セキュリティ : Cisco Secure Access Control Server for Windows

ACE サーバ認証を使用した CiscoSecure ACS for Windows NT の設定

2002 年 10 月 30 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2006 年 2 月 2 日) | フィードバック

目次


概要

CiscoSecure Access Control Software (ACS) for Windows (CSNT) は、RSA の ACE サーバへ内蔵することが可能です。ACE サーバは、Security Dynamics Incorporated(SDI))サーバとしても知られています。Terminal Access Controller Access Control System plus(TACACS+)または Remote Authentication Dial-In User Service(RADIUS)を介して、ネットワーク内のデバイスから着信する要求は、CSNT で直接処理することが可能です。また、CSNT から ACE サーバへ受け渡すこともできます。要求が ACE サーバへ受け渡されると、ACE サーバから CSNT へ応答が返され、CSNT からネットワーク デバイスへ応答が返されます。ACE へ受け渡されたユーザは列挙されるか、CiscoSecur ACS コマンドライン ユーティリティ(CSUtil) に入力されるか、もしくは 'unknown user' カテゴリに置かれます。

注: CSUtil の詳細は、CiscoSecure コマンドライン データベース ユーティリティ の文書を参照してください。

この文書は、ACE サーバやクライアントのインストールを解説するためのものではありません。実行中のコードのバージョンに関する詳細は、ACE 文書を参照してください。CSNT を使ってテストされる ACE のバージョンは、さまざまな CSNT バージョンの CSNT リリース ノートに掲載されています。

設定

ACE を使用する CSNT は、以下の構成でインストールできます。

  • 同一ボックス内にACE サーバ、ACE クライアント、および CSNTを構成
  • 1 つのボックスにACE サーバを、別のボックスにCSNT を使用するACE クライアントを構成
  • 同一ボックス内に ACE クライアント無しの ACE サーバ、および CSNTを構成

手順を実行する前に

ACE サーバ認証を使用する CiscoSecure ACS を設定する場合に、次の手順が実行されていることを確認します。

  1. ACE の説明書を使って ACE サーバをインストールします。
  2. ACE の説明書を使って ACE クライアントをインストールします。

    注:CSNT サーバと ACE サーバが同じボックスの場合、ACE クライアントのインストールはオプションですが、これはテストとトラブルシューティングには有用です。

  3. テスト ユーザを使って、ACE クライアントから ACE サーバへの接続性をテストします。
  4. ACE Telnet ではない(テスト)ユーザを使って、CSNT をインストールし、CSNT から Cisco デバイスをテストします。
  5. ACE ダイヤル(テスト)ユーザでないユーザを使って、CSNT をインストールし、CSNT から Cisco デバイスをテストします。目的が ACE ダイヤル ユーザの最終的な獲得ででない限り、これはオプションです。

この設定で使用されているコンポーネント

この設定は、次に示すソフトウェアとハードウェアのバージョンを使用して作成およびテストされました。

  • ACE サーバ バージョン 5.0.01[061]
  • ACE エージェント バージョン 5.0
  • CiscoSecure ACS for Windows NT 3.0.1

この文書の情報は、特定のラボ環境にある装置に基づいて作成されています。また、この文書で使用するデバイスは、すべて初期(デフォルト)の設定で起動しています。コマンドを実行する前に、本番稼動中のネットワークに与える影響について理解しておいてください。

ACE と通信するための CSNT の設定

  1. CiscoSecure ACS for Windows 2000/NT の Web サイトから、外部ユーザ データベース を選択します。
  2. 外部ユーザ データベース設定リストから、RSA SecurID トークン サーバ を選択します。

  3. RSA SecurID トークン サーバ データベースに対する操作を選択するように求められたら、[Configure] を選択します。

  4. [Create New Configuration] をクリックします。

  5. 入力を求められたら、新しい設定の名前を入力し、[Submit] をクリックします。

システムによって、ACE ダイナミック リンク ライブラリ(DLL)が検索され、"CiscoSecure to SDI Token Card Server support installed" というメッセージが表示されます。

ACE 認証のための CSNT ユーザの設定

ACE データベースには sdiuser という名前の ACE が存在するため、CSNT ユーザにも sdiuser という名前を付け、CSNT にパスワード認証のために RSA SecurID Token Server を使用するように指示します。 認証権限を継承するため、作業中のユーザが存在する CSNT グループにユーザを登録します。次に例を示します。

ACE およびネットワーク デバイスと CSNT との Telnet 通信のテスト

ACE を使用せずに CSNT を使用して、ネットワーク デバイスに Telnet を実行できるかどうかを確認します。次に、そのデバイスに対して、新しい CSNT/ACE ユーザで Telnet を実行します。この操作が正常に終了しなかった場合は、後述する「トラブルシューティング 」のセクションを参照してください。

ACE およびネットワーク デバイスと CSNT とのダイヤル通信のテスト(オプション)

CSNT/ACE でネットワーク デバイスへ Telnet が実行でき、CSNT でネットワーク デバイスにダイヤルできることを確認したら、CSNT/ACE でダイヤルに関してルータ設定のテストをします。

ルータの設定には、次のコマンドのバリエーションが含まれている必要があります。

aaa authentication ppp default !-- ダイヤル インターフェイスでは: async mode !-- ダイヤル インターフェイスでは: ppp authentication

