリックします。 Failed attempts since last successful login:カウンタが 0(ゼロ)にリセットされ、システムによって アカウントが再度有効にされます。 (注) このカウンタには、このユーザが最後にログインに成功して以降、失敗したログイン試行 回数が表示されます。 (注) Windows のユーザ データベースを使用してユーザが認証される場合、この期限満了情報は、 Windows のユーザ アカウント内の情報とは別に追加されます。ここで変更を行っても、 Windows での設定内容は変更されません。 ダイナミック ユーザの削除 外部ソースからダイナミック ユーザの ID および他の関連プロパティを管理できます。外部ソース に対する認証が成功すると、ACS 内部データベースにダイナミック ユーザが作成されます。最適 化のためにダイナミック ユーザが作成されます。それらのユーザを削除しても ACS の機能に影響 ありません。 キャッシュされたユーザ グループのダイナミック ユーザは削除できます。 (注) ダイナミック ユーザがデータベースから削除される間、すべての CSAuth アクティビティは一時停 止します。 ダイナミック ユーザを削除するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの User Setup をクリックします。 User Setup Select ページが表示されます。 ステップ 2 Remove Dynamic Users をクリックします。 削除されたダイナミック ユーザの数を示すメッセージ、またはエラーが発生したかどうかを示す メッセージが右ペインに表示されます。 (注) ACS の複製、アップグレード、またはオーバーインストールを実行する場合は、ダイナミッ クにマッピングされたユーザは保存されません。ACS をバックアップまたは復元する場合 は、ダイナミックにマッピングされたユーザは保存されます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 6-49 第6章 ユーザ管理 ユーザ管理 (注) 外部データベースと照合して認証している間はダイナミック ユーザの作成を省略するように ACS を設定できます。詳細については、P.15-7 の「未知ユーザ ポリシーのオプション」を参照してくだ さい。 ユーザ設定の保存 ユーザの設定が完了したら、設定を保存する必要があります。 現在のユーザの設定を保存するには、次の手順を実行します。 ステップ 1 ユーザ アカウント設定を保存するには、Submit をクリックします。 ステップ 2 変更が適用されたことを確認するには、User ボックスにユーザ名を入力し、Add/Edit をクリック して、表示された設定で確認を行います。 Cisco Secure ACS Solution Engine ユーザ ガイド 6-50 OL-14386-01-J C H A P T E R 7 システム設定:基本 この章では、Cisco Secure Access Control Server Release 4.2(以降は ACS と表記)の Web インター フェイスの System Configuration セクションにある基本機能について説明します。 この章は、次の項で構成されています。 • サービス制御(P.7-2) • ロギング(P.7-3) • 日付形式と時刻形式の制御(P.7-4) • ローカル パスワードの管理(P.7-5) • ACS バックアップ(P.7-10) • ACS システムの復元(P.7-17) • ACS アクティブ サービス管理(P.7-22) • VoIP アカウンティングの設定(P.7-25) • Support ページ(P.7-30) • アプライアンスのアップグレード機能(ACS SE のみ) (P.7-33) Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 7-1 第7章 システム設定:基本 サービス制御 サービス制御 ACS では、いくつかのサービスを使用します。Service Control ページには、サービスの基本ステー タス情報が表示されます。このページを使用して、サービス ログ ファイルの設定、およびサービ スの停止や再起動を行います。ACS サービスの詳細については、第 1 章 「概要」 を参照してください。 ヒント ACS サービス ログを設定できます。詳細については、P.10-30 の「サービス ログの設定」を参照し てください。 ここでは、次の項目について説明します。 • ACS サービスのステータスの判断(P.7-2) • サービスの停止、開始、再起動(P.7-2) • サービス ログ ファイルのパラメータの設定(P.7-3) ACS サービスのステータスの判断 ACS サービスが動作しているか停止しているかは、Service Control ページにアクセスして判断でき ます。 ACS サービスのステータスを判断するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 Service Control をクリックします。 サービスのステータスが hostname テーブルに表示されます。hostname には、ACS の名前が入ります。 サービスの停止、開始、再起動 ACS サービスの停止、開始、再起動は、必要に応じて実行できます。次の手順で、ACS サービス を停止、開始、再起動します。 ヒント ACS によるサービスの開始順序が問題となるため、サービスの制御には Web インターフェイスを 使用する必要があります。CSAdmin サービスを再起動する必要がある場合、Windows コントロー ル パネル(ACS for Windows)またはシリアル コンソールの stop コマンドおよび start コマンド (ACS SE)を使用できます。 (注) (ACS SE のみ)Service Control ページから、CSAgent サービスを制御することはできません。詳細 については、P.7-26 の「CSAgent のイネーブル化またはディセーブル化」を参照してください。 ほとんどの ACS サービスを停止、開始、または再起動するには、次の手順を実行します。 Cisco Secure ACS Solution Engine ユーザ ガイド 7-2 OL-14386-01-J 第7章 システム設定:基本 ロギング ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 Service Control をクリックします。 サービスのステータスが hostname テーブルに表示されます。hostname には、ACS の名前が入ります。 サービスが行われている場合は、Restart ボタンと Stop ボタンがページの下部に表示されます。 サービスが停止している場合は、Start ボタンがページの下部に表示されます。 ステップ 3 状況に応じて、Stop ボタン、Start ボタン、Restart ボタンのいずれかをクリックします。 クリックしたボタンに応じて、ACS サービスのステータスが変化します。 サービス ログ ファイルのパラメータの設定 サービス ログ ファイルおよびディレクトリ管理のパラメータを設定するには、このページを使用 します。オプションの詳細については、P.10-30 の「サービス ログの設定」を参照してください。 ステップ 1 ステップ 2 次の情報を入力します。 フィールド リストから選択する項目 Level of detail 情報の詳しさのレベル Generate new file ログ ファイルを生成するスケジュール Manage directory ログ ファイルを保存する期間 Restart をクリックします。 ACS がサービスを再起動し、指定したサービス ログの設定が ACS に実装されます。 (注) ログ ファイルを保存するための十分な空きディスク容量があることを確認してください。 問題が発生した場合は、ログを調べます。 ロギング ACS では、管理イベントとアカウンティング イベントについてのログを生成するように設定でき ます。ログの内容は、イネーブルにしたプロトコルとオプションによって決まります。ログ ファイ ルは、drive:\install_dir\service_name\Logs ディレクトリに保存されます。たとえば、 C:\CiscoSecureACS\CSAuth\Logs のようになります。サービス ログおよびトラブルシューティングに 関する情報収集の詳細については、P.10-13 の「サービス ログ」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 7-3 第7章 システム設定:基本 日付形式と時刻形式の制御 日付形式と時刻形式の制御 ACS では、ログ、レポート、管理インターフェイスで 2 種類の日付形式が使用できます。月 / 日 / 年形式または日 / 月 / 年形式を選択できます。 ACS がログを syslog サーバに送信すると、syslog はその時刻を表示して記録します。ACS では、ロ グ、レポート、管理インターフェイスで 2 種類の時刻形式を使用できます。現地の時間帯または GMT の表示を選択できます。 日付形式と時刻形式の設定 (注) 日付形式を変更する前に生成したレポートがある場合は、重複を避けるために、必ずそのレポート を移動するか、またはその名前を変更してください。たとえば、月 / 日 / 年形式を使用している場 合、ACS は、2007 年 7 月 12 日に生成したレポートに 2007-07-12.csv という名前を割り当てます。 後で 2007 年 12 月 7 日に、日付形式を日 / 月 / 年形式に変更すると、ACS はまた 2007-07-12.csv と いう名前のファイルを生成して、既存のファイルを上書きします。 日付と時刻の形式を設定するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 Date Format Control をクリックします。 Date Format Control ページが表示されます。 ステップ 3 日付形式を選択します。 ステップ 4 syslog サーバに表示する時間帯を選択します。 ステップ 5 Submit & Restart をクリックします。 ACS がサービスを再起動し、選択した日付形式と時刻形式が ACS に実装されます。 (注) 新しい日付形式または時刻形式が Web インターフェイス レポートに表示されるようにす るには、ACS への接続を再起動する必要があります。ブラウザ ウィンドウの右上隅にある X をクリックしてブラウザを閉じます。 Cisco Secure ACS Solution Engine ユーザ ガイド 7-4 OL-14386-01-J 第7章 システム設定:基本 ローカル パスワードの管理 ローカル パスワードの管理 Local Password Management ページを使用して、ACS 内部データベースにあるユーザ パスワード管 理用の設定を定義できます。 (注) ACS では、ユーザ アカウント、ユーザ名、およびパスワード認証情報を ACS 管理者アカウント情 報と別に格納します。ACS では、ネットワーク サービス要求の認証用に作成されたアカウントと、 ACS 管理アクセス用に作成されたアカウントは、それぞれ別の内部データベースに保存されます。 管理者アカウントの詳細については、第 11 章「管理者と管理ポリシー」を参照してください。 Local Password Management ページには、次のセクションがあります。 • Password Validation Options:ユーザ パスワードの確認パラメータを設定できます。管理者が ACS 内部データベースのユーザ パスワードを変更する場合、およびユーザが Authentication Agent アプレットを使用してパスワードを変更しようとする場合、ACS では次の規則が適用さ れます。 (注) パスワード確認オプションは、ACS 内部データベースに保存されているユーザ パス ワードに限り適用されます。外部ユーザ データベースに保存されているユーザ記録の パスワード、および Cisco IOS ネットワーク デバイスのイネーブル パスワードや管理 パスワードには適用されません。 パスワード確認オプションは次のとおりです。 − Password length between X and Y characters:パスワードの長さが X ボックスと Y ボックス に指定した値の範囲(両端の値も含む)にあることを要求します。ACS は 32 文字までの パスワードをサポートしています。 − Password may not contain the username:ユーザ パスワードの中にユーザ名が含まれていな いことを要求します。 − Password is different from the previous value:新しいユーザ パスワードが前のパスワード と異なることを要求します。 − Password must be alphanumeric:ユーザ パスワードに文字と数字の両方を含めることを要 求します。 • Remote Change Password:TELNET によるパスワード変更をイネーブルにするかどうか、イ ネーブルにする場合には、ACS から更新されたユーザ データをすぐに複製パートナーに送信す るかどうかを設定します。 リモートパスワード変更のオプションは次のとおりです。 − Disable TELNET Change Password against this ACS and return the following message to the users TELNET session:ACS は、TACACS+ を使用するデバイスからのパスワードの変更 をサポートしています。パスワードの変更をディセーブルにするには、このオプションを 選択します。このオプションを選択すると、TACACS+ AAA クライアントがホストする TELNET セッション中にパスワード変更を実行する機能がディセーブルになります。パス ワード変更を提起したユーザは、対応するボックスに管理者が入力したテキスト メッセー ジを受け取ります。詳細については、P.7-6 の「TACACS+ を使用するデバイスからのユー ザ パスワードの変更」を参照してください。 − Upon remote user password change, immediately propagate the change to selected replication partners:TACACS+ AAA クライアント、Authentication Agent、または User-Changeable Passwords Web インターフェイスが運用している TELNET セッション中に変更されたパス ワードを、ACS が複製パートナーに送信するかどうかを指定します。このチェックボック スの下には、この ACS の複製パートナーとして設定されている ACS が表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 7-5 第7章 システム設定:基本 ローカル パスワードの管理 この機能は、データベース複製機能が正しく設定されていることが条件になっています。 しかし、複製のスケジュール設定は、変更されたパスワード情報の伝搬には適用されませ ん。ACS は、複製のスケジュール設定に関係なく、変更されたパスワード情報をすぐに送 信します。 変更されたパスワード情報は、この ACS からの複製データを受信するように正しく設定さ れている ACS に対してだけ複製されます。データベース複製機能の自動トリガー カスケー ド複製が設定されていても、変更されたパスワード情報を受信した ACS は、その情報を複 製パートナーに送信しません。 データベース複製の詳細については、P.8-2 の「ACS 内部データベースの複製」を参照し てください。 User Password Changes ログのログ ファイル管理オプションは、次のとおりです。 − Generate New File:User Password Changes ログ ファイルの作成頻度を、daily、weekly、 monthly、または after the log reaches a size in kilobytes that you specify の中から指定できます。 − Manage Directory:ACS でログ ファイルの保持を制御するかどうかを指定できます。これ を使って、保持するファイルの最大数または最長期間を指定できます。ファイルの最大数 を超えると、最も古いファイルが削除されます。ファイルの最長期間が過ぎたファイルは 削除されます。 TACACS+ を使用するデバイスからのユーザ パスワードの変更 TACACS+ AAA がホストしている TELNET セッション中に、ネットワーク管理者がパスワードを 変更できるかどうかを制御するように、ACS を設定できます。シスコの一部のデバイスは、管理 セッションに接続中に、ユーザが自分のパスワードを変更するための TACACS+ 機能をサポートし ています。ユーザが行った変更は、chpass と呼ばれるルーチンを使用して、TACACS+ を介して ACS に通信されます。 chpass がイネーブルになっている ACS(chpass は、インストールに対してトップレベルの複製マス ターでイネーブルになっている必要があります)では、chpass のシーケンスは次のようになります。 インストールに対してトップレベルの複製マスターで、chpass をイネーブルにします。chpass をイ ネーブルにする ACS での手順について説明します。 デバイスから chpass をイネーブルにするには、次の手順を実行します。 ステップ 1 パスワードの入力を求められたら、Return キーを押します。 ステップ 2 現在のパスワードの入力を求められたら、現在のパスワードを入力して Return キーを押します。 ステップ 3 新しいパスワードの入力を求められたら、新しいパスワードを入力して Return キーを押します。 ユーザが chpass がイネーブルになっている ACS でパスワードを変更しようとすると、ACS はその 複製スレーブ パートナー(GUI に複製スレーブ パートナーとして設定されているものすべて)に、 ただちにイベントの自動伝搬を行います。このプロセスによって、時間を指定した複製の伝搬に依 存していたために起こる変更の伝搬の問題が軽減されます。 パスワード エージングによりパスワードが意図的に変更された後でも chpass を使用できます。 ACS が chpass を開始するため、ユーザは ACS 内部データベース内のパスワードをリセットまたは変更 できます。 Cisco Secure ACS Solution Engine ユーザ ガイド 7-6 OL-14386-01-J 第7章 システム設定:基本 ローカル パスワードの管理 ACS のパスワード エージング機能を使用する場合は、パスワードを変更する必要があります。パ スワードが失効した場合、管理者はユーザのパスワードを意図的にリセットする必要があります。 ユーザは、管理者が割り当てたパスワード、つまり、リセットしたパスワードを使用して、TELNET 経由でのみ AAA クライアントにログインできます。chpass が開始されると、この項で説明する方 式に従ってパスワードを変更するように求められます。 ユーザがパスワードを変更できるようにするもう一つの方法として、ACS が提供する Web ベース の User Changeable Password(UCP)ユーティリティを使用する方法があります。詳細については、 『Installation and User Guide for Cisco Secure ACS User-Changeable Passwords』を参照してください。 TACACS+ 認証トラフィックを特定のデバイスから受信する ACS は、パスワード変更の更新をまだ 受信していないために古いパスワードで動作しているという場合があります。これは、多くの分散 パスワード制御システムでは既知の問題です。ACS chpass は、その TACACS+ クライアントから ディセーブルにできます。TACACS+ クライアント デバイス上のユーザが、chpass のサポートが ディセーブルになっている ACS に対して chpass 手順を試みると、このデバイスでは chpass 機能が サポートされていないことを説明した設定可能なメッセージがデバイスとユーザに送信されます。 この設定可能なメッセージは、chpass を許可する TACACS+ サーバを使用するデバイスに対して TELNET を実行するように、デバイス管理者に指示するために使用できます。 ローカル パスワード管理の設定 ユーザ アカウント パスワードのパスワード確認オプションを設定するには、次の手順を実行しま す。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 Local Password Managment をクリックします。 Local Password Management ページが表示されます。 ステップ 3 Password Validation Options で、次の手順を実行します。 a. Password length between X and Y characters の X ボックスに、パスワードの最小有効文字数を 入力します。X ボックスには 2 桁まで入力できますが、パスワードの長さは 1 ∼ 32 文字までで す。 b. Password length between X and Y characters の Y ボックスに、パスワードの最大有効文字数を入 力します。Y ボックスには 2 桁まで入力できますが、パスワードの長さは 1 ∼ 32 文字までです。 c. ユーザ名を含むパスワードを拒否するには、Password may not contain the username チェック ボックスをオンにします。 d. ユーザ パスワードが以前のユーザ パスワードと異なることを要求するには、Password is different from the previous value チェックボックスをオンにします。 e. パスワードに文字と数字の両方を含めることを要求するには、Password must be alphanumeric チェックボックスをオンにします。 ステップ 4 Remote Change Password で、次の手順を実行します。 a. TELNET セッション中のユーザ パスワード変更をイネーブルにするには、Disable TELNET Change Password against this ACS and return the following message to the users TELNET session チェックボックスをオフにします。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 7-7 第7章 システム設定:基本 ローカル パスワードの管理 b. TELNET セッション中のユーザ パスワード変更をディセーブルにするには、Disable TELNET Change Password against this ACS and return the following message to the users TELNET session チェックボックスをオンにします。 c. TELNET 中のパスワード変更機能をディセーブルにした場合(ステップ b)は、Disable TELNET Change Password against this ACS and return the following message to the users TELNET session チェックボックスの下のボックスに、TELNET セッション中にパスワードの変更を試みたユー ザに対して表示するメッセージを入力します。 d. ユーザがパスワードを変更したら、変更されたパスワード情報をすぐに ACS が送信するように 指定するには、Upon remote user password change, immediately propagate the change to selected replication partners チェックボックスをオンにします。 ヒント ステップ 5 変更されたパスワード情報を受信する ACS は、Upon remote user password change, immediately propagate the change to selected replication partners チェックボックスの下に 一覧表示されます。 Submit をクリックします。 ACS がサービスを再起動し、指定した設定が ACS に実装されます。 新規パスワードの生成間隔の設定(ACS for Windows のみ) ACS が User Password Changes ログ ファイルを定期的に生成するようにするには、次の手順を実行 します。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 Logging をクリックします。 Logging Configuration ページが開きます。 ステップ 3 User Password Changes CSV カラムで、Configure をクリックします。 CSV User Password Changes File Configuration が表示されます。 ステップ 4 ステップ 5 Log File Management セクションで、次のいずれかを選択します。 • Every day:ACS は、毎日開始時に新しい User Password Changes ログ ファイルを作成します。 • Every week:ACS は、毎週開始時に新しい User Password Changes ログ ファイルを作成します。 • Every month:ACS は、毎月開始時に新しい User Password Changes ログ ファイルを作成します。 現在のファイルが指定のサイズに達したときに新しい User Password Changes ログ ファイルを作成 する場合は、When size is greater than X KB オプションを選択して、X ボックスにファイル サイズ のしきい値をキロバイト単位で入力します。 Cisco Secure ACS Solution Engine ユーザ ガイド 7-8 OL-14386-01-J 第7章 システム設定:基本 ローカル パスワードの管理 ステップ 6 ACS で保持する User Password Changes ログ ファイルを管理するには、次の手順を実行します。 a. Manage Directory チェックボックスをオンにします。 b. ACS が保持する User Password Changes ログ ファイルの数を制限する場合は、Keep only the last X files オプションを選択して、ACS が保持するファイルの数を X ボックスに入力します。 c. ACS が保持する User Password Changes ログ ファイルの期間を制限する場合は、Delete files older than X days オプションを選択して、ACS が User Password Change ログ ファイルを保持する日数 を入力します。この日数が経過すると、ACS はファイルを削除します。 ステップ 7 Submit をクリックします。 ACS がサービスを再起動し、指定した設定が ACS に実装されます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 7-9 第7章 システム設定:基本 ACS バックアップ ACS バックアップ この項では、ACS バックアップ機能とその実装方法について説明します。 注意 ACS のこれまでのバージョンと同様に、異なる ACS バージョン間では、複製を行うことはできま せん。 ここでは、次の項目について説明します。 • ACS バックアップについて(P.7-10) • バックアップ ファイルの場所(ACS for Windows のみ) (P.7-11) • ディレクトリ管理(ACS for Windows のみ)(P.7-11) • バックアップされるコンポーネント(P.7-11) • ACS バックアップのレポート(P.7-12) • バックアップ オプション(P.7-12) • 手動による ACS バックアップの実行(P.7-13) • ACS バックアップのスケジューリング(P.7-14) • ACS バックアップのスケジューリングのディセーブル化(P.7-16) ACS バックアップについて バックアップ ファイルを保持しておくと、システム情報が破損または誤って設定された場合のダウ ンタイムを最短に抑えられます。ACS システムは手動でバックアップできます。一定間隔、または 選択した曜日と時刻に実行される自動バックアップを設定することもできます。 ACS for Windows ACS バックアップ機能には、ユーザ データベース、グループ データベース、および ACS システム 設定情報をローカル ハード ドライブ上のファイルにバックアップするためのオプションがありま す。プライマリ システムでハードウェア障害が発生した場合に備えて、ファイルを別のコンピュー タのハード ドライブにコピーすることを推奨します。 ACS SE ACS バックアップ機能は、指定した FTP サーバに送信するファイルに ACS システム情報をバック アップします。FTP サーバでハードウェア障害が発生した場合に備えて、ファイルを FTP サーバか ら別のコンピュータにコピーすることを推奨します。 (注) バックアップに割り当てるファイル名は、ACS によって決定されます。ACS によって生成される バックアップ ファイルに割り当てられるファイル名の詳細については、P.7-17 の「バックアップ ファイルの名前と格納場所」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド 7-10 OL-14386-01-J 第7章 システム設定:基本 ACS バックアップ プラットフォーム共通 バックアップ ファイルを使用して ACS を復元する方法については、P.7-17 の「ACS システムの復 元」を参照してください。 (注) 異なる ACS バージョン間でのバックアップおよび復元機能はサポートされていません。 バックアップ ファイルの場所(ACS for Windows のみ) バックアップ ファイルのデフォルト ディレクトリは次のとおりです。 drive:\path\CSAuth\System Backups drive は、ACS をインストールしたローカル ドライブ、path は、drive のルートから ACS ディレク トリへのパスです。たとえば、ACS バージョン 4.2 をデフォルトの場所にインストールした場合、 バックアップのデフォルトの場所は、次のようになります。 c:\Program Files\CiscoSecure ACS v4.2\CSAuth\System Backups バックアップに割り当てるファイル名は、ACS によって決定されます。ACS がバックアップ ファ イルに割り当てるファイル名の詳細については、P.7-17 の「バックアップ ファイルの名前と格納場 所」を参照してください。 ディレクトリ管理(ACS for Windows のみ) 保持するバックアップ ファイルの数、およびバックアップ ファイルを削除するまでの日数を設定 できます。設定が複雑になり、システムのバックアップが頻繁になるほど、ACS ハード ドライブ から古いデータベースを削除するのに注意が必要になります。 バックアップされるコンポーネント ACS システム バックアップ機能は、ACS に関連する ACS ユーザ データベースをバックアップしま す。ユーザ データベース バックアップには、すべてのユーザ情報(ユーザ名、パスワード、その 他の認証情報)に加えて、サーバ証明書と証明書信頼リストが含まれます。 ACS for Windows でリモートの ACS サーバに情報をロギングする場合は、両方の ACS のバージョ ンのリリース、ビルド、およびパッチ番号が同一でないと、ロギングに失敗することがあります。 注意 (注) ACS のこれまでのバージョンと同様に、異なる ACS バージョン間では、複製を行うことはできま せん。 cert7.db ファイルはバックアップされません。LDAP データベースでこの証明書ファイルを使用す る場合は、障害発生時に備えて、リモート マシンにバックアップすることを推奨します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 7-11 第7章 システム設定:基本 ACS バックアップ ACS バックアップのレポート システム バックアップが実行されると、手動あるいはスケジューリングのどちらの場合も、イベン トが Administration Audit レポートと ACS Backup and Restore レポートにロギングされます。ACS の Reports and Activity セクションで最新レポートを確認できます。 ACS レポートの詳細については、第 1 章「概要」を参照してください。 バックアップ オプション ACS System Backup Setup ページにあるオプションは次のとおりです。 • Manually:ACS は自動バックアップを実行しません。このオプションを選択した場合は、バッ クアップを実行するには、P.7-13 の「手動による ACS バックアップの実行」の手順を実行する 必要があります。 • Every X minutes:ACS は指定された頻度で自動バックアップを実行します。時間の単位は分 で、デフォルトのバックアップ頻度(間隔)は 60 分です。 • At specific times:ACS は日 / 時グラフで指定された時刻に自動バックアップを実行します。最 小間隔は 1 時間で、指定した時刻にバックアップが実行されます。 ACS for Windows • Directory:ACS がバックアップ ファイルを書き込むディレクトリです。ディレクトリは、 c:\acs-bups のように、ACS を実行する Windows サーバ上のフル パスで指定する必要があり ます。 • Manage Directory:ACS で古いバックアップ ファイルを削除するかどうかを定義します。ACS が削除するログ ファイルを決める方法は、次のオプションを使用して指定できます。 − Keep only the last X files:ACS は最近作成されたバックアップ ファイルを、指定した数だ け保持します。指定したファイル数を超えると、ACS は最も古いファイルを削除します。 − Delete files older than X days:ACS は指定した日数が経過したバックアップ ファイルを削 除します。指定した日数が経過すると、ACS はそのバックアップ ファイルを削除します。 • Add Hostname:バックアップ ファイル名に、ACS サーバ ホスト名を含めることができます。 Add Hostname をクリックして、バックアップ ファイル名にホスト名を追加します。ホスト名 を追加すると、複数の ACS サーバに分散展開している ACS サーバに対応するバックアップ ファイルを特定しやすくなります。 ACS SE • FTP Server:バックアップ ファイルを送信する FTP サーバの IP アドレスまたはホスト名です。 ホスト名を指定する場合は、ネットワークで DNS をイネーブルにする必要があります。 • Login:ACS から FTP サーバへのアクセスを可能にする有効なユーザ名です。 • Password:Login ボックスに入力されたユーザ名のパスワードです。 • Directory:ACS がバックアップ ファイルを書き込むディレクトリです。FTP のルート ディレ クトリから相対的にディレクトリを指定します。FTP のルート ディレクトリを指定するには、 ピリオド(.)を 1 つ入力します。 • Encrypt Backup File:ACS がバックアップ ファイルを暗号化するかどうかを決定します。 • Encryption Password:バックアップ ファイルの暗号化に使用するパスワードです。Encrypt backup file オプションをクリックした場合は、パスワードを入力する必要があります。 (注) 暗号化されたバックアップ ファイルを使用して ACS データを復元する場合は、バック アップの作成時に Encryption Password ボックスに入力したのと同じパスワードを入力 する必要があります。 Cisco Secure ACS Solution Engine ユーザ ガイド 7-12 OL-14386-01-J 第7章 システム設定:基本 ACS バックアップ 手動による ACS バックアップの実行 ACS では、バックアップをスケジューリングしなくても、必要なときにいつでもバックアップでき ます。 ACS のバックアップをすぐに行うには、次の手順を実行します。 ACS for Windows ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 ACS Backup をクリックします。 ACS System Backup Setup ページが表示されます。 ステップ 3 Backup Location の下の Directory ボックスに、バックアップ ファイルを書き込むローカル ハード ド ライブ上のドライブとディレクトリへのパスを入力します。 ステップ 4 Backup Now をクリックします。 ACS は、即座にバックアップを開始します。 ACS SE ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 ACS Backup をクリックします。 ACS System Backup Setup ページが表示されます。ページ上部に、次の内容を含む前回のバックアッ プに関する情報が表示されます。 • 前回のバックアップが成功したかどうか。 • バックアップに使用される FTP サーバの IP アドレス。 • バックアップの保存に使用されるディレクトリ。 • 作成されたバックアップ ファイルのファイル名。 ステップ 3 FTP Setup の下の FTP Server ボックスに、ACS がバックアップ ファイルを送信する FTP サーバの IP アドレスまたはホスト名を入力します。 ステップ 4 FTP Setup の下の Login ボックスに、ACS から FTP サーバにアクセスできるようにする有効なユー ザ名を入力します。 ステップ 5 FTP Setup の下の Password ボックスに、Login ボックスに入力したユーザ名のパスワードを入力し ます。 ステップ 6 FTP Setup の下の Directory ボックスに、バックアップ ファイルを送信する FTP サーバのディレク トリへの相対パスを入力します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 7-13 第7章 システム設定:基本 ACS バックアップ ステップ 7 バックアップ ファイルを暗号化する場合は、次の手順を実行します。 a. Encrypt backup file チェックボックスをオンにします。 b. Encryption Password ボックスに、バックアップ ファイルの暗号化に使用するパスワードを入 力します。 (注) 暗号化されたバックアップ ファイルを使用して ACS データを復元する場合は、バック アップの作成時に Encryption Password ボックスに入力したのと同じパスワードを入力 する必要があります。 ステップ 8 Backup Now をクリックします。 ACS は、即座にバックアップを開始します。 (注) バックアップ ファイル名は、ACS によって決定されます。ACS によって生成されるバックアップ ファイルに割り当てられるファイル名の詳細については、P.7-17 の「バックアップ ファイルの名前 と格納場所」を参照してください。 ACS バックアップのスケジューリング ACS バックアップは、一定間隔で実行するようにも、選択した曜日と時刻に実行するようにもスケ ジューリングできます。 ACS がバックアップする時刻をスケジューリングするには、次の手順を実行します。 ACS for Windows ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 ACS Backup をクリックします。 ACS System Backup Setup ページが表示されます。 ステップ 3 一定間隔でバックアップをスケジューリングするには、ACS Backup Scheduling で Every X minutes オプションを選択し、ACS がバックアップを実行する間隔を X ボックスに入力します。 (注) ステップ 4 バックアップ中は ACS が一時的にシャットダウンされるため、バックアップ間隔が短すぎ ると(つまり、設定値が低すぎると)、ユーザが認証できないことがあります。 特定時刻にバックアップをスケジューリングするには、次の手順を実行します。 a. ACS Backup Scheduling で At specific times オプションを選択します。 Cisco Secure ACS Solution Engine ユーザ ガイド 7-14 OL-14386-01-J 第7章 システム設定:基本 ACS バックアップ b. 日 / 時グラフで、ACS がバックアップ実行する時刻をクリックします。 ヒント グラフの時刻をクリックすると、その時刻が選択されます。再度クリックすると解除さ れます。Clear All をクリックして時間全体を解除したり、Set All をクリックして時間全 体を選択することもできます。 ステップ 5 バックアップ ファイルを書き込む場所を変更するには、Directory ボックスにドライブ文字とパス を入力します。 ステップ 6 ACS で保持するバックアップ ファイルを管理するには、次の手順を実行します。 a. Manage Directory チェックボックスをオンにします。 b. ACS が保持するバックアップ ファイルの数を制限するには、Keep only the last X files オプショ ンをクリックし、ACS が保持するファイルの数を X ボックスに入力します。 c. ACS がバックアップ ファイルを保持する期間を制限するには、Delete files older than X days オ プションを選択し、ACS がバックアップ ファイルを保持する日数を入力します。この日数が経 過すると、ACS はファイルを削除します。 ステップ 7 Submit をクリックします。 設定したバックアップ スケジュールが ACS に実装されます。 ACS SE ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 ACS Backup をクリックします。 ACS System Backup Setup ページが表示されます。 ステップ 3 一定間隔でバックアップをスケジューリングするには、ACS Backup Scheduling で Every X minutes オプションを選択し、ACS がバックアップを実行する間隔を X ボックスに入力します。 (注) ステップ 4 バックアップ中は ACS が一時的にシャットダウンされるため、バックアップ間隔が短すぎ ると(つまり、設定値が低すぎると)、ユーザが認証できないことがあります。 特定時刻にバックアップをスケジューリングするには、次の手順を実行します。 a. ACS Backup Scheduling で At specific times オプションを選択します。 b. 日 / 時グラフで、ACS がバックアップする時刻をクリックします。 ヒント グラフの時刻をクリックすると、その時刻が選択されます。再度クリックすると解除さ れます。Clear All をクリックして時間全体を解除したり、Set All をクリックして時間全 体を選択することもできます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 7-15 第7章 システム設定:基本 ACS バックアップ ステップ 5 FTP Setup の下の FTP ボックスに、ACS がバックアップ ファイルを送信する FTP サーバの IP アド レスまたはホスト名を入力します。 ステップ 6 FTP Setup の下の Login ボックスに、ACS から FTP サーバにアクセスできるようにする有効なユー ザ名を入力します。 ステップ 7 FTP Setup の下の Password ボックスに、Login ボックスに入力したユーザ名のパスワードを入力し ます。 ステップ 8 FTP Setup の下の Directory ボックスに、バックアップ ファイルを書き込む FTP サーバのディレク トリへの相対パスを入力します。 ステップ 9 バックアップ ファイルを暗号化する場合は、次の手順を実行します。 a. Encrypt backup file チェックボックスをオンにします。 b. Encryption Password ボックスに、バックアップ ファイルの暗号化に使用するパスワードを入 力します。 (注) 暗号化されたバックアップ ファイルを使用して ACS データを復元する場合は、バック アップの作成時に Encryption Password ボックスに入力したのと同じパスワードを入力 する必要があります。 ステップ 10 Submit をクリックします。 設定したバックアップ スケジュールが ACS に実装されます。 ACS バックアップのスケジューリングのディセーブル化 スケジューリング済み ACS バックアップは、スケジュール自体を残したままディセーブルにでき ます。この方法を使用すると、スケジュールを再作成しなくても、スケジューリングされたバック アップを終了し、再開することができます。 スケジューリングされたバックアップをディセーブルにするには、次の手順を実行します。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 ACS Backup をクリックします。 ACS System Backup Setup ページが表示されます。 ステップ 3 ACS Backup Scheduling で Manual オプションを選択します。 ステップ 4 Submit をクリックします。 ACS によってスケジューリング済みバックアップが中断されます。必要に応じて手動でバックアッ プを実行できます。 Cisco Secure ACS Solution Engine ユーザ ガイド 7-16 OL-14386-01-J 第7章 システム設定:基本 ACS システムの復元 ACS システムの復元 この項では、ACS システム復元機能について、ACS をバックアップ ファイルから復元する方法を 中心に説明します。 注意 ACS のこれまでのバージョンと同様に、異なる ACS バージョン間では、複製を行うことはできま せん。 ここでは、次の項目について説明します。 • ACS システムの復元について(P.7-17) • バックアップ ファイルの名前と格納場所(P.7-17) • 復元されるコンポーネント(P.7-18) • ACS 復元のレポート(P.7-19) • バックアップ ファイルからの ACS の復元(P.7-19) ACS システムの復元について ACS システム復元機能を使用すると、ユーザ データベースおよびグループ データベースを復元し たり、ACS バックアップ機能で生成したバックアップ ファイルから ACS システム設定情報を復元 したりすることができます。この機能は、ACS システム情報が破損したり、誤って設定されたりし た場合のダウンタイムを最短に抑えるために役立ちます。 ACS システム復元機能が処理するのは、同一の ACS バージョンとパッチ レベルを実行している ACS で生成されるバックアップ ファイルだけです。 物理的に異なるサーバに復元する場合、そのサーバは元のサーバと同一の IP アドレスが割り当て られている必要があります。IP アドレスが一致していないと、ACS サーバの詳細が含まれた非表示 のレコードがネットワーク設定に含まれているため、複製が正しく実行されません。 バックアップ ファイルの名前と格納場所 ACS システム復元機能では、ACS ユーザ データベースと他の ACS 設定データが、ACS バックアッ プ機能で作成されたバックアップ ファイルと場所から復元されます。システムを最新バックアップ ファイルから復元することも、最新バックアップ ファイルが不適切であると考えられる場合はそれ 以前のバックアップ ファイルから復元することもできます。 ACS for Windows ACS システム復元機能では、ACS ユーザ データベースおよび ACS Windows レジストリ情報を復元 します。ACS は、ローカル ハード ドライブにバックアップ ファイルを書き込みます。バックアッ プをスケジュールしたり、手動バックアップを実行するときに、バックアップのディレクトリを選 択します。バックアップ ファイルのデフォルト ディレクトリは次のとおりです。 drive:\path\CSAuth\System Backups drive は、ACS をインストールしたローカル ドライブ、path は、drive のルートから ACS ディレク トリへのパスです。たとえば、ACS バージョン 4.2 をデフォルトの場所にインストールした場合、 バックアップのデフォルトの場所は、次のようになります。 c:\Program Files\CiscoSecure ACS v4.2\CSAuth\System Backups Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 7-17 第7章 システム設定:基本 ACS システムの復元 ACS SE ACS システム復元機能では、ACS ユーザ データベースと他の ACS 設定データが、ACS バックアッ プ機能で作成されたバックアップ ファイルと場所から復元されます。ACS は、ACS System Backup Setup ページで指定した FTP サーバにバックアップ ファイルを送信します。FTP サーバでは、バッ クアップ ファイルは、バックアップのスケジューリング時または手動バックアップの実行時に指定 したディレクトリに書き込まれます。FTP サーバでは、Windows か Unix かに応じて次の場所が使 用されます。具体的には、次のとおりです。 • Windows の FTP サーバの場合は、FTPROOT dir/user_specified_dir です。 • Unix の FTP サーバの場合、FTP ユーザのホーム ディレクトリは、デフォルトで FTPROOT です。 プラットフォーム共通 ACS では、次の日付と時刻の形式でバックアップ ファイルが作成されます。 dd-mmm-yyyy hh-nn-ss.dmp 説明 • dd はバックアップが開始した日付です。 • mmm はバックアップが開始した月を英文字の省略形で表します。 • yyyy は暦年です。 • hh は 24 時間形式の時間です。 • nn は分です。 • ss はバックアップが開始した秒です。 たとえば ACS で 1999 年 10 月 13 日午前 11 時 41 分 35 秒にバックアップが開始された場合、ACS では次の名前のバックアップ ファイルが生成されます。 13-Oct-1999 11-41-35.dmp ACS for Windows 最新バックアップ ファイルの場所が不明な場合は、スケジューリング済みバックアップ設定を ACS Backup ページで確認してください。 ACS SE バックアップ ファイルを暗号化する場合は、バックアップ ファイル名の .dmp ファイル拡張子の直 前に小文字の e が付きます。上記の例が暗号化されたバックアップ ファイルの場合、ファイル名は 次のようになります。 13-Oct-2005 11-41-35e.dmp 最新のバックアップ ファイルの作成に使用された FTP サーバとディレクトリがわからない場合は、 ACS System Restore Setup ページを確認してください。最新のバックアップおよび復元に関する情報 がある場合は、ページ上部に表示されます。 復元されるコンポーネント 復元するコンポーネントとしては、ユーザとグループのデータベースまたはシステム設定、あるい はその両方を選択できます。 Cisco Secure ACS Solution Engine ユーザ ガイド 7-18 OL-14386-01-J 第7章 システム設定:基本 ACS システムの復元 ACS 復元のレポート ACS システムの復元が実行されると、Administration Audit レポートと ACS Backup and Restore レポー トにイベントがロギングされます。ACS の Reports and Activity セクションで最新レポートを確認で きます。 ACS レポートの詳細については、第 10 章「ログとレポート」を参照してください。 バックアップ ファイルからの ACS の復元 ACS のシステム復元は、必要な場合にいつでも実行できます。 (注) ACS システム復元機能を使用すると、すべての ACS サービスが再起動され、すべての管理者がロ グアウトされます。 ACS バックアップ機能で生成されたバックアップ ファイルから ACS を復元するには、次の手順を 実行します。 ACS for Windows ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 ACS Restore をクリックします。 ACS System Restore Setup ページが表示されます。 Directory ボックスに、ACS Backup ページの Directory ボックスで最近設定したバックアップ ディレ クトリのドライブとパスが表示されます。 Directory ボックスの下に、現在のバックアップ ディレクトリのバックアップ ファイルが表示され ます。バックアップ ファイルがない場合は、ファイル名のところに <No Matching Files> と表示さ れます。 ステップ 3 バックアップ ディレクトリを変更するには、Directory ボックスにバックアップ ディレクトリの新 しいドライブとパスを入力して、OK をクリックします。 指定したバックアップ ディレクトリにバックアップ ファイルがある場合は、そのファイルが表示 されます。 ステップ 4 Directory ボックスの下のリストで、ACS の復元に使用するバックアップ ファイルを選択します。 ステップ 5 ユーザ データベース情報とグループ データベース情報を復元するために、User and Group Database チェックボックスをオンにします。 ステップ 6 システム設定情報を復元するには、Cisco Secure ACS System Configuration チェックボックスをオ ンにします。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 7-19 第7章 システム設定:基本 ACS システムの復元 ステップ 7 ACS 4.1 のバックアップ ファイルを使用して、ACS 4.2 にアップグレードするには、Restore from 4.1 backup file to ACS 4.2 チェックボックスをオンにします。ACS 4.1 のバックアップ ファイルを使 用して ACS 4.2 にアップグレードするには、このオプションを使用します。これで、アップグレー ド機能が実装され、ユーザ データベース、グループ データベース、およびシステム設定が復元さ れます。 ステップ 8 Restore Now をクリックします。 ACS は、復元を実行すると ACS サービスを再起動し、すべての管理者がログアウトされることを 示す確認ダイアログボックスを表示します。 ステップ 9 復元を続けるために OK をクリックします。 ACS は、選択されたバックアップ ファイルを使用して、指定されたシステム コンポーネントを復 元します。復元に選択したコンポーネントおよびデータベース サイズによっては、復元に数分かか ります。 復元が完了したら、ACS に再びログインできます。 ACS SE ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 ACS Restore をクリックします。 ACS System Restore Setup ページが表示されます。 Decryption Password ボックスを除き、Select Backup To Restore From の下のボックスには、ACS System Backup Setup ページでの設定のとおり、最新の成功したバックアップに使用された値が入力されて います。 ステップ 3 FTP Server、Login、Password、Directory、および File の各ボックスのデフォルト値を受け入れる場 合は、ステップ 5 に進んでください。 ステップ 4 FTP Server、Login、Password、Directory、および File の各ボックスのいずれかの値を変更する場合 は、次の手順を実行します。 a. FTP Setup の下の FTP Server ボックスに、ACS がバックアップ ファイルを取得する FTP サー バの IP アドレスまたはホスト名を入力します。 b. FTP Setup の下の Login ボックスに、ACS から FTP サーバにアクセスできるようにする有効な ユーザ名を入力します。 c. FTP Setup の下の Password ボックスに、Login ボックスに入力したユーザ名のパスワードを入 力します。 d. FTP Setup の下の Directory ボックスに、バックアップ ファイルが格納されている FTP サーバ のディレクトリへの相対パスを入力します。 e. Browse をクリックします。 FTP サーバからファイル リストを取得するとすぐに、指定したディレクトリで検出された ACS バックアップ ファイルがダイアログボックスに表示されます。暗号化されたバックアップ ファ イルは、.dmp ファイル名拡張子の前に小文字の e が付いています(< ファイル名 >e.dmp) 。 Cisco Secure ACS Solution Engine ユーザ ガイド 7-20 OL-14386-01-J 第7章 システム設定:基本 ACS システムの復元 ヒント ファイルが検出されなかった場合、または FTP サーバにアクセスできなかった場合は、 Cancel をクリックしてダイアログボックスを閉じ、ステップ 4 を繰り返します。 f. ACS の復元に使用するバックアップ ファイルのファイル名をクリックします。 選択したファイル名が File ボックスに表示され、ダイアログボックスが閉じます。 ステップ 5 File ボックスで指定されたバックアップ ファイルが暗号化されている場合は、バックアップ ファイ ルの暗号化に使用したのと同じパスワードを Decryption Password ボックスに入力します。 (注) 復号化パスワードは ACS System Backup Setup ページの Encryption Password ボックスで指定 したパスワードと完全に一致する必要があります。 ステップ 6 ユーザ データベース情報とグループ データベース情報を復元するために、User and Group Database チェックボックスをオンにします。 ステップ 7 システム設定情報を復元するために、ACS System Configuration チェックボックスをオンにします。 ステップ 8 ACS 4.1 のバックアップ ファイルを使用して、ACS 4.2 にアップグレードするには、Restore from 4.1 backup file to ACS 4.2 をオンにします。 ステップ 9 Restore Now をクリックします。 ACS は、復元を実行すると ACS サービスを再起動し、すべての管理者がログアウトされることを 示す確認ダイアログボックスを表示します。 ステップ 10 復元を続けるために OK をクリックします。 ACS は、選択されたバックアップ ファイルを使用して、指定されたシステム コンポーネントを復 元します。復元に選択したコンポーネントおよびデータベース サイズによっては、復元に数分かか ります。 復元が完了したら、ACS に再びログインできます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 7-21 第7章 システム設定:基本 ACS アクティブ サービス管理 ACS アクティブ サービス管理 ACS アクティブ サービス管理は、ACS と強固に統合されたアプリケーション固有のサービス監視 ツールです。この項では、ACS アクティブ サービス管理を構成する 2 つの機能について説明します。 ここでは、次の項目について説明します。 • システム モニタリング(P.7-22) • イベント ロギング(P.7-24) システム モニタリング ACS システム モニタリングでは、認証プロセスとアカウンティング プロセスを ACS がテストする 頻度、およびテストでプロセスの失敗が検出されたときに取る自動アクションを決定できます。 ACS は、CSMon サービスを利用してシステム モニタリングを実行します。CSMon サービスの詳細 については、P.F-11 の「CSMon」を参照してください。 システム モニタリング オプション システム モニタリングを設定するオプションは次のとおりです。 • Test login process every X minutes:ACS でログイン プロセスをテストするかどうかを制御しま す。X ボックスに分単位で値を入力すると、ACS がログイン プロセスをテストする頻度が定義 されます。デフォルトの頻度(回数)は 1 分に 1 回です。これは、設定可能な最も短いテスト 間隔でもあります。 このオプションをイネーブルにすると、ACS は定義された間隔で認証とアカウンティングをテ ストします。テストでエラーが検出され、4 回目のテスト再試行でも成功しなかった場合、ACS は If no successful authentications are recorded リストに指定されているアクションを実行し、ロ グにイベントを記録します。 (注) • また、テスト ログインが失敗した場合、CSMon\Scripts フォルダにスクリプトを作成して実 行することもできます。 If no successful authentications are recorded:テスト ログイン プロセスの失敗を検出した場合 に、ACS が実行するアクションを指定します。このリストには組み込みアクションと定義した アクションが含まれています。アスタリスク(*)で始まる項目は、次に示す定義済みアクショ ンです。 − *Restart All:すべての ACS サービスを再起動します。 − *Restart RADIUS/TACACS+:Proxy Remote Access Dial-In User Service(RADIUS)と TACACS+ サービスだけを再起動します。 − *Reboot:ACS をリブートします。 − Custom actions(ACS for Windows) :ログイン プロセスで障害が発生した場合、ACS が実 行する他のアクションを定義できます。ACS は、ログイン プロセス障害が発生したときに バッチ ファイルまたは実行ファイルを実行できます。障害リストでバッチ ファイルまたは 実行ファイルを使用可能にするには、ファイルを次の場所に置きます。 drive:\path\CSMon\Scripts drive は、ACS をインストールしたローカル ドライブ、path は、drive のルートから ACS ディレクトリへのパスです。 Cisco Secure ACS Solution Engine ユーザ ガイド 7-22 OL-14386-01-J 第7章 システム設定:基本 ACS アクティブ サービス管理 ヒント CSAdmin を再起動して、リストの新しいバッチ ファイルまたは実行ファイルを確認しま す。 − Take No Action(プラットフォーム共通):ACS の動作を現状のままにします。 • Generate event when an attempt is made to log in to a disabled account:ディセーブルになってい るアカウントを使用してユーザがネットワークにログインしようとしたときに、ACS でログ エ ントリを生成するかどうかを指定します。 (注) また、テスト ログインが失敗した場合、CSMon\Scripts フォルダにスクリプトを作成して実 行することもできます。 • Log all events to the NT Event log(ACS for Windows) :各例外イベントに対して、ACS が Windows イベント ログを作成するかどうかを指定します。 • Email notification of event(プラットフォーム共通):イベントが発生するたびに ACS が電子 メール通知を送信するかどうかを指定します。 − To:通知の送信先の電子メール アドレスです。たとえば、[email protected] と指定 します。 − SMTP Mail Server:ACS が通知電子メールの送信に使用する Simple Mail Transfer Protocol (SMTP; シンプル メール転送プロトコル)サーバです。SMTP サーバは、ホスト名または IP アドレスで指定できます。 システム モニタリングのセットアップ ACS システム モニタリングをセットアップするには、次の手順を実行します。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 ACS Service Management をクリックします。 ACS Active Service Management Setup ページが表示されます。 ステップ 3 ACS でログイン プロセスをテストするには、次の手順を実行します。 a. Test login process every X minutes チェックボックスをオンにします。 b. ログイン プロセス テストを行う間隔を X ボックスに入力します(最大 3 文字) 。 c. ログイン テストが 5 回連続で失敗したときに ACS が起こすアクションを If no successful authentications are recorded リストから選択します。 ステップ 4 ユーザが無効なアカウントを使用してネットワークにログインを試みたときに Windows イベント を生成するには、Generate event when an attempt is made to log in to a disabled account チェックボッ クスをオンにします。 ステップ 5 イベント ロギングのセットアップについては、P.7-24 の「イベント ロギングのセットアップ」を 参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 7-23 第7章 システム設定:基本 ACS アクティブ サービス管理 ステップ 6 ACS サービス管理のセットアップが終了したら、Submit をクリックします。 設定したサービス管理設定が ACS に実装されます。 イベント ロギング イベント ロギング機能では、イベントが発生した場合に、ACS が Windows イベント ログにイベン トを記録するかどうか、および ACS が電子メールを生成するかどうかを指定できます。ACS は、 システム モニタリング機能を利用してロギング対象のイベントを検出します。システム モニタリ ングの詳細については、P.7-22 の「システム モニタリング オプション」を参照してください。 イベント ロギングのセットアップ ACS イベント ロギングをセットアップするには、次の手順を実行します。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 ACS Service Management をクリックします。 ACS Active Service Management Setup ページが表示されます。 ステップ 3 (ACS for Windows のみ)ACS から Windows イベント ログにすべてのイベントを送信するには、Log all events to the Windows Event log を選択します。 (注) Windows イベント ログを表示するには、Start > Programs > Administrative Tools > Event Viewer を選択します。Windows イベント ログまたは Event Viewer の詳細につい ては、Microsoft Windows のマニュアルを参照してください。 ステップ 4 (プラットフォーム共通)イベントが発生した場合に ACS が電子メールを送信するように設定する には、次の手順を実行します。 a. Email notification of event チェックボックスをオンにします。 b. To ボックスに、ACS がイベント通知電子メールを送信する宛先の電子メール アドレス(最大 200 文字)を入力します。 (注) このボックスに入力する電子メール アドレスには、アンダースコア(_)は使用しない でください。 c. SMTP Mail Server ボックスに、送信電子メール サーバのホスト名(最大 200 文字)を入力し ます。 (注) SMTP メール サーバが動作しており、ACS から使用できる必要があります。 Cisco Secure ACS Solution Engine ユーザ ガイド 7-24 OL-14386-01-J 第7章 システム設定:基本 VoIP アカウンティングの設定 ステップ 5 システム モニタリングをセットアップする場合は、P.7-23 の「システム モニタリングのセットアッ プ」を参照してください。 ステップ 6 ACS サービス管理のセットアップが終了したら、Submit をクリックします。 設定したサービス管理設定が ACS に実装されます。 VoIP アカウンティングの設定 Voice Over IP(VoIP)アカウンティング設定機能では、VoIP アカウンティング データを受信する アカウンティング ログを指定できます。VoIP アカウンティングには、次のオプションがあります。 • Send to both RADIUS and VoIP Accounting Log Targets:ACS は VoIP アカウンティング データ を RADIUS アカウンティング データに付加し、それとは別に CSV ファイルに記録します。デー タを表示するには、Reports and Activity の RADIUS Accounting または VoIP Accounting を使用 します。 • Send only to VoIP Accounting Log Targets:ACS は VoIP アカウンティング データを CSV ファ イルに記録するだけです。データを表示するには、Reports and Activity の VoIP Accounting を使 用します。 • Send only to RADIUS Accounting Log Targets:ACS は VoIP アカウンティング データを RADIUS アカウンティング データに付加するだけです。データを表示するには、Reports and Activity の RADIUS Accounting を使用します。 VoIP アカウンティングの設定 (注) この機能が表示されない場合は、Interface Configuration > Advanced Options を選択します。次に、 Voice-over-IP (VoIP) Accounting Configuration チェックボックスをオンにします。詳細については、 第 2 章「高度なオプション(Interface Configuration 用)」を参照してください。 VoIP アカウンティングを設定するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 VoIP Accounting Configuration をクリックします。 VoIP Accounting Configuration ページが表示されます。Voice-over-IP (VoIP) Accounting Configuration テーブルには、VoIP アカウンティングのオプションが表示されます。 ステップ 3 必要な VoIP アカウンティング オプションを選択します。 ステップ 4 Submit をクリックします。 指定した VoIP アカウンティング設定が ACS に実装されます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 7-25 第7章 システム設定:基本 アプライアンスの設定 (ACS SE のみ) アプライアンスの設定 (ACS SE のみ) Appliance Configuration ページを使用して、ACS ホスト名、ドメイン名、システムの日付および時 刻を設定します。CSA が組み込まれたアプライアンス ベース イメージを使用している場合、また は ACS に CSA 更新を適用した場合は、Appliance Configuration ページを使用して CSAgent サービ スをイネーブルまたはディセーブルにできます。 ここでは、次の項目について説明します。 • CSAgent のイネーブル化またはディセーブル化(P.7-26) • SNMP サポートの設定(P.7-27) • SNMP サポートの設定(P.7-27) • システムの日時の設定(P.7-28) • ACS のホスト名とドメイン名の設定(P.7-29) • CSAgent のイネーブル化またはディセーブル化(P.7-26) CSAgent のイネーブル化またはディセーブル化 (注) CSA セクションは、アプライアンス ベース イメージの 3.3.1.3 以降を使用している場合、または CSA 更新をアプライアンスに適用している場合にのみ表示されます。 CSAgent をイネーブルまたはディセーブルにして、アプライアンスの CSA による保護と制限をイ ネーブルまたはディセーブルにします。次の場合は、CSAgent をディセーブルにする必要がありま す。 (注) • ACS にアップグレードまたはパッチを適用する場合 • ping 要求への応答をアプライアンスに許可する場合 CSAgent がディセーブルの場合、アプライアンスは CSA によって保護されません。CSA による保 護の詳細については、P.1-20 の「Cisco Security Agent のポリシー」を参照してください。 CSAgent をディセーブルした場合、明示的に再度イネーブルにするまでディセーブルのままとなり ます。アプライアンスをリブートしても、ディセーブルの CSAgent サービスは再始動されません。 アプライアンスの CSAgent をイネーブルまたはディセーブルにするには、次の手順を実行します。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 Appliance Configuration をクリックします。 Appliance Configuration ページが表示されます。 (注) Appliance Configuration ページが表示されない場合は、ACS への接続を確認します。 Cisco Secure ACS Solution Engine ユーザ ガイド 7-26 OL-14386-01-J 第7章 システム設定:基本 アプライアンスの設定 (ACS SE のみ) ステップ 3 必要に応じて、CSA Enabled チェックボックスをオンまたはオフにします。 ステップ 4 Submit をクリックします。 ACS で CSAgent がイネーブルまたはディセーブルになります。 SNMP サポートの設定 ACS SE で SNMP サポートを使用して、プロセス、メモリ、CPU の利用率、アプライアンスのバー ジョンおよび ACS ソフトウェアのバージョン、イーサネット インターフェイスのステータスなど のアプライアンスの情報を監視します。 SNMP エージェントを設定するには、ナビゲーション バーで System Configuration > Appliance Configuration を選択します。 そして、次の手順を実行します。 ステップ 1 SNMP Agent Enabled チェックボックスをオンにします。デフォルトではオンになっています。 ステップ 2 SNMP Communities ボックスに、SNMP のコミュニティ ストリングを入力します。カンマ(,)を 除き、すべての文字を使用できます。各コミュニティ ストリングの間には、区切り文字としてカン マ(,)を使用する必要があります。 (注) SNMP Communities フィールドが空欄の場合、SNMP クライアントは ACS SE から情報を取 得できません。 ステップ 3 SNMP Port ボックスに、接続ポート番号を入力します。 ステップ 4 Contact ボックスに、ネットワーク管理者の名前を入力します。 ステップ 5 Location ボックスに、デバイスの場所を入力します。 ステップ 6 SNMP エージェントが受け入れる要求を、リストした特定の SNMP クライアント ホストのアドレ スに制限する場合は、Accept SNMP packets from select hosts チェックボックスをオンにします。 ステップ 7 Host Addresses ボックスに、特定の SNMP クライアント ホストのアドレスを入力します。各ホスト アドレスの間には、デリミタとしてカンマ(,)を使用する必要があります。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 7-27 第7章 システム設定:基本 アプライアンスの設定 (ACS SE のみ) システムの日時の設定 次の手順を使用して、Web インターフェイスからシステムの日時を設定します。また、次の手順に より、日時を自動的に同期化するために使用するネットワーク タイム プロトコル(NTP)サーバ を使用して、システムの日時を維持することもできます。 ヒント シリアル コンソールを使用しても同様の手順でシステムの日時を設定できます。詳細については、 『Installation Guide for Cisco Secure ACS Solution Engine Release 4.2』を参照してください。 システムの日時を設定するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 Appliance Configuration をクリックします。 Appliance Configuration ページが表示されます。 (注) Appliance Configuration ページが表示されない場合は、ACS への接続を確認します。 ステップ 3 Time Zone リストから、システムの時間帯を選択します。 ステップ 4 Time ボックスに、hh:mm:ss の形式でシステムの時刻を入力します。 ステップ 5 Day リストから日を選択します。 ステップ 6 Month リストから月を選択します。 ステップ 7 Year リストから年を選択します。 ステップ 8 NTP サーバに日時を自動的に同期化させる場合にのみ、次のサブステップを実行します。 a. NTP Synchronization Enabled チェックボックスをオンにします。 b. NTP Server(s) ボックスに、システムが使用する NTP サーバの IP アドレス(複数可)を入力し ます。複数入力する場合は、IP アドレスをスペースで区切ります。 (注) 指定した IP アドレスが有効な NTP サーバの IP アドレスであることを確認してくださ い。IP アドレスが誤っていたり、NTP サーバが正常に動作しない場合は、NTP 同期化 プロセスが大幅に遅くなる可能性があります。 ステップ 9 Submit をクリックします。 これで、システムの日時が設定されました。 Cisco Secure ACS Solution Engine ユーザ ガイド 7-28 OL-14386-01-J 第7章 システム設定:基本 アプライアンスの設定 (ACS SE のみ) ACS のホスト名とドメイン名の設定 次の手順を実行して、ACS のホスト名とドメイン名を設定します。 (注) この手順では、ACS をリブートする必要があります。ユーザへの影響を最小限に抑えるため、勤務 時間外にこの手順を実行してください。 ACS のホスト名とドメイン名を設定するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 Appliance Configuration をクリックします。 Appliance Configuration ページが表示されます。 (注) Appliance Configuration ページが表示されない場合は、ACS への接続を確認します。 ステップ 3 Host Name ボックスに、ホスト名を入力します。 ステップ 4 Domain Name ボックスに、ドメイン名を入力します。 ステップ 5 ページの下部にある Submit をクリックして、Reboot をクリックします。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 7-29 第7章 システム設定:基本 Support ページ Support ページ Support ページは次の 2 つの目的で使用します。 • システムのステート情報を • ACS サービスの状態を監視するため。 これらのアクティビティについては、それぞれ次の項を参照してください。 • サポートの実行(P.7-30) • システム情報のモニタリング(P.7-31) ここでは、次の項目について説明します。 • サポートの実行(P.7-30) • システム情報のモニタリング(P.7-31) サポートの実行 Support ページを使用して、Technical Assistance Center(TAC)の担当者に転送するシステム情報を パッケージ化できます。この手順を実行すると、ACS では現在のログがすべて自動的にパッケージ 化されます。 パッケージ化には次のオプションもあります。 • ユーザ データベース。 • 指定した日数分のシステム ログ。 • 診断ログ サポート情報は、ファイル拡張子が .cab のキャビネット ファイルにパッケージ化されます。キャ ビネット ファイルは圧縮されているので、より簡単にサポート情報を送信できます。 (注) Support ページの手順を実行すると、AAA サービスは少しの間停止します。ユーザへの影 響を最小限に抑えるため、AAA アクティビティが最も少ない期間にこの手順を実行するこ とをお勧めします。 システムのステート情報を Cisco Technical Assistance Center に転送するファイルにパッケージ化す るには、次の手順を実行します。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 Support をクリックします。 Support ページが表示されます。 ステップ 3 診断ログ情報をダウンロードする場合は、Collect Log Files チェックボックスをオンにします。こ のオプションを選択すると、package.cab ファイルの生成中は ACS サービスは再起動されません。ア プライアンスのみに関する診断ログ情報の詳細については、P.7-32 の「診断ログの表示またはダウ ンロード (ACS SE のみ) 」を参照してください。 ステップ 4 ACS 内部データベースをサポート ファイルに追加する場合は、Details to collect テーブルの Collect User Database チェックボックスをオンにします。 Cisco Secure ACS Solution Engine ユーザ ガイド 7-30 OL-14386-01-J 第7章 システム設定:基本 Support ページ ステップ 5 アーカイブされているシステム ログを追加する場合は、次の手順を実行します。 a. Collect Previous X Days logs チェックボックスをオンにします。 (注) 現在のログ ファイルよりも古いサービス ログ ファイルを含めてサポート情報をダウン ロードする場合は、Collect Previous X Days logs チェックボックスをオンにし、含めるログ ファイルの日数を入力します。たとえば、Backup and Restore.csv ログのアーカイブされてい るコピーを含める場合は、Backup and Restore.csv ファイルを検索する今日を含めない日数を 入力します。現在のログ ファイルは、今日の日付でない場合があります。現在のログ ファ イルは、今日の日付よりも数日前のものである可能性があります。 b. X ボックスに、ログを収集する日数を入力します。指定できる最大日数は 9999 です。 ステップ 6 Run Support Now をクリックします。 File Download ダイアログボックスが表示されます。 ステップ 7 File Download ダイアログボックスで、Save をクリックします。 Save As ダイアログボックスが表示されます。 ステップ 8 Save As ダイアログボックスを使用して、キャビネット ファイルのパスとファイル名を指定します。 次に、Save をクリックします。 サポート ファイルが生成、保存される間、ACS では少しの間通常のサービスが停止します。ダウ ンロードが完了すると、Download Complete ダイアログボックスが表示されます。 ステップ 9 サポート ファイルの名前と場所を書き留めてから、Close をクリックします。 サポート情報の現在のキャビネット ファイルが指定した場所に書き込まれます。必要に応じて、こ のファイルを TAC 担当者やシスコ サポート要員に転送できます。 システム情報のモニタリング 次の手順を使用して、ACS リソースのステータスと配布状況を監視します。Resource Usage テーブ ルの一番上の行には、CPU リソースのアイドル率と使用可能なメモリの量が表示されます。Resource Usage テーブルの残りの部分には、各サービスに関する次の情報が表示されます。 • CPU:使用されている CPU サイクルのパーセンテージ。System カテゴリでは、CPU に 0 で始 まる番号が付けられます。複数の CPU がある場合、Syetem カテゴリには各 CPU の CPU 情報 が表示されます。 • Memory:各サービスによって割り当てられたメモリの量。 • Handle count:各リソースによって割り当てられたシステム ハンドル(リソース)の数。 • Thread count:各サービスによって生成されたスレッドの数。 ACS サービスのステータスを監視するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 7-31 第7章 システム設定:基本 診断ログの表示またはダウンロード (ACS SE のみ) ステップ 2 Support をクリックします。 Support ページが表示されます。 ステップ 3 Resource Usage テーブルのシステム情報を確認します。 ヒント System というマークが付いた、Resource Usage テーブルの最初の行には、アイドル状態 の CPU サイクルのパーセンテージが表示されます。その他の行には、各サービスによっ て使用される CPU サイクルのパーセンテージが表示されます。合計は 100 パーセントに なります。 診断ログの表示またはダウンロード (ACS SE のみ) ACS は、アプライアンスで実行されているソフトウェアにアップグレードまたはパッチを適用する と必ず診断ログを記録します。また、リカバリ CD を使用してアプライアンスを元の状態に復元す る場合も、診断ログを作成します。 さらに、CSA が組み込まれたアプライアンス ベース イメージを使用している場合、または ACS に CSA 更新を適用した場合は、CSA が作成した 2 つのログに View Diagnostic Logs ページからアクセ スできます。 アプライアンスの診断ログを表示またはダウンロードするには、次の手順を実行します。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 View Diagnostic Logs をクリックします。 View Diagnostic Logs ページが表示されます。 • Log File カラムには、ログ ファイルの名前が一覧表示されます。 • File Size カラムには、各ログ ファイルのサイズがキロバイト単位で表示されます。 ACS が期待されたログ ファイルを作成できなかった場合は、Log file is not created というメッ セージが File Size カラムに表示されます。 ステップ 3 診断ログをダウンロードする場合は、ログ ファイル名を右クリックし、適切なブラウザ機能を使用 してログを保存します。 ログ ファイルのコピーを、Microsoft Excel やテキスト エディタなどのサードパーティ アプリケー ションで表示できるようになりました。希望する場合は、診断ログ ファイルをシスコ サポート技 術者に送信することもできます。 ステップ 4 診断ログを表示する場合は、ログ ファイル名をクリックします。 診断ログの内容が表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド 7-32 OL-14386-01-J 第7章 システム設定:基本 アプライアンスのアップグレード機能(ACS SE のみ) アプライアンスのアップグレード機能(ACS SE のみ) ここでは、次の項目について説明します。 • アプライアンスのアップグレードとパッチについて(P.7-33) • 配布サーバの要件(P.7-34) • アプライアンスのアップグレード(P.7-35) • アップグレード パッケージのアプライアンスへの転送(P.7-36) • アップグレードのアプライアンスへの適用(P.7-39) アプライアンスのアップグレードとパッチについて ACS のすべてのアップグレードとパッチは、アップグレード機能を使用してパッケージ化されま す。ACS 4.2 のインストールの詳細については、 『Installation Guide for Cisco Secure ACS Solution Engine Release 4.2』を参照してください。 (注) ACS 4.2 リリースにアップグレードするには、4.2 リカバリ CD を使用してアプライアンスを再イ メージし、ACS 4.1 データベースを復元する必要があります。ACS 4.2 へのアップグレードには、 Windows 2003 オペレーティング システムのアップグレードが含まれます。 次の 3 フェーズのプロセスを実行して、既存の ACS をアップグレードするか、パッチを適用します。 (注) • フェーズ 1:アップグレード パッケージを取得し、ACS アップグレード配布用の配布サーバに 指定されているコンピュータにロードします。アップグレード パッケージは CD-ROM で、ま たは Cisco.com からダウンロードして取得できます。 • フェーズ 2:インストール パッケージ ファイルを配布サーバからアプライアンスに転送しま す。インストール パッケージの一部である HTTP サーバがファイル転送を行います。アップグ レード ファイルには署名がなされ、アップグレード後にファイルが破壊されていないことを確 認するためにこの署名が検証されます。 • フェーズ 3:アプライアンスにアップグレードを適用します。アプライアンスにアップグレー ド ファイルを適用する前に、ACS は認証性および破壊されていないことを確認するためにファ イルのデジタル署名を検証します。 アップグレードの適用中は、ACS は AAA サービスを提供できません。アップグレード パッケージ をすぐに適用しなくても構わない場合は、ACS のダウンタイムがユーザに与える影響が最も少ない ときにこのフェーズを実行することを検討してください。たとえば、アップグレードを適用する と、AAA サーバが停止し、新しいパッチが適用されて AAA サーバが再起動されます。 図 7-1 はこのプロセスをまとめたものです。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 7-33 第7章 システム設定:基本 アプライアンスのアップグレード機能(ACS SE のみ) 図 7-1 アプライアンスのアップグレード プロセス 配布サーバの要件 配布サーバは、次の要件を満たしている必要があります。 • サポートのため、配布サーバは次のいずれかのオペレーティング システムの英語版を使用する 必要があります。 − Windows Server 2003 R2 Enterprise Edition − サービス パック 3 がインストールされた Windows 2000 Server − サービス パック 1 がインストールされた Windows XP Professional − Solaris 2.8 (注) アップグレード プロセスはサポートされていないオペレーティング システムを使用して も成功する場合がありますが、リストにはシスコがアップグレード プロセスのテストに使 用したオペレーティング システムが反映されています。テストされていないオペレーティ ング システムを使用している配布サーバからのアップグレードはサポートされません。 • CD のアップグレード パッケージを取得した場合は、配布サーバに CD-ROM ドライブがある か、アクセスできる別のコンピュータの CD-ROM ドライブを使用できる必要があります。 • 配布サーバの TCP ポート 8080 は使用しないでください。アップグレード プロセス中にポート 8080 の排他制御が必要になります。 ヒント • 配布サーバ上で他の Web サーバを実行しないことをお勧めします。 サポートされている Web ブラウザが配布サーバ上で使用できる必要があります。必要に応じ て、配布サーバ以外の別のコンピュータの Web ブラウザを使用できます。サポートされている ブラウザの一覧については、『Release Notes for Cisco Secure ACS Release 4.2』を参照してくださ い。リリース ノートの最新バージョンは Cisco.com に掲示されています。 Cisco Secure ACS Solution Engine ユーザ ガイド 7-34 OL-14386-01-J 第7章 システム設定:基本 アプライアンスのアップグレード機能(ACS SE のみ) 配布サーバとアップグレード対象のアプライアンスの間にあるゲートウェイ デバイスにおいて、 ポート 8080 上の配布サーバへの HTTP トラフィックが許可されている必要があります。また、ACS リモート管理セッションも許可されている必要があります。したがって、ポート 2002 上のアプラ イアンスへの HTTP トラフィックと、管理セッション用に許可された範囲のポートも許可されてい る必要があります。詳細については、P.1-20 の「管理セッション用の HTTP ポートの割り当て」を 参照してください。 アプライアンスのアップグレード この項の情報を使用して、アプライアンス ソフトウェアをアップグレードします。 始める前に アップグレードする前に必ず ACS をバックアップします。ACS のバックアップの詳細については、 P.7-10 の「ACS バックアップ」を参照してください。 アプライアンスをアップグレードするには、次の手順を実行します。 ステップ 1 アップグレード パッケージを取得します。アップグレード パッケージの取得方法は、アップグレー ド パッケージおよびサービス契約の種類によって異なります。具体的には、次のとおりです。 • 市販のアップグレード パッケージ:シスコ営業担当者にお問い合せください。 • メンテナンス契約:Cisco.com からアップグレード パッケージをダウンロードできる場合があ ります。シスコ営業担当者にお問い合せください。 • 特定の問題にパッチを適用するアップグレード パッケージ:TAC 担当者にお問い合せくださ い。 ステップ 2 配布サーバとして使用するコンピュータを選択します。配布サーバは P.7-34 の「配布サーバの要 件」で説明した要件を満たしている必要があります。 ステップ 3 .zip や .gz などの圧縮ファイル形式でアップグレード パッケージを取得した場合は、次の手順を実 行します。 a. まだコピーしていない場合は、アップグレード パッケージ ファイルを配布サーバのディレク トリにコピーします。 b. 適切なファイル圧縮解除ユーティリティを使用して、アップグレード パッケージを抽出しま す。 ヒント アップグレード パッケージ用に作成した新しいディレクトリにアップグレード パッケー ジを抽出することを検討してください。 ステップ 4 CD のアップグレード パッケージを取得した場合は、指示があるまで CD を CD-ROM ドライブに挿 入しないでください。CD には autorun ファイルが含まれており、配布サーバが Microsoft Windows を使用している場合、autorun プロセスが手順より早く開始される可能性があります。 ステップ 5 アプライアンスにアップグレード パッケージを転送します。詳細な手順については、P.7-36 の「アッ プグレード パッケージのアプライアンスへの転送」を参照してください。 これで、アップグレード パッケージがアプライアンス上に存在し、適用できる状態になりました。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 7-35 第7章 システム設定:基本 アプライアンスのアップグレード機能(ACS SE のみ) ステップ 6 CSA をアプライアンスで実行している場合は、CSA をディセーブルにします。詳細な手順につい ては、P.7-26 の「CSAgent のイネーブル化またはディセーブル化」を参照してください。 ステップ 7 アプライアンスにアップグレード パッケージを適用します。詳細な手順については、P.7-39 の「アッ プグレードのアプライアンスへの適用」を参照してください。 アップグレードの適用後、ACS はアップグレードされたソフトウェアを使用して動作します。 ステップ 8 CSA でアプライアンスを保護する場合は、CSA をイネーブルにします。詳細な手順については、 P.7-26 の「CSAgent のイネーブル化またはディセーブル化」を参照してください。 (注) アップグレード中に実行されるシステムの再起動では、CSAgent はイネーブルになりませ ん。 アップグレード パッケージのアプライアンスへの転送 次の手順を使用して、アップグレード パッケージを配布サーバからアプライアンスに転送します。 (注) この手順を実行したとしても、アプライアンスのアップグレードを有効にするには、アッ プグレードを適用する必要があります。アップグレードの適用については、P.7-39 の「アッ プグレードのアプライアンスへの適用」を参照してください。アップグレード プロセスに 関するさらに一般的な情報については、P.7-33 の「アプライアンスのアップグレードとパッ チについて」を参照してください。 始める前に アップグレード パッケージを取得し、配布サーバを選択しておく必要があります。詳細について は、P.7-35 の「アプライアンスのアップグレード」を参照してください。 アップグレードをアプライアンスに転送するには、次の手順を実行します。 ステップ 1 配布サーバが Solaris を使用している場合は、ステップ 2 に進みます。配布サーバが Microsoft Windows を使用している場合は、次の手順を実行します。 a. CD のアップグレード パッケージを取得した場合は、CD を配布サーバの CD-ROM ドライブに 挿入します。 ヒント 他のコンピュータの共有 CD ドライブを使用することもできます。その場合、共有 CD ド ライブで autorun がイネーブルであると、アップグレード パッケージに含まれている HTTP サーバは他のコンピュータ上で起動します。たとえば、コンピュータ A とコン ピュータ B が CD ドライブを共有しており、autorun イネーブルになっているコンピュー タ B の CD ドライブを使用する場合、HTTP サーバはコンピュータ B で起動します。 Cisco Secure ACS Solution Engine ユーザ ガイド 7-36 OL-14386-01-J 第7章 システム設定:基本 アプライアンスのアップグレード機能(ACS SE のみ) b. 次のいずれかの条件が満たされる場合は、次の手順を実行します。 • アップグレード パッケージを圧縮ファイルとして取得している。 • autorun が CD-ROM ドライブでイネーブルになっていない。 CD 上、または圧縮されたアップグレード パッケージを抽出したディレクトリにある autorun.bat ファイルを検索し、autorun を起動します。 c. HTTP サーバが起動し、コンソール ウィンドウに autorun.bat からのメッセージが表示され、 ACS に次の 2 つのブラウザ ウィンドウが表示されます。 ステップ 2 • Appliance Upgrade。アプライアンスのホスト名または IP アドレスを入力します。 • New Desktop。他のアプライアンスへの転送を開始します。 配布サーバが Sun Solaris を使用している場合は、次の手順を実行します。 a. CD のアップグレード パッケージを取得した場合は、CD を配布サーバの CD-ROM ドライブに 挿入します。 b. CD 上、または圧縮されたアップグレード パッケージを抽出したディレクトリにある autorun.sh ファイルを検索します。 c. autorun.sh を実行します。 ヒント autorun.sh に適切な権限がない場合は、chmod +x autorun.sh と入力してステップ c を繰 り返します。 d. HTTP サーバが起動し、コンソール ウィンドウに autorun.bat からのメッセージが表示され、次 の 2 つのブラウザ ウィンドウが表示されます。 ステップ 3 • Appliance Upgrade。アプライアンスのホスト名または IP アドレスを入力します。 • New Desktop。他のアプライアンスへの転送を開始します。 autorun ファイルの実行後に Web ブラウザが開かない場合は、配布サーバの Web ブラウザを起動 し、次の URL を開きます。 http://127.0.0.1:8080/install/index.html ヒント ステップ 4 http://IP address:8080/install/index.html という URL を使用すると、別のコンピュータの Web ブラウザから配布サーバ上の HTTP サーバにアクセスできます(URL の IP address の部分は配布サーバの IP アドレスです)。 Appliance Upgrade ブラウザ ウィンドウで、Enter appliance hostname or IP address ボックスにアプ ライアンスの IP アドレスまたはホスト名を入力し、Install をクリックします。 指定したアプライアンスの ACS ログイン ページが表示されます。 ステップ 5 ACS の Web インターフェイスにログインします。 a. Username ボックスに、有効な ACS の管理者名を入力します。 b. Password ボックスに、ACS 管理者のパスワードを入力します。 c. Login をクリックします。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 7-37 第7章 システム設定:基本 アプライアンスのアップグレード機能(ACS SE のみ) ステップ 6 ナビゲーション バーの System Configuration をクリックします。 ステップ 7 Appliance Upgrade Status をクリックします。 Appliance Upgrade ページが表示されます。 ステップ 8 Download をクリックします。 Appliance Upgrade Form ページが表示されます。このページには、配布サーバの特定に使用する Transfer Setup テーブルがあります。 ステップ 9 Install Server ボックスに、配布サーバのホスト名または IP アドレスを入力します。 ステップ 10 Connect をクリックします。 Appliance Upgrade Form ページに、配布サーバから使用できるアップグレードのバージョンと名前 を示した Software Install テーブルが表示されます。 ステップ 11 Software Install テーブルを調べて、アップグレードのバージョン、名前、および状態が適切である ことを確認し、Download Now をクリックします。 Appliance Upgrade ページが表示され、アップグレード ファイルが配布サーバからアプライアンスに ダウンロードされます。Appliance Versions テーブルの下にダウンロードのステータスが表示されま す。 ヒント Appliance Upgrade ページに、Distribution Download in Progress というメッセージが 表示され、その後にダウンロードされたキロバイト数が表示されます。 ステップ 12 転送ステータス メッセージを更新する場合は、Refresh をクリックします。Refresh には次のよう な動作があります。 ヒント • 転送中、ステータス メッセージを更新するために、Refresh は必要な数だけクリックでき ます。 Refresh をクリックした場合。 転送が行われている間、ダウンロードされたキロバイト数が表示されます。 転送完了後に Apply Upgrade ボタンが表示され、転送の経過を示すテキストが、アプライアンス でアップグレード パッケージが使用できることを示すメッセージに置き換えられます。 ステップ 13 ダウンロードが成功し、アップグレードが適用できる状態であることを確認するために、Appliance Upgrade ページに Ready to Upgrade to version というメッセージが表示されることを確認します (メッセージの version 部分は、アプライアンスに転送したアップグレード パッケージのバージョン です)。 これで、アップグレード パッケージがアプライアンスに正常に転送されました。 Cisco Secure ACS Solution Engine ユーザ ガイド 7-38 OL-14386-01-J 第7章 システム設定:基本 アプライアンスのアップグレード機能(ACS SE のみ) ステップ 14 アップグレード パッケージを別のアプライアンスに転送する場合は、New Desktop という名前のブ ラウザ ウィンドウにアクセスし、Install Next をクリックしてステップ 4 に戻ります。 ヒント 別のアプライアンスの Web インターフェイスの URL がわかる場合は、ブラウザの URL を指定するボックスにその URL を入力し、ステップ 5 に戻ってそのアプライアンスに アップグレード パッケージを転送します。 ステップ 15 アプライアンスにアップグレード パッケージを転送し終えたら、New Desktop という名前のブラウ ザ ウィンドウにアクセスし、Stop Distribution Server をクリックします。 HTTP サーバが停止し、配布サーバが、HTTP サーバで使用されていたリソースを解放します。 ステップ 16 アップグレードを適用する場合は、P.7-39 の「アップグレードのアプライアンスへの適用」の手順 を実行します。シリアル コンソールで upgrade コマンドを使用することもできます。upgrade コマ ンドの詳細については、 『Installation Guide for Cisco Secure ACS Solution Engine Release 4.2』を参照し てください。 アップグレードのアプライアンスへの適用 次の手順を使用して、アップグレード パッケージを ACS に適用します。 (注) シリアル コンソールで upgrade コマンドを使用してアップグレード パッケージを適用することも できます。詳細については、『Installation Guide for Cisco Secure ACS Solution Engine Release 4.2』を 参照してください。 始める前に アップグレードを適用する前に、次の手順を実行します。 (注) • アプライアンスにアップグレード パッケージを転送します。詳細な手順については、P.7-36 の 「アップグレード パッケージのアプライアンスへの転送」を参照してください。アプライアン スのアップグレードに必要な手順については、P.7-35 の「アプライアンスのアップグレード」 を参照してください。 • ACS をバックアップします。ACS のバックアップについては、P.7-10 の「ACS バックアップ」 を参照してください。 • CSAgent サービスをディセーブルにします。CSAgent が実行中の場合、アップグレードの適用 は失敗します。詳細な手順については、P.7-26 の「CSAgent のイネーブル化またはディセーブ ル化」を参照してください。 アップグレード中、ACS は AAA サービスを提供できません。アップグレード パッケージをすぐに 適用しなくても構わない場合は、ACS のダウンタイムがユーザに与える影響が最も少ないときにこ の手順を実行することを検討してください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 7-39 第7章 システム設定:基本 アプライアンスのアップグレード機能(ACS SE のみ) ACS にアップグレードを適用するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 Appliance Upgrade Status をクリックします。 Appliance Upgrade ページが表示されます。 ステップ 3 version というメッセージが表示されたことを確認します(メッセージの version 部分は、アプライアンスで使用できるアップグレード パッケージのバージョンです)。 ステップ 4 Apply Upgrade をクリックします。 Ready to Upgrade to Apply Upgrade Message テーブルが表示されます。このテーブルには、アップグレード プロセスに 関するメッセージが表示されます。 ステップ 5 注意 表示される各メッセージを注意深く読み、適切なボタンをクリックします。 アップグレード パッケージが検証されていないという警告メッセージが表示されることがありま す。アップグレードまたはパッチを適用する前に、ACS はアップグレードまたはパッチがシスコ によって認定されていることを確認しようとします。緊急修正用に配布されたパッチなど、有効な アップグレード パッケージによってはこの検証テストに合格しないものもあります。アップグ レード パッケージの適合性に問題がないことを確認できない場合は、そのアップグレード パッ ケージを適用しないでください。 すべての確認プロンプトに答えると、ACS によってアップグレードが適用されます。次の点に注意 してください。 • アップグレード中、ACS サービスおよび Web インターフェイスは利用できません。アップグ レードが完了すると利用できるようになります。 • アップグレードの適用には数分かかります。ACS 内部データベースに多数のユーザ プロファイ ルが含まれている場合、ACS の完全アップグレードにかかる時間は長くなります。 • 通常、ACS のアップグレードではアプライアンスが 1 回か 2 回自動的に再起動します。小さい パッチでは再起動が必要ない場合があります。 • ブラウザのウィンドウが開いても Web インターフェイスが使用できない場合は、アプライアン スが通常の動作を再開するのを待ちます。それから元のブラウザのウィンドウを閉じ、新しい ブラウザ ウィンドウを開いて ACS にログインします。 注意 TAC による指示がない限り、アップグレード適用中にアプライアンスをリセットしないでくださ い。 ステップ 6 アップグレードの適用後、Appliance Upgrade ページに移動してアプライアンス上のソフトウェアの バージョンを確認します。Appliance Versions テーブルに、アプライアンスで実行されているソフト ウェアのバージョンが一覧表示されます。テーブル エントリは、適用したアップグレード パッケー ジを反映しています。 Cisco Secure ACS Solution Engine ユーザ ガイド 7-40 OL-14386-01-J 第7章 システム設定:基本 アプライアンスのアップグレード機能(ACS SE のみ) (注) ブラウザのウィンドウが開いても Web インターフェイスが使用できない場合は、アプライ アンスが通常の動作を再開するのを待ちます。それから元のブラウザのウィンドウを閉じ、 新しいブラウザ ウィンドウを開いて ACS にログインします。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 7-41 第7章 システム設定:基本 アプライアンスのアップグレード機能(ACS SE のみ) Cisco Secure ACS Solution Engine ユーザ ガイド 7-42 OL-14386-01-J C H A P T E R 8 システム設定:高度 この章では、Cisco Secure Access Control Server Release 4.2(以降は ACS と表記) の System Configuration セクションにある ACS 内部データベース複製機能および RDBMS 同期化機能について説明します。 この章は、次の項で構成されています。 • ACS 内部データベースの複製(P.8-2) • RDBMS 同期化(P.8-19) • IP プール サーバ(P.8-42) • IP プール アドレスの復旧(P.8-48) • NAC Attribute Management(ACS SE のみ)(P.8-49) Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 8-1 第8章 システム設定:高度 ACS 内部データベースの複製 ACS 内部データベースの複製 この項では、ACS 内部データベース複製機能について、この機能を実装する手順、および関連する ACS を設定する手順を中心に説明します。 (注) ACS は、NAT 環境における分散した展開はサポートしていません。プライマリまたはセカンダリ アドレスで NAT が設定されている場合、データベース複製ファイルは共有秘密情報の不一致を示 します。 ここでは、次の項目について説明します。 • ACS 内部データベース複製について(P.8-2) − 複製プロセス(P.8-3) − 複製の頻度(P.8-5) • 実装上で重要な検討事項(P.8-6) • データベース複製とバックアップの比較(P.8-7) • データベース複製のロギング(P.8-7) • 複製オプション(P.8-8) − 複製コンポーネント オプション(P.8-8) − Outbound Replication オプション(P.8-10) − Inbound Replication オプション(P.8-11) • ACS のプライマリ複製セットアップとセカンダリ複製セットアップの実装(P.8-11) • セカンダリ ACS の設定(P.8-12) • 即時複製(P.8-14) • 複製のスケジューリング(P.8-15) • ACS データベース複製のディセーブル化(P.8-17) • 自動パスワード変更複製の設定(P.8-18) • データベース複製イベントのエラー(P.8-18) ACS 内部データベース複製について データベース複製では、プライマリ ACS セットアップの一部が少なくとも 1 台のセカンダリ ACS に複製され、ACS ミラーリング システムが作成されます。プライマリ ACS に障害が発生したか ACS で到達不能になった場合に、セカンダリ ACS を使用するように AAA クライアントを設定でき ます。プライマリ ACS の ACS 内部データベースの複製を ACS 内部データベースとして使用するセ カンダリ ACS があれば、プライマリ ACS がサービスを提供できない場合でも、AAA クライアント がセカンダリ ACS にフェールオーバーするように設定されていれば、ネットワークのダウンタイ ムなしで着信要求を認証できます。 データベースの複製は、次の用途に使用できます。 • 複製するプライマリ ACS の設定の一部を選択する。 • スケジュール作成などの複製プロセスのタイミングを制御する。 • 選択した設定項目をプライマリ ACS からエクスポートする。 • 選択した設定データを、プライマリ ACS から用意したセカンダリ ACS に、セキュアに転送す る。 • セカンダリ ACS をアップデートし、構成を一致させる。 Cisco Secure ACS Solution Engine ユーザ ガイド 8-2 OL-14386-01-J 第8章 システム設定:高度 ACS 内部データベースの複製 次の項目は複製できません。 ヒント • IP プール定義(詳細については、P.8-42 の「IP プール サーバについて」を参照) 。 • ACS の証明書ファイルと秘密鍵ファイル • 未知ユーザ グループのマッピングの設定 • ダイナミックにマッピングされたユーザ • System Configuration セクションの ACS Service Management ページ上の設定 • RDBMS 同期化の設定 さまざまなコンポーネントおよびデータベース複製の範囲のリストについては、P.8-8 の「複製コ ンポーネント オプション」を参照してください。 データベース複製では、ACS を次のように区別します。 • プライマリ ACS:複製された ACS 内部データベース コンポーネントを別の ACS に送信する ACS。 • セカンダリ ACS:複製された ACS 内部データベース コンポーネントをプライマリ ACS から受 信する ACS。Web インターフェイスでは複製パートナーとして識別されます。 ACS は、プライマリ ACS とセカンダリ ACS のいずれにもできますが、プライマリ ACS として使 用する ACS を同時にセカンダリ ACS として設定することはできません。 (注) ACS が、リモートの ACS にデータベース コンポーネントを送信するとともに、同じリモート Cisco Secure ACS からデータベース コンポーネントを受信するという双方向複製はサポートされていま せん。ACS の複製先と複製元に同じ ACS を設定すると、複製は失敗します。 (注) 複製に関係する ACS はすべて、同じリリースの ACS ソフトウェアを実行している必要があります。 たとえば、プライマリ ACS で ACS Version 3.2 を実行している場合は、すべてのセカンダリ ACS で ACS バージョン 3.2 を実行している必要があります。パッチ リリースによって、ACS 内部データ ベースに大幅な変更が加えられることがあります。このため、複製に関係する ACS は、パッチ レ ベルも合せておくことを強く推奨します。 複製プロセス このトピックでは、データベース複製のプロセスについて、プライマリ ACS と各セカンダリ ACS との相互動作を中心に説明します。データベース複製では、次のステップが発生します。 1. プライマリ ACS が、自分のデータベースが前回の正常な複製以降に変更されているかどうかを 確認します。変更されている場合は、複製が続行されます。変更されていない場合、複製は打 ち切られます。プライマリおよびセカンダリ ACS のデータベース間の比較は実行されません。 ヒント 複製を強制的に実行するには、ユーザ プロファイルまたはグループ プロファイルに、パ スワードや RADIUS アトリビュートの変更など、変更を 1 つ加えます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 8-3 第8章 システム設定:高度 ACS 内部データベースの複製 2. プライマリ ACS が、セカンダリ ACS に接続します。この初期接続では、次の 4 つのイベント が発生します。 a. プライマリ ACS の共有秘密情報に基づいて、2 台の ACS が相互認証を実行します。認証 に失敗すると、複製が失敗します。 (注) セカンダリ ACS 上で、プライマリ ACS 用の AAA Servers テーブル エントリは、プライ マリ ACS が自分の AAA Servers テーブル エントリに保持しているものと同じ共有秘密 情報を保持している必要があります。セカンダリ ACS の共有秘密情報は、複製には関 係しません。 b. セカンダリ ACS は、プライマリ ACS の複製元として設定されていないことを確認します。 そのように設定されている場合は、複製が打ち切られます。ACS は、双方向複製をサポー トしていません。双方向複製とは、1 台の ACS が、同一のリモート ACS のプライマリと セカンダリとして動作することです。 c. プライマリ ACS は、セカンダリ ACS が実行している ACS のバージョンが自分の ACS の バージョンと同じであるかどうかを確認します。バージョンが異なる場合は、複製が失敗 します。 d. プライマリ ACS は、自分が送信するように設定されているデータベース コンポーネント のリストと、セカンダリ ACS が受信するように設定されているデータベース コンポーネ ントのリストを比較します。プライマリ ACS が送信するように設定されているコンポーネ ントのいずれも、セカンダリ ACS が受信するように設定されていない場合は、データベー ス複製は失敗します。 3. プライマリ ACS が、セカンダリ ACS に送信するコンポーネントを決定すると、複製プロセス はプライマリ ACS で次の動作を続けます。 a. プライマリ ACS は認証を停止し、複製するように設定されている ACS 内部データベース コンポーネントをコピーします。このステップの間、AAA クライアントが正しく設定され ている場合、通常このプライマリ ACS を使用する AAA クライアントは、別の ACS に フェールオーバーします。 b. プライマリ ACS が認証サービスを再開します。それとともに、セカンダリ ACS へ送信す るために、自分のデータベース コンポーネントのコピーを圧縮し、暗号化します。 c. プライマリ ACS は、圧縮し、暗号化した自分のデータベース コンポーネントのコピーを セカンダリ ACS に送信します。この送信は、ポート 2000 を使用して TCP 接続で行われま す。TCP セッションでは、 128 ビット暗号化された Cisco 固有のプロトコルが使用されます。 4. プライマリ ACS での上記のイベントの後、データベース複製プロセスは、セカンダリ ACS で 次のように続きます。 a. セカンダリ ACS は、ACS 内部データベース コンポーネントの圧縮および暗号化されたコ ピーをプライマリ ACS から受信します。データベース コンポーネントの受信が完了する と、セカンダリ ACS はデータベース コンポーネントを解凍します。 b. セカンダリ ACS は、認証サービスを停止し、自分のデータベース コンポーネントを、プ ライマリ ACS から受信したデータベース コンポーネントで置き換えます。このステップ の間、AAA クライアントが正しく設定されている場合、通常このセカンダリ ACS を使用 する AAA クライアントは、別の ACS にフェールオーバーします。 c. セカンダリ ACS が認証サービスを再開します。 ACS はプライマリ ACS およびセカンダリ ACS の両方として動作できます。図 8-1 にカスケード複 製のシナリオの例を示します。サーバ 1 はプライマリ ACS としてのみ動作し、セカンダリ ACS と して動作するサーバ 2 とサーバ 3 に複製します。サーバ 1 からサーバ 2 への複製が終わると、サー バ 2 はプライマリ ACS として動作し、サーバ 4 とサーバ 5 に複製します。同様に、サーバ 3 はプ ライマリ ACS として動作し、サーバ 6 とサーバ 7 に複製します。 Cisco Secure ACS Solution Engine ユーザ ガイド 8-4 OL-14386-01-J 第8章 システム設定:高度 ACS 内部データベースの複製 (注) カスケード複製を使用してネットワーク設定のデバイス テーブルを複製する場合は、複製された データベース コンポーネントを受信するすべての ACS に対して、プライマリ ACS を設定する必要 があります。この場合、複製をそのプライマリ ACS から直接受信するか、間接的に受信するかと いうことは関係ありません。図 8-1 の場合、サーバ 1 の AAA Servers テーブルには、他の 6 つの ACS それぞれに対するエントリがなければなりません。エントリがないと、複製が行われても、 サーバ 2 と 3 の AAA Servers テーブルにはサーバ 4 ∼ 7 が存在しないため、複製は失敗します。 サーバ 2 が、サーバ 1 から複製を受信するように設定され、さらにサーバ 1 に複製するように設定 されている場合、サーバ 2 への複製は失敗します。ACS では、双方向複製と呼ばれるこのような設 定をサポートしていません。このような複製が実行されることを防ぐため、セカンダリ ACS は、 Replication リストに自分のプライマリ ACS が含まれている場合は複製を打ち切ります。 図 8-1 カスケード データベース複製 複製の頻度 ACS が複製を行う頻度は、AAA の全体的なパフォーマンスと重大な関係があります。複製の頻度 を高くするほど、セカンダリ ACS はプライマリ ACS の最新の状態に近くなります。このように頻 繁に複製すると、プライマリ ACS で障害が発生した場合に、プライマリ ACS により近い状態のセ カンダリが作成されます。 複製の頻度を高くすると、コストがかかります。複製の頻度が高くなればそれだけ多重 ACS アー キテクチャとネットワーク環境の負荷も大きくなります。複製を頻繁に実行するようにスケジュー リングすると、ネットワーク トラフィックが増加します。また、複製システムにかかる処理負荷が 増大します。複製によってシステム リソースが消費され、認証が少しの間中断されるため、頻繁に 複製を行うと、ACS の AAA パフォーマンスへの影響が大きくなります。また、サービスが両方の サーバで一時的に中断されるため、Network Access Server(NAS; ネットワーク アクセス サーバ)の フェールオーバーが発生する場合があります。 (注) 複製が実行されるのは、プライマリ ACS のデータベースが前回の正常な複製以降に変更されてい る場合だけであり、スケジューリングされた複製の頻度には関係しません。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 8-5 第8章 システム設定:高度 ACS 内部データベースの複製 この問題は、大規模データベースや変化が激しいデータベースで、はっきり現れます。データベー ス複製は、差分型ではなく破壊型バックアップです。言い換えると、実行するたびにセカンダリ ACS のデータベースと設定は完全に置き換わります。したがって、データベースが大規模な場合 は、転送されるデータの量が膨大なものになり、処理によるオーバーヘッドも大きくなる可能性が あります。 実装上で重要な検討事項 ACS データベース複製機能を実装する場合は、次の事項を考慮してください。 • ACS は他の ACS へのデータベース複製だけをサポートします。ACS 内部データベース複製に 関連するすべての ACS は、同じバージョンの ACS を実行している必要があります。複製に関 連する ACS は、パッチ レベルも合せておくことを強く推奨します。 • 複製に関連するすべての ACS では、AAA Servers テーブルを正しく設定する必要があります。 − プライマリ ACS は、その AAA Servers テーブルの中に、セカンダリ ACS それぞれに対し て、エントリを正確に設定しておく必要があります。 (注) カスケード複製を使用してネットワーク設定のデバイス テーブルを複製する場合は、 複製されたデータベース コンポーネントを受信するすべての ACS に対して、プライマ リ ACS を設定する必要があります。この場合、複製をそのプライマリ ACS から直接受 信するか、間接的に受信するかということは関係ありません。たとえば、プライマリ ACS が 2 つのセカンダリ ACS を複製し、さらにその 2 つがそれぞれ 2 つの ACS を複 製する場合、プライマリ ACS は、複製されたデータベース コンポーネントを受信する 6 つの ACS すべてに対する AAA サーバ設定を持っている必要があります。 − セカンダリ ACS は、その AAA Servers テーブルの中に、自分のプライマリ ACS それぞれ 対して、エントリを正確に設定しておく必要があります。 − プライマリ ACS とそのセカンダリ ACS すべてにおいて、プライマリ ACS 用の AAA Servers テーブル エントリは、同一の共有秘密情報を持っている必要があります。 • 適切に設定されている場合に限り、有効な ACS をセカンダリ ACS にできます。データベース 複製用のセカンダリ ACS を設定する方法については、P.8-12 の「セカンダリ ACS の設定」を 参照してください。 • 複製が実行されるのは、プライマリ ACS のデータベースが前回の正常な複製以降に変更されて いる場合だけであり、スケジューリングされた複製の頻度には関係しません。スケジューリン グされた複製、または手動で起動した複製が開始した場合、プライマリ ACS は、そのデータ ベースが前回の正常な複製以降に変更されていないときは、複製を自動的に打ち切ります。 ヒント 複製を強制的に実行するには、ユーザ プロファイルまたはグループ プロファイルに、パ スワードや RADIUS アトリビュートの変更など、変更を 1 つ加えます。 • セカンダリ ACS への複製は、ACS Database Replication ページにある Replication Partners の下の Replication リストにある順番で順次実行されます。 • 複製コンポーネントを受信するセカンダリ ACS は、プライマリ ACS からデータベース複製を 受け入れるように設定されている必要があります。データベース複製用のセカンダリ ACS を設 定する方法については、P.8-12 の「セカンダリ ACS の設定」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド 8-6 OL-14386-01-J 第8章 システム設定:高度 ACS 内部データベースの複製 • ACS では、双方向データベース複製はサポートされていません。複製コンポーネントを受信す るセカンダリ ACS は、自分の Replication リストに、プライマリ ACS が載っていないことを確 認します。載っていない場合、セカンダリ ACS は複製コンポーネントを受け入れます。載って いる場合は、コンポーネントを拒否します。 • ユーザ アカウントを複製する場合は、すべてのコンポーネントについて(Network Access Profiles を除く)プライマリおよびセカンダリ ACS 上の外部データベース設定に必ず同じ名前 を付けてください。セカンダリ ACS に同じ名前のデータベース設定があるかどうかにかかわら ず、複製されたユーザ アカウントには、認証サービスまたはポスチャ確認サービス用のデータ ベースとの関連が保持されます。たとえば、プライマリ ACS 上の WestCoast LDAP というデー タベースと関連付けられているユーザ アカウントの場合、すべてのセカンダリ ACS 上の複製 されたユーザ アカウントで WestCoast LDAP という外部ユーザ データベースとの関連が保持 されます。これは、たとえその名前の LDAP データベース インスタンスを設定していない場合 でも同じです。 • すべてのコンポーネント(Network Access Profiles を除く)のユーザ定義 RADIUS ベンダーと Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)を使用するユーザとグループの 設定を複製するには、ユーザ定義 RADIUS ベンダーと VSA の定義をプライマリおよびセカン ダリ ACS に手動で追加し、ユーザ定義 RADIUS ベンダーが占有する RADIUS ベンダー スロッ トが各 ACS 上で一致していることを確認します。一致していれば、ユーザ定義 RADIUS ベン ダーと VSA による設定は複製できます。ユーザ定義 RADIUS ベンダーと VSA の詳細について は、P.8-25 の「AAA クライアントのアクションの作成、読み取り、アップデート、および削 除」を参照してください。 データベース複製とバックアップの比較 データベース複製とシステム バックアップを混同しないようにしてください。データベース複製 は、システム バックアップに代わるものではありません。どちらの機能も、サーバを部分的または 全面的に失うことを防ぎますが、それぞれの機能は問題に対処する方法が異なっています。 注意 • システム バックアップでは、システムに障害が発生したりデータが破壊された場合に、後で設 定の復元に使用できる形式でデータがアーカイブされます。バックアップ データはローカルの ハード ドライブ上に格納され、長期保管するためにシステムからコピーして削除することが可 能です。データベース バックアップ ファイルは数世代保存できます。 • ACS データベース複製を利用すると、ACS 内部データベースのさまざまなコンポーネントを別 の ACS にコピーできます。この方法によって、フェールオーバー AAA アーキテクチャを計画 でき、設定タスクと保守タスクの複雑さを軽減できます。ごくまれに、破壊されたデータベー スが ACS データベース複製によって、バックアップ ファイルを生成する ACS に伝搬すること もあります。 破壊されたデータベースが複製される可能性があるため、特にミッションクリティカルな環境で は、バックアップ計画を立てておくことを強く推奨します。ACS 内部データベースのバックアッ プの詳細については、P.7-10 の「ACS バックアップ」を参照してください。詳細については(ACS for Windows)、付録 C「CSUtil データベース ユーティリティ」を参照してください。 データベース複製のロギング ACS は、成功したかどうかにはかかわらず、すべての複製イベントを次の 2 つのファイルに記録し ます。 • Windows イベント ログ • データベース複製レポート Windows イベント ログを表示するには、Windows の管理ユーティリティを使用します。ACS の Reports and Activity セクションで最新レポートを確認できます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 8-7 第8章 システム設定:高度 ACS 内部データベースの複製 ACS レポートの詳細については、第 1 章「概要」を参照してください。 複製オプション ACS の Web インターフェイスには、ACS データベース複製の設定用に、3 つのオプションが用意 されています。 ここでは、次の項目について説明します。 • 複製コンポーネント オプション(P.8-8) • Outbound Replication オプション(P.8-10) • Inbound Replication オプション(P.8-11) 複製コンポーネント オプション ACS がプライマリ ACS として送信する ACS 内部データベース コンポーネントと、セカンダリ ACS として受信するコンポーネントを指定できます。 セキュリティを強化するために、送信専用の ACS と受信専用の ACS を分けたほうが良い場合があ ります。この方法は、すべての ACS の設定が同じであることを確認するために使用できます。 (注) セカンダリ ACS が受信した ACS 内部データベース コンポーネントは、セカンダリ ACS の ACS 内 部データベース コンポーネントを上書きします。上書きされたデータベース コンポーネントに固 有な情報はすべて失われます。たとえば、ユーザおよびグループのデータベースに対して Receive チェックボックスをオンにすると、新しく ACS 内部データベースが受信された時点で、既存のユー ザまたはグループに関するすべてのレコードが失われます。 表 8-1 では、ACS Database Replication ページの Replication Components テーブルと、複製されるコン ポーネント オプションについて説明します。 表 8-1 複製されるコンポーネントの詳細 コンポーネント 複製の対象 User and group database グループとユーザ。Group database only オプションは使用で きません。 Group database only グループが複製されます。ユーザは複製されません。User and group database オプションは使用できません。 Network Configuration Device tables1 Network Configuration セクションの AAA Servers テーブル、 AAA Clients テーブル、およびホスト設定または Network Device Group(NDG; ネットワーク デバイス グループ) 、お よびリモート エージェント設定の一部として Key Wrap キーを複製します。このオプションは、NDG を複製するか どうかも制御します。 Distribution table Network Configuration セクションの Proxy Distribution テーブ ルが複製されます。 Interface configuration Interface Configuration セクションから、Advanced Options 設 定、RADIUS 設定、および TACACS+ 設定を複製します。 Cisco Secure ACS Solution Engine ユーザ ガイド 8-8 OL-14386-01-J 第8章 システム設定:高度 ACS 内部データベースの複製 表 8-1 複製されるコンポーネントの詳細(続き) コンポーネント 複製の対象 Interface security settings ACS Web インターフェイスの管理者およびセキュリティ情 報、パスワード ポリシー、パスワード履歴およびその履歴 を設定するグローバル システム設定の一部などを複製しま す。 Password validation settings パスワード検証設定を複製します。 EAP-FAST master keys and policies EAP-FAST 用のアクティブおよび非アクティブのマスター キーとポリシーを複製します。 Network Access Profiles2 各種設定の組み合せです。ここには、ネットワーク アクセ ス プロファイル、ポスチャ確認の設定、AAA クライアント およびホスト、外部ユーザのデータベース設定、グローバ ル認証設定、NDG、ユーザ定義 RADIUS ディクショナリ、 共有プロファイル コンポーネント、ロギング設定3、GAME グループ フィードバック設定、MAC Authentication Bypass (MAB; MAC 認証バイパス)のデータベース、PEAP 設定の EAP-TLS、EAP-TLS 設定、およびキー ラップの許可設定が 含まれます。 Logging Configuration(イネーブル / System Configuration セクションからロギング設定を行いま ディセーブル設定) す。 1. カスケード複製を使用してネットワーク設定のデバイス テーブルを複製する場合は、 複製されたデータベース コ ンポーネントを受信するすべての ACS に対して、プライマリ ACS を設定する必要があります。この場合、複製 をそのプライマリ ACS から直接受信するか、間接的に受信するかということは関係ありません。たとえば、プラ イマリ ACS が 2 つのセカンダリ ACS を複製し、さらにその 2 つがそれぞれ 2 つの ACS を複製する場合、プライ マリ ACS は、複製されたデータベース コンポーネントを受信する 6 つの ACS すべてに対する AAA サーバ設定 を持っている必要があります。 2. Network Access Profiles テーブルの複製と Network Configuration Device テーブルの複製は矛盾するため、この 2 つ のコンポーネントを同時に選択しないでください。NAP 設定は他のすべての設定を上書きします。ダイナミック にマッピングされたユーザは複製されません。スタティックに追加されたユーザだけが複製されます。 3. ACS for Windows と ACS SE の間でロギング設定を複製すると、ACS サポートを受け取るロガー設定だけが複製 されます。たとえば、ACS SE で ODBC ロギング設定は複製されません。 (注) インターフェイス セキュリティ設定を複製する場合、アクティビティ制限、ロッキングおよび時 間帯がマスター ACS で特定および評価され、複製されます。この複製によって予期しない動作が 複製に発生することがあります。 セカンダリ ACS にデータベース全体をミラーリングすることで、機密データ、たとえば Proxy Distribution Table が送信されることがある場合は、特定カテゴリのデータベース情報だけを送信す るようにプライマリ ACS を設定できます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 8-9 第8章 システム設定:高度 ACS 内部データベースの複製 Outbound Replication オプション ACS Database Replication ページの Outbound Replication テーブルでは、送信をスケジューリングし、 このプライマリ ACS に対するセカンダリ ACS を指定できます。 表 8-2 Outbound Replication オプション オプション 説明 Scheduling Options Manually ACS は自動データベース複製を実行しません。 Automatically Triggered ACS は、プライマリ ACS からのデータベース複製が完了すると、セカ Cascade1 ンダリ ACS の設定済みのリストにデータベース複製を実行します。こ のオプションによって、ACS の伝搬階層を構築し、プライマリ ACS か ら他のすべての ACS に複製コンポーネントを伝搬するという負荷を軽 減できます。カスケード複製の図は、図 8-1 を参照してください。 Every X minutes ACS は、設定された頻度で、設定済みのリストのセカンダリ ACS にデー タベース複製を実行します。時間の単位は分で、デフォルトでは 60 分 ごとにアップデートされます。 At specific times ACS は、日 / 時グラフに指定されている時刻に、設定済みのリストのセ カンダリ ACS にデータベース複製を実行します。最小間隔は 1 時間で、 指定した時刻に複製が実行されます。 Partner Options このプライマリ ACS のセカンダリ ACS を指定できます。このオプショ ンは、プライマリ ACS の複製先にするセカンダリ ACS を管理するもの で、Outbound Replication テーブルの Partners セクションに表示されます。 AAA Server このプライマリ ACS が複製コンポーネントを 送信しない セカンダリ ACS のリストです。 Replication このプライマリ ACS が複製コンポーネントを 送信するセカンダリ ACS のリストです。 Replication Timeout このプライマリ ACS がセカンダリ ACS に複製を継続する分数を指定し ます。このタイムアウト値を超えると、ACS は複製先のセカンダリ ACS への複製を終了し、CSAuth サービスを再起動します。複製タイムアウ ト機能は、複製通信の停止が原因である AAA サービスの損失を防止す るために役立ちます。複製通信は、プライマリおよびセカンダリ ACS 間 のネットワーク接続が極端に低速な場合、またはどちらかの ACS で障 害が発生した場合に停止することがあります。デフォルト値は 5 分です。 1. カスケード複製を使用してネットワーク設定のデバイス テーブルを複製する場合は、複製されたデータベース コ ンポーネントを受信するすべての ACS に対して、プライマリ ACS を設定する必要があります。この場合、複製 をそのプライマリ ACS から直接受信するか、間接的に受信するかということは関係ありません。たとえば、プラ イマリ ACS が 2 つのセカンダリ ACS を複製し、さらにその 2 つがそれぞれ 2 つの ACS を複製する場合、プライ マリ ACS は、複製されたデータベース コンポーネントを受信する 6 つの ACS すべてに対する AAA サーバ設定 を持っている必要があります。 AAA Server リストと Replication リストに含まれている項目は、Network Configuration の AAA Servers テーブルに設定されている AAA サーバを反映しています。特定の ACS をセカンダリ ACS として 利用できるようにするには、まず、その ACS をプライマリ ACS の AAA Servers テーブルに追加す る必要があります。 ヒント 複製されるコンポーネントのサイズは、複製の所要時間に影響します。たとえば、80,000 個のユー ザ プロファイルを含むデータベースの複製には、500 個のユーザ プロファイルを含むデータベース の複製よりも時間が長くかかります。実装に適したタイムアウト値を決定するには、正常な複製イ ベントを監視する必要がある場合もあります。 Cisco Secure ACS Solution Engine ユーザ ガイド 8-10 OL-14386-01-J 第8章 システム設定:高度 ACS 内部データベースの複製 ACS では、双方向データベース複製はサポートされていません。複製コンポーネントを受信するセ カンダリ ACS は、自分の Replication リストに、プライマリ ACS が載っていないことを確認します。 載っていない場合、セカンダリ ACS は複製コンポーネントを受け入れます。載っている場合は、コ ンポーネントを拒否します。 3 つ以上のノードを複製する場合、マスターを使用してネットワーク デバイス上ですべての AAA サーバを設定する必要があり、さらにパートナーも設定する必要があります。たとえば、カスケー ド A-->B-->C がある場合、A では、AAA サーバ カラムで C を設定し、複製カラムで B を設定する 必要があります。B では、AAA サーバ カラムで A を、複製カラムで C を設定する必要があります。 また、C では、AAA サーバ カラムで B を設定する必要があります。このように設定しないと、カ スケード複製は失敗します。 Inbound Replication オプション セカンダリ ACS に対する複製元となるプライマリ ACS を指定できます。このオプションは、ACS Database Replication ページの Inbound Replication テーブルに表示されます。 Accept replication from リストは、現在の ACS に対する複製コンポーネントの送信元となる ACS を 管理します。このリストには、次のオプションが含まれています。 (注) • Any Known ACS Server:このオプションが選択されている場合、ACS は、Network Configuration の AAA Servers テーブルに設定されているすべての ACS から複製コンポーネントを受け入れ ます。 • Other AAA servers:このリストには、Network Configuration の AAA Servers テーブルに設定さ れている AAA サーバがすべて表示されています。特定の AAA サーバ名が選択された場合、 ACS は、指定された ACS からの複製コンポーネントだけを受け入れるようになります。 ACS では、双方向データベース複製はサポートされていません。複製コンポーネントを受信するセ カンダリ ACS は、自分の Replication リストに、プライマリ ACS が載っていないことを確認しま す。載っていない場合、セカンダリ ACS は複製コンポーネントを受け入れます。載っている場合 は、コンポーネントを拒否します。 Network Configuration の AAA Servers テーブルの詳細については、P.3-18 の「AAA サーバの設定」 を参照してください。 ACS のプライマリ複製セットアップとセカンダリ複製セットアップの実装 カスケード複製を使用する複製方式を実装する場合は、別の ACS から複製コンポーネントを受信 したときに限り複製するように設定された ACS が、プライマリ ACS とセカンダリ ACS として動作 します。最初はセカンダリ ACS として動作して複製コンポーネントを受信し、次にプライマリ ACS として動作して別の ACS にコンポーネントを複製します。カスケード複製の図は、図 8-1 を参照し てください。 ACS のプライマリ複製セットアップとセカンダリ複製セットアップは、次の手順で実装します。 ステップ 1 各セカンダリ ACS で、次の手順を実行します。 a. Network Configuration セクションで、プライマリ ACS を AAA Servers テーブルに追加します。 AAA Servers テーブルにエントリを追加する方法については、P.3-18 の「AAA サーバの設定」 を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 8-11 第8章 システム設定:高度 ACS 内部データベースの複製 b. 複製コンポーネントを受信するようにセカンダリ ACS を設定します。その方法については、 P.8-12 の「セカンダリ ACS の設定」を参照してください。 ステップ 2 プライマリ ACS で、次の手順を実行します。 a. Network Configuration セクションで、それぞれのセカンダリ ACS を AAA Servers テーブルに追 加します。 (注) カスケード複製を使用してネットワーク設定のデバイス テーブルを複製する場合は、 複製されたデータベース コンポーネントを受信するすべての ACS に対して、プライマ リ ACS を設定する必要があります。この場合、複製をそのプライマリ ACS から直接受 信するか、間接的に受信するかということは関係ありません。たとえば、プライマリ ACS が 2 つのセカンダリ ACS を複製し、さらにその 2 つがそれぞれ 2 つの ACS を複 製する場合、プライマリ ACS は、複製されたデータベース コンポーネントを受信する 6 つの ACS すべてに対する AAA サーバ設定を持っている必要があります。 AAA Servers テーブルにエントリを追加する方法については、P.3-18 の「AAA サーバの設定」 を参照してください。 b. スケジュールに従って複製する方法、一定間隔で複製する方法、またはプライマリ ACS が別の ACS から複製コンポーネントを受信したときに複製する方法については、P.8-15 の「複製のス ケジューリング」を参照してください。 c. 複製をすぐに開始する方法については、P.8-14 の「即時複製」を参照してください。 セカンダリ ACS の設定 (注) この機能が表示されない場合は、Interface Configuration > Advanced Options を選択します。次に、 ACS Database Replication チェックボックスをオンにします。Distributed System Settings チェック ボックスがオフになっている場合はオンにします。 ACS データベース複製機能を利用するには、特定の ACS をセカンダリ ACS として動作するように 設定しておく必要があります。セカンダリ ACS が受信するコンポーネントは明示的に指定する必 要があり、同様にそのプライマリ ACS も明示的に指定する必要があります。 複製は、常にプライマリ ACS が開始します。複製コンポーネントの送信の詳細については、P.8-14 の「即時複製」または P.8-15 の「複製のスケジューリング」を参照してください。 注意 セカンダリ ACS が受信した ACS 内部データベース コンポーネントは、セカンダリ ACS の ACS 内 部データベースコンポーネントを上書きします。上書きされたデータベース コンポーネントに固 有な情報はすべて失われます。 Cisco Secure ACS Solution Engine ユーザ ガイド 8-12 OL-14386-01-J 第8章 システム設定:高度 ACS 内部データベースの複製 始める前に セカンダリ ACS の AAA Servers テーブルが正しく設定されていることを確認します。このセカンダ リ ACS の AAA Servers テーブルには、プライマリ ACS のそれぞれに対するエントリがなければな りません。さらに、各プライマリ ACS 用の AAA Servers テーブル エントリは、プライマリ ACS が 自分の AAA Servers テーブル エントリに保持しているものと同じ共有秘密情報を保持している必 要があります。AAA Servers テーブルの詳細については、P.3-18 の「AAA サーバの設定」を参照し てください。 ACS をセカンダリ ACS に設定するには、次の手順を実行します。 ステップ 1 セカンダリ ACS の Web インターフェイスにログインします。 ステップ 2 ナビゲーション バーの System Configuration をクリックします。 ステップ 3 Database Replication をクリックします。 Database Replication Setup ページが表示されます。 ステップ 4 Replication Components テーブルで、プライマリ ACS から受信する各データベース コンポーネント の Receive チェックボックスをオンにします。 複製コンポーネントの詳細については、P.8-8 の「複製コンポーネント オプション」を参照してく ださい。 ステップ 5 セカンダリ ACS に対する複製コンポーネントの送信元となる ACS が、Replication リストに含まれ ていないことを確認します。含まれている場合は、Replication リストでそのプライマリ ACS を選択 し、<--(左矢印)をクリックして AAA Servers リストに移動します。 (注) ステップ 6 ACS では、双方向データベース複製はサポートされていません。複製コンポーネントを受 信するセカンダリ ACS は、自分の Replication リストに、プライマリ ACS が載っていない ことを確認します。載っていない場合、セカンダリ ACS は複製コンポーネントを受け入れ ます。載っている場合は、複製が打ち切られます。 セカンダリ ACS が複製コンポーネントをプライマリ ACS の 1 つだけから受信するようにするに は、Accept replication from リストで、プライマリ ACS の名前を選択します。 Accept replication from リストで利用できるプライマリ ACS は、Network Configuration セクションの AAA Servers テーブルによって決まります。AAA Servers テーブルの詳細については、P.3-18 の 「AAA サーバの設定」を参照してください。 (注) ステップ 7 プライマリ ACS とそのすべてのセカンダリ ACS 上で、プライマリ ACS 用の AAA Servers テーブル エントリは、同一の共有秘密情報を持っている必要があります。 セカンダリ ACS が複数のプライマリ ACS から複数の複製コンポーネントを受信する場合は、 Accept replication from リストで Any Known ACS Server を選択します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 8-13 第8章 システム設定:高度 ACS 内部データベースの複製 Any Known ACS Server オプションは、Network Configuration の AAA Servers テーブルのリストにあ る ACS に制限されます。 (注) ステップ 8 このセカンダリ ACS の各プライマリ ACS に対して、プライマリ ACS とセカンダリの ACS 上で、プライマリ ACS 用の AAA Servers テーブル エントリは、同一の共有秘密情報を持っ ている必要があります。 Submit をクリックします。 ACS は、複製設定を保存し、指定した頻度でまたは指定した時刻に、指定した相手の ACS から複 製コンポーネントを受信し始めます。 即時複製 データベース複製は手動で開始できます。 (注) 複製は、少なくとも 1 台のセカンダリ ACS を設定するまでは実行できません。セカンダリ ACS の 設定方法の詳細については、P.8-12 の「セカンダリ ACS の設定」を参照してください。 始める前に プライマリおよびセカンダリ ACS が正しく設定されていることを確認します。詳細な手順につい ては、P.8-11 の「ACS のプライマリ複製セットアップとセカンダリ複製セットアップの実装」を参 照してください。 この ACS が複製コンポーネントを送信する各セカンダリ ACS に対して、P.8-12 の「セカンダリ ACS の設定」の手順を完了したことを確認してください。 データベースの複製をすぐに始めるには、次の手順を実行します。 ステップ 1 プライマリ ACS の Web インターフェイスにログインします。 ステップ 2 ナビゲーション バーの System Configuration をクリックします。 ステップ 3 Database Replication をクリックします。 (注) この機能が表示されない場合は、Interface Configuration > Advanced Options を選択します。 次に、ACS Database Replication チェックボックスをオンにします。Distributed System Settings チェックボックスがオフになっている場合はオンにします。 Database Replication Setup ページが表示されます。 ステップ 4 セカンダリ ACS に複製する ACS 内部データベース コンポーネントそれぞれに対して、Replication Components の下で、対応する Send チェックボックスをオンにします。 Cisco Secure ACS Solution Engine ユーザ ガイド 8-14 OL-14386-01-J 第8章 システム設定:高度 ACS 内部データベースの複製 ステップ 5 プライマリ ACS が選択した自分のコンポーネントを複製するセカンダリ ACS それぞれに対して、 AAA Servers リストでセカンダリ ACS を選択してから、-->(右矢印ボタン)をクリックします。 ヒント (注) セカンダリ ACS を Replication リストから削除するには、セカンダリ ACS を Replication リストで選択してから <--(左矢印ボタン)をクリックします。 ACS では、双方向データベース複製はサポートされていません。複製コンポーネントを受 信するセカンダリ ACS は、自分の Replication リストに、プライマリ ACS が載っていない ことを確認します。載っていない場合、セカンダリ ACS は複製コンポーネントを受け入れ ます。載っている場合は、コンポーネントを拒否します。 ステップ 6 Replication timeout テキスト ボックスで、この ACS が各セカンダリ ACS に対して複製を実行する 時間の長さを指定します。この時間が経過すると、複製は試行されなくなり、CSAuth サービスが 再起動されます。 ステップ 7 ブラウザ ウィンドウの下部で Replicate Now をクリックします。 ACS が複製設定を保存します。ACS は、複製されたデータベース コンポーネントを、指定された セカンダリ ACS にすぐに送信し始めます。 (注) 複製が実行されるのは、プライマリ ACS のデータベースが前回の正常な複製以降に変更さ れている場合だけです。複製を強制的に実行するには、ユーザ プロファイルまたはグルー プ プロファイルに、パスワードや RADIUS アトリビュートの変更など、変更を 1 つ加えま す。 複製のスケジューリング プライマリ ACS が自分の複製データベース コンポーネントをセカンダリ ACS に送信するタイミン グをスケジューリングできます。複製スケジューリング オプションの詳細については、P.8-10 の 「Outbound Replication オプション」を参照してください。 (注) 複製は、セカンダリ ACS が正しく設定されていないと実行されません。詳細については、P.8-12 の 「セカンダリ ACS の設定」を参照してください。 始める前に プライマリおよびセカンダリ ACS が正しく設定されていることを確認します。詳細な手順につい ては、P.8-11 の「ACS のプライマリ複製セットアップとセカンダリ複製セットアップの実装」を参 照してください。 このプライマリ ACS の各セカンダリ ACS に対して、P.8-12 の「セカンダリ ACS の設定」の手順を 完了します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 8-15 第8章 システム設定:高度 ACS 内部データベースの複製 プライマリ ACS がそのセカンダリ ACS に複製するタイミングをスケジューリングするには、次の 手順を実行します。 ステップ 1 プライマリ ACS の Web インターフェイスにログインします。 ステップ 2 ナビゲーション バーの System Configuration をクリックします。 ステップ 3 ACS Database Replication をクリックします。 (注) この機能が表示されない場合は、Interface Configuration > Advanced Options を選択します。 次に、ACS Database Replication チェックボックスをオンにします。Distributed System Settings チェックボックスがオフになっている場合はオンにします。 Database Replication Setup ページが表示されます。 ステップ 4 プライマリ ACS がそのセカンダリ ACS に送信する ACS 内部データベース コンポーネントを指定 するには、Replication Components の下で、送信するデータベース コンポーネントそれぞれに対応 する Send チェックボックスをオンにします。 複製データベース コンポーネントの詳細については、P.8-8 の「複製コンポーネント オプション」 を参照してください。 ステップ 5 プライマリ ACS がそのセカンダリ ACS に複製データベース コンポーネントを一定間隔で送信する ようにするには、Replication Scheduling で Every X minutes オプションを選択し、ACS が複製を実行 する間隔を X ボックスに入力します(最大 7 文字) 。 (注) ステップ 6 ACS は複製中に一時的にシャットダウンされるため、複製間隔を短くすると、AAA クライ アントが他の ACS に頻繁にフェールオーバーすることになります。AAA クライアントが 別の ACS にフェールオーバーするように正しく設定されていない場合は、認証サービスが 短時間中断して、ユーザが認証できなくなることがあります。詳細については、P.8-5 の 「複製の頻度」を参照してください。 プライマリ ACS が複製データベース コンポーネントをセカンダリ ACS に送信する時刻をスケ ジューリングするには、次の手順を実行します。 a. Outbound Replication テーブルで、At specific times オプションを選択します。 b. 日 / 時グラフで、ACS が複製を実行する時刻をクリックします。 ヒント ステップ 7 グラフの時刻をクリックすると、その時刻が選択されます。再度クリックすると解除さ れます。Clear All をクリックして時間全体を解除したり、Set All をクリックして時間全 体を選択することもできます。 この ACS が、他の ACS から複製データベース コンポーネントを受信したとき、すぐに複製データ ベース コンポーネントを送信するようにする場合は、Automatically triggered cascade オプションを 選択します。 Cisco Secure ACS Solution Engine ユーザ ガイド 8-16 OL-14386-01-J 第8章 システム設定:高度 ACS 内部データベースの複製 (注) ステップ 8 Automatically triggered cascade オプションを指定する場合は、他の ACS を、この ACS のプ ライマリ ACS として動作するように設定する必要があります。その設定をしないと、この ACS はセカンダリ ACS に複製しません。 この ACS の複製先となるセカンダリ ACS を指定します。そのためには、次の手順を実行します。 (注) ACS では、双方向データベース複製はサポートされていません。複製データベース コン ポーネントを受信するセカンダリ ACS は、自分の Replication リストに、プライマリ ACS が載っていないことを確認します。載っていない場合、セカンダリ ACS は複製データベー ス コンポーネントを受け入れます。載っている場合は、コンポーネントを拒否します。複 製パートナーの詳細については、P.8-11 の「Inbound Replication オプション」を参照してく ださい。 a. Outbound Replication テーブルで、プライマリ ACS が選択された複製データベース コンポーネ ントを送信するセカンダリ ACS の名前を AAA Servers リストで選択します。 (注) AAA Servers リストで利用できるセカンダリ ACS は、Network Configuration の AAA Servers テーブルで決定されます。AAA Servers テーブルの詳細については、P.3-18 の 「AAA サーバの設定」を参照してください。 b. -->(右矢印ボタン)をクリックします。 選択したセカンダリ ACS が Replication リストに移動します。 c. プライマリ ACS が選択された複製データベース コンポーネントを送信するセカンダリ ACS そ れぞれに対して、ステップ a とステップ b を繰り返します。 ステップ 9 Replication timeout テキスト ボックスで、この ACS が各セカンダリ ACS に対して複製を実行する 時間の長さを指定します。この時間が経過すると、複製は試行されなくなり、CSAuth サービスが 再起動されます。 ステップ 10 Submit をクリックします。 ACS は、作成された複製設定を保存します。 ACS データベース複製のディセーブル化 スケジューリング済み ACS データベース複製は、スケジュール自体を残したままディセーブルに できます。この操作を実行すると、スケジューリング済み複製を一時的に中止し、後でスケジュー ル情報を再入力しなくてもスケジューリング済み複製を再開できます。 ACS データベース複製をディセーブルにするには、次の手順を実行します。 ステップ 1 プライマリ ACS の Web インターフェイスにログインします。 ステップ 2 ナビゲーション バーの System Configuration をクリックします。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 8-17 第8章 システム設定:高度 ACS 内部データベースの複製 ステップ 3 Database Replication をクリックします。 Database Replication Setup ページが表示されます。 ステップ 4 Replication Components テーブルですべてのチェックボックスをオフにします。 ステップ 5 Outbound Replication テーブルで、Manually オプションを選択します。 ステップ 6 Submit をクリックします。 ACS がこの ACS サーバの複製を禁止します。 自動パスワード変更複製の設定 自動パスワード変更複製および他のローカル パスワード管理オプションを設定するには、次の手順 を実行します。 ステップ 1 プライマリ ACS の Web インターフェイスにログインします。 ステップ 2 ナビゲーション バーの System Configuration をクリックします。 ステップ 3 Local Password Managment をクリックします。 ステップ 4 次のように、設定するオプションを選択します。 フィールド Password Validation Options Remote Change Password ステップ 5 説明 • 文字の長さ。 • ユーザ名を含むことはできない。 • 直前の値とは異なる値を指定。 • 英数字。 • この ACS の Telnet パスワードをディセーブルにし、希望するメッ セージをユーザの Telnet セッションに戻す。 • リモートでパスワードが変更されると、選択されている複製パー トナーにただちに通知される。 Submit をクリックします。 データベース複製イベントのエラー データベース複製レポートには、複製中に発生したエラーを示すメッセージが含まれています。 データベース複製レポートの詳細については、P.10-5 の「ACS 監査ログ」を参照してください。 ヒント 複製レポートにはエラーに関する簡単な説明が書き込まれます。ただし、より詳細なエラーが CSAuth サービス ログの auth.log に書き込まれることもあります。 Cisco Secure ACS Solution Engine ユーザ ガイド 8-18 OL-14386-01-J 第8章 システム設定:高度 RDBMS 同期化 RDBMS 同期化 この項では、RDBMS 同期化機能について、ACS および関連する外部データ ソースで、この機能を 実装する方法を中心に説明します。 ここでは、次の項目について説明します。 • RDBMS 同期化について(P.8-19) • RDBMS 同期化の呼び出し(P.8-20) • RDBMS 同期化機能(P.8-22) • RDBMS 同期化のコンポーネント(P.8-29) • accountActions テーブルを使用する ACS データベースの復旧(P.8-32) • レポートとイベント(エラー)の処理(P.8-33) • RDBMS 同期化の使用準備(P.8-33) • RDBMS 同期化のシステム DSN の設定(ACS for Windows)(P.8-34) • RDBMS 同期化のオプション(P.8-35) • RDBMS 同期化の実行(P.8-37) • RDBMS 同期化のスケジューリング(P.8-39) • スケジューリング済み RDBMS 同期化のディセーブル化(P.8-40) • RDBMS 同期化障害コード(P.8-41) RDBMS 同期化について RDBMS 同期化を API と見なすことができます。つまり、ユーザ、グループ、デバイス用に ACS の Web インターフェイスを使用して設定できるものの多くは、代わりにこの機能を使用して保守でき ます。RDBMS 同期化では、アクセスできるすべてのデータ項目に対して作成、追加、修正、削除 が可能です。 同期化を定期的なスケジュールで実行するように設定できます。手動で同期化を実行することや、 オン デマンドで ACS 内部データベースをアップデートすることもできます。RDBMS 同期化の設 定の詳細については、『Configuration Guide for Cisco Secure ACS 4.2』を参照してください。 1 台の ACS が実行する同期化によって、他の ACS の内部データベースをアップデートできるため、 RDBMS 同期化を設定する必要があるのは 1 台の ACS だけです。ACS は、TCP ポート 2000 で同期 化データを傍受します。ACS 間の RDBMS 同期化通信は、独自の 128 ビット暗号化アルゴリズムを 使用して暗号化されています。 RDBMS 同期化は、ACS データベース オブジェクトを効率的に操作するために使用できます。 RDBMS 同期化は、CSV アカウント アクション ファイルを使用して呼び出すことができます。 (注) ACS は、C:/Program_Files/CiscoSecureACSv4.2/CSDBSync/Databases/CSV/accountactions.csv にある accountactions.csv ファイルは使用できません。 プロセスは、ACS Windows プラットフォームと ACS SE プラットフォームでは異なります。ACS SE では、コマンドライン インターフェイスと同様のユーティリティを使用して、RDBMS 同期化を呼 び出す必要があります。RDBMS 同期化は、SSH サーバの実装および csdbsync -syncnow コマンド を使用して呼び出すことができます。FTP サーバ上の CSV ファイルの場所を指定すると、ACS SE が Data Source Name(DSN; データ ソース名)を作成して、RDBMS 同期化を実行します。ACS Windows バージョンには 2 つのオプションがあります。Use Local CSV オプションをイネーブルに Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 8-19 第8章 システム設定:高度 RDBMS 同期化 すると、DSN が自動的に作成されて同期化が行われます。それ以外の場合は、DSN を手動で作成 して RDBMS 同期化を行う必要があります。ACS for Windows は、RDBMS 同期化を設定するとき に指定するローカルの CSV ファイルを使用します。 csdbsync コマンドは、Windows のコマンドラインから実行することもできます。これは、SE の SSH リモート シェルでこのコマンドを実行するのと同様です。テキスト ファイルをコーディングして、 CSV ファイルの CREATE_DACL(アカウント アクション コード 385)エントリへの入力として使 用する dACL を指定できます。 RDBMS 同期化には、ダウンロード可能な ACL の設定、ユーザへの dACL の割り当て、および AAA クライアント設定の管理を行うためのサポート メカニズムがあります。アカウント アクション コード、380、381、および 382 を使用して、ユーザのダウンロード可能な ACL を作成、アップデー ト、および削除(個々のコードに対応)することができます。 RDBMS 同期化を介して、単一または複数の AAA クライアントを作成、読み取り、アップデート、 および削除することもできます。アカウント コード 224 または 255 を使用して、AAA クライアン トをアップデートまたは読み取る(個々のコードに対応)ことができます。AAA クライアントの 読み取り機能を使用して、特定の NDG の AAA クライアント リスト、指定した IP 範囲内の AAA クライアント リスト、またはすべての AAA クライアントのリストをエクスポートできます。 ACS for Windows RDBMS 同期化機能を使用して、ACS 内部データベースを ODBC に準拠したデータ ソースの情報 でアップデートできます。ODBC に準拠したデータ ソースは、サードパーティ製アプリケーション の RDBMS のデータベースとして使用できます。また、サードパーティ システムがアップデートす る中間ファイルまたはデータベースとしても使用できます。ファイルまたはデータベースの常駐場 所にかかわらず、ACS は、ODBC 接続を使用してファイルまたはデータベースを読み取ります。 RDBMS 同期化機能では、ACS 内部データベースをローカル CSV ファイルの情報でアップデート できます。 ACS SE RDBMS 同期化機能では、 ACS 内部データベースを FTP サーバ上のテキスト ファイルの情報でアッ プデートできます。 accountActions.csv ファイルが ACS にアップロードされ、RDBMS 同期化処理のアクション コード を読み取るために使用されます。サードパーティのアプリケーションでもテキスト ファイルを生成 できます。ACS は、FTP サーバからファイルを取得し、ファイルを読み取り、ファイルに指定され ている設定アクションを実行します。 アクションは、accountActions という名前のリレーショナル データベース テーブル(ACS for Windows のみ)またはテキスト ファイルで指定します。accountActions テーブルの詳細については、 P.8-31 の「accountActions テーブルについて(ACS for Windows) 」を参照してください。accountActions ファイルの詳細については、P.8-32 の「accountActions ファイルについて(ACS SE) 」を参照してく ださい。RDBMS 同期化が実行できるすべてのアクションの詳細については、付録 E「RDBMS 同期 化機能インポートの定義」を参照してください。 RDBMS 同期化の呼び出し RDBMS 同期化を呼び出すには、次の手順を実行します。 (注) net stop csdbsync および net start csdbsync コマンドを入力してから、csdbsync -syncnow または cydbsync -run コマンドを実行します。 Cisco Secure ACS Solution Engine ユーザ ガイド 8-20 OL-14386-01-J 第8章 システム設定:高度 RDBMS 同期化 accountActions.CSV ファイルを使用して、csdbsync -syncnow コマンドを実行します。この方式は、 ACS の Windows バージョンおよび SE バージョンに適用できます。 ACS SE の RDBMS の設定 SE の RDBMS 同期化を設定するには、次の手順を実行します。 ステップ 1 SSH クライアント経由で ACS SE に接続して、csdbsync -syncnow コマンドを呼び出します。 SSH サービスでサポートされており、ACS SE に追加されているスクリプト可能なインターフェイ スを使用します。 ステップ 2 SSH クライアントと SSH サーバ間の接続性を確認します。 ステップ 3 FTP サーバの accountActions.csv ファイルの場所を検索します。 ACS SE では、RDBMS 同期化を呼び出すために accountActions.csv ファイルが必要です。 ステップ 4 ACS SE と FTP サーバ間の接続性を確認し、FTP サーバのディレクトリに対する書き込み権限があ ることを確認します。 ACS が FTP サーバから CSV ファイルを取得して、自動的に DSN を作成します。アップロードした CSV ファイルは有効な形式で作成されていて、CSV ファイル内の値は RDBMS 同期化に対して有 効である必要があります。 ステップ 5 csdbsync -syncnow コマンドを実行して、RDBMS 同期化を呼び出します。 このコマンドは CSDBSync コマンドと同じ動作をし、RDBMS 同期化コマンドを停止または開始す ることはありません。 ACS SE はデータベースから CSV ファイルを取得し、ファイルのアクション コードを読み取り、 ファイルに指定されている RDBMS 同期化処理を実行します。RDBMS 同期化を実行する手順の詳 細については、P.8-37 の「RDBMS 同期化の実行」を参照してください。 ACS for Windows の RDBMS 同期化の設定 ACS for Windows の RDBMS 同期化を設定するには、次の手順を実行します。 (注) ステップ 1 net stop csdbsync および net start csdbsync コマンドを入力してから、csdbsync -syncnow または cydbsync -run コマンドを実行します。 Windows で、コマンドライン インターフェイスを使用して csdbsync -run コマンドまたは csdbsync -syncnow コマンドを呼び出します(Synchronize Now オプションを使用しない場合)。 (注) この RDBMS 同期化の呼び出しでは DNS を手動で作成する必要があるため、ACS SE の場 合とは若干異なります。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 8-21 第8章 システム設定:高度 RDBMS 同期化 ステップ 2 次の 2 つの方式のいずれかを使用して DSN を作成し、RDBMS 同期化を実行します。 a. GUI で Use Local CSV File オプションをイネーブルにできます。これで、ACS がローカル の CSV ファイル名と場所を受け入れられるようになります。 (注) ローカル CSV ファイルは、 C:\ProgramFiles\CiscoSecureACSv4.2\CSDBSync\Databases\CSV\accountactions.csv 以外の 名前にする必要があります。 b. DSN を手動で作成します。 ACS は、Microsoft Text Driver を使用して、ローカル CSV ファイルを処理する Cisco Secure DBSync という名前のデフォルトの DSN を作成します。ACS は、指定した場所にある CSV ファイルの内容 を抽出してファイルを処理し、ファイルの名前を .done 拡張子付きの名前に変更します。 (注) ステップ 3 デフォルトの DSN、CiscoSecure DBSync が存在する必要があります。 Synchronize Now オプションをオンにした場合、ACS がデータベースから CSV ファイルを取得しま す。 ACS は CSV ファイルのアクション コードを読み取り、ファイルで指定されている RDBMS 同期化 処理を実行します。 RDBMS 同期化を実行する手順の詳細については、P.8-37 の「RDBMS 同期化の実行」を参照して ください。 RDBMS 同期化機能 この項では、RDBMS 同期化によって自動化できるさまざまな設定のタイプの概要を説明します。 • RDBMS 同期化のユーザ関連のアクション(P.8-22) • RDBMS 同期化のユーザ グループ関連のアクション(P.8-23) • AAA クライアントのアクションの作成、読み取り、アップデート、および削除(P.8-25) RDBMS 同期化のユーザ関連のアクション RDBMS 同期化が実行できるユーザ関連の設定アクションには、次のものがあります。 • ユーザの追加 • ユーザの削除 • パスワードの設定 • ユーザのグループ メンバーシップの設定 • Max Sessions パラメータの設定 • ネットワーク使用割当量パラメータの設定 • コマンド認可の設定 • ネットワーク アクセス制限の設定 • 時間帯と曜日に関するアクセス制限の設定 Cisco Secure ACS Solution Engine ユーザ ガイド 8-22 OL-14386-01-J 第8章 システム設定:高度 RDBMS 同期化 (注) • IP アドレスの割り当て • 送信 RADIUS アトリビュート値の指定 • 送信 TACACS+ アトリビュート値の指定 RDBMS 同期化が実行できるすべてのアクションの詳細については、付録 E「RDBMS 同期化機能 インポートの定義」を参照してください。 RDBMS 同期化のユーザ グループ関連のアクション RDBMS 同期化が実行できるグループ関連の設定アクションには、次のものがあります。 (注) • Max Sessions パラメータの設定 • ネットワーク使用割当量パラメータの設定 • コマンド認可の設定 • ネットワーク アクセス制限の設定 • 時間帯と曜日に関するアクセス制限の設定 • 送信 RADIUS アトリビュート値の指定 • 送信 TACACS+ アトリビュート値の指定 RDBMS 同期化が実行できるすべてのアクションの詳細については、付録 E「RDBMS 同期化機能 インポートの定義」を参照してください。 ユーザおよびユーザ グループの dACL の作成、アップデート、および削除 この項では、ユーザおよびユーザ グループに対して実行できるさまざまな RDBMS 同期化タスクに ついて説明します。 これらのタスクを実行するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 RDBMS Synchronization をクリックします。 RDBMS Synchronization Setup ページが表示されます。 (注) この機能が表示されない場合は、Interface Configuration > Advanced Options をクリックし てから RDBMS Synchronization をオンにします。 ステップ 3 User-Level Downloadable ACLs オプションをクリックして、アクション コードの機能をイネーブル にします。 ステップ 4 Group-Level Downloadable ACLs オプションをクリックして、dACL を割り当てる必要があるグ ループ名を指定します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 8-23 第8章 システム設定:高度 RDBMS 同期化 ステップ 5 csdbsync -syncnow コマンドを実行するか、Synchronize Now オプションをクリックして、RDBMS 同期化を呼び出します。 (注) RDBMS 同期化を呼び出す前に、CSV ファイルまたは ODBC データベースにアカウント アクショ ン コードを指定する必要があります。 ACS が CSV ファイルで指定されたアクション コードを処理して、RDBMS 同期化を実行します。 詳細については、P.E-29 の「dACL アトリビュートのアクション コード」を参照してください。 次は新しいアクション コードの説明です。 アクション コード 380:ユーザの dACL を作成 このアクション コードを使用すると、IP ACL を割り当てたり、指定したユーザまたはグルー プに特定の dACL を割り当てたりすることができます。指定する dACL 名は、有効な名前であ り、ACS に存在している必要があります。 アクション コード 381:ユーザの dACL をアップデート このアクション コードは、指定したユーザまたはグループの dACL をアップデートします。指 定する dACL 名は、有効な名前であり、ACS に存在している必要があります。 アクション コード 382:ユーザの dACL を削除 このアクション コードは、指定したユーザまたはグループへの IP ACL の割り当てを解除しま す。 ネットワーク設定 RDBMS 同期化が実行できるネットワーク デバイス関連の設定アクションには、次のものがありま す。 (注) • AAA クライアントの追加 • AAA クライアントの削除 • AAA クライアントの詳細設定 • AAA サーバの追加 • AAA サーバの削除 • AAA サーバの詳細設定 • Proxy Distribution Table エントリの追加と設定 RDBMS 同期化が実行できるすべてのアクションの詳細については、付録 E「RDBMS 同期化機能 インポートの定義」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド 8-24 OL-14386-01-J 第8章 システム設定:高度 RDBMS 同期化 AAA クライアントのアクションの作成、読み取り、アップデート、および削除 RDBMS 同期化機能は、単一または複数の AAA クライアントの作成および削除をサポートしてい ます。また、アカウント アクション コード 224 および 225 を使用すると、AAA クライアント情報 を読み取りおよびアップデートできます。この項では、単一または複数の AAA クライアントに実 行できる、さまざまな RDBMS 同期化タスクについて説明します。 表 8-3 は、単一または複数の AAA クライアントの読み取りおよびアップデートに使用するアカウ ント アクション コードの一覧です。 表 8-3 AAA クライアントを作成、読み取り、アップデート、削除するためのアカウント アクション コード アクション コード 名前 224 必須 説明 UPDATE_NAS VN、 V1、 V2、 V3 このアクション コードを使用して、AAA クライア ントをアップデートします。 VN = AAA クライアント名 V1 = IP アドレス V2 = 共有秘密鍵 V3 = ベンダー 225 READ_NAS VN、V1(オプ このアクション コードを使用して、AAA クライア ション) ント リストを出力ファイルにエクスポートします。 出力ファイルは、特定の NDG のメンバー、または すべての AAA クライアントとリストを関連付ける ために使用できます。この出力ファイルは、NAS を インポートするための CSUtil の入力値として使用 できます。 VN = <output_file_name> output_file_name に は、ACS SE で 使 用 さ れ る FTP サーバのファイル名を指定します。何も指定しない 場合、デフォルトの名前 DumpNAS.txt が使用されま す。 ACS for Windows プラットフォームの場合は、ファ イルの絶対パス(C:\MyNAS\dump.txt など)を指定で きます。