セキュリティ : Cisco NAC アプライアンス(Clean Access)

NAC アプライアンス: Cisco NAC リリース 4.5 の Mac OSX AV ポスチャの設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、リリース 4.5 の Network Admission Control(NAC)Manager Web コンソールを使用して、Mac OS X Clean Access Agent のポスチャ アセスメントを設定する方法について説明します。

このリリースの Mac ポスチャ アセスメントは AV/AS サポートだけに制限されます。 Mac OSX でサポートされる AV/AS のリストに関する Cisco NAC アプライアンス(Clean Access) リリース ノートを参照して下さい。

前提条件

要件

この設定を試みる前にこれらのステップを完了して下さい:

この資料は Cisco NAC アプライアンス リリース 4.5 を実行し、それ Cisco NAC アプライアンスのガイドラインに従って次のステップを– Clean Access Manager インストレーション コンフィギュレーション ガイド、リリース 4.5 完了したことを仮定します:

  1. Cisco NAC アプライアンス ハードウェアインストーレーション クイックスタートガイドに記述されているように Cisco NAC アプライアンス リリース 4.5 の NAC マネージャおよび NAC サーバを、リリース 4.5 インストールするか、またはアップグレードして下さい。

  2. 最新の Mac OS X エージェント(バージョン 4.5)がおよび AV/AS サポート パッケージ マネージャがに記述されているように設定する確認し、アップデートをダウンロードしなさい NAC で利用できますことを。

  3. ユーザ ログイン ページに記述されているようにデフォルトユーザ ログイン ページを作成して下さい。

  4. Mac OS X Clean Access エージェント 4.5 の使用をに記述されているように必要としますエージェントの使用を必要として下さい。

  5. マッキントッシュ ユーザ向けの 1つ以上のユーザの役割をに記述されているように作成しますユーザの役割を作成して下さい。

注: OS X バージョンおよび AV/AS 製品および Mac ポスチャ アセスメントのためにサポートされる要件型のための MAC OS X エージェント Restrictions セクションを参照して下さい。

使用するコンポーネント

この文書に記載されている情報は Cisco NAC リリース 4.5 に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

Mac はポーズをとらせますハマグリ ウイルス対策(ClamAV)とのアセスメントを

このプロシージャの目標は ClamAV 1.1.0 がクライアントマシンの最新のウイルス定義とインストールされ、アップデートされることを確認することです。

ClamAV 1.1.0 がクライアントマシンでインストールされていない場合、ClamAV Webサイトにリンクをソフトウェアをダウンロードし、インストールするためにユーザに与えて下さい。 次に、ClamAV が最新の定義とアップデートされることを確認して下さい。 そうでなかったら、Clean Access エージェントは API コールによってハマグリ AV と(AV アップデート 要件型と)交信し、それ自身をアップデートするように ClamAV を要求できます。

注: Cisco NAC 4.5 リリース現在で、AV アップデート 要件型は ClamWin AV でだけサポートされます。 他のすべての AV/AS の場合、ウイルス定義が更新済ではない場合要件のリンク ディストリビューションローカル チェック型は remediate ユーザに設定することができます。

ステップ 1. ClamAV がインストールされているかどうか確認するルールを設定して下さい

  1. > 新しい AV ルールはデバイス管理 > Clean Access > Clean Access エージェント > ルールに行きます。

    osx_nac_config01a.gif

  2. ルールの名前を入力して下さい。 この例は Is_Clamwin_Installed_OSX を使用します。

    注: 容易にルールの目的を識別できるように説明的でであって下さい。 名前でディジットおよびアンダースコア、領域を使用なできます。

  3. ウイルス対策ベンダー ドロップダウン リストから ClamWin を選択して下さい。

  4. ドロップダウン型からインストールを選択して下さい。

  5. オペレーティング システム ドロップダウン リストから Mac OSX を選択して下さい。

    ページの一番下に表はこれらの値と読み込まれます。

    /image/gif/paws/107922/osx_nac_config01b.gif

  6. 1.x があるようにインストール チェックボックスを確認して下さい。

  7. ルール説明テキスト フィールドの説明を入力し、ルールを『SAVE』 をクリック して下さい。

新しい AV ルールはルール リストの下部のに追加されます。

/image/gif/paws/107922/osx_nac_config02.gif

ステップ 2. ClamAV がインストールされていない場合 Remediate ユーザに要件を設定して下さい

ClamAV 1.1.0 はクライアントマシンでインストールされていないこと Clean Access エージェント 検出が、それユーザを検疫すれば。 この時点で、ClamAV 1.1.0 をダウンロードするためにリンクをユーザに与えるためにリンク ディストリビューション 要件型を設定できます。

