セキュリティ : Cisco NAC アプライアンス(Clean Access)

NAC(CCA): ACS 5.x 以降を使用した Clean Access Manager での認証の設定

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この資料は情報を Cisco Secure Access Control System (ACS) 5.x およびそれ以降で Clean Access Manager (CAM)の認証を設定する方法を提供したものです。 先のバージョン ACS 5.x よりを使用して同じような設定に関しては、NAC (CCA)を参照して下さい: ACS で Clean Access Manager (CAM)の認証を設定して下さい

前提条件

要件

この設定は CAM バージョン 3.5 および それ 以降に適当です。

使用するコンポーネント

この文書に記載されている情報は CAM バージョン 4.1 に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

注: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク構成図

このドキュメントでは、次のネットワーク構成を使用しています。

http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-01.gif

ACS 5.x で CCA の認証を設定して下さい

次の手順を実行します。

  1. 新しいロールを追加して下さい
    1. Admin ロールを作成して下さい

      • CAM から、> ユーザの役割 > 新しいロール『User Management』 を選択 して下さい。

        http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-02.gif

      • 固有の名前を、ロール名フィールドのロールのための admin、入力して下さい。

      • 説明 オプションのロールのとして管理者ユーザ ロールを入力して下さい。

      • 型ロールのとして正常なログイン ロールを選択して下さい。

      • 適切な VLAN で Out-of-Band (OOB) ユーザの役割を VLAN 設定して下さい。 たとえば、VLAN ID を選択し、10.として ID を規定 して下さい。

      • 終了したら、ロールを『Create』 をクリック して下さい。 形式のデフォルトのプロパティーを復元するために、『Reset』 をクリック して下さい。

      • ロールは OOB 役割ベース マッピング セクションのためのタグ VLAN に示すようにタブ ロールののリストに今現われます。

    2. ユーザの役割を作成して下さい

      • CAM から、> ユーザの役割 > 新しいロール『User Management』 を選択 して下さい。

        http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-03.gif

      • 固有の名前を、ロール名フィールドのロールのためのユーザ、入力して下さい。

      • 説明 オプションのロールのとして通常のユーザー ロールを入力して下さい。

      • 適切な VLAN で Out-of-Band (OOB) ユーザの役割を VLAN 設定して下さい。 たとえば、VLAN ID を選択し、20 として ID を規定 して下さい。

      • 終了したら、ロールを『Create』 をクリック して下さい。 形式のデフォルトのプロパティーを復元するために、『Reset』 をクリック して下さい。

      • ロールは OOB 役割ベース マッピング セクションのためのタグ VLAN に示すようにタブ ロールののリストに今現われます。

  2. OOB 役割ベース マッピングのためのタグ VLAN

    CAM から、> ユーザの役割 > ロールのリスト ロールのリストをこれまでのところ見るために『User Management』 を選択 して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-04.gif

  3. 追加して下さい RADIUS Authサーバ(ACS)を

    1. > Authサーバ > 新しい『User Management』 を選択 して下さい。

      http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-05.gif

    2. 認証種別ドロップダウン メニューから、『RADIUS』 を選択 して下さい。

    3. ACS としてプロバイダー名を入力して下さい。

    4. auth.cisco.com としてサーバ名を入力して下さい。

    5. サーバポート— RADIUSサーバが受信しているかどれをの 1812 ポート番号。

    6. Radius type — RADIUS認証認証方法。 サポートされた方法は EAPMD5、PAP、CHAP、MSCHAP および MSCHAP2 が含まれています。

    7. 既定のロールは正確に定義されないし、設定 されなければ ACS にマッピング して、または RADIUS特性が ACS で正確に定義されないか、設定 されなければ使用されます。

    8. 共有秘密— RADIUS 共有秘密は規定 された クライアントの IP アドレスに区切ます。

    9. NAS-IP-Address —すべての RADIUS認証パケットと送信 されるべきこの値。

    10. サーバを『Add』 をクリック して下さい。

      http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-06.gif

  4. CCA ユーザの役割へのマップ ACS ユーザ

    1. > Authサーバ > CCA 管理者ユーザ ロールに ACS の管理者ユーザをマッピング するためにリンクをマッピング するマッピング ルール > Add 『User Management』 を選択 して下さい。

      http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-07.gif

    2. > Authサーバ > CCA ユーザの役割に ACS の通常のユーザーをマッピング するためにリンクをマッピング するマッピング ルール > Add 『User Management』 を選択 して下さい。

      http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-08.gif

      概略ユーザの役割はマッピングここにあります:

      http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-09.gif

  5. ユーザページのイネーブル互い違いプロバイダ

    > ユーザページ > Login ページ > Add > コンテンツ ユーザ ログイン ページの互い違いプロバイダを有効に するために『管理』 を選択 して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-10.gif