何も値を指定しない場合、AAA クライアン ト リストが \ACS\bin\DumpNAS.txt ファイルに書き込 まれます。 V1 = NDG 名(オプション) V1 には、有効な NDG 名を使用する必要があります。 アクション コード 224:AAA クライアントの dACL をアップデート このアクション コードを使用して、AAA クライアントをアップデートします。 アクション コード 225: AAA クライアントの dACL の読み取り このアクション コードを使用して、特定の NDG またはすべての AAA クライアントの AAA ク ライアント リストをエクスポートします。エクスポートしたファイルは、CSUtil を介して NAS をインポートするための入力値として使用できます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 8-25 第8章 システム設定:高度 RDBMS 同期化 (注) エクスポート メカニズムを使用するには、FTP ディレクトリへの書き込み権限が必要です。 dACL アトリビュートの作成、読み取り、アップデート、および削除 この項では、dACL アトリビュートに対して実行できるさまざまな RDBMS 同期化タスクについて 説明します。 これらのタスクを実行するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Interface Configuration をクリックします。 ステップ 2 Advanced Options をクリックします。 Advanced Options ページが開きます。 ステップ 3 User-Level Downloadable ACLs オプションをクリックして、アクション コードの機能をイネーブル にします。 ステップ 4 Group-Level Downloadble ACLs オプションをクリックして、dACL を割り当てるグループ名を指定 します。 ステップ 5 csdbsync -syncnow コマンドを呼び出して、RDBMS 同期化を実行します。 (注) ステップ 6 作成機能とアップデート機能の場合、dACL name、description、dACL content name、および definition の各フィールドを指定する必要があります。オプションで、dACL コンテンツを 適用する Network Access Filter(NAF; ネットワーク アクセス フィルタ)名を指定すること もできます。デフォルトでは、この dACL コンテンツはすべての AAA クライアントに適用 されます。 RDBMS 同期化で実行する処理は、アカウント アクション コードを指定することで指定できます。 (注) 新しいアカウント アクション コードは RDBMS 同期化に追加する必要があります。 表 8-4 は、ユーザの dACL を作成、読み取り、アップデート、および削除するために使用できるア カウント アクション コードの一覧です。 Cisco Secure ACS Solution Engine ユーザ ガイド 8-26 OL-14386-01-J 第8章 システム設定:高度 RDBMS 同期化 表 8-4 dACL の作成、読み取り、アップデート、または削除を行うためのアカウント アクション コー ド アクション コード 名前 385 必須 CREATE_DACL VN 説明 VN = <input_file_name> input_file_name には、dACL の定義が含まれます。 ACS SE の FTP サーバに存在するファイル名を指定 します。 ACS for Windows の絶対パス(C:\DACL\dump.txt など) を指定します。 dACL の定義は、すでに存在する場合は無視されま す。 dACL 定義は、無効な定義、コンテンツ名、コンテン ツの定義、または NAF 名が含まれていると無視され ます。 386 READ_DACL VN、V1(オ このアクション コードを使用して、dACL アトリ プション) ビュートを読み取り、後で使用するためにファイルに 保存します。 VN = dACL 名または *(すべての dACL) V1 = <output_file_name> output_file_name には、エクスポートした dACL の定 義が含まれます。 ACS SE では、output_file_name で ACS SE の FTP サー バにあるファイルを指定します。指定しない場合、デ フォルトのファイル名、DumpDACL.txt が使用されま す。 ACS for Windows では、ACS for Windows のファイル の絶対パスを指定できます(C:\temp\DACL.txt など)。 ファイル パスおよびファイル名を指定しない場合、 ACS は ACS\bin ディレクトリにあるファイルにデー タを書き込みます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 8-27 第8章 システム設定:高度 RDBMS 同期化 表 8-4 dACL の作成、読み取り、アップデート、または削除を行うためのアカウント アクション コー ド(続き) アクション コード 名前 387 必須 説明 UPDATE_DACL VN、V1(オ このアクション コードを使用して、dACL アトリ プション) ビュートをアップデートします。 VN = <input_file_name> input_file_name には、アップデートされる dACL の定 義を含むファイルを指定します。 ACS SE プラットフォームでは、input_file_name で、 ACS SE の FTP サーバに存在するファイル名を指定 します。 ACS for Windows のファイルの絶対パス (C:\DACL\dump.txt など)を指定できます。 V1=DACL_REPLACE または DACL_APPEND デフォルトのオプションは次のとおりです。 DACL_REPLACE DACL_REPLACE オプションでは、既存の dACL を新 しい dACL に置き換えます。 DACL_APPEND は、新しい dACL コンテンツとその 定義を既存の dACL に付加します。 dACL が定義されていない場合は、新しい dACL が既 存のリストに追加されます。 dACL 定義は、無効な定義、コンテンツ名、コンテン ツの定義、または NAF 名が含まれていると無視され ます。 388 DELETE_DACL VN このアクション コードを使用して、dACL を削除しま す。 VN = 削除する dACL の名前です。すべての dACL を 削除するには、アスタリスク(*)を使用します。 デフォルトでは、すべての dACL が削除されます。 この dACL に関連付けられているユーザおよびグ ループは、dACL の削除後は参照が削除されます。 アクション コード 385:dACL アトリビュートの作成 このアクション コードを使用して、dACL アトリビュートを作成します。 アクション コード 386:dACL アトリビュートの読み取り このアクション コードを使用して、dACL アトリビュートを読み取ります。 アクション コード 387:dACL のアトリビュートをアップデート このアクション コードを使用して、dACL アトリビュートをアップデートします。 アクション コード 388:dACL のアトリビュートを削除 このアクション コードを使用して、dACL アトリビュートを削除します。 Cisco Secure ACS Solution Engine ユーザ ガイド 8-28 OL-14386-01-J 第8章 システム設定:高度 RDBMS 同期化 カスタム RADIUS ベンダーと VSA RDBMS 同期化を使用して、カスタム RADIUS ベンダーと VSA を設定します。事前定義済みの RADIUS ベンダーとベンダー固有アトリビュート(VSA)のセットに加えて、ACS はユーザが定義 する RADIUS ベンダーと VSA もサポートします。ユーザが追加するベンダーは IETF に準拠してい る必要があるため、追加するすべての VSA は、IETF RADIUS アトリビュート番号 26 のサブアトリ ビュートにする必要があります。 カスタム RADIUS ベンダーは 10 個まで定義できます。ACS では、どのベンダーについてもインス タンスを 1 つだけ許可します。このインスタンスは、固有のベンダー IETF ID 番号とベンダー名で 定義されます。 (注) ユーザ定義の RADIUS ベンダーと VSA の設定を複製する場合、複製対象のユーザ定義 RADIUS ベ ンダーと VSA の定義は、ユーザ定義 RADIUS ベンダーが占有する RADIUS ベンダー スロットも含 めて、プライマリおよびセカンダリの ACS 上において同一である必要があります。データベース 複製の詳細については、P.8-2 の「ACS 内部データベースの複製」を参照してください。 RDBMS 同期化が実行できるすべてのアクションの詳細については、付録 E「RDBMS 同期化機能イ ンポートの定義」を参照してください。 RDBMS 同期化のコンポーネント RDBMS 同期化機能は、次のコンポーネントで構成されています。 • CSDBSync:専用の Windows サービス。ACS 用にユーザとグループ アカウントの自動管理サー ビスを実行します。 • (ACS for Windows)accountActions Table:データ オブジェクト。CSDBSync が、ACS 内部デー タベースのアップデートに使用する情報を保持しています。 • (ACS SE)accountActions File:ファイル。CSDBSync が、ACS 内部データベースのアップデー トに使用する情報を保持しています。 ここでは、RDBMS 同期化コンポーネントについて説明します。 • CSDBSync について(P.8-29) • accountActions テーブルについて(ACS for Windows) (P.8-31) • accountActions ファイルについて(ACS SE)(P.8-32) CSDBSync について この項では、CSDBSync サービスについて説明します。 ACS for Windows CSDBSync サービスは、Microsoft Text Driver を accountactions.csv ファイルを検索するデフォルトの システム DSN として使用します。図 8-2 を参照してください。このサービスは、accountActions.csv ファイルに限定して検索します。CSDBSync が accountActions ファイルにアクセスできない場合、 同期化イベントは失敗します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 8-29 第8章 システム設定:高度 RDBMS 同期化 図 8-2 RDBMS 同期化 CSDBSync は、accountActions テーブルから各レコードを読み取り、レコード内のアクション コー ドの指定に従い ACS 内部データベースをアップデートします。たとえば、レコードの指示によっ て、CSDBSync は、ユーザを追加したりユーザ パスワードを変更したりします。分散環境では、シ ニア同期化パートナーである 1 台の ACS が accountActions テーブルにアクセスし、その同期化パー トナーに同期化コマンドを送信します。図 8-2 では、Access Control Server 1 がシニア同期化パート ナーで、その他の 2 つの ACS がその同期化パートナーです。 CSDBSync は、accountActions テーブルで読み取りと書き込み(レコードの削除)を行います。 CSDBSync は、それぞれのレコードを処理した後で、テーブルからそのレコードを削除します。こ の処理を行うために、使用するシステム DSN を設定するデータベース ユーザ アカウントには、読 み取り特権と書き込み特権が必要です。 ACS SE CSDBSync サービスは、accountActions ファイルを読み取ります。accountActions のデフォルトの名 前は accountActions.csv ですが、ファイルに任意の名前を付けることができます。CSDBSync が accountActions ファイルにアクセスできない場合、同期化イベントは失敗します。 CSDBSync は、accountActions ファイルから各レコードを読み取り、レコード内のアクション コー ドに指定されているように ACS 内部データベースをアップデートします。たとえば、レコードの 指示によって、CSDBSync は、ユーザを追加したりユーザ パスワードを変更したりします。分散環 境では、シニア同期化パートナーである 1 台の ACS が accountActions テーブルにアクセスし、その 同期化パートナーに同期化コマンドを送信します。 (注) シニア同期化パートナーには、その同期化パートナーである各 ACS 用の AAA 設定が必要です。同 様に、各同期化パートナーには、シニア パートナー用の AAA サーバ設定が必要です。シニア パー トナーからの同期化コマンドは、同期化コマンドを受信する ACS にシニア パートナー用の AAA サーバ設定がない場合は無視されます。 ACS が使用する CSDBSync またはその他の Windows サービスの詳細については、付録 F「Windows サービス」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド 8-30 OL-14386-01-J 第8章 システム設定:高度 RDBMS 同期化 accountActions テーブルについて(ACS for Windows) accountActions テーブルには、CSDBSync が ACS 内部データベースで実行するアクションを定義し た行のセットが入っています。accountActions テーブルの各行には、ユーザ、ユーザ グループ、AAA クライアントの情報が収められています。さらに、アクション フィールドが 1 つとその他のフィー ルドがいくつか含まれています。このフィールドは、ACS 内部データベースのアップデートに必要 となる情報を CSDBSync に提供します。accountActions テーブルの形式と利用可能なアクションの 詳細については、付録 E「RDBMS 同期化機能インポートの定義」を参照してください。 accountActions テーブルを含むデータベースは、マルチユーザ ODBC ドライバをサポートする必要 があります。このドライバは、ACS とサードパーティ システムが、accountActions テーブルに同時 にアクセスを試みた場合に発生する問題を避けるために必要になります。 ACS には、よく使用される複数の形式で accountActions テーブルを作成できるようにするファイル が含まれています。このファイルは、ACS をデフォルトでインストールした場合、ACS の次の場 所にあります。 C:\Program Files\CiscoSecure ACS vx.x\CSDBSync\Databases Databases ディレクトリには、次のサブディレクトリがあります。 • Access:CiscoSecure Transactions.mdb というファイルが格納されています。 CiscoSecure Transactions.mdb データベースには、事前に定義された accountActions テーブルが含 まれています。 (注) • CiscoSecure Transactions.mdb データベースのユーザ名とパスワードは、デフォルトで NULL に設定されています。このデータベースを使用して実行される RDBMS 同期化のセキュリ ティを確保するため、CiscoSecure Transactions.mdb データベースと ACS の両方でユーザ名 とパスワードを変更してください。CiscoSecure Transactions.mdb データベースにアクセスす る他のプロセスもすべて、新しいユーザ名とパスワードを使用するように変更します。 CSV:accountactions と schema.ini というファイルが格納されています。 accountactions ファイルは、CSV ファイル内の accountActions テーブルです。schema.ini ファイ ルは、accountactions ファイルへのアクセスに必要な情報を Microsoft ODBC テキスト ファイル ドライバに提供します。 • Oracle 7:accountActions.sql と testData.sql というファイルが格納されています。 accountActions.sql ファイルには、accountActions テーブルの生成に必要な Oracle 7 SQL プロシー ジャが含まれています。testData.sql ファイルには、CSDBSync が処理できるサンプル トランザ クションで accountActions テーブルをアップデートするための Oracle 7 SQL プロシージャが含 まれています。 • Oracle 8:accountActions.sql と testData.sql というファイルが格納されています。 accountActions.sql ファイルには、accountActions テーブルの生成に必要な Oracle 8 SQL プロシー ジャが含まれています。testData.sql ファイルには、CSDBSync が処理できるサンプル トランザ クションで accountActions テーブルをアップデートするための Oracle 8 SQL プロシージャが含 まれています。 • SQL Server 6.5:accountActions.sql と testData.sql というファイルが格納されています。 accountActions.sql ファイルには、accountActions テーブルの生成に必要な Microsoft SQL Server 6.5 SQL プロシージャが含まれています。testData.sql ファイルには、CSDBSync が処理できる サンプル トランザクションで accountActions テーブルをアップデートするための Microsoft SQL Server 6.5 SQL プロシージャが含まれています。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 8-31 第8章 システム設定:高度 RDBMS 同期化 accountActions ファイルについて(ACS SE) accountActions ファイルには、CSDBSync が ACS 内部データベースで実行するアクションを定義し た行のセットが入っています。accountActions ファイルの各行には、ユーザ、ユーザ グループ、AAA クライアントの情報が収められています。最初の行(フィールド ヘッダーで使用されるため、同期 化中に無視される)を除いて、各行にもアクション フィールドと他の複数のフィールドが入ってい ま す。こ れ ら の フ ィ ー ル ド は、ACS 内 部 デ ー タ ベ ー ス の ア ッ プ デ ー ト に 必 要 と な る 情 報 を CSDBSync に提供します。 accountActions ファイルの形式と利用可能なアクション全体の詳細については、付録 E「RDBMS 同 期化機能インポートの定義」を参照してください。 accountActions テーブルを使用する ACS データベースの復旧 RDBMS 同期化機能では、実際に、次のようなトランザクション キューを作成します。 • (ACS for Windows)RDBMS 同期化機能では、accountActions テーブルの各レコードが処理後に 削除されるため、accountActions テーブルはトランザクション キューと見なすことができます。 • (ACS SE)RDBMS 同期化が処理する順番で accountActions ファイルのすべてのインスタンスを 組み合せることで、実際にトランザクション キューを作成します。 RDBMS 同期化機能では、トランザクション ログ、監査証跡は保持されません。ログが必要な場合 は、accountActions テーブルにレコードを追加する外部システムでログを作成する必要があります。 外部システムで accountActions テーブルに完全なトランザクション履歴を再作成できない場合は、 復旧用にトランザクション ログ ファイルを作成することを推奨します。 そのためには、次の手順を実行します。 ACS for Windows 安全な場所に保存され、定期的にバックアップされるセカンド テーブルを作成します。このセカン ド テーブルに、accountActions テーブルのレコードの追加とアップデートをすべてミラーリングし てください。 ACS SE 安全な場所に保存され、定期的にバックアップされるトランザクション ログ ファイルを作成しま す。このセカンド ファイルに、accountActions ファイルのレコードの追加とアップデートをすべて ミラーリングしてください。トランザクション ログ ファイルは、RDBMS 同期化で処理される accountActions ファイルの多数のインスタンスに記録されているすべてのアクションの連続になり ます。 データベースの規模が大きい場合は、すべてのトランザクション ログを再生して ACS 内部データ ベースをサードパーティ システムに同期させる方法は現実的ではありません。その代わりに、ACS 内部データベースを定期的にバックアップし、最新バックアップの時刻からのトランザクション ロ グを再生して、ACS 内部データベースをサードパーティ システムと同期化します。バックアップ ファイルの作成の詳細については、付録 E「RDBMS 同期化機能インポートの定義」を参照してく ださい。 チェックポイントよりも多少前の時点のトランザクション ログを再生すると、一部のトランザク ションが無効となり、エラーがレポートされる場合がありますが、ACS 内部データベースに損害が 及ぶことはありません。トランザクション ログ全体を再生すれば、ACS 内部データベースと外部 RDBMS アプリケーションのデータベースは一貫性が維持されます。 Cisco Secure ACS Solution Engine ユーザ ガイド 8-32 OL-14386-01-J 第8章 システム設定:高度 RDBMS 同期化 レポートとイベント(エラー)の処理 CSDBSync サービスでは、イベントとエラーをロギングできます。RDBMS 同期化ログの詳細につ いては、P.10-5 の「ACS 監査ログ」を参照してください。CSDBSync サービス ログの詳細について は、P.10-13 の「サービス ログ」を参照してください。 手動で同期をとる場合は、ACS は警報を表示して同期中に発生した問題を通知します。 RDBMS 同期化の使用準備 accountActions テーブルのデータを使用して ACS 内部データベースの同期をとるには、ACS の外部 でいくつかの手順を実行してから ACS 内部で RDBMS 同期化機能を設定する必要があります。 accountActions テーブルとして CSV ファイルを使用する場合は、P.8-34 の「RDBMS 同期化のシス テム DSN の設定(ACS for Windows) 」も参照してください。 (注) schema.ini ファイルは、accountactions.csv ファイルと同じフォルダに置く必要があります。 RDBMS 同期化を準備するには、次の手順を実行します。 ステップ 1 次の情報を決定します。 ACS for Windows accountActions テーブルを作成する場所とその形式。accountActions テーブルの詳細については、 P.8-31 の「accountActions テーブルについて(ACS for Windows) 」を参照してください。 ACS SE • • accountActions ファイルの作成方法。accountActions ファイルの詳細については、P.8-32 の 「accountActions ファイルについて(ACS SE) 」を参照してください。 accountActions ファイルを ACS にアクセス可能にするために使用する FTP サーバ。 accountActions テーブルの形式と内容の詳細については、付録 E「RDBMS 同期化機能インポートの 定義」を参照してください。 ステップ 2 accountActions テーブルを作成します。 ステップ 3 レコードを生成してそのレコードで accountActions テーブルをアップデートするように、サード パーティ システムを設定します。この構成では、イベントが起動された時点で accountActions テー ブルに書き込むストアド プロシージャの作成が必要になる可能性がありますが、accountActions テーブルを保守するメカニズムは、実装している構成固有のものです。accountActions テーブルの アップデートに使用するサードパーティ システムが市販の商品である場合は、参考のために、サー ドパーティ システム ベンダーが提供するマニュアルを参照してください。 ステップ 4 (ACS SE)必要に応じて、accountActions ファイルを、作成された場所から FTP サーバ上の適切な ディレクトリにコピーするための方式を設定します。 ステップ 5 サードパーティ システムが accountActions テーブルを正しくアップデートすることを確認します。 accountActions テーブルに生成される行は有効である必要があります。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 8-33 第8章 システム設定:高度 RDBMS 同期化 (注) ステップ 6 サードパーティ システムが accountActions テーブルを正しくアップデートすることをテス トしたら、ステップ 7 とステップ 8 を実行するまで accountActions テーブルのアップデート を中断します。 分散 AAA 環境で複数の ACS を同期させる場合は、次の手順を実行します。 a. サードパーティ システムとの通信に使用する ACS を決定します。この ACS がシニア同期化 パートナーになります。後でこれに対して、同期化パートナーに同期化データを送信する設定 を行います。同期化パートナーは、同期化を必要とするその他の ACS です。 b. シニア同期化パートナーに、各同期化パートナー用の AAA サーバ設定があることを確認しま す。見当たらない同期化パートナーの AAA サーバ設定を追加します。AAA サーバを追加する 詳細な手順については、P.3-20 の「AAA サーバの追加」を参照してください。 c. その他の同期化パートナーすべてに、シニア同期化パートナー用の AAA サーバ設定があるこ とを確認します。シニア同期化パートナー用の AAA サーバ設定がない場合は、作成します。 AAA サーバを追加する詳細な手順については、P.3-20 の「AAA サーバの追加」を参照してく ださい。 シニア同期化パートナーとその他の同期化パートナー間の同期化がイネーブルになります。 ステップ 7 (ACS for Windows)シニア同期化パートナー(サードパーティ システムと通信する ACS)でシス テム DSN を設定します。手順については、P.8-34 の「RDBMS 同期化のシステム DSN の設定(ACS for Windows)」を参照してください。 ステップ 8 シニア同期化パートナーで RDBMS 同期化をスケジューリングします。手順については、P.8-39 の 「RDBMS 同期化のスケジューリング」を参照してください。 ステップ 9 ACS 内部データベースにインポートされる情報で accountActions テーブルをアップデートし始める ように、サードパーティ システムを設定します。 (ACS SE)必要に応じて、accountActions ファイルを、FTP サーバ上の適切なディレクトリにコピー するための方式をアクティブにします。 ステップ 10 Reports and Activity セクションで RDBMS 同期化レポートを監視して、RDBMS 同期化が正しく動作 していることを確認します。RDBMS 同期化ログの詳細については、P.10-5 の「ACS 監査ログ」を 参照してください。 CSDBSync サービス ログも監視します。CSDBSync サービス ログの詳細については、P.10-13 の 「サービス ログ」を参照してください。 RDBMS 同期化のシステム DSN の設定(ACS for Windows) ACS 上にシステム DSN が存在するとき、ACS は accountActions テーブルにアクセスできます。ロー カル AccountActions CSV ファイルを使用して、RDBMS 同期化の DSN を取得できます。ACS は Microsoft Text Driver を使用してデフォルトの DSN、CiscoSecure DBSync を作成して、ローカル CSV ファイルを処理します。ACS は、指定した場所にある CSV ファイルの内容を抽出してその内容を 処理し、ファイルの名前を .done 拡張子付きの名前に変更します。Use local CSV file オプションが ディセーブルになっている場合、ACS は RDBMS 同期化を通常どおり実行します。 Cisco Secure ACS Solution Engine ユーザ ガイド 8-34 OL-14386-01-J 第8章 システム設定:高度 RDBMS 同期化 ヒント ACS が ODBC で実行するすべての処理にシステム DSN が必要です。ユーザ DSN は使用できませ ん。ODBC control panel アプレットでデータソースを設定する際に、この 2 つの DSN を間違えない ようにしてください。システム DSN が正しく設定されていることを確認してください。 CiscoSecure Transactions.mdb ファイルの詳細については、P.8-33 の「RDBMS 同期化の使用準備」を 参照してください。 RDBMS 同期化で使用するシステム DSN を作成するには、次の手順を実行します。 ステップ 1 Windows のコントロール パネルから、ODBC Data Source Administrator ウィンドウを開きます。 ヒント Windows 2000 および新しい Windows オペレーティング システムの場合、ODBC Data Sources アイコンは Administrative Tools フォルダにあります。 ステップ 2 ODBC Data Source Administrator ウィンドウの System DSN タブをクリックします。 ステップ 3 Add をクリックします。 ステップ 4 新しい DSN で使用するドライバを選択してから、Finish をクリックします。 ダイアログボックスが開き、選択した ODBC ドライバ固有の情報を入力するためのフィールドが表 示されます。 ステップ 5 Data Source Name ボックスに DSN の説明的な名前を入力します。 ステップ 6 選択した ODBC の他のフィールドすべてに入力します。これらのフィールドには、たとえば、ODBC 準拠のデータベースが稼働するサーバの IP アドレスが含まれています。 ステップ 7 OK をクリックします。 DSN に指定した名前が System Data Sources リストに表示されます。 ステップ 8 ODBC ウィンドウと Windows のコントロール パネルを閉じます。 ACS では、accountActions テーブルへのアクセスに ACS が使用するシステムを作成します。 RDBMS 同期化のオプション System Configuration から利用できる RDBMS Synchronization Setup ページでは、RDBMS 同期化機能 を制御できます。このページには 3 つのテーブルが表示されます。この項では、それらのテーブル のオプションについて説明します。 ここでは、次の項目について説明します。 • RDBMS セットアップ オプション(P.8-36) • Windows の accountActions ファイル用の RDBMS 同期化のセットアップ(P.8-36) Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 8-35 第8章 システム設定:高度 RDBMS 同期化 • SE の RDBMS 同期化の FTP セットアップ オプション(P.8-36) • 同期化スケジューリング オプション(P.8-37) • 同期化パートナー オプション(P.8-37) RDBMS セットアップ オプション RDBMS Setup テーブルは、ACS が accountActions テーブルにアクセスする方法を定義するもので、 次のオプションがあります。 • Data Source:ACS 上で利用できるすべてのシステム DSN の中から、accountActions テーブルへ のアクセスに使用するシステム DSN を指定します。 • Username:accountActions テーブルを含むデータベースへのアクセスに ACS が使用するユーザ 名を指定します。 (注) ユーザ名を指定するデータベース ユーザ アカウントには、accountActions テーブルで読 み取りと書き込みを行う特権が必要です。 • Password:accountActions テーブルを含むデータベースへのアクセスに ACS が使用するパス ワードを指定します。 Windows の accountActions ファイル用の RDBMS 同期化のセットアップ ACS の CSV ファイルを使用した RDBMS 同期化のユーザビリティは、accountActions ファイルに関 する次のような情報を提供することで向上させることができます。 • Actions File:accountActions ファイルの名前です。 • Directory:ローカル マシンのファイルのパスを入力します。 SE の RDBMS 同期化の FTP セットアップ オプション FTP Setup For Account Actions Download テーブルは、ACS が accountActions テーブルにアクセスす る方法を定義します。次のオプションがあります。 • Actions File:accountActions ファイルの名前。デフォルトの名前は actions.csv です。指定する ファイル名は、FTP サーバ上の accountActions の名前と一致している必要があります。 • FTP Server:ACS が accountActions ファイルを取得する FTP サーバの IP アドレスまたはホスト 名。ホスト名を指定する場合は、ネットワークで DNS がイネーブルになっている必要があり ます。 • Directory:FTP サーバ ルート ディレクトリから、accountActions ファイルがあるディレクトリ への相対パス。FTP のルート ディレクトリを指定するには、ピリオド(.)を 1 つ入力します。 • Username:ACS から FTP サーバへのアクセスを可能にする有効なユーザ名。 • Password:Login ボックスに入力されたユーザ名のパスワードです。 RDBMS 同期化のスクリプト可能なインターフェイス ACS for SE ACS 設定は、SSH をサポートする RDBMS 同期化のためのコマンドライン ユーティリティを使用 してリモート システムから変更できます。SSH サーバを起動するメカニズムにより、管理者特権を 追加し、csdbsync -syncnow コマンドを呼び出すことができます。csdbsync -syncnow コマンドは、 csdbsync -run コマンドと同様に機能しますが、RDBMSync サービスを停止または起動しません。 Cisco Secure ACS Solution Engine ユーザ ガイド 8-36 OL-14386-01-J 第8章 システム設定:高度 RDBMS 同期化 同期化スケジューリング オプション Synchronization Scheduling テーブルは、同期化の実行タイミングを定義します。次のオプションが あります。 • Manually:ACS は自動 RDBMS 同期化を実行しません。 • Every X minutes:ACS は、指定された頻度で同期化を実行します。時間の単位は分で、デフォ ルトでは 60 分ごとにアップデートされます。 • At specific times:ACS は、日 / 時グラフで指定された時刻に同期化を実行します。最小間隔は 1 時間で、指定した時刻に同期化が実行されます。 同期化パートナー オプション Synchronization Partners テーブルは、accountActions テーブルのデータに同期させる ACS を定義しま す。次のオプションがあります。 • AAA Server:このリストは、それに対して ACS が RDBMS 同期化を実行しないように Network Configuration の AAA Servers テーブルに設定されている AAA サーバを表します。 • Synchronize:このリストは、それに対して ACS が RDBMS 同期化を実行するように Network Configuration の AAA Servers テーブルに設定されている AAA サーバを表します。このリストに ある AAA サーバは、この ACS の同期化パートナーです。同期化において、この ACS とその 同期化パートナー間の通信では、128 ビット暗号化された Cisco 固有のプロトコルが使用され ます。同期化パートナーは、TCP ポート 2000 で同期化データを受信します。 (注) 各同期化パートナーの Network Configuration セクションに、この ACS に対応する AAA サーバ設定があることが必要です。設定されていない場合、この ACS が送信する同期 化コマンドは無視されます。 Network Configuration の AAA Servers テーブルの詳細については、P.3-18 の「AAA サーバの設定」 を参照してください。 RDBMS 同期化の実行 RDBMS 同期化イベントは手動で開始できます。 手動で RDBMS 同期化を実行するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 RDBMS Synchronization をクリックします。 RDBMS Synchronization Setup ページが表示されます。 (注) この機能が表示されない場合は、Interface Configuration > Advanced Options をクリックし てから RDBMS Synchronization をオンにします。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 8-37 第8章 システム設定:高度 RDBMS 同期化 ステップ 3 (ACS for Windows)ローカル CSV ファイルを使用して、RDBMS 同期化のオプションを指定するに は、次の手順を実行します。 a. Use Local CSV File:ACS をアクティブにしてローカル マシンから CSV ファイルを取得します。 ACS はデフォルトの DSN、CiscoSecure DBSync を作成して、ローカル CSV ファイルを処理し ます。ACS は、指定した場所にある CSV ファイルの内容を抽出してその内容を処理し、ファ イルの名前を .done 拡張子付きの名前に変更します。 b. AccountActions File ボックスに、設定アクションの CSV ファイルの名前を入力します。デフォ ルトは accountactions.csv です。 c. Directory ボックスに、ローカル マシンにある accountActions ファイルのパス名を入力します。 ステップ 4 (ACS for Windows)CDBSync システム DSN を使用して、RDBMS 同期化のオプションを指定する には、次の手順を実行します。 a. Data Source リストで、accountActions テーブルを含むデータベースと通信するように設定した システム DSN を選択します。 RDBMS 同期化で使用するシステム DSN の設定の詳細については、P.8-34 の「RDBMS 同期化 のシステム DSN の設定(ACS for Windows) 」を参照してください。 b. Username ボックスに、accountActions テーブルの読み取りアクセス特権と書き込みアクセス特 権があるデータベース ユーザ アカウントのユーザ名を入力します。 c. Password ボックスに、ステップ b で指定したユーザ名のパスワードを入力します。 (注) RDBMS セットアップの詳細については、P.8-36 の「RDBMS セットアップ オプション」を 参照してください。 ACS に accountActions テーブルにアクセスするための情報が含まれています。 (注) Replication Scheduling の Manually を選択する必要はありません。詳細については、P.8-40 の 「スケジューリング済み RDBMS 同期化のディセーブル化」を参照してください。 ステップ 5 (ACS SE)FTP Setup For Account Actions Download テーブルでオプションを指定するには、次の手 順を実行します。 a. Actions Files ボックスに、ACS のアップデートに使用する accountActions ファイルの名前を入 力します。 b. FTP Server ボックスに、ACS が accountActions ファイルを取得する FTP サーバの IP アドレス またはホスト名を入力します。 c. Directory ボックスに、accountActions ファイルが常駐している FTP サーバ上のディレクトリへ の相対パスを入力します。 d. Username ボックスに、ACS の FTP サーバへのアクセスをイネーブルにするための有効なユー ザ名を入力します。 e. Password ボックスに、Login ボックスで入力したユーザ名のパスワードを入力します。 (注) FTP セットアップの詳細については、P.8-36 の「SE の RDBMS 同期化の FTP セットアップ オプション」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド 8-38 OL-14386-01-J 第8章 システム設定:高度 RDBMS 同期化 ACS には、FTP サーバから accountActions ファイルを取得するのに必要な情報があります。 (注) ステップ 6 Replication Scheduling の Manually を選択する必要はありません。詳細については、P.8-40 の 「スケジューリング済み RDBMS 同期化のディセーブル化」を参照してください。 accountActions テーブルのデータを使用してこの ACS をアップデートする ACS それぞれに対して、 AAA Servers リストで ACS を選択してから、インターフェイスの右矢印ボタンをクリックします。 選択した ACS が Synchronize リストに表示されます。 ステップ 7 Synchronize リストから ACS を削除するには、Synchronize リストで ACS を選択してから、<--(左 矢印ボタン)をクリックします。 選択した ACS が Synchronize リストに表示されます。 ステップ 8 ブラウザ ウィンドウの一番下にある Synchronize Now をクリックします。 ACS は、即座に同期化イベントを開始します。同期化のステータスをチェックするには、Reports and Activity で RDBMS 同期化レポートを表示します。 RDBMS 同期化のスケジューリング ACS が RDBMS 同期化を実行するタイミングをスケジューリングできます。 ACS が RDBMS 同期化を実行するタイミングをスケジューリングするには、次の手順を実行しま す。 ステップ 1 RDBMS 同期化を実行します。P.8-37 の「RDBMS 同期化の実行」を参照してください。 • この ACS が RDBMS 同期化を一定間隔で実行するように設定するには、Synchronization Scheduling で Every X minutes オプションを選択し、X ボックスに ACS が同期化を実行する間 隔を分単位で入力します(最大 7 文字)。 • この ACS が RDBMS 同期化を実行するタイミングをスケジューリングするには、次の手順を実 行します。 a. Synchronization Scheduling で At specific times オプションを選択します。 b. 日 / 時グラフで、ACS が複製を実行する時刻をクリックします。 ヒント ステップ 2 グラフの時刻をクリックすると、その時刻が選択されます。再度クリックすると解除さ れます。Clear All をクリックして時間全体を解除したり、Set All をクリックして時間全 体を選択することもできます。 accountActions テーブルのデータを使用して同期をとる ACS それぞれに対して、次の手順を実行し ます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 8-39 第8章 システム設定:高度 RDBMS 同期化 (注) 同期化ターゲットの詳細については、P.8-11 の「Inbound Replication オプション」を参照し てください。 a. Synchronization Partners テーブルの AAA Servers リストで、accountActions テーブルのデータを 使用してこの ACS をアップデートする ACS の名前を選択します。 (注) AAA Servers リストで利用できる ACS は、Network Configuration の AAA Servers テーブ ルと現在の ACS サーバの名前で決まります。AAA Servers テーブルの詳細については、 P.3-18 の「AAA サーバの設定」を参照してください。 b. -->(右矢印ボタン)をクリックします。 選択した ACS が Synchronize リストに移動します。 (注) 少なくとも 1 台の ACS が Synchronize リストにあることが必要です。このリストには、 RDBMS 同期を設定しているサーバが含まれます。RDBMS 同期化は、現在のサーバの 内部データベースは自動的に含めません。 ステップ 3 Submit をクリックします。 ACS は、作成された RDBMS 同期化スケジュールを保存します。 スケジューリング済み RDBMS 同期化のディセーブル化 スケジューリング済み RDBMS 同期化イベントは、スケジュール自体を残したままディセーブルに できます。この機能を使用すると、スケジュールを再作成しなくても、スケジューリングされた同 期化を終了し、再開することができます。 スケジューリング済み RDBMS 同期化をディセーブルにするには、次の手順を実行します。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 RDBMS Synchronization をクリックします。 RDBMS Synchronization Setup ページが表示されます。 ステップ 3 Synchronization Scheduling で Manually オプションを選択します。 ステップ 4 Submit をクリックします。 ACS は、スケジューリング済み RDBMS 同期化を実行しなくなります。 Cisco Secure ACS Solution Engine ユーザ ガイド 8-40 OL-14386-01-J 第8章 システム設定:高度 RDBMS 同期化 RDBMS 同期化障害コード 1 つのトランザクション中に、致命的な RDBMS 同期化エラーも、致命的でない RDBMS 同期化エ ラーと同様に発生することがあります。致命的でないエラー メッセージが RDBMS 同期化監査ログ に書き込まれ、正常なトランザクションのように処理が進んだ場合、そのレコードはアクション テーブルから削除されます。致命的なエラー メッセージが RDBMS 同期化監査ログに書き込まれた 場合、同期化は停止します。 ACS では、エラー コード 2 をデータベースに送信することが予期されますが、ACS RDBMS 同期 化ではエラー コード 2 を送信しません。また、障害が発生した場合にデータベース レコードも削 除しません。 データベースから ACS に RDBMS 同期化を実行しているときに、新しいデバイスおよび NDG を追 加できます。新しいデバイスは最後に付加されます。 ACS にそのデバイスがすでに存在する場合、ACS はログにエラー「Failed to create new NAS/AAA record- Host database failure, Host already exists」を報告します。障 害が発生するとデータベース レコードを削除することが予期されますが、ACS では、データベー スからエントリを削除し、データベースにエラー コードを送信しません。 表 8-5 は、RDBMS 同期化の致命的なエラーのリストです。 表 8-5 致命的なエラー リスト エラー コード Attempt to create account with user name that already exists Password supplied for user was not valid An internal error in packet format has occurred The file or directory could not be opened - no free handles File write in the user file space failed File read in the user file space failed An invalid directory name was supplied An invalid file name was supplied Server could not allocate memory File set pointer in the user file space failed CSAuth client tried to send a message greater than 31K Attempt to create account with user name that already exists A value in the registry was not found Database file cannot be made bigger Proxy database failure UDB_PROXY_DB_FAILURE Invalid counter type UDB_USER_REMOVED UDB_UDV_CONFIG_ERROR Failed to parse DACL.User level DACL is not enabled. Failed to process DACL.DACL not defined. Failed to parse DACL.User/Group Level DACL is not enabled. Failed to process DACL.Failed to get UserID. Invalid NDG name. Specified file does not exist or error in accessing file from FTP. Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 8-41 第8章 システム設定:高度 IP プール サーバ IP プール サーバ この項では、IP プール機能について、IP プールの作成手順と維持手順を中心に説明します。 ここでは、次の項目について説明します。 • IP プール サーバについて(P.8-42) • 重複 IP プールの許可または固有プール アドレス範囲の強制(P.8-43) • AAA Server IP Pools テーブルの更新(P.8-44) • 新しい IP プールの追加(P.8-44) • IP プール定義の編集(P.8-45) • IP プールのリセット(P.8-46) • IP プールの削除(P.8-47) IP プール サーバについて VPN を使用している場合は、IP アドレスの割り当てを重複させることが必要になる場合もありま す。つまり、特定のトンネル内の PPTP トンネル クライアントが、他のトンネル内の別の PPTP ト ンネル クライアントが使用するのと同じ IP アドレスを使用すると都合がいい場合があります。IP プール サーバ機能を利用して複数のユーザに同じ IP アドレスを割り当てることができます。ただ し、ユーザがネットワークの境界を越えてルーティング用の異なるホーム ゲートウェイにそれぞれ トンネリングされている必要があります。これによって、不正なアドレスを使用する手法を採用し なくても、IP アドレス空間を節約できます。IP プール機能をイネーブルにすると、ACS は番号ま たは名前によって定義された IP プールから IP アドレスをダイナミックに発行します。IP プールは、 最大 999 個を、合計で約 255,000 のユーザに対して設定できます。 IP プールとプロキシを使用している場合は、すべてのアカウンティング パケットがプロキシ化さ れるため、IP アドレスを割り当てる ACS は、IP アドレスがすでに使用中であるかどうかを確認で きます。 (注) ACS データベース複製機能では、IP プール定義は複製されませんが、ユーザとグループの IP プー ルへの割り当ては複製されます。IP プール定義が複製されないのは、複製パートナーがすでに他の ワークステーションに割り当てた IP アドレスを、ACS が偶然に割り当てることを防ぐためです。 複製を使用する AAA 環境で IP プールをサポートするには、プライマリ ACS に定義されている IP プールと同じ名前を使用して、各セカンダリ ACS に手作業で IP プールを設定する必要があります。 IP プールを使用するには、AAA クライアントで、ネットワーク認可(IOS では aaa authorization network)とアカウンティング(IOS では aaa accounting)をイネーブルにしておく必要があります。 (注) IP プール機能を使用するには、同じプロトコル(TACACS+ または RADIUS のどちらか一方)を使 用して認証とアカウンティングを実行するように AAA クライアントをセットアップする必要があ ります。 グループまたはユーザを IP プールに割り当てる方法については、P.5-24 の「IP アドレス割り当て 方式をユーザ グループに対して設定する」または P.6-9 の「ユーザをクライアント IP アドレスに割 り当てる」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド 8-42 OL-14386-01-J 第8章 システム設定:高度 IP プール サーバ 重複 IP プールの許可または固有プール アドレス範囲の強制 ACS は、重複プールの自動検出を行います。 (注) 重複プールを使用するには、VPN で RADIUS を使用している必要があり、Dynamic Host Configuration Protocol(DHCP; ダイナミック ホスト設定プロトコル)は使用できません。 IP プールの重複が許可されているかどうかは、AAA Server IP Pools テーブルの下に、次のどちらの ボタンが表示されているかによって判断できます。 • Allow Overlapping Pool Address Ranges:IP プール アドレス範囲の重複が許可されていないこ とを表します。このボタンをクリックすると、プール間で IP アドレス範囲を重複させることが できます。 • Force Unique Pool Address Range:IP プール アドレス範囲の重複が許可されていることを表し ます。このボタンをクリックすると、IP アドレス範囲がプール間で重複しないようにします。 IP プールの重複を許可するか、固有プール アドレス範囲を強制するかを決めるには、次の手順を 実行します。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 IP Pools Server をクリックします。 (注) この機能が表示されない場合は、Interface Configuration > Advanced Options をクリックし てから、IP Pools をクリックします。 AAA Server IP Pools テーブルに、設定したすべての IP プール、そのアドレス範囲、および使用中の プーリング済みアドレスのパーセンテージがリストされます。 ステップ 3 IP プール アドレス範囲の重複を許可するには、次の手順を実行します。 a. Allow Overlapping Pool Address Ranges ボタンが表示されている場合は、そのボタンをクリッ クします。 ACS で IP プール アドレス範囲の重複が許可されます。 b. Force Unique Pool Address Range ボタンが表示されている場合は、何も実行しません。 ACS では、IP プール アドレス範囲の重複がすでに許可されています。 ステップ 4 IP プール アドレス範囲の重複を拒否するには、次の手順を実行します。 a. Allow Overlapping Pool Address Ranges ボタンが表示されている場合は、何も実行しません。 ACS では、IP プール アドレス範囲の重複がすでに禁止されています。 b. Force Unique Pool Address Range ボタンが表示されている場合は、そのボタンをクリックしま す。 ACS で IP プール アドレス範囲の重複が禁止されます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 8-43 第8章 システム設定:高度 IP プール サーバ AAA Server IP Pools テーブルの更新 AAA Server IP Pools テーブルを更新すると、IP プールの最新の使用状況の統計を取得できます。 AAA Server IP Pools テーブルを更新するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 IP Pools Server をクリックします。 AAA Server IP Pools テーブルに、設定したすべての IP プール、そのアドレス範囲、および使用中の プーリング済みアドレスのパーセンテージがリストされます。 ステップ 3 Refresh をクリックします。 ACS は使用中のプーリング済みアドレスのパーセンテージをアップデートします。 新しい IP プールの追加 IP アドレス プールは 999 個まで定義できます。 IP プールを追加するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 IP Pools Server をクリックします。 AAA Server IP Pools テーブルに、すでに設定済みのすべての IP プール、そのアドレス範囲、使用中 のプーリング済みアドレスのパーセンテージがリストされます。 ステップ 3 Add Entry をクリックします。 New Pool テーブルが表示されます。 ステップ 4 Name ボックスに、新しい IP プールに割り当てる名前(最大 31 文字)を入力します。 ステップ 5 Start Address ボックスに、新しいプールのアドレス範囲の最小 IP アドレス(最大 15 文字)を入力 します。 (注) ステップ 6 ある IP プールのアドレスはすべて同じ Class C ネットワークに存在している必要があるた め、開始アドレスと終了アドレスの最初の 3 オクテットは同じである必要があります。た とえば、開始アドレスが 192.168.1.1 の場合、終了アドレスは 192.168.1.2 から 192.168.10,254 までの範囲にあることが必要です。 End Address ボックスに、新しいプールのアドレス範囲の最大 IP アドレス(最大 15 文字)を入力 します。 Cisco Secure ACS Solution Engine ユーザ ガイド 8-44 OL-14386-01-J 第8章 システム設定:高度 IP プール サーバ ステップ 7 Submit をクリックします。 新しい IP プールが AAA Server IP Pools テーブルに表示されます。 IP プール定義の編集 IP プール定義を編集するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 IP Pools Server をクリックします。 AAA Server IP Pools テーブルに、設定したすべての IP プール、そのアドレス範囲、および使用中の プーリング済みアドレスのパーセンテージがリストされます。 ステップ 3 編集する IP プールの名前をクリックします。 name プール テーブルが表示されます。name には選択した IP プールの名前が入ります。In Use フィールドには、このプールでユーザに割り当てられている IP アドレスの数が表示されます。 Available フィールドには、ユーザに割り当てられていない IP アドレスの数が表示されます。 ステップ 4 プールの名前を変更するには、Name ボックスに、IP プールの新しい名前(最大 31 文字)を入力 します。 ステップ 5 IP アドレスのプール範囲の開始アドレスを変更するには、Start Address ボックスに、プールの新し いアドレス範囲の最小 IP アドレス(最大 15 文字)を入力します。 (注) ある IP プールのアドレスはすべて同じ Class C ネットワークに存在している必要があるた め、開始アドレスと終了アドレスの最初の 3 オクテットは同じである必要があります。た とえば、開始アドレスが 192.168.1.1 の場合、終了アドレスは 192.168.1.2 から 192.168.10,254 までの範囲にあることが必要です。 ステップ 6 IP アドレスのプール範囲の終了アドレスを変更するには、End Address ボックスに、プールの新し いアドレス範囲の最大 IP アドレス(最大 15 文字)を入力します。 ステップ 7 Submit をクリックします。 編集済み IP プールが AAA Server IP Pools テーブルに表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 8-45 第8章 システム設定:高度 IP プール サーバ IP プールのリセット リセット機能では、接続先がない接続が存在する場合、IP プール内で IP アドレスを回復できます。 接続先がない接続は、ユーザが切断したが、ACS が該当する AAA クライアントからアカウンティ ング停止パケットを受信していない場合に発生します。Reports and Activity の Failed Attempts ログ で、Failed to Allocate IP Address For User メッセージの数が大きくなっている場合は、リセッ ト機能を使用してこの IP プールに割り当てられているアドレスをすべて再生することを考慮して ください。 (注) リセット機能を使用してプール内で割り当てられている IP アドレスをすべて再生すると、すでに 使用中のアドレスがユーザに割り当てられることになります。 IP プールをリセットしてすべての IP アドレスを再生するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 IP Pools Server をクリックします。 AAA Server IP Pools テーブルに、設定したすべての IP プール、そのアドレス範囲、および使用中の プーリング済みアドレスのパーセンテージがリストされます。 ステップ 3 リセットする IP プールの名前をクリックします。 name プール テーブルが表示されます。name には選択した IP プールの名前が入ります。In Use フィールドには、このプールでユーザに割り当てられている IP アドレスの数が表示されます。 Available フィールドには、ユーザに割り当てられていない IP アドレスの数が表示されます。 ステップ 4 Reset をクリックします。 ACS によって、すでに使用中のアドレスがユーザに割り当てられる可能性があることを示すダイア ログボックスが表示されます。 ステップ 5 IP プールのリセットを続けるには OK をクリックします。 IP プールがリセットされます。すべての IP アドレスが再生されます。AAA Server IP Pools テーブ ルの In Use カラムでは、IP プール アドレスのうち 0% がユーザに割り当てられていることがわかり ます。 Cisco Secure ACS Solution Engine ユーザ ガイド 8-46 OL-14386-01-J 第8章 システム設定:高度 IP プール サーバ IP プールの削除 (注) ユーザが割り当てられている IP プールを削除すると、そのユーザは、ユーザ プロファイルを編集 して IP 割り当て設定を変更するまで、認証できなくなります。その代わりに、グループ メンバー シップに基づいて IP がユーザに割り当てられる場合は、ユーザ グループ プロファイルを編集して グループの IP 割り当て設定を変更できます。 IP プールを削除するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 IP Pools Server をクリックします。 AAA Server IP Pools テーブルに、設定したすべての IP プール、そのアドレス範囲、および使用中の プーリング済みアドレスのパーセンテージがリストされます。 ステップ 3 削除する IP プールの名前をクリックします。 name プール テーブルが表示されます。name には選択した IP プールの名前が入ります。In Use カラ ムには、このプールでユーザに割り当てられている IP アドレスの数が表示されます。Available カ ラムには、ユーザに割り当てられていない IP アドレスの数が表示されます。 ステップ 4 Delete をクリックします。 ACS は、IP プールの削除を確認するダイアログボックスを表示します。 ステップ 5 IP プールを削除するには OK をクリックします。 IP プールが削除されます。削除された IP プールは、AAA Server IP Pools テーブルにリストされま せん。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 8-47 第8章 システム設定:高度 IP プール アドレスの復旧 IP プール アドレスの復旧 IP プール アドレス復旧機能を使用して、指定した期間中に使用されなかった割り当て済み IP アド レスを復旧できます。ACS が IP アドレスを正しく再生するには、アカウンティング ネットワーク を AAA クライアント上に設定しておく必要があります。 IP プール アドレス復旧のイネーブル化 IP プール アドレス復旧をイネーブルにするには、次の手順を実行します。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 IP Pools Address Recovery をクリックします。 (注) この機能が表示されない場合は、Interface Configuration > Advanced Options をクリックし てから、IP Pools をクリックします。 IP Address Recovery ページが表示されます。 ステップ 3 Release address if allocated for longer than X hours チェックボックスをオンにし、 X ボックスに、 ACS が割り当て済みの未使用の IP アドレスを復旧するまでの期間を時間単位で入力します(最大 4 文 字)。 ステップ 4 Submit をクリックします。 これで、ACS に IP プール アドレス復旧設定が実装されます。 Cisco Secure ACS Solution Engine ユーザ ガイド 8-48 OL-14386-01-J 第8章 システム設定:高度 NAC Attribute Management(ACS SE のみ) NAC Attribute Management(ACS SE のみ) CNAC Attributes Management ページを使用すると、ポスチャ確認要求で使用される NAC アトリ ビュートを追加、削除、またはエクスポートできます。ポスチャ確認アトリビュートの詳細につい ては、P.13-6 の「ポスチャのクレデンシャルとアトリビュートについて」を参照してください。 ここでは、次の項目について説明します。 • ポスチャ確認アトリビュート定義ファイル(P.8-49) • アトリビュートの追加(P.8-52) • アトリビュートの削除(P.8-53) • アトリビュートのエクスポート(ダンプ)(P.8-56) • デフォルトのポスチャ確認アトリビュート定義ファイル(P.8-57) ポスチャ確認アトリビュート定義ファイル ポスチャ確認アトリビュート定義ファイルは、1 つ以上のポスチャ確認アトリビュート定義を含む テキスト ファイルです。各定義は、例 8-1 で示すように、定義ヘッダーといくつかの値から構成さ れています。ポスチャ確認アトリビュート定義ファイルの例については、P.8-57 の「デフォルトの ポスチャ確認アトリビュート定義ファイル」を参照してください。 アトリビュート定義ヘッダーを除く各アトリビュート定義の値は、次の形式にする必要がありま す。 name=value 次に示すリストで指定されているとおり、name には値の名前を、value には文字列または整数を入 力します。 ヒント コメントである行を示すには、セミコロン(;)を使用できます。 例 8-1 に、ポスチャ確認アトリビュート定義の例を示します。アトリビュート定義の後にはコメン トがあります。 例 8-1 アトリビュート定義の例 [attr#0] vendor-id=9 vendor-name=Cisco application-id=1 application-name=PA attribute-id=00001 attribute-name=Application-Posture-Token attribute-profile=out attribute-type=unsigned integer ; attribute 1 is reserved for the APT ポスチャ確認アトリビュートは、vendor-id、application-id、および attribute-id の組み合せで 一意に定義されます。次のリストでは、これらの値の詳細とアトリビュート定義で必要な各行の詳 細を示します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 8-49 第8章 システム設定:高度 NAC Attribute Management(ACS SE のみ) • [attr#n]:アトリビュート定義ヘッダー。n はゼロから始まる一意の連続する整数です。ACS は 定義ヘッダーによって新しいアトリビュート定義の開始を識別します。各アトリビュート定義 は、定義ヘッダーを含む行で開始する必要があります。ファイルで最初のアトリビュート定義 にはヘッダー [attr#0] が、ファイルで 2 番目のアトリビュート定義にはヘッダー [attr#1] が 含まれるように指定する必要があります。番号付けが連続せずにとぎれた場合、ACS はとぎれ た部分以降のアトリビュート定義を無視します。たとえば、ファイルに 10 のアトリビュート 定義があり、5 番目のアトリビュートを [attr#4] ではなく [attr#5] と定義した場合、ACS は [attr#5] と定義されたアトリビュートとそれに続く残り 5 つのアトリビュートを無視します。 ヒント • n の値は、アトリビュート定義ファイル内のどの -id 値とも関連がありません。たとえ ば、ファイル内の 28 番目の定義ではヘッダーに [attr#27] を指定する必要がありますが、 このことは vendor-id、application-id、および attribute-id の有効な値を制限するも のでも、定義するものでもありません。さらに、ACS でサポートするポスチャ確認アト リビュートの数は、制限も定義もされません。 vendor-id:符号なし整数。ベンダー番号を指定します。このベンダー番号は、ポスチャ確認ア トリビュートに関連付けられたベンダーに属します。ベンダー番号は、IANA Assigned Numbers RFC でベンダーに割り当てられた番号である必要があります。たとえば、vendor-id の 9 はシ スコシステムズに対応しています。 各 vendor-id には、application-id 値で識別できる 1 つまたは複数のアプリケーションが関 連付けられています。 • vendor-name:文字列。これは、ACS の Web インターフェイスと、関連付けられたポスチャ確 認アトリビュートのログに表示される vendor name を指定します。たとえば、アトリビュート 定義の vendor-id が 9 の場合、ベンダー名は Cisco となります。 (注) 同じ vendor-id を共有するアトリビュートに、異なるベンダー名を指定することはでき ません。たとえば、vendor-id が 9 であるアトリビュートのベンダー名が Cisco ではな い場合、そのアトリビュートは追加できません。 • application-id:符号なし整数。ポスチャ確認アトリビュートに関連付けられたベンダーのアプ リケーションを一意に識別する application-id を指定します。たとえば、vendor-id が 9 で application-id が 1 の場合、ポスチャ確認アトリビュートは ID が 1 の Cisco アプリケーショ ンに関連付けられます。このアプリケーションは Cisco Trust Agent で、Posture Agent(PA; ポス チャ エージェント)とも呼ばれます。 • application-name:文字列。これは ACS の Web インターフェイスと、関連付けられたポスチャ 確 認 ア ト リ ビ ュ ー トの ロ グ に 表 示 さ れ る ア プ リ ケ ー シ ョ ン 名 を 指 定 し ま す。た と え ば、 vendor-id が 9 で application-id が 1 の場合、application-name は PA となります。これは、 ポスチャ エージェントの省略形で、CTA の別の表現です。 (注) アトリビュートが同一の vendor-id と application-id のペアを共有する場合、異なる ア プ リ ケ ー シ ョ ン 名 を 指 定 す る こ と は で き ま せ ん。た と え ば、vendor-id が 9 で application-id が 1 のアトリビュートは、application-name が PA でない場合は追加 できません。 • attribute-id:1 ∼ 65535 の範囲の符号なし整数。attribute-id は、指定した vendor-id と application-id について、ポスチャ確認アトリビュートを一意に識別します。 Cisco Secure ACS Solution Engine ユーザ ガイド 8-50 OL-14386-01-J 第8章 システム設定:高度 NAC Attribute Management(ACS SE のみ) (注) アトリビュート 1 および 2 は各アプリケーションで予約済みです。新しいアプリケー ションを示すアトリビュートを追加すると、ACS によって自動的にアトリビュート 1 が Application-Posture-Token として、アトリビュート 2 が System-Posture-Token として 作成されます。 • attribute-name:文字列。これは ACS の Web インターフェイスと、関連付けられたポスチャ確 認アトリビュートのログに表示されるアトリビュート名です。たとえば、vendor-id が 9、 application-id が 1、attribute-id が 1 の場合、attribute-name は Application-Posture-Token になります。 • attribute-profile:文字列。アトリビュート プロファイルは、ACS がポスチャ確認応答でアトリ ビュートを送信できるかどうか、ポスチャ確認要求でアトリビュートを受信できるかどうか、 またはポスチャ確認時にアトリビュートの送信と受信の両方が可能かどうかを指定します。 attribute-profile の有効な値は次のとおりです。 − in:ACS はポスチャ確認要求でアトリビュートを受け入れ、アトリビュートのログを記録 できます。ユーザはアトリビュートをローカル ポリシー規則の定義で使用できます。 attribute-profile 値が in のアトリビュートは受信アトリビュートとも呼ばれます。 − out:アトリビュートは ACS によりポスチャ確認応答で送信されますが、このアトリビュー トはローカル ポリシー規則の定義では使用できません。attribute-profile 値が out のア トリビュートは送信アトリビュートとも呼ばれます。ログに記録されるように ACS を設定 できる唯一の送信アトリビュートは、Application-Posture-Token および System-Posture-Token のアトリビュートです。ただし、これらはユーザが修正できないシステム定義アトリビュー トです。 − in out:ACS はポスチャ確認要求でアトリビュートを受け入れ、ポスチャ確認応答でアト リビュートを送信することができます。attribute-profile の値が in out のアトリビュー トは送受信両対応アトリビュートとも呼ばれます。 • attribute-type:文字列。これは、関連付けられているアトリビュートで有効なデータの種類を 指定します。アトリビュートの attribute-profile が in または in out の場合、attribute-type は、 そのアトリビュートを使用するローカル ポリシー規則の定義で使用可能な演算子の型を決定 します。受信アトリビュートの例としては、Cisco Trust Agent から送信される ServicePacks アト リ ビ ュ ー ト が あ り ま す。送 信 ア ト リ ビ ュ ー ト の 例 は、Cisco Trust Agent に 送 信 さ れ る System-Posture-Token アトリビュートです。 attribute-type の有効なデータ型は次のとおりです。 − boolean − string − integer − unsigned integer − ipaddr − date − version − octet-array アトリビュートのデータ型の詳細については、P.13-7 の「ポスチャ確認アトリビュートのデー タ タイプ」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 8-51 第8章 システム設定:高度 NAC Attribute Management(ACS SE のみ) アトリビュートの追加 Add Attribute オプションを使用すると、ACS がサポートしているポスチャ確認アトリビュートを追 加または変更できます。アトリビュートを追加するには、アトリビュート定義ファイルを準備する 必要があります。このファイルは、追加する各アトリビュートに必要な情報を提供するテキスト ファイルです。ポスチャ確認アトリビュート定義ファイルの内容については、P.8-49 の「ポスチャ 確認アトリビュート定義ファイル」を参照してください。アトリビュート定義ファイルの例につい ては、P.8-57 の「デフォルトのポスチャ確認アトリビュート定義ファイル」を参照してください。 始める前に P.8-56 の「アトリビュートのエクスポート(ダンプ)」で説明した手順に従って、ポスチャ確認ア トリビュート定義のバックアップを作成します。エクスポートしたアトリビュート定義ファイルを 使用して、現在のポスチャ確認アトリビュートの vendor-id、application-id、および attribute-id を確認することもできます。 (注) この手順を完了するには、CSAuth サービスを再起動する必要があります。再起動すると、 認証サービスが一時停止されます。この手順は ACS サービスに対する要求が少ないときに 実行するようにしてください。 アトリビュートを追加するには、次の手順を実行します。 ステップ 1 P.8-49 の「ポスチャ確認アトリビュート定義ファイル」の説明に従って、正しくフォーマットされ たアトリビュート定義ファイルを作成します。 ステップ 2 FTP を使用して、ACS がアクセスできるディレクトリにアトリビュート定義ファイルを置きます。 ステップ 3 ナビゲーション バーの System Configuration をクリックします。 ステップ 4 CNAC Attribute Management をクリックします。 CNAC Attribute Management ページが表示されます。このページの Add Attribute 下の FTP Server、 Login、Password、および Remote Directory オプションには、直近のセッションの値が含まれます。 ステップ 5 Add Attributes オプションを選択します。 ステップ 6 アトリビュートを追加または変更するには、FTP を使用してアクセスできるディレクトリにアトリ ビュート定義ファイルを置きます。アトリビュート定義ファイルにアクセスするには、次の情報を 入力します。 a. FTP Server ボックスに、ダウンロードするアトリビュート定義ファイルがある FTP サーバの IP アドレスまたはホスト名を入力します。 ヒント ホスト名を指定する場合、DNS がネットワーク上で正常に動作している必要があります。 b. Login ボックスに、ACS が FTP サーバへのアクセスに使用できる有効なユーザ名を入力します。 c. Password ボックスに、Login ボックスで指定したユーザ名のパスワードを入力します。 Cisco Secure ACS Solution Engine ユーザ ガイド 8-52 OL-14386-01-J 第8章 システム設定:高度 NAC Attribute Management(ACS SE のみ) d. Remote Directory ボックスに、ACS が FTP サーバからダウンロードするアトリビュート定義 ファイルが含まれるディレクトリのパスを、FTP サーバ ルート ディレクトリからの相対パス で入力します。 e. Attributes File Name ボックスに、ACS が FTP サーバからダウンロードするアトリビュート定 義ファイルの名前を入力します。 ステップ 7 Submit をクリックします。 ACS は、アトリビュート定義ファイルをダウンロードし、ユーザがファイルに入力した情報に従っ て、そのアトリビュート定義をアップデートします。System Configuration ページが開きます。 ヒント ステップ 8 ファイルの転送中に ACS に問題が発生した場合は、右側のページに説明のエラー メッ セージが表示されます。 ACS のアトリビュート定義の変更が完了した後に、加えた変更を有効にするには、次のサービスを 再起動します。 • CSAuth および CSLog:P.7-2 の「サービスの停止、開始、再起動」を参照してください。 • CSAdmin:シリアル コンソールで restart コマンドを使用できます。このコマンドの詳細につ いては、 『Installation Guide for Cisco Secure ACS Solution Engine Release 4.2』を参照してください。 アトリビュートの削除 ACS から一度に 1 つのポスチャ確認アトリビュートを削除できます。ポスチャ確認アトリビュート は、vendor-id、application-id、および attribute-id の組み合せで一意に特定されています。 Dump Attributes オプションで作成されたアトリビュート定義ファイルを読み出すことにより、任 意のアトリビュートに対するこの情報を決定できます。 始める前に P.8-56 の「アトリビュートのエクスポート(ダンプ)」で説明した手順に従って、ポスチャ確認ア トリビュート定義のバックアップを作成します。エクスポートしたアトリビュート定義ファイルを 使用して、削除するポスチャ確認アトリビュートの vendor-id、application-id、および attribute-id を確認することもできます。 注意 ACS には、ポスチャ確認アトリビュートを削除する際の確認手順がありません。P.8-56 の「アト リビュートのエクスポート(ダンプ)」の手順を使用して、ポスチャ確認アトリビュート定義のバッ クアップを作成するようにしてください。 ポスチャ確認アトリビュートの詳細とその識別方法については、P.13-6 の「ポスチャのクレデン シャルとアトリビュートについて」を参照してください。拡張アトリビュートの詳細については、 P.13-7 の「拡張アトリビュート」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 8-53 第8章 システム設定:高度 NAC Attribute Management(ACS SE のみ) (注) この手順を完了するには、CSAuth サービスを再起動する必要があります。再起動すると、 認証サービスが一時停止されます。この手順は ACS サービスに対する要求が少ないときに 実行するようにしてください。 ポスチャ確認アトリビュートを削除するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 CNAC Attribute Management をクリックします。 CNAC Attribute Management ページが表示されます。 ステップ 3 Delete Attribute オプションを選択します。 ステップ 4 アトリビュートを識別する詳細を入力します。 a. Vendor ID ボックスに、ベンダーを識別する番号を入力します。 b. Application ID ボックスに、アプリケーションを識別する番号を入力します。 c. Attribute ID ボックスに、アトリビュートを識別する番号を入力します。 削除するアトリビュートは一意に識別されます。 ステップ 5 Submit をクリックします。 ACS は指定したアトリビュートの定義を削除します。 ステップ 6 ACS のアトリビュート定義の変更が完了した後に、加えた変更を有効にするには、次のサービスを 再起動します。 • CSAuth および CSLog:P.7-2 の「サービスの停止、開始、再起動」を参照してください。 • CSAdmin:シリアル コンソールで restart コマンドを使用できます。このコマンドの詳細につ いては、 『Installation Guide for Cisco Secure ACS Solution Engine Release 4.2』を参照してください。 Cisco:Host アプリケーションの拡張ポスチャ確認エンティティ アトリビュートを削除するには、次 の手順を実行します。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 CNAC Attribute Management をクリックします。 CNAC Attribute Management ページが表示されます。 ステップ 3 Delete Extended Attribute Entity オプションを選択します。 ステップ 4 ACS が削除するアトリビュートを識別するために必要な詳細を入力します。 a. Attribute ID ボックスで、アトリビュートを識別する番号を入力します。 Cisco Secure ACS Solution Engine ユーザ ガイド 8-54 OL-14386-01-J 第8章 システム設定:高度 NAC Attribute Management(ACS SE のみ) b. Entity ボックスに、エンティティの名前を入力します。 削除するアトリビュートは一意に識別されます。 ステップ 5 Submit をクリックします。 ACS は指定したアトリビュートの定義を削除します。 ステップ 6 ACS のアトリビュート定義の変更が完了した後に、加えた変更を有効にするには、次のサービスを 再起動します。 • CSAuth および CSLog:P.7-2 の「サービスの停止、開始、再起動」を参照してください。 • CSAdmin:シリアル コンソールで restart コマンドを使用できます。このコマンドの詳細につ いては、 『Installation Guide for Cisco Secure ACS Solution Engine Release 4.2』を参照してください。 Cisco:Host アプリケーションの拡張ポスチャ確認エンティティ アトリビュートのプロパティを削除 するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 CNAC Attribute Management をクリックします。 CNAC Attribute Management ページが表示されます。 ステップ 3 Delete Extended Attribute Property オプションを選択します。 ステップ 4 アトリビュート プロパティを識別できる詳細を入力します。 a. Attribute ID ボックスで、アトリビュートを識別する番号を入力します。 b. Property ID ボックスで、プロパティを識別する番号を入力します。 削除する拡張アトリビュート プロパティは一意に識別されます。 ステップ 5 Submit をクリックします。 ACS は指定したアトリビュートのプロパティ定義を削除します。 ステップ 6 ACS のアトリビュート定義の変更が完了した後に、加えた変更を有効にするには、次のサービスを 再起動します。 • CSAuth および CSLog:P.7-2 の「サービスの停止、開始、再起動」を参照してください。 • CSAdmin:シリアル コンソールで restart コマンドを使用できます。このコマンドの詳細につ いては、 『Installation Guide for Cisco Secure ACS Solution Engine Release 4.2』を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 8-55 第8章 システム設定:高度 NAC Attribute Management(ACS SE のみ) アトリビュートのエクスポート(ダンプ) Dump Attributes オプションを使用すると、ACS が持つ現在のすべてのアトリビュート定義に対す る定義を含むアトリビュート定義ファイルをダウンロードできます。このファイルには、データ タ イプ、ベンダー、アプリケーション、およびアトリビュート ID などのアトリビュートが含まれま す。また、このファイルは、アトリビュートの追加、変更、または削除を行う前に、アトリビュー ト定義のバックアップを作成する場合にも役立ちます。 すべての NAC アトリビュートの定義のファイルをエクスポートするには、次の手順を実行します。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 CNAC Attribute Management をクリックします。 CNAC Attribute Management ページが表示されます。 ステップ 3 Dump Attributes オプションをクリックします。 ステップ 4 Submit をクリックします。 ファイル生成ステータス メッセージが表示されます。 ステップ 5 ファイルが実行できる状態ではないというステータス メッセージが表示されている場合は、ファイ ルが実行できる状態になるまで Refresh をクリックします。 ステップ 6 Download をクリックします。 ダイアログボックスが表示されたら、AvpDump.txt という名前のファイルを保存する場所を入力し ます。AVP は、アトリビュートと値のペア(attribute-value pair)の省略形です。 ステップ 7 ファイルを保存する場所を選択し、必要に応じてファイル名をわかりやすい名前に変更します。 ヒント ステップ 8 ACS のホスト名と現在の日付を使用してアトリビュート定義ファイルを識別することも 考慮してください。たとえば、ホスト名が acs01primary で、日付が 2004 年 6 月 13 日で ある場合、ファイル名を avp-acs01primary-06132004.txt として保存すると、ファイルの由 来をすぐに確認できます。 ファイルを保存します。 ACS は、ステータス メッセージの表示を続行します。 ヒント このページから移動するには、Cancel、Refresh、またはナビゲーション バーの任意のボ タンをクリックします。 Cisco Secure ACS Solution Engine ユーザ ガイド 8-56 OL-14386-01-J 第8章 システム設定:高度 NAC Attribute Management(ACS SE のみ) デフォルトのポスチャ確認アトリビュート定義ファイル 例 8-2 に、ACS が提供するポスチャ確認アトリビュートのデフォルトの定義を示します。デフォル トのアトリビュートを元の定義にリセットする必要がある場合は、例 8-2 を使用してポスチャ確認 アトリビュート定義ファイルを作成します。アトリビュート定義ファイルのフォーマットの詳細に ついては、P.8-49 の「ポスチャ確認アトリビュート定義ファイル」を参照してください。 例 8-2 デフォルトのポスチャ確認アトリビュート定義 [attr#0] vendor-id=9 vendor-name=Cisco application-id=1 application-name=PA attribute-id=00001 attribute-name=Application-Posture-Token attribute-profile=out attribute-type=unsigned integer [attr#1] vendor-id=9 vendor-name=Cisco application-id=1 application-name=PA attribute-id=00002 attribute-name=System-Posture-Token attribute-profile=out attribute-type=unsigned integer [attr#2] vendor-id=9 vendor-name=Cisco application-id=1 application-name=PA attribute-id=00003 attribute-name=PA-Name attribute-profile=in out attribute-type=string [attr#3] vendor-id=9 vendor-name=Cisco application-id=1 application-name=PA attribute-id=00004 attribute-name=PA-Version attribute-profile=in out attribute-type=version [attr#4] vendor-id=9 vendor-name=Cisco application-id=1 application-name=PA attribute-id=00005 attribute-name=OS-Type attribute-profile=in out attribute-type=string [attr#5] vendor-id=9 vendor-name=Cisco application-id=1 application-name=PA attribute-id=00006 attribute-name=OS-Version attribute-profile=in out Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 8-57 第8章 システム設定:高度 NAC Attribute Management(ACS SE のみ) attribute-type=version [attr#6] vendor-id=9 vendor-name=Cisco application-id=1 application-name=PA attribute-id=00007 attribute-name=PA-User-Notification attribute-profile=out attribute-type=string [attr#7] vendor-id=9 vendor-name=Cisco application-id=2 application-name=Host attribute-id=00001 attribute-name=Application-Posture-Token attribute-profile=out attribute-type=unsigned integer [attr#8] vendor-id=9 vendor-name=Cisco application-id=2 application-name=Host attribute-id=00002 attribute-name=System-Posture-Token attribute-profile=out attribute-type=unsigned integer [attr#9] vendor-id=9 vendor-name=Cisco application-id=2 application-name=Host attribute-id=00006 attribute-name=ServicePacks attribute-profile=in attribute-type=string [attr#10] vendor-id=9 vendor-name=Cisco application-id=2 application-name=Host attribute-id=00007 attribute-name=HotFixes attribute-profile=in attribute-type=string [attr#11] vendor-id=9 vendor-name=Cisco application-id=2 application-name=Host attribute-id=00008 attribute-name=HostFQDN attribute-profile=in attribute-type=string [attr#12] vendor-id=9 vendor-name=Cisco application-id=5 application-name=HIP attribute-id=00001 Cisco Secure ACS Solution Engine ユーザ ガイド 8-58 OL-14386-01-J 第8章 システム設定:高度 NAC Attribute Management(ACS SE のみ) attribute-name=Application-Posture-Token attribute-profile=out attribute-type=unsigned integer [attr#13] vendor-id=9 vendor-name=Cisco application-id=5 application-name=HIP attribute-id=00002 attribute-name=System-Posture-Token attribute-profile=out attribute-type=unsigned integer [attr#14] vendor-id=9 vendor-name=Cisco application-id=5 application-name=HIP attribute-id=00005 attribute-name=CSAVersion attribute-profile=in attribute-type=version [attr#15] vendor-id=9 vendor-name=Cisco application-id=5 application-name=HIP attribute-id=00009 attribute-name=CSAOperationalState attribute-profile=in attribute-type=unsigned integer [attr#16] vendor-id=9 vendor-name=Cisco application-id=5 application-name=HIP attribute-id=00011 attribute-name=TimeSinceLastSuccessfulPoll attribute-profile=in attribute-type=unsigned integer [attr#17] vendor-id=9 vendor-name=Cisco application-id=5 application-name=HIP attribute-id=32768 attribute-name=CSAMCName attribute-profile=in attribute-type=string [attr#18] vendor-id=9 vendor-name=Cisco application-id=5 application-name=HIP attribute-id=32769 attribute-name=CSAStates attribute-profile=in attribute-type=string [attr#19] vendor-id=393 vendor-name=Symantec application-id=3 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 8-59 第8章 システム設定:高度 NAC Attribute Management(ACS SE のみ) application-name=AV attribute-id=00001 attribute-name=Application-Posture-Token attribute-profile=out attribute-type=unsigned integer [attr#20] vendor-id=393 vendor-name=Symantec application-id=3 application-name=AV attribute-id=00002 attribute-name=System-Posture-Token attribute-profile=out attribute-type=unsigned integer [attr#21] vendor-id=393 vendor-name=Symantec application-id=3 application-name=AV attribute-id=00003 attribute-name=Software-Name attribute-profile=in out attribute-type=string [attr#22] vendor-id=393 vendor-name=Symantec application-id=3 application-name=AV attribute-id=00004 attribute-name=Software-ID attribute-profile=in out attribute-type=unsigned integer [attr#23] vendor-id=393 vendor-name=Symantec application-id=3 application-name=AV attribute-id=00005 attribute-name=Software-Version attribute-profile=in out attribute-type=version [attr#24] vendor-id=393 vendor-name=Symantec application-id=3 application-name=AV attribute-id=00006 attribute-name=Scan-Engine-Version attribute-profile=in out attribute-type=version [attr#25] vendor-id=393 vendor-name=Symantec application-id=3 application-name=AV attribute-id=00007 attribute-name=Dat-Version attribute-profile=in out attribute-type=version [attr#26] vendor-id=393 Cisco Secure ACS Solution Engine ユーザ ガイド 8-60 OL-14386-01-J 第8章 システム設定:高度 NAC Attribute Management(ACS SE のみ) vendor-name=Symantec application-id=3 application-name=AV attribute-id=00008 attribute-name=Dat-Date attribute-profile=in out attribute-type=date [attr#27] vendor-id=393 vendor-name=Symantec application-id=3 application-name=AV attribute-id=00009 attribute-name=Protection-Enabled attribute-profile=in out attribute-type=unsigned integer [attr#28] vendor-id=393 vendor-name=Symantec application-id=3 application-name=AV attribute-id=00010 attribute-name=Action attribute-profile=out attribute-type=string [attr#29] vendor-id=3401 vendor-name=NAI application-id=3 application-name=AV attribute-id=00001 attribute-name=Application-Posture-Token attribute-profile=out attribute-type=unsigned integer [attr#30] vendor-id=3401 vendor-name=NAI application-id=3 application-name=AV attribute-id=00002 attribute-name=System-Posture-Token attribute-profile=out attribute-type=unsigned integer [attr#31] vendor-id=3401 vendor-name=NAI application-id=3 application-name=AV attribute-id=00003 attribute-name=Software-Name attribute-profile=in out attribute-type=string [attr#32] vendor-id=3401 vendor-name=NAI application-id=3 application-name=AV attribute-id=00004 attribute-name=Software-ID attribute-profile=in out attribute-type=unsigned integer Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 8-61 第8章 システム設定:高度 NAC Attribute Management(ACS SE のみ) [attr#33] vendor-id=3401 vendor-name=NAI application-id=3 application-name=AV attribute-id=00005 attribute-name=Software-Version attribute-profile=in out attribute-type=version [attr#34] vendor-id=3401 vendor-name=NAI application-id=3 application-name=AV attribute-id=00006 attribute-name=Scan-Engine-Version attribute-profile=in out attribute-type=version [attr#35] vendor-id=3401 vendor-name=NAI application-id=3 application-name=AV attribute-id=00007 attribute-name=Dat-Version attribute-profile=in out attribute-type=version [attr#36] vendor-id=3401 vendor-name=NAI application-id=3 application-name=AV attribute-id=00008 attribute-name=Dat-Date attribute-profile=in out attribute-type=date [attr#37] vendor-id=3401 vendor-name=NAI application-id=3 application-name=AV attribute-id=00009 attribute-name=Protection-Enabled attribute-profile=in out attribute-type=unsigned integer [attr#38] vendor-id=3401 vendor-name=NAI application-id=3 application-name=AV attribute-id=00010 attribute-name=Action attribute-profile=out attribute-type=string [attr#39] vendor-id=6101 vendor-name=Trend application-id=3 application-name=AV attribute-id=00001 attribute-name=Application-Posture-Token attribute-profile=out Cisco Secure ACS Solution Engine ユーザ ガイド 8-62 OL-14386-01-J 第8章 システム設定:高度 NAC Attribute Management(ACS SE のみ) attribute-type=unsigned integer [attr#40] vendor-id=6101 vendor-name=Trend application-id=3 application-name=AV attribute-id=00002 attribute-name=System-Posture-Token attribute-profile=out attribute-type=unsigned integer [attr#41] vendor-id=6101 vendor-name=Trend application-id=3 application-name=AV attribute-id=00003 attribute-name=Software-Name attribute-profile=in out attribute-type=string [attr#42] vendor-id=6101 vendor-name=Trend application-id=3 application-name=AV attribute-id=00004 attribute-name=Software-ID attribute-profile=in out attribute-type=unsigned integer [attr#43] vendor-id=6101 vendor-name=Trend application-id=3 application-name=AV attribute-id=00005 attribute-name=Software-Version attribute-profile=in out attribute-type=version [attr#44] vendor-id=6101 vendor-name=Trend application-id=3 application-name=AV attribute-id=00006 attribute-name=Scan-Engine-Version attribute-profile=in out attribute-type=version [attr#45] vendor-id=6101 vendor-name=Trend application-id=3 application-name=AV attribute-id=00007 attribute-name=Dat-Version attribute-profile=in out attribute-type=version [attr#46] vendor-id=6101 vendor-name=Trend application-id=3 application-name=AV attribute-id=00008 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 8-63 第8章 システム設定:高度 NAC Attribute Management(ACS SE のみ) attribute-name=Dat-Date attribute-profile=in out attribute-type=date [attr#47] vendor-id=6101 vendor-name=Trend application-id=3 application-name=AV attribute-id=00009 attribute-name=Protection-Enabled attribute-profile=in out attribute-type=unsigned integer [attr#48] vendor-id=6101 vendor-name=Trend application-id=3 application-name=AV attribute-id=00010 attribute-name=Action attribute-profile=out attribute-type=string [attr#49] vendor-id=10000 vendor-name=out application-id=1 application-name=CNAC attribute-id=00001 attribute-name=Application-Posture-Token attribute-profile=out attribute-type=string [attr#50] vendor-id=10000 vendor-name=out application-id=1 application-name=CNAC attribute-id=00002 attribute-name=System-Posture-Token attribute-profile=out attribute-type=string [attr#51] vendor-id=10000 vendor-name=out application-id=1 application-name=CNAC attribute-id=00003 attribute-name=Reason attribute-profile=out attribute-type=string Cisco Secure ACS Solution Engine ユーザ ガイド 8-64 OL-14386-01-J C H A P T E R 9 システム設定:認証と証明書 この章では、Cisco Secure Access Control Server Release 4.2(以降は ACS と表記) の System Configuration セクションにある認証機能について説明します。 この章は、次の項で構成されています。 • 認証と EAP プロトコルについて(P.9-2) • グローバル認証のセットアップ(P.9-24) • ACS 証明書のセットアップ(P.9-26) • EAP-FAST PAC ファイルの生成(ACS SE) (P.9-42) • Advanced System Configuration ページ リファレンス(P.9-47) Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 9-1 第9章 システム設定:認証と証明書 認証と EAP プロトコルについて 認証と EAP プロトコルについて ACS は、Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) 、Extensible Authentication Protocol-Flexible Authentication via Secure Tunnelling(EAP-FAST) 、および Protected Extensible Authentication Protocol(PEAP)の各認証プロトコルをデジタル認証と組み合せて使用して、認証情 報の保護と正当性を保証しています。 ここでは、次の項目について説明します。 • デジタル証明書(P.9-2) • EAP-TLS 認証(P.9-2) • PEAP 認証(P.9-7) • EAP-FAST 認証(P.9-10) デジタル証明書 ACS Web インターフェイスに安全にアクセスするための Secure HyperText Transfer Protocol (HTTPS) プロトコルのサポートに加えて、EAP-TLS、EAP-FAST、および PEAP の各認証をサポートするた めに、ACS Certificate Setup ページを使用してデジタル証明書をインストールします。ACS は、X.509 v3 デ ジ タ ル 証 明 書 標 準 を 使 用 し ま す。証 明 書 フ ァ イ ル は、Base64-encoded X.509 形 式 ま た は Distinguished Encoding Rules(DER)-encoded バイナリ X.509 形式にする必要があります。さらに、 ACS は証明書の手動登録をサポートし、Certificate Trust List(CTL; 証明書信頼リスト)と Certificate Revocation List(CRL; 証明書失効リスト)を管理する手段を提供します。 デジタル証明書は、秘密情報も保存データベース クレデンシャルも共有する必要がありません。ど ちらも規模拡大が可能で、大きく展開しても信頼できます。正しく管理すれば、共有秘密システム より強力でセキュアな認証方式として動作させることができます。相互信頼には、エンドユーザ ク ライアント側で確認できる証明書が ACS にインストールされている必要があります。このサーバ 証明書は、Certification Authority(CA; 認証局)から発行されたものを使用することもできますし、 自己署名証明書を使用することもできます。詳細については、P.9-26 の「ACS サーバ証明書のイン ストール」および P.9-38 の「自己署名証明書の使用」を参照してください。 (注) 関係するエンドユーザ クライアントによっては、エンドユーザ クライアント コンピュータ上の信 頼できるルート CA 用に、ACS サーバ証明書を発行した CA の CA 証明書がローカル ストレージで 必要になる場合もあります。 EAP-TLS 認証 ここでは、次の項目について説明します。 • EAP-TLS プロトコルについて(P.9-3) • EAP-TLS と ACS(P.9-3) • EAP-TLS での制限事項(P.9-5) • EAP-TLS 認証のイネーブル化(P.9-5) • NAC/NAP 環境での EAP-TLS および ACS(P.9-6) Cisco Secure ACS Solution Engine ユーザ ガイド 9-2 OL-14386-01-J 第9章 システム設定:認証と証明書 認証と EAP プロトコルについて EAP-TLS プロトコルについて EAP と TLS は、Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)RFC 標 準です。EAP プロトコルは、初期認証情報、具体的には IEEE 802.1X で確立されている EAP over LAN(EAPOL)のカプセル化を伝達します。TLS は、ユーザ認証とダイナミック短期セッション キー生成に証明書を使用します。EAP-TLS 認証プロトコルは、ACS とエンドユーザ クライアント の証明書を使用して、クライアントと ACS の相互認証を適用します。EAP、TLS、および EAP-TLS の詳細については、IETF RFC(Extensible Authentication Protocol(EAP)RFC 3784、The TLS Protocol RFC 2246、および PPP EAP TLS Authentication Protocol RFC 2716)を参照してください。 EAP-TLS 認証では、2 つの信頼要素が必要です。 • EAP-TLS ネゴシエーションにおいて、証明書によって署名されているキーペアをユーザが所有 していることを RSA 署名検証で確認することによって、エンドユーザの信頼を確立する。これ によって、エンドユーザが特定のデジタル証明書に対する正当なキー所有者であること、およ びその証明書内のユーザ ID に対応していることが確認されます。しかし、ユーザが証明書を 所有していることを信頼しても、ユーザ名 / キーペアを確認するに過ぎません。 • 証明書の情報を確認する第三者署名、通常は CA の署名を使用する。第三者による確認は、パ スポートのスタンプの確認にあたります。パスポートが信頼できるのは、特定の国 / 地域のパ スポート発行機関が、そのパスポートを作成する際に行った準備と身元確認が信頼できるため です。根本の証明書 CA の署名がインストールされていることで、デジタル証明書は信頼され ます。 根本の証明書 CA の署名のインストールによって提供されるこの第 2 の信頼要素は、必要ない場合 もあります。証明書の正当性に対するこのような外部検証が必要ない場合は、ACS 自己署名証明書 機能を使用できます。関係するエンドユーザ クライアントによっては、エンドユーザ クライアン ト コンピュータ上の信頼できるルート CA 用に、ACS サーバ証明書を発行した CA の CA 証明書が ローカル ストレージで必要になる場合もあります。詳細については、P.9-38 の「自己署名証明書に ついて」を参照してください。 EAP-TLS は、エンド クライアントおよび Authentication, Authorization, and Accounting(AAA; 認証、 認可、アカウンティング)クライアントからのサポートを必要とします。EAP-TLS クライアントの 例としては、Microsoft Windows XP オペレーティング システムが挙げられます。 EAP-TLS に準拠した AAA クライアントの例としては、次のものが挙げられます。 • Cisco 802.1x 対応のスイッチ プラットフォーム(Catalyst 6500 シリーズなど) • Cisco Aironet Wireless ソリューション EAP-TLS は、セキュアな Cisco Aironet 接続を実現するために、各ユーザ、各接続に固有のダイナ ミックなセッション キーを生成します。 EAP-TLS と ACS ACS は、Windows XP、Funk(Juniper)または Meetinghouse クライアントなど、EAP-TLS をサポー トする任意のエンドユーザ クライアントに対して、EAP-TLS をサポートしています。EAP-TLS を サポートしているユーザ データベースを確認するには、P.1-8 の「認証プロトコルとデータベース の 互 換 性」を 参 照 し て く だ さ い。EAP-TLS 認 証 の 展 開 に 関 す る 詳 細 に つ い て は、 『Extensible Authentication Protocol Transport Layer Security Deployment Guide for Wireless LAN Networks』を 次 の Web ページで参照してください。 http://www.cisco.com/en/US/products/hw/wireless/ps430/products_white_paper09186a008009256b.shtml Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 9-3 第9章 システム設定:認証と証明書 認証と EAP プロトコルについて ACS は、EAP-TLS を使用して、Microsoft Windows Active Directory に対するマシン認証をサポート することができます。エンドユーザ クライアントは、ユーザ認証に使用するプロトコルを、マシン 認証に使用するプロトコルと同じものに制限している場合があります。つまり、マシン認証に EAP-TLS を使用する場合は、ユーザ認証にも EAP-TLS を使用する必要がある場合があります。マ シン認証の詳細については、P.12-11 の「マシン認証」を参照してください。 EAP-TLS を使用して認証するネットワークまたはコンピュータに対するユーザ アクセスを許可す るには、ACS で、要求されている識別情報(EAP Identity 応答で提示されている)がユーザの提出 した証明書に対応しているかどうかを確認する必要があります。ACS は、この確認を次の 3 つの方 法で実行できます。 • 証明書の SAN 比較:ユーザ証明書内の Subject Alternative Name フィールドの名前に基づきま す。 • 証明書の CN 比較:ユーザ証明書内の Subject Common Name フィールドの名前に基づきます。 • 証明書のバイナリ比較:LDAP サーバまたは Active Directory のユーザ オブジェクト内のユーザ 証明書と、EAP-TLS 認証中にユーザが提示した証明書とのバイナリ比較に基づきます。ODBC 外部ユーザ データベース内のユーザの認証に、この比較方法を使用することはできません (ACS for Windows のみ)。 (注) 証明書のバイナリ比較を利用する場合は、ユーザ証明書がバイナリ形式で格納されてい る必要があります。また、汎用 LDAP と Active Directory の場合、証明書を格納するア トリビュートは usercertificate という名前の標準 LDAP アトリビュートである必要があ ります。 ACS が使用する比較方法(1 つ、2 つ、またはすべて)は、EAP-TLS をセットアップするときに選 択できます。詳細については、P.9-24 の「認証オプションの設定」を参照してください。 ACS は、EAP-TLS 認証済みユーザ セッションに対して、セッション再開機能をサポートしていま す。この機能は、特に WLAN に対して有用です。WLAN では、ユーザがクライアント コンピュー タを移動して、別の無線アクセス ポイントを設定する場合があります。この機能がイネーブルの場 合、ACS は、ユーザが正常に認証された場合に限り、EAP-TLS 認証中に作成された TLS セッショ ンをキャッシュします。ユーザが再接続しようとする場合、元の EAP-TLS セッションがタイムア ウトしていなければ、ACS はキャッシュされた TLS セッションを使用します。このため、EAP-TLS のパフォーマンスが向上し、AAA サーバの負荷が軽減されます。ACS が EAP-TLS セッションを再 開した場合、ユーザの再認証は Secure Sockets Layer(SSL)ハンドシェイクだけで行われ、証明書 の比較は行われません。 実際には、EAP-TLS セッション再開がイネーブルの場合、ACS は、元の EAP-TLS 認証時にキャッ シュされた TLS セッションに基づいてユーザを信頼するようになります。ACS は新規の EAP-TLS 認証が成功した場合に限って TLS セッションをキャッシュするため、キャッシュされた TLS セッ ションが存在しているということは、EAP-TLS セッション タイムアウト オプションで指定された 時間(分単位)内にユーザが正常に認証されたことの証明となります。 (注) セッション タイムアウトは、セッションの認証が最初に完全に実行されたときの時間に基づきま す。アカウンティング開始メッセージには依存しません。 Cisco Secure ACS Solution Engine ユーザ ガイド 9-4 OL-14386-01-J 第9章 システム設定:認証と証明書 認証と EAP プロトコルについて セッション再開機能を使用しても、外部ユーザ データベース内のグループ割り当ては変更されませ ん。これは、ユーザ セッションが再開されるときには、グループ マッピングが発生しないためで す。その代わり、ユーザは、セッションの開始時にマッピングされた ACS グループにマッピング されます。新規のセッションが開始すると、グループ マッピングにより新規のグループ割り当てが 実行されます。 セッション タイムアウトに達する前に EAP-TLS セッションを終了させるには、CSAuth サービス を再起動するか、ACS ユーザ データベースからユーザを削除します。外部ユーザ データベース内 のユーザのディセーブル化または削除を行っても影響しません。これは、セッション再開機能では 外部ユーザ データベースが使用されないためです。 EAP-TLS セッション再開機能のイネーブル化とタイムアウト間隔の設定は、Global Authentication Setup ページで行えます。この機能のイネーブル化の詳細については、P.9-24 の「グローバル認証 のセットアップ」を参照してください。 EAP-TLS での制限事項 ACS の EAP-TLS 実装には、次のような制限事項があります。 (注) • サーバ証明書と CA 証明書のファイル形式:ACS サーバ証明書と CA 証明書を証明書ストレー ジからではなく、ファイルからインストールする場合、サーバ証明書ファイルと CA 証明書ファ イルは、Base64-encoded X.509 形式または DER-encoded バイナリ X.509 形式である必要があり ます。 • バイナリ比較のための LDAP アトリビュート:ユーザ証明書のバイナリ比較を実行するように ACS を設定する場合は、ユーザ証明書が Active Directory または LDAP サーバにバイナリ形式 で格納されている必要があります。さらに、証明書を格納するアトリビュートが usercertificate という名前である必要があります。 • Windows サーバのタイプ:ACS がメンバー サーバ上で動作しているときに、Active Directory を使用して、EAP-TLS でユーザを認証する場合は、追加設定を行う必要があります。追加設定 の手順などの詳細については、『Installation Guide for Cisco Secure ACS for Windows Release 4.2』、 または『Installation Guide for Cisco Secure ACS Solution Engine Release 4.2』を参照してください。 ACS は、Active Directory(AD)で認証を行う場合のみ、ユーザ名とパスワードに対する UTF-8(8 ビットの Universal Coded Character Set(UCS)/Unicode Transformation Format)をサポートしていま す。UTF-8 形式は、US-ASCII 文字の全範囲を保持し、既存の ASCII 処理ソフトウェアと互換性が あります。 EAP-TLS 認証のイネーブル化 この項では、EAP-TLS 認証をサポートするように ACS を設定するために必要な手順について説明 します。 (注) EAP-TLS をサポートするようにエンドユーザ クライアント コンピュータを設定する必要がありま す。ここでは、ACS の設定だけを取り上げます。EAP-TLS 認証の展開に関する詳細については、 『Extensible Authentication Protocol Transport Layer Security Deployment Guide for Wireless LAN Networks』 を次の Web ページで参照してください。 http://www.cisco.com/warp/public/cc/pd/sqsw/sq/tech/acstl_wp.htm Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 9-5 第9章 システム設定:認証と証明書 認証と EAP プロトコルについて 始める前に EAP-TLS マシン認証の場合、ドメイン コントローラ上に Microsoft 認証局サーバを設定したときは、 ドメインにコンピュータが追加された際にクライアント証明書が自動的に作成されるように、 Active Directory 内のポリシーを設定できます。詳細については、Microsoft の Web サイトにある適 切な Knowledge Base の記事を参照してください。 EAP-TLS 認証をイネーブルにするには、次の手順を実行します。 ステップ 1 ACS にサーバ証明書をインストールします。EAP-TLS ではサーバ証明書が必要です。詳細な手順 については、P.9-26 の「ACS サーバ証明書のインストール」を参照してください。 (注) EAP-TLS または PEAP ユーザ認証をサポートするため、またはリモート ACS 管理の HTTPS 保護をサポートするために、すでに証明書をインストールしている場合は、このステップ を実行する必要はありません。証明書ベースの ACS サービスとリモート管理をすべてサ ポートする場合でもサーバ証明書は 1 つあれば十分です。ただし、EAP-TLS、EAP-FAST、 および PEAP では、サーバ認証用に適した証明書が必要です。 ステップ 2 エンドユーザ クライアント証明書を発行する CA が信頼されるように、証明書信頼リストを編集し ます。このステップを実行しないと、ACS は、ACS にインストールされている証明書を発行した のと同じ CA から発行されるユーザ証明書だけを信頼します。詳細な手順については、P.9-32 の「証 明書信頼リストの編集」を参照してください。 ステップ 3 証明書信頼リスト(CTL)内の各 CA および証明書タイプについて証明書失効リスト(CRL)を作 成します。EAP-TLS 認証の一環として、ACS は、キャッシュされた CRL に照らしてユーザによっ て示された証明書のステータスを検証し、それが無効になっていないことを確認します。詳細な手 順については、P.9-32 の「証明書信頼リストの編集」を参照してください。 ステップ 4 Global Authentication Setup ページで EAP-TLS をイネーブルにします。ステップ 1 を正常に完了した 場合に限り、ACS を使用してこのステップを実行します。詳細な手順については、P.9-24 の「認証 オプションの設定」を参照してください。 ステップ 5 ユーザ データベースを設定します。EAP-TLS 認証をサポートしているユーザ データベースを確認 するには、P.1-8 の「認証プロトコルとデータベースの互換性」を参照してください。 ACS が、EAP-TLS 認証を実行できる状態になります。 NAC/NAP 環境での EAP-TLS および ACS ACS は、Cisco Network Admission Control(ネットワーク アドミッション コントロール)および Microsoft Network Access Protection(ネットワーク アクセス保護) (NAC/NAP)環境に展開できま す。NAC/NAP 環境では、NAP クライアント コンピュータは、EAP over UDP(EoU)または EAP over 802.1x を使用して ACS で認可されます。 NAP クライアント(Windows Vista または Windows Longhorn Server を実行しているコンピュータ) は、接続時に NAP エージェントを使用して、次のいずれかを ACS に送信します。A • Statements of Health(SoH; 正常性ステートメント)のリスト。 Cisco Secure ACS Solution Engine ユーザ ガイド 9-6 OL-14386-01-J 第9章 システム設定:認証と証明書 認証と EAP プロトコルについて • クライアントが Microsoft Health Registration Authority(HRA; 正常性登録機関)から取得した証 明書。 ACS ホストは、次のようにしてクライアントのクレデンシャルを確認します。 • NAP エージェントが SoH のリストを送信する場合、ACS は Cisco Host Credentials Authorization Protocol(HCAP)を使用して、そのリストを Microsoft Network Policy Server(NPS; ネットワー ク ポリシー サーバ)に送信します。NPS が SoH を評価します。次に、ACS が適切なネット ワーク アクセス プロファイルをネットワーク アクセス デバイス(スイッチ、ルータ、VPN な ど)に送信して、認可したアクセスのレベルをクライアントに許可します。 • NAP エージェントが SoH のリストではなく、正常性証明書を送信する場合、ACS はクライア ントの全体的な正常性の状態を判断するために EAP-FAST セッションが確立される際に、証明 書を確認します。次に、ACS は適切なネットワーク アクセス プロファイルをネットワークに 送信して、認可したアクセスのレベルをクライアントに許可します。 NAC/NAP 環境で ACS が動作するようにカスタマイズする 1 つ以上のネットワーク アクセス プロ ファイルを設定することで、NAP クライアントからのアクセス要求を処理するように ACS を設定 できます。NAC/NAP 環境で ACS が機能するように設定する方法の詳細については、 『Configuration Guide for Cisco Secure ACS 4.2』の第 9 章「NAC/NAP Configuration Scenario」を参照してください。 PEAP 認証 ここでは、次の項目について説明します。 • PEAP プロトコルについて(P.9-7) • PEAP と ACS(P.9-8) • PEAP と未知ユーザ ポリシー(P.9-9) • PEAP 認証のイネーブル化(P.9-10) PEAP プロトコルについて PEAP プロトコルは、EAP トランザクションの暗号化に使用するクライアント サーバ型のセキュリ ティ アーキテクチャです。これによって、EAP 認証の内容が保護されます。 PEAP 認証には常に 2 つのフェーズがあります。 • フェーズ 1 では、エンドユーザ クライアントが ACS を認証します。ここでは、サーバ証明書 が要求され、ACS がエンドユーザ クライアントに対して認証されます。この結果、フェーズ 2 で送信されるユーザまたはマシンのクレデンシャルが、信頼できる CA によって発行された証 明書を持つ AAA サーバに送信されます。最初のフェーズは、TLS ハンドシェイクを使用して、 エンドユーザ クライアントと AAA サーバの間に SSL トンネルを確立します。 (注) • 関係するエンドユーザ クライアントによっては、エンドユーザ クライアント コンピュータ 上の信頼できるルート CA 用に、ACS サーバ証明書を発行した CA の CA 証明書がローカ ル ストレージで必要になる場合もあります。 2 番目のフェーズでは、ACS が EAP 認証プロトコルを使用して、ユーザまたはマシンのクレデ ンシャルを認証します。フェーズ 1 で作成された SSL トンネルによって EAP 認証が保護され ます。2 番目のカンバセーション中にネゴシエートされる認証タイプは、任意の有効な EAP タ イプ、たとえば EAP-GTC(Generic Token Card の場合)になります。PEAP は任意の EAP 認証 プロトコルをサポートできるため、PEAP(EAP-GTC) のように EAP プロトコルをカッコで囲ん で、PEAP プロトコルと EAP プロトコルの組み合せを個々に示します。フェーズ 2 では、PEAP は次の認証プロトコルをサポートします。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 9-7 第9章 システム設定:認証と証明書 認証と EAP プロトコルについて − EAP-MSCHAPv2 − EAP-GTC − EAP-TLS • PEAP によりセキュリティが向上していますが、その 1 つに ID 保護があります。この ID 保護 により、すべての PEAP トランザクションにおいてユーザ名を保護できます。PEAP のフェー ズ 1 が完了すると、通常はクリア テキストで送信されるユーザ名情報も含めて、すべてのデー タが暗号化されます。Cisco Aironet PEAP クライアントは、SSL トンネルだけを経由してユー ザ ID を送信します。フェーズ 1 で使用される初期 ID(PEAP_ というプレフィックスの付いた エンドユーザ クライアントの MAC アドレス)は、クリア テキストで送信されます。Microsoft PEAP クライアントでは ID 保護は使用できません。Microsoft PEAP クライアントは、PEAP 認 証のフェーズ 1 でユーザ名をクリア テキストで送信します。 PEAP と ACS ACS は、Cisco Aironet PEAP クライアントまたは Microsoft PEAP クライアント(Microsoft Windows XP Service Pack 1 に付属)を使用した PEAP 認証をサポートしています。ACS が Cisco Aironet PEAP クライアントをサポートできるのは、PEAP(EAP-GTC) を使用した場合だけです。Microsoft PEAP ク ライアント(Windows XP Service Pack 1 に付属)の場合、ACS は PEAP(EAP-MS-CHAPv2) または PEAP (EAP-TLS) をサポートします。PEAP プロトコルをサポートしているユーザ データベースの 詳細については、P.1-8 の「認証プロトコルとデータベースの互換性」を参照してください。 Cisco Aironet PEAP クライアントでの PEAP エンドユーザ クライアントが Cisco Aironet PEAP クライアントの場合、Global Authentication Setup ページで PEAP(EAP-GTC) と PEAP(EAP-MS-CHAPv2) をイネーブルにすると、ACS はエンドユーザ クライアントに対して、最初に PEAP(EAP-GTC) 認証を試みます。クライアントがこのプロトコル を拒否(EAP NAK メッセージを送信)した場合、ACS は PEAP(EAP-MS-CHAPv2) を使用して認証 を試みます。PEAP でサポートされている EAP プロトコルのイネーブル化の詳細については、P.9-24 の「グローバル認証のセットアップ」を参照してください。 PEAP および Microsoft Windows Active Directory ACS は、PEAP(EAP-MS-CHAPv2) を使用して、Microsoft Windows Active Directory に対するマシン 認証をサポートすることができます。エンドユーザ クライアントは、ユーザ認証に使用するプロト コルを、マシン認証に使用するプロトコルと同じものに制限している場合があります。つまり、マ シン認証に PEAP を使用する場合は、ユーザ認証にも PEAP を使用する必要がある場合があります。 マシン認証の詳細については、P.12-11 の「マシン認証」を参照してください。 セッション再開機能 ACS は、PEAP 認証済みユーザ セッションに対して、セッション再開機能をサポートしています。 この機能がイネーブルの場合、ACS は、ユーザが PEAP 認証のフェーズ 2 で正常に認証された場合 に限り、PEAP のフェーズ 1 で作成された TLS セッションをキャッシュします。ユーザが再接続し ようとする場合、元の PEAP セッションがタイムアウトしていなければ、ACS はキャッシュされた TLS セッションを使用します。このため、PEAP のパフォーマンスが向上し、AAA サーバの負荷が 軽減されます。 (注) セッション タイムアウトは、認証が成功する時間に基づきます。アカウンティングには依存しま せん。 Cisco Secure ACS Solution Engine ユーザ ガイド 9-8 OL-14386-01-J 第9章 システム設定:認証と証明書 認証と EAP プロトコルについて PEAP セッション再開機能のイネーブル化とタイムアウト間隔の設定は、Global Authentication Setup ページで行えます。この機能のイネーブル化の詳細については、P.9-24 の「グローバル認証のセッ トアップ」を参照してください。 また、ACS は高速再接続機能もサポートしています。セッション再開機能がイネーブルの場合、高 速再接続機能を使用すると、ACS がユーザ クレデンシャルを確認せずに PEAP セッションを再開 できるようになります。実際には、この機能がイネーブルの場合、ACS は、元の PEAP 認証時に キャッシュされた TLS セッションに基づいてユーザを信頼できます。ACS は PEAP 認証のフェー ズ 2 が成功した場合に限って TLS セッションをキャッシュするため、キャッシュされた TLS セッ ションが存在しているということは、PEAP セッション タイムアウト オプションで指定された時間 (分単位)内にユーザが正常に認証されたことの証明となります。 セッション再開機能を使用しても、外部ユーザ データベース内のグループ割り当ては変更されませ ん。これは、セッション再開機能によってユーザ セッションが延長されるときには、グループ マッ ピングが発生しないためです。その代わり、ユーザは、セッションの開始時にマッピングされた ACS グループにマッピングされます。新規のセッションが開始すると、グループ マッピングによ り新規のグループ割り当てが実行されます。 高速再接続機能は、特に無線 LAN に対して有用です。無線 LAN では、ユーザがクライアント コン ピュータを移動すると、別の無線アクセス ポイントが使用される場合があります。ACS が PEAP セッションを再開する場合、セッションがタイムアウトしていない限り、ユーザはパスワードを入 力しなくても再認証を受けることができます。エンドユーザ クライアントを再起動した場合は、 セッション タイムアウト間隔に達していなくても、ユーザはパスワードを入力する必要がありま す。 PEAP 高速再接続機能のイネーブル化は、Global Authentication Setup ページで行うことができます。 この機能のイネーブル化の詳細については、P.9-24 の「グローバル認証のセットアップ」を参照し てください。 (注) 高速再接続を介して確立されたセッションの再使用は、ACS のダイナミック ユーザが削除されて いない場合にのみ機能します。ダイナミック ユーザが明示的に削除されていて、確立されたセッ ションを再使用できない場合、ACS は通常の方法で完全な認証を試みます。 PEAP と未知ユーザ ポリシー PEAP 認証時には、認証のフェーズ 2 になるまで、認証を受ける実際のユーザ名が ACS にとって未 知である場合があります。Microsoft PEAP クライアントは、フェーズ 1 で実際のユーザ名を提示し ますが、Cisco PEAP クライアントは提示しません。したがって、使用される PEAP クライアントに 関係なく、ACS は、フェーズ 1 で提示されるユーザ名の検索を試みません。さらに、未知ユーザ ポ リシーの使用は、フェーズ 1 には依存しません。 PEAP 認証のフェーズ 2 に移行し、PEAP クライアントが提示するユーザ名が ACS にとって未知の ものであった場合、ACS はユーザ名を処理します。その処理法は、他の認証プロトコルで提示され るユーザ名を処理する場合と同じです。ユーザ名が未知で、未知ユーザ ポリシーがディセーブルの 場合、認証は失敗します。ユーザ名が未知で、未知ユーザ ポリシーがイネーブルの場合、ACS は、 未知ユーザ処理を行って PEAP ユーザの認証を試みます。 未知ユーザ処理の詳細については、P.15-3 の「未知ユーザ認証について」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 9-9 第9章 システム設定:認証と証明書 認証と EAP プロトコルについて PEAP 認証のイネーブル化 ここでは、PEAP 認証をサポートするように ACS を設定するために必要な手順について概説しま す。 (注) PEAP をサポートするようにエンドユーザ クライアント コンピュータを設定する必要があります。 ここでは、ACS の設定だけを取り上げます。 PEAP 認証をイネーブルにするには、次の手順を実行します。 ステップ 1 ACS にサーバ証明書をインストールします。PEAP ではサーバ証明書が必要です。詳細な手順につ いては、P.9-26 の「ACS サーバ証明書のインストール」を参照してください。 (注) EAP-TLS または PEAP ユーザ認証をサポートするため、またはリモート ACS 管理の HTTPS 保護をサポートするために、すでに証明書をインストールしている場合は、このステップ を実行する必要はありません。証明書ベースの ACS サービスとリモート管理をすべてサ ポートする場合でもサーバ証明書は 1 つあれば十分です。ただし、EAP-TLS と PEAP では、 サーバ認証用に適した証明書が必要です。 ステップ 2 Global Authentication Setup ページで PEAP をイネーブルにします。ステップ 1 を正常に完了した場 合に限り、ACS を使用してこのステップを実行します。詳細な手順については、P.9-24 の「認証オ プションの設定」を参照してください。 ステップ 3 ユーザ データベースを設定します。PEAP 認証をサポートしているユーザ データベースを確認する には、P.1-8 の「認証プロトコルとデータベースの互換性」を参照してください。 ACS が、ほとんどのユーザに対して PEAP 認証を実行できる状態になります。詳細については、 P.9-9 の「PEAP と未知ユーザ ポリシー」を参照してください。 ステップ 4 PEAP 認証を簡素化するため、未知ユーザ ポリシーをイネーブルにすることを検討します。詳細に ついては、P.9-9 の「PEAP と未知ユーザ ポリシー」を参照してください。詳細な手順については、 P.15-9 の「未知ユーザ ポリシーの設定」を参照してください。 EAP-FAST 認証 ここでは、次の項目について説明します。 • EAP-FAST について(P.9-11) • マスター キーについて(P.9-12) • PAC について(P.9-14) • プロビジョニング モード(P.9-14) • PAC のタイプ(P.9-15) • 匿名の TLS 再ネゴシエーション用の EAP-FAST(P.9-18) • PAC Free EAP-FAST(P.9-18) Cisco Secure ACS Solution Engine ユーザ ガイド 9-10 OL-14386-01-J 第9章 システム設定:認証と証明書 認証と EAP プロトコルについて • EAP-FAST PKI 認可バイパス(P.9-18) • マスター キーと PAC TTL(P.9-19) • 複製と EAP-FAST(P.9-19) • EAP-FAST のイネーブル化(P.9-21) EAP-FAST について EAP Flexible Authentication via Secured Tunnel(EAP-FAST)プロトコルは、パブリックにアクセス可 能な新しい IEEE 802.1X EAP タイプです。これは、強力なパスワード ポリシーを適用できないユー ザがデジタル証明書を必要としない 802.1X EAP タイプを展開できるように、シスコが開発しまし た。EAP-FAST は、さまざまなタイプのユーザ データベースやパスワード データベース、パスワー ドの変更や有効期間をサポートしています。そのため、柔軟性があり、展開や管理も容易です。 EAP-FAST と他の EAP タイプとの比較の詳細については、次のサイトを参照してください。 www.cisco.com/en/US/products/hw/wireless/ps430/products_qanda_item09186a00802030dc.shtml EAP-FAST プロトコルは、TLS トンネルで EAP トランザクションを暗号化するクライアント サー バ型のセキュリティ アーキテクチャです。その点では PEAP に似ていますが、EAP-FAST トンネル の設定は、各ユーザに固有の強力な秘密に基づいていることが大きな相違点です。これらの秘密は Protected Access Credentials(PAC)と呼ばれ、ACS が、ACS にしか知られていないマスター キーを 使用して生成します。共有秘密に基づくハンドシェイクは PKI に基づくハンドシェイクよりもそも そも速いので、EAP-FAST は、暗号化 EAP トランザクションを提供する 2 つのソリューションの中 で、かなり速い方になります。EAP-FAST の実装には証明書管理は必要ありません。 EAP-FAST は 3 つのフェーズで実行されます。 • フェーズ 0:フェーズ 0 は EAP-FAST に固有のフェーズであり、EAP-FAST エンドユーザ クラ イアントに、ネットワーク アクセスを要求するユーザ用の PAC を提供するトンネル セキュア 機能です(P.9-16 の「自動 PAC プロビジョニング」を参照)。エンドユーザ クライアントに PAC を提供することが、フェーズ 0 の唯一の目的です。トンネルは、匿名の Diffie-Hellman 鍵 交換に基づいて確立されます。EAP-MS-CHAPv2 認証が成功すると、ACS はユーザに PAC を 提供します。EAP-FAST フェーズ 0 をサポートしているデータベースを確認するには、P.1-8 の 「認証プロトコルとデータベースの互換性」を参照してください。 (注) フェーズ 0 はオプションであり、PAC は手動でエンドユーザ クライアントに提供でき ます(P.9-17 の「手動 PAC プロビジョニング」を参照) 。ACS がフェーズ 0 をサポート す る か ど う か を 制 御 す る に は、Global Authentication Configuration ペ ー ジ で Allow automatic PAC provisioning チェックボックスをオンにします。 Allow anonymous in-band PAC provisioning オプションを選択すると、EAP-FAST フェーズ 0 を使 用してエンドユーザ クライアントに PAC がプロビジョニングされます。このチェックボック スをオンにすると、ACS は、エンドユーザ クライアントに新規 PAC を提供するために、その クライアントとの安全な接続を確立します。このオプションでは、エンドユーザ クライアント と ACS の間で匿名の TLS ハンドシェイクが可能になります。 (内部方式として EAP-MS-CHAP だけが使用されます)。 Allow authenticated in-band PAC provisioning オプションを選択すると、TLS サーバ側の認証とと もに EAP-FAST フェーズ 0 を使用してエンドユーザ クライアントに PAC がプロビジョニング されます。このオプションを選択する場合は、ACS にサーバ証明書と信頼できるルート CA を インストールする必要があります。 ACS は、デフォルトで TLS サーバ側の認証をサポートしています。ただし、クライアントが ユーザ証明書を ACS に送信する場合は、相互 TLS 認証が実行され、内部方式はバイパスされ ます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 9-11 第9章 システム設定:認証と証明書 認証と EAP プロトコルについて EAP-FAST のフェーズ 0 によってイネーブルになるネットワーク サービスはありません。その ため、EAP-FAST フェーズ 0 トランザクションは、成功した場合でも、ACS Failed Attempts ロ グに記録されます。 Accept client on authenticated provisioning オプションを選択すると、ACS がプロビジョニング フェーズ(フェーズ 0)の終わりに必ず Access-Reject を送信するため、クライアントはトンネ ル PAC を使用して再認証を受ける必要があります。このオプションでは、クライアントに Access-Accept が送信されます。このオプションは、Allow authenticated in-band PAC provisioning チェックボックスをオンにした場合にだけイネーブルにすることができます。 • フェーズ 1:フェーズ 1 では、ACS とエンドユーザ クライアントが、エンドユーザ クライアン トによって示された PAC に基づいて TLS トンネルを確立します。このフェーズでは、ネット ワーク アクセスの取得を試行するユーザ用の PAC がエンドユーザ クライアントに提供されて いることと、期限の切れていないマスター キーに PAC が基づいていることが必要です。PAC プロビジョニングを実行する手段は関係ありません。自動プロビジョニングと手動プロビジョ ニングのどちらでも使用できます。 EAP-FAST のフェーズ 1 ではネットワーク サービスはイネーブルになりません。 • フェーズ 2:フェーズ 2 では、ACS が EAP-GTC でユーザ クレデンシャルを認証します。これ は、フェーズ 1 で作成された TLS トンネルによって保護されています。内部方式として EAP-GTC、TLS および MS-CHAP がサポートされています。その他の EAP タイプは EAP-FAST ではサポートされていません。EAP-FAST フェーズ 2 をサポートしているデータベースを確認 するには、P.1-8 の「認証プロトコルとデータベースの互換性」を参照してください。 ACS は、EAP-FAST のフェーズ 2 の正常ユーザ認証でネットワーク サービスを認可し、イネー ブルになっている場合は Passed Authentications ログに認証を記録します。また、ACS は必要に 応じて、エンドユーザ クライアント PAC を更新します。この処理により、同じフェーズ 2 ト ランザクションの Passed Authentications ログに 2 番目のエントリが作成されます。 (注) このバージョンの ACS は NAC フェーズ 2 に対して EAP-FAST フェーズ 2 をサポートしており、有 線クライアントだけを対象としています。 EAP-FAST は、すべての EAP-FAST トランザクションでユーザ名を保護できます。ACS は、フェー ズ 1 で示されたユーザ名に基づいてユーザ認証を実行しません。ただし、フェーズ 1 でユーザ名が 保護されるかどうかは、エンドユーザ クライアントによって異なります。フェーズ 1 でエンドユー ザ クライアントが実際のユーザ名を送信しなければ、ユーザ名は保護されます。Cisco Aironet EAP-FAST クライアントは、ユーザ名の代わりに FAST_MAC address を送信することによって、 フェーズ 1 のユーザ名を保護します。EAP-FAST のフェーズ 1 が完了すると、通常はクリア テキス トで送信されるユーザ名情報も含めて、すべてのデータが暗号化されます。 ACS は、Windows ユーザ データベースによって認証されたユーザに対して、EAP-FAST でのパス ワード エージングをサポートしています。パスワード エージングは、EAP-FAST のフェーズ 0 ま たはフェーズ 2 で処理できます。フェーズ 0 中にパスワード エージングでユーザがパスワードを変 更する必要がある場合は、新規パスワードがフェーズ 2 で有効になります。Windows ユーザ データ ベースのパスワード エージングの詳細については、P.5-18 の「ACS 内部データベースのパスワード エージングをイネーブルにする」を参照してください。 マスター キーについて EAP-FAST マスター キーは、ACS が自動的に生成し、ACS だけが認識している強力な秘密です。マ スター キーがエンドユーザ クライアントに送信されることはありません。EAP-FAST でマスター キーが必要な理由は 2 つあります。 • PAC 生成:ACS は、アクティブ マスター キーを使用して PAC を生成します。PAC の詳細に ついては、P.9-14 の「PAC について」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド 9-12 OL-14386-01-J 第9章 システム設定:認証と証明書 認証と EAP プロトコルについて • EAP-FAST フェーズ 1:ACS は、エンドユーザ クライアントによって示された PAC が、認識 しているマスター キーのいずれか(アクティブ マスター キーまたは非アクティブ マスター キー)によって生成されたかどうかを判別します。 EAP-FAST のセキュリティを強化するため、ACS は PAC の生成に使用するマスター キーを変更し ます。ACS は、定義された Time-to-Live(TTL; 存続可能時間)値を使用して、新規マスター キー を生成するタイミングとすべてのマスター キーの経過時間を決定します。ACS は、TTL 値に基づ いて、マスター キーに次の状態のいずれかを割り当てます。 • アクティブ:アクティブ マスター キーは、ACS が PAC を生成するために使用するマスター キーです。マスター キーの TTL 設定によって、マスター キーがアクティブである期間が決ま ります。アクティブであるマスター キーは常に 1 つだけです。マスター キーと PAC の TTL を 定義すると、ACS は、アクティブ マスター キー TTL よりも短い PAC TTL だけを許可します。 この制限により、マスター キーの期限が切れる前に EAP-FAST ユーザが少なくとも一度ネット ワークにログインすれば、PAC の生成に使用されたマスター キーの期限が切れる前に少なくと も一度は PAC が更新されます。PAC の更新またはプロビジョニングが必要かどうかが TTL 値 によってどのように決まるかについては、P.9-19 の「マスター キーと PAC TTL」を参照してく ださい。 複製された EAP-FAST ポリシーとマスター キーを受信するよう ACS を設定した場合は、バッ クアップ マスター キーも、受信されるマスター キーの中に含まれます。バックアップ マス ター キーが使用されるのは、アクティブ マスター キーが次の正常なマスター キー複製の前に 非アクティブになった場合です。次の正常なマスター キー複製の前にバックアップ マスター キーも非アクティブになった場合、EAP-FAST でネットワーク アクセスを要求するすべての ユーザに対して EAP-FAST 認証が失敗します。 ヒント アクティブ マスター キーとバックアップ マスター キーが非アクティブになり、複製された新規マ スター キーを ACS がまだ受信していないために EAP-FAST 認証が失敗した場合は、EAP-FAST Master Server チェックボックスをオンにして Submit をクリックすることによって、ACS に独自の マスター キーを生成させることができます。 ACS は、CSAuth サービス用のログにマスター キーの生成を記録します。 • 非アクティブ:マスター キーは、マスター キー TTL 設定よりも古くなると、非アクティブ マ スター キー TTL 設定で指定された期間だけ非アクティブであると見なされます。ACS は、非 アクティブ マスター キーを最大 255 まで保存できます。非アクティブ マスター キーは新規 PAC の生成には使用されませんが、ACS では、それを使用して生成された PAC を認証するた めに必要になります。マスター キーの TTL と非アクティブ マスター キーの TTL を定義すると き、ACS は、255 以下の非アクティブ マスター キーの保存が必要な TTL 設定だけを許可しま す。たとえば、マスター キー TTL を 1 時間、非アクティブ マスター キー TTL を 4 週間にする と、最大 671 の非アクティブ マスター キーの保存が必要になるため、エラー メッセージが表 示され、ACS はこの設定を許可しません。 非アクティブ マスター キーで生成された PAC を使用してユーザがネットワーク アクセスを取 得すると、ACS は、アクティブ マスター キーで生成された新規 PAC をエンドユーザ クライア ントに提供します。ACS のマスター キーおよび PAC の詳細については、P.9-19 の「マスター キーと PAC TTL」を参照してください。 • 期限切れ:マスター キーがマスター キー TTL と非アクティブ マスター TTL 設定の合計よりも 古くなると、そのマスター キーは期限切れと見なされ、ACS によってマスター キーのレコー ドから削除されます。たとえば、マスター キー TTL が 1 時間で非アクティブ マスター キー TTL が 1 週間である場合、マスター キーは、1 週間と 1 時間よりも古くなると期限切れになり ます。 期限切れのマスター キーで生成された PAC は、ネットワークへのアクセスには使用できませ ん。EAP-FAST のフェーズ 1 を正常に実行するには、期限切れのマスター キーで生成された PAC を示しているエンドユーザ クライアントに対し、自動または手動のプロビジョニングを使 用して新規 PAC を提供する必要があります。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 9-13 第9章 システム設定:認証と証明書 認証と EAP プロトコルについて PAC について PAC は、ACS および EAP-FAST エンドユーザ クライアントをイネーブルにし、互いを認証して EAP-FAST フェーズ 2 で使用する TLS トンネルを確立する強力な共有秘密です。ACS は、アクティ ブ マスター キーとユーザ名を使用して PAC を生成します。 PAC は、次のもので構成されています。 • PAC-Key:クライアント(およびクライアント デバイス)とサーバの ID にバインドされてい る共有秘密。 • PAC Opaque:クライアントがキャッシュしてサーバに渡す暗号化されたフィールド。サーバ は、PAC-Key およびクライアント ID を復号化して、クライアントとの相互認証を行います。 • PAC-Info:クライアントがさまざまな PAC をキャッシュできるように、少なくともサーバの ID が含まれています。PAC の有効期限などの情報が含まれていることもあります。 EAP-FAST エンドユーザ クライアントは、クライアントを使用してネットワークにアクセスする各 ユーザの PAC を保存します。さらに、EAP-FAST をサポートする AAA サーバには独自の認証局 ID があります。エンドユーザ クライアントは、ユーザの PAC を、それを生成した AAA サーバの認証 局 ID と関連付けます。PAC により PKI(デジタル証明書)が不要になります。 EAP-FAST フェーズ 1 で、エンドユーザ クライアントは、現在のユーザ用、および EAP-FAST トラ ンザクションの開始時に ACS によって送信された認証局 ID 用に備えている PAC を示します。 ACS は、認識しているマスター キーのいずれか(アクティブまたは非アクティブ)で PAC が生成され たかどうかを判別します(期限切れになったマスター キーで生成された PAC は、ネットワークへ のアクセスには使用できません)。期限切れのマスター キーで生成された PAC がエンドユーザ ク ライアントにある場合、EAP-FAST フェーズ 1 を正常に実行するには、エンドユーザ クライアント が新規 PAC を受信する必要があります。PAC プロビジョニングという、エンドユーザ クライアン トに PAC を提供する手段については、P.9-16 の「自動 PAC プロビジョニング」および P.9-17 の 「手動 PAC プロビジョニング」を参照してください。 エンドユーザ クライアントに PAC が提供されると、ACS は、マスター キーおよび PAC の TTL 値 で指定されているとおりに、それらを更新します。ACS は、EAP-FAST のフェーズ 2 の最後に、必 要に応じて新規 PAC を生成して送信しますが、マスター キー TTL を短くすると、PAC プロビジョ ニングが必要となる場合があります。マスター キーと PAC の状態によって、フェーズ 2 の最後に ACS が新規 PAC をエンドユーザ クライアントに送信するかどうかがどのように決まるかについて は、P.9-19 の「マスター キーと PAC TTL」を参照してください。 ユーザの PAC を生成したマスター キーが期限切れになる前に、ユーザが EAP-FAST を使用して ネットワークにアクセスしなかった場合は、マスター キー TTL 値の定義にかかわらず、PAC プロ ビジョニングが必要になります。たとえば、マスター キー TTL が 1 週間で非アクティブ マスター キー TTL が 1 週間である場合は、2 週間の休暇に出かけるユーザが使用する各 EAP-FAST エンド ユーザ クライアントに、PAC プロビジョニングが必要になります。 プロビジョニング モード ACS は、アウトオブバンド プロビジョニング モードとインバンド プロビジョニング モードをサ ポートしています。インバンド プロビジョニング モードは、ピアが ACS サーバを認証する前に Authenticated Diffie-Hellman Key Agreement Protocol(ADHP)トンネル内で機能します。 認証されていないサーバがプロビジョニングされるため、プレーン テキストのパスワードを使用す ることはできません。したがって、トンネルの内部で MS-CHAP クレデンシャルだけを使用できま す。MS-CHAPv2 は、ピアの身元を証明するため使用され、その後の認証セッション用に PAC を受 信します。この方式により、ユーザのクレデンシャルを危険にさらす可能性が最小限に抑えられま す。 Cisco Secure ACS Solution Engine ユーザ ガイド 9-14 OL-14386-01-J 第9章 システム設定:認証と証明書 認証と EAP プロトコルについて EAP-FAST は、機能が拡張されて、PAC プロビジョニングが実行される認証済みトンネル(サーバ 証明書を使用)をサポートするようになりました。EAP-FAST および特にサーバ証明書に対する機 能拡張となる、新しい暗号スイートが使用されます。 トンネル セットアップの一部としてサーバが認証されるため、トンネル内部であまり強力でない EAP 方式(EAP-GTC など)を使用して、サプリカントの認証を提供できます。 認証済みトンネルを使用するプロビジョニング セッションの終わりに、ネットワーク アクセスを 許可できます。これは、サーバとユーザが互いを認証したためです。 ACS は、プロビジョニングのためにトンネル内部で次の EAP タイプをサポートしています。 • EAP-GTC • EAP-MS-CHAPv2 • EAP-TLS (注) デフォルトでは、EAP-GTC および EAP-MSCHAP 内部方式を使用している場合、ACS は、 最初の認証の試行が失敗した場合に、SSL トンネル内で 3 回まで認証の試行を許可します。 SSL トンネル内部での 4 回目の認証の試行が失敗すると、ACS は EAP カンバセーションを 終了し、RADIUS Access-Reject の状態になります。 PAC のタイプ ACS は、共有秘密を含む PAC をサプリカントにプロビジョニングします。この共有秘密は、サプ リカントと ACS の間に TLS トンネルを構築する場合に使用されます。ACS がサプリカントにプロ ビジョニングする PAC は、状況に応じてさまざまな用途を持ちます。 サーバ ポリシーに従って、次のタイプの PAC が ACS にプロビジョニングされます。 • トンネル(共有秘密)PAC、ユーザまたはマシン:ピアと ACS の間で配布される共有秘密で あり、安全なトンネルを確立するため、およびトンネル内で何を実行する必要があるかまたは 何を実行できるかというポリシーを伝達するために使用されます。ポリシーには、トンネル内 で許可される EAP 方式、TLV 交換、ID などが含まれます。PAC を使用する後続の認証でポリ シーを適用するために必要な情報を PAC に含めるのは、サーバ ポリシーの役割です。たとえ ば、EAP-FAST プロトコル バージョン 1 では、サーバ ポリシーの一部としてユーザ ID(I-ID) が含まれます。これにより、内部 EAP 方式が、プロビジョニングされるユーザ ID に対してだ け伝達されるように制限されます。許可される EAP 方式や暗号スイートなど、他のタイプの情 報も含めることができます。PAC にサーバ ポリシーが含まれていない場合、その PAC を使用 して確立されるトンネル内には、内部 EAP 方式やユーザ ID に対する検証も制限もありません。 マシンの PAC ユーザには、タイプ フィールドが含まれています。マシンの形式は、ホスト / マ シン名となります。 • ユーザ認可 PAC:配布される、ユーザ認証および認可の結果であり、以前の認証に基づいてい ます。この PAC をトンネル PAC と組み合せて使用して、後続のユーザ認証をバイパスできま す。この PAC は、存続期間が短く、ピアによって制御されるものとして設計されています。 ユーザ認証の結果に影響を及ぼすようなユーザ状態の変化があった場合(たとえば、ユーザが ログオンまたはログオフした場合など)、ピアはこの PAC を廃棄して、再び使用しません。ユー ザ認可 PAC をトンネル PAC と組み合せて使用すると、P.9-22 の「ステートレスなサーバ セッ ション再開」で説明しているように、ステートレスなサーバ セッション再開ができるようにな ります。 • ポスチャ PAC:配布される、ポスチャ チェックおよび認可の結果であり、以前のポスチャ確 認に基づいています。再確認が頻繁に行われる場合は、ポスチャ PAC を使用して、ポスチャ確 認を最適化できます。この結果は、ポスチャ確認アプリケーションに固有のもので、EAP-FAST のコンテンツの外部で使用できます。 エンドユーザ クライアントが PAC を受信するさまざまな手段を次に示します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 9-15 第9章 システム設定:認証と証明書 認証と EAP プロトコルについて • PAC プロビジョニング:エンドユーザ クライアントに PAC がない場合や PAC が期限切れのマ スター キーに基づいている場合に必要になります。マスター キーと PAC の状態によって PAC プロビジョニングが必要であるかどうかがどのように決まるかについては、P.9-19 の「マスター キーと PAC TTL」を参照してください。 PAC プロビジョニングについては次の 2 つの手段がサポートされています。 − 自動プロビジョニング:セキュア ネットワーク接続を使用して PAC を送信します。詳細 については、P.9-16 の「自動 PAC プロビジョニング」を参照してください。 − 手動プロビジョニング:ACS を使用してユーザ用の PAC ファイルを生成し、エンドユー ザ クライアントを実行しているコンピュータに PAC ファイルをコピーし、エンドユーザ クライアントに PAC ファイルをインポートする必要があります。詳細については、P.9-17 の「手動 PAC プロビジョニング」を参照してください。 • PAC 更新:EAP-FAST フェーズ 2 認証が成功し、マスター キーと PAC TTL によって PAC の更 新が指示されている場合に、自動的に実行されます。マスター キーと PAC の状態によって PAC が更新されるかどうかがどのように決まるかについては、P.9-19 の「マスター キーと PAC TTL」 を参照してください。 PAC には、PAC TTL 設定によって決定される次の 2 つの状態があります。 • アクティブ:PAC TTL よりも新しい PAC はアクティブと見なされ、それを生成するために使 用されたマスター キーが期限切れになっていなければ、EAP-FAST フェーズ 1 の完了に使用で きます。PAC が期限切れのマスター キーに基づいている場合に、EAP-FAST フェーズ 1 を正常 に実行させるには、その PAC がアクティブであるかどうかにかかわらず、PAC プロビジョニ ングが必要になります。 • 期限切れ:PAC TTL よりも古い PAC は期限切れと見なされます。PAC の生成に使用されたマ スター キーが期限切れになっていなければ、期限切れの PAC を EAP-FAST フェーズ 1 の実行 に使用できます。その場合は、EAP-FAST フェーズ 2 の終わりに ACS がユーザ用の新規 PAC を生成し、それをエンドユーザ クライアントに提供します。 自動 PAC プロビジョニング 自動 PAC プロビジョニングは、セキュア ネットワーク接続を介して新規 PAC をエンドユーザ ク ライアントに送信します。自動プロビジョニングをサポートするように ACS とエンドユーザ クラ イアントを設定した場合、自動 PAC プロビジョニングにネットワーク ユーザまたは ACS 管理者の 介入は必要ありません。 EAP-FAST フェーズ 0 では、ユーザの EAP-MS-CHAPv2 認証が必要です。ユーザ認証が成功すると、 ACS はエンドユーザ クライアントとの Diffie-Hellman トンネルを確立します。ACS は、ユーザ用の PAC を生成し、それをこのトンネル内でこの ACS に関する認証局 ID および認証局 ID 情報ととも にエンドユーザ クライアントに送信します。 (注) EAP-FAST フェーズ 0 とフェーズ 2 は異なる認証方法を使用するので(フェーズ 0 では EAP-MS-CHAPv2、フェーズ 2 では EAP-GTC)、フェーズ 2 をサポートするデータベースの中には、 フェーズ 0 をサポートしないものもあります。ACS が各ユーザを単一ユーザ データベースと関連 付ける場合、自動 PAC プロビジョニングを使用するには、EAP-FAST フェーズ 0 と互換性のある データベースで EAP-FAST ユーザが認証されている必要があります。ACS が EAP-FAST フェーズ 0 とフェーズ 2 をサポートできるデータベースについては、P.1-8 の「認証プロトコルとデータベー スの互換性」を参照してください。 EAP-FAST フェーズ 0 ではネットワーク サービスはイネーブルにならないので、ACS は EAP-FAST フェーズ 0 トランザクションを、PAC プロビジョニングが発生したというエントリとともに Failed Attempts ログに記録します。エンドユーザ クライアントは、正常なフェーズ 0 を介して PAC を受 信した後、フェーズ 1 の開始を求める新規 EAP-FAST 要求を送信します。 Cisco Secure ACS Solution Engine ユーザ ガイド 9-16 OL-14386-01-J 第9章 システム設定:認証と証明書 認証と EAP プロトコルについて (注) フェーズ 0 での PAC の送信は MS-CHAPv2 認証によって保護されており、MS-CHAPv2 はディク ショナリ攻撃に弱いので、自動プロビジョニングの使用は EAP-FAST の最初の展開に限ることをお 勧めします。大規模な EAP-FAST 配置後は、PAC に対する高度なセキュリティを確保するため、 PAC プロビジョニングを手動で実行してください。手動 PAC プロビジョニングの詳細については、 P.9-17 の「手動 PAC プロビジョニング」を参照してください。 ACS が自動 PAC プロビジョニングを実行するかどうかを制御するには、System Configuration セク ションの Global Authentication Setup ページのオプションを使用します。詳細については、P.9-51 の 「EAP-FAST Configuration ページ」を参照してください。 手動 PAC プロビジョニング 手動 PAC プロビジョニングでは、ACS 管理者が PAC ファイルを生成し、それを該当するネット ワーク ユーザに配布する必要があります。ユーザは PAC ファイルでエンドユーザ クライアントを 設定する必要があります。たとえば、EAP-FAST エンドユーザ クライアントが Cisco Aironet Client Utility(ACU)である場合、EAP-FAST をサポートするように ACU を設定するには、PAC ファイ ルをインポートする必要があります。Cisco ACU の設定の詳細については、ご使用の ACU のコン フィギュレーション ガイドを参照してください。 EAP-FAST を使用してネットワークにアクセスするユーザを制御するには、手動 PAC プロビジョニ ングを使用します。自動 PAC プロビジョニングをディセーブルにすると、PAC を拒否された EAP-FAST ユーザはネットワークにアクセスできません。ACS 展開に、各ネットワーク セグメント へのアクセスが個別の ACS によって制御されるネットワーク セグメンテーションが含まれている 場合は、手動 PAC プロビジョニングによってセグメントごとに EAP-FAST アクセスを許可するこ とができます。たとえば、会社がシカゴとボストンのオフィスでのワイヤレス アクセス用に EAP-FAST を使用していて、これら 2 つのオフィスそれぞれの Cisco Aironet Access Point が別々の ACS を使用するよう設定されている場合に、シカゴのオフィスを訪れたボストンの従業員がワイヤ レス アクセスを使用できるかどうかを、従業員ごとに決定することができます。 (注) EAP-FAST マスター キーとポリシーを複製すると、ACS ごとに異なる PAC を要求する機能に影響 します。詳細については、表 9-2 を参照してください。 手動 PAC プロビジョニングの管理オーバーヘッドは自動 PAC プロビジョニングよりもはるかに大 きくなりますが、ネットワーク上で PAC を送信するリスクはなくなります。EAP-FAST を初めて展 開する場合に手動 PAC プロビジョニングを使用すると、エンドユーザ クライアントで多数の手動 設定が必要になりますが、このタイプのプロビジョニングは PAC を展開する最も安全な方法です。 大規模な EAP-FAST 配置後は、PAC に対する高度なセキュリティを確保するため、PAC プロビジョ ニングを手動で実行する必要があります。 特定のユーザ名、ユーザ グループ、ユーザ名リスト、またはすべてのユーザに対して PAC ファイ ルを生成できます。ユーザ グループまたはすべてのユーザに対して PAC ファイルを生成する場合、 ユーザは未知ユーザではなく、既知ユーザまたは検出ユーザである必要があります。 (注) ACS for Windows のみ:ACS for Windows では、CSUtil.exe を使用した PAC ファイルの作成をサポー トしています。CSUtil.exe を使用した PAC の作成の詳細については、P.C-33 の「PAC ファイルの 生成」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 9-17 第9章 システム設定:認証と証明書 認証と EAP プロトコルについて 匿名の TLS 再ネゴシエーション用の EAP-FAST 匿名の PAC プロビジョニング スキーマを使用する場合、パスワードの入力を 2 回求められること が あ り ま す。最 初 に パ ス ワ ー ド を 入 力 し た と き に、ACS は PAC を プ ロ ビ ジ ョ ニ ン グ し て、 access-reject をクライアントに送信します。次に、クライアントがプロンプトに対してパスワードを 再入力すると、認証が可能になり、ネットワークへのアクセスが許可されます。 ACS は TLS クライアントのハンドシェイク レコードを確認します。TLS クライアントのハンド シェイク レコードを確認できた場合、ACS は、ユーザのアクセス要求を拒否する代わりに、 EAP-FAST フェーズ 0 の最後に TLS 再ネゴシエーションを開始します。 (注) ホストが匿名の PAC プロビジョニングを使用している場合、Vista クライアントではこのオプショ ンを使用する必要があります。このオプションをイネーブルにしている場合、ACS は、PAC プロ ビジョニング後にアクセスの試行を拒否する代わりに、EAP-FAST フェーズ 0 の最後にクライアン トへの TLS 再ネゴシエーション要求の送信を開始します。 PAC Free EAP-FAST PAC Free EAP-FAST 認証を使用すると、トンネルまたはマシン生成の PAC を発行したり、受け入 れたりせずに、ACS で EAP-FAST を実行できます。一部の PAC は存続期間が長く、アップデート されていないことが原因で、認証およびセキュリティの問題が生じる場合があります。PAC Free EAP- FAST をイネーブルにすると、PAC に対する要求は無視されます。EAP-FAST フェーズ 0 で開 始される認証および PAC に対する後続の要求はすべて無視されます。フローは EAP- FAST フェー ズ 2 に移動します。ACS は、PAC なしで Success-TLV メッセージを返します。クライアントが PAC とのトンネルを確立しようとすると、ACS は PAC Invalid メッセージを返します。トンネルの確立 は行われず、Access access-reject Reject が送信されます。ホスト / サプリカントは、接続を再度試み ることができます。 ADHP とも呼ばれる匿名のフェーズ 0 では、PAC Free はサポートされていません。これは、プロト コルがフェーズ 2 へのロールオーバーをサポートしていないためです。PAC Free EAP-FAST は、設 定をサポートしており、クライアント証明書を必要としません。PAC Free EAP-FAST を設定する方 法の詳細については、P.14-45 の「Protocols Settings for profile_name ページ」を参照してください。 EAP-FAST PKI 認可バイパス EAP-FAST PKI 認可バイパスを使用すると、ACS はユーザをデータベースに対して認可しなくても、 EAP-FAST トンネルの確立を行うことができます。認可は、ユーザのグループ データおよび証明書 を外部データベースから取得することで行われます。取得後、ACS は少なくとも 1 つの証明書、CN または SAN と、クライアントが提供した証明書から受け取った値を比較します。比較が成功する と、グループが ACS ユーザグループにマッピングされます。成功しなかった場合は、認証に失敗 します。PKI 認可バイパスがイネーブルになっている場合、このステージは省略され、セッション は事前に定義されたユーザ グループにマッピングされます。この機能によって、外部データベース に依存しない設定が可能になり、信頼性が向上します。 EAP-FAST PKI 認可バイパス機能は、PAC Free EAP-FAST 機能とは異なるものですが、PAC Free が イネーブルでない場合は PKI 認可バイパスをイネーブルにできません。この依存性により、CRL ま たは外部データベース検索による相互に認証されたハンドシェイクを強制することで、ユーザまた はマシンのアクセスを無効にする手段を提供します。PKI 認可バイパスを PAC Free EAP- FAST な しで実装できるようにしてしまうと、ユーザに PAC が発行された場合に、その PAC が期限切れに なるまでネットワークへのアクセスを無効にできなくなります。 Cisco Secure ACS Solution Engine ユーザ ガイド 9-18 OL-14386-01-J 第9章 システム設定:認証と証明書 認証と EAP プロトコルについて マスター キーと PAC TTL マスター キーと PAC の TTL 値によって、マスター キーと PAC の状態が決まります。P.9-12 の「マ スター キーについて」および P.9-14 の「PAC について」を参照してください。マスター キーと PAC の状態によって、EAP-FAST でのネットワーク アクセスを要求するユーザに PAC プロビジョ ニングまたは PAC 更新が必要かどうかが決まります。 