セキュリティ : Cisco NAC アプライアンス(Clean Access)

NAC(CCA): ACS を使用した Clean Access Manager(CAM)の認証の設定

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この資料に Cisco Secure Access Control Server (ACS)で Clean Access Manager (CAM)の認証を設定する方法を記述されています。 ACS 5.x およびそれ以降を使用して同じような設定に関しては、NAC (CCA)を参照して下さい: ACS 5.x およびそれ以降で Clean Access Manager の認証を設定して下さい

前提条件

要件

この設定は CAM バージョン 3.5 および それ 以降に適当です。

使用するコンポーネント

この文書に記載されている情報は CAM バージョン 4.1 に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

注: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク構成図

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/107396/acs-auth-cam1.gif

ACS で CCA の認証を設定するステップ

次の手順を実行します。

  1. 新しいロールを追加して下さい
    1. Admin ロールを作成して下さい

      • CAM で、> ユーザの役割 > 新しいロール『User Management』 を選択 して下さい。

        /image/gif/paws/107396/acs-auth-cam2.gif

      • 固有の名前を、ロール名フィールドのロールのための admin、入力して下さい。

      • 説明 オプションのロールのとして管理者ユーザ ロールを入力して下さい。

      • 型ロールのとして正常なログイン ロールを選択して下さい。

      • 適切な VLAN で Out-of-Band (OOB) ユーザの役割を VLAN 設定して下さい。 たとえば、VLAN ID を選択し、10.として ID を規定 して下さい。

      • 終了したら、ロールを『Create』 をクリック して下さい。 形式のデフォルトのプロパティーを復元するために、『Reset』 をクリック して下さい。

      • ロールは OOB 役割ベース マッピング セクションのためのタグ VLAN に示すようにタブ ロールののリストに今現われます。

    2. ユーザの役割を作成して下さい

      • CAM で、> ユーザの役割 > 新しいロール『User Management』 を選択 して下さい。

        /image/gif/paws/107396/acs-auth-cam3.gif

      • 固有の名前を、ロール名フィールドのロールのためのユーザ、入力して下さい。

      • 説明 オプションのロールのとして通常のユーザー ロールを入力して下さい。

      • 適切な VLAN で Out-of-Band (OOB) ユーザの役割を VLAN 設定して下さい。 たとえば、VLAN ID を選択し、20 として ID を規定 して下さい。

      • 終了したら、ロールを『Create』 をクリック して下さい。 形式のデフォルトのプロパティーを復元するために、『Reset』 をクリック して下さい。

      • ロールは OOB 役割ベース マッピング セクションのためのタグ VLAN に示すようにタブ ロールののリストに今現われます。

  2. OOB 役割ベース マッピングのためのタグ VLAN

    CAM で、> ユーザの役割 > ロールのリスト ロールのリストをこれまでのところ見るために『User Management』 を選択 して下さい。

    /image/gif/paws/107396/acs-auth-cam4.gif

  3. 追加して下さい RADIUS Authサーバ(ACS)を

    1. > Authサーバ > 新しい『User Management』 を選択 して下さい。

      /image/gif/paws/107396/acs-auth-cam5.gif

    2. 認証種別ドロップダウン メニューから、『RADIUS』 を選択 して下さい。

    3. ACS としてプロバイダー名を入力して下さい。

    4. auth.cisco.com としてサーバ名を入力して下さい。

    5. サーバポート— RADIUSサーバが受信しているかどれをの 1812 ポート番号。

    6. Radius type — RADIUS認証認証方法。 サポートされた方法は EAPMD5、PAP、CHAP、MSCHAP および MSCHAP2 が含まれています。

    7. 既定のロールは正確に定義されないし、設定 されなければ ACS にマッピング して、または RADIUS特性が ACS で正確に定義されないか、設定 されなければ使用されます。