  1. Clean Access エージェント タブをクリックし、次に必要条件をクリックして下さい。

  2. 要件を『New』 をクリック して下さい。

    osx_nac_config03.gif

  3. 要件型ドロップダウン リストからリンク ディストリビューションを選択して下さい。

  4. 実施型ドロップダウン リストから『Mandatory』 を選択 して下さい。

    この例では、エンドユーザはクライアント システムが要件を満たさなければこの要件の知識のあり、続行するか、またはネットワーク アクセスをアクセスできる場合がありません。

    他の適用型についての情報に関してはオプション/監査 要件の設定を参照して下さい。

  5. クライアントマシンのこの要件の実行プライオリティレベルを選択して下さい。

    この要件が他のすべての必要条件に先んじるシステムでチェックされることを高優先順位(たとえば、1)意味し、(その順序で Clean Access エージェント ダイアログに現われます)。 この例は ClamWin インストール チェックが最初のポスチャ 要件である仮定し、1 (1)に優先順位をと設定 します。

    注: Mac OS X エージェントは自動治療をサポートしません。 従って、治療型は手動に設定 されます。 また、機能は新しい要件 設定 ページ(治療タイプ、間隔およびリトライ回数)で書かれているマッキントッシュクライアント治療に対する要件タイプを作成するときかないません。

  6. ファイル リンク URL テキスト フィールドでは、ClamAV 1.1.0 をダウンロードするためにエンドユーザが指示する必要がある URL を入力して下さい。

  7. 要件では名前テキストはエンドユーザに操作を運ぶ固有の名前をファイルしましたり、入力します。

    この名前は Clean Access エージェント ダイアログのユーザに目に見えます。 この例はダウンロード ClamAV を使用します。

  8. 説明テキスト フィールドでは、要件を満たし損うユーザをガイドする要件および手順の説明を入力して下さい。

  9. オペレーティング システム セクションにリストされている Mac OS チェックボックスをクリックして下さい。

  10. 要件 リストに要件を追加するために要件を『Add』 をクリック して下さい。

新しい要件は要件 リストに追加されます。

/image/gif/paws/107922/osx_nac_config04.gif

ステップ 3. AV インストール ルールのリンク ディストリビューション 要件をマッピング して下さい

  1. Clean Access エージェント タブをクリックし、次に必要条件をクリックして下さい。

  2. 要件ルールをクリックして下さい。

    osx_nac_config05a.gif

  3. 要件名前ドロップダウン リストから、ステップ 2.で作成した要件を選択して下さい

  4. オペレーティング システム ドロップダウン リストから Mac OSX を選択して下さい。

    選択されたオペレーティング システムのために作成されるルールはページの一番下に表示する。

    /image/gif/paws/107922/osx_nac_config05b.gif

  5. ステップ 1 で作成したルールのためのチェックボックスをクリックし、次に『Update』 をクリック して下さい。

ステップ 4. ClamAV が更新済であるかどうか確認するルールを設定して下さい

  1. > 新しい AV ルールはデバイス管理 > Clean Access > Clean Access エージェント > ルールに行きます。

    osx_nac_config06a.gif

  2. ルールの名前を入力して下さい。 この例は Is_ClamAV_Updated_OSX を使用します。

    注: 容易にルールの目的を識別できるように説明的でであって下さい。 名前でディジットおよびアンダースコア、領域を使用なできます。

  3. ウイルス対策ベンダー ドロップダウン リストから ClamWin を選択して下さい。

  4. 型ドロップダウン リストからウイルス定義を選択して下さい。

  5. オペレーティング システム ドロップダウン リストから Mac OSX を選択して下さい。

    ウイルス定義はページの一番下に Mac OSX 表があるように読み込まれます確認します。

    /image/gif/paws/107922/osx_nac_config06b.gif

  6. 1.x があるようにインストール チェックボックスを確認して下さい。

  7. ルール説明テキスト フィールドの説明を入力し、ルールを『SAVE』 をクリック して下さい。

新しい AV ルールはルール リストの下部のに追加されます。

/image/gif/paws/107922/osx_nac_config07.gif

ステップ 5. ClamAV が更新済ではない場合 Remediate ユーザに要件を設定して下さい

ClamAV 1.1.0 はクライアントマシンでアップデートされないこと Clean Access エージェント 検出が、それユーザを検疫すれば。 この時点で、ユーザは Update ボタン remediate を与えられます。