表 9-1 に、PAC とマスター キーの状態に関する ACS の動作をまとめてあります。 表 9-1 マスター キーと PAC の状態 マスター キーの状態 PAC がアクティブ PAC が期限切れ マスター キーがアク フェーズ 1 が成功します。 ティブ フェーズ 2 の最後に PAC は更新されません。 フェーズ 1 が成功します。 マスター キーが非ア フェーズ 1 が成功します。 クティブ フェーズ 2 の最後に PAC は更新されます。 フェーズ 2 の最後に PAC は更新されます。 フェーズ 1 が成功します。 フェーズ 2 の最後に PAC は更新されます。 PAC プロビジョニングが必要です。 マスター キーが期限 PAC プロビジョニングが必要です。 切れ 自動プロビジョニングがイネーブルになってい 自動プロビジョニングがイネーブルになってい る場合は、フェーズ 0 が実行され、新規 PAC が る場合は、フェーズ 0 が実行され、新規 PAC が 送信されます。エンドユーザ クライアントは、 送信されます。エンドユーザ クライアントは、 新規 PAC を使用して新規 EAP-FAST 認証要求 新規 PAC を使用して新規 EAP-FAST 認証要求 を開始します。 を開始します。 自動プロビジョニングがディセーブルになって いる場合、フェーズ 0 は実行されず、フェーズ 1 は失敗します。手動プロビジョニングを使用 してユーザに新規 PAC を提供する必要があり ます。 自動プロビジョニングがディセーブルになって いる場合、フェーズ 0 は実行されず、フェーズ 1 は失敗します。手動プロビジョニングを使用 してユーザに新規 PAC を提供する必要があり ます。 複製と EAP-FAST データベース複製機能は、EAP-FAST 設定、認証局 ID、およびマスター キーの複製をサポートし ています。EAP-FAST データの複製が実行されるのは、次の場合だけです。 • プライマリ ACS の Database Replication Setup ページの Send で、EAP-FAST master keys and policies チェックボックスをオンにした場合 • プライマリ ACS の Global Authentication Setup ページで、EAP-FAST をイネーブルにし、 EAP-FAST master server チェックボックスをオンにした場合 • セカンダリ ACS の Database Replication Setup ページの Receive で、EAP-FAST master keys and policies チェックボックスをオンにした場合 • セカンダリ ACS の Global Authentication Setup ページで、EAP-FAST をイネーブルにし、 EAP-FAST master server チェックボックスをオフにした場合 EAP-FAST 関連の複製は、次の 3 つのイベントに対して実行されます。 • マスター キーの生成:プライマリ ACS は、新しく生成されたアクティブ マスター キーとバッ クアップ マスター キーをセカンダリ ACS に送信します。複製が適切に設定されていて、 Database Replication Setup ページの複製スケジューリングの影響を受けない場合、このイベント はマスター キーの生成後にすぐに実行されます。 • 手動複製:プライマリ ACS の Database Replication Setup ページで Replicate Now をクリックす ると、複製可能なすべての EAP-FAST コンポーネントが複製されます。複製されたコンポーネ ントの一部は、Web インターフェイスで設定できます。EAP-FAST コンポーネントが複製され るかどうかと設定可能かどうかについては、表 9-2 を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 9-19 第9章 システム設定:認証と証明書 認証と EAP プロトコルについて (注) EAP-FAST 複製は、スケジューリングされた複製イベントには含まれません。 • EAP-FAST 設定に対する変更:プライマリ ACS で複製された設定可能 EAP-FAST コンポーネ ントを変更すると、ACS は EAP-FAST 複製を開始します。EAP-FAST コンポーネントが複製さ れるかどうかと設定可能かどうかについては、表 9-2 を参照してください。 プライマリ ACS の Database Replication ログには、マスター キーの複製が記録されます。マスター キー複製に関連するエントリには、MKEYReplicate というテキストが含まれています。 表 9-2 EAP-FAST コンポーネントと複製 EAP-FAST コンポーネント 複製の有無 設定の可否 EAP-FAST がイネーブル No はい、 Global Authentication Setup ページでできます。 マスター キー TTL Yes はい、 Global Authentication Setup ページでできます。 非アクティブ マスター キー TTL Yes はい、 Global Authentication Setup ページでできます。 PAC TTL Yes はい、 Global Authentication Setup ページでできます。 認証局 ID Yes いいえ、ACS によって生成されます。 認証局 ID 情報 Yes はい、 Global Authentication Setup ページでできます。 クライアント初期メッセージ Yes はい、 Global Authentication Setup ページでできます。 マスター キー Yes いいえ、TTL 設定で指示された場合に ACS によっ て生成されます。 EAP-FAST マスター サーバ No はい、 Global Authentication Setup ページでできます。 実際の EAP-FAST サーバの状態 No いいえ、ACS によって決定されます。 EAP-FAST マスター サーバ設定は、次に示すように、EAP-FAST の認証と複製に大きな影響を与え ます。 • イネーブル:EAP-FAST master server チェックボックスがオンになっている場合、Actual EAP-FAST server status は Master であり、ACS は、複製中にプライマリ ACS から受信した EAP-FAST 設定、認証局 ID、およびマスター キーを無視して、生成したマスター キー、その 固有の認証局 ID、および Web インターフェイスで設定された EAP-FAST 設定を使用します。 EAP-FAST マスター サーバ設定をイネーブルにするには、エンドユーザ クライアントに、セカ ンダリ ACS の PAC とは異なるプライマリ ACS の PAC を提供する必要があります。プライマ リ ACS とセカンダリ ACS は EAP-FAST トランザクションの開始時に異なる認証局 ID を送信 するため、エンドユーザ クライアントは、各認証局 ID 用の PAC を持っている必要がありま す。プライマリ ACS によって生成された PAC は、セカンダリ ACS で EAP-FAST マスター サー バ設定がイネーブルになっている複製スキームでは、セカンダリ ACS によって受け入れられま せん。 ヒント 複製された ACS 環境では、EAP-FAST マスター サーバ機能を使用し、それと同時に自動 PAC プロビジョニングを拒否することにより、ネットワーク内の異なるセグメントへの EAP-FAST アクセスを制御します。自動 PAC プロビジョニングを使用しない場合、ユー ザは各ネットワーク セグメントの PAC を要求する必要があります。 Cisco Secure ACS Solution Engine ユーザ ガイド 9-20 OL-14386-01-J 第9章 システム設定:認証と証明書 認証と EAP プロトコルについて • ディセーブル:EAP-FAST master server チェックボックスがオフになっている場合、ACS は、プ ライマリ ACS から最初の複製 EAP-FAST コンポーネントを受信するまで、EAP-FAST マスター サーバとして動作を続けます。Actual EAP-FAST server status に Slave というテキストが表 示されている場合、ACS は、生成したマスター キーとその固有の認証局 ID ではなく、複製中 にプライマリ ACS から受信した EAP-FAST 設定、認証局 ID、およびマスター キーを使用しま す。 (注) EAP-FAST master server チェックボックスをオフにした場合、Actual EAP-FAST server status は、ACS が複製 EAP-FAST コンポーネントを受信し、Actual EAP-FAST server status が Slave に変わるまで、Master のままです。Actual EAP-FAST server status が Slave に変わるまで、ACS は、生成したマスター キー、その固有の認証局 ID、およ び Web イ ン タ ー フ ェ イ ス で 設 定 さ れ た EAP-FAST 設 定 を 使 用 し て、マ ス タ ー EAP-FAST サーバとして動作します。 EAP-FAST マスター サーバ設定をディセーブルにすると、プライマリ ACS とセカンダリ ACS から異なる PAC を提供する必要がなくなります。これは、プライマリ ACS とセカンダリ ACS が EAP-FAST トランザクションの開始時にエンドユーザ クライアントへ同じ認証局 ID を送信 するためです。したがって、エンドユーザ クライアントは、いずれの ACS に対する応答でも、 同じ PAC を使用します。また、EAP-FAST マスター サーバ設定がディセーブルになっている 複製スキームで 1 つの ACS によってユーザ用に生成された PAC は、同じ複製スキーム内の他 のすべての ACS に受け入れられます。 複製の詳細については、P.8-2 の「ACS 内部データベースの複製」を参照してください。 EAP-FAST のイネーブル化 この項では、EAP-FAST 認証をサポートするように ACS を設定する手順について説明します。 (注) EAP-FAST をサポートするようにエンドユーザ クライアントを設定する必要があります。ここで は、ACS の設定だけを取り上げます。 始める前に この手順のステップの順番は、一例に過ぎません。ご使用のサイトで EAP-FAST をイネーブルにす るときは、これらのステップを繰り返したり順番を変えたりして実行しなければならない場合があ ります。たとえば、この手順では、PAC プロビジョニングをどのようにサポートするかの決定は、 EAP-FAST をサポートするようユーザ データベースを設定した後になっています。しかし、自動 PAC プロビジョニングを選択すると、ユーザ データベース サポートの制限が変わります。 ACS で EAP-FAST 認証を実行できるようにするには、次の手順を実行します。 ステップ 1 EAP-FAST 認証をサポートするようにユーザ データベースを設定します。EAP-FAST 認証をサポー トしているユーザ データベースを確認するには、P.1-8 の「認証プロトコルとデータベースの互換 性」を参照してください。ユーザ データベース設定については、第 12 章「ユーザ データベース」 を参照してください。 (注) EAP-FAST フェーズ 0 とフェーズ 2 に対するユーザ データベース サポートは異なります。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 9-21 第9章 システム設定:認証と証明書 認証と EAP プロトコルについて ACS は、Unknown User Policy の使用と EAP-FAST でのグループ マッピングをサポートしています。 また、Windows 外部ユーザ データベースでのパスワード エージングもサポートしています。 ステップ 2 マスター キーと PAC TTL 値を決定します。キーと PAC を頻繁に変更すると、安全性が増すと考え ることもできますが、同時に、オフラインになっているマシンで PAC の基になっているマスター キーが期限切れになり、PAC プロビジョニングが必要になる可能性も増します。 また、最初の EAP-FAST の展開で使用した TTL 値を少なくすると、ユーザが期限切れのマスター キーに基づく PAC を持つ可能性が高くなるので、PAC プロビジョニングが実行されやすくなりま す。 マスター キーと PAC TTL 値によって PAC プロビジョニングまたは PAC 更新が必要かどうかがど のように決まるかについては、P.9-19 の「マスター キーと PAC TTL」を参照してください。 ステップ 3 自動 PAC プロビジョニングと手動 PAC プロビジョニングのどちらを使用するかを決めます。PAC プロビジョニングの 2 つの手段については、P.9-16 の「自動 PAC プロビジョニング」および P.9-17 の「手動 PAC プロビジョニング」を参照してください。 (注) ステップ 4 自動 PAC プロビジョニングの使用は EAP-FAST の最初の展開に限定し、その後、少数の新 規エンドユーザ クライアントをネットワークに追加する場合や期限切れのマスター キー に基づく PAC を置換する場合は手動 PAC プロビジョニングを使用することをお勧めしま す。 ステップ 2 およびステップ 3 での決定に従い、Global Authentication Setup ページで EAP-FAST をイ ネーブルにします。詳細な手順については、P.9-24 の「認証オプションの設定」を参照してください。 ACS が、EAP-FAST 認証を実行できる状態になります。 (注) the workstation not allowed エラーが表示された場合、内部 ID はロギングされません。SSL ハ ンドシェイクは失敗し、EAP-PAC がプロビジョニングされ、ACS は無効な PAC を受け取ります。 ステートレスなサーバ セッション再開 サーバ パフォーマンス、ロード バランシング、および別のサーバへのピア ローミングに対する優 れたサポートを提供するため、EAP-FAST は、存続期間の短い認可 PAC を使用するステートレスな サーバ セッション再開をサポートしています。ピアが TLS セッションを確立して認証されると、 EAP サーバはピアにトンネル PAC をプロビジョニングできます。トンネル PAC を使用すると、通 常の TLS ハンドシェイクよりもかなり速く TLS セッションを確立できます。通常の TLS セッショ ン再開では、EAP サーバが TLS セッションのキャッシュと、ピアの認証および認可の結果を保持 する必要があります。このストレージ要件により、サーバのパフォーマンスが低下したり、サーバ のロード バランシングや、別のサーバへのピア ローミングで問題が生じたりすることが多くあり ます。トンネル PAC を使用すると、TLS セッションのキャッシュを保持する必要がなくなります。 高速かつ安全な方法で TLS セッションを迅速に確立できます。ただし、迅速なセッション再開を実 現するには、サーバがピアの以前の認証および認可の状態をキャッシュする必要があります。 Cisco Secure ACS Solution Engine ユーザ ガイド 9-22 OL-14386-01-J 第9章 システム設定:認証と証明書 認証と EAP プロトコルについて ユーザ認可 PAC をトンネル PAC と組み合せて使用して、さらに最適化できます。サーバで生成さ れたキーにより、ピアの以前の認証および認可の状態を格納するユーザ認可 PAC が保護されます。 ピアは、接続先の EAP サーバに対応する(A-ID が一致する)認可 PAC を持っており、ピアに影響 を及ぼす状態変化がないことを検出すると、それらの PAC の Opaque 部分を TLS アプリケーション データとして Client TLS Finished とともに PAC-TLV に実装できます。この TLV は、ネゴシエート される TLS 暗号スイートによって保護されます。この方法により、さらにラウンドトリップを導入 しなくても、攻撃者による認可 PAC のスヌーピングを防ぐことができます。EAP サーバは、認可 PAC を受信して復号化すると、ピアの認証および認可の結果に基づいて、以前の状態情報を再作成 できます。これらの PAC 内の状態情報がまだ有効である場合、EAP サーバは、サーバ側のポリシー に基づいて、内部 EAP 方式の認証を 1 つまたはすべてバイパスできます。内部方式がバイパスさ れる場合、EAP サーバは、Crypto-binding TLV は送信せず Result TLV だけを送信し、ピアは成功を 示す Result TLV で応答します。1 つまたはすべての PAC が存在しないまたは受け入れられない場 合、EAP サーバは EAP 認証シーケンスのすべてまたは一部を開始できます。 ACS は、次の内部方式と TLV 交換の組み合せをサポートしています。 (注) • EAP-MS-CHAP 認証 + ポスチャ確認 TLV 交換 • EAP-GTC 認証 + ポスチャ確認 TLV 交換 • EAP-TLS 認証 + ポスチャ確認 TLV 交換 • 認証なしのポスチャ確認 TLV 交換 認可 PAC を使用して確立されたセッションの再使用は、ACS のダイナミック ユーザが削除されて いない場合にのみ機能します。ダイナミック ユーザが明示的に削除されていて、確立されたセッ ションを再使用できない場合、ACS は通常の方法で完全な認証を試みます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 9-23 第9章 システム設定:認証と証明書 グローバル認証のセットアップ グローバル認証のセットアップ ACS でサポートされている認証プロトコルの一部をイネーブルまたはディセーブルにするには、 Global Authentication Setup ページを使用します。また、Global Authentication Setup ページ上のプロ トコルの一部について、オプションを設定することができます。 ここでは、次の項目について説明します。 注意 • 認証オプションの設定(P.9-24) • EAP-FAST Configuration ページ(P.9-51) ネットワーク アクセス プロファイル設定は、グローバル認証設定よりも優先されます。 認証オプションの設定 この手順では、ACS が認証オプションを処理する方法を選択および設定します。特に、この手順を 使用して、許可する各種の EAP を指定および設定し、MS-CHAP バージョン 1 と MS-CHAP バー ジョン 2 の一方または両方を許可するかどうかを指定できます。 EAP-TLS プロトコルの詳細については、P.9-2 の「EAP-TLS 認証」を参照してください。PEAP プ ロトコルの詳細については、P.9-7 の「PEAP 認証」を参照してください。PEAP プロトコルの詳細 については、P.9-10 の「EAP-FAST 認証」を参照してください。さまざまなパスワード プロトコル を各種データベースがサポートしている状況については、P.1-8 の「認証プロトコルとデータベー スの互換性」を参照してください。 P.9-51 の「EAP-FAST Configuration ページ」を使用して、認証設定オプションを設定します。 (注) Network Configuration セクションで RADIUS(Cisco Aironet)デバイスとして定義された AAA クラ イアントを使用してユーザがネットワークにアクセスする場合は、Global Authentication Setup ペー ジで、LEAP、EAP-TLS、または EAP-FAST プロトコルのうち 1 つまたは複数をイネーブルにする 必要があります。これ以外の場合、Cisco Aironet ユーザは認証を受けることができません。 始める前に オプションについては、P.9-51 の「EAP-FAST Configuration ページ」を参照してください。 認証オプションを設定するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 Global Authentication Setup をクリックします。 Global Authentications ページが表示されます。 ステップ 3 必要に応じて、オプションを設定します。オプションの意味の詳細については、P.9-51 の「EAP-FAST Configuration ページ」を参照してください。 ステップ 4 設定した設定値をすぐに実装する場合は、Submit + Apply をクリックします。 ACS がサービスを再起動し、選択した認証設定オプションが ACS に実装されます。 Cisco Secure ACS Solution Engine ユーザ ガイド 9-24 OL-14386-01-J 第9章 システム設定:認証と証明書 グローバル認証のセットアップ ステップ 5 設定した設定値を保存して、後で実装する場合は、Submit をクリックします。 ヒント System Configuration セクションの Service Control ページを使用すれば、いつでも ACS サー ビスを再起動できます。 ACS は、選択された認証設定オプションを保存します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 9-25 第9章 システム設定:認証と証明書 ACS 証明書のセットアップ ACS 証明書のセットアップ ここでは、次の項目について説明します。 • ACS サーバ証明書のインストール(P.9-26) • 認証局証明書の追加(P.9-30) • 証明書信頼リストの編集(P.9-32) • 証明書信頼リストからの証明書の削除(P.9-33) • 証明書失効リストの管理(P.9-33) • 証明書署名要求の生成(P.9-36) • 自己署名証明書の使用(P.9-38) • ACS 証明書のアップデートまたは置換(P.9-41) ACS サーバ証明書のインストール ACS 用のサーバ証明書をインストール(登録)するには、次の手順を実行します。証明書登録を実 行すると、GUI で ACS にアクセスするための HTTPS プロトコルのサポートに加えて、EAP-TLS 認 証と PEAP 認証をサポートできます。 サーバ証明書の取得方法として、次の 3 つのオプションがあります。 • CA から証明書を取得する。 • ローカル マシンのストレージから既存の証明書を使用する。 • 自己署名証明書を生成する。 始める前に ACS のサーバ証明書がないとインストールできません。ACS では、証明書ファイルが Base64-encoded X.509 に準拠している必要があります。サーバ証明書をまだ格納していない場合は、 P.9-36 の「証明書署名要求の生成」の手順またはその他の手段を利用して、インストールする証明 書を入手してください。 既存のサーバ証明書を置換するサーバ証明書をインストールすると、ACS の CTL 設定と CRL 設定 に影響する可能性があります。代わりの証明書のインストール後、CTL 設定や CRL 設定を再設定 する必要があるかどうかを判断する必要があります。 ローカル マシンのストレージにあるサーバ証明書を使用する場合は、 『Extensible Authentication Protocol Transport Layer Security Deployment Guide for Wireless LAN Networks』を一読することを推奨 します。このドキュメントは、ACS CD と http://www.cisco.com/warp/public/cc/pd/sqsw/sq/tech/index.shtml で入手できます。このホワイト ペー パーは、証明書をマシンのストレージに追加する方法、および Microsoft 認証局サーバを ACS とと もに利用するために設定する方法について説明しています。 ACS で使用するために既存の証明書をインストールするには、次の手順を実行します。 ACS for Windows ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 ACS Certificate Setup をクリックします。 ステップ 3 Install ACS Certificate をクリックします。 Cisco Secure ACS Solution Engine ユーザ ガイド 9-26 OL-14386-01-J 第9章 システム設定:認証と証明書 ACS 証明書のセットアップ Install ACS Certificate ページが表示されます。 (注) ACS 証明書は、ACS がインストールされているローカル サーバにインストールする必要がありま す。 ステップ 4 ACS が、証明書を指定したファイルから読み取るか、ローカル マシンにすでに存在する証明書を 使用するかを指定する必要があります。次のいずれか 1 つを実行します。 • 指定したファイルから証明書を読み取るように指定するには、Read certificate from file オプ ションを選択し、証明書ファイルのフル ディレクトリ パスとファイル名を Certificate file ボッ クスに入力します。 • ローカル マシンの証明書ストレージに保存されている特定の既存証明書を使用するように指 定するには、Use certificate from storage オプションを選択し、証明書 CN(共通名または対象 者名)を Certificate CN ボックスに入力します。 ヒント • ステップ 5 ローカル マシンの証明書ストレージに保存されている特定の既存証明書を使用するには、 Select Certificate from Storage オプションを選択して、ドロップダウン リストから証明書を選 択します。 ACS を使用して要求を生成した場合は、秘密鍵を含むファイルのフル ディレクトリ パスと名前を Private key file ボックスに入力します。 (注) ヒント ステップ 6 証明書を秘密鍵とともにストレージにインストールした場合、秘密鍵ファイルは存在せず、 入力の必要もありません。 この秘密鍵は、サーバ証明書に関連した秘密鍵です。 Private key password ボックスに、秘密鍵のパスワードを入力します。 ヒント ステップ 7 証明書 CN だけを入力します。cn= プレフィックスは省略してください。 ACS を使用して証明書署名要求を生成した場合、このパスワードは、Generate Certificate Signing Request ページの Private key password として入力したものと同じ値です。秘密鍵 ファイルが暗号化されていない場合、このボックスは空欄のままにします。 Submit をクリックします。 次の情報を含む Installed Certificate Information テーブルが表示され、証明書のセットアップが完了 します。 • Issued to: certificate subject Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 9-27 第9章 システム設定:認証と証明書 ACS 証明書のセットアップ • Issued by: CA common name • Valid from: • Valid to: • Validity: ACS SE ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 ACS Certificate Setup をクリックします。 ステップ 3 Install ACS Certificate をクリックします。 Install ACS Certificate ページが表示されます。 ステップ 4 新しい証明書をインストールするには、Read certificate from file オプションをクリックした後、 Download certificate file リンクをクリックします。 Download Certificate File ページが表示されます。 ステップ 5 証明書ファイルを ACS にダウンロードするには、Download File テーブルに次の情報を入力します。 a. FTP Server ボックスに、ダウンロードする証明書ファイルが格納されている FTP サーバの IP アドレスまたはホスト名を入力します。 ヒント ホスト名を指定する場合、DNS がネットワーク上で正常に動作している必要があります。 b. Login ボックスに、ACS が FTP サーバへのアクセスに使用できる有効なユーザ名を入力します。 c. Password ボックスに、Login ボックスで指定したユーザ名のパスワードを入力します。 d. Remote FTP Directory ボックスに、ACS が FTP サーバからダウンロードする証明書ファイルが 含まれているディレクトリのパスを、FTP サーバのルート ディレクトリからの相対パスで入力 します。 e. Remote FTP File Name ボックスに、ACS が FTP サーバからダウンロードする証明書ファイル の名前を入力します。 f. Submit をクリックします。 証明書ファイルがダウンロードされ、Install ACS Certificate ページの Certificate ファイル ボックス にファイル名が表示されます。 ヒント ステップ 6 ファイル転送中にエラーが発生した場合は、右側のペインにエラーが表示されます。 ACS を使用して要求を生成した場合は、Download private key file リンクをクリックします。 Download Private Key File ページが表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド 9-28 OL-14386-01-J 第9章 システム設定:認証と証明書 ACS 証明書のセットアップ ステップ 7 秘密鍵ファイルを ACS にダウンロードするには、Download File テーブルに次の情報を入力します。 a. FTP Server ボックスに、ダウンロードする秘密鍵ファイルが格納されている FTP サーバの IP アドレスまたはホスト名を入力します。 ヒント ホスト名を指定する場合、DNS がネットワーク上で正常に動作している必要があります。 b. Login ボックスに、ACS が FTP サーバへのアクセスに使用できる有効なユーザ名を入力します。 c. Password ボックスに、Login ボックスで指定したユーザ名のパスワードを入力します。 d. Remote FTP Directory ボックスに、ACS が FTP サーバからダウンロードする秘密鍵ファイルが 含まれているディレクトリのパスを、FTP サーバのルート ディレクトリからの相対パスで入力 します。 ステップ 8 ACS に対して、証明書を指定されたファイルから読み取るか、またはローカル マシンにすでに存 在する証明書を使用するかを指定する必要があります。次のいずれか 1 つを実行します。 • 指定されたファイルから ACS が証明書を読み取るように指定するには、Read certificate from file オプションを選択し、証明書ファイルのフル ディレクトリ パスとファイル名を Certificate file ボックスに入力します。 • ローカル マシンの証明書ストレージに保存されている特定の既存証明書を ACS が使用するよ うに指定するには、Use certificate from storage オプションを選択し、証明書 CN(共通名また は対象者名)を Certificate CN ボックスに入力します。 ヒント ステップ 9 証明書 CN だけを入力します。cn= プレフィックスは省略してください。 ACS を使用して要求を生成した場合は、秘密鍵を含むファイルのフル ディレクトリ パスと名前を Private key file ボックスに入力します。 (注) ヒント 証明書を秘密鍵とともにストレージにインストールした場合、秘密鍵ファイルは存在せず、 入力の必要もありません。 この秘密鍵は、サーバ証明書に関連した秘密鍵です。 ステップ 10 Private key password ボックスに、秘密鍵のパスワードを入力します。 ステップ 11 Submit をクリックします。 秘密鍵ファイルがダウンロードされ、Install ACS Certificate ページの Private key ファイル ボックス にファイル名が表示されます。 ヒント ファイル転送中にエラーが発生した場合は、右側のペインにエラーが表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 9-29 第9章 システム設定:認証と証明書 ACS 証明書のセットアップ ステップ 12 Private key password ボックスに、秘密鍵のパスワードを入力します。 ヒント ACS を使用して証明書署名要求を生成した場合、このパスワードは、Generate Certificate Signing Request ページの Private key password として入力したものと同じ値です。秘密鍵 ファイルが暗号化されていない場合、このボックスは空欄のままにします。 ステップ 13 Submit をクリックします。 次の情報を含む Installed Certificate Information テーブルが表示され、証明書のセットアップが完了 します。 • Issued to: certificate subject • Issued by: CA common name • Valid from: • Valid to: • Validity: 認証局証明書の追加 この手順では、新しい CA 証明書を ACS のローカル証明書ストレージに追加します。 (注) クライアントと ACS が同じ CA から証明書を入手する場合、ACS は証明書を発行した CA を自動 的に信頼するため、この手順を実行する必要はありません。 ユーザ証明書が未知の CA(ACS を証明しているものとは別の CA)から発行されたものである場 合は、その CA を信頼するように ACS を設定する必要があります。設定しない場合は、認証は失敗 します。この手順を実行して CA を追加し、信頼関係を明示的に拡張するまで、ACS は自分の証明 書を発行した CA からの証明書しか認識しません。 特定の CA を信頼するように ACS を設定するプロセスは、2 つのステップ、つまり、CA 証明書を 追加するこの手順と、特定の CA を信頼するように指定する手順(P.9-32 の「証明書信頼リストの 編集」を参照)で構成されます。(ACS ではよく使用される CA のリストがあらかじめ設定されて いますが、信頼に値することを明示的に指定するまでは、いずれもイネーブルになっていません)。 認証局証明書をローカル ストレージに追加するには、次の手順を実行します。 ACS for Windows ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 ACS Certificate Setup をクリックします。 ステップ 3 ACS Certification Authority Setup をクリックします。 Certification Authorities Setup ページに CA Operations テーブルが表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド 9-30 OL-14386-01-J 第9章 システム設定:認証と証明書 ACS 証明書のセットアップ ステップ 4 CA certificate file ボックスに、使用する証明書のフル パスとファイル名を入力します。 ステップ 5 Submit をクリックします。 新しい CA 証明書が、ローカル証明書ストレージに追加されます。そして、証明書を発行した CA の名前が、まだ CTL に記載されていない場合は、記載されます。 ヒント この新しい CA 証明書を使用してユーザを認証するには、証明書信頼リストを編集して、 この CA が信頼できることを指定する必要があります。詳細については、P.9-32 の「証明 書信頼リストの編集」を参照してください。 ACS SE (注) CA 証明書は FTP サーバからダウンロードする必要があります。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 ACS Certificate Setup をクリックします。 ステップ 3 ACS Certification Authority Setup をクリックします。 Certification Authorities Setup ページに CA Operations テーブルが表示されます。 ステップ 4 FTP サーバから証明書をダウンロードするには、次の手順を実行します。 a. FTP の IP アドレスを入力します。 b. 証明書がある場所のパスを入力します。 c. サーバにログインしてパスワードを入力します。 d. ディレクトリの格納場所から証明書ファイルをダウンロードします。 ステップ 5 CA certificate file ボックスに、使用する証明書のフル パスとファイル名を入力します。 ステップ 6 Submit をクリックします。 秘密鍵ファイルがダウンロードされて、Install ACS Certificate ページの Private key ファイル ボック スにファイル名が表示されます。 ヒント ステップ 7 ファイル転送中にエラーが発生した場合は、右側のペインにエラーが表示されます。 Private key password ボックスに、秘密鍵のパスワードを入力します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 9-31 第9章 システム設定:認証と証明書 ACS 証明書のセットアップ ステップ 8 Submit をクリックします。 新しい CA 証明書が、ローカル証明書ストレージに追加されます。そして、証明書を発行した CA の名前が、まだ CTL に記載されていない場合は、記載されます。 ヒント この新しい CA 証明書を使用してユーザを認証するには、証明書信頼リストを編集して、 この CA が信頼できることを指定する必要があります。詳細については、P.9-32 の「証明 書信頼リストの編集」を参照してください。 証明書信頼リストの編集 ACS は、CTL を使用してクライアント証明書を確認します。ACS が CA を信頼するためには、そ の CA の証明書を ACS にインストールし、ACS 管理者が CTL を編集して、その CA を信頼できる と明示的に設定する必要があります。ACS サーバ証明書を置換し、CTL を消去した場合は、ACS サーバ証明書をインストールまたは置換するたびに、CTL を明示的に設定する必要があります。 (注) クライアントと ACS が同じ CA から証明書を取得する場合に限り、CA を信頼するように明示的に 指定する作業が不要になります。この場合は、証明書を発行した CA を ACS が自動的に信頼する ため、この CA を CTL に追加する必要はありません。 CTL の編集方法によって、信頼モデルのタイプが決まります。多くの場合は限定信頼モデルが採用 されています。限定信頼モデルでは、内密に管理されているごく少数の CA だけが信頼されます。 このモデルではセキュリティが最高レベルになりますが、融通性と拡張性は制限されます。これに 代わるオープンな信頼モデルでは、より多くの CA や周知の CA が許可されます。この場合は、セ キュリティが低くなる代わりに、融通性と拡張性が高くなります。 ACS で CTL を編集する前に、信頼モデルの意味を十分に理解してください。 この手順では、CTL で、CA を信頼できるか信頼できないかとして設定します。CA を信頼できる として CTL で設定するには、その CA をローカルの証明書ストレージに追加しておく必要がありま す。詳細については、P.9-30 の「認証局証明書の追加」を参照してください。ユーザの証明書が、 ACS で信頼できると設定していない CA から発行されている場合、認証は失敗します。 CTL を編集するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 ACS Certificate Setup をクリックします。 ステップ 3 Edit Certificate Trust List をクリックします。 Edit the Certificate Trust List (CTL) テーブルが表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド 9-32 OL-14386-01-J 第9章 システム設定:認証と証明書 ACS 証明書のセットアップ 警告 ステップ 4 自分で管理しない周知の CA を CTL に追加すると、システム セキュリティが低下することがあり ます。 CA を信頼できるとして CTL で設定するには、対応するチェックボックスをオンにします。 ヒント ステップ 5 必要な数の CA をオンまたはオフにできます。CA のチェックボックスをオフにすると、 その CA は信頼できないとして設定されます。 Submit をクリックします。 指定した CA(複数の場合あり)が、チェックボックスのオン / オフの状況に応じて、信頼できる として、または信頼できないとして設定されます。CRL Issuers ページに、選択した証明書信頼リス トが自動的に表示されます。 証明書信頼リストからの証明書の削除 証明書信頼リストから証明書を削除するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 ACS Certificate Setup をクリックします。 ステップ 3 Delete Certificate from Certificate Trust List をクリックします。 ACS が削除可能な証明書信頼リストの一覧を表示します。 ステップ 4 Submit をクリックします。 選択した CA 証明書が、ローカル証明書ストレージから削除されます。 証明書失効リストの管理 証明書失効リスト(CRL)は、認証を求めるユーザが使用している証明書がまだ有効であることを、 それらを発行した CA に従って ACS が判断する手段です。 ここでは、次の項目について説明します。 • 証明書失効リストについて(P.9-34) • 証明書失効リストの設定オプション(P.9-34) • 証明書失効リスト発行元の編集(P.9-36) Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 9-33 第9章 システム設定:認証と証明書 ACS 証明書のセットアップ 証明書失効リストについて デジタル証明書が発行されると、ユーザは通常、事前に設定された期限が切れるまでそれが有効で あると期待します。しかし、さまざまな状況によって、期限が切れる前に証明書が無効になる場合 もあります。そのような状況には、対応する秘密鍵の信頼が損なわれたか、損なわれたおそれがあ る場合や、CA 発行プログラムが変更された場合などが含まれます。このような場合、CRL は、CA が証明書の正当性を無効にして管理者による置換を要求するメカニズムを提供します。 ACS は、X.509 CRL プロファイルを使用して証明書の無効化を実行します。CRL は、署名とタイム スタンプが記されたデータ構造です。これは、CA(または CRL 発行元)によって発行され、パブ リック リポジトリ(LDAP サーバなど)で自由に使用できます。X.509 CRL プロファイルの操作の 詳細については、RFC3280 を参照してください。 ACS の CRL 機能は、次のとおりです。 • Trusted publishers and repositories configuration:ACS Web インターフェイスで、CRL 発行元 とその CRL Distribution Points(CDP; CRL 配布点)および期間を表示して設定することができ ます。 • Retrieval of CRLs from a CDP:ACS は、トランスポート プロトコル(LDAP または HTPP)を 使用して、設定する各 CA の CRL を定期的に取得するよう設定されます。これらの CRL は、 EAP-TLS 認証中に使用するため保存されます。タイムスタンプのメカニズムはありません。 ACS は指定された時間だけ待ってから、自動的に CRL をダウンロードします。新規 CRL が既 存の CRL と異なる場合は、新規バージョンが保存され、ローカル キャッシュに追加されます。 CRL の取得が CSAuth サービスのログに表示されるのは、サービス ログの詳細レベルを full に設定した場合だけです。ACS Web インターフェイスの Certificate Revocation List Issuer edit ページに、最後の取得のステータス、日付、および時刻が表示されます。 (注) 自動 CRL 取得スケジューリングが機能するのは、EAP-TLS がイネーブルである場合だ けです。 • Verification of certificate status:EAP-TLS 認証中、ACS は、ユーザによって示された証明書を、 ユーザの証明書の CA によって発行された対応する CRL に照らして調べます。現在 ACS によっ て保存されている CRL に従って証明書が無効になっている場合、認証は失敗します。 CRL 発行元は、信頼されている CA(つまり、CTL 上の CA)との関連でのみ追加できます。ACS の新規サーバ証明書をインストールすると、使用している CTL がすべての信頼関係からクリアさ れます。CTL の CA は再確立する必要がありますが、前に設定した関連する CRL は残るので、再 設定する必要がありません。 証明書失効リストの設定オプション Certificate Revocation List Issuers edit ページには、次の設定オプションがあります。 • Name:CA 発行元によって与えられた名前。 • Description:この CRL 発行元に関する説明。 • CRL Distribution URL:ACS が CRL の取得に使用する URL。CA 証明書に CRL distribution points パラメータが含まれている場合、このフィールドには自動的にデータが入力されます。 CA 証明書にこのパラメータが含まれていない場合は、Issuer’s Certificate リストから選択した CA に対応する CRL 用の URL を指定してください。HTTP、LDAP、または FTP を使用する URL を指定できます。あるいは、ファイル自体の URL を指定することもできますが、それが 必要になるのは、リポジトリ URL に複数のファイルが示されている場合だけです。 HTTP の URL の例を次に示します。 http://crl.verisign.com/pca1.1.1.crl Cisco Secure ACS Solution Engine ユーザ ガイド 9-34 OL-14386-01-J 第9章 システム設定:認証と証明書 ACS 証明書のセットアップ LDAP の URL の例を次に示します。 ldap://10.36.193.5:388/CN=development-CA,CN=acs-westcoast2,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cisco,DC=com (注) LDAP では、CRL のデフォルトの位置は objectclass=crlDistributionPoint の下です。ACS は、オブジェ クト クラス情報を URL に追加します。CRL が別の場所にある場合は、オブジェクト クラスを URL に追加する必要があります。たとえば、CRL が objectclass=CertificateRevocationList の下にある場合、 URL を ldap://10.36.193.5:388/CN=development-CA,CN=acs-westcoast2,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cisco,DC=com?(objectclass=CertificateRevocationList) と する必要があります。 ヒント • リポジトリに複数のファイルが含まれている場合、URL は CRL 自体を指定する必要があ ります。 Retrieve CRL:ACS は最初に CA から CRL をダウンロードしようとします。CRL が正常にダ ウンロードされた後、インストール ディレクトリに CRL のフォルダおよびファイルが作成さ れます。CRL 発行元は変更できません。CRL ファイルの Next Update フィールドには、次回の アップデート用の値が含まれています。ACS が CRL の取得に使用する方法を選択します。 − Automatically:CRL ファイルの Next Update フィールド内の値を使用して、CA から新しい CRL を取得します。取得に失敗した場合、ACS は最初の失敗から 10 分おきに、成功する まで CRL の取得を試みます。 − Every:取得試行の頻度を指定します。時間間隔を入力します。 (注) 自動 CRL 取得機能を使用する場合は、EAP-TLS をイネーブルにしていることを確認してください。 (注) どちらのモードでも、取得に失敗すると、10 分おきに再試行されます。 • Last Retrieve Date:このエントリには、最後に CRL の取得を実行または試行したときのステー タス、日付、および時刻が示されます。 • Options:期限切れの CRL に照らして証明書をチェックするには、 Ignore Expiration Date チェッ クボックスをオンにします。 Ignore Expiration Date がオフの場合、ACS は、CRL ファイルの Next Update フィールドで CRL の有効期限を調べ、CRL の有効期限が切れていてもその CRL を使用し続けます。有効期限が 切れている場合、CRL は有効でないため、すべての EAP-TLS 認証は拒否されます。 Ignore Expiration Date がオンの場合、ACS は期限切れの CRL を使用し続け、CRL の内容に 従って EAP-TLS 認証を許可または拒否します。 • CRL is in Use:オンの場合、CRL はアクティブで、EAP-TLS 認証プロセスに使用されます。 • Submit:CRL をダウンロードして発行元の公開鍵で確認するには、Submit をクリックします。 矛盾がある場合は CRL Issuer Configuration エラーが生成されます。 送信に成功した場合は、ACS を再起動して新しい設定を適用する必要があります。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 9-35 第9章 システム設定:認証と証明書 ACS 証明書のセットアップ 証明書失効リスト発行元の編集 証明書失効リスト発行元を編集するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 ACS Certificate Setup をクリックします。 ステップ 3 Certificate Revocation Lists をクリックします。 CRL Issuers ページが表示されます。 ステップ 4 編集する CRL 発行元の名前をクリックします。 選択した CRL 発行元の CRL Issuer Edit ページが表示されます。 ステップ 5 変更する必要がある情報と設定を編集します。 ステップ 6 Submit をクリックします。 ACS で、対応する CRL が、編集した発行元の CRL に変更されます(または、Retrieve CRL フィー ルドに指定した時刻に変更されるようにスケジューリングされます)。 ヒント Last Retrieve date ボックスに、最後に取得が試行されたときのステータス、日付、およ び時刻が表示されます。 証明書署名要求の生成 ACS を使用して、Certificate Signing Request(CSR; 証明書署名要求)を生成できます。CSR を生成 したら、それを CA に提出することで証明書を取得できます。後ほど証明書登録ツールで使用する ための CSR を生成するには、この項で説明する手順を実行します。 (注) サーバ証明書をすでに保有している場合は、ACS Certificate Setup ページのこの部分を使用する必要 はありません。 証明書署名要求を生成するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 ACS Certificate Setup を選択し、Generate Certificate Signing Request を選択します。 ACS が Generate Certificate Signing Request ページを表示します。 Cisco Secure ACS Solution Engine ユーザ ガイド 9-36 OL-14386-01-J 第9章 システム設定:認証と証明書 ACS 証明書のセットアップ ステップ 3 Certificate subject ボックスに、CSR の送信先となる CA が要求する証明書フィールドの値を入力し ます。CN フィールドの入力は、必須です。形式は次のようになります。 field=value, field=value,. . . field は CN などのフィールド名、value は acs01primary など、フィールドに適用できる値です。 Certificate subject ボックスには最大 256 文字を入力できます。複数の値はカンマで区切ります。次 に例を示します。 CN=acs01primary, O=WestCoast, C=US, S=California 表 9-3 では、Certificate subject ボックスに組み込むことができる有効なフィールドを定義していま す。 表 9-3 ステップ 4 Certificate Subject のフィールド フィールド フィールド名 最小長 最大長 必須かどうか CN commonName 1 64 Yes OU organizationalUnitName — — No O organizationName — — No S stateOrProvinceName — — No C countryName 2 2 No E emailAddress 0 40 No L localityName — — No Private key file ボックスで、次の手順を実行します。 • ACS for Windows:秘密鍵を保存するファイルのフル ディレクトリ パスと名前(たとえば、 c:\privateKeyFile.pem)を入力します。 • ACS SE:秘密鍵を保存するファイルの名前(たとえば privateKeyFile.pem)だけを入力します。 ステップ 5 Private key password ボックスに、秘密鍵のパスワード(自分で作成したもの)を入力します。 ステップ 6 Retype private key password ボックスに、秘密鍵のパスワードを再入力します。 ステップ 7 Key length リストから、使用する鍵の長さを選択します。 ヒント Key length の選択肢は 512 ビットと 1024 ビットです。デフォルトでより安全な選択肢は 1024 ビットです。 ステップ 8 Digest to sign with リストで、ダイジェスト(またはハッシュ アルゴリズム)を選択します。選択肢 は、MD2、MD5、SHA、および SHA1 です。デフォルト値は SHA1 です。 ステップ 9 Submit をクリックします。 ACS によって、ブラウザの右側に CSR が表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 9-37 第9章 システム設定:認証と証明書 ACS 証明書のセットアップ ステップ 10 任意の CA に CSR を送信します。 CA から証明書を受信した後、P.9-26 の「ACS サーバ証明書のインストール」のステップを実行し ます。 自己署名証明書の使用 ACS を使用して、ACS 管理の PEAP 認証プロトコルまたは HTTPS サポートに使用する自己署名デ ジタル証明書を生成できます。この機能は、CA との連携を必要としない TLS/SSL のプロトコルお よび技術をサポートしています。 ここでは、次の項目について説明します。 • 自己署名証明書について(P.9-38) • 自己署名証明書の設定オプション(P.9-39) • 自己署名証明書の生成(P.9-40) 自己署名証明書について ACS は、PEAP、EAP-FAST、HTTPS など、デジタル証明書の使用を必要とする TLS/SSL 関連のプ ロトコルをサポートしています。自己署名証明書を使用すると、管理者は、ACS 用の証明書を取得 しインストールするために、CA と連携せずに要件を満たすことができます。管理者は、ACS の自 己署名証明書機能を使用して、自己署名デジタル証明書を生成し、それを Web 管理サービスの PEAP および EAP-FAST 認証プロトコルや HTTPS サポートに使用することができます。 自己署名証明書のインストールでは、証明書を取得する際に CA と連携しないことを除き、その他 のデジタル証明書と同じユーザ アクションが必要になります。ACS は自己署名証明書の複製をサ ポートしていませんが、複数の ACS で使用するために証明書をエクスポートすることができます。 ACS for Windows 自己署名証明書の作成をイネーブルにするには、証明書ファイル(.cer 形式)と対応する秘密鍵ファ イル(.pvk 形式)を、他の ACS にコピーします。これにより、通常の方法で証明書をインストール できます。証明書のインストールの詳細については、P.9-26 の「ACS サーバ証明書のインストール」 を参照してください。 ACS SE 自己署名証明書の作成をイネーブルにするには、証明書ファイル(.cer 形式)と対応する秘密鍵ファ イル(.pvk 形式)を転送する FTP サーバを指定する必要があります。他の ACS は FTP サーバから 証明書を取得して、標準的な方法でインストールすることができます。証明書のインストールの詳 細については、P.9-26 の「ACS サーバ証明書のインストール」を参照してください。 プラットフォーム共通 自己署名証明書をクライアントで確実に動作させるには、ご使用のクライアントのマニュアルを参 照してください。場合によっては、特定のクライアントで自己署名サーバ証明書を CA 証明書とし てインポートする必要があります。 Cisco Secure ACS Solution Engine ユーザ ガイド 9-38 OL-14386-01-J 第9章 システム設定:認証と証明書 ACS 証明書のセットアップ 自己署名証明書の設定オプション Generate Self-Signed Certificate edit ページには、次の必須設定フィールドがあります。 • Certificate subject:cn= というプレフィックスが付けられた証明書の件名。これには ACS 名を 使用することをお勧めします。たとえば、cn=ACS11 です。この Certificate subject フィールド には、次のようないくつかのエントリをコンマ区切りの項目として入力できます。 − CN:共通名(必須項目) − OU:組織ユニット名 − O:組織名 − S:州または地域 − E:電子メール アドレス − L:市区町村名 たとえば、Certificate subject フィールドは次のようになります。 cn=ACS 11, O=Acme Enterprises, [email protected] • Certificate file:作成する証明書ファイル。このページを送信すると、ACS は、指定された場所 とファイル名を使用して証明書ファイルを作成します。 − ACS for Windows:ファイルのフル ディレクトリ パスと名前(たとえば、 c:\acs_server_cert\acs_server_cert.cer)を入力します。 − ACS SE:ファイルの名前だけ(たとえば、acs_server_cert.cer)を入力します。 • Private key file:作成する秘密鍵ファイル。このページを送信すると、ACS は、指定された場 所とファイル名を使用して秘密鍵ファイルを作成します。 − ACS for Windows:ファイルのフル ディレクトリ パスと名前(たとえば、 c:\acs_server_cert\acs_server_cert.pvk)を入力します。 − ACS SE:ファイルの名前だけ(たとえば、acs_server_cert.pvk)を入力します。 • Private key password:証明書の秘密鍵のパスワード。秘密鍵のパスワードの最小長は 4 文字、 最大長は 64 文字です。 • Retype private key password:確認のため、秘密鍵のパスワードを再入力します。 • Key length:リストから鍵の長さを選択します。選択肢は、512 ビット、1024 ビット、および 2048 ビットです。 • Digest to sign with:リストから、鍵の暗号化に使用するハッシュ ダイジェストを選択します。 選択肢には、SHA1、SHA、MD2、および MD5 があります。 • Install generated certificate:Submit をクリックしたときに、生成した自己署名証明書が ACS で インストールされるようにするには、このチェックボックスをオンにします。このオプション をオンにした場合は、新しい設定を有効にするため、ページを送信した後に ACS サービスを再 起動する必要があります。このオプションをオフにした場合は、証明書ファイルと秘密鍵ファ イルが生成され保存されますが、ローカル マシン ストレージにはインストールされません。 次のオプションは、ACS SE のみに適用されます。 Generate Self-Signed Certificate edit ページには、証明書ファイルとそれに対応する秘密鍵ファイルを 転送する FTP サーバの指定に使用する必須の設定フィールドもあります。 • FTP Server:証明書ファイルと対応する秘密鍵ファイルが転送される FTP サーバの IP アドレ スまたはホスト名。ホスト名を指定する場合は、DNS がネットワーク上で有効になっており、 シリアル コンソールに正しく設定されている必要があります。 • Login:ACS が FTP サーバにアクセスできるようにする有効なユーザ名。 ヒント Login box は、DOMAIN\username 形式でドメイン修飾ユーザ名を受け入れます。これは、 Microsoft FTP サーバを使用している場合に必要です。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 9-39 第9章 システム設定:認証と証明書 ACS 証明書のセットアップ • Password:Login ボックス内に入力されたユーザ名のパスワードです。 • Remote Directory:ファイルの転送先のディレクトリです。ディレクトリは、FTP ルート ディ レクトリから相対的に指定する必要があります。 自己署名証明書の生成 Generate Self-Signed Certificate ページのフィールドはすべて必須です。フィールドの内容について は、P.9-39 の「自己署名証明書の設定オプション」を参照してください。 自己署名証明書を生成するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 ACS Certificate Setup をクリックします。 ステップ 3 Generate Self-Signed Certificate をクリックします。 Generate Self-Signed Certificate edit ページが表示されます。 ステップ 4 Certificate subject ボックスに、cn=XXXX の形式で証明書の件名を入力します。ここには、その他 の情報も入力できます。詳細については、P.9-39 の「自己署名証明書の設定オプション」を参照し てください。 ステップ 5 Certificate file ボックスに、証明書ファイルのフル パスとファイル名を入力します。 ステップ 6 Private key file ボックスに、秘密鍵ファイルのフル パスとファイル名を入力します。 ステップ 7 Private key password ボックスに、秘密鍵のパスワードを入力します。 ステップ 8 Retype private key password ボックスに、秘密鍵のパスワードを再入力します。 ステップ 9 Key length ボックスで、鍵の長さを選択します。 ステップ 10 Digest to sign with ボックスで、鍵の暗号化に使用するハッシュ ダイジェストを選択します。 ステップ 11 ページの送信時に自己署名証明書をインストールするには、Install generated certificate オプション を選択します。 (注) ヒント Install generated certificate オプションを選択する場合は、新しい設定を有効にするため、こ のフォームの送信後に ACS サービスを再起動する必要があります。 Install generated certificate オプションをオフにした場合は、次のステップで Submit をク リックしたときに証明書ファイルと秘密鍵ファイルが生成され保存されますが、ローカ ル マシン ストレージにはインストールされません。 ステップ 12 ACS SE:FTP Server ボックスに、証明書ファイルと対応する秘密鍵ファイルの転送先になる FTP サーバの IP アドレスまたはホスト名を入力します。 Cisco Secure ACS Solution Engine ユーザ ガイド 9-40 OL-14386-01-J 第9章 システム設定:認証と証明書 ACS 証明書のセットアップ ヒント ホスト名を指定する場合、DNS がネットワーク上で正常に動作している必要があります。 ステップ 13 ACS SE:Login ボックスに、ACS が FTP サーバへのアクセスに使用できる有効なユーザ名を入力 します。 ステップ 14 ACS SE:Password ボックスに、Login ボックスで指定したユーザ名のパスワードを入力します。 ステップ 15 ACS SE:Remote FTP Directory ボックスに、ACS が FTP サーバに証明書ファイルと対応する秘密 鍵ファイルを転送するディレクトリのパスを、FTP サーバのルート ディレクトリからの相対パスで 入力します。 ステップ 16 Submit をクリックします。 指定した証明書ファイルと秘密鍵ファイルが生成され、保存されます。Install generated certificate オプションを選択した場合は、ACS サービスを再起動後に初めて証明書が有効になります。 ACS 証明書のアップデートまたは置換 この手順では、既存の ACS 証明書が古くなった場合または使用できなくなった場合にアップデー トまたは置換します。 注意 この手順を実行すると、既存の ACS 証明書は削除され、CTL 設定は消去されます。 新しい ACS 証明書をインストールするには、次の手順を実行します。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 ACS Certificate Setup をクリックします。 ACS Certificate Setup ページに Installed Certificate Information テーブルが表示されます。 (注) ステップ 3 ACS に証明書が登録されていない場合、Installed Certificate Information テーブルは表示され ません。その代わりに Install new certificate テーブルが表示されます。この場合はステップ 5 に進んでください。 Install New Certificate をクリックします。 確認ダイアログボックスが表示されます。 ステップ 4 新しい証明書を登録することを確認するために、OK をクリックします。 既存の ACS 証明書が削除され、CTL 設定が消去されます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 9-41 第9章 システム設定:認証と証明書 EAP-FAST PAC ファイルの生成(ACS SE) ステップ 5 ここで、代わりの証明書をオリジナルの証明書と同じ方法でインストールできます。詳細な手順に ついては、P.9-26 の「ACS サーバ証明書のインストール」を参照してください。 EAP-FAST PAC ファイルの生成(ACS SE) EAP-FAST PAC Files Generation ページを使用して、手動の PAC プロビジョニング用の PAC ファイ ルを作成できます。 PAC の詳細については、P.9-10 の「EAP-FAST 認証」を参照してください。 ここでは、次の項目について説明します。 • PAC ファイルの生成オプション(P.9-42) • PAC ファイルの生成(P.9-44) PAC ファイルの生成オプション PAC ファイルを生成するときには、次のオプションを使用できます。 • ヒント Specific user:ACS は User Name ボックスに入力したユーザ名の PAC ファイルを生成します。 たとえば、このオプションを選択して User Name ボックスに seaniemop と入力した場合、ACS は seaniemop.pac という名前の PAC ファイルを 1 つ生成します。 DOMAIN\username の形式で、ドメイン修飾されたユーザ名を指定することもできます。たとえば、 ENIGINEERING\augustin と指定すると、ACS によって ENGINEERING_augustin.pac という名前の PAC ファイルが生成されます。 • Users from specific ACS group:ACS は、ACS グループ リストに指定されているユーザ グルー プ内の各ユーザに対して PAC ファイルを生成します。ACS には 0 ∼ 499 の番号が付けられた 500 のグループがあります。たとえば、グループ 7 に、43 人のユーザがいるとします。このオ プションを選択して、ACS グループ リストから グループ 7 を選択すると、ACS は、グループ 7 のメンバーである各ユーザに 1 つずつ、合計 43 の PAC ファイルを生成します。各 PAC ファ イルには、次の形式で名前が付けられます。 username.pac(特定のユーザの名前) (注) 特定のグループ内のユーザに対して PAC ファイルを生成すると、CSAuth サービスが 再起動します。CSAuth が使用できない間、ユーザ認証は行われません。 ヒント 複数のユーザ グループに PAC ファイルを生成するには、各グループに対して別々に PAC ファイル を生成します。たとえば、グループ 7 ∼ 10 のユーザに PAC ファイルを生成するには、PAC ファイ ルを 4 回生成し、それぞれでグループ 7、8、9、10 を指定します。 Cisco Secure ACS Solution Engine ユーザ ガイド 9-42 OL-14386-01-J 第9章 システム設定:認証と証明書 EAP-FAST PAC ファイルの生成(ACS SE) • All users in ACS internal DB:ACS は、ACS 内部データベース内の各ユーザに対して PAC ファ イルを生成します。たとえば、ACS 内部データベースに 3278 人のユーザがいる場合に、この オプションを選択すると、ACS は各ユーザに 1 ファイル、合計 3278 の PAC ファイルを生成し ます。各 PAC ファイルには、次の形式で名前が付けられます。 username.pac (注) ACS 内部データベース内のすべてのユーザに対して PAC ファイルを生成すると、 CSAuth サービスが再起動します。CSAuth が使用できない間、ユーザ認証は行われま せん。 • Users from list:ACS は、指定した FTP サーバから取得したファイルに含まれている各ユーザ 名に対して PAC ファイルを生成します。 ユーザ名のリストには、行ごとに 1 つのユーザ名を入力し、追加のスペースや他の文字は使用 しません。 たとえば、FTP サーバから取得したリストに次のユーザ名が含まれている場合。 seaniemop jwiedman echamberlain ACS は 3 つの PAC ファイル、seaniemop.pac、jwiedman.pac、echamberlain.pac を生成します。 ヒント DOMAIN\username の形式で、ドメイン修飾されたユーザ名を指定することもできます。たとえば、 ENIGINEERING\augustin と指定すると、ACS は ENGINEERING_augustin.pac という名前の PAC ファイルを生成します。 ユーザ名リストを取得するためのオプションは次のとおりです。 − FTP Server:User list file ボックスで指定したファイルがある FTP サーバの IP アドレスま たはホスト名。ホスト名を指定する場合は、DNS がネットワーク上でイネーブルになって おり、ACS SE コンソールに正しく設定されている必要があります。ACS の IP 設定の詳細 については、『Installation and Setup Guide for Cisco Secure ACS Solution Engine』を参照して ください。 − Login:ACS が FTP サーバにアクセスできるようにする有効なユーザ名。 ヒント Login box は、DOMAIN\username 形式でドメイン修飾ユーザ名を受け入れます。これは、Microsoft FTP サーバを使用している場合に必要です。 − Password:Login ボックスにあるユーザ名のパスワード。 − Remote Directory:Users list file ボックス内にあるユーザ名のファイルを含んでいるディレ クトリ。ディレクトリは、FTP ルート ディレクトリから相対的に指定する必要があります。 たとえば、ユーザ名ファイルが、FTP ルート ディレクトリのサブディレクトリである paclist というディレクトリにある場合は、Remote Directory ボックスに paclist と入力します。 ヒント FTP のルート ディレクトリを指定するには、ピリオド、つまり「ドット」(.)を 1 つ入力します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 9-43 第9章 システム設定:認証と証明書 EAP-FAST PAC ファイルの生成(ACS SE) − Users list file:ユーザ名リストのファイル名。たとえば、ユーザ名ファイルの名前が eapfastusers.txt の場合は、User list file ボックスに eapfastusers.txt と入力します。 • Encrypt PAC file(s) with:各 PAC ファイルは、ACS およびエンドユーザ クライアントに既知の デフォルトのパスワードまたはユーザが指定するパスワードを使用して、常に暗号化されま す。PAC ファイルを暗号化することで、不正なユーザが盗んだ PAC ファイルを使用してネッ トワークにアクセスするのを防ぐことができます。デフォルトのパスワードは強力なパスワー ドですが、すべての ACS および EAP-FAST のエンドユーザ クライアントが使用しています。 • ACS およびすべての EAP-FAST エンドユーザ クライアント: (注) パスワードは、デフォルトではなくユーザが指定するパスワードを使用することをお勧 めします。 − Default password:ACS はデフォルトのパスワードを使用して、生成する PAC ファイルを 保護します。 (注) パスワードは、デフォルトではなくユーザが指定するパスワードを使用すること をお勧めします。 − This password:ACS はデフォルトのパスワードではなく、指定したパスワードを使用し て、生成する PAC ファイルを保護します。指定するパスワードは、ACS が保護する PAC が EAP-FAST エンドユーザ クライアントにロードされる場合に必要になります。 PAC パスワードは大文字と小文字を区別して、4 ∼ 128 文字の英数字で指定します。ACS は強力なパスワード規則は適用していませんが、強力なパスワードを使用することをお勧 めします。つまり、PAC パスワードは次のようにする必要があります。 − 非常に長い。 − 大文字と小文字が含まれている。 − 文字の他に数字も含まれている。 − 一般的な単語や名前は含まれていない。 PAC ファイルの生成 ACS に PAC ファイルを生成するように指示を出すたびに、ACS は PACFiles.cab という名前のキャ ビネット ファイルを 1 つ作成します。このファイルは、HTML インターフェイスにアクセスするた めに使用するブラウザからアクセスできる場所にダウンロードします。任意のファイル圧縮ユー ティリティを使用して、PACFiles.cab ファイルから .pac ファイルを抽出します。たとえば、WinZip は、キャビネット ファイルからファイルを抽出できます。 始める前に ACS では、EAP-FAST がイネーブルな場合にのみ PAC ファイルを生成できます。EAP-FAST をイ ネーブルにする方法については、P.9-21 の「EAP-FAST のイネーブル化」を参照してください。 PAC ファイルを生成する対象のユーザを決定します。ユーザをテキスト ファイルで指定する場合 は、テキスト ファイルを作成し、ACS SE からアクセス可能な FTP サーバの FTP ルート ディレク トリの下にあるディレクトリに配置します。ユーザ名リストの使用方法については、P.9-42 の「PAC ファイルの生成オプション」を参照してください。 EAP-FAST PAC Generation ページのオプションについては、P.9-42 の「PAC ファイルの生成オプ ション」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド 9-44 OL-14386-01-J 第9章 システム設定:認証と証明書 EAP-FAST PAC ファイルの生成(ACS SE) PAC ファイルを生成するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 EAP-FAST PAC Files Generation をクリックします。 EAP-FAST PAC Files Generation ページが表示されます。 ステップ 3 4 つあるオプションのいずれかを使用して、ACS が PAC ファイルを生成する対象のユーザを指定 します。オプションの意味の詳細については、P.9-42 の「PAC ファイルの生成オプション」を参照 してください。 (注) ステップ 4 特定のグループの ACS 内部データベース内のすべてのユーザに PAC ファイルを生成する と、CSAuth サービスが再起動します。CSAuth が使用できない間は、ユーザ認証は行われ ません。 Submit をクリックします。 指定したユーザ(複数可)の PAC ファイルの生成が開始されます。Users from list オプションを使 用する場合、ACS はまず指定した FTP サーバからリストを取得します。 EAP-FAST PAC Files Generation ページに、Current PAC CAB ファイルの生成ステータス メッセージ が表示されます。 ステップ 5 Current PAC CAB ファイル生成ステータスに、CAB file generation is in progress と表示されて いる場合は、 Current PAC CAB ファイル生成ステータスに、CAB file is ready と表示されるまで、Refresh を何 回かクリックします。Download を押して、ファイルを取得します。 指定したユーザの数に応じて、PAC ファイルの生成には数秒から数分かかります。 ステップ 6 Current PAC CAB ファイル生成ステータスに、CAB file is ready, Click Download to retrieve the file と表示されたら、download をクリックします。 (注) ファイルのダウンロード オプションは、使用している Web ブラウザによって異なりますが、基本 的な手順は次のようになります。 File Download ダイアログボックスが表示されます。 ステップ 7 File Download ダイアログボックスで、Save をクリックします。 Save As ダイアログボックスが表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 9-45 第9章 システム設定:認証と証明書 EAP-FAST PAC ファイルの生成(ACS SE) ステップ 8 Save As ダイアログボックスを使用して、PACFiles.cab ファイルを保存する場所、およびファイル 名を指定します。次に、Save をクリックします。 ACS が PACFiles.cab ファイルを Web ブラウザに送信し、指定した場所にファイルが保存されます。 ダウンロードが完了すると、Download Complete ダイアログボックスが表示されます。 ステップ 9 PACFiles.cab ファイルの場所を書き留めて、Close をクリックします。 ステップ 10 任意のファイル圧縮ユーティリティを使用して、PACFiles.cab ファイルから PAC ファイルを抽出し ます。 Cisco Secure ACS Solution Engine ユーザ ガイド 9-46 OL-14386-01-J 第9章 システム設定:認証と証明書 Advanced System Configuration ページ リファレンス Advanced System Configuration ページ リファレンス この項では、次のトピックについて取り上げます。 • Global Authentication Setup ページ(P.9-47) • EAP-FAST Configuration ページ(P.9-51) Global Authentication Setup ページ このページで、さまざまな認証プロトコルの設定を指定します。 このページを表示するには、System configuration > Global Authentication Setup を選択します。 フィールド 説明 EAP Configuration PEAP は証明書ベースの認証プロトコルです。認証が行われるのは、ACS Certificate Setup ペー ジで必要な手順を完了した場合に限られます。 PEAP PEAP タイプを選択します。ほとんどの場合、EAP を指定する 3 つのボックスすべてをオン にする必要があります。1 つも選択しない場合、認証に PEAP は許可されません。 Allow EAP-MSCHAPv2 これをオンにして、PEAP クライアントを使って EAP-MS-CHAPv2 認証を試みるように指定 します。 (注) このボックスをオンにすると、ACS は、EAP タイプについてエンドユーザ PEAP ク ライアントとネゴシエートします。 Allow EAP-GTC PEAP クライアントを使用して EAP-GTC 認証を試みるように指定するには、これをオンにし ます。 Allow Posture Validation Network Admission Control(NAC:ネットワーク アドミッション コントロール)クライアン トのポスチャ確認に PEAP を使用できるようにするには、これをオンにします。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 9-47 第9章 システム設定:認証と証明書 Advanced System Configuration ページ リファレンス フィールド 説明 Allow EAP-TLS PEAP クライアントを使用して EAP-TLS 認証を試みるように指定するには、これをオンにし ます。このチェックボックスをオンにする場合、1 つ以上の EAP-TLS 比較方式を選択します。 • Certificate SAN comparison:ACS がユーザ ID を確認する場合に、エンドユーザ証明書 の Subject Alternative Name フィールド内の名前を、該当するユーザ データベース内の ユーザ名と比較するようにするには、このチェックボックスをオンにします。 • Certificate CN comparison:ACS がユーザ ID を確認する場合に、エンドユーザ証明書の Common Name フィールド内の名前を、該当するユーザ データベース内のユーザ名と比 較するようにするには、このチェックボックスをオンにします。 • Certificate Binary comparison:ACS がユーザ ID を確認する場合に、エンドユーザ証明 書と、Active Directory に格納されているユーザ証明書とのバイナリ比較を行うようにす るには、このチェックボックスをオンにします。 複数の比較タイプを選択した場合、ACS はリスト内の順序で比較を実行します。1 つの比較 タイプが失敗すると、ACS はイネーブルになっている次の比較タイプを試みます。試みが 1 つでも成功すると、比較は停止します。 EAP_TLS Session Timeout 値、Cisco クライアント初期メッセージ、PEAP セッション タイム アウトを指定し、Fast Reconnect をイネーブルにするかどうかを示します。 • EAP-TLS session timeout (minutes):EAP-TLS セッションの最大時間を定義する値(分単 位)を入力します。 ACS は、新 し い EAP-TLS 認 証 中 に 作 成 さ れ た TLS セ ッ シ ョ ン を キ ャ ッ シ ュ す る EAP-TLS セッション再開機能をサポートしています。EAP-TLS クライアントが再接続す ると、証明書比較を行わずに、キャッシュされた TLS セッションを使用してセッション が復元されます。これにより EAP-TLS のパフォーマンスが向上します。ACS は、キャッ シュされた TLS セッションがタイムアウトになると、セッションを削除します。ACS ま たはエンドユーザ クライアントを再起動した場合は、セッション タイムアウト間隔に達 していなくても、証明書の比較が必要になります。セッション再開機能をディセーブル にするには、タイムアウト値をゼロ(0)に設定します。 • Cisco client initial message:PEAP 認証中に表示させるメッセージ。PEAP クライアント が最初に表示するメッセージは、Cisco Aeronaut PEAP クライアントのユーザが認証を受 けようとしたときに、最初に目にする指示メッセージです。このメッセージでは、ユー ザが次に行う作業を指示する必要があります。たとえば、Enter your message と指定し ます。メッセージは最大 40 文字です。 • PEAP session timeout (minutes):ユーザに許可する PEAP セッションの最大長(分単位)。 セッション タイムアウト値をゼロ(0)より大きくすれば、PEAP セッション再開機能が イネーブルになります。この機能は、PEAP 認証のフェーズ 1 で作成された TLS セッショ ンをキャッシュします。PEAP クライアントが再接続すると、ACS はキャッシュされた TLS セッションを使用して、セッションを復元します。この結果、PEAP パフォーマンス が向上します。ACS は、キャッシュされた TLS セッションがタイムアウトになると、セッ ションを削除します。デフォルトのタイムアウト値は 120 分です。セッション再開機能 をディセーブルにするには、タイムアウト値をゼロ(0)に設定します。 • Enable Fast Reconnect:このオプションは、MS CHAP のみに関連し、EAP-GTC には適 用されません。MS PEAP 認証のフェーズ 2 を実行せずに MS PEAP クライアントのセッ ションを再開する場合は、このチェックボックスをオンにします。このチェックボック スをオフにすると、PEAP セッションがタイムアウトしていない場合でも、MS PEAP 認 証のフェーズ 2 が実行されます。 高速再接続が実行されるのは、セッションがタイムアウトしていないことを受けて、ACS がセッションを再開できるようにした場合のみです。PEAP session timeout (minutes) ボッ クスにゼロ(0)を入力して PEAP セッション再開機能をディセーブルにした場合、Enable Fast Reconnect チェックボックスをオンにしても、PEAP 認証には影響しません。 Cisco Secure ACS Solution Engine ユーザ ガイド 9-48 OL-14386-01-J 第9章 システム設定:認証と証明書 Advanced System Configuration ページ リファレンス フィールド 説明 EAP-FAST EAP-FAST Configuration:選択すると、 P.9-51 の「EAP-FAST Configuration ページ」 が開きます。 (注) EAP-TLS Configuration ACS を使用して NAC を実装する場合は、各オプションをイネーブルにしてから Submit をクリックします。ページが再表示されたら、EAP-FAST Configuration を選 択して EAP-FAST Settings ページを開きます。 EAP-TLS 認証プロトコルを使用する場合、および EAP-TLS 設定値を設定する場合は、この ボックスをオンにします。エンドユーザ クライアントからの EAP Identity 応答で提示された ユーザ ID を ACS が確認する方法を指定できます。ユーザ ID は、エンドユーザ クライアン トによって提示された証明書の情報に照らして確認されます。この比較は、ACS とエンド ユーザ クライアントとの間に EAP-TLS トンネルが確立された後に行われます。 (注) EAP-TLS は、証明書ベースの認証プロトコルです。EAP-TLS 認証が行われるのは、 ACS Certificate Setup ページで必要な手順を完了した場合に限られます。詳細につい ては、P.9-26 の「ACS サーバ証明書のインストール」を参照してください。 このチェックボックスをオンにして EAP-TLS をイネーブルにする場合、1 つ以上の EAP-TLS 比較方式を選択します。その方式は次のとおりです。 − Certificate SAN comparison:ACS がユーザ ID を確認する場合に、エンドユーザ証明 書の Subject Alternative Name フィールド内の名前を、該当するユーザ データベース 内のユーザ名と比較するようにするには、このチェックボックスをオンにします。 − Certificate CN comparison:ACS がユーザ ID を確認する場合に、エンドユーザ証明 書の Common Name フィールド内の名前を、該当するユーザ データベース内のユー ザ名と比較するようにするには、このチェックボックスをオンにします。 − Certificate Binary comparison:ACS がユーザ ID を確認する場合に、エンドユーザ証 明書と、Active Directory に格納されているユーザ証明書とのバイナリ比較を行うよ うにするには、このチェックボックスをオンにします。 複数の比較タイプを選択した場合、ACS はリスト内の順序で比較を実行します。1 つの 比較タイプが失敗すると、ACS はイネーブルになっている次の比較タイプを試みます。 試みが 1 つでも成功すると、比較は停止します。 EAP_TLS Session Timeout 値、Cisco クライアント初期メッセージ、PEAP セッション タ イムアウトを指定し、Fast Reconnect をイネーブルにするかどうかを示します。 − EAP-TLS session timeout (minutes):EAP-TLS セッションの最大時間を定義する値 (分単位)を入力します。 ACS は、新しい EAP-TLS 認証中に作成された TLS セッションをキャッシュする EAP-TLS セッション再開機能をサポートしています。EAP-TLS クライアントが再接 続すると、証明書比較を行わずに、キャッシュされた TLS セッションを使用してセッ ションが復元されます。これにより EAP-TLS のパフォーマンスが向上します。ACS は、キャッシュされた TLS セッションがタイムアウトになると、セッションを削除 します。ACS またはエンドユーザ クライアントを再起動した場合は、セッション タ イムアウト間隔に達していなくても、証明書比較が必要になります。セッション再 開機能をディセーブルにするには、タイムアウト値をゼロ(0)に設定します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 9-49 第9章 システム設定:認証と証明書 Advanced System Configuration ページ リファレンス フィールド 説明 Select one of the following EAP-TLS 認証ハンドシェイク完了後に、ACS が認証要求を送信するときに使用するユーザ ID options for setting username を指定できます。このオプションは、選択した ID を基にデータベース内のユーザを検索する during authentication. ために使用します。デフォルトでは、EAP-TLS 認証には外部 ID が使用されます。次のオプ ションのいずれかを選択します。 • Use Outer Identity:外部 ID がデータベース内で検索するユーザ名として使用されます。 • Use CN as Identity:証明書名がデータベース内で検索するユーザ名として使用されます。 • Use SAN as Identity:ユーザ証明書の Subject Alternative Name がデータベース内で検索す るユーザ名として使用されます。 (注) LEAP Allow LEAP (For Aironet only) チェックボックスにより、ACS が LEAP 認証を実行するかどう かが制御されます。LEAP は、現時点では、Cisco Aironet ワイヤレス ネットワーキングに対 してのみ使用されます。このオプションをディセーブルにすると、LEAP 認証を実行するよ うに設定された Cisco Aironet エンドユーザ クライアントは、ネットワークにアクセスできな くなります。Cisco Aironet エンドユーザ クライアントすべてが EAP-TLS などの異なる認証プ ロトコルを使用する場合は、このオプションをディセーブルにすることを推奨します。 (注) EAP-MD5 SAN および CN の外部 ID は、EAP TLS マシンの認証には使用できません。 Network Configuration セクションで RADIUS(Cisco Aironet)デバイスとして定義さ れた AAA クライアントを使用してユーザがネットワークにアクセスする場合は、 Global Authentication Setup ページで、LEAP、EAP-TLS、またはその両方をイネーブ ルにする必要があります。これ以外の場合、Cisco Aironet ユーザは認証を受けること ができません。 EAP ベースの Message Digest 5 ハッシュ認証をイネーブルにするには、このチェックボック スをオンにします。 Allow EAP request timeout 指定したタイムアウト値を EAP カンバセーション中に使用するよう Cisco Aironet Access (seconds) Point(AP)に指示するには、このオプションを使用します。指定した値の秒数が経過した後 に、Cisco Aironet AP は、ACS での EAP トランザクションが失われたため再起動する必要が あると想定します。値にゼロ(0)を指定すると、この機能がディセーブルになります。 EAP カンバセーション中、ACS は IETF RADIUS Session-Timeout (27) アトリビュートを使用 して AP EAP request timeout ボックスで定義された値を送信します。 (注) 同じ設定が、Cisco Airespace ワイヤレス LAN コントローラと IOS アクセス ポイント に適用されます。これらのデバイスには、ACS セッション タイムアウト設定を上書 きする設定オプションもあります。 Cisco Secure ACS Solution Engine ユーザ ガイド 9-50 OL-14386-01-J 第9章 システム設定:認証と証明書 Advanced System Configuration ページ リファレンス フィールド 説明 MS-CHAP Configuration RADIUS 認証の場合、ACS は MS-CHAP バージョン 1 と 2 をサポートしています。AAA プロ トコルが RADIUS である場合は、ACS が MS-CHAP を使用してユーザを認証するかどうか、 認証する場合はどのバージョンの MS-CHAP を使用するかを設定できます。 RADIUS ベースの認証で MS-CHAP をイネーブルにするには、使用する MS-CHAP バージョ ンに対応するチェックボックスをオンにします。どちらのバージョンの MS-CHAP も使用で きるようにするには、両方のチェックボックスをオンにします。 RADIUS ベースの認証で MS-CHAP をディセーブルにするには、両方のチェックボックスを オフにします。 (注) TACACS + の場合、ACS は MS-CHAP バージョン 1 だけをサポートしています。 MS-CHAP バージョン 1 に対する TACACS+ サポートは常にイネーブルであり、設定 はできません。 EAP-FAST Configuration ページ このページで、EAP-FAST 認証設定を設定します。 このページを表示するには、System configuration > Global Authentication Setup > EAP-FAST Configuration を選択します。 フィールド 説明 Allow EAP-FAST ACS が EAP-FAST 認証を許可するかどうか。 Active master key TTL マスター キーが新規 PAC の生成に使用される期間。マスター キーが新規 Protected Access Credentials(PAC)の生成に使用される期間の値を入力します。マスター キーに定義され ている存続可能時間(TTL)が満了すると、マスター キーは非アクティブであると見なさ れ、新規マスター キーが生成されます。デフォルトのマスター キー TTL は 1 ヶ月です。 マスター キーは、マスター キー TTL と非アクティブ マスター キー TTL の合計よりも古 くなると期限切れになるので、マスター キー TTL を少なくすると、非アクティブ マス ター キーが期限切れになりやすくなります。そのため、マスター キー TTL を少なくする と、新しく期限切れになったマスター キーに基づく PAC を持つエンドユーザ クライアン トに対して PAC プロビジョニングが必要になります。マスター キーの詳細については、 P.9-12 の「マスター キーについて」を参照してください。 Retired master key TTL 非アクティブ マスター キーを使用して生成された PAC が EAP-FAST 認証で受け入れられ る期間の値を入力します。エンドユーザ クライアントが非アクティブ マスター キーに基 づく PAC を使用してネットワークにアクセスすると、 ACS は新規 PAC をエンドユーザ ク ライアントに送信します。デフォルトの非アクティブ マスター キー TTL は 3 ヶ月です。 (注) 非アクティブ マスター キー TTL を減らすと、非アクティブ マスター キーが期限 切れになる場合があります。そのため、非アクティブ マスター キー TTL を減ら すと、新たに期限切れになったマスター キーに基づく PAC を持つエンドユーザ クライアントは、PAC プロビジョニングが必要になります。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 9-51 第9章 システム設定:認証と証明書 Advanced System Configuration ページ リファレンス フィールド 説明 Tunnel PAC TTL PAC が期限切れになり置換する必要が生じるまでの PAC の使用期間。PAC が期限切れに なり置換する必要が生じるまでの PAC の使用期間の値を入力します。トンネル PAC の生 成に使用されたマスター キーが期限切れになっていなければ、新規 PAC の作成と割り当 ては自動的に行われます。トンネル PAC の生成に使用されたマスター キーが期限切れに なっている場合は、自動または手動のプロビジョニングを使用してエンドユーザ クライア ントに新規 PAC を提供する必要があります。 PAC の詳細については、P.9-14 の「PAC について」を参照してください。 Client initial display message EAP-FAST クライアントで認証されたユーザに送信するメッセージを指定します。最大長 は 40 文字です。ユーザに初期メッセージが示されるのは、エンドユーザ クライアントが その表示をサポートしている場合だけです。 Authority ID Info この ACS サーバに関する説明のテキストであり、エンド ユーザは、このテキストを使用 して、認証を受ける ACS サーバを特定できます。このフィールドの入力は必須です。 Allow full TLS renegotiation in このチェックボックスをオンにしている場合、PAC が無効なために SSL トンネルの確立 case of Invalid PAC が失敗したことを ACS が検出すると、完全な TLS 再ネゴシエーションにフォールバック します。 Allow anonymous in-band PAC provisioning ACS が、EAP-FAST フェーズ 0 を使用してエンドユーザ クライアントに PAC をプロビ ジョニングします。このチェックボックスをオンにすると、ACS は、エンドユーザ クラ イアントに新規 PAC を提供するために、そのクライアントとの安全な接続を確立します。 Enable anonymous TLS renegotiation このオプションでは、エンドユーザ クライアントと ACS の間で匿名の TLS ハンドシェイ クが可能になります。フェーズ 0 の内部方式として EAP-MS-CHAP だけが使用されます。 Allow authenticated in-band PAC provisioning ACS が、SSL サーバ側の認証とともに EAP-FAST フェーズ 0 を使用してエンドユーザ ク ライアントに PAC をプロビジョニングします。このオプションを選択する場合は、ACS にサーバ証明書と信頼できるルート CA がインストールされている必要があります。許可 されている内部方式の 1 つがユーザの認証に使用されます。 さらに、クライアントがその証明書をサーバに送信することにより、相互 TLS 認証を実行 できます。この場合、ACS は内部方式をスキップして PAC をプロビジョニングします。 Accept client on authenticated provisioning このオプションは、Allow authenticated in-band PAC provisioning オプションが選択されてい る 場 合 に だ け 使 用 で き ま す。サ ー バ が プ ロ ビ ジ ョ ニ ン グ フ ェ ー ズ の 終 わ り に 必 ず Access-Reject を送信するため、クライアントはトンネル PAC を使用して再認証を受ける 必要があります。このオプションでは、ACS がプロビジョニング フェーズの終わりにク ライアントに Access-Accept を送信できます。 Require client certificate for provisioning 証明書に基づく PAC プロビジョニングだけを許可します。PAC プロビジョニング用の他 の内部 EAP 方式は許可されません。最初の TLS ハンドシェイク中にクライアントが証明 書を提示しない場合、サーバは TLS 再ネゴシエーションを開始します。再ネゴシエーショ ンで、クライアントは、新しい TLS ハンドシェイクを開始するよう要求されます。最初の ハンドシェイクでネゴシエートされた暗号方式により、新しいハンドシェイクが保護され ます。2 番目の TLS ハンドシェイク中に、サーバはクライアントの証明書を要求します。 証明書が送信されない場合、ハンドシェイクは失敗し、ユーザはアクセスを拒否されます。 When receiving client certificate, select one of the following lookup methods: 複数の比較タイプを選択した場合、ACS はリスト内の順序で比較を実行します。1 つの比 較タイプが失敗すると、ACS はイネーブルになっている次の比較タイプを試みます。試み が 1 つでも成功すると、比較は停止します。次の 2 つのタイプの比較があります。 • Certificate SAN comparison:エンドユーザ証明書の Subject Alternative Name フィール ド内の名前を、該当するユーザ データベース内のユーザ名と比較してユーザ ID を確 認するには、このチェックボックスをオンにします。 • Certificate CN comparison:エンドユーザ証明書の Common Name フィールド内の名前 を、該当するユーザ データベース内のユーザ名と比較してユーザ ID を確認するには、 このチェックボックスをオンにします。 Cisco Secure ACS Solution Engine ユーザ ガイド 9-52 OL-14386-01-J 第9章 システム設定:認証と証明書 Advanced System Configuration ページ リファレンス フィールド 説明 Allow Machine Authentication ACS が、エンドユーザ クライアントにマシン PAC をプロビジョニングし、マシン認証を 実行します(マシン クレデンシャルを持たないエンドユーザ クライアントの場合)。マシ ン PAC は、要求(インバンド)によって、または管理者(アウトオブバンド)によって、 クライアントにプロビジョニングできます。ACS がエンドユーザ クライアントから有効 なマシン PAC を受信すると、その PAC からマシン ID の詳細が抽出され、ACS データベー スまたは外部データベースで確認されます。その詳細が正しいことが確認されると、その 後の認証は実行されません。 (注) Machine PAC TTL Required チェックボックスまたは Posture Only チェックボックスがオンになって いる場合は、マシン認証の実行後、ACS はポスチャ クレデンシャルも要求します。 マシン PAC を使用するために受け入れることができる期間の値を入力します。ACS は、 期限切れのマシン PAC を受け取ると、 (エンドユーザ クライアントからの新規マシン PAC 要求を待たずに)エンドユーザ クライアントに新規マシン PAC を自動的に再プロビジョ ニングします。 Allow Stateless session resume 次の場合は、このオプションをオフにします。 • ACS が EAP-FAST クライアントに認可 PAC をプロビジョニングしないようにする場 合 • EAP-FAST のフェーズ 2 を常に実行する場合 Authorization PAC TTL このオプションにより、ユーザ認可 PAC の有効期限が決まります。ACS が期限切れの認 可 PAC を 受 信 す る と、Allow Stateless session resume が 失 敗 す る た め、フ ェ ー ズ 2 の EAP-FAST 認証が実行されます。 Allowed inner methods このオプションにより、EAP-FAST TLS トンネル内で実行できる内部 EAP 方式が決まり ます。匿名インバンド プロビジョニングを実行する場合は、下位互換性を確保するために EAP-GTC と EAP-MS-CHAP をイネーブルにする必要があります。 Allow anonymous in-band PAC provisioning を選択した場合は、EAP-MS-CHAP(フェーズ 0)および EAP-GTC(フェー ズ 2)を選択する必要があります。Allow authenticated in-band PAC provisioning を選択した 場合は、認証フェーズの内部方式をネゴシエートできます(デフォルトでは、フェーズ 0 で EAP-GTC が使用されます)。次の内部方式のうち、1 つまたは複数を選択します。 • EAP-GTC:EAP FAST 認証で EAP-GTC をイネーブルにするには、このボックスをオ ンにします。 • EAP-MS-CHAPv2:EAP FAST 認証で EAP-MS-CHAPv2 をイネーブルにするには、こ のボックスをオンにします。 • EAP-TLS:EAP FAST 認証で EAP-TLS をイネーブルにするには、このボックスをオ ンにします。 (注) ACS は必ず、最初にイネーブルになった EAP 方式を実行します。たとえば、 EAP-GTC と EAP-MS-CHAPv2 を選択する場合、最初にイネーブルになる EAP 方 式は EAP-GTC です。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 9-53 第9章 システム設定:認証と証明書 Advanced System Configuration ページ リファレンス フィールド 説明 Choose one or more of the following EAP-TLS comparison methods: 複数の比較タイプを選択した場合、ACS はリスト内の順序で比較を実行します。1 つの比 較タイプが失敗すると、ACS はイネーブルになっている次の比較タイプを試みます。試み が 1 つでも成功すると、比較は停止します。次の 2 つのタイプの比較があります。 EAP-TLS session timeout (minutes) • Certificate SAN comparison:エンドユーザ証明書の Subject Alternative Name フィール ド内の名前を、該当するユーザ データベース内のユーザ名と比較してユーザ ID を確 認するには、このチェックボックスをオンにします。 • Certificate CN comparison:エンドユーザ証明書の Common Name フィールド内の名前 を、該当するユーザ データベース内のユーザ名と比較してユーザ ID を確認するには、 このチェックボックスをオンにします。 • Certificate Binary comparison:エンドユーザ証明書と、Active Directory に格納されて いるユーザ証明書とのバイナリ比較を行ってユーザ ID を確認するには、このチェッ クボックスをオンにします。 EAP-TLS session timeout (minutes):EAP-TLS セッションの最大時間を定義する値(分単位) を入力します。 ACS は、新しい EAP-TLS 認証中に作成された TLS セッションをキャッシュする EAP-TLS セッション再開機能をサポートしています。EAP-TLS クライアントが再接続すると、証明 書比較を行わずに、キャッシュされた TLS セッションを使用してセッションが復元されま す。これにより EAP-TLS のパフォーマンスが向上します。ACS は、キャッシュされた TLS セッションがタイムアウトになると、セッションを削除します。ACS またはエンドユーザ クライアントを再起動した場合は、セッション タイムアウト間隔に達していなくても、証 明書の比較が必要になります。セッション再開機能をディセーブルにするには、タイムア ウト値をゼロ(0)に設定します。 EAP-FAST Master Server このチェックボックスをオンにすると、ACS は独自のマスター キーを作成し、独自の EAP-FAST 設定と認証局 ID を使用します。このチェックボックスをオフにすると、ACS は、複製された別の(スレーブまたは複製)ACS から受信した EAP-FAST 設定、マスター キー、および認証局 ID を使用します。この設定を変更する場合は、Submit + Apply をク リックします。 Actual EAP-FAST server status このオプションにより、ACS の状態が表示されます。EAP-FAST Master Server チェック ボックスをオフにした場合、ACS が複製 EAP-FAST 設定を受信するまで、サーバの状態 は Slave に変わりません。 (注) EAP-FAST Master Server チェックボックスをオフにした場合、EAP-FAST サーバの 状態は、ACS が複製 EAP-FAST コンポーネントを受信するまで Master のままに なります。 Cisco Secure ACS Solution Engine ユーザ ガイド 9-54 OL-14386-01-J C H A P T E R 10 ログとレポート Cisco Secure Access Control Server Release 4.2(以降は ACS と表記)は、さまざまなログを生成しま す。それらのログの多くは、ダウンロードしたり、ACS Web インターフェイスで HTML レポート として表示したりすることができます。 次のトピックでは、ACS ログとレポートの設定および表示方法を説明します。 • ACS ログとレポートについて(P.10-2) • ACS ログの設定(P.10-23) • レポートの表示とダウンロード(P.10-33) • アカウンティング ログでのアップデート パケット(P.10-40) • Logging Configuration ページのリファレンス(P.10-41) • Service Control ページのリファレンス(P.10-47) • Reports ページのリファレンス(P.10-48) Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 10-1 第 10 章 ログとレポート ACS ログとレポートについて ACS ログとレポートについて ACS は、ユーザおよびシステムのさまざまなアクティビティを、異なる形式で異なるターゲットに 記録します。次のトピックでは、ログに記録できる情報について説明します。 • AAA 関連ログ(P.10-2) • ACS 監査ログ(P.10-5) • ACS ロギングの形式とターゲット(P.10-6) • ダイナミック管理レポート(P.10-12) • エンタイトルメント レポート(P.10-12) • サービス ログ(P.10-13) AAA 関連ログ AAA 関連の各ログには、ユーザによるリモート アクセス サービスの利用に関する情報が格納され ます。表 10-1 に、すべての AAA 関連ログの説明を示します。 適切な権限があれば、Web インターフェイスで AAA 関連ログのイネーブル化、設定、および表示 を行うことができます。 表 10-1 AAA 関連ログの説明 ログ 説明 TACACS+ Accounting 次の情報を格納します。 • ユーザ セッションの開始時刻と停止時刻 • ユーザ名付き AAA クライアント メッセージ • Caller Line Identification(CLID; 発信番号識別) • セッション継続時間 TACACS+ Administration AAA クライアントで TACACS+ (Cisco IOS) を使用して入力された設定コマンドを記録しま す。特に、コマンド認可の実行に ACS を使用している場合は、このログを使用することを推 奨します。 (注) TACACS+ Administration ログを使用するには、コマンド アカウンティングの実行時に ACS を使用するように TACACS+ AAA クライアントを設定する必要があります。ア クセス サーバまたはルータの設定のファイルには、次の行が含まれている必要があり ます。 aaa accounting commands start-stop tacacs+ RADIUS Accounting 次の情報を格納します。 • ユーザ セッションの開始時刻と停止時刻 • ユーザ名付き AAA クライアント メッセージ • 発信者番号識別情報 • セッション継続時間 Voice over IP(VoIP)に対するアカウンティング情報を、RADIUS アカウンティング ログまた は個別の VoIP アカウンティング ログ、あるいはその両方のログに格納するように ACS を設 定できます。 Cisco Secure ACS Solution Engine ユーザ ガイド 10-2 OL-14386-01-J 第 10 章 ログとレポート ACS ログとレポートについて 表 10-1 AAA 関連ログの説明(続き) ログ 説明 VoIP Accounting 次の情報を格納します。 • VoIP セッションの停止時刻と開始時刻 • ユーザ名付き AAA クライアント メッセージ • CLID 情報 • VoIP セッション継続時間 • cisco-av-pair アトリビュート情報 VoIP に対するアカウンティング情報を、この個別の VoIP アカウンティング ログまたは RADIUS アカウンティング ログ、あるいはその両方のログに格納するように ACS を設定でき ます。 認証と認可の失敗を、それらの原因とともに記録します。ポスチャ確認要求について、このロ グは、Healthy 以外のポスチャ トークンを返すポスチャ確認の結果を記録します。 Failed Attempts 期限満了情報に従って数回の試行失敗が有効になっている場合は、これらのレポートを使用し て、アカウントを無効にしたユーザを見つけることができます。また、侵入の試行について調 査を行うことができ、トラブルシューティングでは有用なツールとなります。 成功した認証要求を記録します。このログは、AAA クライアントからのアカウンティング パ ケットに依存していないため、AAA クライアントが RADIUS アカウンティングをサポートし ていない場合、または AAA クライアント上のアカウンティングをディセーブルにした場合で も使用できます。ポスチャ確認要求について、このログは、SPT が生成されたすべてのポス チャ確認要求の結果を記録します。 Passed Authentications ロギング アトリビュート 情報は、ロギング アトリビュートのセットとしてログに記録されます。次のアトリビュートがあり ます。 • シスコ汎用。 • RADIUS 汎用:これらのアトリビュートの詳細については、付録 B「RADIUS アトリビュート」 を参照してください。 • TACACS 汎用:これらのアトリビュートの詳細については、付録 A「TACACS+ の AV ペア」 を参照してください。 • ACS 固有:ACS に固有のその他の監査ログのアトリビュートについては、表 10-17 を参照して ください。 ログに ACS が記録できる多数のアトリビュートの中には、特に重要なものがいくつかあります。次 のリストでは、ACS が提供する特別なロギング アトリビュートを説明します。 • User Attributes:これらのロギング アトリビュートは、すべてのログ設定ページの Attributes リ ストに表示されます。ACS では、これらのアトリビュートは、Real Name、Description、User Field 3、User Field 4、User Field 5 などのデフォルト名を使用してリストに表示されます。ユー ザ定義アトリビュートの名前を変更しても、新しい名前ではなくデフォルト名が Attributes リ ストに表示されます。 ユーザ アカウントの対応するフィールドに入力する値によって、これらのアトリビュートの内 容が決まります。ユーザ アトリビュートの詳細については、P.2-6 の「ユーザ データのカスタ マイズ」を参照してください。 • ExtDB Info:外部ユーザ データベースを使用してユーザが認証されるときに、外部ユーザ デー タベースの返す値がこのアトリビュートに格納されます。Windows ユーザ データベースの場 合、このアトリビュートには、ユーザを認証したドメインの名前が格納されます。 Failed Attempts ログのエントリでは、このアトリビュートには、最後に正常にユーザを認証し たデータベースが格納されます。ユーザの認証に失敗したデータベースは示されません。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 10-3 第 10 章 ログとレポート ACS ログとレポートについて • Access Device:ACS にロギング データを送信する AAA クライアントの名前です。 • Network Device Group:アクセス デバイス(AAA クライアント)が属するネットワーク デバ イス グループです。 • Filter Information:ユーザに適用されたネットワークアクセス制限(NAR)の結果です(適用 された場合)。このフィールド内のメッセージには、適用されたすべての NAR がユーザ アクセ スを許可したか、適用されたすべての NAR がユーザ アクセスを拒否したか、または、どの NAR がユーザ アクセスを拒否したかが示されます。 NAR がユーザに適用されていない場合は、 このロギング アトリビュートには、NAR が適用されていないことが表示されます。 Filter Information アトリビュートは、Passed Authentication ログおよび Failed Attempts ログに使 用できます。 • Device Command Set:コマンド認可要求を満たすために使用されたデバイス コマンド セット の名前です(使用された場合)。 Device Command Set アトリビュートは、Failed Attempts ログに使用できます。 • Bypass info:MAC 認証バイパス機能についての情報です。このフィールドのメッセージは、 MAC アドレスが検出されたかどうかを示します。 Bypass info アトリビュートは、Failed Attempts ログと Passed Authentications ログで使用できま す。 • Remote Logging Result:リモート ロギング サービスが、転送されたアカウンティング パケッ トを正常に処理したかどうかを示します。このアトリビュートは、中央ロギング サービスに よってロギングされなかったアカウンティング パケットがある場合、そのパケットを特定する ために役立ちます。これは、リモート ロギング サービスからの確認メッセージの受信に依存 します。確認メッセージは、リモート ロギング サービスが、その設定に従ってアカウンティ ング パケットを正常に処理したことを示します。値 Remote-logging-successful は、リモート ロギング サービスがアカウンティング パケットを正常に処理したことを示します。 値 Remote-logging-failed は、リモート ロギング サービスがアカウンティング パケットを正 常に処理しなかったことを示します。 (注) ACS は、リモート ロギング サービスに設定されている、転送したアカウンティング パ ケットの処理方法を判断できません。たとえば、アカウンティング パケットを破棄す るようにリモート ロギング サービスが設定されている場合、そのサービスは転送され たアカウンティング パケットを破棄し、確認メッセージを送信して ACS に応答します。 ACS は、このメッセージを受け取ると、アカウント パケットを記録するローカル ログ で、Remote Logging Result アトリビュートに値 Remote-logging-successful を書き込み ます。 • ポスチャ確認ロギング アトリビュート: − Application-Posture-Token:ポスチャ確認要求中に特定のポリシーが返す Application Posture Token(APT; アプリケーション ポスチャ トークン) 。このアトリビュートは、Passed Authentications ログと Failed Attempts ログでのみ使用できます。 − System-Posture-Token:ポスチャ確認要求中に特定のポリシーが返す System Posture Token (SPC; システム ポスチャ トークン)。このアトリビュートは、Passed Authentications ログと Failed Attempts ログでのみ使用できます。 − その他のポスチャ確認アトリビュート:ポスチャ確認要求中に NAC クライアントが ACS に送信するアトリビュート。これらのアトリビュートは、ベンダー名、アプリケーション 名、およびアトリビュート名で一意に識別されます。たとえば、NAI:AV:DAT-Date アトリ ビュートは、Network Associates, Inc. のアンチウイルス アプリケーションの NAC クライア ントにある DAT ファイルの日付情報を含むアトリビュートです。これらのアトリビュート は、Passed Authentications ログと Failed Attempts ログに限り使用できます。 Cisco Secure ACS Solution Engine ユーザ ガイド 10-4 OL-14386-01-J 第 10 章 ログとレポート ACS ログとレポートについて Passed Authentications ログおよび Failed Attempts ログにポスチャ確認アトリビュートを記録で きます。受信アトリビュートはすべてログに使用できます。ログに記録できる送信アトリ ビュートは、Application-Posture-Assessment と System-Posture-Assessment の 2 つだけで す。 SPT を生成するすべてのポスチャ確認要求は、システム ポスチャ アセスメントとも呼ばれ、 Passed Authentications ログに記録されます。Healthy 以外の SPT を生成するポスチャ確認要求 は、Failed Attemps ログに記録されます。ポスチャ トークンの詳細については、P.13-4 の「ポ スチャ トークン」を参照してください。 HCAP エラーの Authen-Failure-Code アトリビュート: • Host Credentials Authorization Protocol(HCAP)が 失 敗 す る と、Failed Attempts レ ポ ー ト の Authen-Failure-Code アトリビュート エントリが次のいずれかのエラーを表示することがあ ります。 − Version failure - Could not communicate with external policy server - wrong HCAP version − Connection failure - Could not open a connection to external policy server − Authentication failure - Could not communicate with external policy server authentication failure − Timeout error - Could not connect to external policy server - timeout error − Other - Posture Validation Failure on External Policy 関連項目 • ACS ログの設定(P.10-23) • CSV レポートの表示とダウンロード(P.10-33) ACS 監査ログ 監査ログには、ACS システムとアクティビティについての情報が含まれるため、システム関連イベ ントが記録されます。システム ログは、トラブルシューティングや監査に役立ちます。カンマ区切 り形式(CSV)の監査ログは常にイネーブルになっています。ユーザは、他のロガーに対して監査 ログをイネーブルまたはディセーブルにすることができます。監査ログの内容は設定できません。 監査ログは、管理者が各ユーザに行った実際の変更を表示します。ACS 監査ログには、所定のユー ザの変更されたアトリビュートがすべて一覧表示されます。監査ログの 95 個のアトリビュートの 一覧については、P.10-50 の「監査ログのアトリビュート」を参照してください。 表 10-2 に、各監査ログの説明を示します。 表 10-2 監査ログの説明 ログ 説明および関連項目 ACS Backup and Restore ACS システム情報がバックアップおよび復元された日時とアクションが正常に実行されたか どうかを一覧表示します。 スケジュールまたはバックアップファイルと復元ファイルの場所の変更については、P.7-10 の 「ACS バックアップ」と P.7-17 の「ACS システムの復元」を参照してください。 RDBMS Syncronization RDBMS データベースが同期化された時刻、および同期が手動によるものかスケジュールされ たものかどうかを一覧表示します。 RDBMS 同期化スケジュールの変更については、P.8-19 の「RDBMS 同期化」を参照してくださ い。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 10-5 第 10 章 ログとレポート ACS ログとレポートについて 表 10-2 監査ログの説明(続き) ログ 説明および関連項目 Database Replication ACS 内部データベースがバックアップ サーバに複製された時刻、およびその複製が手動による ものかスケジュールされたものかを一覧表示します。 データベースの複製スケジュールの変更については、P.8-2 の「ACS 内部データベースの複製」 を参照してください。 Administration Audit ユーザの追加、グループの編集、AAA クライアントの設定、またはレポートの表示など、各シ ステム管理者の行ったアクションを記録します。 User Password Changes パスワードの変更に使用された方式に関係なく、ユーザによって実行されたユーザ パスワード 変更を記録します。したがってこのログには、TACACS+ を使用するネットワーク デバイス上 で、ACS Authentication Agent、User Changeable Password Web インターフェイス、または Telnet セッションによって行われたパスワード変更のレコードが含まれます。このログには、ACS Web インターフェイスで管理者が実行するパスワード変更は記録されません。 ACS Service Monitoring ACS サービスの開始時刻と停止時刻を記録します。 Appliance Administration ログイン、ログアウト、コマンドの実行などのシリアル コンソールの管理者アクティビティを Audit 一覧表示します。 関連項目 • ACS ログの設定(P.10-23) • CSV レポートの表示とダウンロード(P.10-33) ACS ロギングの形式とターゲット ACS のロガーは、AAA 関連ログと監査ログを、異なる形式で、異なるターゲットに記録するため のロギング インターフェイスを提供します。次のロガーを使用できます。 • CSV ロガー(P.10-6) • syslog ロガー(P.10-7) • ODBC ロガー(ACS for Windows のみ) (P.10-9) • ACS for Windows のリモート ロギング(P.10-10) • ACS リモート エージェントによる ACS SE のリモート ロギング(P.10-11) ACS を設定して、複数のロガーに情報を記録することができます。ログ設定の詳細については、 P.10-23 の「ACS ログの設定」を参照してください。 アカウンティング ログにクリティカル ロガーを設定して、これらのログが少なくとも 1 つのロガー に確実に配信されるようにできます。詳細については、P.10-23 の「クリティカル ロガーの設定」 を参照してください。 CSV ロガー CSV ロガーは、カンマ(,)で区切られたカラム単位でロギング アトリビュートのデータを記録し ます。この形式のファイルは、Microsoft Excel や Microsoft Access など、さまざまなサードパーティ 製アプリケーションに簡単にインポートできます。このようなサードパーティ製アプリケーション に CSV ファイルのデータをインポートすると、グラフを作成したり、クエリーを実行したりする ことにより、所定の期間にユーザがネットワークにログインしていた時間を確認することができま す。Microsoft Excel などのサードパーティ製アプリケーションでの CSV ファイルの使用方法につい ては、サードパーティ ベンダーから供給されるマニュアルを参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド 10-6 OL-14386-01-J 第 10 章 ログとレポート ACS ログとレポートについて ヒント たとえば、Word や Excel などのプログラムにインポートする場合など、言語やロケールによっては CSV ファイルを正しく処理できないことがあります。必要に応じて、カンマ(,)をセミコロン(;) に置き換えてください。 ACS サーバのハード ドライブにある CSV ファイルにアクセスするか、Web インターフェイスから CSV ファイルをダウンロードすることができます。 CSV ログ ファイルの場所 デフォルトでは、ACS は、ログに固有なディレクトリにログ ファイルを保存します。CSV ログの ログ ファイルの場所は設定することができます。すべてのログのデフォルト ディレクトリは、 sysdrive:\Program Files\CiscoSecure ACS vx.x にあります。特定のログを格納するこの場所のサブ ディレクトリについては、表 10-3 を参照してください。 表 10-3 デフォルトの CSV ログ ファイルの場所 ログ デフォルトの場所 TACACS+ Accounting Logs\TACACS+Accounting CSV TACACS+ Administration Logs\TACACS+Administration CSV RADIUS Accounting Logs\RADIUS Accounting CSV VoIP Accounting Logs\VoIP Accounting CSV Failed Attempts Logs\Failed Attempts Passed Authentications Logs\Passed Authentications ACS Backup and Restore Logs\Backup and Restore RDBMS Synchronization Logs\DbSync RDBMS Synchronization Logs\DBReplicate Administration Audit Logs\AdminAudit User Password Changes CSAuth\PasswordLogs ACS Active Service Monitoring Logs\ServiceMonitoring CSV ログのサイズと保持 各 CSV ログは、個別のログ ファイルに書き込まれます。ログ ファイルのサイズが 10 MB に到達す ると、新しいログ ファイルへの書き込みが開始されます。ACS は各 CSV ログについて最新の 7 ファ イルを保持します。 関連項目 • CSV ログの設定(P.10-24) • CSV レポートの表示とダウンロード(P.10-33) syslog ロガー ACS の syslog ロガーは、標準の syslog 形式をサポートしています。任意のレポートのログ データ を 2 つまでの syslog サーバに送信できます。syslog サーバは、レポートごとに個別に設定します。 syslog を使用することにより、複数の ACS からのデータを集中させることができます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 10-7 第 10 章 ログとレポート ACS ログとレポートについて ACS syslog ロギングは、標準の syslog プロトコル(RFC 3164)に従います。メッセージは、非セ キュアな UDP ポートを使用することによって、データを暗号化せずに syslog サーバにコネクショ ンレスで送信されます。 (注) syslog プロトコルには配信を保証するメカニズムが組み込まれておらず、基盤となる転送プロトコ ルが UDP であるため、メッセージの配信は保証されていません。 syslog メッセージ形式 ACS syslog メッセージの内容の形式は次の通りです。 <n> mmm dd hh:mm:ss XX:XX:XX:XX TAG msg_id total_seg seg# A1=V1 説明 • <n>:メッセージのプライオリティ値。syslog メッセージのファシリティとシビラティの組み 合せです。プライオリティ値は、まずファシリティ値を 8 倍し、それをシビラティ値に加算す ることにより、RFC 3164 に従って計算されます。 ACS syslog メッセージには、次のファシリティ値が使用されます。 − 4(Auth):セキュリティと認可のメッセージ。この値は、すべての AAA 関連メッセージ (失敗した試行、成功した試行、アカウンティングなど)で使用されます。 − 13 (System3) :ログ監査。 この値は、 他のすべての ACS レポート メッセージで使用されます。 すべての ACS syslog メッセージには、シビラティ値として 6(Info)が使用されます。 たとえば、ファシリティ値が 13 でシビラティ値が 6 の場合は、プライオリティ値が 110((8 x 13) + 6) となります。プライオリティ値は、syslog サーバのセットアップに従って表示され、次の いずれかで表示されます。 − System3.Info − <110> (注) syslog ファシリティとシビラティの形式は、ACS では設定できません。 • mmm dd hh:mm:ss:メッセージの日時。 • XX:XX:XX:XX:この syslog メッセージを生成しているマシンの IP アドレス。 • TAG:ACS レポート名を表す値。 − CisACS_01_PassedAuth:Cisco ACS Passed Authentications − CisACS_02_FailedAuth:Cisco ACS Failed Attempts − CisACS_03_RADIUSAcc:Cisco ACS RADIUS Accounting − CisACS_04_TACACSAcc:Cisco ACS TACACS+ Accounting − CisACS_05_TACACSAdmin:Cisco ACS TACACS+ Administration − CisACS_06_VoIPAcc:Cisco ACS VoIP Accounting − CisACS_11_BackRestore:Cisco ACS Backup and Restore ログ メッセージ − CisACS_12_Replication:Cisco ACS Database Replication ログ メッセージ − CisACS_13_AdminAudit :Cisco ACS Administration Audit ログ メッセージ − CisACS_14_PassChanges:Cisco ACS User Password Changes ログ メッセージ − CisACS_15_ServiceMon:Cisco ACS Service Monitoring ログ メッセージ − CisACS_16_RDBMSSync:Cisco ACS RDBMS Synchronization Audit ログ メッセージ Cisco Secure ACS Solution Engine ユーザ ガイド 10-8 OL-14386-01-J 第 10 章 ログとレポート ACS ログとレポートについて − CisACS_17_ApplAdmin:Cisco ACS Appliance Administration Audit ログ メッセージ • msg_id:一意のメッセージ ID。1 つのメッセージのすべてのセグメントは同じメッセージ ID を共有します。 • total_seg:このメッセージのセグメント合計数。詳細については、P.10-9 の「syslog のメッセー ジ長の制限」を参照してください。 • seg#:このメッセージ セグメンテーション内のセグメント シーケンス番号。詳細については、 P.10-9 の「syslog のメッセージ長の制限」を参照してください。 • A1=V1:Cisco ACS ログ メッセージおよびメッセージ自体にデリミタとしてカンマを入れたア トリビュート値のペア。 syslog のメッセージ長の制限 ACS syslog メッセージの最大長を設定できます。最大メッセージ長は、標準 syslog サーバに送信す るメッセージの場合は 1,024 バイトにすることをお勧めしますが、設定はターゲット サーバの仕様 に対応させる必要があります。 ヘッダーとデータを含めた ACS メッセージの長さが syslog の標準長の制限またはターゲットの長 さ制限を超過すると、メッセージの内容は数個のセグメントに分割されます。 • メッセージは、アトリビュート値のペア間で分割され、セグメント内でのアトリビュート値ペ アは可能な限り完全な状態に保たれます。各セグメントはデリミタのカンマ(,)で終わり、次 のセグメントはヘッダーで始まり、その後に次のアトリビュート値ペアが続きます。 • 同じメッセージのすべてのセグメントには、同じヘッダーがあります。<msg_id> と <total_seg> の値は、すべてのセグメント間で共有されます。<seg#> は、セグメントの順序に従って設定さ れます。 syslog ログのイネーブル化と設定の詳細については、P.10-25 の「syslog ロギングの設定」を参照し てください。 関連項目 syslog ロギングの設定(P.10-25) ODBC ロガー(ACS for Windows のみ) 次のトピックでは、ODBC ロギングと、ACS で ODBC ログを設定する前に行う作業について説明 します。 • ODBC ロギングについて(P.10-9) • ODBC ロギングの準備(P.10-9) ODBC ロギングについて Open DataBase Connectivity(ODBC; 開放型データベース接続)ロガーにより、ログあたり 1 つの テーブルにログ単位でデータが格納されている ODBC 準拠リレーショナル データベースにログを 直接記録することができます。データをリレーショナル データベースにエクスポートした後は、 データを必要に応じて使用できます。リレーショナル データベースでデータを問い合せる方法の詳 細については、リレーショナル データベース ベンダーが提供するマニュアルを参照してください。 ODBC ロギングの準備 ACS で ODBC ログを設定する前に、次の手順を実行する必要があります。 1. ロギング データのエクスポート先となるリレーショナル データベースをセットアップします。 詳細については、使用するリレーショナル データベースのドキュメントを参照してください。 2. ACS を実行しているコンピュータで、ロギング データを保存するリレーショナル データベー スと通信を行う ACS のシステム データ ソース名(DSN)をセットアップします。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 10-9 第 10 章 ログとレポート ACS ログとレポートについて ODBC ロギングで使用するシステム DSN をセットアップするには、次の手順を実行します。 ステップ 1 Windows のコントロール パネルで、ODBC Data Sources をダブルクリックします。 ステップ 2 ODBC Data Source Administrator ページで、System DSN タブをクリックします。 ステップ 3 Add をクリックします。 ステップ 4 新しい DSN で使用するドライバを選択してから、Finish をクリックします。 ダイアログボックスが開き、選択した ODBC ドライバ固有の情報を入力するためのフィールドが表 示されます。 ステップ 5 Data Source Name ボックスに、DSN の説明的な名前を入力します。 ステップ 6 選択した ODBC ドライバで必要な他のフィールドすべてに入力します。これらのフィールドには、 たとえば、ODBC 準拠のリレーショナル データベースが稼働するサーバの IP アドレスが含まれて います。 ステップ 7 OK をクリックします。 ステップ 8 ODBC ウィンドウと Windows のコントロール パネルを閉じます。 ACS がリレーショナル データベースとの通信で使用するシステム DSN が、ACS を実行しているコ ンピュータに作成されます。DSN に指定した名前が、ODBC ログの各設定ページの Data Source リ ストに表示されます。 関連項目 ODBC ログの設定(ACS for Windows のみ)(P.10-25) ACS for Windows のリモート ロギング リモート ロガーを使用して、複数の ACS が生成する AAA 関連ログと監査ログを集中させることが できます。各 ACS を設定して、リモート ロガー サーバとして使用する ACS を 1 つ以上指定する ことができます。リモート ロギング ACS は引き続き AAA 機能を実行しますが、受信するログのリ ポジトリとしても機能します。 ACS は、リモート ロギング機能により、リモート ロギング サーバの CSLog サービスにデータを直 接送信できます。データはそのサーバのログに書き込まれます。リモート ロギング サーバは、デー タの送信元である ACS のローカル ロギング設定に関係なく、使用するように設定されている形式 でログを生成します。 ACS は、TCP ポート 2001 でリモート ロギング通信を傍受します。リモート ロギング データは、独 自の 128 ビット アルゴリズムによって暗号化されます。 Cisco Secure ACS Solution Engine ユーザ ガイド 10-10 OL-14386-01-J 第 10 章 ログとレポート ACS ログとレポートについて (注) リモート ロギング機能は、プロキシ処理された認証要求のデータの転送には影響しません。ACS では、プロキシにより認証されたセッションのデータがローカルでロギングされる場合には、プロ キシが認証するセッションのデータにのみリモート ロギング設定を適用します。プロキシ処理さ れた認証要求およびプロキシにより認証されたセッションのデータに関する詳細については、 P.3-33 の「Proxy Distribution Table の設定」を参照してください。 (注) ACS で双方向にリモート ロギングを設定しないでください。たとえば、ACS_SERVER_1 がリモー ト ロガーとして ACS_SERVER_2 を参照し、ACS_SERVER_2 が リモート ロガーとして ACS_SERVER_1 を参照している状態にはしないでください。 関連項目 リモート ロギングの設定とイネーブル化(ACS for Windows のみ)(P.10-26) ACS リモート エージェントによる ACS SE のリモート ロギング リモート ロギング機能により、ACS は 1 つ以上の ACS リモート エージェントにデータを送信でき ます。リモート エージェントはネットワーク上のコンピュータで動作します。リモート エージェ ントは、ACS が送信したデータを CSV ファイルに書き込みます。多数の ACS SE が 1 つのリモー ト エージェントをポイントするように設定できるので、リモート エージェントを実行しているコ ンピュータを中央ロギング サーバにできます。 ACS リモート エージェントのインストールと設定の詳細については、 『Installation and Configuration Guide for Cisco Secure ACS Remote Agents Release 4.2』を参照してください。 (注) リモート ロギング機能は、プロキシ処理された認証要求のデータの転送には影響しません。ACS は、プロキシにより認証されたセッションのアカウンティング データがローカルでロギングされ る場合には、プロキシによって認証されるセッションのデータに対してのみリモート ロギング設 定を適用します。プロキシ処理された認証要求およびプロキシにより認証されたセッションのデー タに関する詳細については、P.3-33 の「Proxy Distribution Table の設定」を参照してください。 アカウンティング データをリモート エージェント サーバに送信する ACS SE の数に関係なく、リ モート エージェントはその設定を 1 つの ACS SE から受信します。この ACS は、リモート エージェ ントの設定プロバイダーです。次の内容を決定します。 • リモート エージェントが保持するログ。 • 保存されている各ログに記録するデータ。 • リモート エージェントがログ ファイルを管理する方法。 関連項目 リモート エージェントへのロギングの設定(ACS SE のみ) (P.10-28) Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 10-11 第 10 章 ログとレポート ACS ログとレポートについて ダイナミック管理レポート このレポートは、ACS Web インターフェイスでこのレポートにアクセスした時点でのユーザ アカ ウントのステータスを示します。このレポートは、Web インターフェイスだけで利用でき、常にイ ネーブルで、設定を必要としません。 表 10-4 に、ACS 管理レポートの説明を示します。 表 10-4 ダイナミック管理レポートの説明 レポート 説明および関連項目 Logged-In Users 単一の AAA クライアントまたは全 AAA クライアントのサービスを受信しているすべてのユーザを 一覧表示します。特定の AAA クライアントまたはすべての AAA クライアントからログイン ユーザ を削除できます。 Cisco Aironet Access Point 上のファームウェア イメージがキー再生成の認証用の RADIUS Service-Type アトリビュートの送信をサポートしている場合、Cisco Aironet 装置を使用してネットワークにアクセ スしているユーザは、現在関連付けられているアクセス ポイントのリストに表示されます。 マシンの認証を実行するよう設定されているコンピュータでは、コンピュータの起動時にマシンの認 証が行われます。コンピュータ起動すると、ユーザがそのコンピュータにログインする前に、ACS Web インターフェイスの Reports and Activity セクションにある Logged-In Users List にそのコンピュー タが表示されます。ユーザの認証が開始されると、コンピュータは Logged-In Users List に表示されな くなります。マシン認証の詳細については、P.12-11 の「EAP および Windows 認証」を参照してくだ さい。 (注) ログイン ユーザのリスト機能を使用するには、認証とアカウンティングを同一プロトコル (TACACS+ または RADIUS のどちらか一方)で実行するように AAA クライアントを設定す る必要があります。 Web インターフェイスでの Logged-in User レポートの表示、およびログイン ユーザの削除の詳細につ いては、P.10-36 の「Logged-in Users レポートの表示」を参照してください。 Disabled Accounts 無効になっているすべてのユーザ アカウントおよび無効になった理由を一覧表示します。それらの アカウントは、手動でディセーブルにされたか、または User Setup セクションで定義されたエージン グ情報に基づいて自動的にディセーブルにされた可能性があります。 Web インターフェイスで Disable Accounts レポートを表示する方法については、P.10-38 の「Disabled Accounts レポートの表示」を参照してください。 Appliance Status ACS SE のリソースの利用率についての情報を示します。また、ACS SE の IP 設定とそのネットワー ク インターフェイス カードの MAC アドレスについての情報も表示されます。 Web インターフェイスで Appliance Status レポートを表示する方法については、P.10-38 の「Appliance Status レポートの表示」を参照してください。 関連項目 • ダイナミック管理レポートの表示(P.10-36) エンタイトルメント レポート これらのレポートは、管理者特権とグループへのユーザ マッピングについての情報を提供します。 これらのレポートは、すべて CSV 形式のテキスト ファイルとしてダウンロードできます。個々の 管理者のレポートは、ACS Web インターフェイスに表示できます。エンタイトルメント レポート は、常にイネーブルにされており、設定は不要です。 Cisco Secure ACS Solution Engine ユーザ ガイド 10-12 OL-14386-01-J 第 10 章 ログとレポート ACS ログとレポートについて 表 10-5 に、ACS のエンタイトルメント レポートの説明を示します。 表 10-5 エンタイトルメント レポートの説明 レポート 説明および関連項目 ユーザ エンタイトル ユーザ エンタイトルメント レポートでは、ユーザとグループのマッピング情報を提供します。こ メント のレポートには、すべてのユーザとそのグループ、関連する場合は Network Access Profile(NAP; ネットワーク アクセス プロファイル)、およびマッピング タイプ(スタティックまたはダイナ ミック)が一覧表示されます。このレポートは CSV 形式でダウンロードできますが、サイズが大 きくなる可能性があるため、ACS Web インターフェイスには表示できません。 管理者エンタイトル 管理者エンタイトルメント レポートには、次の 2 つのタイプがあります。 メント • すべての管理者の特権レポート:各管理者の特権を一覧表示します。このレポートは CSV 形 式でダウンロードできますが、サイズが大きくなる可能性があるため、ACS Web インター フェイスには表示できません。 • 個々の管理者の特権レポート:選択した管理者の特権を一覧表示します。個々の管理者のレ ポートは、ACS Web インターフェイスで表示したり、CSV 形式のテキスト ファイルとして ダウンロードしたりすることができます。 関連項目 • エンタイトルメント レポートの表示とダウンロード(P.10-39) サービス ログ サービス ログは、診断用ログとして扱われ、トラブルシューティングやデバッグ目的に限定して使 用されます。これらのログは、ACS 管理者の一般的使用を目的としていません。これらのサービス ログは、シスコ サポート要員の主な情報源となります。サービス ログには、ACS サービスの動作 とアクティビティのすべての記録が含まれます。サービス ログがイネーブルになっている場合は、 サービスを使用しているかどうかにかかわらず、各サービスが実行中のときに必ずログが生成され ます。たとえば、ネットワークで RADIUS プロトコルを使用していない場合でも、RADIUS サービ ス ログは生成されます。ACS サービスの詳細については、第 1 章「概要」を参照してください。 サービス ログ ファイルは、該当するサービスのディレクトリの \Logs サブディレクトリにありま す。たとえば、ACS 認証サービスのデフォルト ディレクトリは次のとおりです。 c:\Program Files\CiscoSecure ACS vx.x\CSAuth\Logs ロギングされるサービス ACS は、次のサービスに対してログを生成します。 • CSAdmin • CSAuth • CSDBSync • CSLog • CSMon • CSRadius • CSTacacs 最新のデバッグ ログには、次の名前が付けられます。 SERVICE.log Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 10-13 第 10 章 ログとレポート ACS ログとレポートについて ここで、SERVICE には該当するサービスを表す名前が表示されます。たとえば auth は、CSAuth サービスを表します。 これより古いデバッグ ログには、作成年月日でファイル名が付けられます。たとえば、1999 年 7 月 13 日に作成されたファイルは次のファイル名になります。 SERVICE 1999-07-13.log ここで、SERVICE には該当するサービスを表す名前が表示されます。 Day/Month/Year の形式を選択する場合は、次のファイル名になります。 SERVICE 13-07-1999.log 日付形式の変更については、P.7-4 の「日付形式と時刻形式の制御」を参照してください。 関連項目 サービス ログの設定(P.10-30) CSAuth 診断ログへのセッション ID の追加 ACS では、CSAuth 診断ログのセッション ID パラメータがサポートされています。CSAuth 診断ロ グでは、セッション データ構造を使用してアクティブな各認証セッションを追跡します。ACS サー ビスでは、セッション ID でこれらの構造を参照します。一意のセッション ID を使用して CSAuth 診断ログのログ スレッドを区別できます。 例 10-1 では、ネットワーク モデル スレッドで 2 つの異なるスレッド(2560、2548)を使用してセッ ション ID 1000 が処理されています。セッション ID でログをフィルタリングし、各セッションの出 力を制限できます。 例 10-1 CSAuth 診断ログとセッション ID AUTH 09/08/2006 18:29:57 AUTH 09/08/2006 18:30:13 AUTH 09/08/2006 18:30:14 update ... AUTH 09/08/2006 18:30:14 update ... AUTH 09/08/2006 18:30:14 AUTH 09/08/2006 18:30:14 to commit NM update AUTH 09/08/2006 18:30:28 AUTH 09/08/2006 18:30:28 (注) I 5081 2560 1000 Start RQ1040, client 1 (127.0.0.1) I 5094 2548 Worker 1 processing message 17. I 0991 2368 0000 pvNASMonitorThreadMain: start NM I 1006 2368 0000 pvNASMonitorThreadMain: commit NM I 5081 2560 1000 Done RQ1040, client 1, status 0 I 1011 2368 0000 pvNASMonitorThreadMain: succeeded I 5081 2548 1000 Start RQ1012, client 2 (127.0.0.1) I 5081 2548 1000 Done RQ1012, client 2, status 0 ACS 診断ログの session ID フィールドを追加するには、各認証セッションで少なくとも 1 行あたり 8 バイトのオーバーヘッドが必要になります。 別の認証セッションでも同じセッション ID を使用します。このことは、診断ログでは、複数のセッ ションで同じセッション ID が表示される可能性があることを意味します。各認証セッションで一 意のセッション ID を使用することをお勧めします。セッション ID は最大 120 秒間保持されます。 Cisco Secure ACS Solution Engine ユーザ ガイド 10-14 OL-14386-01-J 第 10 章 ログとレポート ACS ログとレポートについて CSAuth 診断ログのエラー コードの説明 CSAuth 診断ログには、クライアントの要求と応答の説明が表示されます。ACS の以前のバージョ ンでは、クライアントの要求と応答に数値コードを使用していました。説明は、CSAuth 診断ログ にあるクライアントの要求と応答を特定するのに役立ちます。 次に CSAuth 診断ログ エントリの例を 2 つ示します。例 10-2 は、以前のバージョンの CSAuth 診 断ログのエントリを表しています。例 10-3 は、このリリースの CSAuth 診断ログでエントリがどの ように表示されるかを表しています。 例 10-3 では、次のように CSAuth 診断ログが表示されます。 • 最初の例の要求コード RQ1026 が UDB_AUTHENTICATE_USER に置き換えられます。 • 最初の例のステータス コード 2046 が UDB_CHALLENGE_REQUIRED に置き換えられます。 例 10-2 CSAuth 診断ログ エントリ AUTH 09/11/2006 09:55:27 I 5081 2512 Done RQ1026, client 50, status -2046 例 10-3 CSAuth 診断ログ エントリ(説明テキスト付き) AUTH 09/11/2006 09:55:27 I 5081 2512 Done UDB_AUTHENTICATE_USER, client 50, status UDB_CHALLENGE_REQUIRED CSAuth 診断ログの要求の説明テキスト 表 10-6 および表 10-7 に、CSAuth 診断ログに表示される要求およびステータスの説明テキストの一 覧を示します。 表 10-6 に、CSAuth 診断ログの説明テキストおよび対応する要求コードの一覧を示します。 表 10-6 要求の説明テキストおよび要求コード 要求のテキスト 要求コード UDB_BASE_CMD 1000 UDB_HAIL 1001 UDB_OPEN 1002 UDB_CLOSE 1003 UDB_GOODBYE 1004 UDB_PING 1005 UDB_REFRESH 1006 UDB_REFRESH_EX 1007 UDB_RESET_HOST_CACHE 1008 UDB_USER_ADD 1010 UDB_USER_REMOVE 1011 UDB_VALID_USER 1012 UDB_USER_ENUM_BY_GROUP 1013 UDB_CHANGE_PASSWORD 1014 UDB_SET_PASS_STATUS 1015 UDB_GET_PASS_STATUS 1016 UDB_USER_ENUM 1017 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 10-15 第 10 章 ログとレポート ACS ログとレポートについて 表 10-6 要求の説明テキストおよび要求コード(続き) 要求のテキスト 要求コード UDB_USER_GET_INFO 1018 UDB_USER_PAP_CHECK 1019 UDB_USER_PROF_ASSIGN 1020 UDB_USER_PROF_COUNT 1021 UDB_USER_PROF_GET 1022 UDB_USER_CHAP_CHECK 1023 UDB_USER_CHECK_EXPIRY 1024 UDB_USER_SET_INFO 1025 UDB_AUTHENTICATE_USER 1026 UDB_SEND_RESPONSE 1027 UDB_SET_PASSWORD 1028 UDB_USER_LOCN_CHECK 1029 UDB_SET_VALUE 1030 UDB_GET_VALUE 1031 UDB_GET_NEXT_VALUE 1032 UDB_DEL_VALUE 1033 UDB_FIND_VALUE 1034 UDB_GET_VALUE_BY_NAME 1035 UDB_LOG 1040 UDB_SET_APPDATA 1041 UDB_GET_APPDATA 1042 UDB_DEL_DB 1043 UDB_AVERT_LOG 1044 UDB_DIR_CREATE 1050 UDB_FILE_CREATE 1051 UDB_FILE_WRITE 1052 UDB_FILE_READ 1053 UDB_FILE_CLOSE 1054 UDB_FILE_EXISTS 1055 UDB_FILE_APPEND 1056 UDB_FILE_SET_PTR 1057 UDB_USER_LIST_ADD 1070 UDB_USER_LIST_DEL 1071 UDB_USER_LIST_GET 1072 UDB_USER_LIST_COUNT 1073 UDB_USER_LIST_UPDATE 1074 UDB_USER_ALIAS_SET 1080 UDB_USER_ALIAS_DEL 1081 UDB_USER_ALIAS_VALID 1082 UDB_START_TRANSACTION 1090 UDB_END_TRANSACTION 1091 Cisco Secure ACS Solution Engine ユーザ ガイド 10-16 OL-14386-01-J 第 10 章 ログとレポート ACS ログとレポートについて 表 10-6 要求の説明テキストおよび要求コード(続き) 要求のテキスト 要求コード UDB_KICK_SYNC_TX 1092 UDB_KICK_SYNC_RX 1093 UDB_EXCHANGE_SYNC_INFO 1094 UDB_AQUIRE_IP_ADDRESS 1095 UDB_VALIDATE_PASSWORD 1096 UDB_EXTRACT_AGING_DATA 1097 UDB_AUTH_FAILED 1098 UDB_RESET_USER_PASSWORD_AGING_DATA 1099 UDB_GET_AGING_INFO 1100 UDB_DO_BACKUP_NOW 1101 UDB_AQUIRE_CALLBACK 1102 UDB_GET_AGING_LIMIT 1103 UDB_PURGE_NAS 1104 UDB_SEND_FAKE_STOPS 1105 UDB_SERVICE_CONTROL 1106 UDB_RESET_GROUP 1107 UDB_SET_ENABLE_PASS_STATUS 1108 UDB_UPDATE_AGING_POLICY 1109 UDB_ADD_HOST 1110 UDB_DEL_HOST 1111 UDB_GET_HOST 1112 UDB_UPDATE_HOST 1113 UDB_ADD_PROXY 1114 UDB_DEL_PROXY 1115 UDB_ADD_PROXY_TARGET 1116 UDB_ADD_NDG 1117 UDB_DEL_NDG 1118 UDB_GET_NDG_ID 1119 UDB_SET_USER_FEATURE_FLAG 1120 UDB_GET_USER_COUNTER 1121 UDB_RESET_USER_COUNTER 1122 UDB_RESET_GROUP_USERS_COUNTER 1123 UDB_GET_FIRST_QUOTA_TYPE 1124 UDB_GET_NEXT_QUOTA_TYPE 1125 UDB_SET_QUOTA 1126 UDB_HAS_USER_QUOTA_EXHAUSTED 1127 UDB_SHARED_PROFILE 1128 UDB_ADD_UDV 1140 UDB_DEL_UDV 1141 UDB_GET_VID_FROM_IETF 1142 UDB_ADD_UDV_VSA 1143 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 10-17 第 10 章 ログとレポート ACS ログとレポートについて 表 10-6 要求の説明テキストおよび要求コード(続き) 要求のテキスト 要求コード UDB_ADD_UDV_VSA_ENUM 1144 UDB_ADD_UDV_VSA_PROFILE 1145 UDB_SET_REP_DIRTY_FLAG 1150 UDB_USER_COMMIT_NOW 1151 UDB_POLICY_CREATE_CONTEXT 1152 UDB_USER_REMOVE_DYNAMIC 1153 表 10-7 に、CSAuth 診断ログの説明テキストおよび対応するステータス コードの一覧を示します。 表 10-7 ステータスの説明テキストおよび要求コード ステータスの説明 ステータス コード UDB_BASE_ERR 1000 UDB_DB_NOT_OPEN 1001 UDB_INVALID_ENTRY 1002 UDB_CANT_CREATE_MAP 1003 UDB_CANT_CREATE_VIEW 1004 UDB_CANT_OPEN_INDEX 1005 UDB_DB_IS_OPEN 1006 UDB_SIZE_MISMATCH 1007 UDB_CANT_OPEN_FILE 1008 UDB_CRC_FAILED 1009 UDB_CANT_INIT_INDEX 1010 UDB_INVALID_DATA 2011 UDB_CANT_GROW_FILE 1012 UDB_USER_INVALID 2013 UDB_DUPLICATE_NAME 1014 UDB_INVALID_PASSWORD 2015 UDB_IPC_DATA_INVALID 1016 UDB_FEATURE_NOT_READY 1017 UDB_SERVER_BUSY 1018 UDB_REGISTRY_READ_FAIL 1019 UDB_UNKNOWN_VARIABLE 2020 UDB_NO_FILE_HANDLES 1021 UDB_DIR_CREATE_FAILED 1022 UDB_FILE_WRITE_FAILED 1023 UDB_FILE_READ_FAILED 1024 UDB_INVALID_DIR_NAME 1025 UDB_INVALID_FILE_NAME 1026 UDB_MALLOC_FAIL 1027 UDB_INVALID_HANDLE 1028 UDB_USER_NOT_OWNER 1029 Cisco Secure ACS Solution Engine ユーザ ガイド 10-18 OL-14386-01-J 第 10 章 ログとレポート ACS ログとレポートについて 表 10-7 ステータスの説明テキストおよび要求コード(続き) ステータスの説明 ステータス コード UDB_CANT_REBUILD_INDEX 1030 UDB_CANT_REMOVE_OLD_DB 1031 UDB_USER_REMOVED 2032 UDB_NO_VARIABLE 1033 UDB_PASSWORD_DISABLED 2034 UDB_FILE_SET_PTR_FAILED 1035 UDB_USER_LICENCE_LIMIT 1036 UDB_APP_NOT_LICENSED 1037 UDB_BAD_SECRET 1038 UDB_DB_VERSION_MISMATCH 1039 UDB_DIR_REMOVE_FAILED 1040 UDB_CANT_ASSIGN_PROFILE 1041 UDB_LOGGER_OFFLINE 1042 UDB_CANT_ACCESS_USERLIST 1043 UDB_SESSION_COUNT_EXCEEDED 2044 UDB_PASSWORD_REQUIRED 2045 UDB_CHALLENGE_REQUIRED 2046 UDB_NO_SESSION 1047 UDB_INTERNAL_ERROR 1048 UDB_BAD_TODDOW 2049 UDB_CANT_LOCK_RECORD 1050 UDB_NT_DIALIN_REQUIRED 2051 UDB_NT_PW_WRONG 2052 UDB_NT_AC_RESTRICTED 2053 UDB_NT_TOD_DOW 2054 UDB_NT_PW_EXPIRED 2055 UDB_NT_AC_DISABLED 2056 UDB_NT_BAD_WORKSTATION 2057 UDB_NT_UNKNOWN_ERR 1058 UDB_NT_PASS_CHANGE 2059 UDB_NT_NO_DOMAIN 2060 UDB_NT_AC_LOCKED 2061 UDB_NT_NO_BROWSER 2062 UDB_INVALID_CHAP_PW 2063 UDB_INVALID_ARAP_PW 2064 UDB_INVALID_TOKEN_PW 2065 UDB_INVALID_UNIX_PW 2066 UDB_TOKEN_SERVER_DOWN 1067 UDB_USER_CLI_FILTERED 2068 UDB_NO_SENDAUTH_PW 1069 UDB_NO_TOKENSRV 1070 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 10-19 第 10 章 ログとレポート ACS ログとレポートについて 表 10-7 ステータスの説明テキストおよび要求コード(続き) ステータスの説明 ステータス コード UDB_NT_NO_LOGON_NOT_GRANTED 2071 UDB_CANT_START_TRANSACTION 1072 UDB_VARDB_NOT_OPEN 1073 UDB_NOT_IN_CACHE 1074 UDB_CANT_OPEN_ODBC_DB 1075 UDB_DLL_MISMATCH 1076 UDB_NOT_INSTALLED 1077 UDB_CHAP_ENFORCED 2078 UDB_ACCESS_DENIED 2079 UDB_REPLICATION_DENIED 1080 UDB_FAILED_TO_AQUIRE_IP_ADDR 1081 UDB_PASSWORD_DEAD 2082 UDB_PASSWORD_STATE_NOT_ACCESSIBLE 1083 UDB_PASSWORD_AGE_CHECK_FAILED 1084 UDB_NEW_PASSWORD_NOT_GOOD 2085 UDB_FAILED_TO_EXTRACT_DATA 1086 UDB_EXTERN_DB_ERROR 2087 UDB_BACKUP_FAILED_TO_START 1088 UDB_FAILED_TO_AQUIRE_CALLBACK 1089 UDB_FAILED_TO_PERFORM_SERVICE_OP 1090 UDB_TIME_OUT_WAITING_TO_START_AUTH 1091 UDB_AUTH_NOT_SUPPORTED_BY_EXT_DB 2092 UDB_CACHED_TOKEN_REJECTED 2093 UDB_TOKEN_PIN_CHANGED 2094 UDB_INVALID_MSCHAP_PW 2095 UDB_INVALID_EXT_CHAP_PW 2096 UDB_INVALID_EXT_ARAP_PW 2097 UDB_INVALID_EXT_MSCHAP_PW 2098 UDB_INVALID_EXT_USER 2099 UDB_NT_AC_EXPIRED 2100 UDB_AUTH_DENIED_DUE_TO_VOIP 2101 UDB_MALFORMED_USERNAME 2102 UDB_CANT_OPEN_HOST_DB 1103 UDB_CANT_OPEN_PROXY_DB 1104 UDB_CANT_OPEN_NDG_DB 1105 UDB_HOST_DB_FAILURE 1106 UDB_PROXY_DB_FAILURE 1107 UDB_NDG_DB_FAILURE 1108 UDB_INVALID_COUNTER_TYPE 1109 UDB_EXTERN_DB_TRANSIENT_ERROR 1110 UDB_INVALID_QUOTA_INDEX 1111 Cisco Secure ACS Solution Engine ユーザ ガイド 10-20 OL-14386-01-J 第 10 章 ログとレポート ACS ログとレポートについて 表 10-7 ステータスの説明テキストおよび要求コード(続き) ステータスの説明 ステータス コード UDB_USAGE_QUOTA_EXCEEDED 2112 UDB_NT_CHANGE_PASS_FAILED 2113 UDB_CANT_LOAD_DLL 1114 UDB_EXTN_DLL_REJECTED 2115 UDB_INVALID_EXT_EAP_PW 2116 UDB_EAP_METHOD_NOT_SUPPORTED 2117 UDB_EAP_TLS_PASS_HS_USER_NOT_FOUND 2118 UDB_EAP_NO_MATCH_NAME_IN_CERT 2119 UDB_EAP_TLS_HANDSHAKE_FAILED 2120 UDB_EAP_IGNORE 2121 UDB_SUPPLIER_NOT_CONFIGURED 2122 UDB_UDV_CONFIG_ERROR 1123 UDB_USER_FOUND 2124 UDB_USER_NOT_FOUND 2125 UDB_EAP_FAILED 1126 UDB_MISSING_MPPE_DATA 2127 UDB_EAP_MACHINE_AUTH_DISABLED 2128 UDB_NT_NO_REMOTE_AGENT 2129 UDB_EAP_FAST_PAC_PROVISIONING 2130 UDB_EAP_FAST_USER_AND_IID_NOT_MATCH 2131 UDB_EAP_FAST_PAC_INVALID 2132 UDB_EAP_FAST_INBAND_NOT_ALLOWED 2133 UDB_EAP_FAST_INVALID_MASTER_KEY 2134 UDB_GROUP_DISABLED 2135 UDB_AVERT_NO_MAPPING 2136 UDB_EAP_PASSWORD_CHANGE_DISABLED 2137 UDB_AVERT_PROCEED_TO_UUP 2138 UDB_AVERT_LOCAL_POLICY_FAILED 2139 UDB_AVERT_EX_POLICY_FAILED 2140 UDB_AVERT_GENERAL_FAILURE 2141 UDB_ACCESS_DENIED_FAST_REC_NO_USER 2142 UDB_ACCESS_DENIED_MAR_RESTRICTION 2143 UDB_AVERT_UNKNOWN_ATTRIBUTE 2144 UDB_AUTH_PROTOCOL_NOT_ALLOWED 2145 UDB_EAP_FAST_ANON_INBAND_NOT_ALLOWED 2146 UDB_AUDIT_BAD_RESPONSE 2147 UDB_AUDIT_TOO_MANY_ROUND_TRIPS 2148 UDB_POSTURE_VALIDATION_FAILED 2149 UDB_MAC_AUTH_BYPASS_NOT_ALLOWED 2150 UDB_ACCESS_DENIED_NO_SERVICE 2151 UDB_AUTHORIZATION_REJECT 2152 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 10-21 第 10 章 ログとレポート ACS ログとレポートについて 表 10-7 ステータスの説明テキストおよび要求コード(続き) ステータスの説明 ステータス コード UDB_PV_FAILED_NO_SERVICE 2153 UDB_LOCAL_USER_HAS_EXT_DB_AUTH 2154 UDB_SERVICE_EXT_DB_NOT_ALLOWED 2155 UDB_NT_LOGON_FAILURE 2156 UDB_MAC_AUTH_BYPASS_GROUP_DISABLE 2157 UDB_BADLY_FORMED_DACL_RQ 2158 UDB_INTERNAL_DACL_ERROR 2159 UDB_DACL_ASSIGN_ERROR 2160 UDB_INTERNAL_RAC_ERROR 2161 UDB_RAC_MISSING_ERROR 2162 UDB_AUDIT_RECIEVED_ERROR 2163 UDB_AUDIT_SERVER_UNREACHEABLE 2164 UDB_AUDIT_PARSE_ERROR 2165 UDB_EXT_POLICY_VER_ERROR 2166 UDB_EXT_POLICY_CONN_ERROR 2167 UDB_EXT_POLICY_AUTH_ERROR 2168 UDB_EXT_POLICY_TIMEOUT_ERROR 2169 UDB_ERR_PROFILE_TOO_BIG 1170 UDB_EXT_POLICY_CONN_ERROR_CA_UNKNOWN 2171 UDB_BASE_WARN 1000 UDB_ALREADY_OPEN 1001 UDB_PASSWORD_EXPIRED 1002 UDB_UNKNOWN_PASS_STATUS 1003 UDB_UDB_VALUE_OVERWRITE 1004 UDB_BUFFER_TOO_SMALL 1005 UDB_SIZE_SMALLER 1006 UDB_USER_NOT_ALIAS 1007 UDB_NO_MORE_QUOTA_TYPES 1008 診断ログの行番号 ACS 診断ログ ファイルには、エラーを生成したソース コードの正確な行番号が含まれています。 以前のバージョンの ACS では、ACS 診断ログに格納されるハード コード化されたソース コードの 行番号は dzlog 機能に含まれていました。 汎用 EAP コード デバッグ メッセージ ACS では、すべての EAP デバッグ メッセージを CSAuth 診断ログに記録します。 Cisco Secure ACS Solution Engine ユーザ ガイド 10-22 OL-14386-01-J 第 10 章 ログとレポート ACS ログの設定 ACS ログの設定 個々のログのロギングをイネーブル化および設定することができます。ACS は、複数のロガーの情 報をログに同時に記録できます。 サービス ログのイネーブル化と設定を行うには、Service Control ページを最初に開きます。このペー ジを表示するには、System Configuration > Service Control を選択します。他のすべてのログおよ びロガーのイネーブル化と設定を行うには、Logging Configuration ページを最初に開きます。この ページを表示するには、System Configuration > Logging を選択します。Logging Configuration ペー ジには、現在イネーブルになっている ACS ログが表示されます。 次のトピックでは、ACS ログを設定およびイネーブル化する方法を説明します。 • クリティカル ロガーの設定(P.10-23) • CSV ログの設定(P.10-24) • syslog ロギングの設定(P.10-25) • ODBC ログの設定(ACS for Windows のみ)(P.10-25) • リモート ロギングの設定とイネーブル化(ACS for Windows のみ)(P.10-26) • リモート エージェントへのロギングの設定(ACS SE のみ) (P.10-28) • サービス ログの設定(P.10-30) • カスタマー サポートへのサービス ログの提供(P.10-31) クリティカル ロガーの設定 アカウンティング ログにクリティカル ロガーを設定して、これらのログが少なくとも 1 つのロガー へ確実に配信されるようにできます。 クリティカル ロガーを設定する場合、ACS が認証デバイスに送信する応答は、クリティカル ロガー のみに送信される関連メッセージのロギングの成功または失敗によって決まります。ACS は、他の ロガーにオフストリーム(ベスト エフォートで保証されない)でメッセージを送信します。この方 法の場合、認証の結果に影響はありません(Failed Attempts、Passed Authentications、および TACACS+ Administration などの他のすべての AAA 関連レポートの場合は、ロギングがオフストリームで実行 され、認証の試行結果に影響はありません)。 アカウンティング レポートごとに異なるクリティカル ロガーを設定できます。各レポートのデ フォルトのクリティカル ロガーは、ローカル CSV ログです。クリティカル ロガーを選択しないと、 アカウンティング メッセージの配信は保証されません。 (注) syslog 標準によると、syslog メッセージのロギングは保証されていないため、クリティカル ロガー として syslog ロガーを設定することはお勧めできません。 アカウンティング レポートにクリティカル ロガーを設定するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 Logging をクリックします。 Logging Configuration ページが開きます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 10-23 第 10 章 ログとレポート ACS ログの設定 ステップ 3 Critical Loggers Configuration をクリックします。 Critical Loggers Configuration ページが表示されます。 ステップ 4 アカウンティング レポートごとにクリティカル ロガーを選択します。クリティカル ロガーを選択 する場合のオプションの詳細については、P.10-41 の「Critical Loggers Configuration ページ」を参照 してください。 ステップ 5 Submit をクリックします。 指定したクリティカル ロガーの設定が ACS に実装されます。 (注) クリティカル ロガーが選択されていても、指定したログがディセーブルになっている場合は、特 定レポートのクリティカル ロガーは実装されません。 CSV ログの設定 AAA 関連ログと監査ログを CSV ロガーに記録するように、ACS を設定できます。 CSV ログを設定するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 Logging をクリックします。Logging Configuration ページが開きます。 ステップ 3 ACS Reports テーブルで、設定する CSV ログの Configure をクリックします。 CSV log File Configuration ページが表示されます。log には選択した CSV ログの名前が表示されま す。 ステップ 4 ログをイネーブルまたはディセーブルにするには、Enable Logging で、Log to log report チェック ボックスをオンまたはオフにします。log には、選択したログの名前が表示されます。 ステップ 5 AAA 関連レポートの場合は、ログに記録するアトリビュートを設定します。アトリビュートの設 定オプションの詳細については、P.10-43 の「CSV log File Configuration ページ」を参照してください。 ステップ 6 (ACS for Windows のみ)CSV ファイルのファイル管理オプションを指定します。ファイル管理オ プションの詳細については、P.10-43 の「CSV log File Configuration ページ」を参照してください。 ステップ 7 Submit をクリックします。 指定した CSV ログ設定が ACS に実装されます。 関連項目 CSV レポートの表示とダウンロード(P.10-33) Cisco Secure ACS Solution Engine ユーザ ガイド 10-24 OL-14386-01-J 第 10 章 ログとレポート ACS ログの設定 syslog ロギングの設定 AAA 関連ログと監査ログを syslog ロガーに記録するように、ACS を設定できます。 syslog ログを設定するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 Logging をクリックします。Logging Configuration ページが開きます。 ステップ 3 ACS Reports テーブルで、設定する syslog ログの Configure をクリックします。 log Configuration ページが表示されます。log には選択した syslog ログの名前が表示されます。 ステップ 4 ログをイネーブルまたはディセーブルにするには、Enable Logging で、Log to log report チェック ボックスをオンまたはオフにします。log には、選択したログの名前が表示されます。 ステップ 5 AAA 関連レポートの場合は、ログに記録するアトリビュートを設定します。アトリビュートの設 定オプションの詳細については、P.10-44 の「Syslog log Configuration ページ」を参照してください。 ステップ 6 syslog メッセージの送信先にする syslog サーバを設定します。syslog サーバの設定オプションの詳 細については、P.10-44 の「Syslog log Configuration ページ」を参照してください。 ステップ 7 Submit をクリックします。 指定した syslog ログ設定が ACS に実装されます。 ODBC ログの設定(ACS for Windows のみ) AAA 関連ログと監査ログを ODBC ロガーに記録するように ACS を設定できます。SQL create table 文は、ACS で ODBC ログの設定を行う前後に設定できます。 (注) ODBC ログを設定する前に、ODBC ロギングの準備をする必要があります。詳細については、P.10-9 の「ODBC ロギングの準備」を参照してください。 