ACE との認証に関して、以下の点について検討してください。

  • async mode interactive コマンドが aaa authentication ppp default <method | group tacacs | group radius> コマンドを使って設定されている場合、ルータでログイン認証が実行された後、同一トークンを再使用したポイントツーポイント(PPP)認証が試行されます。 同じトークンを再使用した試行が時間をおかずに行われるため、2 度目の認証は失敗します。
  • async mode dedicated コマンドを設定すると、ACE サーバから新しい Pin の入力を求められた場合に、ユーザが新しい Pin メッセージを確認するファシリティはありません。ACE ユーザ インターフェイスの [Allowed to create a PIN] と [Required to create a PIN] の選択を解除することによって、これが発生する確率を減らすことができます。
  • 次のように CHAP RFC(1994)に規定されている要件のため、Challenge Handshake Authentication Protocol(CHAP)は、ACE トークン単独では使用できません。
    CHAP では、機密が平文で利用できなければなりません。一般に使用されている、不可逆的に暗号化されたパスワード データベースは使用できません。
    このため、別の CHAP パスワードが存在しない限り、ストレート CHAP に対する ACE トークンは使用できません。次に例を示します。

    username: username*token password: chap_password

    ここではパスワード認証プロトコル(PAP)の方が選択肢として優れています。

こうした理由から、ルータの設定が次のようになっていることを確認します。

aaa authentication ppp default if-needed tacacs+|radius !-- ダイヤル インターフェイスでは: async mode interactive !-- ダイヤル インターフェイスでは: ppp authentication pap

ACE CSNT ダイヤル ユーザでないユーザが、設定を変更した後も引き続き作業ができることを確認した後、CSNT ACE ダイヤル ユーザを対象にテストを実施します。CSNT ACE ダイヤル ユーザは、以下の方法で接続可能でなければなりません。

  • ダイヤルアップ ネットワーク(DUN)を始動し、[Username] フィールドにユーザ名を入力し、[Password] フィールドにトークン(code+card)を入力することによって、デバイス画面に接続します。
  • DUN を始動し、[Username ] フィールドに username*token(code+card) を入力し、[Password] フィールドをブランクのままにしておくことで、デバイス画面に接続します。
  • ダイヤルの後、ターミナル ウィンドウを起動するようにDUN を設定し、ルータから入力を求められたら、ユーザ名とトークン(code+card)を入力します。その後その回線で PPP セッションが開始されたら、autocommand ppp default コマンドを設定します。

上記手順を実行しても正常に動作しない場合は、後述する「トラブルシューティング」のセクションを参照してください。

トラブルシューティング

このセクションでは、一般的な ACE および CSNT の問題に関する情報と、その解決方法のヒントについて説明します。

ACE ログに "Passcode accepted" というメッセージが表示されるにもかかわらず、ユーザが認証されない。

CSNT Failed Attemps ログをチェックし、問題の原因を決定します。認証問題のために、失敗している可能性があります。

ACE ログに "Access Denied, passcode incorrect" というメッセージが表示される。

パスコードに関連する ACE の問題です。この間、CSNT Failed Attempt ログには、"External DB auth failed" または "External DB user invalid or bad password" のいずれかのメッセージが表示されます。

ACE ログに "User not in database" というメッセージが表示される。

ACE データベースをチェックします。この間、CSNT Failed Attempt ログには、"External DB auth failed" または "External DB user invalid or bad password" のいずれかのメッセージが表示されます。

ACE ログに "User not on agent host" というメッセージが表示される。

ACE 設定の問題です。この問題を解決するには、エージェント ホストでユーザを設定します。

CSNT ログに "External database not operational" というメッセージが表示される。

ACE ログに試行結果が表示されていない場合は、ACE クライアント テスト認証を使って操作を確認し、ACE/サーバ認証エンジンが稼働しているかチェックします。

CSNT ログに "CS user unknown" または "Cached token rejected/expired" というメッセージが表示され、ACE ログには何も表示されない。

ネットワーク デバイスが CHAP 要求を送信していて、CSNT に個別の CHAP パスワードを持つ ACE ユーザが列挙されない場合、トークン専用認証では PAP が必要なため、CSNT はユーザを ACE に送信しません。

トラブルシューティングのためのコマンド

一部の show コマンドは、show コマンド出力の分析を表示する Output Interpreter ツールでサポートされています。このツールへのリンクは、この文書の「ツール情報」のセクションにあります。

注:debug コマンドを使用する前に、「Debug コマンドに関する重要な情報」を参照してください。

  • debug tacacs - TACACS+ に関する情報を表示します。
  • debug tacacs - RADIUS に関する情報を表示します。
  • debug aaa authentication - 認証、許可、および アカウンティング(AAA)、および TACACS+ の認証に関する情報を表示します。
  • debug aaa authorization raduis - AAA/TACACS+ の認可に関する情報を表示します。
  • debug ppp negotiation - PPP の開始時に送信される PPP パケットを表示します。PPP の開始時には PPP オプションがネゴシエートされます。

ツール情報

詳細は、シスコの「セキュリティ技術用の TAC ツール」を参照してください。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 20713