ユーザが Update ボタンをクリックすれば、Clean Access エージェントは ClamAV 根本的なソフトウェアと交信し、それ自身をアップデートするために ClamAV を頼みます。

この機能性を実装するために AV 定義 アップデート 要件型を設定できます。

  1. Clean Access エージェント タブをクリックし、次に必要条件をクリックして下さい。

  2. 要件を『New』 をクリック して下さい。

    osx_nac_config08.gif

  3. 要件型ドロップダウン リストから AV 定義 アップデートを選択して下さい。

  4. 実施型ドロップダウン リストから『Mandatory』 を選択 して下さい。

    この例では、エンドユーザはクライアント システムが要件を満たさなければこの要件の知識のあり、続行するか、またはネットワーク アクセスをアクセスできる場合がありません。

    他の適用型についての情報に関してはオプション/監査 要件の設定を参照して下さい。

  5. クライアントマシンのこの要件の実行プライオリティレベルを選択して下さい。

    この要件が他のすべての必要条件に先んじるシステムでチェックされることを高優先順位(たとえば、1)意味し、(その順序で Clean Access エージェント ダイアログに現われます)。 この例は ClamWin 更新チェックが第 2 ポスチャ 要件である仮定し、2 (2)に優先順位をと設定 します。

    注: Mac OS X エージェントは自動治療をサポートしません。 従って、治療型は手動に設定 されます。 またマッキントッシュクライアント治療に対する要件タイプを作成するとき新しい要件 設定 ページで書かれている治療タイプ、間隔およびリトライ回数 オプションが目的を機能しないことに、注目して下さい。

  6. ウイルス対策ベンダー名 ドロップダウン リストからの ClamWin を– (Mac OS)選択して下さい。

    注意 注意: ClamWin を選択するために– (Mac OS)オプション、ない ClamWin オプション確かめて下さい。

    注: Cisco NAC 4.5 リリース現在で、AV アップデート 要件型は ClamAVon Mac OSX でだけサポートされます。 Mac OSX の他のすべての AV/AS の場合、ウイルス定義が更新済ではない場合リンク ディストリビューションかローカル チェック 要件型は remediate ユーザに設定することができます。

  7. 要件名前テキスト フィールドでは、エンドユーザに操作を運ぶ固有の名前を入力して下さい。

    この名前は Clean Access エージェント ダイアログのユーザに目に見えます。 この例はアップデート ClamAV を使用します。

  8. 説明テキスト フィールドでは、要件を満たし損うユーザをガイドする要件および手順の説明を入力して下さい。

  9. オペレーティング システム セクションにリストされている Mac OS チェックボックスをクリックして下さい。

  10. 要件 リストに要件を追加するために要件を『Add』 をクリック して下さい。

新しい要件は要件 リストに追加されます。

/image/gif/paws/107922/osx_nac_config09.gif

ステップ 6.ウイルス定義ルールの AV 定義 アップデート 要件をマッピング して下さい

  1. Clean Access エージェント タブをクリックし、次に必要条件をクリックして下さい。

  2. 要件ルールをクリックして下さい。

    osx_nac_config10a.gif

  3. 要件名前ドロップダウン リストから、ステップ 5.で作成した要件を選択して下さい

  4. オペレーティング システム ドロップダウン リストから Mac OSX を選択して下さい。

    選択されたオペレーティング システムのために作成されるルールはページの一番下に表示する。

    /image/gif/paws/107922/osx_nac_config10b.gif

  5. ステップ 4 で作成したルールのためのチェックボックスをクリックし、次に『Update』 をクリック して下さい。

ステップ 7.ロールに必要条件をマッピング して下さい

この時点で、エンドユーザが置かれるロールに(ルールにマッピング された)ポスチャ必要条件リンクできます。

  1. Clean Access エージェント タブをクリックし、次に役割要件をクリックして下さい。

  2. 役割要件をクリックして下さい。

    osx_nac_config11a.gif

  3. ドロップダウン リスト ロールのから正常なログイン ロールを型選択して下さい。

  4. ドロップダウン リスト ユーザの役割のから、適用されるポスチャ必要条件がほしいと思うロールを選択して下さい。 この例は従業員ロールにポスチャ必要条件を適用します。