ODBC ログを設定するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 Logging をクリックします。Logging Configuration ページが開きます。 ステップ 3 ACS Reports テーブルで、設定する ODBC ログの Configure をクリックします。 ODBC log Configuration ページが表示されます。log には、選択した ODBC ログの名前が表示されま す。 ステップ 4 ログをイネーブルまたはディセーブルにするには、Enable Logging で、Log to log report チェック ボックスをオンまたはオフにします。log には、選択したログの名前が表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 10-25 第 10 章 ログとレポート ACS ログの設定 ステップ 5 AAA 関連レポートの場合は、リレーショナル データベースに送信するアトリビュートを設定しま す。アトリビュートの設定オプションの詳細については、P.10-45 の「ODBC log Configuration ペー ジ(ACS for Windows のみ) 」を参照してください。 ステップ 6 ODBC データベースと通信するように ACS を設定します。Connection Settings オプションの詳細に ついては、P.10-45 の「ODBC log Configuration ページ(ACS for Windows のみ)」を参照してください。 ステップ 7 Submit をクリックします。 ACS はログ設定を保存します。Logging Configuration ページが開きます。 SQL create table 文を設定するには、次の手順を実行します。 ステップ 1 Logging Configuration ページで、設定する ODBC ログの Configure をクリックします。 ODBC log configuration ページが開きます。 ステップ 2 SQL create table 文を表示するには、Show Create Table をクリックします。 ACS ウィンドウの右パネルに、Microsoft SQL Server の SQL create table 文が表示されます。テーブ ル名は、Table Name フィールドで指定する名前です。カラム名は、Logged Attributes リストで指定 されているアトリビュートです。 (注) ステップ 3 生成された SQL は、Microsoft SQL Server でのみ有効です。別のリレーショナル データベー スを使用する場合は、使用するリレーショナル データベースのマニュアルで、テーブルを 作成するコマンドの記述方法を参照してください。 生成された SQL で提供される情報を使用して、この ODBC ログのリレーショナル データベースに テーブルを作成します。ODBC ロギングを動作させるには、テーブル名とカラム名が生成された SQL の名前と完全一致する必要があります。 ログをイネーブルにすると、ACS は、設定したシステム DSN を使用してユーザが作成したリレー ショナル データベースへのロギング データの送信を開始します。 リモート ロギングの設定とイネーブル化(ACS for Windows のみ) AAA 関連ログと監査ログ用に、リモート ロギングを設定できます。まずリモート ロギング サーバ を設定してから、リモート ロギング サーバに情報を送信する各 ACS でリモート ロギングを設定す る必要があります。 次のトピックでは、リモート ロギングのセットアップ方法を説明します。 • リモート ロギング サーバの設定(P.10-27) • ACS のリモート ロガーへのデータ送信設定(P.10-28) Cisco Secure ACS Solution Engine ユーザ ガイド 10-26 OL-14386-01-J 第 10 章 ログとレポート ACS ログの設定 リモート ロギング サーバの設定 始める前に • すべてのロギング データを保存するリモート ロギング サーバとして使用するコンピュータ に、ACS をインストールします。ACS のインストール方法については、『Installation Guide for Cisco Secure ACS for Windows Release 4.2』を参照してください。 • データを送信する ACS とリモート ロギング ACS サーバの間にあるゲートウェイ デバイスの 設定を調べ、TCP ポート 2001 を使用してリモート ロギング ACS サーバがデータを受信できる ようになっていることを確認します。 リモート ロギング サーバを設定するには、次の手順を実行します。 ステップ 1 必要に応じて、個々のログを設定しイネーブルにします。リモート ロギング サーバに送信される すべてのデータは、この ACS でのログ設定に従って記録されます。詳細については、次を参照し てください。 • CSV ログの設定については、P.10-24 の「CSV ログの設定」を参照してください。 • syslog ログの設定については、P.10-25 の「syslog ロギングの設定」を参照してください。 • ODBC ログの設定については、P.10-25 の「ODBC ログの設定(ACS for Windows のみ)」を参 照してください。 (注) ステップ 2 リモート ロギング サーバでリモート ロギングを設定し、そのサーバから別のリモート ロ ギング サーバにすべてのデータを送信することができます。ただし、エンドレスのロギン グ ループを作成してしまう可能性があるため、このオプションを使用するときには注意が 必要です。 AAA Servers テーブルに、リモート ロギング サーバがロギング データを受信する ACS をそれぞれ 追加します。詳細については、P.3-18 の「AAA サーバの設定」を参照してください。 (注) リモート ロギング サーバが ACS のウォッチドッグ パケットとアップデート パケットをロ グに記録する場合、AAA Servers テーブルで、その ACS の Log Update/Watchdog Packets from this remote AAA Server チェックボックスをオンにする必要があります。 セカンダリ サーバまたはミラー ロギング サーバとして使用するために他のリモート ロギング サーバにリモート ロギングを実装する場合は、追加する各リモート ロギング サーバでこの手順を 繰り返します。 関連項目 ACS のリモート ロガーへのデータ送信設定(P.10-28) Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 10-27 第 10 章 ログとレポート ACS ログの設定 ACS のリモート ロガーへのデータ送信設定 (注) リモート ロギング サーバにデータを送信する各 ACS サーバでリモート ロギング機能を設定する 前に、リモート ロギング ACS サーバの設定が終了していることを確認してください。詳細につい ては、P.10-27 の「リモート ロギング サーバの設定」を参照してください。 リモート ロギング サーバにデータを送信する 各 ACS で、次の手順を実行します。 ステップ 1 リモート ロギング サーバを AAA Servers テーブルに追加します。詳細については、P.3-18 の「AAA サーバの設定」を参照してください。複数のリモート ロギング サーバを作成した場合は、リモー ト ロギング サーバごとにこの手順を繰り返します。 ステップ 2 ナビゲーション バーの System Configuration をクリックします。 ステップ 3 Logging をクリックします。 Logging Configuration ページが開きます。 ステップ 4 Remote Logging Servers Configuration をクリックします。 Remote Logging Setup ページが表示されます。 ステップ 5 該当する Remote Logging Services Configuration オプションを設定します。これらのオプションの詳 細については、P.10-42 の「Remote Logging Setup ページ」を参照してください。 ステップ 6 Submit をクリックします。 指定したリモート ロギングの設定が ACS に保存および実装されます。 関連項目 • リモート ロギング サーバの設定(P.10-27) リモート エージェントへのロギングの設定(ACS SE のみ) インストールした ACS リモート エージェントに、AAA 関連ログと監査ログのリモート ロギングを 設定できます。 ACS リモート エージェントのインストールと設定の詳細については、 『Installation and Configuration Guide for Cisco Secure ACS Remote Agents Release 4.2』を参照してください。 リモート ロギングをセットアップするには、次の手順を実行する必要があります。 1. 各 ACS SE で、リモート エージェントを追加します。詳細については、P.3-23 の「リモート エージェントの設定(ACS SE のみ)」を参照してください。 2. リモート エージェントにログを送信するように各 ACS SE を設定します。詳細については、 P.10-29 の「ACS SE のリモート エージェントへのデータ送信設定」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド 10-28 OL-14386-01-J 第 10 章 ログとレポート ACS ログの設定 3. リモート エージェントを設定プロバイダーとして使用するように設定されている ACS SE で、 そのリモート エージェントに記録されるすべてのログの内容とログファイルの管理方法を設 定します。詳細については、P.10-30 の「設定プロバイダーでのリモート エージェント ログの 設定」を参照してください。 セカンダリ サーバまたはミラー サーバとして使用する場合は、これらの手順を繰り返すことで、別 のリモート エージェントへのリモート ロギングをセットアップできます。 ACS SE のリモート エージェントへのデータ送信設定 リモート エージェントにデータを送信するようにローカルの各 ACS SE を設定します。リモート ロ ギングのローカル設定は、リモート エージェントに送信されるログの種類、またはリモート エー ジェントに送信されるログに含まれるデータの設定には影響を与えません。リモート エージェント に送信されるログを設定する方法とログに含まれるデータの詳細については、P.10-30 の「設定プ ロバイダーでのリモート エージェント ログの設定」を参照してください。 始める前に リモート エージェントをインストールおよび設定してから、リモート エージェントにデータを送 信する各 ACS SE でリモート ロギング機能を設定します。 リモート エージェントにデータを送信する各 ACS SE で、次の手順を実行します。 ステップ 1 ACS SE でリモート エージェントを追加します。詳細については、P.3-23 の「リモート エージェン トの設定(ACS SE のみ)」を参照してください。 ステップ 2 ナビゲーション バーの System Configuration をクリックします。 ステップ 3 Logging をクリックします。 Logging Configuration ページが開きます。 ステップ 4 Remote Logging Servers Configuration をクリックします。 Remote Logging Setup ページが表示されます。 ステップ 5 該当する Remote Logging Services Configuration オプションを設定します。これらのオプションの詳 細については、P.10-42 の「Remote Logging Setup ページ」を参照してください。 ステップ 6 Submit をクリックします。 指定したリモート ロギングの設定が ACS に保存および実装されます。 関連項目 設定プロバイダーでのリモート エージェント ログの設定(P.10-30) Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 10-29 第 10 章 ログとレポート ACS ログの設定 設定プロバイダーでのリモート エージェント ログの設定 設定プロバイダーで、リモート エージェントに保存するログ、ログの内容、およびリモート エー ジェントによるログ ファイルの管理方法を設定します。 ACS がログ データを送信するリモート エージェントを指定する方法については、P.10-29 の「ACS SE のリモート エージェントへのデータ送信設定」を参照してください。 リモート エージェントの CSV ログを設定するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 Logging をクリックします。 Logging Configuration ページが開きます。 ステップ 3 Remote Agent Reports Configuration をクリックします。 Remote Agent Reports Configuration ページが表示されます。 ステップ 4 設定するリモート ロギング レポートの Configure をクリックします。 CSV log File Configuration ページが表示されます。log には選択したリモート エージェント ログの 名前が表示されます。 ステップ 5 ログをイネーブルまたはディセーブルにするには、Log to CSV log name report チェックボックスを オンまたはオフにします。log name には、選択したリモート エージェント ログの名前が表示され ます。 ステップ 6 AAA 関連レポートの場合は、ログに記録するアトリビュートを設定します。アトリビュートの設 定オプションの詳細については、P.10-43 の「CSV log File Configuration ページ」を参照してください。 ステップ 7 CSV ファイルのファイル管理オプションを指定します。ファイル管理オプションの詳細について は、P.10-43 の「CSV log File Configuration ページ」を参照してください。 ステップ 8 Submit をクリックします。 指定したリモート エージェントのログ設定が ACS に実装されます。 関連項目 ACS SE のリモート エージェントへのデータ送信設定(P.10-29) サービス ログの設定 ACS によるサービス ログ ファイルの生成および管理の方法を設定するには、次の手順を実行しま す。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 Cisco Secure ACS Solution Engine ユーザ ガイド 10-30 OL-14386-01-J 第 10 章 ログとレポート ACS ログの設定 ステップ 2 Service Control をクリックします。 サービスのステータスが hostname テーブルに表示されます。hostname は ACS を実行しているコン ピュータの名前です。 ステップ 3 Services Log File Configuration ページでサービス ログ オプションを設定します。このページのオプ ションの詳細については、P.10-47 の「Service Control ページのリファレンス」を参照してください。 サービス ログ ファイルをディセーブルにするには、Level of Detail で None オプションを選択しま す。 ステップ 4 Restart をクリックします。 ACS がサービスを再起動し、指定したサービス ログの設定が ACS に実装されます。 関連項目 カスタマー サポートへのサービス ログの提供(P.10-31) カスタマー サポートへのサービス ログの提供 カスタマー サポートに潜在的な問題を調査するための十分なデータを提供するには、Services Log File Configuration ページで、Level of Detail を Full に設定します。詳細については、P.10-47 の「Service Control ページのリファレンス」を参照してください。ログ エントリを処理するための十分な空き ディスク容量があることを確認します。 使用する ACS に問題が存在すると、カスタマー サポートは package.cab ファイルの作成を依頼しま す。package.cab ファイルには、次に示すさまざまなファイルが含まれています。 • 証明書ファイル:ACS サーバの証明書、および証明書の CA。 • Admin.txt:ACS 管理者に関する情報が記載されています。 • Host.txt および HostServices.txt:ホストおよびホストの設定に関する情報が記載されています。 • NDG.txt:設定されたネットワーク デバイス グループが記載されています。 • DictionaryKey.txt および DictionaryValue.txt:ACS ディクショナリ ファイルが含まれています。 package.cab ファイルを作成するには、次の手順を実行します。 ステップ 1 コマンド プロンプトで、drwtsn32 と入力します。 Dr. Watson の設定をチェックし、デフォルトのオプションの他に、Dump Symbol Table オプション と Dump All Thread Contents オプションが選択されていることを確認します。 ステップ 2 ACS のインストール ディレクトリの bin サブディレクトリに移動します。 ステップ 3 CSSupport.exe と入力します。 すべてのデフォルト オプションを指定してこの実行ファイルを実行します。このプログラムによ り、Dr. Watson のログを含む必要な情報すべてが収集され、package.cab というファイルに書き込ま れます。ファイルの場所は、実行ファイルの実行が完了すると表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 10-31 第 10 章 ログとレポート ACS ログの設定 ACS Web インターフェイスの System Configuration セクションにある Support 機能により、Run Support Now をクリックすると生成される package.cab ファイル内にサービス ログが組み込まれま す。この機能の詳細については、P.7-30 の「Support ページ」を参照してください。 (注) 2 GB を超える package.cab ファイルを作成すると、パッケージのサイズ制限により、追加の .cab ファイルが作成されます。最初のパッケージ名は package.cab、2 つ目のパッケージ名は package1.cab とされ、以後 N パッケージ目の packageN.cab まで同様に名前が付けられます。N は、パッケージ 数から 1 を引いた数を指します。追加ファイルは、パックを開始する前に指定した場所と同じ場所 に保存されます。これらは単独のファイルではないため、すべてを送信してパッケージする必要が あります。ハードディスクの空き容量が不十分だと、パッケージ ファイル(package.cab)で問題が 生じる可能性があります。 関連項目 サービス ログの設定(P.10-30) Cisco Secure ACS Solution Engine ユーザ ガイド 10-32 OL-14386-01-J 第 10 章 ログとレポート レポートの表示とダウンロード レポートの表示とダウンロード レポートを表示およびダウンロードするには、Reports ページを最初に開きます。このページには、 ナビゲーション バーの Reports and Activity からアクセスします。このページからアクセス可能な すべてのレポートのリストについては、P.10-48 の「Reports ページのリファレンス」を参照してく ださい。 (注) RDBMS Synchronization レポートと Database Replication レポートは、これらのオプションが Interface Configuration > Advanced Options でイネーブルになっている場合にのみアクセスできま す。 次のトピックでは、ACS Web インターフェイスでレポートを表示する方法、およびレポートをダウ ンロードする方法を説明します。 • CSV レポートの表示とダウンロード(P.10-33) • ダイナミック管理レポートの表示(P.10-36) • エンタイトルメント レポートの表示とダウンロード(P.10-39) CSV レポートの表示とダウンロード 次のトピックでは、ACS CSV レポートを表示およびダウンロードする方法を説明します。 • CSV ログ ファイルの名前(P.10-33) • CSV レポートの表示(P.10-34) • CSV レポートのダウンロード(P.10-35) CSV ログ ファイルの名前 Reports and Activity 内のレポートにアクセスすると、ACS によって、現在の CSV ファイルを一番上 位にして、新しい順に CSV ファイルが一覧表示されます。現在のファイルは、log.csv という名前 になります。ここで log はログの名前です。 これよりも古いファイルには、次のような名前が付けられます。 logyyyy-mm-dd.csv 説明 log はログの名前です。 yyyy は CSV ファイルが開始された暦年です。 mm は CSV ファイルが開始された月を数字で表したものです。 dd は CSV ファイルが開始された日付です。 たとえば、2002 年 10 月 13 日に生成された Database Replication ログ ファイルは、Database Replication 2002-10-13.csv という名前になります。 関連項目 • CSV レポートの表示(P.10-34) • CSV レポートのダウンロード(P.10-35) Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 10-33 第 10 章 ログとレポート レポートの表示とダウンロード CSV レポートの表示 ACS Web インターフェイスで、CSV レポートの内容を表示できます。カラムのエントリによって テーブルをソートしたり、CSV ログ レポートをフィルタリングしたりすることができます。 フィルタリング基準には、正規表現、時間範囲、またはその両方が含まれます。 • 正規表現ベースのフィルタリングでは、行ごとに、各カラムの値の少なくとも 1 つが、指定さ れた正規表現に一致するかどうか調べられます。正規表現フィルタリングを使用する場合、ACS は各カラムを調べ、フィルタリング基準を満たす行だけを表示します。 • Start Date & Time および End Date & Time に値を指定して、時間ベースのフィルタリングを使用 できます。指定した日時範囲内の行が表示されます。 正規表現を入力し、時間ベースのフィルタリングも使用する場合、レポートには両方の基準を満た す行だけが表示されます。 CSV レポートを表示するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Reports and Activity をクリックします。 ステップ 2 表示する CSV レポートの名前をクリックします。 ACS によって、ブラウザの右側に、現在の CSV レポート ファイル名と、それ以前のすべての CSV レポート ファイルの名前が一覧表示されます。 ステップ 3 内容を表示する CSV レポート ファイルの名前をクリックします。 CSV レポート ファイルに情報が格納されている場合は、情報が表示領域に表示されます。 ステップ 4 現在の CSV レポートで、更新された情報を確認するには、Refresh をクリックします。 ステップ 5 Next ボタンおよび Previous ボタンを使用すると、レポート ページ間を前後に移動できます。 ステップ 6 カラムのエントリによって昇順または降順にテーブルをソートするには、次の手順を実行します。 カラムのエントリによって昇順でテーブルをソートするには、カラムのタイトルを一度クリックし ます。カラムのエントリによって降順でテーブルをソートするには、カラムのタイトルを再度ク リックします。 ステップ 7 フィルタリング基準を指定し、ログ ファイルの内容にフィルタを適用するには、次の手順を実行し ます。 a. Regular Expression テキスト ボックスに文字列値を入力します。最大 100 文字の正規表現を入 力できます。正規表現の文字と構文の定義については、表 10-8 を参照してください。 b. Start Date & Time テキスト ボックスと End Date & Time テキスト ボックスに文字列値を入力 します。日時の形式は、ACS システム設定の日付形式に定義されているとおりで、 dd/mm/yyyy,hh:mm:ss または mm/dd/yyyy,hh:mm:ss です。 c. Rows per Page ボックスで、1 ページあたりに表示する行数を選択します(デフォルトは 50 で す)。 d. Apply Filter をクリックします。ACS Web サーバによって、指定したフィルタリング基準がレ ポート ファイルに適用され、フィルタリングされた結果がレポートのテーブルに表示されま す。 Cisco Secure ACS Solution Engine ユーザ ガイド 10-34 OL-14386-01-J 第 10 章 ログとレポート レポートの表示とダウンロード e. フィルタリング パラメータをデフォルト値にリセットするには、Clear Filter をクリックしま す。このオプションを使用すると、フィルタリングされずにレポート全体が表示されます。 表 10-8 正規表現の構文の定義 文字 正規表現の使用法 ^ キャレット(^)は、文字列の先頭と照合します。「begins with」と解釈されます。 たとえば ^A は、ABc や A123 と一致し、1A234 とは一致しません。キャレットの別の 使用法については、最後のテーブル エントリを参照してください。 $ ドル記号($)は、文字列の末尾と照合します。「end with」と解釈されます。 たとえば yz$ は、xyz や 0123yz で終わる文字列と一致し、12yzA とは一致しません。 \ バックスラッシュ(\)は、任意の場所の任意の文字列と照合します。 「contains」として 解釈されます。 バックスラッシュは、特定の正規表現の「特殊文字」を表すために使用されることもあ ります(たとえば \+ は、プラス記号(+)に対して一致し、正規表現でプラス記号(+) を使用する場合と区別されます)。 . ドット(.)は任意の 1 文字と照合します。 * アスタリスク(*)は、正規表現でのアスタリスクの左にある文字が、任意の数のイン スタンス(0 回以上連続するもの)と照合することを示します。 + プラス記号(+)はアスタリスク(*)に似ていますが、正規表現でのプラス記号(+) の左に一致文字が 1 回以上連続している必要があります。 ? 疑問符(?)は、その左側の表現または文字が 0 回または 1 回連続しているものと照合 します。 | パイプ(|)では、パイプの両方の側の表現をターゲット文字列と照合することができま す。 たとえば A|a は、A と共に a にも一致します。 - ハイフン(-)は、値の範囲を示します。たとえば、a-z と指定します。 () 括弧は、表現のグループ化に使用され、パターン評価の順番に影響します。 [] 文字セットを囲む角カッコ([ ])は、囲まれた文字のいずれかをターゲット文字と照合 することを示します。角カッコ内の値は、1 つ以上の文字または範囲を指定することが できます。たとえば、[02468]、[0-9] と指定します。 [^ 左角カッコ([)の直後にキャレット(^)が続く場合は、カッコ内の残りの文字が、ター ゲット文字列の一致対象から除外されます。たとえば [^0-9] は、ターゲット文字が数字 ではなくアルファベットであることを示します。 関連項目 • CSV ログ ファイルの名前(P.10-33) • CSV レポートのダウンロード(P.10-35) CSV レポートのダウンロード ACS で表示できる任意の CSV レポートの CSV ファイルをダウンロードできます。 CSV ログ ファイルをダウンロードした後は、一般的に利用されている表計算アプリケーション ソ フトウェアを使用してスプレッドシートにインポートできます。詳細については、表計算ソフト ウェアのマニュアルを参照してください。サード パーティ製のレポート ツールを使用してレポー ト データを管理することもできます。たとえば、Extraxi の aaa-reports! は ACS をサポートしていま す。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 10-35 第 10 章 ログとレポート レポートの表示とダウンロード CSV レポートをダウンロードするには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Reports and Activity をクリックします。 ステップ 2 必要とされる CSV レポートの名前をクリックします。 ACS によって、ブラウザの右側に、現在の CSV レポート ファイル名と、それ以前のすべての CSV レポート ファイルの名前が一覧表示されます。 ステップ 3 ダウンロードする CSV レポートのファイル名をクリックします。 CSV レポート ファイルに情報がある場合は、その情報が右ペインの表示領域に表示されます。 ステップ 4 ブラウザの右ペインで、Download をクリックします。 ブラウザに、CSV ファイルを受け入れ、保存するかどうかを確認するダイアログボックスが表示さ れます。 ステップ 5 CSV ファイルを保存する場所を選択し、Save をクリックしてファイルを保存します。 関連項目 • CSV ログ ファイルの名前(P.10-33) • CSV レポートの表示(P.10-34) ダイナミック管理レポートの表示 次のトピックでは、ダイナミック管理レポートを表示および使用する方法を説明します。 • Logged-in Users レポートの表示(P.10-36) • Disabled Accounts レポートの表示(P.10-38) • Appliance Status レポートの表示(P.10-38) Logged-in Users レポートの表示 (注) Logged-In Users レポートは、開くまでに最大で 20 秒かかることがあります。特定のユーザ情報は、 表示されるまでに数分かかる場合もあります。 Logged-in Users レポートは ACS Web インターフェイスで表示できます。 (注) このユーザ リストは、ACS サービスが再起動されるときには必ずクリアおよび再起動されます。こ のリストには、リストが手動で削除されていない限り、ACS の最後の起動以降にログインしたユー ザの名前が表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド 10-36 OL-14386-01-J 第 10 章 ログとレポート レポートの表示とダウンロード このレポートから、特定の AAA クライアントにログインしているユーザを削除するように ACS に 指示することができます。ユーザがセッションを終了したときに、AAA クライアントがアカウン ティング停止パケットを ACS に送信しなかった場合、そのユーザは Logged-in Users レポートに継 続して表示されます。AAA クライアントからログインしているユーザを削除することにより、そ のユーザ セッションのアカウンティングが終了します。 (注) ログイン ユーザを削除しても、特定の AAA クライアントにログインしたユーザの ACS アカウン ティング レコードが終了するだけです。アクティブ ユーザ セッションを終了させることや、ユー ザ レコードに影響することはありません。 Logged-in Users レポートを表示するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Reports and Activity をクリックします。 ステップ 2 Logged-in Users をクリックします。 Select a AAA Client ページに、各 AAA クライアント、その IP アドレス、およびその AAA クライア ントを介してログインしたユーザの数が表示されます。テーブルの一番下にある All AAA Clients エ ントリには、ログインしたユーザの合計数が表示されます。 ステップ 3 ログインしたすべてのユーザのリストを表示するには、All AAA Clients をクリックします。 ステップ 4 特定の AAA クライアントを介してログインしたすべてのユーザのリストを表示するには、その AAA クライアントの名前をクリックします。 ACS は、ユーザのリストごとに、ログインしているすべてのユーザの情報をテーブル形式で表示し ます。次の情報が含まれます。 • 日時 • ユーザ • グループ • 割り当てられている IP • ポート • ソース AAA クライアント ヒント このリストを印刷するには、右側のウィンドウの一部をクリックし、ブラウザからウィ ンドウを印刷します。 ステップ 5 このテーブルを任意のカラムのエントリによって昇順または降順にソートするには、次の手順を実 行します。カラムのエントリによって昇順でテーブルをソートするには、カラムのタイトルを一度 クリックします。カラムのエントリによって降順でテーブルをソートするには、カラムのタイトル を再度クリックします。 ステップ 6 特定の AAA クライアントからログインしているユーザを削除するには、次の手順を実行します。 a. AAA クライアントの名前をクリックします。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 10-37 第 10 章 ログとレポート レポートの表示とダウンロード その AAA クライアントを介してログインしたすべてのユーザのテーブルが表示されます。 Purge Logged in Users ボタンがテーブルの下に表示されます。 b. Purge Logged in Users をクリックします。 ACS に、レポートから削除されたユーザの数と AAA クライアントの IP アドレスを示すメッ セージが表示されます。 Disabled Accounts レポートの表示 Disabled Accounts レポートを表示するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Reports and Activity をクリックします。 ステップ 2 Disabled Accounts をクリックします。 Select a user account to edit ページに、無効なユーザ アカウント、アカウント ステータス、および ユーザ アカウントが割り当てられているグループが表示されます。 ヒント ステップ 3 このリストを印刷するには、右側のウィンドウの一部をクリックし、ブラウザからウィ ンドウを印刷します。 リスト内のユーザ アカウントを編集するには、User カラムでユーザ名をクリックします。 編集対象のユーザ アカウントが表示されます。 ユーザ アカウントの編集方法の詳細については、P.6-4 の「基本ユーザ設定オプション」を参照し てください。 Appliance Status レポートの表示 Appliance Status レポートを表示するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Reports and Activity をクリックします。 ステップ 2 Appliance Status Page をクリックします。 Appliance Status レポートがブラウザの右ペインに表示されます。 ヒント このリストを印刷するには、右側のウィンドウの一部をクリックし、ブラウザからウィ ンドウを印刷します。 Cisco Secure ACS Solution Engine ユーザ ガイド 10-38 OL-14386-01-J 第 10 章 ログとレポート レポートの表示とダウンロード エンタイトルメント レポートの表示とダウンロード ユーザとグループのマッピング情報を示す CSV ユーザ エンタイトルメント レポートをダウンロー ドできます。すべての管理者とその特権をまとめた 1 つのレポートと共に、個々の管理者のレポー トまたは特権をダウンロードできます。個々の管理者のレポートは、ACS Web インターフェイスに 表示することもできます。 エンタイトルメント レポートを表示およびダウンロードするには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Reports and Activity をクリックします。 ステップ 2 Entitlement Reports をクリックします。 Entitlement Reports ページが表示されます。 ステップ 3 ユーザ エンタイトルメント レポートをダウンロードするには、次の手順を実行します。 a. Download report for mappings of users to groups をクリックします。 ブラウザに、CSV ファイルを受け入れ、保存するかどうかを確認するダイアログボックスが 表示されます。 b. CSV ファイルを保存する場所を選択し、Save をクリックします。 ステップ 4 すべての管理者の特権レポートをダウンロードするには、次の手順を実行します。 a. Download Privilege Report for All Administrators をクリックします。 ブラウザに、CSV ファイルを受け入れ、保存するかどうかを確認するダイアログボックスが 表示されます。 b. CSV ファイルを保存する場所を選択し、Save をクリックします。 ステップ 5 個々の管理者の特権レポートを表示およびダウンロードするには、次の手順を実行します。 a. Privilege Report for Admin をクリックします。Admin には、管理者アカウントの名前が表示さ れます。 ブラウザの右ペインにレポートが表示されます。 ヒント このリストを印刷するには、右ペインの一部をクリックし、ブラウザからウィンドウを 印刷します。 b. CSV ログ ファイルをダウンロードするには、ブラウザの右ペインで Download をクリックし ます。 ブラウザに、CSV ファイルを受け入れ、保存するかどうかを確認するダイアログボックスが 表示されます。 c. CSV ファイルを保存する場所を選択し、Save をクリックします。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 10-39 第 10 章 ログとレポート アカウンティング ログでのアップデート パケット アカウンティング ログでのアップデート パケット ユーザ セッションのアカウンティング データを記録するように ACS を設定すると、ACS は必ず開 始パケットと停止パケットを記録します。必要であれば、アップデート パケットも記録するように ACS を設定できます。ユーザ セッション時に仮のアカウンティング情報を提供することに加えて、 アップデート パケットは、ACS Authentication Agent 経由でパスワード失効メッセージを送信しま す。アップデート パケットをこの用途に使用する場合は、ウォッチドッグ パケットと呼ばれます。 (注) ACS アカウンティング ログにアップデート パケットを記録するには、AAA クライアントがアップ デート パケットを送信するように設定する必要があります。アップデート パケットを送信するよ うに AAA クライアントを設定する方法の詳細については、AAA クライアントのマニュアルを参照 してください。 • Logging Update Packets Locally:ローカルの ACS のロギング設定に従ってアップデート パケッ ト を ロ ギ ン グ す る に は、Network Configuration で 各 AAA ク ラ イ ア ン ト に 対 し て、Log Update/Watchdog Packets from this Access Server オプションをイネーブルにします。 AAA クライアントに対してこのオプションを設定する方法の詳細については、P.3-14 の「AAA クライアントの追加」を参照してください。 • Logging Update Packets Remotely:リモート ロギング サーバにアップデート パケットをロギン グするには、ローカル ACS 上にあるリモート ロギング サーバの AAA Server テーブル エント リに対して、Log Update/Watchdog Packets from this remote AAA Server オプションをイネーブル にします。 AAA サーバに対してこのオプションを設定する方法の詳細については、P.3-20 の「AAA サー バの追加」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド 10-40 OL-14386-01-J 第 10 章 ログとレポート Logging Configuration ページのリファレンス Logging Configuration ページのリファレンス 次のトピックでは、Logging Configuration ページについて説明します。 • Logging Configuration ページ(P.10-41) • Critical Loggers Configuration ページ(P.10-41) • Remote Logging Setup ページ(P.10-42) • Remote Agents Reports Configuration ページ(ACS SE のみ)(P.10-43) • CSV log File Configuration ページ(P.10-43) • Syslog log Configuration ページ(P.10-44) • ODBC log Configuration ページ(ACS for Windows のみ) (P.10-45) Logging Configuration ページ Logging Configuration ページは、ロガーと個々のログを設定するときに開く最初のページです。 このページを開くには、System Configuration > Logging を選択します。 表 10-9 Logging Configuration ページ オプション 説明 Critical Loggers Configuration P.10-41 の「Critical Loggers Configuration ページ」を開きます。ACS がアカウン ティング メッセージを複数のロガーに記録する場合、このページでクリティカ ル ロガーを設定できます。 Remote Logging Services Configuration P.10-42 の「Remote Logging Setup ページ」を開き、リモート ロガーを設定します。 Remote Agent Reports Configuration P.10-43 の「Remote Agents Reports Configuration ページ(ACS SE のみ) 」を開き、 リモート エージェントにあるログの内容とファイル管理方法を設定します。 (ACS SE のみ) イネーブルになっているログを表示します。Configure リンクを選択すると、ロ グごとに次に示す個々の設定ページが開かれます。 ACS Reports table • CSV log File Configuration ページ(P.10-43) • Syslog log Configuration ページ(P.10-44) • ODBC log Configuration ページ(ACS for Windows のみ)(P.10-45) 関連項目 • ACS ログの設定(P.10-23) • ACS for Windows のリモート ロギング(P.10-10) • ACS リモート エージェントによる ACS SE のリモート ロギング(P.10-11) Critical Loggers Configuration ページ Critical Loggers Configuration ページでは、アカウンティング ログにクリティカル ロガーを設定し て、これらのログが少なくとも 1 つのロガーに配信されるよう保証します。 このページを開くには、System Configuration > Logging を選択します。Logging Configuration ペー ジで、Critical Loggers Configuration リンクをクリックします。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 10-41 第 10 章 ログとレポート Logging Configuration ページのリファレンス 表 10-10 Critical Loggers Configuration ページ オプション 説明 RADIUS accounting critical logger RADIUS Accounting ログにクリティカル ロガーを指定します。 TACACS+ accounting critical logger TACACS+ Accounting ログにクリティカル ロガーを指定します。 VoIP accounting critical logger VoIP Accounting ログにクリティカル ロガーを指定します。 (注) syslog 標準によると、syslog メッセージのロギングは保証されていないため、クリティカル ロガー として syslog ロガーを設定することはお勧めできません。 関連項目 クリティカル ロガーの設定(P.10-23) Remote Logging Setup ページ Remote Logging Setup ページを使用して、ローカル ACS のログ送信先となるリモート ロガーを設定 します。 このページを開くには、System Configuration > Logging を選択します。Logging Configuration ペー ジで、Remote Logging Servers Configuration リンクをクリックします。 表 10-11 Remote Logging Setup ページ オプション 説明 Do not log remotely リモート ロガーへのロギングをディセーブルにします。 Log to all selected remote log services ロギング データを Selected Log Services リスト内のすべてのリモート ロ ガーに送信します。 Log to subsequent remote log services on failure この ACS サーバのロギング情報を 1 つのリモート ロガーに送信します。 ACS は、Selected Log Services リスト内で最初にアクセス可能なリモート ロガーにログを記録します。 このオプションは、最初のリモート ロガーが失敗した場合にのみ、Selected Log Services リスト内の次のリモート ロガーにロギング データが送信され るように ACS を設定する場合に使用します。 これらのリストには、AAA Services テーブルで設定される ACS サーバが 含まれます。 Log Services lists 右(->)および左(<-)の矢印ボタンにより、Selected Log Services リスト のロギング サービスを追加および削除します。 Up ボタンと Down ボタンにより、Selected Log Services リストのロギング サービスを並べ替えます。 関連項目 • ACS for Windows のリモート ロギング(P.10-10) • ACS リモート エージェントによる ACS SE のリモート ロギング(P.10-11) Cisco Secure ACS Solution Engine ユーザ ガイド 10-42 OL-14386-01-J 第 10 章 ログとレポート Logging Configuration ページのリファレンス Remote Agents Reports Configuration ページ(ACS SE のみ) 設定プロバイダーとして使用するようにリモート エージェントが設定されている ACS SE の Remote Agent Reports Configuration ページを使用して、そのリモート エージェントに記録されるす べてのログの内容とログ ファイルの管理方法を設定します。 このページを開くには、System Configuration > Logging を選択します。Logging Configuration ペー ジで、Remote Agent Reports Configuration リンクをクリックします。 表 10-12 Logging Configuration ページ オプション 説明 Remote Logging Reports table リモート エージェントへの送信がイネーブルになっているログを表示します。 Configure リンクを選択すると、ログごとに個々の設定ページが開かれます。 関連項目 設定プロバイダーでのリモート エージェント ログの設定(P.10-30) CSV log File Configuration ページ CSV log File Configuration ページでは、ローカルまたはリモートの個々の CSV ロガーへのロギング をイネーブルにし、そのログの内容とファイル管理方法を設定します。 このページを開くには、System Configuration > Logging を選択します。Reports Configurations テー ブルで、CSV カラムにあるログの Configure をクリックします。 ACS SE 設定プロバイダーの場合、リモート エージェントへのリモート ロギングをイネーブルにす るには、Remote Agent Reports Configuration をクリックしてから、ログの Configure をクリックし ます。 (注) ACS SE の場合、ローカル CSV 監査ログに設定可能なオプションはありません。 表 10-13 CSV log File Configuration ページ オプション 説明 Enable Logging ログをイネーブルまたはディセーブルにするオプションが表示されます。 Log to CSV log report チェックボックス 選択したロガーへのロギングをイネーブルまたはディセーブルにします。 (注) Configure Log Content CSV 監査ログの場合は常にイネーブルになっているため、この チェックボックスはグレー表示されます。 ログに記録するアトリビュートを指定するオプションが表示されます。 (AAA 関連レポートのみ) Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 10-43 第 10 章 ログとレポート Logging Configuration ページのリファレンス 表 10-13 CSV log File Configuration ページ(続き) オプション 説明 Select Columns to Log Attribute リストには、ロギング用に選択されていないアトリビュートが表示 されます。Logged Attributes リストには、ロギング用に選択されているアトリ ビュートが表示されます。 右(->)および左(<-)の矢印ボタンにより、Logged Atttibutes リストのアト リビュートを追加および削除します。 Up ボタンと Down ボタンにより、Logged Attributes リスト内のアトリビュー トを並べ替えます。 Reset Columns ボタン Logged Attributes リスト内のアトリビュートをデフォルトの選択に戻します。 Log File Management ログ ファイル管理オプションが表示されます。 (ACS for Windows と Remote Agent Reports 設定のみ) ACS またはリモート エージェントで新しい CSV ファイルを生成するタイミ ングを指定します。 Generate New File • Every day:毎日、現地時間の午前 12:01 に実行。 • Every week: 毎週日曜日の現地時間午前 12:01 に実行。 • Every month:毎月 1 日の現地時間午前 12:01 に実行。 • When size is greater than x KB:現在のファイル サイズが、キロバイト単 位で X ボックスに入力した値に到達したときに実行。 Directory ACS またはリモート エージェントが、CSV ログ ファイルを書き込む先の ディレクトリ。ドライブ文字を含むフル パスで指定することをお勧めしま す。フル パスでない場合、ファイルの場所はインストール ディレクトリから の相対パスになります。リモート エージェント サーバが Sun Solaris を使用 する場合、そのパスは /usr/data/acs-logs などのルート ディレクトリで始まる 必要があります。 Manage Directory 保持する CSV ファイルを管理します。 Keep only the last X files 保持する CSV ファイルの数を制限します。保持するファイルの最大数を X ボックスに入力します。 Delete files older than X days 保持する CSV ファイルの経過日数を制限します。CSV ファイルを削除する までの日数を入力します。 関連項目 • CSV ログの設定(P.10-24) • リモート ロギング サーバの設定(P.10-27) • 設定プロバイダーでのリモート エージェント ログの設定(P.10-30) Syslog log Configuration ページ Syslog log File Configuration ページでは、最大 2 つの syslog ロガーへのロギングをイネーブルにし、 それらのログの内容を設定します。 このページを開くには、System Configuration > Logging を選択します。Reports Configurations テー ブルで、Syslog カラムにあるログの Configure をクリックします。 Cisco Secure ACS Solution Engine ユーザ ガイド 10-44 OL-14386-01-J 第 10 章 ログとレポート Logging Configuration ページのリファレンス 表 10-14 Syslog log File Configuration ページ オプション 説明 Enable Logging ログをイネーブルまたはディセーブルにするオプションが表示されます。 Log to syslog log report チェックボックス 選択したロガーへのロギングをイネーブルまたはディセーブルにします。デ フォルトはディセーブルです。 ログに記録するアトリビュートを指定するオプションが表示されます。 Configure Log Content (AAA 関連レポートのみ) Attribute リストには、ロギング用に選択されていないアトリビュートが表示さ れます。Logged Attributes リストには、ロギング用に選択されているアトリ ビュートが表示されます。 Select Columns to Log 右(->)および左(<-)の矢印ボタンにより、Logged Atttibutes リストのアト リビュートを追加および削除します。 Up ボタンと Down ボタンにより、Logged Attributes リスト内のアトリビュート を並べ替えます。 Reset Columns ボタン Logged Attributes リスト内のアトリビュートをデフォルトの選択に戻します。 Syslog Servers 最大 2 つの syslog ロギング サーバを設定するオプションが表示されます。 IP syslog サーバの IP アドレスを指定します。 Port ログ メッセージの送信先となる syslog サーバのポートを指定します。 Max message length (bytes) syslog メッセージの最大メッセージ長をバイト単位で指定します。デフォルト 長は、標準 syslog サーバで推奨されるメッセージ長の 1024 バイトです。syslog をプロキシとして使用する場合は、メッセージ長を短くして、プロキシ ヘッ ダー用のスペースを確保します。 許容最小値は 200 バイトです。 関連項目 • syslog ロギングの設定(P.10-25) • リモート ロギング サーバの設定(P.10-27) ODBC log Configuration ページ(ACS for Windows のみ) ODBC log Configuration ページでは、個々の ODBC ロガーへのロギングをイネーブルにし、ACS の 内容と接続の設定内容を ODBC データベースに設定します。 このページを開くには、System Configuration > Logging を選択します。Reports Configurations テー ブルで、ODBC カラムにあるログの名前の近くにあるアイコンをクリックします。 表 10-15 ODBC log Configuration ページ オプション 説明 Enable Logging ログをイネーブルまたはディセーブルにするオプションが表示されます。 Log to ODBC log report チェックボックス 選択したロガーへのロギングをイネーブルまたはディセーブルにします。デ フォルトはディセーブルです。 Configure Log Content ログに記録するアトリビュートを指定するオプションが表示されます。 (AAA 関連レポートのみ) Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 10-45 第 10 章 ログとレポート Logging Configuration ページのリファレンス 表 10-15 ODBC log Configuration ページ(続き) オプション 説明 Select Columns to Log Attribute リストには、ロギング用に選択されていないアトリビュートが表示さ れます。Logged Attributes リストには、ロギング用に選択されているアトリ ビュートが表示されます。 右(->)および左(<-)の矢印ボタンにより、Logged Atttibutes リストのアト リビュートを追加および削除します。 Up ボタンと Down ボタンにより、Logged Attributes リスト内のアトリビュート を並べ替えます。 Reset Columns ボタン Logged Attributes リスト内のアトリビュートをデフォルトの選択に戻します。 ODBC Connection Settings ACS が ODBC データベースと通信するためのオプションが表示されます。 Data Source list ACS が ODBC ロギング データを使用するリレーショナル データベースに送 信できるようにするために作成したシステム DSN。 Username リレーショナル データベース内のユーザ アカウントのユーザ名(最大 80 文 字)。 (注) ユーザは、ODBC ロギング データを適切なテーブルに書き込むため に、リレーショナル データベースで十分な特権を持っている必要があ ります。 Password 指定したリレーショナル データベースのユーザ アカウントのパスワード(最 大 80 文字) Table Name ODBC ロギング データを付加するテーブルの名前(最大 80 文字) Create Table Statement SQL create table 文を表示するオプションが表示されます。 Show Create Table ボタン Microsoft SQL Server の SQL create table 文を表示します。create table 文は、ACS ウィンドウの右パネルに表示されます。 テーブル名は、Table Name フィールドで指定する名前です。カラム名は、 Logged Attributes リストで指定されているアトリビュートです。 (注) 生成された SQL は、Microsoft SQL Server でのみ有効です。別のリレー ショナル データベースを使用する場合は、使用するリレーショナル データベースのマニュアルで、テーブルを作成するコマンドの記述方 法を参照してください。 関連項目 • ODBC ログの設定(ACS for Windows のみ)(P.10-25) • リモート ロギング サーバの設定(P.10-27) Cisco Secure ACS Solution Engine ユーザ ガイド 10-46 OL-14386-01-J 第 10 章 ログとレポート Service Control ページのリファレンス Service Control ページのリファレンス Services Log File Configuration ページでは、サービス ログのロギングをイネーブルまたはディセー ブルにし、そのログの詳細とファイル管理方法を設定します。 このページを開くには、System Configuration > Service Control を選択します。 これらのオプションを有効にするには、Restart ボタンをクリックする必要があります。 表 10-16 Services Log File Configuration ページ オプション 説明 Cisco Secure ACS on <server> ACS サービスが実行中かまたは停止しているかを表示します。 Services Log File Configuration サービスのロギングをイネーブル、ディセーブル、および設定するオプションが表 示されます。 Level of Detail ロギングをディセーブルにするか、またはロギングのレベルを設定します。 • None:ログ ファイルは生成されません。 • Low:起動動作と停止動作だけがロギングされます。これがデフォルト設定で す。 • Full:すべてのサービス動作がロギングされます。このオプションは、カスタ マー サポート向けにデータを収集するときに使用します。このオプションによ り、潜在的な問題の調査に十分なデータをカスタマー サポートに提供します。 ログ エントリを処理するための十分な空きディスク容量があることを確認し ます。 ログ ファイル管理オプションが表示されます。 Log File Management (ACS for Windows のみ) ACS またはリモート エージェントで新しい CSV ファイルを生成するタイミングを 選択します。 Generate New File • Every day:毎日、現地時間の午前 12:01 に実行。 • Every week: 毎週日曜日の現地時間午前 12:01 に実行。 • Every month:毎月 1 日の現地時間午前 12:01 に実行。 • When size is greater than x KB:現在のファイル サイズが、キロバイト単位で X ボックスに入力した値に到達したときに実行。 Manage Directory 保持する CSV ファイルを管理する場合にオンにします。 Keep only the last X files 保持する CSV ファイルの制限数を選択します。保持するファイルの最大数を X ボックスに入力します。 Delete files older than X days 保持する CSV ファイルの経過日数の制限を選択します。CSV ファイルを削除する までの日数を入力します。 関連項目 サービス ログの設定(P.10-30) Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 10-47 第 10 章 ログとレポート Reports ページのリファレンス Reports ページのリファレンス このページを使用して、ACS CSV レポートにアクセスし、ダウンロードします。 このページを開くには、ナビゲーション バーの Reports and Activity をクリックします。 表 10-17 Reports ページ オプション 説明 TACACS+ Accounting Reports TACACS+ Accounting レポートを表示します。このレポートには、レポートの対象 期間に該当項目が成功した認証のすべてのレコードが表示されます。 TACACS+ Administration Reports TACACS+ Administration レポートを表示します。このレポートには、レポートの対 象期間に要求されたすべての TACACS+ コマンドが表示されます。通常この情報 は、ACS を使用してルータへのアクセスを管理する場合に使用されます。 RADIUS Accounting Report RADIUS Accounting レポートを表示します。このレポートには、レポートの対象期 間に該当項目が成功した認証のすべてのレコードが表示されます。 VoIP Accounting Reports VoIP Accounting レポートを表示します。このレポートには、レポートの対象期間 に該当項目が成功した認証のすべてのレコードが表示されます。 Passed Authentications Passed Authentications レポートを表示します。このレポートには、レポートの対象 期間に成功した認証のすべてが一覧表示されます。 Failed Attempts Failed Attempts レポートを表示します。このレポートには、TACACS+ と RADIUS のレポートの対象期間に成功しなかったすべての認証のレコードが表示されます。 このレポートには、試行されたユーザ名、日時、および失敗の原因も記録されてい ます。 Logged-In Users 現在ログインしているすべてのユーザを AAA クライアントごとにグループ化して 表示します。特定の AAA クライアントまたはすべての AAA クライアントからロ グイン ユーザを削除できます。 Disabled Accounts 無効になっているアカウントを表示します。 ACS Backup and Restore ACS Backup and Restore レポートを表示します。このレポートには、ACS システム 情報がバックアップおよび復元された日時、およびアクションが正常に実行された かどうかが一覧表示されます。 RDBMS Synchronization RDBMS Synchronization レポートを表示します。このレポートには、RDBMS デー タベースが同期化された時刻、および同期が手動によるものかスケジュールされた ものかどうかが表示されます。 このレポートは、Interface Configuration > Advanced Options ページでこのオプショ ンをイネーブルにした場合にのみ表示できます。 Database Replication Database Replication レポートを表示します。このレポートには、ACS 内部データ ベースがバックアップ サーバに複製された時刻、および複製が手動によるものか スケジュールされたものかどうかが表示されます。 このレポートは、Interface Configuration > Advanced Options ページでこのオプショ ンをイネーブルにした場合にのみ表示できます。 Administration Audit Administration Audit レポートを表示します。このレポートには、該当する日付に ACS にアクセスした管理者、ACS で管理者が行ったアクションまたは操作、およ びその操作の時刻が一覧表示されます。ログに記録されるアクションは、管理セッ ションの開始と停止、ユーザおよびグループ データの編集、ネットワーク設定の 変更などです。 User Password Changes User Password Changes レポートを表示します。このレポートには、ACS 内部データ ベースに保存されているパスワードに対して、ユーザが開始した変更についての情 報が表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド 10-48 OL-14386-01-J 第 10 章 ログとレポート Reports ページのリファレンス 表 10-17 Reports ページ(続き) オプション 説明 ACS Service Monitoring ACS Service Monitoring レポートを表示します。このレポートには、CSAdmin など のサービスを監視しようとして ACS で発生したイベントのログが表示されます。 この情報には、Active Service Monitor や CSMon サービスのイベントなどがありま す。 Entitlement Reports 表示可能なユーザおよび管理者のエンタイトルメント レポートを一覧表示しま す。ユーザのエンタイトルメント レポートには、すべてのユーザとそのグループ、 関連する場合は NAP、およびマッピング タイプ(スタティックまたはダイナミッ ク)が一覧表示されます。管理者のエンタイトルメント レポートには、管理者の 特権が一覧表示されます。 Appliance Status Page(ACS SE のみ) IP ネットワーク設定、および ACS アプライアンスのネットワーク インターフェイ ス カードの情報と共に、ハードウェア リソースの利用率に関する現在の統計情報 を表示します。 Appliance Administration Audit(ACS Appliance Administration Audit レポートを表示します。このレポートには、ACS ア SE のみ) プライアンスのシリアル コンソールでのアクティビティのリストが表示されま す。ログインのためにアプライアンス管理者アカウントが使用された時刻、シリア ル コンソール セッション時に発行されたコマンド、および管理者がログアウトし てセッションが終了した時刻が記録されます。 関連項目 • ACS ログとレポートについて(P.10-2) • レポートの表示とダウンロード(P.10-33) Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 10-49 第 10 章 ログとレポート 監査ログのアトリビュート 監査ログのアトリビュート 表 10-18 に、ACS で監視され、ユーザ ページのフィールドを編集するための管理ユーザのアクショ ンを指定するアトリビュートの一覧を示します。 表 10-18 監査ログのアトリビュート コード 編集フィールド 1 Account_Disabled 2 Real_Name 3 Description 4 Password_Authentication 5 PAP_Passowrd 6 Separate_PWD_For_CHAP 7 CHAP_Password 8 User_Group 9 Callback_setting 10 Client_IP_ADDR_Assignment 11 Selected_Pools 12 Shared_NAR 13 Selected_NARs 14 PerUser_NAR 15 Per_User_Def_Net_Access_Restriction_Table 16 CLI/DNIS-based_Access_Restrictions 17 CLI/DNIS-based_Access_Restrictions_Table 18 MAX_Sessions 19 User_Usage_Quotas 20 reset_Usage_Counters 21 Advanced_Account_Disable_options 22 Time_Bound_Alternate_Group 23 DownloadableACL 24 Tacacs+Enable_Control 25 AssociationTable 26 Tacacs+Enable_Passwd_settings 27 Tacacs+Passwd 28 Tacacs+OutBoundPasswd 29 Tacacs+Settings_PPP_IP 30 Tacacs+Settings_Custom_Attr_PPP_IP 31 Tacacs+Settings_PPP_IPX 32 Tacacs+Settings_Custom_Attr_PPP_IPX 33 Tacacs+Settings_PPP_Multilink 34 Tacacs+Settings_Custom_Attr_PPP_MultiLink 35 Tacacs+Settings_PPP_Apple_Talk 36 Tacacs+Settings_Custom_Attr_PPP_Apple_Talk 37 Tacacs+Settings_PPP_VPDN Cisco Secure ACS Solution Engine ユーザ ガイド 10-50 OL-14386-01-J 第 10 章 ログとレポート 監査ログのアトリビュート 表 10-18 監査ログのアトリビュート 38 Tacacs+Settings_Custom_Attr_PPP_VPDN 39 Tacacs+Settings_PPP_LCP 40 Tacacs+Settings_Custom_Attr_PPP_LCP 41 Tacacs+Settings_ARAP 42 Tacacs+Settings_Custom_Attr_ARAP 43 Tacacs+Settings_Shell_exec 44 Tacacs+Settings_Custom_shell_exec 45 Tacacs+Settings_PIXShell 46 Tacacs+Settings_PIXShell_Custom_Attributes 47 Tacacs+Settings_Slip 48 Tacacs+Settings_Slip_Custom_Attributes 49 Tacacs+Settings_shell_cmd_Auth_Set 50 Shell_Cmd_Auth_Set_Table 51 Per_User_Command_Authorization 52 PIX/ASA_Command_Authorization 53 PIX/ASA_Command_Authorization_Table 54 Tacacs+UnknownServices 55 IETF_RADIUS_Attributes_Service_Type 56 IETF_RADIUS_Attributes_Framed_Protocol 57 IETF_RADIUS_Attributes_Framed-IP-Netmask 58 IETF_RADIUS_Attributes_Framed-Routing 59 IETF_RADIUS_Attributes_Filter-ID 60 IETF_RADIUS_Attributes_Framed-MTU 61 IETF_RADIUS_Attributes_Framed-Compression 62 IETF_RADIUS_Attributes_Login-IP-Host 63 IETF_RADIUS_Attributes_Login-Service 64 IETF_Radius_Attributes_Login-TCP-Port 65 IETF_RADIUS_Attributes_Reply-Message 66 IETF_RADIUS_Attributes_CallBack-ID 67 IETF_RADIUS_Attributes_Framed-Route 68 IETF_RADIUS_Attributes_Framed-IPX-Network 69 IETF_RADIUS_Attributes_State 70 IETF_RADIUS_Attributes_Class 71 IETF_RADIUS_Attributes_Session-Timeout 72 IETF_RADIUS_Attributes_Termination-Action 73 IETF_RADIUS_Attributes_Proxy-State 74 IETF_RADIUS_Attributes_Login-LAT-Service 75 IETF_RADIUS_Attributes_Login-LAT-Node 76 IETF_RADIUS_Attributes_Login-LAT-Group 77 IETF_RADIUS_Attributes_Framed-AppleTalk-Link 78 IETF_RADIUS_Attributes_Framed-AppleTalk-Network 79 IETF_RADIUS_Attributes_Framed-AppleTalk-Zone Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 10-51 第 10 章 ログとレポート 監査ログのアトリビュート 表 10-18 監査ログのアトリビュート 80 IETF_RADIUS_Attributes_Port-Limit 81 IETF_RADIUS_Attributes_Login-LAT-Port 82 IETF_RADIUS_Attributes_Tunnel-Type 83 IETF_RADIUS_Attributes_Tunnel-Medium-Type 84 IETF_RADIUS_Attributes_Tunnel-Client-Endpoint 85 IETF_RADIUS_Attributes_Tunnel-Server-Endpoint 86 IETF_RADIUS_Attributes_Tunnel-Password 87 IETF_RADIUS_Attributes_ARAP-Features 88 IETF_RADIUS_Attributes_ARAP-Zone-Access 89 IETF_RADIUS_Attributes_Configuration-Token 90 IETF_RADIUS_Attributes_Tunnel-Private-Group-ID 91 IETF_RADIUS_Attributes_Tunnel-Assignment-ID 92 IETF_RADIUS_Attributes_Tunnel-Preference 93 IETF_RADIUS_Attributes_Acct-Interim-Interval 94 IETF_RADIUS_Attributes_Tunnel-Client-Auth-ID 95 IETF_RADIUS_Attributes_Tunnel-Server-Auth-ID Cisco Secure ACS Solution Engine ユーザ ガイド 10-52 OL-14386-01-J C H A P T E R 11 管理者と管理ポリシー この章では、Cisco Secure Access Control Server Release 4.2(以降は ACS と表記)の Administration Control セクションにある機能について説明します。 この章は、次の項で構成されています。 • 管理者アカウント(P.11-2) • ログイン(P.11-7) • アカウントの追加、編集、および削除(P.11-8) • ポリシー オプションの設定(P.11-11) • Administration Control ページのリファレンス(P.11-13) Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 11-1 第 11 章 管理者と管理ポリシー 管理者アカウント 管理者アカウント ACS Web インターフェイスにアクセスできるのは、管理者アカウントのユーザだけです。 ここでは、次の項目について説明します。 • 管理者アカウントについて(P.11-2) • 特権(P.11-2) • グループ アクセス特権(P.11-3) • パスワードの失効とアカウントのロックアウト(P.11-4) • 適合認定のサポート(P.11-5) 管理者アカウントについて Administration Control ページにあるリンクにより、個々の管理者または管理者グループの名前、パ スワード、および特権を確立するページに移動できます。 ACS の管理者アカウントには、次のような特徴があります。 • ACS に固有であり、Windows の管理者アカウント、ACS TACACS+ アカウント、または他の ACS ユーザ アカウントなど、それ以外のアカウントと関連はありません。 • 外部 ACS ユーザとの関連はありません。ACS は、ACS 管理者アカウントを別個の内部データ ベースに保存します。 特権 各管理者に与えられる特権により、Web インターフェイスへのアクセス権が決まります。デフォル トでは、新しい管理者にはいずれの特権も与えられていません。 Administration Control 特権 Administration Control 特権を持っている管理者は、Administration Control ページのすべてのエリアに アクセスできます。これらの管理者は、Administration Control ページにより、管理者を管理したり、 管理アクセス ポリシーを制御するページにアクセスしたりできます。限定された管理者が自分のパ スワードを更新できます。図 11-1 に、Administration Control 特権によって与えられるアクセス権を 示します。 図 11-1 Administration Control 特権 Cisco Secure ACS Solution Engine ユーザ ガイド 11-2 OL-14386-01-J 第 11 章 管理者と管理ポリシー 管理者アカウント 管理者または管理者グループに与えることができる特権には、次のような例があります。 • 共有プロファイル コンポーネント • ネットワーク、システム、およびインターフェイスの設定 • 管理制御 • 外部ユーザ データベース、ポスチャ確認、Network Access Profile(NAP; ネットワーク アクセ ス プロファイル) • レポートおよびアクティビティ たとえば、Administration Control 特権を持つ管理者が、ネットワーク管理の役割も持っている管理 者が使用できるように、Web インターフェイスの Network Configuration セクションへのアクセス権 を設定するとします。この場合は、Network Configuration 特権のみをオンにして該当する管理者ア カウントに与えます。 一方、管理者または管理者グループにすべての特権が与えられるように設定することもできます。 この場合は、Grant All(特権)オプションをクリックします。 Web インターフェイスには、管理者に与えるアクセス権の種類を制御するフィルタ機能も用意され ています。たとえば、ユーザのグループに対して読み取り専用アクセス権を持つ管理者を設定した り、または同じグループに対する追加および編集アクセス権を与えたりすることができます。 (注) 管理者に与えられる特権のレポートを生成する場合の詳細については、第 10 章「ログとレポート」 を参照してください。 ポリシーの影響 Administration Control ページには、アクセス ポリシー、セッション ポリシー、およびパスワード ポ リシーの設定ページへのリンクもあります。これらのポリシーは、すべてのアカウント ログインに 影響を与えます。ポリシーには、次の設定オプションがあります。 • アクセス ポリシー:IP アドレスの制限、HTTP ポートの制限、および Secure Socket Layer(SSL) のセットアップ。 • セッション ポリシー:タイムアウト、自動ローカル ログイン、および無効な IP アドレス接続 への応答。 • パスワード ポリシー:パスワード確認、ライフタイム、非アクティビティ、および不正な試行。 グループ アクセス特権 ACS には、グループまたはグループ内のユーザに対する管理者のアクセス権の種類を決定するオプ ションがあります。これらのオプションをイネーブルにすると、アクセス可能なグループすべてに 関して、次の特権が管理者に与えられます。 • ユーザ ページの追加または編集 • グループ ページの編集 • ユーザ ページへの読み取りアクセス • グループ ページへの読み取りアクセス Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 11-3 第 11 章 管理者と管理ポリシー 管理者アカウント 表 11-1 は、これらのオプションを選択した場合の相互動作の説明を示します。 表 11-1 グループ アクセス オプション 追加および編集 読み取り アクセス アクセス 結果 No No 管理者は、Editable groups 内のユーザを表示できない。 No Yes 管理者は、Editable groups 内のユーザを表示できるが、Submit は使用 できない。 Yes No Yes Yes どちらの場合にもフルアクセス権が与えられる。このオプションを イネーブルにすると、Add/Edit Users in these groups の設定が読み取り アクセスより優先されます。 パスワードの失効とアカウントのロックアウト ログインが正常に行われると、管理者の画面には、ACS Web インターフェイス のメイン ページが 表示されます。ただし、すべてのログインは、有効期限、アカウントのロックアウト、およびパス ワード設定オプションなどの Administration Contorl ページで設定した制限事項の対象となります。 パスワードのライフタイムとパスワードの非アクティビティに設定する制限により、パスワードの 変更またはアカウントのロックアウトを強制できます。また、失敗した試行に設定する制限によっ てパスワードの変更を強制することもできます。特権を持つ管理者は、手動でアカウントをロック できます。アカウントのロックアウトの場合は、特権を持つ管理者がそのアカウントをロック解除 する必要があります。 ACS には、Account Never Expires オプションがあり、自動アカウント ロックアウト オプションとパ スワード設定オプションをグローバルに無効にできます。特定の管理者の Account Never Expires オ プションをイネーブルにすると、管理者をロックアウトするすべてのオプションが無視されます。 アカウントがロックアウトされた場合は、ACS に Login Process Fail ページが表示されます。オプ ションの種類に応じて、次のようなパスワード変更用のページが ACS に表示されます。 • ログインを試みると、パスワード更新のページが表示されます。 • Administration Control 特権を持っていない場合には、ナビゲーション バーで Administration Control ボタンをクリックすると Change Password ページが表示されます。Change Password ペー ジには、パスワード基準のリストが表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド 11-4 OL-14386-01-J 第 11 章 管理者と管理ポリシー 管理者アカウント 図 11-2 に、ログイン時のプロセス フローを示します。 図 11-2 ログイン プロセス フロー 1 管理者の試行回数が Incorrect Password Attempt 制限に達すると、ACS はその管理者アカウントを ロックします。この時点で、正常にログインできなくなります。ただし、Account Never Expires が 設定されている場合には、アカウントをロックアウトできません。 2 管理者は正常にログインしました。したがって、ACS は、パスワードが誤って使用されただけで あれば、Incorrect Password Attempt 制限を超過していても、管理者に再試行を許可します。 適合認定のサポート ACS には、適合認定をサポートできるオプションがあります。たとえば、Administration Control 特 権を持つ管理者は、Administration Control 特権を他の管理者に与えるかどうかを決定できます。こ の特権を持っていない管理者は、管理者の詳細設定にアクセスできません。 管理者によるすべてのログイン試行は、Account Never Expires オプションをオンにしていない限 り、パスワードおよびアカウントに設定したポリシーに従って処理されます。たとえば ACS では、 パスワードのライフタイム、アクティビティ、および間違ったパスワード試行に対して制限を設け ることができます。これらのオプションにより、パスワードを強制的に変更させたり、アカウント を自動的にロックアウトしたりすることができます。特権を持つ管理者は、アカウントをロックア ウトすることも可能です。また、最後のパスワード変更と最後のアカウント アクティビティを管理 者ごとに監視できます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 11-5 第 11 章 管理者と管理ポリシー 管理者アカウント さらに、レポートへのアクセス権を制限することができます。たとえば、Administration Audit レポー ト設定を変更する管理者の権限をイネーブルまたはディセーブルにすることができます。 ユーザ グループへの管理者アクセス権を設定することもできます。グループのセットアップやユー ザの追加または編集を許可する対象の管理者を選択できます。ACS では、ユーザおよびグループに 対する管理者の読み取りアクセスを設定することも可能です。 Cisco Secure ACS Solution Engine ユーザ ガイド 11-6 OL-14386-01-J 第 11 章 管理者と管理ポリシー ログイン ログイン ACS のログイン ページは、Web インターフェイスへのアクセス ポイントです。パスワードの有効 期限が切れたり、ポリシーの変更によってパスワードが影響を受けたりすると、ログイン時に ACS によってパスワードの変更を強制されます。ロックアウトされた場合は、Administration Control 特 権を持っている管理者に連絡してください。 (注) 管理者は、ログインして ACS サービスを管理するために、Windows ドメイン管理者アカウントを 持っている必要があります。ただし、Windows ドメイン管理者が ACS にログインすることはでき ません。ACS にログインできるのは、有効な ACS アカウントを持っている管理者だけです。詳細 については、 『Installation Guide for Cisco Secure ACS for Windows Release 4.2』 または 『Installation Guide for Cisco Secure ACS Solution Engine Release 4.2』を参照してください。 ACS for Windows クライアントからログインするには、管理者アカウントを持っている必要があります。ただし、セッ ション ポリシーには Allow automatic local login オプションが含まれています。このオプションがイ ネーブルの場合、ACS を実行しているサーバのログイン ページをバイパスできます。このオプショ ンは、予期しないロックアウトの場合に使用できます。自動ローカル ログインの詳細については、 P.11-12 の「セッション ポリシーの設定」を参照してください。 ACS SE ブラウザから ACS Web インターフェイスにアクセスするには、管理者アカウントを使用して ACS にログインします。 最初にログインする管理者は、Command Line Interface(CLI; コマンドライン インターフェイス)で Add ACS Admin コマンドを使用し、最初のアカウントの管理者名とパスワードを作成する必要が あります。CLI の詳細については、 『Installation Guide for Cisco Secure ACS Solution Engine Release 4.2』 の「Administering Cisco Secure ACS Solution Engine」の章を参照してください。 ACS によってすべての管理者がロックアウトされた場合は、CLI の Unlock <administrator name> コ マンドを使用します。このコマンドは、Administration Control 特権を持つ管理者だけが使用できま す。CLI の詳細については、 『Installation Guide for Cisco Secure ACS Solution Engine Release 4.2』の 「Administering Cisco Secure ACS Solution Engine」の章を参照してください。 ログインするには、次の手順を実行します。 ステップ 1 ACS を起動するには、Cisco Secure ACS プログラム グループの ACS Admin ボタンをクリックしま す。 Cisco Secure ACS のログイン ページが表示されます。 ステップ 2 Username と Password のフィールドに値を入力します。 ステップ 3 Login ボタンをクリックします。 Cisco Secure ACS のメイン ページが表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 11-7 第 11 章 管理者と管理ポリシー アカウントの追加、編集、および削除 アカウントの追加、編集、および削除 Administration Control 特権を持つ管理者は、管理者アカウントを追加、編集、および削除できます。 ここでは、次の項目について説明します。 • アカウントの追加または編集 • アカウントの削除 アカウントの追加または編集 管理者アカウントを追加または編集するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Administration Control をクリックします。 現在のアカウントが Administration Control 特権を持っている場合は、P.11-13 の「Administration Control ページ」が表示されます。持っていない場合は、Change Password ページが表示されます。 ステップ 2 Add Administrator をクリックして Add Administrator ページを表示します。または、編集対象の管 理者アカウントの名前をクリックして、Edit Administrator administrator_name ページを表示します。 ステップ 3 Administrator Name、Password、および Password Confirmation の各フィールドに、新しいアカウント を入力します。必要に応じて、既存アカウントの Password フィールドと Password Confirmation フィールドの値を変更します。これらのフィールドの詳細については、P.11-14 の「Add Administrator ページと Edit Administrator ページ」を参照してください。 ステップ 4 Account Never Expires オプションをオンにして、この管理者のアカウントが失効しないようにしま す。詳細については、P.11-14 の「Add Administrator ページと Edit Administrator ページ」を参照して ください。 ステップ 5 Account Locked チェックボックスをオンにして、このアカウントをロックします。Account Locked チェックボックスをオンにした場合は、ボックスをオフにするとアカウントがロック解除されま す。 ステップ 6 Grant All または Revoke All をクリックして、すべての特権をグローバルに追加または削除します。 これらのコマンドの詳細については、P.11-14 の「Add Administrator ページと Edit Administrator ペー ジ」を参照してください。既存アカウントから特権を削除すると、そのアカウントが無効になりま す。 ステップ 7 Available groups リスト ボックスと Editable groups リスト ボックスの間でグループ名を移動させま す。現在の管理者は、有効にしたアクセス オプションに従って、Editable groups リストのグループ と関連ユーザにアクセスすることができます。 ステップ 8 適切なオプションをオンにして、Editable groups とその関連ユーザにアクセス特権を与えます。こ れらのオプションの詳細については、P.11-14 の「Add Administrator ページと Edit Administrator ペー ジ」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド 11-8 OL-14386-01-J 第 11 章 管理者と管理ポリシー アカウントの追加、編集、および削除 ステップ 9 Shared Profile Components 領域で適切なオプションをオンにして、Web インターフェイスの Shared Profile Components セクション内にある特定の領域へのアクセスを許可します。これらのオプション の詳細については、P.11-14 の「Add Administrator ページと Edit Administrator ページ」を参照してく ださい。共有プロファイル コンポーネントの詳細については、第 4 章「共有プロファイル コンポー ネント」を参照してください。 ステップ 10 Network Configuration オプションをオンにして、Web インターフェイスの Network Configuration セ クションへのアクセスを許可します。ネットワーク設定の詳細については、第 3 章「ネットワーク 設定」を参照してください。 ステップ 11 System Configuration 領域でオプションをオンにして、Web インターフェイスの System Configuration セクション内にあるページへのアクセス権を与えます。これらのオプションの詳細については、 P.11-14 の「Add Administrator ページと Edit Administrator ページ」を参照してください。システム設 定の詳細については、第 7 章「システム設定:基本」、第 8 章「システム設定:高度」および第 10 章「ログとレポート」を参照してください。 ステップ 12 Interface Configuration オプションをオンにして、Web インターフェイスの Interface Configuration セ クションへのアクセスを許可します。インターフェイスの設定の詳細については、第 2 章「Web イ ンターフェイスの使用方法」を参照してください。 ステップ 13 Administration Control オプションをオンにして、Web インターフェイスの Administration Control セ クションへのアクセスを許可します。 ステップ 14 External User Databases オプションをオンにして、Web インターフェイスの External User Databases セクションへのアクセスを許可します。外部ユーザ データベースの詳細については、第 12 章「ユー ザ データベース」を参照してください。 ステップ 15 Posture Validation オプションをオンにして、Web インターフェイスの Posture Validation セクショ ンへのアクセスを許可します。ポスチャ確認の詳細については、第 13 章「ポスチャ確認」を参照 してください。 ステップ 16 Network Access Profiles オプションをオンにして、Web インターフェイスの Network Access Profiles セクションへのアクセスを許可します。ネットワーク アクセス プロファイルの詳細については、 第 14 章「ネットワーク アクセス プロファイル」を参照してください。 ステップ 17 Reports and Activities 領域でオプションをオンにして、Web インターフェイスの Reports and Activities セクション内にあるページへのアクセス権を与えます。これらのオプションの詳細につい ては、P.11-14 の「Add Administrator ページと Edit Administrator ページ」を参照してください。レ ポートについては、第 10 章「ログとレポート」を参照してください。 ステップ 18 Submit をクリックします。 ACS によって新しい管理者アカウントが保存されます。新しいアカウントは、Administration Control ページの管理者アカウントのリストに表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 11-9 第 11 章 管理者と管理ポリシー アカウントの追加、編集、および削除 アカウントの削除 この機能を使用して管理者アカウントを削除します。アカウントを無効にするには、Revoke All ボ タンをクリックします。ただし、使用しない管理者アカウントはすべて削除することを推奨します。 アカウントを削除するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Administration Control をクリックします。 Administration Control ページが表示されます。 ステップ 2 削除する管理者アカウントの名前をクリックします。 Edit Administrator administrator_name ページが表示されます。この administrator_name は選択した管 理者アカウントの名前です。 ステップ 3 Delete をクリックします。 確認ダイアログボックスが表示されます。 ステップ 4 OK をクリックします。 ACS によって、管理者アカウントが削除されます。Administration Control ページの Administrators リ ストに、管理者アカウントが表示されなくなります。 Cisco Secure ACS Solution Engine ユーザ ガイド 11-10 OL-14386-01-J 第 11 章 管理者と管理ポリシー ポリシー オプションの設定 ポリシー オプションの設定 これらのページのオプションにより、アクセス ポリシー、セッション ポリシー、およびパスワー ド ポリシーを制御します。 この項では、次のオプションについて取り上げます。 • アクセス ポリシーの設定(P.11-11) • セッション ポリシーの設定(P.11-12) • パスワード ポリシーの設定(P.11-12) アクセス ポリシーの設定 Administration Control 特権を持つ管理者は、アクセス ポリシー機能を使用して、管理セッションで 使用される IP アドレスと TCP ポート範囲によってアクセスを制限できます。Web インターフェイ スへのアクセスにおいて、SSL(Secure Sockets Layer)を使用可能にすることもできます。 始める前に 管理者アクセスで SSL をイネーブルにする場合は、P.9-26 の「ACS サーバ証明書のインストール」 と P.9-30 の「認証局証明書の追加」の手順を実行しておく必要があります。SSL をイネーブルにし た後、ACS は次の管理者ログイン時に SSL の使用を開始します。この変更により現在の管理者セッ ションが影響を受けることはありません。証明書がない場合は、SSL の設定を試みるとエラー メッ セージが表示されます。 ACS のアクセス ポリシーを設定するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Administration Control をクリックします。 Administration Control ページが表示されます。 ステップ 2 Access Policy をクリックします。 Access Policy Setup ページが表示されます。 ステップ 3 適切な IP Address Filtering オプションをクリックします。これらのオプションの詳細については、 P.11-22 の「Access Policy Setup ページ」を参照してください。 ステップ 4 IP Address Filtering オプションに従って、適切な IP アドレス範囲を入力します。 ステップ 5 適切な HTTP Port Allocation オプションをオンにして、全ポートを許可するか、または特定のポー トへのアクセスを制限します。アクセスを制限する場合は、制限されるポートの範囲を入力します。 これらのオプションの詳細については、P.11-22 の「Access Policy Setup ページ」を参照してください。 ステップ 6 ACS で SSL を使用する場合は、このオプションをオンにします。このオプションの詳細について は、P.11-22 の「Access Policy Setup ページ」を参照してください。 ステップ 7 Submit をクリックします。 ACS はアクセス ポリシー設定を保存し、適用を開始します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 11-11 第 11 章 管理者と管理ポリシー ポリシー オプションの設定 セッション ポリシーの設定 Administration Control 特権を持つ管理者は、セッション ポリシーの制御機能を使用して、次の動作 をイネーブルまたはディセーブルにすることができます。 • ローカル ログイン • 無効な IP アドレス接続への応答 ACS のセッション ポリシーを設定するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Administration Control をクリックします。 Administration Control ページが表示されます。 ステップ 2 Session Policy をクリックします。 Session Policy Setup ページが表示されます。 ステップ 3 適切なポリシーをクリックし、適切な情報を入力してポリシーをセットアップします。これらのオ プションおよびフィールドの詳細については、P.11-24 の「Session Policy Setup ページ」を参照して ください。 ステップ 4 Submit をクリックします。 ACS は、セッション ポリシー設定を保存して適用を開始します。 パスワード ポリシーの設定 Add Administrator ページの Password Policy ボタンから、Administrator Password Policy ページにアク セスできます。パスワード ポリシーを設定しない場合は、いずれの管理者もログイン、管理者の作 成、および特権の割り当てを行うことができます。 Administrator Password Policy ページには、次の制御機能があります。 • 複雑なパスワードを強制する • ライフタイムを制限する • 非アクティブなアカウントを制限する • 不正なログイン試行を制限する パスワード ポリシーをセットアップするには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Administration Control をクリックします。 Administration Control ページが表示されます。 ステップ 2 Password Policy をクリックします。 Administrator Password Policy ページが表示されます。 ステップ 3 適切なオプションをオンにし、適切な値を入力します。これらのオプションおよびフィールドの詳 細については、P.11-20 の「Administrator Password Policy ページ」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド 11-12 OL-14386-01-J 第 11 章 管理者と管理ポリシー Administration Control ページのリファレンス ステップ 4 Submit をクリックします。 ACS は、パスワード ポリシーの設定を保存し、次のログインから適用を開始します。 Administration Control ページのリファレンス 次のトピックでは、ナビゲーション バーの Administration Control ボタンからアクセスするページ について説明します。 • Administration Control ページ(P.11-13) • Add Administrator ページと Edit Administrator ページ(P.11-14) • Administrator Password Policy ページ(P.11-20) • Access Policy Setup ページ(P.11-22) • Session Policy Setup ページ(P.11-24) Administration Control ページ Administration Control ページは、管理者アカウントとポリシー設定を開始するときに開く最初の ページです。Administration Control 特権を持つ管理者だけがこのページにアクセスできます。 このページを開くには、ナビゲーション バーで Administration Control ボタンをクリックします。 表 11-2 Administration Control(特権を持つ管理者) オプション 説明 Administrators 設定されているすべての管理者の一覧を表示します。 <administrator_name> Edit Administrator <administrator_name> ページを開きます。詳細については、P.11-14 の「Add Administrator ページと Edit Administrator ページ」を参照してください。 Add Administrator Add Administrator ページを開きます。詳細については、P.11-14 の「Add Administrator ページと Edit Administrator ページ」を参照してください。 Access Policy Access Policy Setup ページを開きます。このページでブラウザのネットワーク アクセスを制御し ます。詳細については、P.11-20 の「Administrator Password Policy ページ」を参照してください。 Session Policy Session Policy Setup ページを開きます。このページには、HTTP セッションの設定の詳細が表示 されます。詳細については、P.11-24 の「Session Policy Setup ページ」を参照してください。 Password Policy Administrator Password Policy ペ ー ジ を 開 き ま す。詳 細 に つ い て は、P.11-20 の「Administrator Password Policy ページ」を参照してください。 関連項目 • アカウントの追加または編集(P.11-8) • アカウントの削除(P.11-10) • アクセス ポリシーの設定(P.11-11) • セッション ポリシーの設定(P.11-12) • パスワード ポリシーの設定(P.11-12) Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 11-13 第 11 章 管理者と管理ポリシー Administration Control ページのリファレンス Add Administrator ページと Edit Administrator ページ Add Administrator ページと Edit Administrator ページの領域を使用して、次の操作を行います。 • 管理者を追加する(Add Administrator ページのみ) • パスワードを追加、編集、および監視する • ロックアウトされたアカウントを監視および再有効化する • 特権を有効または無効にする これらのページを開くには、Administration Control をクリックし、Add Administrator をクリック するか <administrator_name> をクリックして、管理者を編集します。 表 11-3 に、次のオプションの説明を示します。 表 11-3 • Administrator Details(P.11-14) • Administrative Privileges(P.11-15) • User & Group Setup(P.11-15) • Shared Profile Components(P.11-16) • Network Configuration(P.11-17) • System Configuration(P.11-17) • Interface Configuration(P.11-18) • Administration Control(P.11-18) • External User Databases(P.11-18) • Posture Validation(P.11-18) • Network Access Profiles(P.11-18) • Reports & Activity(P.11-18) Add Administrator ページと Edit Administrator ページ オプション 説明 Administrator Details Administrator Name(Add Administrator ページにの み表示) ACS 管理者アカウントのログイン名。管理者名には、左山カッコ(<)、右山カッコ(>) 、お よびバックスラッシュ(\)を含まない 1 ∼ 32 文字を使用できます。ACS 管理者名は、ネッ トワーク ユーザ名と一致する必要はありません。 ACS では、事前に設定された管理者の名前変更は許可されないため、Edit Administrator ペー ジに管理者名は表示されません。名前を変更するには、アカウントを削除し、新しい名前で アカウントを設定します。アカウントを無効にするには、すべての特権を無効にします。 パスワードは、管理者ユーザがダイヤルイン認証で使用するパスワードに一致させるか、ま たは別のパスワードにすることができます。ACS は、Administrator Password Policy ページの Password Validation Options セクションにあるオプションを適用します。 Password パスワードは、最小長 4 文字で構成され、数字が少なくとも 1 つ含む必要があります。パス ワードには、ユーザ名または逆ユーザ名を含めることはできません。また、前の 4 つのパス ワードのいずれとも一致せず、ASCII 文字を使用する必要があります。パスワードにエラー があると、パスワード基準が表示されます。 パスワード ポリシーに変更があってパスワードの変更がない場合、管理者はログイン状態 のままになります。ACS は、次回のログインから新しいパスワード ポリシーを適用します。 Confirm Password Password フィールドのパスワードを確認します。パスワード入力にエラーがあると、エラー メッセージが表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド 11-14 OL-14386-01-J 第 11 章 管理者と管理ポリシー Administration Control ページのリファレンス 表 11-3 Add Administrator ページと Edit Administrator ページ (続き) オプション 説明 Last Password Change(Edit このページの管理者アクションまたはログイン時のパスワードの失効により、パスワードが Administrator ページのみ) 変更される変更日を表示します。(読み取り専用)有効期限ではなく、変更日を常に表示し ます。新しいアカウントが送信されるまでは表示されません。 Last Activity(Edit 最後に正常にログインした日付を表示します。(読み取り専用)新しいアカウントが送信さ Administrator ページのみ) れるまでは表示されません。 Account Never Expires 手動ロックアウトの場合を除いて、Administrator Password Policy ページのロックアウト オプ ションを無効にすることによりアカウントのロックアウトを防止します。このため、アカウ ントが失効することはありませんが、パスワードの変更ポリシーは有効のままになります。 デフォルトではオフ(無効)です。 Account Locked Password Policy ページのロックアウト オプションによってロックアウトされた管理者がロ グインできないようにします。このオプションをオフ(ディセーブル)にすると、ロックア ウトされた管理者がロック解除されます。 Administration Control 特権を持つ管理者は、このオプションを使用して、手動でアカウント をロックアウトしたり、ロックされたアカウントをリセットしたりできます。システムに は、ロックアウトの理由を説明したメッセージが表示されます。 管理者がアカウントをロック解除すると、ACS は、Last Password Change フィールドと Last Activity フィールドの値を管理者がアカウントをロック解除する日付にリセットします。 ロックされたアカウントをリセットしても、失敗した試行のロックアウトおよびロック解除 のメカニズムの設定に影響はありません。 Administrative Privileges Web インターフェイスの User Setup セクションと Group Setup セクションの特権オプション を含みます。 デフォルトでは、リモート管理者に特権は与えられていません。 Grant All すべての特権を有効にします。ACS は、すべてのユーザ グループを Editable Groups リスト に移動します。特権を持つ管理者は、個別に特権を割り当てることにより、それぞれの ACS 管理者に特権を与えることもできます。どちらの場合でも、管理者は Grant All によって有 効になったオプションを個別に無効にすることができます。 デフォルトでは、新しい管理者アカウントのすべての特権が制限されます。 Revoke All すべての特権をクリア(制限)します。ACS は、Editable Groups リストからすべてのユーザ グループを削除します。既存アカウントのすべての特権を削除すると、そのアカウントは実 質的に無効になります。管理者は、Revoke All によって無効になったオプションを個別に有 効にすることができます。 また、すべての特権を無効にすることによってアカウントを無効にすることもできます。 User & Group Setup Add/Edit users in these groups 管理者は、ユーザを追加または編集し、Editable groups リストにあるグループにユーザを割 り当てることができます。 このオプションをイネーブルにすると、これらのグループ オプションのユーザに対する読 み取りアクセスの設定よりもこの設定が優先されます。 Setup of these groups 管理者は Editable groups リストにあるグループの設定を編集できます。 このオプションをイネーブルにすると、これらのグループ オプションの読み取りアクセス の設定よりもこの設定が優先されます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 11-15 第 11 章 管理者と管理ポリシー Administration Control ページのリファレンス 表 11-3 Add Administrator ページと Edit Administrator ページ (続き) オプション 説明 Read access to users in these Editable groups のユーザに対する読み取り専用アクセスを可能にします。 groups Add/Edit users in these groups オプションをイネーブルにすると、これらのグループ オプショ ンのユーザに対する読み取りアクセスの設定よりもこのオプションが優先されます。 Add/Edit users in these groups オプションをオン(イネーブル)にしている場合は、この設定 がイネーブルかディセーブルかは動作に影響しません。Add/Edit users in these groups の設定 はこの設定より優先され、管理者は、Editable groups 内のすべてのユーザを編集できます。 Add/Edit users in these groups オプションがオフ(ディセーブル)になっている場合は、次の ようになります。 Read access of these groups • このチェックボックスをオンにして、管理者に Editable groups 内のユーザに対する読み 取りアクセスを許可します。この場合、管理者は変更を送信できません。 • このチェックボックスをオフにすると、管理者はユーザを参照できません。 Editable groups のユーザに対する読み取り専用アクセスを可能にします。 Add/Edit users in these groups オプションをイネーブルにすると、これらのグループ オプショ ンのユーザに対する読み取りアクセスの設定よりもこのオプションが優先されます。 Add/Edit users in these groups オプションをオン(イネーブル)にしている場合は、この設定 がイネーブルかディセーブルかは動作に影響しません。Add/Edit users in these groups の設定 はこの設定より優先され、管理者は Editable groups を編集できます。 Add/Edit users in these groups オプションがオフ(ディセーブル)になっている場合は、次の ようになります。 • このチェックボックスをオンにして、管理者に Editable groups リストに対する読み取り アクセスを許可します。この場合、管理者は変更を送信できません。 • このチェックボックスをオフにすると、管理者はグループを参照できません。 Available groups すべてのユーザ グループをリストで示します。管理者は、このリストのグループへのアク セス権を持っていません。 Editable groups 管理者がアクセス権を持っているユーザ グループをリストで示します。User & Group Setup 領域内の他のオプションにより、このリストにあるこれらのグループと関連付けられたユー ザへの管理者アクセス権に適用される制限が決まります。 >> をクリックしてすべてのグループを追加するか、<< をクリックしてすべてのグループを 削除します。> をクリックして 1 つのグループを追加するか、< をクリックして 1 つのグルー プを削除します。 (注) このセクションのアクセス設定は、外部認証者のグループ マッピングに適用されま せん。 Shared Profile Components Network Access Restriction Sets Network Access Restriction Sets 機能にフルアクセスできるようにします。 Network Access Filtering Sets Network Access Filtering Sets 機能にフルアクセスできるようにします。 Downloadable ACLs Downloadable PIX ACLs 機能にフルアクセスできるようにします。 RADIUS Authorization Components RAC にフルアクセスできるようにします。 Cisco Secure ACS Solution Engine ユーザ ガイド 11-16 OL-14386-01-J 第 11 章 管理者と管理ポリシー Administration Control ページのリファレンス 表 11-3 Add Administrator ページと Edit Administrator ページ (続き) オプション 説明 Create new Device Command Set Type 新規デバイス コマンド セット タイプを追加するための有効なクレデンシャルとして、他の Cisco アプリケーションでこの管理者アカウントを使用できます。この特権を使用して ACS に追加した新規デバイス コマンド セット タイプは、Web インターフェイスの Shared Profile Components セクションに表示されます。 Shell Command Authorization Sets Shell Command Authorization Sets 機能にフルアクセスできるようにします。 PIX/ASA Command Authorization Sets PIX/ASA Command Authorization Sets 機能にフルアクセスできるようにします。 (注) たとえば、CiscoWorks などの Cisco ネットワーク管理アプリケーションによって ACS の設定がアップデートされた場合は、追加のコマンド認可セット特権オプショ ンが表示されることがあります。 Network Configuration Web インターフェイスの Network Configuration セクションにある機能にフルアクセスでき るようにします。 System Configuration Web インターフェイスの System Configuration セクションにある機能の特権オプションが含 まれています。それぞれの機能でオプションをイネーブルにすると、その機能にフルアクセ スできるようになります。 Service Control サービス ログ ファイルの設定へのアクセス、および ACS サービスの停止と再起動ができる ようにします。 Date/Time Format Control 日付形式の制御にアクセスできるようにします。 Logging Control Logging Configuration ページに関連付けられたレポート オプションにアクセスできるように します。Logging Configuration ページにアクセスするには、System Configuration をクリック してから Logging をクリックします。 Administration Audit Configuration この管理者が Administration Audit レポート設定を変更できるようにします。 Password Change Configuration この管理者が Password Change レポート設定を変更できるようします。 Password Validation ユーザ パスワードの確認パラメータにアクセスできるようにします。 DB Replication ACS 内部データベース複製にアクセスできるようにします。 RDBMS Synchronization RDBMS 同期化にアクセスできるようにします。 IP Pool Address Recovery IP プール アドレス復旧にアクセスできるようにします。 IP Pool Server Configuration IP プールの設定にアクセスできるようにします。 ACS Backup ACS バックアップにアクセスできるようにします。 ACS Restore ACS 復元にアクセスできるようにします。 Active Service Management システム モニタリングとイベント ロギングにアクセスできるようにします。 VoIP Accounting Configuration VoIP アカウンティング設定にアクセスできるようにします。 ACS Certificate Setup ACS 証明書のセットアップにアクセスできるようにします。 Global Authentication Setup グローバル認証セットアップの特権を与えます。EAP-FAST Files Generation configuration ページにアクセスする必要があるすべての管理者は、Global Authentication Setup 特権をイ ネーブルにしておく必要があります。 EAP-FAST PAC Files Generation EAP-FAST 認証で使用する PAC ファイルの生成をイネーブルにします。 (ACS SE) Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 11-17 第 11 章 管理者と管理ポリシー Administration Control ページのリファレンス 表 11-3 Add Administrator ページと Edit Administrator ページ (続き) オプション 説明 NAC Attributes management NAC アトリビュート管理にアクセスできるようにします。 (ACS SE) Appliance Configuration アプライアンスの設定にアクセスできるようにします。 (ACS SE) Support Operations サポート操作にアクセスできるようにします。 (ACS SE) View Diagnostic Logs 診断ログにアクセスできるようにします。 (ACS SE) Appliance Upgrade Status アプライアンスのアップグレード ステータス レポートにアクセスできるようにします。 (ACS SE) Interface Configuration Web インターフェイスの Interface Configuration セクションにある機能にフルアクセスでき るようにします。 Administration Control Web インターフェイスの Administration Control セクションにある機能にフルアクセスでき るようにします。 External User Databases Web インターフェイスの External User Database セクションにある機能にフルアクセスでき るようにします。 Posture Validation Network Admission Control(NAC; ネットワーク アドミッション コントロール)設定にアク セスできるようにします。 Network Access Profiles NAP を使用したサービスベースのポリシー設定にアクセスできるようにします。 Reports & Activity これらのログにアクセスするには、ナビゲーション バーの Reports and Activities ボタンを クリックします。 TACACS+ Accounting TACACS+ セッション情報が記録されている TACACS+ Accounting ログにアクセスできるよ うにします。 TACACS+ Administration 設定コマンドをリストで示す TACACS+ Administration ログにアクセスできるようにします。 RADIUS Accounting RADIUS セッション情報を記録した RADIUS Accounting ログにアクセスできるようにしま す。 VoIP Accounting VoIP セッション情報を記録した VoIP Accounting ログにアクセスできるようにします。 Passed Authentications 成功した認証要求をリストで示す Passed Authentication ログにアクセスできるようにしま す。 Failed Attempts 認証および認可の失敗をリストで示す Failed Attempts ログにアクセスできるようにします。 Logged-In Users AAA クライアントからサービスを受けるすべてのユーザをリストで示す Logged-in Users ロ グにアクセスできるようにします。 Purge of Logged-in Users ユーザがログイン中と表示されているが、AAA クライアントへの接続が失われていて、実 際にはユーザがログインしていない場合は、Purge をクリックしてそのセッションのアク ティビティを終了します。このリストからユーザを削除しても、ユーザは AAA クライアン トからログオフされませんが、アカウンティングのセッション レコードは終了します。こ のリストを印刷するには、右側のウィンドウの一部を右クリックし、ブラウザからウィンド ウを印刷します。 Disabled Accounts 無効になったユーザ アカウントすべてをリストで示す Disabled Accounts ログにアクセスで きるようにします。 ACS Backup and Restore バックアップと復元のアクティビティをリストで示す ACS Backup and Restore ログにアクセ スできるようにします。 DB Replication データベースの複製アクティビティをリストで示す Database Replication ログにアクセスで きるようにします。 Cisco Secure ACS Solution Engine ユーザ ガイド 11-18 OL-14386-01-J 第 11 章 管理者と管理ポリシー Administration Control ページのリファレンス 表 11-3 Add Administrator ページと Edit Administrator ページ (続き) オプション 説明 RDBMS Synchronization RDBMS 同期化アクティビティをリストで示す RDBMS Synchronization ログにアクセスでき るようにします。 Administration Audit システム管理者のアクションをリストで示す Administration Audit ログにアクセスできるよ うにします。 ACS Service Monitor ACS サービスの開始と停止をリストで示す ACS Service Monitoring ログにアクセスできるよ うにします。 User Change Password ユーザが開始したパスワード変更をリストで示す User Password Changes ログにアクセスで きるようにします。 Entitlement Reports ユーザおよび管理者のエンタイトルメント レポートにアクセスできるようにします。 Appliance Status リソースの利用率を記録する Appliance Status ログにアクセスできるようにします。 (ACS SE) Appliance Administration Audit シリアル コンソールでのアクティビティをリストで示す Appliance Administration Audit ログ にアクセスできるようにします。 (ACS SE) 関連項目 • サービス制御(P.7-2) • 日付形式と時刻形式の制御(P.7-4) • ローカル パスワードの管理(P.7-5) • ACS バックアップ(P.7-10) • ACS システムの復元(P.7-17) • ACS アクティブ サービス管理(P.7-22) • VoIP アカウンティングの設定(P.7-25) • アプライアンスの設定 (ACS SE のみ) (P.7-26) • Support ページ(P.7-30) • 診断ログの表示またはダウンロード (ACS SE のみ) (P.7-32) • ACS 内部データベースの複製(P.8-2) • RDBMS 同期化(P.8-19) • IP プール サーバ(P.8-42) • IP プール アドレスの復旧(P.8-48) • グローバル認証のセットアップ(P.9-24) • ACS 証明書のセットアップ(P.9-26) • NAC Attribute Management(ACS SE のみ)(P.8-49) • アプライアンスの設定 (ACS SE のみ) (P.7-26) • ACS ログとレポートについて(P.10-2) • パスワードの失効とアカウントのロックアウト(P.11-4) • アカウントの追加、編集、および削除(P.11-8) Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 11-19 第 11 章 管理者と管理ポリシー Administration Control ページのリファレンス Administrator Password Policy ページ Administrator Password Policy ページを使用して、パスワード確認、ライフタイム、非アクティビ ティ、および不正な試行のオプションを設定します。パスワード ポリシーを設定しない場合は、い ずれの管理者もログイン、管理者の作成、および特権の割り当てを行うことができます。 このページを開くには、Administration Control をクリックしてから、Password Policy をクリック します。 ACS は、次の場合にエラーを返します。 • 仕様が範囲外になっている。 • ユーザがこのページの基準を満たさない。 表 11-4 に、次のオプションの説明を示します。 表 11-4 • Password Validation オプション(P.11-20) • Password Lifetime オプション(P.11-20) • Password Inactivity オプション(P.11-21) • Incorrect Password Attempt オプション(P.11-21) Administrator Password Policy オプション 説明 Password Validation オプション Password may not contain the username このオプションがイネーブルになって場合は、パスワードにユーザ名や逆 ユーザ名を含めることはできません。 Minimum length n characters n は、最小パスワード長を指定します(デフォルトは 4、範囲は 4 ∼ 20 です)。 Password must contain: 複雑なパスワードを強制するには、このオプションを使用します。 upper case alphabetic characters このオプションがイネーブルになっている場合は、パスワードに大文字の 英文字を含める必要があります。 lower case alphabetic characters このオプションがイネーブルになっている場合は、パスワードに小文字の 英文字を含める必要があります。 numeric characters このオプションがイネーブルになっている場合は、パスワードに数字を含 める必要があります。 non alphanumeric characters このオプションがイネーブルになっている場合は、パスワードに非英数字 を含める必要があります(たとえば、@) 。 Password must be different from the previous n このオプションがイネーブルになっている場合は、n 回前までのパスワード versions と異なるパスワードを使用する必要があります(デフォルト値は 1、範囲は 1 ∼ 99) 。 Password Lifetime オプション Following a change of password: このオプションを使用して、管理者パスワードのライフタイムに制限を設 定します。値 n は、パスワードが最後に変更されてからの経過日数を表し ます。 The password will require change after n days Following a change of password がイネーブルになっている場合、n は、パス ワード エージングにより ACS がパスワードの変更を要求するまでの日数 を示します(デフォルトは 30 )。範囲は 1 ∼ 365 です。オン(イネーブル) にした場合、The Administrator will be locked after n days オプションを設定す ると、ACS は 2 つの Password Lifetime オプションを比較して大きいほうの 値を選択します。 Cisco Secure ACS Solution Engine ユーザ ガイド 11-20 OL-14386-01-J 第 11 章 管理者と管理ポリシー Administration Control ページのリファレンス 表 11-4 Administrator Password Policy (続き) オプション 説明 The Administrator will be locked out after n days Following a change of password がイネーブルになっている場合、n は、関連 付けられた管理者アカウントをパスワード エージングにより ACS がロッ クアウトするまでの日数を示します(デフォルトは 60、範囲は 1 ∼ 365) 。 Password Inactivity オプション Following last account activity: これらのオプションを使用して、非アクティブな管理者アカウントの使用 に制限を設けます。値 n は、アクティブだったとき(管理者ログイン)か らの経過日数を表します。 The password will require change after n days Following the last account activity がイネーブルになっている場合、n は、パス ワードが非アクティブであるために ACS がパスワードの変更を要求するま での日数を示します(デフォルトは 30)。範囲は 1 ∼ 365 です。オン(イ ネーブル)にした場合、Administrator will be locked after n days オプションを 設定すると、ACS は 2 つの Password Inactivity オプションを比較して大きい ほうの値を選択します。 (注) セキュリティを高めるため、ACS は非アクティブなパスワードの制 限値に近づいているユーザに警告しません。 The Administrator will be locked out after n Following the last account activity がイネーブルになっている場合、n は、関連 days 付けられた管理者アカウントをパスワードが非アクティブであるために ACS がロックアウトするまでの日数を示します(デフォルトは 60、範囲は 1 ∼ 365) 。 (注) セキュリティを高めるため、ACS は非アクティブなアカウントの制 限値に近づいているユーザに警告しません。 Incorrect Password Attempt オプション Lock out Administrator after n successive failed このオプションがイネーブルになっている場合、n は、不正なパスワード試 attempts 行の許容回数を示します。オンになっている場合、n を 0 に設定することは できません。このオプションがディセーブルになっている(オフ)場合、 ACS はログイン試行(デフォルトは 3、範囲は 1 ∼ 98)の失敗を何度でも 許可します。 (注) セキュリティを高めるため、ACS は試行の失敗回数の上限に近づい て い る ユ ー ザ に 警 告 し ま せ ん。特 定 の 管 理 者 の Account Never Expires オプションをイネーブルにすると、このオプションは無視 されます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 11-21 第 11 章 管理者と管理ポリシー Administration Control ページのリファレンス Access Policy Setup ページ Access Policy Setup ページを使用して、IP アドレスと範囲でのアクセスの設定、HTTP アクセスの設 定、および Secure Sockets Layer(SSL)のセットアップを行います。 Access Policy Setup ページを開くには、Administration Control をクリックしてから、Access Policy をクリックします。 表 11-5 に、次のオプションの説明を示します。 表 11-5 • IP Address Filtering(P.11-22) • IP Address Ranges(P.11-22) • HTTP Configuration(P.11-22) • Secure Socket Layer Setup(P.11-23) Access Policy オプション オプション 説明 IP Address Filtering Allow all IP addresses to connect 任意の IP アドレスから Web インターフェイスにリモート アクセスができるよ うにします。 Allow only listed IP addresses to connect Web インターフェイスにリモート アクセスができる IP アドレスを、指定した IP アドレス範囲内に制限します。 Reject connections from listed IP addresses Web インターフェイスにリモート アクセスができる IP アドレスを、指定した IP アドレス範囲外に制限します。 IP フィルタリングは、リモート管理者の Web ブラウザから HTTP 要求で受信 した IP アドレスで動作します。ブラウザが HTTP プロキシ サーバを使用する ように設定されている場合、または、ブラウザがネットワーク アドレス変換を 実行するネットワーク デバイスの背後のワークステーションで実行されてい る場合、HTTP プロキシ サーバまたは NAT デバイスの IP アドレスにのみ IP フィルタリングが適用されます。 IP Address Ranges IP Address Ranges テーブルには、IP アドレス範囲を設定するための 10 行が用 意されています。範囲には、最初と最後の値が常に含まれます。つまり、開始 IP アドレスと終了 IP アドレスは範囲に含まれます。 ドット付き 10 進形式を使用します。範囲を定義する IP アドレスは、最後のオ クテットだけが異なる形式(Class C 形式)でなければなりません。 Start IP Address 指定した範囲内の最下位 IP アドレスを定義します(最大 16 文字) 。 End IP Address 指定した範囲内の最上位 IP アドレスを定義します(最大 16 文字) 。 HTTP Configuration HTTP Port Allocation Allow any TCP ports to be used for Administration HTTP Access Web インターフェイスへのリモート アクセスで、ACS が任意の有効な TCP ポートを使用できるようにします。 Cisco Secure ACS Solution Engine ユーザ ガイド 11-22 OL-14386-01-J 第 11 章 管理者と管理ポリシー Administration Control ページのリファレンス 表 11-5 Access Policy オプション (続き) オプション 説明 Restrict Administration Sessions to the following port range From Port n to Port n Web インターフェイスへのリモート アクセスで ACS が使用できるポートを制 限します。ボックスを使用してポート範囲(ボックスあたり最大 5 桁)を指定 します。範囲には、常に下限値と上限値が含まれます。つまり、開始ポート番 号と終了ポート番号も範囲に含まれることになります。指定された範囲のサイ ズによって、同時管理の最大数が決まります。 ACS は、ポート 2002 を使用して、すべての管理セッションを開始します。ポー ト 2002 は、ポート範囲に入れる必要がありません。また、ACS では、ポート 2002 だけで構成される HTTP ポート範囲は定義できません。ポート範囲は、 2002 以外の少なくとも 1 つのポートで構成する必要があります。 ポート 2002 は、管理セッションの起動時に Web ブラウザがアクセスするポー トであるため、ACS の管理ポート範囲外の HTTP トラフィックを許可するよう に設定されたファイアウォールは、このポートの HTTP トラフィックも許可す る必要があります。 ファイアウォールの外部からの ACS の管理を許可することは推奨しません。 ファイアウォールの外部からの Web インターフェイスへのアクセスが必要な 場合は、HTTP ポート範囲をできる限り狭くしてください。範囲を狭くするこ とで、不正なユーザがアクティブな管理ポートを偶然に発見するのを防ぐこと ができます。不正なユーザは、アクティブな管理セッションの HTTP ポートを 悪用するために、正当なホストの IP アドレスになりすます(スプーフィング) ことがあります。 Secure Socket Layer Setup Use HTTPS Transport for Administration Access CSAdmin サービスと Web インターフェイスにアクセスする Web ブラウザと の間で、ACS が SSL プロトコルを使用して HTTP トラフィックを暗号化でき るようにします。このオプションを使用すると、ブラウザと ACS の間の HTTP トラフィックの暗号化ができるようになり、HTTPS で始まる URL の表示に設 定が反映されます。ほとんどのブラウザには、SSL 暗号化接続のインジケータ が用意されています。 SSL をイネーブルにするには、まずサーバ証明書と認証局証明書をインストー ルします。System Configuration > ACS Certificate Setup を選択して、インス トール プロセスにアクセスします。SSL をイネーブルにすると、ACS は、次 の管理者ログイン時に HTTPS の使用を開始します。現在の管理セッションは 影響を受けません。証明書が存在しない場合、ACS はエラーを表示します。 関連項目 • ACS サーバ証明書のインストール(P.9-26) • 認証局証明書の追加(P.9-30) Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 11-23 第 11 章 管理者と管理ポリシー Administration Control ページのリファレンス Session Policy Setup ページ Session Policy Setup ページを使用して、タイムアウト、自動ローカル ログイン(ACS for Windows のみ)、および無効な IP アドレス接続に対する応答を含むセッション アトリビュートを設定しま す。 このページを開くには、Administration Control をクリックしてから、Session Policy をクリックし ます。 表 11-6 に、セッション設定オプションの説明を示します。 表 11-6 セッション ポリシー オプション 説明 Session Configuration Session idle timeout(分) ACS が接続を終了するまでに、管理セッションのアイドル状態を維持する必要 がある時間(分数)を指定します(最大 4 桁、5 ∼ 1439) 。 管理セッションが終了すると、ACS により、管理者に続行するかどうかを尋ね るダイアログボックスが表示されます。管理者が続行を希望すると、ACS に よって新しい管理セッションが開始されます。 このパラメータは、ブラウザでの ACS 管理セッションにだけ適用されます。管 理ダイヤルアップ セッションには適用されません。 Allow Automatic Local Login(ACS for Windows) ACS を実行しているコンピュータのブラウザを使用している場合は、ログイン しなくても管理者が管理セッションを開始できるようにします。ACS は、 local_login というデフォルトの管理者アカウントを使用して、これらのセッ ションを実行します。 オフ(ディセーブル)の場合は、管理者が管理者名とパスワードを使用してロ グインする必要があります。 (注) 定義済み管理者アカウントがない場合の予期せぬロックアウトを防止 するため、ACS は、ACS へのローカル アクセスの際に管理者名とパス ワードを要求しません。 local_login 管理者アカウントには、Administration Control 特権が必要です。ACS は、local_login アカウントを使用する管理セッションを、local_login 管理者名 の下の Administrative Audit レポートに記録します。 Respond to invalid IP address connections Access Policy で無効として設定された IP アドレス範囲を使用して、リモート管 理セッションを開始しようとした場合に、ACS がエラー メッセージを送信でき るようにします。このチェックボックスをオフにすると、ACS は、無効なリ モート接続が試行されてもエラー メッセージを表示しません(デフォルトは Enabled です) 。 このオプションをディセーブルにすると、不正なユーザによる ACS の検出を防 ぐことができます。 Cisco Secure ACS Solution Engine ユーザ ガイド 11-24 OL-14386-01-J C H A P T E R 12 ユーザ データベース Cisco Secure Access Control Server Release 4.2(以降は ACS と表記)は、ACS 内部データベースをは じめとした、使用可能なデータベースのいずれかに対して、ユーザの認証を行います。複数のタイ プのデータベースに対してユーザを認証するように、ACS を設定できます。この柔軟性により、 個々の外部ユーザ データベースから ACS 内部データベースにユーザを明示的にインポートしなく ても、異なる場所に収集されているユーザ アカウント データを使用することが可能になります。ま た、ネットワーク上のユーザ認可に関連付けられたセキュリティ要件に応じて、異なるデータベー スを異なるタイプのユーザに適用することも可能です。たとえば、通常の設定として、標準のネッ トワーク ユーザの場合は Windows ユーザ データベースを使用し、ネットワーク管理者の場合は トークン サーバを使用するように設定できます。認証プロトコル、およびそのプロトコルをサポー トする外部データベース タイプの詳細については、P.1-8 の「認証プロトコルとデータベースの互 換性」を参照してください。 (注) 未知ユーザ ポリシーとグループ マッピング機能については、第 15 章「未知ユーザ ポリシー」お よび第 16 章「ユーザ グループ マッピングと仕様」を参照してください。 この章は、次の項で構成されています。 • ACS 内部データベース(P.12-2) • 外部ユーザ データベースについて(P.12-3) • Windows ユーザ データベース(P.12-6) • 汎用 LDAP(P.12-26) • ODBC データベース(ACS for Windows のみ) (P.12-39) • LEAP Proxy RADIUS Server データベース(プラットフォーム共通)(P.12-54) • トークン サーバ ユーザ データベース(P.12-56) • 外部ユーザ データベース設定の削除(P.12-65) Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 12-1 第 12 章 ユーザ データベース ACS 内部データベース ACS 内部データベース ACS 内部データベースは、認可プロセスに不可欠です。ユーザが内部ユーザ データベースにより 認証されたか、外部ユーザ データベースにより認証されたかには関係なく、ACS では、ACS 内部 データベース内のグループ メンバーシップと特定のユーザ設定に基づいて、ユーザにネットワーク サービスを認可します。ACS 内部データベースがサポートする認証タイプについては、P.1-8 の「認 証プロトコルとデータベースの互換性」を参照してください。 ACS 内部データベースについて ACS 内部データベースを使用して認証されるユーザの場合、データベースにユーザ パスワードが 格納されます(このデータベースは管理者パスワードで保護され、AES 128 アルゴリズムによって 暗号化されています)。外部ユーザ データベースを使用して認証されるユーザの場合、ACS 内部 データベースにパスワードは格納されません。 外部ユーザ データベースを使用してユーザを認証するように ACS を設定していない限り、ACS で は、ACS 内部データベースのユーザ名とパスワードを使用して認証を行います。ユーザの認証に外 部ユーザ データベースを指定する方法の詳細については、P.6-4 の「基本ユーザ アカウントの追加」 を参照してください。 ユーザのインポートおよび作成 次の機能を使用して、ユーザ アカウントをインポートまたは作成できます。 • RDBMS 同期化:RDBMS 同期化を使用すると、多数のユーザ アカウントを作成することや、 ユーザ アカウントに多くの設定を行うことができます。RDBMS もまた、外部ソースからの ユーザ アカウントのインポートをサポートしています。ユーザを一括でインポートする必要が ある場合は必ずこの機能を使用することをお勧めします。ただし、初めて RDBMS 同期化を設 定する場合は、重要な決定をいくつか行う必要があり、その決定事項を実装する時間が必要と なります。詳細については、P.8-19 の「RDBMS 同期化」を参照してください。 • CSUtil.exe(ACS for Windows) :CSUtil.exe コマンドライン ユーティリティは、基本ユーザ ア カウントを簡単に作成する手段を提供します。CSUtil.exe もまた、外部ソースからのユーザ ア カウントのインポートをサポートしています。RDBMS 同期化と比較すると機能に制限があり ますが、基本ユーザ アカウントをインポートしたり、グループにユーザを割り当てたりするの が簡単になります。詳細については、付録 C「CSUtil データベース ユーティリティ」を参照し てください。 次の機能では、ユーザ アカウントを作成できます。 • ACS Web インターフェイス:Web インターフェイスでは、一度に 1 人のユーザのアカウント を手動で作成できます。ユーザ アカウントの作成方法に関係なく、Web インターフェイスを使 用してユーザ アカウントを編集できます。詳細な手順については、P.6-4 の「基本ユーザ アカ ウントの追加」を参照してください。 • 未知ユーザ ポリシー:未知ユーザ ポリシーを使用すると、外部ユーザ データベース内にアカ ウントを持たないユーザが検出された場合に、そのユーザを自動的に追加できます。ACS に ユーザ アカウントが作成されるのは、そのユーザがネットワークへのアクセスを試行し、外部 ユーザ データベースによって問題なく認証された場合だけです。詳細については、第 15 章「未 知ユーザ ポリシー」を参照してください。 未知ユーザ ポリシーを使用する場合は、未知ユーザ ポリシーによって ACS に追加されたユー ザが認証されるたびにユーザ グループ割り当てがダイナミックに行われるように、グループ マッピングを設定することもできます。一部の外部ユーザ データベース タイプでは、外部ユー ザ データベース内のグループ メンバーシップに基づいてユーザ グループ割り当てが行われま す。また、他のデータベース タイプでは、所定のデータベースによって認証されたユーザがす べて、単一の ACS ユーザ グループに割り当てられます。グループ マッピングの詳細について は、第 16 章「ユーザ グループ マッピングと仕様」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド 12-2 OL-14386-01-J 第 12 章 ユーザ データベース 外部ユーザ データベースについて • データベース複製:データベース複製を使用すると、セカンダリ ACS 上のすべての既存のユー ザ アカウントをプライマリ ACS からのユーザ アカウントで上書きすることによって、セカン ダリ ACS 上にユーザ アカウントが作成されます。この複製によって、セカンダリ ACS に固有 のユーザ アカウントはすべて失われます。詳細については、P.8-2 の「ACS 内部データベース の複製」を参照してください。 外部ユーザ データベースについて ユーザの認証を 1 つまたは複数の外部ユーザ データベースに転送するように ACS を設定できま す。ACS では、外部ユーザ データベースをサポートしているため、ユーザ データベースにユーザ エントリの複製を作成する必要がありません。相当な規模のユーザ データベースがすでに構築され ている企業では、データベース構築に対する過去の投資結果をそのまま ACS で活用できます。新 たな投資は必要ありません。 ネットワーク アクセスの認証に加えて、ACS では、外部ユーザ データベースを使用して TACACS+ イネーブル特権の認証も行うことができます。TACACS+ イネーブル パスワードの詳細について は、P.6-28 の「TACACS+ Enable Password オプションをユーザに対して設定する」を参照してくだ さい。 (注) 外部ユーザ データベースは、ユーザを認証するため、およびユーザを割り当てるグループを決定 するためだけに使用できます。ACS 内部データベースは、すべての認可サービスを提供します。い くつかの例外を除いて、ACS では、外部ユーザ データベースから認可データを取得できません。例 外については、この章の特定のデータベースの説明を参照してください。未知ユーザに対するグ ループ マッピングの詳細については、第 16 章「ユーザ グループ マッピングと仕様」を参照して ください。 次のデータベースを使用して、ユーザを認証できます。 • Windows ユーザ データベース • 汎用 LDAP Open Database Connectivity(ODBC)準拠リレーショナル データベース(ACS for Windows) • LEAP Proxy Remote Authentication Dial-In User Service(RADIUS)サーバ • RADIUS トークン サーバ • RSA SecurID トークン サーバ • LDAP グループ マッピングによる RSA 認証 ACS が外部ユーザ データベースと相互対話を行う場合は、サードパーティ製の認証ソース用の API が必要になります。この API を使用して、外部ユーザ データベースと通信します。 ACS for Windows RSA トークン サーバでは、RSA が指定するソフトウェア コンポーネントをインストールするか、 または RADIUS インターフェイスを使用することができます。他のベンダーのトークン サーバの 場合、標準 RADIUS インターフェイスがサードパーティ API として機能します。 Open Database Connectivity(ODBC)認証ソースの場合、Windows ODBC インターフェイスだけで なく、ACS Windows サーバにサードパーティの ODBC ドライバをインストールする必要がありま す。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 12-3 第 12 章 ユーザ データベース 外部ユーザ データベースについて ACS SE RSA トークン サーバでは、RADIUS インターフェイスを使用する必要があります。 Windows ユーザ データベースでは、ACS Remote Agent for Windows をインストールおよび設定する 必要があります。Remote Agent は、Windows オペレーティング システムと連携動作して認証を行 います。『Installation and Configuration Guide for Cisco Secure ACS Remote Agents Release 4.2』を参照 してください。 外部ユーザ データベースを使用した認証 外部ユーザ データベースを使用してユーザを認証するには、ACS が外部ユーザ データベースと通 信する設定以外にも設定が必要となります。この章に記載されている外部データベースのいずれか 1 つの設定手順を実行しても、それだけではそのデータベースを使用してユーザを認証するように ACS を設定したことにはなりません。 外部ユーザ データベースと通信するように ACS を設定した後で、次の方法で外部ユーザ データ ベースを使用してユーザを認証するように ACS を設定できます。 • 特定のユーザ割り当て:外部ユーザ データベースを使用して特定のユーザを認証するように ACS を設定できます。この方法を実行するには、ユーザが ACS 内部データベースに存在し、 User Setup の Password Authentication リストが、 ACS がユーザの認証に使用する外部ユーザ デー タベースとして設定されている必要があります。 各ユーザ アカウントについて Password Authentication を設定するのは時間がかかりますが、外 部ユーザ データベースを使用して認証するユーザを判別するこの方法は、外部ユーザ データ ベースを使用して誰を認証するかを明示的に定義する必要があるため安全です。また、ユーザ は、希望する ACS グループに配置されるため、適用可能なアクセス プロファイルを受け取り ます。 • • 未知ユーザ ポリシー:外部ユーザ データベースを使用して、ACS 内部データベースにいない ユーザの認証を試みるように ACS を設定できます。この方法では、ACS 内部データベースに 新しいユーザを定義する必要はありません。未知ユーザ ポリシーの詳細については、P.15-3 の 「未知ユーザ認証について」を参照してください。 Network Access Profile(NAP; ネットワーク アクセス プロファイル):NAP を設定して、認証 のためにユーザのクレデンシャルを確認するのに使用する外部データベースを定義できます。 NAP で認証を設定する方法の詳細については、P.14-27 の「NAP の認証ポリシー設定」を参照 してください。 上記の方法は相互排他的ではないため、いずれかの方法、またはすべての方法を使用して ACS を 設定することもできます。 Cisco Secure ACS Solution Engine ユーザ ガイド 12-4 OL-14386-01-J 第 12 章 ユーザ データベース 外部ユーザ データベースについて 外部ユーザ データベースを使用した認証プロセス ACS は、外部ユーザ データベースを使用してユーザ認証を試みるときに、ユーザ クレデンシャル を外部ユーザ データベースに転送します。外部ユーザ データベースは、ACS からの認証要求を成 功または失敗させます。ACS は、外部ユーザ データベースからの応答を受信すると、外部ユーザ データベースからの応答に応じて、要求側 AAA クライアントにユーザ アクセスの許可または拒否 を指示します。図 12-1 に、外部ユーザ データベースのある AAA 構成を示します。 図 12-1 単純な AAA のシナリオ 詳細については、対象となるデータベース タイプに関する項を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 12-5 第 12 章 ユーザ データベース Windows ユーザ データベース Windows ユーザ データベース Windows ユーザ データベースを使用してユーザを認証するように ACS を設定できます。 ここでは、次の項目について説明します。 • Windows ユーザ データベース サポート(P.12-6) • Windows ユーザ データベースを使用した認証(P.12-7) • 信頼関係(P.12-7) • Windows ダイヤルアップ ネットワーキング クライアント(P.12-8) • ユーザ名と Windows 認証(P.12-8) • EAP および Windows 認証(P.12-11) • Windows ユーザ データベースを使用した、ユーザによる変更が可能なパスワード(P.12-18) • Windows を使用したユーザ認証の準備(P.12-19) • Remote Agents for Windows 認証の選択 (Solution Engine のみ) (P.12-19) • Windows ユーザ データベース設定オプション(P.12-20) • Windows 外部ユーザ データベースの設定(P.12-24) • マルチフォレスト環境でのマシン認証のサポート(P.12-25) Windows ユーザ データベース サポート ACS は、次の機能について、Windows 外部ユーザ データベースの使用をサポートします。 • ユーザ認証:ACS が Windows Security Accounts Manager(SAM)データベース、または Windows Active Directory データベースでサポートしている認証タイプについては、P.1-8 の「認証プロト コルとデータベースの互換性」を参照してください。 • マシン認証:ACS は、EAP-TLS および PEAP(EAP-MS-CHAPv2)を使用したマシン認証をサ ポートします。詳細については、P.12-11 の「EAP および Windows 認証」を参照してください。 • 未知ユーザに対するグループ マッピング:ACS は、Windows ユーザ データベースにグループ メンバーシップ情報を要求することによって、未知ユーザに対するグループ マッピングをサ ポートします。Windows ユーザ データベースで認証されたユーザに対するグループ マッピン グの詳細については、P.16-4 の「グループ セット メンバーシップによるグループ マッピング」 を参照してください。 • パスワード エージング:ACS は、Windows ユーザ データベースによって認証されたユーザに 対するパスワード エージングをサポートします。詳細については、P.12-18 の「Windows ユー ザ データベースを使用した、ユーザによる変更が可能なパスワード」を参照してください。 • ダイヤルイン アクセス権:ACS は、Windows ユーザ データベースからのダイヤルイン アクセ ス権の使用をサポートします。詳細については、P.12-19 の「Windows を使用したユーザ認証 の準備」を参照してください。 • コールバック設定:ACS は、Windows ユーザ データベースからのコールバック設定の使用を サポートします。Windows コールバック設定を使用するように ACS を設定する方法について は、P.6-8 の「ユーザ コールバック オプションの設定」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド 12-6 OL-14386-01-J 第 12 章 ユーザ データベース Windows ユーザ データベース Windows ユーザ データベースを使用した認証 ACS は、ACS for Windows または Solution Engine リモート エージェントを実行しているコンピュー タの Windows オペレーティング システムにユーザ クレデンシャルを渡すことによって、Windows データベースにユーザ クレデンシャルを転送します。Windows データベースは、ACS からの認証 要求を成功または失敗させます。 ACS for Windows のみ:ACS は、Windows データベース エージェントからの応答を受信すると、 Windows データベースからの応答に応じて、要求側 AAA クライアントにユーザ アクセスの許可ま たは拒否を指示します。 Solution Engine のみ:リモート エージェントは、Windows データベースからの応答を受信すると、 ACS に応答を転送します。ACS は、Windows データベースからの応答に応じて、要求側 AAA クラ イアントにユーザ アクセスの許可または拒否を指示します。 ACS は、ユーザが割り当てられている ACS グループに基づいて、認可を与えます。ユーザが割り 当てられているグループは Windows データベースからの情報によって判別可能ですが、認可特権を 与えるのは ACS です。 ユーザにダイヤルインを許可する設定をチェックするように ACS を設定して、ユーザによるアク セスをさらに制御することもできます。この設定は、Windows NT では Grant dialin permission to user というラベルが付けられ、Windows 2000 および Windows 2003 R2 の Remote Access Permission 領域 では Allow access というラベルが付けられています。この機能がそのユーザに対してディセーブル になっている場合、ユーザ名とパスワードが正しく入力されていてもアクセスは拒否されます。 信頼関係 ACS は、Windows ドメイン間で確立された信頼関係を十分に活用できます。ACS for Windows、ま たは Windows リモート エージェントを実行しているコンピュータ(ACS SE)が含まれたドメイン が別のドメインを信頼している場合、ACS は、別のドメインにアカウントが存在するユーザを認証 できます。ACS は、信頼ドメイン間で Grant dialin permission to user の設定も参照できます。 (注) ACS for Windows がドメイン コントローラ以外のメンバー サーバ上で動作している場合、信頼関係 を活用できるかどうかは、インストール時に ACS for Windows に対して適切な設定を行ったかどう かによって異なります。詳細については、 『Installation Guide for Cisco Secure ACS for Windows Release 4.2』を参照してください。 ACS SE リモート エージェントがドメイン コントローラ以外のメンバー サーバ上で動作している 場合、信頼関係を活用できるかどうかは、リモート エージェントのインストール時に適切な設定 を行ったかどうかによって異なります。詳細については、『Installation Guide for Cisco Secure ACS Solution Engine Release 4.2』の「Configuring for Member Server Authentication」を参照してください。 ACS は、Windows 認証の間接信頼を活用できます。たとえば、Windows ドメインの A、B、および C が存在し、ACS for Windows またはリモート エージェントがドメイン A のサーバに常駐している ときに、ドメイン A はドメイン B を信頼していますが、ドメイン A とドメイン C の間には信頼関 係は確立されていないとします。ドメイン B がドメイン C を信頼している場合には、ACS for Windows またはドメイン A の リモート エージェントは、ドメイン C の間接信頼関係を利用して、 ドメイン C にアカウントが存在するユーザを認証できます。 信頼関係の詳細については、Microsoft Windows マニュアルを参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 12-7 第 12 章 ユーザ データベース Windows ユーザ データベース Windows ダイヤルアップ ネットワーキング クライアント Windows NT/2000/2003 R2/XP Professional および Windows 95/98/Millennium Edition (ME)/XP Home の ダイヤルアップ ネットワーキング クライアントは、ユーザをネットワークにリモート接続できる ようにしますが、指定するフィールドは異なります。 • • Domain フィールドを持つ Windows ダイヤルアップ ネットワーキング クライアント(P.12-8) Domain フィールドを持たない Windows ダイヤルアップ ネットワーキング クライアント (P.12-8) Domain フィールドを持つ Windows ダイヤルアップ ネットワーキング クライアント ユーザが Windows NT、Windows 2000、Windows 2003 R2、または Windows XP Professional で提供さ れるダイヤルアップ ネットワーキング クライアントを使用してネットワークにダイヤルインする 場合は、次の 3 つのフィールドが表示されます。 • username:ユーザ名を入力します。 • password:パスワードを入力します。 • domain:有効なドメイン名を入力します。 (注) domain ボックスに入力する場合とブランクのまま残す場合の違いについては、 P.12-9 の 「ドメイン修飾されていないユーザ名」を参照してください。 Domain フィールドを持たない Windows ダイヤルアップ ネットワーキング クライアント ユーザが Windows 95、Windows 98、Windows ME、または Windows XP Home で提供されるダイヤ ルアップ ネットワーキング クライアントを使用してネットワークにアクセスする場合は、次の 2 つのフィールドが表示されます。 • username:ユーザ名を入力します。 (注) ログインするドメイン名をユーザ名の前にプレフィックスとして付けることもできま す。ユーザ名の前にドメイン名をプレフィックスとして付ける場合と付けない場合の違 いについては、P.12-9 の「ドメイン修飾されていないユーザ名」を参照してください。 • password:パスワードを入力します。 ユーザ名と Windows 認証 ここでは、次の項目について説明します。 • ユーザ名フォーマットと Windows 認証(P.12-9) • ドメイン修飾されていないユーザ名(P.12-9) • ドメイン修飾されたユーザ名(P.12-10) • UPN ユーザ名(P.12-11) Cisco Secure ACS Solution Engine ユーザ ガイド 12-8 OL-14386-01-J 第 12 章 ユーザ データベース Windows ユーザ データベース ユーザ名フォーマットと Windows 認証 ACS は、さまざまなフォーマットのユーザ名に対する Windows 認証をサポートしています。ACS は、Windows 認証を試みる場合、まずユーザ名フォーマットを特定し、適切な方法で Windows に ユーザ名を送信します。ACS による信頼性の高い Windows 認証を実装するには、ACS がユーザ名 フォーマットを特定する方法、各フォーマットをサポートする方法、およびサポート タイプの関連 性を理解する必要があります。 Windows 認証用に送信されたユーザ名のフォーマットを特定するために、ACS は、ユーザ名に次の 2 つの特殊文字が含まれるかどうかを調べます。 • アットマーク(@) • バックスラッシュ(\) ユーザ名にこれら 2 つの文字が含まれるかどうか、およびこれらの文字の位置に基づいて、ACS は 次のようにユーザ名フォーマットを特定します。 1. ユーザ名にバックスラッシュ(\)もアットマーク(@)も含まれていない場合、ACS はその ユーザ名をドメイン修飾されていないと見なします。たとえば、ユーザ名 cyril.yang はドメイ ン修飾されていません。詳細については、P.12-9 の「ドメイン修飾されていないユーザ名」を 参照してください。 2. ユーザ名にバックスラッシュ(\)が含まれており、そのバックスラッシュの前にアットマーク (@)がない場合、ACS はそのユーザ名をドメイン修飾されていると見なします。たとえば、 ACS は、次のユーザ名をドメイン修飾されていると見なします。 − MAIN\cyril.yang − MAIN\cyril.yang@central-office 詳細については、P.12-10 の「ドメイン修飾されたユーザ名」を参照してください。 3. ユーザ名にアットマーク(@)が含まれており、そのアットマークの前にバックスラッシュ(\) がない場合、ACS はそのユーザ名を User Principal Name(UPN)フォーマットであると見なし ます。たとえば、ACS は、次のユーザ名を UPN ユーザ名であると見なします。 − [email protected] − [email protected] − cyril.yang@main − cyril.yang@[email protected] − cyril.yang@main\example.com 詳細については、P.12-11 の「UPN ユーザ名」を参照してください。 ドメイン修飾されていないユーザ名 ACS は、ユーザ名にアットマーク(@)が含まれていない場合、ドメイン修飾されていないユーザ 名の Windows 認証をサポートします。ユーザ名にアットマーク(@)が含まれるユーザは、UPN フォーマットまたはドメイン修飾フォーマットのいずれかでユーザ名を送信する必要があります。 ドメイン修飾されていないユーザ名とは、cyril.yang や msmith などです。 複数のドメインを持つ Windows 環境では、ドメイン修飾されていないユーザ名の認証結果が異なる ことがあります。この不一致は、ACS ではなく Windows が、ドメイン修飾されていないユーザ名 の認証に使用するドメインを決めるため発生します。Windows は、ローカル ドメイン データベー ス内でそのユーザ名を検出できない場合、すべての信頼ドメインをチェックします。ACS for Windows またはリモート エージェントがメンバー サーバ上で動作しており、信頼ドメイン内でそ のユーザ名が検出されない場合、Windows はローカル アカウント データベースもチェックします。 Windows は、最初に検出したユーザ名を使用してユーザを認証しようとします。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 12-9 第 12 章 ユーザ データベース Windows ユーザ データベース ドメイン修飾されていないユーザ名の Windows 認証が成功した場合、認証によって割り当てられる 特権は、ユーザ名とパスワードが一致した最初のドメインの Windows ユーザ アカウントに関連付 けられているものです。また、このことから、ユーザ アカウントが必要でなくなった場合にドメイ ンからユーザ名を削除することの重要性がわかります。 (注) ユーザによって送信されたクレデンシャルが、Windows が最初に検出したユーザ名に関連付けられ ているクレデンシャルと一致しない場合、認証は失敗します。したがって、異なるドメイン内の異 なるユーザがまったく同じユーザ名を持っており、ドメイン修飾されていないユーザ名を使用して ログインすると、認証が失敗することがあります。 Windows 認証をサポートするために Domain List の使用は必須ではありませんが、Domain List を使 用すると、ドメイン修飾されていないユーザ名が原因で発生する認証の失敗を減らすことができま す。External User Databases セクションの Windows User Database Configuration ページに Domain List が設定されている場合、ACS はユーザの認証に成功するまで、ユーザ名とパスワードをドメイン修 飾フォーマットでリストの各ドメインに送信します。ACS が Domain List に設定されているすべて のドメインに認証を要求した場合、または Domain List に信頼ドメインが設定されていない場合に は、ACS はユーザ認証の試行を停止して、そのユーザのアクセスを許可しません。 (注) Domain List にドメインが含まれており、Windows Security Account Manager(SAM)または Active Directory ユーザ データベースが、数回試行に失敗するとユーザをロックアウトするように設定さ れている場合には、ACS は Domain List の各ドメインの認証を明示的に試行するため、ユーザが偶 然ロックアウトされて、異なるドメインに存在する同一ユーザ名に対する認証が失敗することがあ ります。 ドメイン修飾されたユーザ名 特定ドメインでユーザを認証する最も確かな方法は、ユーザ名の認証を行うドメイン名をユーザ名 と一緒に送信するよう要求することです。ドメイン修飾されたユーザ名の認証は、Windows が正し いドメインで認証を試行することにも、Domain List を使用して ACS にドメイン修飾フォーマット で繰り返しユーザ名を送信するように指示することにも依存せず、特定のドメインに転送されま す。 ドメイン修飾されたユーザ名のフォーマットは、次のとおりです。 DOMAIN\user たとえば、Domain10 のユーザ Mary Smith(msmith)のドメイン修飾されたユーザ名は Domain10\msmith となります。 cyril.yang@central-office のようにアットマーク(@)を含むユーザ名の場合、ドメイン修飾された ユーザ名フォーマットを使用する必要があります。たとえば、MAIN\cyril.yang@central-office のよう になります。アットマーク(@)を含むユーザ名を非ドメイン修飾フォーマットで受信した場合、 ACS はそのユーザ名を UPN フォーマットであると見なします。詳細については、P.12-11 の「UPN ユーザ名」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド 12-10 OL-14386-01-J 第 12 章 ユーザ データベース Windows ユーザ データベース UPN ユーザ名 ACS は、[email protected] や cyril.yang@[email protected] など、UPN フォーマット のユーザ名の認証をサポートしています。 認証プロトコルが EAP-TLS の場合、デフォルトで、ACS は Windows に UPN フォーマットでユー ザ名を送信します。Windows データベースでサポートできる他のすべての認証プロトコルの場合、 ACS は、最後のアットマーク(@)以降のすべての文字を削除したユーザ名を Windows に送信し ます。この動作により、アットマーク(@)を含むユーザ名を使用できます。次の例を参考にして ください。 (注) • 受信したユーザ名が [email protected] である場合、ACS は、ユーザ名 cyril.yang を含む認 証要求を Windows に送信します。 • 受信したユーザ名が cyril.yang@[email protected] である場合、ACS は、ユーザ名 cyril.yang@central-office を含む認証要求を Windows に送信します。 ACS は、アットマーク(@)を含むドメイン修飾されていないユーザ名と、UPN ユーザ名を区別 できません。バックスラッシュ(\)文字が前に置かれていないアットマーク(@)を含むユーザ名 はすべて、最後のアットマーク(@)と後続の文字が削除されて Windows に送信されます。ユー ザ名にアットマーク(@)が含まれるユーザは、UPN フォーマットまたはドメイン修飾フォーマッ トのいずれかでユーザ名を送信する必要があります。 EAP および Windows 認証 この項では、Windows User Database Configuration ページで設定できる、Windows 固有の EAP 機能 について説明します。 ここでは、次の項目について説明します。 • マシン認証(P.12-11) • Machine Access Restrictions(P.12-13) • Microsoft Windows とマシン認証(P.12-15) • マシン認証のイネーブル化(P.12-16) マシン認証 ACS は、Windows XP Service Pack 1 など、EAP コンピュータ認証をサポートする Microsoft Windows オペレーティング システムを実行しているコンピュータの認証をサポートします。マシン認証は、 コンピュータ認証とも呼ばれ、Active Directory に既知のコンピュータに対してだけネットワーク サービスを許可します。この機能は、物理的な作業設備外から権限のないユーザが無線アクセス ポ イントにアクセスできる無線ネットワークで特に役立ちます。 マシン認証をイネーブルにした場合、3 つの異なる種類の認証が行われます。コンピュータを起動 すると、次の順序で認証が行われます。 • マシン認証:ACS はユーザ認証の前にコンピュータを認証します。ACS は、Windows ユーザ データベースに対してコンピュータが与えたクレデンシャルを確認します。Active Directory を 使用していて Active Directory 内の一致するコンピュータ アカウントに同じクレデンシャルが ある場合、コンピュータは Windows ドメイン サービスへのアクセスを許可されます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 12-11 第 12 章 ユーザ データベース Windows ユーザ データベース • ユーザ ドメイン認証:マシン認証が成功すると、ユーザが Windows ドメインで認証されます。 マシン認証が失敗すると、コンピュータは Windows ドメイン サービスへのアクセスを許可さ れず、ローカル オペレーティング システムに保持されているキャッシュ クレデンシャルを使 用してユーザ クレデンシャルが認証されます。この場合、ユーザはローカル システムに限り ログインできます。ドメインの代わりにキャッシュ クレデンシャルでユーザが認証された場 合、コンピュータは、ドメインによって指示されたログイン スクリプトの実行などのドメイン ポリシーを適用しません。 ヒント • (注) ユーザ パスワードが最後に変更されてから、ユーザがまだコンピュータを使用してドメ インに正常にログインしていない場合は、そのコンピュータのマシン認証が失敗すると、 コンピュータ上のキャッシュ クレデンシャルは新規パスワードと一致しません。ユーザ がこのコンピュータからドメインへ正常にログインしたことがあれば、キャッシュ クレ デンシャルは古いパスワードと一致していることになります。 ユーザ ネットワーク認証:ACS はユーザを認証し、ネットワーク接続を許可します。ユーザ プロファイルが存在する場合は、指定されたユーザ データベースがユーザの認証に使用されま す。ユーザ データベースが Windows ユーザ データベースである必要はありませんが、ほとん どの Microsoft クライアントは、ユーザ ドメイン認証と同じクレデンシャルを使用してネット ワーク認証を自動的に実行するように設定できます。この方法により、シングル サインオンが 可能になります。 また、Microsoft PEAP クライアントは、ユーザがログオフするたびにマシン認証を開始します。こ の機能は、次のユーザ ログインのネットワーク接続を準備するためです。