    8. 共有秘密— RADIUS 共有秘密は規定 された クライアントの IP アドレスに区切ます。

    9. NAS-IP-Address —すべての RADIUS認証パケットと送信 されるべきこの値。

    10. サーバを『Add』 をクリック して下さい。

      acs-auth-cam6.gif

  4. CCA ユーザの役割に ACS ユーザをマッピング して下さい

    1. > Authサーバ > CCA 管理者ユーザ ロールに ACS の管理者ユーザをマッピング するためにリンクをマッピング するマッピング ルール > Add 『User Management』 を選択 して下さい。

      /image/gif/paws/107396/acs-auth-cam7.gif

    2. > Authサーバ > CCA ユーザの役割に ACS の通常のユーザーをマッピング するためにリンクをマッピング するマッピング ルール > Add 『User Management』 を選択 して下さい。

      /image/gif/paws/107396/acs-auth-cam8.gif

    3. 概略ユーザの役割はマッピングここにあります:

      acs-auth-cam9.gif

  5. ユーザページのイネーブル互い違いプロバイダ

    > ユーザページ > Login ページ > Add > コンテンツ ユーザ ログイン ページの互い違いプロバイダを有効に するために『管理』 を選択 して下さい。

    /image/gif/paws/107396/acs-auth-cam10.gif

ACS 設定

  1. RADIUS (IETF)クラス属性 [025] が有効に なることを確かめるために『Interface Configuration』 を選択 して下さい。

    /image/gif/paws/107396/acs-auth-cam11.gif

  2. ACS サーバに RADIUSクライアントを追加して下さい

    1. 示されているように AAA クライアント CAM を追加するために『Network Configuration』 を選択 して下さい:

      /image/gif/paws/107396/acs-auth-cam12.gif

      [Submit + Restart] をクリックします。

      注: ことを AAA クライアントが付いている RADIUS 鍵マッチ確かめ、RADIUS (IETF)を使用します。

    2. 示されているように AAA クライアント CAS を追加するために『Network Configuration』 を選択 して下さい:

      /image/gif/paws/107396/acs-auth-cam13.gif

      [Submit + Restart] をクリックします。

      注: 説明する VPNゲートウェイ RADIUS に関しては CCA ポリシーは CAS IP アドレスからの RADIUS 説明パケット(UDP 1646/1813)が ACS サーバのIPアドレスに非認証を通るようにする必要があります。

    3. 示されているように AAA クライアント ASA を追加するために『Network Configuration』 を選択 して下さい:

      /image/gif/paws/107396/acs-auth-cam14.gif

      • ユーザ左側 PIX/ASA インターフェイス アドレス(一般的に 内部インターフェイス)

      • RADIUS (Cisco IOS/PIX)へのセット型。

  3. ACS サーバに /Configure グループを追加して下さい

    1. Admin group を作成して下さい

      /image/gif/paws/107396/acs-auth-cam15.gif

      • グループ値を割り当てるために IETF RADIUS クラス属性 [025] を設定 して下さい。

      • 値は CAS マッピングで設定されるそれを一致する必要があります。

    2. ユーザグループを作成して下さい

      acs-auth-cam16.gif

      各 Clean Access ユーザの役割のためのグループを追加して下さい/マッピング されるために設定して下さい。

    3. ACS サーバのユーザを追加して下さい/設定して下さい

      /image/gif/paws/107396/acs-auth-cam17.gif

      • 各 Clean Access ユーザ向けの ACS ユーザを追加して下さい/ACS によって認証されるために設定して下さい。

      • ACS 団体会員を設定 して下さい。

      • ACS はまた他の外部サーバにプロキシ認証をサポートします。

確認

ここでは、設定が正常に動作していることを確認します。

セクションを監察する ACS では渡される示されているように認証の情報を表示できます:

/image/gif/paws/107396/acs-auth-cam18.gif

同様に、RADIUS 会計についてはスクリーン ショットを次のように表示できます:

/image/gif/paws/107396/acs-auth-cam19.gif

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 107396