ACS5.x 設定

  1. ネットワークリソース > ネットワークデバイスおよび AAA クライアントを選択し、そして AAA クライアントとして CAM を追加するために『Create』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-11.gif

  2. 名前を、IP アドレスつけ、認証オプションの下で『RADIUS』 を選択 して下さい。 それから、共有秘密を CAM に提供し、『SUBMIT』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-12.gif

  3. ネットワークリソース > ネットワークデバイスおよび AAA クライアントを選択し、そして AAA クライアントとして CAS を追加するために『Create』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-13.gif

  4. 名前を、IP アドレスつけ、認証オプションの下で『RADIUS』 を選択 して下さい。 それから、共有秘密を CAS に提供し、『SUBMIT』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-14.gif

  5. ネットワークリソース > ネットワークデバイスおよび AAA クライアントを選択し、AAA クライアントとして ASA を追加するために『Create』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-15.gif

  6. 名前を、IP アドレスつけ、認証オプションの下で『RADIUS』 を選択 して下さい。 それから、共有秘密を ASA に提供し、『SUBMIT』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-16.gif

  7. 『Users』 を選択 すれば識別は > 識別グループ保存し、新しい識別グループを作成するために『Create』 をクリック します。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-17.gif

  8. グループ名をつけ、『SUBMIT』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-18.gif

  9. 『Users』 を選択 すれば識別は > 識別グループ保存し、新しい識別グループを作成するために『Create』 をクリック します。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-19.gif

  10. グループ名をつけ、『SUBMIT』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-20.gif

  11. [Users and Identity stores] > [Internal Identity Stores] > [Users] の順に選択し、[Create] をクリックして、新しいユーザを作成します。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-21.gif

  12. ユーザの名前をつけ、Admin group に団体会員を変更して下さい。 それから、パスワードを提供し、パスワードを確認して下さい。 [Submit] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-22.gif

  13. [Users and Identity stores] > [Internal Identity Stores] > [Users] の順に選択し、[Create] をクリックして、新しいユーザを作成します。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-23.gif

  14. ユーザの名前をつけ、ユーザ・グループに団体会員を変更して下さい。 それから、パスワードを提供し、パスワードを確認して下さい。 [Submit] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-24.gif

  15. ポリシー要素 > 許可および権限 > ネットワーク アクセス > 許可プロファイルを選択し、新しい許可 プロファイルを作成するために『Create』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-25.gif

  16. Profile Name をつけ、属性を『RADIUS』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-26.gif

  17. RADIUS特性から辞書タイプとして RADIUS-IETF を記録して下さい、選択して下さい。 それから、RADIUS特性の隣で『SELECT』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-27.gif

  18. クラス属性を選択し、『OK』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-28.gif

  19. 属性値が静的である確認し、値として Admin をことを入力して下さい。 『Add』 をクリック し、そして『SUBMIT』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-29.gif

  20. ポリシー要素 > 許可および権限 > ネットワーク アクセス > 許可プロファイルを選択し、新しい許可 プロファイルを作成するために『Create』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-30.gif

  21. Profile Name をつけ、属性を『RADIUS』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-31.gif

  22. RADIUS特性から辞書タイプとして RADIUS-IETF を記録して下さい、選択して下さい。 それから、RADIUS特性の隣で『SELECT』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-32.gif

  23. クラス属性を選択し、『OK』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-33.gif

  24. 属性値が静的である確認し、値としてユーザをことを入力して下さい。 『Add』 をクリック し、そして『SUBMIT』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-34.gif

  25. アクセスポリシー > アクセスを保守し、> サービス セレクション ルールどのサービスが RADIUS要求を処理しているか示します選択して下さい。 この例では、サービスはデフォルトネットワーク アクセスです。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-35.gif

  26. Acces ポリシー > アクセスを保守します > デフォルトネットワーク アクセス(RADIUS要求を処理した前の示されるサービス ステップで) > 許可選択して下さい。 『Customize』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-36.gif

  27. 利用可能から選択した列識別グループを移動して下さい。 [OK] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-37.gif

  28. 新しいルールを作成するために『Create』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-38.gif

  29. 識別 Group チェックボックスがチェックされるように、そして『SELECT』 をクリック します識別グループの隣でして下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-39.gif

  30. Admin group を選択し、『OK』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-40.gif

  31. [Authorization Profiles] セクションで [Select] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-41.gif

  32. Admin 許可 プロファイルを選択し、『OK』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-42.gif

  33. 新しいルールを作成するために『Create』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-43.gif

  34. 識別 Group チェックボックスがチェックされるし、識別グループの隣でように『SELECT』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-44.gif

  35. ユーザ・グループを選択し、『OK』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-45.gif

  36. [Authorization Profiles] セクションで [Select] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-46.gif

  37. ユーザ 許可 プロファイルを選択し、『OK』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-47.gif

  38. [OK] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-48.gif

  39. [Save Changes] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-49.gif

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 113560