Microsoft PEAP クライア ントは、ユーザがログオフではなくコンピュータのシャットダウンや再起動を選択した場合にも、 マシン認証を開始する場合があります。 ACS は、マシン認証で EAP-TLS、PEAP(EAP-MS-CHAPv2)、および PEAP(EAP-TLS)をサポー トしています。Windows User Database Configuration ページでそれぞれを個別にイネーブルにして、 EAP-TLS または PEAP(EAP-MS-CHAPv2)で認証した複数のコンピュータを混合させることがで きます。マシン認証を実行する Microsoft オペレーティング システムでは、ユーザ認証プロトコル が、マシン認証に使用されたのと同じプロトコルに制限される場合があります。Microsoft オペレー ティング システムとマシン認証の詳細については、P.12-15 の「Microsoft Windows とマシン認証」 を参照してください。 未知ユーザ ポリシーは、マシン認証をサポートしています。ACS にとって未知であったコンピュー タは、ユーザの場合と同様に処理されます。未知ユーザ ポリシーがイネーブルで、Active Directory 外部ユーザ データベースが Configure Unknown User Policy ページの Selected Databases リストに組み 込まれている場合は、Active Directory に対して示されたマシン クレデンシャルが有効であれば、マ シン認証が成功します。 マシンの認証を実行するよう設定されているコンピュータでは、コンピュータの起動時にマシンの 認証が行われます。AAA クライアントが RADIUS アカウンティング データを ACS に送信する場 合、コンピュータが起動されると、ユーザがそのコンピュータにログインする前に、Reports and Activity セクションの Logged-In Users List にそのコンピュータが表示されます。ユーザの認証が開 始されると、コンピュータは Logged-In Users List に表示されなくなります。 Cisco Secure ACS Solution Engine ユーザ ガイド 12-12 OL-14386-01-J 第 12 章 ユーザ データベース Windows ユーザ データベース PEAP ベースのマシン認証では、PEAP(EAP-MS-CHAPv2)と、Microsoft Windows ドメインへの追 加時に自動的に確立されたコンピュータのパスワードが使用されます。コンピュータは、名前を ユーザ名として次のフォーマットで送信します。 host/computer.domain computer はコンピュータの名前、domain はコンピュータが属するドメインです。サブドメインも使 用される場合、ドメイン セグメントにはサブドメインも含まれることがあります。その場合、フォー マットは次のようになります。 host/computer.subdomain.domain 認証されたコンピュータのユーザ名は ACS 内部データベースに表示されます。未知ユーザの処理 をイネーブルにした場合は、コンピュータが正常に認証されると ACS によって自動的に追加され ます。認証時にドメイン名は使用されません。 EAP-TLS ベースの認証では、EAP-TLS を使用して、クライアント証明書を使用するコンピュータ を認証します。コンピュータが使用する証明書は、コンピュータがドメインに追加されたときに自 動的にインストールされた証明書や、ローカル マシンのストレージに後から追加された証明書で す。PEAP ベースのマシン認証と同様に、コンピュータ名がコンピュータ クライアント証明書に含 まれる形で ACS 内部データベースに表示され、コンピュータ名に対応するユーザ プロファイルは、 Windows 外部ユーザ データベースを使用して認証するよう設定されている必要があります。未知 ユーザの処理をイネーブルにした場合は、コンピュータが正常に認証されると ACS によってコン ピュータ名が自動的に ACS 内部データベースに追加されます。また、作成されたユーザ プロファ イルが、ユーザが検出された外部ユーザ データベースを使用するように設定されます。マシン認証 の場合、これは必ず Windows 外部ユーザ データベースになります。 Machine Access Restrictions ネットワークへのアクセスに使用するコンピュータのマシン認証に基づき、Windows によって認証 される EAP-TLS ユーザ、EAP-FASTv1a ユーザおよび Microsoft PEAP ユーザの認可を制御する追加 手段として、Machine Access Restrictions(MAR)機能を使用できます。 この機能をイネーブルにすると、ACS は次のように動作します。 • 成功したマシン認証ごとに、ACS は、Internet Engineering Task Force(IETF; インターネット技 術特別調査委員会)RADIUS Calling-Station-Id アトリビュート(31) で受信した値を、その 成功したマシン認証の証拠としてキャッシュします。ACS は、各 Calling-Station-Id アトリ ビュート値を、Windows User Database Configuration ページに指定されている期間(時間単位) 保存した後、キャッシュから削除します。 • ユーザを EAP-TLS、EAP-FASTv1a または Microsoft PEAP エンドユーザ クライアントで認証す る場合、ACS は、成功したマシン認証の Calling-Station-Id 値のキャッシュを検索して、ユー ザ認証要求で受信した Calling-Station-Id 値を見つけようとします。ACS がキャッシュ内で ユーザ認証 Calling-Station-Id 値を見つけるかどうかによって、ACS が、認証を要求してい るユーザをユーザ グループに割り当てる方法が異なります。 − Calling-Station-Id 値がキャッシュ内で見つかった場合:ACS は、通常の方法で、ユーザを ユーザ グループに割り当てます。その方法には、ユーザ プロファイルでのグループの手動 指定、グループ マッピング、または RADIUS ベースのグループ指定があります。たとえ ば、認証に成功したコンピュータでユーザがログインし、ユーザ プロファイルによってそ のユーザがグループ 137 のメンバーであることが示されている場合、ACS はグループ 137 に指定されている認可設定をユーザ セッションに適用します。 − Calling-Station-Id 値がキャッシュ内で見つからなかった場合:ACS は、Group map for successful user authentication without machine authentication リストによって指定されてい るユーザ グループにユーザを割り当てます。これには、<No Access> グループが含まれる こともあります。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 12-13 第 12 章 ユーザ データベース Windows ユーザ データベース (注) ユーザ プロファイル設定は、グループ プロファイル設定よりも優先されます。Group map for successful user authentication without machine authentication リストで指定され ているグループによって拒否されている認可がユーザ プロファイルによって与えられ ている場合、ACS はその認可を与えます。 MAR 機能は、完全な EAP-TLS、EAP-FASTv1a および Microsoft PEAP 認証をサポートし、EAP-TLS、 EAP-FASTv1a および Microsoft PEAP の再開セッションや Microsoft PEAP の高速再接続もサポート します。 MAR 機能には、次の制限および要件があります。 • マシン認証がイネーブルである必要がある。 • ユーザが EAP-TLS、EAP-FASTv1a または Microsoft PEAP クライアントで認証する必要がある。 MAR は、LEAP や MS-CHAP など、他のプロトコルで認証されるユーザには適用されません。 • AAA クライアントが IETF RADIUS Calling-Station-Id アトリビュート(31)で値を送信する 必要がある。 • ACS は、成功したマシン認証の Calling-Station-Id アトリビュート値のキャッシュを複製し ない。 • ダイヤルアップを使用している場合はマシン認証が行われないため、ダイヤルアップを通して 認証されたユーザは、常に MAR 設定に基づいて取り扱われます。マシン認証が行われると、 External User Databases > Database Group Mappings > Windows Database 設定で定義したように、 ユーザは特定のグループにマッピングされます。グループ マッピングが設定されていない場 合、ユーザはデフォルトのグループにマッピングされます。 MAR 例外リストのセットアップ 特定のユーザ(たとえば、マネージャや管理者)が、マシン認証に成功したかどうかにかかわらず、 ネットワークにアクセスできるように設定するには、MAR 例外リストを設定する必要があります。 この機能を使用すると、MAR から免除されるユーザ グループを選択できます。 始める前に MAR 例外リストの一部としてユーザをすぐに認証できるようにするには、Windows データベース の設定を変更する前に、必要な数のグループと権限を設定する必要があります。グループ設定を管 理するには、P.5-2 の「グループ TACACS+ の設定」および P.5-48 の「ユーザ グループ内のユーザ のリスト表示」を参照してください。 選択したユーザ グループの MAR 例外リストを設定するには、次の手順を実行します。 ステップ 1 ナビゲーション バーで、External User Databases > Database Configuration > Windows Database を 選択します。 ステップ 2 Configure をクリックします。 ステップ 3 Windows User Database Configuration ページで、正しいマシン認証設定をイネーブルにして、MAR 例外リストに含めるユーザ グループを Selected Groups リストに移動します。 Cisco Secure ACS Solution Engine ユーザ ガイド 12-14 OL-14386-01-J 第 12 章 ユーザ データベース Windows ユーザ データベース ステップ 4 Submit をクリックします。 例外リストは、関連する NT グループがマッピングされる ACS ユーザ グループに基づいています。 複数のユーザ グループに対して例外を作成し、各グループに異なる認可権限をマッピングできま す。 Microsoft Windows とマシン認証 ACS は、Windows 2000 および 2003 R2 の Active Directory でのマシン認証をサポートしています。 Windows Active Directory でのマシン認証のサポートをイネーブルにするには、次の手順を実行する 必要があります。 1. Active Directory を実行しているコンピュータに Service Pack 4 を適用する。 2. Microsoft Knowledge Base 記事 306260「Cannot Modify Dial-In Permissions for Computers That Use Wireless Networking」の手順を実行する。 マシン認証をサポートしているクライアント オペレーティング システムは、次のとおりです。 • Microsoft Windows XP。Service Pack 1 が適用されている必要があります。 • Microsoft Windows 2000。次のものが適用されている必要があります。 − Service Pack 4 − パッチ Q313664(Microsoft.com から入手できます) • Microsoft Windows 2003 R2 次のリストに、Cisco Aironet 350 無線アダプタを備えたクライアント コンピュータでマシン認証を イネーブルにする際の重要な詳細情報を示します。Microsoft Windows オペレーティング システム でのマシン認証のイネーブル化の詳細については、Microsoft 社のマニュアルを参照してください。 1. 無線ネットワーク アダプタが正しくインストールされていることを確認します。詳細について は、無線ネットワーク アダプタに添付されているマニュアルを参照してください。 2. ACS サーバ証明書を発行した Certification Authority(CA; 認証局)の CA 証明書が、クライアン ト コンピュータのマシン ストレージに保存されていることを確認します。マシン認証中、ユー ザ ストレージは使用できないので、CA 証明書がユーザ ストレージにある場合、マシン認証は 失敗します。 3. 無線ネットワークを選択します。 − Windows XP では、Windows Network Connection > Properties > Network Connection Properties を選択できます。 − Windows 2000 では、無線ネットワークの Service Set Identifier(SSID)を手動で入力できま す。無線ネットワーク アダプタの properties ダイアログボックスの Advanced タブを使用し ます。 4. PEAP マシン認証をイネーブルにするには、Authentication タブを設定します。Windows XP で は、無線ネットワークのプロパティから Authentication タブを使用できます。Windows 2000 で は、無線ネットワーク接続のプロパティから使用できます。Authentication タブを設定するには、 次の手順を実行します。 a. Enable network access control using IEEE 802.1X チェックボックスをオンにします。 b. Authenticate as computer when computer information is available チェックボックスをオンに します。 c. EAP type リストから、Protected EAP (PEAP) を選択します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 12-15 第 12 章 ユーザ データベース Windows ユーザ データベース d. Protected EAP Properties ダイアログボックスで Validate server certificate チェックボック スをオンにすることによって、ACS に有効なサーバ証明書を持たせることができます。こ のチェックボックスをオンにする場合は、適切な Trusted Root Certification Authorities も 選択する必要があります。 e. また、PEAP properties ダイアログボックスを開き、Select Authentication Method リストか ら Secured password (EAP-MS-CHAP v2) を選択します。 5. EAP-TLS マシン認証をイネーブルにするには、Authentication タブを設定します。Windows XP では、無線ネットワークのプロパティから Authentication タブを使用できます。Windows 2000 では、無線ネットワーク接続のプロパティから使用できます。 a. Enable network access control using IEEE 802.1X チェックボックスをオンにします。 b. Authenticate as computer when computer information is available チェックボックスをオンに します。 c. EAP type リストから、Smart Card or other Certificate を選択します。 d. Smart Card or other Certificate Properties ダイアログボックスで、Use a certificate on this computer オプションを選択します。 e. Smart Card or other Certificate Properties ダイアログボックスでは、Validate server certificate チェックボックスをオンにすることによって、ACS に有効なサーバ証明書を持 たせることもできます。このチェックボックスをオンにする場合は、適切な Trusted Root Certification Authorities も選択する必要があります。 ドメイン コントローラ上に Microsoft 認証局サーバが設定されているときは、ドメインにコン ピュータが追加された際にクライアント証明書が自動的に作成されるように、Active Directory 内の ポリシーを設定できます。詳細については、Microsoft Knowledge Base 記事 313407「HOW TO: Create Automatic Certificate Requests with Group Policy in Windows」を参照してください。 マシン認証のイネーブル化 ここでは、マシン認証をサポートするように ACS を設定するために必要な手順について概説しま す。 (注) エンドユーザ クライアント コンピュータと該当する Active Directory がマシン認証をサポートする ように設定されている必要があります。ここでは、ACS の設定だけを取り上げます。マシン認証を サポートするための Microsoft Windows オペレーティング システムの設定の詳細については、 P.12-15 の「Microsoft Windows とマシン認証」を参照してください。 (注) Solution Engine のみ:Windows 認証を行うには、ACS Remote Agent for Windows を少なくとも 1 つ インストールして、P.3-24 の「リモート エージェントの追加」の手順を完了しておく必要がありま す。ACS Remote Agent for Windows のインストールの詳細については、 『Installation and Configuration Guide for Cisco Secure ACS Remote Agents Release 4.2』を参照してください。 ACS でマシン認証を実行できるようにするには、次の手順を実行します。 ステップ 1 ACS にサーバ証明書をインストールします。PEAP(EAP-MS-CHAPv2)および EAP-TLS にはサー バ証明書が必要です。ACS は、単一の証明書を使用して両方のプロトコルをサポートします。詳細 な手順については、P.9-26 の「ACS サーバ証明書のインストール」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド 12-16 OL-14386-01-J 第 12 章 ユーザ データベース Windows ユーザ データベース (注) EAP-TLS または PEAP ユーザ認証をサポートするため、またはリモート ACS 管理の HTTPS 保護をサポートするために、すでに証明書をインストールしている場合は、このステップ を実行する必要はありません。単一のサーバ証明書で、証明書ベースのすべての ACS サー ビスおよびリモート管理がサポートされます。 ステップ 2 EAP-TLS マシン認証では、 ACS でサーバ証明書を発行した CA 以外の CA によってエンドユーザ ク ライアント上の証明書が発行された場合、その CA が信頼されるように証明書信頼リストを編集す る必要があります。このステップを実行しないと、サーバ証明書の CA がエンドユーザ クライアン ト証明書の CA と異なる場合、EAP-TLS は正常に動作しますが、正しい CA が信頼されないため、 EAP-TLS マシン認証は拒否されます。詳細な手順については、P.9-32 の「証明書信頼リストの編 集」を参照してください。 ステップ 3 Global Authentication Setup ページで該当するプロトコルをイネーブルにします。 • PEAP でのマシン認証をサポートするには、PEAP(EAP-MS-CHAPv2)プロトコルをイネーブ ルにします。 • EAP-TLS でのマシン認証をサポートするには、EAP-TLS プロトコルをイネーブルにします。 (注) Solution Engine のみ:ネットワーク アクセス プロファイル(NAP)を使用している場合は、 NAP 設定で同じプロトコルをイネーブルにする必要があります。 ステップ 1 を正常に完了した場合に限り、ACS を使用してこのステップを実行します。詳細な手順 については、P.9-24 の「認証オプションの設定」を参照してください。 ステップ 4 Windows User Database Configuration ページで Windows 外部ユーザ データベースを設定し、該当す るマシン認証のタイプをイネーブルにします。 • PEAP でのマシン認証をサポートするには、Enable PEAP machine authentication チェックボッ クスをオンにします。 • EAP-TLS でのマシン認証をサポートするには、Enable EAP-TLS machine authentication チェッ クボックスをオンにします。 • ユーザ認証に加えてマシン認証を要求するには、Enable machine access restrictions チェック ボックスをオンにします。 (注) Windows 外部ユーザ データベースをすでに設定してある場合は、その設定を変更して、該 当するマシン認証のタイプをイネーブルにします。 詳細な手順については、P.12-24 の「Windows 外部ユーザ データベースの設定」を参照してください。 (注) Solution Engine のみ:Windows 認証には、ACS Remote Agent for Windows が必要です。 ACS で、ACS 内部データベースに名前のあるコンピュータのマシン認証を実行できるようになり ます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 12-17 第 12 章 ユーザ データベース Windows ユーザ データベース ステップ 5 Unknown User Policy をまだイネーブルにしていない場合、および Selected Databases リストに Windows 外部ユーザ データベースをまだ追加してない場合は、それらの操作を実行して ACS に とって未知のコンピュータを認証できるようにすることを検討します。詳細な手順については、 P.15-9 の「未知ユーザ ポリシーの設定」を参照してください。 (注) ステップ 6 マシン認証をサポートするために未知ユーザ ポリシーをイネーブルにすると、ユーザ認証 に対しても未知ユーザ ポリシーがイネーブルになります。ACS では、コンピュータとユー ザでの未知ユーザのサポートは区別されません。 マシン認証に成功しない場合でもネットワークへのアクセスをユーザに許可する必要がある場合 は、MAR から免除されるユーザ グループのリストを設定できます。詳細な手順については、P.12-13 の「Machine Access Restrictions」を参照してください。 ACS 内部データベースにコンピュータ名があるかどうかにかかわらず、ACS でコンピュータのマ シン認証を実行できるようになります。 Windows ユーザ データベースを使用した、ユーザによる変更が可能なパスワード ACS では、Windows ユーザ データベースで認証するネットワーク ユーザに対して、パスワード失 効時にユーザによる変更が可能なパスワードをサポートします。この機能は、External User Databases セクションの Windows User Database Configuration ページにある MS-CHAP Settings テーブルおよび Windows EAP Settings テーブルでイネーブルにできます。この機能をネットワークで使用するには、 次の条件を満たしている必要があります。 • ユーザが Windows Active Directory または SAM ユーザ データベースに存在する。 • ACS のユーザ アカウントが、認証に Windows ユーザ データベースを指定している。 • エンドユーザ クライアントに、MS-CHAP、PEAP(EAP-GTC)、PEAP(EAP-MS-CHAPv2) 、ま たは EAP-FAST との互換性がある。 • エンドユーザ クライアントが接続する AAA クライアントは、該当するプロトコルをサポート する。 − MS-CHAP パスワード エージングのために、AAA クライアントが RADIUS ベースの MS-CHAP 認証をサポートする。 − PEAP(EAP-MS-CHAPv2) 、PEAP(EAP-GTC) 、および EAP-FAST パスワード エージング のために、AAA クライアントが EAP をサポートする。 上記の条件が満たされ、この機能がイネーブルになっている場合には、パスワードの失効後、最初 の正常な認証時に、ユーザに対してパスワードの変更を要求するダイアログボックスが表示されま す。このダイアログボックスは、パスワードが失効したユーザが、リモート アクセス サーバ経由 でネットワークにアクセスしたときに Windows が表示するダイアログボックスと同じです。 ACS でのパスワード エージング サポートの詳細については、P.5-18 の「ACS 内部データベースの パスワード エージングをイネーブルにする」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド 12-18 OL-14386-01-J 第 12 章 ユーザ データベース Windows ユーザ データベース Windows を使用したユーザ認証の準備 Windows ユーザ データベースを認証に使用する前に、次の手順を実行します。 ステップ 1 ユーザ名が Windows ユーザ データベースに存在していることを確認します。 ステップ 2 Windows で、ユーザ アカウントごとに次の User Properties チェックボックスをオフにします。 ステップ 3 • User must change password at next logon • Account disabled Windows NT の内部からダイヤルイン アクセスを制御するには、Dial-in をクリックして、Grant dialin permission to user を選択します。Windows 2000 および Windows 2003 R2 で User Properties ダ イアログボックスを表示し、Dial-In タブを選択して、Remote Access 領域の Allow access をクリッ クします。また、ACS の External User Databases セクションの Database Group Mapping で、この機能 を参照するオプションも設定する必要があります。 Remote Agents for Windows 認証の選択 (Solution Engine のみ) ACS が Windows 外部ユーザ データベースを使用してユーザを認証できるように設定する前に、 Windows オペレーティング システムに認証要求を送るプライマリ リモート エージェントを選択す る必要があります。プライマリ リモート エージェントが使用できない場合に備えて、ACS 用のセ カンダリ リモート エージェントの選択も必要な場合があります。 始める前に この手順を実行するには、ACS Remote Agent for Windows を少なくとも 1 つインストールして、 P.3-24 の「リモート エージェントの追加」の手順を完了しておく必要があります。 Windows 認証用のリモート エージェントを選択するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの External User Databases をクリックします。 ステップ 2 Database Configuration をクリックします。 ACS が使用可能な外部ユーザ データベース タイプのリストを表示します。 ステップ 3 Windows Database をクリックします。 External User Database Configuration ページが表示されます。 ステップ 4 Configure をクリックします。 Windows Remote Agent Selection リストが表示されます。 ステップ 5 リモート エージェントが使用できる場合は、Primary リストで、ACS が常にユーザ認証に使用する リモート エージェントを選択します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 12-19 第 12 章 ユーザ データベース Windows ユーザ データベース ステップ 6 Primary リストで選択されたリモート エージェントが使用できない場合に、ACS がユーザ認証に使 用するリモート エージェントを Secondary リストから選択します。 (注) ステップ 7 セカンダリ リモート エージェントを使用したくない場合は、Secondary リストで None を 選択します。 Submit をクリックします。 選択されているリモート エージェントが保存されます。Windows User Database Configuration ページ が表示されます。 Windows ユーザ データベース設定オプション Windows User Database Configuration ページには、次の設定オプションがあります。 • Dialin Permission:Windows アカウントに Windows ダイヤルイン アクセス権があるユーザだけ にネットワーク アクセスを許可できます。Grant dialin permission to user チェックボックスによ り、この機能が制御されます。 (注) この機能は、Windows 外部ユーザ データベースを使用して ACS によって認証されるす べてのユーザに適用されます。機能の名前は Dialin Permission ですが、ダイヤルアップ クライアントでネットワークにアクセスするユーザだけではなく、クライアントのタイ プに関係なく適用されます。たとえば、ACS を RADIUS サーバとして使用して Telnet セッションを認証するように PIX Firewall を設定した場合、Dialin Permission 機能がイ ネーブルで、Windows ユーザ アカウントにダイヤルイン アクセス権がないと、Windows 外部ユーザ データベースによって認証されるユーザは、PIX Firewall への Telnet アクセ スを拒否されます。 ヒント Windows ダイヤルイン アクセス権は、Windows NT のユーザ プロパティの Dialin セクションおよび Windows 2000 や Windows 2003 R2 のユーザ プロパティの Dial-in タブでイネーブルにできます。 • Windows Callback:この設定をイネーブルにする必要があるのは、コールバックでのダイヤル アップ アクセスを必要とする Windows ユーザが存在し、User Setup コールバック設定または Group Setup コールバック設定が Windows Database Callback に設定されている場合です。コール バックでのダイヤルイン アクセスが必要でないか、または Windows Database Callback に設定さ れていない場合は、この設定をイネーブルにしません。 (注) Windows Callback オプションをディセーブルにする場合は、User Setup コールバック設定ま たは Group Setup コールバック設定のコールバック オプションも必ずディセーブルにして ください。設定が一致していない場合、クライアントはコールバック番号を受信しません。 Cisco Secure ACS Solution Engine ユーザ ガイド 12-20 OL-14386-01-J 第 12 章 ユーザ データベース Windows ユーザ データベース • Unknown User Policy:未知ユーザ ポリシーに追加の外部データベースが含まれていて、 Windows データベースが Selected Databases リストの最後のデータベースでない場合、このオプ ションをイネーブルにすることができます。たとえば、Windows データベースにユーザが存在 しないか、パスワードが正しく入力されていない場合、エラー 1326(bad username or password) が返されます。ACS はこのエラーを wrong password エラーとして扱い、他の外部データベー スのデフォルトにしません。このオプションをイネーブルにする必要があるのは、追加の外部 データベースが Selected Databases リストの Windows データベースの後に表示される場合です。 このオプションがイネーブルになっている場合、ACS は他の外部データベースの未知ユーザを 検索します。 • Configure Domain List:ACS は、Available Domains に記載されているすべてのドメインの認証 を試みます。Windows ユーザがダイアルアップ時にドメインを指定しないと、ACS は Windows に依存して適切なユーザ アカウントを特定しようとします。ただし、複数の信頼ドメインに同 じユーザ名が存在する場合、Windows はユーザを正常に認証できないことがあります。ユーザ に、ダイアルイン時にドメインを入力するよう依頼することを推奨します。それが困難な場合 は、Domain List を定義します。複数のドメインにアカウントが存在し、Domain List があるた めにユーザを認証できなかった場合、ACS はリストの各ドメインの認証を試みます。ドメイン の認証はリストの先頭から実行されるため、リストの順序は重要です。各ドメインの認証の失 敗により遅延(通常 2 秒)が生じるため、AAA クライアントのタイムアウトを適宜設定する必 要があります。 複 数 の ド メ イ ン に 同 じ SAM ユ ー ザ 名 を 持 つ ユ ー ザ ア カ ウ ン ト が 複 数 あ り、EAP/PEAP (PAP/MSCHAP など)を使用しておらず、ユーザ名にドメイン プレフィックスを指定できない 場合のみ Domain List が必要です。 次の条件がすべて該当する場合のみ、このオプションを使用します。 − PAP または MSCHAP を使用している。 − ユーザ名にドメイン プレフィックスがない。 − administrator など、ユーザ名の重複がある。 ユーザ名にドメイン プレフィックスがなく、ネットワーク全体で同じユーザ名が複数使用され ている場合、Domain List にドメインがないと、Windows が間違ったクレデンシャルの認証を 試みる可能性があります。Windows が最初のユーザ認証要求を拒否する場合、ACS はユーザ認 証の試行を停止します。詳細については、P.12-9 の「ドメイン修飾されていないユーザ名」を 参照してください。Domain List にドメインが設定されている場合、ACS は、各ドメインがユー ザを拒否するまで、またはドメインの 1 つがユーザを認証するまで、Domain List 内のドメイン ごとに 1 回ずつ、ユーザ名をリスト内のドメインで修飾して、ドメイン修飾されたユーザ名を Windows に送信します。 その他の場合は、必要のないときに Domain List を使用するとパフォーマンスに問題が生じる 可能性があるため、Domain List を空欄にする必要があります。また、ACS で Domain List を使 用し、間違ったアカウントをチェックするたびに、Windows ではそのユーザに対して失敗した ログインとしてカウントするため、アカウントのロックアウトが発生することがあります。 • MS-CHAP Settings:ACS が Windows ユーザ アカウントに対して MS-CHAP ベースのパスワー ド変更をサポートするかどうかを制御できます。MS-CHAP バージョンの N チェックボックス をオンにして、MS-CHAP ACS がサポートしているバージョンを指定することで、Permit パス ワード変更を使用できます。 (注) MS-CHAP Settings の下にあるチェックボックスは、Microsoft PEAP、EAP-FAST、およ びマシン認証のパスワード エージングに影響を及ぼしません。 Windows パスワード変更の詳細については、P.5-18 の「ACS 内部データベースのパスワード エージングをイネーブルにする」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 12-21 第 12 章 ユーザ データベース Windows ユーザ データベース • Windows EAP Settings: − Enable password change inside PEAP or EAP-FAST:Permit password change inside PEAP or EAP-FAST チェックボックスにより、ACS が Windows ユーザ アカウントに対して PEAP ベースまたは EAP-FAST ベースのパスワード変更をサポートするかどうかが制御されま す。PEAP パスワード変更は、エンドユーザ クライアントがユーザ認証に PEAP (EAP-MS-CHAPv2)を使用する場合にだけサポートされます。EAP-FAST の場合、ACS は フェーズ 0 とフェーズ 2 でパスワード変更をサポートします。 − Enable PEAP machine authentication:このチェックボックスにより、ACS が、PEAP (EAP-MS-CHAPv2)でマシン名とパスワードを使用してマシン認証を実行するかどうかが 制御されます。マシン認証の詳細については、P.12-11 の「マシン認証」を参照してください。 − Enable EAP-TLS machine authentication:このチェックボックスにより、ACS が、EAP-TLS でマシン名とパスワードを使用してマシン認証を実行するかどうかが制御されます。マシ ン認証の詳細については、P.12-11 の「マシン認証」を参照してください。 − Enable machine access restrictions:ユーザ認証の条件として、ACS でマシン認証を使用す るかどうかを決めます。マシン認証にサポートされているプロトコルは、Microsoft PEAP EAP-TLS、EAP-FAST v1a および Cisco PEAP-TLS です。いずれかのプロトコルがマシン認 証に使用されている場合、MAR の設定はユーザ認証に影響しません。ユーザが、マシン認 証に失敗したコンピュータや、マシン認証をサポートしていない別のプロトコルを使って ネットワークにアクセスしようとした場合、Machine Access Restriction 設定に従って認可が 実行されます。MAR 機能の詳細については、P.12-13 の「Machine Access Restrictions」を参 照してください。 (注) ダイヤルアップを使用している場合はマシン認証が行われないため、ダイヤルアップを 通して認証されたユーザは、常に MAR 設定に基づいて取り扱われます。マシン認証が 行われると、External User Databases > Database Group Mappings > Windows Database 設定で定義したように、ユーザは特定のグループにマッピングされます。グループ マッ ピングが設定されていない場合、ユーザはデフォルトのグループにマッピングされま す。 ヒント Machine Access Restrictions をイネーブルにするには、Aging Time (hours) ボックスに 0 よ り大きい数値を指定する必要があります。 − Aging time (hours):このボックスで、ACS が、MAR 機能で使用するために、成功したマ シン認証の IETF RADIUS Calling-Station-Id アトリビュート値をキャッシュする期間 (時間単位)を指定します。デフォルト値は 12 時間です。これは、ACS が Calling-Station-Id 値をキャッシュしないことを意味します。 (注) Aging time (hours) ボックスの値を 0 以外に変更しない場合は、コンピュータがマ シン認証を実行する EAP-TLS ユーザおよび Microsoft PEAP ユーザはすべて、Group map for successful user authentication without machine authentication リストに指定 されているグループに割り当てられます。 ヒント Calling-Station-Id 値のキャッシュをクリアするには、Aging time (hours) ボックスに「0」と入力 し、Submit をクリックします。 Cisco Secure ACS Solution Engine ユーザ ガイド 12-22 OL-14386-01-J 第 12 章 ユーザ データベース Windows ユーザ データベース − Group map for successful user authentication without machine authentication:このリストに より、ACS が、Aging time (hours) ボックスに指定されている期間(時間単位)内に、マシ ン認証に成功しなかったコンピュータからネットワークにアクセスしているユーザに適用 するグループ プロファイルが指定されます。そのようなユーザがネットワークにアクセス することを拒否するには、<No Access>(デフォルト設定)を選択します。 (注) ユーザ プロファイル設定は、グループ プロファイル設定よりも優先されます。 Group map for successful user authentication without machine authentication リストで指 定されているグループによって拒否されている認可がユーザ プロファイルによっ て与えられている場合、ACS はその認可を与えます。 − User Groups that are exempt from passing machine authentication:Selected User Group リス トにより、マシン認証が正常に完了しなかった場合の ACS の動作が制御されます。Selected User Group リストにグループが設定されておらず、Windows が最初のマシン認証を拒否し た場合、ACS はユーザ認証の試行を停止します。Selected User Group リストにグループが 設定されている場合、Active Directory にはそのグループのコンピュータが不明でも、ACS はそのグループ内での認証と特権をユーザに提供します。 (注) User Group リストの設定はオプションです。ユーザ グループ管理の詳細について は、第 5 章「ユーザ グループ管理」を参照してください。 注意 • User Group リストにグループが含まれており、Windows SAM または Active Directory ユー ザ データベースが、数回試行に失敗するとユーザをロックアウトするように設定されて いる場合には、ユーザが偶然ロックアウトされることがあります。グループ設定が正し く設定されていることを確認する必要があります。 • Available User Groups:このリストは、ACS がマシン認証を行う必要があるユーザ グルー プを示します。 • Selected User Groups:このリストは、ACS がネットワークへのエントリを取得するために マシン認証を行う必要がないユーザ グループを示します。 Windows Authentication Configuration:このオプションは、Windows Active Directory への ACS 認証を行うワークステーション名を設定する機能を提供します。 • Default: "CISCO":CISCO をワークステーション名にする場合は、このオプションを選択 します。 • Local: machine-name:ローカル マシン名をワークステーション名にする場合は、このオプ ションを選択します。 • User defined workstation name:独自のワークステーション名を定義する場合は、このオプ ションを選択します。英数字、ハイフン(-) 、およびピリオド(.)を使用できます。 • Enable nested group evaluation during group mapping:このオプションをイネーブルにする と、ユーザが間接的なメンバーである Active Directory グループを使用するグループ マッピ ングを作成できます。ただし、このオプションでは Active Directory 内の Domain Local グ ループは評価されないため、Domain Local グループを参照するグループ マッピングは正し く動作しません。このオプションをディセーブルにすると、ユーザが間接的なメンバーで ある Active Directory グループを参照しているグループ マッピングは機能しません。ユーザ が直接的なメンバーであるグループのみ使用する必要があります。ただし、このオプショ ンは Active Directory の Domain Local グループを評価するため、それらのグループをグルー プ マッピングで使用できます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 12-23 第 12 章 ユーザ データベース Windows ユーザ データベース Windows 外部ユーザ データベースの設定 (注) Solution Engine のみ:P.12-19 の「Remote Agents for Windows 認証の選択 (Solution Engine のみ)」 の手順を完了しておく必要があります。 Windows User Database Configuration ペ ー ジ で 利 用 で き る オ プ シ ョ ン に つ い て は、P.12-20 の 「Windows ユーザ データベース設定オプション」を参照してください。 ネットワークの信頼できるドメイン内の Windows ユーザ データベースに対して、ACS がユーザを 認証するように設定するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの External User Databases をクリックします。 ステップ 2 Database Configuration をクリックします。 ACS が使用可能な外部ユーザ データベース タイプのリストを表示します。 ステップ 3 Windows Database をクリックします。 Windows データベースが設定されていない場合は、Database Configuration Creation テーブルが表示 されます。設定されている場合は、External User Database Configuration ページが表示されます。 ステップ 4 Configure をクリックします。 Windows User Database Configuration ページが表示されます。 ステップ 5 必要に応じて、次のテーブルのオプションを設定します。 • Dialin Permission • Windows Callback • Unknown User Policy • Domain List • MS-CHAP Settings • Windows EAP Settings • Windows Authentication Configuration Windows User Database Configuration ページのオプションについては、P.12-20 の「Windows ユーザ データベース設定オプション」を参照してください。 (注) Windows User Database Configuration ページのすべての設定はオプションであり、その設定 がサポートしている特定の機能を許可および設定しない場合は、イネーブルにする必要は ありません。 Cisco Secure ACS Solution Engine ユーザ ガイド 12-24 OL-14386-01-J 第 12 章 ユーザ データベース Windows ユーザ データベース ステップ 6 Submit をクリックします。 作成した Windows ユーザ データベース設定が、ACS によって保存されます。これで、このデータ ベースは、未知ユーザ ポリシーに追加するか、または特定のユーザ アカウントに割り当てて認証 に使用できます。未知ユーザ ポリシーの詳細については、P.15-3 の「未知ユーザ認証について」を 参照してください。このデータベースを使用して認証を行うようにユーザ アカウントを設定する方 法の詳細については、第 6 章「ユーザ管理」を参照してください。 マルチフォレスト環境でのマシン認証のサポート ACS は、マルチフォレスト環境でのマシン認証をサポートしています。マシン認証は、プライマリ ACS フォレストと要求されたドメインのフォレスト間に適切な信頼関係が存在する限りは成功し ます。要求されたユーザまたはマシンのドメインが、信頼されたフォレストの一部である場合、マ シン認証は成功します。 複数のフォレスト間でのユーザ認証は、EAP-FASTv1a with PEAP、MSPEAP、および EAP-TLS でサ ポートされています。 (注) マルチフォレスト機能は、ユーザ名にドメイン情報が含まれている場合にのみ機能します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 12-25 第 12 章 ユーザ データベース 汎用 LDAP 汎用 LDAP Netscape Directory Services など、汎用 LDAP データベースで ACS がサポートする認証タイプの詳細 については、P.1-8 の「認証プロトコルとデータベースの互換性」を参照してください。 ACS は、LDAP ユーザ データベースにグループ メンバーシップ情報を要求することによって、未 知ユーザに対するグループ マッピングをサポートします。LDAP ユーザ データベースで認証され たユーザに対するグループ マッピングの詳細については、P.16-4 の「グループ セット メンバーシッ プによるグループ マッピング」を参照してください。 LDAP データベースで認証するように ACS を設定しても、LDAP データベースの設定には影響を与 えません。使用している LDAP データベースを管理するには、そのデータベースのマニュアルを参 照してください。 ここでは、次の項目について説明します。 • 汎用 LDAP ユーザ データベースを使用した ACS の認証プロセス(P.12-26) • 複数の LDAP インスタンス(P.12-26) • LDAP の組織ユニットとグループ(P.12-27) • ドメイン フィルタリング(P.12-27) • LDAP フェールオーバー(P.12-28) • LDAP 管理者ログイン接続管理(P.12-29) • 認定者名のキャッシング(P.12-29) • LDAP 設定オプション(P.12-29) • 汎用 LDAP 外部ユーザ データベースの設定(P.12-34) • 証明書データベースのダウンロード(Solution Engine のみ)(P.12-52) 汎用 LDAP ユーザ データベースを使用した ACS の認証プロセス ACS は、指定されたポート上の Transmission Control Protocol(TCP; 伝送制御プロトコル)接続を使 用して、ユーザ名とパスワードを LDAP データベースに転送します。LDAP データベースは、ACS からの認証要求を成功または失敗させます。ACS は、LDAP データベースからの応答を受信すると、 LDAP サーバからの応答に応じて、要求側 AAA クライアントにユーザ アクセスの許可または拒否 を指示します。 ACS は、ユーザが割り当てられている ACS グループに基づいて、認可を与えます。ユーザが割り 当てられているグループは LDAP サーバからの情報によって判別可能ですが、認可特権を与えるの は ACS です。 複数の LDAP インスタンス ACS に複数の LDAP 設定を作成できます。IP アドレスまたはポートの設定が異なる複数の LDAP 設定を作成することによって、異なる LDAP サーバを使用して、または同じ LDAP サーバ上の異な るデータベースを使用して認証するように ACS を設定できます。プライマリ サーバの各 IP アドレ スおよびポートの設定は、セカンダリ サーバの IP アドレスおよびポートの設定とともに、ACS LDAP 設定インスタンスに対応する LDAP インスタンスを形成します。 ACS では、個々の LDAP インスタンスが一意の LDAP データベースに対応している必要はありま せん。複数の LDAP 設定を、同一のデータベースにアクセスするように設定できます。この方法 は、LDAP データベースにユーザまたはグループのサブツリーが複数含まれている場合に役立ちま す。各 LDAP 設定では、ユーザとグループに対してそれぞれ単一のサブツリー ディレクトリだけ をサポートするため、ACS が認証要求を送信する必要があるユーザ ディレクトリ サブツリーとグ ループ ディレクトリ サブツリーの組み合せごとに、別々の LDAP インスタンスを設定する必要が あるからです。 Cisco Secure ACS Solution Engine ユーザ ガイド 12-26 OL-14386-01-J 第 12 章 ユーザ データベース 汎用 LDAP 各 LDAP インスタンスについて、未知ユーザ ポリシーから設定を追加または除外できます。詳細 については、P.15-3 の「未知ユーザ認証について」を参照してください。 各 LDAP インスタンスについて、一意のグループ マッピングを設定できます。詳細については、 P.16-4 の「グループ セット メンバーシップによるグループ マッピング」を参照してください。 複数の LDAP インスタンスは、ドメイン フィルタリングを使用する場合にも重要です。詳細につ いては、P.12-27 の「ドメイン フィルタリング」を参照してください。 LDAP の組織ユニットとグループ LDAP グループは、対応する ACS グループと同一の名前である必要はありません。LDAP グループ には任意の名前を割り当てて、ACS グループにマッピングできます。LDAP データベースがグルー プ メンバーシップを処理する方法の詳細については、LDAP データベースのマニュアルを参照して ください。LDAP グループのマッピングと ACS の詳細については、第 16 章「ユーザ グループ マッ ピングと仕様」を参照してください。 ドメイン フィルタリング ドメイン フィルタリングを使用すると、ドメイン修飾されたユーザ名に基づいて、ユーザ認証に使 用される LDAP インスタンスを制御できます。ドメイン フィルタリングは、認証のために送信さ れたユーザ名の先頭または末尾のいずれかの文字の分析に基づいて行われます。ドメイン フィルタ リングにより、ACS が所定のユーザ認証要求を送信する先の LDAP インスタンスを、より強力に制 御できるようになります。また、ドメイン修飾子を削除せずにユーザ名を LDAP サーバに送信する かどうかを制御できます。 たとえば、Windows XP クライアントが EAP-TLS 認証を開始する場合、ACS は username@domainname の形式でユーザ名を受け取ります。Cisco Aironet エンドユーザ クライアントによって PEAP 認証が 開始される場合、ACS はドメイン修飾子のないユーザ名を受信します。両方のクライアントが、ド メイン修飾子のないユーザ名を格納する LDAP データベースで認証される場合、ACS はドメイン修 飾子を削除(ストリッピング)できます。ドメイン修飾されたユーザ アカウントとドメイン修飾さ れていないユーザ アカウントの両方が LDAP データベースに格納されている場合、ACS は、ドメ イン フィルタリングを行わずにユーザ名を LDAP データベースに渡すことができます。 ドメイン フィルタリングを利用する場合は、ACS に作成する各 LDAP 設定によって、次のいずれ かの方法でドメイン フィルタリングを行うことができます。 • Limiting users to one domain:ACS の LDAP 設定ごとに、ACS が特定のドメイン名で修飾され たユーザ名の認証だけを試みるように指定できます。これは、 LDAP Configuration ページの Only process usernames that are domain qualified オプションに対応しています。このオプションの詳細 については、P.12-29 の「LDAP 設定オプション」を参照してください。 このオプションでは、各 LDAP 設定が 1 つのドメインおよび 1 つのタイプのドメイン修飾に制 限されます。ユーザ名を LDAP サーバに送信する前に、ACS がドメイン修飾を削除するかどう かを指定できます。LDAP サーバがドメイン修飾フォーマットでユーザ名を格納する場合は、 ドメイン修飾子を削除するように ACS を設定しないでください。 ユーザ コンテキストによって、またはユーザ名が ACS に格納される形式(ドメイン修飾され るか、ドメイン修飾されないか)によって、LDAP サーバがドメインごとに別々にユーザ名を 格納する場合は、ユーザを 1 つのドメインに制限すると便利です。エンドユーザ クライアント または AAA クライアントは、ユーザ名をドメイン修飾フォーマットで ACS に送信する必要が あります。このフォーマットで送信しない場合、ACS は、ユーザのドメインを特定できず、こ の形式のドメイン フィルタリングを使用する LDAP 設定でユーザの認証を試みません。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 12-27 第 12 章 ユーザ データベース 汎用 LDAP • Allowing any domain but stripping domain qualifiers:ACS の LDAP 設定ごとに、共通のドメイ ン修飾子区切り文字に基づいてドメイン修飾子の削除を試みるように ACS を設定できます。こ の 方 法 は、LDAP Configuration ペ ー ジ の Process all usernames after stripping domain name and delimiter オプションに対応しています。このオプションの詳細については、P.12-29 の「LDAP 設定オプション」を参照してください。 ACS は、プレフィックス ドメイン修飾子とサフィックス ドメイン修飾子をサポートします。1 つの LDAP 設定で、プレフィックス ドメイン修飾子とサフィックス ドメイン修飾子の両方の 削除を試みることができますが、プレフィックス ドメイン修飾子とサフィックス ドメイン修 飾子には、それぞれ 1 つの区切り文字しか指定できません。複数のタイプのドメイン修飾子区 切り文字をサポートするには、ACS に複数の LDAP 設定を作成します。 LDAP サーバではユーザ名を非ドメイン修飾フォーマットで格納し、AAA クライアントまたは エンドユーザ クライアントではユーザ名をドメイン修飾フォーマットで ACS に送信する場合 は、Allowing usernames of any domain but stripping domain qualifiers オプションを使用すると便利 です。 (注) このオプションを使用すると、ACS は、ドメイン修飾されていないユーザ名も送信し ます。LDAP サーバへの送信については、ユーザ名がドメイン修飾されている必要はあ りません。 LDAP フェールオーバー ACS は、プライマリ LDAP サーバとセカンダリ LDAP サーバ間でのフェールオーバーをサポート します。ACS による LDAP 認証のコンテキストでは、ACS が LDAP サーバに接続できないために 認証要求が失敗した場合(サーバがダウンした場合や ACS による接続ができない場合など)に、 フェールオーバーが適用されます。この機能を使用するには、LDAP Database Configuration ページ で、プライマリとセカンダリの LDAP サーバを定義する必要があります。また、On Timeout Use Secondary チェックボックスもオンにする必要があります。LDAP 外部ユーザ データベースの設定 の詳細については、P.12-34 の「汎用 LDAP 外部ユーザ データベースの設定」を参照してください。 On Timeout Use Secondary チェックボックスがオンになっていて、ACS が接続しようとする最初の LDAP サーバに到達できない場合には、常に ACS は他の LDAP サーバへの接続を試みます。ACS が接続を試みる最初のサーバは、必ずしもプライマリ LDAP サーバとは限りません。ACS が接続を 試みる最初の LDAP サーバは、その前に試みた LDAP 認証と、Failback Retry Delay ボックスに入 力する値によって決まります。 プライマリ LDAP サーバによる以前の認証が成功した場合 以前の LDAP 認証試行時にプライマリ LDAP サーバへの接続に成功していた場合、ACS はプライ マリ LDAP サーバへの接続を試みます。プライマリ LDAP サーバに接続できない場合、ACS はセ カンダリ LDAP サーバへの接続を試みます。 どちらの LDAP サーバにも接続できない場合、ACS はユーザの LDAP 認証試行を停止します。ユー ザが未知のユーザの場合には、ACS は、Unknown User Policy リストにある次の外部ユーザ データ ベースを検索します。Unknown User Policy リストの詳細については、P.15-3 の「未知ユーザ認証に ついて」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド 12-28 OL-14386-01-J 第 12 章 ユーザ データベース 汎用 LDAP プライマリ LDAP サーバによる以前の認証が失敗した場合 以前の LDAP 認証試行時にプライマリ LDAP サーバに接続できなかった場合、ACS が現在の認証 について最初にプライマリ サーバへの接続を試みるか、セカンダリ LDAP サーバへの接続を試み るかは、Failback Retry Delay ボックスの値によって決定されます。Failback Retry Delay ボックスが 0(ゼロ)に設定されていると、ACS は常に最初にプライマリ LDAP サーバに接続を試みます。さ らに、プライマリ LDAP サーバに接続できないときは、ACS は、次にセカンダリ LDAP サーバへ の接続を試みます。 Failback Retry Delay ボックスがゼロ以外の数値に設定されていると、ACS は、プライマリ LDAP サーバを使用した認証試行を最後に実行してからの経過時間(分単位)を判別します。Failback Retry Delay ボックスに指定されている値よりも経過分数が長い場合には、ACS は最初にプライマリ LDAP サーバへの接続を試みます。さらに、プライマリ LDAP サーバに接続できないときは、ACS は、次にセカンダリ LDAP サーバへの接続を試みます。 Failback Retry Delay ボックスに指定されている値よりも経過分数が短い場合には、ACS は最初にセ カンダリ LDAP サーバへの接続を試みます。さらに、セカンダリ LDAP サーバに接続できないとき は、ACS は、次にプライマリ LDAP サーバへの接続を試みます。 どちらの LDAP サーバにも接続できないときには、ACS は、ユーザの LDAP 認証試行を停止しま す。ユーザが未知のユーザの場合には、ACS は、Unknown User Policy リストにある次の外部ユーザ データベースを検索します。Unknown User Policy リストの詳細については、P.15-3 の「未知ユーザ 認証について」を参照してください。 LDAP 管理者ログイン接続管理 ACS は、LDAP サーバ上でユーザの認証と認可を確認する際、LDAP 管理者アカウント権限で接続 を使用します。この接続を使用して、Directory サブツリー上のユーザおよびユーザ グループを検索 します。ACS は、連続使用が可能な管理者接続を保持しており、各認証要求に対して管理者バイン ドを追加する必要はありません。汎用 LDAP 外部 DB 設定(プライマリとセカンダリ)ごとに、同 時管理者接続の最大数を制限できます。 認定者名のキャッシング 認証に予測できない要素が加えられることがあるため、検索が LDAP にとって負荷の高い動作とな る場合があります。ACS は認証プロセスが指定するユーザ名を受け取り、未知のユーザに関して、 深度が不明なサブツリー全体を検索するように LDAP サーバに依頼します。 認証が正常に終了すると、ACS は検索が返す Distinguished Name(DN; 認定者名)をキャッシュし ます。再認証は、キャッシュされた DN を使用してすぐにユーザの検索を実行します。 キャッシュされた DN は画面上に表示できません。キャッシュされた DN へのバインドが失敗する と、ACS は認証中のユーザのデータベース全体の検索にフォールバックします。 LDAP 設定オプション LDAP Database Configuration ページでは、3 つのテーブルに数多くのオプションが用意されていま す。 • Domain Filtering:このテーブルには、ドメイン フィルタリング用のオプションが用意されて います。認証を処理するのがプライマリ LDAP サーバかセカンダリ LDAP サーバかに関係な く、このテーブル内の設定は、この設定を使用して行われるすべての LDAP 認証に影響を与え ます。ドメイン フィルタリングの詳細については、P.12-27 の「ドメイン フィルタリング」を 参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 12-29 第 12 章 ユーザ データベース 汎用 LDAP このテーブルには次のフィールドがあります。 − Process all usernames:このオプションを選択すると、ACS は、認証のためにユーザ名を LDAP サーバに送信する前に、ユーザ名のドメイン フィルタリングを行いません。 − Only process usernames that are domain qualified:このオプションを選択すると、ACS は、 単一のドメインによってドメイン修飾されたユーザ名の認証だけを試みます。Qualified by オプションと Domain オプションでドメイン修飾子のタイプとドメインを指定する必要が あります。Qualified by オプションに指定した方法で修飾され、Domain Qualifier ボックス に指定したドメイン名で修飾されたユーザ名だけが送信されます。ユーザ名を LDAP サー バに送信する前にユーザ名からドメイン修飾子を削除するかどうかも指定できます。 − Qualified by:Only process usernames that are domain qualified を選択した場合は、このオ プションでドメイン修飾のタイプを指定します。Prefix を選択すると、Domain Qualifier ボッ クスに指定した文字で始まるユーザ名だけが処理されます。Suffix を選択すると、Domain Qualifier ボックスに指定した文字で終わるユーザ名だけが処理されます。 (注) 選択するドメイン修飾子のタイプに関係なく、ドメイン名は、Domain Qualifier ボックスに 指定するドメインと一致しなければなりません。 − Domain Qualifier:Only process usernames that are domain qualified を選択した場合は、この オプションで、LDAP サーバに送信されるユーザ名を修飾するドメイン名と区切り文字を 指定します。Domain ボックスには最大 512 文字入力できますが、使用できるのは、ドメイ ン名を 1 つとその区切り文字だけです。 たとえば、ドメイン名が mydomain、区切り文字がアットマーク(@) 、Qualified by リスト で Suffix を選択した場合、Domain ボックスには @mydomain と入力する必要があります。 ドメイン名が yourdomain、区切り文字がバックスラッシュ(\) 、Qualified by リストで Prefix を選択した場合、Domain Qualifier ボックスには yourdomain\ と入力する必要があります。 − Strip domain before submitting username to LDAP server:Only process usernames that are domain qualified を選択した場合は、このオプションで、ACS がユーザ名を LDAP サーバに 送信する前にドメイン修飾子とその区切り文字を削除(ストリッピング)するかどうかを 指定します。たとえば、ユーザ名が [email protected] であれば、ストリッピングされ たユーザ名は jwiedman になります。 − Process all usernames after stripping domain name and delimiter:このオプションを選択す ると、ACS は、ドメイン名の削除を試みてから、すべてのユーザ名を LDAP サーバに送信 します。ドメイン修飾されていないユーザ名も処理されます。次の 2 つのオプションでの 指定に従って、ドメイン名ストリッピングが行われます。 − Strip starting characters through the last X character:Process all usernames after stripping domain name and delimiter を選択した場合は、このオプションで、ACS がプレフィックス ド メイン修飾子の削除を試みるように指定できます。ユーザ名の中で、X ボックスに指定し た区切り文字が検出されると、そのユーザ名の初めから区切り文字までのすべての文字が 削除されます。ユーザ名に、X ボックスに指定した文字が複数含まれている場合は、最後 の区切り文字までの文字が削除されます。 たとえば、区切り文字がバックスラッシュ(\)で、ユーザ名が DOMAIN\echamberlain であ る場合、echamberlain が LDAP サーバに送信されます。 (注) X ボックスには、特殊文字であるシャープ記号(#) 、疑問符(?) 、引用符(") 、アスタリス ク(*)、右山カッコ(>) 、および左山カッコ(<)は入力できません。ACS では、ユーザ名 にこれらの文字を使用できません。X ボックスにこれらの文字のいずれかを入力すると、ス トリッピングが失敗します。 Cisco Secure ACS Solution Engine ユーザ ガイド 12-30 OL-14386-01-J 第 12 章 ユーザ データベース 汎用 LDAP − Strip ending characters through the first Y character:Process all usernames after stripping domain name and delimiter を選択した場合は、このオプションで、ACS がサフィックス ド メイン修飾子の削除を試みるように指定できます。ユーザ名の中で、Y ボックスに指定し た区切り文字が検出されると、その区切り文字からユーザ名の末尾までのすべての文字が 削除されます。ユーザ名に、Y ボックスに指定した文字が複数含まれる場合は、最初の区 切り文字から文字が削除されます。 たとえば、区切り文字がアットマーク(@)で、ユーザ名が jwiedman@domain である場合、 jwiedman が LDAP サーバに送信されます。 (注) • Y ボックスには、特殊文字であるシャープ記号(#) 、疑問符(?) 、引用符(") 、アスタリス ク(*) 、右山カッコ(>) 、および左山カッコ(<)を入力できません。ACS では、ユーザ名 にこれらの文字を使用できません。Y ボックスにこれらの文字のいずれかを入力すると、ス トリッピングが失敗します。 Common LDAP Configuration:このテーブルには、この設定を使用して行われるすべての LDAP 認証に適用されるオプションが用意されています。ACS は、認証がプライマリ LDAP サーバに よって処理されるか、セカンダリ LDAP サーバによって処理されるかに関係なく、このセク ションの設定を使用します。 このテーブルには次のフィールドがあります。 − User Directory Subtree:すべてのユーザを含むサブツリーの認定者名(DN)。次の例を参 考にしてください。 ou=organizational unit[,ou=next organizational unit]o=corporation.com ユーザを含むツリーがベース DN である場合は、LDAP 設定に応じて次のように入力しま す。 o=corporation.com または dc=corporation,dc=com 詳細については、LDAP データベースに関するドキュメントを参照してください。 − Group Directory Subtree:すべてのグループを含むサブツリーの DN。次の例を参考にして ください。 ou=organizational unit[,ou=next organizational unit]o=corporation.com グループを含むツリーがベース DN である場合は、LDAP 設定に応じて次のように入力し ます。 o=corporation.com または dc=corporation,dc=com 詳細については、LDAP データベースに関するドキュメントを参照してください。 − UserObjectType:ユーザ名を含むユーザ レコード内のアトリビュート名。このアトリ ビュート名は、ディレクトリ サーバから取得できます。詳細については、LDAP データ ベースに関するドキュメントを参照してください。ACS には、Netscape Directory Server の デフォルト設定が反映されたデフォルト値が含まれています。LDAP サーバの設定とマ ニュアルを使用して、これらのフィールドのすべての値を確認してください。 − UserObjectClass:レコードをユーザとして識別する LDAP objectType アトリビュートの 値。ユーザ レコードの objectType アトリビュートには複数の値が設定されていることが よくあり、ユーザに固有のものや、他のオブジェクト タイプと共有されているものがあり ます。このボックスには、共有されていない値を入力する必要があります。 − GroupObjectType:グループ名を含むグループ レコード内のアトリビュート名。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 12-31 第 12 章 ユーザ データベース 汎用 LDAP − GroupObjectClass:レコードをグループとして識別するグループ objectType アトリビュートの値。 レコード内の LDAP − Group Attribute Name:グループのメンバーであるユーザ レコードのリストを含むグルー プ レコード内のアトリビュート名。 − Server Timeout:LDAP サーバとの接続に失敗したと判断する前に ACS が LDAP サーバか らの応答を待つ秒数。 − On Timeout Use Secondary:ACS が LDAP 認証試行のフェールオーバーを行うかどうかを 決定します。LDAP フェールオーバー機能の詳細については、P.12-28 の「LDAP フェール オーバー」を参照してください。 − Failback Retry Delay:プライマリ LDAP サーバがユーザ認証に失敗してから、初めて ACS がプライマリ LDAP サーバへの認証要求の送信を再開するまでの経過時間(分単位)。0 (ゼロ)を入力すると、ACS は常にプライマリ LDAP サーバを最初に使用します。 − Max. Admin Connections:特定の LDAP 設定に対して実行できる LDAP 管理者アカウント 権限での同時接続の最大数(0 以上) 。これらの接続は、User Directory Subtree および Group Directory Subtree の下にあるユーザおよびグループの Directory の検索に使用されます。 • Primary LDAP Server および Secondary LDAP Server:Primary LDAP Server テーブルおよび Secondary LDAP Server テーブルでは、LDAP サーバを識別し、各サーバに固有の設定を行うこ とができます。LDAP フェールオーバーを使用しない場合は、Secondary LDAP Server テーブル に入力する必要はありません。 これらのテーブルには、次のオプションが用意されています。 − Hostname:LDAP ソフトウェアを実行しているサーバの名前または IP アドレス。ネット ワーク上で DNS を使用している場合、IP アドレスの代わりにホスト名を入力できます。 − Port:LDAP サーバが受信している TCP/IP ポート番号。デフォルトは、LDAP 仕様の記述 に従って 389 です。ポート番号が不明な場合は、LDAP サーバ上にそれらのプロパティを 表示することによって、ポート番号を取得できます。安全な認証を使用する場合、通常は ポート 636 を使用します。 − LDAP Version:LDAP データベースとの通信に、ACS が LDAP バージョン 3 とバージョン 2 のいずれを使用するかを決定します。このチェックボックスがオンの場合、ACS は LDAP バージョン 3 を使用します。このチェックボックスがオフの場合、ACS は LDAP バージョ ン 2 を使用します。 − Security:LDAP サーバとの通信を暗号化するために、ACS は SSL を使用します。SSL が イネーブルになっていない場合、ユーザ クレデンシャルはクリア テキストで LDAP サー バ に 渡 さ れ ま す。こ の オ プ シ ョ ン が オ ン の 場 合、Trusted Root CA ま た は Certificate Database Path を選択する必要があります。ACS は、LDAP サーバを使用した SSL 通信の サーバ側の認証だけをサポートします。Solution Engine のみ:Port ボックスに、LDAP サー バ上の SSL に使用するポート番号が含まれていることを確認する必要があります。 − Trusted Root CA:LDAP over SSL には、Netscape cert7.db ファイル以外の証明書データベー ス ファイルを使用する認証オプションがあります。このオプションは、ACS 環境における 他の SSL インストールと同じメカニズムを使用します。LDAP サーバ上にインストールさ れたサーバ証明書を発行した認証局を選択します。 − Certificate DB Path:クエリーするサーバの証明書、および信頼できる CA の証明書を含 む、Netscape cert7.db file へのパスを使用します。 ACS for Windows − Netscape cert7.db ファイルへのパス。このファイルには、クエリーされるサーバと信頼でき る CA の証明書が含まれている必要があります。Netscape Web ブラウザを使用して、cert7.db ファイルを作成できます。cert7.db ファイルを生成する方法については、Netscape のマニュ アルを参照してください。 SSL を使用して安全な認証を行うには、Netscape cert7.db 証明書データベース ファイルの パスを入力する必要があります。証明書データベースは ACS Windows サーバに対してロー カルになっている必要があるため、ACS は SSL 接続を確立するために証明書データベース を必要とします。 Cisco Secure ACS Solution Engine ユーザ ガイド 12-32 OL-14386-01-J 第 12 章 ユーザ データベース 汎用 LDAP ACS SE − このオプションを使用すると、Download Certificate Database ページへのリンクが示されま す。ACS は、指定した LDAP サーバへの安全な通信をサポートするために Netscape cert7.db 証明書データベース ファイルがダウンロードされたかどうかについての情報を表示しま す。Download Certificate Database ページの詳細については、P.12-52 の「証明書データベー スのダウンロード(Solution Engine のみ) 」を参照してください。 SSL を使用して安全な認証を行うには、Netscape cert7.db 証明書データベース ファイルの パスを入力する必要があります。ACS は、SSL 接続を確立するために証明書データベース を必要とします。証明書データベースは Solution Engine に対してローカルになっている必 要があるため、FTP を使用して証明書データベースを ACS に転送する必要があります。 ACS では、設定する LDAP サーバごとに cert7.db 証明書データベース ファイルが必要で す。たとえば、複数の LDAP ツリーに分散されたユーザをサポートするために、ACS に、 同一の LDAP サーバと通信する 2 つの LDAP インスタンスを設定できます。各 LDAP イン スタンスには、プライマリ LDAP サーバとセカンダリ LDAP サーバが指定されます。2 つ の LDAP 設定が同一のプライマリ サーバを共有する場合でも、LDAP 設定ごとに、証明書 データベース ファイルを ACS にダウンロードする必要があります。 (注) データベースは、Netscape cert7.db 証明書データベース ファイルでなければなりません。 他のファイル名はサポートされません。 注意 バックエンド LDAP データベースへの TACACS+ 認証は、cert7.db を使用し、大きな負荷がかかっ ている状態で ACS が動作している場合は、正常に機能しないことがあります。TACACS+ サービ スがシャットダウンし、認証が中止されることがあります。サードパーティの DLL は不安定にな り、例外エラーが発生する場合があります。また、Netscape ではサードパーティの DLL をサポー トしていません。この問題への対応策として、cert7.db の代わりに、CA のルート証明書を使用し て、OpenSSL インフラストラクチャでの安全な接続を使用することを推奨します。ACS の今回の リリースでは、この方式は十分にテストされ、サポートされています。 − Admin DN:管理者の DN。つまり、User Directory Subtree 内の必要なすべてのユーザの検 索が許されている LDAP アカウント。これには、LDAP サーバに関する次の情報が含まれ ている必要があります。 uid=user id,[ou=organizational unit,][ou=next organizational unit]o=organization user id はユーザ名、organizational unit はツリーの一番下のレベル、next organizational unit はツリーでその次に高いレベルです。 次の例を参考にしてください。 uid=joesmith,ou=members,ou=administrators,o=cisco 匿名のクレデンシャルによる検索でグループ名アトリビュートが表示されるように LDAP サーバが設定されている場合は、管理者ユーザ名に匿名のクレデンシャルを使用できます。 それ以外の場合は、検索でのグループ名アトリビュートの表示が許可された管理者ユーザ 名を指定する必要があります。 (注) 指定した管理者ユーザ名に対して、検索でのグループ名アトリビュートの表示が許可され ていない場合、LDAP が認証したユーザのグループ マッピングは失敗します。 − Password:Admin DN ボックスで指定した管理者アカウントのパスワード。大文字と小文 字の区別は、LDAP サーバによって決定されます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 12-33 第 12 章 ユーザ データベース 汎用 LDAP 汎用 LDAP 外部ユーザ データベースの設定 汎用 LDAP 設定を作成することで、LDAP データベースに認証要求を渡すために必要な ACS 情報 が提供されます。この情報は LDAP データベースの実装方法を示したもので、LDAP データベース の設定方法や機能を指示するものではありません。LDAP データベースについては、LDAP のマニュ アルを参照してください。 始める前に LDAP Database Configuration ページのオプションについては、P.12-29 の「LDAP 設定オプション」 を参照してください。 LDAP ユーザ データベースを使用するように ACS を設定するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの External User Databases をクリックします。 ステップ 2 Database Configuration をクリックします。 ACS が使用可能な外部ユーザ データベース タイプのリストを表示します。 ステップ 3 Generic LDAP をクリックします。 (注) ユーザは、1 つだけの LDAP データベースと照合して認証されます。 LDAP データベースが設定されていない場合は、Database Configuration Creation テーブルが表示され ます。設定されている場合は、Database Configuration Creation テーブルと External User Database Configuration テーブルが表示されます。 ステップ 4 設定を作成する場合は、次の手順を実行します。 a. Create New Configuration をクリックします。 b. 表示されたボックスに汎用 LDAP の新しい設定の名前を入力します。 c. Submit をクリックします。 ACS によって、新しい設定が External User Database Configuration テーブルに追加されます。 ステップ 5 External User Database Configuration ページで、設定する LDAP データベースの名前を選択します。 (注) ステップ 6 LDAP 設定が 1 つだけ存在する場合は、リストではなく、その設定の名前が表示されます。 ステップ 6 に進みます。 Configure をクリックします。 注意 Delete をクリックすると、選択した LDAP データベースの設定が削除されます。 Cisco Secure ACS Solution Engine ユーザ ガイド 12-34 OL-14386-01-J 第 12 章 ユーザ データベース 汎用 LDAP ステップ 7 ACS が LDAP 認証要求をユーザ名によってフィルタリングしないように設定するには、Domain Filtering で、Process all usernames を選択します。 ステップ 8 この LDAP 設定によって処理される認証が、特定のドメイン修飾を持つユーザ名にだけ実行される ようにする場合は、次の手順を実行します。 (注) ドメイン フィルタリングの詳細については、P.12-27 の「ドメイン フィルタリング」を参 照してください。 a. Domain Filtering で、Only process usernames that are domain qualified を選択します。 b. Qualified by リストから、適切なドメイン修飾タイプ(Suffix または Prefix)を選択します。LDAP 設定ごとに 1 つのタイプのドメイン修飾だけがサポートされます。 たとえば、この LDAP 設定で、特定のドメイン名で始まるユーザ名を認証する場合は、Prefix を選択します。この LDAP 設定で、特定のドメイン名で終わるユーザ名を認証する場合は、 Suffix を選択します。 c. Domain Qualifier ボックスに、この LDAP 設定で認証するユーザ名のドメイン名を入力します。 ユーザ ID とドメイン名を分離する区切り文字を含めます。必ず区切り文字を適切な位置に入 力してください。Qualified by リストで Prefix を選択した場合はドメイン名の末尾に、Qualified by リストで Suffix を選択した場合はドメイン名の初めに区切り文字を入力します。 LDAP 設定ごとに 1 つのドメイン名だけがサポートされます。最大 512 文字入力できます。 d. ユーザ名を LDAP データベースに送信する前に、ACS がドメイン修飾子を削除するように設定 するには、Strip domain before submitting username to LDAP server チェックボックスをオンに します。 e. ACS がドメイン修飾子を削除せずにユーザ名を LDAP データベースに渡すように設定するに は、Strip domain before submitting username to LDAP server チェックボックスをオフにします。 ステップ 9 ユーザ名を LDAP サーバに送信する前に、ACS がユーザ名からドメイン修飾子を削除できるように するには、次の手順を実行します。 (注) ドメイン フィルタリングの詳細については、P.12-27 の「ドメイン フィルタリング」を参 照してください。 a. Domain Filtering で、Process all usernames after stripping domain name and delimiter を選択しま す。 b. ACS がプレフィックス ドメイン修飾子を削除するように設定するには、Strip starting characters through the last X character チェックボックスをオンにしてから、X ボックスにドメ イン修飾子区切り文字を入力します。 (注) X ボックスには、特殊文字であるシャープ記号(#) 、疑問符(?) 、引用符(") 、アスタ リスク(*)、右山カッコ(>)、および左山カッコ(<)を入力できません。ACS では、 ユーザ名にこれらの文字を使用できません。X ボックスにこれらの文字のいずれかを入 力すると、ストリッピングが失敗します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 12-35 第 12 章 ユーザ データベース 汎用 LDAP c. ACS がサフィックス ドメイン修飾子を削除するように設定するには、Strip ending characters from the first X character チェックボックスをオンにしてから、X ボックスにドメイン修飾子区 切り文字を入力します。 (注) X ボックスには、特殊文字であるシャープ記号(#) 、疑問符(?) 、引用符(") 、アスタ リスク(*)、右山カッコ(>)、および左山カッコ(<)を入力できません。ACS では、 ユーザ名にこれらの文字を使用できません。X ボックスにこれらの文字のいずれかを入 力すると、ストリッピングが失敗します。 ステップ 10 Common LDAP Configuration の User Directory Subtree ボックスに、すべてのユーザを含むツリーの DN を入力します。 ステップ 11 Group Directory Subtree ボックスに、すべてのグループを含むサブツリーの DN を入力します。 ステップ 12 User Object Type ボックスに、ユーザ名を格納したユーザ レコード内のアトリビュート名を入力し ます。このアトリビュート名は、ディレクトリ サーバから取得できます。詳細については、LDAP データベースに関するドキュメントを参照してください。 (注) UserObjectType とその後のフィールド内のデフォルト値は、Netscape Directory Server のデ フォルト設定を示しています。LDAP サーバの設定とマニュアルを使用して、これらの フィールドのすべての値を確認してください。 ステップ 13 User Object Class ボックスに、レコードをユーザとして識別する LDAP objectType アトリビュート の値を入力します。ユーザ レコードの objectType アトリビュートには複数の値が設定されている ことがよくあり、ユーザに固有のものや、他のオブジェクト タイプと共有されているものがありま す。共有されていない値を選択します。 ステップ 14 GroupObjectType ボックスに、グループ名を格納しているグループ レコード内のアトリビュート 名を入力します。 ステップ 15 GroupObjectClass ボックスに、レコードをグループとして識別するグループ レコード内の LDAP objectType アトリビュートの値を入力します。 ステップ 16 GroupAttributeName ボックスに、グループのメンバーであるユーザ レコードのリストを格納して いるグループ レコード内のアトリビュート名を入力します。 ステップ 17 Server Timeout ボックスに、LDAP サーバとの接続に失敗したと判断する前に ACS が LDAP サーバ からの応答を待つ秒数を入力します。 ステップ 18 LDAP 認証試行のフェールオーバーをイネーブルにするには、On Timeout Use Secondary チェック ボックスをオンにします。LDAP フェールオーバー機能の詳細については、P.12-28 の「LDAP フェー ルオーバー」を参照してください。 ステップ 19 Failback Retry Delay ボックスに、プライマリ LDAP サーバがユーザ認証に失敗してから、初めて ACS がプライマリ LDAP サーバへの認証要求の送信を再開するまでの経過時間を分単位で入力し ます。 Cisco Secure ACS Solution Engine ユーザ ガイド 12-36 OL-14386-01-J 第 12 章 ユーザ データベース 汎用 LDAP (注) ACS が常にプライマリ LDAP サーバを最初に使用するように指定するには、Failback Retry Delay ボックスに 0(ゼロ)を入力します。 ステップ 20 Max. Admin Connection ボックスに、LDAP 管理者アカウント権限を使用して同時に接続できる最 大数を入力します。 ステップ 21 Primary LDAP Server テーブルおよび Secondary LDAP Server テーブルについて、次の手順を実行し ます。 (注) On Timeout Use Secondary チェックボックスをオンにしなかった場合は、Secondary LDAP Server テーブルのオプションを入力する必要はありません。 a. Hostname ボックスに、LDAP ソフトウェアを実行しているサーバの名前または IP アドレスを 入力します。ネットワーク上で DNS を使用している場合、IP アドレスの代わりにホスト名を 入力できます。 b. Port ボックスに、LDAP サーバが受信している TCP/IP ポート番号を入力します。デフォルト は、LDAP 仕様の記述に従って 389 です。ポート番号が不明な場合は、LDAP サーバ上にそれ らのプロパティを表示することによって、ポート番号を取得できます。安全な認証を使用する 場合、通常はポート 636 を使用します。 c. LDAP データベースと通信するために ACS が LDAP バージョン 3 を使用するよう指定するに は、LDAP Version チェックボックスをオンにします。LDAP Version チェックボックスがオン になっていないときは、ACS では、LDAP バージョン 2 が使用されます。 d. SSL を使用して ACS を LDAP サーバに接続する場合、Use secure authentication チェックボッ クスをオンにして、次の 3 つのステップを実行します。SSL を使用しない場合、ユーザ名とパ スワード認証は、通常、ネットワークを介して LDAP ディレクトリにクリアテキストで渡され ます。 e. Solution Engine のみ:Use Secure authentication チェックボックスをオンにした場合、次のいず れかの手順を実行します。 − Trusted Root CA チェックボックスをオンにして、隣接するドロップダウン リストで Trusted Root CA を選択します。 − Certificate Database Path チェックボックスをオンにして、cert7.db ファイルをダウンロー ドします。 (注) cert7.db 証明書データベース ファイルを ACS にダウンロードするには、P.12-52 の「証明書 データベースのダウンロード(Solution Engine のみ)」の手順を実行して、ステップ f から 作業を続けます。証明書データベースは後でダウンロードできます。現在の LDAP サーバ に証明書データベースがダウンロードされるまで、この LDAP サーバに対するセキュアな 認証は失敗します。 f. ACS for Windows のみ:Use Secure authentication チェックボックスをオンにした場合、次のい ずれかの手順を実行します。 − Trusted Root CA ボタンをクリックして、隣接するドロップダウン リストで Trusted Root CA を選択します。 − Certificate Database Path ボタンをクリックして、隣接するボックスに、クエリーされる サーバと信頼できる CA の証明が格納された Netscape cert7.db ファイルのパスを入力しま す。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 12-37 第 12 章 ユーザ データベース 汎用 LDAP g. Admin DN ボックスでは、管理者の完全修飾名(DN)が必要です。つまり、User Directory Subtree 内の必要なすべてのユーザの検索が許されている LDAP アカウントです。 Admin DN ボックスに、LDAP サーバから次の情報を入力します。 uid=user id,[ou=organizational unit,] [ou=next organizational unit]o=organization user id はユーザ名です。 organizational unit はツリーの一番下のレベルです。 next organizational unit はツリーの次に高いレベルです。 次の例を参考にしてください。 uid=joesmith,ou=members,ou=administrators,o=cisco ヒント LDAP ソフトウェアとして Netscape DS を使用している場合は、この情報を Netscape コン ソールからコピーできます。 h. Password ボックスに、Admin DN ボックスで指定されている管理者アカウントのパスワードを 入力します。パスワードの大文字と小文字の区別は、サーバによって決定されます。 ステップ 22 Submit をクリックします。 作成した汎用 LDAP 設定が、ACS によって保存されます。これで、このデータベースは、未知ユー ザ ポリシーに追加するか、または特定のユーザ アカウントに割り当てて認証に使用できます。未 知ユーザ ポリシーの詳細については、P.15-3 の「未知ユーザ認証について」を参照してください。 このデータベースを使用して認証を行うようにユーザ アカウントを設定する方法の詳細について は、第 6 章「ユーザ管理」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド 12-38 OL-14386-01-J 第 12 章 ユーザ データベース ODBC データベース(ACS for Windows のみ) ODBC データベース(ACS for Windows のみ) Windows ユーザ データベース サポートと同様に、ACS ODBC 準拠リレーショナル データベース サ ポートを使用して、外部 ODBC 準拠リレーショナル データベースにある既存のユーザ レコードを 使用できます。ODBC 準拠リレーショナル データベースで認証するように ACS を設定しても、リ レーショナル データベースの設定には影響を与えません。リレーショナル データベースを管理す るには、リレーショナル データベースのマニュアルを参照してください。 (注) ACS がサポートする他のすべての外部データベースと同様に、ODBC 準拠リレーショナル データ ベースは ACS の一部として提供されていません。ODBC 外部ユーザ データベースのセットアップ の詳細については、P.12-41 の「ODBC 準拠リレーショナル データベースを使用したユーザ認証の 準備」を参照してください。 Windows ODBC 機能を使用して、データベースと、データベースとの通信に必要な他の重要なパラ メータを指定するデータ ソース名(DSN)を作成できます。指定するパラメータには、ODBC 準拠 リレーショナル データベースにアクセスするために ODBC ドライバに必要なユーザ名とパスワー ドがあります。 ここでは、次の項目について説明します。 • ODBC ユーザ データベースでサポートされている機能(P.12-40) • ODBC 外部ユーザ データベースを使用した ACS の認証プロセス(P.12-40) • ODBC 準拠リレーショナル データベースを使用したユーザ認証の準備(P.12-41) • ODBC 認証のためのストアド プロシージャの実装(P.12-41) • Microsoft SQL Server およびパスワードの大文字と小文字の区別(P.12-43) • PAP 認証 SQL プロシージャを作成するためのサンプル ルーチン(P.12-43) • SQL CHAP 認証プロシージャを作成するためのサンプル ルーチン(P.12-44) • EAP-TLS 認証プロシージャを作成するためのルーチン例(P.12-44) • PAP 認証プロシージャの入力値(P.12-44) • PAP プロシージャの出力値(P.12-45) • CHAP/MS-CHAP/ARAP 認証プロシージャの入力値(P.12-45) • CHAP/MS-CHAP/ARAP プロシージャの出力値(P.12-46) • EAP-TLS 認証プロシージャの入力値(P.12-46) • EAP-TLS プロシージャの出力値(P.12-47) • 結果コード(P.12-47) • ODBC 外部ユーザ データベース用のシステム データ ソース名の設定(P.12-48) • ODBC 外部ユーザ データベースの設定(P.12-49) Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 12-39 第 12 章 ユーザ データベース ODBC データベース(ACS for Windows のみ) ODBC ユーザ データベースでサポートされている機能 ACS は、次の機能について、ODBC 外部ユーザ データベースの使用をサポートします。 • 認証:ODBC 認証機能を使用してリレーショナル データベースを使用する場合、ACS がサポー トする認証タイプについては、P.1-8 の「認証プロトコルとデータベースの互換性」を参照して ください。 • グループ指定:ACS では、ODBC ユーザ データベースによって認証されるユーザに対してグ ループ割り当てをサポートしています。ODBC データベースへの認証クエリーには、ユーザを 割り当てるグループの番号を含める必要があります。ODBC ユーザ データベースによって認証 された未知ユーザについては、グループ指定がグループ マッピングよりも優先されます。 予期されるクエリー出力については、P.12-45 の「PAP プロシージャの出力値」、P.12-46 の 「CHAP/MS-CHAP/ARAP プロシージャの出力値」、および P.12-47 の「EAP-TLS プロシージャの 出力値」を参照してください。 • 未知ユーザに対するグループ マッピング:ACS は、Windows ユーザ データベースにグループ メンバーシップ情報を要求することによって、未知ユーザに対するグループ マッピングをサ ポートします。Windows ユーザ データベースで認証されたユーザに対するグループ マッピン グの詳細については、P.16-4 の「グループ セット メンバーシップによるグループ マッピング」 を参照してください。 ODBC 外部ユーザ データベースを使用した ACS の認証プロセス ACS は、次の場合にユーザ認証要求を ODBC データベースに転送します。 • ACS 内部データベースのアカウントで、ODBC データベース設定が認証方式として示されてい る。 • ACS 内部データベースに対して未知であり、未知ユーザ ポリシーによって、ODBC データベー スが次に試行する外部ユーザ データベースであると指示されている。 いずれの場合も、ACS は ODBC 接続を使用して、ユーザ クレデンシャルを ODBC データベースに 転送します。適切なテーブルを問い合せて ACS に値を返すストアド プロシージャがリレーショナ ル データベースに必要です。指定されたユーザ クレデンシャルが有効であることを返された値が 示している場合、ACS は、要求側の AAA クライアントにユーザ アクセス権を付与するように指示 します。それ以外の場合、ACS はユーザ アクセスを拒否します(図 12-2 参照)。 図 12-2 認証での ODBC データベースの使用 ACS は、ユーザが割り当てられている ACS グループに基づいて、認可を与えます。ユーザが割り 当てられているグループは、「グループ指定」と呼ばれるプロセスを使用し、ODBC データベース の情報によって判別可能ですが、認可特権を与えるのは ACS です。 Cisco Secure ACS Solution Engine ユーザ ガイド 12-40 OL-14386-01-J 第 12 章 ユーザ データベース ODBC データベース(ACS for Windows のみ) ODBC 準拠リレーショナル データベースを使用したユーザ認証の準備 ODBC 準拠リレーショナル データベースを使用したユーザの認証には、ODBC 外部ユーザ データ ベースを使って ACS を設定する前に、ACS の外部で重要な手順をいくつか行う必要があります。 ODBC 準拠リレーショナル データベースを使用した認証を準備するには、次の手順を実行します。 ステップ 1 サーバに ODBC 準拠リレーショナル データベースをインストールします。詳細については、リレー ショナル データベースに関するドキュメントを参照してください。 (注) 使用するリレーショナル データベースは、ACS に提供されていません。 ステップ 2 ユーザ名とパスワードを保持するデータベースを作成します。データベース名は ACS と関連がな いため、データベースに任意の名前を付けることができます。 ステップ 3 ユーザのユーザ名とパスワードを保持するテーブルを 1 つ以上作成します。テーブル名は ACS と 関連がないため、テーブルやカラムに任意の名前を付けることができます。 (注) パスワードを保持する SQL データベース カラムでは、varchar 形式の使用を推奨します。 パスワード カラムを char として定義すると、パスワードがフィールドの最大長を使用して いない場合、パスワードの比較が失敗する場合があります。たとえば、パスワード カラム が 16 文字の長さで、パスワードの長さが 10 文字しかない場合、データベースはスペース を 6 つ付加することがあります。したがって、パスワードの比較に使用される値が 16 文字 になるため、ユーザが入力した実際のパスワードとの比較が失敗します。 ステップ 4 必要な認証情報を ACS に返すためのストアド プロシージャを書き込みます。ストアド プロシー ジャの詳細については、P.12-41 の「ODBC 認証のためのストアド プロシージャの実装」を参照し てください。 ステップ 5 ACS を実行しているコンピュータでシステム DSN をセットアップします。手順については、P.12-48 の「ODBC 外部ユーザ データベース用のシステム データ ソース名の設定」を参照してください。 ステップ 6 ODBC データベースを使用してユーザを認証するように ACS を設定します。手順については、 P.12-49 の「ODBC 外部ユーザ データベースの設定」を参照してください。 ODBC 認証のためのストアド プロシージャの実装 ODBC 準拠リレーショナル データベースに対してユーザを認証するように ACS を設定する場合、 必要なクエリーを実行して ACS が要求する値を返すストアド プロシージャを作成する必要があり ます。返される値およびストアド プロシージャで必要なタスクは、使用される認証プロトコルに よって異なります。 PAP、または PEAP(EAP-GTC)の認証は、リレーショナル データベース内で行われます。した がって、ストアド プロシージャが入力値に一致するユーザ名とパスワードを持つレコードを見つけ ると、ユーザは認証されたものと見なされます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 12-41 第 12 章 ユーザ データベース ODBC データベース(ACS for Windows のみ) CHAP、MS-CHAP、ARAP、LEAP または EAP-MD5 の認証は ACS 内で行われます。ストアド プロ シージャは、ユーザ名とパスワードが一致するレコードのフィールドを返します。ACS は、プロ シージャから返された値に基づいて認証を確認または拒否します。 EAP-TLS の認証は ACS 内で行われます。ストアド プロシージャは、ODBC データベースでユーザ 名が見つかったかどうかを示すレコードのフィールドを返します。ACS は、プロシージャから返さ れた値およびユーザ証明書の正当性に基づいて認証を確認または拒否します。ACS による EAP-TLS プロトコルのサポートの詳細については、P.9-2 の「EAP-TLS 認証」を参照してください。 3 つのプロトコルをサポートするために、ACS は、ODBC 認証要求へのさまざまな入力値を提供し、 ODBC 認証要求のさまざまな出力値を要求します。この機能では、3 つのプロトコルそれぞれをサ ポートするために、リレーショナル データベースで別々のストアド プロシージャが必要です。 ACS 製品 CD には、Microsoft SQL Server または Oracle データベースでプロシージャを作成するた めの スタブ ルーチンが含まれています。これらのルーチンのコピーを変更して、ストアド プロシー ジャを作成したり、独自のストアド プロシージャを書くことができます。SQL Server で PAP およ び CHAP/MS-CHAP/ARAP 認証ストアド プロシージャを作成するためのルーチンの例については、 P.12-43 の「PAP 認証 SQL プロシージャを作成するためのサンプル ルーチン」および P.12-44 の 「SQL CHAP 認証プロシージャを作成するためのサンプル ルーチン」で確認できます。 次の項では、ACS データ タイプと SQL データ タイプ、PAP/PEAP(EAP-GTC)認証プロシージャ の入力値と出力値、CHAP/MS-CHAP/ARAP 認証プロシージャの入力値と出力値、EAP-TLS 認証プ ロシージャの入力値と出力値、予期される結果コードに関するリファレンス情報を提供します。リ レーショナル データベースに認証ストアド プロシージャを書き込むときに、この情報を使用でき ます。 (注) EAP-FAST を使用する場合、MS-CHAP(フェーズ 0 プロビジョニングで使用)および PAP(フェー ズ 2 認証で使用)の 2 つのストアド プロシージャが必要です。 タイプの定義 ACS タイプとそれらに一致する SQL タイプは、次のとおりです。 • Integer:SQL_INTEGER • String:SQL_CHAR または SQL_VARCHAR (注) パスワードを保持する SQL データベース カラムでは、varchar 形式の使用を推奨しま す。パスワード カラムを char として定義すると、パスワードがフィールドの最大長を 使用していない場合、パスワードの比較が失敗する場合があります。たとえば、パス ワード カラムが 16 文字の長さで、パスワードの長さが 10 文字しかない場合、データ ベースはスペースを 6 つ付加することがあります。したがって、パスワードの比較に使 用される値が 16 文字になるため、ユーザが入力した実際のパスワードとの比較が失敗 します。 Cisco Secure ACS Solution Engine ユーザ ガイド 12-42 OL-14386-01-J 第 12 章 ユーザ データベース ODBC データベース(ACS for Windows のみ) Microsoft SQL Server およびパスワードの大文字と小文字の区別 パスワードで大文字と小文字を区別し、ODBC 準拠リレーショナル データベースに Microsoft SQL Server を使用している場合、この機能に対応するように SQL Server を設定します。ユーザが PAP ま たは Telnet ログインで PPP を使用して認証している場合、SQL Server での大文字と小文字の区別オ プションの設定方法によっては、パスワードは大文字と小文字を区別しない場合があります。たと えば、Oracle データベースは、デフォルトで大文字と小文字を区別しますが、Microsoft SQL Server は、デフォルトで大文字と小文字を区別しません。ただし、CHAP/ARAP の場合、CHAP ストアド プロシージャを設定しているとパスワードの大文字と小文字は区別されます。 たとえば、Telnet または PAP 認証を使用している場合、大文字と小文字を区別しないように SQL Server を設定していると、cisco、CISCO、CiScO というパスワードをすべて使用できます。 CHAP/ARAP の場合、パスワードの大文字と小文字を区別するように SQL Server 設定しているかど うかにかかわらず、cisco、CISCO、CiScO は区別されます。 PAP 認証 SQL プロシージャを作成するためのサンプル ルーチン 次のルーチンの例では、Microsoft SQL Server で CSNTAuthUserPap という名前のプロシージャを作 成します。これは、ACS が PAP 認証で使用するデフォルトのプロシージャです。データベース ス キーマによって異なるテーブルおよびカラムの名前は、可変テキストで表示されます。参考のため に、ACS 製品 CD には、SQL Server または Oracle でプロシージャを作成するためのスタブ ルーチ ンが収録されています。データ タイプの定義、プロシージャ パラメータおよびプロシージャの結 果については、P.12-39 の「ODBC データベース(ACS for Windows のみ) 」を参照してください。 if exists (select * from sysobjects where id = object_id (`dbo.CSNTAuthUserPap’) and sysstat & 0xf = 4)drop procedure dbo.CSNTAuthUserPap GO CREATE PROCEDURE CSNTAuthUserPap @username varchar(64), @pass varchar(255) AS SET NOCOUNT ON IF EXISTS( SELECT username FROM users WHERE username = @username AND csntpassword = @pass ) SELECT 0,csntgroup,csntacctinfo,"No Error" FROM users WHERE username = @username ELSE SELECT 3,0,"odbc","ODBC Authen Error" GO GRANT EXECUTE ON dbo.CSNTAuthUserPap TO ciscosecure GO Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 12-43 第 12 章 ユーザ データベース ODBC データベース(ACS for Windows のみ) SQL CHAP 認証プロシージャを作成するためのサンプル ルーチン 次のルーチンの例では、Microsoft SQL Server で CSNTExtractUserClearTextPw という名前のプロ シージャを作成します。これは、ACS が CHAP/MS-CHAP/ARAP 認証で使用するデフォルトのプロ シージャです。データベース スキーマによって異なるテーブルおよびカラムの名前は、可変テキス トで表示されます。データ タイプの定義、プロシージャ パラメータおよびプロシージャの結果に ついては、P.12-39 の「ODBC データベース(ACS for Windows のみ)」を参照してください。 if exists (select * from sysobjects where id = object_id(`dbo.CSNTExtractUserClearTextPw’) and sysstat & 0xf = 4) drop procedure dbo.CSNTExtractUserClearTextPw GO CREATE PROCEDURE CSNTExtractUserClearTextPw @username varchar(64) AS SET NOCOUNT ON IF EXISTS( SELECT username FROM users WHERE username = @username ) SELECT 0,csntgroup,csntacctinfo,"No Error",csntpassword FROM users WHERE username = @username ELSE SELECT 3,0,"odbc","ODBC Authen Error" GO GRANT EXECUTE ON dbo.CSNTExtractUserClearTextPw TO ciscosecure GO EAP-TLS 認証プロシージャを作成するためのルーチン例 次のルーチンの例では、Microsoft SQL Server で CSNTFindUser という名前のプロシージャを作成し ます。これは、ACS が EAP-TLS 認証で使用するデフォルトのプロシージャです。データベース ス キーマによって異なるテーブルおよびカラムの名前は、可変テキストで表示されます。データ タイ プの定義、プロシージャ パラメータおよびプロシージャの結果については、P.12-39 の「ODBC デー タベース(ACS for Windows のみ)」を参照してください。 PAP 認証プロシージャの入力値 表 12-1 は、PAP 認証をサポートするストアド プロシージャに ACS から提供される入力値を示しま す。ストアド プロシージャでは、入力値を変数として受け取る必要があります。 表 12-1 PAP ストアド プロシージャの入力値 フィールド タイプ 説明 CSNTusername String 0 ∼ 64 文字 CSNTpassword String 0 ∼ 255 文字 入力値の名前は参考用です。それらの入力値から作成されるプロシージャ変数には、別の名前を付 けることができます。ただし、表示する順番でプロシージャに名前を定義する必要があります。ユー ザ名は、パスワード変数よりも優先されます。 Cisco Secure ACS Solution Engine ユーザ ガイド 12-44 OL-14386-01-J 第 12 章 ユーザ データベース ODBC データベース(ACS for Windows のみ) PAP プロシージャの出力値 ストアド プロシージャは、ヌルではないフィールドを含む 1 つの行を返す必要があります。 表 12-2 は、ACS がストアド プロシージャからの出力値として要求するプロシージャの結果を示し ます。 表 12-2 PAP ストアド プロシージャの出力値 フィールド タイプ 説明 CSNTresult Integer 表 12-7 を参照してください。 CSNTgroup Integer 認可のための ACS グループ数。0xFFFFFFFF を使用してデフォルト値を割り当てま す。0 ∼ 499 以外の値はデフォルト値に変換されます。 (注) CSNTgroup フィールドで指定されたグループは、ODBC 外部ユーザ データ ベースに設定されているグループ マッピングよりも優先されます。 CSNTacctInfo String 0 ∼ 16 文字。ACS が後続のアカウント ログ ファイル エントリに追加するユーザ定義 の文字列。 CSNTerrorString String 0 ∼ 255 文字。エラーが発生したときに、ACS が CSAuth サービス ログ ファイルに書 き込むユーザ定義の文字列。 CSNTGroup フィールドと CSNTacctInfo フィールドは、認証が成功したときだけ処理されます。 CSNTerrorString ファイルは、失敗したときだけ記録されます(結果が 4 以上の場合)。 (注) ODBC データベースがパラメータとしてではなく、recordset 形式でデータを返す場合、プロシー ジャは事前にリストした順番で結果フィールドを返す必要があります。 CHAP/MS-CHAP/ARAP 認証プロシージャの入力値 ACS は、CHAP/MS-CHAP/ARAP 認証をサポートするストアド プロシージャに 1 つの入力値を提供 します。ストアド プロシージャでは、名前の付いた入力値を変数として受け取る必要があります。 (注) ACS では CHAP/MS-CHAP/ARAP の認証を実行するので、ユーザ パスワードは入力値ではありま せん(表 12-3 を参照)。 表 12-3 CHAP ストアド プロシージャの入力値 フィールド タイプ 説明 CSNTusername String 0 ∼ 64 文字 入力値の名前は参考用です。入力値から作成されるプロシージャ変数には、別の名前を付けること ができます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 12-45 第 12 章 ユーザ データベース ODBC データベース(ACS for Windows のみ) CHAP/MS-CHAP/ARAP プロシージャの出力値 ストアド プロシージャは、ヌルではないフィールドを含む 1 つの行を返す必要があります。 表 12-4 は、ACS がストアド プロシージャから出力値として要求するプロシージャの結果を示しま す。 表 12-4 CHAP/MS-CHAP/ARAP ストアド プロシージャの結果 フィールド タイプ 説明 CSNTresult Integer 表 12-7 の結果コードを参照してください。 CSNTgroup Integer 認可のための ACS グループ数。0xFFFFFFFF を使用してデフォルト値を割り当てます。0 ∼ 499 以外の値はデフォルト値に変換されます。 (注) CSNTgroup フィールドで指定されたグループは、ODBC 外部ユーザ データベース に設定されているグループ マッピングよりも優先されます。 String 0 ∼ 15 文字。ACS が後続のアカウント ログ ファイル エントリに追加するユーザ定義の文 字列。 CSNTerrorString String 0 ∼ 255 文字。エラーが発生したときに、ACS が CSAuth サービス ログ ファイルに書き込 むユーザ定義の文字列。 CSNTpassword 0 ∼ 255 文字。ACS はパスワードを認証します。 CSNTacctInfo String (注) varchar ではなく char データタイプを使ってデータベースのパスワード フィール ドが定義されている場合、データベースは、実際のパスワードの長さを無視して 255 文字の文字列を返すことがあります。ODBC データベースの CHAP パスワー ド フィールドには、varchar データタイプを使用することを推奨します。 CSNTGroup フィールドと CSNTacctInfo フィールドは、認証が成功したときだけ処理されます。 CSNTerrorString ファイルは、失敗したときだけ記録されます(結果が 4 以上の場合)。 (注) ODBC データベースがパラメータとしてではなく、recordset 形式でデータを返す場合、プロシー ジャは事前にリストした順番で結果フィールドを返す必要があります。 EAP-TLS 認証プロシージャの入力値 ACS は、EAP-TLS 認証をサポートするストアド プロシージャに 1 つの入力値を提供します。スト アド プロシージャでは、名前の付いた入力値を変数として受け取る必要があります。 (注) ACS では EAP-TLS の認証を実行するので、ユーザ パスワードは入力値ではありません(表 12-5 を 参照) 。 表 12-5 EAP-TLS ストアド プロシージャの入力値 フィールド タイプ 説明 CSNTusername String 0 ∼ 64 文字 Cisco Secure ACS Solution Engine ユーザ ガイド 12-46 OL-14386-01-J 第 12 章 ユーザ データベース ODBC データベース(ACS for Windows のみ) 入力値の名前は参考用です。入力値から作成されるプロシージャ変数には、別の名前を付けること ができます。 EAP-TLS プロシージャの出力値 ストアド プロシージャは、ヌルではないフィールドが含まれる 1 つの行を返す必要があります。 表 12-4 は、ACS がストアド プロシージャからの出力値として要求するプロシージャの結果を示し ます。 表 12-6 EAP-TLS ストアド プロシージャの結果 フィールド タイプ 説明 CSNTresult Integer 表 12-7 の結果コードを参照してください。 CSNTgroup Integer 認可のための ACS グループ数。0xFFFFFFFF を使用してデフォルト値を割り当てます。 0 ∼ 499 以外の値はデフォルト値に変換されます。 (注) CSNTgroup フィールドで指定されたグループは、ODBC 外部ユーザ データベー スに設定されているグループ マッピングよりも優先されます。 CSNTacctInfo String 0 ∼ 15 文字。ACS が後続のアカウント ログ ファイル エントリに追加するユーザ定義の 文字列。 CSNTerrorString String 0 ∼ 255 文字。エラーが発生したときに、ACS が CSAuth サービス ログ ファイルに書き 込むユーザ定義の文字列。 CSNTGroup フィールドと CSNTacctInfo フィールドは、認証が成功したときだけ処理されます。 CSNTerrorString ファイルは、失敗したときだけ記録されます(結果が 4 以上の場合)。 (注) ODBC データベースがパラメータとしてではなく、recordset 形式でデータを返す場合、プロシー ジャは事前にリストした順番で結果フィールドを返す必要があります。 結果コード 表 12-7 に一覧表示されている結果コードを設定できます。 表 12-7 結果コード 結果コード 意味 0(ゼロ) 認証の成功 1 未知のユーザ名 2 無効なパスワード 3 未知のユーザ名、または無効なパスワード 4 以上 内部エラー:認証が処理されませんでした 失敗した認証ログ ファイルに含める情報量に応じて、SQL プロシージャは 1、2 または 3 のいずれ かで失敗を示します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 12-47 第 12 章 ユーザ データベース ODBC データベース(ACS for Windows のみ) 4 以上の戻りコードは、認証エラー イベントで発生します。これらのエラーは、ユーザごとの失敗 試行カウンタに影響しません。また、エラー コードは AAA クライアントに返されるため、エラー なのか失敗なのかを区別できます。このように設定している場合、バックアップ AAA サーバに フォール バックできます。 認証の成功や失敗は記録されません。汎用 ACS ロギング メカニズムが適用されます。エラーが発 生した場合(CSNTresult は 4 以下 )、CSNTerrorString の内容が Application Log の配下の Windows Event Log に書き込まれます。 ODBC 外部ユーザ データベース用のシステム データ ソース名の設定 ACS を実行しているコンピュータで、リレーショナル データベースと通信を行うために、ACS 用 のシステム DSN を作成する必要があります。 ODBC 外部ユーザ データベースで使用するシステム DSN を作成するには、次の手順を実行します。 ステップ 1 ローカル管理者アカウントを使用して、ACS を実行しているコンピュータにログインします。 ステップ 2 Windows のコントロール パネルで、ODBC Data Sources アイコンをダブルクリックします。 ステップ 3 Start > Settings > Control Panel > Administrative Tools > Data Sources (ODBC) を選択します。 ヒント Start メニューに Control Panel が表示されない場合は、Start > Settings > Control Panel を 選択して、Administrative Tools をダブルクリックし、Data Sources (ODBC) をダブルク リックします。 ODBC Data Source Administrator ウィンドウが表示されます。 ステップ 4 System DSN タブをクリックします。 ステップ 5 Add をクリックします。 ステップ 6 新しい DSN で使用するドライバを選択してから、Finish をクリックします。 ダイアログボックスが開き、選択した ODBC ドライバ固有の情報を入力するためのフィールドが表 示されます。 ステップ 7 Data Source Name ボックスにわかりやすい DSN の名前を入力します。 ステップ 8 選択した ODBC ドライバで必要な他のフィールドすべてに入力します。これらのフィールドには、 たとえば、ODBC 準拠のデータベースが稼働するサーバの IP アドレスが含まれています。 ステップ 9 OK をクリックします。 DSN に指定した名前が System Data Sources リストに表示されます。 ステップ 10 ODBC Data Source Administrator ウィンドウと Windows のコントロール パネルを閉じます。 Cisco Secure ACS Solution Engine ユーザ ガイド 12-48 OL-14386-01-J 第 12 章 ユーザ データベース ODBC データベース(ACS for Windows のみ) ACS を実行しているコンピュータに、リレーショナル データベースとの通信に ACS が使用するシ ステム DSN が作成されます。 ODBC 外部ユーザ データベースの設定 ODBC データベース設定を作成することで、ODBC 準拠リレーショナル データベースに認証要求を 渡すために使用される情報が ACS に提供されます。この情報は リレーショナル データベースの実 装方法を示したもので、リレーショナル データベースの設定方法や機能を指示するものではありま せん。リレーショナル データベースについては、リレーショナル データベースのマニュアルを参 照してください。 (注) この手順を実行する前に、P.12-41 の「ODBC 準拠リレーショナル データベースを使用したユーザ 認証の準備」の手順を完了しておく必要があります。 ODBC 認証のために ACS を設定するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの External User Databases をクリックします。 ステップ 2 Database Configuration をクリックします。 ACS によって、使用可能な外部ユーザ データベース タイプが一覧表示されます。 ステップ 3 External ODBC Database をクリックします。 ステップ 4 設定を作成する場合は、次の手順を実行します。 a. Create New Configuration をクリックします。 b. 表示されたボックスに ODBC 認証用の新しい設定名を入力するか、ボックスに表示されたデ フォルト名を採用します。 c. Submit をクリックします。 ACS によって、新しい設定が External User Database Configuration テーブルに追加されます。 ステップ 5 Configure をクリックします。 ステップ 6 System DSN リストで、使用する ODBC 準拠リレーショナル データベースと通信するように設定さ れている DSN を選択します。 (注) ステップ 7 ACS を実行しているコンピュータにリレーショナル データベース用の DSN を設定してい ない場合、手順を完了する前に設定を行ってください。ACS ODBC 認証用の DSN の作成の 詳細については、P.12-48 の「ODBC 外部ユーザ データベース用のシステム データ ソース 名の設定」を参照してください。 DSN Username ボックスに、ODBC データベースでトランザクションを実行するのに必要なユーザ 名を入力します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 12-49 第 12 章 ユーザ データベース ODBC データベース(ACS for Windows のみ) ステップ 8 DSN Password ボックスに、ODBC データベースでトランザクションを実行するのに必要なパス ワードを入力します。 ステップ 9 DSN Connection Retries ボックスに、タイムアウトになる前に、ACS が ODBC データベースへの接 続を試行する回数を入力します。デフォルト値は 3 です。 (注) Windows の起動時に接続上の問題がある場合は、デフォルト値を大きくしてください。 ステップ 10 ODBC ワーカー スレッド数を変更するには、ODBC Worker Threads ボックスに ODBC ワーカー ス レッド数を入力します。スレッドの最大数は 10 です。デフォルトは 1 です。 (注) 使用している ODBC ドライバがスレッド セーフと証明されている場合にのみ、ODBC ワー カー スレッド数を増やしてください。たとえば、Microsoft Access ODBC ドライバはスレッ ド セーフではなく、複数のスレッドを使用すると ACS が不安定になる可能性があります。 可能な場合、ACS はドライバがスレッド セーフかどうかを問い合せます。使用するスレッ ド数は、DSN がプロシージャの実行に要する時間と認証を要求する頻度を決める要素にな ります。 ステップ 11 DSN Procedure Type リストで、リレーショナル データベースが提供する出力タイプを選択します。 データベースによって返す出力が次のように異なります。 • Returns Recordset:データベースは、ODBC クエリーに応じて未処理レコード セットを返しま す。Microsoft SQL Server は、次のように応答します。 • Returns Parameters:データベースは、ODBC クエリーに応じて名前付きパラメータ セットを 返します。Oracle データベースは、次のように応答します。 ステップ 12 ODBC データベースで PAP または PEAP(EAP-GTC)認証をサポートするには、次の手順を実行し ます。 a. Support PAP authentication チェックボックスをオンにします。 b. PAP SQL Procedure ボックスに、ODBC サーバで実行する PAP SQL プロシージャ ルーチンの 名前を入力します。このボックスのデフォルト値は CSNTAuthUserPap です。PAP SQL procedure のように名前を付けた場合、PAP SQL プロシージャに指定された名前に一致するようにこのエ ントリを変更します。詳細およびルーチンの例については、P.12-43 の「PAP 認証 SQL プロシー ジャを作成するためのサンプル ルーチン」を参照してください。 (注) PAP 認証をイネーブルにした場合、PAP 認証 SQL プロシージャは ODBC データベース 上になければならず、PAP SQL Procedure ボックスで指定した名前と同一の名前を持 つ必要があります。これらの条件を満たしていない場合は、ODBC データベースに対し てユーザを認証する前に、ODBC データベースにプロシージャを作成する必要がありま す。 ステップ 13 ODBC データベースで、CHAP、MS-CHAP、ARAP、EAP-MD5 または LEAP 認証をサポートする には、次の手順を実行します。 a. Support CHAP/MS-CHAP/ARAP Authentication チェックボックスをオンにします。 Cisco Secure ACS Solution Engine ユーザ ガイド 12-50 OL-14386-01-J 第 12 章 ユーザ データベース ODBC データベース(ACS for Windows のみ) b. CHAP SQL Procedure ボックスに、ODBC サーバの CHAP SQL プロシージャ ルーチンの名前 を入力します。このボックスのデフォルト値は CSNTExtractUserClearTextPw です。CHAP SQL プロシージャ に別の名前を付けた場合、CHAP SQL プロシージャに付けた名前に一致するよう にこのエントリを変更します。詳細およびルーチンの例については、P.12-44 の「SQL CHAP 認 証プロシージャを作成するためのサンプル ルーチン」を参照してください。 (注) CHAP/MS-CHAP/ARAP 認証をイネーブルにした場合、CHAP 認証 SQL プロシージャは ODBC データベース上になければならず、PAP SQL Procedure ボックスで指定した名 前と同一の名前を持つ必要があります。これらの条件を満たしていない場合は、ODBC データベースに対してユーザを認証する前に、ODBC データベースにプロシージャを作 成する必要があります。 ステップ 14 ODBC データベースで EAP-TLS 認証をサポートするには、次の手順を実行します。 a. Support EAP-TLS Authentication チェックボックスをオンにします。 b. EAP-TLS SQL Procedure ボックスに、ODBC サーバの EAP-TLS SQL プロシージャ ルーチンの 名前を入力します。このボックスのデフォルト値は CSNTFindUser です。EAP-TLS SQL プロ シージャに別の名前を付けた場合、EAP-TLS SQL プロシージャに付けた名前に一致するように このエントリを変更します。詳細およびルーチンの例については、P.12-44 の「EAP-TLS 認証 プロシージャを作成するためのルーチン例」を参照してください。 (注) EAP-TLS 認証をイネーブルにした場合、 EAP-TLS 認証 SQL プロシージャは ODBC デー タベース上になければならず、EAP-TLS SQL Procedure ボックスで指定した名前と同 一の名前を持つ必要があります。これらの条件を満たしていない場合は、ODBC データ ベースに対してユーザを認証する前に、ODBC データベースにプロシージャを作成する 必要があります。 ステップ 15 データベースに障害が発生した場合の RADIUS の動作を設定するには、次の手順を実行します。 a. デバイスが同じサーバにリトライするように設定するには、Send an access reject を選択します。 b. デバイスが他のサーバへのアクセスを試みるように設定するには、Discard the access request を 選択します。 (注) このオプションは、外部 ODBC データベースで障害が発生したときに、ACS が認証を拒否できる ようにするか(access-reject)、またはまったく応答しないようにする場合に便利です。反対に、ACS が access-request を廃棄した場合、ネットワーク アクセス デバイスは別の ACS サーバにフェール オーバーできます。この方策の欠点は、廃棄を行うことでネットワーク トラフィックが増大し、 ネットワーク アクセス デバイスから ACS サーバへ要求が渡され続けることで、ネットワーク アク セスデバイスの負荷が増す点にあります。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 12-51 第 12 章 ユーザ データベース 証明書データベースのダウンロード(Solution Engine のみ) ステップ 16 Submit をクリックします。 ACS は、作成された ODBC 設定を保存します。このデータベースを未知ユーザ ポリシーに追加す るか、または特定のユーザ アカウントに割り当てて認証に使用できます。未知ユーザ ポリシーの 詳細については、P.15-3 の「未知ユーザ認証について」を参照してください。このデータベースを 使用して認証を行うようにユーザ アカウントを設定する方法の詳細については、第 6 章「ユーザ管 理」を参照してください。 証明書データベースのダウンロード(Solution Engine のみ) 始める前に データベースは、Netscape Web ブラウザが生成する Netscape cert7.db 証明書データベース ファイル でなければなりません。他のファイル名はサポートされません。Netscape cert7.db ファイルを生成 する方法については、Netscape のマニュアルを参照してください。 プライマリ LDAP サーバまたはセカンダリ LDAP サーバの証明書データベースをダウンロードす るには、次の手順を実行します。 (注) ステップ 1 証明書データベースのダウンロードは、LDAP 外部ユーザ データベースを設定するプロセスの一部 です。詳細については、P.12-34 の「汎用 LDAP 外部ユーザ データベースの設定」を参照してくだ さい。 Download Certificate Database ページにアクセスするには、次の手順を実行します。 a. ダウンロードする証明書データベースファイルを持つ LDAP サーバの情報が含まれた LDAP Database Configuration ページを開きます。 (注) すでに該当する LDAP Database Configuration ページが表示されている場合は、ステップ b に進みます。 b. ダウンロードする証明書データベース ファイルを持つ LDAP サーバで、Download Certificate Database をクリックします。 (注) 各 LDAP データベース設定のプライマリ LDAP サーバとセカンダリ LDAP サーバがリ ストされます。両方のサーバに対するセキュアな認証をサポートするには、証明書デー タベース ファイルをプライマリ LDAP サーバで 1 度、セカンダリ LDAP サーバで 1 度、 合せて 2 度ダウンロードする必要があります。 ステップ 2 FTP Server ボックスに、FTP サーバの IP アドレスまたはホスト名を入力します。FTP Server ボッ クスには最大で 512 文字まで入力できます。 Cisco Secure ACS Solution Engine ユーザ ガイド 12-52 OL-14386-01-J 第 12 章 ユーザ データベース 証明書データベースのダウンロード(Solution Engine のみ) (注) ホスト名を入力するには、使用しているネットワークで DNS が正常に動作している必要が あります。 ステップ 3 Login ボックスに有効なユーザ名を入力すると、FTP サーバにアクセスできるようになります。 Login ボックスには最大で 512 文字まで入力できます。 ステップ 4 Password ボックスに、Login ボックスで入力したユーザ名のパスワードを入力します。Password ボックスには最大で 512 文字まで入力できます。 ステップ 5 Directory ボックスに、Netscape cert7.db ファイルへのパスを入力します。このパスは、FTP サーバ へのログイン時の開始ディレクトリからの相対パスです。 たとえば、Netscape cert7.db ファイルが c:\ACS-files\LDAPcertdb に存在し、Login ボックスに入力 したユーザがその FTP セッションを c:\ で開始する場合は、ACS-files\LDAPcertdb と入力します。 Directory ボックスには最大で 512 文字まで入力できます。 ステップ 6 Download をクリックします。 Netscape cert7.db ファイルが FTP サーバからダウンロードされます。LDAP Database Configuration ページが表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 12-53 第 12 章 ユーザ データベース LEAP Proxy RADIUS Server データベース(プラットフォーム共通) LEAP Proxy RADIUS Server データベース(プラットフォーム共通) Cisco Aironet デバイス経由でネットワークにアクセスする ACS 認証済みユーザについて、ACS は、 プロキシ RADIUS サーバを使用した認証をサポートします。ACS がプロキシ RADIUS サーバでサ ポートする認証タイプについては、P.1-8 の「認証プロトコルとデータベースの互換性」を参照し てください。この機能は、独自の RADIUS ベースのユーザ データベースが MS-CHAP をサポート できても、LEAP/EAP-FAST をサポートできない場合に役立ちます。ACS は、LEAP/EAP-FAST プ ロトコル処理を管理し、MS-CHAP 認証だけをサーバに転送します。 ACS では、LEAP Proxy RADIUS Server 認証に MS-CHAP バージョン 1 を使用します。LEAP プロキ シの場合、MS-CHAP 認証だけが別個の RADIUS アクセス要求内のリモート サーバにプロキシされ ます。プロキシ RADIUS データベースを管理するには、RADIUS データベースのマニュアルを参照 してください。 LEAP プロキシ RADIUS サーバ認証を使用すると、MS-CHAP 認証をサポートする既存の Kerberos データベースに対してユーザを認証できます。LEAP Proxy RADIUS Server データベースを使用する と、MS-CHAP 認証をサポートするすべてのサードパーティ製 RADIUS サーバでユーザを認証でき ます。 (注) サードパーティ製 RADIUS サーバは、Microsoft RADIUS ベンダー固有 アトリビュート(VSA) MS-CHAP-MPPE-Keys(VSA 12)にある Microsoft Point-to-Point Encryption(MPPE)キーを返す必要が あります。サードパーティ製 RADIUS サーバによって MPPE キーが返されないと、認証は失敗し、 Failed Attempts ログにロギングされます。 ACS は、LEAP Proxy RADIUS Server データベースにより認証されたユーザに対する RADIUS ベー スのグループ指定をサポートします。RADIUS に基づいたグループ指定は、グループ マッピングよ り優先されます。詳細については、P.16-11 の 「RADIUS ベースのグループ指定」を参照してください。 ACS は、LEAP Proxy RADIUS Server データベースにより認証された未知ユーザに対するグループ マッピングをサポートします。RADIUS ベースのグループ指定が行われなかった場合にだけ、未知 ユーザにグループ マッピングが適用されます。LEAP Proxy RADIUS Server データベースで認証さ れたユーザに対するグループ マッピングの詳細については、P.16-2 の「外部ユーザ データベース によるグループ マッピング」を参照してください。 LEAP Proxy RADIUS Server 外部ユーザ データベースの設定 ACS でユーザを認証するように設定する前に、プロキシ RADIUS サーバをインストールして設定 する必要があります。プロキシ RADIUS サーバのインストール方法については、RADIUS サーバに 付属するマニュアルを参照してください。 LEAP プロキシ RADIUS 認証を設定するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの External User Databases をクリックします。 ステップ 2 Database Configuration をクリックします。 ACS によって、使用可能な外部ユーザ データベース タイプが一覧表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド 12-54 OL-14386-01-J 第 12 章 ユーザ データベース LEAP Proxy RADIUS Server データベース(プラットフォーム共通) ステップ 3 LEAP Proxy RADIUS Server をクリックします。 LEAP Proxy RADIUS Server が設定されていない場合は、Database Configuration Creation テーブルだ けが表示されます。設定されている場合は、Database Configuration Creation テーブルと External User Database Configuration テーブルが表示されます。 ステップ 4 設定を作成する場合は、次の手順を実行します。 a. Create New Configuration をクリックします。 b. 表示されたボックスに LEAP Proxy RADIUS Server 用の新しい設定名を入力するか、ボックスに 表示されたデフォルト名を採用します。 c. Submit をクリックします。 ACS によって、新しい設定が External User Database Configuration テーブルに追加されます。 ステップ 5 External User Database Configuration テーブルで、設定する LEAP Proxy RADIUS Server データベース の名前を選択します。 (注) LEAP Proxy RADIUS Server の設定が 1 つだけ存在する場合は、リストではなく、その設定 の名前が表示されます。ステップ 6 に進みます。 ステップ 6 Configure をクリックします。 ステップ 7 次のボックスに必要な情報を入力します。 • Primary Server Name/IP:プライマリ プロキシ RADIUS サーバの IP アドレス。 • Secondary Server Name/IP:セカンダリ プロキシ RADIUS サーバの IP アドレス。 • Shared Secret:プロキシ RADIUS サーバの共有秘密鍵。これは、プロキシ RADIUS サーバを設 定するときに使用した共有秘密鍵と同一である必要があります。 • Authentication Port:プロキシ RADIUS サーバが認証セッションを実行する UDP ポート。LEAP Proxy RADIUS サーバが ACS と同一の Windows サーバにインストールされている場合、この ポートには、ACS が RADIUS 認証に使用するポートと同一のポートを使用しないでください。 ACS が RADIUS に使用するポートの詳細については、P.1-5 の「RADIUS」を参照してください。 • Timeout (seconds)::認証試行がタイムアウトするまでの ACS の待機時間(秒単位)で、この 時間が経過するとユーザにタイムアウト通知を送信します。 • Retries:ACS が認証を試行する回数。この回数を超えるとセカンダリ プロキシ RADIUS サー バにフェールオーバーします。 • Failback Retry Delay (minutes):認証に失敗したプライマリ プロキシ RADIUS サーバを使用し て ACS が認証を試行するまでの経過時間(分単位)。 (注) プライマリ サーバとセカンダリ サーバで認証に失敗した場合は、ACS は、一方のサー バが応答するまで、サーバ間で交互に認証を試行します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 12-55 第 12 章 ユーザ データベース トークン サーバ ユーザ データベース ステップ 8 Submit をクリックします。 作成したプロキシ RADIUS トークン サーバ データベース設定が、ACS によって保存されます。こ のデータベースを未知ユーザ ポリシーに追加するか、または特定のユーザ アカウントに割り当て て認証に使用できます。未知ユーザ ポリシーの詳細については、P.15-3 の「未知ユーザ認証につい て」を参照してください。このデータベースを使用して認証を行うようにユーザ アカウントを設定 する方法の詳細については、第 6 章「ユーザ管理」を参照してください。 トークン サーバ ユーザ データベース ACS では、セキュリティを強化するために One-Time Password(OTP; ワンタイム パスワード)に よって提供されるトークン サーバの使用をサポートします。 ここでは、次の項目について説明します。 • トークン サーバと ACS について(P.12-56) • RADIUS 対応トークン サーバ(P.12-57) • RSA トークン カード クライアント ソフトウェアの使用(P.12-60) トークン サーバと ACS について ACS がトークン サーバでサポートする認証タイプについては、P.1-8 の「認証プロトコルとデータ ベースの互換性」を参照してください。 AAA クライアントからの要求は、最初に ACS に送られます。ACS がトークン サーバに対して認証 するように設定されていて、ユーザ名が検出された場合は、認証要求がトークン サーバに転送され ます。ユーザ名が検出されなければ、ACS は、未知のユーザを認証するように設定されているデー タベースをチェックします。認証要求が渡されると、承認された認証情報とともに該当する認可情 報が AAA クライアントに転送されます。その後、ACS はアカウンティング情報を保守します。 ACS for Windows のみ ACS は、このトークン サーバのクライアントとして動作します。RSA SecurID を除くすべてのトー クン サーバで、ACS はトークン サーバの RADIUS インターフェイスを使用してクライアントとし て動作します。ACS が RADIUS インターフェイスを使用してトークン サーバをサポートする方法 の詳細については、P.12-57 の「RADIUS 対応トークン サーバ」を参照してください。 RSA SecurID では、ACS は RSA 独自の API を使用します。RSA SecurID トークン サーバの ACS サ ポートの詳細については、P.12-60 の「RSA トークン カード クライアント ソフトウェアの使用」を 参照してください。 Solution Engine のみ ACS は、このトークン サーバのクライアントとして動作します。すべてのトークン サーバで、ACS はトークン サーバの RADIUS インターフェイスを使用してクライアントとして動作します。ACS が RADIUS インターフェイスを使用してトークン サーバをサポートする方法の詳細については、 P.12-57 の「RADIUS 対応トークン サーバ」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド 12-56 OL-14386-01-J 第 12 章 ユーザ データベース トークン サーバ ユーザ データベース トークン サーバと ISDN ACS は、ISDN ターミナル アダプタとルータのトークン キャッシュをサポートします。ISDN を使 用した OTP 認証にトークン カードを使用する際の不便な点は、 各 B チャネルにそれぞれ専用の OTP が必要になることです。したがって、ユーザは少なくとも 2 つの OTP に加えて、それ以外のログイ ン パスワード、たとえば Windows ネットワーキング用パスワードなどを入力する必要があります。 端末アダプタが 2 番目の B チャネルのオン / オフ切り替え機能をサポートしている場合は、2 番目 の B チャネルが使用されるたびに、ユーザは多数の OTP の入力が必要になる場合があります。 ACS は、ユーザが簡単に OTP を作成できるように、トークンをキャッシュします。つまり、最初 の B チャネル上でトークン カードを使用してユーザが認証されると、別の OTP を入力しなくても 2 番目の B チャネルを使用できる特定の期間を設定できます。2 番目の B チャネルがアップしてい る時間を制限することにより、2 番目の B チャネルへの不正アクセスのリスクが軽減されます。さ らに、最初のログイン時に入力された CHAP パスワードを使用するように 2 番目の B チャネルを設 定することで、セキュリティ上の問題が発生する可能性をさらに減少できます。最初の B チャネル が終了すると、キャッシュ トークンは消去されます。 RADIUS 対応トークン サーバ この項では、標準の RADIUS インターフェイスを提供するトークン サーバに対するサポートにつ いて説明します。 ここでは、次の項目について説明します。 • RADIUS 対応トークン サーバについて(P.12-57) • トークン サーバの RADIUS 認証要求と応答の内容(P.12-57) • RADIUS トークン サーバの外部ユーザ データベースの設定(P.12-58) RADIUS 対応トークン サーバについて ACS は、トークン サーバに組み込まれた RADIUS サーバを使用して、トークン サーバをサポート します。ACS は、ベンダー固有の API を使用する代わりに、標準の RADIUS 認証要求をトークン サーバ上の RADIUS 認証ポートに送信します。この機能により、ACS は、IETF RFC 2865 に準拠し たどのトークン サーバでもサポートできます。 RADIUS トークン サーバの複数のインスタンスを作成できます。上記のトークン サーバのいずれ かを使用してユーザを認証するように ACS を設定する方法については、P.12-58 の「RADIUS トー クン サーバの外部ユーザ データベースの設定」を参照してください。 ACS は、RADIUS 対応トークン サーバからの RADIUS 応答において、ユーザ グループ割り当てを 指定する手段を提供します。グループ指定は、常にグループ マッピングより優先されます。詳細に ついては、P.16-11 の「RADIUS ベースのグループ指定」を参照してください。 ACS は、RADIUS 対応トークン サーバによって認証されたユーザを、単一グループにマッピング することもできます。グループ マッピングは、グループ指定がない場合にだけ行われます。詳細に ついては、P.16-2 の「外部ユーザ データベースによるグループ マッピング」を参照してください。 トークン サーバの RADIUS 認証要求と応答の内容 ACS が RADIUS 対応トークン サーバに認証要求を転送する場合、RADIUS 認証要求には次のアト リビュートが含まれます。 • User-Name(RADIUS アトリビュート 1) • User-Password(RADIUS アトリビュート 2) Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 12-57 第 12 章 ユーザ データベース トークン サーバ ユーザ データベース • NAS-IP-Address(RADIUS アトリビュート 4) • NAS-Port(RADIUS アトリビュート 5) • NAS-Identifier(RADIUS アトリビュート 32) ACS では、次の 3 つの応答のうちのいずれか 1 つの受信を要求します。 • access-accept:アトリビュートは必要ありませんが、ユーザを割り当てる必要がある ACS グ ループを応答によって示すことができます。詳細については、P.16-11 の「RADIUS ベースのグ ループ指定」を参照してください。 • access-reject:アトリビュートは必要ありません。 • access-challenge:IETF RFC に準拠した、次のようなアトリビュートが必要です。 − State(RADIUS アトリビュート 24) − Reply-Message(RADIUS アトリビュート 18) RADIUS トークン サーバの外部ユーザ データベースの設定 次の手順を使用して、RADIUS トークン サーバの外部ユーザ データベースを設定します。 始める前に ACS でユーザ認証の設定を行う前に、RADIUS トークン サーバをインストールして設定する必要 があります。RADIUS トークン サーバのインストール方法については、トークン サーバに付属す るマニュアルを参照してください。 RADIUS トークン サーバを使用してユーザを認証するように ACS を設定するには、次の手順を実 行します。 ステップ 1 ナビゲーション バーの External User Databases をクリックします。 ステップ 2 Database Configuration をクリックします。 ACS によって、使用可能な外部ユーザ データベース タイプが一覧表示されます。 ステップ 3 RADIUS Token Server をクリックします。 Database Configuration Creation テーブルが表示されます。少なくとも 1 つの RADIUS トークン サー バ設定が存在する場合は、External User Database Configuration テーブルも表示されます。 ステップ 4 設定を作成する場合は、次の手順を実行します。 a. Create New Configuration をクリックします。 b. 表示されたボックスに RADIUS 対応トークン サーバ用の新しい設定名を入力するか、ボック スに表示されたデフォルト名を採用します。 c. Submit をクリックします。 ACS によって、新しい設定が External User Database Configuration テーブルに追加されます。 ステップ 5 External User Database Configuration テーブルで、設定する RADIUS 対応トークン サーバの名前を選 択します。 (注) RADIUS 対応トークン サーバ 設定が 1 つだけ存在する場合は、リストではなく、その設定 の名前が表示されます。ステップ 6 に進みます。 Cisco Secure ACS Solution Engine ユーザ ガイド 12-58 OL-14386-01-J 第 12 章 ユーザ データベース トークン サーバ ユーザ データベース ステップ 6 Configure をクリックします。 ステップ 7 RADIUS Configuration テーブルで、次のボックスに必要な情報を入力します。 • Primary Server Name/IP:プライマリ RADIUS トークン サーバのホスト名または IP アドレス。 ホスト名を指定する場合は、DNS で解決可能なホスト名を使用します。 • Secondary Server Name/IP:セカンダリ RADIUS トークン サーバのホスト名または IP アドレ ス。ホスト名を指定する場合は、DNS で解決可能なホスト名を使用します。 • Shared Secret:RADIUS サーバの共有秘密鍵。これは、RADIUS トークン サーバを設定すると きに使用した共有秘密鍵と同一である必要があります。 • Authentication Port:RADIUS サーバが認証セッションを実行する UDP ポート。RADIUS トー クン サーバが ACS と同じ Windows サーバにインストールされている場合、このポートには、 ACS が RADIUS 認証に使用するポートと同一のポートを使用しないでください。ACS が RADIUS に使用するポートの詳細については、P.1-5 の「RADIUS」を参照してください。 (注) ACS が RADIUS OTP メッセージを RADIUS 対応トークン サーバに送信するには、 RADIUS 対応トークン サーバと ACS の間のゲートウェイ デバイスが、Authentication Port ボックスで指定された UDP ポートを介した通信を許可するように設定されている 必要があります。 • Timeout (seconds)::ACS が RADIUS トークン サーバからの応答を待つ時間(秒単位)。この時 間が経過すると、認証要求を再試行します。 • Retries:ACS が認証を試行する回数。この回数を超えるとセカンダリ RADIUS トークン サー バにフェールオーバーします。 • Failback Retry Delay (minutes):プライマリ サーバが認証に失敗したときに、ACS がセカンダ リ サーバに認証要求を送信するまでの時間(分単位)。この時間が経過すると、ACS はプライ マリ サーバに対する認証要求の送信に戻ります。 (注) プライマリ サーバとセカンダリ サーバで認証に失敗した場合は、ACS は、一方のサー バが応答するまで、サーバ間で交互に認証を試行します。 ステップ 8 TACACS+ AAA クライアントへの shell ログインを行うトークン ユーザをサポートする場合は、 TACACS+ Shell Configuration テーブル内のオプションを設定する必要があります。次のいずれか 1 つの手順を実行します。 • トークンのカスタム プロンプトを表示するように設定するには、Static (sync and async tokens) を選択してから、Prompt ボックスに、ACS が表示するプロンプトを入力します。 たとえば、Prompt ボックスに Enter your PassGo token と入力すると、パスワード プロンプト ではなく Enter your PassGo token プロンプトがユーザに表示されます。 (注) このサーバに送信されるトークンの一部が同期トークンの場合は、Static (sync and async tokens) オプションをクリックする必要があります。 • ACS がトークン サーバにパスワードを送信してチャレンジをトリガーするように設定するに は、From Token Server (async tokens only) を選択してから、Password ボックスに、ACS がトー クン サーバに転送するパスワードを入力します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 12-59 第 12 章 ユーザ データベース トークン サーバ ユーザ データベース たとえば、チャレンジを呼び出すためにトークン サーバが文字列 challengeme を要求する場合 は、Password ボックスに、challengeme と入力する必要があります。ユーザには、ユーザ名プ ロンプトとチャレンジ プロンプトが表示されます。 ヒント (注) ステップ 9 ほとんどのトークン サーバは、チャレンジ プロンプトを送信するトリガーとしてブラン ク パスワードを受け入れます。 このトークン サーバに送信されるすべてのトークンが非同期トークンである場合にだけ、 From Token Server (async tokens only) オプションをクリックします。 Submit をクリックします。 作成した RADIUS トークン サーバ データベース設定が、ACS によって保存されます。このデータ ベースを未知ユーザ ポリシーに追加するか、または特定のユーザ アカウントに割り当てて認証に 使用できます。未知ユーザ ポリシーの詳細については、P.15-3 の「未知ユーザ認証について」を参 照してください。このデータベースを使用して認証を行うようにユーザ アカウントを設定する方法 の詳細については、第 6 章「ユーザ管理」を参照してください。 RSA トークン カード クライアント ソフトウェアの使用 ACS は、RSA トークン サーバによって認証されたユーザを、単一グループにマッピングします。 詳細については、P.16-2 の「外部ユーザ データベースによるグループ マッピング」を参照してく ださい。 ACS では、RSA SecurID トークン サーバのトークン カード クライアントとして動作することで、 RSA SecurID トークン サーバの PPP(ISDN および非同期)および Telnet をサポートします。この クライアントを使用するには、ACS を実行しているコンピュータに RSA トークン カード クライア ント ソフトウェアをインストールする必要があります。ACS を実行しているコンピュータに RSA クライアントを正常にインストールするには、次の手順を実行します。 ACS では、ユーザの認証のための RSA SecurID トークン サーバ カスタム インターフェイスをサ ポートしています。ACS 内に作成できる RSA SecurID 設定は 1 つです。 ACS for Windows 始める前に ACS でユーザ認証の設定を行う前に、RSA SecurID トークン サーバをインストールして設定する必 要があります。RSA SecurID サーバのインストール方法については、トークン サーバのマニュアル を参照してください。 適切な RSA ACE クライアントがあることを確認します。 RSA トークン サーバを使用してユーザを認証するように ACS を設定するには、次の手順を実行し ます。 ステップ 1 ACS を実行しているコンピュータに RSA クライアントをインストールします。 a. 管理特権のあるユーザ名を使って、ACS を実行しているコンピュータにログインします。 Cisco Secure ACS Solution Engine ユーザ ガイド 12-60 OL-14386-01-J 第 12 章 ユーザ データベース トークン サーバ ユーザ データベース b. RSA のセットアップ手順に従って、ACE クライアント ソフトウェアのセットアップ プログラ ムを実行します。 (注) インストールの完了時に Windows を再起動しないでください。 c. /sdi/ace/data などの ACE Server データ ディレクトリを見つけます。 d. sdconf.rec という名前のファイルを取得して、Windows ディレクトリ %SystemRoot%\system32 に置きます。 次の例を参考にしてください。 \winnt\system32 e. ACE サーバ ホスト名が、次の Windows ローカル ホスト ファイルにあることを確認します。 \Windows directory\system32\drivers\etc\hosts f. ACS を実行しているコンピュータを再起動します。 g. ACE クライアント アプリケーションの Test Authentication 機能を実行して、接続を確認します。 この機能は、コントロール パネルから実行できます。 ステップ 2 ナビゲーション バーの External User Databases をクリックします。 ステップ 3 Database Configuration をクリックします。 ACS によって、使用可能な外部ユーザ データベース タイプが一覧表示されます。 ステップ 4 RSA SecurID Token Server をクリックします。 RSA SecurID トークン サーバが設定されていない場合は、Database Configuration Creation テーブル が表示されます。設定されている場合は、External User Database Configuration ページが表示されます。 ステップ 5 設定を作成する場合は、次の手順を実行します。 a. Create New Configuration をクリックします。 b. 表示されたボックスに RSA SecurID トークン サーバ用の新しい設定名を入力するか、ボックス に表示されたデフォルト名を採用します。 c. Submit をクリックします。 ACS によって、新しい設定が External User Database Configuration テーブルに追加されます。 ステップ 6 Configure をクリックします。 ACS には、トークン サーバの名前と、認証者の Dynamic Link Library(DLL; ダイナミック リンク ライブラリ)へのパスが表示されます。この情報によって、ACS が RSA クライアントに接続可能 なことを確認します。RSA SecurID 外部ユーザ データベースを未知ユーザ ポリシーに追加したり、 特定のユーザ アカウントに割り当てて、このデータベースを認証に使用したりすることができま す。未知ユーザ ポリシーの詳細については、P.15-3 の「未知ユーザ認証について」を参照してくだ さい。このデータベースを使用して認証を行うようにユーザ アカウントを設定する方法の詳細につ いては、第 6 章「ユーザ管理」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 12-61 第 12 章 ユーザ データベース トークン サーバ ユーザ データベース ACS for Solution Engine ステップ 1 ナビゲーション バーの External User Databases をクリックします。 ステップ 2 Database Configuration をクリックします。 ACS によって、使用可能な外部ユーザ データベース タイプが一覧表示されます。 ステップ 3 RSA SecurID Token Server をクリックします。 CiscoSecure ACS to RSA SecurID Configuration ページが表示されます。 ステップ 4 Upload sdconf.rec を選択して、ACE サーバ データ ディレクトリからトークン サーバ ファイルを アップロードします。 FTP Setup Page が表示されます。次の情報を入力します。 a. FTP サーバ アドレス。 b. ログイン名。 c. パスワード。 d. sdconf.rec ファイルがあるディレクトリ。 e. 復号化パスワード。 (注) 復号化パスワードは、FTP サーバの Encryption Password ボックスで指定したパスワードと 完全に一致している必要があります。 f. Submit をクリックします。 ステップ 5 Purge Node Secret を選択して、既存の設定をすべて削除します。 ACS によって、新しい設定が External User Database Configuration テーブルに追加されます。 LDAP グループ マッピングによる RSA 認証 LDAP グループ マッピング設定を使用して、ネイティブ モードでの RSA による認証およびグルー プ マッピングを実行できます。認可は、ユーザの LDAP グループ メンバーシップに基づいて制御 されます。RSA のネイティブ モードの認証が成功すると、グループ マッピングが LDAP で実行さ れます。ユーザのグループは、グループ マッピングの設定に基づいて適用されます。 (注) LDAP グループ マッピングを使用して RSA 認証を設定する前に、このタイプの外部データベース をサポートするために必要なサードパーティの DLL が正常にインストールされ、設定されている ことを確認してください。 Cisco Secure ACS Solution Engine ユーザ ガイド 12-62 OL-14386-01-J 第 12 章 ユーザ データベース トークン サーバ ユーザ データベース ACS for Windows LDAP グループ マッピングを使用して RSA 認証を設定するには、次の手順を実行します。 ステップ 1 (注) Windows 用の RSA クライアントをインストールします。 RSA クライアントはローカル PC にはインストールしないことをお勧めします。 ステップ 2 sdconf.rec ファイルを /system32 ディレクトリにコピーします。 ステップ 3 CSAuth と CSAdmin を再起動します。 ステップ 4 ナビゲーション バーの External User Databases をクリックします。 ステップ 5 Database Configuration をクリックします。 ACS によって、使用可能な外部ユーザ データベース タイプが一覧表示されます。 ステップ 6 RSA SecurID Token and LDAP Group Mapping をクリックします。 External Database Configuration ページが表示されます。 ステップ 7 Configure をクリックします。 Solution Engine のみ RSA クライアント DLL を Solution Engine イメージにアップロードし、LDAP グループ マッピング を使用して RSA 認証を設定する必要があります。sdconf.rec ファイルは、aceclnt.dll インターフェイ スを介して RSA ACE サーバと連携動作します。DLL ファイルをアップロードしたら、ノード シー クレットを削除できます。ノード シークレットの削除は、RSA サーバで設定の変更が行われた場 合に便利です。 RSA サーバ クライアント ソフトウェア バージョン 6.1 [aceclnt.dll] は、アプライアンス イメージに 含まれています。サーバ クライアント ソフトウェアを使用することで、RSA クライアント ソフト ウェアをインストールせずに、RSA ネイティブ トークン カードを使用して認証を行うことができ ます。sdconf.rec ファイルおよびノード シークレットには、ACS Web インターフェイスを使用して 変更を加えることができます。RSA クライアント ソフトウェアは必要ありません。 (注) ACS は、RSA サーバではノード シークレットの配信が自動に設定されていることを想定します。 LDAP グループ マッピングを使用して RSA 認証を設定するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの External User Databases をクリックします。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 12-63 第 12 章 ユーザ データベース トークン サーバ ユーザ データベース ステップ 2 Database Configuration をクリックします。 ACS によって、使用可能な外部ユーザ データベース タイプが一覧表示されます。 ステップ 3 RSA SecurID Token and LDAP Group Mapping をクリックします。 External Database Configuration ページが表示されます。 ステップ 4 Configure をクリックします。 ステップ 5 Configure Native RSA をクリックします。 ステップ 6 Upload sdconf.rec を選択して、ACE サーバ データ ディレクトリからトークン サーバ ファイルを アップロードします。 FTP Setup Page が表示されます。次の情報を入力します。 a. FTP サーバ アドレス。 b. ログイン名。 c. パスワード。 d. sdconf.rec ファイルがあるディレクトリ。 e. 復号化パスワード。 (注) 復号化パスワードは、FTP サーバの Encryption Password ボックスで指定したパスワードと 完全に一致している必要があります。 ステップ 7 Purge Node Secret を選択して、既存の設定をすべて削除します。 ステップ 8 ポート マッパをアップデートします。 Cisco Secure ACS Solution Engine ユーザ ガイド 12-64 OL-14386-01-J 第 12 章 ユーザ データベース 外部ユーザ データベース設定の削除 外部ユーザ データベース設定の削除 特定の外部ユーザ データベース設定が必要でなくなった場合は、ACS から削除できます。 外部ユーザ データベース設定を削除するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの External User Databases をクリックします。 ステップ 2 Database Configuration をクリックします。 ACS によって、使用可能な外部ユーザ データベース タイプが一覧表示されます。 ステップ 3 設定を削除する外部ユーザ データベース タイプをクリックします。 External User Database Configuration テーブルが表示されます。 ステップ 4 リストが External User Database Configuration テーブルに表示された場合は、削除する設定を選択し ます。表示されない場合は、ステップ 5 に進みます。 ステップ 5 Delete をクリックします。 確認ダイアログボックスが表示されます。 ステップ 6 OK をクリックして、選択した外部ユーザ データベース設定を削除することを確認します。 選択した外部ユーザ データベース設定が ACS から削除されます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 12-65 第 12 章 ユーザ データベース 外部ユーザ データベース設定の削除 Cisco Secure ACS Solution Engine ユーザ ガイド 12-66 OL-14386-01-J C H A P T E R 13 ポスチャ確認 Cisco Secure Access Control Server Release 4.2(以降は ACS と表記)が幅広い Cisco Network Access Control(NAC; ネットワーク アクセス コントロール)ソリューションの一部として展開される場 合、ACS ではポスチャ確認をサポートします。 この章は、次の項で構成されています。 • ポスチャ確認とは(P.13-1) • ネットワーク アクセス コントロールでのポスチャ確認(P.13-2) • ポスチャ確認とネットワーク アクセス プロファイル(P.13-3) • ポスチャ トークン(P.13-4) • ポスチャ確認プロセス(P.13-5) • ポリシーの概要(P.13-6) • 内部ポリシー(P.13-9) • 外部ポリシー(P.13-10) • 外部ポスチャ確認監査サーバ(P.13-11) • ACS での NAC の設定(P.13-15) • NAC および NAP 環境の ACS の設定(P.13-17) • ポリシーの設定(P.13-18) (内部、外部、および監査サーバを含む) • Posture Validation ページのリファレンス(P.13-35) ポスチャ確認とは ポスチャという用語は、ネットワークへのアクセスを求めるエンドポイント デバイスの実行および 「健全性」に関与するアトリビュートの集合を表します。このようなアトリビュートには、エンド ポイントのデバイス タイプやオペレーティング システムに関連するアトリビュート、およびエン ドポイント上のさまざまなセキュリティ アプリケーション(AntiVirus(AV; アンチウイルス)検出 ソフトウェアなど)に属するアトリビュートがあります。 ポスチャ確認では、エンドポイントに関連付けられているポスチャ データに規則のセットを適用し ます。結果として、そのエンドポイントに対する信頼レベルのアセスメントが得られます。Healthy または Infected などのポスチャ トークンは、エンドポイントの状態を表します。 ポスチャ トークンは、ネットワーク アクセスの認可規則における条件の 1 つになります。ポスチャ 確認を従来のユーザ認証と併せて使用することで、エンドポイントおよびユーザの完全なセキュリ ティ アセスメントを実現します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 13-1 第 13 章 ポスチャ確認 ネットワーク アクセス コントロールでのポスチャ確認 ネットワーク アクセス コントロールでのポスチャ確認 ポスチャ確認は、ネットワーク アクセス コントロール(NAC)で使用できます。NAC は、ネット ワーク インフラストラクチャを使用して、ネットワーク コンピューティング リソースへのアクセ スを求めるすべてのデバイスをセキュリティ ポリシーに適合させます。 セキュリティ ポリシーでは、新たなセキュリティの脅威による損害を抑えます。NAC を使用する ことにより、ポリシーに準拠した信頼できるエンドポイント デバイス(PC、サーバ、PDA など) に対してのみネットワーク アクセスを許可し、準拠しないデバイスのアクセスを制限することがで きます。NAC ソリューションの詳細については、http://www.cisco.com/go/NAC を参照してください。 図 13-1 に、ポスチャ確認を含む、一般的な NAC 展開のコンポーネントを示します。 一般的な NAC 展開のコンポーネント NAD ACS AAA 138890 図 13-1 一般的な NAC コンポーネントは次のとおりです。 • エンドユーザまたはホスト:エンドポイントとも呼ばれます。エンドポイントとは、スイッチ、 アクセス ポイント、またはルータに直接接続される PC、ワークステーション、サーバなどの デバイスです。NAC 展開において Cisco Trust Agent アプリケーションを実行するホストは、コ ンピュータから、さらにはコンピュータにインストール済みの NAC 準拠アプリケーションか ら、ポスチャ データを収集します。ポスチャ クレデンシャルの詳細については、P.13-7 の「ポ スチャ確認アトリビュートのデータ タイプ」を参照してください。 NAC 準拠アプリケーションの例には、CSA の他に、Network Associates、Symantec、または Trend Micro のアンチウイルス プログラムがあります。これらのアプリケーションは、ウイルス定義 ファイルのバージョン番号など、アプリケーションそのものに関するアトリビュートを Cisco Trust Agent に提供します。 NAC Agentless Host(NAH; NAC エージェントレス ホスト)とは、Cisco Trust Agent アプリケー ションを実行していないエンドポイントです。 • Network Access Device(NAD; ネットワーク アクセス デバイス) :NAC 展開において AAA ク ライアントは NAD と呼ばれます。NAD は、NAC 適用ポイントとして機能するルータやスイッ チなど、シスコのネットワーク アクセス デバイスです。 • ACS:ACS は内部ポリシー、外部ポリシー サーバ、またはその両方を使用して、ポスチャ ク レデンシャルが転送されるエンドポイント デバイスの確認を行います。 • 外部ポスチャ確認サーバ:これらはポスチャ確認を実行し、ポスチャ トークンを ACS に返し ます。エージェントレス ホストのある NAC 展開では、特別な種類のポスチャ確認サーバ(監 査サーバと呼ばれる)のサービスを呼び出すように ACS を設定できます。監査サーバは、ポー ト スキャンなど、範囲外の方法を使用してエンドポイント デバイスの健全性を確認し、その 結果をポスチャ トークンとして ACS に報告します。 • 感染修復サーバ:ネットワーク アドミッションの要件を満たさないホストに対して修復やアッ プグレードのサービスを提供します。 Cisco Secure ACS Solution Engine ユーザ ガイド 13-2 OL-14386-01-J 第 13 章 ポスチャ確認 ポスチャ確認とネットワーク アクセス プロファイル ポスチャ確認とネットワーク アクセス プロファイル プロファイルベースのポリシーのパラダイムを理解するためには、Network Access Profile(NAP; ネットワーク アクセス プロファイル)を理解する必要があります。基本的にプロファイルとは、一 般的なポリシーを適用するために、ネットワーク アクセス要求を分類するものです。プロファイル ベースのポリシーには、認証、認可、およびポスチャ確認のための規則が含まれます。 認可規則は Posture Validation ではなく、Network Access Profiles タブで設定するようになりました。 NAP の認可を使用すると、同一の RADIUS アトリビュートをプロビジョニングして、異なるユー ザ、グループ、およびプロファイルに対し別の値を設定できます。1 ユーザ 1 グループ 1 プロファ イルという方針は、代わりにプロファイルベースのポリシーを使用することで、さらに柔軟になり ました。 ポスチャ確認規則を設定した後は、その規則をネットワーク アクセス プロファイルに関連付ける 必要があります。詳細な手順については、P.14-32 の「ポスチャ確認ポリシーの設定」を参照して ください。 