    この例で先に作成される必要条件はページの一番下に表示する。

    /image/gif/paws/107922/osx_nac_config11b.gif

  5. チェックボックスをこのロールに適用したいと思う確認し『Update』 をクリック して下さい必要条件があるように。

ステップ 8.一時ロールの治療サイトへの割り当てアクセス

ユーザが不適合であるために確認されている一時ロールに検疫され、置かれます。 この時点で、ユーザは remediate 自身できるように治療リソース(AV サーバ、Webサイト、パッチ サーバ、等)に達できます必要があります。

このため、一時ロールの適切なアクセスを開いて下さい。 この例では、ユーザは両方の必要条件のための http://www.clamxav.com に達できますleavingcisco.com 必要があります(インストールおよびウイルス定義 アップデート)。

  1. > ユーザの役割 『User Management』 を選択 し、次にトラフィック制御タブをクリックして下さい。

  2. ホストをクリックして下さい。

    osx_nac_config12.gif

  3. 一時ロールをドロップダウン リストから選択し、リストの下部のにスクロールして下さい。

  4. clamxav.com を許可されたホスト リストに追加し、『Add』 をクリック して下さい。

    /image/gif/paws/107922/osx_nac_config13.gif

    このステップはクライアントからの http://www.clamxav.com へのトラフィックが NACleavingcisco.com サーバを通して許可されるようにします。

    注: これら二つの条件は重要です:

    • NAC サーバは DNSサーバからの DNS 応答を動的にアクセスを開発するのに使用します。 それ故に、DNSサーバ(DNS 応答)からのリターントラフィックは NAC サーバを通過する必要があります。

    • 信頼された DNSサーバを定義してもらわなければなりません。 最良 の 方法に関しては、Cisco はすべての DNSサーバの信頼に対して特定の DNSサーバ エントリをここに追加することを推奨します(*)。 この例は DNSサーバ IP を追加します(192.168.2.44)信頼された DNSサーバとして。 複数の信頼された DNSサーバを追加できます。 信頼された DNSサーバを定義してもらわない場合 NAC マネージャはこのイメージに示すようにメッセージを通してそれに応じて助言します:

      /image/gif/paws/107922/osx_nac_config14.gif

エンドユーザ体験を確認して下さい

ここでは、設定が正常に動作していることを確認します。

この Mac ポスチャ 確認 シナリオはと NAC サーバがクライアントマシンから到達可能であると最初の NAC セットアップが(NAC マネージャおよびサーバ)完了した、そして仮定します。 4.5.0.0 Cisco Clean Access エージェントは OSX 10.4 をまたはより高い実行する Mac でインストールする必要があります。 このシナリオはこのテスト前にインストールされる Mac に ClamAV がないと仮定します。

  1. Clean Access エージェント(バージョン 4.5.0.0)へのログイン。

    /image/gif/paws/107922/osx_nac_config15.gif

    remediate に検疫され、招待されます。

    /image/gif/paws/107922/osx_nac_config16.gif

    注: Run チェックボックスは要件が必須であるので、編集可能チェックされますが。 要件がオプションので設定された場合、Run チェックボックスは編集可能であり、その要件をスキップすることを選択できます。

  2. Remediate をクリックして下さい。

    ClamAV Webサイトにリダイレクトされます。

    /image/gif/paws/107922/osx_nac_config17.gif

  3. ダウンロードおよびインストール ClamAV。

    このイメージに示すように ClamAV を使用できる前にハマグリ ウイルス対策エンジンを実行するためにプロンプト表示されるかもしれません:

    osx_nac_config18.gif

  4. インストールを完了するために画面上の手順に従って下さい。

    /image/gif/paws/107922/osx_nac_config19.gif

    Clean Access エージェントは成功したとしてダウンロード ClamAV 要件のステータスを表示する、第 2 要件(アップデート ClamAV)に進みます。

    osx_nac_config20.gif

    ClamAV が更新済なら、アップデート ClamAV 要件のステータスは成功した表示する。

    osx_nac_config21.gif

  5. ネットワークにログインに『Complete』 をクリック して下さい。

    正常にこのネットワークへのログイン メッセージ現われれば。

    /image/gif/paws/107922/osx_nac_config22.gif

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 107922