プロファイルベースのポリシーの詳細については、P.14-2 の「NAP の概要」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 13-3 第 13 章 ポスチャ確認 ポスチャ トークン ポスチャ トークン ポスチャ トークンは、エンドポイント デバイスの状態、またはコンピュータにインストールされ た NAC 準拠アプリケーションの状態を示します。ACS は、次の 2 種類のポスチャ トークンを認識 します。 • System Posture Token(SPT; システム ポスチャ トークン)は、コンピュータの状態を示します。 • Application Posture Token(APT; アプリケーション ポスチャ トークン)は、NAC 準拠のアプリ ケーションの状態を示します。 ACS は、要求に適用されたすべてのポリシーから得られた APT どうしを比較して、各要求の SPT を判別します。最も重大な APT が SPT になります。 表 13-1 に、設定変更できない事前定義済みの 6 つのポスチャ トークンを示します。これらは、シ ステム ポスチャ トークンとアプリケーション ポスチャ トークンに使用されます。ポスチャ トーク ンを、最小の重大度から順に示します。 表 13-1 ACS ポスチャ トークン トークン 説明 Healthy エンドポイント デバイスは現在必要なクレデンシャルに準拠しているため、この デバイスを制限する必要はありません。 Checkup エンドポイント デバイスはポリシーの範囲内にありますが、セキュリティ ソフト ウェアが最新ではありません。アップデートすることを推奨します。予防的にホ ストを Healthy 状態に修復するために使用します。 Transition エンドポイント デバイスはポスチャのチェック処理中です。仮のアクセスが与え られ、完全なポスチャ確認による結果は保留されています。すべてのサービスが 実行されていない可能性のあるホストのブート中、または監査結果がまだ利用で きない場合に該当します。 Quarantine エンドポイント デバイスはポリシーの範囲外にあり、修復ネットワークに制限す る必要があります。デバイスは実際に他のホストに脅威を与えてはいませんが、攻 撃や感染の恐れがあるため、早急にアップデートする必要があります。 Infected エンドポイント デバイスは、実際に他のホストに対する脅威となっています。ネッ トワーク アクセスを厳しく制限して修復するか、すべてのネットワーク アクセス を完全に拒否する必要があります。 Unknown エンドポイント デバイスのポスチャ クレデンシャルを判別できません。ホストを 隔離して監査するか、あるいは最終的なポスチャを判別できるまで修復します。 ACS 側から見ると、認可規則に設定されたアクションが SPT の意味を決定します。これらのアク ションによって、RADIUS Authorization Component(RAC; RADIUS 認可コンポーネント)、 Downloadable Access-Control list(DACL; ダウンロード可能アクセス コントロール リスト)、または その両方がトークンに関連付けられます。また、認可規則では条件の一部としてユーザ グループを 指定できます。RAC の設定の詳細については、P.4-12 の「RADIUS 認可コンポーネントの追加」を 参照してください。認可規則をネットワーク アクセス プロファイルの一部として設定する方法の 詳細については、P.14-2 の「アクセス要求の分類」を参照してください。 ポスチャ確認要求の結果、アクセスが厳しく拒否されない SPT が生成された場合は、Passed Authentications ログに記録されます。ポスチャ確認要求の結果、アクセスが拒否される SPT が生成 された場合は、Failed Attempts ログに記録されます。ロギングとレポートの詳細については、P.10-40 の「アカウンティング ログでのアップデート パケット」を参照してください。 ACS は APT だけを使用して SPT を判別します。しかし、ポスチャ確認の結果を受信するエンドポ イント デバイスでは、関連する NAC 準拠アプリケーションにとっての意味に基づいて APT を使用 できます。 Cisco Secure ACS Solution Engine ユーザ ガイド 13-4 OL-14386-01-J 第 13 章 ポスチャ確認 ポスチャ確認プロセス ポスチャ確認プロセス ACS は、エンドポイント コンピュータから受信したポスチャ アトリビュートを評価します。次に 示す概要は、ポスチャ確認に関する手順とシステムの説明です。ポスチャ トークンやポリシーな ど、さまざまな概念の詳細については、下記のトピックを参照してください。 1. ネットワーク イベント(たとえば NAD 上で EoU ACL によって取得されたトラフィック)の 後、NAD はエンドポイントとの EAP カンバセーションを開始し、EAP メッセージをエンドポ イントから ACS に転送します。 2. ACS は、PEAP または EAP-FAST(ACS の設定およびエンドポイントのサポートによって異な る)を使用して、ホストとのセキュア カンバセーションを確立します。 3. (EAP-FAST の場合のみ、オプション)ACS はエンドユーザを認証します。 4. ACS はエンドポイントにポスチャ アトリビュートを問い合せます。応答でエンドポイントはポ スチャ アトリビュートを ACS に送信します。 5. ACS はポスチャ アトリビュートの評価を内部で実行し、場合によっては外部ポスチャ確認サー バを使用します。評価の結果はアプリケーション ポスチャ トークン(APT)のセットになりま す。次に ACS は、最も重大な APT を使用してシステム ポスチャ トークン(SPT)を評価します。 6. ネットワーク アクセス プロファイルに設定された認可規則に基づいて、ACS がエンドポイン ト コンピュータに、システム ポスチャ トークンと、ポスチャ確認要求に適用した各ポリシー の結果を送信した後、EAP セッションを終了します。評価に基づき、ACS はアクセス制限に応 じてクライアントにネットワーク アクセスを許可します。あるいは、準拠しないデバイスにつ いて、アクセスを拒否したり、隔離されたネットワーク セグメントに配置したり、コンピュー ティング リソースへの制限付きアクセスを与えたりすることができます。 RAC 内の各種 RADIUS アトリビュート(ユーザのグループと組み合せることが可能)、ダウン ロード可能 ACL、および url-redirect か status-query-timeout を使用して、認可規則にさまざ まなタイプの制限を設定できます。 7. ACS が共有 RAC での設定どおりに RADIUS アトリビュートを AAA クライアントに送信しま す。このアトリビュートには、ACL や、Cisco IOS/PIX 6.0 RADIUS アトリビュート Cisco-AV-Pair で設定されたアトリビュート値のペアが含まれます。 8. ACS がポスチャ確認要求の結果を記録します。要求が拒否されなかった場合、ACS は結果を Passed Authentications ログに記録します(イネーブルになっている場合)。要求が拒否された場 合(たとえば、認可ポリシーによって拒否された場合や、一致する必須クレデンシャル タイプ を持つポスチャ確認規則がなかった場合など)、ACS は結果を Failed Attempts ログに記録しま す。 エンドポイントは、自身の設定に従って、ポスチャ確認要求の結果を処理します。AAA クライ アントは、自身の RADIUS 応答に、ACS で指定されたとおりにネットワーク アクセスを適用 します。ユーザは、プロファイルを設定し、ポスチャ確認の結果として判別されたシステム ポ スチャ トークンに基づいて、認可とネットワーク アクセス制御を定義します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 13-5 第 13 章 ポスチャ確認 ポリシーの概要 ポリシーの概要 ここでは、次の項目について説明します。 • ポスチャのクレデンシャルとアトリビュートについて(P.13-6) • 拡張アトリビュート(P.13-7) • ポスチャ確認アトリビュートのデータ タイプ(P.13-7) ACS を使用して、内部または外部のポスチャ確認ポリシーを設定することができます。このポリ シーは、ユーザ(または外部サーバ)によってポリシーに設定された規則を確認した後で、ポス チャ トークンおよびアクションを返します。 ポリシーは再使用が可能です。つまり、単一のポリシーを複数のネットワーク アクセス プロファ イルに関連付けることができます。たとえば、NAC 実装において、NAI ソフトウェアを使用する エンドポイント用と、Symantec ソフトウェアを使用するエンドポイント用に 2 つのプロファイルが 必要な場合、どちらのアンチウイルス アプリケーションがインストールされていても、エンドポイ ントのオペレーティング システムに関する同一の規則を適用することが必要になる場合がありま す。オペレーティング システムに関する規則を適用する単一のポリシーを作成し、Symantec と NAI のサーバ情報に関連付けることができます。 ポリシーを適用した結果は次のとおりです。 • ポスチャ アセスメント:ポリシーの評価結果が適用されるクレデンシャル タイプおよび NAC 準拠アプリケーション • トークン:結果クレデンシャル タイプによって定義されたエンドポイントとアプリケーション のポスチャを表す 6 つの定義済みトークンのいずれか • 通知文字列:ポスチャ アセスメントによって定義されたアプリケーションへのポスチャ確認応 答に含まれるオプションのテキスト文字列 ポスチャのクレデンシャルとアトリビュートについて ポスチャ確認に使用されるクレデンシャルは、エンドポイントから ACS へ送信されるアトリビュー ト セットです。受信アトリビュートとも呼ばれるこのアトリビュートには、コンピュータのポス チャを判別するポスチャ確認の際に使用されるデータが含まれています。ACS では、各 NAC 準拠 アプリケーションからのアトリビュートと、Cisco Trust Agent からのアトリビュートは、異なるク レデンシャル タイプと見なされます。 ACS によって確認用に作成されるポリシーを使用する場合、作成する規則は、受信アトリビュート の内容を使用し、ポリシーを適用した結果返される APT を判別します。外部サーバによって確認 用に作成されるポリシーを使用する場合、ACS は、指定されたクレデンシャル タイプを外部 NAC サーバに転送します。どちらの場合も、受信アトリビュートの内容には、ポスチャの判別と、コン ピュータのネットワーク アドミッションの制御に使用される情報が含まれています。 ACS は、エンドポイントへの応答に NAC アトリビュートを使用します。このアトリビュートは、 送信アトリビュートと呼ばれます。たとえば、APT と SPT は、アトリビュートに格納され、エン ドポイントに送信されます。 クレデンシャル タイプは、ベンダー ID とアプリケーション ID という 2 つの ID によって一意に識 別されます。ベンダー ID は、IANA Assigned Numbers RFC の中でベンダーに割り当てられた番号で す。たとえば、9 というベンダー ID は、シスコシステムズに対応します。ベンダーは、供給する NAC アプリケーションに番号を割り当てています。たとえば、シスコのアプリケーションの場合、 1 というアプリケーション ID は Cisco Trust Agent に対応します。Web インターフェイスで、ポリ シーの結果クレデンシャル タイプを指定する場合、ベンダーおよびアプリケーションに割り当てた 名前によって、Cisco Trust Agent のクレデンシャル タイプが識別されます。たとえば、Cisco Trust Cisco Secure ACS Solution Engine ユーザ ガイド 13-6 OL-14386-01-J 第 13 章 ポスチャ確認 ポリシーの概要 Agent のクレデンシャル タイプは、Cisco:PA(PA はポスチャ エージェントのことで、Cisco Trust Agent の別の表現)です。ポスチャ確認に応答する場合、ACS は、9 と 1 の数字 ID を使用します。 これらの数字は、それぞれシスコと Cisco Trust Agent の ID です。 アトリビュートは、ベンダー ID、アプリケーション ID、およびアトリビュート ID という 3 つの ID によって一意に識別されます。ベンダーおよびアプリケーションの一意の組み合せの場合も、番号 がそれぞれ割り当てられたアトリビュート セットが存在します。ACS がエンドポイントと通信す る場合、ID は数字になります。Web インターフェイスで、内部ポリシーの規則を指定する場合、ア トリビュートは、ベンダー、アプリケーション、およびアトリビュートに割り当てられた名前で識 別されます。たとえば、オペレーティング システムのバージョンに対応する Cisco Trust Agent アト リビュートは、Cisco:PA:OS-Version です。ACS が受信するデータでは、9、1、6 の数字 ID によっ てアトリビュートが識別されます。これらの ID は、それぞれシスコ、Cisco Trust Agent、および Cisco Trust Agent の 6 番目のアトリビュートに対応します。 内部ポリシーの規則で使用されるデータ タイプや演算子など、アトリビュートに関する詳細につい ては、P.13-7 の「ポスチャ確認アトリビュートのデータ タイプ」を参照してください。CSUtil.exe を使用して、カスタム RADIUS ベンダーと VSA 設定を追加および設定できます。CSUtil.exe を使 用したポスチャ確認アトリビュートのエクスポート、追加、または削除については、P.C-23 の「ユー ザ定義の RADIUS ベンダーと VSA のセット」を参照してください。 拡張アトリビュート 拡張アトリビュートを使用すると、Linux クライアントをサポートし、各種 Linux パッケージに固 有の条件を設定することができます。たとえば、openssl パッケージ版に対応する条件を設定でき ます。 これらの Linux パッケージ用の値は、Entity フィールドに入力します。Entity フィールドは、アトリ ビュートのドロップダウン リストから拡張アトリビュートを入力するときに使用可能になります。 その後、ドロップダウン リストからエンティティを選択できます。 たとえば、拡張アトリビュートの Cisco:Host:Package:Version アトリビュートを選択すると、シ ステム(ACS)で設定済みの Linux パッケージがすべて Entity ドロップダウン リストに表示されま す。 拡張アトリビュートを追加または削除できます。 ACS for Windows の場合、CSUtil.exe コマンドを使用します。詳細については、P.C-36 の「ポスチャ 確認アトリビュート」を参照してください。 ACS SE の場合、Web インターフェイスの NAC Attributes Management ページを使用します。詳細な 手順については、P.8-49 の「NAC Attribute Management(ACS SE のみ)」を参照してください。 ポスチャ確認アトリビュートのデータ タイプ ポスチャ確認アトリビュートは、次のいずれかのデータ タイプになります。 • ブール:アトリビュートには、1 または 0(ゼロ)の値が含まれます。HTML インターフェイ スで、ブール アトリビュートを使用して規則要素を定義する場合、有効な入力語は false と true です。有効な演算子は、=(等しい)と !=(等しくない)です。ブール アトリビュートを 使用した規則要素が評価される場合、false は 0(ゼロ)値に対応し、true は 1 に対応します。 たとえば、ブール アトリビュートの規則要素において、アトリビュートが false に等しくない ことを要求した場合、特定のポスチャ確認要求内のアトリビュートが 1 になると、ACS はその 規則要素を true と評価します。ただし、混乱を避けるため、アトリビュートが true に等しい ことを要求して、規則要素をよりわかりやすい表現にします。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 13-7 第 13 章 ポスチャ確認 ポリシーの概要 • 文字列:アトリビュートには、文字列を含めることができます。有効な演算子は、=(等しい)、 !=(等しくない) 、contains、starts-with、および正規表現です。 • 整数:アトリビュートには、符号付き整数など、整数を含めることができます。有効な演算子 は、=(等しい)、!=(等しくない)、>(大なり)、<(小なり)、<=(小なりイコール)、および >=(大なりイコール)です。規則要素の有効な入力値は、-65535 ∼ 65535 の整数です。 • 符号なし整数:アトリビュートには、符号なし整数のみを含めることができます。有効な演算 子は、=(等しい)、!=(等しくない)、>(大なり)、<(小なり)、<=(小なりイコール)、およ び >=(大なりイコール)です。規則要素の有効な入力値は、0 ∼ 4294967295 の自然数です。 • ipaddr:アトリビュートには、IPv4 アドレスを含めることができます。有効な演算子は、=(等 しい)、!=(等しくない)、および mask です。規則要素の有効形式は、ドット付き 10 進形式で す。演算子が mask の場合、形式は mask/IP になります。詳細については、P.13-18 の「ポリシー の設定」を参照してください。 • 日付:アトリビュートには、日付を含めることができます。有効な演算子は、=(等しい)、!= (等しくない)、>(大なり)、<(小なり)、<=(小なりイコール)、>=(大なりイコール)、およ び days-since-last-update です。規則要素の有効形式は、次のとおりです。 mm/dd/yyyy hh:mm:ss • バージョン:アトリビュートには、アプリケーションまたはデータ ファイルのバージョンを含 めることができます。有効な演算子は、=(等しい)、!=(等しくない)、>(大なり)、<(小な り)、<=(小なりイコール)、および >=(大なりイコール)です。規則要素の有効形式は、次の とおりです。 n.n.n.n ここで、各 n は、0 ∼ 65535 の整数になります。 • octet-array:アトリビュートには、任意のタイプの可変長データを含めることができます。有 効な演算子は、=(等しい)と !=(等しくない)です。規則要素の有効な入力値は、7E(126 に 相当する 16 進数)など、任意の 16 進数です。 Cisco Secure ACS Solution Engine ユーザ ガイド 13-8 OL-14386-01-J 第 13 章 ポスチャ確認 内部ポリシー 内部ポリシー ここでは、次の項目について説明します。 • 内部ポリシーについて(P.13-9) • 規則、規則要素、およびアトリビュートについて(P.13-9) 内部ポリシーについて 内部ポリシーは、ACS に定義した 1 つ以上の規則で構成されます。ACS は、内部ポリシーを適用す る場合、ポリシー規則を使用して、受信されたポスチャ確認要求内のクレデンシャルを評価します。 各規則は、APT、クレデンシャル タイプ、およびアクションに関連付けられます。APT とアクショ ンがどの NAC 準拠アプリケーションに関連付けられるかは、クレデンシャル タイプで決まります。 ACS は、各規則を、Posture Validation Policies ページに表示される順序で(上から下へ)適用しま す。その結果は、次のどちらかになります。 (注) • 設定可能な規則との一致:規則の要素すべてが、受信されたポスチャ確認要求内のクレデン シャルによって満たされた場合、ポリシーを適用した結果は、規則に関連付けられた条件、ポ スチャ アセスメント、および通知文字列になります。他の追加規則によってクレデンシャルが 評価されることはありません。 • 設定変更できない規則との一致:ポスチャ確認要求に含まれるアトリビュートがポリシー規則 を 1 つも満たさない場合、ACS は、ポリシーの結果として、デフォルト規則に関連付けられた 条件、ポスチャ アセスメント、および通知文字列を使用します。 ポスチャ確認要求にポリシーを適用すると、必ず、設定可能な規則の 1 つまたはデフォルト規則の どちらかと一致します。 ポリシー内の規則の順序を指定する場合は、各規則が true になる可能性を判断し、可能性の最も高 い規則を先頭に、最も低い規則を末尾に配置します。このような処置により、規則処理の効率が良 くなます。ただし、規則が true になる可能性を判断することは困難な場合があります。たとえば、 1 つ目の規則が true になるポスチャのエンドポイントの数が、2 つ目の規則の 2 倍になる場合があ るとします。しかし、2 つ目の規則と一致するポスチャのエンドポイントの方が、2 倍以上の頻度 でポスチャ確認が発生する場合があるとします。そのため、2 つ目の規則を先頭に配置する必要が あります。 規則、規則要素、およびアトリビュートについて 規則とは、1 つまたは複数の規則要素の集合です。規則要素とは、次の項目からなる論理的な文です。 • ポスチャ確認アトリビュート • 演算子またはポスチャ トークン • 値または通知文字列 ACS は、演算子を使用して、アトリビュートの内容を値と比較します。規則全体が満たされるに は、規則の規則要素それぞれが true になる必要があります。つまり、規則の規則要素すべてがブー ル AND で結合されます。 規則の詳細については、P.14-2 の「アクセス要求の分類」を参照してください。 設定方法については、P.13-19 の「内部ポリシーの作成」および P.13-35 の「Internal Posture Validation Setup ページ」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 13-9 第 13 章 ポスチャ確認 外部ポリシー 外部ポリシー 外部ポリシーは、外部 NAC サーバ(通常はアンチウイルス ベンダーからのサーバ)と、外部デー タベースに転送するクレデンシャル タイプのセットによって定義されるポリシーです。また、セカ ンダリ外部 NAC サーバを定義するオプションもあります。セカンダリ サーバがある場合は、プラ イマリ サーバのすべてのポリシーをセカンダリ サーバ、つまりフェールオーバー サーバで評価す ることができます。 ACS は外部ポリシーの適用結果を判別しません。代わりに、選択されたクレデンシャルを外部 NAC サーバに転送し、ポリシー評価の結果である APT、結果クレデンシャル タイプ、およびアクショ ンを受信します。 外部サーバに関連付けられた外部ポリシーはそれぞれ結果を返す必要があります。結果を返さない 外部ポリシーがあった場合、ACS は、対応するプロファイルを使用したポリシー確認要求を拒否し ます。たとえば、ポスチャ確認要求を評価するときに ACS が使用するプロファイルに 10 個の内部 ポリシーと 1 つの外部ポリシーがある場合、外部ポリシーに関連付けられている外部 NAC サーバ がオンラインになっていないと、10 個の内部ポリシーすべてが SPT を返すかどうかは関係なくな ります。1 つの外部ポリシーに障害が発生すると、ACS はポスチャ確認要求を拒否します。 外部ポリシー設定オプションについては、P.13-26 の「外部ポスチャ確認サーバの編集」および P.13-38 の「External Posture Validation Setup ページ」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド 13-10 OL-14386-01-J 第 13 章 ポスチャ確認 外部ポスチャ確認監査サーバ 外部ポスチャ確認監査サーバ ここでは、次の項目について説明します。 • 外部監査サーバについて(P.13-11) • デバイス タイプの監査(P.13-12) • ACS での NAC の設定(P.13-15) 外部監査サーバについて 監査サーバとは、Posture Agent(PA; ポスチャ エージェント)の存在に依存することなく、ホスト に関するポスチャ情報を判別するシスコおよびサードパーティ製のサーバです。Cisco PA は Cisco Trust Agent とも呼ばれます。監査サーバは、組織のセキュリティ ポリシーによってポスチャ確認を 評価するために使用されます。セカンダリ外部監査サーバを定義することもできます。セカンダリ 監査サーバがある場合、プライマリ サーバがポリシーを拒否したときに、プライマリ サーバから のすべてのポリシーをセカンダリ サーバ、つまりフェールオーバー サーバで評価することができ ます。 監査ポリシーは、監査サーバを介してエージェントレス ホストのポスチャを評価する処理規則の セットです。監査ポリシーは、EAP サプリカントを持たないホストのポスチャを判断するために使 用されます。NAC 適用ポイントとして機能する NAD を介してホストがネットワークにアクセスす るときに、NAD は ACS が監査をトリガーできるよう ACS に情報を送信します。ACS は、正しく 設定されていれば、監査サーバに監査の結果(ポスチャ トークン)を問い合せた後、監査結果に基 づいて認可を決定します。 ネットワークへのアクセスを制御するため、ネットワーク管理のセキュリティ計画に ACS と連携 する外部監査サーバを組み込むことができます。 ACS では、監査サーバとの通信に GAME プロトコルを使用します。各監査要求で、ACS は次の情 報を監査サーバに転送します。 • host id • ip-address • mac-address(オプション) システム ポスチャ トークンの名前はデバイスに対して動的に送信されます(設定する必要はあり ません)。 表 13-2 では、監査結果の適用時に必要な詳細を定義しています。 表 13-2 監査ポリシー要件 監査ポリシー 説明 auditServerConfiguration 監査サーバとの通信方法を定義する監査サーバ設定に対するポインタ。 exemptionList 監査が免除される MAC アドレス と IP アドレスのいずれか(またはその両方)、およびグ ループのリスト。 inverseExemptionFlag このフラグが設定された場合、免除リストの意味は逆になります。つまり、リストに指定 されたホストだけが監査対象となり、それ以外はすべて監査が免除されます。 exemptionToken 免除されるホストに割り当てるトークン。 defaultInProgressToken 監査が進行中で、キャッシュされたトークンがないときに使用するトークン。 staticAttributes これらの名前値のペアは、このポリシーが呼び出されたときに監査サーバに送信されま す。このリリースでは、このアトリビュート リストを使用してポリシー名を渡します。 tokenMappings ユーザ グループ マッピングに対するトークン。このスキームでは、各サービスに監査ポ リシーが 1 つだけ存在することを想定しています。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 13-11 第 13 章 ポスチャ確認 外部ポスチャ確認監査サーバ 外部監査を呼び出す仕組み エンドポイントに障害が発生すると、外部監査が呼び出されます。この障害は、エンドポイントが 要求どおりに応答していないことが適用ポイントで検出された場合に発生します。適用ポイント は、デバイス障害の発生を示す aaa:event 障害メッセージを送信します。 現在の ACS リリースでは、このイベント タイプをサポートしており、どのイベントがポリシー(場 合によっては複数)を起動するかをアウトオブバンド ポスチャ ポリシーで設定できます。 ACS はポリシー設定に応じて、監査を呼び出す、または呼び出さない次のイベントを認識できる必 要があります。 • Cisco Trust Agent が機能していないことを NAS が検出し、aaa:event アトリビュートで NRH 通 知を送信する。 • エンドポイント デバイス(またはサプリカント)がポスチャ要求に応答できない。 • デバイスからの明示的な監査要求。 監査が発生することを ACS が認識すると、監査サーバは問い合せを受けます。監査サーバは、結 果または audit-in-progress メッセージで応答します。これには、NAD に渡すためのポーリング タイ ムアウト ヒントが含まれる場合があります。この時点で ACS は、ポスチャ確認ポリシーに関連付 けられたデフォルト APT に基づいて特定のホストに対する適用ポリシーを評価します。適用ポリ シーの一部は、ホストを再認証するための NAD 呼び出しに使用されるセッション タイムアウト値 にする必要があります。ACS は要求を受信し、監査サーバに問い合せます。このプロセスは、監査 サーバが APT で応答するまで繰り返されます。監査応答を受信したら、適用ポリシーは再評価さ れて NAD に返されます。 NAD はポスチャ トークンをキャッシュします。このトークンは、ホストのセッション中に(セッ ション タイムアウトが発生した結果、再認証などで)発生した後続のアクセス要求とともに送信さ れます。ACS はこのトークンを、後続認証の監査中にデフォルト ポリシー評価で使用するため、接 続されたホストではセッションのダウングレードが発生しません。 免除リストのサポート ACS は、グループおよびホストの免除リストをサポートします。免除リストには、監査の対象また は対象外とする IP アドレスか MAC アドレスのリストが含まれます。ホストが免除されると、ホス トにはポスチャの状態を判別する免除トークンが割り当てられます。免除リストは、アウトオブバ ンド監査ポリシーで定義されます。IP リストには、単一の IP アドレスまたは IP マスク範囲を含め ることができます。MAC リストは MAC 範囲にすることができます。範囲の形式は、begins with 演 算子を使用して、ホストの MAC アドレスと一致する部分的な MAC 文字列になります。 デバイス タイプの監査 MAC 認証のセキュリティ チェックの強化として、デバイス タイプを確認し、デバイスを適切な宛 先ユーザ グループに割り当てる監査ポリシーを設定できます。たとえば、問題のあるデバイスが Mismatch というユーザ グループに割り当てられる場合があります。または、プロセスでグループ が割り当てられないと、デバイスが Quarantine というユーザ グループに割り当てられることがあり ます。MAC 認証および監査ポリシーが、プリンタなどの同じデバイス タイプを返した場合、監査 ポリシーはデバイスをプリンタ グループに割り当てることができます。 Cisco Secure ACS Solution Engine ユーザ ガイド 13-12 OL-14386-01-J 第 13 章 ポスチャ確認 外部ポスチャ確認監査サーバ ポリシーの構成 External Posture Validation Audit Server Setup ページのオプションを使用して、監査ポリシーを定義し ます。これらのオプションでは、監査サーバからのデバイス タイプ要求をイネーブルにしたり、ま たはデバイス タイプがないときにグループを割り当てることができます。また、このページのオプ ションを使って、論理比較に基づいて特にグループの割り当てを管理できる規則を作成することも できます。 完全な監査ポリシーもまた、以前 External Posture Validation Server Setup ページで設定した要素に依 存します。それらの要素には、ホスト、監査サーバおよび監査フローのセットアップが含まれます。 さらに、ポリシーには、フェールオーバー シナリオで機能するセカンダリ監査サーバの設定オプ ションも含まれます。 ACS は、監査サーバとのカンバセーションで GAME プロトコルを使用します。カンバセーション には、デバイスのスキャンによって監査サーバが決定するデバイス タイプの要求が含まれます。プ ロトコルまたは監査ポリシー フローがエラーを返すと、システムにエラー メッセージが表示され ます。 ポリシーを設定する際は、次の点に留意してください。 • ACS は、デバイス タイプ アトリビュートのないベンダーに対して、この機能を設定できませ ん。Qualys は、このアトリビュートに対してテスト済みで、現在これをサポートしている唯一 のベンダーです。 • 監査サーバがデバイス タイプ アトリビュートを返さないと、アトリビュートが要求されなかっ たかのようにポリシー評価が継続されます。 • ACS は、Passed および Failed ログにデバイス タイプ アトリビュートを記録します。 ユーザ グループとデバイス タイプ MAC 認証は、Printer または PC といったユーザ グループの形式でデバイス タイプを返します。監 査ポリシーは、NAC アトリビュートのデバイス定義リストに依存します。このリストには、MAC ユーザ グループとの比較のための Printer と PC が含まれます。または、監査ポリシーはユーザ定義 のデバイス タイプ文字列によって決めることもできます。 MAC ユーザ グループの場合、ポリシーは Any のユーザ グループをサポートします。この場合、ACS は返されたグループが任意のグループか、またはグループがないものと見なします。デバイス タイ プでは、監査によって返されたデバイス タイプを解釈する場合、ポリシーは Match-all をサポート します。 グループの割り当て グループの割り当ては、ネットワークの設定に応じて異なります。ネットワークで複数デバイスを サポートしている場合もあれば、特定のデバイスのみをサポートしている場合もあります。監査ポ リシーをサポートするには、Mismatch や Quarantine などの宛先デバイス グループを追加する必要 があります。設定によっては追加グループが必要な場合もあります。 宛先ユーザ グループへの割り当ては、次の条件に基づきます。 • Device-Type Returned:グループの割り当ては、MAC デバイス タイプと NAC デバイス タイプ アトリビュートを比較する規則に基づきます。 • No Device-Type:グループの割り当ては、選択したグループに基づきます。 • No Device-Type or Group:グループの割り当ては、選択したグループに基づきます。 • No Token or Group:グループの割り当ては、ポスチャ トークン、タイムアウトおよびグルー プを含むフェール オープンの設定に基づきます。フェール オープンの設定がない場合、シス テムはエラーを返します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 13-13 第 13 章 ポスチャ確認 外部ポスチャ確認監査サーバ グループ マッピングの規則 各グループ マッピングの規則では、MAC 認証が返すデバイス ユーザ グループと監査サーバが返す デバイス タイプを比較する演算子を使用します。比較では、次のいずれかの演算子を定義できます。 • Match all device types(ACS は、すべてのデバイス タイプでワイルドカードでの照合を実行) • Device type equals(等しいデバイス タイプ) • Device type does not equal(等しくないデバイス タイプ) • Contains(中間一致) • Starts with(前方一致) • Regular expression(正規表現) 次の例を参考にしてください。 • グループが printers に等しく、デバイス タイプが Printer に等しくない場合、グループ Mismatch (または Quarantine)を割り当てます。 • グループが NotKnown に等しく、かつデバイス タイプが Printer に等しい場合、グループ printers を割り当てます。 • グループが embedded-os に等しく、デバイス タイプが Printer に等しくない場合、グループ quarantine を割り当てます。 • グループが Any に等しく、かつデバイス タイプが PC に等しい場合、グループ reject を割り当 てます(これは、管理者がコンピュータに許可していない LAN であることが予想されます)。 • グループが Any に等しく、かつデバイス タイプが unknown に等しい場合、quarantine を割り当 てます。 ポリシー リスト 各規則の定義は、優先度順に並べ替えることができるポリシー リストに表示されます。 ネットワーク アクセス コントロールのレイヤ 2 監査 ACS では、まず、IP アドレスを受信できる隔離ネットワークにデバイスがアクセスできるようにし ます。デバイスが IP アドレスを受信するまで監査は開始されません。開始する監査は、レイヤ 3 (L3)ホストの監査と同じです。 ホストの IP アドレスを認識するように NAD を事前に設定しておく必要があります。ACS は、最初 のアクセス要求に応答し、NAD が IP アドレスを認識したときに別のアクセス要求を発行するよう に NAD に通知します。NAD がホストの IP アドレスを認識しない場合、ACS は失敗条件を呼び出 し、ポリシー フローは audit fail-open ポリシーに従います。管理者は audit fail-open ポリシーを使用 して、ユーザを拒否するか、ポスチャ トークンおよびオプションのユーザ グループを割り当てる かを選択できます。 監査ポリシーは、MAC Authentication Bypass(MAB; MAC 認証バイパス)が失敗した場合のバック アップの検証として機能させることができます。監査ポリシーでは、現在のセッションに割り当て られた ACS ユーザ グループをテストするポリシー条件を適用して、MAB が失敗したかどうかをテ ストします。たとえば、ユーザ グループが、MAB によって失敗した認証に割り当てられたユーザ グループと一致するかどうかをテストでき、一致した場合にのみ監査が継続します。 設定情報については、第 14 章「ネットワーク アクセス プロファイル」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド 13-14 OL-14386-01-J 第 13 章 ポスチャ確認 ACS での NAC の設定 ACS での NAC の設定 この項では、ACS のポスチャ確認を設定する手順の概要と、より詳細な手順の参照先を示します。 (注) ポスチャ ポリシーを作成するには、Posture Validation タブをクリックします。Network Access Profiles タブの Posture Validation リンクをクリックして、それらのポリシーをプロファイルに割り当てるこ とができます。 始める前に ACS でポスチャ確認を実行するには、事前にいくつかの設定手順を完了する必要があります。手順 の概要は次のとおりです。Cisco.com で詳細な手順を検索する方法については、P.13-2 の「ネット ワーク アクセス コントロールでのポスチャ確認」を参照してください。 ポスチャ確認を実装するには、次の手順を実行します。 ステップ 1 サーバ証明書をインストールします。EAP トンネルがエンドユーザ クライアントとの NAC 通信を 保護するので、ACS は NAC 用のサーバ証明書を必要とします。第三者 Certificate Authority(CA; 認 証局)から取得した証明書を使用するか、自己署名証明書を使用します。 サーバ証明書のインストールの詳細な手順については、P.9-26 の「ACS サーバ証明書のインストー ル」を参照してください。自己署名証明書の生成とインストールの詳細な手順については、P.9-40 の「自己署名証明書の生成」を参照してください。 (注) ステップ 2 自己署名証明書を使用する場合は、その証明書を ACS からエクスポートし、信頼できる ルート CA 証明書として、エンドポイント コンピュータ上のローカル ストレージにイン ポートすることが必要になる場合があります。 サードパーティ ベンダーからのポスチャ クレデンシャルについては、対応する NAC Attribute Definition File(ADF; アトリビュート定義ファイル)をインポートする必要があります。 監査ベンダーを ACS 内部ディクショナリに追加する必要があります。 ACS for Windows の場合、外部ポスチャ確認監査サーバを設定する前に、CSUtil.exe コマンドを使 用します。詳細な手順については、P.C-41 の「外部監査ポスチャ確認サーバのインポート」を参照 してください。 ACS SE の場合、Web インターフェイスの NAC Attributes Management ページを使用します。詳細な 手順については、P.8-49 の「NAC Attribute Management(ACS SE のみ)」を参照してください。 (注) ACS は HTTP 通信もサポートしますが、外部ポリシーをセットアップする場合、または外 部ポリシー監査サーバを使用する場合は、ACS の設定時に HTTPS による外部サーバとの通 信を計画する必要があります。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 13-15 第 13 章 ポスチャ確認 ACS での NAC の設定 ACS は証明書を使用して、監査サーバおよびポスチャ確認サーバを認証します。ACS から証明書 を選択するか、または Certificate Trust List(CTL; 証明書信頼リスト)を設定する必要があります。 ACS サーバ証明書を発行した CA とは異なる CA を外部サーバで使用する場合には、CTL を設定す る必要があります。詳細な手順については、P.9-32 の「証明書信頼リストの編集」を参照してくだ さい。 外部サーバで自己署名証明書を使用する場合は、CTL を変更する必要はありません。 ステップ 3 Advanced Options ページで、Microsoft Network Access Protection Settings のチェックボックスをオ ンにします。 ステップ 4 Passed Authentications ログをイネーブルにします。ACS はこのログを使用して、アクセスが厳しく 拒否されない場合は必ずポスチャ確認クレデンシャルをすべて記録します。要求が拒否された場 合、ACS は結果を Failed Attempts ログに記録します。Passed Authentications ログをイネーブルにす るときは、必ず、NAC 関連のアトリビュートを Passed Authentications File Configuration ページの Logged Attributes カラムに移動してください。 このタイプのログを設定する詳細な手順については、P.10-24 の「CSV ログの設定」を参照してく ださい。 ステップ 5 NAC アトリビュートを含めるように Failed Attempts ログを設定します。拒否されたポスチャ確認要 求は、Failed Attempts ログに記録されます。このログに NAC アトリビュートを含めると、NAC 実 装時のエラーをデバッグするときに有用になる場合があります。たとえば、どのポスチャ確認規則 も一致しない場合、要求はここに記録されます。Failed Attempts ログを使用すると、エンドポイン トから受信された要求内のアトリビュートと、エンドポイントに送信された応答内のアトリビュー トの内容を参照できます。 このタイプのログを設定する詳細な手順については、P.10-24 の「CSV ログの設定」を参照してく ださい。 ステップ 6 Global Authentication Setup ページで、EAP の下の Allow Posture Validation を選択して、ポスチャ確 認をイネーブルにします。レイヤ 2 またはレイヤ 3 サポートについて、手順を完了します。 詳細な手順については、P.9-24 の「認証オプションの設定」を参照してください。 ステップ 7 NAC をサポートする AAA クライアントを Network Configuration セクションでまだ設定していない 場合は、ここで設定します。 詳細な手順については、P.3-14 の「AAA クライアントの追加」を参照してください。 ステップ 8 Network Access Profiles から、ポスチャ確認に使用するユーザ グループをセットアップします。多 くの場合、可能性のある SPT ごとに別々のユーザ グループを使用します。したがって、6 つのユー ザ グループを選択します。可能であれば、ユーザを認可するように設定されていないグループを選 択します。また、ユーザを認可するグループとは大幅に異なるグループを使用することを考慮しま す。たとえば、ユーザを認可するときに低位番号のグループが使用されている場合は、グループ 494 ∼ 499 を使用することを考慮します。 ステップ 9 プロファイルをセットアップする詳細な手順については、P.14-4 の「NAP とプロファイルベース ポ リシーの設定ワークフロー」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド 13-16 OL-14386-01-J 第 13 章 ポスチャ確認 NAC および NAP 環境の ACS の設定 ヒント ユーザを認可するためのグループと、エンドポイントを認可するためのグループとを混 同することがないよう、グループ名を認識しやすい名前に変更することを考慮します。た とえば、グループ 499 を選択して Unknown SPT 関連の認可を含めた場合は、NAC Unknown というグループ名に変更します。詳細な手順については、P.5-49 の「ユーザ グループの 名前の変更」を参照してください。 ステップ 10 ポスチャ確認規則ごとに、ポスチャ トークンと SPT を割り当てます。これらは後で、ネットワー ク アクセスを適切に制限するダウンロード可能 IP ACL セットまたは RAC、あるいはその両方を含 むプロファイルと関連付けることができます。 規則を作成する詳細な手順については、P.13-19 の「内部ポリシーの作成」を参照してください。詳 細な手順については、P.4-19 の「ダウンロード可能 IP ACL の追加」 (および P.4-12 の「RADIUS 認 可コンポーネントの追加」)を参照してください。ポスチャ規則をプロファイルに関連付けるには、 P.14-29 の「NAP のポスチャ確認ポリシー設定」を参照してください。 ステップ 11 エンドポイント デバイスを確認するため、プロファイルごとに、任意の数の規則を含む複数の異な るポスチャ確認ポリシーを作成できます。次の作業が可能です。 • ポリシーおよび関連する規則を作成できます。この作業には、必須クレデンシャル タイプおよ びポリシーの設定作業も含まれます。 詳細な手順については、P.13-18 の「ポリシーの設定」を参照してください。 • Network Access Profiles を使用して、ポスチャ確認ポリシーをプロファイルに割り当て、エン ドポイント デバイスを検証できます。 詳細な手順については、P.14-29 の「NAP のポスチャ確認ポリシー設定」を参照してください。 NAC および NAP 環境の ACS の設定 ACS 4.2 には、Cisco ネットワーク アクセス コントロール(NAC)および Microsoft Network Access Protection(NAP; ネットワーク アクセス保護)環境で ACS が動作するように設定するための次のオ プションがあります。 • 外部 AAA サーバの設定 Microsoft NAP 環境では、NAP サーバが Statement of Health(SoH; 正常性ステートメント)を ACS または他の AAA サーバに送信します。SoH の処理に基づいて、アクセスやアクセス レベ ルを許可または拒否するように ACS を設定できます。外部 AAA サーバを設定する方法の詳細 については、P.13-27 の「外部 AAA サーバの設定」を参照してください。 • 正常性ステートメントのポスチャ確認規則の設定 ACS が SoH のアトリビュートに基づいてユーザ アクセスに関する決定を行うように、SoH の ポスチャ確認規則を設定できます。SoH のポスチャ確認規則を設定する方法の詳細について は、P.14-33 の「正常性ステートメントを処理するポスチャ確認ポリシーの設定」を参照してく ださい。 (注) NAC および NAP 環境の ACS を設定する方法の詳細については、『Configuration Guide for Cisco Secure ACS, 4.2』の第 9 章「NAC/NAP Configuration Scenario」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 13-17 第 13 章 ポスチャ確認 ポリシーの設定 ポリシーの設定 ネットワークで NAC を使用する場合には、ポスチャ確認の実行方法を定義する必要があります。 ポリシーは、ポスチャ確認要求に対するポスチャ トークンの判別に使用される規則のセットです。 ここでは、次の項目について説明します。 • ポスチャ確認オプション(P.13-18) • ポスチャ確認ポリシーの設定(P.13-19) • 外部ポリシー サーバの設定(P.13-25) • 外部ポスチャ確認監査サーバの設定(P.13-29) • MAC 認証バイパスを使用した監査処理(P.13-32) ポスチャ確認オプション 次のポスチャ確認オプションを設定できます。 • ACS 内部で設定する。P.13-19 の「ポスチャ確認ポリシーの設定」を参照してください。 • 1 つ以上の Posture Validation Server(PVS; ポスチャ確認サーバ)に対し、Host Credential Authorization Protocol(HCAP)プロトコルを使用して外部で設定する。P.13-25 の「外部ポリ シー サーバの設定」を参照してください。 • NAC エージェントレス ホスト(NAH)をサポートするため、監査サーバに対し、GAME プロ トコルを使用して外部で設定する。P.13-29 の「外部ポスチャ確認監査サーバの設定」を参照し てください。 表 13-3 に、ポスチャ確認の設定オプションを示します。 表 13-3 ポスチャ確認オプション コンポーネント 説明 注釈 Internal Posture Validation ネットワークのポリシー要件の確認は、 Cisco Trust Agent、Windows、CSA、および ACS の内部(つまりローカル)で行われ アンチウイルス ソフトウェア アプリケー ションに対する NAC ポリシーは、推奨さ ます。 れる内部ポリシーの中にあります。P.13-19 の「内部ポリシーの作成」を参照してくだ さい。 External Posture Validation 外部のポスチャ確認サーバはポリシーを ポスチャ確認を外部の AV サーバで行う 確認します。 と、ACS 管理者とは別の AV 管理者によっ て独自の AV ポスチャ クレデンシャルに 対応し、アンチウイルス ポリシーを管理す ることが可能になります。 External Audit Posture Validation PA の存在に依存することなく、ホストに Cisco PA は Cisco Trust Agent とも呼ばれま 関するポスチャ情報を判別するシスコお す。Cisco Trust Agent がホストにない場合 よびサードパーティ製のサーバ。このホス は、監査サーバを使用できます。 ト タイプは、エージェントレスとも呼ば れます。監査サーバは、組織のセキュリ ティ ポリシーによってポスチャ確認を評 価するために使用されます。 (注) 内部と外部のポスチャ確認を同時に実行できます。ただし、NAC クレデンシャル タイプ(ベンダー とアプリケーションの組み合せ)が同一の場合は実行できません。 Cisco Secure ACS Solution Engine ユーザ ガイド 13-18 OL-14386-01-J 第 13 章 ポスチャ確認 ポリシーの設定 内部または外部のポスチャ確認向けにポリシーを設定するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Posture Validation をクリックします。 ステップ 2 ポスチャ確認サーバを設定するために、次のコンポーネントのいずれか 1 つを選択します。 ステップ 3 • Internal Posture Validation Setup:P.13-9 の「内部ポリシー」または P.13-19 の「内部ポリシー の作成」を参照してください。 • External Posture Validation Setup:P.13-10 の「外部ポリシー」または P.13-25 の「外部ポリシー サーバの設定」を参照してください。 • External Posture Validation Audit Setup:P.13-11 の「外部ポスチャ確認監査サーバ」または P.13-29 の「外部ポスチャ確認監査サーバの設定」を参照してください。 内部または外部のポスチャ確認の設定に必要な手順を完了します。 ポスチャ確認ポリシーの設定 ここでは、次の項目について説明します。 • 内部ポリシーの作成(P.13-19) • ポリシーまたはポリシー規則のクローニング(P.13-23) • 外部ポスチャ確認監査サーバ(P.13-11) • ポリシーの編集(P.13-22) • ポリシーまたは規則の削除(P.13-24) 内部ポリシーの作成 内部ポスチャ確認を使用して、ネットワークでのアクセス向けに独自のポリシーを作成できます。 ポリシーを作成した後で、これらのポリシーを使用するように規則のプロファイルを作成できま す。 複数のプロファイルに対応する内部ポリシーを選択できます。ポリシーをプロファイルに追加する には、Network Access Profiles ページを使用します。 Internal Posture Validation Setup ページで使用可能なオプションについては、P.13-18 の「ポリシーの 設定」を参照してください。 サードパーティ製コンポーネントのポリシーを設定する方法の詳細については、Cisco.com の Go NAC Web サイトで関連マニュアルを参照してください。内部ポリシーをプロファイルに追加する 方法については、P.14-29 の「NAP のポスチャ確認ポリシー設定」を参照してください。 1 つでもポリシーを設定した後に、クローン規則オプションを使用すると、ポリシーをコピーして カスタマイズすることで時間を節約できます。クローニングの使用方法の詳細については、P.13-23 の「ポリシーまたはポリシー規則のクローニング」を参照してください。 内部ポスチャ確認ポリシーを作成するには、次の手順を実行します。 ステップ 1 Internal Policy Validation Setup ページにアクセスします。 a. ナビゲーション バーの Posture Validation をクリックします。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 13-19 第 13 章 ポスチャ確認 ポリシーの設定 b. Internal Posture Validation Setup をクリックします。 ポスチャ確認ポリシーのリストが表示されます(使用可能な場合)。 c. Add Policy をクリックします。 ステップ 2 Name ボックスに、ポリシーの説明的な名前を入力します。 ステップ 3 Description ボックスに、ポリシーに関する有用な説明を入力します。 ステップ 4 Submit をクリックします。 ステップ 5 Add Rule をクリックします。 ステップ 6 追加する条件セットごとに、次の手順を実行します。 a. アトリビュートを選択する。アトリビュート タイプの詳細については、P.13-7 の「ポスチャ確 認アトリビュートのデータ タイプ」を参照してください。 b. エンティティを選択する(拡張アトリビュートの場合のみ使用可能)。 c. 演算子を選択する。 d. 値を入力する。 e. Enter キーを押してから Submit をクリックする。 たとえば、CSA のポリシーを作成する場合、次の条件セットを作成することができます。 • Cisco:PA:PA-Version>= 2.0.0.0ANDCisco:PA:Machine-Posture-State = 1 with a Posture token=Healthy • Cisco:PA:PA-Version>= 2.0.0.0ANDCisco:PA:Machine-Posture-State = 2 with a Posture Token=Transition • Match OR inside Condition and AND between Condition Sets(ACS でトークンを選択できるように する場合) 演算子の詳細については、P.13-18 の「ポリシーの設定」を参照してください。 Cisco Trust Agent ポスチャ プラグイン アトリビュートと値については、Cisco Trust Agent のマニュ アルを参照してください。 条件セットが Conditions Sets テーブルに表示されます。 ステップ 7 ステップ 8 次のいずれかのブール条件を選択して、この条件セットに追加します。 • Match OR inside Condition and AND between Condition Set:条件をあまり厳しくしない場合に 選択します。 • Match AND inside Condition and OR between Condition Sets:ポスチャ確認をより安全なものに する場合に選択します。 条件セットが意図したとおりに設定されたことを確認します。 ヒント すでに追加した条件セットを変更する場合は、条件要素を選択して Remove をクリック し、アトリビュート、エンティティ、演算子、または値をアップデートしてから Enter キーを押します。 Cisco Secure ACS Solution Engine ユーザ ガイド 13-20 OL-14386-01-J 第 13 章 ポスチャ確認 ポリシーの設定 ステップ 9 新規の規則に対して、次の操作をすべて行います。 a. クレデンシャル タイプを選択する。 b. トークンを選択する。 c. アクションを入力する(通知文字列の形式で)。 トークンの詳細については、P.13-4 の「ポスチャ トークン」を参照してください。 規則がポスチャ確認要求と一致すると、指定された結果クレデンシャル タイプ、トークン、および アクションがポリシーに関連付けられます。 ヒント すでに作成したものと同じ条件セットを別個に作成する場合は、Clone をクリックしま す。その後で、条件セットを必要に応じて変更します。 ステップ 10 Submit をクリックします。 Policy Validation Rules ページが再度表示されます。新規の条件セットが Condition Sets テーブルの一 番下に表示されます。 ヒント 規則をクリックすると、Posture Validation Rules ページに戻ることができます。 ステップ 11 ポリシーを定義する規則を作成したら、必要に応じて、規則の順序を設定します。ACS は、ポリ シーを適用するときに、Policy Validation Rules ページに表示される規則を上から順に照合します。 規則が最初に一致した時点でポリシー処理が停止するため、順序は重要です。規則を移動するには、 次の手順を実行します。 a. 規則を選択します。これを行うには、規則の左にあるオプション ボタンをクリックします。 b. 規則が適切な位置に来るまで、Up または Down ボタンをクリックします。 ステップ 12 Default をクリックして、Posture Validation Rules ページの下部にある Default Rule を設定します。 a. クレデンシャル タイプを選択する。 b. トークンを選択する。 c. アクションを入力する(通知文字列の形式で)。 ACS は、このポリシーをポスチャ確認要求に適用した結果、どの設定可能な規則にも一致しなかっ た場合、指定されたデフォルトのクレデンシャル タイプ、トークン、およびアクションをポリシー に関連付けます。 ステップ 13 Submit をクリックします。 Posture Validation Rules ページに、新規の規則が表示されます。 ステップ 14 Done をクリックします。 現在の設定は変更されています。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 13-21 第 13 章 ポスチャ確認 ポリシーの設定 ステップ 15 変更内容を有効にするために、Apply and Restart をクリックします。 ポリシーの編集 Posture Validation ページからアクセスする方法でのみ、ポリシーを編集できます。 ポリシーまたはポスチャ確認規則を編集するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Posture Validation をクリックします。 ステップ 2 Internal Posture Validation Setup をクリックします。 ステップ 3 編集する規則のポリシー名をクリックします。 適切なポリシー規則ページが表示されます。 ステップ 4 ポリシーを編集するには、次の手順を実行します。 a. 条件セットをさらに追加するには、Add Rule をクリックします。 b. すでに追加した条件セットを変更するには、次の手順を実行します。 a. 条件要素を選択します。 b. Remove をクリックします。 c. アトリビュート、エンティティ、演算子、または値をアップデートして、Enter キーを押 します。 c. 新規の条件を追加するには、次の手順を実行します。 a. ドロップダウン リストからアトリビュート、エンティティ、および演算子を選択します。 b. 値を入力します。 c. Enter キーを押します。 d. Clone をクリックして、既存の条件セットまたはポリシー規則をコピーします。 e. Delete をクリックしてポリシー規則を削除します。条件セットまたは条件セットの要素を削除 することもできます。P.13-25 の「条件コンポーネントまたは条件セットの削除」を参照してく ださい。 f. 規則を移動するには、次の手順を実行します。 a. 規則の左にあるボタンをクリックして、規則を選択します。 b. 規則が適切な位置に来るまで、Up または Down ボタンをクリックします。 g. この条件セットにブール条件を追加するか、あるいはブール条件を変更する場合は、次のオプ ションのいずれか 1 つを選択します。 • Match OR inside Condition and AND between Condition Set:条件をあまり厳しくしない場 合に選択します。 • Match AND inside Condition and OR between Condition Sets:ポスチャ確認をより安全なも のにする場合に選択します。 h. Rename をクリックして、既存の名前を変更します。 新規ポリシーが作成されます。新規ポリシーは格納され、古いポリシーの設定は変更されませ ん。古いポリシーは、Posture Validation Policies テーブルに残ります。 Cisco Secure ACS Solution Engine ユーザ ガイド 13-22 OL-14386-01-J 第 13 章 ポスチャ確認 ポリシーの設定 ステップ 5 編集が終了したら、Submit をクリックします。次に Done をクリックします。 ステップ 6 変更内容を有効にするために、Apply and Restart をクリックします。 ポリシーまたはポリシー規則のクローニング このオプションによって、選択したものと同じポリシーまたは規則が作成されます。その後で設定 を簡単に修正できます。 内部ポスチャ確認ポリシーまたはポリシー規則をクローニングするには、次の手順を実行します。 ステップ 1 Internal Policy Validation Setup ページが表示されていない場合は、このページにアクセスします。そ のためには、次の手順を実行します。 a. ナビゲーション バーの Posture Validation をクリックします。 b. Internal Posture Validation Setup をクリックします。 ポスチャ確認ポリシーのリストが表示されます。 c. リストからポリシー名を選択します。 ヒント ステップ 2 ポリシーが 1 つも設定されていない場合は、Add Policy をクリックして、P.13-19 の「内 部ポリシーの作成」の指示に従います。 現在のポリシーのコピーを作成するには、Clone をクリックします。 たとえば、ポリシーとして VPNmgt1 を選択した場合、コピーは Copy-of-VPNmgt1 になります。 ステップ 3 現在のポリシー内にあるポリシー規則のいずれか 1 つについてコピーを作成するには、条件名をク リックします。次に Clone をクリックします。 Policy Validation Rule ページが再度表示されます。新規の条件セットが Condition Sets テーブルに表 示されます。 ステップ 4 Rename をクリックして、既存の名前をよりわかりやすい名前または説明に変更します。 新規ポリシーが作成され、古いポリシーの設定は変更されません。古いポリシーは、Posture Validation Policies テーブルに残ります。 ステップ 5 編集が終了したら、Submit をクリックします。 ステップ 6 クローンの追加が終了したら、Done をクリックします。 ステップ 7 変更内容を有効にするために、Apply and Restart をクリックします。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 13-23 第 13 章 ポスチャ確認 ポリシーの設定 ポリシーの名前の変更 名前の変更機能を使用すると、既存ポリシーまたはクローニングしたポリシーの名前または説明を よりわかりやすい内容に変更できます。 ポリシーの名前を変更するには、次の手順を実行します。 ステップ 1 Internal Policy Validation Setup ページが表示されていない場合は、このページにアクセスします。そ のためには、次の手順を実行します。 a. ナビゲーション バーの Posture Validation をクリックします。 b. Internal Posture Validation Setup をクリックします。 ポスチャ確認ポリシーのリストが表示されます。 c. リストからポリシー名を選択します。 ステップ 2 Rename をクリックして、既存のポリシー名を変更するか、よりわかりやすい説明にします。 ステップ 3 ポリシー名または説明に対する変更を入力します。編集が終了したら、Submit をクリックします。 新規ポリシーが作成されます。新規ポリシーは格納され、古いポリシーの設定は変更されません。 古いポリシーは、Posture Validation Policies テーブルに残ります。 ステップ 4 Done をクリックします。 名前の変更されたポリシーが、Posture Validation Policies ページの下部に表示されます。 ステップ 5 変更内容を有効にするために、Apply and Restart をクリックします。 ポリシーまたは規則の削除 ポリシーまたは規則を削除するには、次の手順を実行します。 ステップ 1 Internal Policy Validation Setup ページが表示されていない場合は、このページにアクセスします。 Internal Policy Validation Setup ページにアクセスするには、次の手順を実行します。 a. ナビゲーション バーの Posture Validation をクリックします。 b. Internal Posture Validation Setup をクリックします。 ポスチャ確認ポリシーのリストが表示されます。 ステップ 2 規則またはポリシーを削除するには、ポスチャ確認ポリシーのリストからポリシー名を選択します。 Posture Validation Rules ページが表示されます。 ステップ 3 ポリシー全体とそのすべての規則を削除するには、Delete をクリックします。 この操作により、ポリシー確認リストからポリシーが削除されます。ただし、ポリシーが関連付け られたプロファイルからはポリシーは削除されません。取り消すか、OK をクリックするように求 める警告メッセージが表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド 13-24 OL-14386-01-J 第 13 章 ポスチャ確認 ポリシーの設定 ステップ 4 要素または条件セットを削除するには、P.13-25 の「条件コンポーネントまたは条件セットの削除」 を参照してください。 ポリシー規則が削除されます。ポリシー ページが再度表示されますが、ポリシー テーブルに削除 済みポリシーは表示されなくなります。そのポリシーを使用するように設定されていたすべてのプ ロファイルで、削除済みポリシーが表示されなくなります。 条件コンポーネントまたは条件セットの削除 条件コンポーネントは、条件セットを構成する要素のリストです。1 つの条件セットまたは条件セッ ト全体から条件コンポーネントを削除するには、次の手順を実行します。 ステップ 1 Internal Policy Validation Setup ページが表示されていない場合は、このページにアクセスします。 Internal Policy Validation Setup ページにアクセスするには、次の手順を実行します。 a. ナビゲーション バーの Posture Validation をクリックします。 b. Internal Posture Validation Setup をクリックします。 ポスチャ確認ポリシーのリストが表示されます。 ステップ 2 ポスチャ確認ポリシーのリストからポリシー名を選択します。 Posture Validation Rules ページが表示されます。 ステップ 3 Posture Validation Rules ページの Condition リストで青色のリンクを選択します。 ステップ 4 条件セット全体を削除するには、Delete をクリックします。次に Done をクリックします。 ステップ 5 選択した条件コンポーネントをセットから削除するには、Condition Sets リストの青色のリンクを選 択してから Delete をクリックします。必要な条件コンポーネントをすべて削除したら、Submit を クリックします。 条件セットまたは条件コンポーネントが削除されます。 ステップ 6 Done をクリックします。 外部ポリシー サーバの設定 次の手順は、外部ポリシーの作成方法を示しています。 始める前に 複数のプロファイルに対応する外部ポリシーを選択できます。外部ポリシーを作成するには、 External Posture Validation Setup ページを使用します。ポリシーをプロファイルに追加するには、 Network Access Profiles ページを使用します。P.14-2 の「アクセス要求の分類」を参照してください。 External Policy Validation ページにアクセスするときに使用する外部サーバによって、新規外部ポリ シーを選択できるプロファイルが制約されることはありません。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 13-25 第 13 章 ポスチャ確認 ポリシーの設定 External Policy Configuration ページで使用可能なオプションについては、P.13-18 の「ポリシーの設 定」を参照してください。 ステップ 1 External Posture Validation Setup を選択すると、External Posture Validation Servers ページが表示さ れます。 ステップ 2 Add Server をクリックします。 Add/Edit External Posture Validation Server ページが表示されます。 ステップ 3 サーバに名前を付けて、必要に応じて説明を入力します。 ステップ 4 プライマリ サーバおよびセカンダリ サーバのアドレッシング情報を入力します。 a. Primary Server configuration チェックボックスをオンにします。 (注) Primary Server Configuration チェックボックスがオンになっていない場合、ACS はセ カンダリ サーバ設定を使用します。セカンダリ サーバ設定が存在しない場合や、セカ ンダリ サーバが到達不能の場合、ポスチャ確認要求は拒否されます。 b. プライマリ NAC サーバに関する詳細設定を入力します。この領域にあるボックスとリストの 詳細については、P.13-18 の「ポリシーの設定」を参照してください。 ステップ 5 (オプション)Secondary Server configuration ペインで、次の操作を行います。 a. Secondary Server configuration チェックボックスをオンにします。 b. セカンダリ NAC サーバに関する詳細設定を入力します。この領域にあるボックスとリストの 詳細については、P.13-18 の「ポリシーの設定」を参照してください。 ステップ 6 使用可能なクレデンシャルを選択済みクレデンシャル カラムに移動し、プライマリ サーバまたは セカンダリ サーバに転送するクレデンシャルを決定します。 ステップ 7 変更内容を保存するには、Submit をクリックします。 ステップ 8 変更内容を ACS に送信するために、Apply and Restart をクリックします。 外部ポスチャ確認サーバの編集 外部ポスチャ確認サーバは、Posture Validation ページからアクセスして編集できます。 外部ポスチャ確認サーバを編集するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Posture Validation をクリックします。 ステップ 2 External Posture Validation Setup をクリックします。 Cisco Secure ACS Solution Engine ユーザ ガイド 13-26 OL-14386-01-J 第 13 章 ポスチャ確認 ポリシーの設定 ステップ 3 編集するサーバ名をクリックします。 Add/Edit External Posture Validation Server ページが表示されます。 ステップ 4 フィールドを編集して、Submit をクリックします。 外部ポスチャ確認サーバの削除 外部ポスチャ確認サーバは、Posture Validation ページからアクセスして削除できます。 外部ポスチャ確認サーバを削除するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Posture Validation をクリックします。 ステップ 2 External Posture Validation Setup をクリックします。 ステップ 3 削除するサーバ名をクリックします。 Add/Edit External Posture Validation Server ページが表示されます。 ステップ 4 Delete をクリックします。 外部 AAA サーバの設定 次の手順は、外部 AAA サーバを使用する外部ポリシーの作成方法を示しています。 始める前に 複数のプロファイルに対応する外部ポリシーを選択できます。外部ポリシーを作成するには、 External Posture Validation Setup ページを使用します。ポリシーをプロファイルに追加するには、 Network Access Profiles ページを使用します。P.14-2 の「アクセス要求の分類」を参照してください。 External Policy Validation ページにアクセスするときに使用する外部サーバによって、新規外部ポリ シーを選択できるプロファイルが制約されることはありません。 External Policy Configuration ページで使用可能なオプションについては、P.13-18 の「ポリシーの設 定」を参照してください。 Microsoft Vista クライアントを含むネットワーク(NAC および NAP ネットワーク)の SoH を評価 するために使用する外部 AAA サーバを設定することもできます。 外部ポスチャ確認サーバを設定するには、次の手順を実行します。 ステップ 1 External Posture Validation Setup を選択すると、External Posture Validation Servers ページが表示さ れます。 ステップ 2 External Posture AAA Servers テーブルで、Add Server をクリックします。 Add/Edit External Posture AAA Server ページが表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 13-27 第 13 章 ポスチャ確認 ポリシーの設定 ステップ 3 サーバに名前を付けて、必要に応じて説明を入力します。 ステップ 4 プライマリ サーバおよびセカンダリ サーバのアドレッシング情報を入力します。 a. Primary Server configuration チェックボックスをオンにします。 (注) Primary Server Configuration チェックボックスがオンになっていない場合、ACS はセ カンダリ サーバ設定を使用します。セカンダリ サーバ設定が存在しない場合や、セカ ンダリ サーバが到達不能の場合、ACS によってポスチャ確認要求が拒否されます。 b. プライマリ外部 AAA サーバに関する詳細設定を入力します。この領域にあるボックスとリス トの詳細については、P.13-18 の「ポリシーの設定」を参照してください。 ステップ 5 (オプション)Secondary Server configuration ペインで、次の操作を行います。 a. Secondary Server configuration チェックボックスをオンにします。 b. セカンダリ外部 AAA サーバに関する詳細設定を入力します。この領域にあるボックスとリス トの詳細については、P.13-18 の「ポリシーの設定」を参照してください。 ステップ 6 使用可能な転送アトリビュートを選択済み転送アトリビュート カラムに移動し、プライマリ外部 サーバまたはセカンダリ外部サーバに送信する転送アトリビュートを決定します。 ステップ 7 変更内容を保存するには、Submit をクリックします。 ステップ 8 変更内容を ACS に送信するために、Apply and Restart をクリックします。 外部ポスチャ AAA サーバの編集 外部ポスチャ AAA サーバは、Posture Validation ページからアクセスして編集できます。 外部ポスチャ AAA サーバを編集するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Posture Validation をクリックします。 ステップ 2 External Posture Validation Setup をクリックします。 ステップ 3 編集するサーバ名をクリックします。 Add/Edit External Posture AAA Server ページが表示されます。 ステップ 4 フィールドを編集して、Submit をクリックします。 Cisco Secure ACS Solution Engine ユーザ ガイド 13-28 OL-14386-01-J 第 13 章 ポスチャ確認 ポリシーの設定 外部ポスチャ AAA サーバの削除 外部ポスチャ確認サーバは、Posture Validation ページからアクセスして削除できます。 外部ポスチャ確認サーバを削除するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Posture Validation をクリックします。 ステップ 2 External Posture Validation Setup をクリックします。 ステップ 3 削除するサーバ名をクリックします。 Add/Edit External Posture AAA Server ページが表示されます。 ステップ 4 Delete をクリックします。 外部ポスチャ確認監査サーバの設定 External Posture Validation Audit Server Setup ページで、外部ポスチャ確認監査サーバの追加、編集お よび削除を行います。ポリシーは再使用が可能です。つまり、1 つの監査ポリシーを複数のネット ワーク アクセス プロファイルに関連付けることができます。 ACS はデフォルトでシスコ以外のアトリビュートを含めません。したがって、NAC ポスチャ確認 ポリシーで確認する各ベンダー アプリケーションから、NAC Attribute Definition File(ADF; アトリ ビュート定義ファイル)をインポートする必要があります。追加したアトリビュートを使用して、 内部ポリシーの条件を作成できます。 NAC により、ユーザまたはマシンの ID だけでなく、ホストのポスチャ確認にも基づいて、ネット ワーク ホストを認可できるようになりました。ポスチャ確認は、ホストのクレデンシャルと、シス コおよび NAC パートナーである他のベンダーによって定義された attribute-value pair(AVP; AV の ペア)から作成するポスチャ確認ポリシーとを比較することで、判別されます。NAC アトリビュー トの範囲はさまざまなベンダーとアプリケーションに及ぶため、シスコ以外のアトリビュートをイ ンポートする必要があります。 始める前に 始める前に、次の手順を実行する必要があります。 • 監査ベンダーを ACS 内部ディクショナリに追加します。 ACS for Windows の場合、CSUtil.exe コマンドを使用します。詳細な手順については、P.C-41 の 「外部監査ポスチャ確認サーバのインポート」を参照してください。 ACS SE の場合、Web インターフェイスの NAC Attributes Management ページを使用します。詳 細な手順については、P.8-49 の 「NAC Attribute Management(ACS SE のみ)」 を参照してください。 • 宛先ユーザ グループを定義します。P.13-12 の「デバイス タイプの監査」を参照してください。 • 必要に応じて RAC を設定します。P.4-9 の 「RADIUS 認可コンポーネント」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 13-29 第 13 章 ポスチャ確認 ポリシーの設定 外部ポスチャ確認監査サーバの追加 外部ポスチャ確認の監査サーバを追加するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Posture Validation をクリックします。 Posture Validation Components Setup ページが表示されます。 ステップ 2 External Posture Validation Audit Setup をクリックします。 External Posture Validation Audit Server ページが表示されます。 ステップ 3 Add Server をクリックします。 External Posture Validation Audit Server Setup ページが表示されます。 ステップ 4 監査ポリシーを識別する Name を入力します。この手順のすべてのオプションについては、表 13-13 を参照してください。 ステップ 5 監査ポリシーの Description を入力します。 ステップ 6 Which Groups and Hosts are Audited 領域で適切なオプションを選択します。必要に応じて、IP お よび MAC アドレスを使用してホストを特定します。 ステップ 7 Posture Token を選択します。 ステップ 8 Use These Audit Servers 領域で Audit Server Vendor を選択します。 ステップ 9 Primary Server Configuration オプションをオンにしてプライマリ サーバを設定します。 ステップ 10 プライマリ サーバの設定情報を入力します。 監査ベンダーが表示されない場合、内部 ACS ディクショナリでベンダーの監査 APT を定義する必 要があります。 ACS for Windows の場合、CSUtil.exe コマンドを使用します。詳細な手順については、P.C-36 の「ポ スチャ確認アトリビュート」を参照してください。 ACS SE の場合、Web インターフェイスの NAC Attributes Management ページを使用します。詳細な 手順については、P.8-49 の「NAC Attribute Management(ACS SE のみ)」を参照してください。 ステップ 11 Secondary Server Configuration オプションをオンにしてセカンダリ サーバを設定します。 ステップ 12 セカンダリ サーバの設定情報を入力します。 ステップ 13 Audit Flow Settings 領域のドロップダウン リストから一時ポスチャ トークンを選択します。 ステップ 14 タイムアウト オプションを選択します。 ステップ 15 ポーリング間隔を入力します。 ステップ 16 Maximum amount of times the Audit Server should be polled を選択します。 Cisco Secure ACS Solution Engine ユーザ ガイド 13-30 OL-14386-01-J 第 13 章 ポスチャ確認 ポリシーの設定 ステップ 17 Policy string to be sent to the Audit Server を入力します。 ステップ 18 監査サーバと MAC 認証が返すデバイス タイプを相互チェックする場合は、Audit Policy 領域の Request Device Type from Audit Server オプションをオンにします。 チェックボックスが使用できない場合(グレー表示)、内部 ACS ディクショナリでベンダーの監査 デバイス タイプ アトリビュートを定義します。 ACS for Windows の場合、CSUtil.exe コマンドを使用します。詳細については、P.C-36 の「ポスチャ 確認アトリビュート」を参照してください。 ACS SE の場合、Web インターフェイスの NAC Attributes Management ページを使用します。詳細に ついては、P.8-49 の「NAC Attribute Management(ACS SE のみ)」を参照してください。 ステップ 19 デフォルトの宛先グループを設定する場合は、Assign This Group if Audit Server Did not Return a Device-Type オプションをオンにします。 ステップ 20 Add をクリックしてデバイス タイプ フィードバック規則を追加します。 ステップ 21 デバイス タイプを選択します。 ステップ 22 MAC 認証が返すデバイス タイプと最初に比較する User Group を選択します。 ステップ 23 演算子とデバイス タイプを選択して、Device Type の比較ロジックを完成させます。ドロップダウ ン ボックスにデバイス タイプが表示されない場合は、テキスト ボックスにデバイス タイプを入力 します。 ステップ 24 デバイス タイプの比較ロジックの結果に基づいて ACS が割り当てるユーザ グループを選択しま す。 ステップ 25 外部ポスチャ確認監査サーバの設定を保存するには、Submit をクリックします。 外部ポスチャ確認監査サーバの編集 外部ポスチャ確認監査サーバは、Posture Validation ページからアクセスして編集できます。 外部ポスチャ確認監査サーバを編集するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Posture Validation をクリックします。 ステップ 2 External Posture Validation Audit Setup をクリックします。 ステップ 3 編集するサーバ名をクリックします。 External Posture Validation Audit Server ページが表示されます。 ステップ 4 フィールドを編集して、Submit をクリックします。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 13-31 第 13 章 ポスチャ確認 ポリシーの設定 外部ポスチャ確認監査サーバの削除 外部ポスチャ確認監査サーバは、Posture Validation ページからアクセスして削除できます。 外部ポスチャ確認監査サーバを削除するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Posture Validation をクリックします。 ステップ 2 External Posture Validation Audit Setup をクリックします。 ステップ 3 削除するサーバ名をクリックします。 External Posture Validation Audit Server ページが表示されます。 ステップ 4 Delete をクリックします。 MAC 認証バイパスを使用した監査処理 監査要求に、エージェントレス ホスト認証との照合を含めることができます。監査サーバ処理は、 MAB 認証ポリシーと監査ポリシーに対する監査要求を二重にチェックしてから、2 つのポリシーの 評価を統合できます。 監査要求にはエンドポイントの MAC アドレスと IP アドレスが必要なため、統合ポリシーの評価 は、レイヤ 2 IP およびレイヤ 3 NAC 展開のみで可能です。 ACS では、MAB および監査が相互に運用するために、次の主要なアトリビュートが必要です。 • [10] Service-type = 10 • [31] Calling-Station-ID = Endpoint MAC Address • [8] Framed-IP-Address = Endpoint IP address • [26:9:1] Cisco-AV-Pair = audit-session-id = Id • [26:9:1] Cisco-AV-Pair = aaa:service = ip_admission ワークフロー この機能では、次の設定が必要です。 • エージェントレス ホスト テンプレートを使用する NAP • MAB 認証 • 外部ポスチャ確認監査 − GAME グループ フィードバック ポリシー − 監査対象ユーザ グループ • 監査サーバとネットワーク アクセス プロファイルとの関連付け 処理 要求の処理は次のようになります。 1. エージェントレス ホスト ポリシーと照合して監査要求が評価されます。 2. エージェントレス ホスト ポリシーによって、監査要求にユーザ グループが割り当てられます。 Cisco Secure ACS Solution Engine ユーザ ガイド 13-32 OL-14386-01-J 第 13 章 ポスチャ確認 ポリシーの設定 3. 監査ポリシーは、割り当てられたユーザ グループと設定されているグループ セットを比較し ます。 4. 割り当てられたグループが設定されているグループ セットに一致する場合、GAME 要求が作成 され、応答が処理されます。割り当てられたグループが一致しない場合、GAME 要求は作成さ れません。 5. 一致がある場合、認可ポリシーが処理され、その結果の監査応答が発信元のネットワーク アク セス デバイスに送られます。 ポリシーの設定 ACS では、エージェントレス ホストの認証と認可のためのさまざまな設定および機能をサポート しています。表 13-4 は、ポリシーの組み合せ、機能、および設定をまとめたものです。 表 13-4 エージェントレス ホストの認証および認可のサポート 使用例 説明 監査 認可基準 グループ MAB フィルタ デバイス トー ポスチャ タイプ クン グループ MAB のみ Y N N N N MAB ポスチャのみの監査 N N Y N Y なし ポスチャとデバイス タイプのみの監査。たとえば、デ N バイス タイプに基づいた認可とは異なります。 N Y Y Y なし * また はデバイス タイプ MAB およびポスチャの監査。たとえば、MAB が失敗 Y したときでも、Healthy は割り当てられます。 N Y N Y MAB MAB およびポスチャとデバイス タイプの監査。たと Y えば、MAC が認証されないときでも、printers は含ま れます。 N Y Y Y MAB ま た はデバイス タイプ MAB およびポスチャの監査。MAB の成功は必須で Y す。MAC が認証されない場合、監査は不要です。 MAB の 失 敗 グ Y ループ以外すべ て監査 N Y MAB MAB、ポスチャおよびデバイス タイプの監査。MAB Y の成功は必須です。MAC が認証されない場合、監査 は不要です。 MAB の 失 敗 グ Y ループ以外すべ て監査 Y Y MAB ま た はデバイス タイプ MAB。ただし、MAC が認証されない場合はポスチャ Y の監査。たとえば、MAB または Healthy トークンを ネットワークに対して許可できます。 MAB の 失 敗 グ Y ループのみ監査 N Y MAB MAB。ただし、MAC が認証されない場合は、ポス Y チャとデバイス タイプの監査。たとえば、管理デバ イスはネットワークに対して許可されます。または、 認可はデバイス タイプまたはトークンに基づきます。 MAB の 失 敗 グ Y ループのみ監査 Y Y MAB ま た はデバイス タイプ * この場合、グループの割り当てはデバイスの一致に応じて異なります。一致しない場合、デバイス タイプのグループ割り当てポリシーは ユーザ グループを作成しません。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 13-33 第 13 章 ポスチャ確認 ポリシーの設定 次の手順を使用して、エージェントレス ホストと監査の相互運用性を設定します。 ステップ 1 ナビゲーション バーの Network Access Profiles をクリックします。 ステップ 2 Add Template Profile をクリックします。 ステップ 3 プロファイルの Name と Description を入力します。 ステップ 4 Agentless Host テンプレートを選択します。 ステップ 5 Active をオンにしてプロファイルをアクティブにするか、または非アクティブのままにします。 ステップ 6 ナビゲーション バーの Network Access Profiles をクリックします。 ステップ 7 エージェントレス ホスト <profile_name> の Protocols で、Allow Agentless Request Processing をオン にします。 ステップ 8 エージェントレス ホスト <profile_name> の Authentication で、Authenticate MAC With セクション に入力します。P.14-24 の「エージェントレス要求処理」を参照してください。 ステップ 9 ナビゲーション バーの Posture Validation をクリックして、External Posture validation Audit Setup を 選択します。 ステップ 10 Game グループ フィードバック機能をセットアップします。P.13-30 の「外部ポスチャ確認監査サー バの追加」の手順 を参照してください。 ステップ 11 監査サーバとネットワーク アクセス プロファイルを関連付けます。P.14-35 の「エージェントレス ホストに対するポスチャ確認の設定」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド 13-34 OL-14386-01-J 第 13 章 ポスチャ確認 Posture Validation ページのリファレンス Posture Validation ページのリファレンス 次のトピックでは、ナビゲーション バーの Posture Validation ボタンからアクセスするページにつ いて説明します。 • Posture Validation Components Setup ページ(P.13-35) • Internal Posture Validation Setup ページ(P.13-35) • External Posture Validation Setup ページ(P.13-38) • External Posture Validation Audit Setup ページ(P.13-41) Posture Validation Components Setup ページ このページを使用して、ポスチャ確認の各ページにアクセスします。 Posture Validation Components Setup ページを表示するには、ナビゲーション バーの Posture Validation をクリックします。 表 13-5 Posture Validation Components Setup ページ オプション 説明 Internal Posture Validation Setup Posture Validation Policies ページを表示します。内部ポリシーには、ポスチャ確認 要求に適用されるポスチャ トークンを決定する規則が含まれます。 External Posture Validation Setup External Posture Validation Servers ページが表示されます。ACS はクレデンシャル を外部ポスチャ確認サーバに転送し、サーバはポスチャ トークンを返します。 External Posture Validation Audit Setup External Posture Validation Audit Server ページが表示されます。監査サーバは、エー ジェントレス ホストのポスチャ情報を返します。 Internal Posture Validation Setup ページ 次のトピックでは、Internal Validation Setup ページについて説明します。 • Posture Validation Policies ページ(P.13-35) • Posture Validation Policy ページ(P.13-36) • Posture Validation Rules for <policy_name> ページ(P.13-36) • Posture Validation Rule - <policy_name> ページ(P.13-37) • Add/Edit Condition ページ(P.13-37) Posture Validation Policies ページ このページで、ポリシーを追加したり、既存のポリシーにアクセスして編集します。 Posture Validation Policies ページを表示するには、ナビゲーション バーの Posture Validation をク リックして、Internal Posture Validation Setup を選択します。 表 13-6 Posture Validation Policies ページ オプション 説明 Posture Validation Policies Name および Description でポリシーを特定します。Policy Details には、ポリシーに関連付 けられている規則が ID 番号で示されます。 Name <policy_name> Posture Validation Policies ページを表示して編集します。 Add Policy Posture Validation Policy ページを表示して、新しいポリシーを作成します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 13-35 第 13 章 ポスチャ確認 Posture Validation ページのリファレンス Posture Validation Policy ページ このページで、新規ポリシーの名前を説明を指定します。 Posture Validation Policy ページを表示するには、Posture Validation > Internal Posture Validation Setup > Add Policy を選択します。 表 13-7 Posture Validation Policy ページ オプション 説明 Name ポリシー名を定義します。ポリシー名を選択していると Descriptions が表示されないため、名前 は説明的なものにする必要があります。 名前には、最大で 32 文字まで使用できます。先頭と末尾にスペースを置くことはできません。 名前には、左角カッコ([) 、右角カッコ(]) 、カンマ(,) 、またはスラッシュ(/)を使用するこ とはできません。 Description ポリシーを説明する最大 255 文字のテキストを指定します。 同一のポリシーを複数のプロファイルに適用することが可能なため、有用な説明を付加すること で、ポリシーを変更するときに、どのサーバがそのポリシーを使用するかを理解していない場合 に発生する不測の設定エラーを防ぐこともできます。 Posture Validation Rules for <policy_name> ページを表示します。この場合の <policy_name> は新規 ポリシーの名前です。 Submit Posture Validation Rules for <policy_name> ページ このページを使用して規則を表示したり、規則の順番を設定します。 規則を編集するときに Posture Validation Rules for <policy_name> ページを表示するには、Posture Validation > Internal Posture Validation Setup > <policy_name> を選択します。 表 13-8 Posture Validation Rules for <policy_name> ページ オプション 説明 Posture Validation Rules for <Name> 各規則を ID 番号で表示します。規則の Conditions and Actions(ポスチャ トークンおよび通 知文字列として)を指定します。Description(指定された場合)には、ポリシーの情報が表 示されます。 Condition <condition_name> Posture Validation Rule - <policy_name> ページを表示して、既存の条件を編集します。 設定可能な規則が 1 つも true でない場合、Default Rule は、ACS がポリシーの適用結果とし て使用するポスチャ アセスメント、トークン、および通知文字列(指定された場合)を指 定します。 Default Rule の下にある、Posture Assessment リスト、Token リスト、および Notification String ボックスの持つ意味は、Posture Validation Rules テーブルの同名のオプションと同じです。 ただし、Posture Validation Rules テーブル内の規則が 1 つも true でない場合にデフォルト規 則が自動的に true になる点を除きます。 Add Rule Posture Validation Rule - <policy_name> ページを表示して、規則を作成します。 Up、Down 選択した規則を移動します。ソート順序をデータベースに送信します。 Rename Posture Validation Policy ページを表示して、ポリシーの名前を変更します。 Clone 選択したポリシーと同一のポリシーを作成します。クローニングされたポリシーを編集し て新規ポリシーを作成します。 Delete ポリシーを削除します。 Done Posture Validation Policies ページを表示します。 Cisco Secure ACS Solution Engine ユーザ ガイド 13-36 OL-14386-01-J 第 13 章 ポスチャ確認 Posture Validation ページのリファレンス Posture Validation Rule - <policy_name> ページ このページを使用して規則を表示および編集します。 規則を追加するときに Posture Validation Rule - <policy_name> ページを表示するには、Posture Validation > Internal Posture Validation Setup > <policy_name> > <condition> を選択します。 表 13-9 Posture Validation Rule - <policy_name> ページ オプション 説明 Condition Sets 規則に関連付けられている条件セットを表示します。<condition_name> によって、Add/Edit Condition ページが表示されます。 規則を追加または編集する場合、複合ブール式によって、規則に関連付けられている条件 の論理上の処理が決定されます。 • Match OR inside Condition and AND between Condition Sets:条件をそれほど厳しく処理 しません。 • Match AND inside Condition and OR between Condition Sets:条件を厳しく処理します。 Add Condition Set Add/Edit Condition ページを表示します。 Posture Token ベンダーとアプリケーション、およびトークン(APT)を指定します。規則が true の場 合、Token リストは、対応する Posture Assessment リストで選択されたベンダーおよびア プリケーションに関連付けられた APT を指定します。トークンの詳細については、P.13-4 の「ポスチャ トークン」を参照してください。 Notification String Result Credential Type リストで示されたアプリケーションに送信されるテキスト メッセー ジを指定します。テキスト メッセージを使用できるかどうかは、ベンダーで決まります。 一部の NAC 準拠アプリケーションでは、Notification String ボックスは使用できません。 Add/Edit Condition ページ このページを使用して条件を追加または編集します。 規則を追加するときに Add/Edit Condition ページを表示するには、Posture Validation > Internal Posture Validation Setup > <policy_name> > <condition> > <condition_set> を選択します。 表 13-10 Add/Edit Condition ページ オプション 説明 Condition Elements Table 各条件を表示します。ベンダーとアプリケーション、つまりクレデンシャル タイプを指 定します。規則が true の場合、クレデンシャル タイプは、対応する Token リスト内のトー クンが関連付けられたアプリケーションを指定します。たとえば、Cisco Trust Agent は Cisco:PA としてリストに表示されます。クレデンシャル タイプの詳細については、P.13-6 の「ポスチャのクレデンシャルとアトリビュートについて」を参照してください。 Attribute 使用可能なアトリビュートが表示されます。 Entity エンティティが必要なアトリビュートについて、使用可能なエンティティを表示します。 Operator アトリビュートの適切な演算子を表示します。 Value アトリビュートの適切な値を指定します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 13-37 第 13 章 ポスチャ確認 Posture Validation ページのリファレンス External Posture Validation Setup ページ 次のトピックでは、External Posture Validation Setup ページについて説明します。 • External Posture Validation Servers ページ(P.13-38) • Add/Edit External Posture Validation Server ページ(P.13-38) External Posture Validation Servers ページ このページで、既存の外部ポスチャ確認サーバを表示します。 External Posture Validation Servers ページを表示するには、Posture Validation > External Posture Validation Setup を選択します。 表 13-11 External Posture Validation Servers ページ オプション 説明 Name Add/Edit External Posture Validation Server ページを表示して、既存のポリシーを編集します。 Description、Forward Credential Type、および Server Details には、ポリシーの現在の設定が 表示されます。 Add Server Add/Edit External Posture Validation Server ページを表示して、新しいポリシーを作成します。 Add/Edit External Posture Validation Server ページ このページで、外部ポスチャ確認サーバを追加または編集します。 Add/Edit External Posture Validation Server ページを表示するには、Posture Validation > External Posture Validation Setup を選択します。次に Add Server をクリックしてサーバを追加するか、ま たは <server_name> をクリックしてサーバを編集します。 表 13-12 Add/Edit External Posture Validation Server ページ オプション 説明 Name サーバを識別する名前を指定します。 名前には、最大で 32 文字まで使用できます。先頭と末尾にスペースを置くことはできま せん。名前には、左角カッコ([)、右角カッコ(])、カンマ(,)、またはスラッシュ(/) を使用することはできません。 Description サーバを説明する最大 255 文字のテキストを指定します。Description ボックスに入力す るテキストは、ポリシーを使用するプロファイルごとに、ポリシーの横に表示されます。 Description ボックスを使用すると、ポリシーの名前に含められなかった詳細情報を入力 できます。たとえば、ポリシーの目的を説明することや、ポリシーの規則を要約するこ とが可能です。 同一のポリシーを複数のプロファイルに適用することが可能なため、有用な説明を付加 することで、ポリシーを変更するときに、どのプロファイルがそのポリシーを使用する かを理解していない場合に発生する不測の設定エラーを防ぐこともできます。 Cisco Secure ACS Solution Engine ユーザ ガイド 13-38 OL-14386-01-J 第 13 章 ポスチャ確認 Posture Validation ページのリファレンス 表 13-12 Add/Edit External Posture Validation Server ページ(続き) オプション 説明 Primary Server Configuration プライマリ NAC サーバ(およびオプションのセカンダリ NAC サーバ)をイネーブルに Secondary Server Configuration します。ACS は、これらのサーバを使用してポリシーを適用し、ACS が転送するクレデ ンシャル タイプのセットを設定します。 外部ポリシーが適用されるポスチャ確認要求ごとに、ACS は、イネーブルになっている ポリシーのイネーブルになっている最初のサーバ設定を使用します。イネーブルになっ ている最初のサーバがプライマリ サーバのとき、ACS がプライマリ サーバに到達できな い場合や、プライマリ サーバが要求への応答に失敗した場合、ACS はセカンダリ サーバ を使用します(セカンダリ サーバが設定済みかつイネーブルの場合)。 URL サーバの HTTP または HTTPS URL を指定します。URL の形式は次のようになります。 [http[s]://]host[:port]/resource host は NAC サーバのホスト名または IP アドレス、port はポート番号、resource は URL の残りの部分で、いずれも NAC サーバそのもので必要になります。URL は、サーバのベ ンダーと設定によって異なります。NAC サーバに必要な URL については、NAC サーバ のマニュアルを参照してください。 デフォルト プロトコルは、HTTP です。ホスト名で始まる URL は、HTTP が使用される ことを前提としています。HTTPS を使用するには、https:// で始まる URL を指定し、自 己生成 CA 証明書をこのポリシー サーバの ACS にインポートする必要があります。 P.9-26 の「ACS 証明書のセットアップ」を参照してください。 ポートが省略された場合は、デフォルト ポートが使用されます。HTTP のデフォルト ポー トはポート 80 で、HTTPS のデフォルト ポートはポート 443 です。 NAC サーバのホスト名が antivirus1 の場合、有効な URL は次のようになります。ここで、 NAC サーバはポート 8080 を使用して、cnac という Web ディレクトリ内の policy.asp ス クリプトが提供されるサービスの HTTP 要求に応答します。 http://antivirus1:8080/cnac/policy.asp antivirus1:8080/cnac/policy.asp 同じサーバがデフォルト HTTP ポートを使用した場合、有効な URL は次のようになりま す。 http://antivirus1/cnac/policy.asp http://antivirus1:80/cnac/policy.asp antivirus1/cnac/policy.asp antivirus1:80/cnac/policy.asp 同じサーバがデフォルト ポート上で HTTPS を使用した場合、有効な URL は次のように なります。 https://antivirus1/cnac/policy.asp https://antivirus1:443/cnac/policy.asp Username サーバへのアクセスに必要なユーザ名を指定します。サーバがパスワードで保護されて いない場合、Username および Password フィールドの値は無視されます。 Password サーバへのアクセスに必要なパスワードを指定します。サーバがパスワードで保護され ていない場合、Username および Password フィールドの値は無視されます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 13-39 第 13 章 ポスチャ確認 Posture Validation ページのリファレンス 表 13-12 Add/Edit External Posture Validation Server ページ(続き) オプション 説明 Timeout (sec) ドメインの名前解決を含め、外部サーバから結果を受信するまで ACS が待機する秒数。 Timeout は、ゼロ(0)よりも大きな値で指定してください。デフォルト値は 10 です。 プライマリ サーバがタイムアウトした場合、ACS は、要求をセカンダリ サーバ(設定さ れている場合)に転送します。セカンダリ サーバが設定されていない場合や、セカンダ リ サーバへの要求もタイムアウトした場合、ACS は外部ポリシーを適用できないため、 ポスチャ確認要求は拒否されます。 どのポスチャ確認要求に対しても、常に、ACS は最初にプライマリ サーバを試行します。 この場合、以前の要求がタイムアウトしたかどうかは関係ありません。 サーバが使用するサーバ証明書を発行する認証局(CA)。プロトコルが HTTPS の場合、 ACS がクレデンシャルをサーバに転送するのは、サーバから提示される証明書が、この リストで指定された CA によって発行されている場合に限られます。信頼できるルート CA がサーバ証明書を発行していないために、ACS が要求をプライマリまたはセカンダリ NAC サーバに転送できない場合、外部ポリシーは適用できないため、ポスチャ確認要求 は拒否されます。 Trusted Root CA Trusted Root CA リストには、NAC サーバ証明書を発行した CA を必ず含める必要があり ます。詳細については、P.9-30 の「認証局証明書の追加」を参照してください。 ACS は、Certificate Revocation List(CRL; 証明書失効リスト)で NAC サーバ証明書を チェックしません。この場合、NAC サーバ証明書の CA に対して CRL 発行元を設定して いるかどうかは関係ありません。 証明書の名前とタイプは一致する必要があります。たとえば、サーバが VeriSign Class 1 Primary CA 証 明 書 を 提 示 し た 場 合、Trusted Root CA リ ス ト で VeriSign Class 1 Public Primary CA が選択されているときは、ACS は HTTPS の使用時にクレデンシャルをサーバ に転送しません。 Forwarding Credential Types Available Credentials リストは、外部サーバに送信されないクレデンシャル タイプを指定 します。Selected Credentials は、外部サーバに送信されるクレデンシャル タイプを指定し ます。 Available Credential リストにクレデンシャル タイプを追加するには、次の情報を参照して ください。ACS for Windows の場合、CSUtil.exe コマンドを使用します。詳細な手順につ いては、P.C-41 の「外部監査ポスチャ確認サーバのインポート」を参照してください。 ACS SE の場合、Web インターフェイスの NAC Attributes Management ページを使用しま す。詳細な手順については、P.8-49 の「NAC Attribute Management(ACS SE のみ) 」を参 照してください。 External Posture Validation Audit Setup ページ 次のトピックでは、External Posture Validation Audit Setup ページについて説明します。 • External Posture Validation Audit Server ページ(P.13-42) • External Posture Validation Audit Server Setup ページ(P.13-42) Cisco Secure ACS Solution Engine ユーザ ガイド 13-40 OL-14386-01-J 第 13 章 ポスチャ確認 Posture Validation ページのリファレンス External Posture Validation Audit Server ページ External Posture Audit Server ページで、設定された各サーバの名前、説明、サーバの詳細、および現 在のポスチャ トークンを表示します。 Add/Edit External Posture Validation Server ページを表示するには、Posture Validation > External Posture Validation Audit Setup を選択します。 External Posture Validation Audit Server Setup ページ このページで、外部ポスチャ確認監査サーバを追加または編集します。 Add Server ページ このページを表示するには、Posture Validation > External Posture Validation Audit Setup > Add Server を選択します。 Edit Server ページ このページを表示するには、Posture Validation > External Posture Validation Audit Setup を選択し、 <server_name> をクリックします。必要に応じて、Audit Server 設定を編集できますが、次のような 例外があります。 • 監査ポリシーが複数の NAP に関連付けられている場合、ポリシーへの変更は、関連付けられ ている各 NAP のポスチャ確認に影響します。 • ポリシーの名前を変更する場合、Submit をクリックすると新しいポリシーが作成されます。ポ リシーの名前を変更したり、既存の複数のポリシーの設定を同時に変更することはできませ ん。 表 13-13 External Posture Validation Audit Server Setup オプション オプション 説明 Name 監査ポリシーの名前。 名前には、最大で 32 文字まで使用できます。先頭と末尾にスペースを置くことはでき ません。名前には、左角カッコ([)、右角カッコ(])、カンマ(,)、またはスラッシュ (/)を使用することはできません。 Description 監査ポリシーの説明(最大 255 文字)。 Which Groups and Hosts are Audited Audit all user groups Audit these user groups Do not audit these user groups ユーザ グループ オプションでは、Selected Groups リストのグループの監査を決定しま す。 Audit all hosts ポスチャ エージェントを含まないすべてのホストを監査します。 Audit these hosts Do not audit these hosts 特定のホストだけを監査するか、または Host IP Addresses and Ranges(IP/MASK) (カ ンマ区切り形式)フィールドに定義されている特定のホストを除外します。 Host MAC Address(カンマ区切り形式)の場合、ACS は 00-0D-60-FB-16-D3 また は 000D.60FB.16D3 の 2 つの MAC アドレス形式を受け入れます。範囲を示す MAC プレ フィクスを入力できます。たとえば、00-0D-60-FB-16 または 000D.60 は、これらのバ イトで始まる任意の MAC アドレスに一致します。 MAC プレフィクスには、偶数の 16 進数字を含める必要があります。 MAC アドレスのマッチングでは、大文字と小文字が区別されます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 13-41 第 13 章 ポスチャ確認 Posture Validation ページのリファレンス 表 13-13 External Posture Validation Audit Server Setup オプション (続き) オプション 説明 Select a token for the hosts that will not be audited 監査されないホストに ACS が適用するポスチャ トークン Use These Audit Servers Audit Server Vendor ドロップダウン リストに、内部 ACS ディクショナリに定義されている監査 Application Posture Token(APT; アプリケーション ポスチャ トークン)のあるベンダーが表示され ます。 ドロップダウン リストに監査サーバが表示されない場合、監査サーバのセットアップ については、P.C-36 の「ポスチャ確認アトリビュート」 (ACS for Windows)または P.8-49 の「NAC Attribute Management(ACS SE のみ)」を参照してください。 Primary Server Configuration、 Secondary Server Configuration いずれのオプションも、監査サーバの設定をイネーブルにします。ACS では、プライ マリ サーバが必要です。セカンダリ サーバは、フェールオーバー機能を果たします (必須ではありません)。Secondary Server Configuration のオプションは、Primary Server Configuration のオプションと同じです。 監査サーバの URL。HTTP または HTTPS プロトコルを指定します。 URL URL は、次のフォーマットに従う必要があります。 [http[s]://]host[:port]/resource host は 外部サーバのホスト名または IP アドレス、port はポート番号、resource は URL の残りの部分で、いずれも外部サーバそのもので必要になります。URL は、サーバの ベンダーと設定によって異なります。 監査サーバ マニュアルには、フォーマットに関する特定のガイドラインがあります。 Username 監査サーバで必要なユーザ名。 Password 監査サーバで必要なパスワード。 Timeout (sec) ドメインの名前解決を含め、監査サーバから結果を受信するまで ACS が待機する秒数。 Timeout は、ゼロ(0)よりも大きな値で指定してください。 Trusted Root CA 監査サーバの URL が HTTP プロトコルを指定する場合に必要な認証局。このオプショ ンは、プライマリ サーバにインストールされている監査サーバ証明書を発行した認証 局と一致します。 Validate Certificate Common Name このオプションをオン(イネーブル)にすると、証明書の共通名との比較のために、 URL 内のホスト名が表示されます。名前が一致しない場合、ACS は SSL 接続を閉じ、 ポスチャ確認が失敗して、ユーザ アクセスが拒否されます。 Audit Flow Settings Use this Posture Token while Audit Server does not yet have a posture validation result 結果を待つ間、ACS から NAD に送信される仮のポスチャ トークン。監査サーバが応 答のないホストの実際のポスチャを決定する前に、ACS は進行中のトークンを使用し ます。 Polling Intervals and Session-Timeout 監査サーバによって送信されたタイムアウト値、または認可ポリシーで設定されたタ イムアウト値。設定に認可ポリシーで設定された値を使用する場合、ACS にポーリン グ間隔が必要になります。最終結果のトークンに特定のタイムアウト値を割り当てる ために、認可ポリシーには必要な RAC を含める必要があります。P.14-38 の「認可規則 の設定」を参照してください。 Maximum amount of times the Audit Server should be polled ACS が監査サーバに結果(ポスチャ トークン)を問い合せる最大回数。範囲は 1 ∼ 10 回です。 Policy string to be sent to the Audit 監査サーバが名前付きポリシーの呼び出しをサポートする場合は、ポリシーの名前。 Server Cisco Secure ACS Solution Engine ユーザ ガイド 13-42 OL-14386-01-J 第 13 章 ポスチャ確認 Posture Validation ページのリファレンス 表 13-13 External Posture Validation Audit Server Setup オプション (続き) オプション 説明 GAME Group Feedback Request Device Type from Audit Server 監査ポリシーの設定オプションをイネーブルにします。イネーブルにした場合、監査 機能は、監査サーバにデバイス タイプを要求し、そのデバイス タイプを MAC 認証が 返すデバイス タイプと照合できます。 チェックボックスが使用できない場合、内部 ACS ディクショナリでベンダーの監査デ バイス タイプ アトリビュートを定義します。 ACS for Windows の場合、CSUtil.exe コマンドを使用します。詳細については、P.C-36 の「ポスチャ確認アトリビュート」を参照してください。 ACS SE の場合、Web インターフェイスの NAC Attributes Management ページを使用し ます。詳細については、P.8-49 の「NAC Attribute Management(ACS SE のみ)」を参照 してください。 Assign This Group if Audit Server 監査サーバがデバイス タイプを返さないときに、任意の管理者定義のグループにデバ Did not Return a Device Type イスを割り当てられるようにします。 User Group Any を含むすべてのユーザ グループを表示します。MAC 認証が返すデバイス タイプ は、最初にこのデバイス タイプのリストと比較されます。 Device Type 演算子とデバイス タイプを使用して、User Group の比較基準を定義します。 演算子の有効な値は次のとおりです。 match-all = != contains starts-with regular-expression デバイス タイプ ドロップダウンの有効な値は編集できません。次の値が含まれます。 Printer IP Phone Network Infrastructure Wireless Access Point Windows Unix Mac Integrated Device PDA Unknown デバイス タイプ ドロップダウンに特定のデバイスがない場合は、テキスト ボックスに デバイス タイプを入力します。 Assign User Group 管理者定義のユーザ グループのドロップダウン リスト。最初の User Group と Device Type の比較が成功すると、ACS はこのユーザ グループを割り当てます。 Add、Delete、Up、Down ユーザ グループに影響するコントロール。 Submit、Delete、Cancel ポリシー全体に影響するコントロール。 監査ポリシーは、複数の NAC ネットワーク アクセス プロファイルで使用できます。ポ リシーを削除する前に、削除の影響を受ける NAC ネットワーク アクセス プロファイ ルを確認する必要があります。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 13-43 第 13 章 ポスチャ確認 Posture Validation ページのリファレンス Cisco Secure ACS Solution Engine ユーザ ガイド 13-44 OL-14386-01-J C H A P T E R 14 ネットワーク アクセス プロファイル Cisco Secure Access Control Server Release 4.2(以降は ACS と表記)は、Network Access Profiles(NAP; ネットワーク アクセス プロファイル)をサポートしています。 この章では、NAP について説明します。次の項で構成されています。 • NAP の概要(P.14-2) • NAP の管理(P.14-5) • プロファイル テンプレートの使用(P.14-9) • プロファイル用ポリシーの設定(P.14-23) • ポリシーの複製およびバックアップ(P.14-41) • Network Access Profiles ページのリファレンス(P.14-42) Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 14-1 第 14 章 ネットワーク アクセス プロファイル NAP の概要 NAP の概要 一般的な組織には、ネットワークにアクセスするさまざまな種類のユーザが存在し、その方法も目 的も異なります。これに応じて、異なる使用例には別個のセキュリティ ポリシーを適用する必要が あります。たとえば、物理的に保護された生産工場と比較すると、建物のロビー エリアの無線アク セス ポイントには、より強固で制限されたセキュリティ ポリシーを適用する必要があります。あ るいは、Virtual Private Network(VPN; バーチャル プライベート ネットワーク)を使用するリモー ト アクセス ユーザは、ファイアウォールの内側からログインするユーザとは異なる方法で扱う必 要があります。一部のサブネットワークを介して接続するユーザには、他のユーザとは異なる認証 を行う場合があります。無線アクセスは、多くの場合、任意の形式のリモート アクセス(ダイヤ ル、VPN、家庭内無線)として有線アクセスよりも厳しく扱われます。 NAP は、プロファイルとも呼ばれ、基本的に一般的なポリシーを適用することを目的としたネット ワーク アクセス要求を分類するものです。NAP を使用して、ネットワーク内の特定の場所でアク ティブにする必要のあるすべてのポリシーを集約できます。別の方法として、VPN や Access Point (AP; アクセス ポイント)など、同じデバイス タイプを扱うポリシーをすべて集約することもでき ます。 (注) NAP 用の Terminal Access Controller Access Control System(TACACS+; ターミナル アクセス コント ローラ アクセス コントロール システム)プロトコルは、ACS ではサポートされていません。 次のトピックでは、NAP と NAP に関連付けられたポリシーについて説明します。 • アクセス要求の分類(P.14-2) • プロファイルベースのポリシー(P.14-3) • NAP とプロファイルベース ポリシーの設定ワークフロー(P.14-4) • 一致しないユーザ要求の処理(P.14-4) アクセス要求の分類 アクセス要求は、AAA クライアントの IP アドレス、Network Device Group(NDG; ネットワーク デ バイス グループ)のメンバーシップ、プロトコル タイプ、またはユーザが接続時に経由するネッ トワーク デバイスによって送信される他の特定の RADIUS アトリビュート値に従って分類できま す。 次の分類方式のいずれか 1 つまたはすべてを使用して、アクセス要求を分類できます。 • NAF(P.14-3) • プロトコル タイプ(P.14-3) • 高度なフィルタリング(P.14-3) 選択済みの条件がすべて一致するときに、プロファイルが選択されます。各条件で、値 Any は必ず その条件に一致します。たとえば、無線用の Network Access Filter(NAF; ネットワーク アクセス フィルタ)を作成して Aironet プロトコル タイプを選択すると、無線 NAF でこのプロトコル タイ プを持つデバイスだけがフィルタリング対象として選択されます。 Cisco Secure ACS Solution Engine ユーザ ガイド 14-2 OL-14386-01-J 第 14 章 ネットワーク アクセス プロファイル NAP の概要 NAF NAF は、AAA クライアント設定(複数のネットワーク デバイスを表す場合もある)、NDG、また は特定の AAA クライアント デバイスの IP アドレスを対象としたグループ化です。NAF を使用し て、異なるデバイスのセットをグループ化(および名前付け)することができます。たとえば、these devices comprise the abc network service などです。 また、同じデバイス タイプ上でユーザ要求を区別するために NAF を使用することもできます。た とえば、新しい暗号化プロトコルをイネーブルにするなどの理由で、Aironet 無線 AP の IOS アップ グレードに取り組んでいる間は、アップグレードした AP とアップグレードしていない AP に別個 の NAP が必要になります。 (注) NDG を集約し、ユーザをプロファイルに割り当てるためのフィルタとしてその NDG を使用する場 合には、NAF を設定してからプロファイルをセットアップする必要があります。 プロトコル タイプ プロトコル タイプを使用して、ネットワークへのアクセス要求に使用されるプロトコルのタイプに 基づいてユーザ要求を分類します。 高度なフィルタリング 規則は、特定の RADIUS アトリビュートと値(Cisco AV ペアを含む)に基づいて作成できます。各 規則には 1 つ以上の規則要素が含まれており、規則全体が true であるためには、各規則要素が true である必要があります。つまり、規則の規則要素すべてがブール AND で結合されます。高度なフィ ルタリング オプションの詳細については、P.14-43 の「Profile Setup ページ」を参照してください。 プロファイルベースのポリシー プロファイルを設定したら、組織のセキュリティ ポリシーを反映させるために、規則またはポリ シーのセットをプロファイルに関連付けます。プロファイルベースのポリシーには、認証、認可、 およびポスチャ確認のための規則が含まれます。 プロファイルベースのポリシーを定義することによって、認証をさまざまなディレクトリにリダイ レクトできます。たとえば、無線ユーザが AD への認証を行う必要があるときに、VPN を介して ネットワークにアクセスする同じユーザが、RSA One-Time Password(OTP; ワンタイム パスワード) ディレクトリへの認証を行う必要がある場合などです。 ACS はパケットを受信すると、プロファイル フィルタを評価してパケットを分類します。プロファ イルが一致すると、ACS は、パケット処理中にプロファイルに関連付けられた設定およびポリシー を適用します。ACS は、トランザクションの最初のアクセス要求で、最初に一致するプロファイル を使用します。一致するプロファイルが見つからない場合、ACS はグローバル設定に戻ります。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 14-3 第 14 章 ネットワーク アクセス プロファイル NAP の概要 NAP とプロファイルベース ポリシーの設定ワークフロー プロファイルは、最初から作成するか、付属するテンプレートの 1 つを使用してデフォルト値を読 み込むことができます。付属のテンプレートは、NAC 対応ネットワークの場合に特に有用です。詳 細については、P.14-9 の「プロファイル テンプレートの使用」を参照してください。 次に、NAP と NAP に関連するポリシーの作成手順を示します。 1. ACS で制御するネットワーク サービスを特定します(たとえば、VPN、ダイヤル、WLAN、 ip_admission) 。 2. ネットワーク サービスごとにプロファイルをセットアップします。プロファイルをセットアッ プすることで、ACS による要求の認識方法または識別方法が定義されます(たとえば、デバイ ス IP、NDG、NAF、高度なフィルタリング)。詳細については、P.14-5 の「プロファイルの追 加」を参照してください。 3. サービスに必要なパスワード プロトコルと EAP 設定を定義します。詳細については、P.14-23 の「NAP のプロトコル設定」を参照してください。 4. サービスで必要な認証方式を定義します。詳細については、P.14-27 の「NAP の認証ポリシー 設定」を参照してください。 5. ポスチャ確認ポリシーまたは規則を定義します(Network Admission Control(NAC; ネットワー ク アドミッション コントロール)が展開の一部である場合は、オプションです)。詳細につい ては、P.14-29 の「NAP のポスチャ確認ポリシー設定」を参照してください。 6. SoH 規則を定義します。詳細については、P.14-33 の「正常性ステートメントを処理するポス チャ確認ポリシーの設定」を参照してください。 7. グループから RADIUS Authorization Components(RAC; RADIUS 認可コンポーネント)への認 可マッピング、および Downloadable Access Control List(DACL; ダウンロード可能アクセス コ ントロール リスト)を定義します。NAC が使用中の場合には、System Posture Token(SPT; シ ステム ポスチャ トークン)も組み込みます。詳細については、P.14-38 の「認可規則の設定」 を参照してください。 アクセスが許可されると(access-accept) 、ACS はユーザ、ユーザ グループ RAC、ACL をマージ して、結果を AAA クライアントにプロビジョニングします。詳細については、P.14-37 の「アトリ ビュートのマージ」を参照してください。 一致しないユーザ要求の処理 ACS では、グローバル設定および NAP 固有の設定を定義することができます。グローバル設定に は、次の 2 つの用途があります。 • プロファイルに一致しない要求に対するフォールバック動作を定義する。 • NAP のベースラインを定義する(NAP 認証ページでプロトコルをイネーブルにする場合は、ま ず Global Authentication Setup ページでプロトコルをイネーブルにする必要があります)。 従来のグローバル設定と NAP はサポートされていて相互に運用できますが、この項で説明する場 合を除き、両方を使用することはお勧めしません。 一致するプロファイルが 1 つも存在せず、アクセス要求を分類できない場合は、アクセスを拒否す ることをお勧めします。 ACS フォールバック動作と NAP を使用する必要があるのは、TACACS+ を使用する場合だけです。 NAP は、現在 TACACS+ をサポートしていません。グローバル設定を使用してアクセスを許可する ことが、TACACS+ と NAP 設定を RADIUS で使用する唯一の方法です。 両方を使用するときは、グローバル設定を使用するフォールバック動作によってネットワークにセ キュリティ上の欠陥が発生しないように保証する必要があります。 Cisco Secure ACS Solution Engine ユーザ ガイド 14-4 OL-14386-01-J 第 14 章 ネットワーク アクセス プロファイル NAP の管理 NAP の管理 次のトピックでは、NAP のセットアップ方法と管理方法を説明します。 • プロファイルの追加(P.14-5) • プロファイルの順序変更(P.14-6) • プロファイルの編集(P.14-6) • プロファイルのクローニング(P.14-7) • プロファイルの削除(P.14-8) • プロファイル テンプレートの使用(P.14-9) プロファイルの追加 このトピックでは、プロファイルを最初からセットアップする方法を説明します。プロファイル テ ンプレートからプロファイルを作成する方法については、P.14-9 の「プロファイル テンプレートの 使用」を参照してください。 プロファイルを追加するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Network Access Profiles をクリックします。 Network Access Profiles ページが表示されます。 ステップ 2 Add Profile をクリックします。 Profile Setup ページが表示されます。 ステップ 3 Name ボックスに、新しいプロファイルの名前を入力します。 ステップ 4 Description ボックスに、新しいプロファイルの説明を入力します。 ステップ 5 プロファイルをイネーブルにするには、Active チェックボックスをオンにします。 ステップ 6 プロファイルのアクセス要求分類のオプションを設定します。プロファイル設定オプションの詳細 については、P.14-43 の「Profile Setup ページ」を参照してください。 ステップ 7 Submit をクリックします。 Network Access Profile ページが表示されます。ネットワーク アクセス プロファイルの最初に一致し たものが、クライアント要求を認証、認可、またはその両方を行うために実装されます。 ステップ 8 Up または Down ボタンを使用して適切な位置にプロファイルを移動し、その情報を ACS に送信し ます。 ステップ 9 ACS で一致しないアクセス要求を処理する方法を設定します。詳細については、P.14-4 の「一致し ないユーザ要求の処理」を参照してください。 ステップ 10 変更内容を有効にするために、Apply and Restart をクリックします。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 14-5 第 14 章 ネットワーク アクセス プロファイル NAP の管理 プロファイルの順序変更 ACS は、アクセス要求をプロファイルと突き合せる際に、最初に一致するものを使用するため、リ スト内でのプロファイルの順序は重要です。 プロファイルの順序を設定するには、次の手順を実行します。 ステップ 1 P.14-42 の「Network Access Profiles ページ」で、オプション ボタンをクリックしてプロファイルを 選択します。 ステップ 2 Up または Down をクリックして、プロファイルを適切な位置に移動します。 ステップ 3 変更内容を有効にするために、Apply and Restart をクリックします。 プロファイルの編集 プロファイル設定を編集するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Network Access Profiles をクリックします。 Network Access Profiles ページが表示されます。 ステップ 2 プロファイルのフィルタリング方法を変更するには、次の手順を実行します。 a. Network Access Profiles ページで、プロファイル名をクリックします。 Profile Setup ページが表示されます。 b. 必要に応じてフィルタリング方法を変更します。フィルタリング オプションの詳細について は、P.14-43 の「Profile Setup ページ」を参照してください。 ステップ 3 プロファイルの設定ポリシーを変更するには、次の手順を実行します。 a. プロファイルの関連する設定ポリシーを選択します。 関連するポリシー設定ページが表示されます。 b. ポリシーを編集します。詳細については、P.14-23 の「プロファイル用ポリシーの設定」を参照 してください。 ステップ 4 プロファイル設定を保存するには、Network Access Profiles ページに戻り、Apply and Restart をク リックします。 Cisco Secure ACS Solution Engine ユーザ ガイド 14-6 OL-14386-01-J 第 14 章 ネットワーク アクセス プロファイル NAP の管理 プロファイルのクローニング クローニングによって、次の NAP の関連コンポーネントがすべて複製されます。 • プロトコル参照:パスワード プロトコル。 • 認証参照:外部データベース。 • ポスチャ参照:内部または外部のポスチャ確認と、外部監査サーバ。ポスチャ参照の詳細につ いては、P.13-19 の「ポスチャ確認ポリシーの設定」を参照してください。 • 認可参照:RAC と DACL。 NAP のクローニングでは、プロファイルが参照する、共有プロファイル コンポーネントも、内部 および外部ポスチャ確認ポリシーもコピーされません。新しくクローニングされたプロファイル は、元のプロファイルと同じ共有プロファイル コンポーネントを参照します。たとえば、名前で参 照されるコンポーネント(RAC、DACL、NAF)は同じままです。 NAP は、クローニングするときに、最初はデフォルトで非アクティブになっています。この非アク ティブな状態により、ACS がアクセス要求をプロファイルと突き合せる際のあいまいさが避けられ ます。クローニングされたプロファイルを修正した後で、ステータスをアクティブな状態に変更で きます。 プロファイルの説明、アクティブ フラグ、プロトコルの選択、高度なフィルタ、認証、および認可 ポリシーは、すべてクローニング(コピー)されます。ポスチャ確認ポリシー(内部、外部、監査 サーバ)はコピーされませんが、新しく作成したプロファイルによって参照されます。 クローニングでは、Copy-of- という名前が付けられます。マルチ クローニングの場合(クローニン グされた要素をクローニングする場合)、プレフィックスとして Copy-(2)-of- が指定されます。 新しい名前の長さが 32 文字を超えた場合、名前は 32 文字に切り捨てられます。 プロファイルをクローニングするには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Network Access Profiles をクリックします。 Network Access Profiles ページが表示されます。 ステップ 2 クローニングするプロファイルの名前をクリックします。 Profile Setup ページが表示されます。 ステップ 3 Clone をクリックします。 クローニングされたプロファイルのコピーが Network Access Profiles ページに表示されます。 ステップ 4 (オプション)クローニングされたプロファイルを修正します。プロファイルの編集の詳細につい ては、P.14-6 の「プロファイルの編集」を参照してください。 ステップ 5 変更内容を有効にするために、Apply and Restart をクリックします。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 14-7 第 14 章 ネットワーク アクセス プロファイル NAP の管理 プロファイルの削除 プロファイルを削除するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Network Access Profiles をクリックします。 Network Access Profiles ページが表示されます。 ステップ 2 Name をクリックします。 Profile Setup ページが表示されます。 ステップ 3 Delete をクリックします。 警告メッセージが表示されます。 ステップ 4 プロファイル設定を削除するには OK をクリックします。 ステップ 5 変更内容を有効にするために、Apply and Restart をクリックします。 Cisco Secure ACS Solution Engine ユーザ ガイド 14-8 OL-14386-01-J 第 14 章 ネットワーク アクセス プロファイル プロファイル テンプレートの使用 プロファイル テンプレートの使用 プロファイル テンプレートを使用して、新規プロファイルを作成します。新規プロファイルを最初 からセットアップする代わりに、定義済みのプロファイル テンプレート セットからプロファイル を選択できます。テンプレートのリストについては、P.14-10 の「プロファイル テンプレート」を 参照してください。テンプレートには、事前に定義された NAC サンプル セットが含まれており、 NAC ポリシーを構成する基礎として使用できます。テンプレートをベースにして新しいプロファ イルをセットアップした後は、セキュリティ ポリシーの特定のニーズに合せてプロファイル設定を カスタマイズできます。 (注) 各テンプレートは共有プロファイル コンポーネントのセットを参照します。テンプレートを作成 する前に、ACS は適切な共有プロファイル コンポーネントが存在することを確認します。共有プ ロファイル コンポーネントが設定されていなかった場合、ACS は、選択されたテンプレート用に 作成された共有プロファイル コンポーネントのセットを使用します。 定義済みのテンプレートを選択すると、プロファイル認証、ポスチャ確認、および認可ポリシーを 含んだ全面的な NAP が ACS によって作成されます。 次のトピックでは、プロファイル テンプレートとその使用法を説明します。 • プロファイル テンプレートを使用する際の前提条件(P.14-9) • プロファイル テンプレートによるプロファイルの作成(P.14-10) • プロファイル テンプレート(P.14-10) プロファイル テンプレートを使用する際の前提条件 プロファイル テンプレートを使用する前に、次の設定を行う必要があります。 • RADIUS Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)プロトコ ルを使用する 1 つ以上の AAA クライアント • 証明書のセットアップ • 管理者アカウント(必要な場合) • ロギングの設定 • テンプレート用のグローバル認証のセットアップ(テンプレートによって異なります) • Interface Configuration > Advanced Options の User-Level Downloadable ACLs または Group-Level Downloadable ACLs(テンプレートによって異なります) ACS 規則は、ACS ディクショナリに存在するアトリビュートで構成されます。インストール時に ACS ポスチャ ディクショナリは、cisco:pa に所属するアトリビュートを組み込むように初期化さ れます(すべての Cisco Trust Agent(CTA)実装で、このデフォルトのアトリビュート セットをサ ポートすることは必須になっています)。 テンプレートによって作成される内部ポスチャ確認ポリシーは、これらのアトリビュート セットに 基づきます。 ACS では、作成される各テンプレートは再利用可能なオブジェクトのセットを参照します。テンプ レートを作成する前に、ACS は関連する再利用可能なオブジェクトがすでに存在するかどうかを確 認します。存在しない場合、ACS はテンプレートの必須オブジェクトを自動的に作成します。これ らのオブジェクトが事前に存在しなくても、テンプレートによるプロファイルの作成は失敗しませ ん。選択したテンプレートに再利用可能なオブジェクトが存在する場合は、関連する再利用可能な オブジェクトが使用されます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 14-9 第 14 章 ネットワーク アクセス プロファイル プロファイル テンプレートの使用 (注) アトリビュートがポスチャ確認ポリシーで使用中の場合には、アトリビュートを削除できません。 プロファイル テンプレートによるプロファイルの作成 プロファイル テンプレートを選択するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの Network Access Profiles をクリックします。 Network Access Profiles ページが表示されます。 ステップ 2 Add Template Profile をクリックします。 P.14-45 の「Create Profile from Template ページ」が表示されます。 ステップ 3 プロファイルの Name および Description を入力します。 ステップ 4 ドロップダウン リストからテンプレートを選択します。 ステップ 5 Active チェックボックスをオンにして、プロファイルをアクティブにします。 ステップ 6 Submit をクリックします。 プロファイルで作成された新しいオブジェクトを示すウィンドウが表示されます。 ステップ 7 Close をクリックします。 Network Access Profiles ページが再度開き、新しいプロファイルが表示されます。 ステップ 8 プロファイル設定を保存するには、Apply and Restart をクリックします。 プロファイル テンプレート 次のトピックでは、ACS が提供するプロファイル テンプレートについて説明します。 • NAC L3 IP(P.14-11) • NAC L2 IP(P.14-13) • NAC レイヤ 2 802.1x(P.14-16) • Microsoft IEEE 802.1x(P.14-18) • 無線(NAC L2 802.1x)(P.14-18) • Agentless Host for L2(802.1x フォールバック)(P.14-18) (802.1x フォールバック) • Agentless Host for L3(P.14-19) (EAP over User Datagram Protocol(UDP; ユーザ データグラム プ ロトコル)フォールバック) • Agentless Host for L2 and L3(P.14-20) Cisco Secure ACS Solution Engine ユーザ ガイド 14-10 OL-14386-01-J 第 14 章 ネットワーク アクセス プロファイル プロファイル テンプレートの使用 NAC L3 IP このテンプレートは、レイヤ 3 ポスチャ確認を使用した LAN ポート IP からのアクセス要求に使用 されます。 このテンプレートを使用する前に、Global Authentication Setup ページで次のオプションがオンに なっていることを確認します。 • Allow Posture Validation • Extensible Authentication Protocol-Flexible Authentication via Secure Tunnelling(EAP-FAST) authenticated in-band PAC provisioning • EAP-FAST MS-CHAPv2 • EAP-FAST Generic Token Card(GTC) ダウンロード可能 ACL ダウンロード可能 ACL をサポートするレイヤ 3 ネットワーク デバイスでは、ユーザ単位のダウン ロード可能 ACL をサポートします。これには、Cisco PIX セキュリティ アプライアンス、Cisco VPN ソリューション、および Cisco IOS ルータが含まれます。ユーザごとまたはグループごとに適用可 能な ACL のセットを定義できます。この機能は、適切な ACL ポリシーを適用できるようにするこ とで、NAC のサポートを補完します。NAF と組み合せて使用すると、デバイスごとに異なるダウ ンロード可能 ACL を適用できるため、ユーザごとまたはアクセス デバイスごとに固有になるよう に ACL を調整できます。 表 14-1 に、NAC レイヤ 3 IP サンプル プロファイル テンプレートのプロファイル サンプルを示し ます。 表 14-1 NAC レイヤ 3 IP プロファイル サンプル セクション プロパティ 値 NAP Name ユーザ設定可能 Description ユーザ設定可能 NAF 該当なし Protocol 該当なし Advance filter ([[26/9/1]Cisco av-pair]aaa:service = Profile ip_admission) AND ([006]Service-Type != 10) Authentication Protected Extensible Authentication Protocol (PEAP) Allow Posture Only がオン Credential Validation Database Posture Validation Posture Validation Name Rule Required credential types 該当なし NAC-EXAMPLE-POSTURE-EXAMPLE Cisco:PA Selected internal posture policies NAC-SAMPLE-CTA-POLICY Selected external posture policies 該当なし System Posture Token configuration System Posture Token PA message URL Redirect Healthy Healthy 該当なし Checkup Checkup 該当なし Transition Transition 該当なし Quarantine Quarantine 該当なし Infected Infected 該当なし Unknown Unknown 該当なし Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 14-11 第 14 章 ネットワーク アクセス プロファイル プロファイル テンプレートの使用 表 14-2 NAC レイヤ 3 IP プロファイル テンプレートの認可規則 認可規則 ユーザ グループ シ ステム ポス チャ トークン 共有 RAC Rule 1 該当なし Healthy NAC-SAMPLE-HEALTHY-L3RAC Rule 2 該当なし Quarantine NAC-SAMPLE-QUARANTINE- NAC-SAMPLEL3-RAC QUARANTINE-ACL Default Deny = オフ DACL NAC-SAMPLE-HEALTHYACL NAC-SAMPLE-QUARANTINE- NAC_SAMPLE_ L3-RAC QUARANTINE_ACL Include RADIUS attributes オフ from user's group Include RADIUS attributes オフ from user record 表 14-3 に、NAC レイヤ 3 IP サンプル プロファイル テンプレートのポスチャ確認ポリシーを示しま す。 表 14-3 NAC レイヤ 3 IP サンプルのポスチャ確認 セクション オブジェクト 値 Internal posture NAC-SAMPLE-CTApolicy POLICY Rule 1 状態 System Posture Token Notification String Cisco:PA:PA-Name contains CTA Cisco:PA:Healthy and Cisco:PA:PA-Version >=1.0 Default 該当なし Cisco:PA:Quarantine 該当なし 該当なし 表 14-4 に、NAC レイヤ 3 IP サンプル プロファイル テンプレートの共有プロファイル コンポーネ ントを示します。 表 14-4 タイプ NAC レイヤ 3 IP サンプルの共有プロファイル コンポーネント オブジェクト RADIUS Authorization NAC-SAMPLE-HEALTHY-L3-RAC Components 値 [027]Session-Timeout = 36,000 [26/9/1]cisc-av-pair status-query-timeout=300 [029] Termination-Action RADIUS-Request (1) NAC-SAMPLE-QUARANTINE-L3RAC [027] Session-Timeout = 3,600 [26/9/1]cisc-av-pair status-query-timeout=30 [029] Termination-Action RADIUS-Request (1) Downloadable IP ACLs NAC-SAMPLE-HEALTHY-ACL NAC-SAMPLE-QUARANTINE-ACL ACL Content Name Content NAF L3-EXAMPLE permit ip any any (All-AAA-Clients) Cisco Secure ACS Solution Engine ユーザ ガイド 14-12 OL-14386-01-J 第 14 章 ネットワーク アクセス プロファイル プロファイル テンプレートの使用 NAC L2 IP このテンプレートを使用する前に、Global Authentication Setup ページで Enable EAP Configuration > Allow Posture Validation オプションがオンになっていることを確認します。 NAC レイヤ 2 IP は、エンドポイント システムまたはクライアントの接続先エッジ スイッチのアク セス ポートで使用することができます。デバイス(ホストまたはクライアント)には、直接接続、 IP 電話、ハブ、または無線アクセス ポイントを介してスイッチ アクセス ポートに接続される PC、 ワークステーション、またはサーバがあります。 NAC レイヤ 2 IP がイネーブルになっている場合、UDP が処理するのは IPv4 トラフィックだけで す。スイッチは、エンドポイント デバイスまたはクライアントのアンチウイルスの状態を確認し、 アクセス コントロール ポリシーを適用します。 このテンプレートでは、NACL2-IP Configuration の Advanced Filtering プロパティと Authentication プ ロパティが自動的に設定されます。 ACS および AV ペア NAC レイヤ 2 IP 確認をイネーブルにした場合、ACS は RADIUS を使用して NAC AAA サービスを 提供します。ACS はエンドポイント システムのアンチウイルス クレデンシャルに関する情報を入 手し、エンドポイントのアンチウイルスの状態を確認します。 RADIUS cisco-av-pair ベンダー固有アトリビュート(VSA)を使用して、これらの Attribute-Value (AV; アトリビュート値)のペアを ACS に設定できます。 • Cisco Secure-Defined-ACL:ダウンロード可能 ACL の名前を ACS に指定します。スイッチは、 Cisco Secure-Defined-ACL AV ペアから ACL 名を次の形式で取得します。 #ACL#-IP-name-number name は ACL 名、number は 3f783768 などのバージョン番号です。 Auth-Proxy ポスチャ コードは、指定されたダウンロード可能 ACL の Access-Control Entry(ACE; アクセス コントロール エントリ)がすでにダウンロードされているかどうかを確認します。ダ ウンロードされていない場合、Auth-Proxy ポスチャ コードはダウンロード可能 ACL 名をユー ザ名とする AAA 要求を送信して ACE がダウンロードされるようにします。ダウンロード可能 ACL は、名前付き ACL としてスイッチに作成されます。この ACL には、送信元アドレスが Any の ACE があり、最後に暗黙の Deny 文はありません。ポスチャ確認の完了後にダウンロー ド可能 ACL がインターフェイスに割り当てられると、送信元アドレスは any からホストの送信 元 IP アドレスに変更されます。ACE は、エンドポイント デバイスの接続先であるスイッチ イ ンターフェイスに適用されるダウンロード可能 ACL にプリペンドされます。 トラフィックが Cisco Secure-Defined-ACL ACE に一致すると、適切な NAC アクションが実行 されます。 • url redirect と url-redirect-acl:スイッチにローカル URL ポリシーを指定します。スイッチはこ れらの cisco-av-pair VSA を使用します。 — url-redirect = <HTTP または HTTPS URL> :url-redirect-acl = switch ACL name これらの AV ペアにより、スイッチはエンドポイント デバイスからの HyperText Transfer Protocol(HTTP; ハイパーテキスト転送プロトコル)要求または Secure HyperText Transfer Protocol (HTTPS)要求を代行受信して、最新のアンチウイルス ファイルをダウンロードできる、指定 のリダイレクト アドレスにクライアントの Web ブラウザを転送できます。ACS 上の url-redirect AV ペアには、Web ブラウザのリダイレクト先となる URL が含まれます。url-redirect-acl AV ペ アには、リダイレクトされる HTTP または HTTPS トラフィックを指定する ACL の名前が含ま れます。ACL はスイッチに定義する必要があります。リダイレクト ACL 内の許可エントリに 一致するトラフィックがリダイレクトされます。 これらの AV ペアは、ホストのポスチャが healthy ではない場合に送信される可能性がありま す。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 14-13 第 14 章 ネットワーク アクセス プロファイル プロファイル テンプレートの使用 Cisco IOS ソフトウェアでサポートされる AV ペアの詳細については、AAA クライアント上で実行 されるソフトウェア リリースのマニュアルを参照してください。 デフォルト ACL スイッチ ポート上に NAC レイヤ 2 IP 確認を設定する場合、スイッチ ポート上にデフォルト ポー ト ACL を設定する必要もあります。また、ポスチャ確認が完了していないホストの IP トラフィッ クに、デフォルト ACL を適用することも必要です。 スイッチにデフォルト ACL を設定し、ホストのアクセス ポリシーが によってスイッチに送信され ると、スイッチはスイッチ ポートに接続されたホストからのトラフィックにポリシーを適用しま す。ポリシーがトラフィックに適用されると、スイッチはトラフィックを転送します。ポリシーが 適用されない場合、スイッチはデフォルト ACL を適用します。しかし、スイッチがホストのアク セス ポリシーを ACS から取得した場合にデフォルト ACL が設定されていないと、NAC レイヤ 2 IP 設定は有効になりません。 ポリシーマップ アクションとしてリダイレクト URL を指定するダウンロード可能 ACL が ACS に よってスイッチに送信されるとき、この ACL はスイッチ ポート上ですでに設定されているデフォ ルト ACL よりも優先されます。また、デフォルト ACL は、ホスト上ですでに設定されているポリ シーよりも優先されます。デフォルト ポート ACL がスイッチに設定されていない場合、スイッチ は ACS からのダウンロード可能 ACL を適用できます。 このテンプレートは、802.1x クライアントがインストールされていないレイヤ 2 デバイスからのア クセス要求に対して使用します。認証バイパス(802.1x フォールバック)テンプレートは、クライ アント以外の認証プロセスをバイパスするアクセス要求で使用します。ユーザは ID に基づいて ユーザ グループにマッピングされます。 (注) Populate from Global ボタンは使用しないでください。このボタンを使用すると、この認証フィール ドは System Configuration の Global Authentication Setup の設定値から継承されます。 表 14-5 に、NAC レイヤ 2 IP サンプル プロファイル テンプレートのプロファイルの内容を示します。 表 14-5 NAC レイヤ 2 IP プロファイル サンプル セクション プロパティ 値 NAP Name ユーザ設定可能 Description ユーザ設定可能 NAF 該当なし Protocol 該当なし Advance filter ([[26/9/1]Cisco av-pair]aaa:service = Profile ip_admission) AND ([006]Service-Type != 10) Authentication PEAP Allow Posture Only がオン Credential Validation Database 該当なし Cisco Secure ACS Solution Engine ユーザ ガイド 14-14 OL-14386-01-J 第 14 章 ネットワーク アクセス プロファイル プロファイル テンプレートの使用 表 14-5 NAC レイヤ 2 IP プロファイル サンプル(続き) セクション プロパティ 値 Posture Validation Posture Validation Name Rule Required credential types NAC-EXAMPLE-POSTURE-EXAMPLE Cisco:PA Selected internal posture policies NAC-SAMPLE-CTA-POLICY Selected external posture policies 該当なし System Posture Token configuration System Posture Token PA message URL Redirect Healthy Healthy 該当なし Checkup Checkup 該当なし Transition Transition 該当なし Quarantine Quarantine 該当なし Infected Infected 該当なし Unknown Unknown 該当なし 表 14-6 に、NAC レイヤ 2 IP サンプル プロファイル テンプレートの認可規則の内容を示します。 表 14-6 NAC レイヤ 2 IP プロファイル テンプレートの認可規則 認可規則 ユーザ グループ システム ポスチャ RAC トークン Rule 1 該当なし Healthy NAC-SAMPLE-HEALTHY- NAC-SAMPLE-HEALTHYL3-RAC ACL Rule 2 該当なし Quarantine NAC-SAMPLEQUARANTINE-L3-RAC NAC-SAMPLEQUARANTINE-ACL NAC-SAMPLEQUARANTINE-L3-RAC NAC_SAMPLE_ QUARANTINE_ACL Default DACL Include RADIUS attributes from オフ user's group Include RADIUS attributes from オフ user record 表 14-7 に、NAC レイヤ 2 IP サンプル プロファイル テンプレートのポスチャ確認ポリシーの内容を 示します。 表 14-7 NAC レイヤ 2 IP サンプルのポスチャ確認 セクション オブジェクト Internal posture NAC-SAMPLEpolicy POSTURE-RULE 値 状態 System Posture Token Notification String Rule 1 Cisco:PA:PA-Name contains CTA Cisco:PA:Healthy and Cisco:PA:PA-Version >=1.0 該当なし Default 該当なし 該当なし Cisco:PA:Quarantine Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 14-15 第 14 章 ネットワーク アクセス プロファイル プロファイル テンプレートの使用 NAC レイヤ 2 802.1x このテンプレートを使用する前に、Global Authentication Setup ページで次のオプションがオンに なっていることを確認します。 • EAP-FAST • EAP-FAST Authenticated in-band PAC Provisioning • EAP-FAST MS-CHAPv2 • EAP-FAST GTC 表 14-8 に、NAC L2 802.1x サンプル プロファイル テンプレートの内容を示します。 表 14-8 NAC L2 802.1x プロファイル サンプル セクション プロパティ 値 NAP Name ユーザ設定 Description ユーザ設定 NAF 該当なし Protocol 該当なし Advance filter ([006]Service-Type != 10) and (not exist Profile [26/9/1]cisco-av-pair aaa:service) Authentication Allow EAP-FAST はオン EAP-FAST Allow authenticated in-band PAC provisioning はオン Allow inner methods EAP-GTC はオン Allow inner methods EAP-MS-CHAPv2 はオン Allow Stateless Session Resume はオン Accept client on authenticated provisioning はオン Posture Validation required はオン Credential Validation Database ACS 内部ユーザ データベース Posture Validation Posture validation Rule Name NAC-SAMPLE-POSTURE-RULE Required credential types Cisco:PA Selected internal posture policies NAC-SAMPLE-CTA-POLICY Selected external posture policies 該当なし System Posture Token configuration System Posture Token PA message URL Healthy Healthy 該当なし Checkup Checkup 該当なし Transition Transition 該当なし Quarantine Quarantine 該当なし Infected Infected 該当なし Unknown Unknown 該当なし 表 14-9 に、NAC レイヤ 802.1x サンプル プロファイル テンプレートの認可規則の内容を示します。 Cisco Secure ACS Solution Engine ユーザ ガイド 14-16 OL-14386-01-J 第 14 章 ネットワーク アクセス プロファイル プロファイル テンプレートの使用 表 14-9 NAC レイヤ 2 802.1x プロファイル サンプルの認可規則 認可規則 ユーザ グループ システム ポスチャ RAC トークン DACL Rule 1 該当なし Healthy NAC-SAMPLEHEALTHY-L2-RAC 該当なし Rule 2 該当なし Quarantine NAC-SAMPLEQUARANTINE-L2-RAC 該当なし NAC-SAMPLEQUARANTINE-L3-RAC NAC_SAMPLE_ QUARANTINE_ACL Default Include RADIUS attributes from オフ user's group Include RADIUS attributes from オフ user record 表 14-10 に、NAC レイヤ 802.1x サンプル プロファイル テンプレートのポスチャ確認ポリシーの内 容を示します。 表 14-10 NAC レイヤ 2 802.1x プロファイル サンプルのポスチャ確認 セクション オブジェクト 値 Internal posture policy NAC-SAMPLE-CTA-POLICY 状態 System Posture Token Notification String Rule 1 Cisco:PA:PA-Name contains CTA and Cisco:PA:PA-Version >=1.0 Cisco:PA:Healthy 該当なし Default 該当なし Cisco:PA:Quarantine 該当なし 表 14-11 に、NAC レイヤ 802.1x サンプル プロファイル テンプレートの共有プロファイル コンポー ネントの内容を示します。 表 14-11 NAC レイヤ 2 802.1x プロファイル テンプレートの共有プロファイル コンポーネント タイプ オブジェクト 値 RADIUS Authorization Components NAC-SAMPLE-HEALTHY-L2-RAC [027] Session-Timeout = 36,000 [26/9/1] cisco-av-pair [029] [064] sec:pg=healthy_hosts Termination-Action RADIUS-Request (1) Tunnel-Type [T1] VLAN (13) [065] Tunnel-Medium-Type [081] Tunnel-Private-Group-ID = healthy NAC-SAMPLE-QUARANTINE-L2-RAC [027] [T1] 802 (6) Session-Timeout = 3,600 [26/9/1]cisco-av-pair sec:pg=quarantine_hosts [029] Termination-Action RADIUS-Request (1) [064] Tunnel-Type [T1] VLAN (13) [065] Tunnel-Medium-Type [T1] 802 (6) [081] Tunnel-Private-Group-ID = quarantine Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 14-17 第 14 章 ネットワーク アクセス プロファイル プロファイル テンプレートの使用 Microsoft IEEE 802.1x このテンプレートを使用する前に、Global Authentication Setup ページで Allow EAP-MS-CHAPv2 オ プションがオンになっていることを確認します。 表 14-12 に、Microsoft IEEE 802.1x サンプル プロファイル テンプレートのプロファイル サンプルを 示します。 表 14-12 Microsoft IEEE 802.1x プロファイル サンプル セクション プロパティ 値 NAP Name ユーザ設定可能 Description ユーザ設定可能 NAF 該当なし Protocol 該当なし Advance filter ([006]Service-Type != 10) and (not exist [26/9/1]cisco-av-pair Profile aaa:service) Authentication Posture Validation PEAP Allow EAP MS-CHAPv2 はオン Credential Validation Database ACS 内部ユーザ データベース 該当なし 表 14-13 に、Microsoft IEEE 802.1x サンプル プロファイル テンプレートの認可規則を示します。 表 14-13 Microsoft IEEE 802.1x プロファイル サンプルの認可規則 認可規則 システム ポスチャ RAC ユーザ グループ トークン Default Deny = オフ Include RADIUS attributes from user's group オン Include RADIUS attributes from user record オン DACL 無線(NAC L2 802.1x) 無線(NAC L2 802.1x)用テンプレートは、NAC L2 802.1x テンプレートと同じです。詳細について は、P.14-16 の「NAC レイヤ 2 802.1x」を参照してください。 Agentless Host for L2(802.1x フォールバック) Agentless Host for L2(802.1x フォールバック)プロファイル テンプレートを使用して、スイッチか ら送信されてくる RADIUS 要求に一致するプロファイルを作成できます。プロファイルが作成され たら、プロファイルと完全に一致するものを作成するために Catalyst 6500 から送信される RADIUS パケットの分析を完了する必要があります。スイッチから送信される RADIUS 要求には、Service Type 値 10(NAC-L2-IP と同様)が含まれますが、キーワード サービスのある Cisco Attribute Value Pair(AVP; AV のペア)は含まれません。そのため、2 つのエントリは Advanced Filtering ボックス で作成されます。 表 14-14 に、Agentless Host for L2(802.1x フォールバック)サンプル プロファイル テンプレートの プロファイル サンプルの内容を示します。 Cisco Secure ACS Solution Engine ユーザ ガイド 14-18 OL-14386-01-J 第 14 章 ネットワーク アクセス プロファイル プロファイル テンプレートの使用 表 14-14 Agentless Host for L2(802.1x フォールバック)のサンプル プロファイル セクション プロパティ 値 NAP Name ユーザ設定可能 Description ユーザ設定可能 NAF 該当なし Protocol 該当なし Advance filter (not exist [26/9/1]cisco-av-pair aaa:service) Profile AND ([006]Service-Type = 10) Authentication Credential Validation Database 該当なし Protocols Allow Agentless Request Processing がオンになる。 デフォルト ユーザ グループは default group に設定される。 Posture Validation 該当なし 表 14-15 に、Authentication Bypass サンプル プロファイル テンプレートの認可規則の内容を示しま す。 表 14-15 Authentication Bypass サンプル プロファイルの認可規則 認可規則 ユーザ グループ システム ポス チャ トークン RAC Rule 1 Default-group 該当なし Default Deny = オン DACL NAC-SAMPLE-QUARANTINE- 該当なし L2-RAC Include RADIUS attributes from user's group オフ Include RADIUS attributes from user record オフ Agentless Host for L3 このテンプレートは、NAC Agentless Host(NAH; NAC エージェントレス ホスト)のアクセス要求 に使用されます。NAH はエージェントレス ホストとも呼ばれます。この要求では EAP over UDP (EoU)を使用します。 表 14-16 に、Agentless Host for L3 サンプル プロファイル テンプレートのプロファイル サンプルの 説明を示します。 表 14-16 Agentless Host for L3 サンプル プロファイル テンプレート セクション プロパティ 値 NAP Name ユーザ設定可能 Description ユーザ設定可能 NAF 該当なし Protocol 該当なし Advance filter ([[26/9/1]Cisco av-pair]aaa:service =ip_admission) AND Profile ([006]Service-Type = 10) Credential Validation 該当なし Database Posture Validation 該当なし Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 14-19 第 14 章 ネットワーク アクセス プロファイル プロファイル テンプレートの使用 表 14-16 Agentless Host for L3 サンプル プロファイル テンプレート(続き) セクション プロパティ 値 Authorization Rules ユーザ グループ システム ポス チャ トークン RAC 該当なし Healthy NAC-SAMPLEHEALTHY-L3-RAC 該当なし Quarantine NAC-SAMPLENAC_SAMPLE_ QUARANTINE-L3-RAC QUARANTINE_ACL 該当なし Transition NAC-SAMPLETRANSITION-L3-RAC Default Deny = オフ DACL NAC_SAMPLE_ HEALTHY_ACL NAC_SAMPLE_ TRANSITION_ACL NAC-SAMPLENAC_SAMPLE_ QUARANTINE-L3-RAC QUARANTINE_ACL Include RADIUS オフ attributes from user's group Include RADIUS attributes from user record オフ 表 14-17 に、Agentless Host for L3 サンプル プロファイル テンプレートの共有プロファイル コンポー ネントを示します。 表 14-17 Agentless Host for L3 サンプルの共有プロファイル コンポーネント タイプ オブジェクト 値 RADIUS Authorization Components NAC-SAMPLE-TRANSITION-L3-RAC [027] Session-Timeout = 60 [029] Termination-Action RADIUS-Request (1) 監査サーバからのヒントがある場合、Session-Timeout は上 書きされる可能性がある。 NAC-SAMPLE-HEALTHY-L3-RAC [027] Session-Timeout = 36,000 [029] Termination-Action RADIUS-Request (1) NAC-SAMPLE-QUARANTINE-L3-RAC [027] Session-Timeout = 3,600 [029] Termination-Action RADIUS-Request (1) Downloadable IP ACLs ACL Content Name Content NAF NAC-_SAMPLE-_TRANSITION-_ACL L3-EXAMPLE permit ip any any (All-AAA-Clients) NAC-_SAMPLE-_HEALTHY-_ACL L3-EXAMPLE permit ip any any (All-AAA-Clients) NAC_-SAMPLE-_QUARANTINE-_ACL L3-EXAMPLE permit ip any any (All-AAA-Clients) Agentless Host for L2 and L3 このテンプレートは、L2 Network Access Device(NAD; ネットワーク アクセス デバイス)に接続さ れたエージェントレス ホストからのアクセス要求に使用されます。ACS ではまず、IP アドレスを 受信できる隔離ネットワークにデバイスがアクセスできるようにします。デバイスが IP アドレス を受信すると、監査が開始されます。この時点では、L3 ホストの監査と同じです。ホストの IP ア ドレスを認識するように NAD を事前に設定しておく必要があります。ACS は、最初のアクセス要 求に応答し、デバイスが IP アドレスを認識したときに別の要求を発行するようにデバイスに通知 Cisco Secure ACS Solution Engine ユーザ ガイド 14-20 OL-14386-01-J 第 14 章 ネットワーク アクセス プロファイル プロファイル テンプレートの使用 します。NAD がホストの IP アドレスを認識しない場合、ACS は失敗条件を起動し、ポリシー フ ローは Audit Fail-Open ポリシーに従います。次に管理者は、ユーザを拒否するか、ポスチャ トーク ンおよびオプションのユーザ グループを割り当てるかを選択できます。 表 14-18 に、Agentless Host for L2 and L3 のサンプル プロファイル テンプレートのプロファイル サ ンプルの説明を示します。 表 14-18 Agentless Host for L2 and L3 サンプル プロファイル テンプレート セクション プロパティ 値 NAP Name ユーザ設定可能 Description ユーザ設定可能 NAF 該当なし Protocol 該当なし Advance filter ([006]Service-Type = 10) AND (not exist [26/9/1]cisco-av-pair Profile aaa:service) AND (audit-session-id=^) Credential Validation 該当なし Database Posture Validation 該当なし Authorization Rules Default ユーザ グループ システム ポス チャ トークン RAC 該当なし Healthy NAC-SAMPLEHEALTHY-L3-RAC 該当なし Quarantine NAC-SAMPLENAC_SAMPLE_ QUARANTINE-L3-RAC QUARANTINE_ACL 該当なし Transition NAC-SAMPLETRANSITION-L3-RAC Deny = オフ DACL NAC_SAMPLE_ HEALTHY_ACL NAC_SAMPLE_ TRANSITION_ACL NAC-SAMPLENAC_SAMPLE_ QUARANTINE-L3-RAC QUARANTINE_ACL Include RADIUS オフ attributes from user's group Include RADIUS attributes from user record オフ Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 14-21 第 14 章 ネットワーク アクセス プロファイル プロファイル テンプレートの使用 表 14-19 に、Agentless Host for L2 and L3 のサンプル プロファイル テンプレートの共有プロファイ ル コンポーネントを示します。 表 14-19 Agentless Host for L2 and L3 サンプルの共有プロファイル コンポーネント タイプ オブジェクト RADIUS Authorization NAC-SAMPLE-TRANSITION-L3-RAC Components 値 [027] Session-Timeout = 60 [029] Termination-Action RADIUS-Request (1) 監査サーバからのヒントがある場合、Session-Timeout は 上書きされる可能性がある。 NAC-SAMPLE-HEALTHY-L3-RAC [027] Session-Timeout = 36,000 [029] Termination-Action RADIUS-Request (1) NAC-SAMPLE-QUARANTINE-L3-RAC [027] Session-Timeout = 3,600 [029] Termination-Action RADIUS-Request (1) Downloadable IP ACLs ACL Content Name Content NAF NAC-_SAMPLE-_TRANSITION-_ACL L3-EXAMPLE permit ip any any (All-AAA-Clients) NAC-_SAMPLE-_HEALTHY-_ACL L3-EXAMPLE permit ip any any (All-AAA-Clients) NAC_-SAMPLE-_QUARANTINE-_ACL L3-EXAMPLE permit ip any any (All-AAA-Clients) Cisco Secure ACS Solution Engine ユーザ ガイド 14-22 OL-14386-01-J 第 14 章 ネットワーク アクセス プロファイル プロファイル用ポリシーの設定 プロファイル用ポリシーの設定 プロファイルを設定したら、組織のセキュリティ ポリシーを反映させるために、規則またはポリ シーのセットをプロファイルに関連付けます。次の機能のポリシーを設定できます。 • プロトコル:パスワード プロトコルと EAP 設定を定義します。 • 認証:認証メカニズムに関連する設定ポリシーのセット。 • ポスチャ確認:ポスチャ確認の実行方法を定義します(ネットワークで NAC を展開する場合 のみ)。 • 認可:認可規則のセットを設定します(オプション)。 ACS は、要求されたプロファイルに従ってアトリビュートを関連付けます。Access-Accept メッ セージで返されるアトリビュートは、プロファイルに関連付けられたアトリビュート(VPN プロ ファイル要求の場合は Tunnel-Type など)と、エンドユーザ宛のセッション固有アトリビュート (Idle-Timeout など)を連結したものです。プロファイル マッピングはユーザの識別とは無関係に 行われるため、各ユーザは複数のプロファイルを使用することができ、確認するデータベース内に 1 つしかエントリを持ちません。 次のトピックでは、NAP のポリシーを設定および管理する方法を説明します。 • NAP のプロトコル設定(P.14-23) • NAP の認証ポリシー設定(P.14-27) • NAP のポスチャ確認ポリシー設定(P.14-29) • NAP の認可ポリシーの設定(P.14-36) NAP のプロトコル設定 次のトピックでは、NAP の認証プロトコルを設定する方法を説明します。 • 認証プロトコル(P.14-23) • エージェントレス要求処理(P.14-24) • NAP の EAP 設定(P.14-25) • ポスチャ確認による EAP-FAST(P.14-26) • RADIUS キー ラップありの EAP 認証(P.14-26) • プロトコルの設定(P.14-26) 認証プロトコル 認証プロトコルの関連パラメータはすべて NAP に設定できます。これらのパラメータはアクセス 要求の処理中に適用されます。 プロトコル設定への ACS グローバル設定の読み込み プロトコル設定に ACS グローバル設定を読み込み、その後にカスタマイズすることができます。こ の方法によって、新しくプロファイルをセットアップするたびに行うプロトコル設定値の設定が容 易になります。 Global Authentication Setup ページは、アクティブまたは非アクティブなプロファイルにすべての EAP 設定を行う中心的な場所として機能します。Global Authentication ページでディセーブルになっ ている ACS プロファイルの EAP タイプをイネーブルにすることはできません。Global Authentication ページでオフになっているどの EAP タイプも、すべての ACS(アクティブまたは非アクティブ)プ ロファイルで自動的にオフになります。Global Authentication Setup ページで設定できないオプショ ンは、Global Authentication Setup ページから読み込んだ後に、Protocol Settings ページでオフにされ ます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 14-23 第 14 章 ネットワーク アクセス プロファイル プロファイル用ポリシーの設定 グローバル設定を適用するには、Populate from Global をクリックして、System Configuration > Global Authentication Setup ウィンドウで設定された認証設定を適用します。詳細については、 P.9-24 の「認証オプションの設定」を参照してください。 NAC の Global Authentication Setup で、すべての認証プロトコルをオンにすることをお勧めします。 次の認証プロトコル(セキュリティ レベルの最も低いものから順に配列)を設定することができま す。 • RADIUS 認証プロトコルにより、次を使用して認証を許可または拒否できます。 − Password Authentication Protocol(PAP; パスワード認証プロトコル)プロトコル − CHAP パスワード プロトコル − MS-CHAPv1 パスワード プロトコル − MS-CHAPv2 パスワード プロトコル − エージェントレス要求処理。詳細については、P.14-24 の「エージェントレス要求処理」を 参照してください。 − EAP 認証に使用する EAP タイプのセット(外部および内部)を許可または拒否するオプ ション(各 EAP タイプの関連設定を含む)。詳細については、P.14-25 の「NAP の EAP 設 定」を参照してください。 • 設定できる EAP プロトコル − PEAP − EAP-FAST − RADIUS キー ラップあり / なしの EAP-Transport Layer Security(TLS; トランスポート層セ キュリティ)詳細については、P.14-26 の「RADIUS キー ラップありの EAP 認証」を参照 してください。 − EAP-Message Digest 5(MD5; メッセージ ダイジェスト 5) 選択するプロトコルによって、ネゴシエーションの柔軟性が決まります。認証に使用するプロトコ ルを決定することが、最終結果です。プロトコルの詳細については、P.9-2 の「認証と EAP プロト コルについて」を参照してください。 (注) LEAP(EAP-Cisco Wireless)は、ネットワーク アクセス プロファイルを使用する場合にはサポー トされません。 エージェントレス要求処理 エージェントレス要求処理は、ポートごとに設定される ID ベースのネットワーク セキュリティ機 能です。スイッチは、スイッチに接続しているエンドホストの Media Access Control(MAC; メディ ア アクセス制御)アドレスを持つ ACS に対して RADIUS 要求を作成します。エージェントレス認 証は、そのスイッチまたはデバイス上で、802.1x または EAPoUDP が失敗したために生じるフォー ルバックとして行われ、これらのメカニズムはバイパスされます。この機能は、802.1x も EAPoUDP もサポートしないホストにネットワーク アクセスを許可する場合に役立ちます。たとえば、802.1x クライアントを持たないプリンタや端末が、ネットワークにアクセスするためにこの機能を使用で きます。 この機能を使用して、MAC アドレスをユーザ グループにマッピングできます。設定済み LDAP サー バまたは ACS 内部データベースを使用して、ユーザが要求する MAC アドレスの認証を行うことが できます。ACS は、LDAP サーバを使用して MAC アドレスを検索し、MAC アドレスの LDAP グ ループのアトリビュートを取得します。LDAP サーバに MAC アドレスが存在すると、ACS は、設 定済みの ACS の LDAP 外部データベースで設定されている ACS グループに LDAP グループをマッ ピングします。ACS は、MAC アドレスのどんな標準形式でも受け入れます。定義済みアドレス リ Cisco Secure ACS Solution Engine ユーザ ガイド 14-24 OL-14386-01-J 第 14 章 ネットワーク アクセス プロファイル プロファイル用ポリシーの設定 ストに MAC アドレスがない場合は、フォールバック ユーザ グループをアクセス要求に関連付ける ことができます。グループはプロファイルの認可ポリシーに含めることができ、その後で認可規則 に基づいてネットワーク アドミッションについて評価できます。 エージェントレス要求での LDAP 外部データベースの設定の詳細については、 『Configuration Guide for Cisco Secure ACS Release 4.2』を参照してください。 MAC アドレスは、Calling-Station-ID RADIUS アトリビュートで送信されます。ACS は、次の方法 でエージェントレス要求を識別します。 Service-Type = 10 (Call Check) Allow Agentless Request Processing オプションがイネーブルになっていない場合は、MAC アドレス 認証が適用されず、アクセス要求が拒否されます。 ACS は、判読可能な形式で MAC-48 アドレスを表す、次の 3 つの標準形式をサポートします。 • 送信順にハイフン(-)で区切られた 2 桁の 16 進数のグループ 6 個で構成される。たとえば、 01-23-45-67-89-ab。 • コロン(:)で区切れられた 2 桁の数字のグループ 6 個で構成される。たとえば、 01:23:45:67:89:ab。 • ドット(.)で区切られた 4 桁の 16 進数のグループ 3 個で構成される。たとえば、0123.4567.89ab。 無効な MAC アドレスの場合にはエラー アラートが表示されます。MAC アドレスは、ACS に入力 されたときの形式とは関係なく、1 つの形式で表示されます。 エージェントレス要求を処理するには、P.14-45 の「Protocols Settings for profile_name ページ」の説 明に従って Allow Agentless Request Processing をイネーブルにする必要があります。また、P.14-48 の「Authentication for profile_name ページ」の説明に従って設定内容を定義する必要もあります。 MAC アドレス ユーザ要求を認証するために使用する設定済みデータベースを選択し、一致しない MAC アドレスのデフォルト マッピングを定義します。 NAP の EAP 設定 EAP は、任意の認証情報を対象とする柔軟な要求応答プロトコルです(RFC 2284) 。EAP は UDP、 802.1x、RADIUS など、別のプロトコルの最上層にあり、次の複数の認証タイプをサポートします。 (注) • PEAP(Protected EAP) • EAP-FAST • EAP-TLS(X.509 証明書に基づく) • EAP-MD5:プレーン パスワード ハッシュ(CHAP over EAP) • EAP-GTC:OTP トークン PEAP、EAP-FAST、および EAP-TLS 認証の RADIUS キー ラップのアトリビュートをイネーブルに できます。 次の拡張 EAP 方式は NAC の場合に使用できます。 • EAP-TLV:ポスチャ クレデンシャル、追加ポスチャ AVP、ポスチャ通知を伝達します。 • Status Query:この新しい EAP 方式を使用すると、完全なクレデンシャル確認を行わずにピア の状態をセキュアに問い合せることができます。 • EAPoUDP:レイヤ 3 転送に EAP over UDP を使用します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 14-25 第 14 章 ネットワーク アクセス プロファイル プロファイル用ポリシーの設定 ポスチャ確認による EAP-FAST 組織によっては、ホストに Cisco Trust Agent を設定している途中の場合があります。Cisco Trust Agent がインストールされているものもあれば、またインストールされていないものもあります。Cisco Trust Agent がインストールされているマシンにはポスチャ確認を適用し、一時的に Cisco Trust Agent がインストールされていないマシンでの認証に失敗しないようにする場合があります。Required Posture Validation で EAP-FAST がイネーブルになっている場合、Optional selection を選択して結果 の SPT を指定できます。ここで設定する SPT を Authorization 設定用に使用できます。ACS で使用 されるトークンの詳細については、P.13-4 の「ポスチャ トークン」を参照してください。 (注) ポスチャ確認規則が定義されていない場合、返されるポスチャ トークンは Unknown です。 RADIUS キー ラップありの EAP 認証 ACS は、RADIUS キー ラップありの PEAP、EAP-FAST、および EAP-TLS 認証を使用するように設 定できます。この認証方式を使用する設定の ACS は、RADIUS メッセージを認証し、セッション キーを Network Access Server(NAS; ネットワーク アクセス サーバ)に配布できます。EAP セッショ ン キーは、Advanced Encryption Standard(AES; 高度暗号化規格)に従って暗号化され、RADIUS メッセージは HMAC-SHA-1 を使用して認証されます。 RADIUS は(EAP-Message アトリビュートの)EAP メッセージの転送に使用されるため、RADIUS メッセージをセキュアに認証することにより、セキュアに認証された EAP メッセージ交換が保証 されます。PEAP、EAP-FAST、および EAP-TLS 認証がイネーブルの場合には、RADIUS キー ラッ プを外部認証方式として使用できます。キー ラップは、EAP-TLS の場合には内部方式(たとえば、 EAP-FAST または PEAP)としてサポートされません。 ACS でサポートされる RADIUS キー ラップでは、cisco-av-pair RADIUS Vendor-Specific-Attribute (VSA; ベンダー固有アトリビュート)の次の 3 つの新しい AVP を使用します(Cisco VSA の TLV 値は [26/9/1])。 • Random-Nonce:NAS によって生成され、鍵データの暗号化および認証にランダム性を付与し、 要求と応答パケットをリンクさせてリプレイ アタックを防止します。 • Key:セッション キーの配布で使用されます。 • Message-Authenticator-Code:EAP-Message アトリビュートと Key アトリビュートを含む RADIUS メッセージの認証性を保証します。 RADIUS キー ラップの使用時に、ACS はメッセージ交換とキー配布でこれら 3 つの RADIUS キー ラップ AVP 適用します。ACS は、 RADIUS キー ラップ AVP と標準の RADIUS Message-Authenticator アトリビュートを含むすべての RADIUS(EAP)要求を拒否します。 PEAP、EAP-FAST、および EAP-TLS 認証で RADIUS キー ラップを使用するには、NAP の Protocol Settings ページで EAP authentication with RADIUS Key Wrap をイネーブルにする必要があります。ま た、AAA クライアントごとに、あるいは 1 つの NDG で、2 つの共有秘密鍵を定義する必要があり ます。それぞれの鍵は一意で、RADIUS 共有鍵とは明確に区別される必要があります。RADIUS キー ラップはプロキシ機能をサポートしないため、プロキシ構成では使用しないでください。 プロトコルの設定 NAP のプロトコルを設定するには、次の手順を実行します。 ステップ 1 Network Access Profiles を選択します。 Network Access Profiles ページが表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド 14-26 OL-14386-01-J 第 14 章 ネットワーク アクセス プロファイル プロファイル用ポリシーの設定 ステップ 2 関連する NAP の Protocol をクリックします。 Protocols and EAP Configuration ページが表示されます。 ステップ 3 ページに ACS グローバル プロトコルの設定値を読み込むには、Populate from Global を選択しま す。グローバル プロトコル設定の詳細については、P.9-24 の「認証オプションの設定」を参照して ください。 (注) LEAP が Global Authentication Setup ページで設定された場合、NAP ではサポートされませ ん。 ステップ 4 エージェントレス要求を処理するには、Allow Agent Request Processing で使用できるオプションの 1 つを選択し、MAC アドレス ユーザ要求を認証します。 ステップ 5 必要に応じて他の設定内容を変更します。オプションの詳細については、P.14-45 の「Protocols Settings for profile_name ページ」を参照してください。 ステップ 6 Submit をクリックします。 Network Access Profiles ページが表示されます。 ステップ 7 変更内容を有効にするために、Apply and Restart をクリックします。 NAP の認証ポリシー設定 認証設定では、認証のためにユーザ クレデンシャルを検証する際に使用されるデータベースを定義 します。認証ポリシーを設定する前に、Database Group Mapping で定義されたマッピング規則に従っ て ACS ユーザ グループにマッピングした、外部ユーザ データベースを設定します。 (注) ACS 内部データベースは、デフォルトの選択済みデータベースです。 認証ポリシーの一部として、MAC アドレスのエージェントレス要求処理を設定することもできま す。詳細については、P.14-24 の「エージェントレス要求処理」を参照してください。 次のトピックでは、認証を設定する方法を説明します。 • クレデンシャル確認データベース(P.14-28) • NAP レベルでのグループのフィルタリング(P.14-28) • EAP-TLS 認証のオブジェクト ID チェック(P.14-28) • 認証ポリシーの設定(P.14-29) Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 14-27 第 14 章 ネットワーク アクセス プロファイル プロファイル用ポリシーの設定 クレデンシャル確認データベース クレデンシャル確認データベースは、ユーザの確認に使用するデータベースです。使用可能なデー タベースは、Databases Group Mapping に定義されたマッピング規則によって ACS ユーザ グループ にマッピングされた設定済みの外部ユーザ データベースです。ACS 内部データベースは、デフォ ルトで選択済みデータベースとして表示されます。 (注) 認証に複数のデータベースを指定すると、ACS は正規の応答を受け取るまで、指定された順序で各 ディレクトリ サーバに問い合せます。応答時間を短くしてユーザ エクスペリエンスを上げるには、 可能性の最も高いディレクトリ サーバをリストの上位に指定する必要があります。 NAP レベルでのグループのフィルタリング ACS を使用して、NAP レベルでグループのフィルタリングを実行できます。ユーザの外部データ ベースのグループ メンバーシップによって異なりますが、ACS では、グループのフィルタリング 設定に基づいてネットワークへのアクセスを拒否または許可できます。 グループのフィルタリングを行うと、外部 LDAP データベースで予期されるグループ メンバーシッ プを取得できます。たとえば、NAP のグループのフィルタリングが LDAP_GRP1, LDAP_GRP2 とし て設定されている場合、正常に認証されるには、ユーザはいずれかの LDAP グループに所属してい る必要があります。 外部データベース認証時のグループ マッピングの実行中にグループのフィルタリングがチェック されます。 (注) グループのフィルタリングは NAP レベルで実行されます。NAP の選択処理中はユーザの外部デー タベースのメンバーシップがまだ認識されていないため、グループのフィルタリングを NAP の選 択基準として使用することはできません。 (注) NAP は RADIUS のパケット処理だけに適用できるため、この機能は NAP レベルでの RADIUS 認証 にのみ基準にできます。 EAP-TLS 認証のオブジェクト ID チェック ACS では、OID と、ユーザ証明書の Enhanced Key Usage (EKU) フィールドを比較できます。OID と EKU が一致しない場合、ACS はアクセスを拒否します。オプションの詳細については、P.14-48 の 「Authentication for profile_name ページ」を参照してください。 OID の比較がイネーブルになっているときに有効な OID 文字列が入力されると、ユーザが EAP-TLS 認証用に提供したすべての証明書が、入力された OID と比較されます。OID が一致した場合にのみ 認証が成功します。OID の比較がイネーブルになっていても、提供されたユーザ証明書の EKU フィールドに OID が含まれていない場合、認証は失敗します。 OID の比較をイネーブルにするには、次の作業を行う必要があります。 • NAP ページの EAP-TLS をイネーブルにする。 • 数値、ドット、カンマ、およびスペースのみで OID 文字列を入力する。たとえば、1.3.6.1.5.5.7.3.2 は有効な OID 文字列です。 Cisco Secure ACS Solution Engine ユーザ ガイド 14-28 OL-14386-01-J 第 14 章 ネットワーク アクセス プロファイル プロファイル用ポリシーの設定 • 複数の OID をカンマ区切り形式で入力する。たとえば、1.3.6.1.5.5.7.3.1, 1.3.6.1.5.5.7.3.2 は有効 な文字列です。 認証ポリシーの設定 NAP の認証ポリシーを設定するには、次の手順を実行します。 ステップ 1 Network Access Profiles を選択します。 ステップ 2 関連するポリシーの Authentication をクリックします。 Authentication Settings ページが表示されます。 ステップ 3 ステップ 4 ACS の Global Authentication Setup ページから認証設定を読み込むには、Populate from Global を選 択します。詳細については、P.9-47 の「Global Authentication Setup ページ」を参照してください。 Credential Validation Databases を選択します。オプションの詳細については、P.14-48 の 「Authentication for profile_name ページ」を参照してください。 ステップ 5 Group Filtering を設定します。オプションの詳細については、P.14-48 の「Authentication for profile_name ページ」を参照してください。 ステップ 6 MAC 認証を設定するには、次の手順を実行します。 a. MAC アドレス ユーザ要求の認証に使用する設定済みデータベースを選択します。設定済み LDAP サーバまたは ACS 内部データベースを使用して、ユーザが要求する MAC アドレスの認 証を行うことができます。 b. ドロップダウン リストからグループを選択して、一致しない MAC アドレスに対するデフォル ト マッピングを定義します。 オプションの詳細については、P.14-48 の「Authentication for profile_name ページ」を参照してくだ さい。 ステップ 7 OID を比較します(オプション)。オプションの詳細については、P.14-48 の「Authentication for profile_name ページ」を参照してください。 ステップ 8 Submit をクリックします。 Network Access Profiles ページが表示されます。 ステップ 9 変更内容を有効にするために、Apply and Restart をクリックします。 NAP のポスチャ確認ポリシー設定 次のトピックでは、ポスチャ確認ポリシーについて説明します。 • ポスチャ確認規則について(P.14-30) • ポスチャ確認ポリシーの設定(P.14-32) • ポスチャ確認規則の削除(P.14-33) Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 14-29 第 14 章 ネットワーク アクセス プロファイル プロファイル用ポリシーの設定 • エージェントレス ホストに対するポスチャ確認の設定(P.14-35) ポスチャ確認規則について ポスチャ確認規則を使用して、ポスチャ確認コンポーネントを選択します。ポスチャ確認規則は、 条件とアクションで構成されています。条件は、必須クレデンシャル タイプのセットです。アク ションでは、ポスチャ確認で使用する内部ポリシーまたは外部サーバを決定します。ポスチャ確認 規則は、ポスチャ トークンとポスチャ要求に対するアクションを返します。詳細については、第 13 章「ネットワーク アクセス コントロールでのポスチャ確認」を参照してください。 ACS では、ポスチャ確認規則を次のように解釈します。 ポスチャ クレデンシャルにプラグイン < 必須クレデンシャル タイプ > から送信されたデータが含 まれる場合には、内部、外部、または内部と外部両方のポスチャ確認方式 < 内部ポリシーと外部 サーバのリスト > を使用してポスチャ確認を実行します。 ACS は、選択されたポスチャ確認規則に関連付けられているすべてのポリシーを適用して、 Application Posture Token(APT; アプリケーション ポスチャ トークン)を取得します。APT は、ク ライアントの状態を表します(クライアントはエンドポイントとも呼ばれます)。ACS は、得られ た APT をすべて比較し、その中で最悪のポスチャ トークンを SPT として使用します。SPT は、ク ライアントの全体的なポスチャを表します。 ポリシーおよび関連する規則も設定して、これらのネットワークで使用される外部 AAA サーバの SoH を処理できます。 監査サーバとは、NAC 準拠 Posture Agent(PA; ポスチャ エージェント)の存在に依存することな く、クライアントに関するポスチャ情報を判別するシスコおよびサードパーティ製のサーバです。 このタイプのクライアントは、NAC Agentless Host(NAH; NAC エージェントレス ホスト)と呼ば れます。監査サーバは、組織のセキュリティ ポリシーによってポスチャ確認を評価するために使用 されます。詳細については、P.14-32 の「ポスチャ確認ポリシーの設定」を参照してください。 Cisco PA は Cisco Trust Agent とも呼ばれます。 各規則に含まれる内容は、次のとおりです。 (注) • 識別するための名前(ポスチャ確認ポリシー) • この規則をアクティブにするクレデンシャル タイプを定義する必須クレデンシャル タイプ • ポスチャ トークンを算出するために実行される内部ポリシーと外部サーバ。これらのポリシー は、ポスチャ確認規則の作成前に設定します。P.13-18 の「ポリシーの設定」を参照してくださ い。 • SPT ごとにクライアントに返されるポスチャ エージェント(PA)メッセージ • SPT ごとに AAA クライアントに送信される URL リダイレクト ACS は、ポリシーあたり 100 規則までサポートします。 ポスチャ規則の評価は、最初に一致する規則を採用する方法で行われます。ポスチャ確認ポリシー には、ゼロ個以上の順序付きポスチャ確認規則を入れることができます。ポスチャ確認ポリシーは、 最初に一致する規則を使用して選択されます。 Cisco Secure ACS Solution Engine ユーザ ガイド 14-30 OL-14386-01-J 第 14 章 ネットワーク アクセス プロファイル プロファイル用ポリシーの設定 監査サーバの機能 監査サーバはホストをスキャンして、トークンを ACS に返します。監査サーバは、非同期ポート スキャン、HTTP リダイレクション、独自のクライアント、およびテーブル検索を使用して、ポス チャ確認情報を提供します。ACS は監査結果をポーリングします。したがって、監査サーバは次の ポーリングが行われるまで結果を保持する必要があります。 監査サーバのセットアップの詳細については、P.13-29 の「外部ポスチャ確認監査サーバの設定」を 参照してください。 システム ポスチャ トークンの設定 システム ポスチャ トークンはコンピュータの状態に関連付けられ、ポスチャ トークンは NAC 準 拠アプリケーションの状態に関連付けられます。 アクションは、受信されたポスチャ確認要求内のクレデンシャルにポリシーを適用した結果です。 ACS は、要求に適用されたすべてのポリシーから得られたアクションどうしを比較して、各要求の ポスチャ トークンを判別します。最悪のポスチャ トークンがシステム ポスチャ トークンになりま す。 URL リダイレクト ポリシー URL リダイレクト ポリシーは、すべての HTTP トラフィックまたは HTTPS トラフィックを感染修 復サーバにリダイレクトするメカニズムを提供します。感染修復サーバは、準拠しないホストが準 拠するように必要なアップグレード処理を実行できるようにします。このポリシーは次の内容で構 成されます。 • 感染修復サーバを示す URL • ホストからの HTTP または HTTPS パケットのうち、感染修復サーバのアドレス宛て以外のパ ケットをすべて取得し、必要な HTTP リダイレクションのためにスイッチ ソフトウェアにリダ イレクトするスイッチ上の ACL ホスト ポリシーの ACL 名、リダイレクト URL、および URL リダイレクト ACL は、RADIUS アト リビュート値オブジェクトを使用して含められます。 エラー時のフェール オープン アップストリーム NAC サーバからポスチャ トークンを取得できないように、エラーに対して フェール オープンを設定することができます。フェール オープンを設定しない場合、ユーザ要求 は拒否されます。 フェール オープンが設定済みで、アップストリーム ポスチャ確認サーバとの通信時にエラーが発 生すると、ポスチャ確認が正常終了したかのようなポリシー結果になります。指定されたポリシー の SPT は、事前に定義された静的な値になります。 次のサーバに関連付けられているプロファイルのフェール オープンをイネーブルにするかどうか を選択できます。 • 外部ポスチャ確認サーバ:複数のサーバがプロファイルに設定されていると、障害の発生した 各サーバによって APT が最終的な SPT になります。最悪のトークンが SPT として使用されま す。SPT は、NAC クライアント コンピュータの全体的なポスチャを表します。P.14-32 の「ポ スチャ確認ポリシーの設定」を参照してください。 • 監査サーバ:フェール オープンを設定すると、SPT は静的に設定されたポスチャ トークンに 設定されます。P.14-35 の「エージェントレス ホストに対するポスチャ確認の設定」を参照して ください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 14-31 第 14 章 ネットワーク アクセス プロファイル プロファイル用ポリシーの設定 ポスチャ確認ポリシーの設定 ポスチャ確認ポリシーには、1 つまたは複数のポスチャ確認規則を入れることができます。ACS が ポスチャ確認ポリシーを使用してポスチャ確認要求を評価する場合、最初に一致したものが実装さ れます。選択された規則により、要求に対してどの内部ポリシーと外部ポリシーをアクティブにす るかが決まります。 必要に応じて、Internal Posture Validation Setup または External Posture Validation Setup で、規則に関 連付けられたポスチャ確認ポリシーを設定できます。 始める前に • Network Access Profiles > Authentication Settings ページ (P.14-48 の 「Authentication for profile_name ページ」を参照してください)で、Allow Posture Validation オプションがオンになっているこ とを確認します。 • ポスチャ確認の設定が完了していることを確認します(詳細については、P.13-15 の「ACS で の NAC の設定」を参照してください)。 内部ポスチャ確認ポリシー、外部ポスチャ確認サーバ、またはその両方をプロファイルに追加する には、次の手順を実行します。 ステップ 1 Network Access Profiles を選択します。 ステップ 2 選択したプロファイルの Posture Validation を選択します。 Posture Validation ページが表示されます。 ステップ 3 Add Rule をクリックします。 Posture Validation Rule ページが表示されます。このページのオプションの詳細については、P.14-50 の「Posture Validation Rule for profile_name ページ」を参照してください。 ステップ 4 規則の名前を入力します。 ステップ 5 Required Credential Types を設定します。 ステップ 6 アクティブにする Internal Posture Validation Policies と External Posture Validation Servers を選択しま す。 ステップ 7 選択した外部ポスチャ確認サーバのフェール オープンを設定するには、次のいずれかを実行しま す。 • フェール オープンに対してアクセスを拒否するには、Reject User をオンにします。 • Failure Posture Assessment フィールドで、次の項目を選択します。 − Credential Type:障害が発生したサーバから返されている APT に代わる APT のネームス ペース − Posture Token:障害発生時に使用されるポスチャ トークン ステップ 8 (オプション)System Posture Token Configuration テーブルを使用して、System Posture Token の PA Message と URL Redirect を設定します。 ステップ 9 Submit をクリックします。Posture Validation ページが再表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド 14-32 OL-14386-01-J 第 14 章 ネットワーク アクセス プロファイル プロファイル用ポリシーの設定 ステップ 10 Posture Validation ページで Done をクリックします。 Network Access Profiles ページが表示されます。 ステップ 11 変更内容を有効にするために、Apply and Restart を選択します。 ステップ 12 ポスチャ確認ポリシーに戻るには、Cancel をクリックします。 ポスチャ確認規則の削除 内部ポスチャ確認ポリシー規則を削除するには、次の手順を実行します。 ステップ 1 Network Access Profiles を選択します。 ステップ 2 選択したプロファイルの Posture Validation を選択します。 Posture Validation ページが表示されます。 ステップ 3 削除する規則名をクリックします。P.14-50 の「Posture Validation Rule for profile_name ページ」が表 示されます。 ステップ 4 Delete をクリックします。 警告メッセージが表示されます。 ステップ 5 OK をクリックします。 正常性ステートメントを処理するポスチャ確認ポリシーの設定 ポスチャ確認ポリシーには、1 つまたは複数のポスチャ確認規則を入れることができます。ACS が ポスチャ確認ポリシーを使用してポスチャ確認要求を評価する場合、最初に一致したものが実装さ れます。選択された規則により、要求に対してどの内部ポリシーと外部ポリシーをアクティブにす るかが決まります。 必要に応じて、Internal Posture Validation Setup または External Posture Validation Setup で、規則に関 連付けられたポスチャ確認ポリシーを設定できます。 SoH のポスチャ確認規則を設定することもできます。 始める前に 次の条件が満たされていることを確認します。 • Authentication Settings ページの Allow Posture Validation オプションをオンにする(P.14-48 の 「Authentication for profile_name ページ」を参照) 。 • ポスチャ確認の設定を行う(詳細については、P.13-15 の「ACS での NAC の設定」を参照して ください)。 • Advanced Options ページの Microsoft Network Access Protection Settings チェックボックスをオ ンにする。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 14-33 第 14 章 ネットワーク アクセス プロファイル プロファイル用ポリシーの設定 SoH のポスチャ確認規則をプロファイルに追加するには、次の手順を実行します。 ステップ 1 Network Access Profiles を選択します。 ステップ 2 選択したプロファイルの Posture Validation を選択します。 Posture Validation ページが表示されます。 ステップ 3 Statement of Health Posture Validation Rules テーブルの Add Rule をクリックします。 Statement of Health Posture Validation Rule ページが表示されます。 ステップ 4 規則の名前を入力します。 ステップ 5 Endpoint Location を設定します。 ステップ 6 アクティブにする外部ポスチャ確認サーバを選択します。 ステップ 7 Network Policy Server(NPS; ネットワーク ポリシー サーバ)がクライアントの正常性ステートメン トを確定できない場合に ACS がユーザを拒否するように設定するには、Reject User チェックボッ クスをオンにします。 (注) ステップ 8 Reject User オプションは、NPS サーバがクライアントの正常性ステートメントを確定でき ない場合にのみ機能します。 NPS サーバがクライアントの正常性ステートメントを確定できない場合に使用されるトークンを 指定する場合、次の作業を行います。 • Reject User チェックボックスをオフにします。 • Failure Posture Token フィールドのドロップダウン リストから、割り当てるトークンのタイプを 選択します。 (注) ユーザが拒否されていない場合でも、NPS サーバは正常性ステートメントを確認して適切 なトークを ACS に返します。 NPS サーバがクライアントの正常性ステートメントを確定できない場合のみ、ACS は正常 性ステートメントのポスチャ規則に指定したトークンを使用します。したがって、ここで 選択するトークンは、NPS サーバが正常性ステートメントを処理できなかった場合だけに 使用される「フェイルセーフ」トークンとなり、必ずしも選択する必要はありません。 ステップ 9 URL Redirect テーブルで、システム ポスチャ トークンのタイプごとに、ユーザのリダイレクト先 となるサーバの URL を入力します。 ステップ 10 Submit をクリックします。 Posture Validation ページが再表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド 14-34 OL-14386-01-J 第 14 章 ネットワーク アクセス プロファイル プロファイル用ポリシーの設定 ステップ 11 Posture Validation ページで Done をクリックします。 Network Access Profiles ページが表示されます。 ステップ 12 変更内容を有効にするために、Apply and Restart をクリックします。 ステップ 13 ポスチャ確認ポリシーに戻るには、Cancel をクリックします。 正常性ステートメントのポスチャ確認規則の削除 SoH のポスチャ確認規則を削除するには、次の手順を実行します。 ステップ 1 Network Access Profiles を選択します。 ステップ 2 選択したプロファイルの Posture Validation を選択します。 Posture Validation ページが表示されます。 ステップ 3 削除する規則名をクリックします。Statement of Health Posture Validation Rule for profile_name ページ が表示されます。 ステップ 4 Delete をクリックします。 警告メッセージが表示されます。 ステップ 5 OK をクリックします。 エージェントレス ホストに対するポスチャ確認の設定 ポスチャ確認規則は、ポスチャ確認について返されるポスチャ トークンを定義します。ポスチャ確 認テーブルには、ポスチャ確認規則と監査設定が含まれます。 ポスチャ確認規則に含まれる内容は、次のとおりです。 • 規則をアクティブにする必須クレデンシャル タイプを定義する必須クレデンシャル • ポスチャ トークンを算出するために実行されるローカル ポリシーおよび外部サーバ • ポスチャ トークンごとにクライアントに返される PA メッセージ • ポスチャ トークンごとに AAA クライアントに送信される URL リダイレクト ポスチャ確認ポリシーには、0 ∼ n 個の順序付きポスチャ規則を入れることができます。 必須クレデンシャル タイプに一致する最初のポスチャ確認が選択されます。 返されるポスチャ トークンは、選択されたローカル ポリシーおよび外部ポスチャ サーバから返さ れる最悪のアセスメントです。 クライアントがエージェントレス ホストの場合、選択済された監査サーバがクライアントを監査し ます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 14-35 第 14 章 ネットワーク アクセス プロファイル プロファイル用ポリシーの設定 NAH のポスチャ確認ポリシーを設定するには、次の手順を実行します。 ステップ 1 Network Access Profiles を選択します。 ステップ 2 選択したプロファイルの Posture Validation を選択します。 Posture Validation ページが表示されます。 ステップ 3 Select Audit を選択します。 P.14-51 の「Select External Posture Validation Audit for Profile_name ページ」が表示されます。 ステップ 4 関連する監査サーバを選択します。ポスチャ確認に監査サーバを使用しない場合は、Do Not Use Audit Server を選択します。 ステップ 5 フェール オープンをイネーブルにするには、次の手順を実行します。 a. Do Not reject when Audit failed チェックボックスをオンにします。 b. 障害発生時に使用するポスチャ トークンを選択します。 c. 監査サーバの session-timeout 値を入力します。 d. ユーザ グループを割り当てるには、Assign a User Group チェックボックスをオンにして、ド ロップダウン リストからグループを選択します。 ステップ 6 Submit をクリックします。 ステップ 7 変更内容を有効にするために、Apply and Restart をクリックします。 NAP の認可ポリシーの設定 次のトピックでは、認可規則の設定について説明します。 • 認可規則について(P.14-36) • 認可規則の設定(P.14-38) • デフォルト認可規則の設定(P.14-39) • 認可規則の順序変更(P.14-40) • 認可規則の削除(P.14-40) • プロファイルのトラブルシューティング(P.14-41) 認可規則について 認可ポリシーは、NAP に適用される規則で構成されます。認可ポリシーを使用して、認証済みユー ザを認可します。認可規則は、グループ メンバーシップ、ポスチャ確認、またはその両方に基づく ことができます。認可アクションは、RAC と ACL から作成されます。 RAC の設定の詳細については、P.4-9 の「RADIUS 認可コンポーネント」を参照してください。ダ ウンロード可能な ACL の詳細については、P.4-17 の「ダウンロード可能 IP ACL」を参照してくだ さい。 Cisco Secure ACS Solution Engine ユーザ ガイド 14-36 OL-14386-01-J 第 14 章 ネットワーク アクセス プロファイル プロファイル用ポリシーの設定 クレデンシャルは、識別およびポスチャ認可で使用されます。各アプリケーションのポスチャ クレ デンシャルは個別に評価されます。クレデンシャルはポスチャ確認ポリシーと比較されます。 認可ポリシーを設定する場合には、次の場合の結果を考慮します。 • ユーザ認証は、ユーザ グループに対する割り当てである。 • ポスチャ確認は、システム ポスチャ トークンである。 • EAP-FAST 認証とポスチャ確認を同じセッションに設定すると、ユーザ グループおよびポス チャ トークンに割り当てられる。 認可ポリシーは、ACS ユーザ グループとポスチャ トークンを、デバイスに送信される RADIUS ア トリビュートのセットに変換したものです。特定のユーザ グループに対してアクセスを拒否する か、あるいは返されたトークンに基づいてアクセスを拒否できます。 認可規則は次のように定義できます。 user-group = selected-user-group または posture-assessment = selected-posture-assessment の場合、 選 択済み RAC または選択済み DACL を使用してプロファイルをプロビジョニングします。 認可規則は、NAP 内でのデバイス プロビジョニングの変動をグループ メンバーシップおよびポス チャ トークンに基づいて許可します。NAP ごと、グループごと、およびポスチャごとに考えられ るマッピングの組み合せは、論理的に非常に多くなります。しかし、実際には、ほとんどのユーザ がデフォルトの場合で網羅されます。たとえば、healthy である通常のユーザです。例外は、特別な アクセス権(たとえば、管理者)を必要とするグループや、ポスチャが Infected または Quarantined であるユーザなどです。したがって、認可規則を作成する場合は、最初に通常の条件を定義した後 に、より具体的なマッピングを必要とする例外のセットを定義すると有用です。 また、アクションとして明示的に拒否(access-reject を送信)するために認可規則を使用することも できます。 認可規則を設定した後は、選択したユーザ グループの Network Access Restriction(NAR; ネットワー ク アクセス制限)ポリシーをオンにしても、NAP ポリシーは無効になりません。NAR 評価の結果 に応じて、受け入れまたは拒否が適用されます。詳細については、P.4-23 の「ネットワーク アクセ ス制限」を参照してください。 共有 RAC NAP を使用すると、同一の RADIUS アトリビュートをプロビジョニングして、異なるユーザ、グ ループ、および NAP に対し別の値を設定できます。1 ユーザ 1 グループ 1 プロファイルという方針 は、プロファイルベースのポリシーを使用することで、さらに柔軟になりました。NAP ごとに、ポ リシーが RADIUS アトリビュート値に基づいて認証および認可する内容を設定できます。 特定のグループ(たとえば、管理)で、企業の LAN、VPN、および WLAN の NAP 向けに異なる認 可プロファイルが必要な場合、特別なアクセスを許可するように特定の RADIUS アトリビュート セットを割り当てることができます。ユーザが請負業者のグループにいる場合は、より厳しいセ キュリティ保護手段を指定できる、異なる値を持つ同じアトリビュート セットを取得できます。 NAP 向け RAC の設定の詳細については、P.4-9 の 「RAC および NAP について」を参照してください。 アトリビュートのマージ グループ アトリビュートまたはユーザ アトリビュートよりも、RADIUS アトリビュートを優先す ることができます。これらのオプションを選択すると、ACS は、RADIUS アトリビュート、ダウン ロード可能 ACL、および動的に作成される他のアトリビュートをマージします。RADIUS アトリ ビュートは、ユーザ レコード レベル、グループ レベル、および共有 RAC レベルに置くことができ ます。 アトリビュートのマージは、優先順位の高いものから順に無効化する処理が繰り返されます。順序 は次のようになります。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 14-37 第 14 章 ネットワーク アクセス プロファイル プロファイル用ポリシーの設定 • ユーザによる上書き • 動的なセッション(ポスチャ トークンなど) • 認証プロトコル(セッション タイムアウト、無線のセッション キーなど) • ダウンロード可能 ACL(割り当て) • 共有 RAC • 静的グループ グループ、RAC、ユーザ アトリビュートをマージするときは、グループ レベルのアトリビュート セットによる最終プロファイルの作成が保証されないことに注意してください。選択した内容に よっては、アトリビュート セットが RAC で上書きされる可能性があります。 割り当てられた共有 RAC 内のアトリビュートは、静的 ACS グループに定義されたアトリビュート よりも優先されます。そのアトリビュート セットは、ダウンロード可能 ACL のアトリビュートに よって無効になります。NAP 認可ポリシーを使用するときは、注意してください。 認可規則の設定 始める前に サービスごとのプロビジョニング コンポーネント(共有 RAC および DACL)を定義します。サー ビスで必要な場合は、特定の設定が必要なユーザ グループ用にカスタム RAC と DACL を作成しま す。 認可規則を設定するには、次の手順を実行します。 ステップ 1 Network Access Profiles を選択します。 ステップ 2 選択したプロファイルの Authorization ポリシーを選択します。 Authorization Rule ページが表示されます。 ステップ 3 Add Rule をクリックします。 新しい規則の行が表示されます。 ステップ 4 認可規則の条件を定義します。 • ドロップダウン リストから User Group を選択します。 • NAC ネットワークの場合は、System Posture Token を選択します(NAC ネットワーク以外の 場合は、System Posture Token を Any のままにします)。 条件オプションの詳細については、P.14-52 の「Authorization Rules for profile_name ページ」を参照 してください。 ステップ 5 認可規則のアクションを定義します。 認可規則が一致したときには、アクセスを拒否するか、実装する一方または両方の認可アクション を選択することができます。 • Deny Access:このオプションをオンにすると、条件が一致するユーザに対してアクセスを拒否 できます。このオプションを選択すると、他のアクション オプションはグレー表示されます。 • Shared RAC:ドロップダウン リストから共有 RAC を選択します。 Cisco Secure ACS Solution Engine ユーザ ガイド 14-38 OL-14386-01-J 第 14 章 ネットワーク アクセス プロファイル プロファイル用ポリシーの設定 • Downloadable ACL:ドロップダウン リストからダウンロード可能 ACL を選択します。 アクション オプションの詳細については、P.14-52 の「Authorization Rules for profile_name ページ」 を参照してください。 ステップ 6 RADIUS アトリビュートによる優先を設定します。 次のオプションはデフォルトでオンになります。ユーザ レコード単位またはユーザのグループ単位 の RADIUS アトリビュートを使用しない場合は、オフにします。 ステップ 7 • Include RADIUS attributes from user’s group • Include RADIUS attributes from user record Submit をクリックします。 関連項目 • RADIUS 認可コンポーネント(P.4-9) • ダウンロード可能 IP ACL(P.4-17) デフォルト認可規則の設定 条件が定義されていない場合や一致する条件が見つからない場合に、デフォルト認可規則を設定で きます。共有 RAC と DACL の選択内容に基づいてアクセスを拒否または許可できます。 デフォルト認可規則を設定するには、次の手順を実行します。 ステップ 1 Network Access Profiles を選択します。 ステップ 2 選択したプロファイルの Authorization ポリシーを選択します。 P.14-52 の「Authorization Rules for profile_name ページ」が表示されます。 ステップ 3 Add Rule をクリックします。 ステップ 4 If a condition is not defined or there is no matched condition というテキストが含まれる行の認証アク ションを選択します。 ステップ 5 認証アクションを選択します。 デフォルト規則に実装する次の認可アクションを選択できます。 • Deny Access:このオプションを選択すると、条件が一致するユーザに対してアクセスを拒否で きます。このオプションでは、共有 RAC も DACL も選択する必要はありません。 • Shared RAC:ドロップダウン リストから共有 RAC を選択します。詳細については、P.14-41 の「プロファイルのトラブルシューティング」を参照してください。 • Downloadable ACL:ドロップダウン リストからダウンロード可能 ACL を選択します。詳細に ついては、P.4-17 の「ダウンロード可能 IP ACL」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 14-39 第 14 章 ネットワーク アクセス プロファイル プロファイル用ポリシーの設定 ステップ 6 RADIUS アトリビュートによる優先を設定します。 次のオプションはデフォルトでオンになります。ユーザ レコード単位またはユーザのグループ単位 の RADIUS アトリビュートを使用しない場合は、オフにします。 ステップ 7 • Include RADIUS attributes from user's group • Include RADIUS attributes from user record Submit をクリックします。 認可規則の順序変更 認可ポリシーの最初に一致したものが、クライアント要求を認可するために実装されます。 (注) 最も優先順位の高い認可ポリシーをリストの一番上に置く必要があります。User Group にグループ Any を選択したり、ポスチャ トークンの最初の一致にアセスメント Any を選択したりした場合、認 可では最初の一致が受け入れられるため、基になるポリシーは有効ではありません。 ポリシー内の条件の順序を指定する場合は、各条件が true になる可能性を判断し、可能性の最も高 い条件を先頭に、最も低い条件を末尾に配置します。 認可規則の順序を変更するには、次の手順を実行します。 ステップ 1 Authorization Rules ページで、オプション ボタンをクリックして順序を変更する認可規則を選択し ます。 ステップ 2 Up または Down をクリックして順序を設定します。 認可規則の削除 認可規則を削除するには、次の手順を実行します。 ステップ 1 Authorization Rules ページで、オプション ボタンをクリックして削除する認可規則を選択します。 ステップ 2 Delete をクリックして、選択した規則を削除します。 デフォルトで、ユーザ レコードまたはグループ レコードからの RADIUS アトリビュート規則はイ ネーブルになります。 Cisco Secure ACS Solution Engine ユーザ ガイド 14-40 OL-14386-01-J 第 14 章 ネットワーク アクセス プロファイル ポリシーの複製およびバックアップ プロファイルのトラブルシューティング デバイスに送信されたプロファイルが予期したものと異なる場合は、認可ポリシーが変更されてグ ループ アトリビュートまたはユーザ アトリビュートがディセーブルになっている可能性がありま す。これらのアトリビュートは、ポリシーが割り当てる RAC とマージされています。これ以外に は、ACS が自動的に特定のアトリビュートを認証プロトコルの一部として追加する可能性や、外部 監査サーバが特定の Session-Timeout を指示する可能性もあります。 アトリビュートのマージが選択されていないことを確認してください。 (注) NAC 展開の Session-Timeout 値は、 ACS のパフォーマンスに大きな影響を与える可能性があります。 ネットワークの規模および ACS トランザクション キャパシティに合せて、値を調整してください。 ポリシーの複製およびバックアップ 複製するために NAP を選択すると、すべての NAP ポリシーが完全に複製されます。プロファイル には、設定内容のコラボレーションが含まれます。プロファイルの複製コンポーネントは、次のと おりです。 • ネットワーク アクセス プロファイル • ポスチャ確認設定 • AAA クライアントおよびホスト • 外部データベース設定 • グローバル認証設定 • NDG • ディクショナリ • 共有プロファイル コンポーネント(RAC、NAF、およびダウンロード可能 ACL) • 追加のロギング アトリビュート EAP-FAST は複製に異なるメカニズムを使用するため、EAP-FAST も確認する必要があります。 (注) プロファイルの複製は、ネットワーク設定のデバイス テーブルの複製とは相反するため、同時に これら両方のコンポーネントをオンにしないでください。ACS での複製は、同じバージョンの ACS 間に限り動作します。複製には、外部データベースやその他すべてのグローバル ACS 設定パラメー タは含まれません。 複製の詳細については、P.8-2 の「ACS 内部データベースの複製」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 14-41 第 14 章 ネットワーク アクセス プロファイル Network Access Profiles ページのリファレンス Network Access Profiles ページのリファレンス 次のトピックでは、ACS Web インターフェイスの Network Access Profile セクションにあるページ について説明します。 • Network Access Profiles ページ(P.14-42) • Profile Setup ページ(P.14-43) • Create Profile from Template ページ(P.14-45) • Protocols Settings for profile_name ページ(P.14-45) • Authentication for profile_name ページ(P.14-48) • Posture Validation ページ(P.14-50) • Posture Validation Rule for profile_name ページ(P.14-50) • Authorization Rules for profile_name ページ(P.14-52) • Select External Posture Validation Audit for Profile_name ページ(P.14-51) Network Access Profiles ページ Network Access Profiles ページは、プロファイルベースのポリシーを設定するときに開く最初のペー ジです。 このページを開くには、ナビゲーション バーの Network Access Profiles をクリックします。 表 14-20 Network Access Profiles ページ オプション 説明 Name プロファイルの設定をアクティブにします。 「Profile Setup ページ」が開きます。 Policies プロトコル、認証、ポスチャ確認、および認可ポリシーへのリンクが含まれます。 • Protocols:パスワード プロトコルと EAP の設定を行います。 「Protocols Settings for profile_name ページ」が開きます。 • Authentication:プロファイルの認証ポリシーを制御します。 「Authentication for profile_name ページ」が開きます。このページでは、ユーザ クレデンシャルの 検証に使用するデータベースを選択できます。 • Posture Validation:ポスチャ確認ポリシーを設定します。「Posture Validation ページ」が開きます。 • Authorization:radius-profile タグおよびアクセス コントロール リスト(ACL) 名に対し、ユーザ グループとシステム ポスチャ トークンの結果との間でマッ ピングします。「Authorization Rules for profile_name ページ」が開きます。 Add Profile NAP を設定する「Profile Setup ページ」が開きます。 Add Template Profile NAC L3 IP、NAC L2 IP、およびエージェントレス ホストを含むテンプレートの中 から 1 つ選択し、それをベースにしてプロファイルを作成します。テンプレートを 使用すると、プロファイルを容易に作成できます。 「Create Profile from Template ペー ジ」が開きます。 Up ボタンと Down ボタン プロファイルの順序を変更します。Up または Down のボタンをクリックして、ソー ト順序を変更します。 Deny access when no profile matches このオプションがオンの場合、アクセス要求がどのプロファイルとも一致しなけれ ば認証に失敗し、ACS はアクセス要求を拒否します。一致しないアクセス要求を処 理する場合に、このオプションの使用をお勧めします。 Cisco Secure ACS Solution Engine ユーザ ガイド 14-42 OL-14386-01-J 第 14 章 ネットワーク アクセス プロファイル Network Access Profiles ページのリファレンス 表 14-20 Network Access Profiles ページ(続き) オプション 説明 Grant access using global このオプションがオンの場合、アクセス要求がどのプロファイルとも一致しなけれ configuration, when no profile matches ば認証に失敗し、ACS はデフォルト設定に基づいてアクセス要求を許可します。そ の後、未知ユーザ ポリシーによりパケットの処理が決まります。このオプション は、NAP による TACACS+ で使用します。 ACS を再起動して修正を適用します。 Apply and Restart 関連項目 • NAP の管理(P.14-5) • プロファイル テンプレートの使用(P.14-9) Profile Setup ページ このページで、ネットワーク アクセス プロファイルを追加、編集、クローニング、または削除し ます。 このページを開くには、Network Access Profiles > Add Profile を選択するか、プロファイルの Name を選択します。 表 14-21 Profile Setup ページ オプション 説明 Name プロファイル名。 Description プロファイルの説明。 Active プロファイルをアクティブまたは非アクティブにします。 Network Access Filter このプロファイルで使用するために選択可能な NAFS のリスト(デフォルト = Any) 。 Protocol Types ACS がアクセス要求を許可する対象のクライアントのベンダー タイプのリスト。 • Allow Any Protocol Type:Protocol type リストのすべてのプロトコル タイプを許可しま す。 • Allow Selected Protocol Types:Selected リストのプロトコル タイプのみを使用します。矢 印は、リスト間でプロトコル タイプを移動するために使用します。 Advanced Filtering Attribute すべての RADIUS アトリビュートのリスト。各 RADIUS アトリビュートは番号で一意に識別 されます。たとえば、001 はベンダー固有アトリビュートを除いて、User-Name を表す番号で す。ベンダー固有アトリビュート(VSA)は、番号 026 を ID として使用します。形式は次の ようになります。 Cisco AV-pair 026 / <vendor type> / <vendor attribute> たとえば、026/009/001 は Cisco AV-pair アトリビュートです。 (注) ACS では Cisco IOS RADIUS AV ペアをサポートします。AV ペアを選択する前に、 AAA クライアントによってサポートされていることを確認してください。AAA クラ イアントがサポートしない AV ペアの場合、その条件は必ず失敗します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 14-43 第 14 章 ネットワーク アクセス プロファイル Network Access Profiles ページのリファレンス 表 14-21 Profile Setup ページ(続き) オプション 説明 Operator 各アトリビュートに適切な演算子のリスト。規則要素が true かどうかを評価するときに ACS が使用する比較方法を定義します。 • =(等しい):規則要素が true になるのは、アトリビュート内の値が、指定された値に完 全に等しい場合です。 • !=(等しくない) :規則要素が true になるのは、アトリビュート内の値が、指定された値 と等しくない場合です。 • >(大なり) :規則要素が true になるのは、アトリビュート内の値が、指定された値より 大きい場合です。 • <(小なり) :規則要素が true になるのは、アトリビュート内の値が、指定された値より 小さい場合です。 • <=(小なりイコール) :規則要素が true になるのは、アトリビュート内の値が、指定され た値以下の場合です。 • >=(大なりイコール) :規則要素が true になるのは、アトリビュート内の値が、指定され た値以上の場合です。 • contains:規則要素が true になるのは、アトリビュートに文字列が含まれ、その文字列の 一部が、指定された文字列と一致した場合です。 • starts with:規則要素が true になるのは、アトリビュートに文字列が含まれ、その文字列 の先頭部分が、指定された文字列と一致した場合です。 • regular expression:規則要素が true になるのは、指定した正規表現と一致する文字列が アトリビュートに含まれる場合です。ACS では、次に示す正規表現がサポートされてい ます。 − ^(キャレット) :^ 演算子は、文字列の先頭と一致します。 − $(ドル):$ 演算子は、文字列の末尾と一致します。 (注) 演算子の contains、start with、および regular expression は、文字列タイプのアトリ ビュート値にしか使用できません。 Value アトリビュートに適切な値。 cisco-av-pair {026/009/001} cisco-av-pair アトリビュートの場合は、av-pair-key と av-pair-value の演算子およ び値。 Submit 修正内容を送信します。「Profile Setup ページ」に戻ります。 Clone NAP のコピーを作成します。 Delete 警告を表示した後にプロファイルを削除します。 Cancel 変更を実装せずに「Profile Setup ページ」に戻ります。 関連項目 • ネットワーク アクセス フィルタ(P.4-4) • NAP の管理(P.14-5) • プロファイルのクローニング(P.14-7) Cisco Secure ACS Solution Engine ユーザ ガイド 14-44 OL-14386-01-J 第 14 章 ネットワーク アクセス プロファイル Network Access Profiles ページのリファレンス Create Profile from Template ページ このページを使用して、テンプレートから新しいプロファイルを作成します。 このページを開くには、Network Access Profiles > Add Profile from Template を選択します。 表 14-22 Create Profile from Template ページ オプション 説明 Name プロファイルの名前。 Description プロファイルの説明。 Template 使用可能なテンプレートのリスト。 (注) NAC L3 IP テンプレートの場合は、 「Protocols Settings for profile_name ページ」で Allow Posture Validation の設定を行う必要があります。 Active プロファイルをアクティブまたは非アクティブにします。 Submit 修正内容を送信します。「Profile Setup ページ」に戻ります。 Cancel 変更を実装せずに「Profile Setup ページ」に戻ります。 関連項目 プロファイル テンプレートの使用(P.14-9) Protocols Settings for profile_name ページ このページを使用して、パスワード プロトコルと EAP の設定を行います。 このページを開くには、Network Access Profiles > Protocols(プロファイルごとに表示)を選択し ます。 表 14-23 Protocols Settings for profile_name ページ オプション 説明 Populate from Global Protocol Settings に ACS Global Authentication の設定を読み込みます。この方法に よって、新しいプロファイルの認証設定が容易になります。 Authentication Protocols Allow PAP PAP をイネーブルにします。PAP は、クリアテキストのパスワード(つまり暗号 化されていないパスワード)を使用する最もセキュリティ レベルの低い認証プロ トコルです。 Allow CHAP CHAP をイネーブルにします。CHAP は、パスワードの暗号化とともにチャレンジ / レスポンス方式を使用します。CHAP は、Windows ユーザ データベースでは使用 できません。 Allow MS-CHAPv1 MS-CHAPv1 をイネーブルにします。 Allow MS-CHAPv2 MS-CHAPv2 をイネーブルにします。 Allow Agentless Request Processing MAC アドレス要求を受信するプロファイルの認証プロセスを設定できるようにし ます。 EAP Configuration Allow RADIUS Key Wrap PEAP、EAP-FAST、および EAP-TLS 認証の RADIUS キー ラップのアトリビュー トをイネーブルにします。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 14-45 第 14 章 ネットワーク アクセス プロファイル Network Access Profiles ページのリファレンス 表 14-23 Protocols Settings for profile_name ページ オプション 説明 PEAP PEAP タイプ。PEAP による認証をイネーブルにするには、少なくとも 1 つのボッ クスをオンにします。ほとんどの場合は、すべてのボックスをオンにします。 (注) PEAP は証明書ベースの認証プロトコルです。認証が行われるのは、ACS Certificate Setup ページで必要な手順を完了した場合に限られます。 • Allow EAP-MSCHAPv2:PEAP 認証において EAP-MS-CHAPv2 をイネーブル にします。AD 認証に使用します。 • Allow EAP-GTC:PEAP 認証において EAP-GTC をイネーブルにします。RSA Secure ID 認証に使用します。 • Allow Posture validation:PEAB 使用時にポスチャ データの収集をイネーブル にします。このオプションは EAP over UDP を使用します。 「Create Profile from Template ページ」で NAC L3 IP Profile Template を使用するには、Allow Posture Validation をオンにする必要があります。 • Allow EAP TLS:PEAP 認証において EAP-TLS をイネーブルにします。 EAP FAST Allow EAP-FAST EAP-FAST 認証をイネーブルにします。オフの場合、他の EAP-FAST 関連オプショ ンはすべて関係なくなります。次の一部の設定では、PC ベースの認証エージェン ト(EAP-FAST クライアント)上に対応する設定が必要です。 Use PACS ACS が EAP-FAST クライアントに認可 PAC をプロビジョニングするようにする 場合にオンにします。このオプションがオフの場合、PAC に関連するすべてのオ プションはディセーブルになります。 Allow anonymous in-band PAC provisioning このチェックボックスがオンの場合、ACS はクライアントとのセキュアな匿名 TLS ハンドシェイクを確立して、クライアントにいわゆる PAC を提供します。そ の際、EAP-FAST のフェーズ 0 が使用され、内部方式として EAP-MS-CHAP が使 用されます。 Allow full TLS renegotiation in case of クライアントが無効な PAC を使用して認証するときに、ACS で完全な TLS 再ネゴ Invalid PAC シエーションを許可する場合にオンにします。 Allow anonymous in-band PAC provisioning ACS でクライアントとのセキュアな匿名 TLS ハンドシェイクを確立して、クライ アントにいわゆる PAC を提供する(EAP-FAST のフェーズ 0 が使用され、内部方 式として EAP-MSCHAP が使用される)場合にオンにします。 Enable anonymous TLS renegotiation このオプションでは、エンドユーザ クライアントと ACS の間で匿名の TLS ハンド シェイクが可能になります。フェーズ 0 の内部方式として EAP-MS-CHAP だけが 使用されます。 Allow authenticated in-band PAC provisioning ACS は Secure Sockets Layer(SSL)サーバ側の認証を使用して、EAP-FAST のフェー ズ 0 中に、クライアントに PAC を提供します。このオプションは匿名プロビジョ ニングよりもセキュアですが、サーバ証明書および信頼できるルート CA が ACS にインストールされている必要があります。 • Accept client on authenticated provisioning:プロトコルを少し短くする場合に イネーブルにします。 • Require client certificate for provisioning:Public Key Infrastructure(PKI; 公開鍵 インフラストラクチャ)証明書を使用してクライアントを設定する場合にイ ネーブルにします。 Cisco Secure ACS Solution Engine ユーザ ガイド 14-46 OL-14386-01-J 第 14 章 ネットワーク アクセス プロファイル Network Access Profiles ページのリファレンス 表 14-23 Protocols Settings for profile_name ページ オプション 説明 Allow Stateless session resume イネーブルの場合、ACS は EAP-FAST クライアントの認可 PAC のプロビジョニン グを行い、常に EAP-FAST のフェーズ 2(デフォルト = enabled)を実行します。 • Authorization PAC TTL <number> <timeframe>:ユーザ認可 PAC の有効期限 を決定します。ACS は期限切れの認可 PAC を受信すると、EAP-FAST 認証の フェーズ 2 を実行します。 When receiving client certificate, select Certificate SAN Lookup:クライアント証明書の Subject Alternative Name フィール one of the following lookup methods ドに基づいて証明書を検索する場合に選択します。 Certificate CN Lookup:クライアント証明書の Common Name フィールドに基づい て証明書を検索する場合に選択します。 Do not use PACs Allowed inner methods イネーブルにすると、ACS が EAP-FAST を実行するかどうかを決定しますが、ト ンネル PAC またはマシン PAC の発行や受け入れを行いません。PAC の要求はす べて無視され、ACS は PAC のない Success-TLV で応答します。このオプションが オフの場合、PAC に関連するすべてのオプションはディセーブルになります。 • Requires Client Certificate:クライアント証明書を使用した EAP-FAST トンネ ルの確立をサポートする場合に選択します。 • Disable Client Certificate Lookup and Comparisons:クライアント証明書の検 索をディセーブルにし、公開鍵インフラストラクチャ(PKI)証明書を使用し てクライアントを設定するかどうかを選択します。このオプションがイネーブ ルになっている場合、EAP-FAST PKI 認可バイパスが呼び出されます。一般に 認可は、外部データベースからユーザ グループのデータおよび証明書を取得 して行われます。次に、ACS は、少なくとも証明書、CN、または SAN のうち 1 つと、クライアントが提供した証明書から受信した値を比較します。比較が 成功すると、グループは ACS ユーザ グループにマッピングされます。それ以 外の場合、認証は失敗します。PKI 認可バイパスがイネーブルになっている場 合、このステージは省略され、セッションは事前に定義されたユーザ グルー プにマッピングされます。詳細については、P.9-18 の「PAC Free EAP-FAST」 を参照してください。 • Assign Group:これらの要求を ACS ユーザ グループにマッピングするグルー プを選択します。 イネーブルの場合、EAP-FAST トンネル内で実行される内部 EAP 方式を決定しま す。匿名インバンド プロビジョニングの場合、下位互換性のために、EAP-GTC と EAP-MS-CHAPv2 をイネーブルにする必要があります。ほとんどの場合、すべての 内部方式をオンにする必要があります。 (注) ACS は必ず、最初にイネーブルになった EAP 方式を使用して、認証プロ セスを開始します。たとえば、EAP-GTC と EAP-MS-CHAPv2 を選択する 場合、最初にイネーブルになる EAP 方式は EAP-GTC です。 • EAP-GTC:2 要素認証(たとえば OTP)を使用します。 • EAP-MSCHAPv2:AD 認証で使用されます。 • EAP-TLS:認証で証明書を使用します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 14-47 第 14 章 ネットワーク アクセス プロファイル Network Access Profiles ページのリファレンス 表 14-23 Protocols Settings for profile_name ページ オプション 説明 Posture Validation EAP-FAST ポスチャ確認モードを決定します。次のいずれかのポスチャ確認モード を選択します。 • None:認証は実行されますが、クライアントからポスチャ確認データは要求 されず、SPT も返されません。 • Required:認証とポスチャ確認は、同じ認証セッションで実行されます。その 結果、SPT が返されます。このオプションが選択されているときに、クライア ントから要求されるポスチャ クレデンシャルを受信しないと、認証は失敗し ます。NAC を実装している場合は、このオプションをイネーブルにする必要 があります。 • Optional:クライアントがポスチャ データを提供しない場合があります。クラ イアントがポスチャ データを ACS に提供できない場合は、デフォルト SPT を 設定します。 • Use Token:デフォルト ポスチャ トークンとして使用する SPT をドロップダ ウン リストから選択します。 • Posture Only:認証セッション内で、認証内部方式を実行せずにポスチャ確認 を実行します。このオプションはポスチャ確認の SPT を返します。 EAP-TLS 認証のイネーブル化 EAP-TLS EAP-TLS は、証明書ベースの認証プロトコルです。EAP-TLS 認証が行われるのは、 ACS Certificate Setup ページで必要な手順を完了した場合に限られます。 • Allow EAP-TLS:EAP-TLS 認証をイネーブルにする場合はオンにします。 EAP ベースの MD5 ハッシュ認証をイネーブルにします。 EAP-MD5 関連項目 NAP のプロトコル設定(P.14-23) Authentication for profile_name ページ このページを使用して、認証規則でプロファイルが使用するデータベースを指定し、MAC アドレ ス設定のエージェントレス要求処理の設定を行います。 このページを表示するには、Network Access Profiles > Authentication(プロファイルごとに表示) を選択します。 表 14-24 Authentication for profile_name ページ オプション 説明 Credential Validation Databases ユーザを確認できる使用可能なデータベースと選択済みデータベースのリスト。デー タベースのリストには、ACS Internal Database と、External User Databases > Unknown User Policy で設定されたすべてのデータベースが表示されます。Unknown User Policy でデータベースが失敗するように設定されている場合、そのデータベースは確認デー タベースになることができず、エラー メッセージを表示して失敗します。 Populate from Global Authentication Settings に、System Configuration > Global Authentication Setup ページを 読み込みます。認証設定が容易になります。 Group Filtering このオプションを使用して、LDAP 外部データベースで定義されたグループに基づい てグループのフィルタリングを設定します。 Cisco Secure ACS Solution Engine ユーザ ガイド 14-48 OL-14386-01-J 第 14 章 ネットワーク アクセス プロファイル Network Access Profiles ページのリファレンス 表 14-24 Authentication for profile_name ページ(続き) オプション 説明 Available Groups/Selected Groups ユーザを確認できる使用可能なグループと選択済みグループのリスト。このグループ のリストには、LDAP 外部ユーザ データベースで設定されたグループが含まれていま す。矢印を使用して、Available Groups リストと Selected Groups リスト間で移動させま す。 ACS は、LDAP サーバまたは ACS 内部データベースで MAC アドレスを認証できます。 Authenticate MAC With ACS は、判読可能な形式で MAC-48 アドレスを表す、次の 3 つの標準形式をサポート します。 • 送信順にハイフン(-)で区切られた 2 桁の 16 進数のグループ 6 個で構成される。 たとえば、01-23-45-67-89-ab。 • コロン(:)で区切れられた 2 桁の数字のグループ 6 個で構成される。たとえば、 01:23:45:67:89:ab。 • ドット(.)で区切られた 4 桁の 16 進数のグループ 3 個で構成される。たとえば、 0123.4567.89ab。 選択すると、External User Databases > External User Database Configuration ページで 選択可能なサーバから LDAP サーバを設定します。 LDAP Server ACS は、LDAP サーバを使用して MAC アドレスを検索し、MAC アドレスの LDAP グ ループのアトリビュートを取得します。LDAP サーバに MAC アドレスが存在すると、 ACS は、設定済みの ACS の LDAP 外部データベースで設定されている ACS グループ に LDAP グループをマッピングします。 選択すると、関連するユーザ グループごとに MAC アドレス用のフィールドが表示さ れます。 Internal ACS Database それぞれの NAP は、Authentication ページに最大 10,000 件の MAC アドレスを保持で きます。それぞれの NAP は最大 100 件のマッピング(1 つ以上の MAC アドレスのリ ストから 1 つのグループへのマップ)を保持できます。つまり、MAC のリストから ユーザグループへのマッピングを最大で 100 行まで保持できます。1 つの NAP では、 最大 10,000 件の MAC アドレスを同じユーザグループにマッピングできます。 Default Action(エージェントレ MAC アドレスが LDAP サーバまたは ACS 内部データベースで検出されなかった場 ス要求がユーザ グループに割 合、または LDAP サーバに接続できない場合に、MAC アドレスの割り当て先グループ り当てられなかった場合) を指定します。 OID Comparison オブジェクト ID と、ユーザ証明書の Enhanced Key Usage (EKU) フィールドを比較しま す。 Enter OIDs separated by comma OID 文字列に含められるのは、ドット(.)、カンマ(,) 、およびスペースだけです。複 数の OID をカンマ区切り形式で入力できます。 Submit 変更内容を ACS 内部データベースに送信します。 Cancel 新しい変更内容を送信せずに「Network Access Profiles ページ」に戻ります。 関連項目 • NAP の認証ポリシー設定(P.14-27) Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 14-49 第 14 章 ネットワーク アクセス プロファイル Network Access Profiles ページのリファレンス Posture Validation ページ このページを使用して、ポスチャ確認規則の順序変更と関連付けを行います。 このページを表示するには、P.14-42 の「Network Access Profiles ページ」で Posture Validation をク リックします。 表 14-25 Posture Validation ページ フィールド 説明 Posture Validation Rules Rule Name ポスチャ確認規則の名前。 Required Credential Types Available Credentials リストに、ACS が要求しないクレデンシャル タイプが表示されます。 Selected Credentials リストには、このポスチャ確認規則を使用してポスチャ確認要求を評価す るために、ポスチャ確認要求で ACS が必要とするクレデンシャル タイプが表示されます。 Associate With 規則に関連付けられたポリシー。 Up/Down 評価の順序を設定します。 Add Rule 新規ポスチャ確認規則を作成する 「Posture Validation Rule for profile_name ページ」を開きま す。 Select Audit NAH の監査サーバを設定する「Select External Posture Validation Audit for Profile_name ページ」 を開きます。NAC 準拠の AAA クライアントは、監査サーバに問い合せることで、Cisco Trust Agent とのポスチャ確認セッションを開始する試みに応答しないコンピュータの NAC を処 理できます。Cisco Ttust Agent がコンピュータにインストールされていない場合や、その他の 理由で CTA が到達不能になっている場合、NAC 準拠の AAA クライアントは監査サーバ上で ポスチャ確認を実行しようとします。監査サーバから返される結果はポスチャ トークンで す。 関連項目 • 第 13 章「ポスチャ確認」 • ポスチャ確認ポリシーの設定(P.14-32) Posture Validation Rule for profile_name ページ このページを使用して、ポスチャ確認規則を定義します。 このページを表示するには、P.14-50 の「Posture Validation ページ」で Add Rule をクリックします。 表 14-26 Posture Validation Rule for profile_name ページ フィールド 説明 Rule Name 識別するための規則名を表示します。 Add Rule クリックすると、ポスチャ確認規則を追加できます。Posture Validation Rule 設定ページ が表示されます。 Edit Rule Rule Name を選択します。特定のプロファイルを編集する Posture Validation Rule 設定 ページが表示されます。 Action Select Internal Posture Validation この規則の要求で受信したアトリビュートに ACS が適用する、内部ポスチャ確認ポリ Policies シーを選択します。 Cisco Secure ACS Solution Engine ユーザ ガイド 14-50 OL-14386-01-J 第 14 章 ネットワーク アクセス プロファイル Network Access Profiles ページのリファレンス 表 14-26 Posture Validation Rule for profile_name ページ(続き) フィールド 説明 Select External Posture Validation この規則の要求で受信したアトリビュートに ACS が適用する、外部ポスチャ確認サー Server バ ポリシーを選択します。 Failure Action フェール オープン機能を設定するにはオンにします。 Failure Posture Token サプリカントに返されるクレデンシャル タイプ(AV のペア)を選択します。 クレデンシャル タイプのポスチャ トークンを選択します。 このテーブルを使用して、SPT を AAA クライアントに返すように設定します。設定変 更できない 6 つの SPT があらかじめ定義されています。SPT 結果は、最良のものから 順に示されます。 System Posture Token Configuration • System Posture Token:ポスチャ トークンごとの Posture Agent Message および URL Redirect。 • System Posture Token:ポスチャ エージェントごとに表示されるメッセージ。 • URL Redirect:ポスチャ トークンごとに AAA クライアントに送信される URL リ ダイレクト。 関連項目 • ポスチャ確認ポリシーの設定(P.13-19) • 外部ポリシー サーバの設定(P.13-25) • ポスチャ確認ポリシーの設定(P.14-32) Select External Posture Validation Audit for Profile_name ページ このページを使用して、ポスチャ確認用の外部ポスチャ確認監査サーバを選択します。 このページを表示するには、P.14-50 の「Posture Validation ページ」で Select Audit をクリックします。 フィールド 説明 Select 外部ポスチャ確認監査サーバを選択するか、Do Not Use Audit Server を選択します。 Fail Open Configuration アップストリーム NAC サーバからポスチャ トークンを取得しないように、発生する可 能性があるエラーの処理方法を決定します。フェール オープンが設定されていない場合、 ACS はユーザ要求を拒否します。 Do not reject when Audit failed フェール オープンをイネーブルまたはディセーブルにします(デフォルト = イネーブ ル)。 • Use this token when unable to retrieve posture data:適切なトークン • Timeout:セッションのタイムアウト値 • Assign a User Group:転送先ユーザ グループ 関連項目 • 外部ポスチャ確認監査サーバの設定(P.13-29) • エージェントレス ホストに対するポスチャ確認の設定(P.14-35) Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 14-51 第 14 章 ネットワーク アクセス プロファイル Network Access Profiles ページのリファレンス Authorization Rules for profile_name ページ このページで、ネットワーク アクセス プロファイルの認可規則のセットを一覧表示します。 このページを表示するには、P.14-42 の「Network Access Profiles ページ」で Authorization をクリッ クします。 表 14-27 Authorization Rules for profile_name ページ フィールド 説明 Condition User Group ユーザがマッピングされた ACS グループ。このフィールドは、この規則のユーザのグ ループを定義します。認可規則が認証に基づいていない場合は、Any を選択します。 System Posture Token ポスチャ確認の結果として返されたポスチャ トークン。ACS は設定されたアクション を続行する前に、トークンのステ―タスを確認します。ポスチャ トークンを使用して ユーザ グループを確認できます。ポスチャ確認を使用していない場合は、Any を選択 します。 Action Deny Access 設定済みポリシーのいずれにも一致しない要求へのアクセスを拒否します。 Shared RAC Shared Profile Components > RADIUS Authorization Components オプションで定義される RAC のリスト。 (注) 認可ポリシーのセッション タイムアウト設定を使用するように外部ポスチャ 確認監査サーバを設定する場合は、共有 RAC を選択する必要があります。 P.13-18 の「ポリシーの設定」および P.13-41 の「External Posture Validation Audit Setup ページ」を参照してください。 Shared Profile Components > Downloadable IP ACLs で定義されるダウンロード可能 ACL のリスト。 Downloadable ACL If a MAC address is not defined or 一致する条件が検出されない場合のデフォルト アクション。 there is no matched mapping Include RADIUS attributes from user's group ユーザのグループごとに RADIUS アトリビュートの使用をイネーブルにします。 Include RADIUS attributes from user record ユーザ レコードごとに RADIUS アトリビュートの使用をイネーブルにします。 関連項目 • 認可規則の設定(P.14-38) • デフォルト認可規則の設定(P.14-39) Cisco Secure ACS Solution Engine ユーザ ガイド 14-52 OL-14386-01-J C H A P T E R 15 未知ユーザ ポリシー この章では、ACS Web インターフェイスの External User Databases セクションにある、未知ユーザ ポリシー機能について説明します。Network Access Profiles(NAP; ネットワーク アクセス プロファ イル)の未知ユーザ ポリシーを設定することもできます。Cisco Secure Access Control Server Release 4.2(以降は ACS と表記)では、未知ユーザの認証に使用する内部データベースを、認証の NAP 設 定のクレデンシャル確認データベースから明示的に選択する必要があります。 ACS Web インターフェイスの External User Database セクションで少なくとも 1 つのデータベースを 設定した後、認証に関連した他の ACS 機能を実装する方法を決定できます。これは、未知ユーザ ポリシーとユーザ グループ マッピングという機能です。 ユーザ グループ マッピングについては、第 16 章「ユーザ グループ マッピングと仕様」を参照し てください。 ACS でサポートされるデータベースについて、および Web インターフェイスでデータベースを設 定する方法については、第 12 章「ユーザ データベース」を参照してください。 この章は、次の項で構成されています。 • 既知ユーザ、未知ユーザ、および検出ユーザ(P.15-2) • 認証と未知ユーザ(P.15-3) − 未知ユーザ認証について(P.15-3) − 未知ユーザの一般的な認証(P.15-3) − 未知ユーザの Windows 認証(P.15-4) − 未知ユーザ認証のパフォーマンス(P.15-6) • 未知ユーザの認可(P.15-6) • 未知ユーザ ポリシーのオプション(P.15-7) • データベースの検索順序(P.15-8) • 未知ユーザ ポリシーの設定(P.15-9) • 未知ユーザ認証のディセーブル化(P.15-10) Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 15-1 第 15 章 未知ユーザ ポリシー 既知ユーザ、未知ユーザ、および検出ユーザ 既知ユーザ、未知ユーザ、および検出ユーザ 未知ユーザ ポリシー機能には、AAA サービスを要求するユーザのタイプに応じて認証要求を処理 するさまざまな方法が用意されています。ユーザのタイプは 3 つあります。このタイプの意味は、 要求されたサービスが認証されているかどうかによって異なります。 • 既知ユーザ:ACS 内部データベースに手動または自動で明示的に追加されたユーザです。これ らのユーザは、Web インターフェイスを使用する管理者、RDBMS 同期化機能、またはデータ ベース複製機能のいずれかによって追加されたユーザです。CSUtil.exe ユーティリティを使用 しすることもできます(ACS for Windows) 。CSUtil.exe の詳細については、付録 C「CSUtil デー タベース ユーティリティ」を参照してください。ACS は次の認証を使用して既知のユーザに対 する認証要求を処理します。 ACS は、既知ユーザが関連付けられている単一のユーザ データベースを使用して、その既知 ユーザの認証を試みます。ユーザ データベースが ACS 内部データベースであり、ユーザのア カウントが Voice over IP(VoIP)ユーザ アカウントではない場合は、ユーザにパスワードが必 要です。ユーザ データベースが外部ユーザ データベースであるか、またはユーザのアカウン トが VoIP ユーザ アカウントである場合、ACS ではユーザ データベースにユーザ パスワード を格納する必要がありません。 ACS では、フェールオーバー認証はサポートされていません。ユーザと関連付けられたデータ ベースで認証が失敗した場合、ACS はユーザを認証する別の方法を使用できないため、認証が 失敗したことを AAA クライアントに通知します。 • 未知ユーザ:ACS 内部データベースに、ユーザ アカウントを持たないユーザです。このこと は、ユーザが ACS から認証サービスを受け取ったことがないか、ユーザ アカウントが削除さ れたかのどちらかを意味します。ACS は、未知ユーザ ポリシーの設定で指定されたとおりに、 未知ユーザに対する認証要求を処理します。 未知ユーザ認証の詳細については、P.15-3 の「未知ユーザの一般的な認証」を参照してください。 • 検出ユーザ:未知ユーザ ポリシーを使用した認証が成功した後で、ACS が ACS 内部データベー ス内に作成したアカウントに対応するユーザです。すべての検出ユーザは、最初は未知ユーザ でした。ACS が検出ユーザを作成するとき、そのユーザ アカウントには、ユーザ名、ユーザに 対して認証を提供したデータベースを示す Password Authentication リスト設定、およびグルー プ マッピングを可能にする、Mapped By External Authenticator の Group to which the user is assigned リスト設定だけが含まれます。ACS Web インターフェイスまたは RDBMS 同期化を使用する と、必要に応じてユーザ アカウントにさらに設定を追加できます。たとえば、検出ユーザが ACS に作成されると、その検出ユーザにユーザ固有のネットワーク アクセス制限を割り当てる ことができます。 (注) ACS は、検出ユーザのクレデンシャル(パスワード、証明書など)をインポートしま せん。 検出ユーザの認証プロセスは、外部ユーザ データベースで認証され、グループ マッピングに よって ACS グループ メンバーシップが決定される既知ユーザの認証プロセスと同じです。 (注) ユーザ名に関連付けられている特権が必要なくなったときには、データベースからそのユーザ名を 削除することを推奨します。ユーザ アカウントの削除方法の詳細については、P.6-47 の「ユーザ アカウントの削除」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド 15-2 OL-14386-01-J 第 15 章 未知ユーザ ポリシー 認証と未知ユーザ ユーザに対する一意の識別子は、ユーザ名とプロファイル名です。ユーザはユーザ名だけでは識別 できませんが、ユーザ名とプロファイル名の組み合せにより識別できます。異なるプロファイルの 使用により動的に作成された検出ユーザは、データベース内で別のレコードとなります。したがっ て、プロファイル名 routers を持つユーザ john の設定は、ユーザ john とプロファイル名 switches の 設定には影響を与えません。 NAP の詳細については、第 14 章「ネットワーク アクセス プロファイル」を参照してください。 認証と未知ユーザ この項では、認証で未知ユーザ ポリシーを使用する方法について説明します。この項の情報は、特 に断りのない限り、NAP 認証ポリシーにも関連しています。 ここでは、次の項目について説明します。 • 未知ユーザ認証について(P.15-3) • 未知ユーザの一般的な認証(P.15-3) • 未知ユーザの Windows 認証(P.15-4) • 未知ユーザ認証のパフォーマンス(P.15-6) 未知ユーザ認証について 未知ユーザ ポリシーは、認証転送の 1 つの形式です。本質的に、この機能は認証プロセス内の特殊 なステップです。ユーザ名が ACS 内部データベースに存在しない場合、ACS は着信したユーザ名 とパスワードの認証要求を、通信相手として設定された外部データベースに転送します。外部デー タベースは、認証要求で使用される認証プロトコルをサポートする必要があります。 未知ユーザ ポリシーにより、ACS は、さまざまな外部データベースを使用して未知ユーザの認証 を試行できます。この機能は、ACS を介した基本的なシングル サインオン機能の基盤となります。 着信する認証要求は外部ユーザ データベースで処理されるので、パスワードなどのユーザ クレデ ンシャルを ACS 内に保持する必要はありません。このため、各ユーザを複数回入力する必要がな く、手動での手順にありがちなデータ入力エラーを防止できます。 (注) NAP を設定する際、内部データベースが Web インターフェイス内で選択されない場合もあります。 外部データベースを選択した方法と同じように認証に内部データベースを選択できます。 未知ユーザの一般的な認証 ACS で未知ユーザ ポリシーを設定している場合、ACS は次のようにして未知ユーザの認証を試み ます。 1. ACS は自身の内部データベースをチェックします。ユーザが ACS 内部データベース内に存在 している(つまり既知ユーザまたは検出ユーザである)場合、ACS は、要求の認証プロトコル と、ユーザ アカウントで指定されたデータベースを使用して、ユーザの認証を試みます。認証 の結果、成功または失敗となります。 2. ユーザが ACS 内部データベースに存在しない(つまり未知ユーザである)場合、ACS は、 Selected Databases リストに指定された順序で、要求の認証プロトコルをサポートする各外部 ユーザ データベースで認証を試みます。外部ユーザ データベースの 1 つでユーザの認証が成 功すると、ACS はそのユーザを ACS 内部データベースに自動的に追加します。このとき、認 証試行で成功した外部ユーザ データベースを使用するためのポインタも一緒に格納されます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 15-3 第 15 章 未知ユーザ ポリシー 認証と未知ユーザ ACS は、認証が成功するとその後のデータベースの検索を中断します。未知ユーザ認証によっ て追加されたユーザは、ACS 内部データベース内でそれに応じたフラグが付けられ、検出ユー ザと呼ばれます。 次回、この検出ユーザが認証を試みると、ACS は、最初に認証が成功したデータベースに対し て、このユーザを認証します。検出ユーザは、既知ユーザと同じ取り扱いを受けます。 3. 設定されているすべての外部データベースで未知ユーザの認証が失敗すると、そのユーザは ACS 内部データベースには追加されず、認証も失敗します。 上記のシナリオでも、同一ユーザ名のユーザ アカウントが、別個の Windows ドメインに存在する 場合には、処理が異なります。詳細については、P.15-4 の「未知ユーザの Windows 認証」を参照し てください。 (注) ACS 内部データベース内のユーザ名は一意であることが必要なため、ACS では、使用するように 設定されているすべてのデータベースで、すべてのユーザ名の単一インスタンスをサポートしてい ます。たとえば、すべての外部ユーザ データベースに、John というユーザ名のユーザ アカウント が格納されているとします。各アカウントは、別のユーザのアカウントですが、偶然、同一のユー ザ名を持っています。最初の John がネットワークにアクセスし、未知ユーザ プロセスを介して認 証されると、ACS は、その John 専用の検出ユーザ アカウントを保持します。この後、すべての John という名前によるアクセス試行を、最初に John を認証した外部ユーザ データベースを使用し て認証しようとします。John というユーザのパスワードが、最初に認証を受けた John のパスワー ドとは異なっていると、他の John はネットワークにアクセスできません。 未知ユーザの Windows 認証 ACS がユーザ認証に使用する信頼 Windows ドメイン全体には、同一ユーザ名が存在する可能性が あるため、ACS は Windows ユーザ データベースによる認証を特殊なケースとして扱います。 認証を実行するため、ACS は、ACS を実行しているコンピュータの Windows オペレーティング シ ステムと通信します。Windows は、組み込み機能を使用して、適切なドメイン コントローラに認証 要求を転送します。 ここでは、次の項目について説明します。 • ドメイン修飾された未知 Windows ユーザ(P.15-4) • ドメイン修飾を使用した Windows 認証(P.15-5) • 複数ユーザ アカウントの作成(P.15-5) ドメイン修飾された未知 Windows ユーザ 認証要求の一部としてドメイン名が指定されていると、ACS では、ドメイン名が指定されているこ とを検出し、指定されたドメイン名に対して認証クレデンシャルを要求します。Windows で提供さ れるダイヤルアップ ネットワーキング クライアントは、Windows のバージョンによってユーザに よるドメインの指定方法に違いがあります。詳細については、P.12-8 の「Windows ダイヤルアップ ネットワーキング クライアント」を参照してください。 ドメイン修飾されたユーザ名を使用することにより、ACS は、異なるドメインにある同一ユーザ名 の複数インスタンスから、特定のユーザを区別できます。ドメイン修飾されたユーザ名を指定し、 Windows ユーザ データベースで認証を受ける未知ユーザについては、ACS は、DOMAIN\username の形式で、ACS 内部データベースにユーザ アカウントを作成します。ユーザ名とドメインを組み 合せることで、このユーザは ACS データベース内で一意になります。 ドメイン修飾されたユーザ名と Windows 認証の詳細については、P.12-8 の「ユーザ名と Windows 認証」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド 15-4 OL-14386-01-J 第 15 章 未知ユーザ ポリシー 認証と未知ユーザ ドメイン修飾を使用した Windows 認証 ユーザ名がドメイン修飾されていない場合や、UPN 形式になっている場合、ACS を実行するコン ピュータの Windows オペレーティング システムは、ACS による制御範囲外で、非常に複雑な認証 順序をたどります。リソースの使用順序はさまざまですが、ドメイン修飾されていないユーザ名ま たは UPN ユーザ名を検索するときに、Windows は通常、次の順序に従います。 1. ローカル ドメイン コントローラ 2. すべての信頼ドメイン内のドメイン コントローラ(順序は Windows に依存) 3. ACS がメンバー サーバ上で動作する場合は、ローカル アカウント データベース Windows は、ユーザ名が ACS から Windows へ渡されたものと一致するアカウントを検出すると、 最初に検出したアカウントでユーザの認証を試みます。認証が成功するか失敗するかに関係なく、 Windows は同一ユーザ名の他のアカウントを検索しません。したがって、Windows は、偶然同一の ユーザ名を持つ間違ったアカウントに対して、提供されたクレデンシャルをチェックしてしまうこ とがあるため、有効なクレデンシャルを提供したユーザの認証に失敗することがあります。 Windows ユーザ データベースに対する ACS 設定の Domain List を使用すると、この問題を回避でき ます。信頼ドメインのリストを使用して Domain List が設定されていると、ACS では、最終的にユー ザの認証に成功するまで、または Domain List 内のすべてのドメインで認証を試行して失敗に終わ るまで、ドメイン修飾形式を使用して、リスト内の各ドメインにユーザ名とパスワードを送信しま す。 (注) ユーザ名がネットワークのドメイン全体に複数存在する(たとえば、各ドメインには Administrator という名前のユーザが存在する)場合、またはユーザが認証クレデンシャルの一部としてドメイン を提供しない場合には、External User Databases セクションの Windows ユーザ データベースに対す る Domain List を設定する必要があります。設定しない場合は、Windows が最初にチェックしたア カウントのユーザだけが認証に成功します。ACS を使用して、Windows によるドメインのチェッ ク順序を制御する唯一の方法は、Domain List を使用することです。ユーザ名の複数インスタンス がドメイン全体に存在する場合、これをサポートする最も確実な方法は、認証要求の一部としてド メイン メンバーシップを指定するように、ユーザに要求することです。Domain List の使用結果の 詳細については、P.12-9 の「ドメイン修飾されていないユーザ名」を参照してください。 複数ユーザ アカウントの作成 未知ユーザ認証では、同一のユーザに対して複数のユーザ アカウントが作成される場合がありま す。たとえば、ユーザがドメイン修飾されたユーザ名を指定して認証に成功した場合、ACS は FFF の形式でアカウントを作成します。同じユーザが、ユーザ名の前にプレフィックスとしてドメイン 名を付けずに認証に成功すると、ACS は username の形式でアカウントを作成します。また、同じ ユーザが UPN バージョンのユーザ名([email protected] など)で認証すると、ACS は第 3 の アカウントを作成します。 個々のユーザ設定ではなくグループに依存して認可を割り当てる場合は、同じ Windows ユーザ ア カウントを使用して認証するアカウントはすべて、同じ特権を受け取る必要があります。ユーザが プレフィックスとしてドメイン名を付けるかどうかに関係なく、グループ マッピングでは、その ユーザが同一の ACS ユーザ グループに割り当てられます。これは、両方の ACS ユーザ アカウン トが単一の Windows ユーザ アカウントに対応しているためです。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 15-5 第 15 章 未知ユーザ ポリシー 未知ユーザの認可 未知ユーザ認証のパフォーマンス 未知ユーザの認証要求処理は、既知ユーザの認証要求処理に比べて、所要時間がやや長くなります。 このわずかな遅延のために、未知ユーザによるネットワークへのアクセス試行に使用する AAA ク ライアントにタイムアウト設定を追加する必要がある場合があります。 認証待ち時間の追加 未知ユーザの認証に使用する外部ユーザ データベースを追加すると、個々の認証に要する時間が大 幅に増加することがあります。各認証に要する時間は長くても、外部ユーザ データベースによる認 証に費やされる時間に、ACS の処理時間を加えた時間になります。状況によっては(たとえば、 Windows ユーザ データベースを使用する場合)、外部ユーザ データベースでの待ち時間がさらに数 十秒追加される可能性があります。未知ユーザ認証に複数のデータベースを含めるように未知ユー ザ ポリシーを設定した場合、AAA クライアントのタイムアウト値に設定する必要がある待ち時間 は、個々の外部ユーザ データベースが未知ユーザの認証要求に応答するのに費やす時間の合計に、 ACS の処理時間を加えた時間になります。 データベースの順序を設定することによって、この追加される待ち時間の影響を軽減できます。特 にタイムセンシティブな認証プロトコル(PEAP など)を使用している場合は、そのタイムセンシ ティブ プロトコルを使用して、未知ユーザを格納している可能性が最も高いデータベースで最初に 認証を試みるように、未知ユーザ認証を設定することをお勧めします。詳細については、P.15-8 の 「データベースの検索順序」を参照してください。 AAA クライアントの認証タイムアウト値 未知ユーザ認証で使用される外部ユーザ データベースに認証要求を渡すことにより、ACS の認証 所要時間が増加します。これに対応するために、AAA クライアントのタイムアウト値は大きく設 定する必要があります。AAA クライアントのタイムアウト値が、未知ユーザ認証に必要な遅延に 対応するだけ十分大きく設定されていない場合は、AAA クライアントにより認証要求がタイムア ウトされ、すべての未知ユーザの認証が失敗します。 Cisco IOS では、AAA クライアントのデフォルトのタイムアウト値は 5 秒です。ACS が複数のデー タベースを検索するように設定されているか、または認証要求に対するデータベースの応答が遅い 場合は、AAA クライアントのタイムアウト値を大きくすることを考慮します。IOS での認証タイム アウト値の詳細については、Cisco IOS マニュアルを参照してください。 未知ユーザの認可 未知ユーザ ポリシーを使用すると、External User Database セクションで設定されたデータベースで 認証要求を処理できますが、AAA クライアントとエンドユーザ クライアントに送信されるすべて の認可については、ACS が管理します。未知ユーザ認証は、ACS ユーザ グループ マッピング機能 を利用して、設定済みのユーザ グループに未知ユーザを割り当て、認証に成功したすべての未知 ユーザに認可を割り当てます。詳細については、第 16 章「ユーザ グループ マッピングと仕様」お よび第 13 章「ポスチャ確認」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド 15-6 OL-14386-01-J 第 15 章 未知ユーザ ポリシー 未知ユーザ ポリシーのオプション 未知ユーザ ポリシーのオプション Configure Unknown User Policy ページでは、未知ユーザ認証に関する ACS の機能について指定でき ます。未知ユーザ ポリシーの設定オプションは次のとおりです。 • Fail the attempt:未知ユーザ認証をディセーブルにします。この場合、ACS は、ACS 内部デー タベース内で見つからないユーザの認証要求を拒否します。このオプションを選択すると、 Check the following external user databases オプションは使用不可になります。 • Check the following external user databases:未知ユーザ認証をイネーブルにします。この場合、 ACS は Selected Databases リスト内のデータベースを使用して、未知ユーザ認証を提供します。 (注) 認証要求に対して、ACS が未知ユーザ ポリシーを適用するのは、未知ユーザのみです。 ACS では、既知ユーザまたは検出ユーザが認証に失敗した場合に、未知ユーザ認証に フォールバックすることはできません。 このオプションを選択すると、Fail the attempt オプションは使用不可になります。 • External Databases:External User Databases セクションで設定したデータベースのうち、ACS が 未知ユーザ認証で使用しないデータベースが一覧表示されます。 • Selected Databases:External User Databases セクションで設定したデータベースのうち、ACS が 未知ユーザ認証で使用するデータベースが一覧表示されます。ACS は、選択されたデータベー スを指定された順序で 1 つずつ使用して、要求されたサービス(認証)を試みます。選択され たデータベースの順序の意味については、P.15-8 の「データベースの検索順序」を参照してく ださい。 • Configure Enable Password Behavior:新規に作成されたダイナミック ユーザの Advanced TACACS+ Settings セクションで TACACS+ Enable Password 設定の初期値を決定します。詳細 については、P.6-28 の「TACACS+ Enable Password オプションをユーザに対して設定する」を 参照してください。 Internal database をオンする場合、ダイナミック ユーザの TACACS+ Enable Password 設定を Use Separate Password に設定します。ユーザの TACACS+ Enable Password を編集して、 TACACS+ 対応の認証を実行します。 The database in which the user profile is held が選択された場合、新規ダイナミック ユーザの設 定における TACACS+ Enable Password 設定は、Use External Database Password に設定され、ユー ザが正しく認証されたデータベースは、ユーザ レコード上の選択ボックスで選択されます。こ の設定は、新規ダイナミック ユーザの初期設定に影響を与えます。ACS がユーザをキャッシュ したら、TACACS+ Enable Password 設定を無効にして、Configure Enable Password Behavior を使 用できます。 • Configure Caching Unknown Users:認証用の外部データベースを使用している間、ダイナミッ ク ユーザの作成をディセーブルにします。 未知ユーザ ポリシーの設定手順の詳細については、P.15-9 の「未知ユーザ ポリシーの設定」を参 照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 15-7 第 15 章 未知ユーザ ポリシー データベースの検索順序 データベースの検索順序 ACS が未知ユーザ認証を試みる場合に選択済みデータベースをチェックするときの順序を設定で きます。未知ユーザ ポリシーは、未知ユーザ認証をサポートします。次に手順を示します。 1. Selected Databases リストで、要求の認証プロトコルをサポートする次のユーザ データベースを 検索します。要求の認証プロトコルをサポートするユーザ データベースがリスト内にない場合 は、未知ユーザ認証を停止し、ユーザに対してネットワーク アクセスを拒否します。 2. ステップ 1 のデータベースに認証要求を送信します。 3. データベースが Authentication suceeded というメッセージを返した場合は、検出ユーザ アカ ウントを作成し、グループ マッピングを実行して、ユーザにネットワークへのアクセス権を与 えます。 4. データベースが Authentication failed というメッセージを返すか、応答しない場合、別の データベースが現在のデータベースの下に表示されているときは、ステップ 1 に戻ります。 5. 別のデータベースが現在のデータベースの下に表示されていない場合は、ユーザに対してネッ ト アクセスを拒否します。 Selected Databases リストにおけるデータベースの順序を指定する場合は、次の処理を行うデータ ベースを、リストのできるだけ上位に配置することを推奨します。 • ほとんどの要求を処理する。 • 特定の時間依存 AAA クライアントまたは認証プロトコルに関連付けられた要求を処理する。 • 最も限定的な必須クレデンシャル タイプを要求する(ポリシーだけに適用する)。 ユーザ認証の例として、ワイヤレス LAN ユーザが PEAP を使用してネットワークにアクセスする 場合は、未知ユーザ認証の時間が Cisco Aironet Access Point に指定されているタイムアウト値より 短くなるように、Selected Databases リスト内のデータベースを配置します。 Cisco Secure ACS Solution Engine ユーザ ガイド 15-8 OL-14386-01-J 第 15 章 未知ユーザ ポリシー 未知ユーザ ポリシーの設定 未知ユーザ ポリシーの設定 未知ユーザ ポリシーを設定するには、次の手順を使用します。 NAP ポリシーについては、P.14-5 の「プロファイルの追加」を参照してください。 始める前に Configure the Unknown User Policy ページについては、P.15-7 の「未知ユーザ ポリシーのオプション」 を参照してください。 ACS による未知ユーザの処理方法を指定するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの External User Databases をクリックし、次に Unknown User Policy をクリッ クします。 ステップ 2 未知ユーザの認証要求を拒否するには、Fail the attempt オプションを選択します。 ステップ 3 未知ユーザ認証を可能にするには、次の手順で未知ユーザ ポリシーをイネーブルにします。 a. Check the following external user databases オプションを選択します。 b. 未知ユーザ認証に対して ACS で使用するデータベースごとに、External Databases リスト内でそ のデータベースを選択し、-->(右矢印ボタン)をクリックして、Selected Databases リストに移 動します。Selected Databases リストからデータベースを削除するには、削除するデータベース を選択し、<--(左矢印ボタン)をクリックして、External Databases リストに戻します。 c. データベースの検索順序を割り当てるには、Selected Databases リストでデータベースを選択し、 Up または Down をクリックして、目的の位置に移動します。 (注) データベースの順序が持つ意味の詳細については、P.15-8 の「データベースの検索順 序」を参照してください。 ステップ 4 イネーブル パスワードの動作を設定するには、各認証に対して The internal database オプションを 選択するか、または The database in which the user profile is held オプションを選択して、新しく作 成されたダイナミック ユーザが TACACS+ プロトコルを使用してイネーブル パスワード設定を初 期化できるようにします。The database in which the user profile is held オプションをクリックする と、ユーザをキャッシュした外部データベースで後続の認証を行うことができます。 ステップ 5 Submit をクリックします。 作成した未知ユーザ ポリシー設定が ACS に保存および実装されます。ACS は、Selected Databases リスト内の順序でデータベースを使用して、未知ユーザ認証要求を処理します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 15-9 第 15 章 未知ユーザ ポリシー 未知ユーザ認証のディセーブル化 未知ユーザ認証のディセーブル化 ACS 内部データベースに存在しないユーザに認証サービスを提供しないように、ACS を設定でき ます。 未知ユーザ認証を無効にするには、次の手順を実行します。 ステップ 1 ナビゲーション バーの External User Databases をクリックし、次に Unknown User Policy をクリッ クします。 ステップ 2 Fail the attempt オプションを選択します。 ステップ 3 Submit をクリックします。 未知ユーザ認証が停止されます。ACS は、外部ユーザ データベースによる未知ユーザの認証を許 可しません。 Cisco Secure ACS Solution Engine ユーザ ガイド 15-10 OL-14386-01-J C H A P T E R 16 ユーザ グループ マッピングと仕様 この章では、グループ マッピングと仕様について説明します。Cisco Secure Access Control Server Release 4.2(以降は ACS と表記)は、これらの機能を使用して、外部ユーザ データベースによって 認証されるユーザを 1 つの ACS グループに割り当てます。 この章は、次の項で構成されています。 • ユーザ グループ マッピングと仕様について(P.16-1) • 外部ユーザ データベースによるグループ マッピング(P.16-2) • グループ セット メンバーシップによるグループ マッピング(P.16-4) • RADIUS ベースのグループ指定(P.16-11) ユーザ グループ マッピングと仕様について External User Databases セクションのデータベース グループ マッピング機能を使用すると、認可プ ロファイルを割り当てるために、未知ユーザを ACS グループに関連付けることができます。ACS がグループ情報を取得できる外部ユーザ データベースの場合は、外部ユーザ データベース内の ユーザに定義されているグループ メンバーシップを、特定の ACS グループに関連付けることがで きます。Windows ユーザ データベースの場合、各ドメインが専用のユーザ データベースを保持し ているため、グループ マッピングはドメインによって詳細に指定されます。 データベース グループ マッピング機能に加えて、ACS では、一部のデータベース タイプについて は、Remote Access Dial-In User Service(RADIUS)に基づいたグループ指定をサポートします。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 16-1 第 16 章 ユーザ グループ マッピングと仕様 外部ユーザ データベースによるグループ マッピング 外部ユーザ データベースによるグループ マッピング 外部データベースは、ACS グループにマッピングできます。指定されたデータベースを使用して認 証を行う未知ユーザは、自動的にそのグループに所属し、そのグループの認可を継承します。たと えば、あるトークン サーバ データベースで認証された未知ユーザ全員を Telecommuters という名前 のグループに所属するように、ACS を設定することもできます。次に、社外で働いているユーザに 適したグループ設定として、たとえば MaxSessions=1 などを割り当てることもできます。または、 別のグループに対して使用禁止時間を設定し、同時に Telecommuters グループ メンバーには無制限 のアクセスを許可することもできます。 ACS では、任意の外部ユーザ データベース タイプのすべての未知ユーザを、単一の ACS グループ にマッピングすることが可能ですが、次の外部ユーザ データベース タイプは、ユーザを単一の ACS グループにしかマッピングできません。 • Open Database Connectivity(ODBC; 開放型データベース接続)(ACS for Windows のみ) • Lightweight and Efficient Application Protocol(LEAP)Proxy RADIUS サーバ • Remote Access Dial-In User Service(RADIUS)トークン サーバ • RSA SecurID トークン サーバ 上記にリストした外部ユーザ データベース タイプのサブセットについては、外部ユーザ データ ベースの認証応答として ACS グループが指定されている場合は、ユーザごとの設定は外部データ ベース タイプによるグループ マッピングに優先します。ACS では、次の外部ユーザ データベース タイプについて、グループ メンバーシップの指定をサポートします。 • LEAP Proxy RADIUS サーバ • RADIUS トークン サーバ 上記のいずれかのデータベース タイプで認証されたユーザに対してグループ メンバーシップを指 定する方法については、P.16-11 の「RADIUS ベースのグループ指定」を参照してください。 ACS for Windows また、ODBC 外部ユーザ データベースによって認証されたユーザは、指定した ACS グループに割 り当てることもできます。ODBC データベース認証によるグループ指定は、グループ マッピングよ り優先されます。ODBC データベースで認証されるユーザのグループ メンバーシップを指定する方 法の詳細については、P.12-39 の 「ODBC データベース(ACS for Windows のみ)」 を参照してください。 トークン サーバ、ODBC データベース、または LEAP Proxy RADIUS Sever データ ベースに対する ACS グループ マッピングの作成 トークン サーバ、ODBC データベース(ACS for Windows のみ)、または LEAP Proxy RADIUS Server データベース グループ マッピングを設定または変更するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの External User Databases をクリックします。 ステップ 2 Database Group Mappings をクリックします。 ステップ 3 グループ マッピングを設定する、トークン サーバ、ODBC データベース設定(ACS for Windows の み) 、または LEAP Proxy RADIUS Server の名前をクリックします。 Define Group Mapping テーブルが表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド 16-2 OL-14386-01-J 第 16 章 ユーザ グループ マッピングと仕様 外部ユーザ データベースによるグループ マッピング ステップ 4 Select a default group for database リストで、このデータベースで認証されたユーザを割り当てるグ ループをクリックします。 ヒント ステップ 5 Select a default group for database リストに、各グループに割り当てられているユーザの数 が表示されます。 Submit をクリックします。 ステップ 3 で選択した外部データベース タイプによって認証される未知ユーザと検出ユーザが、ス テップ 4 で選択した ACS グループに割り当てられます。RADIUS トークン サーバ、ODBC データ ベース(ACS for Windows のみ)、または LEAP Proxy RADIUS Server データベースによって認証さ れるユーザについては、それらのデータベースにそのユーザの ACS グループが指定されていない 場合に限り、マッピングがデフォルトとして適用されます。 (注) RADIUS トークン サーバに対するグループ指定方法については、P.16-11 の「RADIUS ベー スのグループ指定」を参照してください。ODBC データベースのグループ指定(ACS for Windows)の詳細については、P.12-40 の「ODBC 外部ユーザ データベースを使用した ACS の認証プロセス」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 16-3 第 16 章 ユーザ グループ マッピングと仕様 グループ セット メンバーシップによるグループ マッピング グループ セット メンバーシップによるグループ マッピング 一部の外部ユーザ データベースに対しては、ユーザが所属する外部ユーザ データベース グループ の組み合せに基づいたグループ マッピングを作成できます。次に挙げるのは、グループ セット メ ンバーシップに基づき、グループ マッピングを作成できる外部ユーザ データベース タイプです。 • Windows ドメイン:ACS には、グループ マッピングのオプションが 2 つ用意されています。グ ループは、グループのリストから選択するか、手動でグループ名を入力することができます。 列挙するグループの数が非常に多い(たとえば、500 グループ)場合は、2 つ目のオプション を使用してください。 (注) ACS がグループ マッピングを実行できるのは、ユーザが所属するローカル グループと グローバル グループを、ユーザを認証したドメインで使用する場合だけです。認証ド メインが信頼するドメイン内のグループ メンバーシップは、ACS グループ マッピング に使用できません。認証を提供するドメインのローカル グループにリモート グループ を追加しても、この制約は回避できません。 • 汎用 Lightweight Directory Access Protocol(LDAP) グループ セット メンバーシップに基づいて、ACS グループ マッピングを設定すると、そのセット に外部ユーザ データベース グループを 1 グループ以上追加できます。ACS が、指定された ACS グ ループにユーザをマッピングする場合、そのユーザは、グループ セット内のすべての外部ユーザ データベース グループに一致する必要があります。 例として、Engineering グループと Tokyo グループに所属するユーザに対してあるグループ マッピ ングを設定し、Engineering グループと London グループに所属するユーザに対して別のグループ マッピングを設定できます。次に、Engineering-Tokyo と Engineering-London の組み合せに対して別 個のグループ マッピングを設定した後、その組み合せがマッピングされる ACS グループに対して 別々のアクセス時刻を設定することもできます。また、Tokyo または London のメンバーではない Engineering グループのその他のメンバーをマッピングする、Engineering グループだけを含んだグ ループ マッピングを設定することもできます。 グループ マッピングの順序 ACS は、常時、単一の ACS グループにユーザをマッピングします。ただし、ユーザは、複数のグ ループ セット マッピングに所属できます。たとえば、John という名前のユーザが、Engineering と California の組み合せグループのメンバーであり、同時に、Engineering と Managers の組み合せグ ループのメンバーであることも可能です。その両方の組み合せに対して、ACS グループ セット マッ ピングが存在する場合、ACS は、John を割り当てるべきグループを決定する必要があります。 ACS は、グループ セット マッピングにマッピング順序を割り当てることで、グループ セット マッ ピングの矛盾を避けます。外部ユーザ データベースで認証されたユーザを、ACS グループに割り 当てる場合、ACS は、そのデータベースに対するグループ マッピングのリストの一番上から割り 当てを開始します。ACS は、外部ユーザ データベース内のユーザ グループ メンバーシップを、リ スト内の各グループ マッピングと順次比較してチェックします。ユーザの外部ユーザ データベー スのグループ メンバーシップと一致する最初のグループ セット マッピングを検出すると、ACS は、 そのグループ マッピングの ACS グループにユーザを割り当て、マッピング プロセスを終了します。 Cisco Secure ACS Solution Engine ユーザ ガイド 16-4 OL-14386-01-J 第 16 章 ユーザ グループ マッピングと仕様 グループ セット メンバーシップによるグループ マッピング ヒント グループ マッピングの順序は、ユーザに許可されるネットワーク アクセスおよびサービスに影響 するため重要です。複数のグループに所属するユーザに対してマッピングを定義する場合は、ユー ザに対して正しいグループ設定が許可されるように、グループ マッピングが正しい順序で存在する ことを確認します。 たとえば、Mary という名前のユーザが Engineering、Marketing、および Managers という 3 つの組み 合せグループに割り当てられているとします。Mary には、技術者ではなくマネージャの特権を与 える必要があるとします。マッピング A は、Mary がメンバーに入っている 3 つのグループすべて に所属するユーザを ACS Group 2 に割り当てます。マッピング B は、Engineering グループと Marketing グループに所属するユーザを ACS Group 1 に割り当てます。マッピング B が最初にリス トに載っている場合、ACS は、Group 1 のユーザとして Mary を認証し、マネージャに該当する Group 2 ではなく、Group 1 に Mary を割り当てます。 グループ セット マッピングの非アクセス グループ 特定のグループ セット マッピングによってあるグループに割り当てられているユーザが、リモー ト アクセスできないようにするには、そのグループを ACS No Access グループに割り当てます。た とえば、外部ユーザ データベース グループ Contractors の全メンバーを No Access グループに割り 当て、各メンバーがネットワークにリモート ダイヤルインすることを禁止することもできます。 Windows のデフォルトのグループ マッピング Windows ユーザ データベースに対して、ACS は、デフォルトのグループ マッピングを定義する機 能を備えています。他のグループ マッピングが Windows ユーザ データベースで認証された未知 ユーザに一致しない場合、ACS はデフォルトのグループ マッピングに基づき、あるグループにそ のユーザを割り当てます。 Windows ユーザ データベース用にデフォルトのグループ マッピングを設定することは、1 つの例外 を除けば、既存のグループ マッピングを編集することと同じです。つまり、Windows 用のデフォル トのグループ マッピングを編集する場合には、Domain Configurations ページで有効なドメイン名を 選択する代わりに \DEFAULT を選択します。 既存のグループ マッピングを編集する方法については、P.16-7 の「Windows または汎用 LDAP グ ループ セット マッピングの編集」を参照してください。 Windows または汎用 LDAP グループに対する ACS グループ マッピングの作成 始める前に Windows または汎用 LDAP グループを ACS グループにマッピングするには、 次の手順を実行します。 ステップ 1 ナビゲーション バーの External User Databases をクリックします。 ステップ 2 Database Group Mappings をクリックします。 ステップ 3 グループ マッピングを設定する外部ユーザ データベースの名前をクリックします。 Windows グループ セットをマッピングしている場合は、Domain Configurations テーブルが表示され ます。次に、Group Mappings for database Users テーブルが表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 16-5 第 16 章 ユーザ グループ マッピングと仕様 グループ セット メンバーシップによるグループ マッピング ステップ 4 新しいドメインに対して Windows グループ セットをマッピングしている場合は、次の手順を実行 します。 a. New configuration をクリックします。 Define New Domain Configuration ページが表示されます。 b. グループ セット マッピング設定を作成する Windows ドメインが Detected domains リストに表 示された場合は、そのドメインの名前を選択します。 ヒント ドメインの選択内容をクリアするには、Clear Selection をクリックします。 c. Detected domains リストに、グループ セット マッピングを作成する Windows ドメインが表示さ れない場合は、Domain ボックスに信頼できる Windows ドメインの名前を入力します。 d. Submit をクリックします。 新しい Windows ドメインが、Domain Configurations ページ内のドメインのリストに表示されま す。 ステップ 5 Windows グループ セットをマッピングしている場合は、グループ セット マッピングを設定するド メインの名前をクリックします。 Group Mappings for Domain:domainname テーブルが表示されます。 ステップ 6 リストから選択してグループを追加するには、次の手順を実行します。 a. Add Mapping をクリックします。 Create new group mapping for database ページが開きます。ここで、database はマッピングを追加 する外部ユーザ データベースの名前です。グループ リストには、外部ユーザ データベースか ら取得されたグループ名が表示されます。 b. グループ セット マッピングに追加される各グループについて、グループ リスト内で該当する 外部ユーザ データベース グループの名前を選択し、Add to selected をクリックします。Selected リストには、ACS グループにマッピングするためにユーザが所属する必要のある、すべてのグ ループが表示されます。 (注) ACS が、このグループ セット マッピングを使用してユーザを ACS グループにマッピ ングするためには、そのユーザが、Selected リスト内のすべてのグループに一致する必 要があります。ただし、ユーザは、同時に(リスト内のグループに加えて)他のグルー プにも所属し、さらに ACS グループにもマッピングすることができます。 ヒント マッピングからグループを削除するには、Selected リストで削除するグループの名前を選 択し、次に Remove from selected をクリックします。 c. ACS グループ リストで、Selected リスト内にあるすべての外部ユーザ データベース グループ に所属するユーザをマッピングする ACS グループの名前を選択します。 Cisco Secure ACS Solution Engine ユーザ ガイド 16-6 OL-14386-01-J 第 16 章 ユーザ グループ マッピングと仕様 グループ セット メンバーシップによるグループ マッピング (注) No Access も選択できます。No Access グループの詳細については、P.16-5 の「グループ セット マッピングの非アクセス グループ」を参照してください。 ステップ 7 グループを手動で追加するには(このオプションは、たとえば 500 グループなどのように列挙する グループ数が非常に多い場合に使用します)、次の手順を実行します。 a. Add Manual Mapping をクリックします。Manual Mapping ページが開きます。 b. Windows グループのリストをカンマ(,)区切りで入力します。 c. ACS グループ リストで、Selected リスト内にあるすべての外部ユーザ データベース グループ に所属するユーザをマッピングする ACS グループの名前を選択します。 (注) No Access も選択できます。No Access グループの詳細については、P.16-5 の「グループ セット マッピングの非アクセス グループ」を参照してください。 ステップ 8 Submit をクリックします。 ACS リストにマッピングしたグループ セットが、database グループ カラムの一番下に表示されま す。 (注) 各グループ セットの最後にあるアスタリスク(*)は、その外部ユーザ データベースで認 証されたユーザが、そのグループ セット内のグループ以外に、他のグループにも所属する ことが可能であることを示します。 Windows または汎用 LDAP グループ セット マッピングの編集 グループ セット マッピングがマッピングされている ACS グループを変更できます。 (注) 既存のグループ セット マッピングの外部ユーザ データベース グループは編集できません。 グループ セット マッピングに外部ユーザ データベース グループを追加、または削除する 場合は、グループ セット マッピングを削除し、改定したグループ セットで新しいグループ セットを作成します。 Windows または汎用 LDAP グループ マッピングを編集するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの External User Databases をクリックします。 ステップ 2 Database Group Mappings をクリックします。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 16-7 第 16 章 ユーザ グループ マッピングと仕様 グループ セット メンバーシップによるグループ マッピング ステップ 3 グループ セット マッピングを編集する外部ユーザ データベースの名前をクリックします。 Windows グループ セット マッピングを編集している場合は、Domain Configurations テーブルが表示 されます。次に、Group Mappings for database Users テーブルが表示されます。 ステップ 4 Windows グループ セット マッピングを編集している場合は、グループ セット マッピングを編集す るドメインの名前をクリックします。 Group Mappings for Domain:domainname テーブルが表示されます。 ステップ 5 編集するグループ セット マッピングをクリックします。 Edit mapping for database ページが開きます。グループ セット マッピングに含まれる 1 つまたは複 数の外部ユーザ データベース グループが、ACS グループ リストの上に表示されます。 ステップ 6 ACS グループ リストで、外部データベース グループのセットをマッピングするグループの名前を 選択し、Submit をクリックします。 (注) ステップ 7 No Access も選択できます。No Access グループの詳細については、P.16-5 の「グループ セッ ト マッピングの非アクセス グループ」を参照してください。 Submit をクリックします。 Group Mappings for database ページが再度開き、変更されたグループ セット マッピングが表示され ます。 Windows または汎用 LDAP グループ セット マッピングの削除 グループ セット マッピングは個別に削除できます。 Windows または汎用 LDAP グループ マッピングを削除するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの External User Databases をクリックします。 ステップ 2 Database Group Mappings をクリックします。 ステップ 3 グループ セット マッピングを削除する外部ユーザ データベース設定をクリックします。 Windows グループ セット マッピングを削除する場合は、Domain Configurations テーブルが表示され ます。次に、Group Mappings for database Users テーブルが表示されます。 ステップ 4 Windows グループ セット マッピングを削除する場合は、そのグループ セット マッピングを削除す るドメインの名前をクリックします。 Group Mappings for Domain:domainname テーブルが表示されます。 ステップ 5 削除するグループ セット マッピングの名前をクリックします。 Cisco Secure ACS Solution Engine ユーザ ガイド 16-8 OL-14386-01-J 第 16 章 ユーザ グループ マッピングと仕様 グループ セット メンバーシップによるグループ マッピング ステップ 6 Delete をクリックします。 確認ダイアログボックスが表示されます。 ステップ 7 確認ダイアログボックスで、OK をクリックします。 ACS によって、選択された外部ユーザ データベースのグループ セット マッピングが削除されます。 Windows ドメイン グループ マッピング設定の削除 Windows ドメインに対するグループ マッピング設定全体を削除できます。Windows ドメイン グ ループ マッピング設定を削除すると、その設定内のすべてのグループ セット マッピングも削除さ れます。 Windows グループ マッピングを削除するには、次の手順を実行します。 ステップ 1 ナビゲーション バーの External User Databases をクリックします。 ステップ 2 Database Group Mappings をクリックします。 ステップ 3 Windows 外部ユーザ データベースの名前をクリックします。 ステップ 4 グループ セット マッピングを削除するドメインの名前をクリックします。 ステップ 5 Delete Configuration をクリックします。 確認ダイアログボックスが表示されます。 ステップ 6 確認ダイアログボックスで、OK をクリックします。 ACS によって、選択された外部ユーザ データベースのグループ マッピング設定が削除されます。 グループ セット マッピング順序の変更 Windows および汎用 LDAP データベースで認証を受けるユーザのグループ セット マッピングに対 して ACS が実行するチェックの順序を変更できます。グループ マッピングの順序を設定するには、 グループ マッピングを作成しておく必要があります。グループ マッピングの作成方法については、 P.16-5 の「Windows または汎用 LDAP グループに対する ACS グループ マッピングの作成」を参照 してください。 Windows または汎用 LDAP グループ マッピングに対するグループ マッピング順序を変更するに は、次の手順を実行します。 ステップ 1 ナビゲーション バーの External User Databases をクリックします。 ステップ 2 Database Group Mappings をクリックします。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 16-9 第 16 章 ユーザ グループ マッピングと仕様 グループ セット メンバーシップによるグループ マッピング ステップ 3 グループ セット マッピング順序を設定する外部ユーザ データベースの名前をクリックします。 Windows グループ セット マッピングの順序を設定している場合は、Domain Configurations テーブル が表示されます。次に、Group Mappings for database Users テーブルが表示されます。 ステップ 4 Windows グループ マッピングの順序を設定している場合は、グループ セット マッピングの順序を 設定するドメインの名前をクリックします。 Group Mappings for Domain:domainname テーブルが表示されます。 ステップ 5 Order mappings をクリックします。 (注) 現在のデータベースに対して、複数のグループ セット マッピングが存在する場合は、Order mappings ボタンが表示されます。これは、デフォルトのグループ マッピングには適用され ません。 Order mappings for database ページが開きます。現在のデータベースに対するグループ マッピング が、Order リストに表示されます。 ステップ 6 移動するグループ セット マッピングの名前を選択し、適切な位置になるまで Up または Down をク リックします。 ステップ 7 グループ マッピングが適切な順序になるまで、ステップ 7 を繰り返します。 ステップ 8 Submit をクリックします。 Group Mappings for database ページに、定義した順序でグループ セット マッピングが表示されます。 ステップ 9 Submit をクリックします。 SPT/ ユーザ グループ間マッピングが保存されます。 Cisco Secure ACS Solution Engine ユーザ ガイド 16-10 OL-14386-01-J 第 16 章 ユーザ グループ マッピングと仕様 RADIUS ベースのグループ指定 RADIUS ベースのグループ指定 一部の外部ユーザ データベースのタイプについては、ACS では、外部ユーザ データベースからの RADIUS 認証応答に基づいて、特定の ACS グループにユーザを割り当てることができます。ACS は、P.16-2 の「外部ユーザ データベースによるグループ マッピング」で説明されている未知ユー ザ グループ マッピングに加えて、この割り当てを提供します。RADIUS に基づいたグループ指定 は、グループ マッピングより優先されます。RADIUS に基づいたグループ指定をサポートするデー タベース タイプは、次のとおりです。 • LEAP Proxy RADIUS サーバ • RADIUS トークン サーバ ACS は、 LEAP Proxy RADIUS Server データベースで認証されたユーザに対するユーザ単位のグルー プ マッピングをサポートします。このグループ マッピング サポートは、P.16-2 の「外部ユーザ デー タベースによるグループ マッピング」で説明されているデフォルトのグループ マッピングの追加 機能です。 ユーザ単位のグループ マッピングをイネーブルにするには、次の値を使用して、Cisco IOS/PIX RADIUS アトリビュート 1、[009\001] cisco-av-pair を含む認証応答を返すように外部ユーザ デー タベースを設定します。 ACS:CiscoSecure-Group-Id = N N には、ACS がユーザに割り当てる ACS グループの番号(0 ∼ 499)が入ります。たとえば、LEAP Proxy RADIUS Server がユーザを認証して、Cisco IOS/PIX RADIUS アトリビュート 1、[009\001] cisco-av-pair に次の値を含めると、このようになります。 ACS:CiscoSecure-Group-Id = 37 ACS では、ユーザにグループ 37 を割り当て、グループ 37 に関連付けられた認可を適用します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J 16-11 第 16 章 ユーザ グループ マッピングと仕様 RADIUS ベースのグループ指定 Cisco Secure ACS Solution Engine ユーザ ガイド 16-12 OL-14386-01-J A P P E N D I X A TACACS+ の AV ペア Cisco Secure Access Control Server Release 4.2(以降は ACS と表記)は、Terminal Access Controller Access Control System(TACACS+; ターミナル アクセス コントローラ アクセス コントロール シス テム)のアトリビュートと値(AV)ペアをサポートします。サポートされているアトリビュート 値に対して、異なる AV ペアを使用可能にできます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J A-1 付録 A TACACS+ の AV ペア Cisco IOS AV ペア ディクショナリ Cisco IOS AV ペア ディクショナリ TACACS+ に対して Cisco IOS AV ペア ディクショナリの全範囲を使用するには、AAA クライアン トは、IOS バージョン 11.3 以降を使用する必要があります。Cisco IOS 11.1 および 11.2 は、TACACS+ AV ペアの一部だけをサポートしています。 (注) ACS で所定の AV ペアを指定した場合は、AAA クライアントで稼働する Cisco IOS ソフトウェアの 対応する AV ペアも使用可能にする必要があります。したがって、使用する Cisco IOS リリースが サポートしている AV ペアを確認しておく必要があります。Cisco IOS ソフトウェアがサポートし ていない AV ペアを ACS から AAA クライアントに送信しても、そのアトリビュートは実装されま せん。 TACACS+ AV ペアの詳細については、使用する AAA クライアントで稼働している Cisco IOS リリー スの Cisco IOS マニュアルを参照してください。 (注) TACACS+ の値はすべて、文字列です。Remote Access Dial-In User Service(RADIUS)とは異なり、 値の型という概念は TACACS+ にはありません。 TACACS+ AV ペア (注) ACS 2.3 以降では、IP プールとコールバックが次のアトリビュートに代わったため、Group Setup ページに表示されなくなった TACACS+ のアトリビュートがあります。 addr addr-pool callback-dialstring さらに、これらのアトリビュートは、データベースの同期化を使用して設定できません。また、 ip:addr=n.n.n.n は、シスコの Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)として 認められていません。 ACS では、数多くの TACACS+ AV ペアをサポートしています。これらのアトリビュートの説明に ついては、使用する AAA クライアントで稼働している Cisco IOS リリースの Cisco IOS マニュアル を参照してください。ACS でサポートされる TACACS+ AV ペアは、次のとおりです。 • acl= • autocmd= • callback-line • callback-rotary • cmd-arg= • cmd= • dns-servers= • gw-password • idletime= Cisco Secure ACS Solution Engine ユーザ ガイド A-2 OL-14386-01-J 付録 A TACACS+ の AV ペア Cisco IOS AV ペア ディクショナリ • inacl#n • inacl= • interface-config= • ip-addresses • link-compression= • load-threshold=n • max-links=n • nas-password • nocallback-verify • noescape= • nohangup= • old-prompts • outacl#n • outacl= • pool-def#n • pool-timeout= • ppp-vj-slotcompression • priv-lvl= • protocol= • route • route#n • routing= • rte-ftr-in#n • rte-ftr-out#n • sap#n • sap-fltr-in#n • sap-fltr-out#n • service= • source-ip= • timeout= • tunnel-id • wins-servers= • zonelist= TACACS+ アカウンティング AV ペア ACS では、多数の TACACS+ アカウンティング AV ペアをサポートしています。これらのアトリ ビュートの説明については、使用する AAA クライアントで稼働している Cisco IOS リリースの Cisco IOS マニュアルを参照してください。ACS でサポートされる TACACS+ アカウンティング AV ペアは、次のとおりです。 • bytes_in • bytes_out • cmd • data-rate • disc-cause • disc-cause-ext • elapsed_time Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J A-3 付録 A TACACS+ の AV ペア Cisco IOS AV ペア ディクショナリ • event • mlp-links-max • mlp-sess-id • nas-rx-speed • nas-tx-speed • paks_in • paks_out • port • pre-bytes-in • pre-bytes-out • pre-paks-in • pre-paks-out • pre-session-time • priv_level • protocol • reason • service • start_time • stop_time • task_id • timezone • xmit-rate Cisco Secure ACS Solution Engine ユーザ ガイド A-4 OL-14386-01-J A P P E N D I X B RADIUS アトリビュート Cisco Secure Access Control Server Release 4.2(以降は ACS と表記)は、多くの Remote Access Dial-In User Service(RADIUS)アトリビュートをサポートしています。この付録では、ACS がサポートし ている標準アトリビュート、ベンダー所有アトリビュート、およびベンダー固有アトリビュートを 示します。 ここでは、次の項目について説明します。 • RADIUS アトリビュートを使用する前に(P.B-2) • Cisco IOS RADIUS IETF ディクショナリ(P.B-3) • Cisco IOS/PIX 6.0 RADIUS VSA ディクショナリ(P.B-5) • cisco-av-pair RADIUS アトリビュートについて(P.B-6) • Cisco VPN 3000 Concentrator/ASA/PIX 7.x+ RADIUS VSA ディクショナリ(P.B-8) • Cisco VPN 5000 Concentrator RADIUS VSA ディクショナリ(P.B-10) • Cisco Building Broadband Service Manager RADIUS VSA ディクショナリ(P.B-11) • Cisco Airespace RADIUS VSA ディクショナリ(P.B-11) • IETF RADIUS IETF(AV ペア)ディクショナリ(P.B-12) • Microsoft MPPE RADIUS VSA ディクショナリ(P.B-19) • Ascend RADIUS AV ペア ディクショナリ(P.B-21) • Nortel RADIUS VSA ディクショナリ(P.B-27) • Juniper RADIUS VSA ディクショナリ(P.B-27) • 3COMUSR RADIUS VSA ディクショナリ(P.B-28) Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J B-1 付録 B RADIUS アトリビュート RADIUS アトリビュートを使用する前に RADIUS アトリビュートを使用する前に Internet Engineering Task Force(IETF ; インターネット技術特別調査委員会)RADIUS およびサポー トされているすべてのベンダーに対しても、さまざまなアトリビュート値(AV)ペアをイネーブ ルにできます。送信アトリビュートについては、ACS Web インターフェイスを使用して、送信する アトリビュート、およびその内容を設定できます。Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)クライアントに送信された access-accept メッセージ内の RADIUS アトリビュートはユーザ固有です。 指定のユーザに特定のアトリビュートが送信されるように設定するには、次の項目を確認する必要 があります。 1. Network Configuration セクションで、ユーザにネットワーク アクセスを許可するアクセス デバ イスに対応した AAA クライアント エントリが、AAA クライアントに送信するアトリビュート をサポートする各種の RADIUS を使用するように設定する必要がある。各種 RADIUS がサポー トする RADIUS アトリビュート セットの詳細については、P.2-8 の「TACACS+ 設定オプショ ンの表示」を参照してください。 2. Interface Configuration セクションで、アトリビュートをイネーブルにしてユーザ プロファイル またはユーザ グループ プロファイルのページに表示されるようにする必要がある。アトリ ビュートは、そのアトリビュートをサポートする RADIUS の種類に対応したページでイネーブ ルにすることができます。たとえば、IETF RADIUS Session-Timeout アトリビュート(27)は RADIUS (IETF) ページに表示されます。 (注) デフォルトでは、ユーザごとの RADIUS アトリビュートはイネーブルになっていませ ん(アトリビュートは Interface Configuration ページには表示されません)。ユーザごと に ア ト リ ビ ュ ー ト を イ ネ ー ブ ル に す る に は、Interface Configuration セ ク シ ョ ン の Advanced Options ページで Per-user TACACS+/RADIUS Attributes オプションをイネー ブルにする必要があります。ユーザごとのアトリビュートをイネーブルにすると、ユー ザ カラムはそのアトリビュートの Interface Configuration ページでディセーブルとして 表示されます。 3. ユーザ編集ページまたはグループ編集ページ、または Shared RADIUS Authorization Component ページのユーザに対する認可の制御に使用するプロファイルで、アトリビュートをイネーブル にする必要がある。このアトリビュートをイネーブルにすることにより、ACS は access-accept メッセージでアトリビュートを AAA クライアントに送信します。アトリビュートに関連付け られたオプションで、AAA クライアントに送信するアトリビュートの値を決定できます。 (注) ユーザ プロファイル内の設定は、グループ プロファイル内の設定よりも優先されます。 たとえば、ユーザ プロファイルで Session-Timeout が設定されていて、ユーザが割り当 てられているグループでも設定されている場合、ACS はユーザ プロファイルで指定さ れた Session-Timeout 値を AAA クライアントに送信します。 Network Access Profile(NAP; ネットワーク アクセス プロファイル)が使用されている場合、Shared RADIUS Authorization Components からのアトリビュートが access-accept 応答に含められている 可能性があります。グループ、ユーザ、および Shared Radius Authorization Component (SRAC; 共有 RADIUS 認可コンポーネント)アトリビュート間の相互作用の説明につい ては、P.14-37 の「アトリビュートのマージ」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド B-2 OL-14386-01-J 付録 B RADIUS アトリビュート Cisco IOS RADIUS IETF ディクショナリ Cisco IOS RADIUS IETF ディクショナリ ACS は、Cisco RADIUS IETF(IOS RADIUS AV ペア)をサポートしています。ACS の AV ペアを 選択する前に、使用する AAA クライアントが Cisco IOS と互換性のあるリリースまたは互換性のあ る AAA クライアント ソフトウェアであることを確認してください。詳細については、 『Installation Guide for Cisco Secure ACS for Windows Release 4.2 』または『Installation Guide for Cisco Secure ACS Solution Engine Release 4.2』のネットワークとポートの要件を参照してください。 (注) ACS で所定の AV ペアを指定する場合は、対応する AV ペアが、ネットワーク デバイスで稼働す る Cisco IOS ソフトウェアに実装されている必要があります。常に、Cisco IOS リリースがサポート している AV ペアを考慮に入れておいてください。Cisco IOS ソフトウェアがサポートしていない AV ペアを ACS から送信しても、そのアトリビュートは実装されません。 (注) 次の RADIUS アトリビュートは、IP プールとコールバックに代わったため、Group Setup ページに 表示されなくなりました。 No. 名前 8 Framed-IP-Address 19 Callback-Number 218 Ascend-Assign-IP-Pool これらのアトリビュートはいずれも、Relational Database Management System(RDBMS; リレーショ ナル データベース管理システム)同期化機能を使用して設定することができません。 表 B-1 に、サポートされている Cisco IOS RADIUS AV ペアを示します。 表 B-1 Cisco IOS ソフトウェア RADIUS AV ペア No. アトリビュート 値の型 受信 / 送信 複数 1 User-Name String 受信 No 2 User-Password String 送信 No 3 CHAP-Password String 送信 No 4 NAS-IP Address Ipaddr 受信 No 5 NAS-Port Integer 受信 No 6 Service-Type Integer 両方向 No 7 Framed-Protocol Integer 両方向 No 9 Framed-IP-Netmask Ipaddr(最大長 15 文字) 送信 No 10 Framed-Routing Integer 送信 No 11 Filter-Id String 送信 Yes 12 Framed-MTU Integer(最大長 10 文字) 送信 No 13 Framed-Compression Integer 送信 Yes 14 Login-IP-Host Ipaddr(最大長 15 文字) 両方向 Yes 15 Login-Service Integer 両方向 No Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J B-3 付録 B RADIUS アトリビュート Cisco IOS RADIUS IETF ディクショナリ 表 B-1 Cisco IOS ソフトウェア RADIUS AV ペア(続き) No. アトリビュート 値の型 受信 / 送信 複数 16 Login-TCP-Port Integer(最大長 10 文字) 送信 No 18 Reply-Message String 送信 Yes 21 Expiration Date — — 22 Framed-Route String 送信 Yes 24 State String(最大長 253 文字) 送信 No 25 Class String 送信 Yes 26 Vendor specific String 送信 Yes 27 Session-Timeout Integer(最大長 10 文字) 送信 No 28 Idle-Timeout Integer(最大長 10 文字) 送信 No 30 Called-Station-ID String 受信 No 31 Calling-Station-ID String 受信 No 33 Login-LAT-Service String(最大長 253 文字) 受信 No 40 Acct-Status-Type Integer 受信 No 41 Acct-Delay-Time Integer 受信 No 42 Acct-Input-Octets Integer 受信 No 43 Acct-Output-Octets Integer 受信 No 44 Acct-Session-ID String 受信 No 45 Acct-Authentic Integer 受信 No 46 Acct-Session-Time Integer 受信 No 47 Acct-Input-Packets Integer 受信 No 48 Acct-Output-Packets Integer 受信 No 49 Acct-Terminate-Cause Integer 受信 No 61 NAS-Port-Type Integer 受信 No 62 NAS-Port-Limit Integer(最大長 10 文字) 両方向 No Cisco Secure ACS Solution Engine ユーザ ガイド B-4 OL-14386-01-J 付録 B RADIUS アトリビュート Cisco IOS/PIX 6.0 RADIUS VSA ディクショナリ Cisco IOS/PIX 6.0 RADIUS VSA ディクショナリ ACS は、Cisco IOS/PIX 6.0 の Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)をサ ポートしています。この Cisco RADIUS 実装のベンダー ID は 9 です。 表 B-2 に、サポートされている Cisco IOS/PIX 6.0 RADIUS VSA を示します。 (注) 表 B-2 Cisco IOS/PIX 6.0 RADIUS の cisco-av-pair アトリビュートの説明については、P.B-6 の 「cisco-av-pair RADIUS アトリビュートについて」を参照してください。 (注) Cisco IOS H.323 VSA の詳細については、Cisco IOS Voice-over-IP(VoIP)のマニュアルを参照して ください。 (注) Cisco IOS Node Route Processor-Service Selection Gateway VSA(VSA 250、251、252)の詳細につい ては、Cisco IOS のマニュアルを参照してください。 Cisco IOS/PIX 6.0 RADIUS VSA No. アトリビュート 値の型 受信 / 送信 複数 1 cisco-av-pair String 両方向 Yes 2 cisco-nas-port String 受信 No 23 cisco-h323-remote-address String 受信 No 24 cisco-h323-conf-id String 受信 No 25 cisco-h323-setup-time String 受信 No 26 cisco-h323-call-origin String 受信 No 27 cisco-h323-call-type String 受信 No 28 cisco-h323-connect-time String 受信 No 29 cisco-h323-disconnect-time String 受信 No 30 cisco-h323-disconnect-cause String 受信 No 31 cisco-h323-voice-quality String 受信 No 33 cisco-h323-gw-id String 受信 No 35 cisco-h323-incoming-conn-id String 受信 No 101 cisco-h323-credit-amount String(最大長 247 文字) 送信 No 102 cisco-h323-credit-time String(最大長 247 文字) 送信 No 103 cisco-h323-return-code String(最大長 247 文字) 送信 No 104 cisco-h323-prompt-id String(最大長 247 文字) 送信 No 105 cisco-h323-day-and-time String(最大長 247 文字) 送信 No 106 cisco-h323-redirect-number String(最大長 247 文字) 送信 No 107 cisco-h323-preferred-lang String(最大長 247 文字) 送信 No 108 cisco-h323-redirect-ip-addr String(最大長 247 文字) 送信 No Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J B-5 付録 B RADIUS アトリビュート cisco-av-pair RADIUS アトリビュートについて 表 B-2 Cisco IOS/PIX 6.0 RADIUS VSA(続き) No. アトリビュート 値の型 受信 / 送信 複数 109 cisco-h323-billing-model String(最大長 247 文字) 送信 No 110 cisco-h323-currency String(最大長 247 文字) 送信 No 250 cisco-ssg-account-info String(最大長 247 文字) 送信 No 251 cisco-ssg-service-info String(最大長 247 文字) 両方向 No 253 cisco-ssg-control-info String(最大長 247 文字) 両方向 No cisco-av-pair RADIUS アトリビュートについて cisco-av-pair は Cisco IOS/PIX 6.0 RADIUS 実装の最初のアトリビュートです。このアトリビュー トは、次の形式を使用して数多くの AV ペアの組み込みをサポートします。 attribute sep value attribute と value は、AAA クライアントに実装された IOS のリリースがサポートする AV ペアです。 sep は、必須アトリビュートの場合は =、オプション アトリビュートの場合はアスタリスク(*)で す。これによって、Terminal Access Controller Access Control System(TACACS+; ターミナル アクセ ス コントローラ アクセス コントロール システム)認可機能の完全セットを、RADIUS に対して使 用することが可能になります。 (注) AV ペア内のアトリビュート名は、大文字と小文字が区別されます。通常、アトリビュート名はす べて小文字です。 次の例では、2 つの AV ペアが単一の Cisco IOS/PIX 6.0 RADIUS cisco-av-pair アトリビュートに 含まれています。 ip:addr-pool=first shell:priv-lvl=15 最初の例では、シスコのマルチプル ネームド IP アドレス プール機能が、IP 認可(PPP IPCP アドレ ス割り当て)の間に起動されるようになります。2 番目の例では、デバイス ホスト管理セッション のユーザが EXEC コマンドに直接アクセスできるようになります。 IOS では Network Admission Control(NAC; ネットワーク アドミッション コントロール)のサポー トにより、次の AV ペアが使用できます。 • url-redirect:AAA クライアントが HTTP 要求を代行受信して新しい URL にリダイレクトでき るようにします。このペアは、ポスチャ確認の結果、修復 Web サーバ上で使用可能にしたアッ プデートまたはパッチが NAC クライアント コンピュータで必要となった場合に特に役立ちま す。たとえば、新しいウイルス DAT ファイルまたはオペレーティング システムのパッチをダ ウンロードして適用できるように、ユーザを修復 Web サーバにリダイレクトできます。次の例 を参考にしてください。 url-redirect=http://10.1.1.1 Cisco Secure ACS Solution Engine ユーザ ガイド B-6 OL-14386-01-J 付録 B RADIUS アトリビュート cisco-av-pair RADIUS アトリビュートについて • posture-token:ポスチャ確認で取得した System Posture Token(SPT; システム ポスチャ トーク ン)のテキスト版を ACS から送信できるようにします。SPT は常に数値形式で送信されます。 posture-token AV ペアを使用することにより、ポスチャ確認要求の結果表示が AAA クライアン ト上で読み取りやすくなります。次の例を参考にしてください。 posture-token=Healthy 注意 posture-token AV ペアは、ポスチャ確認によって戻される SPT について ACS が AAA クライアント に通知する唯一の方法です。posture-token AV ペアは手動で設定するため、posture-token の設定に エラーがあると AAA クライアントに誤った SPT が送信される可能性があります。あるいは、AV ペア名の入力に誤りがあると、AAA クライアントは SPT をいっさい受信しません。 有効な SPT については、P.13-4 の「ポスチャ トークン」を参照してください。 • status-query-timeout:AAA クライアントの status-query デフォルト値を指定した値(秒単位) で上書きします。次の例を参考にしてください。 status-query-timeout=150 IOS がサポートする AV ペアの詳細については、使用する AAA クライアントに実装されている IOS リリースのマニュアルを参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J B-7 付録 B RADIUS アトリビュート Cisco VPN 3000 Concentrator/ASA/PIX 7.x+ RADIUS VSA ディクショナリ Cisco VPN 3000 Concentrator/ASA/PIX 7.x+ RADIUS VSA デ ィ ク ショナリ ACS は Cisco VPN 3000/ASA/PIX 7.x+ RADIUS VSA をサポートしています。この Cisco RADIUS 実 装のベンダー ID は 3076 です。 (注) Cisco Virtual Private Network(VPN; バーチャル プライベート ネットワーク)3000 Concentrator、 Adaptive Security Appliance(ASA) 、および Project Information Exchange(PIX)7.x+ アプライアンス がサポートする RADIUS VSA には、相互依存するものもあります。VSA を実装する前に、該当す るデバイスのマニュアルを参照することをお勧めします。 たとえば、Cisco VPN 3000 シリーズのコンセントレータ経由でネットワークにアクセスするユーザ の Microsoft Point-to-Point Encryption(MPPE)設定値を制御するには、CVPN3000-PPTP-Encryption (VSA 20)アトリビュートと CVPN3000-L2TP-Encryption(VSA 21)アトリビュートを使用します。 CVPN3000-PPTP-Encryption (VSA 20) と CVPN3000-L2TP-Encryption (VSA 21) の設定値は、Microsoft MPPE RADIUS 設定値よりも優先されます。このどちらかのアトリビュートがイネーブルになって いる場合、ACS は、送信 RADIUS (Microsoft) アトリビュートに送信する値を決定して、RADIUS (Cisco VPN 3000/ASA/PIX 7.x+) ア ト リ ビ ュ ー ト と 一 緒 に 送 信 し ま す。こ の 動 作 は、RADIUS (Microsoft) アトリビュートが ACS Web インターフェイスでイネーブルになっているかどうかとい うことや、これらのアトリビュートの設定内容には依存しません。 表 B-3 に、サポートされている Cisco VPN 3000 Concentrator RADIUS VSA を示します。 表 B-3 Cisco VPN 3000 Concentrator /ASA/PIX 7.x+ RADIUS VSA No. アトリビュート 値の型 受信 / 送信 複数 1 CVPN3000-Access-Hours String(最大長 247 文字) 送信 No 2 CVPN3000-Simultaneous-Logins Integer(最大長 10 文字) 送信 No 5 CVPN3000-Primary-DNS Ipaddr(最大長 15 文字) 送信 No 6 CVPN3000-Secondary-DNS Ipaddr(最大長 15 文字) 送信 No 7 CVPN3000-Primary-WINS Ipaddr(最大長 15 文字) 送信 No 8 CVPN3000-Secondary-WINS Ipaddr(最大長 15 文字) 送信 No 9 CVPN3000-SEP-Card-Assignment Integer 送信 No 11 CVPN3000-Tunneling-Protocols Integer 送信 No 12 CVPN3000-IPSec-Sec-Association String(最大長 247 文字) 送信 No 13 CVPN3000-IPSec-Authentication Integer 送信 No 15 CVPN3000-IPSec-Banner1 String(最大長 247 文字) 送信 No 16 CVPN3000-IPSec-Allow-Passwd-Store Integer 送信 No 17 CVPN3000-Use-Client-Address Integer 送信 No 20 CVPN3000-PPTP-Encryption Integer 送信 No 21 CVPN3000-L2TP-Encryption Integer 送信 No 27 CVPN3000-IPSec-Split-Tunnel-List String(最大長 247 文字) 送信 No 28 CVPN3000-IPSec-Default-Domain String(最大長 247 文字) 送信 No 29 CVPN3000-IPSec-Split-DNS-Names String(最大長 247 文字) 送信 No 30 CVPN3000-IPSec-Tunnel-Type Integer 送信 No 31 CVPN3000-IPSec-Mode-Config Integer 送信 No Cisco Secure ACS Solution Engine ユーザ ガイド B-8 OL-14386-01-J 付録 B RADIUS アトリビュート Cisco VPN 3000 Concentrator/ASA/PIX 7.x+ RADIUS VSA ディクショナリ 表 B-3 Cisco VPN 3000 Concentrator /ASA/PIX 7.x+ RADIUS VSA(続き) No. アトリビュート 値の型 受信 / 送信 複数 33 CVPN3000-IPSec-User-Group-Lock Integer 送信 No 34 CVPN3000-IPSec-Over-UDP Integer 送信 No 35 CVPN3000-IPSec-Over-UDP-Port Integer(最大長 10 文字) 送信 No 36 CVPN3000-IPSec-Banner2 String(最大長 247 文字) 送信 No 37 CVPN3000-PPTP-MPPC-Compression Integer 送信 No 38 CVPN3000-L2TP-MPPC-Compression Integer 送信 No 39 CVPN3000-IPSec-IP-Compression Integer 送信 No 40 CVPN3000-IPSec-IKE-Peer-ID-Check Integer 送信 No 41 CVPN3000-IKE-Keep-Alives Integer 送信 No 42 CVPN3000-IPSec-Auth-On-Rekey Integer 送信 No 45 CVPN3000-Required-Client-Firewall-Vendor-Code Integer(最大長 10 文字) 送信 No 46 CVPN3000-Required-Client-Firewall-Product-Code Integer(最大長 10 文字) 送信 No 47 CVPN3000-Required-Client-Firewall-Description String(最大長 247 文字) 送信 No 48 CVPN3000-Require-HW-Client-Auth Integer 送信 No 49 CVPN3000-Require-Individual-User-Auth Integer 送信 No 50 CVPN3000-Authenticated-User-Idle-Timeout Integer(最大長 10 文字) 送信 No 51 CVPN3000-Cisco-IP-Phone-Bypass Integer 送信 No 52 CVPN3000-User-Auth-Server-Name String(最大長 247 文字) 送信 No 53 CVPN3000-User-Auth-Server-Port Integer(最大長 10 文字) 送信 No 54 CVPN3000-User-Auth-Server-Secret String(最大長 247 文字) 送信 No 55 CVPN3000-IPSec-Split-Tunneling-Policy Integer 送信 No 56 CVPN3000-IPSec-Required-Client-Firewall-Capability Integer 送信 No 57 CVPN3000-IPSec-Client-Firewall-Filter-Name String(最大長 247 文字) 送信 No 58 CVPN3000-IPSec-Client-Firewall-Filter-Optional Integer 送信 No 59 CVPN3000-IPSec-Backup-Servers Integer 送信 No 60 CVPN3000-IPSec-Backup-Server-List String(最大長 247 文字) 送信 No 62 CVPN3000-MS-Client-Intercept-DHCP-Configure-Message Integer 送信 No 63 CVPN3000-MS-Client-Subnet-Mask Ipaddr(最大長 15 文字) 送信 No 64 CVPN3000-Allow-Network-Extension-Mode Integer 送信 No 65 Authorization-Type Integer 送信 No 66 Authorization-Required Integer 送信 No 67 Authorization-DN-Field String 送信 No 68 IKE-Keepalive-Confidence-Interval Integer 送信 No 69 WebVPN-Content-Filter-Parameters Integer 送信 No 75 Cisco-LEAP-Bypass Integer 送信 No 77 Client-Type-Version-Limiting String 送信 No 79 WebVPN-Port-Forwarding-Name String 送信 No 80 IE-Proxy-Server String 送信 No 81 IE-Proxy-Server-Policy Integer 送信 No 82 IE-Proxy-Exception-List String 送信 No 83 IE-Proxy-Bypass-Local Integer 送信 No Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J B-9 付録 B RADIUS アトリビュート Cisco VPN 5000 Concentrator RADIUS VSA ディクショナリ 表 B-3 Cisco VPN 3000 Concentrator /ASA/PIX 7.x+ RADIUS VSA(続き) No. アトリビュート 値の型 受信 / 送信 複数 84 IKE-Keepalive-Retry-Interval Integer 送信 No 85 Tunnel-Group-Lock String 送信 No 86 Access-List-Inbound String 送信 No 87 Access-List-Outbound String 送信 No 88 Perfect-Forward-Secrecy-Enable Integer 送信 No 89 NAC-Enable Integer 送信 No 90 NAC-Status-Query-Timer Integer 送信 No 91 NAC-Revalidation-Timer Integer 送信 No 92 NAC-Default-ACL Integer 送信 No 93 WebVPN-URL-Entry-Enable Integer 送信 No 94 WebVPN-File-Access-Enable Integer 送信 No 95 WebVPN-File-Server-Entry-Enable Integer 送信 No 96 WebVPN-File-Server-Browsing-Enable Integer 送信 No 97 WebVPN-Port-Forwarding-Enable Integer 送信 No 98 WebVPN-Outlook-Exchange-Proxy-Enable Integer 送信 No 98 WebVPN-Port-Forwarding-HTTP-Proxy Integer 送信 No 99 WebVPN-Outlook-Exchange-Proxy-Enable Integer 送信 No 100 WebVPN-Auto-Applet-Download-Enable Integer 送信 No 101 WebVPN-Citrix-MetaFrame-Enable Integer 送信 No 102 WebVPN-Apply-ACL Integer 送信 No 103 WebVPN-SSL-VPN-Client-Enable Integer 送信 No 104 WebVPN-SSL-VPN-Client-Required Integer 送信 No 105 WebVPN-SSL-VPN-Client-Keep-Installation Integer 送信 No 135 CVPN3000-Strip-Realm Integer 送信 No Cisco VPN 5000 Concentrator RADIUS VSA ディクショナリ ACS は、Cisco VPN 5000 RADIUS VSA をサポートしています。この Cisco RADIUS 実装のベンダー ID は 255 です。表 B-4 に、サポートされている Cisco VPN 5000 Concentrator RADIUS VSA を示しま す。 表 B-4 Cisco VPN 5000 Concentrator RADIUS VSA No. アトリビュート 値の型 受信 / 送信 複数 001 CVPN5000-Tunnel-Throughput Integer 受信 No 002 CVPN5000-Client-Assigned-IP String 受信 No 003 CVPN5000-Client-Real-IP String 受信 No 004 CVPN5000-VPN-GroupInfo String(最大長 247 文字) 送信 No 005 CVPN5000-VPN-Password String(最大長 247 文字) 送信 No 006 CVPN5000-Echo Integer 受信 No 007 CVPN5000-Client-Assigned-IPX Integer 受信 No Cisco Secure ACS Solution Engine ユーザ ガイド B-10 OL-14386-01-J 付録 B RADIUS アトリビュート Cisco Building Broadband Service Manager RADIUS VSA ディクショナリ Cisco Building Broadband Service Manager RADIUS VSA ディクショ ナリ ACS は、Cisco Building Broadband Service Manager(BBSM)RADIUS VSA をサポートしています。こ の Cisco RADIUS 実装のベンダー ID は 5263 です。 表 B-5 に、サポートされている Cisco BBSM RADIUS VSA を示します。 表 B-5 Cisco BBSM RADIUS VSA No. アトリビュート 値の型 受信 / 送信 複数 001 CBBSM-Bandwidth Integer 両方向 No Cisco Airespace RADIUS VSA ディクショナリ 表 B-6 に、サポートされている RADIUS(Cisco Airespace)アトリビュートを示します。これらの アトリビュートに加えて、Cisco Airespace デバイスは、次のように 802.1x アイデンティティ ネット ワーキング用の IETF アトリビュートも一部サポートしています。 • Tunnel-Type(64) • Tunnel-Medium-Type(65) • Tunnel-Private-Group-Id(81) ACS では、IETF の部分的なサポートは提供できません。したがって、Cisco Airespace デバイスを Network Configuration に追加すると、すべての IETF アトリビュートが自動的にイネーブルとなりま す。 表 B-6 Cisco Airespace RADIUS アトリビュート No. 名前 説明 値の型 受信 / 送信 複数 1 Aire-WLAN-Id 認証されるユーザ名。 Integer 送信 No 2 Aire-QoS-Level 次のように数値で示されます。 Integer 送信 No 0: Bronze 1: Silver 2: Gold 3: Platinum 4: Uranium 3 Aire-DSCP — Integer 送信 No 4 Aire-802.1P-Tag — Integer 送信 No 5 Aire-Interface-Name — String 送信 No 6 Aire-ACL-Name — String 送信 No Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J B-11 付録 B RADIUS アトリビュート IETF RADIUS IETF(AV ペア)ディクショナリ IETF RADIUS IETF(AV ペア)ディクショナリ 表 B-7 に、サポートされている RADIUS(IETF)アトリビュートを示します。アトリビュートが、 セキュリティ サーバ特有のフォーマットを持つ場合、そのフォーマットが示されます。 表 B-7 RADIUS(IETF)アトリビュート No. 名前 説明 値の型 受信/送信 複数 1 User-Name 認証されるユーザ名。 String 受信 No 2 User-Password ユーザのパスワードまたはアクセス チャレンジに続く String ユーザ入力。16 文字を超えるパスワードは、IETF Draft #2 以降の規格に従って暗号化されます。 送信 No 3 CHAP-Password Access-Challenge への Point-to-Point Protocol(PPP; ポイント String ツーポイント プロトコル)Challenge Handshake Authentication Protocol(CHAP; チャレンジ ハンドシェイク 認証プロトコル)の応答。 送信 No 4 NAS-IP Address 認証を要求している AAA クライアントの IP アドレス。 Ipaddr 受信 No 5 NAS-Port ユーザを認証している AAA クライアントの物理ポート番 Integer 号。AAA クライアント ポート値(32 ビット)は、RADIUS サーバの拡張 portnames コマンドの設定に応じて、1 つま たは 2 つの 16 ビット値で構成されます。各 16 ビット値は、 5 桁の 10 進数で、次のように解釈されます。 受信 No 両方向 No 6 Service-Type • 非同期端末回線、非同期ネットワーク インターフェイ ス、および非同期バーチャル インターフェイスの場 合、値は 00ttt です。ttt には回線番号または非同期イン ターフェイス装置番号が入ります。 • 通常の同期ネットワーク インターフェイスの場合、値 は 10xxx です。 • 一次群速度 Integrated Services Digital Network(ISDN; サービス総合デジタル ネットワーク)インターフェイ ス上のチャネルの場合、値は 2ppcc です。 • 基本速度 ISDN インターフェイス上のチャネルの場 合、値は 3bb0c です。 • そ の 他 の タ イ プ の イ ン タ ー フ ェ イ ス の 場 合、値 は 6nnss です。 要求されるサービスのタイプまたは提供されるサービスの Integer タイプ。 • 要求の場合: − Framed:既知のポイントツーポイント プロトコ ル(PPP)または Serial Line Internet Protocol (SLIP; シリアル ライン インターネット プロトコ ル)接続の場合 − Administrative User:enable コマンドの場合 • 応答の場合: − Login:接続の確立 − Framed:SLIP または PPP の開始 − Administrative User:EXEC または enable ok の開 始 − Exec User:EXEC セッションの開始 Cisco Secure ACS Solution Engine ユーザ ガイド B-12 OL-14386-01-J 付録 B RADIUS アトリビュート IETF RADIUS IETF(AV ペア)ディクショナリ 表 B-7 RADIUS(IETF)アトリビュート(続き) No. 名前 説明 値の型 受信/送信 複数 7 Framed-Protocol フレームド アクセスに使用されるフレーム。 Integer 両方向 No 8 Framed-IP-Address ユーザに設定されるアドレス。 — — — 9 Framed-IP-Netmask 送信 ユーザがネットワークへのルータの場合、ユーザに設定さ Ipaddr れる IP ネットマスク。この AV により、指定されたマスク (最大長 で Framed-IP-Address にスタティック ルートが追加されま 15 文字) す。 No 10 Framed-Routing ユーザがネットワークへのルータの場合に、ユーザに使用 Integer するルーティング方式。このアトリビュートに対してサ ポートされている値は、None、Send、 および Listen だけです。 送信 No 11 Filter-Id ユーザ用のフィルタ リストの名前。指定するフォーマット String は、%d、%d.in、または %d.out です。このアトリビュート は、最新の service-type コマンドに関連しています。ログイ ンおよび EXEC の場合は、0 から 199 の値の回線アクセス リストとして %d または %d.out を使用します。フレームド サービスの場合は、インターフェイス出力アクセス リスト として %d または %d.out を、入力アクセス リストとして %d.in を使用します。数字は、参照先のプロトコルに自動 的にコード化されます。 送信 Yes 12 Framed-MTU 13 Framed-Compression リンクに使用する圧縮プロトコル。このアトリビュートに Integer より、EXEC 認可時に生成される PPP または SLIP オート コマンドに /compress が追加されます。このアトリビュー トは、現在、非 EXEC 認可に対しては適用されません。 14 Login-IP-Host ユ ー ザ が 接 続 さ れ る ホ ス ト で、Login-Service ビュートが含まれるときに使用されます。 15 Login-Service ユーザをログイン ホストに接続するために使用するサー Integer ビス。 Integer ユーザに対して設定可能な Maximum Transmission Unit 送信 (MTU; 最大伝送ユニット)で、PPP などの手段によってネ (最大長 ゴシエートされない場合に使用されます。 10 文字) 送信 両方向 ア ト リ Ipaddr (最大長 15 文字) 両方向 No Yes Yes No サービスは、次のように数値で示されます。 0: Telnet 1: Rlogin 2: TCP-Clear 3: PortMaster 4: LAT 16 Login-TCP-Port Transmission Control Protocol(TCP; 伝送制御プロトコル) Integer 送信 ポート。Login-Service アトリビュートとともに使用する場 (最大長 合にこのポートにユーザは接続されます。 10 文字) No 18 Reply-Message ユーザに表示するテキスト。 String 送信 Yes 19 Callback-Number — String 送信 No 20 Callback-Id — String 送信 No Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J B-13 付録 B RADIUS アトリビュート IETF RADIUS IETF(AV ペア)ディクショナリ 表 B-7 RADIUS(IETF)アトリビュート(続き) No. 名前 説明 値の型 22 Framed-Route この AAA クライアント上で、ユーザに設定されるルーティ String ング情報。RADIUS RFC フォーマット(net/bits router metric) および従来のドット マスク(net mask router metric)がサ ポートされています。ルータ フィールドを省略するか、ゼ ロ(0)を指定すると、ピア IP アドレスが使用されます。 メトリックは無視されます。 送信 Yes 23 Framed-IPX-Network — 送信 No 24 State AAA クライアントと RADIUS サーバの間での State 情報の String(最 送信 保持を可能にします。このアトリビュートは CHAP チャレ 大 長 253 ンジに限り適用されます。 文字) No 25 Class RADIUS サーバによって提供された場合は、AAA クライア String ントが、このユーザの全アカウンティング パケットに含め る任意の値。 両方向 Yes 26 Vendor-Specific ベンダー固有アトリビュート(VSA)と呼ばれるサブアト String リビュートを伝達します。これは、ベンダーによるベンダー 自身の拡張アトリビュートのサポートを許可する RADIUS の機能です。サブアトリビュートは、IANA が割り当てた ベンダー番号とベンダーが割り当てたサブアトリビュート 番号を組み合せて識別されます。たとえば、Cisco IOS/PIX RADIUS のベンダー番号は 9 です。ベンダー番号 9 に関連 付けられた VSA セットで、cisco-av-pair VSA はアトリ ビュート 1 です。 送信 Yes 27 Session-Timeout ユーザに提供されるサービスの最大時間(秒)。この時間が Integer 送信 経過するとセッションが終了します。この AV はユーザあ (最大長 たりの絶対タイムアウトとなります。このアトリビュート 10 文字) は、PPP セッションでは無効になります。 No 28 Idle-Timeout 送信 ユーザに認められる最大連続アイドル接続時間(秒)。この Integer 時間が経過するとセッションが終了します。この AV は (最大長 ユーザあたりのセッション タイムアウトとなります。この 10 文字) アトリビュートは、PPP セッションでは無効になります。 No 29 Termination-Action 指定したサービスが完了したときに、NAS が起こすアク Integer ションを示します。これは Access-Accept パケットでのみ使 用されます。Value を RADIUS-Request (1) に設定すると、 指定したサービスの完了時に、NAS が新しいアクセス要求 を RADIUS サーバに送信する可能性があります(State アト リビュートがある場合はそれも含む)。 両方向 No 30 Called-Station-Id 自動番号識別または類似のテクノロジーを使用して、AAA String クライアントがアクセス要求パケットの一部として電話番 号または AAA クライアントを識別するその他の情報を送 信できるようにします。異なるデバイスでは異なる識別子 が提供されます。 受信 No Integer 受信/送信 複数 Cisco Secure ACS Solution Engine ユーザ ガイド B-14 OL-14386-01-J 付録 B RADIUS アトリビュート IETF RADIUS IETF(AV ペア)ディクショナリ 表 B-7 RADIUS(IETF)アトリビュート(続き) No. 名前 説明 値の型 31 Calling-Station-Id Dialed Number Identification Service(DNIS; 着 信 番 号 識 別 String サービス)または類似のテクノロジーを使用して、AAA ク ライアントがアクセス要求パケットの一部として電話番号 またはエンドユーザ クライアントを識別するその他の情 報を送信でき るようにします。たとえ ば、Cisco Aironet Access Point は通常エンドユーザ クライアントの MAC ア ドレスを送信します。 受信 No 32 NAS-Identifier — 受信 No 33 Proxy-State RADIUS 標準あたりにプロキシされる RADIUS 要求に含ま String(最 受信 れます。ACS の動作は、このアトリビュートの内容には左 大 長 253 文字) 右されません。 No 34 Login-LAT-Service Local Area Transport(LAT; ローカルエリア トランスポー String(最 受信 ト)プロトコルによってユーザが接続されるシステム。こ 大 長 253 のアトリビュートは EXEC モードの場合にのみ使用できま 文字) す。 No 35 Login-LAT-Node — String 受信 No 36 Login-LAT-Group — String 受信 No 37 Framed-AppleTalk-Link — Integer 送信 No 38 Framed-AppleTalkNetwork Integer 送信 Yes 39 Framed-AppleTalk-Zone — String 送信 No 40 Acct-Status-Type このアカウンティング要求が、ユーザ サービスの先頭(開 Integer 始)または末尾(停止)をマークするかどうかを指定します。 受信 No 41 Acct-Delay-Time クライアントが特定レコードの送信を試行していた時間 Integer (秒)。 受信 No 42 Acct-Input-Octets サービス提供中にポートから受信したオクテットの数。 Integer 受信 No 43 Acct-Output-Octets サービス提供中にポートに送信したオクテットの数。 Integer 受信 No 44 Acct-Session-Id ログ ファイル内の開始レコードと停止レコードの組み合 String せを簡単にする一意のアカウンティング識別子。 Acct-Session-Id は、ルータの電源を切断、再投入するた びに、またはソフトウェアをリロードするたびに 1 からリ スタートします。この間隔が不適当な場合は、弊社販売代 理店にお問い合せください。 受信 No 44 Acct-Authentic RADIUS、AAA クライアント自身、または別のリモート認 Integer 証プロトコルのうち、ユーザが認証された方法を示します。 このアトリビュートには、RADIUS によって認証された場 合は radius、TACACS+ および Kerberos の場合は remote、 local、enable、line、および if-needed 方式の場合は local が 設定されます。これ以外の方式の場合は、このアトリビュー トは省略されます。 受信 No 46 Acct-Session-Time ユーザがサービスを受けていた時間(秒)。 Integer 受信 No 47 Acct-Input-Packets フレームド ユーザへのサービス提供中にポートから受信 Integer したパケット数。 受信 No 48 Acct-Output-Packets フレームド ユーザへのサービス提供中にポートに送信し Integer たパケット数。 受信 No String — 受信/送信 複数 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J B-15 付録 B RADIUS アトリビュート IETF RADIUS IETF(AV ペア)ディクショナリ 表 B-7 RADIUS(IETF)アトリビュート(続き) No. 名前 説明 値の型 49 Acct-Terminate-Cause 接続が終了された原因を詳細に報告します。終了原因は、 Integer 次のように数値で示されます。 受信/送信 複数 受信 No 1: ユーザ要求 2: キャリア中断 3: サービス中断 4: アイドル タイムアウト 5: セッション タイムアウト 6: 運用管理リセット 7: 運用管理リブート 8: ポート エラー 9: AAA クライアント エラー 10: AAA クライアント要求 11: AAA クライアント リブート 12: ポート不要 13: ポートが優先使用された 14: ポート一時休止 15: サービス使用不可 16: コールバック 17: ユーザ エラー 18: ホスト要求 50 Acct-Multi-Session-Id — String 受信 No 51 Acct-Link-Count — Integer 受信 No 52 Acct-Input-Gigawords — Integer 受信 No 53 Acct-Output-Gigawords — Integer 受信 No 55 Event-Timestamp — Date 受信 No 60 CHAP-Challenge — String 受信 No 61 NAS-Port-Type AAA クライアントがユーザ認証に使用している物理ポー Integer トのタイプ。物理ポートは、次のように数値で示されます。 受信 No 0: 非同期 1: 同期 2: ISDN- 同期 3: ISDN- 非同期(V.120) 4: ISDN- 非同期(V.110) 5: バーチャル Cisco Secure ACS Solution Engine ユーザ ガイド B-16 OL-14386-01-J 付録 B RADIUS アトリビュート IETF RADIUS IETF(AV ペア)ディクショナリ 表 B-7 RADIUS(IETF)アトリビュート(続き) No. 名前 説明 62 Port-Limit NAS がユーザに提供するポートの最大数を設定します。 値の型 受信/送信 複数 Integer 両方向 No 両方向 No (最大長 10 文字) 63 Login-LAT-Port — String 64 Tunnel-Type — タグ付き 両方向 Integer Yes 65 Tunnel-Medium-Type — タグ付き 両方向 Integer Yes 66 Tunnel-Client-Endpoint — タグ付き 両方向 String Yes 67 Tunnel-Server-Endpoint — タグ付き 両方向 String Yes 68 Acct-Tunnel-Connection — String 69 Tunnel-Password — タグ付き 両方向 String 70 ARAP-Password — String 受信 No 71 ARAP-Features — String 送信 No 72 ARAP-Zone-Access — Integer 送信 No 73 ARAP-Security — Integer 受信 No 74 ARAP-Security-Data — String 受信 No 75 Password-Retry — Integer 内 部 使 用 No に限定 76 Prompt — Integer 内 部 使 用 No に限定 77 Connect-Info — String 受信 78 Configuration-Token — String 内 部 使 用 No に限定 79 EAP-Message — String 内 部 使 用 No に限定 80 Message-Authenticator — String 送信 81 Tunnel-Private-GroupID — タグ付き 両方向 String Yes 82 Tunnel-Assignment-ID — タグ付き 両方向 String Yes 83 Tunnel-Preference — タグ付き 両方向 Integer No 85 Acct-Interim-Interval — Integer 送信 No 87 NAS-Port-Id — String 受信 No 88 Framed-Pool — String 内 部 使 用 No に限定 90 Tunnel-Client-Auth-ID — タグ付き 両方向 String 受信 No Yes No No Yes Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J B-17 付録 B RADIUS アトリビュート IETF RADIUS IETF(AV ペア)ディクショナリ 表 B-7 RADIUS(IETF)アトリビュート(続き) No. 名前 説明 値の型 受信/送信 複数 91 Tunnel-Server-Auth-ID — タグ付き 両方向 String 135 Primary-DNS-Server — Ipaddr 両方向 No 136 Secondary-DNS-Server — Ipaddr 両方向 No 187 Multilink-ID — Integer 受信 No 188 Num-In-Multilink — Integer 受信 No 190 Pre-Input-Octets — Integer 受信 No 191 Pre-Output-Octets — Integer 受信 No 192 Pre-Input-Packets — Integer 受信 No 193 Pre-Output-Packets — Integer 受信 No 194 Maximum-Time — Integer 両方向 No 195 Disconnect-Cause — Integer 受信 No 197 Data-Rate — Integer 受信 No 198 PreSession-Time — Integer 受信 No 208 PW-Lifetime — Integer 送信 No 209 IP-Direct — Ipaddr 送信 No 210 PPP-VJ-Slot-Comp — Integer 送信 No 218 Assign-IP-pool — Integer 送信 No 228 Route-IP — Integer 送信 No 233 Link-Compression — Integer 送信 No 234 Target-Utils — Integer 送信 No 235 Maximum-Channels — Integer 送信 No 242 Data-Filter — Ascend 送信 Yes 243 Call-Filter — Ascend 送信 Yes 送信 No Yes フィルタ フィルタ 244 Idle-Limit — Integer Cisco Secure ACS Solution Engine ユーザ ガイド B-18 OL-14386-01-J 付録 B RADIUS アトリビュート Microsoft MPPE RADIUS VSA ディクショナリ Microsoft MPPE RADIUS VSA ディクショナリ ACS は、MPPE に使用される Microsoft RADIUS VSA をサポートしています。この Microsoft RADIUS 実装のベンダー ID は、311 です。MPPE は、PPP リンクを暗号化するために Microsoft によって開 発された暗号化技術です。この場合、PPP 接続はダイヤルアップ回線または PPTP などの VPN トン ネルを経由できます。ACS がサポートする RADIUS ネットワーク デバイス ベンダーのいくつかは、 MPPE をサポートします。次の ACS RADIUS プロトコルは、Microsoft RADIUS VSA をサポートし ています。 • Cisco IOS/PIX 6.0 • Cisco VPN 3000/ASA/PIX 7.x+ • Ascend • Cisco Airespace Cisco VPN 3000 シリーズのコンセントレータ経由でネットワークにアクセスするユーザの Microsoft MPPE 設定値を制御するには、CVPN3000-PPTP-Encryption (VSA 20) アトリビュートと CVPN3000-L2TP-Encryption (VSA 21) アトリビュートを使用します。CVPN3000-PPTP-Encryption (VSA 20) と CVPN3000-L2TP-Encryption (VSA 21) の設定値は、Microsoft MPPE RADIUS 設定値より も優先されます。このどちらかのアトリビュートがイネーブルになっている場合、ACS は、送信 RADIUS (Microsoft) アトリビュートに送信する値を決定して、RADIUS (Cisco VPN 3000/ASA/PIX 7.x+) アトリビュートと一緒に送信します。この動作は、RADIUS (Microsoft) アトリビュートが ACS Web インターフェイスでイネーブルになっているかどうかということや、これらのアトリビュート の設定内容には依存しません。 表 B-8 に、サポートされている MPPE RADIUS VSA を示します。 表 B-8 Microsoft MPPE RADIUS VSA No. アトリビュート 値の型 説明 受信/送信 複数 1 MS-CHAP-Response String — 受信 No 2 MS-CHAP-Error String — 送信 No 3 MS-CHAP-CPW-1 String — 受信 No 4 MS-CHAP-CPW-2 String — 受信 No 5 MS-CHAP-LM-Enc-PW String — 受信 No 6 MS-CHAP-NT-Enc-PW String — 受信 No 7 MS-MPPE-EncryptionPolicy Integer MS-MPPE-Encryption-Policy アトリビュートは、暗号化の 送信 使用が可能であるか、または必須であるかを示します。 Policy フィールドが 1 に等しい場合(Encryption-Allowed) 、 MS-MPPE-Encryption-Types アトリビュートで指定されて いる暗号化タイプのどれかを使用することも、まったく使 用しないこともできます。Policy フィールドが 2 に等しい 場合(Encryption-Required)、MS-MPPE-Encryption-Types ア トリビュートで指定されている暗号化タイプのどれか 1 つを必ず使用する必要があります。 No 8 MS-MPPE-EncryptionTypes Integer MS-MPPE-Encryption-Types アトリビュートは MPPE で使 送信 用できる暗号化タイプを示します。値は 4 オクテットの整 数で、ビット文字列として解釈されます。 No 10 MS-CHAP-Domain String — 受信 No 11 MS-CHAP-Challenge String — 受信 No Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J B-19 付録 B RADIUS アトリビュート Microsoft MPPE RADIUS VSA ディクショナリ 表 B-8 Microsoft MPPE RADIUS VSA(続き) No. アトリビュート 値の型 説明 12 MS-CHAP-MPPE-Keys String MS-CHAP-MPPE-Keys アトリビュートには、MPPE で使用 送信 されるセッション キーが 2 つ含まれます。このアトリ ビュートは Access-Accept パケットにのみ含まれます。 (注) 受信/送信 複数 No MS-CHAP-MPPE-Keys アトリビュート値は ACS によって自動生成されます。Web インターフェイ スで設定する値はありません。 16 MS-MPPE-Send-Key MS-MPPE-Send-Key アトリビュートには、MPPE で使用さ 送信 れるセッション キーが 1 個含まれます。このキーは、AAA (最大長 240 文字) クライアントからリモート ホストに送信されるパケット の 暗 号 化 に 使 用 さ れ ま す。こ の ア ト リ ビ ュ ー ト は Access-Accept パケットにのみ含まれます。 No 17 MS-MPPE-Recv-Key MS-MPPE-Recv-Key アトリビュートには、MPPE で使用さ 送信 (最大長 れるセッション キーが 1 個含まれます。このキーは、AAA 240 文字) クライアントがリモート ホストから受信するパケットの 暗 号 化 に 使 用 さ れ ま す。こ の ア ト リ ビ ュ ー ト は Access-Accept パケットにのみ含まれます。 No 18 MS-RAS-Version String — 受信 No 25 MS-CHAP-NT-Enc-PW String — 受信 No 26 MS-CHAP2-Response String — 送信 No 27 MS-CHAP2-CPW String — 受信 No String String Cisco Secure ACS Solution Engine ユーザ ガイド B-20 OL-14386-01-J 付録 B RADIUS アトリビュート Ascend RADIUS AV ペア ディクショナリ Ascend RADIUS AV ペア ディクショナリ ACS は、Ascend RADIUS AV ペアをサポートしています。表 B-9 に、要求の分析および応答の生成 に使用される Ascend RADIUS ディクショナリ変換を示します。トランザクションはすべて、AV ペ アで構成されています。各アトリビュートの値は、次の有効なデータ型で指定されます。 • string:0-253 オクテット • abinary:0-254 オクテット • ipaddr:ネットワーク バイト順の 4 オクテット • integer:ビッグ エンディアン順による 32 ビット値(上位バイトが先頭) • call filter:プロファイル用のコール フィルタを定義します。 (注) RADIUS フィルタが取得されるのは、呼び出しが、RADIUS 発信プロファイルを使用し て発信された場合、あるいは RADIUS 着信プロファイルを使用して応答された場合に 限られます。フィルタ エントリは、入力順に適用されます。Ascend RADIUS プロファ イルのフィルタを変更した場合、変更内容は、呼び出しがプロファイルを使用するまで は無効です。 表 B-9 No. • date:ビッグ エンディアン順の 32 ビット値。たとえば、Universal Time(UT; 世界時)1970 年 1 月 1 日 00:00:00 からの経過秒数。 • enum:列挙される値は、容易に管理できるように、ディクショナリ変換値を付加して、ユーザ ファイルに格納されます。 Ascend RADIUS アトリビュート アトリビュート 値の型 受信 / 送信 複数 Ascend アトリビュート ディクショナリ 1 User-Name String 受信 No 2 User-Password String 送信 No 3 CHAP-Password String 送信 No 4 NAS-IP-Address Ipaddr 受信 No 5 NAS-Port Integer 受信 No 6 Service-Type Integer 両方向 No 7 Framed-Protocol Integer 両方向 No 8 Framed-IP-Address Ipaddr 両方向 No 9 Framed-IP-Netmask Ipaddr 送信 No 10 Framed-Routing Integer 送信 No 11 Framed-Filter String 送信 Yes 12 Framed-MTU Integer 送信 No 13 Framed-Compression Integer 送信 Yes 14 Login-IP-Host Ipaddr 両方向 Yes 15 Login-Service Integer 両方向 No 16 Login-TCP-Port Integer 送信 No 17 Change-Password String — — 18 Reply-Message String 送信 Yes 19 Callback-ID String 送信 No Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J B-21 付録 B RADIUS アトリビュート Ascend RADIUS AV ペア ディクショナリ 表 B-9 Ascend RADIUS アトリビュート(続き) No. アトリビュート 値の型 受信 / 送信 複数 20 Callback-Name String 送信 No 22 Framed-Route String 送信 Yes 23 Framed-IPX-Network Integer 送信 No 24 State String 送信 No 25 Class String 送信 Yes 26 Vendor-Specific String 送信 Yes 30 Call-Station-ID String 受信 No 31 Calling-Station-ID String 受信 No 40 Acct-Status-Type Integer 受信 No 41 Acct-Delay-Time Integer 受信 No 42 Acct-Input-Octets Integer 受信 No 43 Acct-Output-Octets Integer 受信 No 44 Acct-Session-Id Integer 受信 No 45 Acct-Authentic Integer 受信 No 46 Acct-Session-Time Integer 受信 No 47 Acct-Input-Packets Integer 受信 No 48 Acct-Output-Packets Integer 受信 No 64 Tunnel-Type String 両方向 Yes 65 Tunnel-Medium-Type String 両方向 Yes 66 Tunnel-Client-Endpoint String(最大長 250 文字) 両方向 Yes 67 Tunnel-Server-Endpoint String(最大長 250 文字) 両方向 Yes 68 Acct-Tunnel-Connection Integer(最大長 253 文字) 受信 No 104 Ascend-Private-Route String(最大長 253 文字) 両方向 No 105 Ascend-Numbering-Plan-ID Integer(最大長 10 文字) 両方向 No 106 Ascend-FR-Link-Status-Dlci Integer(最大長 10 文字) 両方向 No 107 Ascend-Calling-Subaddress String(最大長 253 文字) 両方向 No 108 Ascend-Callback-Delay String(最大長 10 文字) 両方向 No 109 Ascend-Endpoint-Disc String(最大長 253 文字) 両方向 No 110 Ascend-Remote-FW String(最大長 253 文字) 両方向 No 111 Ascend-Multicast-GLeave-Delay Integer(最大長 10 文字) 両方向 No 112 Ascend-CBCP-Enable String 両方向 No 113 Ascend-CBCP-Mode String 両方向 No 114 Ascend-CBCP-Delay String(最大長 10 文字) 両方向 No 115 Ascend-CBCP-Trunk-Group String(最大長 10 文字) 両方向 No 116 Ascend-AppleTalk-Route String(最大長 253 文字) 両方向 No 117 Ascend-AppleTalk-Peer-Mode String(最大長 10 文字) 両方向 No 118 Ascend-Route-AppleTalk String(最大長 10 文字) 両方向 No 119 Ascend-FCP-Parameter String(最大長 253 文字) 両方向 No 120 Ascend-Modem-PortNo Integer(最大長 10 文字) 受信 No 121 Ascend-Modem-SlotNo Integer(最大長 10 文字) 受信 No 122 Ascend-Modem-ShelfNo Integer(最大長 10 文字) 受信 No Cisco Secure ACS Solution Engine ユーザ ガイド B-22 OL-14386-01-J 付録 B RADIUS アトリビュート Ascend RADIUS AV ペア ディクショナリ 表 B-9 Ascend RADIUS アトリビュート(続き) No. アトリビュート 値の型 受信 / 送信 複数 123 Ascend-Call-Attempt-Limit Integer(最大長 10 文字) 両方向 No 124 Ascend-Call-Block_Duration Integer(最大長 10 文字) 両方向 No 125 Ascend-Maximum-Call-Duration Integer(最大長 10 文字) 両方向 No 126 Ascend-Router-Preference String(最大長 10 文字) 両方向 No 127 Ascend-Tunneling-Protocol String(最大長 10 文字) 両方向 No 128 Ascend-Shared-Profile-Enable Integer 両方向 No 129 Ascend-Primary-Home-Agent String(最大長 253 文字) 両方向 No 130 Ascend-Secondary-Home-Agent String(最大長 253 文字) 両方向 No 131 Ascend-Dialout-Allowed Integer 両方向 No 133 Ascend-BACP-Enable Integer 両方向 No 134 Ascend-DHCP-Maximum-Leases Integer(最大長 10 文字) 両方向 No 135 Ascend-Client-Primary-DNS address(最大長 15 文字) 両方向 No 136 Ascend-Client-Secondary-DNS address(最大長 15 文字) 両方向 No 137 Ascend-Client-Assign-DNS Enum 両方向 No 138 Ascend-User-Acct-Type Enum 両方向 No 139 Ascend-User-Acct-Host address(最大長 15 文字) 両方向 No 140 Ascend-User-Acct-Port Integer(最大長 10 文字) 両方向 No 141 Ascend-User-Acct-Key String(最大長 253 文字) 両方向 No 142 Ascend-User-Acct-Base enum(最大長 10 文字) 両方向 No 143 Ascend-User-Acct-Time Integer(最大長 10 文字) 両方向 No グローバル プールからの IP アドレス割り当てのサポート 144 Ascend-Assign-IP-Client Ipaddr(最大長 15 文字) 送信 No 145 Ascend-Assign-IP-Server Ipaddr(最大長 15 文字) 送信 No 146 Ascend-Assign-IP-Global-Pool String(最大長 253 文字) 送信 No DHCP サーバ機能 147 Ascend-DHCP-Reply Integer 送信 No 148 Ascend-DHCP-Pool-Number Integer(最大長 10 文字) 送信 No Integer 送信 No Integer(最大長 10 文字) 受信 No String(最大長 253 文字) 送信 No Integer(最大長 10 文字) 送信 No 接続プロファイル /Telco オプション 149 Ascend-Expect-Callback Ascend-Event パケットのイベント タイプ 150 Ascend-Event-Type RADIUS サーバ セッション キー 151 Ascend-Session-Svr-Key クライアントあたりのマルチキャスト レート制限 152 Ascend-Multicast-Rate-Limit インターフェイス ベースのルーティングをサポートするための接続プロファイル フィールド 153 Ascend-IF-Netmask Ipaddr(最大長 15 文字) 送信 No 154 Ascend-Remote-Addr Ipaddr(最大長 15 文字) 送信 No Integer(最大長 10 文字) 送信 No マルチキャスト サポート 155 Ascend-Multicast-Client Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J B-23 付録 B RADIUS アトリビュート Ascend RADIUS AV ペア ディクショナリ 表 B-9 No. Ascend RADIUS アトリビュート(続き) アトリビュート 値の型 受信 / 送信 複数 フレーム データリンク プロファイル 156 Ascend-FR-Circuit-Name String(最大長 253 文字) 送信 No 157 Ascend-FR-LinkUp Integer(最大長 10 文字) 送信 No 158 Ascend-FR-Nailed-Group Integer(最大長 10 文字) 送信 No 159 Ascend-FR-Type Integer(最大長 10 文字) 送信 No 160 Ascend-FR-Link-Mgt Integer(最大長 10 文字) 送信 No 161 Ascend-FR-N391 Integer(最大長 10 文字) 送信 No 162 Ascend-FR-DCE-N392 Integer(最大長 10 文字) 送信 No 163 Ascend-FR-DTE-N392 Integer(最大長 10 文字) 送信 No 164 Ascend-FR-DCE-N393 Integer(最大長 10 文字) 送信 No 165 Ascend-FR-DTE-N393 Integer(最大長 10 文字) 送信 No 166 Ascend-FR-T391 Integer(最大長 10 文字) 送信 No 167 Ascend-FR-T392 Integer(最大長 10 文字) 送信 No 168 Ascend-Bridge-Address String(最大長 253 文字) 送信 No 169 Ascend-TS-Idle-Limit Integer(最大長 10 文字) 送信 No 170 Ascend-TS-Idle-Mode Integer(最大長 10 文字) 送信 No 171 Ascend-DBA-Monitor Integer(最大長 10 文字) 送信 No 172 Ascend-Base-Channel-Count Integer(最大長 10 文字) 送信 No 173 Ascend-Minimum-Channels Integer(最大長 10 文字) 送信 No IPX スタティック ルート 174 Ascend-IPX-Route String(最大長 253 文字) 受信 No 175 Ascend-FT1-Caller Integer(最大長 10 文字) 受信 No 176 Ascend-Backup String(最大長 253 文字) 受信 No 177 Ascend-Call-Type Integer 受信 No 178 Ascend-Group String(最大長 253 文字) 受信 No 179 Ascend-FR-DLCI Integer(最大長 10 文字) 受信 No 180 Ascend-FR-Profile-Name String(最大長 253 文字) 受信 No 181 Ascend-Ara-PW String(最大長 253 文字) 受信 No 182 Ascend-IPX-Node-Addr String(最大長 253 文字) 両方向 No 183 Ascend-Home-Agent-IP-Addr Ipaddr(最大長 15 文字) 送信 No 184 Ascend-Home-Agent-Password String(最大長 253 文字) 送信 No 185 Ascend-Home-Network-Name String(最大長 253 文字) 送信 No 186 Ascend-Home-Agent-UDP-Port Integer(最大長 10 文字) 送信 No 187 Ascend-Multilink-ID Integer 受信 No 188 Ascend-Num-In-Multilink Integer 受信 No 189 Ascend-First-Dest Ipaddr 受信 No 190 Ascend-Pre-Input-Octets Integer 受信 No 191 Ascend-Pre-Output-Octets Integer 受信 No 192 Ascend-Pre-Input-Packets Integer 受信 No 193 Ascend-Pre-Output-Packets Integer 受信 No 194 Ascend-Maximum-Time Integer(最大長 10 文字) 両方向 No Cisco Secure ACS Solution Engine ユーザ ガイド B-24 OL-14386-01-J 付録 B RADIUS アトリビュート Ascend RADIUS AV ペア ディクショナリ 表 B-9 Ascend RADIUS アトリビュート(続き) No. アトリビュート 値の型 受信 / 送信 複数 195 Ascend-Disconnect-Cause Integer 受信 No 196 Ascend-Connect-Progress Integer 受信 No 197 Ascend-Data-Rate Integer 受信 No 198 Ascend-PreSession-Time Integer 受信 No 199 Ascend-Token-Idle Integer(最大長 10 文字) 送信 No 200 Ascend-Token-Immediate Integer 送信 No 201 Ascend-Require-Auth Integer(最大長 10 文字) 送信 No 202 Ascend-Number-Sessions String(最大長 253 文字) 送信 No 203 Ascend-Authen-Alias String(最大長 253 文字) 送信 No 204 Ascend-Token-Expiry Integer(最大長 10 文字) 送信 No 205 Ascend-Menu-Selector String(最大長 253 文字) 送信 No 206 Ascend-Menu-Item String 送信 Yes RADIUS パスワード失効オプション 207 Ascend-PW-Warntime Integer(最大長 10 文字) 送信 No 208 Ascend-PW-Lifetime Integer(最大長 10 文字) 送信 No 209 Ascend-IP-Direct Ipaddr(最大長 15 文字) 送信 No 210 Ascend-PPP-VJ-Slot-Comp Integer(最大長 10 文字) 送信 No 211 Ascend-PPP-VJ-1172 Integer(最大長 10 文字) 送信 No 212 Ascend-PPP-Async-Map Integer(最大長 10 文字) 送信 No 213 Ascend-Third-Prompt String(最大長 253 文字) 送信 No 214 Ascend-Send-Secret String(最大長 253 文字) 送信 No 215 Ascend-Receive-Secret String(最大長 253 文字) 送信 No 216 Ascend-IPX-Peer-Mode Integer 送信 No 217 Ascend-IP-Pool-Definition String(最大長 253 文字) 送信 No 218 Ascend-Assign-IP-Pool Integer 送信 No 219 Ascend-FR-Direct Integer 送信 No 220 Ascend-FR-Direct-Profile String(最大長 253 文字) 送信 No 221 Ascend-FR-Direct-DLCI Integer(最大長 10 文字) 送信 No 222 Ascend-Handle-IPX Integer 送信 No 223 Ascend-Netware-Timeout Integer(最大長 10 文字) 送信 No 224 Ascend-IPX-Alias String(最大長 253 文字) 送信 No 225 Ascend-Metric Integer(最大長 10 文字) 送信 No 226 Ascend-PRI-Number-Type Integer 送信 No 227 Ascend-Dial-Number String(最大長 253 文字) 送信 No 接続プロファイル /PPP オプション 228 Ascend-Route-IP Integer 送信 No 229 Ascend-Route-IPX Integer 送信 No 230 Ascend-Bridge Integer 送信 No 231 Ascend-Send-Auth Integer 送信 No 232 Ascend-Send-Passwd String(最大長 253 文字) 送信 No 233 Ascend-Link-Compression Integer 送信 No Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J B-25 付録 B RADIUS アトリビュート Ascend RADIUS AV ペア ディクショナリ 表 B-9 Ascend RADIUS アトリビュート(続き) No. アトリビュート 値の型 受信 / 送信 複数 234 Ascend-Target-Util Integer(最大長 10 文字) 送信 No 235 Ascend-Max-Channels Integer(最大長 10 文字) 送信 No 236 Ascend-Inc-Channel-Count Integer(最大長 10 文字) 送信 No 237 Ascend-Dec-Channel-Count Integer(最大長 10 文字) 送信 No 238 Ascend-Seconds-Of-History Integer(最大長 10 文字) 送信 No 239 Ascend-History-Weigh-Type Integer 送信 No 240 Ascend-Add-Seconds Integer(最大長 10 文字) 送信 No 241 Ascend-Remove-Seconds Integer(最大長 10 文字) 送信 No 接続プロファイル / セッション オプション 242 Ascend-Data-Filter Call filter 送信 Yes 243 Ascend-Call-Filter Call filter 送信 Yes 244 Ascend-Idle-Limit Integer(最大長 10 文字) 送信 No 245 Ascend-Preempt-Limit Integer(最大長 10 文字) 送信 No 接続プロファイル /Telco オプション 246 Ascend-Callback Integer 送信 No 247 Ascend-Data-Svc Integer 送信 No 248 Ascend-Force-56 Integer 送信 No 249 Ascend-Billing-Number String(最大長 253 文字) 送信 No 250 Ascend-Call-By-Call Integer(最大長 10 文字) 送信 No 251 Ascend-Transit-Number String(最大長 253 文字) 送信 No String(最大長 253 文字) 送信 No Ipaddr(最大長 15 文字) 送信 No ターミナル サーバ アトリビュート 252 Ascend-Host-Info PPP ローカル アドレス アトリビュート 253 Ascend-PPP-Address MPP パーセント アイドル アトリビュート 254 Ascend-MPP-Idle-Percent Integer(最大長 10 文字) 送信 No 255 Ascend-Xmit-Rate Integer(最大長 10 文字) 送信 No Cisco Secure ACS Solution Engine ユーザ ガイド B-26 OL-14386-01-J 付録 B RADIUS アトリビュート Nortel RADIUS VSA ディクショナリ Nortel RADIUS VSA ディクショナリ 表 B-10 に、ACS がサポートする Nortel RADIUS VSA を示します。Nortel のベンダー ID は 1584 です。 表 B-10 Nortel RADIUS VSA No. アトリビュート 値の型 受信 / 送信 複数 035 Bay-Local-IP-Address Ipaddr(最大長 15 文字) 送信 No 054 Bay-Primary-DNS-Server Ipaddr(最大長 15 文字) 送信 No 055 Bay-Secondary-DNS-Server Ipaddr(最大長 15 文字) 送信 No 056 Bay-Primary-NBNS-Server Ipaddr(最大長 15 文字) 送信 No 057 Bay-Secondary-NBNS-Server Ipaddr(最大長 15 文字) 送信 No 100 Bay-User-Level Integer 送信 No 101 Bay-Audit-Level Integer 送信 No Juniper RADIUS VSA ディクショナリ 表 B-11 に、ACS がサポートする Juniper RADIUS VSA を示します。Juniper のベンダー ID は 2636 です。 表 B-11 Juniper RADIUS VSA No. アトリビュート 値の型 受信 / 送信 複数 001 Juniper-Local-User-Name String(最大長 247 文字) 送信 No 002 Juniper-Allow-Commands String(最大長 247 文字) 送信 No 003 Juniper-Deny-Commands String(最大長 247 文字) 送信 No Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J B-27 付録 B RADIUS アトリビュート 3COMUSR RADIUS VSA ディクショナリ 3COMUSR RADIUS VSA ディクショナリ 表 B-12 に、ACS がサポートする 3COMUSR RADIUS VSA を示します。3COMUSR のベンダー ID は 429 です。 表 B-12 3COMUSR RADIUS VSA No. アトリビュート 値の型 受信 / 送信 複数 0x6C Modulation-Type Integer IN OUT No 0x99 Error-Control Integer IN OUT No 0xC7 Compression Integer IN OUT No 0x9015 Call-Tracking-ID Integer IN OUT No 0x9014 MIC Integer IN OUT No 0x9019 Chassis-Call-Slot Integer IN OUT No 0x9023 Connect-Speed Integer IN OUT No 0x901A Chassis-Call-Span Integer IN OUT No 0x901B Chassis-Call-Channel Integer IN OUT No 0x901D Unauthenticated-Time Integer IN OUT No 0x982F MP-MRRU Integer IN OUT No 0x9841 MP-EDO Integer IN OUT No Cisco Secure ACS Solution Engine ユーザ ガイド B-28 OL-14386-01-J A P P E N D I X C CSUtil データベース ユーティリティ (注) この付録の情報は、ACS for Windows に適用されます。 この付録では、Cisco Secure Access Control Server Release 4.2(以降は ACS と表記)のコマンドライ ン ユーティリティである CSUtil.exe について詳しく説明します。CSUtil.exe には、コロン区切りテ キスト ファイルでのユーザの追加、変更、削除など、いくつかの機能が用意されています。この ユーティリティを使用して、AAA クライアント設定を追加および削除することもできます。 (注) 同様のタスクは、ACS システム バックアップ、ACS システム復元、データベース複製、および RDBMS 同期化の各機能を使用して実行できます。これらの機能の詳細については、第 8 章「シス テム設定:高度」を参照してください。 この章は、次の項で構成されています。 • CSUtil.exe ファイルと関連ファイルの場所(P.C-2) • CSUtil コマンドの構文(P.C-2) • CSUtil.exe による ACS のバックアップ(P.C-4) • CSUtil.exe による ACS の復元(P.C-5) • ACS 内部データベースの初期化(P.C-7) • ACS 内部データベース ダンプ ファイルの作成(P.C-8) • ダンプ ファイルからの ACS 内部データベースのロード(P.C-9) • ACS 内部データベースのクリーンアップ(P.C-11) • ユーザおよび AAA クライアントのインポート オプション(P.C-13) • テキスト ファイルへのユーザ リストのエクスポート(P.C-20) • テキスト ファイルへのグループ情報のエクスポート(P.C-21) • エラー番号のデコード(P.C-22) • ユーザ定義の RADIUS ベンダーと VSA のセット(P.C-23) • PAC ファイルの生成(P.C-33) • ポスチャ確認アトリビュート(P.C-36) • 外部監査デバイス タイプ アトリビュートの追加(P.C-48) Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J C-1 付録 C CSUtil データベース ユーティリティ CSUtil.exe ファイルと関連ファイルの場所 CSUtil.exe ファイルと関連ファイルの場所 ACS をデフォルトの場所にインストールすると、CSUtil.exe は次のディレクトリに格納されます。 C:\Program Files\CiscoSecure ACS vx.x\bin ここで X.X は、使用する ACS ソフトウェアのバージョンです。CSUtil.exe ツールは、ACS インス トール ディレクトリの \bin サブディレクトリに格納されます。CSUtil.exe が生成またはアクセスす るファイルも、\bin ディレクトリに格納されます。ACS ディクショナリのベンダー定義など他の ファイルを追加する場合は、必ず \bin ディレクトリに格納してください。 CSUtil コマンドの構文 CSUtil コマンドの構文は次のとおりです。 csutil [-q] [-b backup_filename] [-e number] [-g group_number] [-i file] [-d [-p secret_key] dump_filename] [-l filename [-passwd secret_key]] [-n] [-r all|users|config backup_file ] [-u] [-listUDV] [-addUDV slot filename.ini] [-delUDV slot] [-dumpUDV database_dump_filename] [-t] [-filepath full_filepath] [-passwd password] [-machine] (-a | -g group_number | -u user_name | -f user_list_filepath) [-addAVP filepath] [-delAVP vendor_id application_id attribute_id] [-dumpAVP filename] [-delPropHPP attribute_ID property_ID] [-delEntHPP attribute_ID entity_name] 表 C-1 に、CSUtil コマンドで使用できるオプションを示します。 表 C-1 CSUtil のオプション 構文 使用目的 -q Quiet モードを使用します。プロンプトは表示されず、他のオプションよ り前に指定します。 -b backup_filename システム バックアップを作成します。 -d [-p secret_key] dump_filename ユーザおよびグループのデータベースを dump.txt または名前を指定した ファイルにダンプします。ダンプ ファイルのユーザ パスワードを暗号化 するために、秘密鍵を指定します。 -e number エラー番号を ASCII メッセージにデコードします。 -g group_number グループ情報のみを group.txt にダンプします。 -i file import.txt または名前を指定したファイルからユーザまたは NAS をイン ポートします。 -p secret_key ユーザおよびグループのデータベース ダンプ時(-d)に、パスワード エー ジング カウンタをリセットします。 -l filename [-passwd secret_key] ユーザ テーブルを空にし、プロファイルを初期化して、ユーザおよびグ ループのデータベースを dump.txt または名前を指定したファイルから ロードします。情報のダンプ時に暗号鍵を使用した場合は、ダンプ ファ イル内のユーザ パスワードと他の機密情報を復号化する鍵を入力する必 要があります。 -n ユーザ テーブルと共有ファイル コンポーネント テーブルを空にし、ユー ザ、グループ、およびネットワーク アクセス プロファイルを初期化して、 新しいデータベースを作成します。 -r all|users|config backup_file システム バックアップを復元します。 -u ユーザをグループごとに users.txt にリストします。 Cisco Secure ACS Solution Engine ユーザ ガイド C-2 OL-14386-01-J 付録 C CSUtil データベース ユーティリティ CSUtil コマンドの構文 表 C-1 CSUtil のオプション(続き) 構文 使用目的 -listUDV 現在インストールされている User Defined Vendor(UDV; ユーザ定義ベン ダー)をリストします。 -addUDVslot filename.ini .ini ファイルのユーザ定義ベンダーまたは Vendor-Specific-Attribture(VSA; ベンダー固有アトリビュート)のデータをインストールします。 -delUDV slot ベンダーまたは VSA を削除します。 -dumpUDV database_dump_file 現在インストールされているベンダーを System UDVs フォルダにダンプ します。 -t -filepath full_filepath -passwd password Extensible Authentication Protocol-Flexible Authentication via Secure Tunnelling -machine (-a | -g group_number | -u user_name | (EAP-FAST)クライアントで使用する Protected Access Credential(PAC) -f user_list_filepath) ファイルを生成します。ユーザ PAC またはマシン PAC を作成できます。 -addAVP filename <filename> からアトリビュートを追加します。 -delAVP vendor_id application_id attribute_id AVP アトリビュートを削除します。 -dumpAVP filename AVP アトリビュートを <filename> にダンプします。 -delPropHPP attribute_ID property_ID Cisco:Host の下の拡張アトリビュートから特定のプロパティを削除しま す。 -delEntHPP attribute_ID entity_name Cisco:Host の下の拡張アトリビュートから特定のエンティティを削除し ます。 注意 ほとんどの CSUtil オプションでは、CSAuth サービスを停止する必要があります。CSAuth サービ スが停止している間、ACS でのユーザ認証は行われません。CSAuth サービスを停止する必要があ るオプションかどうかを判断するには、そのオプションの詳細なトピックを参照してください。 CSUtil.exe は、オプションの多くを組み合せて一度に使用できます。CSUtil.exe を初めて使用する 場合は、一度に 1 つだけオプションを使用して実行することをお勧めします。ただし、他のオプ ションと組み合せて使用する必要がある -p などのオプションの場合は除きます。 CSUtil.exe を使い慣れているユーザの場合は、CSUtil.exe のオプションを組み合せて使用し、次の 例のように、AAA クライアント設定をインポートしてからすべての ACS 内部データのダンプを生 成することもできます。 CSUtil.exe -i newnases.txt -d Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J C-3 付録 C CSUtil データベース ユーティリティ CSUtil.exe による ACS のバックアップ CSUtil.exe による ACS のバックアップ -b オプションを使用すると、すべての ACS 内部データのシステム バックアップを作成できます。 作成されるバックアップ ファイルのデータは、Web インターフェイスの ACS バックアップ機能に よって生成されるバックアップ ファイルのデータと同じです。ACS バックアップ機能の詳細につ いては、P.7-10 の「ACS バックアップ」を参照してください。 (注) バックアップ処理の間、すべてのサービスは自動的に停止して再起動されます。また、バックアッ プ処理の実行中にはユーザ認証が行われません。 CSUtil.exe を使用して ACS をバックアップするには、次の手順を実行します。 ステップ 1 ACS を実行しているコンピュータで、MS-DOS コマンド プロンプトを開き、CSUtil.exe が格納され ているディレクトリに移動します。CSUtil.exe の格納場所の詳細については、P.C-2 の「CSUtil.exe ファイルと関連ファイルの場所」を参照してください。 ステップ 2 次のように入力します。 CSUtil.exe -b filename ここで、filename にはバックアップ ファイルの名前を入力します。Enter キーを押します。 CSUtil.exe により確認プロンプトが表示されます。 ステップ 3 バックアップを実行して、バックアップ中にすべての ACS サービスを停止することを確認するに は、Y と入力して Enter キーを押します。 CSUtil.exe により、ユーザ アカウントとシステム設定を含むすべての ACS 内部データの完全なバッ クアップが生成されます。このプロセスに数分かかることがあります。 (注) ACS の空のコンポーネント(管理者アカウントが存在しないなど)をバックアップしよう とすると、CSUtil.exe により Backup Failed というエラー メッセージが表示されます。こ のメッセージは、空のコンポーネントにのみ適用され、バックアップの全体的な成功また は失敗を意味するものではありません。 Cisco Secure ACS Solution Engine ユーザ ガイド C-4 OL-14386-01-J 付録 C CSUtil データベース ユーティリティ CSUtil.exe による ACS の復元 CSUtil.exe による ACS の復元 -r オプションを使用すると、すべての ACS 内部データを復元できます。ACS の復元には、CSUtil.exe の -b オプションによって生成されたバックアップ ファイルか、または Web インターフェイスの ACS バックアップ機能によって生成されたバックアップ ファイルを使用できます。 ACS バックアップ ファイルには、次のデータが保存されています。 • ユーザおよびグループのデータ • システム設定 復元できるのは、ユーザおよびグループのデータかシステム設定、またはその両方です。ACS バッ クアップ機能の詳細については、P.7-10 の「ACS バックアップ」を参照してください。 (注) 復元処理の間、すべてのサービスは自動的に停止して再起動されます。また、復元処理の実行中に はユーザ認証が行われません。 CSUtil.exe を使用して ACS を復元するには、次の手順を実行します。 ステップ 1 ACS を実行しているコンピュータで、MS-DOS コマンド プロンプトを開き、CSUtil.exe が格納され ているディレクトリに移動します。CSUtil.exe の格納場所の詳細については、P.C-2 の「CSUtil.exe ファイルと関連ファイルの場所」を参照してください。 ステップ 2 次のいずれか 1 つを実行します。 • すべてのデータ(ユーザとグループのデータ、およびシステム設定)を復元するには、次のよ うに入力します。 CSUtil.exe -r all filename ここで、filename にはバックアップ ファイルの名前を入力します。 Enter キーを押します。 • ユーザおよびグループのデータのみを復元するには、次のように入力します。 CSUtil.exe -r users filename ここで、filename にはバックアップ ファイルの名前を入力します。 Enter キーを押します。 • システム設定のみを復元するには、次のように入力します。 CSUtil.exe -r config filename ここで、filename にはバックアップ ファイルの名前を入力します。 Enter キーを押します。 CSUtil.exe により確認プロンプトが表示されます。 ステップ 3 復元を実行して、復元中にすべての ACS サービスを停止することを確認するには、Y と入力して Enter キーを押します。 CSUtil.exe により、ACS データの指定された部分が復元されます。このプロセスに数分かかること があります。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J C-5 付録 C CSUtil データベース ユーティリティ CSUtil.exe による ACS の復元 (注) バックアップ ファイルにデータベース コンポーネントが存在しない場合は、CSUtil.exe に よりエラー メッセージが表示されます。表示されるメッセージは、存在しないコンポーネ ントの復元に対してのみ適用されます。バックアップ ファイルにデータベース コンポーネ ントが存在しないのは、意図的な理由による場合がほとんどであり、バックアップの作成 時に ACS 内のそのコンポーネントが空であったことを示します。 Cisco Secure ACS Solution Engine ユーザ ガイド C-6 OL-14386-01-J 付録 C CSUtil データベース ユーティリティ ACS 内部データベースの初期化 ACS 内部データベースの初期化 -n オプションを使用すると、ACS 内部データベースを初期化できます。-n オプションにより、ユー ザ テーブルと共有プロファイル コンポーネント テーブルが空になり、ユーザ、グループ、および ネットワーク アクセスの各プロファイルが初期化されます。 (注) 注意 -n オプションを使用する場合は、CSAuth サービスを停止する必要があります。CSAuth サービス が停止している間、ユーザ認証は行われません。 -n オプションを使用すると、ACS 内部データベースのすべてのユーザ情報が消去されます。ACS 内部データベースの現在のバックアップまたはダンプがない場合、このオプションを使用すると、 すべてのユーザ アカウントが失われます。 ACS 内部データベースを作成するには、次の手順を実行します。 ステップ 1 ACS 内部データベースのバックアップまたはダンプをまだ実行していない場合、ここで実行してか ら次の手順に進んでください。データベースのバックアップの詳細については、P.C-4 の「CSUtil.exe による ACS のバックアップ」を参照してください。 ステップ 2 ACS を実行しているコンピュータで、MS-DOS コマンド プロンプトを開き、CSUtil.exe が格納され ているディレクトリに移動します。CSUtil.exe の格納場所の詳細については、P.C-2 の「CSUtil.exe ファイルと関連ファイルの場所」を参照してください。 ステップ 3 CSAuth サービスが実行されている場合は、次のように入力します。 net stop csauth Enter キーを押します。 CSAuth サービスが停止します。 ステップ 4 次のように入力します。 CSUtil.exe -n Enter キーを押します。 CSUtil.exe により確認プロンプトが表示されます。 ステップ 5 ACS 内部データベースを初期化することを確認するには、Y と入力して Enter キーを押します。 ACS 内部データベースが初期化されます。このプロセスに数分かかることがあります。 ステップ 6 ユーザ認証を再開するには、次のように入力します。 net start csauth Enter キーを押します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J C-7 付録 C CSUtil データベース ユーティリティ ACS 内部データベース ダンプ ファイルの作成 ACS 内部データベース ダンプ ファイルの作成 -d オプションを使用すると、ACS 内部データベースのすべての内容を、パスワードで保護されたテ キスト ファイルにダンプできます。ファイルの名前は指定することができますが、指定しない場合 は、dump.txt という名前が付けられます。ダンプ ファイルには、ACS 内部データのすべてを含む圧 縮可能なバックアップ データが保存されます。 -l オプションを使用すると、-d オプションによって作成されたダンプ ファイルから ACS 内部デー タをリロードできます。-l オプションの詳細については、P.C-9 の「ダンプ ファイルからの ACS 内 部データベースのロード」を参照してください。 (注) -d オプションを使用する場合は、CSAuth サービスを停止する必要があります。CSAuth サービス が停止している間、ユーザ認証は行われません。 すべての ACS 内部データをテキスト ファイルにダンプするには、次の手順を実行します。 ステップ 1 ACS を実行しているコンピュータで、MS-DOS コマンド プロンプトを開き、CSUtil.exe が格納され ているディレクトリに移動します。CSUtil.exe の格納場所の詳細については、P.C-2 の「CSUtil.exe ファイルと関連ファイルの場所」を参照してください。 ステップ 2 CSAuth サービスが実行されている場合、次のように入力します。 net stop csauth Enter キーを押します。 CSAuth サービスが停止します。 ステップ 3 デフォルトの dump.txt ファイルにダンプするには、次のように入力します。 CSUtil.exe -d -p secret_key Enter キーを押します。 CSUtil.exe により確認プロンプトが表示されます。 ステップ 4 ファイルに名前を指定してダンプするには、次のように入力します。 CSUtil.exe -d -p secret_key dump_filename Enter キーを押します。 CSUtil.exe により確認プロンプトが表示されます。 ステップ 5 すべての ACS 内部データをテキスト ファイルにダンプすることを確認するには、Y と入力して Enter キーを押します。 CSUtil.exe により、ダンプ テキスト ファイルが作成されます。このプロセスに数分かかることがあ ります。 Cisco Secure ACS Solution Engine ユーザ ガイド C-8 OL-14386-01-J 付録 C CSUtil データベース ユーティリティ ダンプ ファイルからの ACS 内部データベースのロード ステップ 6 ユーザ認証を再開するには、次のように入力します。 net start csauth Enter キーを押します。 ダンプ ファイルからの ACS 内部データベースのロード -l オプションを使用すると、すべての ACS 内部データをダンプ テキスト ファイルから上書きでき ます。このオプションにより、既存の ACS 内部データすべてが、ダンプ テキスト ファイル内の データで置き換えられます。実際には、ダンプ テキスト ファイルからデータがロードされる前に、 -l オプションによってすべての ACS 内部データが初期化されます。ダンプ テキスト ファイルは、 -d オプションを使用することによって作成されます。ダンプ ファイルの暗号化で使用したものと 同じパスワードを使用する必要があります。 -p オプションと -l オプションを組み合せて使用すると、パスワード エージング カウンタをリセッ トできます。 (注) -l オプションを使用する場合は、CSAuth サービスを停止する必要があります。CSAuth サービス が停止している間、ユーザ認証は行われません。 すべての ACS 内部データをテキスト ファイルからロードするには、次の手順を実行します。 ステップ 1 ACS を実行しているコンピュータで、MS-DOS コマンド プロンプトを開き、CSUtil.exe が格納され ているディレクトリに移動します。CSUtil.exe の格納場所の詳細については、P.C-2 の「CSUtil.exe ファイルと関連ファイルの場所」を参照してください。 ステップ 2 CSAuth サービスが実行されている場合は、次のように入力します。 net stop csauth Enter キーを押します。 CSAuth サービスが停止します。 ステップ 3 デフォルトの dump.txt ファイルからロードするには、次のように入力します。 CSUtil.exe -l -passwd secret_key ここで、secret_key には、ダンプ テキスト ファイルの暗号化で使用したものと同じパスワードを入 力します。Enter キーを押します。 ステップ 4 名前を指定したダンプ ファイルからロードし、パスワード エージング カウンタをリセットするに は、次のように入力します。 CSUtil.exe -p -l filename -passwd secret_key Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J C-9 付録 C CSUtil データベース ユーティリティ ダンプ ファイルからの ACS 内部データベースのロード ここで、filename には、ACS 内部データをロードするために CSUtil.exe で使用するダンプ ファイル の名前を入力します。 secret_key には、dump.txt ファイルを暗号化するために使用したものと同じパスワードを入力しま す。 (注) コマンドラインの例に示すように、-p オプションは -l オプションの前に置く必要がありま す。-l オプションの後に置くと、この操作は実行されません。 Enter キーを押します。 CSUtil.exe により、すべての ACS 内部データをダンプ テキスト ファイルのデータで上書きするこ とについての確認プロンプトが表示されます。 (注) ステップ 5 データベースを上書きすると一切のデータがなくなります。上書き後にデータベースに存 在するのは、ダンプ テキスト ファイル内の指定されたデータだけになります。 すべての ACS 内部データを置き換えることを確認するには、Y と入力して Enter キーを押します。 CSUtil.exe によりすべての ACS 内部データが初期化され、指定したダンプ ファイルの情報が ACS にロードされます。このプロセスに数分かかることがあります。 ステップ 6 ユーザ認証を再開するには、次のように入力します。 net start csauth Enter キーを押します。 Cisco Secure ACS Solution Engine ユーザ ガイド C-10 OL-14386-01-J 付録 C CSUtil データベース ユーティリティ ACS 内部データベースのクリーンアップ ACS 内部データベースのクリーンアップ 多くのリレーショナル データベースと同様に、ACS 内部データベースでは削除されたレコードに 削除済みのマークを付けますが、そのレコードはデータベースから削除されません。次の CSUtil.exe オプションを使用すると、ACS 内部データベースのクリーンアップを行い、削除済みのマークの付 いたレコードすべてを削除できます。 • -d:すべての ACS 内部データを、dump.txt という名前のテキスト ファイルにエクスポートしま す。 • -n:ACS 内部データベースとインデックスを作成します。 • -l:dump.txt ファイルからすべての ACS 内部データをロードします。 また、このプロセスを自動化する場合は、-q オプションを使用して確認プロンプトを非表示にしま す。このオプションを指定しないと、CSUtil.exe では、-n オプションと -l オプションが実行される 前に確認プロンプトが表示されます。このプロセスを実行しても、データベースのサイズが小さく なるとは限りません。 (注) ACS 内部データベースをクリーンアップするには、CSAuth サービスを停止する必要があります。 CSAuth サービスが停止している間、ユーザ認証は行われません。 ACS 内部データベースをクリーンアップするには、次の手順を実行します。 ステップ 1 ACS を実行しているコンピュータで、MS-DOS コマンド プロンプトを開き、CSUtil.exe が格納され ているディレクトリに移動します。CSUtil.exe の格納場所の詳細については、P.C-2 の「CSUtil.exe ファイルと関連ファイルの場所」を参照してください。 ステップ 2 CSAuth サービスが実行されている場合は、次のように入力します。 net stop csauth Enter キーを押します。 CSAuth サービスが停止します。 ステップ 3 次のように入力します。 CSUtil.exe -d -n -l Enter キーを押します。 ヒント -q オプションをコマンドに含めると、CSUtil はデータベースの初期化またはロードにつ いての確認プロンプトを表示しません。 -q オプションを指定しないと、CSUtil.exe により、データベースの初期化とデータベースのロード についての確認プロンプトが表示されます。-n オプション指定後の結果の詳細については、P.C-7 の「ACS 内部データベースの初期化」を参照してください。-l オプション指定後の結果の詳細につ いては、P.C-9 の「ダンプ ファイルからの ACS 内部データベースのロード」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J C-11 付録 C CSUtil データベース ユーティリティ ACS 内部データベースのクリーンアップ ステップ 4 確認プロンプトが表示されるたびに、Y と入力して Enter キーを押します。 CSUtil.exe により、すべての ACS 内部データが dump.txt にダンプされ、ACS 内部データベースが 初期化され、dump.txt からすべての ACS 内部データがリロードされます。このプロセスに数分かか ることがあります。 ステップ 5 ユーザ認証を再開するには、次のように入力します。 net start csauth Enter キーを押します。 Cisco Secure ACS Solution Engine ユーザ ガイド C-12 OL-14386-01-J 付録 C CSUtil データベース ユーティリティ ユーザおよび AAA クライアントのインポート オプション ユーザおよび AAA クライアントのインポート オプション -i オプションを使用すると、コロン区切りのテキスト ファイルのデータで ACS を更新できます。ま た、AAA クライアント定義を更新することもできます。 ユーザ アカウントについては、ユーザの追加、パスワードなどのユーザ情報の変更、またはユーザ の削除を行うことができます。AAA クライアント定義については、AAA クライアントを追加また は削除できます。 ここでは、次の項目について説明します。 • ユーザ情報および AAA クライアント情報のインポート(P.C-13) • ユーザおよび AAA クライアントのインポート ファイル形式(P.C-14) − ユーザおよび AAA クライアントのインポート ファイル形式について(P.C-15) − ONLINE 文または OFFLINE 文(P.C-15) − ADD 文(P.C-15) − UPDATE 文(P.C-16) − DELETE 文(P.C-17) − ADD_NAS 文(P.C-18) − DEL_NAS 文(P.C-19) − インポート ファイルの例(P.C-19) ユーザ情報および AAA クライアント情報のインポート ユーザまたは AAA クライアントの情報をインポートするには、次の手順を実行します。 ステップ 1 ACS のバックアップまたはダンプをまだ実行していない場合には、ここで実行してから次の手順に 進んでください。データベースのバックアップの詳細については、P.C-4 の「CSUtil.exe による ACS のバックアップ」を参照してください。 ステップ 2 インポート テキスト ファイルを作成します。インポート テキスト ファイルに保存できる情報、ま たは保存する必要がある情報の詳細については、P.C-14 の「ユーザおよび AAA クライアントのイ ンポート ファイル形式」を参照してください。 ステップ 3 インポート テキスト ファイルを、CSUtil.exe と同じディレクトリにコピーまたは移動します。 CSUtil.exe の格納場所の詳細については、P.C-2 の「CSUtil.exe ファイルと関連ファイルの場所」を 参照してください。 ステップ 4 ACS を実行しているコンピュータで、MS-DOS コマンド プロンプトを開き、CSUtil.exe が格納され ているディレクトリに移動します。 ステップ 5 次のように入力します。 CSUtil.exe -i filename ここで、filename に、ACS を更新するために CSUtil.exe で使用するインポート テキスト ファイル の名前を入力します。Enter キーを押します。 CSUtil.exe により、データベースの更新についての確認プロンプトが表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J C-13 付録 C CSUtil データベース ユーティリティ ユーザおよび AAA クライアントのインポート オプション ステップ 6 指定したインポート テキスト ファイルの情報を使用して ACS を更新することを確認するには、Y と入力して Enter キーを押します。 ACS は、指定したインポート テキスト ファイルの情報を使用して更新されます。このプロセスに 数分かかることがあります。 インポート テキスト ファイルに AAA クライアント設定データが含まれている場合は、変更を有効 に す る た め に CSTacacs と CSRadius を 再 起 動 す る 必 要 が あ る こ と を 示 す 警 告 メ ッ セ ー ジ が CSUtil.exe によって表示されます。 ステップ 7 CSRadius を再起動するには、次の手順を実行します。 a. 次のように入力します。 net stop csradius Enter キーを押します。CSRadius サービスが停止します。 b. CSRadius を起動するには、次のように入力します。 net start csradius Enter キーを押します。 ステップ 8 CSTacacs を再起動するには、次の手順を実行します。 a. 次のように入力します。 net stop cstacacs Enter キーを押します。CSTacacs サービスが停止します。 b. CSTacacs を起動するには、次のように入力します。 net start cstacacs Enter キーを押します。 ユーザおよび AAA クライアントのインポート ファイル形式 ここでは、次の項目について説明します。 • ユーザおよび AAA クライアントのインポート ファイル形式について(P.C-15) • ONLINE 文または OFFLINE 文(P.C-15) • ADD 文(P.C-15) • UPDATE 文(P.C-16) • DELETE 文(P.C-17) • ADD_NAS 文(P.C-18) • DEL_NAS 文(P.C-19) • インポート ファイルの例(P.C-19) Cisco Secure ACS Solution Engine ユーザ ガイド C-14 OL-14386-01-J 付録 C CSUtil データベース ユーティリティ ユーザおよび AAA クライアントのインポート オプション ユーザおよび AAA クライアントのインポート ファイル形式について インポート ファイルには、以降のトピックで説明されるように 6 種類の行タイプを含めることがで きます。インポート ファイルの最初の行は、表 C-2 で定義するトークンのいずれかにする必要があ ります。 CSUtil.exe インポート ファイルの各行は、コロンで区切られた一連のトークンです。トークンに よっては、後に値が続くものもあります。それぞれの値は、トークン同様にコロンで区切られてい ます。値を必要とするトークンを CSUtil.exe で使用するには、トークン直後のコロンで区切られた フィールドにトークンの値を指定します。 (注) ACS ユーザ インターフェイスで使用するパスワード、または CSUtil.exe を使用してパスワードを インポートするときのパスワードで使用する文字に制限はありません。 ONLINE 文または OFFLINE 文 CSUtil.exe では、インポート テキスト ファイルに ONLINE トークンまたは OFFLINE トークンが 必要です。ファイルの先頭は、ONLINE トークンか OFFLINE トークンのいずれかを含む行にする 必要があります。ONLINE トークンと OFFLINE トークンの説明を表 C-2 に示します。 表 C-2 ONLINE/OFFLINE 文のトークン トークン 必須 必須の値 説明 ONLINE — ONLINE または OFFLINE が存在する CSUtil.exe がテキスト ファイルをインポートする間、CSAuth サービス はアクティブのままです。このモードでは CSUtil.exe のパフォーマンス が低下しますが、ACS はインポート中でもユーザの認証を継続します。 OFFLINE — ONLINE または OFFLINE が存在する CSUtil.exe がテキスト ファイルをインポートする間、CSAuth サービス は停止します。このモードでは CSUtil.exe のパフォーマンスが最速の状 態になりますが、インポート中にユーザ認証は行われません。 大 量 の ユ ー ザ 情 報 を 短 時 間 に イ ン ポ ー ト す る 必 要 が あ る 場 合 は、 OFFLINE トークンを使用することを検討してください。OFFLINE モー ドでインポートを実行している間は認証機能が停止しますが、インポー ト動作は大幅に速くなります。たとえば、OFFLINE モードで 100,000 ユーザをインポートする場合の所要時間は 1 分未満です。 ADD 文 ADD 文はオプションです。ユーザを ACS に追加するために必要なのは、ADD トークンとその値の みです。表 C-3 に、ADD 文の有効なトークンの一覧を示します。 (注) CSUtil.exe には、外部ユーザ データベース タイプの特定のインスタンスを指定する機能がありま せん。外部ユーザ データベースがユーザを認証するときに、指定されたデータベース タイプのイ ンスタンスが ACS 内に複数存在する場合は、CSUtil.exe によりそのデータベース タイプの最初の インスタンスにユーザが割り当てられます。たとえば、ACS に 2 つの LDAP 外部ユーザ データベー スが設定されている場合は、CSUtil.exe によってユーザ レコードが作成され、ACS に最初に追加 された LDAP データベースにそのユーザが割り当てられます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J C-15 付録 C CSUtil データベース ユーティリティ ユーザおよび AAA クライアントのインポート オプション 表 C-3 ADD 文のトークン トークン 必須 必須の値 説明 ADD Yes ユーザ名 ユーザ情報を ACS に追加します。ユーザ名がすでに存在する場合、情報は変更 されません。 PROFILE No グループ番号 ユーザに割り当てるグループ番号。グループ番号は、名前ではなく、0 ∼ 499 の 数字にする必要があります。PROFILE トークンを使用しない場合や、グループ 番号を指定しない場合は、ユーザがデフォルト グループに追加されます。 CHAP No CHAP パス ワード 認証には Challenge Handshake Authentication Protocol(CHAP; チャレンジ ハンド シェイク認証プロトコル)パスワードが必要です。 CSDB No パスワード ACS 内部データベースによりユーザ名を認証します。 CSDB_UNIX No UNIX で の 暗 UNIX のパスワード形式を使用して、ACS 内部データベースによりユーザ名を 号化パスワー 認証します。 ド EXT_NT No — Windows 外部ユーザ データベースによりユーザ名を認証します。 EXT_SDI No — RSA 外部ユーザ データベースによりユーザ名を認証します。 EXT_ODBC No — Open Database Connectivity(ODBC; 開放型データベース接続)外部ユーザ デー タベースによりユーザ名を認証します。 EXT_LDAP No — 汎用 Lightweight Directory Access Protocol(LDAP)外部ユーザ データベースによ りユーザ名を認証します。 EXT_LEAP No — Lightweight and Efficient Application Protocol(LEAP)プ ロ キ シ Remote Access Dial-In User Service(RADIUS)サーバの外部ユーザ データベースによりユーザ 名を認証します。 EXT_RADIUS No — RADIUS トークン サーバの外部ユーザ データベースによりユーザ名を認証しま す。 たとえば、次の ADD 文では、John というユーザ名のアカウントを作成し、そのアカウントを Group 3 に割り当て、パスワード closedmondays を使用して ACS 内部データベースにより John が認証さ れるように指定しています。 ADD:John:PROFILE:3:CSDB:closedmondays UPDATE 文 UPDATE 文はオプションです。このオプションでは、既存のユーザ アカウントに変更を加えます。 CSUtil.exe では UPDATE トークンとその値のみが必要ですが、他のトークンがない場合には、ユー ザ アカウントへの変更は加えられません。UPDATE 文を使用して、ユーザが割り当てられている グループを更新したり、ACS がユーザの認証に使用するデータベースを更新したりできます。 表 C-4 に、UPDATE 文の有効なトークンの一覧を示します。 Cisco Secure ACS Solution Engine ユーザ ガイド C-16 OL-14386-01-J 付録 C CSUtil データベース ユーティリティ ユーザおよび AAA クライアントのインポート オプション 表 C-4 UPDATE 文のトークン トークン 必須 必須の値 説明 UPDATE Yes ユーザ名 ACS のユーザ情報を更新します。 PROFILE No グループ番号 ユーザに割り当てるグループ番号。グループ番号は、名前ではなく、0 ∼ 499 の 数字にする必要があります。 (注) CSDB や EXT_NT などのデータベース トークンを指定しない場合、グ ループ割り当てを更新すると、ユーザのパスワードが消去されることが あります。 CHAP No CHAP パス ワード 認証には CHAP パスワードが必要です。 CSDB No パスワード ACS 内部データベースによりユーザ名を認証します。 CSDB_UNIX No UNIX で の 暗 UNIX のパスワード形式を使用して、ACS 内部データベースによりユーザ名を 号化パスワー 認証します。 ド EXT_NT No — Windows 外部ユーザ データベースによりユーザ名を認証します。 EXT_ODBC No — ODBC 外部ユーザ データベースによりユーザ名を認証します。 EXT_LDAP No — 汎用 LDAP 外部ユーザ データベースによりユーザ名を認証します。 EXT_LEAP No — LEAP プロキシ RADIUS サーバの外部ユーザ データベースによりユーザ名を認 証します。 EXT_RADIUS No — RADIUS トークン サーバの外部ユーザ データベースによりユーザ名を認証しま す。 たとえば次の UPDATE 文では、CSUtil.exe によって John というユーザ名のアカウントを更新し、 そのアカウントを Group 50 に割り当て、別個の CHAP パスワード goodoldchap を使用して UNIX 暗 号化パスワードにより John が認証されるように指定しています。 UPDATE:John:PROFILE:50:CSDB_UNIX:3Al3qf9:CHAP:goodoldchap DELETE 文 DELETE 文はオプションです。ACS からユーザ アカウントを削除するには、DELETE トークンと その値が必要です。DELETE トークンの詳細を表 C-5 に示します。DELETE トークンは、DELETE 文にある唯一のトークンです。 表 C-5 DELETE 文のトークン トークン 必須 必須の値 説明 DELETE Yes ユーザ名 削除するユーザ アカウントの名前 たとえば次の DELETE 文では、CSUtil.exe によって、John というユーザ名のアカウントを ACS 内 部データベースから完全に削除します。 DELETE:John Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J C-17 付録 C CSUtil データベース ユーティリティ ユーザおよび AAA クライアントのインポート オプション ADD_NAS 文 ADD_NAS 文はオプションです。AAA クライアント定義を ACS に追加するには、ADD_NAS、IP、 KEY、および VENDOR の各トークンとそれぞれの値が必要です。 表 C-6 に、ADD_NAS 文の有効なトークンの一覧を示します。 表 C-6 ADD_NAS 文のトークン トークン 必須 必須の値 説明 ADD_NAS Yes AAA クライ アント名 追加する AAA クライアントの名前 IP Yes IP アドレス 追加される AAA クライアントの IP アドレス。複数の IP アドレスを持つデバイ スをインポートするには、IP アドレス間をパイプ(|)で区切ります。 KEY Yes 共有秘密情報 AAA クライアントの共有秘密情報 VENDOR Yes 説明を参照 AAA クライアントが使用する認証プロトコル。RADIUS の場合は、VSA が含ま れます。 (注) 次の値が有効です。プロトコル名にスペースがあるため、引用符(“”) が必要になります。 • “TACACS+ (Cisco IOS)” • “RADIUS (Cisco Aironet)” • “RADIUS (Cisco Airespace)” • “RADIUS (Cisco BBSM)” • “RADIUS (Cisco IOS/PIX 6.x)” • “RADIUS (Cisco VPN 3000/ASA/PIX 7.x+)” • “RADIUS (Cisco VPN 5000)” • “RADIUS (IETF)” • “RADIUS (Ascend)” • “RADIUS (Juniper)” • “RADIUS (Nortel)” • “RADIUS (iPass)” • “RADIUS (3COMUSR)” NDG 名 AAA クライアントを追加する Network Device Group(NDG; ネットワーク デバ イス グループ)の名前 SINGLE_CON No Y または N TACACS+ のみを使用する AAA クライアントの場合、このトークンに設定され た値により、Single Connect TACACS+ AAA クライアント オプションをイネーブ ルにするかどうかを指定します。詳細については、P.3-14 の「AAA クライアン トの追加」を参照してください。 KEEPALIVE Y または N TACACS+ のみを使用する AAA クライアントの場合、このトークンに設定され た 値 に よ り、Log Update オ プ シ ョ ン ま た は Watchdog Packets from this Access Server オプションをイネーブルにするかどうかを指定します。詳細については、 P.3-14 の「AAA クライアントの追加」を参照してください。 NDG No No Cisco Secure ACS Solution Engine ユーザ ガイド C-18 OL-14386-01-J 付録 C CSUtil データベース ユーティリティ ユーザおよび AAA クライアントのインポート オプション たとえば次の ADD_NAS 文では、単一接続オプションとキープアライブ パケット オプションをイ ネーブルにした TACACS+ を使用して、CSUtil.exe によって SVR2-T+ という名前の AAA クライア ントを追加します。 ADD_NAS:SVR2-T+:IP:IP address:KEY:shared secret:VENDOR:"TACACS+ (Cisco IOS)":NDG:"East Coast":SINGLE_CON:Y:KEEPALIVE:Y DEL_NAS 文 DEL_NAS 文はオプションです。DEL_NAS トークンの詳細を表 C-7 に示します。DEL_NAS トーク ンは、DEL_NAS 文にある唯一のトークンです。DEL_NAS 文により、ACS から AAA クライアン ト定義を削除します。 表 C-7 DEL_NAS 文のトークン トークン 必須 必須の値 説明 DEL_NAS Yes AAA クライアント名 削除する AAA クライアントの名前 たとえば次の DEL_NAS 文では、CSUtil.exe によって SVR2-T+ という名前の AAA クライアントを 削除します。 DEL_NAS:SVR2-T+ インポート ファイルの例 インポート テキスト ファイルの例を次に示します。 OFFLINE ADD:user01:CSDB:userpassword:PROFILE:1 ADD:user02:EXT_NT:PROFILE:2 ADD:chapuser:CSDB:hello:CHAP:chappw:PROFILE:3 ADD:mary:EXT_NT:CHAP:achappassword ADD:joe:EXT_SDI ADD:vanessa:CSDB:vanessaspassword ADD:juan:CSDB_UNIX:unixpassword UPDATE:foobar:PROFILE:10 DELETE:paul ADD_NAS:SVR2-T+:IP:209.165.202.136:KEY:A87il032bzg:VENDOR:"TACACS+ (Cisco IOS)":NDG:"East Coast" DEL_NAS:SVR16-RAD Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J C-19 付録 C CSUtil データベース ユーティリティ テキスト ファイルへのユーザ リストのエクスポート テキスト ファイルへのユーザ リストのエクスポート -u オプションを使用すると、ACS 内部データベースに格納されているすべてのユーザのリストを、 users.txt という名前のテキスト ファイルにエクスポートできます。users.txt ファイルでは、ユーザ がグループごとに整理されます。それぞれのグループ内では、ACS 内部データベースでユーザ ア カウントが作成された順序に従ってユーザが配列されています。たとえば、Pat、Dana、および Lloyd のアカウントがこの順序で作成された場合は、users.txt 内でも、アルファベット順ではなく作 成された順序で配列されます。 (注) -u オプションを使用する場合は、CSAuth サービスを停止する必要があります。CSAuth サービス が停止している間、ユーザ認証は行われません。 ユーザ情報を ACS 内部データベースからテキスト ファイルにエクスポートするには、次の手順を 実行します。 ステップ 1 ACS を実行しているコンピュータで、MS-DOS コマンド プロンプトを開き、CSUtil.exe が格納され ているディレクトリに移動します。CSUtil.exe の格納場所の詳細については、P.C-2 の「CSUtil.exe ファイルと関連ファイルの場所」を参照してください。 ステップ 2 CSAuth サービスが実行されている場合は、次のように入力します。 net stop csauth Enter キーを押します。 CSAuth サービスが停止します。 ステップ 3 次のように入力します。 CSUtil.exe -u Enter キーを押します。 CSUtil.exe により、ACS 内部データベースにあるすべてのユーザの情報が users.txt にエクスポート されます。 ステップ 4 ユーザ認証を再開するには、次のように入力します。 net start csauth Enter キーを押します。 Cisco Secure ACS Solution Engine ユーザ ガイド C-20 OL-14386-01-J 付録 C CSUtil データベース ユーティリティ テキスト ファイルへのグループ情報のエクスポート テキスト ファイルへのグループ情報のエクスポート -g オプションを使用すると、共有プロファイル コンポーネントを含むグループ設定データを、ACS 内 部 デ ー タ ベ ー ス か ら groups.txt と い う 名 前 の テ キ ス ト フ ァ イ ル に エ ク ス ポ ー ト で き ま す。 groups.txt ファイルは、TAC と協力してデバッグを行う場合に特に役立ちます。 (注) -g オプションを使用する場合は、CSAuth サービスを停止する必要があります。CSAuth サービス が停止している間、ユーザ認証は行われません。 グループ情報を ACS 内部データベースからテキスト ファイルにエクスポートするには、次の手順 を実行します。 ステップ 1 ACS を実行しているコンピュータで、MS-DOS コマンド プロンプトを開き、CSUtil.exe が格納され ているディレクトリに移動します。CSUtil.exe の格納場所の詳細については、P.C-2 の「CSUtil.exe ファイルと関連ファイルの場所」を参照してください。 ステップ 2 CSAuth サービスが実行されている場合、次のように入力します。 net stop csauth Enter キーを押します。 CSAuth サービスが停止します。 ステップ 3 次のように入力します。 CSUtil.exe -g Enter キーを押します。 CSUtil.exe により、ACS 内部データベースにあるすべてのグループの情報が groups.txt にエクスポー トされます。 ステップ 4 ユーザ認証を再開するには、次のように入力します。 net start csauth Enter キーを押します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J C-21 付録 C CSUtil データベース ユーティリティ エラー番号のデコード エラー番号のデコード -e オプションを使用すると、ACS サービス ログにあるエラー番号をデコードできます。これらの エラー コードは、ACS の内部コードです。たとえば、CSRadius ログには、次のようなメッセージ が含まれている場合があります。 CSRadius/Logs/RDS.log:RDS 05/22/2001 10:09:02 E 2152 4756 Error -1087 authenticating geddy - no NAS response sent この例の場合、CSUtil.exe を使用してデコード可能なエラー コード番号は -1087 です。 C:\Program Files\CiscoSecure ACS vx.x\Utils: CSUtil.exe -e -1087 CSUtil v3.0(1.14), Copyright 1997-2001, Cisco Systems Inc Code -1087 : External database reported error during authentication (注) -e オプションは、ACS 内部エラー コードにのみ適用され、Windows での認証に失敗した場合など に ACS ログに記録されることがある Windows エラー コードには適用されません。 ACS サービス ログの詳細については、P.10-13 の「サービス ログ」を参照してください。 ACS サービス ログにあるエラー番号をデコードするには、次の手順を実行します。 ステップ 1 ACS を実行しているコンピュータで、MS-DOS コマンド プロンプトを開き、CSUtil.exe が格納され ているディレクトリに移動します。CSUtil.exe の格納場所の詳細については、P.C-2 の「CSUtil.exe ファイルと関連ファイルの場所」を参照してください。 ステップ 2 次のように入力します。 CSUtil.exe -e -number ここで、number には ACS サービス ログにあるエラー番号を入力します。 Enter キーを押します。 (注) number の前にはハイフン(-)が必要です。 CSUtil.exe により、指定したエラー番号に対応するテキスト メッセージが表示されます。 Cisco Secure ACS Solution Engine ユーザ ガイド C-22 OL-14386-01-J 付録 C CSUtil データベース ユーティリティ ユーザ定義の RADIUS ベンダーと VSA のセット ユーザ定義の RADIUS ベンダーと VSA のセット この項では、ユーザ定義の RADIUS ベンダーと VSA に関する情報と手順を示します。 ここでは、次の項目について説明します。 • ユーザ定義の RADIUS ベンダーと VSA のセットについて(P.C-23) • カスタム RADIUS ベンダーと VSA のセットの追加(P.C-23) • カスタム RADIUS ベンダーと VSA のセットの削除(P.C-26) • カスタム RADIUS ベンダーの一覧表示(P.C-27) • カスタム RADIUS ベンダーと VSA のセットのエクスポート(P.C-27) • RADIUS ベンダー /VSA インポート ファイル(P.C-28) ユーザ定義の RADIUS ベンダーと VSA のセットについて 事前定義済みの RADIUS ベンダーと VSA のセットに加えて、ACS はユーザが定義する RADIUS ベ ンダーと VSA もサポートします。カスタム RADIUS ベンダーを追加および設定するには、RDBMS 同期化機能を使用することをお勧めしますが、CSUtil.exe を使用して、RDBMS 同期化機能を使用 する場合と同様のカスタム RADIUS ベンダーと VSA の設定を行うこともできます。RDBMS 同期 化機能または CSUtil.exe を使用して作成するカスタム RADIUS ベンダーと VSA の設定は、それぞ れの他方の機能によって変更することができます。カスタム RADIUS ベンダーと VSA の設定のた めに一方の機能を選択しても、もう一方の機能が使用できなくなるわけではありません。RDMBS 同期化機能の詳細については、P.8-19 の「RDBMS 同期化」を参照してください。 ユーザが追加するベンダーは Internet Engineering Task Force(IETF; インターネット技術特別調査委 員会)に準拠している必要があるため、追加するすべての VSA は、IETF RADIUS アトリビュート 番号 26 のサブアトリビュートになっている必要があります。カスタム RADIUS ベンダーは、0 ∼ 9 の番号を付けて 10 個まで定義できます。CSUtil.exe では、どのベンダーについてもインスタンスを 1 つだけ許可します。このインスタンスは、固有のベンダー IETF ID 番号とベンダー名で定義され ます。 (注) ユーザ定義の RADIUS ベンダーと VSA の設定を複製する場合、複製対象のユーザ定義 RADIUS ベ ンダーと VSA の定義は、ユーザ定義 RADIUS ベンダーが占有する RADIUS ベンダー スロットも含 めて、プライマリおよびセカンダリの ACS 上において同一である必要があります。データベース 複製の詳細については、P.8-2 の「ACS 内部データベースの複製」を参照してください。 カスタム RADIUS ベンダーと VSA のセットの追加 -addUDV オプションを使用すると、カスタム RADIUS ベンダーと VSA のセットを 10 個まで ACS に追加できます。RADIUS ベンダーと VSA のセットそれぞれは、10 個あるユーザ定義 RADIUS ベ ンダー スロットのいずれかのスロットに追加されます。 (注) CSUtil.exe によってカスタム RADIUS ベンダーと VSA のセットが ACS に追加される間、すべての ACS サービスは自動的に停止して再起動されます。また、このプロセスの実行中にユーザ認証は行 われません。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J C-23 付録 C CSUtil データベース ユーティリティ ユーザ定義の RADIUS ベンダーと VSA のセット 始める前に • カスタム RADIUS ベンダーと VSA のセットを RADIUS ベンダー /VSA インポート ファイルで 定義します。詳細については、P.C-28 の「RADIUS ベンダー /VSA インポート ファイル」を参 照してください。 • 新しい RADIUS ベンダーと VSA を追加する RADIUS ベンダー スロットを決定します。詳細に ついては、P.C-27 の「カスタム RADIUS ベンダーの一覧表示」を参照してください。 カスタム RADIUS VSA を ACS に追加するには、次の手順を実行します。 ステップ 1 ACS を実行しているコンピュータで、MS-DOS コマンド プロンプトを開き、CSUtil.exe が格納され ているディレクトリに移動します。CSUtil.exe の格納場所の詳細については、P.C-2 の「CSUtil.exe ファイルと関連ファイルの場所」を参照してください。 ステップ 2 次のように入力します。 CSUtil.exe -addUDV slot-number filename ここで、slot-number には未使用の ACS RADIUS ベンダー スロットを、filename には RADIUS ベン ダー /VSA インポート ファイルの名前を入力します。filename には、RADIUS ベンダー /VSA イン ポート ファイルへの相対パスまたは絶対パスを含めることができます。Enter キーを押します。 たとえば、d:\acs\myvsa.ini で定義される RADIUS ベンダーをスロット 5 に追加するには、次の コマンドを使用します。 CSUtil.exe -addUDV 5 d:\acs\myvsa.ini CSUtil.exe により確認プロンプトが表示されます。 ステップ 3 RADIUS ベンダーを追加し、プロセスの実行中はすべての ACS サービスを停止することを確認す るには、Y と入力して Enter キーを押します。 CSUtil.exe により ACS サービスが停止され、ベンダー /VSA 入力ファイルが解析され、新しい RADIUS ベンダーと VSA が ACS に追加されます。このプロセスに数分かかることがあります。処 理が完了すると、CSUtil.exe によって ACS サービスが再起動されます。 (注) RADIUS ベンダー /VSA インポート ファイルは、アーカイブすることをお勧めします。 CSUtil.exe が格納されている \Utils ディレクトリは、アップグレード時に、格納されている すべての情報も含めて置き換えられます。RADIUS ベンダー /VSA インポート ファイルを バックアップすることにより、再インストールや後続リリースへのアップグレードの後に、 カスタム RADIUS ベンダーと VSA を確実に復元できます。 Cisco Secure ACS Solution Engine ユーザ ガイド C-24 OL-14386-01-J 付録 C CSUtil データベース ユーティリティ ユーザ定義の RADIUS ベンダーと VSA のセット ユーザ定義ベンダーの拡張 VSA ID のサポート ACS VSA ID の長さは、これまでデフォルトで 1 バイトに制限されており、VSA ID に 255 より大き い値を使用することはできませんでした。このリリースでは、VSA ID の長さを 1、2、または 4 バ イトにできます。さらに、VSA に Internal Length フィールドを持たせるかどうかを指定できます。 VSA ID の拡張が必要なベンダーのディクショナリ コンポーネントをインストールするには、 CSUtil または RDBMS 同期化を使用します。拡張 VSA ID を使用するように ACS を設定する方法 の詳細については、P.E-28 の「ユーザ定義ベンダーまたは VSA データの RDBMS 同期化アクショ ン コードを使用したインストール」を参照してください。 ユーザ定義ベンダーまたは VSA データの CSUtil.ini ファイルを使用したインストール VSA ID の拡張が必要なベンダーの VSA データをインストールするには、ベンダーの .ini ファイル を CSUtil -addUDV オプションと一緒に使用します。表 C-8 に、ベンダーの設定変更に使用される ベンダーの .ini ファイルの 2 つの追加コードおよび定義を示します。 表 C-8 (注) ベンダーの設定に使用する CSUtil.ini ファイルのオプションおよび定義 オプション 値 説明 Need Internal Length TRUE または FALSE VSA の Internal Length フィールドの有無を設定します。使用 しない場合、デフォルトは TRUE になります。 ID Length 1、2、または 4 バイト ベンダー固有アトリビュート(VSA)タイプの長さをバイト 単位で設定します。使用しない場合、デフォルトは 1 バイト になります。 ACS では、VSA ID 機能で 16 進数をサポートします。0x から始まる値は、16 進数の値として認識 されます。 次の .ini ファイルのサンプル形式を使用して、ID の長さおよび VSA の値を設定します。サンプル では、次のようになります。 • Need Internal Length の値は TRUE です。 • ID Length は 2 バイトです。 • ベンダーの VSA ID の値は、264 および 0x109 です。 [User Defined Vendor] Name=vendor-name IETF Code=vendor-IETF-code Need Internal Length = TRUE ID Length=2 VSA 264=Ascend-Max-RTP-Delay VSA 0x109= Ascend-RTP-Port-Range [Ascend-Max-RTP-Delay] Type=INTEGER Profile=OUT [Ascend-RTP-Port-Range] Type=STRING Profile=OUT Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J C-25 付録 C CSUtil データベース ユーティリティ ユーザ定義の RADIUS ベンダーと VSA のセット カスタム RADIUS ベンダーと VSA のセットの削除 -delUDV オプションを使用すると、カスタム RADIUS ベンダーを ACS から削除できます。 (注) CSUtil.exe によってカスタム RADIUS ベンダーが ACS から削除される間、すべての ACS サービス は自動的に停止して再起動されます。また、このプロセスの実行中にユーザ認証は行われません。 始める前に ACS Web インターフェイスの Network Configuration セクションで、RADIUS ベンダーを使用してい る AAA クライアントがないことを確認します。AAA クライアントの設定の詳細については、P.3-10 の「AAA クライアントの設定」を参照してください。 RADIUS アカウンティング ログに、削除する RADIUS ベンダーのアトリビュートが含まれていな いことを確認します。RADIUS アカウンティング ログの設定の詳細については、P.10-23 の「ACS ログの設定」を参照してください。 カスタム RADIUS ベンダーと VSA のセットを ACS から削除するには、次の手順を実行します。 ステップ 1 ACS を実行しているコンピュータで、MS-DOS コマンド プロンプトを開き、CSUtil.exe が格納され ているディレクトリに移動します。CSUtil.exe の格納場所の詳細については、P.C-2 の「CSUtil.exe ファイルと関連ファイルの場所」を参照してください。 ステップ 2 次のように入力します。 CSUtil.exe -delUDV slot-number ここで、slot-number には、削除する RADIUS ベンダーを含んでいるスロットの番号を入力します。 Enter キーを押します。 (注) 特定のスロットに含まれている RADIUS ベンダーを確認する方法の詳細については、P.C-27 の「カスタム RADIUS ベンダーの一覧表示」を参照してください。 CSUtil.exe により確認プロンプトが表示されます。 ステップ 3 カスタム RADIUS ベンダーと VSA を削除する間はすべての ACS サービスを停止することを確認す るには、Y と入力して Enter キーを押します。 CSUtil.exe により 2 番目の確認プロンプトが表示されます。 ステップ 4 RADIUS ベンダーを削除することを確認するには、Y と入力して Enter キーを押します。 CSUtil.exe により ACS サービスが停止され、指定した RADIUS ベンダーが ACS から削除されます。 このプロセスに数分かかることがあります。処理が完了すると、CSUtil.exe によって ACS サービス が再起動されます。 Cisco Secure ACS Solution Engine ユーザ ガイド C-26 OL-14386-01-J 付録 C CSUtil データベース ユーティリティ ユーザ定義の RADIUS ベンダーと VSA のセット カスタム RADIUS ベンダーの一覧表示 -listUDV オプションを使用すると、ACS で定義されているカスタム RADIUS ベンダーを確認でき ます。また、このオプションを使用して、10 個のカスタム RADIUS ベンダー スロットの中で使用 中のスロットと、使用中のスロットを占有している RADIUS ベンダーを確認できます。 ACS で定義されているすべてのカスタム RADIUS ベンダーを一覧表示するには、次の手順を実行 します。 ステップ 1 ACS を実行しているコンピュータで、MS-DOS コマンド プロンプトを開き、CSUtil.exe が格納され ているディレクトリに移動します。CSUtil.exe の格納場所の詳細については、P.C-2 の「CSUtil.exe ファイルと関連ファイルの場所」を参照してください。 ステップ 2 次のように入力します。 CSUtil.exe -listUDV Enter キーを押します。 CSUtil.exe により、ユーザ定義 RADIUS ベンダー スロットがスロットの番号順に一覧表示されま す。CSUtil.exe により、カスタム RADIUS ベンダーを含んでいないスロットが Unassigned として 一覧表示されます。未割り当てスロットは空です。Unassigned として一覧表示されたスロットにカ スタム RADIUS ベンダーを追加できます。 カスタム RADIUS ベンダーと VSA のセットのエクスポート カスタム RADIUS ベンダーと VSA のすべてのセットを、ファイルにエクスポートできます。ベン ダーと VSA は、セットごとに別々のファイルに保存されます。このオプションによって作成され るファイルの形式は、RADIUS ベンダー /VSA インポート ファイルと同じ形式になります。このオ プションは、カスタム RADIUS ベンダーと VSA のセットを変更する必要があり、そのセットのイ ンポートに使用した元のファイルを誤って配置した場合に特に役立ちます。 (注) カスタム RADIUS ベンダーと VSA のセットをエクスポートしても、ACS からベンダーと VSA の セットが削除されるわけではありません。 ACS は、エクスポートされたすべてのベンダー/VSA ファイルを、CSUtil.exe が格納されているディ レクトリのサブディレクトリに配置します。サブディレクトリは、System UDVs と命名されます。 CSUtil.exe の格納場所の詳細については、P.C-2 の「CSUtil.exe ファイルと関連ファイルの場所」を 参照してください。 エクスポートされる各ベンダー /VSA ファイルは、UDV_n.ini と命名されます。ここで、n には、現 在のカスタム RADIUS ベンダーと VSA のセットが占有しているスロットの番号を入力します。た とえば、ベンダー Widget がスロット 4 を占有している場合、CSUtil.exe が作成するエクスポート ファイルは UDV_4.ini となります。 カスタム RADIUS ベンダーと VSA のセットをファイルにエクスポートするには、次の手順を実行 します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J C-27 付録 C CSUtil データベース ユーティリティ ユーザ定義の RADIUS ベンダーと VSA のセット ステップ 1 ACS を実行しているコンピュータで、MS-DOS コマンド プロンプトを開き、CSUtil.exe が格納され ているディレクトリに移動します。CSUtil.exe の格納場所の詳細については、P.C-2 の「CSUtil.exe ファイルと関連ファイルの場所」を参照してください。 ステップ 2 次のように入力します。 CSUtil.exe -dumpUDV Enter キーを押します。 CSUtil.exe により、ACS で現在設定されているカスタム RADIUS ベンダーと VSA のセットごとの ファイルが、\System UDVs サブディレクトリに書き込まれます。 RADIUS ベンダー /VSA インポート ファイル カスタム RADIUS ベンダーと VSA のセットを ACS にインポートするには、インポート ファイル で RADIUS ベンダーと VSA のセットを定義する必要があります。この項では、RADIUS VSA イン ポート ファイルの形式と内容について詳しく説明します。 RADIUS ベンダー /VSA インポート ファイルは、アーカイブすることをお勧めします。CSUtil.exe が格納されている \Utils ディレクトリは、アップグレード時に、格納されているすべての情報も含 めて置き換えられます。RADIUS ベンダー /VSA インポート ファイルをバックアップすることによ り、再インストールや後続リリースへのアップグレードの後に、カスタム RADIUS ベンダーと VSA を確実に復元できます。 ここでは、次の項目について説明します。 • RADIUS ベンダー /VSA インポート ファイルについて(P.C-28) • ベンダーと VSA のセットの定義(P.C-29) • アトリビュート定義(P.C-30) • 列挙の定義(P.C-31) • RADIUS ベンダー /VSA インポート ファイル例(P.C-32) RADIUS ベンダー /VSA インポート ファイルについて RADIUS ベンダー /VSA インポート ファイルでは、Windows の .ini ファイル形式を使用します。そ れぞれの RADIUS ベンダー /VSA インポート ファイルは、表 C-9 に示す 3 つのセクションで構成さ れています。各セクションは、セクション ヘッダー、およびキーと値のセットで構成されていま す。RADIUS ベンダー /VSA インポート ファイル内でのセクションの順序に関連性はありません。 表 C-9 RADIUS VSA インポート ファイルのセクション タイプ セクション 必須 数 説明 Vendor and VSA set definition Yes 1 RADIUS ベンダーと VSA のセットを定義します。詳細については、 P.C-29 の「ベンダーと VSA のセットの定義」を参照してください。 Attribute definition Yes 1 ∼ 255 VSA セットの単一アトリビュートを定義します。詳細については、 P.C-30 の「アトリビュート定義」を参照してください。 Enumeration No 0 ∼ 255 整数データ型のアトリビュートの列挙方法を定義します。詳細について は、P.C-31 の「列挙の定義」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド C-28 OL-14386-01-J 付録 C CSUtil データベース ユーティリティ ユーザ定義の RADIUS ベンダーと VSA のセット ベンダーと VSA のセットの定義 それぞれの RADIUS ベンダー/VSA インポート ファイルには、ベンダーと VSA のセットのセクショ ンが 1 つ必要です。セクション ヘッダーは、[User Defined Vendor] にする必要があります。表 C-10 に、ベンダーと VSA のセットのセクションで有効なキーの一覧を示します。 表 C-10 ベンダーと VSA のセットのキー キー 必須 必須の値 説明 Name Yes ベンダー名 RADIUS ベンダーの名前 IETF Code Yes 整数 このベンダーに IETF が割り当てたベンダー番号 Yes:1 ∼ 255 アトリビュー VSA の名前。ここで名前を指定される VSA ごとに、対応するアトリ (n は VSA 番号) の VSA が定 ト名 ビュート定義のセクションがファイルに存在する必要があります。 義可能 VSA n (注) アトリビュート名は、RADIUS ベンダー /VSA インポート ファ イル内と ACS 内のすべての RADIUS アトリビュートのセット 内で、一意の名前にする必要があります。この作業を容易にす るために、各アトリビュート名のプレフィックスにベンダー名 を使用することをお勧めします。たとえば、暗号化に関連する アトリビュートの名前は、ベンダーが Widget であれば widget-encryption とします。この命名規則により、アカウン ティング ログも理解しやすくなります。 たとえば、次のベンダーと VSA のセットのセクションでは、IETF 割り当てベンダー番号が 9999 の ベンダー Widget を定義します。ベンダー Widget には VSA が 4 つあります(したがって、アトリ ビュート定義セクションが 4 つ必要です)。 [User Defined Vendor] Name=Widget IETF Code=9999 VSA 1=widget-encryption VSA 2=widget-admin-interface VSA 3=widget-group VSA 4=widget-admin-encryption Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J C-29 付録 C CSUtil データベース ユーティリティ ユーザ定義の RADIUS ベンダーと VSA のセット アトリビュート定義 各 RADIUS ベンダー /VSA インポート ファイルには、ベンダーと VSA のセットのセクションで定 義されるアトリビュートごとに、1 つのアトリビュート定義セクションが必要です。各アトリビュー ト定義セクションのセクション ヘッダーは、ベンダーと VSA のセットのセクションにあるアトリ ビュートに定義されているアトリビュート名と一致する必要があります。表 C-11 に、アトリビュー ト定義セクションで有効なキーの一覧を示します。 表 C-11 アトリビュート定義のキー キー 必須 必須の値 説明 Type Yes 説明を参照 アトリビュートのデータ型。次のいずれかである必要があります。 • STRING • INTEGER • IPADDR アトリビュートが整数の場合は、Enums キーが有効です。 Profile Yes 説明を参照 アトリビュート プロファイルは、アトリビュートの使用目的が認可かアカウ ンティングか(またはその両方)を定義します。次の値のうち少なくとも 1 つを Profile キー定義で指定する必要があります。 • IN:アトリビュートはアカウンティングに使用されます。アトリビュー トを ACS に追加した後は、RADIUS アカウンティング ログを設定して新 しいアトリビュートを記録できます。RADIUS アカウンティング ログの 詳細については、P.10-2 の「AAA 関連ログ」を参照してください。 • OUT:アトリビュートは認可に使用されます。 また、値に MULTI を使用すると、RADIUS メッセージ 1 つに複数インスタン スのアトリビュートを許可できます。 値を組み合せることもできます。次の例を参考にしてください。 Profile=MULTI OUT または Profile=IN OUT Enums No(TYPE の値が 列挙セク INTEGER の場合 ション名 にのみ有効) 列挙セクションの名前。 (注) 複数のアトリビュートで同じ列挙セクションを参照できます。詳細に ついては、P.C-31 の「列挙の定義」を参照してください。 たとえば、次のアトリビュート定義セクションでは、認可に使用される整数 widget-encryption VSA を定義しており、列挙方式は Encryption-Types 列挙セクションに存在しています。 [widget-encryption] Type=INTEGER Profile=OUT Enums=Encryption-Types Cisco Secure ACS Solution Engine ユーザ ガイド C-30 OL-14386-01-J 付録 C CSUtil データベース ユーティリティ ユーザ定義の RADIUS ベンダーと VSA のセット 列挙の定義 列挙の定義を使用して、整数型アトリビュートの有効な数値ごとにテキストベースの名前を関連付 けることができます。ACS Web インターフェイスの Group Setup セクションと User Setup セクショ ンでは、定義するテキスト値が、列挙を使用するアトリビュートに関連付けられたリストに表示さ れます。列挙定義セクションは、アトリビュート定義セクションから参照される場合にのみ必要で す。列挙定義セクションを参照できるのは、整数型のアトリビュートのみです。 各列挙定義のセクション ヘッダーは、そのヘッダーを参照する Enums キーの値と一致している必 要があります。複数の Enums キーが列挙定義セクションを参照することができるため、共通の列 挙定義を再利用できます。列挙定義セクションには、キーを 1000 個まで指定できます。 表 C-12 に、列挙定義セクションで有効なキーの一覧を示します。 表 C-12 列挙定義のキー キー 必須 必須の値 説明 n Yes String 対応するアトリビュートの有効な整数値ごとに、1 つの列挙セクションで 1 つの キーが必要です。 (説明を参照) 各キーでは、整数値に関連付けられる文字列の値を定義します。ACS では、Web インターフェイスでこれらの文字列の値を使用します。 たとえば、所定のアトリビュートの有効な整数値が 0 ∼ 4 の場合、その列挙定義 は次のようになります。 0=value0 1=value1 2=value2 3=value3 4=value4 たとえば、次の列挙定義セクションでは Encryption-Types 列挙を定義しており、文字列値 56-bit を 整数 0 に、文字列値 128-bit を整数 1 に関連付けています。 [Encryption-Types] 0=56-bit 1=128-bit Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J C-31 付録 C CSUtil データベース ユーティリティ ユーザ定義の RADIUS ベンダーと VSA のセット RADIUS ベンダー /VSA インポート ファイル例 次の RADIUS ベンダー /VSA インポート ファイル例では、IETF 番号が 9999 のベンダー Widget を 定義しています。ベンダー Widget には 5 つの VSA があります。それらのアトリビュートのうち、 4 つは認可に使用され、1 つはアカウンティングに使用されます。1 つの RADIUS メッセージ内で 複数のインスタンスとして使用できるのは、1 つのアトリビュートだけです。2 つのアトリビュー トにはそれぞれの有効な整数値の列挙があり、同じ列挙定義セクションを共有しています。 [User Defined Vendor] Name=Widget IETF Code=9999 VSA 1=widget-encryption VSA 2=widget-admin-interface VSA 3=widget-group VSA 4=widget-admin-encryption VSA 5=widget-remote-address [widget-encryption] Type=INTEGER Profile=OUT Enums=Encryption-Types [widget-admin-interface] Type=IPADDR Profile=OUT [widget-group] Type=STRING Profile=MULTI OUT [widget-admin-encryption] Type=INTEGER Profile=OUT Enums=Encryption-Types [widget-remote-address] Type=STRING Profile=IN [Encryption-Types] 0=56-bit 1=128-bit 2=256-bit Cisco Secure ACS Solution Engine ユーザ ガイド C-32 OL-14386-01-J 付録 C CSUtil データベース ユーティリティ PAC ファイルの生成 PAC ファイルの生成 -t オプションを使用すると、EAP-FAST クライアントで使用する PAC ファイルを生成できます。 PAC は、ユーザまたはマシンを対象に生成できます。PAC および EAP-FAST の詳細については、 P.9-10 の「EAP-FAST 認証」を参照してください。 ここでは、次の項目について説明します。 • PAC ファイルのオプションと例(P.C-33) • PAC ファイルの生成(P.C-34) PAC ファイルのオプションと例 CSUtil.exe で -t オプションを使用して PAC ファイルを生成する場合は、次の追加オプションも使 用することができます。 • -filepath full_filepath:生成されるファイルの場所を指定します。 • -machine:ユーザではなくマシンの PAC を生成するには、このオプションを使用します。 • ユーザ指定オプション:PCA ファイルの対象となるユーザを指定するための 4 つのオプション の中から、1 つを選択する必要があります。選択しない場合、CSUtil.exe により、ユーザが指 定されていないことを示すメッセージが表示されます。ユーザ指定オプションは次のとおりで す。 − -a:CSUtil.exe により、ACS 内部データベースのユーザごとに PAC ファイルが生成されま す。たとえば、ACS 内部データベース内のユーザ数が 3278 件の場合に CSUtil.exe -t -a を 実行すると、ユーザごとに 1 個ずつ、合計 3278 個の PAC ファイルが CSUtil.exe によって 生成されます。 (注) -a オプションを使用すると、CSAuth サービスが再起動します。CSAuth が使用できな い間、ユーザ認証は行われません。 − -g N:CSUtil.exe により、変数(N)によって指定されるユーザ グループ内のユーザごと に、PAC ファイルが生成されます。ACS には、0 ∼ 499 までの番号が付けられた 500 のグ ループがあります。たとえば、Group 7 に 43 人のユーザがいるときに CSUtil.exe -t -g 7 を 実行すると、Group 7 のメンバーのユーザごとに 1 個ずつ、合計 43 個の PAC ファイルが CSUtil.exe によって生成されます。 (注) -g オプションを使用すると、CSAuth サービスが再起動します。CSAuth が使用できな い間、ユーザ認証は行われません。 − -u username:CSUtil.exe により、変数(username)によって指定されたユーザの PAC ファ イルが生成されます。たとえば、CSUtil.exe -t -u seaniemop を実行すると、CSUtil.exe に よって seaniemop.pac という名前の PAC ファイルが 1 つ生成されます。 ヒント DOMAIN\username の形式で、ドメイン修飾されたユーザ名を指定することもできます。たとえば、 ENIGINEERING\augustin と指定すると、ACS によって ENGINEERING_augustin.pac という名前の PAC ファイルが生成されます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J C-33 付録 C CSUtil データベース ユーティリティ PAC ファイルの生成 − -f list:CSUtil.exe により、指定されたファイル内のユーザ名ごとに PAC ファイルが生成さ れます。ここで list は、ユーザ名リストのフル パスとファイル名を表します。 ユーザ名のリストには、行ごとに 1 つのユーザ名を入力し、追加のスペースや他の文字は 使用しません。 たとえば、d:\temp\pacs にある list.txt に次のユーザ名が含まれているとします。 seaniemop jwiedman echamberlain このとき CSUtil.exe -t -f d:\temp\pacs\list.txt を実行すると、CSUtil.exe により次の 3 つの PAC ファイルが生成されます。 seaniemop.pac jwiedman.pac echamberlain.pac. ヒント また、DOMAIN\username の形式で、ドメイン修飾されたユーザ名を指定することもできます。たと えば、ENIGINEERING\augustin と指定すると、ACS によって ENGINEERING_augustin.pac という名 前の PAC ファイルが生成されます。 • -passwd password:CSUtil.exe では、デフォルトのパスワードではなく指定されたパスワードを 使用して、生成する PAC ファイルを保護します。保護する PAC が EAP-FAST エンドユーザ ク ライアントにロードされる場合に、指定するパスワードが必要です。 (注) パスワードは、デフォルトではなくユーザが指定するパスワードを使用することをお勧 めします。 PAC パスワードにすべての文字を使用することができ、大文字と小文字が区別されます。文字 数は、4 ∼ 128 文字にする必要があります。CSUtil.exe では強力なパスワード規則が適用され ませんが、強力なパスワードの使用をお勧めします。 次のような PAC パスワードを作成してください。 − 非常に長い。 − 大文字と小文字が含まれている。 − 文字の他に数字も含まれている。 − 一般的な単語や名前は含まれていない。 PAC ファイルの生成 (注) PAC ファイルの生成中に -a または -g オプションを使用すると、CSUtil.exe により CSAuth サービ スが再起動されます。CSAuth が使用できない間、ユーザ認証は行われません。 PAC の詳細については、P.9-14 の「PAC について」を参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド C-34 OL-14386-01-J 付録 C CSUtil データベース ユーティリティ PAC ファイルの生成 PAC ファイルを生成するには、次の手順を実行します。 ステップ 1 P.C-33 の「PAC ファイルのオプションと例」の説明に従って、次の事項を決定します。 • PAC ファイルを生成する対象のユーザ。ユーザのリストを使用する場合は、ここでリストを作 成します。 • 生成する PAC ファイルの保護に使用するパスワード。必要に応じて、パスワードを作成しま す。次のような PAC パスワードを作成してください。 − 非常に長い。 − 大文字と小文字が含まれている。 − 文字の他に数字も含まれている。 − 一般的な単語や名前は含まれていない。 • PAC ファイルを格納するディレクトリへのフル パス。必要に応じて、ディレクトリを作成しま す。 ステップ 2 ACS を実行しているコンピュータで、MS-DOS コマンド プロンプトを開き、CSUtil.exe が格納され ているディレクトリに移動します。 ステップ 3 ユーザの PAC ファイルを作成するには、次のように入力します。 CSUtil.exe -t additional arguments ここで、additional arguments には、PAC ファイルの作成対象ユーザを指定するオプションを少 なくとも 1 つ入力します。このオプションを使用して、ファイルパスとパスワードを指定する こともできます。 Enter キーを押します。 マシンの PAC ファイルを作成するには、次のように入力します。 CSUtil.exe -t -machine additional arguments ここで、additional arguments には、PAC ファイルの作成対象マシンを指定するオプションを少 なくとも 1 つ入力します。このオプションを使用して、ファイルパスとパスワードを指定する こともできます。 Enter キーを押します。 CSUtil.exe により、指定されたユーザごとに PCA ファイルが生成されます。PAC ファイルは、ユー ザ名に .pac ファイル拡張子を付けた形式で命名されます。たとえば、seaniemop というユーザ名の PAC ファイルの名前は seaniemop.pac に、ドメイン修飾されたユーザ名 ENGINEERING\augustin の PAC ファイルの名前は ENGINEERING_augustin.pac になります。 ファイルパスを指定した場合は、指定した場所に PAC ファイルが保存されます。PAC ファイルは、 該当するエンドユーザ クライアントに配布できます。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J C-35 付録 C CSUtil データベース ユーティリティ ポスチャ確認アトリビュート ポスチャ確認アトリビュート CSUtil.exe を使用して、Network Admission Control(NAC; ネットワーク アドミッション コントロー ル)に不可欠なポスチャ確認アトリビュートをエクスポート、追加、および削除できます。NAC の 詳細については、第 13 章「ポスチャ確認」を参照してください。 ここでは、次の項目について説明します。 • ポスチャ確認アトリビュート定義ファイル(P.C-36) • ポスチャ確認アトリビュート定義のエクスポート(P.C-38) • ポスチャ確認アトリビュート定義のインポート(P.C-39) • ポスチャ確認アトリビュート定義の削除(P.C-41) • デフォルトのポスチャ確認アトリビュート定義ファイル(P.C-43) ポスチャ確認アトリビュート定義ファイル ポスチャ確認アトリビュート定義ファイルは、1 つ以上のポスチャ確認アトリビュート定義を含む テキスト ファイルです。それぞれの定義は、1 つの定義ヘッダーと、次に示す複数の値で構成され ています。ポスチャ確認アトリビュート定義ファイルの例については、P.C-43 の「デフォルトのポ スチャ確認アトリビュート定義ファイル」を参照してください。 アトリビュート定義ヘッダーを除く各アトリビュート定義の値は、次の形式にする必要がありま す。 name=value 次に示すリストで指定されているとおり、name には値の名前を、value には文字列または整数を入 力します。 ヒント コメント行であることを示すには、セミコロン(;)を使用します。 例 C-1 に、ポスチャ確認アトリビュート定義の例を示します。アトリビュート定義の後にはコメン トがあります。 例 C-1 アトリビュート定義の例 [attr#0] vendor-id=9 vendor-name=Cisco application-id=1 application-name=PA attribute-id=00001 attribute-name=Application-Posture-Token attribute-profile=out attribute-type=unsigned integer ; attribute 1 is reserved for the APT ポスチャ確認アトリビュートは、ベンダー ID、アプリケーション ID、およびアトリビュート ID の 組み合せによって一意に定義されます。次の一覧に、これらの値とアトリビュート定義で必要な各 行についての詳細を示します。 Cisco Secure ACS Solution Engine ユーザ ガイド C-36 OL-14386-01-J 付録 C CSUtil データベース ユーティリティ ポスチャ確認アトリビュート • ヒント [attr#n]:アトリビュート定義ヘッダー。n はゼロから始まる一意の連続する整数です。 CSUtil.exe では、定義ヘッダーによって新しいアトリビュート定義の開始を識別します。各ア トリビュート定義は、定義ヘッダーを含む行で開始する必要があります。たとえば、ファイル で最初のアトリビュート定義にはヘッダー [attr#0] が、ファイルで 2 番目のアトリビュート 定義にはヘッダー [attr#1] が含まれるように指定する必要があります。番号付けが連続せず にとぎれた場合、CSUtil.exe はとぎれた部分以降のアトリビュート定義を無視します。たとえ ば、10 個のアトリビュート定義を含むファイルで、5 番目のアトリビュートが [attr#4] では なく [attr#5] として定義されている場合、CSUtil.exe では [attr#5] として定義されているア トリビュートおよび後続の 5 つのアトリビュートを無視します。 n の値は、アトリビュート定義ファイル内のどの ID 値とも関連がありません。たとえば、ファイル 内の 28 番目の定義のヘッダーは [attr#27] にする必要がありますが、このことは vendor-id、 application-id、または attribute-id の有効な値を制限するものでも、定義するものでもありま せん。また、ACS がサポートするポスチャ確認アトリビュートの数を制限したり、定義したりする ものでもありません。 • vendor-id:符号なし整数。ベンダー番号は、ポスチャ確認アトリビュートに関連付けられたベ ンダーに属します。ベンダー番号は、 「IANA Assigned Numbers RFC」でベンダーに割り当てら れた番号であることが必要です。たとえば、vendor-id の 9 はシスコシステムズに対応してい ます。 ベンダー ID には、その ID に関連付けられ、application-id の値によって識別されるアプリ ケーションが 1 つ以上あります。 • vendor-name:文字列。vendor-name は、ACS の Web インターフェイスと、関連付けられたポ スチャ確認アトリビュートのログに表示されます。たとえば、vendor-name が 9 のアトリビュー ト定義はすべて、ベンダー名が Cisco となります。 (注) 同じ vendor-id を共有するアトリビュートごとに、異なるベンダー名を指定することは できません。たとえば、vendor-name が Cisco ではない場合、vendor-id が 9 のアトリ ビュートは追加できません。 • application-id:符号なし整数。application-id は、ポスチャ確認アトリビュートに関連付けら れ た ベ ン ダ ー の ア プ リ ケ ー シ ョ ン を 一 意 に 識 別 し ま す。た と え ば、vendor-id が 9 で application-id が 1 の場合、ポスチャ確認アトリビュートは、application-id が 1 の Cisco ア プリケーションに関連付けられます。このアプリケーションは Cisco Trust Agent(CTA)で、 Posture Agent(PA; ポスチャ エージェント)とも呼ばれます。 • application-name:文字列。application-name は、ACS の Web インターフェイスと、関連付け られたポスチャ確認アトリビュートのログに表示されます。たとえば、vendor-id が 9 で application-id が 1 の場合、application-name は PA となります。これは、ポスチャ エージェ ントの省略形で、CTA の別の表現です。 (注) application-name は、同じ vendor-id と application-id のペアを共有するアトリ ビ ュ ー ト ご と に 別 の 名 前 に す る こ と は で き ま せ ん。た と え ば、vendor-id が 9 で application-id が 1 のアトリビュートは、application-name が PA でない場合は追加 できません。 • attribute-id:1 ∼ 65535 の範囲の符号なし整数。attribute-id は、指定された vendor-id と application-id のポスチャ確認アトリビュートを一意に識別します。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J C-37 付録 C CSUtil データベース ユーティリティ ポスチャ確認アトリビュート (注) アトリビュート 1 と 2 は各アプリケーションで予約されています。新しいアプリケー ションを示すアトリビュートを追加すると、CSUtil.exe により、アトリビュート 1 が Application-Posture-Token として、アトリビュート 2 が System-Posture-Token とし て自動的に作成されます。 • attribute-name:文字列。attribute-name は、ACS の Web インターフェイスと、関連付けられ たポスチャ確認アトリビュートのログに表示されます。たとえば、vendor-id が 9、 application-id が 1、attribute-id が 1 の場合、attribute-name は Application-Posture-Token になります。 • attribute-profile:文字列。アトリビュート プロファイルは、ACS がポスチャ確認応答でアトリ ビュートを送信できるかどうか、ポスチャ確認要求でアトリビュートを受信できるかどうか、 またはポスチャ確認時にアトリビュートの送信と受信の両方が可能かどうかを指定します。 attribute-profile の有効な値は次のとおりです。 − in:ACS はポスチャ確認要求でアトリビュートを受け入れ、アトリビュートのログを記録 できます。ユーザはアトリビュートを内部ポリシー規則の定義で使用できます。 attribute-profile が in のアトリビュートは、受信アトリビュートとも呼ばれます。 − out:ACS はアトリビュートをポスチャ確認応答で送信できますが、このアトリビュート を内部ポリシー規則の定義で使用することはできません。attribute-profile が out のア トリビュートは、送信アトリビュートとも呼ばれます。ログに記録されるように ACS を設 定できる唯一の送信アトリビュートは、Application Posture Tokens および System Posture Tokens のアトリビュートです。ただし、これらはユーザが修正できないシステム定義アト リビュートです。 − in out:ACS はポスチャ確認要求でアトリビュートを受け入れ、ポスチャ確認応答でアト リビュートを送信することができます。attribute-profile が in out のアトリビュートは、 送受信両対応アトリビュートとも呼ばれます。 • attribute-type:文字列。attribute-type は、関連付けられているアトリビュートで有効なデー タの種類を指定します。attribute-profile が in または in out になっているアトリビュート の場合は、attribute-type により、そのアトリビュートを使用する内部ポリシー規則の定義で 使 用 可 能 な 演 算 子 の 型 が 決 ま り ま す。受 信 ア ト リ ビ ュ ー ト の 例 に は、CTA が 送 信 す る ServicePacks アトリビュートがあります。送信アトリビュートの例には、CTA に送信される System-Posture-Token アトリビュートがあります。 attribute-type の有効な値は次のとおりです。 − boolean − string − integer − unsigned integer − ipaddr − date − version − octet-array アトリビュートのデータ型の詳細については、P.13-7 の「ポスチャ確認アトリビュートのデー タ タイプ」を参照してください。 ポスチャ確認アトリビュート定義のエクスポート -dumpAVP オプションを使用すると、現在のポスチャ確認アトリビュートがアトリビュート定義 ファイルにエクスポートされます。ポスチャ確認アトリビュート定義ファイルの内容については、 P.C-36 の「ポスチャ確認アトリビュート定義ファイル」を参照してください。アトリビュート定義 ファイルの例については、P.C-43 の「デフォルトのポスチャ確認アトリビュート定義ファイル」を 参照してください。 Cisco Secure ACS Solution Engine ユーザ ガイド C-38 OL-14386-01-J 付録 C CSUtil データベース ユーティリティ ポスチャ確認アトリビュート ポスチャ確認アトリビュートをエクスポートするには、次の手順を実行します。 ステップ 1 ACS を実行しているコンピュータで、MS-DOS コマンド プロンプトを開き、CSUtil.exe が格納され ているディレクトリに移動します。 ステップ 2 次のように入力します。 CSUtil.exe -dumpavp filename ここで、filename には、CSUtil.exe がすべてのアトリビュート定義を書き込むファイルの名前を入 力します。 Enter キーを押します。 ヒント ステップ 3 filename を指定する場合は、相対パスか絶対パスをファイル名のプレフィックスとして使 用することもできます。たとえば、CSUtil.exe -dumpavp c:\temp\allavp.txt と指定すると、 c:\temp にあるファイル allavp.txt に書き込まれます。 ステップ 2 で指定したパスと名前のファイルに上書きすることを確認するプロンプトが表示され た場合は、次のいずれかを実行します。 • ファイルに上書きするには、Y と入力して Enter キーを押します。 ヒント • CSUtil.exe によって強制的に既存ファイルに上書きするには、-q オプションを使用して、 CSUtil.exe -q -dumpavp filename と指定します。 ファイルを保持するには、N と入力して Enter キーを押し、ステップ 2 に戻ります。 CSUtil.exe により、すべてのポスチャ確認アトリビュート定義が指定したファイルに書き込まれま す。ファイルの内容を表示するには、任意のテキスト エディタを使用します。 ポスチャ確認アトリビュート定義のインポート -addAVP オプションを使用すると、アトリビュート定義ファイルのポスチャ確認アトリビュート定 義が ACS にインポートされます。ポスチャ確認アトリビュート定義ファイルの内容については、 P.C-36 の「ポスチャ確認アトリビュート定義ファイル」を参照してください。アトリビュート定義 ファイルの例については、P.C-43 の「デフォルトのポスチャ確認アトリビュート定義ファイル」を 参照してください。 始める前に この手順を完了するには、CSAuth サービスを再起動する必要があり、このため認証サービスを一 時的に停止しなければならないため、この手順は、ACS サービスに対する要求が少ないときに実行 してください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J C-39 付録 C CSUtil データベース ユーティリティ ポスチャ確認アトリビュート P.C-38 の「ポスチャ確認アトリビュート定義のエクスポート」で説明した手順に従って、ポスチャ 確認アトリビュート定義のバックアップを作成します。エクスポートしたアトリビュート定義ファ イルを使用して、現在のポスチャ確認アトリビュートのベンダー ID、アプリケーション ID、およ びアトリビュート ID を二重に確認することもできます。 ポスチャ確認アトリビュートをインポートするには、次の手順を実行します。 ステップ 1 P.C-36 の「ポスチャ確認アトリビュート定義ファイル」の説明に従って、正しくフォーマットされ たアトリビュート定義ファイルを作成します。作成したファイルは、CSUtil.exe が格納されている ディレクトリか、または ACS を実行しているコンピュータからアクセス可能なディレクトリに配 置します。 ステップ 2 ACS を実行しているコンピュータで、MS-DOS コマンド プロンプトを開き、CSUtil.exe が格納され ているディレクトリに移動します。 ステップ 3 次のように入力します。 CSUtil.exe -addavp filename ここで、filename には、CSUtil.exe がすべてのアトリビュート定義を書き込むファイルの名前を入 力します。 Enter キーを押します。 ヒント filename を指定する場合は、相対パスか絶対パスをファイル名のプレフィックスとして使 用することもできます。たとえば、CSUtil.exe -addavp c:\temp\addavp.txt と指定すると、 c:\temp にあるファイル addavp.txt に書き込まれます。 CSUtil.exe により、ファイルで指定されたアトリビュートが追加または変更されます。次の例では、 9 つのポスチャ確認アトリビュートが正常に追加されています。 C:.../Utils 21: csutil -addavp myavp.txt ... Attribute 9876:1:11 (Calliope) added to dictionary Attribute 9876:1:3 (Clio) added to dictionary Attribute 9876:1:4 (Erato) added to dictionary Attribute 9876:1:5 (Euterpe) added to dictionary Attribute 9876:1:6 (Melpomene) added to dictionary Attribute 9876:1:7 (Polyhymnia) added to dictionary Attribute 9876:1:8 (Terpsichore) added to dictionary Attribute 9876:1:9 (Thalia) added to dictionary Attribute 9876:1:10 (Urania) added to dictionary AVPs from ’myavp.txt’ were successfully added ステップ 4 注意 インポートされたアトリビュート定義を有効にする準備ができたら、CSAuth サービスと CSAdmin サービスを再起動します。 CSAuth サービスが停止している間、ユーザ認証は行われません。 Cisco Secure ACS Solution Engine ユーザ ガイド C-40 OL-14386-01-J 付録 C CSUtil データベース ユーティリティ ポスチャ確認アトリビュート CSAuth、CSLog、および CSAdmin の各サービスを再起動するには、コマンド プロンプトで次のコ マンドを入力し、コンピュータが各コマンドを実行するようにします。 net net net net net net stop csauth start csauth stop cslog start cslog stop csadmin start csadmin ACS は、インポートされたポスチャ確認アトリビュートの使用を開始します。アトリビュート タ イプが in または in out のアトリビュートは、内部ポリシー規則を定義するときに Web インター フェイスで使用できます。 外部監査ポスチャ確認サーバのインポート ACS ディクショナリにインポートする監査ベンダー ファイルを作成するには、次の手順を実行し ます。 ステップ 1 ステップ 2 ACS を実行しているコンピュータで、MS-DOS コマンド プロンプトを開き、\bin ディレクトリ (CSUtil.exe が格納されているディレクトリ)に移動します。 次のように入力します。 CSUtil.exe -addavp filename ここで、filename には、監査サーバのベンダー データが書き込まれているファイルの名前を入力し ます。ファイルが \bin ディレクトリ内にない場合は、フル パス名を追加する必要があります。 ファイルの形式は次のとおりです。 [attr#0] vendor-id=<the vendor identifier number> vendor-name=<the name of the vendor> application-id=6 application-name=Audit ステップ 3 Enter キーを押します。 ステップ 4 CSAdmin、CSAuth、および CSLog の各サービスを再起動します。サービスは、コマンド プロンプ トから手動で再起動するか、Windows で Programs > Administrative Tools > Services を選択します。 ポスチャ確認アトリビュート定義の削除 -delAVP オプションを使用すると、ACS からポスチャ確認アトリビュートが 1 つ削除されます。 始める前に この手順を完了するには、CSAuth サービスを再起動する必要があり、このため認証サービスを一 時的に停止しなければならないため、この手順は、ACS サービスに対する要求が少ないときに実行 してください。 Cisco Secure ACS Solution Engine ユーザ ガイド OL-14386-01-J C-41 付録 C CSUtil データベース ユーティリティ ポスチャ確認アトリビュート P.C-38 の「ポスチャ確認アトリビュート定義のエクスポート」で説明した手順に従って、ポスチャ 確認アトリビュート定義のバックアップを作成します。エクスポートしたアトリビュート定義ファ イルを使用して、削除するポスチャ確認アトリビュートのベンダー ID、アプリケーション ID、お よびアトリビュート ID を二重に確認することもできます。 ポスチャ確認アトリビュートを削除するには、次の手順を実行します。 ステップ 1 ACS を実行しているコンピュータで、MS-DOS コマンド プロンプトを開き、CSUtil.exe が格納され ているディレクトリに移動します。 ステップ 2 次のように入力します。 CSUtil.exe -delavp vendor-ID application-ID attribute-ID ベンダー ID、アプリケーション ID、およびアトリビュート ID の詳細については、P.C-36 の「ポス チャ確認アトリビュート定義ファイル」を参照してください。 CSUtil.exe により、アトリビュートの削除について確認するプロンプトが表示されます。 ステップ 3 確認プロンプトの内容を確認してから、次のいずれかを実行します。 • 確認プロンプトに表示されているアトリビュートを削除する場合は、Y と入力して Enter キー を押します。 ヒント • -q オプションを使用すると、確認プロンプトを非表示にすることができます。 確認プロンプトに示されているアトリビュートを削除しない場合は、N と入力して Enter キー を押し、ステップ 2 に戻ります。 CSUtil.exe により、指定したポスチャ確認アトリビュートが内部データベースから削除されます。 次の例は、CSUtil.exe でベンダー ID が 9876、アプリケーション ID が 1、およびアトリビュート ID が 1 のアトリビュートが 1 つ削除された状態を示しています。 Are you sure you want to delete vendor 9876; application 1; attribute 1? (y/n) y Vendor 9876; application 1; attribute 1 was successfully deleted ステップ 4 注意 アトリビュートの削除を有効にするには、CSAuth サービスと CSAdmin サービスを再起動します。 CSAuth サービスが停止している間、ユーザ認証は行われません。 CSAuth、CSLog、および CSAdmin の各サービスを再起動するには、コマンド プロンプトで次のコ マンドを入力し、コンピュータが各コマンドを実行するようにします。 net net net net net net stop csauth start csauth stop cslog start cslog stop csadmin start csadmin Cisco Secure ACS Solution Engine ユーザ ガイド C-42 OL-14386-01-J 付録 C CSUtil データベース ユーティリティ ポスチャ確認アトリビュート 削除されたポスチャ確認アトリビュートは、ACS では使用できなくなります。 拡張ポスチャ確認アトリビュート定義の削除 Cisco:Host アプリケーションの拡張ポスチャ確認プロパティ アトリビュートを削除するには、次の 手順を実行します。 ステップ 1 ACS を実行しているコンピュータで、MS-DOS コマンド プロンプトを開き、CSUtil.exe が格納され ているディレクトリに移動します。 ステップ 2 次のように入力します。 CSUtil.exe -delPropHPP <attribute ID> <property ID> このコマンドにより、Cisco:Host の下の拡張アトリビュートから、特定の PROPERTY が削除され ます。 ベンダー ID、アプリケーション ID、およびアトリビュート ID の詳細については、P.C-36 の「ポス チャ確認アトリビュート